Upload
others
View
0
Download
0
Embed Size (px)
Citation preview
IT-SICHERHEITWASSER-
WIRTSCHAFT25 Jahre AWS
© GELSENWASSER AG I 27. Juni 2019Seite 2
WAS ERWARTET SIE …
Aktuelle Technologie und Probleme
Möglichkeiten der (Abwehr-) Maßnahmenfindung
Erfahrungsbericht GELSENWASSER
Ausblick auf zukünftige Themen
I IT Sicherheit – auch für Sub-KRITIS Prozesse
© GELSENWASSER AG I 27. Juni 2019Seite 3
WAS GESCHIEHT AKTUELL? DIE DREI KRÄFTE DER DIGITALISIERUNG
TECHNISCHER FORTSCHRITT
Exponentielle Weiterentwicklung
der Computer
unerhört große Datenmengen
und die Innovation durch
Neukombination
I IT Sicherheit – auch für Sub-KRITIS Prozesse
© GELSENWASSER AG I 27. Juni 2019Seite 4
BSI WARNT VOR GEZIELTEN RANSOMWARE-ANGRIFFEN AUF UNTERNEHMEN
WARNUNG DES BSI
I IT Sicherheit – auch für Sub-KRITIS Prozesse
„Wir erleben derzeit die massenhafte Verbreitung von raffinierten
Angriffsmethoden durch die Organisierte Kriminalität, die bis vor
einigen Monaten nachrichtendienstlichen Akteuren vorbehalten
waren. Unternehmen sollten auch kleine IT-Sicherheitsvorfälle ernst
nehmen und ihnen konsequent begegnen, da es sich dabei durchaus
auch um vorbereitende Angriffe handeln kann.“
Arne Schönbohm, Präsident BSI
24. April 2019
© GELSENWASSER AG I 27. Juni 2019Seite 5
BOT NETZE – AUTOMATISIERTE ANGRIFFE – WIRTSCHAFTSZWEIG 1% BIP
SCHATTENSEITE DIESES FORTSCHRITTS
29. Mai 2019
Wir sehen seit einiger Zeit eine dauerhaft angespannte
Bedrohungslage im Bereich der IT-Sicherheit und zwar über alle
Branchen hinweg. Wir sehen Produktionsausfälle in Folge von
Cyber-Angriffen, wir sehen Fälle von gezielter Wirtschaftsspionage
und wir sehen grundsätzlich eine zunehmende Professionalisierung
der Angriffsmethoden.https://www.bsi.bund.de/DE/Presse/Pressemitteilungen/Presse2019/APT-Liste-29.05.19.html
I IT Sicherheit – auch für Sub-KRITIS Prozesse
© GELSENWASSER AG I 27. Juni 2019Seite 6
BOT NETZE – AUTOMATISIERTE ANGRIFFE – WIRTSCHAFTSZWEIG 1% BIP
SCHATTENSEITE DIESES FORTSCHRITTS
… 80 Millionen Datensätze von Haushalten in den USA
… 24 GByte große Datenbank – betroffen 65 % aller US-Haushalte
https://www.heise.de/newsticker/meldung/Mysterioese-Datenbank-mit-Daten-von-Millionen-US-Buergern-ungeschuetzt-im-Netz-
4409824.html
Anzahl der in einem
Haushalt lebenden Personen
Namen Familienstand Alter Geburtsdaten
Wohnadresse inklusive
GPS-Daten zur
Lokalisierung
Haushalts-einkommen
I IT Sicherheit – auch für Sub-KRITIS Prozesse
© GELSENWASSER AG I 27. Juni 2019Seite 7
VOM US-GEHEIMDIENST ENTWICKELT – VON ERPRESSERN GENUTZT
ANDERS GEDACHT …
I IT Sicherheit – auch für Sub-KRITIS Prozesse
Baltimore USA
• Stadt handlungsunfähig
• Ransomware legt Behörden lahm
• 10.000 Computer
• nichts geht mehr →
E-Mail, Wasserrechnungen,
Immobiliengeschäfte, …
Angriffswerkzeug
EternalBlue (WannaCry, NotPetya)
• Entwickelt vom
Auslandsgeheimdienst NSA,
• gestohlen von einer Gruppe
namens ShadowBrokers in 08.2016
Nach dem Diebstahl wurde Microsoft informiert,
aber Patches sind teilweise bis heute nicht eingespielt
© GELSENWASSER AG I 27. Juni 2019Seite 8
WAS HAT DAS MIT UNS ZU TUN? WAS KANN PASSIEREN?
IT-SICHERHEIT IM ABWASSERSEKTOR
Solche Havarien sind zum Glück selten
Hier wird allerdings das Ausmaß einer möglicherweise absichtlich herbeigeführten Havarie deutlich
I IT Sicherheit – auch für Sub-KRITIS Prozesse
Beispiel Verden
• Rohrleitung des Faulturms defekt,
die gesamten Kellerräume wurden
mit Faulschlamm geflutet
• Betrieb über längeren Zeitraum
erheblich gestört
• Schäden in Millionenhöhe
https://www.kreiszeitung.de/lokales/verden/verden-ort47274/wohin-klaerschlamm-10183459.html
© GELSENWASSER AG I
AUSBREITUNG VON SCHADSOFTWARE
WIE FUNKTIONIEREN ANGRIFFE AUF NETZWERKE?
Büronetz
Firewall
Command &
ControlInternet
ProzessnetzFirewall
Quelle: Rainer Stecken DVGW Service & Consult GmbH
27. Juni 2019Seite 9 I IT Sicherheit – auch für Sub-KRITIS Prozesse
© GELSENWASSER AG I 27. Juni 2019Seite 10
WAS WOLLEN WIR ERREICHEN ?
SCHUTZZIELE
Verfügbarkeit Integrität
Vertraulichkeit Authentizität
I IT Sicherheit – auch für Sub-KRITIS Prozesse
Mehr als 50 % der Bevölkerung durch „NICHTKRITIS“ versorgt
© GELSENWASSER AG I
WEGE ZUR SYSTEMATISCHEN VORGEHENSWEISE
27. Juni 2019I IT Sicherheit – auch für Sub-KRITIS ProzesseSeite 11
WELCHE WEGE GIBT ES ?
ISMS nach ISO 27001
B3S WA
IEC 62443gesunder
Menschenverstand
+
© GELSENWASSER AG I
DER B3S-PROZESS
27. Juni 2019I IT Sicherheit – auch für Sub-KRITIS ProzesseSeite 12
DURCH BRANCHENEXPERTISE ANWENDUNGSFÄLLE VORSELEKTIERT
© GELSENWASSER AG I
ANFORDERUNG VS. UMSETZUNG→ 1. Objektabgrenzung
→ 2. Assetregister, Netzplan
→ 3. Anwendungsfallliste
Risikoworkshop
→ 4. Risikotabelle
Maßnahmenworkshop
→ 5. Maßnahmenplan
Umsetzung der Schutzmaßnahmen
→ 6. Maßnahmendokumentation
und technische Umsetzung
Qu
elle
: D
VG
W W
106
0 / D
WA
M 1
06
0
Seite 13 I IT Sicherheit – auch für Sub-KRITIS Prozesse 27. Juni 2019
© GELSENWASSER AG I
„JEDEN TAG EIN BISSCHEN BESSER WERDEN“
LESSONS LEARNED B3S WA
20.06.2018
Seite 14 I IT Sicherheit – auch für Sub-KRITIS Prozesse 27. Juni 2019
• Zutritts-, Zugangs-, Zugriffskonzepte
• Rollen auf allen Systemen prüfen
• Patchmanagement / Altsysteme
• Fachlich intensiver Austausch aller
Beteiligten
• Es ist nicht entscheidend, alle
Maßnahmen sofort zu 100 %
umzusetzen !
• Alle Gespräche fördern
Bewusstsein für IT-Sicherheit
• Integration in ein bestehendes
ISMS möglich !
© GELSENWASSER AG I
AUSBLICKWIEDERHOLUNG 2 JAHRE
• Prüfung B3S alle zwei Jahre
• B3S Anpassung an modernisierten Grundschutz kommt:
IND: Industrielle IT
IND.1 Betriebs- und
Steuerungstechnik
IND.2.1 Allgemeine
ICS-Komponente
IND.2.2 Speicherprogrammier-
bare Steuerung (SPS)
IND.2.3 Sensoren und Aktoren
IND.2.4 Maschine
Seite 15 I IT Sicherheit – auch für Sub-KRITIS Prozesse 27. Juni 2019
© GELSENWASSER AG IEinfache Maßnahmen zur Steigerung der Informationssicherheit16
WENN MAN DEN FACHLEUTEN ZUHÖRT
PASSWÖRTER
… sind mindestens 12 Zeichen lang
… werden nicht wiederverwendet
… enthalten Groß- und Kleinbuchstaben, Zahlen und Sonderzeichen
… findet man nicht im Wörterbuch
… lassen sich nicht aus dem Nutzerkontext ableiten
(Namen der Kinder etc.)
… werden NIE doppelt benutzt (auf mehr als einer Seite / Netz)
27. Juni 2019
© GELSENWASSER AG ISeite 17
HANDLUGSEMPFEHLUNGEN
I IT Sicherheit – auch für Sub-KRITIS Prozesse 27. Juni 2019
… Sicherer Umgang mit E-Mail – im Zweifel NICHT öffnen
… Standard Passwörter ersetzen https://haveibeenpwned.com
… Keepass verwenden https://keepass.info/download.html
… Trennung der IT- von den OT-Netzen
… Absicherung Netzübergänge → besonders bei Fernwartungen !
… Datensicherung erstellen
… Wiederherstellungskonzept – Test Backup einspielen ?!
© GELSENWASSER AG ISeite 18
HANDLUGSEMPFEHLUNGEN
I IT Sicherheit – auch für Sub-KRITIS Prozesse 27. Juni 2019
… Wer hat auf welche Systeme Zugriff ?
Umgang mit ausscheidenden Mitarbeitern ?
… Welche Hardware, Software, Daten sind im System ?
… Systeme nach „Störung“ wieder in Betrieb nehmen ?
… Wer kommuniziert eigentlich in unseren Netzen MONITORING ?
… Der Prozess des B3S ist auch für „nicht KRITIS“ eine gute Alternative,
seine organisatorischen und technischen IT-Strukturen betriebsnah zu
analysieren.
© GELSENWASSER AG I 5. Juli 2019IT Sicherheit – auch für Sub-KRITIS ProzesseSeite 19
STRATEGIE FÜR DIE ZUKUNFT
AUSBLICK
› Standardprotokolle dominieren die OT und das IOT (OPC/UA?)
› Cloud Computing / Fog Computing
› Pay as you go!
Angriffe können teuer werden…
VIELEN DANK …
UND ALLZEIT
VERFÜGBARE
SYSTEME!