Upload
kilian-weiser
View
105
Download
3
Embed Size (px)
Citation preview
Institut für Internet-Sicherheithttp://ifis.fh-gelsenkirchen.deFachhochschule Gelsenkirchen
Schult-Heidkamp, [email protected]
Internet als kritische InfrastrukturInternet als kritische Infrastruktur
Was bedeutet kritisch und wann wird es kritisch?
2 A
UT
OR
, In
stitu
t fü
r In
tern
et-S
iche
rhei
t (if
is)
Einleitung
Definition kritischer Infrastrukturen
Schutz und Bedrohung kritischer Infrastrukturen
Aktivitäten in Deutschland
Kritis Ansätze
AKIS Methode
Sicht eines betroffenen Unternehmens
Aktuellste Publikation des BSI
Fazit
AgendaAgenda
3 A
UT
OR
, In
stitu
t fü
r In
tern
et-S
iche
rhei
t (if
is)
EinleitungEinleitung
Das BSI (Bundesamt für Sicherheit in der Informationstechnologie) bezeichnet das Internet nicht als klassich kritische Infrastruktur.
Steigender Einsatz von Informationtechnologie (IT)
steigende Verwundbarkeit und Abhängigkeit
Arbeitsbereiche sind bereits abhängig von der Informations- und Kommunikationstechnologie (IuK).
Kernfrage: Hat der Ausfall der IuK Auswirkungen auf die Gesellschaft/Wirtschaft ?
Konzept „Schutz Kritischer Infrastrukturen (Kritis)“ ist nicht mit der „IT-Sicherheit“ zu verwechseln,da nicht nur die technikorientierte Sichtweise einbezieht, sondern von gesamtstaatlichen bzw. gesamtgesellschaftlichen Risiken ausgeht.
Sachverhalt, (Ausfall des Internets) aus Sicht von Unternehmen.
4 A
UT
OR
, In
stitu
t fü
r In
tern
et-S
iche
rhei
t (if
is)
Einleitung
Definition kritischer Infrastrukturen
Schutz und Bedrohung kritischer Infrastrukturen
Aktivitäten in Deutschland
Kritis Ansätze
AKIS Methode
Sicht eines betroffenen Unternehmens
Aktuellste Publikation des BSI
Fazit
AgendaAgenda
5 A
UT
OR
, In
stitu
t fü
r In
tern
et-S
iche
rhei
t (if
is)
Definition kritischer Definition kritischer Infrastrukturen (klassisch)Infrastrukturen (klassisch)
Definition: „Kritische Infrastrukturen sind Organisationen und Einrichtungen, mit (lebens-) wichtiger Bedeutung für das staatliche Gemeinwesen, bei deren Ausfall oder Beeinträchtigungen Versorgungsengpässe, erhebliche Störungen der öffentlichen Sicherheit oder andere dramatische Folgen eintreten würden.“ (Quelle: BSI, Wikipedia)
BSI definiert acht kritische Infrastrukturen, ohne die Staat und Wirtschaft nicht funktionieren.
Transport und Verkehr
Luftfahrt
Bahn
Nahverkehr
Binnenschifffahrt
Straße und Postwese
6 A
UT
OR
, In
stitu
t fü
r In
tern
et-S
iche
rhei
t (if
is)
Definition kritischer Definition kritischer Infrastrukturen (klassisch)Infrastrukturen (klassisch)
Energie
Elektrizität
Kernkraftwerk
Gas
Mineralöl
Gefahrenstoffe
Chemie und Biostoffe
Gefahrgüter
Rüstungsindustrie
Informations- und Telekommunikationstechnik
Informationserstellung (Messdaten, Berichte, Meldungen etc.)
Datenverwaltung und Datenspeicherung (Datenbanken, Server etc.)
Informationsverarbeitung (z. B. Prozessoren)
Informationsübertragung (z. B. Vermittlungsknoten)
(Online-Dienste, Provider )
(Neben den klassischen Informationsübertragungsmitteln wie Telefon, Funk und Rundfunk kommt vor allem modernen Techniken wie Mobilfunkdiensten und Internet eine Schlüsselaufgabe zu.) Zusatz Information, Quelle BSI
7 A
UT
OR
, In
stitu
t fü
r In
tern
et-S
iche
rhei
t (if
is)
Definition kritischer Definition kritischer Infrastrukturen (klassisch)Infrastrukturen (klassisch)
Finanz-, Geld- und Versicherungswesen
Banken
Versicherungen
Finanzdienstleister
Börsen
Versorgung
Gesundheits-, Notfall-, Rettungswesen
Katastophenschutz
Lebensmittel- und Trinkwasserversorgung
Behörden, Verwaltung und Justiz
Polizei
Zoll
Bundeswehr
Sonstige
Medien
Großforschungseinrichtung,Herausragende oder symbolträchtige Bauwerke (Kölner Dom)
Kulturgut
8 A
UT
OR
, In
stitu
t fü
r In
tern
et-S
iche
rhei
t (if
is)
Einleitung
Definition kritischer Infrastrukturen
Schutz und Bedrohung kritischer Infrastrukturen
Aktivitäten in Deutschland
Kritis Ansätze
AKIS Methode
Sicht eines betroffenen Unternehmens
Aktuellste Publikation des BSI
Fazit
AgendaAgenda
9 A
UT
OR
, In
stitu
t fü
r In
tern
et-S
iche
rhei
t (if
is)
Schutz kritischer Schutz kritischer Infrastrukturen Infrastrukturen
IT-Sicherheit leistet eine wichtigen Beitrag zum Schutz kritischer Infrastrukturen.
Ein umfassendes Sicherheitskonzept ist dazu notwendig, welches mehr als nur technische Maßnahmen beinhaltet.
Die Auswirkungen bei einer Störung auf Staat und Gesellschaft müssen auf ein Minimum beschränkt werden
technischen Ursachen der Störungen beheben
verbesserte Kooperation von Staat, Wirtschaft und Gesellschaft notwendig.
10 A
UT
OR
, In
stitu
t fü
r In
tern
et-S
iche
rhei
t (if
is)
Bedrohung kritischer Bedrohung kritischer InfrastrukturenInfrastrukturen
Im modernen Informationszeitalter gehen Attacken nicht nur gegen IT-Systeme, sondern werden durch IT-Systeme ermöglicht. Angreifer können aus einer „sicheren“ Umgebung eine Attacke ausführen (Inhalt aus Netzwerksicherheit).
Gestern:
Funktionsfähigkeit der Infrastrukturen nur lokal zu beeinträchtigen
Wenig überregionale Vernetzung
Heute:
Vernetzung in und zwischen den Sektoren durch IT
Überregionale und staatenübergreifende Beziehungen
Zusammenarbeit bei Bereitstellung von Dienstleistungen
Morgen:
Großflächige Störungen und Ausfälle werden wahrscheinlicher
Vorsätzliche Auslösung großflächiger Ausfälle nicht mehr auszuschließen
Vorfälle im Ausland können zum Problem für die Innere Sicherheit
werden
11 A
UT
OR
, In
stitu
t fü
r In
tern
et-S
iche
rhei
t (if
is)
Bedrohung kritischer Bedrohung kritischer InfrastrukturenInfrastrukturen
Höhere Gewalt
Unfall / Versehen
Baumaßnahmen
Im Gebäude
Extern
Umwelt
Naturereignis (Blitz etc.)
Naturkatastrophe (Orkan etc.)
Krieg
Organisatorische Mängel
Fehlende Ressourcen
Fehlende Unterstützung durchs Management
Mangelnde Zuständigkeitsregelung,
Kompetenzübertragung, Vertreterregelung
Mangelnde Kommunikation / Informationsfluss
Externe Abhängigkeiten
Outsourcing
Externe Lieferungen
Unzureichende Umsetzung / Kontrolle der Umsetzung
12 A
UT
OR
, In
stitu
t fü
r In
tern
et-S
iche
rhei
t (if
is)
Bedrohung kritischer Bedrohung kritischer InfrastrukturenInfrastrukturen
Menschliche Fehlhandlungen
Formen einer Fehlhandlung
Fehlbedienung
Fehleinschätzung
Fehlverhalten
Überlastung / Überforderung
Unwissen / Unfähigkeit
Langeweile / Faulheit
Leichtsinn / Fahrlässigkeit
Verführung / Social Engeneering
Vorsätzliche Handlungen
Potenzielle Angreifer
13 A
UT
OR
, In
stitu
t fü
r In
tern
et-S
iche
rhei
t (if
is)
Bedrohung kritischer Bedrohung kritischer InfrastrukturenInfrastrukturen
Technisches Versagen
Systembedingte Störungen / Ausfälle
Programmierfehler
System Bugs
Breite Anfälligkeit durch Einsatz von Monokulturen
Software (z.B. Microsoft)
Hardware (z.B. Cisco)
TK-Produkte
Störungen bei Updates
(Quelle BSI)
14 A
UT
OR
, In
stitu
t fü
r In
tern
et-S
iche
rhei
t (if
is)
Einleitung
Definition kritischer Infrastrukturen
Schutz und Bedrohung kritischer Infrastrukturen
Aktivitäten in Deutschland
Kritis Ansätze
AKIS Methode
Sicht eines betroffenen Unternehmens
Aktuellste Publikation des BSI
Fazit
AgendaAgenda
15 A
UT
OR
, In
stitu
t fü
r In
tern
et-S
iche
rhei
t (if
is)
Aktivitäten in DeutschlandAktivitäten in Deutschland
1997 gründete die BMI (Bundesministerium des Innern) die Arbeitsgruppe „Kritische Infrastrukturen“ (AG Kritis )
Aufgaben der AG Kritis:
Bestimmung potentieller Bedrohungszenarien
Prüfungen über Informationstechnik angreifbaren Infrastrukturen auf Schwachstellen
Benennen von Möglichkeiten zur Minimierung solcher Schwachstellen sowie zur Vermeidung oder zumindest Minderung des Schadens
Erarbeiten eines Vorschlags zur Errichtung eines ggf. erforderlichen Frühwarn- und Analysesystems.
16 A
UT
OR
, In
stitu
t fü
r In
tern
et-S
iche
rhei
t (if
is)
Aktivitäten in DeutschlandAktivitäten in Deutschland
Die AG Kritis berichtete bis zu ihrer Auflösung 1999 regelmäßig über Entwicklungen und Tendenzen im Bereich Kritis
Gründung der Projektgruppe Kritis (PG Kritis).
Referate IS 5 (physikalischer Schutz im Rahmen der Versorgung und des Katastrophenschutzes)
P II 1 (Bedrohungs- und Täterabwehr im Rahmen der polizeilichen Arbeit)
IT3 (Sicherheit in der Informationstechnik)
Ziel: gemeinsame Vorgehensweisen für den Schutz kritischer Infrastrukturen zu entwickeln
Public-Privat-Partnership: Initiative D21 ist ein gemeinnütziger, sektorenübergreifender Verein von über 300 Unternehmen.
Ziel: In Zusammenarbeit mit Politik und Verwaltung in Deutschland den Wandel von der Industrie- zur Informationsgesellschaft zu beschleunigen.
17 A
UT
OR
, In
stitu
t fü
r In
tern
et-S
iche
rhei
t (if
is)
Aktivitäten in DeutschlandAktivitäten in Deutschland
Initiative „Sicherheit im Netz“ des Bundesministeriums für Wirtschaft und Arbeit (BMWA)
Ziel : kleineren und mittelständigen Unternehmen das Bewusstsein der Notwendigkeit des sicheren E-Commerce zu schärfen.
Der „Arbeitskreis Schutz von Infrastrukturen“ (AKSIS) ist ein Zusammenschluss von Unternehmen und Behörden,
AKSIS Aufgaben:
Schaffung einer Vertrauensbasis zur gegenseitigen Information über Techniken und Verfahren zum Schutz der Infrastrukturen.
Austausch von Erfahrungen zu Risiken, Vorfällen und Problemen.
Schrittweise Sensibilisierung von Top-Manager, Politik und Öffentlichkeit
Abstimmung mit Initiativen von ähnlicher oder komplemäntärer Zielsetzung, z.B. KRITIS, D21
Förderung des internationalen Dialogs, z.B. mit den USA, der EU und mit Organisationen aus Nachbarländern
Etablieren eines Forums für Verträter international anerkannter Fachleute
Entwicklung denkbarer Szenarien und Bewertungen der Auswirkungen auf die Funktionsfähigkeit von Gesellschaft, Politik und Wirtschaft
Analyse der künftigen Rollen von Sicherheitsdiensten und Streitkräften bei massiven „Cyber-Attacken“, sowie den rechtlichen Implikationen
Unterstützung von öffentlichen-, privaten Partnerschaften zum Schutz kritischer Infrastrukturen.
18 A
UT
OR
, In
stitu
t fü
r In
tern
et-S
iche
rhei
t (if
is)
Aktivitäten in DeutschlandAktivitäten in Deutschland
CERT,2001 vom BSI eingerichtet und fungiert als zentrale Organisation für alle Bundesbehörden.
Mcert seit 2003 für kleinere und mittelständige Unternehemen
19 A
UT
OR
, In
stitu
t fü
r In
tern
et-S
iche
rhei
t (if
is)
Einleitung
Definition kritischer Infrastrukturen
Schutz und Bedrohung kritischer Infrastrukturen
Aktivitäten in Deutschland
Kritis Ansätze
AKIS Methode
Sicht eines betroffenen Unternehmens
Aktuellste Publikation des BSI
Fazit
AgendaAgenda
20 A
UT
OR
, In
stitu
t fü
r In
tern
et-S
iche
rhei
t (if
is)
KRITIS AnsätzeKRITIS Ansätze
Es existieren international drei verschiedene Ansätze
CCIP Ansatz: („Critical Information Infrastructure Protection“ ) USA
bezieht sich inhaltlich ausschließlich auf die Sicherheit und die Sicherung der IT-Verbindungen und IT-Lösungen innerhalb und zwischen den einzelnen Infrastrukturen
Schutz physischer Komponenten werden in einem separatem Bereich sichergestellt
Aufgaben auf verschiedene Organe verteilt
Integration der Privatwirtschaft
All Hazard Ansatz (wird als „Total Defense“ bezeichnet)
Schutz der IT-Kritis als auch den physischen Schutz kritischer Infrastrukturen.
Es werden keine Trennungen zwischen den einzelnen Komponenten gemacht.
21 A
UT
OR
, In
stitu
t fü
r In
tern
et-S
iche
rhei
t (if
is)
KRITIS AnsätzeKRITIS Ansätze
autoritärer Ansatz :
Staat das absolute Organe zum Schutz der Infrastruktur darstellt.
Signifikant für diesen Ansatz ist eine geringe Kooperation zwischen privatem und öffentlichen Sektor.
Hauptaufgabe ist vor allem die Sicherung der Staatsordnung und der staatstragenden Organe.
22 A
UT
OR
, In
stitu
t fü
r In
tern
et-S
iche
rhei
t (if
is)
KRITIS AnsätzeKRITIS Ansätze
23 A
UT
OR
, In
stitu
t fü
r In
tern
et-S
iche
rhei
t (if
is)
Einleitung
Definition kritischer Infrastrukturen
Schutz und Bedrohung kritischer Infrastrukturen
Aktivitäten in Deutschland
Kritis Ansätze
AKIS Methode
Sicht eines betroffenen Unternehmens
Aktuellste Publikation des BSI
Fazit
AgendaAgenda
24 A
UT
OR
, In
stitu
t fü
r In
tern
et-S
iche
rhei
t (if
is)
AKIS-MethodeAKIS-Methode
BSI hat ihre eigene Methode zur Analyse kritischer Infrastruktursektoren , die „AKIS-Methode“ entwickelt.
AKIS-Methode ist eine Kiritikalitätsbetrachtung und keine Risikoanalyse
Betrachtung ablaufender Geschäftsprozesse (Bargeldversorgung)
Analyse der Funktionsfähigkeit nicht auf die mögliche Beeinflussung, sondern viel wichtiger ist, ob generell eine Beeinflussung möglich ist.
Ergebnis: skalierbare Wertung der Kritikalität (hoch - niedrig)
Bewertung: Wahrscheinlichkeit, erwartende Auswirkung einer Störung Leitfaden: „Was sind die kritischen Prozesse der kritischen Infrastruktursektoren und welche Kritikalität weisen sie auf ?“
Kritikalitätsbeurteilung erhalten nur klar definierte Prozesse.
25 A
UT
OR
, In
stitu
t fü
r In
tern
et-S
iche
rhei
t (if
is)
AKIS-MethodeAKIS-Methode
Die AKIS-Methode untersucht immer nur einen der Sektoren..
26 A
UT
OR
, In
stitu
t fü
r In
tern
et-S
iche
rhei
t (if
is)
AKIS-MethodeAKIS-Methode
27 A
UT
OR
, In
stitu
t fü
r In
tern
et-S
iche
rhei
t (if
is)
AKIS-MethodeAKIS-Methode
Nur die Prozesse mit hoher Kritikalität werden auf ihre IT-Abhängigkeit untersucht.
Berücksichtigt wird, wie ein Sektor bereits mit einem spezifischen kritischen Prozess umgeht.
Experten hinzu ziehen, die den Schaden und die Ausfallwahrscheinlichkeit beurteilen können (keine Statistik).
Schäden: „unbedeutend“ bis „katastrophal“
Ausfallwahrscheinlichlichkeit: „sehr selten“ bis „fast sicher“
Beurteilungen werden in „Unternehmen“, „Sektor“ und „Gesellschaft“ unterteilt
28 A
UT
OR
, In
stitu
t fü
r In
tern
et-S
iche
rhei
t (if
is)
AKIS-MethodeAKIS-Methode
29 A
UT
OR
, In
stitu
t fü
r In
tern
et-S
iche
rhei
t (if
is)
AKIS-MethodeAKIS-Methode
Ebene 4 wird der Sektor auf seine IT-Abhängigkeit untersucht. Die AKIS-Methode soll vorrangig die IT-Abhängigkeit klären.
Abhängigkeit wird auf die Prozesse angewandt, welche eine höhere Kritikalität auf gesellschaftlicher Ebene besitzen.
Der Grad der IT-Abhängigkeit wird dann grob skaliert. Die Prozesse mit einer hohen IT-Abhängigkeit laufen nach dieser Skalierung ohne IT-Unterstützung nicht oder nur noch sehr eingeschränkt ab.
30 A
UT
OR
, In
stitu
t fü
r In
tern
et-S
iche
rhei
t (if
is)
AKIS-MethodeAKIS-Methode
Eben 5; Es haben zwei Faktoren Einfluss auf die Kritikalitätsmatrix
sektorinterne Mechanismen: Funktionsfähigkeit des gesamten Sektors kann von einem Prozeß abhängen, so dass entsprechende Schutzmaßnahmen ergriffen wurden. Insbesondere werden Maßnahmen ergriffen, welche die Auswirkung bei Störungen beschränken und einen schnellen Wiederanlauf sicherstellen.
Anspruchsdenken der Bevölkerung: Deutschland besitzt ein relativ hohes Anspruchsdenken bezüglich der Versorgungs- sicherheit von Infrastrukturdiensleistungen. (Ölknappheit, Telekom.).
31 A
UT
OR
, In
stitu
t fü
r In
tern
et-S
iche
rhei
t (if
is)
AKIS-MethodeAKIS-Methode
32 A
UT
OR
, In
stitu
t fü
r In
tern
et-S
iche
rhei
t (if
is)
AKIS-MethodeAKIS-Methode
33 A
UT
OR
, In
stitu
t fü
r In
tern
et-S
iche
rhei
t (if
is)
Einleitung
Definition kritischer Infrastrukturen
Schutz und Bedrohung kritischer Infrastrukturen
Aktivitäten in Deutschland
Kritis Ansätze
AKIS Methode
Sicht eines betroffenen Unternehmens
Aktuellste Publikation des BSI
Fazit
AgendaAgenda
34 A
UT
OR
, In
stitu
t fü
r In
tern
et-S
iche
rhei
t (if
is)
DATEV UnternehmenszahlenDATEV Unternehmenszahlen
Dienstleister aus dem Sektor 4 (I. u. T.)
ein Softwarehaus und IT-Dienstleister für Steuerberater, Wirtschaftsprüfer und Rechtsanwälte
Steuern, Enterprise Ressource Planning (ERP) sowie Organisation und Planung.
5.400 Mitarbeiter und einen Umsatz von 577 Millionen Euro (Stand 2004).
Die Steuerberater von rund zwei Drittel der mittelständischen deutschen Unternehmen erstellen die Finanzbuchführung mit der Datev Software. Dies entspricht etwas 2,4 Millionen Finanzbuchführungen.
Datev Druck- und Versandzentrum bringen monatlich etwa zwei Millionen Betriebswirtschaftliche Auswertungen auf den Weg.
35 A
UT
OR
, In
stitu
t fü
r In
tern
et-S
iche
rhei
t (if
is)
DATEV UnternehmenszahlenDATEV Unternehmenszahlen
Lohn- oder Gehaltsabrechnung von etwa jedes vierten sozialversicherungspflichtigen Arbeitnehmers wird mit Software der Datev berechnet.
428.000 gespeicherte Dokumente zu den Themen Steuer-, Handels- und Gesellschaftsrecht im Volltext
500.000 (täglich) mal Anwendersystem per Datenfernübertragung an die Großrechner im Datev- Rechenzentrum an
Kurzgesagt:
Die Datev ist DER IT-Dienstleister für die genannten Berufsgruppen!
36 A
UT
OR
, In
stitu
t fü
r In
tern
et-S
iche
rhei
t (if
is)
DATEV DATEV
Was, wenn das Internet ausfällt ?
Präventionsmaßnahmen
ISDN Leitung zum Datentransfer
Netzanbindung durch 3 autonomer Provider
Ausfall Datev Netzwerk: 1 Tag gering kritisch
z.B. Kanzlei 1 Tag nicht gewohnt arbeiten
-> Problem: termingebundene Prozeße
Ausfall Datev Netzwerk: 1 Woche eher kritisch
Z.B. Steuerberater (39 Tausend ) in ihrer Arbeit stark behindert/blockiert
-> Problem: 7 Millionen Lohnabrechnungen Arbeitnehmer unbearbeitet. (Wohnmiete,Kredite,etc)
Ausfall Firmennetzwerk Datev: 1 Woche eher kritisch
Rechenzentrum zwar unabhängig, aber nicht erreichbar durch Mitarbeiter (Kundenservice)
37 A
UT
OR
, In
stitu
t fü
r In
tern
et-S
iche
rhei
t (if
is)
Einleitung
Definition kritischer Infrastrukturen
Schutz und Bedrohung kritischer Infrastrukturen
Aktivitäten in Deutschland
Kritis Ansätze
AKIS Methode
Sicht eines betroffenen Unternehmens
Aktuellste Publikation des BSI
Fazit
AgendaAgenda
38 A
UT
OR
, In
stitu
t fü
r In
tern
et-S
iche
rhei
t (if
is)
NPSI – Nationaler Plan zum Schutz der NPSI – Nationaler Plan zum Schutz der InformationsinfrastrukturenInformationsinfrastrukturen
Otto Schilly stellte am 18 August 2005 den NPSI vor
„Nationalen Plan zum Schutz der Informationsinfrastrukturen“
Ziel: hohe Niveau der IT-Sicherheit in Deutschland in Zukunft weiter zu steigern.
Der Nationale Plan verfolgt drei strategische Ziele (15 formulierte Ziele):
Prävention: Informationsinfrastrukturen angemessen schützen
Reaktion: Wirkungsvoll bei IT-Sicherheitsvorfällen handeln
Nachhaltigkeit: Deutsche IT-Sicherheitskompetenz stärken – international Standards setzen
Zitat: „Wirtschaft und Gesellschaft nutzen intensiv moderne Informationstechnik (IT). Informationsinfrastrukturen gehören heute neben Straßen, Wasser- und Stromleitungen zu den nationalen Infrastrukturen, ohne die das private wie das berufliche Leben zum Stillstand käme.“
(Zusatz : INESS MODELL)
39 A
UT
OR
, In
stitu
t fü
r In
tern
et-S
iche
rhei
t (if
is)
FazitFazit
Komplex und weitreichend „verstrickt“
Teilweise unklare Formulierungen und geteilte Meinungen
Sensibilisierung von Unternehmen und Anwendern
Sektorübergreifende/globale Kommunikation und Zusammenarbeit
Verstärkte Forschung und Entwicklung
Schnelle und transparente Hilfeleistung und Information
40 A
UT
OR
, In
stitu
t fü
r In
tern
et-S
iche
rhei
t (if
is)
FazitFazit
Wir haben kein Wissens- und Informations- problem. Wir haben ein Wahrnehmungs-, Strategie- und Handlungsproblem! (Dipl.-Ing. Reinhard W. Hutter IABG mbH)
41 A
UT
OR
, In
stitu
t fü
r In
tern
et-S
iche
rhei
t (if
is)
QuellenverzeichnisQuellenverzeichnis
Quellenverzeichnis
Heise online, 2000a, „Der Schutz kritischer Infrastrukturen, Information Warfare und Bürgerrechte CCIP“, www.heise.de , www.pccip.gov (zeitweise nicht erreichbar)
Datev, 2005a, „Wir über uns“, Webseite, www.datev.de
PayPal, 2005 , Firmeninformation, Webseite, www.paypal.de
BSI, 2004 „Internationale Aktivitäten zum Schutz Kritischer Infrastrukturen“, Bundesamt für Sicherheit in der Informationstechnik, Pdf-Dokument, www.bsi.bund.de
BSI, 2004, „Schutz Kritischer Infrastrukturen Aktivitäten in Deutschland“, Bundesamt für Sicherheit in der Informationstechnik, Pdf-Dokument,
www.bsi.bund.de
BSI, 2005, „Die Lage der IT-Sicherheit in Deutschland 2005“, Bundesamt für Sicherheit in der Informationstechnik, Pdf-Dokument,
www.bsi.bund.de
BSI, 2005, „Analyse Kritischer Infrastrukturen Die Methode AKIS (Analyse Kritischer Infrastruktur-sektoren)“, Bundesamt für Sicherheit in der Informationstechnik, Pdf-Dokument,
www.bsi.bund.de
Technische Universität München, 02/2005, „ProtectingBGPRoutestoTopLevelDNSServers“, Gunnar Bornemann Seminar Internetrouting“, [email protected]
NIFIS, 2005, Nationale Initiative für Internet-Sicherheit, www.nifis.de
KRITIS, kritische Infrastrukturen, BSI Gruppe, http://www.bsi.de/fachthem/kritis/
WIKIPEDIA, 2005,Online-Lexikon, http://de.wikipedia.org/
Gutachten von der Bertelsmann Stiftung, http://www.aksis.de/Gutachten-Bertelsmann.pdf
NPSI http://www.bmi.bund.de/cln_012/nn_122688/Internet/Content/Common/Anlagen/Nachrichten/Pressemitteilungen/2005/08/Nationaler__Plan__Schutz__Informationsinfrastrukturen,templateId=raw,property=publicationFile.pdf/Nationaler_Plan_Schutz_Informationsinfrastrukturen
42 A
UT
OR
, In
stitu
t fü
r In
tern
et-S
iche
rhei
t (if
is)
QuellenverzeichnisQuellenverzeichnis
INESS-Studie, http://www.bsi.de/literat/studien/iness/index.htm
Institut für Internet-Sicherheithttp://ifis.fh-gelsenkirchen.deFachhochschule Gelsenkirchen
Schult-Heidkamp, [email protected]
Vielen Dank für Ihre Aufmerksamkeit
Fragen ?
Internet als kritische InfrastrukturInternet als kritische Infrastruktur
44 A
UT
OR
, In
stitu
t fü
r In
tern
et-S
iche
rhei
t (if
is)
Prävention
Ziel 1: Bewusstsein schärfen über Risiken der IT-Nutzung
Ziel 2: Einsatz sicherer IT-Produkte und -Systeme
Ziel 3: Vertraulichkeit wahren
Ziel 4: Gewährleisten umfassender Schutzvorkehrungen
Ziel 5: Vorgabe von Rahmenbedingungen und Richtlinien
Ziel 6: Abgestimmte Sicherheitsstrategien
Ziel 7: Nationale und internationale Gestaltung politischer Willensbildung
Reaktion
Ziel 8: Erkennen, Erfassen und Bewerten von Vorfällen
Ziel 9: Informieren, Alarmieren und Warnen
Ziel 10: Reagieren bei IT-Sicherheitsvorfällen
Nachhaltigkeit
Ziel 11: Fördern vertrauenswürdiger und verlässlicher Informationstechnik
Ziel 12: Ausbau nationaler IT-Sicherheitskompetenz
Ziel 13: IT-Sicherheitskompetenz in Schule und Ausbildung
Ziel 14: Fördern von Forschung und Entwicklung
Ziel 15: International Kooperationen ausbauen und Standards setzen
zurück
45 A
UT
OR
, In
stitu
t fü
r In
tern
et-S
iche
rhei
t (if
is)
INESS Internet Security INESS Internet Security SimulationSimulation
Studie des Forschungszentrums Jülich
„Modellierung der Funktionsfähigkeit eines Internetgestützen Netzwerk mit Hilfe des Modells INESS“
Vorraussetzung: Angriffe auf Backbones und Internet Exchange Points (IX), TCP/IP Kommunikation
Durchführung: Backbone Kabel phsyikalisch durchtrennen, IX trennen/zerstören
Sektor: politisch-administrative Infrastruktur („Regierung“)
Zurück
46 A
UT
OR
, In
stitu
t fü
r In
tern
et-S
iche
rhei
t (if
is)
INESS –INESS –ININternet ternet SSecurity ecurity Simulationimulation
Untersuchung: Folgen auf den Datenverkehr (Paketverkehr),
Während einer Krise, in der die Handlungsfähigkeit Deutschlands auf dem Spiel steht, kommt es zusätzlich zu einer Störung des Internets mit strategischer Absicht.
Leitfaden: Welche Auswirkungen hat eine strategische Störung des Internets auf die Kommunikation (www , Email, Video- konferenz) innerhalb der „Regierung“?
Simulation: 527 Backbones
185 IX
Störung fünf europäischer IX und fünf deutscher Backbones
47 A
UT
OR
, In
stitu
t fü
r In
tern
et-S
iche
rhei
t (if
is)
INESS –INESS –ININternet ternet SSecurity ecurity Simulationimulation
48 A
UT
OR
, In
stitu
t fü
r In
tern
et-S
iche
rhei
t (if
is)
INESS –INESS –ININternet ternet SSecurity ecurity Simulationimulation
49 A
UT
OR
, In
stitu
t fü
r In
tern
et-S
iche
rhei
t (if
is)
INESS –INESS –ININternet ternet SSecurity ecurity Simulationimulation
50 A
UT
OR
, In
stitu
t fü
r In
tern
et-S
iche
rhei
t (if
is)
INESS –INESS –ININternet ternet SSecurity ecurity Simulationimulation
Schlussfolgerung:
Internet grundsätzlich hohe Resilienz
Störung 5 IX und 5 Backbones der zentralen europäischen bzw. deutschen Backbones -> keine sinnvolle Option
Allerdings der wichtigsten IX (London, Frankfurt, Paris), zeigten zumindest veränderten Einfluß auf die Simulation.
Zurück