Auf dem richtigen Weg? - DFN-CERT · − ISO 27001 Lead Auditor, BS 25999 Lead Auditor, COBIT...
Transcript of Auf dem richtigen Weg? - DFN-CERT · − ISO 27001 Lead Auditor, BS 25999 Lead Auditor, COBIT...
1© 2016 KPMG AG Wirtschaftsprüfungsgesellschaft, ein Mitglied des KPMG-Netzwerks unabhängiger Mitgliedsfirmen, die KPMG International Cooperative(„KPMG International“), einer juristischen Person schweizerischen Rechts, angeschlossen sind. Alle Rechte vorbehalten.
Auf dem richtigen Weg?Das IT-Sicherheitsgesetz zum Schutz kritischer Infrastrukturen—10. Februar 2016
2© 2016 KPMG AG Wirtschaftsprüfungsgesellschaft, ein Mitglied des KPMG-Netzwerks unabhängiger Mitgliedsfirmen, die KPMG International Cooperative(„KPMG International“), einer juristischen Person schweizerischen Rechts, angeschlossen sind. Alle Rechte vorbehalten.
Wer wir sindKurzvorstellung KPMG
Wilhelm Dolle ([email protected])Partner Security Consulting KPMG und Geschäftsführer KPMG Cert GmbH
− 10 Jahre Grundschutzauditor, Mitautor von BSI IT-Grundschutz
− ISO 27001 Lead Auditor, BS 25999 Lead Auditor, COBIT-/PRINCE2-/ITIL-zertifiziert
− Schwerpunkte: IT-Strategie, Risiko- und Sicherheitsanalysen, ISMS, Penetrationstests und digitale Forensik
− langjährige Beschäftigung mit regulatorischen Anforderungen und rechtlichen Rahmenbedingungen von Informationssicherheit und IT-Risikomanagement
Hanna Lurz ([email protected])Senior Associate, Security Consulting KPMG
− Wirtschaftsinformatikerin
− ISO 27001 Lead Auditor
− Schwerpunkte: ISMS, Kritische Infrastrukturen, Security Awareness
3© 2016 KPMG AG Wirtschaftsprüfungsgesellschaft, ein Mitglied des KPMG-Netzwerks unabhängiger Mitgliedsfirmen, die KPMG International Cooperative(„KPMG International“), einer juristischen Person schweizerischen Rechts, angeschlossen sind. Alle Rechte vorbehalten.
Was wir tunKurzvorstellung KPMG
4© 2016 KPMG AG Wirtschaftsprüfungsgesellschaft, ein Mitglied des KPMG-Netzwerks unabhängiger Mitgliedsfirmen, die KPMG International Cooperative(„KPMG International“), einer juristischen Person schweizerischen Rechts, angeschlossen sind. Alle Rechte vorbehalten.
Einführung in KRITIS
5© 2016 KPMG AG Wirtschaftsprüfungsgesellschaft, ein Mitglied des KPMG-Netzwerks unabhängiger Mitgliedsfirmen, die KPMG International Cooperative(„KPMG International“), einer juristischen Person schweizerischen Rechts, angeschlossen sind. Alle Rechte vorbehalten.
KRITIS-Definition in DeutschlandEinführung in KRITIS
Kritische Infrastrukturen (KRITIS) sind Organisationen oder Einrichtungen mit wichtiger Bedeutung für das staatliche Gemeinwesen, bei deren Ausfall oder Beeinträchtigung
nachhaltig wirkende Versorgungsengpässe, erhebliche Störungen der öffentlichen Sicherheit oder andere dramatische Folgen
eintreten würden
“
„Bundesamt für Bevölkerungsschutz und Katastrophenhilfe
6© 2016 KPMG AG Wirtschaftsprüfungsgesellschaft, ein Mitglied des KPMG-Netzwerks unabhängiger Mitgliedsfirmen, die KPMG International Cooperative(„KPMG International“), einer juristischen Person schweizerischen Rechts, angeschlossen sind. Alle Rechte vorbehalten.
KRITIS und das IT-SicherheitsgesetzEinführung in KRITIS
Kritische Infrastrukturen (KRITIS)
— Das BMI legt fest, wer KRITIS ist und somit unter das IT-Sicherheitsgesetz fällt.
— Das Bundesamt für Sicherheit in der Informationstechnik ist verantwortlich für Mindeststandards der IT-Sicherheit.
IT-Sicherheitsgesetz (IT-SiG)
— Ist die nationale Implemen-tierung der EU NIS Richtlinie.
— Kritische Infrastrukturen sollen vor Cyberangriffen geschützt werden.
— KRITIS-Betreiber müssen hierzu verschiedene Anforderungen an Informationssicherheit erfüllen.
— KPMG schätzt die Kosten für Meldungen für die Wirtschaft auf über 1,1 Mrd. Euro.
7© 2016 KPMG AG Wirtschaftsprüfungsgesellschaft, ein Mitglied des KPMG-Netzwerks unabhängiger Mitgliedsfirmen, die KPMG International Cooperative(„KPMG International“), einer juristischen Person schweizerischen Rechts, angeschlossen sind. Alle Rechte vorbehalten.
KRITIS-SektorenEinführung in KRITIS
8© 2016 KPMG AG Wirtschaftsprüfungsgesellschaft, ein Mitglied des KPMG-Netzwerks unabhängiger Mitgliedsfirmen, die KPMG International Cooperative(„KPMG International“), einer juristischen Person schweizerischen Rechts, angeschlossen sind. Alle Rechte vorbehalten.
Am 05.02.2016 hat das Bundesinnenministeriumden Entwurf einer ersten ergänzenden Rechtsverordnung zum IT-Sicherheitsgesetz veröffentlicht. Der Entwurf ist hier verfügbar.
Bestimmung Kritischer InfrastrukturenEinführung in KRITIS
Energie
IKT
Wasser
Ernährung
320 Anlagenz. B. „Leistung Stromerzeugung/-speicherung ≥ 420 MW/Jahr“
30 Anlagen (plus TKG-regulierte Anlagen)z. B. „Datenvolumen eines Content Delivery Networks ≥ 75.000 TByte/Jahr“
230 Anlagenz. B. „Leistung Trinkwassergewinnung/-aufbereitung ≥ 21,9 Mio. m³/Jah“r
70 Anlagenz. B. „Leistung Lagerung/Umschlag von Lebensmitteln ≥ 334.000 t/Jahr“
9© 2016 KPMG AG Wirtschaftsprüfungsgesellschaft, ein Mitglied des KPMG-Netzwerks unabhängiger Mitgliedsfirmen, die KPMG International Cooperative(„KPMG International“), einer juristischen Person schweizerischen Rechts, angeschlossen sind. Alle Rechte vorbehalten.
Das IT-Sicherheitsgesetz
10© 2016 KPMG AG Wirtschaftsprüfungsgesellschaft, ein Mitglied des KPMG-Netzwerks unabhängiger Mitgliedsfirmen, die KPMG International Cooperative(„KPMG International“), einer juristischen Person schweizerischen Rechts, angeschlossen sind. Alle Rechte vorbehalten.
Zeitliche EntwicklungDas IT-Sicherheitsgesetz
25.07.2015 2016 2017 2018 2020
Inkrafttreten des IT-Sicherheitsgesetzes
Verpflichtung zur Einhaltungund zum Nachweis von Sicherheitsstandards und Meldung erheblicher Störungen
Ergänzende Rechtsverordnung
Evaluierung des IT-Sicherheitsgesetzes
und erste Nachweise
Nennung einerKontaktstelle
11© 2016 KPMG AG Wirtschaftsprüfungsgesellschaft, ein Mitglied des KPMG-Netzwerks unabhängiger Mitgliedsfirmen, die KPMG International Cooperative(„KPMG International“), einer juristischen Person schweizerischen Rechts, angeschlossen sind. Alle Rechte vorbehalten.
ZielsetzungDas IT-Sicherheitsgesetz
Thomas de Maizière
… dass das Netz sicherer wird und die digitalen Infrastrukturen Deutschlands künftig zu den sichersten weltweit gehören.
“„
12© 2016 KPMG AG Wirtschaftsprüfungsgesellschaft, ein Mitglied des KPMG-Netzwerks unabhängiger Mitgliedsfirmen, die KPMG International Cooperative(„KPMG International“), einer juristischen Person schweizerischen Rechts, angeschlossen sind. Alle Rechte vorbehalten.
Sektoren im GeltungsbereichDas IT-Sicherheitsgesetz
Gesundheit
IKT Transport und VerkehrEnergie
Finanz- und Versicherungswesen
Wasser
Ernährung
Sozioökonomische Infrastruktur
Technische Infrastruktur
13© 2016 KPMG AG Wirtschaftsprüfungsgesellschaft, ein Mitglied des KPMG-Netzwerks unabhängiger Mitgliedsfirmen, die KPMG International Cooperative(„KPMG International“), einer juristischen Person schweizerischen Rechts, angeschlossen sind. Alle Rechte vorbehalten.
Was ist mit den übrigen Sektoren?Das IT-Sicherheitsgesetz
Staat und Verwaltung Medien und Kultur
Bereits seit 2009 durch UP Bund reguliert:
− verbindliche Sicherheits-leitlinie für Bundesbehörden
− IT-Sicherheitsvorfälle müssen an das BSI gemeldet werden
− regelmäßige IS-Revision
Ist bislang nicht reguliert:
− fällt in den Zuständigkeitsbereich der Länder
− hier muss das IT-Sicherheitsgesetz in entsprechende Landesgesetze umgesetzt werden
14© 2016 KPMG AG Wirtschaftsprüfungsgesellschaft, ein Mitglied des KPMG-Netzwerks unabhängiger Mitgliedsfirmen, die KPMG International Cooperative(„KPMG International“), einer juristischen Person schweizerischen Rechts, angeschlossen sind. Alle Rechte vorbehalten.
Inhalte des GesetzesDas IT-Sicherheitsgesetz
Regelmäßiger NachweisBranchenspezifische Sicherheitsstandards
Meldung erheblicher Störungen
Mögliche Sanktionen Evaluation
15© 2016 KPMG AG Wirtschaftsprüfungsgesellschaft, ein Mitglied des KPMG-Netzwerks unabhängiger Mitgliedsfirmen, die KPMG International Cooperative(„KPMG International“), einer juristischen Person schweizerischen Rechts, angeschlossen sind. Alle Rechte vorbehalten.
MeldepflichtDas IT-Sicherheitsgesetz
− IT-Sicherheitsvorfälle müssen an das BSI oder die BNetzA gemeldet werden.
− Vorfälle und Ereignisse müssen beim Betreiber detektiert, analysiert und bewertet werden.
− Zu melden sind technische Rahmenbedingungen, Ursachen, betroffene Informationstechnik, Art der betroffenen Einrichtung/Anlage und Branche des Betreibers.
− Erfordert Organisation beim Mandanten für interne (IT, Produktion, Betrieb) sowie externe Meldewege (Ansprechpartner/CERT).
Auswirkungen
− Was sind Sicherheitsvorfälle?
− Welche Informationen müssen erfasst und gemeldet werden?
− Was für eine Meldeorganisation ist erforderlich und angemessen?
Fragestellungen
Der Entwurf der Verordnung schätzt den Erfüllungsaufwand der Meldepflicht fürdie Wirtschaft auf jährlich insgesamt 3 Millionen Euro
(660 Euro Aufwand/Meldung * 7 IT-Sicherheitsvorfälle/Anlage * 650 Anlagen).
16© 2016 KPMG AG Wirtschaftsprüfungsgesellschaft, ein Mitglied des KPMG-Netzwerks unabhängiger Mitgliedsfirmen, die KPMG International Cooperative(„KPMG International“), einer juristischen Person schweizerischen Rechts, angeschlossen sind. Alle Rechte vorbehalten.
MindeststandardsDas IT-Sicherheitsgesetz
− IT-Sicherheitsstandards müssen umgesetzt werden und Steuerungsorganisationen (ISMS) implementiert werden.
− Einsatz von IT im Betrieb muss durch geeignete Maßnahmen gesichert werden: ISO 27001 oder BSI IT-Grundschutz.
− Als „angemessen“ gelten Vorkehrungen, „wenn der dafür erforderliche Aufwand nicht außer Verhältnis zu den Folgen eines Ausfalls oder einer Beeinträchtigung der betroffenen Kritischen Infrastruktur steht.“
− KRITIS-Betreiber und ihre Branchenverbände können branchenspezifische Sicherheitsstandards entwickeln, die durch das BSI genehmigt werden müssen.
Auswirkungen
− Reicht mein aktuelles ISMS und meine Sicherheitsorganisation?
− Welchen Teil meines Betriebs betreffen die IT-Maßnahmen?
− Sind bereits vorhandene Sicherheitsmaßnahmen „angemessen“ und entsprechen diese dem „Stand der Technik“?
− Muss ich zertifiziert werden?
Fragestellungen
17© 2016 KPMG AG Wirtschaftsprüfungsgesellschaft, ein Mitglied des KPMG-Netzwerks unabhängiger Mitgliedsfirmen, die KPMG International Cooperative(„KPMG International“), einer juristischen Person schweizerischen Rechts, angeschlossen sind. Alle Rechte vorbehalten.
NachweisDas IT-Sicherheitsgesetz
− Die umgesetzten Mindeststandards für IT-Sicherheit müssen alle zwei Jahre durch geeignete Maßnahmen nachgewiesen werden.
− Die Ergebnisse der Überprüfung sind dem BSI oder der BNetzA zur Verfügung zu stellen.
− Liegen Sicherheitsmängel vor, kann das BSI die Übermittlung des gesamten Prüfberichts sowie die Beseitigung der Sicherheitsmängel verlangen.
Auswirkungen
− Was und wie wird untersucht?
− Wie bereite ich mich auf die Überprüfung vor?
− Wie kann ich bestehende Audits und Revisionen integrieren und Mehrfachbelastung minimieren?
Fragestellungen
18© 2016 KPMG AG Wirtschaftsprüfungsgesellschaft, ein Mitglied des KPMG-Netzwerks unabhängiger Mitgliedsfirmen, die KPMG International Cooperative(„KPMG International“), einer juristischen Person schweizerischen Rechts, angeschlossen sind. Alle Rechte vorbehalten.
Mögliche SanktionenDas IT-Sicherheitsgesetz
− Wenn KRITIS-Betreiber dem BSI sechs Monate nach Inkrafttreten des IT-Sicherheitsgesetzes keinen Ansprechpartner nennen.
− Wenn KRITIS-Betreiber erhebliche Störungen nicht melden.
− Wenn spätestens zwei Jahre nach Inkrafttreten des IT-Sicherheitsgesetzes keine angemessenen organisatorischen und technischen Maßnahmen zum Schutz ihrer Infrastruktur getroffen wurden.
− Wenn Audit-, Prüfungs- oder Zertifizierungsergebnisse nicht an das BSI übermittelt wurden.
Bußgelder bis 50.000 EUR
− Wenn Sicherheitsmängel „im Einvernehmen mit der zuständigen Aufsichtsbehörde des Bundes“ nicht beseitigt wurden.
Bußgelder bis 100.000 EUR
19© 2016 KPMG AG Wirtschaftsprüfungsgesellschaft, ein Mitglied des KPMG-Netzwerks unabhängiger Mitgliedsfirmen, die KPMG International Cooperative(„KPMG International“), einer juristischen Person schweizerischen Rechts, angeschlossen sind. Alle Rechte vorbehalten.
Evaluation des GesetzesDas IT-Sicherheitsgesetz
− 4 Jahre nach Inkrafttreten werden Artikel 1 Nummer 2, 7 und 8 des IT-Sicherheitsgesetzes überprüft:
Definition und Festlegung Kritischer Infrastruktur,
Anforderungen an Betreiber Kritischer Infrastruktur,
Zuständigkeiten einzelner Bundesbehörden.
− Die Evaluation findet laut IT-Sicherheitsgesetz „unter Einbeziehung eines wissenschaftlichen Sachverständigen, der im Einvernehmen mit dem Deutschen Bundestag bestellt wird“, statt.Evaluation
20© 2016 KPMG AG Wirtschaftsprüfungsgesellschaft, ein Mitglied des KPMG-Netzwerks unabhängiger Mitgliedsfirmen, die KPMG International Cooperative(„KPMG International“), einer juristischen Person schweizerischen Rechts, angeschlossen sind. Alle Rechte vorbehalten.
Herangehens-weise bei der Umsetzung
21© 2016 KPMG AG Wirtschaftsprüfungsgesellschaft, ein Mitglied des KPMG-Netzwerks unabhängiger Mitgliedsfirmen, die KPMG International Cooperative(„KPMG International“), einer juristischen Person schweizerischen Rechts, angeschlossen sind. Alle Rechte vorbehalten.
Pauschaler Ansatz nicht möglichHerangehensweise bei der Umsetzung
Große Unternehmen und Konzerne
Kleine und mittel-ständische Unternehmen
− vorhandene IT-Sicherheits-strukturen
− Überprüfung auf Compliance mit dem IT-Sicherheitsgesetz
− Ggf. Nachbessern in einzelnen Bereichen
− geringe bis keine IT-Sicherheits-strukturen
− Aufbau eines schlanken Umsetzungs- und Bedarfsplan
− Umsetzung in exakt definiertem Scope mit möglichst wenig Betriebsbeeinträchtigung
22© 2016 KPMG AG Wirtschaftsprüfungsgesellschaft, ein Mitglied des KPMG-Netzwerks unabhängiger Mitgliedsfirmen, die KPMG International Cooperative(„KPMG International“), einer juristischen Person schweizerischen Rechts, angeschlossen sind. Alle Rechte vorbehalten.
Herangehensweise bei der Umsetzung
Vorgehen in vier Schritten
Betroffenheitsanalyse
Branchenstandards
ISMS inkl. Maßnahmen
Meldeorganisation
Zählen die Organisation oder Teile dieser zu KRITIS?
Welche konkreten Prozesse und Anlagen sind betroffen?
Sind sektor- oder branchenspezifischen Merkmale
zu berücksichtigen?
Können daraus branchenspezifische Mindest-standards entwickelt werden?
Ist das ISMS bedarfsgerecht und praktikabel und erfüllt
dennoch alle Anforderungen?
Sind ganzheitliche Prozesse und Sicherheitsmaßnahmen
etabliert?
Werden Sicherheitsvorfälle zeitnah erkannt und
angemessen analysiert?
Sind Meldewege innerhalb der Organisation und mit BSI/BNetzA etabliert?
Mittels Zertifizierung kann der Nachweis erbracht werden, dass alle Anforderungen erfüllt sind. Standards hierzu sind ISO 27001 oder BSI IT-Grundschutz.
23© 2016 KPMG AG Wirtschaftsprüfungsgesellschaft, ein Mitglied des KPMG-Netzwerks unabhängiger Mitgliedsfirmen, die KPMG International Cooperative(„KPMG International“), einer juristischen Person schweizerischen Rechts, angeschlossen sind. Alle Rechte vorbehalten.
Auswirkungen auf öffentliche und wissenschaftliche Einrichtungen
Herangehensweise bei der Umsetzung
Direkter Bezug zu KRITISEinrichtungen, die direkt als
KRITIS identifiziert werden können
z. B. Stadtwerke, Verkehrs-betriebe, Forschungs-
einrichtungen mit Laboren, Universitätskliniken
Indirekter Bezug zu KRITISUnternehmen, die in Liefer- und
Dienstleistungsketten von KRITIS-Betreibern eingebunden sind
z. B. Rechenzentrumsbetreiber für Universitätskliniken
Änderungen des TMG
Technische und organisatorische Vorkehrungen müssen Telemedienangebote gegen unerlaubten Zugriff und Verletzungen des Schutzes personenbezogener Daten absichern
24© 2016 KPMG AG Wirtschaftsprüfungsgesellschaft, ein Mitglied des KPMG-Netzwerks unabhängiger Mitgliedsfirmen, die KPMG International Cooperative(„KPMG International“), einer juristischen Person schweizerischen Rechts, angeschlossen sind. Alle Rechte vorbehalten.
Königs- oder Holzweg?Herangehensweise bei der Umsetzung
Informationssicherheit wird endlich zum ThemaInformationssicherheit wird stärker wahrgenommen und diskutiert.
Das BSI wird in seiner Position gestärkt (Personal, Know-how, Befugnisse).
Das Sicherheitslagebild in Deutschland soll verbessert werden.
In vielen Punkten bleibt das Gesetz allein zu unspezifischHard- und Softwareanbieter werden nicht zu mehr Sicherheit verpflichtet.
Im Fokus steht primär das Schutzziel Verfügbarkeit.
Die konkrete Anwendung in einem internationalen Kontext ist bislang nicht geklärt.
Ohne pragmatische Branchenstandards bleibt das Gesetz lediglich ein „Papiertiger“.
25© 2016 KPMG AG Wirtschaftsprüfungsgesellschaft, ein Mitglied des KPMG-Netzwerks unabhängiger Mitgliedsfirmen, die KPMG International Cooperative(„KPMG International“), einer juristischen Person schweizerischen Rechts, angeschlossen sind. Alle Rechte vorbehalten.
Ihre Fragen
Die enthaltenen Informationen sind allgemeiner Natur und nicht auf die spezielle Situation einer Einzelperson oder einer juristischen Person ausgerichtet. Obwohl wir uns bemühen, zuverlässige und aktuelle Informationen zu liefern, können wir nicht garantieren, dass diese Informationen so zutreffend sind wie zum Zeitpunkt ihres Eingangs oder dass sie auch in Zukunft so zutreffend sein werden. Niemand sollte aufgrund dieser Informationen handeln ohne geeigneten fachlichen Rat und ohne gründliche Analyse der betreffenden Situation.
© 20XX KPMG AG Wirtschaftsprüfungsgesellschaft, ein Mitglied des KPMG-Netzwerks unabhängiger Mitgliedsfirmen, die KPMG International Cooperative („KPMG International“), einer juristischen Person schweizerischen Rechts, angeschlossen sind. Alle Rechte vorbehalten. Der Name KPMG und das Logo sind eingetragene Markenzeichen von KPMG International.
kpmg.de
kpmg.de/itsicherheitsgesetz
Ihre Ansprechpartner
Wilhelm DollePartner, Security ConsultingT +49 30 [email protected]
KPMG AG WirtschaftsprüfungsgesellschaftKlingelhöferstraße 1810785 Berlin
Hanna LurzSenior Associate, Security ConsultingT +49 511 [email protected]
KPMG AG WirtschaftsprüfungsgesellschaftOsterstraße 4030159 Hannover