BBK. Gemeinsam handeln. Sicher leben.
Kritische Infrastrukturen und IT-Sicherheit 9. DFN-Forum Kommunikationstechnologien
Inhalt
01.06.2016 | Kritische Infrastrukturen und IT-Sicherheit | BBK II.3 |
• Bevölkerungsschutz und Kritische Infrastrukturen
• IT-Sicherheitslage
• IT und Kritische Infrastrukturen
• Initiativen und Maßnahmen
• Fazit
2
Bevölkerungsschutz
01.06.2016 | Kritische Infrastrukturen und IT-Sicherheit | BBK II.3 |
Quelle: BBK-Glossar, BBK 2011, S. 7
http://www.bbk.bund.de/SharedDocs/Downloads/BBK/DE/Publikationen/Praxis_Bevoelkerungsschutz/Band_8_Praxis_BS_BBK_Glossar.pdf?__blob=publicationFile
„Der Bevölkerungsschutz beschreibt als Oberbegriff alle Aufgaben und Maßnahmen der Kommunen und der Länder im Katastrophenschutz sowie des Bundes im Zivilschutz.
Anmerkung: Der Bevölkerungsschutz umfasst somit alle nichtpolizeilichen und nichtmilitärischen Maßnahmen zum Schutz der Bevölkerung und ihrer Lebensgrundlagen vor Katastrophen und anderen schweren Notlagen sowie vor den Auswirkungen von Kriegen und bewaffneten Konflikten. Der Bevölkerungsschutz umfasst auch Maßnahmen zur Ver-meidung, Begrenzung und Bewältigung der genannten Ereignisse.“
3
Bevölkerungsschutz und Kritische Infrastrukturen
Quelle: Schutzkonzepte Kritischer Infrastrukturen im Bevölkerungsschutz, BBK 2012, S. 30
http://www.bbk.bund.de/SharedDocs/Downloads/BBK/DE/Publikationen/Wissenschaftsforum/Bd_11_Schutzkonzepte_KRITIS.pdf?__blob=publicationFile
01.06.2016 | Kritische Infrastrukturen und IT-Sicherheit | BBK II.3 | 4
Kritische Infrastrukturen – Definition
Thorben Wengert / pixelio M. Großmann / pixelio Martin Berk / pixelio SiepmannH / pixelio Dieter Schütz / pixelio
Erich Westendarp / pixelio Gabi Schoenemann / pixelio Lupo / pixelio Siegfried Fries / pixelio
„Kritische Infrastrukturen sind Organisationen und Einrichtungen mit wichtiger Bedeutung für das staatliche Gemeinwesen, bei deren Ausfall oder Beeinträchtigung nachhaltig wirkende Versorgungsengpässe, eine erhebliche Störung der öffentlichen Sicherheit oder andere dramatische Folgen eintreten würden.“
KRITIS-Strategie, BMI 2009
Seite 6 01.06.2016 | Kritische Infrastrukturen und IT-Sicherheit | BBK II.3 |
Kritische Infrastrukturen: Sektoren und Branchen
Sektor Branche
Energie Elektrizität, Gas, Mineralöl
Informationstechnik und Telekommunikation
Telekommunikation, Informationstechnik
Transport und Verkehr Luft-, See-, Binnenschifffahrt, Schienen-, Straßenverkehr, Logistik
Gesundheit Medizinische Versorgung, Arzneimittel/ Impfstoffe, Labore
Wasser Öffentliche Wasserversorgung / Abwasserbeseitigung
Ernährung Ernährungswirtschaft, Lebensmittelhandel
Finanz- und Versicherungswesen
Banken, Börsen, Versicherungen, Finanzdienstleister
Staat und Verwaltung Regierung, Verwaltung, Parlament, Justizeinrichtungen, Notfall-/ Rettungswesen einschl. Katastrophenschutz
Medien und Kultur Rundfunk, gedruckte/elektronische Presse, Kulturgut, symbolträchtige Bauwerke
01.06.2016 | Kritische Infrastrukturen und IT-Sicherheit | BBK II.3 | 6
Kritische Infrastrukturen: Sektoren und Branchen
Sektor Branche
Energie Elektrizität, Gas, Mineralöl
Informationstechnik und Telekommunikation
Telekommunikation, Informationstechnik
Transport und Verkehr Luft-, See-, Binnenschifffahrt, Schienen-, Straßenverkehr, Logistik
Gesundheit Medizinische Versorgung, Arzneimittel/ Impfstoffe, Labore
Wasser Öffentliche Wasserversorgung / Abwasserbeseitigung
Ernährung Ernährungswirtschaft, Lebensmittelhandel
Finanz- und Versicherungswesen
Banken, Börsen, Versicherungen, Finanzdienstleister
Staat und Verwaltung Regierung, Verwaltung, Parlament, Justizeinrichtungen, Notfall-/ Rettungswesen einschl. Katastrophenschutz
Medien und Kultur Rundfunk, gedruckte/elektronische Presse, Kulturgut, symbolträchtige Bauwerke
01.06.2016 | Kritische Infrastrukturen und IT-Sicherheit | BBK II.3 | 7
Schutz KRITIS : All-Gefahren-Ansatz
Quelle: Nationale KRITIS-Strategie, BMI 2009; http://www.bmi.bund.de/cae/servlet/contentblob/598730/publicationFile/34416/kritis.pdf
01.06.2016 | Kritische Infrastrukturen und IT-Sicherheit | BBK II.3 | 8
Interdependenzen
Quelle: Schutzkonzepte Kritischer Infrastrukturen im Bevölkerungsschutz, BBK 2012, S. 30 www.bbk.bund.de/SharedDocs/Downloads/BBK/DE/Publikationen/Wissenschaftsforum/Bd_11_Schutzkonzepte_KRITIS.pdf?__blob=publicationFile
01.06.2016 | Kritische Infrastrukturen und IT-Sicherheit | BBK II.3 | 9
Quelle: Schutz Kritischer Infrastrukturen. Risiko- und Krisenmanagement, BMI 2011 (2. Auflage), S. 10 www.bbk.bund.de/SharedDocs/Downloads/BBK/DE/Publikationen/PublikationenKritis/Leitfaden_Schutz-Kritis.pdf?__blob=publicationFile
(Inter-) Dependenzen: Informationstechnik
01.06.2016 | Kritische Infrastrukturen und IT-Sicherheit | BBK II.3 |
NACH: Schutz Kritischer Infrastrukturen – Risiko- und Krisenmanagement, BMI 2011 (2. Auflage), S. 10 http://www.bbk.bund.de/SharedDocs/Downloads/BBK/DE/Publikationen/PublikationenKritis/Leitfaden_Schutz-Kritis.pdf?__blob=publicationFile
10
Vernetzung: Beispiel SCADA-Systeme
• SCADA (Supervisory Control And Data Acquisition)
• Typische KRITIS-Komponente: Prozesssteuerungssysteme
• Einsatz in der Energie-, Wasserversorgung, (Verkehrs)Leittechnik, …,
01.06.2016 | Kritische Infrastrukturen und IT-Sicherheit | BBK II.3 | 11
Vorteile: Nachteile
Personaleinsparung Erhöhung von Komplexität / Anfälligkeit, Möglichkeiten des Fernzugriffs
Kostenersparnis werksseitige Schwachstellen, Softwarefehler
Zentralisierung hohe Produktlebenszeiten
… …
Vernetzung: Trends der IT-Nutzung - auch in KRITIS
• Internet der Dinge
• Smart Grid, Smart Meter
• Smart City
• Industrie 4.0
• Cloud Services
01.06.2016 | Kritische Infrastrukturen und IT-Sicherheit | BBK II.3 |
E-Government-Gesetz
(August 2013)
12
IT-Sicherheitslage
01.06.2016 | Kritische Infrastrukturen und IT-Sicherheit | BBK II.3 | 13
Angriffsmethoden und -mittel
Aktionen in der Fläche:
• Spam (mit Schadsoftware)
• Drive-by-Exploits
Gezielte Aktionen:
• Distributed Denial-of-Service (DDoS)
• Social Engineering
• Spezialisierte Trojaner
• Zero-Day-Exploits
• Advanced Persistent Threat (APT)
01.06.2016 | Kritische Infrastrukturen und IT-Sicherheit | BBK II.3 |
Quelle: BSI, Die Lage der IT-Sicherheit in Deutschland 2015
14
Erhältlichkeit von Schadsoftware
01.06.2016 | Kritische Infrastrukturen und IT-Sicherheit | BBK II.3 |
• Plattformen im Darknet
• „Malware-as-a-service“
Kriminelle Ideen können leicht
in die Tat umgesetzt werden …
Trojaner-Baukasten mit Support:
15
Folgen
Aggressive Umgebung:
• Exploit-/Malware-Kits für Amateure
• Gleichzeitig hohe Professionalisierung
• Viele Akteure von Script Kiddies, über Hacker, Kriminelle bis hin zu Staaten
Eingriffe in Integrität, Authentizität und Verfügbarkeit:
• Verlust von Geld, Reputation
• Verfälschung von Daten, Falschmeldungen
• Ausfall von Services (DDoS bis APT)
01.06.2016 | Kritische Infrastrukturen und IT-Sicherheit | BBK II.3 |
© T
im R
eckm
ann
/ P
IXE
LIO
16
www.n-tv.de/politik/Nachrichtenagentur-meldet- Obama-Attentat-article10528591.html
Umfrageergebnisse zur Sicherheitslage
01.06.2016 | Kritische Infrastrukturen und IT-Sicherheit | BBK II.3 | 17
Quelle: Cyber-Sicherheits-Umfrage 2015 - Allianz für Cyber-Sicherheit / BSI www.allianz-fuer-cybersicherheit.de/ACS/DE/_/downloads/cybersicherheitslage/umfrage2015_ergebnisse.pdf?__blob=publicationFile&v=4
Umfrageergebnisse zur Sicherheitslage
01.06.2016 | Kritische Infrastrukturen und IT-Sicherheit | BBK II.3 | 18
Quelle: Cyber-Sicherheits-Umfrage 2015 - Allianz für Cyber-Sicherheit / BSI www.allianz-fuer-cybersicherheit.de/ACS/DE/_/downloads/cybersicherheitslage/umfrage2015_ergebnisse.pdf?__blob=publicationFile&v=4
IT und Kritische Infrastrukturen
01.06.2016 | Kritische Infrastrukturen und IT-Sicherheit | BBK II.3 | 19
Angriffsformen
01.06.2016 | Kritische Infrastrukturen und IT-Sicherheit | BBK II.3 |
• Verschleierung
• Mehrere Ziele gleichzeitig
• Attributionsproblematik
• Politischer Kontext
→ Wahrscheinlichkeit gering,
aber nicht unmöglich
• breite Streuung von Schadsoftware
• verschiedene Angriffsvektoren
• sehr heterogener Vorbereitungsstand
• breite Betroffenheit
alle können zum Ziel werden
Existenz von Gegenmaßnahmen
Gezielte Angriffe ungezielte Angriffe
20
Physische Gefahren
01.06.2016 | Kritische Infrastrukturen und IT-Sicherheit | BBK II.3 |
→ Auch physische Gefahren können für IT-Ausfälle sorgen (z.B. Wettergefahren, Brand, Hochwasser,…).
→ IT-Nutzung bedeutet neue Risikoelemente für den physischen Schutz (z.B. Computer, Server, Datenverbindungen,…).
→ Ein ganzheitlicher Ansatz im Risiko- und Krisenmanagement ist auch für Kritische Infrastrukturen essentiell!
21
http://hallespektrum.de/nachrichten/vermischtes/telefon-und-stift-polizeirechenzentrum-von-hochwasser-betroffen/49727/
http://www.wirsiegen.de/2016/02/brand-im- serverraum-der-kreispolizeibehoerde/150755/
IT-/ Cyber-Vorfälle im Hochschul- und Wissenschaftsbereich
01.06.2016 | Kritische Infrastrukturen und IT-Sicherheit | BBK II.3 | 22
• 2014: Spionageangriffe auf das Deutsche Zentrum für Luft- und Raumfahrt http://www.spiegel.de/netzwelt/web/dlr-mit-trojanern-von-geheimdienst-ausgespaeht-a-964099.html
• 2015: Informationen über Angriffe u.a. auf Max-Planck-Gesellschaft, DESY http://www.tagesspiegel.de/wissen/spionage-hacker-geheimdienste-deutsche-forschungseinrichtungen-werden-
ausgespaeht/11833948.html
• 2015/2015: wiederholte Cyber-Attacken auf die Universität Berkeley http://www.csmonitor.com/USA/Education/2016/0229/UC-Berkeley-breach-Universities-increasingly-targeted-in-
cyberattacks
• 2016: Krypto-Trojaner Locky in System des Fraunhofer-Instituts Bayreuth http://www.br.de/nachrichten/oberfranken/inhalt/
trojaner-locky-fraunhofer-institut-bayreuth-100.html
• 2016: Angriff auf die Universität Hamburg http://www.abendblatt.de/hamburg/article207021129/
Schwerer-Hackerangriff-auf-die-Uni-Hamburg.html
Angriffe auf das Gesundheitswesen - 2016
01.06.2016 | Kritische Infrastrukturen und IT-Sicherheit | BBK II.3 | 23
ww
w.r
p-o
nlin
e.d
e/n
rw/s
taed
te/n
euss
/neu
ss-c
om
pu
ter-
vi
rus-
legt
-das
-lu
kask
ran
ken
hau
s-la
hm
-aid
-1.5
7607
05
ww
w.w
orm
ser-
zeit
un
g.d
e/lo
kale
s/w
orm
s/n
ach
rich
ten
- w
orm
s/h
acke
ran
gri
ff-a
uf-
klin
iku
m-i
n-w
orm
s-ve
reit
elt-
si
cher
hei
tsso
ftw
are-
erke
nn
t-cy
ber
-att
acke
_166
4407
7.h
tm
www.t-online.de/regionales/id_76985444/it-angriffe-auf-krankenhaeuser-sind-wachsendes-problem.html
Umfrageergebnisse: Ransomware
01.06.2016 | Kritische Infrastrukturen und IT-Sicherheit | BBK II.3 | 24
Quelle: BSI, Ergebnisse der Umfrage zur Betroffenheit durch Ransomware, 04/2016 www.allianz-fuer-cybersicherheit.de/ACS/DE/_/downloads/ransomware-umfrage-2016-04.pdf?__blob=publicationFile&v=4
Herausforderungen und Maßnahmen
Bedrohungslage:
• Hohe Professionalisierung der Angreifer
• Steigende Anzahl von Schadprogrammen
• Jeder ist potentielles Ziel
Risiken:
• Steigende Vernetzung
• „Bring Your Own Device“
• Nutzung Standardsoftware / Standardprotokollen
Maßnahmen:
• IT-Sicherheit: Managementaufgabe
• gutes Patchmanagement
• gute Systemkonfiguration
• Segmentierung der Netze (Büroverwaltung, Steuerung)
• Mitarbeitersensibilisierung für IT-Sicherheit (Passwortschutz, Social Engineering)
• ganzheitlicher Ansatz: Schutz vor Elementarschäden, Einbrechern,…
01.06.2016 | Kritische Infrastrukturen und IT-Sicherheit | BBK II.3 | 25
Initiativen und Maßnahmen
01.06.2016 | Kritische Infrastrukturen und IT-Sicherheit | BBK II.3 | 26
Kooperationsplattformen
01.06.2016 | Kritische Infrastrukturen und IT-Sicherheit | BBK II.3 |
Daten:
• gegründet: 2007
• neue Organisationsstruktur seit 2013
• über 300 Unternehmen / Organisationen
Teilnehmer:
• KRITIS-Betreiber (gemäß Sektoreneinteilung)
• deren Fachverbände
• deren Aufsichtsbehörden
27
Kooperationsplattformen
01.06.2016 | Kritische Infrastrukturen und IT-Sicherheit | BBK II.3 |
Aktuelle Themen u.a.:
• Umsetzung IT-Sicherheitsgesetz (Standards, Audits, Meldewege)
• Anforderungen an Lieferanten bzgl. IT-Sicherheitsanforderungen
• Maßnahmen zur (ganzheitlichen) Krisenvorsorge einschließlich Krisenkommunikationssysteme
→ www.kritis.bund.de
• z.B. BAK Gesundheitsversorgung:
Mitgliedschaft verschiedener Uni-Kliniken
Informationsdrehscheibe für sektorspezifische Vorfälle
28
Quelle: UP KRITIS, Öffentlich-Private-Partnerschaft zum Schutz Kritischer Infrastrukturen, S. 25
Kooperationsplattformen
01.06.2016 | Kritische Infrastrukturen und IT-Sicherheit | BBK II.3 | 29
Kooperationsplattformen
01.06.2016 | Kritische Infrastrukturen und IT-Sicherheit | BBK II.3 | 30
IT-Sicherheitsgesetz
01.06.2016 | Kritische Infrastrukturen und IT-Sicherheit | BBK II.3 |
• Artikelgesetz
• Adressat: KRITIS-Betreiber in den Sektoren Energie, IKT, Transport, Wasser, Ernährung, Gesundheit, Finanz-/ Versicherungswesen
• Schwerpunktmaßnahmen:
• § 2: Definition Kritischer Infrastrukturen im Sinne des Gesetzes
• § 8a: Etablierung von Sicherheitsmaßnahmen, Nachweis der Umsetzung (z.B. durch Audits, Zertifizierung)
• § 8b: Benennung einer Kontaktstelle / Ansprechstelle, Meldeverpflichtung von Sicherheitsvorfällen
• § 10: Rechtsverordnung zur Bestimmung des Adressatenkreises
31
§ 10 IT-Sicherheitsgesetz: Wer?
01.06.2016 | Kritische Infrastrukturen und IT-Sicherheit | BBK II.3 | 32
§ 10 IT-Sicherheitsgesetz: Wer?
01.06.2016 | Kritische Infrastrukturen und IT-Sicherheit | BBK II.3 | 33
Quelle: BSI
§ 8a IT-Sicherheitsgesetz: Was?
01.06.2016 | Kritische Infrastrukturen und IT-Sicherheit | BBK II.3 | 34
Quelle: BSI
§ 8a IT-Sicherheitsgesetz: Was?
01.06.2016 | Kritische Infrastrukturen und IT-Sicherheit | BBK II.3 | 35
Quelle: BSI
§ 8a IT-Sicherheitsgesetz: Wie?
01.06.2016 | Kritische Infrastrukturen und IT-Sicherheit | BBK II.3 | 36
Quelle: BSI
§ 8a IT-Sicherheitsgesetz: Wie?
01.06.2016 | Kritische Infrastrukturen und IT-Sicherheit | BBK II.3 | 37
Quelle: BSI
§ 8b IT-Sicherheitsgesetz: Meldeverfahren
01.06.2016 | Kritische Infrastrukturen und IT-Sicherheit | BBK II.3 | 38
Quelle: BSI
§ 8b IT-Sicherheitsgesetz: Meldeverfahren
01.06.2016 | Kritische Infrastrukturen und IT-Sicherheit | BBK II.3 | 39
Quelle: BSI
§ 8b IT-Sicherheitsgesetz: Meldeverfahren
01.06.2016 | Kritische Infrastrukturen und IT-Sicherheit | BBK II.3 | 40
Quelle: BSI
§ 8b IT-Sicherheitsgesetz: Meldeverfahren
01.06.2016 | Kritische Infrastrukturen und IT-Sicherheit | BBK II.3 | 41
Quelle: BSI
Fazit
• IT als Herausforderung
• hoch dynamische Gefährdungslage
• sehr heterogenes Schutzniveau
• viele Ansätze zur Verbesserung:
• Risiken identifizieren, (geeignete) Maßnahmen umsetzen (IT-Grundschutz, Standards…)
• Vernetzung überdenken, Redundanzen einplanen
• Think big: Technik UND Organisation UND Mensch
• IT-SiG:
• Begrenzter Adressatenkreis (Betreiber KRITIS ab einer bestimmten Schwelle)
• aber: „good practice“ auch für Nicht-KRITIS-Betreiber
• Impuls für Sensibilisierungs- und Lernprozess
01.06.2016 | Kritische Infrastrukturen und IT-Sicherheit | BBK II.3 | 42
BBK. Gemeinsam handeln. Sicher leben.
Vielen Dank für Ihre Aufmerksamkeit!
Kontakt
Referat II.3 Strategie KRITIS, Cyber-Sicherheit KRITIS
Abteilung II Risikomanagement, internationale Angelegenheiten
Bundesamt für Bevölkerungsschutz und Katastrophenhilfe
Provinzialstraße 93, 53127 Bonn
Tel.: 0228 99 550 0
Fax: 0228 99 10 550 1620
Email: BBK-Abteilung-II at bbk.bund.de
Internet: www.bbk.bund.de
01.06.2016 | Kritische Infrastrukturen und IT-Sicherheit | BBK II.3 | 43