PRAKTISCHE HERAUSFORDERUNGEN DES IT-SIG 2.0 FÜR TECHNOLOGIELIEFERANTEN - TELETRUST "IT-SICHERHEITSRECHTSTAG 2021"
←
→
Transkription von Seiteninhalten
Wenn Ihr Browser die Seite nicht korrekt rendert, bitte, lesen Sie den Inhalt der Seite unten
TeleTrusT "IT-Sicherheitsrechtstag 2021" Berlin, 24.09.2021 Praktische Herausforderungen des IT-SiG 2.0 für Technologielieferanten Frank Hülle, Björn Huber-Puls, secunet 24.09.2021
Praktische Herausforderungen des IT-SiG 2.0 für Technologie- lieferanten 24.09.2021 | IT-Sicherheitsrechtstag 2021
Vorstellung
Björn Huber-Puls
Senior Berater Informationssicherheit
Management Systems & Audit
◼ Beratung zur Informationssicherheit nach BSI IT-Grundschutz und
DIN ISO IEC 27001
◼ Beratung zu Security Awareness
◼ Erstellung von Sicherheitskonzepten
◼ Projektmanager gem. GPM IPMA Level C
◼ Oberstleutnant der Reserve
3 24.09.2021 | IT-Sicherheitsrechtstag 2021
Vorstellung
Frank Hülle
Senior Berater Informationssicherheit
Management Systems & Audit
◼ Beratung zur Informationssicherheit nach BSI IT-Grundschutz und
DIN ISO IEC 27001
◼ Beratung zu Security Awareness
◼ Erstellung von Sicherheitskonzepten
◼ Schwerpunkt IT-Infrastruktur
4 24.09.2021 | IT-Sicherheitsrechtstag 2021
Agenda
01 Cyber-Sicherheitslage
02 IT-SiG 2.0 – neue Anforderungen und Handlungsmöglichkeiten
03 Konkrete umzusetzende Anforderungen aus dem IT-SiG 2.0 für
Technologielieferanten
04 Herausforderungen und Chancen
5 24.09.2021 | IT-Sicherheitsrechtstag 2021
01 Cyber- Sicherheitslage 6 24.09.2021 | IT-Sicherheitsrechtstag 2021
Ausgangssituation: Alte Systeme, neue Risiken
◼ Der Vernetzungsgrad der Industrie wächst, doch der Austausch der Daten bleibt
schwierig. In Fabriken können „babylonische“ Verhältnisse herrschen: Maschinen
kommen von unterschiedlichen Herstellern, die man kaum miteinander vernetzen kann.
◼ Bei der Entwicklung industrieller Altsysteme wurden aktuelle Sicherheitsaspekte und
Cyber-Bedrohungen nur bedingt berücksichtigt. Ihre teilweise unklaren Strukturen sowie
offenen Kommunikationskanäle können erhebliche Sicherheitsrisiken aufweisen.
◼ Je komplexer die Maschinen-, IT-/OT-Landschaft ist, umso anfälliger sind Unternehmen
für Cyberangriffe – die Anzahl der Angriffe sowie deren Schadenshöhe können rasant
steigen.
7 24.09.2021 | IT-Sicherheitsrechtstag 2021
Ausgangssituation: Gefährdungslage (2020)
322.000
pro Tag
+15 % 68 % aller Automobilhersteller
mehr erfasste Fälle an waren von 2016 bis 2018
Cyberkriminalität in von Datendiebstahl,
117,4 Millionen neue Schadprogramm-
Deutschland im Jahr 2019 Sabotage und Industrie-
Varianten 2020 (2019: 114 Millionen)
(100.000) im Vergleich spionage betroffen.
zu 2018 22 weitere Prozent ver-
muten, betroffen zu sein,
wissen es aber nicht.
419
Kritis-
Meldungen
2020
76 % >22 Mrd.
252 Spam gemessen an allen Datensätze wurden von Januar bis
2019 2020 in den Netzen des Oktober 2020 offengelegt. Sie stammen
145 Bundes erhaltenen Mails aus 730 veröffentlichten Datenpannen.
2018
8 24.09.2021 | IT-Sicherheitsrechtstag 2021
Ausgangssituation: Gefährdungslage 9 24.09.2021 | IT-Sicherheitsrechtstag 2021
02 IT-SiG 2.0 Neue Anforderungen und Handlungsmöglichkeiten 10 24.09.2021 | IT-Sicherheitsrechtstag 2021
IT-SiG 2.0
Zeitlicher Ablauf
Zustimmung des Das Bundesministerium des Innern hat
2. Entwurf Bundesrats und eine Änderung zum bestehenden IT-
Inkrafttreten IT-SiG 2.0 Zustimmung des Inkrafttreten des Sicherheitsgesetz erarbeitet
des IT-SiG 1.0 geleakt Bundeskabinetts IT-SiG 2.0 (Gesetz zur Erhöhung der Sicherheit
informationstechnischer Systeme)
Auswirkungen auf KRITIS-Unternehmen
und Hersteller gegeben
04/19 11/20 04/21
Bundestag und Bundesrat haben das
IT-SiG 2.0 gebilligt, so dass es am
07/15 05/20 12/20 05/21 28.05.2021 in Kraft getreten ist
Die novellierte BSI-KRITIS-Verordnung
tritt zum 01.01.2022 in Kraft
1. Entwurf 3. Entwurf Zustimmung
IT-SiG 2.0 IT-SiG 2.0 Bundestag
geleakt geleakt
11 24.09.2021 | IT-Sicherheitsrechtstag 2021IT-SiG 2.0
Kontext und Auswirkungen
Adressiert Bedrohungen für die Cybersicherheit für Staat, Wirtschaft und Gesellschaft
Auswirkung auf folgende Gesetze und Verordnungen:
▪ Gesetz über das Bundesamt für Sicherheit in der Informationstechnik (BSIG)
▪ Telekommunikationsgesetz (TKG)
▪ Telemediengesetz (TMG)
▪ Gesetz über die Elektrizitäts- und Gasversorgung (EnWG)
▪ Außenwirtschaftsverordnung
▪ Zehnte Buch Sozialgesetzbuch (SGB X)
12 24.09.2021 | IT-Sicherheitsrechtstag 2021Änderungen im IT-SiG
Fünf Themen-Gruppen, davon drei im Fokus für
Technologielieferanten
BSI-Befugnisse
Betroffenheit
Herstellerpflichten
Verbraucherschutz
Bußgeld
Weitere Aufgaben
und Kompetenzen Weitere betroffene BSI erhält weitere
Unternehmen inkl. Verpflichtung von
z. B.: Herstellern von Kompetenzen bzgl.
Erweiterung der Verbraucherschutz Erhöhung der
Ihnen auferlegten IT-Komponenten
• Suche nach Bußgelder:
Sicherheitslücken Pflichten: • Einführung eines IT-
• Für Produkte mit hoher
• Detektion von Risiken Bedeutung für das Sicherheits- • Erhöhung der
• Sammlung von • Abfallentsorgung Funktionieren des kennzeichens Bußgeldrahmen bis zu
Informationen über • Infrastrukturen im Gemeinwesens • Warnung vor 20 Mio. €
Sicherheitsrisiken besonderem • Vertrauenswürdig- Sicherheitslücken, • Erweiterung der
• Festlegung von öffentlichen Interesse keitserklärung über Schadprogrammen Kataloge zu
Mindeststandards • Anbieter von und unerlaubten Bußgeldtatbeständen
Lieferkette
Telekommunikations- Datenzugriffen sowie
• Definition von die Empfehlung von
diensten Mindeststandards Vorkehrungen und
durch das BSI Gegenmaßnahmen
13 24.09.2021 | IT-Sicherheitsrechtstag 2021Erweiterung des Kreises der Betroffenen
Ein weiterer KRITIS-Sektor
Transport Gesundheit
Energie IT und TK
und Verkehr
Finanz- und Siedlungs-
Wasser Ernährung Versicherungs abfall-
-wesen entsorgung
16 24.09.2021 | IT-Sicherheitsrechtstag 2021Erweiterung des Kreises der Betroffenen
Unternehmen im besonderen öffentlichen Interesse
▪ Hersteller und Entwickler
• von Gütern der Kriegswaffenliste (Teil B)
• von Produkten oder wesentlicher Komponenten mit IT-
Sicherheitsfunktionen zur Verarbeitung von staatlichen
Verschlusssachen
▪ Größte Unternehmen in Deutschland
(nach inländischer Wertschöpfung)
▪ Betreiber im Sinne der Störfallverordnung
(Betriebsbereich der oberen Klasse, oder gleichgestellte)
17 24.09.2021 | IT-Sicherheitsrechtstag 2021Anforderungen und Handlungsmöglichkeiten
Gruppe 2: Betroffenheit
Betroffenheit Lösungsmöglichkeiten
Weitere betroffene ▪ Prüfung der Betroffenheit
Unternehmen inkl. • Definition des Anwendungsbereichs
Erweiterung der ihnen • Durchführung einer GAP-Analyse
auferlegten Pflichten • Erstellung eines Umsetzungsplans
(SdT; ISMS und BCMS; schließen von
▪ Siedlungs-
Abfallentsorgung bekannten Lücken)
▪ Infrastrukturen im
besonderem öffentlichen
Interesse
▪ Anbieter von
Telekommunikations-
diensten
18 24.09.2021 | IT-Sicherheitsrechtstag 2021Änderungen im IT-SiG
Gruppe 3: Herstellerpflichten
BSI-Befugnisse
Betroffenheit
Herstellerpflichten
Verbraucherschutz
Bußgeld
Weitere Aufgaben
und Kompetenzen Weitere betroffene BSI erhält weitere
Unternehmen inkl. Verpflichtung von
z. B.: Herstellern von Kompetenzen bzgl.
Erweiterung der Verbraucherschutz Erhöhung der
ihnen auferlegten IT-Komponenten
• Suche nach Bußgelder:
Sicherheitslücken Pflichten: • Einführung eines IT-
• Für Produkte mit hoher
• Detektion von Risiken Bedeutung für das Sicherheits- • Erhöhung der
• Sammlung von • Abfallentsorgung Funktionieren des kennzeichens Bußgeldrahmen bis zu
Informationen über • Infrastrukturen im Gemeinwesens • Warnung vor 20 Mio. €
Sicherheitsrisiken besonderem • Vertrauenswürdig- Sicherheitslücken, • Erweiterung der
• Festlegung von öffentlichen Interesse keitserklärung über Schadprogrammen Kataloge zu
Mindeststandards • Anbieter von und unerlaubten Bußgeldtatbeständen
Lieferkette
Telekommunikations- Datenzugriffen sowie
• Definition von die Empfehlung von
diensten Mindeststandards Vorkehrungen und
durch das BSI Gegenmaßnahmen
19 24.09.2021 | IT-Sicherheitsrechtstag 2021Anforderungen und Handlungsmöglichkeiten
Gruppe 3: Herstellerpflichten
Herstellerpflichten Lösungsmöglichkeiten
▪ Verpflichtung von ▪ Herstellersicht
Herstellern von IT- • Absprache mit den Anwendern um die
Komponenten Fragestellung zu klären
▪ Einsatz von • Bereitstellung von vertrauenswürdigen
vertrauenswürdigen IT- IT-Komponenten
Komponenten ▪ Im Kontext ISO/IEC 27001 ist hier A.15 zu
▪ Für Produkte mit hoher betrachten (Lieferanten- und
Bedeutung für das Dienstleisteraudits)
Funktionieren des ▪ Prozess zum Monitoring der Anwender
Gemeinwesens etablieren
▪ Vertrauenswürdig- ▪ Dokumentation als Nachweis
keitserklärung über die
gesamte Lieferkette
▪ Definition von
Mindeststandards durch
das BSI
20 24.09.2021 | IT-Sicherheitsrechtstag 2021Änderungen im IT-SiG
Gruppe 4: Bußgeld
BSI-Befugnisse
Betroffenheit
Herstellerpflichten
Verbraucherschutz
Bußgeld
Weitere Aufgaben
und Kompetenzen Weitere betroffene BSI erhält weitere
Unternehmen inkl. Verpflichtung von
z. B.: Herstellern von Kompetenzen bzgl.
Erweiterung der Verbraucherschutz Erhöhung der
ihnen auferlegten IT-Komponenten
• Suche nach Bußgelder:
Sicherheitslücken Pflichten: • Einführung eines IT-
• Für Produkte mit hoher
• Detektion von Risiken Bedeutung für das Sicherheits- • Erhöhung der
• Sammlung von • „Entsorgung“ Funktionieren des kennzeichens Bußgeldrahmen bis zu
Informationen über • Infrastrukturen im Gemeinwesens • Warnung vor 20 Mio. €
Sicherheitsrisiken besonderem • Vertrauenswürdig- Sicherheitslücken, • Erweiterung der
• Festlegung von öffentlichen Interesse keitserklärung über Schadprogrammen Kataloge zu
Mindeststandards • Anbieter von und unerlaubten Bußgeldtatbeständen
Lieferkette
Telekommunikations- Datenzugriffen sowie
• Definition von die Empfehlung von
diensten Mindeststandards Vorkehrungen und
durch das BSI Gegenmaßnahmen
21 24.09.2021 | IT-Sicherheitsrechtstag 2021Anforderungen und Handlungsmöglichkeiten
Gruppe 4: Bußgeld
Bußgeld Lösungsmöglichkeiten
Erhöhung der Bußgelder: ▪ Frühzeitige Evaluierung der Auswirkungen
auf das Unternehmen
▪ Erhöhung der Bußgeld- ▪ Schaffen von Awareness
rahmen bis zu 20 Mio. € ▪ Einbindung von Unternehmensleitung und
▪ Erweiterung der Kataloge zu Compliance
Bußgeldtatbeständen ▪ Transparenz
▪ Kein Straftatbestand (war ▪ Abhängigkeiten zu den weiteren
zunächst geplant) Anforderungen
22 24.09.2021 | IT-Sicherheitsrechtstag 202103 Konkrete umzusetzende Anforderungen für Technologie- lieferanten 23 24.09.2021 | IT-Sicherheitsrechtstag 2021
IT-SiG 2.0 Konkrete umzusetzende Anforderungen ▪ Einrichtung & Betrieb eines ISMS ▪ Härtung aller Systeme mit externen Schnittstellen ▪ Durchführung von Penetration-Tests für Schnittstellen & Systeme ▪ Ggf. Identifikation & Registrierung ▪ Selbsterklärung IT-Sicherheit (Behörden, Kunden) ▪ Vorfallsmeldungen an Steakholder absetzen ▪ Lieferketten absichern ▪ Systeme zur Angriffserkennung & Analyse etablieren 24 24.09.2021 | IT-Sicherheitsrechtstag 2021
IT-SiG 2.0 Empfohlene Anforderungen ▪ Lieferketten betrachten & nachweisen können ▪ Systemkomponenten von Produkten aus „vertrauenswürdigen Quellen“ verwenden ▪ Zertifizierungen für Produkte anstreben ▪ Anforderungen an KRITIS-Betreiber kennen & unterstützen 25 24.09.2021 | IT-Sicherheitsrechtstag 2021
IT-SiG 2.0
Häufige Fragen aus der Praxis
Ab wann muss die Was versteht der
Garantieerklärung Gesetzgeber unter „Art der
erstmalig vorliegen? kritischen Komponente“?
Wie werden die
Betreiber über neue Was empfiehlt der
Allgemeinverfügungen Technologielieferant?
etc. zum IT-SiG 2.0
informiert?
Muss die Garantieerklärung
auch für die bereits
Welche Fristen genutzten Systeme
müssen wir einhalten? eingeholt werden?
26 24.09.2021 | IT-Sicherheitsrechtstag 2021IT-SiG 2.0
Häufige Fragen aus der Praxis
Seit wann gilt für mich
Welche Schwellwerte oder das IT-SiG 2.0?
Kennzahlen gelten für mich?
Was zählt als kritische
Wann kann oder muss Komponente? Geht es um
ich meine Lieferanten jeden Typ oder um jedes
oder Hersteller Gerät?
kontaktieren und
abfragen?
27 24.09.2021 | IT-Sicherheitsrechtstag 2021IT-SiG 2.0
Potenzielle Herangehensweise
▪ Durchführung einer Ist-/Soll-Analyse, z. B. SWOT-Analyse, um den Handlungsbedarf zu
identifizieren
▪ Ausarbeitung eines Action-Plans „IT-SiG 2.0“
▪ Prüfung und Festlegung, wie die praktische Umsetzung erfolgen kann/soll
▪ Monitoring der sich entwickelnden Rechtslage (Allgemeinverfügungen zum IT-SiG 2.0 etc.)
28 24.09.2021 | IT-Sicherheitsrechtstag 202104 Heraus- forderungen und Chancen 29 24.09.2021 | IT-Sicherheitsrechtstag 2021
Neue Herausforderungen,
aber auch neue Chancen
Neue Herausforderungen Neue Chancen
▪ Ganzheitlicher Ansatz, bei welchem die Gesamtheit ▪ Erhöhung der Informationssicherheit bei den
der vernetzten Komponenten einer Organisation KRITIS-Betreibern
betrachtet werden
▪ Steigerung der Sicherheit für IT-Systeme und
▪ Einführung von Systemen und Prozessen zur digitale Infrastrukturen
Erkennung und Behandlung von Angriffen bzw.
Angriffsversuchen ▪ Modernisierung und Ausbau der
IT-Security-Systeme
▪ Monitoring der Hersteller, ob eine aktuelle
Vertrauenswürdigkeitserklärung vorliegt ▪ Aktualisierung der Prozesse im Rahmen des ISMS
▪ Monitoring der Zulieferer, ob die Standards des BSI ▪ Hersteller und Zulieferer können hinsichtlich ihrer
erfüllt und nachgewiesen werden können Integrität besser beurteilt werden
(z. B. hinsichtlich des Datenschutzes)
30 24.09.2021 | IT-Sicherheitsrechtstag 2021Betreiber setzen bereits viele der Anforderungen nach
Stand der Technik in der IT-Sicherheit um
CONSULTING PRODUKTE / LÖSUNGEN
IT-Sicherheitsarchitekturen Sicheres IIoT Edge Computing u. Connectivity
IT-Sicherheitskonzepte ICS / OT Netzwerk – Security Monitoring
Informationssicherheitsmanagement (ISMS) Gekapselte Legacy-Anlagen-Software
Business Continuity Management (BCM) Sicherheitsgekapselter Internet-Browser
Audit & Revision Sicherer mobiler Arbeitsplatz
Security Awareness Multifaktor-Authentifizierung
Sicherheitsanalysen Public-Key-Infrastruktur (PKI)
Penetrationstests Sichere Cloud-Infrastruktur-Plattform
31 24.09.2021 | IT-Sicherheitsrechtstag 2021Mehr Informationen:
secunet.com
Björn Huber-Puls secunet Security Networks AG Frank Hülle secunet Security Networks AG
Senior Berater Informationssicherheit Kurfürstenstraße 58 Senior Berater Konrad-Zuse-Platz 2-4
Management Systems & Audit 45138 Essen Management Systems & Audit 81829 München
Division Industry Telefon +49 201 5454-2452 Division Industry Telefon +49 201 5454-2667
Telefax +49 201 5454-0 Telefax +49 201 5454-1327
bjoern.huber-puls@secunet.com frank.huelle@secunet.comSie können auch lesen
