IT-Sicherheitskennzahlen bei der Deutschen Bahn AGGI-Fachgruppe, Frankfurt 11.06.2010
Frankfurt, 11.06.2010
DB Mobility Logistics AG
Nikola Perkovic
TOS
2ITK-Sicherheitsmanagement DB AG, Nikola Perkovic (TOS), 04/22/23
ITK-Sicherheit im DB Konzern:
DB im Überblick Seite 3
Ziele und Zielgruppen Seite 7
Aktuelle Bedrohungen und vorbeugende Maßnahmen Seite 9
Reifegradmodell ITK-Sicherheitsbericht Seite 11
Beispiele ressortspezifische Kennzahlen Seite 13
Beispiele ressortunabhängige Kennzahlen Seite 17
3ITK-Sicherheitsmanagement DB AG, Nikola Perkovic (TOS), 04/22/23
ITK für die DB unverzichtbar und hoch komplex
Eisenbahn mit
• 80.000 IT-Nutzer, dav. 67.000 BKU-Nutzer
• 263.000 IP-Anschlüssen
• 2.900 WAN-Anschlüssen
• 2.000 TK-Anlagen mit 120.000 Anschlüssen
• 3 Rechenzentren
• 7 Serverzentren
Logistik mit
• 48.000 IT-Nutzer
• 55.000 Endgeräte
• 8 regionale Server-zentren (2 USA, 1 APAC, 5 EMEA)
Dimensionierung
33.900 km Streckennetz
5.700 Personenbahnhöfe
7.000 Fahrkartenautomaten
130 Länder
1.500 Firmenstandorte weltweit
Verteilung
ITK im Zug
• Schadvormeldung, Anzeige, Ebula, Railnet
• Mobile Büros in der Lok
Ca. 40.000 mobile Endgeräte:
10.700 mobile Vertriebsgeräte
10.000 Endgeräte für Triebfahrzeugführer
2.000 digitale Endgeräte im Rangierdienst
• PDAs in den LKWs
Mobilität
DB Konzern – Überblick
4ITK-Sicherheitsmanagement DB AG, Nikola Perkovic (TOS), 04/22/23
DB Systel etablierter ITK-Lieferant für das Eisenbahngeschäft
9DB Systel GmbH, April 2009
Deutschlandweiter Service rund um die Uhr
7 Regionalbereiche
Bundesweite Standorte
Störungsannahme und Entstörung 365 Tage/24 Stunden
Entstörzeiten nach definiertem Servicelevel
Zentrallager und 200 dezentrale Logistikpoints
Betrieb von: 3 Rechenzentren und 7 Serverzentren mit
über 3.400 Windows- und Unix-Servern, 66 Tandem CPU‘n und 4 Z9en
Datennetz mit über 260.000 IP-Anschlüssen von DSL bis Breitband-Glasfaser
Über 500 produktive IT-Verfahren 950 Terabyte Plattenspeicher/3,0 Petabyte
Backup-Kapazität bundesweit das digitale Funknetz der Bahn
(GSM-R) 2.200 TK-Anlagen
Service für: 67.000 Nutzer des
Bürokommunikationssystems der Bahn 115.000 TK-Teilnehmeranschlüsse 1.200 Videoanlagen an Bahnübergängen 100.000 Lautsprecher an Bahnsteigen 50.500 Fernsprecher entlang der Gleise
DB Konzern – Überblick
5ITK-Sicherheitsmanagement DB AG, Nikola Perkovic (TOS), 04/22/23
IT bei Schenker dezentral organisiert
Vienna, Liberec, Rudna ,
Athens, Budapest,
Ljubljana, Istanbul
Coburg, Frankfurt, Berlin, Emden, Mülheim a.d.R. (1)
Kelsterbach, Eschborn, Saarbr ü cken
Schenker RZ/Serverzentrum
[2008]
SantiagoBuenos
Aires
Denver Freeport
Toronto
Sydney
Antwerpen ,
Eindhoven
Z ü rich
Stockholm(1)
Oslo
Copenhagen
Helsinki
Vilnius
M l ochow
Kiev
Tokyo
Singapore (1)
Taipei
Makati City, Paranaque
Bayan Lepas , Selangor
Hong Kong
ShanghaiParis, Milano, Lisbon,
Barcelona (1))
1) Outsourcing
Johannesburg
Dezentrale Organisation in Landesgesellschaften Rechnungswesensysteme werden zur Zeit zentralisiert Zentrale operative Systeme in Projekt-/Konzeptionsphase CIO ist gleichzeitig Vorstand Schenker Logistics
DB Konzern – Überblick
6ITK-Sicherheitsmanagement DB AG, Nikola Perkovic (TOS), 04/22/23
ITK-Sicherheit im DB Konzern:
DB im Überblick Seite 3
Ziele und Zielgruppen Seite 7
Aktuelle Bedrohungen und vorbeugende Maßnahmen Seite 9
Reifegradmodell ITK-Sicherheitsbericht Seite 11
Beispiele ressortspezifische Kennzahlen Seite 13
Beispiele ressortunabhängige Kennzahlen Seite 17
7ITK-Sicherheitsmanagement DB AG, Nikola Perkovic (TOS), 04/22/23
Der Vorstand des DB Konzerns ist verpflichtet, für ein aktives Risikomanagement und eine angemessene interne Revision des Risiko-Überwachungssystems zu sorgen
Der ITK-Sicherheitsbericht soll grundsätzlich über die folgenden Aspekte Auskunft geben:
1. Gesamtqualität der ITK-Sicherheit im DB Konzern
2. Herbeiführung von notwendigen Entscheidungen (bei Bedarf)
3. Aktuelle Bedrohungen und Risiken
4. ITK-Sicherheitsvorfälle im Berichtszeitraum
5. Status der Umsetzung der ITK-Sicherheitsvorgaben
6. Sensibilisierung für das Thema IT-Sicherheit
Zielgruppe sind Vorstand Konzern/VRs, CIO-Board, ITK-Sicherheitsmanager und das ITK-Sicherheitsgremium
ITK-Sicherheitsbericht – Ziele und Zielgruppen
8ITK-Sicherheitsmanagement DB AG, Nikola Perkovic (TOS), 04/22/23
ITK-Sicherheit im DB Konzern:
DB im Überblick Seite 3
Ziele und Zielgruppen Seite 7
Aktuelle Bedrohungen und vorbeugende Maßnahmen Seite 9
Reifegradmodell ITK-Sicherheitsbericht Seite 11
Beispiele ressortspezifische Kennzahlen Seite 13
Beispiele ressortunabhängige Kennzahlen Seite 17
9ITK-Sicherheitsmanagement DB AG, Nikola Perkovic (TOS), 04/22/23
Der aktuelle Sicherheitsbericht adressiert vorbeugende Maßnahmen und Bedrohungen, die kurzfristig messbar sind;andere werden mittelfristig in weiteren Ausbaustufen ergänzt
Rei
feg
rad
1R
eife
gra
d 2
Rei
feg
rad
3
ITK-Risikomanagement (SBF, RRD) auf Applikationsebene
Erhebung Kennzahlen zum Diebstahl / Verlust von BKU*- Hardware
Umfassender Spam- und Virenschutz im BKU-Umfeld und regelmäßige Messung der Wirksamkeit
Rei
feg
rad
-Stu
fen
Externe Angriffe (Portscans, DoS, Hacking, ...)
Diebstahl und Verlust sensibler Daten
Manipulation sensibler Daten
Industriespionage
Definition fachlicher Sicherheitsvorfälle und Überwachung durch ein IPS (Intrusion Prevention System)
ITK-Risikomanagement (SBF, RRD) auf Applikations- und Infrastrukturebene
Erfassung Netze / Netzübergänge
Rollout BKU-Endgeräte (Standardis. Sicherheitseigenschaften)
Erhebung fachlicher Sicherheitsvorfälle auf Applikationsebene und Monitoring von Schadausmaßen
Verfügbarkeitseinbußen auf Applikation- und Infrastrukturebene
Diebstahl/Verlust von Hardware
Spams, Viren und Würmer
Vorbeugende MaßnahmenAktuelle Bedrohungen
ITK-Sicherheitsbericht - Bedrohungen
* BKU (Bürokommunikation unternehmensweit) ist eine bahnspezifische Kommunikationsplattform mit standardisierten Hard- und Softwareprodukten
10ITK-Sicherheitsmanagement DB AG, Nikola Perkovic (TOS), 04/22/23
ITK-Sicherheit im DB Konzern:
DB im Überblick Seite 3
Ziele und Zielgruppen Seite 7
Aktuelle Bedrohungen und vorbeugende Maßnahmen Seite 9
Reifegradmodell ITK-Sicherheitsbericht Seite 11
Beispiele ressortspezifische Kennzahlen Seite 13
Beispiele ressortunabhängige Kennzahlen Seite 17
11ITK-Sicherheitsmanagement DB AG, Nikola Perkovic (TOS), 04/22/23
Reifegradmodell: Die bisherige Fokussierung ist zu erweitern, einzelne aktuell fehlende Prozesse sind zu definieren und einzuführen
Prozess zur Erhebung verlorener Datenträger
(Notebooks, Sticks, PDA, usw.) definieren
Umfassende Überwachung durch ein IPS
Erhebung fachlicher Sicherheitsvorfälle und
Messung durch zentrales Berichtswesen
UKV*
BKU
Alle ITK- Anwendungen Alle Endgeräte
Stufe 1
Stufe 3
Stufe 4
Dienstleister 1
Stufe 2
CIO
-Org
. D
ien
stl
eis
ter
Re
ife
gra
d 1
Unbekannte ITK-Restrisiken Risikomanagemen
t-Prozess konsequent umsetzen
Definition Kennzahlen (fachl. Sicherheits-vorfälle), die durch
ein IPS überwacht werden können
Diebstahl und Verlust von HW (nur BKU) SLA-Einhaltung (Fokus auf die UKV) Malware (nur Dienstleister 1)
Sicherheitsvorfälle (nur Dienstleister 1)
Diebstahl und Verlust von Hardware (nur Dienstleister 1) SLA-Einhaltung (nur Dienstleister 1)
Re
ife
gra
d 2
Re
ife
g.
3
CIO
-Org
. D
LC
IO-O
rg.
Diebstahl und Verlust sensibler Daten
Manipulation sensibler Daten
Externe Angriffe (Portscans, DoS, Hacking, ...)
Industriespionage
Schutzbedarfsfeststellungsquote
Vorbeugende Maßnahmen
Aktuelle Bedrohungen Einschränkung Vollständig
Restrisikodeklarationsquote, monetär bewertet Monitoringquote
Spam- und Virenfilter, Intrusion Prevention System (IPS)
Erhebung SLA-Einhaltung
Prozess zur Erhebung von Sicherheitsvorfällen
ITK-Sicherheitsbericht - Reifegradmodell
Dienstleister 1+2
Dienstleister 1
Dienstleister 1+2
* UKV Unternehmenskritische Verfahren
12ITK-Sicherheitsmanagement DB AG, Nikola Perkovic (TOS), 04/22/23
ITK-Sicherheit im DB Konzern:
DB im Überblick Seite 3
Ziele und Zielgruppen Seite 7
Aktuelle Bedrohungen und vorbeugende Maßnahmen Seite 9
Reifegradmodell ITK-Sicherheitsbericht Seite 11
Beispiele ressortspezifische Kennzahlen Seite 13
Beispiele ressortunabhängige Kennzahlen Seite 17
13ITK-Sicherheitsmanagement DB AG, Nikola Perkovic (TOS), 04/22/23
Ressortspezifische/konzernweite Sicherheitskennzahlen Beispielhafte Darstellung
2.Ressortspezifische (VR) SBF/RRD-Kennzahlen, inkl. zugehöriger Geschäftsfelder (GF)
ITK-Sicherheitsbericht – Beisp. Kennzahlen
14ITK-Sicherheitsmanagement DB AG, Nikola Perkovic (TOS), 04/22/23
2. Festgestellte Restrisikosummen pro Ressort/Geschäftsfeld
ITK-Sicherheitsbericht – Beisp. Kennzahlen
Ressortspezifische/konzernweite Sicherheitskennzahlen Beispielhafte Darstellung
Anwendung Restrisikoklasse Akzeptierte Restrisiken
Vorläufig akzeptierte Restrisiken
Überfällige Restrisiken
Qualitätssicherung R1 Organisationsmängel 1.250.000 € 0 € 500.000 €
A- _ _ _ _ _ R2 Personalmängel 0 € 0 € 0 €R3 Fehlhandlungen 0 € 0 € 0 €R4 Angriffe u. Missbrauch 0 € 0 € 0 €
R5 Hardwaremängel 125.000 € 0 € 0 €R6 Softwaremängel 0 € 0 € 0 €R7 Infrastrukturmängel 0 € 0 € 0 €
R8 Naturgewalt 50.000 € 0 € 0 €R9 Umgebungsbedrohung 0 € 0 € 0 €SUMME 1.425.000 € 0 € 500.000 €
Restrisikoklasse akzeptierte Restrisiken vorläufig akzeptierte Restrisiken
überfällige Restrisiken
∑ Restrisiko
R1 Organisationsmängel 2.000.000 € 100.000 € 400.000 € 10.000 €R2 Personalmängel 1.000.000 € 200.000 € 300.000 € 20.000 €R3 Fehlhandlungen 750.000 € 300.000 € 200.000 € 30.000 €R4 Angriffe u. Missbrauch 500.000 € 400.000 € 100.000 € 40.000 €R5 Hardwaremängel 0 € 0 € 0 € 0 €R6 Softwaremängel 0 € 0 € 0 € 0 €R7 Infrastrukturmängel 100.000 € 0 € 25.000 € 50.000 €R8 Naturgewalt 200.000 € 0 € 25.000 € 60.000 €R9 Umgebungsbedrohung 300.000 € 0 € 25.000 € 70.000 €SUMME 4.850.000 € 1.000.000 € 1.075.000 € 280.000 €
Festgestellte Restrisikosummen pro Applikation
Anwendung Restrisikoklasse Akzeptierte Restrisiken
Vorläufig akzeptierte Restrisiken
Überfällige Restrisiken
… R1 Organisationsmängel 1.000.000 € 0 € 250.000 €
A- _ _ _ _ _ R2 Personalmängel 0 € 0 € 0 €R3 Fehlhandlungen 0 € 0 € 0 €R4 Angriffe u. Missbrauch 0 € 0 € 0 €
R5 Hardwaremängel 500.000 € 0 € 0 €R6 Softwaremängel 0 € 0 € 0 €R7 Infrastrukturmängel 0 € 0 € 0 €
R8 Naturgewalt 50.000 € 0 € 0 €R9 Umgebungsbedrohung 0 € 0 € 0 €SUMME 1.550.000 € 0 € 250.000 €
Applikation 1
Applikation n
15ITK-Sicherheitsmanagement DB AG, Nikola Perkovic (TOS), 04/22/23
2.Diebstahl/Verlust von Hardware SLA-Einhaltung pro Ressort/Geschäftsfeld
ITK-Sicherheitsbericht – Beisp. Kennzahlen
Ressortspezifische/konzernweite Sicherheitskennzahlen Beispielhafte Darstellung
Desktop-PC
Mobile Client
Peripherie Gesamt
Apr 08 12 0 12 24Mai 08 11 1 11 23Jun 08 10 2 10 22Jul 08 9 3 9 21Aug 08 8 4 8 20Sep 08 7 5 7 19Okt 08 6 6 6 18Nov 08 5 7 5 17Dez 08 4 8 4 16Jan 09 3 9 3 15Feb 09 2 10 2 14Mrz 09 1 11 1 13
Q4/09
Q1/10
Verlorene/gestohlene Hardware im Konzern
Zeitraum
Q2/09
Q3/09
Betrachtungszeitr. Q1/10
16ITK-Sicherheitsmanagement DB AG, Nikola Perkovic (TOS), 04/22/23
ITK-Sicherheit im DB Konzern:
DB im Überblick Seite 3
Ziele und Zielgruppen Seite 7
Aktuelle Bedrohungen und vorbeugende Maßnahmen Seite 9
Reifegradmodell ITK-Sicherheitsbericht Seite 11
Beispiele ressortspezifische Kennzahlen Seite 13
Beispiele ressortunabhängige Kennzahlen Seite 17
17ITK-Sicherheitsmanagement DB AG, Nikola Perkovic (TOS), 04/22/23
2.Malware, absolute Zahlen
ITK-Sicherheitsbericht – Beisp. Kennzahlen
Ressortunabhängige/konzernweite Sicherheitskennzahlen Beispielhafte Darstellung
Betrachtungszeitraum Q1/10
Anzahl ermittelter Virenvorfälle an Clients und Servern
Betrachtungszeitraum Q1/10
18ITK-Sicherheitsmanagement DB AG, Nikola Perkovic (TOS), 04/22/23
2.Abgefangene Viren (Mailhub)
ITK-Sicherheitsbericht – Beisp. Kennzahlen
Ressortunabhängige/konzernweite Sicherheitskennzahlen Beispielhafte Darstellung
Betrachtungszeitraum Q1/10
Festgestellte und gemeldete ITK-Sicherheitsvorfälle im Rahmen des ITK-Incident Management
Betrachtungszeitraum Q1/10
19ITK-Sicherheitsmanagement DB AG, Nikola Perkovic (TOS), 04/22/23
2.Durch IPS (Intrusion Prevention System) blockierte Angriffe aus dem Internet
ITK-Sicherheitsbericht – Beisp. Kennzahlen
Ressortunabhängige/konzernweite Sicherheitskennzahlen Beispielhafte Darstellung
Betrachtungszeitraum Q1/10