Erlebnisse, Hürden und Herausforderungen eines KRITIS Prüfers - Hack im Pott 2020 Manuel (HonkHase) Atug

Die Seite wird erstellt Emilia Becker
 
WEITER LESEN
Erlebnisse, Hürden und Herausforderungen eines KRITIS Prüfers - Hack im Pott 2020 Manuel (HonkHase) Atug
Erlebnisse, Hürden und Herausforderungen eines KRITIS Prüfers
Hack im Pott 2020

                                                  Manuel (HonkHase) Atug
1
Erlebnisse, Hürden und Herausforderungen eines KRITIS Prüfers - Hack im Pott 2020 Manuel (HonkHase) Atug
Über mich
    Manuel Atug
    Senior Manager der HiSolutions AG
    > 23 Jahre in der Informationssicherheit tätig:
     Diplom-Informatiker, Master of Science in Applied IT Security, Ingenieur
     langjährige Erfahrung im Bereich technische IT-Sicherheit und Auditierungen
     Spezialthemen: KRITIS, Hackback, Ethik, Bevölkerungsschutz

     > 23 Jahre aktiv in so n paar Vereinen:
     Chaos Computer Club, Chaos Computer Club Cologne, c-base, Digitale Kultur, ISACA,
      GI, FIfF, Cyber Security Cluster Bonn, Freie Software Freunde, Gesellschaft für
      Freiheitsrechte, Geraffel Core Member
     Leitung der AG KRITIS: https://ag.kritis.info

2                                                                        © HiSolutions 2020 | HiP 2020
Erlebnisse, Hürden und Herausforderungen eines KRITIS Prüfers - Hack im Pott 2020 Manuel (HonkHase) Atug
Was ist KRITIS?

3                 © HiSolutions 2020 | HiP 2020
Erlebnisse, Hürden und Herausforderungen eines KRITIS Prüfers - Hack im Pott 2020 Manuel (HonkHase) Atug
Regularien in Deutschland

IT-SiG für kritische Infrastrukturen in 2015

Ziel: Sicherheit der IT-Komponenten von Kritischen Infrastrukturen

Rechtlich verbindlich ab einer Versorgung von 500.000 Bürgern

KRITIS Betreiber von neun Sektoren müssen ihre IT-Sicherheit nachweisen

4                                                                         © HiSolutions 2020 | HiP 2020
Erlebnisse, Hürden und Herausforderungen eines KRITIS Prüfers - Hack im Pott 2020 Manuel (HonkHase) Atug
Kritische Infrastrukturen

                                      Quelle: BSI
5                           © HiSolutions 2020 | HiP 2020
Erlebnisse, Hürden und Herausforderungen eines KRITIS Prüfers - Hack im Pott 2020 Manuel (HonkHase) Atug
KRITIS – Unterschiede zu anderen
     Sicherheitsstandards

     Dient dem Schutz der Bevölkerung
      (nicht des Betreibers)

     Es gibt KEINE Zertifikate!

     Dafür Ergebnisse: Mängelliste mit Sicherheitsmängeln

     Prüfkriterium: Umsetzung von Sicherheitsanforderungen
      (nicht die Planung)

6                                            © HiSolutions 2020 | HiP 2020
Erlebnisse, Hürden und Herausforderungen eines KRITIS Prüfers - Hack im Pott 2020 Manuel (HonkHase) Atug
Mangel ist nicht gleich Mangel

7                                © HiSolutions 2020 | HiP 2020
Erlebnisse, Hürden und Herausforderungen eines KRITIS Prüfers - Hack im Pott 2020 Manuel (HonkHase) Atug
Man unterscheidend geringfügige Mängel und schwerwiegende Mängel

Keine Prüfung ohne Mangel?!

Das BSI fokussiert sich aktuell auf die schwerwiegenden Mängel

Die geringfügigen Mängel müssen aber auch behandelt werden 
8                                                                  © HiSolutions 2020 | HiP 2020
Erlebnisse, Hürden und Herausforderungen eines KRITIS Prüfers - Hack im Pott 2020 Manuel (HonkHase) Atug
Definition der Mängelkategorien

           Schwerwiegender     • gravierende/erhebliche Gefährdung
               Mangel          • akuter Handlungsbedarf

             Geringfügiger     • Gefahr bzw. Risiko
               Mangel          • kein akuter Handlungsbedarf

              Empfehlung       • Verbesserungshinweis

           Keine Abweichung • Anforderungen vollständig erfüllt

9                                                                    © HiSolutions 2020 | HiP 2020
Positiv hervorzuheben

10                      © HiSolutions 2020 | HiP 2020
Positiv hervorzuheben

           Die Verwendung eines B3S erleichtert die Umsetzung bei KRITIS Betreibern enorm
           IT-Sicherheit wird von vielen KRITIS Betreibern nun auch angegangen

           Stärkere Vernetzung der IT-Sicherheit bei KRITIS Betreibern
           KRITIS geht mehr und mehr in einen Regelbetrieb über

      Ja   Das BSI versteht die Branchen immer mehr und führt offene Gespräche

 11                                                                              © HiSolutions 2020 | HiP 2020
Haben Sie mal ein Ersatzteil für uns?

12                                      © HiSolutions 2020 | HiP 2020
Fehlende Ersatzteile

Industrie- und Produktionsanlagen laufen meist über einen sehr langen Zeitraum

Ältere Anlagen sind nicht auf Anforderungen zur Digitalisierung vorbereitet

Migrationsprojekte dauern viele Jahre

Kurios: Ersatzteile für geprüfte Anlage wurden in Kleinanzeigen gesucht,
da Ersatzteile nicht mehr erhältlich sind
13                                                                               © HiSolutions 2020 | HiP 2020
Bauliche Begebenheiten

IT-Systeme oft nachträglich eingebaut

RZ mitten unter der Hauptwasserleitung

Aktive Netzwerkkomponenten in ungelüfteten
Abstellschränken
14                                                         © HiSolutions 2020 | HiP 2020
Safety vs. Security

Komponenten mit Safety Zulassungen

Neue Zertifizierung bei Anpassung von Komponenten erforderlich

Würdet ihr (außer ihr seid Prüfer) diese Komponenten
gerne jeden Monat neu zertifizieren lassen?
15                                                          © HiSolutions 2020 | HiP 2020
https://selinc.com/uploadedImages/Web/Videos/Playlists/Playlist_RTAC_1280x720.png?n=63584758126000
                                               Assetmanagement

IT ist oft (aber nicht immer) vorhanden

OT wird oft vergessen

Ohne Assetmanagement kein funktionales Riskolagebild oder BCM!

16                                                         © HiSolutions 2020 | HiP 2020
Physische Sicherheit

Pumpenhäuschen mit IT und GSM-Uplink

Generische Schließanlage aber keine Einbruchserkennung

Gimmick: WLAN und Bluetooth aber durchaus vorhanden
17                                                       © HiSolutions 2020 | HiP 2020
Beim Wort „Fernwartung“ leide ich innerlich immer ein bisschen!

18                                                      © HiSolutions 2020 | HiP 2020
Fernwartung

Fernwartung bzw. Fernadministration

Unzureichend gesicherte Remote Zugänge

Yet another Citrix #Shitrix…
19                                                 © HiSolutions 2020 | HiP 2020
Ferne Fernwartung

Unbekannte ferne Fernzugänge

z. B. auf Außenstationen oder Trafostationen

Unbekannt, aber vorhanden
20                                             © HiSolutions 2020 | HiP 2020
Ganz nahe ferne Fernwartung

Unbekannte ganz nahe Fernzugänge

z. B. Leitstand

Dienstleister hatte da mal eine Idee…
21                                                          © HiSolutions 2020 | HiP 2020
https://winworldpc.com/screenshot/c2b0c38c-6705-c2a9-c2b4-11c3a6e28094/6a723a36-c38d-c5be-11c3-a6c2bb2a5254
                               Fernwartungsarchäologie

Archäologische Fernzugänge

Auf damals™ Betriebssystemen

Install once, use forever
22                                                 © HiSolutions 2020 | HiP 2020
Typische Sicherheitsmängel bei Prüfungen

                               ISO

         Umsetzung von ISO 27001           Reine Umsetzung technischer
      ohne Berücksichtigung von KRITIS            Maßnahmen

23                                                              © HiSolutions 2020 | HiP 2020
Typische Sicherheitsmängel bei Prüfungen

Branchentypische Gefährdungen     Risikomanagement rein aus       Wichtige offene Maßnahmen
      nicht berücksichtigt      Unternehmenssicht durchgeführt   nicht im Risikobehandlungsplan

                                                 €

Business Continuity Maßnahmen      KRITIS Umgebung zu klein          Asset Inventar nicht aktuell
        nicht umgesetzt                    gewählt

24                                                                            © HiSolutions 2020 | HiP 2020
Schlussfolgerungen

25                   © HiSolutions 2020 | HiP 2020
Schlussfolgerung

KRITIS eröffnet gute Ausgangsposition, um IT-Sicherheit zu verbessern

In kleinen Schritten die Sicherheit kontinuierlich verbessern

Gefragt ist: Zusammenspiel zwischen Behörden, Betreibern UND Herstellern

26                                                                         © HiSolutions 2020 | HiP 2020
Abgrenzung zu KRITIS nach § 8a BSIG

KRITIS deckt nur den IT-gestützten Teil der kritischen
Infrastrukturen ab!

Was fällt nicht darunter:
 Umwelteinflüsse
 Probleme in der Supply Chain durch Verkehrsprobleme
 Zu warmes Kühlwasser aus Flüssen
 Streik
 Virus-Pandemie

27                                                       © HiSolutions 2020 | HiP 2020
Bouchéstraße 12 | 12435 Berlin

info@hisolutions.com | +49 30 533 289 0

www.hisolutions.com

28                                        © HiSolutions 2020 | HiP 2020
Sie können auch lesen