Security-Management und Security-Transparenz in der industriellen Automatisierung

Größe: px
Ab Seite anzeigen:

Download "Security-Management und Security-Transparenz in der industriellen Automatisierung"

Transkript

1 Security-Management und Security-Transparenz in der industriellen Automatisierung Anna Palmin, Dr. Pierre Kobes I IA ATS 3 Industry Sector Industry Automation Division Siemens AG Karlsruhe Abstract: Zu den wichtigsten aktuellen Entwicklungen im Umfeld der Security in der industriellen Automatisierung zählen insbesondere das Security-Management und zunehmende Bestrebungen, die Security-Transparenz zu erhöhen [PRK01]. Das Security-Management im Kontext einer Automatisierungslösung (z. B. einer Anlage oder einer Teilanlage) dient der Erreichung und Aufrechterhaltung eines angemessenen Schutzniveaus und bildet einen wesentlichen Bestandteil des auf die Automatisierungslösung zugeschnittenen Security-Konzepts. Aufgrund der vielfältigen Security-Lösungen, die zur Abdeckung eines bestimmten Schutzbedarfs eingesetzt werden können, entstanden die Bestrebungen, das Schutzniveau einer Anlage transparenter darzustellen. So wurde im Rahmen der Norm IEC (vgl. [IEC01], [IEC02], [IEC03]) ähnlich dem Konzept der Safety Integrated Levels (SIL) für die funktionale Sicherheit das Konzept der sogenannten Security Levels (SL) beschrieben. Der vorliegende Beitrag gibt nach einer einführenden Begriffserläuterung und der Auflistung der Schutzziele hinsichtlich Security einen Einblick in einige aktuelle sowohl die Technik als auch die Standardisierung betreffende Trends und Entwicklungen im Bereich der industriellen Automatisierung ( Abschnitt 1). Nach einer Übersicht der wesentlichen Aspekte des Security-Managements ( Abschnitt 2) sowie einer Vorstellung des Konzepts der sogenannten Security Levels nach der Norm IEC ( Abschnitt 3) schließt der Beitrag mit einer Zusammenfassung und einem Ausblick ( Abschnitt 4). 1 Einleitung 1.1 Begriffserläuterung und Schutzziele Im Umfeld der industriellen Automatisierung wird unter dem Begriff Security der Schutz der Automatisierungsanlagen vor unberechtigten Zugriffen von außen wie von innen verstanden. Synonym zu diesem Begriff wird in der deutschsprachigen Diskussion der Begriff IT-Sicherheit verwendet. Die Schutzziele für Systeme der Automatisierungstechnik sind grundsätzlich die gleichen, wie sie auch für die klassischen IT-Systeme gelten. Im Einzelnen sind das die folgenden: Verfügbarkeit: Daten und Funktionen des Systems können zum definierten Zeitpunkt genutzt werden; Integrität: Daten und Funktionen des Systems können nicht unbemerkt durch Unberechtigte manipuliert werden; Vertraulichkeit: Unberechtigte können nicht auf Daten und Funktionen des Systems lesend zugreifen; Authentizität: Sicherstellung der eindeutigen Identifizierbarkeit von Personen und Systemen sowie der Herkunft der übertragenen Daten; Nicht-Abstreitbarkeit: Beweisbarkeit, dass die Erzeugung bzw. der Erhalt von Informationen (und Auslösung einer Aktion) durch eine Person erfolgte; Überprüfbarkeit: Eindeutige Nachvollziehbarkeit der Aktionen bis zu ihrem Ursprung. Für Systeme der industriellen Automatisierung stehen Verfügbarkeit und Integrität an erster Stelle, während bei den klassischen IT-Systemen in der Regel die Vertraulichkeit die höchste Priorität hat. Je nach Anwendung kann jedoch auch in den industriellen Anlagen der Schutz der Vertraulichkeit zu einem wichtigen Ziel werden. In besonderen Fällen, wie z. B. dem Einsatz in der pharmazeutischen Produktion,

2 können auch Nicht-Abstreitbarkeit, Authentizität und Überprüfbarkeit eine wichtige Rolle spielen.text mit Fußnote. Abbildung 1: Gegenüberstellung der Schutzziele (Quelle: [IEC01]) 1.2 Aktuelle Tendenzen und Entwicklungen Die aktuellen Tendenzen und Entwicklungen im Kontext der Security im Bereich der industriellen Automatisierung werden zum einen durch technische Trends und zum anderen durch die aktuellen Standardisierungsaktivitäten beeinflusst. Zu den aktuellen technischen Trends, die aufgrund des maßgeblichen Einflusses der IT-Technologien heute eine wichtige Rolle für die industrielle Automatisierung spielen, gehören beispielsweise Industrial Ethernet, Virtualisierung und Cloud Computing [PRK01]. Diese Trends bringen viele Vorteile mit sich, führen jedoch gleichzeitig zur Erhöhung des Bedrohungspotenzials und somit auch zum gesteigerten Bedarf an adäquaten Mechanismen und Maßnahmen zur angemessenen Absicherung von Automatisierungskomponenten, -systemen und -anlagen. Zu den wichtigen Entwicklungen in Verbindung mit den aktuellen Standardisierungsaktivitäten zählen insbesondere die Bestrebungen, eine gleiche Basis für das Security Management in Büro- und Automatisierungsbereichen zu schaffen, sowie der derzeit im Umfeld der IEC diskutierte Ansatz zur Erhöhung der Security-Transparenz durch die sogenannten Security Levels. Nicht zuletzt sei die Entwicklung diverser Werkzeuge für die automatisierte Unterstützung des Security-Managements als ein weiterer wichtiger Trend genannt. 1.3 Standardisierungsaktivitäten Die Sicherstellung eines ganzheitlichen Schutzes von Automatisierungskomponenten, systemen und anlagen gegen unberechtigte Zugriffe erfordert die Zusammenarbeit von Produktherstellern, Systemintegratoren und Betreibern. Ein wichtiger Bestandteil dieser Zusammenarbeit ist die Schaffung international einheitlich anwendbarer Standards, die eine Basis für zukunftsträchtige Security-Strategien und -Techniken bilden. Eine besondere Beachtung in der internationalen Öffentlichkeit finden derzeit die Entwürfe der Normen ISA99 Manufacturing and Control Systems Security und IEC Security for Industrial Process Measurement and Control Network and System Security (vgl. [IEC01], [IEC02], [IEC03]). Seit 2007 dient der Entwurf der US-Norm ISA99 als Basis für den Entwurf der internationale Norm IEC 62443, in der außerdem ausgewählte WIB- sowie NERC-CIP-Anforderungen (siehe dazu [WIB01]und [CIP01]) übernommen wurden. In der Norm ISA99/IEC werden folgende fundamentale Konzepte betrachtet: Grundlegende Anforderungen; Zonen und Conduits; Security Levels; Security-Lebenszyklus. Eine gute Hilfestellung zur systematischen Ermittlung des Schutzbedarfs und zur Bestimmung einer speziell auf den Schutzbedarf zugeschnittenen Security-Lösung für industrielle Automatisierungskomponenten, - Systeme und -Anlagen gibt die Richtlinie VDI/VDE 2182 [VD01].

3 2 Security-Management 2.1 Security-Management als Bestandteil eines ganzheitlichen Security-Konzepts Das Security-Management umfasst alle organisatorischen und technischen Maßnahmen, die zur Erreichung und Aufrechterhaltung eines angemessenen Schutzniveaus im gesamten Lebenszyklus von Automatisierungskomponenten, -Systemen und -Anlagen notwendig sind, und es bildet einen wesentlichen Bestandteil eines ganzheitlichen, auf die speziellen Anforderungen der industriellen Automatisierung zugeschnittenen Security-Konzepts. Der Security-Management-Prozess basiert auf den relevanten Normen und Richtlinien und umfasst eine Risikoanalyse zur Ermittlung des Schutzbedarfs, die darauf basierende Definition von Gegenmaßnahmen (in Form unterschiedlicher Strategien und Techniken) zur Reduktion des Risikos auf ein akzeptables Maß und die Festlegung abgestimmter organisatorischer und technischer Maßnahmen. Er wird regelmäßig und/oder ereignisgesteuert wiederholt. Abbildung 2: Security-Management-Prozess (Quelle: [SI01]) Eine erfolgreiche Etablierung des Security-Managements in der industriellen Automatisierung erfordert abgestimmte Maßnahmen und Funktionen bei den Produktherstellern, Systemintegratoren und Betreibern. Produkte, Anlagen und Prozesse müssen geltenden Sorgfaltsmaßstäben entsprechen, basierend auf Gesetzen, Normen, internen Richtlinien und dem Stand der Technik. Einige besonders wichtige (in [SI01] und [SI02] aufgelisteten) Bestandteile des Security-Managements sind die folgenden: Etablierung von Security in der Organisation: Die Unterstützung durch das obere Management ist hierbei von großer Bedeutung. Es sind klar definierte und abgestimmte Verantwortlichkeiten für Security sowie physikalische Sicherheit des Unternehmens zu etablieren. Definition von Richtlinien und Prozessen: Ziel ist es, ein einheitliches Vorgehen zu erzielen, sowie die Einhaltung des definierten Industrial Security-Konzepts zu unterstützen. Physikalischer Schutz kritischer Produktionsbereiche: Es müssen Maßnahmen und Prozesse festgelegt werden, die den Zugang nicht autorisierter Personen zur Umgebung der Anlage verhindern. Während die Realisierung eines Security-Managements im Produktionsumfeld vorwiegend in der Verantwortung des Anlagenbetreibers liegt, müssen die entsprechenden Anforderungen bezüglich eines Security-Managements auch im Büroumfeld erfüllt werden. Dort wird dessen Realisierung bereits durch die Normenreihe IEC/ISO geregelt. Damit die entsprechenden Prozesse und Richtlinien im Produktionsund im Büroumfeld auf die gleiche Basis gestellt werden können, wird eine Harmonisierung des Normenentwurfs IEC mit der Norm ISO/IEC angestrebt. Aus diesem Grund wurde beschlossen, die Teile IEC [IEC02] und IEC [IEC03], die sich vorwiegend mit dem Security-Management in der industriellen Automatisierung befassen, zu einem Profil der ISO/IEC [ISO02] zusammenzuführen.

4 2.2 Automatisierte Unterstützung des Security-Managements Durch die Automatisierung von diversen Aufgaben im Rahmen eines ganzheitlichen Security-Managements kann dieses effizienter gestaltet werden [PRK01]. Ferner machen auch einige Anforderungen aus den oben genannten Standards den Einsatz von adäquaten Werkzeugen für die automatisierte Unterstützung des Security-Managements erforderlich. Ein repräsentatives Beispiel für ein derartiges Werkzeug ist das sogenannten Industrial SIEM zur Realisierung eines umfassenden Security Information Event Managements (SIEM). Das Vorhaben, eine SIEM-Funktionalität für die Systeme der industriellen Automatisierung anzubieten, ist eine Antwort der Hersteller dieser Systeme auf entsprechende Anforderungen der relevanten Standards. Das Generieren und die Auswertung von sogenannten Auditable Events wird insbesondere im Normentwurf IEC 62443/ ISA99 ([IEC01] gefordert. Ein sogenannten Industrial SIEM (Industrial Security Information Event Manager) ist eine zentrale Sammelstelle für Security-relevante Ereignisse (Security Events) in einer industriellen Anlage. Ein Beispiel eines Security Event ist ein Ereignis, das als Reaktion auf einen fehlgeschlagenen Anmeldeversuch in das Windows Event Log geschrieben wird. Ein Industrial SIEM vereint folgende grundlegende SIEM- Funktionalitäten [PRK02]: das Security Event Management (SEM) als Funktionalität, Security Events einzusammeln und auszuwerten, um aus einzelnen Security Events oder einer Zusammensetzung mehrerer Security Events zu erkennen, ob ein Angriff tatsächlich stattgefunden hat und diesen an die geeignete Stelle (z. B. an eine Operator Station) zu melden; das Security Information Management (SIM) als Funktionalität, Berichte zu erzeugen, um das Einhalten von Richtlinien nachzuweisen. Abbildung 3: Ein möglicher Aufbau eines Industrial SIEM Die im Büro-Umfeld etablierten SIEM (die im Weiteren als Enterprise SIEM bezeichnet werden) unterscheiden sich von den Industrial SIEM vor allem dadurch, dass sie sehr leistungsfähig und somit sehr teuer sind (was im Automatisierungs-Umfeld ein Ausschlusskriterium darstellt). Ein Enterprise SIEM erfasst nicht selten die Security Events einiger tausend Komponenten. Die Anzahl der durch ein Industrial SIEM zu überwachenden Anlagenkomponenten und somit auch die Anzahl der zu erfassenden Events fällt in der Regel deutlich geringer aus. Auch die Höhe des Datenaufkommens ist in einer industriellen Anlage deutlich genauer vorhersagbar als im Einsatzbereich eines Enterprise SIEM. Es ist zu beachten, dass die Fähigkeit der in den industriellen Anlagen eingesetzten Komponenten und Systemen diverse Security Events zu erfassen, eine essenzielle Voraussetzung für einen nutz- und erfolgsbringenden Einsatz eines Industrial SIEM darstellt.

5 3 Security Levels 3.1 Motivation und Definition nach IEC Wegen der vielfältigen Security-Lösungen, die zur Abdeckung eines bestimmten Schutzbedarfs eingesetzt werden können, entstanden die Bestrebungen, das Schutzniveau einer Anlage transparenter darzustellen. Im Gegensatz zu der im Safety-Bereich etablierten quantitativen Risikobewertung auf der Basis von Konsequenzen, die zur sogenannten Restfehlerwahrscheinlichkeit führt, ist es eher unmöglich, das Schutzniveau eines Automatisierungssystems im Hinblick auf Security durch eine einzige Zahl zu beschreiben. Dies liegt unter anderem daran, dass die Spannweite der möglichen Konsequenzen im Hinblick auf Security viel breiter ist als bei Safety, genauso wie das Spektrum der möglichen Umstände, die zu einem Security-Vorfall führen können. Außerdem sind die im Safety-Umfeld etablierten Rechenmodelle (z. B. Failure Mode, Effects and Diagnostic Analysis, kurz: FMEDA) im Security-Umfeld nach dem heutigen Kenntnisstand nicht anwendbar. Unter Berücksichtigung der genannten Tatsachen wurde in der Norm IEC das Konzept der sogenannten Security Levels (SL, ursprünglich: Security Assurance Levels, SAL) als Vorschlag für eine qualitative Bewertung des Schutzniveaus eines industriellen Automatisierungssystems (engl. Automation Industrial Control System bzw. kurz IACS) eingeführt. Bei diesem Konzept werden folgende vier Security Levels (SL) definiert, die den Schutz gegen Missbrauch bzw. Angriffe unterschiedlicher Härte darstellen: SL 1: Schutz gegen ungewollten oder zufälligen Missbrauch; SL 2: Schutz gegen gewollten Missbrauch unter Verwendung einfacher Mittel; SL 3: Schutz gegen gewollten Missbrauch unter Verwendung hoch entwickelter Mittel; SL 4: Schutz gegen gewollten Missbrauch unter Verwendung hoch entwickelter Mittel und erweiterter Ressourcen. Somit decken die vielen oben genannten Security Levels unterschiedlichen Schutzbedarf ab (von einem ganz niedrigen bei SL 1 bis zu einem sehr hohen bei SL 4). 3.2 Security Levels im Lebenszyklus von Komponenten, Systemen und Anlagen Um die Lebenszyklusphasen im Konzept der Security Levels besser zu spiegeln, wurden im Normenentwurf IEC [IEC01] folgende Typen von Security Levels eingeführt: Target SLs (SL-T) repräsentieren das geforderte Schutzniveau einer spezifischen Automatisierungslösung. Dieses wird in der Regel durch eine Risikobewertung beim Entwurf einer Automatisierungslösung (d. h. in der Design-Phase) festgelegt, um das geeignete Niveau für die Sicherstellung des im Hinblick auf Security einwandfreien Betriebs zu definieren. Capability SLs (SL-C) repräsentieren das Schutzniveau, das durch die Funktionali-täten eines Systems oder von Komponenten eines Systems erreicht werden kann, wenn diese richtig konfiguriert und eingesetzt werden. Achieved SLs (SL-A) repräsentieren das erreichte Schutzniveau einer spezifischen Automatisierungslösung. Dieses Schutzniveau wird ermittelt, nachdem ein System als Lösung eines Automatisierungsprojekts ausgelegt und konfiguriert wurde, um den Target SL zu erreichen. Wenn die Capability SLs von Komponenten und Systemen, die Bestandteile der Automatisierungslösung bilden, zur Erreichung des angestrebten Target-SLs nicht ausreichen, können zusätzliche Maßnahmen, wie z. B. der Einsatz von zusätzlichen Security-Mechanismen zur Erhöhung des Schutzniveaus erforderlich sein. Eine wichtige Grundlage für die SLs bilden die folgenden grundlegenden Security-Anforderungen, die sich aus diversen Schutzzielen, Security-Anforderungen und -Maßnahmen zusammensetzen: FR1 Identification and authentication control (IAC): Sicherstellung, dass alle Benutzer (Personen, Software-Prozesse und Geräte) sich erfolgreich identifizieren und authentifizieren müssen, damit sie auf das System zugreifen dürfen. FR2 Use control (UC): Sicherstellung, dass authentifizierte Benutzer (Personen, Software-Prozesse oder Gerätes) die Ihnen zugeteilten Rechte nutzen können.

6 FR3 System Integrity (SI): Sicherstellung der Integrität, um unberechtigte Manipulationen zu verhindern. FR4 Data Confidentiality (DC): Sicherstellung der Vertraulichkeit der Information bei der Übertragung und in der Datenablage, um unberechtigte Weiterverbreitung zu verhindern. FR 5 Restricted Data Flow (RDF): Segmentierung des Systems in Zonen und Conduits, um nichtnotwendigen Datenverkehr einzuschränken. FR6 Timely response to events (TRE): Zeitnahe Reaktion auf Security Events FR7 Resource availability (RA): Verfügbarkeit von Ressourcen und Daten für Berechtigte. Die Security Levels aller drei oben genannten Typen werden durch siebendimensionale Vektoren der Form {IAC UC DI DC RDF TRE RA} beschrieben, wobei einzelne Dimensionen durch die genannten grundlegenden Anforderungen mit unterschiedlichem Erfüllungsgrad repräsentiert werden. Beispiel bezüglich des SL-C(Engineering Station), Quelle:[IEC01] Der Erfüllungsgrad der Anforderung IAC (FR1) wird für die Security Levels 1 bis 4 wie folgt definiert: Für SL1: Identifizierung und Authentifizierung von Benutzern (Personen, Software-Prozessen und Geräten) mit Hilfe von Mechanismen, die den Schutz gegen zufälligen unberechtigten Zugriff bieten. Für SL2: Identifizierung und Authentifizierung von Benutzern (Personen, Software-Prozessen und Geräten) mit Hilfe von Mechanismen, die den Schutz gegen unberechtigten Zugriff unter Verwendung geringer Ressourcen, Allgemeinwissen seitens eines nicht sehr motivierten Angreifers bieten. Für SL3: Identifizierung und Authentifizierung von Benutzern (Personen, Software-Prozessen und Geräten) mit Hilfe von Mechanismen, die den Schutz gegen unberechtigten Zugriff unter Verwendung von moderaten Ressourcen, speziellem systembezogenen Know-how seitens eines motivierten Angreifers bieten. Für SL4: Identifizierung und Authentifizierung von Benutzern (Personen, Software-Prozessen und Geräten) mit Hilfe von Mechanismen, die den Schutz gegen unberechtigten Zugriff unter Verwendung von erweiterten Ressourcen, speziellem systembezogenen Know-how seitens eines hoch motivierten Angreifers bieten. Stellt sich als Ergebnis einer Risiko- und Bedrohungsanalyse einer Engineering Station heraus, dass der Erfüllungsgrad der Anforderung IAC dem SL1 (siehe Punkt 1) entspricht, wird der ersten Dimension des Vektors SL-C(Engineering Station) der Wert 1 zugewiesen: SL-C(Engineering Workstation) = { }. 4 Zusammenfassung und Ausblick Im vorliegenden Beitrag wurden der Begriff Security und die grundlegenden Schutzziele hinsichtlich Security erläutert, sowie einige Trends und Entwicklungen im Bereich der industriellen Automatisierung genannt ( Abschnitt 1). Anschließend wurden wichtige Aspekte des Security-Managements genannt ( Abschnitt 2) und das Konzept der sogenannten Security Levels nach IEC vorgestellt ( Abschnitt 3). Das in Abschnitt 3 beschriebene SL-Konzept ist sehr gut anwendbar beim Entwurf oder der Änderung einer Automatisierungslösung. Der Schutz der Automatisierungslösung im gesamten Lebenszyklus wird jedoch noch von weiteren Maßnahmen im Rahmen des Security-Managements beeinflusst, wie z. B. dem physikalischen Schutz, der Verwaltung der Anwender mit ihren Rechten oder dem konsequente Betreiben eines Patch Management. Einige Fragen im Zusammenhang mit dem SL-Konzept sind noch offen und werden derzeit in entsprechenden Normungsgremien diskutiert. Ein Beispiel dafür ist die Frage, wie die organisatorischen Maßnahmen mit dem vorliegenden SL-Vektor in ein Gesamtkonzept zur Bewertung des Schutzniveaus einer Automatisierungslösung im laufenden Betrieb eingebunden werden können.

7 5 Literaturverzeichnis [PRK01] Palmin, A.; Runde, S.; Kobes, P.: Security in der Prozessautomatisierung Trends und Entwicklungen aus dem Fokus der Vorfeldentwicklung, In: Tagungsband der Automation 2012, Baden-Baden [PRK02] Palmin, A.; Runde, S.; Kobes, P.: Ganzheitliches anlagenweites Security Management Werkzeuge für die automatisierte Unterstützung, In: atp, März [IEC01] IEC (ISA ): Security for industrial automation and control systems. Terminology, Concepts and Models, Draft 1, Edit 7, August [IEC02] IEC (ISA ) Security for industrial automation and control systems Part 2-1: Industrial automation and control system security management system Draft 6, Edit 4, September [IEC03] IEC (ISA ) Security for industrial automation and control systems Part 2-2: Operating an IACS Security Program, Draft 1, Edit 4, March [ISO01] ISO/IEC Information technology Security techniques Information security management systems Requirements, September [ISO02] ISO/IEC Information technology Security techniques Code of practice for information security management, [CIP01] Standard CIP Cyber Security Systems Security Management, NERC, [WIB01] WIB Report M-2784-X-10,Process Control Domain - Security Requirements for Vendors, Version 2.0, [SI01] Siemens AG: Industrial Security, Webseite Verfügbar unter: [SI02] Siemens AG: Operational Guidelines für Industrial Security, Foliensatz, Verfügbar unter:http://www.industry.siemens.com/topics/global/en/industrial-security/documents/ operational_guidelines_industrial_security_de.pdf [SI03] Siemens AG, Gefahrenpotenziale mit System minimieren, Broschüre, Verfügbar unter:http://www.industry.siemens.com/topics/global/en/industrial-security/documents/e20001-a1020- [SI04] P200.pdf. Siemens AG, Operational Guidelines für Industrial Security, Foliensatz, Verfügbar unter: operational_guidelines_industrial_security_de.pdf [VD01] VDI/VDE 2182: Informationssicherheit in der industriellen Automatisierung. Beuth, [IECG01] International Electrotechnical Commission (IEC) Glossary,

Industrial IT Security in Embedded Systems - was leistet die Norm IEC 62443? von Dipl.-Ing. (FH) Sebastian Schmidt

Industrial IT Security in Embedded Systems - was leistet die Norm IEC 62443? von Dipl.-Ing. (FH) Sebastian Schmidt Industrial IT Security in Embedded Systems - was leistet die Norm IEC 62443? von Dipl.-Ing. (FH) Sebastian Schmidt Die Vernetzung von Computer Systemen macht auch vor industriellen Systemen nicht halt.

Mehr

Security in der industriellen Automatisierung im aktuellen Kontext

Security in der industriellen Automatisierung im aktuellen Kontext Anna Palmin, Dr. Pierre Kobes /18 November 2014, KommA 2014 Security in der industriellen Automatisierung im aktuellen Kontext Restricted Siemens AG 20XX All rights reserved. siemens.com/answers Security

Mehr

4. Stuttgarter Sicherheitskongress: IT-Sicherheit in industriellen Anlagen

4. Stuttgarter Sicherheitskongress: IT-Sicherheit in industriellen Anlagen 4. Stuttgarter Sicherheitskongress: IT-Sicherheit in industriellen Anlagen Henning Sandfort Siemens AG, Sector Industry SIMATIC Produkt- & Systemmanagement Allgemeine Security-Bedrohungen in der Automatisierung

Mehr

Security for Safety in der Industrieautomation Konzepte und Lösungsansätze des IEC 62443

Security for Safety in der Industrieautomation Konzepte und Lösungsansätze des IEC 62443 Security for Safety in der Industrieautomation Konzepte und Lösungsansätze des IEC 62443 Roadshow INDUSTRIAL IT SECURITY Dr. Thomas Störtkuhl 18. Juni 2013 Folie 1 Agenda Einführung: Standard IEC 62443

Mehr

Informationssicherheit in der Automation ein Überblick

Informationssicherheit in der Automation ein Überblick Informationssicherheit in der Automation ein Überblick Martin Naedele ABB Corporate Research 2005 ABB CH-RD/MN - 1 Überblick Motivation Was ist Informationssicherheit? Warum ist das Thema relevant für

Mehr

Fachtagung Safety in Transportation Leitfaden für die IT Sicherheit auf Grundlage IEC 62443

Fachtagung Safety in Transportation Leitfaden für die IT Sicherheit auf Grundlage IEC 62443 Fachtagung Safety in Transportation Leitfaden für die IT Sicherheit auf Grundlage IEC 62443 DKE UK 351.3.7 Hans-Hermann Bock 1 Braunschweig, 06.11.2013 Anwendungsbereich der Vornorm (1) Diese Vornorm ist

Mehr

Security 4 Safety. Markus Bartsch, Christian Freckmann

Security 4 Safety. Markus Bartsch, Christian Freckmann Security 4 Safety Markus Bartsch, Christian Freckmann Internet der Dinge Samsung und Android Samsung Samsung TÜV Informationstechnik GmbH Member of TÜV NORD Group 1 Heise-Meldungen Industrieanlagen schutzlos

Mehr

Grundlagen des Datenschutzes. Vorlesung im Sommersemester 2011 an der Universität Ulm von Bernhard C. Witt

Grundlagen des Datenschutzes. Vorlesung im Sommersemester 2011 an der Universität Ulm von Bernhard C. Witt Vorlesung im Sommersemester 2011 an der Universität Ulm von 2. Grundlagen der IT-Sicherheit Grundlagen der IT-Sicherheit Geschichte des Datenschutzes Anforderungen zur IT-Sicherheit Datenschutzrechtliche

Mehr

ITIL & IT-Sicherheit. Michael Storz CN8

ITIL & IT-Sicherheit. Michael Storz CN8 ITIL & IT-Sicherheit Michael Storz CN8 Inhalt Einleitung ITIL IT-Sicherheit Security-Management mit ITIL Ziele SLA Prozess Zusammenhänge zwischen Security-Management & IT Service Management Einleitung

Mehr

Informations- / IT-Sicherheit Standards

Informations- / IT-Sicherheit Standards Ziele Informations- / IT-Sicherheit Standards Überblick über Ziele, Anforderungen, Nutzen Ingrid Dubois Grundlage zuverlässiger Geschäftsprozesse Informationssicherheit Motivation Angemessenen Schutz für

Mehr

Industrial Control Systems Security

Industrial Control Systems Security Industrial Control Systems Security Lerneinheit 4: Risk Assessment Prof. Dr. Christoph Karg Studiengang Informatik Hochschule Aalen Wintersemester 2013/2014 20.1.2014 Einleitung Einleitung Das Thema dieser

Mehr

Einführung eines ISMS nach ISO 27001:2013

Einführung eines ISMS nach ISO 27001:2013 Einführung eines ISMS nach ISO 27001:2013 VKU-Infotag: Anforderungen an die IT-Sicherheit (c) 2013 SAMA PARTNERS Business Solutions Vorstellung Olaf Bormann Senior-Consultant Informationssicherheit Projekterfahrung:

Mehr

Bewertung der IT-Sicherheit von Industriellen Steuerungsumgebungen

Bewertung der IT-Sicherheit von Industriellen Steuerungsumgebungen Bewertung der IT-Sicherheit von Industriellen Steuerungsumgebungen Werkzeuge für den leichtgewichtigen Einstieg in industrielle Cyber-Security 12.08.2014 Michael Gröne Sirrix AG security technologies Herausforderung

Mehr

Das Sicherheitsprofil Software-as-a-Service im Anwendungsfall Kundenbeziehungsmanagement

Das Sicherheitsprofil Software-as-a-Service im Anwendungsfall Kundenbeziehungsmanagement Das Sicherheitsprofil Software-as-a-Service im Anwendungsfall Kundenbeziehungsmanagement (CRM) Dr. Patrick Grete Referat B22 Analyse von Techniktrends in der Informationssicherheit 2. IT-Grundschutz Tag

Mehr

Beuth Hochschule BEUTH HOCHSCHULE FÜR TECHNIK BERLIN University of Applied Sciences

Beuth Hochschule BEUTH HOCHSCHULE FÜR TECHNIK BERLIN University of Applied Sciences Beuth Hochschule BEUTH HOCHSCHULE FÜR TECHNIK BERLIN University of Applied Sciences WISSENSCHAFTLICHE WEITERBILDUNG Fernstudium Industrial Engineering Produktions- und Betriebstechnik Kurseinheit 98 und

Mehr

Industrial Information Security

Industrial Information Security Umdasch AG 11. November 2011 1 Einleitung 2 Information Security 3 Industrial Automation and Control Systems 4 Entwicklung des I2S Frameworks 5 Praktische Anwendung 6 Zukünftige Entwicklungen Inhalt 1

Mehr

Sicherheitstechnische Qualifizierung (SQ), Version 10.0 Security Assurance Level SEAL-3

Sicherheitstechnische Qualifizierung (SQ), Version 10.0 Security Assurance Level SEAL-3 Die Zertifizierungsstelle der TÜV Informationstechnik GmbH bescheinigt hiermit dem Unternehmen RWE Effizienz GmbH Flamingoweg 1 44139 Dortmund für das IT-System RWE eoperate IT Services die Erfüllung aller

Mehr

Sicherheitstechnische Qualifizierung (SQ), Version 10.0 Security Assurance Level SEAL-5

Sicherheitstechnische Qualifizierung (SQ), Version 10.0 Security Assurance Level SEAL-5 Die Zertifizierungsstelle der TÜV Informationstechnik GmbH bescheinigt hiermit dem Unternehmen SLA Software Logistik Artland GmbH Friedrichstraße 30 49610 Quakenbrück für das IT-System Meat Integrity Solution

Mehr

Industrial Security im Kontext von Industrie 4.0

Industrial Security im Kontext von Industrie 4.0 Industrial Security im Kontext von Industrie 4.0 Prof. Dr. Dieter Wegener, Head of Technology, Industry Sector. Answers for industry. Industrial Security Schlagzeilen über aufgedeckte Schwachstellen mittlerweile

Mehr

BSI ICS-SECURITY-KOMPENDIUM

BSI ICS-SECURITY-KOMPENDIUM BSI ICS-SECURITY-KOMPENDIUM SICHERHEIT VON INDUSTRIELLEN STEUERANLAGEN Andreas Floß, Dipl.-Inform., Senior Consultant Information Security Management, HiSolutions AG 1 HiSolutions 2013 ICS-Kompendium Vorstellung

Mehr

Kriterienkatalog und Vorgehensweise für eine Begutachtung zur ISO 24762-Konformität. datenschutz cert GmbH Version 1.2

Kriterienkatalog und Vorgehensweise für eine Begutachtung zur ISO 24762-Konformität. datenschutz cert GmbH Version 1.2 Kriterienkatalog und Vorgehensweise für eine Begutachtung zur ISO 24762-Konformität datenschutz cert GmbH Version 1.2 Inhaltsverzeichnis Kriterienkatalog und Vorgehensweise für eine Begutachtung zur ISO

Mehr

Sind Privacy und Compliance im Cloud Computing möglich?

Sind Privacy und Compliance im Cloud Computing möglich? Sind und Compliance im Cloud Computing möglich? Ina Schiering Ostfalia Hochschule für angewandte Wissenschaften Markus Hansen Unabhängiges Landeszentrum für Datenschutz www.ostfalie.de Wolfenbüttel, Germany

Mehr

Sicherheit und Qualität digitaler Leittechnik eine wesentliche Voraussetzung für Kraftwerke der Zukunft

Sicherheit und Qualität digitaler Leittechnik eine wesentliche Voraussetzung für Kraftwerke der Zukunft Sicherheit und Qualität digitaler Leittechnik eine wesentliche Voraussetzung für Kraftwerke der Zukunft Dr. Guido Rettig Chairman of the Board TÜV NORD AG 1 Vertikale und horizontale Kommunikation in der

Mehr

Mit SErviCE-lEvEl DDoS AppliCAtion SECUrity Monitoring

Mit SErviCE-lEvEl DDoS AppliCAtion SECUrity Monitoring Mit Service-Level DDoS Application Security Monitoring Die Umsetzung meiner Applikations-Security-Strategie war nicht immer einfach. AppSecMon konnte mich in wesentlichen Aufgaben entlasten. Kontakt zu

Mehr

CeBIT 17.03.2015. CARMAO GmbH 2014 1

CeBIT 17.03.2015. CARMAO GmbH 2014 1 CeBIT 17.03.2015 CARMAO GmbH 2014 1 HERZLICH WILLKOMMEN Applikationssicherheit beginnt lange bevor auch nur eine Zeile Code geschrieben wurde Ulrich Heun Geschäftsführender Gesellschafter der CARMAO GmbH

Mehr

Implementierung eines Risikomanagementsystems bei der EADS BU DE. Jan Eickmann Mathias Wernicke

Implementierung eines Risikomanagementsystems bei der EADS BU DE. Jan Eickmann Mathias Wernicke Implementierung eines Risikomanagementsystems bei der EADS BU DE Jan Eickmann Mathias Wernicke 03.02.2009 Dipl.-Ing. Mathias Wernicke, Jan Eickmann 1 Vision2020 Entwicklung der EADS [ ] mit größerem Anteil

Mehr

Sicherheits-Audit-Erkenntnisse / Software-as-a-Service TeFo10, World Trade Center Zürich, 21. September 2010

Sicherheits-Audit-Erkenntnisse / Software-as-a-Service TeFo10, World Trade Center Zürich, 21. September 2010 Sicherheits-Audit-Erkenntnisse / Software-as-a-Service TeFo10, World Trade Center Zürich, 21. September 2010 Christoph Koch, ckoch@koch-is.ch, Geschäftsführer, Koch IS GmbH Agenda Schadenfälle Audit, Sicherheit,

Mehr

Sicherheitstechnische Qualifizierung (SQ), Version 10.0 Security Assurance Level SEAL-3

Sicherheitstechnische Qualifizierung (SQ), Version 10.0 Security Assurance Level SEAL-3 Die Zertifizierungsstelle der TÜV Informationstechnik GmbH bescheinigt hiermit dem Unternehmen Deutsche Telekom AG Products & Innovation T-Online-Allee 1 64295 Darmstadt für das IT-System Developer Garden

Mehr

Kommunikation im Internet der Dinge Sicherheit, Performance, Management,...

Kommunikation im Internet der Dinge Sicherheit, Performance, Management,... Software Factory www.sf.com Kommunikation im Internet der Dinge Sicherheit, Performance, Management,... Thomas Trägler Agenda Software Factory Kurzvorstellung Sicherheit (Security) und Industrie 4.0 Kommunikationsszenarien

Mehr

Intrusion-Detection für Automatisierungstechnik

Intrusion-Detection für Automatisierungstechnik Intrusion-Detection für Automatisierungstechnik Franka Schuster Lehrstuhl Rechnernetze und Kommunikationssysteme Brandenburgische Technische Universität, Cottbus SPRING 7 GI SIDAR Graduierten-Workshop

Mehr

Qualitätsmanagementsystem nach DIN EN ISO 9001:2015

Qualitätsmanagementsystem nach DIN EN ISO 9001:2015 Qualitätsmanagementsystem nach DIN EN ISO 9001:2015 Quick Tour (Foliensatz für das Management) Karlsruhe, im Juni 2015 Qualitätsmanagement ist einfach. Sehr einfach. Wir zeigen Ihnen wie. ipro Consulting

Mehr

IT-Sicherheit in der Automation ein Missverständnis?

IT-Sicherheit in der Automation ein Missverständnis? Automationskolloquium 2012 IT-Sicherheit in der Automation ein Missverständnis? Prof. Dr. Frithjof Klasen Institut für Automation & Industrial IT FH Köln Ulm, 26.09.2012 Institut Automation & Industrial

Mehr

Rundum sicher. Industrial Security für Ihre Anlage auf allen Ebenen. siemens.de/industrialsecurity. Answers for industry.

Rundum sicher. Industrial Security für Ihre Anlage auf allen Ebenen. siemens.de/industrialsecurity. Answers for industry. Rundum sicher Industrial Security für Ihre Anlage auf allen Ebenen siemens.de/industrialsecurity Answers for industry. Gefahrenpotenziale mit System minimieren Mit der steigenden Verwendung von Ethernet-Verbindungen

Mehr

Anforderungen für sicheres Cloud Computing

Anforderungen für sicheres Cloud Computing Anforderungen für sicheres Cloud Computing Isabel Münch Bundesamt für Sicherheit in der Informationstechnik EuroCloud Deutschland Conference Köln 18.05.2011 Agenda Überblick BSI Grundlagen Sicherheitsempfehlungen

Mehr

Erfolgreicher Umgang mit heutigen und zukünftigen Bedrohungen

Erfolgreicher Umgang mit heutigen und zukünftigen Bedrohungen Erfolgreicher Umgang mit heutigen und zukünftigen Bedrohungen Das Zusammenspiel von Security & Compliance Dr. Michael Teschner, RSA Deutschland Oktober 2012 1 Trust in der digitalen Welt 2 Herausforderungen

Mehr

CRAMM. CCTA Risikoanalyse und -management Methode

CRAMM. CCTA Risikoanalyse und -management Methode CRAMM CCTA Risikoanalyse und -management Methode Agenda Überblick Markt Geschichte Risikomanagement Standards Phasen Manuelle Methode Business Continuity Vor- und Nachteile Empfehlung! ""# # Überblick

Mehr

Industrie 4.0 Frei verwendbar / Siemens AG 2015. Alle Rechte vorbehalten.

Industrie 4.0 Frei verwendbar / Siemens AG 2015. Alle Rechte vorbehalten. Mario Fürst, Siemens Schweiz AG Industrie 4.0 Das Internet revolutioniert die Geschäftswelt Seite 2 Industrie 4.0 ist eine Initiative der deutschen Industrie, die von der deutschen Bundesregierung unterstützt

Mehr

Technische Realisierung von Datenschutz in Unternehmen. Prof. Dr. Hannes Federrath Universität Regensburg

Technische Realisierung von Datenschutz in Unternehmen. Prof. Dr. Hannes Federrath Universität Regensburg Technische Realisierung von Datenschutz in Unternehmen Prof. Dr. Hannes Federrath Universität Regensburg Begriffe IT-Sicherheitsmanagement IT-Sicherheitsmanagement versucht, die mit Hilfe von Informationstechnik

Mehr

Softwareprozesse systematisch verbessern ISO15504(SPICE) und Automotive SPICE. Heinrich Dreier Elmshorn 17.04.2008

Softwareprozesse systematisch verbessern ISO15504(SPICE) und Automotive SPICE. Heinrich Dreier Elmshorn 17.04.2008 Softwareprozesse systematisch verbessern ISO15504(SPICE) und Automotive SPICE Heinrich Dreier Elmshorn 17.04.2008 Einleitung Softwareprozesse verbessern Einleitung Softwareprozesse verbessern SPI Software

Mehr

INSTITUT FÜR SYSTEM- MANAGEMENT. Compliance. Alter Wein in neuen Schläuchen oder eine neue Strategie? Prof. Dr. Dr. Gerd Rossa CEO ism

INSTITUT FÜR SYSTEM- MANAGEMENT. Compliance. Alter Wein in neuen Schläuchen oder eine neue Strategie? Prof. Dr. Dr. Gerd Rossa CEO ism INSTITUT FÜR SYSTEM- MANAGEMENT Compliance Alter Wein in neuen Schläuchen oder eine neue Strategie? Prof. Dr. Dr. Gerd Rossa CEO ism ism GmbH 2010 Definition: Compliance Compliance die Bedeutung allgemein:

Mehr

Grundlagen des Datenschutzes und der IT-Sicherheit (Teil 2c) Vorlesung im Sommersemester 2015 an der Universität Ulm von Bernhard C.

Grundlagen des Datenschutzes und der IT-Sicherheit (Teil 2c) Vorlesung im Sommersemester 2015 an der Universität Ulm von Bernhard C. Vorlesung im Sommersemester 2015 an der Universität Ulm von 2. Grundlagen der IT-Sicherheit Grundlagen der IT-Sicherheit Geschichte des Datenschutzes Anforderungen zur IT-Sicherheit Datenschutzrechtliche

Mehr

IT-Sicherheitsmanagement IT Security Management

IT-Sicherheitsmanagement IT Security Management Sommerakademie 2006, 28. August, Kiel Summer Conference 2006, 28th August, Kiel IT-Sicherheitsmanagement IT Security Management Dr. Martin Meints, ULD Dr. Martin Meints, ICPP Inhalt Allgemeine Überlegungen

Mehr

ISO & IKS Gemeinsamkeiten. SAQ Swiss Association for Quality. Martin Andenmatten

ISO & IKS Gemeinsamkeiten. SAQ Swiss Association for Quality. Martin Andenmatten ISO & IKS Gemeinsamkeiten SAQ Swiss Association for Quality Martin Andenmatten 13. Inhaltsübersicht IT als strategischer Produktionsfaktor Was ist IT Service Management ISO 20000 im Überblick ISO 27001

Mehr

Schwachstellen. Es sind häufig die gleichen SPEZIAL. Industrial Security. Wie gut ist Ihr Krisenmanagement?

Schwachstellen. Es sind häufig die gleichen SPEZIAL. Industrial Security. Wie gut ist Ihr Krisenmanagement? SPEZIAL Internationalisierung Chancen und Risiken für den Mittelstand Sicherheitsmanagement Anmeldungen bis 30.8.2014 www.it-security-award.com Wie gut ist Ihr Krisenmanagement? Industrial Security Es

Mehr

IT-Grundschutz nach BSI 100-1/-4

IT-Grundschutz nach BSI 100-1/-4 IT-Grundschutz nach BSI 100-1/-4 Marko Rogge www.marko-rogge.de www.leiner-denzer.com 100-1, 100-2, 100-3, 100-4 100-1 100-2 Managementsysteme für Informationssicherheit (ISMS, Information Security Management

Mehr

Industrial Defender Defense in Depth Strategie

Industrial Defender Defense in Depth Strategie Industrial Defender Defense in Depth Strategie Security aus der Sicht eines Dienstleisters Michael Krammel KORAMIS Unternehmensverbund mit 80 Mitarbeitern in 7 regionalen Niederlassungen in D und CH Seit

Mehr

IT-Sicherheit. IT-Sicherheit im Spannungsfeld von Kosten/Aufwand und Compliance/Nutzen. Informationsrechtstag 2006 / Seite 1 von 22

IT-Sicherheit. IT-Sicherheit im Spannungsfeld von Kosten/Aufwand und Compliance/Nutzen. Informationsrechtstag 2006 / Seite 1 von 22 IT-Sicherheit IT-Sicherheit im Spannungsfeld von Kosten/Aufwand und Compliance/Nutzen Informationsrechtstag 2006 / Seite 1 von 22 BASF IT Services Wir stellen uns vor Gründung einer europaweiten IT-Organisation

Mehr

IT Security: Anforderungen und Lösungen für Eisenbahnleit- und -sicherungstechnik

IT Security: Anforderungen und Lösungen für Eisenbahnleit- und -sicherungstechnik Lorem est dolor sunt 2014 Prof. Dr. Jens Braband IT Security: Anforderungen und Lösungen für Eisenbahnleit- und -sicherungstechnik siemens.com/answers Inhalt Security versus Safety 4 Security-Bedrohungen

Mehr

Die neuen Cloud-Zertifizierungen nach ISO 27018 und ISO 20000-9. DI Herfried Geyer Fachhochschule St. Pölten, CIS-Auditor

Die neuen Cloud-Zertifizierungen nach ISO 27018 und ISO 20000-9. DI Herfried Geyer Fachhochschule St. Pölten, CIS-Auditor Die neuen Cloud-Zertifizierungen nach ISO 27018 und ISO 20000-9 DI Herfried Geyer Fachhochschule St. Pölten, CIS-Auditor ISO/IEC 27013 Information technology - Security techniques - Guidance on the integrated

Mehr

Eine ISO-Norm für Wissensmanagement?

Eine ISO-Norm für Wissensmanagement? Eine ISO-Norm für Wissensmanagement? 09.12.2014 von Christian Katz Die aktuelle Revision der ISO 9001 (Qualitätsmanagementsysteme) lädt ein, über die Harmonisierung aller Managementsystem-Normen nachzudenken:

Mehr

Risikomanagement Vorgaben durch internationale und europäische Normen

Risikomanagement Vorgaben durch internationale und europäische Normen Risikomanagement Vorgaben durch internationale und europäische Normen FH-Prof. Martin Langer, FH Campus Wien Wien, 30. November 2010 Fragestellungen ISO 31000 Was ist Risiko? Beispiele aus der Praxis Hintergründe

Mehr

Grundlagen des Datenschutzes und der IT-Sicherheit. Lösungen des 8. Übungsblattes BS 7799

Grundlagen des Datenschutzes und der IT-Sicherheit. Lösungen des 8. Übungsblattes BS 7799 und der IT-Sicherheit Lösungen des 8. Übungsblattes BS 7799 8.1 BS 7799 und ISO/IEC 17799 BS 7799 = British Standard 7799 des British Standards Institute 1995: BS 7799-1 2000: ISO/IEC 17799 (Information

Mehr

IT Security: Erfahrungen aus der Praxis

IT Security: Erfahrungen aus der Praxis IT Security: Erfahrungen aus der Praxis Congress@it-sa Der sichere Hafen für Ihre Unternehmens IT 6. 8. Oktober 2015, München Rainer Arnold, Dr. Thomas Störtkuhl Der Wunsch der Industrie Folie 2 Robustheit

Mehr

Security Audits. Ihre IT beim TÜV

Security Audits. Ihre IT beim TÜV Security Audits Ihre IT beim TÜV Thinking Objects GmbH Leistungsstark. Sicher. Nachhaltig. Gegründet 1994 inhabergeführt Hauptsitz Stuttgart Kompetenter IT-Dienstleister und Systemintegrator Schwerpunkte:

Mehr

Qualitätssicherung von Software (SWQS)

Qualitätssicherung von Software (SWQS) Qualitätssicherung von Software (SWQS) Prof. Dr. Holger Schlingloff Humboldt-Universität zu Berlin und Fraunhofer FOKUS 20.6.2013: Sicherheitsnormen Folie 2 Fragen zur Wiederholung Wie funktioniert ein

Mehr

Automatisierung der Zukunft: Sicher und Smart

Automatisierung der Zukunft: Sicher und Smart Mit Industrie 4.0 entstehen hochgradig vernetzte Systemstrukturen mit einer Vielzahl von beteiligten Menschen, IT-Systemen, Automatisierungskomponenten und Maschinen. Das Zusammenspiel von Safety und Security

Mehr

I T I L. ITIL ein systematisches und professionelles Vorgehen für. das Management von IT Dienstleistungen. Andreas Henniger.

I T I L. ITIL ein systematisches und professionelles Vorgehen für. das Management von IT Dienstleistungen. Andreas Henniger. I T I L ITIL ein systematisches und professionelles Vorgehen für das Management von IT Dienstleistungen. 1 ITIL Was ist ITIL? ITIL wurde von der Central Computing and Telecommunications Agency (CCTA) entwickelt,

Mehr

den sicherheitskritischen Bereich Christoph Schmiedinger Frankfurter Entwicklertag 2015 24.02.2015

den sicherheitskritischen Bereich Christoph Schmiedinger Frankfurter Entwicklertag 2015 24.02.2015 Agile Methoden als Diagnose-Tool für den sicherheitskritischen Bereich Christoph Schmiedinger Frankfurter Entwicklertag 2015 24.02.2015 Über mich Berufliche Erfahrung 3 Jahre Projektabwicklung 2 Jahre

Mehr

Infoblatt Security Management

Infoblatt Security Management NCC Guttermann GmbH Wolbecker Windmühle 55 48167 Münster www.nccms.de 4., vollständig neu bearbeitete Auflage 2014 2013 by NCC Guttermann GmbH, Münster Umschlag unter Verwendung einer Abbildung von 123rf

Mehr

your IT in line with your Business Geschäftsprozessmanagement (GPM)

your IT in line with your Business Geschäftsprozessmanagement (GPM) your IT in line with your Business Geschäftsprozessmanagement (GPM) Transparenz schaffen und Unternehmensziele effizient erreichen Transparente Prozesse für mehr Entscheidungssicherheit Konsequente Ausrichtung

Mehr

Quality Risk Management ICH Q 9 /Annex 20

Quality Risk Management ICH Q 9 /Annex 20 Quality Risk Management ICH Q 9 /Annex 20 Dr. Petra Rempe Bezirksregierung Münster Gliederung 1. Definition und allgemeine Grundsätze 2. Risikomanagementprozess nach ICH Q 9 2a Risikobeurteilung 2b Risikokontrolle

Mehr

WHITEPAPER. ISO 27001 Assessment. Security-Schwachstellen und -Defizite erkennen

WHITEPAPER. ISO 27001 Assessment. Security-Schwachstellen und -Defizite erkennen WHITEPAPER ISO 27001 Assessment Security-Schwachstellen und -Defizite erkennen Standortbestimmung Ihrer Informationssicherheit basierend auf dem internationalen Standard ISO 27001:2013 ISO 27001 Assessment

Mehr

Cloud Computing Governance. Thomas Köhler Leiter Public Sector RSA The Security Division of EMC

Cloud Computing Governance. Thomas Köhler Leiter Public Sector RSA The Security Division of EMC Cloud Computing Governance Thomas Köhler Leiter Public Sector RSA The Security Division of EMC Definition Cloud - Wolke Wolke, die; -, -n; Wölkchen: Hoch in der Luft schwebende Massen feiner Wassertröpfchen

Mehr

IT-Security in der Automation

IT-Security in der Automation Einladung/Programm Expertenforum IT-Security in der Automation 16. September 2008 Frankfurt am Main in Zusammenarbeit mit Zum Inhalt Durch den Einsatz von Informationstechnologien und ethernetbasierten

Mehr

Chancen und Risiken. The risk of good things not happening can be just as great as that of bad things happening."

Chancen und Risiken. The risk of good things not happening can be just as great as that of bad things happening. Sicherheit Absolute Sicherheit in der Datenverarbeitung gibt es nicht; K+P kann die Sicherheit jedoch durch geeignete Maßnahmen entscheidend verbessern! Chancen und Risiken The risk of good things not

Mehr

BMF-Zertifizierung: Kennzahlen & Erfolgsmessung mit ISO 27001-27006. Ing. Johann Pleskac, Leiter IT-Sicherheit, BMF

BMF-Zertifizierung: Kennzahlen & Erfolgsmessung mit ISO 27001-27006. Ing. Johann Pleskac, Leiter IT-Sicherheit, BMF BMF-Zertifizierung: Kennzahlen & Erfolgsmessung mit ISO 27001-27006 Ing. Johann Pleskac, Leiter IT-Sicherheit, BMF Mai 2009 > Vorstellung des BMF / IT-Sektion Gründe für die Einführung des Standards Projektumfang

Mehr

Hackerangriffe und Cyber Security im Jahr 2015

Hackerangriffe und Cyber Security im Jahr 2015 Hackerangriffe und Cyber Security im Jahr 2015 Prof. Dr. Sebastian Schinzel schinzel@fh-muenster.de Twitter: @seecurity (c) Prof. Sebastian Schinzel 1 Angriffe Angriff auf Sony Films Nov. 2014 Alle IT-Systeme

Mehr

Maschinen und Apparate im PROLIST-Engineering-Workflow. (Machines and apparatuses in the PROLIST engineering workflow)

Maschinen und Apparate im PROLIST-Engineering-Workflow. (Machines and apparatuses in the PROLIST engineering workflow) Automation 2012 Kurzfassung Maschinen und Apparate im PROLIST-Engineering-Workflow (Machines and apparatuses in the PROLIST engineering workflow) Dr.-Ing. Peter Zgorzelski, Bayer Technology Services GmbH,

Mehr

Safer Software Formale Methoden für ISO26262

Safer Software Formale Methoden für ISO26262 Safer Software Formale Methoden für ISO26262 Dr. Stefan Gulan COC Systems Engineering Functional Safety Entwicklung Was Wie Wie genau Anforderungen Design Produkt Seite 3 Entwicklung nach ISO26262 Funktionale

Mehr

Audit in real life Auf was sollte man vorbereitet sein?

Audit in real life Auf was sollte man vorbereitet sein? IT ADVISORY Audit in real life Auf was sollte man vorbereitet sein? Novell Security Event 03.04.2008 v3 FINAL DRAFT DI Christian Focke Supervisor IT Advisory Wien Agenda Motivation Die Konsequenz Was ist

Mehr

secunet SwissIT AG ISMS in der öffentlichen Verwaltung

secunet SwissIT AG ISMS in der öffentlichen Verwaltung secunet SwissIT AG ISMS in der öffentlichen Verwaltung Berlin, 22. November 2010 Agenda 1 Einleitung 2 ISO/IEC 27000er-Normenfamilie 3 ISO 27001 auf der Basis von IT-Grundschutz 4 Einsatz von ISMS in der

Mehr

Einführung eines ISMS nach ISO 27001. Kai Wittenburg, Geschäftsführer/CEO, ISO27001-Auditor (BSI)

Einführung eines ISMS nach ISO 27001. Kai Wittenburg, Geschäftsführer/CEO, ISO27001-Auditor (BSI) Einführung eines ISMS nach ISO 27001 Kai Wittenburg, Geschäftsführer/CEO, ISO27001-Auditor (BSI) Was ist Informationssicherheit? Vorhandensein von Integrität Vertraulichkeit und Verfügbarkeit in einem

Mehr

Sicherheitstechnische Qualifizierung (SQ), Version 10.0 Security Assurance Level SEAL-3

Sicherheitstechnische Qualifizierung (SQ), Version 10.0 Security Assurance Level SEAL-3 Die Zertifizierungsstelle der TÜV Informationstechnik GmbH bescheinigt hiermit dem Unternehmen Agfa HealthCare GmbH Konrad-Zuse-Platz 1-3 53227 Bonn für das IT-System IMPAX/web.Access die Erfüllung aller

Mehr

Sichere Identitäten in Smart Grids

Sichere Identitäten in Smart Grids Informationstag "IT-Sicherheit im Smart Grid" Berlin, 23.05.2012 Sichere Identitäten in Smart Grids Dr. Thomas Störtkuhl, Agenda 1 2 Beispiele für Kommunikationen Digitale Zertifikate: Basis für Authentifizierung

Mehr

SICHERHEIT VON INDUSTRIELLEN STEUERUNGSSYSTEMEN

SICHERHEIT VON INDUSTRIELLEN STEUERUNGSSYSTEMEN 14. DEUTSCHER IT-SICHERHEITSKONGRESS 2015, BONN, 19.05.2015 SICHERHEIT VON INDUSTRIELLEN STEUERUNGSSYSTEMEN SICHERHEITSMANAGEMENT MIT DER BSI IT-GRUNDSCHUTZ-VORGEHENSWEISE Andreas Floß, Dipl.-Inform.,

Mehr

23. Automation Day 2014. OPC UA Security. Uwe Steinkrauss (ascolab GmbH)

23. Automation Day 2014. OPC UA Security. Uwe Steinkrauss (ascolab GmbH) OPC UA Security Uwe Steinkrauss (ascolab GmbH) Bewusstsein über das Risiko Stephen Cummings, director of the British government's Centre for the Protection of National Infrastructure, Cyberterrorism is

Mehr

IT-Security Anforderungen für Industrie x.0

IT-Security Anforderungen für Industrie x.0 IT-Security Anforderungen für Industrie x.0 Hannover Messe, Forum Industrial IT 8. April 2014 Dr. Lutz Jänicke CTO Übersicht Industrie 1.0 4.0 Industrie 3.0 Security heute Office-IT und Industrial IT Hintergründe

Mehr

20 Jahre IT-Grundschutz Zeit für eine Modernisierung und Die neuen Vorgehensweisen. Holger Schildt IT-Grundschutz und Allianz für Cyber-Sicherheit

20 Jahre IT-Grundschutz Zeit für eine Modernisierung und Die neuen Vorgehensweisen. Holger Schildt IT-Grundschutz und Allianz für Cyber-Sicherheit 20 Jahre IT-Grundschutz Zeit für eine Modernisierung und Die neuen Vorgehensweisen Holger Schildt IT-Grundschutz und Allianz für Cyber-Sicherheit Agenda 1. Einleitung und Motivation 2. Vorgehensweisen

Mehr

IT-Risiko- und Sicherheitsmanagement Workshop der GI Fachgruppe SECMGT am 28. Januar 2005 in Frankfurt/Main

IT-Risiko- und Sicherheitsmanagement Workshop der GI Fachgruppe SECMGT am 28. Januar 2005 in Frankfurt/Main Advisory Services Information Risk Management Turning knowledge into value IT-Risiko- und Sicherheitsmanagement Workshop der GI Fachgruppe SECMGT am 28. Januar 2005 in Frankfurt/Main Markus Gaulke mgaulke@kpmg.com

Mehr

STUDIE ZU IT-RISIKOBEWERTUNGEN IN DER PRAXIS

STUDIE ZU IT-RISIKOBEWERTUNGEN IN DER PRAXIS STUDIE ZU IT-RISIKOBEWERTUNGEN IN DER PRAXIS Stefan Taubenberger und Prof. Jan Jürjens, 22. September 211 Ziele der Studie Konfirmative und explorative Studie mit folgenden Fragestellungen Welche Kriterien

Mehr

TEPZZ 9Z8_95A_T EP 2 908 195 A1 (19) (11) EP 2 908 195 A1 (12) EUROPÄISCHE PATENTANMELDUNG. (51) Int Cl.: G05B 19/042 (2006.01) G05B 9/03 (2006.

TEPZZ 9Z8_95A_T EP 2 908 195 A1 (19) (11) EP 2 908 195 A1 (12) EUROPÄISCHE PATENTANMELDUNG. (51) Int Cl.: G05B 19/042 (2006.01) G05B 9/03 (2006. (19) TEPZZ 9Z8_9A_T (11) EP 2 908 19 A1 (12) EUROPÄISCHE PATENTANMELDUNG (43) Veröffentlichungstag: 19.08.1 Patentblatt 1/34 (1) Int Cl.: G0B 19/042 (06.01) G0B 9/03 (06.01) (21) Anmeldenummer: 141064.0

Mehr

59 markets and 36 languages. 76 markets and 48 languages 200+ CLOUD SERVICES

59 markets and 36 languages. 76 markets and 48 languages 200+ CLOUD SERVICES 2 59 markets and 36 languages 76 markets and 48 languages 200+ CLOUD SERVICES Informations-Sicherheit Risiken kennen Informations-Sicherheit ist eine Risiko-Management Disziplin des Geschäftsbereich und

Mehr

Praxisbuch ISO/IEC 27001

Praxisbuch ISO/IEC 27001 Praxisbuch ISO/IEC 27001 Management der Informationssicherheit und Vorbereitung auf die Zertifizierung von Michael Brenner, Nils gentschen Felde, Wolfgang Hommel, Stefan Metzger, Helmut Reiser, Thomas

Mehr

Die Cloud wird die Automation verändern

Die Cloud wird die Automation verändern Die Cloud wird die Automation verändern Dr.-Ing. Kurt D. Bettenhausen Vorsitzender der VDI/VDE-Gesellschaft Mess- und Automatisierungstechnik (GMA) Statement zum VDI-Pressegespräch anlässlich des Kongresses

Mehr

Status quo Know-how Kontext Industrial IT-Security beim VDMA

Status quo Know-how Kontext Industrial IT-Security beim VDMA Status quo Know-how how-schutz im Kontext Industrial IT-Security beim VDMA Augsburg, 2014-02-19 Peter Mnich VICCON GmbH Ottostr. 1 76275 Ettlingen VICCON GmbH Büro Potsdam David-Gilly-Str. 1 14469 Potsdam

Mehr

Wo erweitert das IT-Sicherheitsgesetz bestehende Anforderungen und wo bleibt alles beim Alten?

Wo erweitert das IT-Sicherheitsgesetz bestehende Anforderungen und wo bleibt alles beim Alten? Wo erweitert das IT-Sicherheitsgesetz bestehende Anforderungen und wo bleibt alles beim Alten? Hamburg/Osnabrück/Bremen 18./25./26. November 2014 Gerd Malert Agenda 1. Kernziele des Gesetzesentwurfes 2.

Mehr

Informationssicherheit und Cloud-Computing Was bei Migration und Demigration von Daten und Anwendungen in eine Cloud berücksichtigt werden sollte

Informationssicherheit und Cloud-Computing Was bei Migration und Demigration von Daten und Anwendungen in eine Cloud berücksichtigt werden sollte Folie 2 03. Dezember 2014 Informationssicherheit und Cloud-Computing Was bei Migration und Demigration von Daten und Anwendungen in eine Cloud berücksichtigt werden sollte Folie 3 Guten Tag Ich bin Dr.

Mehr

Security Operations Center

Security Operations Center Nadine Nagel / Dr. Stefan Blum Security Operations Center Von der Konzeption bis zur Umsetzung Agenda Bedrohungslage Security Operations Center Security Intelligence Herausforderungen Empfehlungen 2 Bedrohungslage

Mehr

Auswirkungen des IT-Sicherheitsgesetzes für Krankenhäuser. Umsetzungshinweise

Auswirkungen des IT-Sicherheitsgesetzes für Krankenhäuser. Umsetzungshinweise Ziele Auswirkungen des IT-Sicherheitsgesetzes für Krankenhäuser Umsetzungshinweise dubois it-consulting gmbh, Holzhofstr. 10, 55116 Mainz, +49 6131 2150691 oder +49 177 4104045, ingrid.dubois@dubois-it-consulting.de

Mehr

5 ECTS. 4 Modulverantwortlicher Prof. Dr. Francesca Saglietti

5 ECTS. 4 Modulverantwortlicher Prof. Dr. Francesca Saglietti 1 Modulbezeichnung Konstruktives Software Engineering (Constructive Phases of Software Engineering) 2 Lehrveranstaltungen V+Ü: Konstruktive Phasen des Software Engineering (erste zwei Monate der Vorlesung

Mehr

CMDB Die Basis zum Erfolg im IT Service Management

CMDB Die Basis zum Erfolg im IT Service Management CMDB Die Basis zum Erfolg im IT Service Management 24. Juni 2009, 1. ITIL Forum Schweiz 2009 Stefan Beyeler, Leiter Beratung & Projekte plain it AG Militärstrasse 5 3600 Thun Telefon +41 (0)33 224 01 24

Mehr

Der Landesbeauftragte für den Datenschutz Rheinland-Pfalz

Der Landesbeauftragte für den Datenschutz Rheinland-Pfalz Folie: 1 Folie: 2 IFB-Workshop IT-Sicherheit und Datenschutz Folie: 3 Agenda 1. Theoretischer Teil Systematik von IT-Sicherheit und Datenschutz Grundbedrohungen der IT-Sicherheit Gefahren aus dem Internet

Mehr

Informationssicherheit im mittelstand. Bavarian IT Security & Safety Cluster

Informationssicherheit im mittelstand. Bavarian IT Security & Safety Cluster Informationssicherheit im mittelstand... > Bavarian IT Security & Safety Cluster > ein PROdUKt des BayeRisCHen it-sicherheits- ClUsteRs e.v. der Bayerische it-sicherheitscluster e.v. Der Bayerische It-sicherheitscluster

Mehr

ISO 9001 und CMM im Vergleich

ISO 9001 und CMM im Vergleich ISO 9001 und CMM im Vergleich internationale Norm ISO 9001 umfasst 20 Forderungen/ Klauseln 1 Vorbereitung Audit Wie wird zertifiziert Wie erfolgt Dokumentation? Handbuch (QMH) Verfahrensanweisungen (QMV)

Mehr

Ulrich Heun, CARMAO GmbH. CARMAO GmbH 2013 1

Ulrich Heun, CARMAO GmbH. CARMAO GmbH 2013 1 Ulrich Heun, CARMAO GmbH CARMAO GmbH 2013 1 Roter Faden Mit wem haben Sie es heute zu tun? Was ist Informationssicherheit? ISMS nach ISO 27001 ISMS und ITIL CARMAO GmbH 2013 2 CARMAO Das Unternehmen Gegründet

Mehr

Was Ihr Cloud Vertrag mit Sicherheit zu tun hat

Was Ihr Cloud Vertrag mit Sicherheit zu tun hat Was Ihr Cloud Vertrag mit Sicherheit zu tun hat EC Deutschland 14 Mai 2013- Konzerthaus Karlsruhe Ziele des Vortrags - ein Weg in die Cloud 1. Sicherheit eine mehrdimensionalen Betrachtung 2. Zusammenhang

Mehr

Kapitel 2: Grundlagen. Wolfgang Hommel, Helmut Reiser, LRZ, WS 14/15 IT-Sicherheit 1

Kapitel 2: Grundlagen. Wolfgang Hommel, Helmut Reiser, LRZ, WS 14/15 IT-Sicherheit 1 Kapitel 2: Grundlagen Wolfgang Hommel, Helmut Reiser, LRZ, WS 14/15 IT-Sicherheit 1 Kapitel 2: Inhalt 1. Grundlegende Ziele der IT-Sicherheit 2. Kategorisierung von Sicherheitsmaßnahmen 3. Standards der

Mehr

Integrierte modellgestützte Risikoanalyse komplexer Automatisierungssysteme

Integrierte modellgestützte Risikoanalyse komplexer Automatisierungssysteme Universität Stuttgart Institut für Automatisierungs- und Softwaretechnik Prof. Dr.-Ing. Dr. h. c. P. Göhner Integrierte modellgestützte Risikoanalyse komplexer Automatisierungssysteme Dipl.-Ing. Michael

Mehr

Prüfkatalog nach ISO/IEC 27001

Prüfkatalog nach ISO/IEC 27001 Seite 1 Prüfkatalog nach ISO/IEC 27001 Zum Inhalt Konzeption, Implementierung und Aufrechterhaltung eines Informationssicherheits Managementsystems sollten sich an einem Prüfkatalog orientieren, der sowohl

Mehr

Systemen im Wandel. Autor: Dr. Gerd Frenzen Coromell GmbH Seite 1 von 5

Systemen im Wandel. Autor: Dr. Gerd Frenzen Coromell GmbH Seite 1 von 5 Das Management von Informations- Systemen im Wandel Die Informations-Technologie (IT) war lange Zeit ausschließlich ein Hilfsmittel, um Arbeitsabläufe zu vereinfachen und Personal einzusparen. Sie hat

Mehr