Erlebnisse, Hürden und Herausforderungen eines KRITIS Prüfers - Hack im Pott 2020 Manuel (HonkHase) Atug
←
→
Transkription von Seiteninhalten
Wenn Ihr Browser die Seite nicht korrekt rendert, bitte, lesen Sie den Inhalt der Seite unten
Erlebnisse, Hürden und Herausforderungen eines KRITIS Prüfers
Hack im Pott 2020
Manuel (HonkHase) Atug
1
Über mich
Manuel Atug
Senior Manager der HiSolutions AG
> 23 Jahre in der Informationssicherheit tätig:
Diplom-Informatiker, Master of Science in Applied IT Security, Ingenieur
langjährige Erfahrung im Bereich technische IT-Sicherheit und Auditierungen
Spezialthemen: KRITIS, Hackback, Ethik, Bevölkerungsschutz
> 23 Jahre aktiv in so n paar Vereinen:
Chaos Computer Club, Chaos Computer Club Cologne, c-base, Digitale Kultur, ISACA,
GI, FIfF, Cyber Security Cluster Bonn, Freie Software Freunde, Gesellschaft für
Freiheitsrechte, Geraffel Core Member
Leitung der AG KRITIS: https://ag.kritis.info
2 © HiSolutions 2020 | HiP 2020
Was ist KRITIS? 3 © HiSolutions 2020 | HiP 2020
Regularien in Deutschland IT-SiG für kritische Infrastrukturen in 2015 Ziel: Sicherheit der IT-Komponenten von Kritischen Infrastrukturen Rechtlich verbindlich ab einer Versorgung von 500.000 Bürgern KRITIS Betreiber von neun Sektoren müssen ihre IT-Sicherheit nachweisen 4 © HiSolutions 2020 | HiP 2020
Kritische Infrastrukturen
Quelle: BSI
5 © HiSolutions 2020 | HiP 2020
KRITIS – Unterschiede zu anderen
Sicherheitsstandards
Dient dem Schutz der Bevölkerung
(nicht des Betreibers)
Es gibt KEINE Zertifikate!
Dafür Ergebnisse: Mängelliste mit Sicherheitsmängeln
Prüfkriterium: Umsetzung von Sicherheitsanforderungen
(nicht die Planung)
6 © HiSolutions 2020 | HiP 2020
Mangel ist nicht gleich Mangel 7 © HiSolutions 2020 | HiP 2020
Man unterscheidend geringfügige Mängel und schwerwiegende Mängel Keine Prüfung ohne Mangel?! Das BSI fokussiert sich aktuell auf die schwerwiegenden Mängel Die geringfügigen Mängel müssen aber auch behandelt werden 8 © HiSolutions 2020 | HiP 2020
Definition der Mängelkategorien
Schwerwiegender • gravierende/erhebliche Gefährdung
Mangel • akuter Handlungsbedarf
Geringfügiger • Gefahr bzw. Risiko
Mangel • kein akuter Handlungsbedarf
Empfehlung • Verbesserungshinweis
Keine Abweichung • Anforderungen vollständig erfüllt
9 © HiSolutions 2020 | HiP 2020Positiv hervorzuheben 10 © HiSolutions 2020 | HiP 2020
Positiv hervorzuheben
Die Verwendung eines B3S erleichtert die Umsetzung bei KRITIS Betreibern enorm
IT-Sicherheit wird von vielen KRITIS Betreibern nun auch angegangen
Stärkere Vernetzung der IT-Sicherheit bei KRITIS Betreibern
KRITIS geht mehr und mehr in einen Regelbetrieb über
Ja Das BSI versteht die Branchen immer mehr und führt offene Gespräche
11 © HiSolutions 2020 | HiP 2020Haben Sie mal ein Ersatzteil für uns? 12 © HiSolutions 2020 | HiP 2020
Fehlende Ersatzteile Industrie- und Produktionsanlagen laufen meist über einen sehr langen Zeitraum Ältere Anlagen sind nicht auf Anforderungen zur Digitalisierung vorbereitet Migrationsprojekte dauern viele Jahre Kurios: Ersatzteile für geprüfte Anlage wurden in Kleinanzeigen gesucht, da Ersatzteile nicht mehr erhältlich sind 13 © HiSolutions 2020 | HiP 2020
Bauliche Begebenheiten IT-Systeme oft nachträglich eingebaut RZ mitten unter der Hauptwasserleitung Aktive Netzwerkkomponenten in ungelüfteten Abstellschränken 14 © HiSolutions 2020 | HiP 2020
Safety vs. Security Komponenten mit Safety Zulassungen Neue Zertifizierung bei Anpassung von Komponenten erforderlich Würdet ihr (außer ihr seid Prüfer) diese Komponenten gerne jeden Monat neu zertifizieren lassen? 15 © HiSolutions 2020 | HiP 2020
https://selinc.com/uploadedImages/Web/Videos/Playlists/Playlist_RTAC_1280x720.png?n=63584758126000
Assetmanagement
IT ist oft (aber nicht immer) vorhanden
OT wird oft vergessen
Ohne Assetmanagement kein funktionales Riskolagebild oder BCM!
16 © HiSolutions 2020 | HiP 2020Physische Sicherheit Pumpenhäuschen mit IT und GSM-Uplink Generische Schließanlage aber keine Einbruchserkennung Gimmick: WLAN und Bluetooth aber durchaus vorhanden 17 © HiSolutions 2020 | HiP 2020
Beim Wort „Fernwartung“ leide ich innerlich immer ein bisschen! 18 © HiSolutions 2020 | HiP 2020
Fernwartung Fernwartung bzw. Fernadministration Unzureichend gesicherte Remote Zugänge Yet another Citrix #Shitrix… 19 © HiSolutions 2020 | HiP 2020
Ferne Fernwartung Unbekannte ferne Fernzugänge z. B. auf Außenstationen oder Trafostationen Unbekannt, aber vorhanden 20 © HiSolutions 2020 | HiP 2020
Ganz nahe ferne Fernwartung Unbekannte ganz nahe Fernzugänge z. B. Leitstand Dienstleister hatte da mal eine Idee… 21 © HiSolutions 2020 | HiP 2020
https://winworldpc.com/screenshot/c2b0c38c-6705-c2a9-c2b4-11c3a6e28094/6a723a36-c38d-c5be-11c3-a6c2bb2a5254
Fernwartungsarchäologie
Archäologische Fernzugänge
Auf damals™ Betriebssystemen
Install once, use forever
22 © HiSolutions 2020 | HiP 2020Typische Sicherheitsmängel bei Prüfungen
ISO
Umsetzung von ISO 27001 Reine Umsetzung technischer
ohne Berücksichtigung von KRITIS Maßnahmen
23 © HiSolutions 2020 | HiP 2020Typische Sicherheitsmängel bei Prüfungen
Branchentypische Gefährdungen Risikomanagement rein aus Wichtige offene Maßnahmen
nicht berücksichtigt Unternehmenssicht durchgeführt nicht im Risikobehandlungsplan
€
Business Continuity Maßnahmen KRITIS Umgebung zu klein Asset Inventar nicht aktuell
nicht umgesetzt gewählt
24 © HiSolutions 2020 | HiP 2020Schlussfolgerungen 25 © HiSolutions 2020 | HiP 2020
Schlussfolgerung KRITIS eröffnet gute Ausgangsposition, um IT-Sicherheit zu verbessern In kleinen Schritten die Sicherheit kontinuierlich verbessern Gefragt ist: Zusammenspiel zwischen Behörden, Betreibern UND Herstellern 26 © HiSolutions 2020 | HiP 2020
Abgrenzung zu KRITIS nach § 8a BSIG KRITIS deckt nur den IT-gestützten Teil der kritischen Infrastrukturen ab! Was fällt nicht darunter: Umwelteinflüsse Probleme in der Supply Chain durch Verkehrsprobleme Zu warmes Kühlwasser aus Flüssen Streik Virus-Pandemie 27 © HiSolutions 2020 | HiP 2020
Bouchéstraße 12 | 12435 Berlin info@hisolutions.com | +49 30 533 289 0 www.hisolutions.com 28 © HiSolutions 2020 | HiP 2020
Sie können auch lesen
