Security-Management und Security-Transparenz in der industriellen Automatisierung

Größe: px
Ab Seite anzeigen:

Download "Security-Management und Security-Transparenz in der industriellen Automatisierung"

Transkript

1 Security-Management und Security-Transparenz in der industriellen Automatisierung Anna Palmin, Dr. Pierre Kobes I IA ATS 3 Industry Sector Industry Automation Division Siemens AG Karlsruhe Abstract: Zu den wichtigsten aktuellen Entwicklungen im Umfeld der Security in der industriellen Automatisierung zählen insbesondere das Security-Management und zunehmende Bestrebungen, die Security-Transparenz zu erhöhen [PRK01]. Das Security-Management im Kontext einer Automatisierungslösung (z. B. einer Anlage oder einer Teilanlage) dient der Erreichung und Aufrechterhaltung eines angemessenen Schutzniveaus und bildet einen wesentlichen Bestandteil des auf die Automatisierungslösung zugeschnittenen Security-Konzepts. Aufgrund der vielfältigen Security-Lösungen, die zur Abdeckung eines bestimmten Schutzbedarfs eingesetzt werden können, entstanden die Bestrebungen, das Schutzniveau einer Anlage transparenter darzustellen. So wurde im Rahmen der Norm IEC (vgl. [IEC01], [IEC02], [IEC03]) ähnlich dem Konzept der Safety Integrated Levels (SIL) für die funktionale Sicherheit das Konzept der sogenannten Security Levels (SL) beschrieben. Der vorliegende Beitrag gibt nach einer einführenden Begriffserläuterung und der Auflistung der Schutzziele hinsichtlich Security einen Einblick in einige aktuelle sowohl die Technik als auch die Standardisierung betreffende Trends und Entwicklungen im Bereich der industriellen Automatisierung ( Abschnitt 1). Nach einer Übersicht der wesentlichen Aspekte des Security-Managements ( Abschnitt 2) sowie einer Vorstellung des Konzepts der sogenannten Security Levels nach der Norm IEC ( Abschnitt 3) schließt der Beitrag mit einer Zusammenfassung und einem Ausblick ( Abschnitt 4). 1 Einleitung 1.1 Begriffserläuterung und Schutzziele Im Umfeld der industriellen Automatisierung wird unter dem Begriff Security der Schutz der Automatisierungsanlagen vor unberechtigten Zugriffen von außen wie von innen verstanden. Synonym zu diesem Begriff wird in der deutschsprachigen Diskussion der Begriff IT-Sicherheit verwendet. Die Schutzziele für Systeme der Automatisierungstechnik sind grundsätzlich die gleichen, wie sie auch für die klassischen IT-Systeme gelten. Im Einzelnen sind das die folgenden: Verfügbarkeit: Daten und Funktionen des Systems können zum definierten Zeitpunkt genutzt werden; Integrität: Daten und Funktionen des Systems können nicht unbemerkt durch Unberechtigte manipuliert werden; Vertraulichkeit: Unberechtigte können nicht auf Daten und Funktionen des Systems lesend zugreifen; Authentizität: Sicherstellung der eindeutigen Identifizierbarkeit von Personen und Systemen sowie der Herkunft der übertragenen Daten; Nicht-Abstreitbarkeit: Beweisbarkeit, dass die Erzeugung bzw. der Erhalt von Informationen (und Auslösung einer Aktion) durch eine Person erfolgte; Überprüfbarkeit: Eindeutige Nachvollziehbarkeit der Aktionen bis zu ihrem Ursprung. Für Systeme der industriellen Automatisierung stehen Verfügbarkeit und Integrität an erster Stelle, während bei den klassischen IT-Systemen in der Regel die Vertraulichkeit die höchste Priorität hat. Je nach Anwendung kann jedoch auch in den industriellen Anlagen der Schutz der Vertraulichkeit zu einem wichtigen Ziel werden. In besonderen Fällen, wie z. B. dem Einsatz in der pharmazeutischen Produktion,

2 können auch Nicht-Abstreitbarkeit, Authentizität und Überprüfbarkeit eine wichtige Rolle spielen.text mit Fußnote. Abbildung 1: Gegenüberstellung der Schutzziele (Quelle: [IEC01]) 1.2 Aktuelle Tendenzen und Entwicklungen Die aktuellen Tendenzen und Entwicklungen im Kontext der Security im Bereich der industriellen Automatisierung werden zum einen durch technische Trends und zum anderen durch die aktuellen Standardisierungsaktivitäten beeinflusst. Zu den aktuellen technischen Trends, die aufgrund des maßgeblichen Einflusses der IT-Technologien heute eine wichtige Rolle für die industrielle Automatisierung spielen, gehören beispielsweise Industrial Ethernet, Virtualisierung und Cloud Computing [PRK01]. Diese Trends bringen viele Vorteile mit sich, führen jedoch gleichzeitig zur Erhöhung des Bedrohungspotenzials und somit auch zum gesteigerten Bedarf an adäquaten Mechanismen und Maßnahmen zur angemessenen Absicherung von Automatisierungskomponenten, -systemen und -anlagen. Zu den wichtigen Entwicklungen in Verbindung mit den aktuellen Standardisierungsaktivitäten zählen insbesondere die Bestrebungen, eine gleiche Basis für das Security Management in Büro- und Automatisierungsbereichen zu schaffen, sowie der derzeit im Umfeld der IEC diskutierte Ansatz zur Erhöhung der Security-Transparenz durch die sogenannten Security Levels. Nicht zuletzt sei die Entwicklung diverser Werkzeuge für die automatisierte Unterstützung des Security-Managements als ein weiterer wichtiger Trend genannt. 1.3 Standardisierungsaktivitäten Die Sicherstellung eines ganzheitlichen Schutzes von Automatisierungskomponenten, systemen und anlagen gegen unberechtigte Zugriffe erfordert die Zusammenarbeit von Produktherstellern, Systemintegratoren und Betreibern. Ein wichtiger Bestandteil dieser Zusammenarbeit ist die Schaffung international einheitlich anwendbarer Standards, die eine Basis für zukunftsträchtige Security-Strategien und -Techniken bilden. Eine besondere Beachtung in der internationalen Öffentlichkeit finden derzeit die Entwürfe der Normen ISA99 Manufacturing and Control Systems Security und IEC Security for Industrial Process Measurement and Control Network and System Security (vgl. [IEC01], [IEC02], [IEC03]). Seit 2007 dient der Entwurf der US-Norm ISA99 als Basis für den Entwurf der internationale Norm IEC 62443, in der außerdem ausgewählte WIB- sowie NERC-CIP-Anforderungen (siehe dazu [WIB01]und [CIP01]) übernommen wurden. In der Norm ISA99/IEC werden folgende fundamentale Konzepte betrachtet: Grundlegende Anforderungen; Zonen und Conduits; Security Levels; Security-Lebenszyklus. Eine gute Hilfestellung zur systematischen Ermittlung des Schutzbedarfs und zur Bestimmung einer speziell auf den Schutzbedarf zugeschnittenen Security-Lösung für industrielle Automatisierungskomponenten, - Systeme und -Anlagen gibt die Richtlinie VDI/VDE 2182 [VD01].

3 2 Security-Management 2.1 Security-Management als Bestandteil eines ganzheitlichen Security-Konzepts Das Security-Management umfasst alle organisatorischen und technischen Maßnahmen, die zur Erreichung und Aufrechterhaltung eines angemessenen Schutzniveaus im gesamten Lebenszyklus von Automatisierungskomponenten, -Systemen und -Anlagen notwendig sind, und es bildet einen wesentlichen Bestandteil eines ganzheitlichen, auf die speziellen Anforderungen der industriellen Automatisierung zugeschnittenen Security-Konzepts. Der Security-Management-Prozess basiert auf den relevanten Normen und Richtlinien und umfasst eine Risikoanalyse zur Ermittlung des Schutzbedarfs, die darauf basierende Definition von Gegenmaßnahmen (in Form unterschiedlicher Strategien und Techniken) zur Reduktion des Risikos auf ein akzeptables Maß und die Festlegung abgestimmter organisatorischer und technischer Maßnahmen. Er wird regelmäßig und/oder ereignisgesteuert wiederholt. Abbildung 2: Security-Management-Prozess (Quelle: [SI01]) Eine erfolgreiche Etablierung des Security-Managements in der industriellen Automatisierung erfordert abgestimmte Maßnahmen und Funktionen bei den Produktherstellern, Systemintegratoren und Betreibern. Produkte, Anlagen und Prozesse müssen geltenden Sorgfaltsmaßstäben entsprechen, basierend auf Gesetzen, Normen, internen Richtlinien und dem Stand der Technik. Einige besonders wichtige (in [SI01] und [SI02] aufgelisteten) Bestandteile des Security-Managements sind die folgenden: Etablierung von Security in der Organisation: Die Unterstützung durch das obere Management ist hierbei von großer Bedeutung. Es sind klar definierte und abgestimmte Verantwortlichkeiten für Security sowie physikalische Sicherheit des Unternehmens zu etablieren. Definition von Richtlinien und Prozessen: Ziel ist es, ein einheitliches Vorgehen zu erzielen, sowie die Einhaltung des definierten Industrial Security-Konzepts zu unterstützen. Physikalischer Schutz kritischer Produktionsbereiche: Es müssen Maßnahmen und Prozesse festgelegt werden, die den Zugang nicht autorisierter Personen zur Umgebung der Anlage verhindern. Während die Realisierung eines Security-Managements im Produktionsumfeld vorwiegend in der Verantwortung des Anlagenbetreibers liegt, müssen die entsprechenden Anforderungen bezüglich eines Security-Managements auch im Büroumfeld erfüllt werden. Dort wird dessen Realisierung bereits durch die Normenreihe IEC/ISO geregelt. Damit die entsprechenden Prozesse und Richtlinien im Produktionsund im Büroumfeld auf die gleiche Basis gestellt werden können, wird eine Harmonisierung des Normenentwurfs IEC mit der Norm ISO/IEC angestrebt. Aus diesem Grund wurde beschlossen, die Teile IEC [IEC02] und IEC [IEC03], die sich vorwiegend mit dem Security-Management in der industriellen Automatisierung befassen, zu einem Profil der ISO/IEC [ISO02] zusammenzuführen.

4 2.2 Automatisierte Unterstützung des Security-Managements Durch die Automatisierung von diversen Aufgaben im Rahmen eines ganzheitlichen Security-Managements kann dieses effizienter gestaltet werden [PRK01]. Ferner machen auch einige Anforderungen aus den oben genannten Standards den Einsatz von adäquaten Werkzeugen für die automatisierte Unterstützung des Security-Managements erforderlich. Ein repräsentatives Beispiel für ein derartiges Werkzeug ist das sogenannten Industrial SIEM zur Realisierung eines umfassenden Security Information Event Managements (SIEM). Das Vorhaben, eine SIEM-Funktionalität für die Systeme der industriellen Automatisierung anzubieten, ist eine Antwort der Hersteller dieser Systeme auf entsprechende Anforderungen der relevanten Standards. Das Generieren und die Auswertung von sogenannten Auditable Events wird insbesondere im Normentwurf IEC 62443/ ISA99 ([IEC01] gefordert. Ein sogenannten Industrial SIEM (Industrial Security Information Event Manager) ist eine zentrale Sammelstelle für Security-relevante Ereignisse (Security Events) in einer industriellen Anlage. Ein Beispiel eines Security Event ist ein Ereignis, das als Reaktion auf einen fehlgeschlagenen Anmeldeversuch in das Windows Event Log geschrieben wird. Ein Industrial SIEM vereint folgende grundlegende SIEM- Funktionalitäten [PRK02]: das Security Event Management (SEM) als Funktionalität, Security Events einzusammeln und auszuwerten, um aus einzelnen Security Events oder einer Zusammensetzung mehrerer Security Events zu erkennen, ob ein Angriff tatsächlich stattgefunden hat und diesen an die geeignete Stelle (z. B. an eine Operator Station) zu melden; das Security Information Management (SIM) als Funktionalität, Berichte zu erzeugen, um das Einhalten von Richtlinien nachzuweisen. Abbildung 3: Ein möglicher Aufbau eines Industrial SIEM Die im Büro-Umfeld etablierten SIEM (die im Weiteren als Enterprise SIEM bezeichnet werden) unterscheiden sich von den Industrial SIEM vor allem dadurch, dass sie sehr leistungsfähig und somit sehr teuer sind (was im Automatisierungs-Umfeld ein Ausschlusskriterium darstellt). Ein Enterprise SIEM erfasst nicht selten die Security Events einiger tausend Komponenten. Die Anzahl der durch ein Industrial SIEM zu überwachenden Anlagenkomponenten und somit auch die Anzahl der zu erfassenden Events fällt in der Regel deutlich geringer aus. Auch die Höhe des Datenaufkommens ist in einer industriellen Anlage deutlich genauer vorhersagbar als im Einsatzbereich eines Enterprise SIEM. Es ist zu beachten, dass die Fähigkeit der in den industriellen Anlagen eingesetzten Komponenten und Systemen diverse Security Events zu erfassen, eine essenzielle Voraussetzung für einen nutz- und erfolgsbringenden Einsatz eines Industrial SIEM darstellt.

5 3 Security Levels 3.1 Motivation und Definition nach IEC Wegen der vielfältigen Security-Lösungen, die zur Abdeckung eines bestimmten Schutzbedarfs eingesetzt werden können, entstanden die Bestrebungen, das Schutzniveau einer Anlage transparenter darzustellen. Im Gegensatz zu der im Safety-Bereich etablierten quantitativen Risikobewertung auf der Basis von Konsequenzen, die zur sogenannten Restfehlerwahrscheinlichkeit führt, ist es eher unmöglich, das Schutzniveau eines Automatisierungssystems im Hinblick auf Security durch eine einzige Zahl zu beschreiben. Dies liegt unter anderem daran, dass die Spannweite der möglichen Konsequenzen im Hinblick auf Security viel breiter ist als bei Safety, genauso wie das Spektrum der möglichen Umstände, die zu einem Security-Vorfall führen können. Außerdem sind die im Safety-Umfeld etablierten Rechenmodelle (z. B. Failure Mode, Effects and Diagnostic Analysis, kurz: FMEDA) im Security-Umfeld nach dem heutigen Kenntnisstand nicht anwendbar. Unter Berücksichtigung der genannten Tatsachen wurde in der Norm IEC das Konzept der sogenannten Security Levels (SL, ursprünglich: Security Assurance Levels, SAL) als Vorschlag für eine qualitative Bewertung des Schutzniveaus eines industriellen Automatisierungssystems (engl. Automation Industrial Control System bzw. kurz IACS) eingeführt. Bei diesem Konzept werden folgende vier Security Levels (SL) definiert, die den Schutz gegen Missbrauch bzw. Angriffe unterschiedlicher Härte darstellen: SL 1: Schutz gegen ungewollten oder zufälligen Missbrauch; SL 2: Schutz gegen gewollten Missbrauch unter Verwendung einfacher Mittel; SL 3: Schutz gegen gewollten Missbrauch unter Verwendung hoch entwickelter Mittel; SL 4: Schutz gegen gewollten Missbrauch unter Verwendung hoch entwickelter Mittel und erweiterter Ressourcen. Somit decken die vielen oben genannten Security Levels unterschiedlichen Schutzbedarf ab (von einem ganz niedrigen bei SL 1 bis zu einem sehr hohen bei SL 4). 3.2 Security Levels im Lebenszyklus von Komponenten, Systemen und Anlagen Um die Lebenszyklusphasen im Konzept der Security Levels besser zu spiegeln, wurden im Normenentwurf IEC [IEC01] folgende Typen von Security Levels eingeführt: Target SLs (SL-T) repräsentieren das geforderte Schutzniveau einer spezifischen Automatisierungslösung. Dieses wird in der Regel durch eine Risikobewertung beim Entwurf einer Automatisierungslösung (d. h. in der Design-Phase) festgelegt, um das geeignete Niveau für die Sicherstellung des im Hinblick auf Security einwandfreien Betriebs zu definieren. Capability SLs (SL-C) repräsentieren das Schutzniveau, das durch die Funktionali-täten eines Systems oder von Komponenten eines Systems erreicht werden kann, wenn diese richtig konfiguriert und eingesetzt werden. Achieved SLs (SL-A) repräsentieren das erreichte Schutzniveau einer spezifischen Automatisierungslösung. Dieses Schutzniveau wird ermittelt, nachdem ein System als Lösung eines Automatisierungsprojekts ausgelegt und konfiguriert wurde, um den Target SL zu erreichen. Wenn die Capability SLs von Komponenten und Systemen, die Bestandteile der Automatisierungslösung bilden, zur Erreichung des angestrebten Target-SLs nicht ausreichen, können zusätzliche Maßnahmen, wie z. B. der Einsatz von zusätzlichen Security-Mechanismen zur Erhöhung des Schutzniveaus erforderlich sein. Eine wichtige Grundlage für die SLs bilden die folgenden grundlegenden Security-Anforderungen, die sich aus diversen Schutzzielen, Security-Anforderungen und -Maßnahmen zusammensetzen: FR1 Identification and authentication control (IAC): Sicherstellung, dass alle Benutzer (Personen, Software-Prozesse und Geräte) sich erfolgreich identifizieren und authentifizieren müssen, damit sie auf das System zugreifen dürfen. FR2 Use control (UC): Sicherstellung, dass authentifizierte Benutzer (Personen, Software-Prozesse oder Gerätes) die Ihnen zugeteilten Rechte nutzen können.

6 FR3 System Integrity (SI): Sicherstellung der Integrität, um unberechtigte Manipulationen zu verhindern. FR4 Data Confidentiality (DC): Sicherstellung der Vertraulichkeit der Information bei der Übertragung und in der Datenablage, um unberechtigte Weiterverbreitung zu verhindern. FR 5 Restricted Data Flow (RDF): Segmentierung des Systems in Zonen und Conduits, um nichtnotwendigen Datenverkehr einzuschränken. FR6 Timely response to events (TRE): Zeitnahe Reaktion auf Security Events FR7 Resource availability (RA): Verfügbarkeit von Ressourcen und Daten für Berechtigte. Die Security Levels aller drei oben genannten Typen werden durch siebendimensionale Vektoren der Form {IAC UC DI DC RDF TRE RA} beschrieben, wobei einzelne Dimensionen durch die genannten grundlegenden Anforderungen mit unterschiedlichem Erfüllungsgrad repräsentiert werden. Beispiel bezüglich des SL-C(Engineering Station), Quelle:[IEC01] Der Erfüllungsgrad der Anforderung IAC (FR1) wird für die Security Levels 1 bis 4 wie folgt definiert: Für SL1: Identifizierung und Authentifizierung von Benutzern (Personen, Software-Prozessen und Geräten) mit Hilfe von Mechanismen, die den Schutz gegen zufälligen unberechtigten Zugriff bieten. Für SL2: Identifizierung und Authentifizierung von Benutzern (Personen, Software-Prozessen und Geräten) mit Hilfe von Mechanismen, die den Schutz gegen unberechtigten Zugriff unter Verwendung geringer Ressourcen, Allgemeinwissen seitens eines nicht sehr motivierten Angreifers bieten. Für SL3: Identifizierung und Authentifizierung von Benutzern (Personen, Software-Prozessen und Geräten) mit Hilfe von Mechanismen, die den Schutz gegen unberechtigten Zugriff unter Verwendung von moderaten Ressourcen, speziellem systembezogenen Know-how seitens eines motivierten Angreifers bieten. Für SL4: Identifizierung und Authentifizierung von Benutzern (Personen, Software-Prozessen und Geräten) mit Hilfe von Mechanismen, die den Schutz gegen unberechtigten Zugriff unter Verwendung von erweiterten Ressourcen, speziellem systembezogenen Know-how seitens eines hoch motivierten Angreifers bieten. Stellt sich als Ergebnis einer Risiko- und Bedrohungsanalyse einer Engineering Station heraus, dass der Erfüllungsgrad der Anforderung IAC dem SL1 (siehe Punkt 1) entspricht, wird der ersten Dimension des Vektors SL-C(Engineering Station) der Wert 1 zugewiesen: SL-C(Engineering Workstation) = { }. 4 Zusammenfassung und Ausblick Im vorliegenden Beitrag wurden der Begriff Security und die grundlegenden Schutzziele hinsichtlich Security erläutert, sowie einige Trends und Entwicklungen im Bereich der industriellen Automatisierung genannt ( Abschnitt 1). Anschließend wurden wichtige Aspekte des Security-Managements genannt ( Abschnitt 2) und das Konzept der sogenannten Security Levels nach IEC vorgestellt ( Abschnitt 3). Das in Abschnitt 3 beschriebene SL-Konzept ist sehr gut anwendbar beim Entwurf oder der Änderung einer Automatisierungslösung. Der Schutz der Automatisierungslösung im gesamten Lebenszyklus wird jedoch noch von weiteren Maßnahmen im Rahmen des Security-Managements beeinflusst, wie z. B. dem physikalischen Schutz, der Verwaltung der Anwender mit ihren Rechten oder dem konsequente Betreiben eines Patch Management. Einige Fragen im Zusammenhang mit dem SL-Konzept sind noch offen und werden derzeit in entsprechenden Normungsgremien diskutiert. Ein Beispiel dafür ist die Frage, wie die organisatorischen Maßnahmen mit dem vorliegenden SL-Vektor in ein Gesamtkonzept zur Bewertung des Schutzniveaus einer Automatisierungslösung im laufenden Betrieb eingebunden werden können.

7 5 Literaturverzeichnis [PRK01] Palmin, A.; Runde, S.; Kobes, P.: Security in der Prozessautomatisierung Trends und Entwicklungen aus dem Fokus der Vorfeldentwicklung, In: Tagungsband der Automation 2012, Baden-Baden [PRK02] Palmin, A.; Runde, S.; Kobes, P.: Ganzheitliches anlagenweites Security Management Werkzeuge für die automatisierte Unterstützung, In: atp, März [IEC01] IEC (ISA ): Security for industrial automation and control systems. Terminology, Concepts and Models, Draft 1, Edit 7, August [IEC02] IEC (ISA ) Security for industrial automation and control systems Part 2-1: Industrial automation and control system security management system Draft 6, Edit 4, September [IEC03] IEC (ISA ) Security for industrial automation and control systems Part 2-2: Operating an IACS Security Program, Draft 1, Edit 4, March [ISO01] ISO/IEC Information technology Security techniques Information security management systems Requirements, September [ISO02] ISO/IEC Information technology Security techniques Code of practice for information security management, [CIP01] Standard CIP Cyber Security Systems Security Management, NERC, [WIB01] WIB Report M-2784-X-10,Process Control Domain - Security Requirements for Vendors, Version 2.0, [SI01] Siemens AG: Industrial Security, Webseite Verfügbar unter: [SI02] Siemens AG: Operational Guidelines für Industrial Security, Foliensatz, Verfügbar unter:http://www.industry.siemens.com/topics/global/en/industrial-security/documents/ operational_guidelines_industrial_security_de.pdf [SI03] Siemens AG, Gefahrenpotenziale mit System minimieren, Broschüre, Verfügbar unter:http://www.industry.siemens.com/topics/global/en/industrial-security/documents/e20001-a1020- [SI04] P200.pdf. Siemens AG, Operational Guidelines für Industrial Security, Foliensatz, Verfügbar unter: operational_guidelines_industrial_security_de.pdf [VD01] VDI/VDE 2182: Informationssicherheit in der industriellen Automatisierung. Beuth, [IECG01] International Electrotechnical Commission (IEC) Glossary,

Industrial IT Security in Embedded Systems - was leistet die Norm IEC 62443? von Dipl.-Ing. (FH) Sebastian Schmidt

Industrial IT Security in Embedded Systems - was leistet die Norm IEC 62443? von Dipl.-Ing. (FH) Sebastian Schmidt Industrial IT Security in Embedded Systems - was leistet die Norm IEC 62443? von Dipl.-Ing. (FH) Sebastian Schmidt Die Vernetzung von Computer Systemen macht auch vor industriellen Systemen nicht halt.

Mehr

Security in der industriellen Automatisierung im aktuellen Kontext

Security in der industriellen Automatisierung im aktuellen Kontext Anna Palmin, Dr. Pierre Kobes /18 November 2014, KommA 2014 Security in der industriellen Automatisierung im aktuellen Kontext Restricted Siemens AG 20XX All rights reserved. siemens.com/answers Security

Mehr

4. Stuttgarter Sicherheitskongress: IT-Sicherheit in industriellen Anlagen

4. Stuttgarter Sicherheitskongress: IT-Sicherheit in industriellen Anlagen 4. Stuttgarter Sicherheitskongress: IT-Sicherheit in industriellen Anlagen Henning Sandfort Siemens AG, Sector Industry SIMATIC Produkt- & Systemmanagement Allgemeine Security-Bedrohungen in der Automatisierung

Mehr

Security for Safety in der Industrieautomation Konzepte und Lösungsansätze des IEC 62443

Security for Safety in der Industrieautomation Konzepte und Lösungsansätze des IEC 62443 Security for Safety in der Industrieautomation Konzepte und Lösungsansätze des IEC 62443 Roadshow INDUSTRIAL IT SECURITY Dr. Thomas Störtkuhl 18. Juni 2013 Folie 1 Agenda Einführung: Standard IEC 62443

Mehr

Cyber Security in der Stromversorgung

Cyber Security in der Stromversorgung 12. CIGRE/CIRED Informationsveranstaltung Cyber Security in der Stromversorgung Manuel Ifland Ziele dieses Vortrags Sie können sich ein Bild davon machen, welche Cyber Security Trends in der Stromversorgung

Mehr

Fachtagung Safety in Transportation Leitfaden für die IT Sicherheit auf Grundlage IEC 62443

Fachtagung Safety in Transportation Leitfaden für die IT Sicherheit auf Grundlage IEC 62443 Fachtagung Safety in Transportation Leitfaden für die IT Sicherheit auf Grundlage IEC 62443 DKE UK 351.3.7 Hans-Hermann Bock 1 Braunschweig, 06.11.2013 Anwendungsbereich der Vornorm (1) Diese Vornorm ist

Mehr

Beuth Hochschule BEUTH HOCHSCHULE FÜR TECHNIK BERLIN University of Applied Sciences

Beuth Hochschule BEUTH HOCHSCHULE FÜR TECHNIK BERLIN University of Applied Sciences Beuth Hochschule BEUTH HOCHSCHULE FÜR TECHNIK BERLIN University of Applied Sciences WISSENSCHAFTLICHE WEITERBILDUNG Fernstudium Industrial Engineering Produktions- und Betriebstechnik Kurseinheit 98 und

Mehr

Sicherheitstechnische Qualifizierung (SQ), Version 10.0 Security Assurance Level SEAL-3

Sicherheitstechnische Qualifizierung (SQ), Version 10.0 Security Assurance Level SEAL-3 Die Zertifizierungsstelle der TÜV Informationstechnik GmbH bescheinigt hiermit dem Unternehmen RWE Effizienz GmbH Flamingoweg 1 44139 Dortmund für das IT-System RWE eoperate IT Services die Erfüllung aller

Mehr

ISO 27001 und IEC 80001 Team im Krankenhaus integriertes Managementsystem für Informations-Sicherheit im Medizinbetrieb PDCA statt DDDP*

ISO 27001 und IEC 80001 Team im Krankenhaus integriertes Managementsystem für Informations-Sicherheit im Medizinbetrieb PDCA statt DDDP* ISO 27001 und IEC 80001 Team im Krankenhaus integriertes Managementsystem für Informations-Sicherheit im Medizinbetrieb PDCA statt DDDP* *DDDP = Do-Do-Do-Panic Mission und Vision Die CETUS Consulting GmbH

Mehr

ITIL & IT-Sicherheit. Michael Storz CN8

ITIL & IT-Sicherheit. Michael Storz CN8 ITIL & IT-Sicherheit Michael Storz CN8 Inhalt Einleitung ITIL IT-Sicherheit Security-Management mit ITIL Ziele SLA Prozess Zusammenhänge zwischen Security-Management & IT Service Management Einleitung

Mehr

Sicherheitstechnische Qualifizierung (SQ), Version 10.0 Security Assurance Level SEAL-5

Sicherheitstechnische Qualifizierung (SQ), Version 10.0 Security Assurance Level SEAL-5 Die Zertifizierungsstelle der TÜV Informationstechnik GmbH bescheinigt hiermit dem Unternehmen SLA Software Logistik Artland GmbH Friedrichstraße 30 49610 Quakenbrück für das IT-System Meat Integrity Solution

Mehr

Das Sicherheitsprofil Software-as-a-Service im Anwendungsfall Kundenbeziehungsmanagement

Das Sicherheitsprofil Software-as-a-Service im Anwendungsfall Kundenbeziehungsmanagement Das Sicherheitsprofil Software-as-a-Service im Anwendungsfall Kundenbeziehungsmanagement (CRM) Dr. Patrick Grete Referat B22 Analyse von Techniktrends in der Informationssicherheit 2. IT-Grundschutz Tag

Mehr

Einführung eines ISMS nach ISO 27001:2013

Einführung eines ISMS nach ISO 27001:2013 Einführung eines ISMS nach ISO 27001:2013 VKU-Infotag: Anforderungen an die IT-Sicherheit (c) 2013 SAMA PARTNERS Business Solutions Vorstellung Olaf Bormann Senior-Consultant Informationssicherheit Projekterfahrung:

Mehr

Informations- / IT-Sicherheit - Warum eigentlich?

Informations- / IT-Sicherheit - Warum eigentlich? Informations- / IT-Sicherheit - Warum eigentlich? Hagen, 20.10.2015 Uwe Franz Account Manager procilon IT-Solutions GmbH Niederlassung Nord-West Londoner Bogen 4 44269 Dortmund Mobil: +49 173 6893 297

Mehr

Sicherheitstechnische Qualifizierung (SQ), Version 10.0 Security Assurance Level SEAL-3

Sicherheitstechnische Qualifizierung (SQ), Version 10.0 Security Assurance Level SEAL-3 Die Zertifizierungsstelle der TÜV Informationstechnik GmbH bescheinigt hiermit dem Unternehmen Deutsche Telekom AG Products & Innovation T-Online-Allee 1 64295 Darmstadt für das IT-System Developer Garden

Mehr

IGT-Richtlinie 01: Anforderungen an Smarthome-Systeme

IGT-Richtlinie 01: Anforderungen an Smarthome-Systeme Bewertungskriterien inklusive Vorlagen zur Unterscheidung der Funktionalität von Smarthome- Systemen aus Nutzersicht bzw. aus technischer Sicht. Version 03, August 2015 Prof. Dr. Michael Krödel IGT - Institut

Mehr

Sicherheitstechnische Qualifizierung (SQ), Version 10.0 Security Assurance Level SEAL-3

Sicherheitstechnische Qualifizierung (SQ), Version 10.0 Security Assurance Level SEAL-3 Die Zertifizierungsstelle der TÜV Informationstechnik GmbH bescheinigt hiermit dem Unternehmen Agfa HealthCare GmbH Konrad-Zuse-Platz 1-3 53227 Bonn für das IT-System IMPAX/web.Access die Erfüllung aller

Mehr

Industrial Defender Defense in Depth Strategie

Industrial Defender Defense in Depth Strategie Industrial Defender Defense in Depth Strategie Security aus der Sicht eines Dienstleisters Michael Krammel KORAMIS Unternehmensverbund mit 80 Mitarbeitern in 7 regionalen Niederlassungen in D und CH Seit

Mehr

Konkrete Lösungsansätze am Beispiel der Lebensmittelindustrie

Konkrete Lösungsansätze am Beispiel der Lebensmittelindustrie Industrial IT Security Konkrete Lösungsansätze am Beispiel der Lebensmittelindustrie Wir sorgen für die Sicherheit Ihrer Anlagen it-sa Nürnberg, 18.10.2012 Kent Andersson 1. Besonderheiten und Unterschiede

Mehr

Sicherheit und Qualität digitaler Leittechnik eine wesentliche Voraussetzung für Kraftwerke der Zukunft

Sicherheit und Qualität digitaler Leittechnik eine wesentliche Voraussetzung für Kraftwerke der Zukunft Sicherheit und Qualität digitaler Leittechnik eine wesentliche Voraussetzung für Kraftwerke der Zukunft Dr. Guido Rettig Chairman of the Board TÜV NORD AG 1 Vertikale und horizontale Kommunikation in der

Mehr

your IT in line with your Business Geschäftsprozessmanagement (GPM)

your IT in line with your Business Geschäftsprozessmanagement (GPM) your IT in line with your Business Geschäftsprozessmanagement (GPM) Transparenz schaffen und Unternehmensziele effizient erreichen Transparente Prozesse für mehr Entscheidungssicherheit Konsequente Ausrichtung

Mehr

Grundlagen des Datenschutzes. Vorlesung im Sommersemester 2011 an der Universität Ulm von Bernhard C. Witt

Grundlagen des Datenschutzes. Vorlesung im Sommersemester 2011 an der Universität Ulm von Bernhard C. Witt Vorlesung im Sommersemester 2011 an der Universität Ulm von 2. Grundlagen der IT-Sicherheit Grundlagen der IT-Sicherheit Geschichte des Datenschutzes Anforderungen zur IT-Sicherheit Datenschutzrechtliche

Mehr

Tabelle: Maßnahmen und Datenschutz-Kontrollziele zu Baustein 1.5 Datenschutz

Tabelle: Maßnahmen und Datenschutz-Kontrollziele zu Baustein 1.5 Datenschutz Tabelle: Maßn und Datenschutz-Kontrollziele zu Baustein 1.5 Datenschutz (Verweis aus Maß M 7.5) Basierend auf den IT-Grundschutz-Katalogen Version 2006 Stand: November 2006, Stand der Tabelle: 22.08.07

Mehr

Informations- / IT-Sicherheit Standards

Informations- / IT-Sicherheit Standards Ziele Informations- / IT-Sicherheit Standards Überblick über Ziele, Anforderungen, Nutzen Ingrid Dubois Grundlage zuverlässiger Geschäftsprozesse Informationssicherheit Motivation Angemessenen Schutz für

Mehr

Informationstechnik in der Prozessüberwachung und -steuerung. Grundsätzliche Anmerkungen

Informationstechnik in der Prozessüberwachung und -steuerung. Grundsätzliche Anmerkungen Informationstechnik in der Prozessüberwachung und -steuerung Grundsätzliche Anmerkungen Bundesamt für Sicherheit in der Informationstechnik Postfach 20 03 63 53133 Bonn Tel.: +49 22899 95820 E-Mail: ics-sec@bsi.bund.de

Mehr

IT-Grundschutz nach BSI 100-1/-4

IT-Grundschutz nach BSI 100-1/-4 IT-Grundschutz nach BSI 100-1/-4 Marko Rogge www.marko-rogge.de www.leiner-denzer.com 100-1, 100-2, 100-3, 100-4 100-1 100-2 Managementsysteme für Informationssicherheit (ISMS, Information Security Management

Mehr

Informationssicherheit in der Automation ein Überblick

Informationssicherheit in der Automation ein Überblick Informationssicherheit in der Automation ein Überblick Martin Naedele ABB Corporate Research 2005 ABB CH-RD/MN - 1 Überblick Motivation Was ist Informationssicherheit? Warum ist das Thema relevant für

Mehr

IT-Controlling in der Sparkasse Hildesheim

IT-Controlling in der Sparkasse Hildesheim 1 IT-Controlling in der der Steuerungsregelkreislauf für IT-Entwicklung und -Betrieb Auf Basis der IT-Strategie mit den dort definierten Zielen wurde das IT-Controlling eingeführt und ist verbindliche

Mehr

Funktionale Sicherheit Testing unter

Funktionale Sicherheit Testing unter Funktionale Sicherheit Testing unter den Bedingungen der Safety Integrity Levels Präsentation auf dem Neu-Ulmer Test-Engineering Day Sebastian Stiemke, MissingLinkElectronics, Neu-Ulm 1 Inhalt Idee hinter

Mehr

Sicherheitstechnische Qualifizierung (SQ), Version 10.0 Security Assurance Level SEAL-5

Sicherheitstechnische Qualifizierung (SQ), Version 10.0 Security Assurance Level SEAL-5 Die Zertifizierungsstelle der TÜV Informationstechnik GmbH bescheinigt hiermit dem Unternehmen e-netz Südhessen GmbH & Co. KG Dornheimer Weg 24 64293 Darmstadt für das IT System Querverbundleitstelle Darmstadt

Mehr

Qualitätsmanagementsystem nach DIN EN ISO 9001:2015

Qualitätsmanagementsystem nach DIN EN ISO 9001:2015 Qualitätsmanagementsystem nach DIN EN ISO 9001:2015 Quick Tour (Foliensatz für das Management) Karlsruhe, im Juni 2015 Qualitätsmanagement ist einfach. Sehr einfach. Wir zeigen Ihnen wie. ipro Consulting

Mehr

Medizintechnik und Informationstechnologie im Krankenhaus. Dr. Andreas Zimolong

Medizintechnik und Informationstechnologie im Krankenhaus. Dr. Andreas Zimolong Medizintechnik und Informationstechnologie im Krankenhaus Dr. Andreas Zimolong DIN EN 80001-1:2011 Anwendung des Risikomanagements für IT-Netzwerke, die Medizinprodukte beinhalten Teil 1: Aufgaben, Verantwortlichkeiten

Mehr

Cyber-Sicherheits-Exposition

Cyber-Sicherheits-Exposition BSI-Veröffentlichungen zur Cyber-Sicherheit EMPFEHLUNG: MANAGEMENT Cyber-Sicherheits-Exposition Voraussetzung für eine wirksame Absicherung von Netzen und IT-Systemen in Unternehmen, Behörden und anderen

Mehr

Informationssicherheit in der Energieversorgung

Informationssicherheit in der Energieversorgung FNN-/DVGW-Hinweis Informationssicherheit in der Energieversorgung Rechtliche Einordnung und Hilfestellungen für die Umsetzung Dezember 2015 in Kooperation mit Impressum Forum Netztechnik / Netzbetrieb

Mehr

Sicherheits-Audit-Erkenntnisse / Software-as-a-Service TeFo10, World Trade Center Zürich, 21. September 2010

Sicherheits-Audit-Erkenntnisse / Software-as-a-Service TeFo10, World Trade Center Zürich, 21. September 2010 Sicherheits-Audit-Erkenntnisse / Software-as-a-Service TeFo10, World Trade Center Zürich, 21. September 2010 Christoph Koch, ckoch@koch-is.ch, Geschäftsführer, Koch IS GmbH Agenda Schadenfälle Audit, Sicherheit,

Mehr

Amtliches Mitteilungsblatt

Amtliches Mitteilungsblatt Nr. 13/12 Amtliches Mitteilungsblatt der HTW Berlin Seite 119 13/12 26. April 2012 Amtliches Mitteilungsblatt Seite Grundsätze der Informationssicherheit der HTW Berlin vom 18. April 2012.................

Mehr

Chancen und Risiken. The risk of good things not happening can be just as great as that of bad things happening."

Chancen und Risiken. The risk of good things not happening can be just as great as that of bad things happening. Sicherheit Absolute Sicherheit in der Datenverarbeitung gibt es nicht; K+P kann die Sicherheit jedoch durch geeignete Maßnahmen entscheidend verbessern! Chancen und Risiken The risk of good things not

Mehr

Governance, Risk & Compliance für den Mittelstand

Governance, Risk & Compliance für den Mittelstand Governance, Risk & Compliance für den Mittelstand Die Bedeutung von Steuerungs- und Kontrollsystemen nimmt auch für Unternehmen aus dem Mittelstand ständig zu. Der Aufwand für eine effiziente und effektive

Mehr

IT-Sicherheit. IT-Sicherheit im Spannungsfeld von Kosten/Aufwand und Compliance/Nutzen. Informationsrechtstag 2006 / Seite 1 von 22

IT-Sicherheit. IT-Sicherheit im Spannungsfeld von Kosten/Aufwand und Compliance/Nutzen. Informationsrechtstag 2006 / Seite 1 von 22 IT-Sicherheit IT-Sicherheit im Spannungsfeld von Kosten/Aufwand und Compliance/Nutzen Informationsrechtstag 2006 / Seite 1 von 22 BASF IT Services Wir stellen uns vor Gründung einer europaweiten IT-Organisation

Mehr

Sicherheitsaspekte der kommunalen Arbeit

Sicherheitsaspekte der kommunalen Arbeit Sicherheitsaspekte der kommunalen Arbeit Was ist machbar, finanzierbar, umzusetzen und unbedingt notwendig? Sicherheit in der Gemeinde Bei der Kommunikation zwischen Behörden oder zwischen Bürgerinnen,

Mehr

Änderungen ISO 27001: 2013

Änderungen ISO 27001: 2013 Änderungen ISO 27001: 2013 Loomans & Matz AG August-Horch-Str. 6a, 55129 Mainz Deutschland Tel. +496131-3277 877; www.loomans-matz.de, info@loomans-matz.de Die neue Version ist seit Oktober 2013 verfügbar

Mehr

ISO & IKS Gemeinsamkeiten. SAQ Swiss Association for Quality. Martin Andenmatten

ISO & IKS Gemeinsamkeiten. SAQ Swiss Association for Quality. Martin Andenmatten ISO & IKS Gemeinsamkeiten SAQ Swiss Association for Quality Martin Andenmatten 13. Inhaltsübersicht IT als strategischer Produktionsfaktor Was ist IT Service Management ISO 20000 im Überblick ISO 27001

Mehr

Bewertung der IT-Sicherheit von Industriellen Steuerungsumgebungen

Bewertung der IT-Sicherheit von Industriellen Steuerungsumgebungen Bewertung der IT-Sicherheit von Industriellen Steuerungsumgebungen Werkzeuge für den leichtgewichtigen Einstieg in industrielle Cyber-Security 12.08.2014 Michael Gröne Sirrix AG security technologies Herausforderung

Mehr

5 ECTS. 4 Modulverantwortlicher Prof. Dr. Francesca Saglietti

5 ECTS. 4 Modulverantwortlicher Prof. Dr. Francesca Saglietti 1 Modulbezeichnung Konstruktives Software Engineering (Constructive Phases of Software Engineering) 2 Lehrveranstaltungen V+Ü: Konstruktive Phasen des Software Engineering (erste zwei Monate der Vorlesung

Mehr

ITSM-Health Check: die Versicherung Ihres IT Service Management. Christian Köhler, Service Manager, Stuttgart, 03.07.2014

ITSM-Health Check: die Versicherung Ihres IT Service Management. Christian Köhler, Service Manager, Stuttgart, 03.07.2014 : die Versicherung Ihres IT Service Management Christian Köhler, Service Manager, Stuttgart, 03.07.2014 Referent Christian Köhler AMS-EIM Service Manager Geschäftsstelle München Seit 2001 bei CENIT AG

Mehr

IT-Governance und COBIT. DI Eberhard Binder

IT-Governance und COBIT. DI Eberhard Binder IT-Governance und COBIT DI Eberhard Binder wir alle wollen, dass Die IT in unserem Unternehmen anerkannt und gut positioniert ist Die IT Abteilung als bestens geführt gilt Was will der CEO von seiner IT?

Mehr

Systemen im Wandel. Autor: Dr. Gerd Frenzen Coromell GmbH Seite 1 von 5

Systemen im Wandel. Autor: Dr. Gerd Frenzen Coromell GmbH Seite 1 von 5 Das Management von Informations- Systemen im Wandel Die Informations-Technologie (IT) war lange Zeit ausschließlich ein Hilfsmittel, um Arbeitsabläufe zu vereinfachen und Personal einzusparen. Sie hat

Mehr

Wie kommt man ohne Umwege zur sicheren Maschine?

Wie kommt man ohne Umwege zur sicheren Maschine? Wie kommt man ohne Umwege zur sicheren Maschine? Mit dem Safety Evaluation Tool erstellen Sie schnell und sicher die normenkonforme Dokumentation. Answers for industry. Safety Evaluation Tool Ohne Umwege

Mehr

EN 50600-3-1: Informationen für Management und Betrieb

EN 50600-3-1: Informationen für Management und Betrieb : Informationen für Management und Betrieb 1 Agenda Einführung Informationen für Management und Betrieb Abnahmetests Prozesse o Übersicht o Betriebsprozesse o Management Prozesse Anhang A: Beispiel zur

Mehr

Requirements Engineering (Anforderungstechnik)

Requirements Engineering (Anforderungstechnik) 5 Requirements Engineering Einführung 5.1 Was ist Requirements Engineering? Erste Näherung: Requirements Engineering (Anforderungstechnik) ist das systematische, disziplinierte und quantitativ erfassbare

Mehr

Die vorliegende Arbeitshilfe befasst sich mit den Anforderungen an qualitätsrelevante

Die vorliegende Arbeitshilfe befasst sich mit den Anforderungen an qualitätsrelevante ISO 9001:2015 Die vorliegende Arbeitshilfe befasst sich mit den Anforderungen an qualitätsrelevante Prozesse. Die ISO 9001 wurde grundlegend überarbeitet und modernisiert. Die neue Fassung ist seit dem

Mehr

Security 4 Safety. Markus Bartsch, Christian Freckmann

Security 4 Safety. Markus Bartsch, Christian Freckmann Security 4 Safety Markus Bartsch, Christian Freckmann Internet der Dinge Samsung und Android Samsung Samsung TÜV Informationstechnik GmbH Member of TÜV NORD Group 1 Heise-Meldungen Industrieanlagen schutzlos

Mehr

Grundlagen des Datenschutzes und der IT-Sicherheit. Musterlösung zur 5. Übung im SoSe 2010: Konzepte zur IT-Sicherheit

Grundlagen des Datenschutzes und der IT-Sicherheit. Musterlösung zur 5. Übung im SoSe 2010: Konzepte zur IT-Sicherheit und der IT-Sicherheit Musterlösung zur 5. Übung im SoSe 2010: Konzepte zur IT-Sicherheit 5.1 Sicherheitskonzept Aufgabe: Welche Aspekte sollten in einem Sicherheitskonzept, das den laufenden Betrieb der

Mehr

Sicherheitstechnische Qualifizierung (SQ), Version 9.0

Sicherheitstechnische Qualifizierung (SQ), Version 9.0 Die Zertifizierungsstelle der TÜV Informationstechnik GmbH bescheinigt hiermit dem Unternehmen Atos Worldline GmbH Hahnstraße 25 60528 Frankfurt/Main für das PIN Change-Verfahren Telefonbasierte Self Selected

Mehr

IT Security: Anforderungen und Lösungen für Eisenbahnleit- und -sicherungstechnik

IT Security: Anforderungen und Lösungen für Eisenbahnleit- und -sicherungstechnik Lorem est dolor sunt 2014 Prof. Dr. Jens Braband IT Security: Anforderungen und Lösungen für Eisenbahnleit- und -sicherungstechnik siemens.com/answers Inhalt Security versus Safety 4 Security-Bedrohungen

Mehr

Technische Realisierung von Datenschutz in Unternehmen. Prof. Dr. Hannes Federrath Universität Regensburg

Technische Realisierung von Datenschutz in Unternehmen. Prof. Dr. Hannes Federrath Universität Regensburg Technische Realisierung von Datenschutz in Unternehmen Prof. Dr. Hannes Federrath Universität Regensburg Begriffe IT-Sicherheitsmanagement IT-Sicherheitsmanagement versucht, die mit Hilfe von Informationstechnik

Mehr

ISO 9001:2015 und Risikomanagement ISO/DIS 9001 (E) 08/2014

ISO 9001:2015 und Risikomanagement ISO/DIS 9001 (E) 08/2014 ISO 9001:2015 und Risikomanagement ISO/DIS 9001 (E) 08/2014 Übersicht 1. Risikomanagement - Hintergrund 2. Risikomanagement ISO 9001: 2015 3. Risikomanagement Herangehensweise 4. Risikomanagement Praxisbeispiel

Mehr

Anforderungen und Auswahlkriterien für Projektmanagement-Software

Anforderungen und Auswahlkriterien für Projektmanagement-Software Anforderungen und Auswahlkriterien für Projektmanagement-Software Anika Gobert 1,Patrick Keil 2,Veronika Langlotz 1 1 Projektmanagement Payment Giesecke &Devrient GmbH Prinzregentenstr. 159, Postfach 800729,

Mehr

Sicherheitstechnische Qualifizierung (SQ), Version 9.0

Sicherheitstechnische Qualifizierung (SQ), Version 9.0 Die Zertifizierungsstelle der TÜV Informationstechnik GmbH bescheinigt hiermit dem Unternehmen RWE Effizienz GmbH Freistuhl 7 44137 Dortmund für den Webshop RWE SmartHome Shop die Erfüllung aller Anforderungen

Mehr

Automatisierung eines ISMS nach ISO 27001 mit RSA Archer

Automatisierung eines ISMS nach ISO 27001 mit RSA Archer Automatisierung eines ISMS nach ISO 27001 mit RSA Archer Wilhelm Suffel Senior Consultant Computacenter AG & Co ohg Hörselbergstraße 7, 81677 München, Germany Tel.: +49 89 45712 446 Mobile: +49 172 8218825

Mehr

Software EMEA Performance Tour 2013. Berlin, Germany 17-19 June

Software EMEA Performance Tour 2013. Berlin, Germany 17-19 June Software EMEA Performance Tour 2013 Berlin, Germany 17-19 June Change & Config Management in der Praxis Daniel Barbi, Solution Architect 18.06.2013 Einführung Einführung Wer bin ich? Daniel Barbi Seit

Mehr

The Rational Unified Process. Eine Einführung von T. Langer und A. Nitert

The Rational Unified Process. Eine Einführung von T. Langer und A. Nitert The Rational Unified Process Eine Einführung von T. Langer und A. Nitert Übersicht Einleitung Probleme der SW-Entwicklung, Best Practices, Aufgaben Was ist der Rational Unified Process? Struktur des Prozesses

Mehr

Die neue ISO 9001:2015 Neue Struktur

Die neue ISO 9001:2015 Neue Struktur Integrierte Managementsysteme Die neue ISO 9001:2015 Neue Struktur Inhalt Neue Struktur... 1 Die neue ISO 9001:2015... 1 Aktuelle Status der ISO 9001... 3 Änderungen zu erwarten... 3 Ziele der neuen ISO

Mehr

Phase 3: Prozesse. führen. 3.1 Mitarbeiter informieren 3.2 Prozessbeteiligte schulen

Phase 3: Prozesse. führen. 3.1 Mitarbeiter informieren 3.2 Prozessbeteiligte schulen Einleitung Ziel dieses Bands ist es, den Einsteigern und Profis für die Einführung des Prozessmanagements und die systematische Verbesserung von Prozessen in kleinen und mittleren Organisationen (KMO)

Mehr

Modellbasierter Entwurf sicherheitskritischer Anwendungen. Von Moritz Borgmann Für VL Eingebettete Systeme Sommer Semester 2009

Modellbasierter Entwurf sicherheitskritischer Anwendungen. Von Moritz Borgmann Für VL Eingebettete Systeme Sommer Semester 2009 Modellbasierter Entwurf sicherheitskritischer Anwendungen Von Moritz Borgmann Für VL Eingebettete Systeme Sommer Semester 2009 Einführung Einführung Modellbasierter Entwurf und der IEC 61508 Ausblick Zusammenfassung,

Mehr

Kapitel 2: Grundlagen. Wolfgang Hommel, Helmut Reiser, LRZ, WS 2015/16 IT-Sicherheit 1

Kapitel 2: Grundlagen. Wolfgang Hommel, Helmut Reiser, LRZ, WS 2015/16 IT-Sicherheit 1 Kapitel 2: Grundlagen 1 Kapitel 2: Inhalt 1. Ziele der Informationssicherheit 2. Systematik zur Einordnung von Sicherheitsmaßnahmen 3. Technik & Organisation - ISO/IEC 27000 4. Abgrenzung: Security vs.

Mehr

Grundlagen des Datenschutzes

Grundlagen des Datenschutzes Vorlesung im Sommersemester 2009 an der Universität Ulm von 2. Grundlagen der IT-Sicherheit Grundlagen der IT-Sicherheit Geschichte des Datenschutzes Anforderungen zur IT-Sicherheit Datenschutzrechtliche

Mehr

Funktionale Sicherheit und Cyber Security

Funktionale Sicherheit und Cyber Security Funktionale Sicherheit und Cyber Security Unterschiede, Schnittstellen und Lösungen V0.05 2015-10-20 Agenda Keine Funktionale Sicherheit ohne Cyber Security Prozesse und Methoden Safety Mechanismen Security

Mehr

VARIANTENREICH SPAREN Optimale Produktvarianz bei bestmöglicher Wiederverwendung. Prozesse Methoden Werkzeuge

VARIANTENREICH SPAREN Optimale Produktvarianz bei bestmöglicher Wiederverwendung. Prozesse Methoden Werkzeuge VARIANTENREICH SPAREN Optimale Produktvarianz bei bestmöglicher Wiederverwendung Prozesse Methoden Werkzeuge 1. Die Herausforderungen der Variantenvielfalt Erfolgreiche Unternehmen haben weniger Varianten

Mehr

Predictive Maintenance und moderne IT Die Zukunft für den Service im Schienenverkehr

Predictive Maintenance und moderne IT Die Zukunft für den Service im Schienenverkehr Predictive Maintenance und moderne IT Die Zukunft für den Service im Schienenverkehr Industry Siemens Sector, Mobility Rail Division Services We keep the rail world running Schutzvermerk / Copyright-Vermerk

Mehr

COBIT 5 Controls & Assurance in the Cloud. 05. November 2015

COBIT 5 Controls & Assurance in the Cloud. 05. November 2015 COBIT 5 Controls & Assurance in the Cloud 05. November 2015 Charakteristika der Cloud On-Demand Self Service Benötigte IT-Kapazität selbstständig ordern und einrichten Broad Network Access Zugriff auf

Mehr

Sicherheit mit Zukunft.

Sicherheit mit Zukunft. Sicherheit mit Zukunft. Beraten Unterstützen Begleiten accessec - beraten, unterstützen, begleiten Die accessec GmbH ist ein Spezialist für Sicherheitsstrategien und ganzheitliche Sicherheitslösungen welche

Mehr

CeBIT 17.03.2015. CARMAO GmbH 2014 1

CeBIT 17.03.2015. CARMAO GmbH 2014 1 CeBIT 17.03.2015 CARMAO GmbH 2014 1 HERZLICH WILLKOMMEN Applikationssicherheit beginnt lange bevor auch nur eine Zeile Code geschrieben wurde Ulrich Heun Geschäftsführender Gesellschafter der CARMAO GmbH

Mehr

ISO9001 2015 QM-Dienstleistungen Holger Grosser Simonstr. 14 90766 Fürth Tel: 0911/49522541 www.qm-guru.de

ISO9001 2015 QM-Dienstleistungen Holger Grosser Simonstr. 14 90766 Fürth Tel: 0911/49522541 www.qm-guru.de ISO9001 2015 Hinweise der ISO Organisation http://isotc.iso.org/livelink/livelink/open/tc176sc2pub lic Ausschlüsse im Vortrag Angaben, die vom Vortragenden gemacht werden, können persönliche Meinungen

Mehr

ISMS bei DENIC. Boban Krsic (Information Security Officer) Berlin, den 14. Februar 2014

ISMS bei DENIC. Boban Krsic (Information Security Officer) Berlin, den 14. Februar 2014 ISMS bei DENIC Boban Krsic (Information Security Officer) Berlin, den 14. Februar 2014 Agenda Kurzvorstellung DENIC eg ISMS bei DENIC Entwicklung des ISMS bei DENIC Risikomanagement im Bereich Information

Mehr

Cyber-Sicherheits- Check

Cyber-Sicherheits- Check -MUSTER- -MUSTER- Muster-Beurteilungsbericht zum Cyber-Sicherheits- Check der Beispiel GmbH Januar 2014 1. Rahmendaten Beurteilungsgegenstand Beurteiler Anlass Grundlagen und Anforderungen Zeitlicher Ablauf

Mehr

Sicherheit & Zuverlässigkeit

Sicherheit & Zuverlässigkeit Fakultät Elektrotechnik & Informationstechnik Institut für Automatisierungstechnik, Professur für Prozessleittechnik Sicherheit & Zuverlässigkeit Einführung VL PLT-2 Professur für Prozessleittechnik Übersicht

Mehr

Dirk Loomans, Micha-Klaus Müller. Bedrohungs- und Schwachstellenanalysen

Dirk Loomans, Micha-Klaus Müller. Bedrohungs- und Schwachstellenanalysen Dirk Loomans, Micha-Klaus Müller Bedrohungs- und Schwachstellenanalysen Übersicht über die Arbeitshilfen risikoanalyse.doc Das Klammersymbol Checkliste zur Durchführung einer Risikoanalyse im Text verweist

Mehr

Informationssicherheit Herausforderungen, Folgen, Empfehlungen. Created by: Dr. Thomas Nowey Date: 09.12.2015

Informationssicherheit Herausforderungen, Folgen, Empfehlungen. Created by: Dr. Thomas Nowey Date: 09.12.2015 Informationssicherheit Herausforderungen, Folgen, Empfehlungen Created by: Dr. Thomas Nowey Date: 2 KRONES IM Information Security KRONES - What we offer: lines and factories Example: beer in returnable

Mehr

1 Welcher Service Operation Prozesse fehlen? Incident Management, Problem

1 Welcher Service Operation Prozesse fehlen? Incident Management, Problem 1 Welcher Service Operation Prozesse fehlen? Incident Management, Problem Management, Access Management a. Event Management b. Service Desk c. Facilities Management d. Change Management e. Request Fulfilment

Mehr

Information Lifecycle Management (ILM) - neue Speicherkonzepte für die digitale Archivierung. Dr. Bernhard Wentz

Information Lifecycle Management (ILM) - neue Speicherkonzepte für die digitale Archivierung. Dr. Bernhard Wentz Information Lifecycle Management (ILM) - neue Speicherkonzepte für die digitale Archivierung Einleitung und Motivation Medizinische IT-Anwendungssysteme komplexe hoch funktionale Systeme Basisfunktionen

Mehr

Informationsrisikomanagement und Auslagerungsmanagement, Erfahrungen aus 44 KWG Prüfungen

Informationsrisikomanagement und Auslagerungsmanagement, Erfahrungen aus 44 KWG Prüfungen Informationsveranstaltung IT-Aufsicht bei Banken Informationsrisikomanagement und Auslagerungsmanagement, Erfahrungen aus 44 KWG Prüfungen Axel Leckner - Informationsveranstaltung IT-Aufsicht bei 1 Banken

Mehr

Trusted Network Connect. Networking Academy Day 19.04.2008

Trusted Network Connect. Networking Academy Day 19.04.2008 Trusted Network Connect Networking Academy Day 19.04.2008 Dipl.-Inf. Stephan Gitz Roadmap Ziele der Informationssicherheit Herausforderungen der Informationssicherheit Angriffsvektoren

Mehr

Trusted Network Connect

Trusted Network Connect Trusted Network Connect Workshoptag 22.11.2007 Steffen Bartsch Stephan Gitz Roadmap Ziele der Informationssicherheit Herausforderungen der Informationssicherheit

Mehr

IT-Sicherheit kompakt und verständlich

IT-Sicherheit kompakt und verständlich Bernhard C.Witt IT-Sicherheit kompakt und verständlich Eine praxisorientierte Einführung Mit 80 Abbildungen vieweg Inhaltsverzeichnis -- Grundlagen der IT-Sicherheit 1 1.1 Übersicht 1 1.1.1 Gewährleistung

Mehr

Arbeitskreis Sichere Smart Grids Kick-off

Arbeitskreis Sichere Smart Grids Kick-off Arbeitskreis Sichere Smart Grids Kick-off 30. Juli 2013, 16.30 bis 18.30 Uhr secunet Security Networks AG, Konrad-Zuse-Platz 2, 81829 München Leitung: Steffen Heyde, secunet Agenda: 16.30 Uhr Begrüßung

Mehr

DKE CIM Informationsveranstaltung

DKE CIM Informationsveranstaltung DKE CIM Informationsveranstaltung Die CIM Users Group Seite 1 Agenda Ziele und Aufgabenbereiche der CIM Users Group Vorstellung der CIM Users Group Homepage Zusammenfassung Seite 2 CIM Informationsveranstaltung

Mehr

PTS Training Service: Archivierung, Annex 11, Part 11. Annex 11. aus Sicht eines GMP Inspektors

PTS Training Service: Archivierung, Annex 11, Part 11. Annex 11. aus Sicht eines GMP Inspektors PTS Training Service: Archivierung, Annex 11, Part 11 Annex 11 aus Sicht eines GMP Inspektors Klaus Eichmüller c/o Regierung von Oberbayern ZAB Speyer, 1 Annex 11 Rechtsgrundlagen GS (GMP keine Beeinträchtigung

Mehr

Qualitätssicherung von Software (SWQS)

Qualitätssicherung von Software (SWQS) Qualitätssicherung von Software (SWQS) Prof. Dr. Holger Schlingloff Humboldt-Universität zu Berlin und Fraunhofer FOKUS 20.6.2013: Sicherheitsnormen Folie 2 Fragen zur Wiederholung Wie funktioniert ein

Mehr

Testfragen PRINCE2 Foundation

Testfragen PRINCE2 Foundation Testfragen PRINCE2 Foundation Multiple Choice Prüfungsdauer: 20 Minuten Hinweise zur Prüfung 1. Sie sollten versuchen, alle 25 Fragen zu beantworten. 2. Zur Beantwortung der Fragen stehen Ihnen 20 Minuten

Mehr

Kundeninformation DIN EN ISO 9001:2015 - die nächste große Normenrevision

Kundeninformation DIN EN ISO 9001:2015 - die nächste große Normenrevision Kundeninformation DIN EN ISO 9001:2015 - die nächste große Normenrevision Einführung Die DIN EN ISO 9001 erfährt in regelmäßigen Abständen -etwa alle 7 Jahreeine Überarbeitung und Anpassung der Forderungen

Mehr

Mythen des Cloud Computing

Mythen des Cloud Computing Mythen des Cloud Computing Prof. Dr. Peter Buxmann Fachgebiet Wirtschaftsinformatik Software Business & Information Management Technische Universität Darmstadt 12.09.2012 IT-Business meets Science Prof.

Mehr

7-it. ITIL Merkmale. ITIL ist konsequent und durchgängig prozessorientiert

7-it. ITIL Merkmale. ITIL ist konsequent und durchgängig prozessorientiert ITIL Merkmale ITIL ist konsequent und durchgängig prozessorientiert ITIL berücksichtigt aber auch in allen Prozessen funktionale und organisatorische Strukturen sowie kosten- und benutzerorientierte Aspekte

Mehr

IT-Sicherheit in der Automation ein Missverständnis?

IT-Sicherheit in der Automation ein Missverständnis? Automationskolloquium 2012 IT-Sicherheit in der Automation ein Missverständnis? Prof. Dr. Frithjof Klasen Institut für Automation & Industrial IT FH Köln Ulm, 26.09.2012 Institut Automation & Industrial

Mehr

Übersicht Kompakt-Audits Vom 01.05.2005

Übersicht Kompakt-Audits Vom 01.05.2005 Übersicht Kompakt-Audits Vom 01.05.2005 Bernhard Starke GmbH Kohlenstraße 49-51 34121 Kassel Tel: 0561/2007-452 Fax: 0561/2007-400 www.starke.de email: info@starke.de Kompakt-Audits 1/7 Inhaltsverzeichnis

Mehr

Taxonomy of Evolution and Dependability. Integration Engineering SS 2009 Andreas Landerer

Taxonomy of Evolution and Dependability. Integration Engineering SS 2009 Andreas Landerer Taxonomy of Evolution and Dependability Integration Engineering SS 2009 Andreas Landerer Agenda Informationen über Massimo Felici Definition zentraler Begriffe Inhalt des Artikels Kernaussagen des Artikels

Mehr

Fall 7: Outsourcing falsch behandelt

Fall 7: Outsourcing falsch behandelt Fall 7: Outsourcing falsch behandelt Andreas Toggwyler Partner KPMG, Genf und Zürich Outsourcing falsch behandelt (1/2) Es ist unklar, inwiefern die externen Ressourcen zur IT bezüglich der Anforderungen

Mehr

Industrie 4.0 Eine Vision auf dem Weg zur Wirklichkeit

Industrie 4.0 Eine Vision auf dem Weg zur Wirklichkeit Eckard Eberle, CEO Industrial Automation Systems Industrie 4.0 Eine Vision auf dem Weg zur Wirklichkeit siemens.com/answers Industrie 4.0 Was ist das? Der zeitliche Ablauf der industriellen Revolution

Mehr

ISO 20000: Die CMDB im Betrieb und ihr Beitrag zu einem funktionierenden ITSM-System

ISO 20000: Die CMDB im Betrieb und ihr Beitrag zu einem funktionierenden ITSM-System ISO 20000: Die CMDB im Betrieb und ihr Beitrag zu einem funktionierenden ITSM-System 7. INFORMATION-SECURITY-SYMPOSIUM, WIEN 2011 DI Markus Hefler, BSc, Florian Hausleitner 1 Agenda 1. Kurze Vorstellung

Mehr

Erfolgreicher Umgang mit heutigen und zukünftigen Bedrohungen

Erfolgreicher Umgang mit heutigen und zukünftigen Bedrohungen Erfolgreicher Umgang mit heutigen und zukünftigen Bedrohungen Das Zusammenspiel von Security & Compliance Dr. Michael Teschner, RSA Deutschland Oktober 2012 1 Trust in der digitalen Welt 2 Herausforderungen

Mehr