IT-Sicherheitskennzahlen bei der Deutschen Bahn AG GI-Fachgruppe, Frankfurt 11.06.2010 DB Mobility Logistics AG Nikola Perkovic TOS Frankfurt, 11.06.2010

ITK-Sicherheit im DB Konzern: DB im Überblick Seite 3 Ziele und Zielgruppen Seite 7 Aktuelle Bedrohungen und vorbeugende Maßnahmen Seite 9 Reifegradmodell ITK-Sicherheitsbericht Seite 11 Beispiele ressortspezifische Kennzahlen Seite 13 Beispiele ressortunabhängige Kennzahlen Seite 17 ITK-Sicherheitsmanagement DB AG, Nikola Perkovic (TOS), 27.03.2017

ITK für die DB unverzichtbar und hoch komplex DB Konzern – Überblick Dimensionierung Verteilung Mobilität Eisenbahn mit 80.000 IT-Nutzer, dav. 67.000 BKU-Nutzer 263.000 IP-Anschlüssen 2.900 WAN-Anschlüssen 2.000 TK-Anlagen mit 120.000 Anschlüssen 3 Rechenzentren 7 Serverzentren Logistik mit 48.000 IT-Nutzer 55.000 Endgeräte 8 regionale Server-zentren (2 USA, 1 APAC, 5 EMEA) 33.900 km Streckennetz 5.700 Personenbahnhöfe 7.000 Fahrkartenautomaten 130 Länder 1.500 Firmenstandorte weltweit ITK im Zug Schadvormeldung, Anzeige, Ebula, Railnet Mobile Büros in der Lok Ca. 40.000 mobile Endgeräte: 10.700 mobile Vertriebsgeräte 10.000 Endgeräte für Triebfahrzeugführer 2.000 digitale Endgeräte im Rangierdienst PDAs in den LKWs ITK-Sicherheitsmanagement DB AG, Nikola Perkovic (TOS), 27.03.2017

DB Systel etablierter ITK-Lieferant für das Eisenbahngeschäft DB Konzern – Überblick Betrieb von: 3 Rechenzentren und 7 Serverzentren mit über 3.400 Windows- und Unix-Servern, 66 Tandem CPU‘n und 4 Z9en Datennetz mit über 260.000 IP-Anschlüssen von DSL bis Breitband-Glasfaser Über 500 produktive IT-Verfahren 950 Terabyte Plattenspeicher/3,0 Petabyte Backup-Kapazität bundesweit das digitale Funknetz der Bahn (GSM-R) 2.200 TK-Anlagen Service für: 67.000 Nutzer des Bürokommunikationssystems der Bahn 115.000 TK-Teilnehmeranschlüsse 1.200 Videoanlagen an Bahnübergängen 100.000 Lautsprecher an Bahnsteigen 50.500 Fernsprecher entlang der Gleise ITK-Sicherheitsmanagement DB AG, Nikola Perkovic (TOS), 27.03.2017

IT bei Schenker dezentral organisiert DB Konzern – Überblick Dezentrale Organisation in Landesgesellschaften Rechnungswesensysteme werden zur Zeit zentralisiert Zentrale operative Systeme in Projekt-/Konzeptionsphase CIO ist gleichzeitig Vorstand Schenker Logistics Schenker RZ/Serverzentrum [2008] Stockholm(1) Helsinki Oslo Vilnius Antwerpen , M l ochow Copenhagen Eindhoven Kiev Coburg, Frankfurt, Berlin, Emden, Mülheim a.d.R. (1) Kelsterbach, Eschborn, Saarbr ü cken Toronto Denver Z ü rich Freeport Vienna, Liberec, Rudna , Tokyo Paris, Milano, Lisbon, Athens, Budapest, Shanghai Barcelona (1)) Ljubljana, Istanbul Hong Kong Taipei Makati City, Paranaque Bayan Lepas , Selangor Singapore (1) Buenos Johannesburg Sydney Santiago Aires 1) Outsourcing ITK-Sicherheitsmanagement DB AG, Nikola Perkovic (TOS), 27.03.2017

ITK-Sicherheit im DB Konzern: DB im Überblick Seite 3 Ziele und Zielgruppen Seite 7 Aktuelle Bedrohungen und vorbeugende Maßnahmen Seite 9 Reifegradmodell ITK-Sicherheitsbericht Seite 11 Beispiele ressortspezifische Kennzahlen Seite 13 Beispiele ressortunabhängige Kennzahlen Seite 17 ITK-Sicherheitsmanagement DB AG, Nikola Perkovic (TOS), 27.03.2017

Der Vorstand des DB Konzerns ist verpflichtet, für ein aktives Risikomanagement und eine angemessene interne Revision des Risiko-Überwachungssystems zu sorgen ITK-Sicherheitsbericht – Ziele und Zielgruppen Der ITK-Sicherheitsbericht soll grundsätzlich über die folgenden Aspekte Auskunft geben: Gesamtqualität der ITK-Sicherheit im DB Konzern Herbeiführung von notwendigen Entscheidungen (bei Bedarf) Aktuelle Bedrohungen und Risiken ITK-Sicherheitsvorfälle im Berichtszeitraum Status der Umsetzung der ITK-Sicherheitsvorgaben Sensibilisierung für das Thema IT-Sicherheit Zielgruppe sind Vorstand Konzern/VRs, CIO-Board, ITK-Sicherheitsmanager und das ITK-Sicherheitsgremium ITK-Sicherheitsmanagement DB AG, Nikola Perkovic (TOS), 27.03.2017

ITK-Sicherheit im DB Konzern: DB im Überblick Seite 3 Ziele und Zielgruppen Seite 7 Aktuelle Bedrohungen und vorbeugende Maßnahmen Seite 9 Reifegradmodell ITK-Sicherheitsbericht Seite 11 Beispiele ressortspezifische Kennzahlen Seite 13 Beispiele ressortunabhängige Kennzahlen Seite 17 ITK-Sicherheitsmanagement DB AG, Nikola Perkovic (TOS), 27.03.2017

Vorbeugende Maßnahmen Der aktuelle Sicherheitsbericht adressiert vorbeugende Maßnahmen und Bedrohungen, die kurzfristig messbar sind; andere werden mittelfristig in weiteren Ausbaustufen ergänzt ITK-Sicherheitsbericht - Bedrohungen Aktuelle Bedrohungen Vorbeugende Maßnahmen Verfügbarkeitseinbußen auf Applikation- und Infrastrukturebene Diebstahl/Verlust von Hardware Spams, Viren und Würmer ITK-Risikomanagement (SBF, RRD) auf Applikationsebene Erhebung Kennzahlen zum Diebstahl / Verlust von BKU*- Hardware Umfassender Spam- und Virenschutz im BKU-Umfeld und regelmäßige Messung der Wirksamkeit Reifegrad 1 Externe Angriffe (Portscans, DoS, Hacking, ...) Diebstahl und Verlust sensibler Daten Manipulation sensibler Daten Definition fachlicher Sicherheitsvorfälle und Überwachung durch ein IPS (Intrusion Prevention System) ITK-Risikomanagement (SBF, RRD) auf Applikations- und Infrastrukturebene Erfassung Netze / Netzübergänge Rollout BKU-Endgeräte (Standardis. Sicherheitseigenschaften) Reifegrad-Stufen Reifegrad 2 Industriespionage Erhebung fachlicher Sicherheitsvorfälle auf Applikationsebene und Monitoring von Schadausmaßen Reifegrad 3 * BKU (Bürokommunikation unternehmensweit) ist eine bahnspezifische Kommunikationsplattform mit standardisierten Hard- und Softwareprodukten ITK-Sicherheitsmanagement DB AG, Nikola Perkovic (TOS), 27.03.2017

ITK-Sicherheit im DB Konzern: DB im Überblick Seite 3 Ziele und Zielgruppen Seite 7 Aktuelle Bedrohungen und vorbeugende Maßnahmen Seite 9 Reifegradmodell ITK-Sicherheitsbericht Seite 11 Beispiele ressortspezifische Kennzahlen Seite 13 Beispiele ressortunabhängige Kennzahlen Seite 17 ITK-Sicherheitsmanagement DB AG, Nikola Perkovic (TOS), 27.03.2017

Reifegradmodell: Die bisherige Fokussierung ist zu erweitern, einzelne aktuell fehlende Prozesse sind zu definieren und einzuführen ITK-Sicherheitsbericht - Reifegradmodell Aktuelle Bedrohungen Vorbeugende Maßnahmen Einschränkung Vollständig CIO-Org. Unbekannte ITK-Restrisiken Schutzbedarfsfeststellungsquote Risikomanagement-Prozess konsequent umsetzen Alle ITK- Anwendungen Alle Endgeräte Diebstahl und Verlust von HW (nur BKU) Restrisikodeklarationsquote, monetär bewertet UKV* BKU SLA-Einhaltung (Fokus auf die UKV) Monitoringquote Reifegrad 1 Dienstleister Definition Kennzahlen (fachl. Sicherheits-vorfälle), die durch ein IPS überwacht werden können Malware (nur Dienstleister 1) Spam- und Virenfilter, Intrusion Prevention System (IPS) Dienstleister 1 Dienstleister 1+2 Sicherheitsvorfälle (nur Dienstleister 1) Prozess zur Erhebung von Sicherheitsvorfällen Diebstahl und Verlust von Hardware (nur Dienstleister 1) Stufe 1 Stufe 2 SLA-Einhaltung (nur Dienstleister 1) Erhebung SLA-Einhaltung CIO-Org. Diebstahl und Verlust sensibler Daten Manipulation sensibler Daten Prozess zur Erhebung verlorener Datenträger (Notebooks, Sticks, PDA, usw.) definieren Reifegrad 2 DL Externe Angriffe (Portscans, DoS, Hacking, ...) Dienstleister 1 Dienstleister 1+2 Umfassende Überwachung durch ein IPS Stufe 3 CIO-Org. Erhebung fachlicher Sicherheitsvorfälle und Messung durch zentrales Berichtswesen Industriespionage Reifeg. 3 Stufe 4 * UKV Unternehmenskritische Verfahren ITK-Sicherheitsmanagement DB AG, Nikola Perkovic (TOS), 27.03.2017

ITK-Sicherheit im DB Konzern: DB im Überblick Seite 3 Ziele und Zielgruppen Seite 7 Aktuelle Bedrohungen und vorbeugende Maßnahmen Seite 9 Reifegradmodell ITK-Sicherheitsbericht Seite 11 Beispiele ressortspezifische Kennzahlen Seite 13 Beispiele ressortunabhängige Kennzahlen Seite 17 ITK-Sicherheitsmanagement DB AG, Nikola Perkovic (TOS), 27.03.2017

Ressortspezifische/konzernweite Sicherheitskennzahlen Beispielhafte Darstellung ITK-Sicherheitsbericht – Beisp. Kennzahlen Ressortspezifische (VR) SBF/RRD-Kennzahlen, inkl. zugehöriger Geschäftsfelder (GF) 2. ITK-Sicherheitsmanagement DB AG, Nikola Perkovic (TOS), 27.03.2017

Ressortspezifische/konzernweite Sicherheitskennzahlen Beispielhafte Darstellung ITK-Sicherheitsbericht – Beisp. Kennzahlen Festgestellte Restrisikosummen pro Applikation Festgestellte Restrisikosummen pro Ressort/Geschäftsfeld 2. Applikation 1 Applikation n ITK-Sicherheitsmanagement DB AG, Nikola Perkovic (TOS), 27.03.2017

Ressortspezifische/konzernweite Sicherheitskennzahlen Beispielhafte Darstellung ITK-Sicherheitsbericht – Beisp. Kennzahlen Diebstahl/Verlust von Hardware SLA-Einhaltung pro Ressort/Geschäftsfeld 2. Betrachtungszeitr. Q1/10 ITK-Sicherheitsmanagement DB AG, Nikola Perkovic (TOS), 27.03.2017

ITK-Sicherheit im DB Konzern: DB im Überblick Seite 3 Ziele und Zielgruppen Seite 7 Aktuelle Bedrohungen und vorbeugende Maßnahmen Seite 9 Reifegradmodell ITK-Sicherheitsbericht Seite 11 Beispiele ressortspezifische Kennzahlen Seite 13 Beispiele ressortunabhängige Kennzahlen Seite 17 ITK-Sicherheitsmanagement DB AG, Nikola Perkovic (TOS), 27.03.2017

Ressortunabhängige/konzernweite Sicherheitskennzahlen Beispielhafte Darstellung ITK-Sicherheitsbericht – Beisp. Kennzahlen Malware, absolute Zahlen Anzahl ermittelter Virenvorfälle an Clients und Servern 2. Betrachtungszeitraum Q1/10 Betrachtungszeitraum Q1/10 ITK-Sicherheitsmanagement DB AG, Nikola Perkovic (TOS), 27.03.2017

Ressortunabhängige/konzernweite Sicherheitskennzahlen Beispielhafte Darstellung ITK-Sicherheitsbericht – Beisp. Kennzahlen Abgefangene Viren (Mailhub) Festgestellte und gemeldete ITK-Sicherheitsvorfälle im Rahmen des ITK-Incident Management 2. Betrachtungszeitraum Q1/10 Betrachtungszeitraum Q1/10 ITK-Sicherheitsmanagement DB AG, Nikola Perkovic (TOS), 27.03.2017

Ressortunabhängige/konzernweite Sicherheitskennzahlen Beispielhafte Darstellung ITK-Sicherheitsbericht – Beisp. Kennzahlen Durch IPS (Intrusion Prevention System) blockierte Angriffe aus dem Internet 2. Betrachtungszeitraum Q1/10 ITK-Sicherheitsmanagement DB AG, Nikola Perkovic (TOS), 27.03.2017