Cyber-Sicherheits-Check 2 - Leiter der Fachgruppe Cybersecurity A. Teuscher - der Allianz für Cyber-Sicherheit
←
→
Transkription von Seiteninhalten
Wenn Ihr Browser die Seite nicht korrekt rendert, bitte, lesen Sie den Inhalt der Seite unten
Cyber-Sicherheits-Check 2.
Leiter der Fachgruppe Cybersecurity
A. Teuscher
Andreas.Teuscher@sick.de
© 2019 ISACA Germany Chapter e. V.
Agenda
Themen im Fokus
• Ausgangspunkt / Angriff auf das Herz der IT
• Der Beginn / Cyber-Sicherheits-Check V1.0
• Weiterentwicklung / Cyber-Sicherheits-Check V2.0
• Ausblick – Cyber-Sicherheits-Check OT
17.01.2020 2
Die Geister, die ich rief (J. W. von Goethe)
Zwei Welten treffen aufeinander
• Information Technology IT ist verantwortlich für die Office IT
und wird zur Prozessunterstützung genutzt
• Operation Information Technology OT verantwortet die
produktionsnahe interne Instandhaltung. Bei ihr liegt der
Fokus mehr auf Safety
• Historisch werden in der OT immer noch flache Netze und
keine Netzwerksegmentierung bzw. Zonen genutzt, was
zu einer ungewollten Kommunikation zwischen IT und
OT führt
• Dedizierte Bussysteme z.B. Modbus, IO-Link in der OT
werden abgelöst durch IT Technologien z.B. Ethernet,
WLAN, Bluetooth, IP, TCP/UDP, HTTP, etc.
Quelle: IEC 62443-3-3
17.01.2020 3
Die Realität in der Office-IT
Erpressungstrojaner Wanna-Cry und der böse Zwillingsbruder Petya
• Cybergroßangriff auf ca. 100 Länder in 2017, Mitte März stellt Microsoft nach bekannt
werden der Zero Day Attack ein Update für Windows zur Verfügung
- Deutschland: Metabo, DB Netz AG, Schenker Logistik
- Frankreich: Der französische Autobauer Renault musste Teile seiner Produktion anhalten
- Großbritannien: IT-Systeme beim öffentlichen Gesundheitssystem NHS, was zu massiven
Behinderungen in 40 Krankenhäusern und zahlreichen Arztpraxen führte
- Spanien: Telekom Konzern Telefónica und Versorger Iberdrola betroffen
- USA: Der Logistiker FedEx und Pfizer waren betroffen
• Zweite Angriffswelle von Schadsoftware, bei der auch noch andere Werkzeuge genutzt
wurden, mit dem Resultat:
- Deutschland: Fabriken von Mondelez (Milka, Oreo) an den Standorten Bremen und Bad Fallingen,
stehen still. Bei Beiersdorf (Nivea) hat es Ausfälle bei der IT und der Telefonanlage gegeben
- Ukraine: Am Katastrophen-Atomkraftwerk Tschernobyl musste die Radioakvität nach dem Ausfall der
Computer manuell gemessen werden, in Metro Märkten sind Kassensysteme betroffen, staatseigene
Sparkasse sowie vier weitere Banken sind betroffen, auch die Eisenbahn und der größte Flughafen des
Landes (Boryspil) berichteten von Problemen
- Russland: Beim Ölkonzern Rosneft waren Steuerungsrechner betroffen
- Großbritannien: IT-Systeme bei dem britische Werbeunternehmen WPP sind betroffen
- Frankreich: Der Industriekonzern Saint-Gobain bestätigt, von Hackerangriffen betroffen zu sein.
- Dänemark: Die Reederei Maersk meldete, IT-Systeme diverser Geschäftsbereiche seien an
verschiedenen Standorten lahmgelegt
17.01.2020 4
Die Realität in der Operation-IT
Auswirkungen in der Automation
FABRIKAUTOMATION LOGISTIKAUTOMATION PROZESSAUTOMATION
§ Bergbau § Automobil und Zulieferer § Flughafen
§ Chemie und Petrochemie § Druck
§ Gebäudemanagement
§ Elektronik
§ Kraftwerk § Gebäudesicherheit
§ Glas
§ Metall und Stahl § Hafen
§ Halbleiter
§ Müllverbrennung und Recycling § Handhabungs- und § Handel und Distributionszentren
§ Öl und Gas Montagetechnik
§ Industrielle Fahrzeuge
§ Holz
§ Schiffsbau, Werften und Zulieferer § Krane
§ Konsumgüter/Verpackung
§ Zement § Kunststoff und Gummi § Kurier, Express, Post und Fracht
§ Nahrungsmittel /Getränke § Lager- und Fördertechnik
§ Pharma und Kosmetik § Verkehr
§ Reifen
§ Robotik
§ Solar/Wind
§ Werkzeugmaschinen
17.01.2020 5
Verschärfung der Cybersicherheitslage
Änderungsgründe für Cyber-Sicherheits-Check 2.0
First conceptual virus Value-added providers Strong interest in Full-blown organized
(Scientific American) (CompuServe, AOL, critical AI based attacks
cybercrime
etc.) infrastructure
Back Orifice Mobile banking Cyberwarfare
First IBM PC ID theft Ransomware
(1982) and payments
AI warfare
Microsoft goes web Stuxnet, Duqu and BOT Network DoS attacks
others
Spamming
Wall Street crash Quantum based attacks
and phishing
(1987) ATP Trojan
Virus
builder tool
First Multiple AI APT attacks
No. of viruses > sets
viruses in 1,000 Commercial/ criminal IoT BOT Network attacks
the wild hacking
New economy Heartbleed
From representative to interactive, then commerical Internet use
From stationary to mobile computing, then smart mobile devices
From digital ignorants to natives, then sheep
From digital computing to artificial intelligence, then quantum computing
Quantum
Early World Wide eCommerce Homeland Ubiqitous Combined Multiple AI
Cybercrime Cyberwar computer
connectivity Web beginning Security broadband Trojan attacks
attacks
1980 1981 1996 2001 2006 2007 2016 2018 2024 2028
Source: Nach Roessing, Rolf M., 2012, Transforming Cybersecurity: Using COBIT® 5 und Ergänzungen Dirk Schugardt
17.01.2020 6
Agenda
Themen im Fokus
• Ausgangspunkt / Angriff auf das Herz der IT
• Der Beginn / Cyber-Sicherheits-Check V1.0
• Weiterentwicklung / Cyber-Sicherheits-Check V2.0
• Ausblick – Cyber-Sicherheits-Check OT
17.01.2020 7
Rückblick
Cyber-Sicherheits-Check 1.0
• Im Jahr 2014 von der Fachgruppe Informationssicherheit
von ISACA und BSI entwickelt und über die Allianz für
Cyber-Sicherheit veröffentlicht
• Cyber-Security-Practitioner (CSP) in der ersten Fassung ab
2014 durch ISACA und BSI
• Überarbeitung des Cyber-Security-Practitioner durch die
Fachgruppe Cyber-Security und neuem Trainerteam ab
2016
17.01.2020 8
CSC und CSP
Cyber-Sicherheits-Check 1.0
Cyber-Sicherheits-Check (CSC) und CSP Kurs sind Erfolgsgeschichten:
• CSC wurden durchgeführt in allen Gesellschaftsgrößen von der internen IT,
Datenschutzbeauftragten, CISO/IT-SIBE, internen Revisionen, externen
Auditoren und Beratern
• Über 500 ausgebildete CSP (Studenten, Administratoren,
Sicherheitsexperten, Auditoren bis zu Geschäftsführer und Partner von
Wirtschaftsprüfungsgesellschaften)
17.01.2020 9
Inhalte und Übersicht
Cyber-Sicherheits-Check 1.0
17.01.2020 10Cyber-Begriffsdefinitionen
Cyber-Sicherheits-Check 1.0
• Der Cyber-Raum umfasst alle durch das Internet über territoriale Grenzen
hinweg weltweit erreichbaren Informationsinfrastrukturen.
• Cyber-Sicherheit verfolgt den Schutz der Vertraulichkeit, Integrität und
Verfügbarkeit von Informationen gegen Bedrohungen aus dem Cyber-Raum.
• Die Cyber-Kriminalität umfasst kriminelle Aktivitäten, die den Cyber-Raum als
Quelle, Ziel und/oder Werkzeug nutzen.
• Cyber-Security-Ereignis sind Vorfälle/Ereignisse, bei denen die Informations-
sicherheit über den Cyber-Raum beeinträchtigt wird.
17.01.2020 11Anwendungsbereich
Cyber-Sicherheits-Check bis wohin?
Bedrohungen
Elementare Innentäter
Bedrohungen
Cyberraum
Cyber- (Internet)
Menschliches
Bedrohungen
… Fehlverhalten
Cyber-Sicherheit
Schutzziele
(Vertraulichkeit, Integrität, Verfügbarkeit)
Physische Human- Informations-
Werte werte werte
Informationssicherheit
17.01.2020 12Bekannte Schutzziele
Cyber-Sicherheits-Check 1.0
Verletzung der Vertraulichkeit
Wenn vertrauliche Informationen unberechtigt zur Kenntnis genommen oder
weitergegeben werden.
Verletzung der Integrität
Wenn die Informationen nicht mehr korrekt sind und die Funktionsweise von
Systemen nicht mehr gegeben ist.
Verletzung der Verfügbarkeit
Wenn autorisierte Benutzer am Zugriff auf Informationen und Systeme behindert
werden oder die Funktionalität der Systeme eingeschränkt wird.
17.01.2020 13Cyber-Sicherheits-Exposition
Bestimmen der Exposition / Risiko
17.01.2020 14Das Vorgehensmodell in sechs Schritten
Cyber-Sicherheits-Check 1.0
• Schritt 1 - Auftragserteilung
• Schritt 2 - Bestimmung der Cyber-Sicherheits-Exposition
• Schritt 3 - Dokumentensichtung
• Schritt 4 - Vorbereitung der Vor-Ort-Beurteilung
• Schritt 5 - Vor-Ort-Beurteilung
• Schritt 6 - Nachbereitung / Berichterstellung
17.01.2020 15Übersicht der 13 Maßnahmenziele
Alle dazugehörigen Basismaßnahmen sind bei der Prüfung heranzuziehen
A Absicherung von Netzübergängen
B Abwehr von Schadprogrammen
C Inventarisierung der IT-Systeme
D Vermeidung von offenen Sicherheitslücken
E Sichere Interaktion mit dem Internet
F Logdatenerfassung und -auswertung
G Sicherstellung eines aktuellen Informationsstands
H Bewältigung von Sicherheitsvorfällen
I Sichere Authentisierung
J Gewährleistung der Verfügbarkeit notwendiger Ressourcen
K Durchführung nutzerorientierter Maßnahmen
L Sichere Nutzung Sozialer Netzwerke
M Durchführung von Penetrationstests
17.01.2020 16Agenda
Themen im Fokus
• Ausgangspunkt / Angriff auf das Herz der IT
• Der Beginn / Cyber-Sicherheits-Check V1.0
• Weiterentwicklung / Cyber-Sicherheits-Check V2.0
• Ausblick – Cyber-Sicherheits-Check OT
17.01.2020 17Inhalte und Übersicht
Cyber-Sicherheits-Check 2.0 – Inhalte
Der CSC-Leitfaden in der Version 2 kann
kostenfrei unter dem nachfolgenden ISACA
Weblink heruntergeladen werden:
www.isaca.de/sites/default/files/2019_11_
leitfaden_cyber-sicherheits-check_v2.pdf
17.01.2020 18Verbesserungen zur Version 1
Cyber-Sicherheits-Check 2.0 – Änderungen
• Zusammenarbeit mit mehreren Verbänden
• Vereinfachte Risikoeinschätzung
• Erweiterung der Maßnahmen um
- Cloud-Sicherheit
- Datensicherung
• Referenzen auf aktuelle Standards
- BSI IT-Grundschutz-Kompendium
- Cobit 2019, etc.
17.01.2020 19Risikoeinschätzung kommt, die Exposition geht
Cyber-Sicherheits-Check 2.0 – Änderungen
• Startpunkt der Risikoeinschätzung ist die Bestimmung der Schadenshöhe für
jedes Schutzziel (Vertraulichkeit, Verfügbarkeit und Integrität)
Vertraulichkeit Verfügbarkeit Integrität
Wert der Daten und Prozesse gering 0 gering 0 gering 0
normal 1 normal 1 normal 1
hoch 2 hoch 2 hoch 2
sehr hoch 3 sehr hoch 3 sehr hoch 3
Schadenshöhe = Wert je Schutzziel
17.01.2020 20Bestimmung der Eintrittswahrscheinlichkeit
Cyber-Sicherheits-Check 2.0 – Änderungen
Vertraulichkeit Verfügbarkeit Integrität
Abhängigkeit von der IT und Grad der lokal 1 lokal 1 lokal 1
Vernetzung (Attraktivität für Angreifer)
teilweise vernetzt 2 teilweise vernetzt 2 teilweise vernetzt 2
voll vernetzt 3 voll vernetzt 3 voll vernetzt 3
Kompetenz (Wissen) der Angreifer allgemein 1 allgemein 1 allgemein 1
moderat 2 moderat 2 moderat 2
fachspezifisch 3 fachspezifisch 3 fachspezifisch 3
Angriffe in der Vergangenheit abgewehrt 1 abgewehrt 1 abgewehrt 1
unbekannt/ unbekannt/ unbekannt/
erfolgreich 3 erfolgreich 3 erfolgreich 3
Eintrittswahrscheinlichkeit = Addition der Werte je Schutzziel
17.01.2020 21Schutzziele
Cyber-Sicherheits-Check 2.0 – Änderungen
• Der Risikowert wird pro Schutzziel durch Multiplikation der Schadenshöhe mit
der Eintrittswahrscheinlichkeit (Summe der Einzelwerte je Schutzziel) ermittelt
• Formel je Schutzziel (VVI): (1+2+3) x S = Risikokennzahl
• Hieraus ergeben sich die nachfolgenden Risikoeinschätzungen:
normal = 0 – 9
hoch = 10 – 18
sehr hoch = 19 – 27
17.01.2020 22Übersicht der 14 Maßnahmenziele Teil 1
Alle dazugehörigen Basismaßnahmen sind bei der Prüfung heranzuziehen
A Absicherung von Netzübergängen
B Abwehr von Schadprogrammen
C Inventarisierung der IT-Systeme
D Vermeidung von ausnutzbaren Sicherheitslücken
E Sichere Interaktion mit dem Internet
F Logdatenerfassung und -auswertung
G Sicherstellung eines aktuellen Informationsstands
23Übersicht der 14 Maßnahmenziele Teil 2
Alle dazugehörigen Basismaßnahmen sind bei der Prüfung heranzuziehen
H Bewältigung von Sicherheitsvorfällen
I Sichere Authentisierung
J Gewährleistung der Verfügbarkeit notwendiger Ressourcen
K Sensibilisierung und Schulung von Mitarbeitern
L Sichere Nutzung Sozialer Netzwerke
M Durchführung von Penetrationstests
N Sicherer Umgang mit Cloud-Anwendungen
24Cloud Security
Cyber-Sicherheits-Check 2.0 – Änderungen
Maßnahmenziele Basismaßnahmen Referenzen
N Sicherer Umgang mit - Es existieren verbindliche Vorgaben hinsichtlich BSI IT-Grundschutz-
Cloud-Anwendungen der Speicherung, Verwendung und Verarbeitung von Kompendium:
Es sollten regelmäßig die Daten in Cloud-Anwendungen. BSI-200-2, Kapitel 10,
genutzten Cloud- - Anwendbare Sicherheitsstandards und vertragliche OPS.1.1.6.A1,
Anwendungen überprüft Anforderungen werden gegenüber dem Cloud Service OPS.1.1.6.A3,
werden und einem Provider durchgesetzt. OPS.1.1.6.A5
Freigabeprozess unterliegen. - Cloud-Dienste werden fachgerecht provisioniert, COBIT 2019:
Nicht zulässige Cloud- administriert und überwacht. APO07.03, APO09.01,
Anwendungen sollten - Mitarbeiter werden regelmäßig hinsichtlich der Risiken APO09.02, APO09.03,
gesperrt, erlaubte durch und des korrekten Umgangs mit Cloud-Anwendungen DSS01.02, DSS01.03,
geeignete sensibilisiert. DSS05.02, DSS06.03
Sicherheitsmaßnahmen - Direkte Schnittstellen zwischen Cloud-Anwendungen ISO/IEC 27001:2013:
geschützt werden. und der organisationseigenen Infrastruktur, sofern A.14.2.8, A.18.2.1, A.18.2.3
vorhanden, sind angemessen abgesichert. PCI DSS 3.2.1:
2.6, 12.8, A1
17.01.2020 25Das Vorgehensmodell in sechs Schritten
Optimiertes Vorgehensmodell
• Schritt 1 - Auftragserteilung
• Schritt 2 - Risikoeinschätzung
• Schritt 3 - Dokumentensichtung
• Schritt 4 - Vorbereitung der Vor-Ort-Beurteilung
• Schritt 5 - Vor-Ort-Beurteilung
• Schritt 6 - Nachbereitung / Berichterstellung
17.01.2020 26Neuer Cyber-Security-Practitioner
Cyber-Sicherheits-Check 2.0
• Neuer CSP Kurs ab 2020 enthält:
– Die Anwendung der neuen Risikoeinschätzung
– Den neuen Maßnahmenkatalog und die Referenzen
– Neue angepasste praktische Übungen, die sowohl Laien wie auch
versierte Prüfer an den CSC heranführen
• Ab 2020: Anpassung an neuen Cyber-Security-Practitioner
– Bestehende Zertifikate bleiben im Rahmen der Regeln zur Rezertifizierung
bestehen
17.01.2020 27Agenda
Themen im Fokus
• Ausgangspunkt / Angriff auf das Herz der IT
• Der Beginn / Cyber-Sicherheits-Check V1.0
• Weiterentwicklung / Cyber-Sicherheits-Check V2.0
• Ausblick – Cyber-Sicherheits-Check OT
17.01.2020 28Ausblick und Weiterentwicklungen
Cyber-Sicherheits-Check OT
• Entwicklung eines neuen Leitfaden „Cyber-Sicherheits-Check OT“
– Mit Unterstützung von ZVEI, VDMA, ISPE, IDSA und BSI
– Fokus auf die Operational Technology des produzierenden Gewerbe
– Entwicklung eines Cyber Security Grundlagenkurs OT
– Entwicklung des Cyber-Security-Practitioner OT
§ Spezifisches Fachwissen für OT-Checks
– Weitere Ausblick: Modulare Erweiterungen der beiden CSC für
Informationssicherheit, Branchen, etc.
17.01.2020 29Cyber-Sicherheits-Check OT
Geplante Anpassung der Vorgehensweise:
• Schritt 1 - Auftragserteilung
• Schritt 2 - Scope Erarbeitung
• Schritt 3 - Risikoeinschätzung
• Schritt 4 - Dokumentensichtung
• Schritt 5 - Vorbereitung der Vor-Ort-Beurteilung
• Schritt 6 - Vor-Ort-Beurteilung
• Schritt 7 - Nachbereitung / Berichterstellung
17.01.2020 30Publikationen
Quellen und Verweise auf weiterführende Dokumente
• Industrie 4.0-Security in der Aus- und Weiterbildung - Aspekte für Organisation
& Kompetenzen (www.plattform-i40.de)
• IT-Security in der Industrie 4.0 - Handlungsfelder für Betreiber (www.plattform-
i40.de)
• IT-Security in der Industrie 4.0 - Erste Schritte zu einer sicheren Produktion
(www.plattform-i40.de)
• Cybersecurity – Informationsübersicht Zusammenspiel zwischen Hersteller –
Integrator – Betreiber (www.zvei.org/presse-medien/publikationen /cybersecurity-
ein-zusammenspiel-zwischen-hersteller-betreiber-integrator/)
• Security für den Maschinen- und Anlagenbau – Leitfaden für den Weg durch die
IEC 62443 (www.VDMA.org)
• Cyber-Sicherheits-Check V2- Leitfaden zur Durchführung in Unternehmen und
Behörden (www.isaca.de/sites/default/files/2019_11_leitfaden_cyber-sicherheits-
check_v2.pdf)
• DIN SPEC 27070 - Anforderungen und Referenzarchitektur eines Security
Gateways zum Austausch von Industriedaten und Diensten (www.din.de/de)
17.01.2020 31Sie können auch lesen
