Embed Size (px)
Citation preview
Implementierung des IT-Sicherheitskatalogs - Ein Praxisbericht -Matthias Hofherr, atsec information security GmbH
Guido Müller, Stadtwerke Bayreuth Energie und Wasser GmbH
Anforderungen IT-Sicherheitskatalog IT-Sicherheitskatalog ist der branchenspezifische Sicherheitsstandard für Strom und Gas
Schutzziele:• Sicherstellung der Verfügbarkeit der zu schützenden Systeme und Daten• Sicherstellung der Integrität der verarbeiteten Informationen und Systeme• Gewährleistung der Vertraulichkeit der mit den Systemen verarbeiteten Informationen
Geltungsbereich• alle für den sicheren Netzbetrieb notwendigen Systeme à Leitsystem, Übertragungs-,
Sekundär-, Kommunikationstechnik
* Informationssicherheitsmanagementsystem
Einführung eines ISMS* gem. ISO 27001
Zertifizierung ISMS und Nachweis
Erstellung Netzstrukturplan
Umsetzungsfrist bis 31.01.2018
Benennung Ansprechpartner IT-Sicherheit Umsetzungsfrist bis 30.11.2015
Eckdaten der Stadtwerke Bayreuth
• Stadtwerke Bayreuth Holding GmbH mit Untergesellschaften für Energie & Wasser / Energiehandel sowie Verkehr und Bäder
• Geschäftsfelder: Strom, Gas, Wasser, Fernwärme, Erneuerbare Energien, Telekommunikation, Nahverkehr, Bäder
• Konzernweit 400 Beschäftigte
• Konzernumsatz: 130 Mio. Euro
• Netzgebiet: 89.000 Einwohner
• Wasserabgabe: 5,5 Mio. m³
• Transportierte Arbeit Gas: 826 GWh
• Transportierte Arbeit Strom: 460 GWh
• Nahverkehr: 8 Mio. Fahrgäste
• Verbundnetzleitstelle Gas/Wasser/Strom/Fernwärme
Aufgaben Verbundleitstelle der Stadtwerke Bayreuth
Die Netzleitstelle ist das Herzstück im Stadtwerke Netz24 Stunden/Tag und 7 Tage/Woche
• Steuerung und Überwachung der Netze und Anlagen der Stadtwerke
• Zentrale Störungsannahme und Entstörungssteuerung im Gas-, Wasser-, Strom- und Fernwärmenetz
• Vorbereitung, Durchführung und Dokumentation von Schalt- und Steuerungshandlungen
• Störungsanalyse und Einleitung von Maßnahmen zur Wiederherstellung der Energieversorgung
• Einsatzplanung des Bereitschaftspersonals
• Daten- und Informationsdrehscheibe im Netzbetrieb
• Dokumentation und Überwachung des Betriebsgeschehens
Ausgangslage der Stadtwerke Bayreuth
• Fokus Versorgungssicherheit
• Lange betriebliche Nutzungsdauern und Investitionszyklen
• Wenig vernetzte Steuerungstechnik in den Versorgungsanlagen
• Hohe Abhängigkeit von externen Dienstleistern
• Lange Betriebszugehörigkeiten und hohes Durchschnittsalter der Mitarbeiter im technischen Bereich
Netzleitstelle 1990
In der Vergangenheit waren Veränderungen bei Technik und Mitarbeitern eher selten
Umfassende Erneuerung der Leit- und Kommunikationstechnik im Prozessnetz
• Erneuerung des Leitsystems für Strom, Gas, Wasser und Fernwärme durch europaweite Ausschreibung
• Projektlaufzeit 3 Jahre
• Umsetzung eines vollredundanten Systems in zwei räumlich getrennten Standorten
• Mandantenfähig (Dienstleister für andere Versorger)
• Neukonzeptionierung Fernwirktechnik
Regulatorischen Effizienzvorgaben und technischer Wandel führten in den letzten 15 Jahren zu enormen Veränderungen bei den Stadtwerken.
Netzleitstelle heute
Standort Birken-straße
Schalthaus-Mitte
Schalthaus-Glocke
Schalthaus-Nord
NEU: LWL-Ring Netzleitstelle
Erneuerung Kommunikationstruktur
Ringförmige Kommunikationsanbindung und die erneuerte Leittechnik verbessern die Ausgangslage für die Implementierung der IT-Sicherheitsanforderungen
Wesentliche Meilensteine und Zeitplan
Prüfung der Umsetzungsoptionen, Zusammenstellung internes Projektteam November 2015
Auswahl Projektbegleiter und ZertifizierungsstelleJanuar 2016
Ist-Aufnahme, Festlegung Geltungsbereich, Erstellung NetzstrukturplanApril - Juli 2016
Erstellung Risikomanagement, Synergien mit Technischem Sicherheitsmanagement
August/September 2016
Schnittstellen (intern, extern), Richtlinien und Dokumentation
Juni 1016 –Februar 2017
Interner Audit/ Management ReviewMärz/ April 2017
ZertifizierungSeptember/ Oktober 2017
Herausforderung: Geltungsbereich (Allgemein)
• Komplette Firma oder nur Teilbereich?• Schnittstellenkomplexität vs. allg. Aufwand
• Interne Schnittstellen• OLAs
• Geltungsbereich von Richtlinien• Was passiert hinter der Grenze des Geltungsbereichs (Bsp. Klassifizierung)?
• Netzwerktrennung• Der Klassiker: Büro-IT im Scope?• Was machen mit Out-of-Scope Themen im selben Netz?
• Ausschlüsse• Primär: Entwicklung von Software
Geltungsbereich Stadtwerke Bayreuth• Geltungsbereich bei den Stadtwerken Bayreuth:
• ca. 30 Mitarbeiter• Leitsystem, Übertragungs-, Sekundär-, Kommunikationstechnik für alle
Versorgungssparten
• Interne Schnittstellen• Grafische Datenverarbeitung z.B. für Planauskünfte (GIS Daten)• Personalabteilung z.B. für Personalbeschaffungsprozesse• IT-Abteilung z.B. für Betreuung Austauschlaufwerke, IT-Hardware, Betreuung
Infrastruktur ...• Innere Dienste z.B. Reinigungskräfte und Schließanlage• …
• Externe Schnittstellen• Leitstellenhersteller z.B. Fernwartungszugriff• IT-Dienstleister z.B. Konfiguration Firewall• …
DieAnforderungendesIT-SicherheitskatalogswurdenbeidenStadtwerkenBayreuthauchaufdieBereicheWasserundFernwärmeübertragen
Herausforderung: Kennzahlen
• Klassische Herausforderung bei ISO 27001-Implementierung• „Irgendwelche“ Kennzahlen sind einfach• Überblick über Wirksamkeit des gesamten ISMS ist komplexer• Neue ISO/IEC 27004:2016 gibt gute Hinweise für Kennzahlen
• Pragmatischer Ansatz: GQM (Goal Question Metric)• Ableitung der Kennzahlen aus den Zielen
• Ziele• Hierarchische Ableitung
• Kennzahlen für verschiedene „Flughöhen“• Option: Score Cards für verschiedene Bereiche (Strategisch/Taktisch)
Herausforderung: Physikalische Sicherheit• Ausgangpunkt:
• Unterschiedlichste Standorte (Größe, Entfernung, Infrastruktur …)• Unterschiedlichstes physikalisches Sicherheitsniveau
• Lösungsansätze:• Physikalisches Zonenkonzept• Clustern von ähnlichen Standorten• Einheitliche Sicherheitsmaßnahmen pro Gruppe definieren• Bestandsaufnahme und Risikoanalyse (spezifisch auch ISO/IEC 27019)• Maßnahmenplan enthält Aktivitäten zur Beseitigung der Lücken
• Fazit:• Sehr hohes Sicherheitsniveau aller Außenstandorte kaum möglich• Schaden bei physikalischem Zugriff minimieren z.B. durch Netzwerk-Separierung
Basis für das ISMS: Einheitliche physikalische Sicherheit der Standorte
Herausforderung: IT-Sicherheit• Leitsysteme und Steueranlagen sind traditionell relativ leicht angreifbar
• Prinzip “Harte Schale, weicher Kern”
• Verbesserung der Sicherheit ist nicht nur Aufgabe der Netzbetreiber• Vorgaben aus IT-Sicherheitskatalog liegen aber einseitig bei den Netzbetreibern
• Konkrete Maßnahmen bei den Stadtwerken Bayreuth:• Härtungsrichtlinien für jedes einzelne System => Minimierung der
Angriffsoberfläche• Getrennte Netzstrukturen und Netztrennung; Zugriffe mit Minimum-Prinzip• Minimal notwendige Querverbindungen zwischen den Standorten• Erkennung von Angriffen durch zentrales Logging und Log-Analyse• Zugriffe von Extern nur temporär, nach expliziter Einzel-Freischaltung und mit 2-
Faktor-Authentisierung• Aufbau eines Schwachstellen-Managements (Scanner: OpenVAS)
„Altlasten“ der IT-Sicherheit müssen durch alternative Maßnahmen abgedeckt werden
Kontakt
Matthias HofherrChief Operating Officer
atsec information security GmbH Tel: +49 89 442 49 848Steinstraße 70 Fax: +49 89 442 49 83181667 München, Germany Mobile: +49 8246737www.atsec.com Email: [email protected]
KontaktdatenGuido Müller
Stadtwerke Bayreuth Energie und Wasser GmbH Birkenstraße 295447 Bayreuth
Telefon: 0921 600-340Telefax: 0921 600-349
