20
IT-SICHERHEIT WASSER- WIRTSCHAFT 25 Jahre AWS

WASSER- WIRTSCHAFT...BSI WARNT VOR GEZIELTEN RANSOMWARE-ANGRIFFEN AUF UNTERNEHMEN WARNUNG DES BSI I IT Sicherheit –auch für Sub-KRITIS Prozesse „Wir erleben derzeit die massenhafte

  • Upload
    others

  • View
    0

  • Download
    0

Embed Size (px)

Citation preview

Page 1: WASSER- WIRTSCHAFT...BSI WARNT VOR GEZIELTEN RANSOMWARE-ANGRIFFEN AUF UNTERNEHMEN WARNUNG DES BSI I IT Sicherheit –auch für Sub-KRITIS Prozesse „Wir erleben derzeit die massenhafte

IT-SICHERHEITWASSER-

WIRTSCHAFT25 Jahre AWS

Page 2: WASSER- WIRTSCHAFT...BSI WARNT VOR GEZIELTEN RANSOMWARE-ANGRIFFEN AUF UNTERNEHMEN WARNUNG DES BSI I IT Sicherheit –auch für Sub-KRITIS Prozesse „Wir erleben derzeit die massenhafte

© GELSENWASSER AG I 27. Juni 2019Seite 2

WAS ERWARTET SIE …

Aktuelle Technologie und Probleme

Möglichkeiten der (Abwehr-) Maßnahmenfindung

Erfahrungsbericht GELSENWASSER

Ausblick auf zukünftige Themen

I IT Sicherheit – auch für Sub-KRITIS Prozesse

Page 3: WASSER- WIRTSCHAFT...BSI WARNT VOR GEZIELTEN RANSOMWARE-ANGRIFFEN AUF UNTERNEHMEN WARNUNG DES BSI I IT Sicherheit –auch für Sub-KRITIS Prozesse „Wir erleben derzeit die massenhafte

© GELSENWASSER AG I 27. Juni 2019Seite 3

WAS GESCHIEHT AKTUELL? DIE DREI KRÄFTE DER DIGITALISIERUNG

TECHNISCHER FORTSCHRITT

Exponentielle Weiterentwicklung

der Computer

unerhört große Datenmengen

und die Innovation durch

Neukombination

I IT Sicherheit – auch für Sub-KRITIS Prozesse

Page 4: WASSER- WIRTSCHAFT...BSI WARNT VOR GEZIELTEN RANSOMWARE-ANGRIFFEN AUF UNTERNEHMEN WARNUNG DES BSI I IT Sicherheit –auch für Sub-KRITIS Prozesse „Wir erleben derzeit die massenhafte

© GELSENWASSER AG I 27. Juni 2019Seite 4

BSI WARNT VOR GEZIELTEN RANSOMWARE-ANGRIFFEN AUF UNTERNEHMEN

WARNUNG DES BSI

I IT Sicherheit – auch für Sub-KRITIS Prozesse

„Wir erleben derzeit die massenhafte Verbreitung von raffinierten

Angriffsmethoden durch die Organisierte Kriminalität, die bis vor

einigen Monaten nachrichtendienstlichen Akteuren vorbehalten

waren. Unternehmen sollten auch kleine IT-Sicherheitsvorfälle ernst

nehmen und ihnen konsequent begegnen, da es sich dabei durchaus

auch um vorbereitende Angriffe handeln kann.“

Arne Schönbohm, Präsident BSI

24. April 2019

Page 5: WASSER- WIRTSCHAFT...BSI WARNT VOR GEZIELTEN RANSOMWARE-ANGRIFFEN AUF UNTERNEHMEN WARNUNG DES BSI I IT Sicherheit –auch für Sub-KRITIS Prozesse „Wir erleben derzeit die massenhafte

© GELSENWASSER AG I 27. Juni 2019Seite 5

BOT NETZE – AUTOMATISIERTE ANGRIFFE – WIRTSCHAFTSZWEIG 1% BIP

SCHATTENSEITE DIESES FORTSCHRITTS

29. Mai 2019

Wir sehen seit einiger Zeit eine dauerhaft angespannte

Bedrohungslage im Bereich der IT-Sicherheit und zwar über alle

Branchen hinweg. Wir sehen Produktionsausfälle in Folge von

Cyber-Angriffen, wir sehen Fälle von gezielter Wirtschaftsspionage

und wir sehen grundsätzlich eine zunehmende Professionalisierung

der Angriffsmethoden.https://www.bsi.bund.de/DE/Presse/Pressemitteilungen/Presse2019/APT-Liste-29.05.19.html

I IT Sicherheit – auch für Sub-KRITIS Prozesse

Page 6: WASSER- WIRTSCHAFT...BSI WARNT VOR GEZIELTEN RANSOMWARE-ANGRIFFEN AUF UNTERNEHMEN WARNUNG DES BSI I IT Sicherheit –auch für Sub-KRITIS Prozesse „Wir erleben derzeit die massenhafte

© GELSENWASSER AG I 27. Juni 2019Seite 6

BOT NETZE – AUTOMATISIERTE ANGRIFFE – WIRTSCHAFTSZWEIG 1% BIP

SCHATTENSEITE DIESES FORTSCHRITTS

… 80 Millionen Datensätze von Haushalten in den USA

… 24 GByte große Datenbank – betroffen 65 % aller US-Haushalte

https://www.heise.de/newsticker/meldung/Mysterioese-Datenbank-mit-Daten-von-Millionen-US-Buergern-ungeschuetzt-im-Netz-

4409824.html

Anzahl der in einem

Haushalt lebenden Personen

Namen Familienstand Alter Geburtsdaten

Wohnadresse inklusive

GPS-Daten zur

Lokalisierung

Haushalts-einkommen

I IT Sicherheit – auch für Sub-KRITIS Prozesse

Page 7: WASSER- WIRTSCHAFT...BSI WARNT VOR GEZIELTEN RANSOMWARE-ANGRIFFEN AUF UNTERNEHMEN WARNUNG DES BSI I IT Sicherheit –auch für Sub-KRITIS Prozesse „Wir erleben derzeit die massenhafte

© GELSENWASSER AG I 27. Juni 2019Seite 7

VOM US-GEHEIMDIENST ENTWICKELT – VON ERPRESSERN GENUTZT

ANDERS GEDACHT …

I IT Sicherheit – auch für Sub-KRITIS Prozesse

Baltimore USA

• Stadt handlungsunfähig

• Ransomware legt Behörden lahm

• 10.000 Computer

• nichts geht mehr →

E-Mail, Wasserrechnungen,

Immobiliengeschäfte, …

Angriffswerkzeug

EternalBlue (WannaCry, NotPetya)

• Entwickelt vom

Auslandsgeheimdienst NSA,

• gestohlen von einer Gruppe

namens ShadowBrokers in 08.2016

Nach dem Diebstahl wurde Microsoft informiert,

aber Patches sind teilweise bis heute nicht eingespielt

Page 8: WASSER- WIRTSCHAFT...BSI WARNT VOR GEZIELTEN RANSOMWARE-ANGRIFFEN AUF UNTERNEHMEN WARNUNG DES BSI I IT Sicherheit –auch für Sub-KRITIS Prozesse „Wir erleben derzeit die massenhafte

© GELSENWASSER AG I 27. Juni 2019Seite 8

WAS HAT DAS MIT UNS ZU TUN? WAS KANN PASSIEREN?

IT-SICHERHEIT IM ABWASSERSEKTOR

Solche Havarien sind zum Glück selten

Hier wird allerdings das Ausmaß einer möglicherweise absichtlich herbeigeführten Havarie deutlich

I IT Sicherheit – auch für Sub-KRITIS Prozesse

Beispiel Verden

• Rohrleitung des Faulturms defekt,

die gesamten Kellerräume wurden

mit Faulschlamm geflutet

• Betrieb über längeren Zeitraum

erheblich gestört

• Schäden in Millionenhöhe

https://www.kreiszeitung.de/lokales/verden/verden-ort47274/wohin-klaerschlamm-10183459.html

Page 9: WASSER- WIRTSCHAFT...BSI WARNT VOR GEZIELTEN RANSOMWARE-ANGRIFFEN AUF UNTERNEHMEN WARNUNG DES BSI I IT Sicherheit –auch für Sub-KRITIS Prozesse „Wir erleben derzeit die massenhafte

© GELSENWASSER AG I

AUSBREITUNG VON SCHADSOFTWARE

WIE FUNKTIONIEREN ANGRIFFE AUF NETZWERKE?

Büronetz

Firewall

Command &

ControlInternet

ProzessnetzFirewall

Quelle: Rainer Stecken DVGW Service & Consult GmbH

27. Juni 2019Seite 9 I IT Sicherheit – auch für Sub-KRITIS Prozesse

Page 10: WASSER- WIRTSCHAFT...BSI WARNT VOR GEZIELTEN RANSOMWARE-ANGRIFFEN AUF UNTERNEHMEN WARNUNG DES BSI I IT Sicherheit –auch für Sub-KRITIS Prozesse „Wir erleben derzeit die massenhafte

© GELSENWASSER AG I 27. Juni 2019Seite 10

WAS WOLLEN WIR ERREICHEN ?

SCHUTZZIELE

Verfügbarkeit Integrität

Vertraulichkeit Authentizität

I IT Sicherheit – auch für Sub-KRITIS Prozesse

Mehr als 50 % der Bevölkerung durch „NICHTKRITIS“ versorgt

Page 11: WASSER- WIRTSCHAFT...BSI WARNT VOR GEZIELTEN RANSOMWARE-ANGRIFFEN AUF UNTERNEHMEN WARNUNG DES BSI I IT Sicherheit –auch für Sub-KRITIS Prozesse „Wir erleben derzeit die massenhafte

© GELSENWASSER AG I

WEGE ZUR SYSTEMATISCHEN VORGEHENSWEISE

27. Juni 2019I IT Sicherheit – auch für Sub-KRITIS ProzesseSeite 11

WELCHE WEGE GIBT ES ?

ISMS nach ISO 27001

B3S WA

IEC 62443gesunder

Menschenverstand

+

Page 12: WASSER- WIRTSCHAFT...BSI WARNT VOR GEZIELTEN RANSOMWARE-ANGRIFFEN AUF UNTERNEHMEN WARNUNG DES BSI I IT Sicherheit –auch für Sub-KRITIS Prozesse „Wir erleben derzeit die massenhafte

© GELSENWASSER AG I

DER B3S-PROZESS

27. Juni 2019I IT Sicherheit – auch für Sub-KRITIS ProzesseSeite 12

DURCH BRANCHENEXPERTISE ANWENDUNGSFÄLLE VORSELEKTIERT

Page 13: WASSER- WIRTSCHAFT...BSI WARNT VOR GEZIELTEN RANSOMWARE-ANGRIFFEN AUF UNTERNEHMEN WARNUNG DES BSI I IT Sicherheit –auch für Sub-KRITIS Prozesse „Wir erleben derzeit die massenhafte

© GELSENWASSER AG I

ANFORDERUNG VS. UMSETZUNG→ 1. Objektabgrenzung

→ 2. Assetregister, Netzplan

→ 3. Anwendungsfallliste

Risikoworkshop

→ 4. Risikotabelle

Maßnahmenworkshop

→ 5. Maßnahmenplan

Umsetzung der Schutzmaßnahmen

→ 6. Maßnahmendokumentation

und technische Umsetzung

Qu

elle

: D

VG

W W

106

0 / D

WA

M 1

06

0

Seite 13 I IT Sicherheit – auch für Sub-KRITIS Prozesse 27. Juni 2019

Page 14: WASSER- WIRTSCHAFT...BSI WARNT VOR GEZIELTEN RANSOMWARE-ANGRIFFEN AUF UNTERNEHMEN WARNUNG DES BSI I IT Sicherheit –auch für Sub-KRITIS Prozesse „Wir erleben derzeit die massenhafte

© GELSENWASSER AG I

„JEDEN TAG EIN BISSCHEN BESSER WERDEN“

LESSONS LEARNED B3S WA

20.06.2018

Seite 14 I IT Sicherheit – auch für Sub-KRITIS Prozesse 27. Juni 2019

• Zutritts-, Zugangs-, Zugriffskonzepte

• Rollen auf allen Systemen prüfen

• Patchmanagement / Altsysteme

• Fachlich intensiver Austausch aller

Beteiligten

• Es ist nicht entscheidend, alle

Maßnahmen sofort zu 100 %

umzusetzen !

• Alle Gespräche fördern

Bewusstsein für IT-Sicherheit

• Integration in ein bestehendes

ISMS möglich !

Page 15: WASSER- WIRTSCHAFT...BSI WARNT VOR GEZIELTEN RANSOMWARE-ANGRIFFEN AUF UNTERNEHMEN WARNUNG DES BSI I IT Sicherheit –auch für Sub-KRITIS Prozesse „Wir erleben derzeit die massenhafte

© GELSENWASSER AG I

AUSBLICKWIEDERHOLUNG 2 JAHRE

• Prüfung B3S alle zwei Jahre

• B3S Anpassung an modernisierten Grundschutz kommt:

IND: Industrielle IT

IND.1 Betriebs- und

Steuerungstechnik

IND.2.1 Allgemeine

ICS-Komponente

IND.2.2 Speicherprogrammier-

bare Steuerung (SPS)

IND.2.3 Sensoren und Aktoren

IND.2.4 Maschine

Seite 15 I IT Sicherheit – auch für Sub-KRITIS Prozesse 27. Juni 2019

Page 16: WASSER- WIRTSCHAFT...BSI WARNT VOR GEZIELTEN RANSOMWARE-ANGRIFFEN AUF UNTERNEHMEN WARNUNG DES BSI I IT Sicherheit –auch für Sub-KRITIS Prozesse „Wir erleben derzeit die massenhafte

© GELSENWASSER AG IEinfache Maßnahmen zur Steigerung der Informationssicherheit16

WENN MAN DEN FACHLEUTEN ZUHÖRT

PASSWÖRTER

… sind mindestens 12 Zeichen lang

… werden nicht wiederverwendet

… enthalten Groß- und Kleinbuchstaben, Zahlen und Sonderzeichen

… findet man nicht im Wörterbuch

… lassen sich nicht aus dem Nutzerkontext ableiten

(Namen der Kinder etc.)

… werden NIE doppelt benutzt (auf mehr als einer Seite / Netz)

27. Juni 2019

Page 17: WASSER- WIRTSCHAFT...BSI WARNT VOR GEZIELTEN RANSOMWARE-ANGRIFFEN AUF UNTERNEHMEN WARNUNG DES BSI I IT Sicherheit –auch für Sub-KRITIS Prozesse „Wir erleben derzeit die massenhafte

© GELSENWASSER AG ISeite 17

HANDLUGSEMPFEHLUNGEN

I IT Sicherheit – auch für Sub-KRITIS Prozesse 27. Juni 2019

… Sicherer Umgang mit E-Mail – im Zweifel NICHT öffnen

… Standard Passwörter ersetzen https://haveibeenpwned.com

… Keepass verwenden https://keepass.info/download.html

… Trennung der IT- von den OT-Netzen

… Absicherung Netzübergänge → besonders bei Fernwartungen !

… Datensicherung erstellen

… Wiederherstellungskonzept – Test Backup einspielen ?!

Page 18: WASSER- WIRTSCHAFT...BSI WARNT VOR GEZIELTEN RANSOMWARE-ANGRIFFEN AUF UNTERNEHMEN WARNUNG DES BSI I IT Sicherheit –auch für Sub-KRITIS Prozesse „Wir erleben derzeit die massenhafte

© GELSENWASSER AG ISeite 18

HANDLUGSEMPFEHLUNGEN

I IT Sicherheit – auch für Sub-KRITIS Prozesse 27. Juni 2019

… Wer hat auf welche Systeme Zugriff ?

Umgang mit ausscheidenden Mitarbeitern ?

… Welche Hardware, Software, Daten sind im System ?

… Systeme nach „Störung“ wieder in Betrieb nehmen ?

… Wer kommuniziert eigentlich in unseren Netzen MONITORING ?

… Der Prozess des B3S ist auch für „nicht KRITIS“ eine gute Alternative,

seine organisatorischen und technischen IT-Strukturen betriebsnah zu

analysieren.

Page 19: WASSER- WIRTSCHAFT...BSI WARNT VOR GEZIELTEN RANSOMWARE-ANGRIFFEN AUF UNTERNEHMEN WARNUNG DES BSI I IT Sicherheit –auch für Sub-KRITIS Prozesse „Wir erleben derzeit die massenhafte

© GELSENWASSER AG I 5. Juli 2019IT Sicherheit – auch für Sub-KRITIS ProzesseSeite 19

STRATEGIE FÜR DIE ZUKUNFT

AUSBLICK

› Standardprotokolle dominieren die OT und das IOT (OPC/UA?)

› Cloud Computing / Fog Computing

› Pay as you go!

Angriffe können teuer werden…

Page 20: WASSER- WIRTSCHAFT...BSI WARNT VOR GEZIELTEN RANSOMWARE-ANGRIFFEN AUF UNTERNEHMEN WARNUNG DES BSI I IT Sicherheit –auch für Sub-KRITIS Prozesse „Wir erleben derzeit die massenhafte

VIELEN DANK …

UND ALLZEIT

VERFÜGBARE

SYSTEME!