200 likes | 367 Views
IT-Sicherheitskennzahlen bei der Deutschen Bahn AG GI-Fachgruppe, Frankfurt 11.06.2010. DB Mobility Logistics AG. Nikola Perkovic. TOS. Frankfurt, 11.06.2010. ITK-Sicherheit im DB Konzern: DB im Überblick Seite 3 Ziele und Zielgruppen Seite 7
E N D
IT-Sicherheitskennzahlen bei der Deutschen Bahn AGGI-Fachgruppe, Frankfurt 11.06.2010 DB Mobility Logistics AG Nikola Perkovic TOS Frankfurt, 11.06.2010
ITK-Sicherheit im DB Konzern: • DB im Überblick Seite 3 • Ziele und Zielgruppen Seite 7 • Aktuelle Bedrohungen und vorbeugende Maßnahmen Seite 9 • Reifegradmodell ITK-Sicherheitsbericht Seite 11 • Beispiele ressortspezifische Kennzahlen Seite 13 • Beispiele ressortunabhängige Kennzahlen Seite 17 ITK-Sicherheitsmanagement DB AG, Nikola Perkovic (TOS), 21.08.2014
ITK für die DB unverzichtbar und hoch komplex DB Konzern – Überblick Dimensionierung Verteilung Mobilität • Eisenbahn mit • 80.000 IT-Nutzer, dav. 67.000 BKU-Nutzer • 263.000 IP-Anschlüssen • 2.900 WAN-Anschlüssen • 2.000 TK-Anlagen mit 120.000 Anschlüssen • 3 Rechenzentren • 7 Serverzentren • Logistik mit • 48.000 IT-Nutzer • 55.000 Endgeräte • 8 regionale Server-zentren (2 USA, 1 APAC, 5 EMEA) • 33.900 km Streckennetz • 5.700 Personenbahnhöfe • 7.000 Fahrkartenautomaten • 130 Länder • 1.500 Firmenstandorte weltweit • ITK im Zug • Schadvormeldung, Anzeige, Ebula, Railnet • Mobile Büros in der Lok • Ca. 40.000 mobile Endgeräte: • 10.700 mobile Vertriebsgeräte • 10.000 Endgeräte für Triebfahrzeugführer • 2.000 digitale Endgeräte im Rangierdienst • PDAs in den LKWs ITK-Sicherheitsmanagement DB AG, Nikola Perkovic (TOS), 21.08.2014
DB Systel etablierter ITK-Lieferant für das Eisenbahngeschäft DB Konzern – Überblick • Betrieb von: • 3 Rechenzentren und 7 Serverzentren mit über 3.400 Windows- und Unix-Servern, 66 Tandem CPU‘n und 4 Z9en • Datennetz mit über 260.000 IP-Anschlüssen von DSL bis Breitband-Glasfaser • Über 500 produktive IT-Verfahren • 950 Terabyte Plattenspeicher/3,0 Petabyte Backup-Kapazität • bundesweit das digitale Funknetz der Bahn (GSM-R) • 2.200 TK-Anlagen • Service für: • 67.000 Nutzer des Bürokommunikationssystems der Bahn • 115.000 TK-Teilnehmeranschlüsse • 1.200 Videoanlagen an Bahnübergängen • 100.000 Lautsprecher an Bahnsteigen • 50.500 Fernsprecher entlang der Gleise ITK-Sicherheitsmanagement DB AG, Nikola Perkovic (TOS), 21.08.2014
IT bei Schenker dezentral organisiert DB Konzern – Überblick • Dezentrale Organisation in Landesgesellschaften • Rechnungswesensysteme werden zur Zeit zentralisiert • Zentrale operative Systeme in Projekt-/Konzeptionsphase • CIO ist gleichzeitig Vorstand Schenker Logistics Schenker RZ/Serverzentrum [2008] Helsinki Stockholm(1) Vilnius Oslo Antwerpen , M l ochow Copenhagen Eindhoven Kiev Coburg, Frankfurt, Berlin, Emden, Mülheim a.d.R. (1) Kelsterbach, Eschborn, Saarbr ü cken Toronto Z ü rich Denver Freeport Vienna, Liberec, Rudna , Tokyo Paris, Milano, Lisbon, Shanghai Athens, Budapest, Barcelona (1)) Ljubljana, Istanbul Taipei Hong Kong Makati City, Paranaque Bayan Lepas , Selangor Singapore(1) Sydney Johannesburg Buenos Santiago Aires 1) Outsourcing ITK-Sicherheitsmanagement DB AG, Nikola Perkovic (TOS), 21.08.2014
ITK-Sicherheit im DB Konzern: • DB im Überblick Seite 3 • Ziele und Zielgruppen Seite 7 • Aktuelle Bedrohungen und vorbeugende Maßnahmen Seite 9 • Reifegradmodell ITK-Sicherheitsbericht Seite 11 • Beispiele ressortspezifische Kennzahlen Seite 13 • Beispiele ressortunabhängige Kennzahlen Seite 17 ITK-Sicherheitsmanagement DB AG, Nikola Perkovic (TOS), 21.08.2014
Der Vorstand des DB Konzerns ist verpflichtet, für ein aktives Risikomanagement und eine angemessene interne Revision des Risiko-Überwachungssystems zu sorgen ITK-Sicherheitsbericht – Ziele und Zielgruppen Der ITK-Sicherheitsbericht soll grundsätzlich über die folgenden Aspekte Auskunft geben: • Gesamtqualität der ITK-Sicherheit im DB Konzern • Herbeiführung von notwendigen Entscheidungen (bei Bedarf) • Aktuelle Bedrohungen und Risiken • ITK-Sicherheitsvorfälle im Berichtszeitraum • Status der Umsetzung der ITK-Sicherheitsvorgaben • Sensibilisierung für das Thema IT-Sicherheit Zielgruppe sind Vorstand Konzern/VRs, CIO-Board, ITK-Sicherheitsmanager und das ITK-Sicherheitsgremium ITK-Sicherheitsmanagement DB AG, Nikola Perkovic (TOS), 21.08.2014
ITK-Sicherheit im DB Konzern: • DB im Überblick Seite 3 • Ziele und Zielgruppen Seite 7 • Aktuelle Bedrohungen und vorbeugende Maßnahmen Seite 9 • Reifegradmodell ITK-Sicherheitsbericht Seite 11 • Beispiele ressortspezifische Kennzahlen Seite 13 • Beispiele ressortunabhängige Kennzahlen Seite 17 ITK-Sicherheitsmanagement DB AG, Nikola Perkovic (TOS), 21.08.2014
Der aktuelle Sicherheitsbericht adressiert vorbeugende Maßnahmen und Bedrohungen, die kurzfristig messbar sind;andere werden mittelfristig in weiteren Ausbaustufen ergänzt ITK-Sicherheitsbericht - Bedrohungen Vorbeugende Maßnahmen Aktuelle Bedrohungen • ITK-Risikomanagement (SBF, RRD) auf Applikationsebene • Erhebung Kennzahlen zum Diebstahl / Verlust von BKU*- Hardware • Umfassender Spam- und Virenschutz im BKU-Umfeld und regelmäßige Messung der Wirksamkeit • Verfügbarkeitseinbußen auf Applikation- und Infrastrukturebene • Diebstahl/Verlust von Hardware • Spams, Viren und Würmer Reifegrad 1 • Externe Angriffe (Portscans, DoS, Hacking, ...) • Diebstahl und Verlust sensibler Daten • Manipulation sensibler Daten • Definition fachlicher Sicherheitsvorfälle und Überwachung durch ein IPS (Intrusion Prevention System) • ITK-Risikomanagement (SBF, RRD) auf Applikations- und Infrastrukturebene • Erfassung Netze / Netzübergänge • Rollout BKU-Endgeräte (Standardis. Sicherheitseigenschaften) Reifegrad-Stufen Reifegrad 2 • Industriespionage • Erhebung fachlicher Sicherheitsvorfälle auf Applikationsebene und Monitoring von Schadausmaßen Reifegrad 3 * BKU (Bürokommunikation unternehmensweit) ist eine bahnspezifische Kommunikationsplattform mit standardisierten Hard- und Softwareprodukten ITK-Sicherheitsmanagement DB AG, Nikola Perkovic (TOS), 21.08.2014
ITK-Sicherheit im DB Konzern: • DB im Überblick Seite 3 • Ziele und Zielgruppen Seite 7 • Aktuelle Bedrohungen und vorbeugende Maßnahmen Seite 9 • Reifegradmodell ITK-Sicherheitsbericht Seite 11 • Beispiele ressortspezifische Kennzahlen Seite 13 • Beispiele ressortunabhängige Kennzahlen Seite 17 ITK-Sicherheitsmanagement DB AG, Nikola Perkovic (TOS), 21.08.2014
Reifegradmodell: Die bisherige Fokussierung ist zu erweitern, einzelne aktuell fehlende Prozesse sind zu definieren und einzuführen ITK-Sicherheitsbericht - Reifegradmodell Aktuelle Bedrohungen Vorbeugende Maßnahmen Einschränkung Vollständig CIO-Org. • Unbekannte ITK-Restrisiken • Schutzbedarfsfeststellungsquote Risikomanagement-Prozess konsequent umsetzen • Alle ITK- Anwendungen • Alle Endgeräte • UKV* • BKU • Diebstahl und Verlust von HW (nur BKU) • Restrisikodeklarationsquote, monetär bewertet • SLA-Einhaltung (Fokus auf die UKV) • Monitoringquote Reifegrad 1 Dienstleister • Malware (nur Dienstleister 1) Definition Kennzahlen (fachl. Sicherheits-vorfälle), die durch ein IPS überwacht werden können • Spam- und Virenfilter, Intrusion Prevention System (IPS) • Dienstleister 1 • Dienstleister 1+2 • Sicherheitsvorfälle (nur Dienstleister 1) • Prozess zur Erhebung von Sicherheitsvorfällen • Diebstahl und Verlust von Hardware (nur Dienstleister 1) Stufe 1 Stufe 2 • Erhebung SLA-Einhaltung • SLA-Einhaltung (nur Dienstleister 1) CIO-Org. • Diebstahl und Verlust sensibler Daten • Manipulation sensibler Daten Prozess zur Erhebung verlorener Datenträger (Notebooks, Sticks, PDA, usw.) definieren Reifegrad 2 • Externe Angriffe (Portscans, DoS, Hacking, ...) • Dienstleister 1 • Dienstleister 1+2 DL Stufe 3 Umfassende Überwachung durch ein IPS CIO-Org. Erhebung fachlicher Sicherheitsvorfälle und Messung durch zentrales Berichtswesen • Industriespionage Reifeg. 3 Stufe 4 * UKV Unternehmenskritische Verfahren ITK-Sicherheitsmanagement DB AG, Nikola Perkovic (TOS), 21.08.2014
ITK-Sicherheit im DB Konzern: • DB im Überblick Seite 3 • Ziele und Zielgruppen Seite 7 • Aktuelle Bedrohungen und vorbeugende Maßnahmen Seite 9 • Reifegradmodell ITK-Sicherheitsbericht Seite 11 • Beispiele ressortspezifische Kennzahlen Seite 13 • Beispiele ressortunabhängige Kennzahlen Seite 17 ITK-Sicherheitsmanagement DB AG, Nikola Perkovic (TOS), 21.08.2014
Ressortspezifische/konzernweite Sicherheitskennzahlen Beispielhafte Darstellung ITK-Sicherheitsbericht – Beisp. Kennzahlen Ressortspezifische (VR) SBF/RRD-Kennzahlen, inkl. zugehöriger Geschäftsfelder (GF) • 2. ITK-Sicherheitsmanagement DB AG, Nikola Perkovic (TOS), 21.08.2014
Ressortspezifische/konzernweite Sicherheitskennzahlen Beispielhafte Darstellung ITK-Sicherheitsbericht – Beisp. Kennzahlen Festgestellte Restrisikosummen pro Applikation Festgestellte Restrisikosummen pro Ressort/Geschäftsfeld • 2. Applikation 1 Applikation n ITK-Sicherheitsmanagement DB AG, Nikola Perkovic (TOS), 21.08.2014
Betrachtungszeitr. Q1/10 Ressortspezifische/konzernweite Sicherheitskennzahlen Beispielhafte Darstellung ITK-Sicherheitsbericht – Beisp. Kennzahlen Diebstahl/Verlust von Hardware SLA-Einhaltung pro Ressort/Geschäftsfeld • 2. ITK-Sicherheitsmanagement DB AG, Nikola Perkovic (TOS), 21.08.2014
ITK-Sicherheit im DB Konzern: • DB im Überblick Seite 3 • Ziele und Zielgruppen Seite 7 • Aktuelle Bedrohungen und vorbeugende Maßnahmen Seite 9 • Reifegradmodell ITK-Sicherheitsbericht Seite 11 • Beispiele ressortspezifische Kennzahlen Seite 13 • Beispiele ressortunabhängige Kennzahlen Seite 17 ITK-Sicherheitsmanagement DB AG, Nikola Perkovic (TOS), 21.08.2014
Betrachtungszeitraum Q1/10 Betrachtungszeitraum Q1/10 Ressortunabhängige/konzernweite Sicherheitskennzahlen Beispielhafte Darstellung ITK-Sicherheitsbericht – Beisp. Kennzahlen Malware, absolute Zahlen Anzahl ermittelter Virenvorfälle an Clients und Servern • 2. ITK-Sicherheitsmanagement DB AG, Nikola Perkovic (TOS), 21.08.2014
Betrachtungszeitraum Q1/10 Betrachtungszeitraum Q1/10 Ressortunabhängige/konzernweite Sicherheitskennzahlen Beispielhafte Darstellung ITK-Sicherheitsbericht – Beisp. Kennzahlen Abgefangene Viren (Mailhub) Festgestellte und gemeldete ITK-Sicherheitsvorfälle im Rahmen des ITK-Incident Management • 2. ITK-Sicherheitsmanagement DB AG, Nikola Perkovic (TOS), 21.08.2014
Betrachtungszeitraum Q1/10 Ressortunabhängige/konzernweite Sicherheitskennzahlen Beispielhafte Darstellung ITK-Sicherheitsbericht – Beisp. Kennzahlen Durch IPS (Intrusion Prevention System) blockierte Angriffe aus dem Internet • 2. ITK-Sicherheitsmanagement DB AG, Nikola Perkovic (TOS), 21.08.2014