Sicherheitskatalog gem. 11 Abs. 1a EnWG. Bundesnetzagentur Energieabteilung

Größe: px
Ab Seite anzeigen:

Download "Sicherheitskatalog gem. 11 Abs. 1a EnWG. Bundesnetzagentur Energieabteilung"

Transkript

1 Sicherheitskatalog gem. 11 Abs. 1a EnWG Bundesnetzagentur Energieabteilung 1

2 Version 1 2

3 Inhaltsverzeichnis A. EINLEITUNG... 4 B. RECHTLICHE GRUNDLAGEN... 5 C. SCHUTZZIELE... 6 D. TK- UND EDV-SYSTEME ZUR NETZSTEUERUNG... 8 E. SICHERHEITSANFORDERUNGEN I. INFORMATIONSSICHERHEITS-MANAGEMENTSYSTEM II. ORDNUNGSGEMÄßER BETRIEB DER BETROFFENEN IKT-SYSTEME III. NETZSTRUKTURPLAN IV. SCHUTZBEDARFSERMITTLUNG V. IT-SICHERHEITSBEAUFTRAGTER VI. GEEIGNETE AUSWAHL KONKRETER MAßNAHMEN F. SICHERHEITSKATEGORIEN UND MAßNAHMEN I. SICHERHEITSLEITLINIE II. ORGANISATION DER INFORMATIONSSICHERHEIT III. MANAGEMENT VON ORGANISATIONSEIGENEN WERTEN IV. PERSONALSICHERHEIT V. PHYSISCHE UND UMGEBUNGSBEZOGENE SICHERHEIT VI. BETRIEBS- UND KOMMUNIKATIONSMANAGEMENT VII. ZUGANGSKONTROLLE VIII. BESCHAFFUNG, ENTWICKLUNG UND WARTUNG VON INFORMATIONSSYSTEMEN IX. UMGANG MIT INFORMATIONSSICHERHEITSVORFÄLLEN X. SICHERSTELLUNG DES GESCHÄFTSBETRIEBES (BUSINESS CONTINUITY MANAGEMENT) XI. EINHALTUNG VON VORGABEN (COMPLIANCE) G. UMSETZUNGSVORGABEN I. ZERTIFIZIERUNG II. UMSETZUNGSFRISTEN H. LITERATURVERZEICHNIS

4 A. Einleitung Unsere moderne Gesellschaft ist in hohem Maße von einer funktionierenden Energieversorgung abhängig. Fehlen Strom und Gas, kommt das öffentliche Leben innerhalb kürzester Zeit zum Erliegen und lebensnotwendige Dienstleistungen können nicht mehr erbracht werden. Gleichzeitig ist die Funktionsfähigkeit der Energieversorgung von einer intakten Informations- und Kommunikationstechnologie (IKT) abhängig. Dies gilt im Besonderen für den Bereich der Netzsteuerung, der auf valide Netzzustandsdaten für einen sicheren Systembetrieb angewiesen ist. Die Unterstützung durch IKT-Systeme bringt viele Vorteile, mit der wachsenden Abhängigkeit von diesen Systemen gehen jedoch auch Risiken für die Versorgungssicherheit einher. Um die Vorteile moderner IKT auch in Zukunft sicher nutzen zu können, ist es daher wichtig, einen angemessenen Schutz gegen Bedrohungen für die IKT im Bereich der Netzsteuerung zu etablieren. Dies soll u. a. durch die Umsetzung der Anforderungen des vorliegenden IT- Sicherheitskataloges erreicht werden. In Abschnitt B wird kurz der Auftrag an die BNetzA zur Erstellung des vorliegenden IT- Sicherheitskatalogs auf Basis des 11 Abs. 1a EnWG dargestellt. Abschnitt C formuliert die Schutzziele, für die unter Abschnitt D definierten Systeme der Netzsteuerung. Abschnitt E enthält konkrete Anforderungen an Netzbetreiber, die unter Berücksichtigung der zuvor genannten Schutzziele umzusetzen sind. In Abschnitt F wird auf anerkannte, internationale Standards aus dem Bereich der IT-Sicherheit verwiesen, die bei der Umsetzung der Anforderungen des IT-Sicherheitskataloges zu beachten sind. Abschnitt G enthält sonstige Forderungen und Fristen für die Umsetzung des IT-Sicherheitskataloges. Kernforderung des vorliegenden Sicherheitskataloges ist die Einführung eines Informationssicherheits-Managementsystems gemäß DIN ISO/IEC sowie die Zertifizierung dieses Systems durch eine unabhängige hierfür zugelassene Stelle. Des Weiteren soll durch den Netzbetreiber ein IT-Sicherheitsbeauftragter als Ansprechpartner für die Bundesnetzagentur benannt werden. Die Anforderungen des Sicherheitskataloges sind unabhängig von der Größe oder der Anzahl der angeschlossenen Kunden von allen Netzbetreibern zu erfüllen, soweit diese über Systeme verfügen, die in den Anwendungsbereich des Sicherheitskataloges fallen (vgl. Abschnitt D TK und EDV zur Netzsteuerung). 4

5 B. Rechtliche Grundlagen 11 Absatz 1a Energiewirtschaftsgesetz (EnWG) enthält den Auftrag an die Bundesnetzagentur, im Benehmen mit dem Bundesamt für Sicherheit in der Informationstechnik einen Katalog von Sicherheitsanforderungen zu erstellen zum Schutz gegen Bedrohungen für Telekommunikations- und elektronische Datenverarbeitungssysteme, die der Netzsteuerung dienen. Mit dieser im Rahmen der EnWG-Novelle 2011 neu eingefügten Vorschrift wird die Pflicht zum Betrieb eines sicheren Energieversorgungsnetzes nach 11 Abs. 1 EnWG konkretisiert. Unter Sicherheit wird in Anlehnung an den in 1 Absatz 1 EnWG definierten Gesetzeszweck einerseits die technische Anlagensicherheit verstanden, andererseits und vor allem aber auch die allgemeine Versorgungssicherheit. Vor dem Hintergrund einer immer stärkeren Durchdringung der Steuerung von Energieversorgungsnetzen mit Informations- und Kommunikationstechnologie und der damit zunehmenden Bedeutung von IT-Sicherheit umfasst das Ziel der Sicherheit nach dem Willen des Gesetzgebers daher nun auch den angemessenen Schutz gegen Bedrohungen für Telekommunikations- und elektronische Datenverarbeitungssysteme, die der Netzsteuerung dienen. Ein angemessener Schutz wird gemäß 11 Absatz 1a S. 3 EnWG vermutet, wenn der Katalog der Sicherheitsanforderungen vom Betreiber eines Energieversorgungsnetzes eingehalten wird. Diese Vermutungsregel befreit den Netzbetreiber jedoch nicht davon, im Einzelfall auch ein höheres Schutzniveau einhalten zu müssen. In der Begründung zum Gesetzesentwurf (Bt.-Drs. 17/6072, S. 66) heißt es dazu: Die grundsätzliche Verantwortung der betroffenen Unternehmen, sich über den Sicherheitskatalog hinaus eigenverantwortlich durch Ergreifen weiterer individueller Maßnahmen in erforderlichem Umfang gegen Gefährdungen zu schützen, bleibt unberührt. Hierzu ist es angezeigt, dass der Netzbetreiber insbesondere auch den allgemein anerkannten Stand der Technik in Bezug auf die Absicherung der jeweils eingesetzten leittechnischen Systeme beachtet sowie die allgemeine IKT- Bedrohungslage und die spezifische Bedrohungslage für die eingesetzten leittechnischen Systeme berücksichtigt. Dazu sind insbesondere geeignete, für den jeweiligen Anwendungsbereich formulierte, ggf. branchen- oder sektorspezifische Sicherheitsstandards sowie relevante Empfehlungen, Anwendungsregeln etc. nach jeweils aktuellem Stand heranzuziehen. Das Benehmen mit dem Bundesamt für Sicherheit in der Informationstechnik zum vorliegenden IT-Sicherheitskatalog gemäß 11 Abs. 1a S. 2 EnWG wurde am [noch einzutragen] hergestellt. 5

6 C. Schutzziele Der vorliegende IT-Sicherheitskatalog enthält Anforderungen zur Gewährleistung eines angemessenen Schutzes gegen Bedrohungen für Telekommunikations- und elektronische Datenverarbeitungssysteme, die der Netzsteuerung dienen. Hierdurch soll ein Beitrag zum sicheren Betrieb und zur Erhöhung der Versorgungssicherheit der Energieversorgung geleistet werden. Dieses Ziel soll insbesondere durch die Auswahl geeigneter, angemessener und dem Stand der Technik entsprechender Maßnahmen zur Realisierung der folgenden Schutzziele aus dem Bereich der Informationssicherheit erreicht werden: die Sicherstellung der Verfügbarkeit der zu schützenden Systeme und Daten, die Sicherstellung der Integrität der verarbeiteten Informationen und Systeme, die Gewährleistung der Vertraulichkeit der mit den betrachteten Systemen verarbeiteten Informationen. Verfügbarkeit bedeutet, dass die zu schützenden Systeme und Daten jederzeit betriebsbereit und auf Verlangen einer berechtigten Einheit zugänglich und nutzbar sind. Integrität bedeutet zum einen die Richtigkeit und Vollständigkeit der verarbeiteten Daten und zum anderen die korrekte Funktionsweise der Systeme. Unter Vertraulichkeit wird der Schutz der Systeme und Daten vor unberechtigtem Zugriff durch Personen oder Prozesse verstanden. 1 Nicht erfasst ist der Schutz personenbezogener Daten, da dieser bereits durch andere Regelungen (zum Beispiel BDSG) bestimmt wird. Die Angemessenheit der durchzuführenden Maßnahmen ist vom individuellen Schutzbedarf des jeweiligen Netzbetreibers abhängig. In die Ermittlung des individuellen Schutzbedarfs sind insbesondere auch Risiken bzgl. der Sicherheit verbundener Energieversorgungsnetze im Falle einer lokalen Störung einzubeziehen. Eine Maßnahme gilt dann als angemessen, wenn der dafür erforderliche technische und wirtschaftliche Aufwand nicht völlig außer Verhältnis zu ihrem Zweck hier dem Schutz von netzsteuerungsdienlichen TK- und EDV- Systemen vor Bedrohungen steht. Des Weiteren bleibt die Berücksichtigung sonstiger Vorschriften und Regelungen, die die hier betrachteten Systeme betreffen, auch wenn diese hier nicht näher beleuchtet werden, unbenommen. 1 Vgl. DIN, S. 8f 6

7 Die Verantwortung für die Erfüllung der Schutzziele trägt der Netzbetreiber. Er stellt die Erarbeitung, Kommunikation, Durchführung und Dokumentation der zur Umsetzung der Schutzziele getroffenen Maßnahmen innerhalb der Organisation sicher. 7

8 D. TK- und EDV-Systeme zur Netzsteuerung Der sachliche Rahmen des IT-Sicherheitskataloges umfasst gemäß 11 Abs. 1a Satz 1 EnWG einen angemessenen Schutz gegen Bedrohungen für Telekommunikations- und elektronische Datenverarbeitungssysteme, die der Netzsteuerung dienen. Um die sich daraus ableitenden Sicherheitsanforderungen für die verschiedenen Betreiber von Energieversorgungsnetzen im Einzelnen zu ermitteln, bedarf es einer an den Schutzzielen ausgerichteten Vorgehensweise zur Identifizierung der betroffenen TK- und EDV-Systeme, die der Netzsteuerung dienlich sind, in Abgrenzung zum übrigen Netzbetrieb. Die Netzsteuerungsdienlichkeit ist somit von besonderer Bedeutung. Netzsteuerung im Sinne dieses IT-Sicherheitskataloges bedeutet unter Zugrundelegung der oben benannten Schutzziele die unmittelbare Einflussnahme auf die Fahrweise von Transport- und Verteilnetzen im Strom- und Gasbereich. Dieser IT-Sicherheitskatalog umfasst demnach zum einen alle TK- und EDV-Systeme des Netzbetreibers, welche direkt Teil der Netzsteuerung sind, d.h. unmittelbar Einfluss nehmen auf die Netzfahrweise. Darunter fallen zum Beispiel zentrale Netzleit- und Netzführungssysteme. Im Hinblick auf die weitergehende Eigenschaft der Netzsteuerungsdienlichkeit können aber auch TK- und EDV-Systeme im Netz betroffen sein, die selbst zwar nicht direkt Teil der Netzsteuerung sind, dieser aber unmittelbar dienen. Darunter fallen z.b. Messeinrichtungen an Trafo- oder Netzkoppelstationen, welche durch die Bereitstellung von (Mess-)Daten einen direkten Einfluss auf die Netzsteuerung nehmen. Davon abzugrenzen sind TK- und EDV-Systeme, die nur mittelbaren oder gar keinen Einfluss auf die Netzsteuerung ausüben oder Systeme, die nicht Teil des Energieversorgungsnetzes nach 3 Nr. 16 EnWG sind. Zu diesen nicht vom IT-Sicherheitskatalog umfassten Systemen gehören zum Beispiel kundenseitige Messsysteme gemäß 21d EnWG (Smart Meter). Zwar können Messsysteme der Letztverbraucher mittelbar Einfluss auf die Netzsteuerung ausüben, indem sie Netzzustandsinformationen (z.b. Spannung, Frequenz und Phasenwinkel) bereitstellen sowie netzindizierte Schalthandlungen ermöglichen. Allerdings sind diese nicht Teil des Energieversorgungsnetzes nach 3 Nr. 16 EnWG. Die Kommunikationseinheit des Messsystems (Smart Meter Gateway) ist zudem durch die Vorgaben der BSI- Schutzprofile (BSI-CC-PP-0073/BSI-CC-PP-0077) und die zugehörige Technische Richtlinie (BSI TR-03109) bereits hinreichend geschützt. Der Anwendungsbereich des IT-Sicherheitskatalogs erstreckt sich demnach auf Netzkomponenten oder Teilsysteme, die steuerbar sind und somit die Fahrweise des Netzes unmittelbar beeinflussen, oder aber Netzkomponenten, die selbst zwar nicht steuerbar sind, aber bei- 8

9 spielsweise durch Bereitstellung von Daten mittelbar die Netzfahrweise beeinflussen und auf diese Weise auch der Netzsteuerung dienlich sind. Die Ermittlung der im Einzelfall betroffenen (Teil-)Systeme eines Netzes erfolgt durch den jeweiligen Netzbetreiber selbst unter Beachtung der in diesem IT-Sicherheitskatalog vorgegebenen Kriterien. Werden (Teil-)Systeme, die der Anwendung des Katalogs unterliegen, nicht vom Netzbetreiber selbst betrieben, sondern von Dritten, beispielsweise im Rahmen von Outsourcing, so ist die Anwendung und Umsetzung des Katalogs vertraglich sicherzustellen. Die volle Verantwortung in Bezug auf die Einhaltung des Katalogs bleibt dabei beim Betreiber des Energieversorgungsnetzes. 9

10 E. Sicherheitsanforderungen I. Informationssicherheits-Managementsystem Zur Gewährleistung eines angemessenen Sicherheitsniveaus für TK- und EDV-Systeme im Bereich der Netzsteuerung ist die bloße Umsetzung von Einzelmaßnahmen, wie zum Beispiel der Einsatz von Antivirensoftware, Firewalls usw. nicht ausreichend. Zur Erreichung der Schutzziele ist stattdessen ein ganzheitlicher Ansatz nötig, der kontinuierlich auf Leistungsfähigkeit und Wirksamkeit zu überprüfen und bei Bedarf anzupassen ist. Einen solchen ganzheitlichen Ansatz stellt ein sog. Informationssicherheits- Managementsystem (ISMS) dar. Ein Managementsystem umfasst alle Regelungen, die für die Steuerung und Lenkung zur Zielerreichung der Institution sorgen. Der Teil des Managementsystems, der sich mit Informationssicherheit beschäftigt, wird als Informationssicherheitsmanagementsystem (ISMS) bezeichnet. Das ISMS legt fest, mit welchen Instrumenten und Methoden das Management die auf Informationssicherheit ausgerichteten Aufgaben und Aktivitäten nachvollziehbar lenkt (plant, einsetzt, durchführt, überwacht und verbessert). 2 Dementsprechend sollen Netzbetreiber ein ISMS, das den Anforderungen der DIN ISO/IEC genügt, implementieren, das mindestens die unter Abschnitt D beschriebenen Systeme, d. h. Telekommunikations- und EDV-Systeme, die der Netzsteuerung dienen, umfasst. Bei der Implementierung sind unbedingt die unter Abschnitt F genannten Informationen und Verweise auf die Normen DIN ISO/IEC und DIN SPEC zu berücksichtigen. Eine wesentliche Anforderung der DIN ISO/IEC ist, dass das ISMS und die damit verbundenen Maßnahmen kontinuierlich auf Wirksamkeit überprüft und im Bedarfsfall angepasst werden. Maßstäbe sind dabei die Schutzziele und die Angemessenheit im Sinne des Abschnitts C. Informationssicherheit und deren Etablierung in einer Organisation darf demnach kein einmaliges Projekt mit definiertem Anfang und Ende sein, sondern muss vielmehr als regelmäßiger Prozess in die Organisationsstrukturen eingebunden werden. Gemäß DIN ISO/IEC soll dies durch Anwendung des Plan-Do-Check-Act Modells (PDCA) für die 2 BSI1, S

11 Prozesse des ISMS erreicht werden. Die Phasen des PDCA-Modells sind in Abbildung 1 dargestellt. Tabelle 1 enthält eine kurze Erläuterung zu den jeweiligen Phasen. Abbildung 1: Auf die ISMS-Prozesse angewandtes PDCA-Modell (Quelle: DIN, S. 6) Tabelle 1: Phasen des PDCA-Modells eines ISMS (Quelle: DIN, S. 7) Phase im PDCA-Modell Kurzbeschreibung Planen / Plan (Festlegen Festlegen der ISMS-Leitlinie, -Ziele, -Prozesse und -Verfahren, des ISMS) die für das Risikomanagement und die Verbesserung der Informationssicherheit notwendig sind, um Ergebnisse im Rahmen aller Grundsätze und Ziele einer Organisation zu erreichen. Durchführen / Do (Umsetzen und Durchführen des Prozesse und Verfahren. Umsetzen und Durchführen der ISMS-Leitlinie, Maßnahmen, ISMS) Prüfen / Check (Überwachen und Überprüfen des ISMS-Leitlinie, den ISMS-Zielen und praktischen Erfahrungen, Einschätzen und ggf. Messen der Prozessleistung an der ISMS) und Berichten der Ergebnisse an das Management zwecks Überprüfung. Handeln / Act (Instandhalten und Verbessern des nahmen, basierend auf den Ergebnissen von internen ISMS- Ergreifen von Korrekturmaßnahmen und Vorbeugungsmaß- ISMS) Audits und Überprüfungen des Managements und anderen wesentlichen Informationen, zur ständigen Verbesserung des ISMS. 11

12 Die DIN ISO/IEC legt Leitlinien und allgemeine Prinzipien für die Initiierung, Umsetzung, den Betrieb und die Verbesserung des Informationssicherheits-Managements in einer Organisation fest. Die DIN SPEC erweitert diese in einzelnen Punkten um Besonderheiten im Bereich der Prozesssteuerung der Energieversorgung. Die Umsetzung der beiden vorgenannten Normen, auf die in Abschnitt F verwiesen wird, führt im Ergebnis zu einem ISMS, das den Anforderungen der DIN ISO/IEC entspricht. II. Ordnungsgemäßer Betrieb der betroffenen IKT-Systeme Im Rahmen des ISMS ist nachhaltig sicherzustellen, dass der Betrieb der relevanten Telekommunikations- und Datenverarbeitungssysteme ordnungsgemäß erfolgt. Dies bedeutet insbesondere, dass die eingesetzten IKT-Systeme und IKT-gestützten Verfahren und Prozesse zu jedem Zeitpunkt beherrscht werden und dass technische Störungen als solche erkannt und behoben werden können oder anderweitig deren Behebung sichergestellt werden kann. Auch für die Unterstützung der Abwehr von IKT-basierten Angriffen muss der Betrieb der relevanten Telekommunikations- und Datenverarbeitungssysteme gerüstet sein. Dies ist auch über den von ISO/IEC 27001, ISO/IEC und DIN SPEC gesetzten Rahmen hinaus sicherzustellen. III. Netzstrukturplan Das EVU soll eine Übersicht über die Komponenten seines Netzes im Prozessumfeld mit den anzutreffenden Haupttechnologien und deren Verbindungen erstellen. Die Übersicht ist nach den Technologiekategorien Leitsystem/Systembetrieb, Übertragungstechnik/Kommunikation und Sekundär-, Automatisierungs- und Fernwirktechnik zu unterscheiden. Tabelle 2 enthält eine kurze Beschreibung zu den Technologiekategorien sowie einige Beispiele. Tabelle 2: Technologiekategorien (Quelle: In Anlehnung an BDEW, S. 7f) Technologie- Beschreibung und Beispiele kategorie Leitsysteme Alle zentralisierten Systeme die der Netzsteuerung, -überwachung dienen, und Systembetrieb und zentralen Infrastrukturen. sowie die hierzu notwendigen unterstützenden IT-Systeme, Anwendungen Beispiele: - Zentrale Netzleit- und Netzführungssysteme 12

13 - Zentrale Messwerterfassungssysteme - Systeme zur Überwachung und Steuerung von Netzspeichern - Datenarchivierungssysteme - Zentrale Parametrier-, Konfigurations- und Programmiersysteme - die für den Betrieb der o.g. Systeme notwendigen unterstützenden Systeme Die in der Netzsteuerung zur Kommunikation eingesetzte Übertragungs-, Telekommunikations- und Netzwerktechnik. Beispiele: - Router, Switches und Firewalls - Übertragungstechnische Netzelemente - Zentrale Management- und Überwachungssysteme der Ü- bertragungs-, Telekommunikations- und Netzwerktechnik - Kommunikationsendgeräte Übertragungstechnik / Kommunikation Sekundär-, Automatisierungs- und Fernwirktechnik - Funksysteme Die prozessnahe Steuerungs- und Automatisierungstechnik, die zugehörigen Schutz- und Sicherheitssysteme sowie fernwirktechnische Komponenten. Hierzu gehören insbesondere die Technik in den dezentralen Stationen sowie die Automatisierungstechnik in Netzspeicheranlagen. Beispiele: - Steuerungs- und Automatisierungskomponenten - Leit- und Feldgeräte - Controller und SPSen inklusive digitaler Sensor- und Aktorelemente - Schutzgeräte und Sicherheitskomponenten - Fernwirkgeräte - Mess- und Zählvorrichtungen. Die in der Übersicht enthaltenen Komponenten sind in geeigneter Form in einem Netzstrukturplan darzustellen. Die Komplexität des Netzstrukturplans kann durch Gruppenbildung vereinfacht werden (z.b. nach Typ, Konfiguration, Netz, Lokation, Rahmenbedingungen, Anwendungen, Dienste, etc.). Ebenso können bei größeren Netzen getrennte Teilpläne sinnvoll 13

14 sein. Schnittstellen zu Teilsystemen, die nicht zu den unter Abschnitt D genannten Teilsystemen gehören oder sich der unmittelbaren Kontrolle des Netzbetreibers (zum Beispiel durch Outsourcing) entziehen, müssen im Netzstrukturplan klar gekennzeichnet und in der Komponentenübersicht definiert werden. Funktion und funktionale Beziehungen der Teilsysteme, dort laufende Anwendungen und Betriebssysteme, ggf. inkl Revisionsständen, netzwerktechnische Beziehungen, verwendete Protokolle und Berechtigungen etc. sollen erkennbar sein. IV. Schutzbedarfsermittlung Für die in Abschnitt D beschriebenen und im Netzstrukturplan erfassten Systeme ist durch den Netzbetreiber eine Schutzbedarfsermittlung durchzuführen. Zweck der Schutzbedarfsermittlung ist es festzustellen, welcher Schutz für die Informationen und die eingesetzte Informationstechnik geeignet und angemessen ist. Hierzu werden für jede Anwendung und die verarbeiteten Informationen die insbesondere für die Versorgungssicherheit zu erwartenden Schäden betrachtet, die bei einer Beeinträchtigung von Vertraulichkeit, Integrität oder Verfügbarkeit entstehen können. Wichtig ist es dabei auch, die möglichen Folgeschäden für die Versorgungssicherheit realistisch einzuschätzen und insbesondere Auswirkungen über den eigenen Netzbetrieb hinaus zu berücksichtigen (zum Beispiel mögliche Beeinträchtigungen bei vor- / nachgelagerten Netzen). Dabei ist zu jedem der Schutzziele Verfügbarkeit, Integrität und Vertraulichkeit eine Einteilung in die drei Schutzbedarfskategorien "normal", "hoch" und "sehr hoch" vorzunehmen. Erläuterungen und praktische Hinweise zur Schutzbedarfsfeststellung sind zum Beispiel Gegenstand von Kapitel 4.3 der IT-Grundschutz- Vorgehensweise (BSI-Standard 100-2). Tabelle 3: Schutzbedarfskategorien nach BSI Grundschutz (Quelle: BSI2, S. 49) "normal" Die Schadensauswirkungen sind begrenzt und überschaubar. "hoch" "sehr hoch" Die Schadensauswirkungen können beträchtlich sein. Die Schadensauswirkungen können ein existentiell bedrohliches, katastrophales Ausmaß erreichen. Für die Komponenten der Netzsteuerung wird grundsätzlich von einem Schutzbedarf der Kategorie hoch ausgegangen. Im Einzelnen ist zu prüfen, ob ggf. der Schutzbedarf sehr hoch ist. Falls er als normal eingestuft wird, ist dies ausführlich zu begründen und zu dokumentieren. Bei der Ermittlung des Schutzbedarfs ist zu beachten, dass die Sicherheit von TK- und EDV- Systemen, die der Netzsteuerung dienen, nicht nur durch vorsätzliche Handlungen (zum Beispiel Computer-Viren, Abhören der Kommunikation, Diebstahl von Rechnern usw.) bedroht 14

15 wird. Vielmehr können Sicherheitsvorfälle eine Vielzahl von Ursachen haben. Bei der Schutzbedarfsermittlung sind daher insbesondere Gefährdungen aus den folgenden Kategorien zu berücksichtigen: Elementare Gefährdungen Höhere Gewalt Organisatorische Mängel Menschliche Fehlhandlungen Technisches Versagen Vorsätzliche Handlungen. Zur Identifizierung von Gefährdungen aus den oben genannten Kategorien können die Grundschutzkataloge des BSI herangezogen werden. Diese enthalten ausführlich beschriebene Beispiele zu den einzelnen Gefährdungskategorien, die aber nicht abschließend sind. V. IT-Sicherheitsbeauftragter Für die Koordination, Verwaltung und Kommunikation der IT-Sicherheit soll durch den Netzbetreiber ein IT-Sicherheitsbeauftragter als zentraler Ansprechpartner benannt werden. Name und Kontaktdaten des IT-Sicherheitsbeauftragten sind der Bundesnetzagentur mitzuteilen. Auf Anfrage soll der IT-Sicherheitsbeauftragte der Bundesnetzagentur insbesondere zu folgenden Punkten unverzüglich Auskunft geben können: Umsetzungsstand der Anforderungen aus dem vorliegenden IT-Sicherheitskatalog Aufgetretene Sicherheitsvorfälle sowie Art und Umfang evt. hierdurch hervorgerufener Auswirkungen Ursache aufgetretener Sicherheitsvorfälle sowie Maßnahmen zu deren Behebung und zukünftigen Vermeidung Zudem soll der IT-Sicherheitsbeauftragte sicherstellen, dass der Betreiber geeignet an relevante Kommunikationsinfrastrukturen für Lageberichte und Warnmeldungen sowie zur Bewältigung großflächiger IKT-Krisen angebunden ist. Dies kann zum Beispiel durch Teilnahme des Betreibers am UP KRITIS erfolgen (www.upkritis.de). VI. Geeignete Auswahl konkreter Maßnahmen Durch die beispielhafte Auflistung von Controls in ISO/IEC und DIN SPEC werden abstrakt Maßnahmenbereiche festgelegt, für deren Umsetzung konkrete Maßnahmen festzulegen, zu implementieren und deren nachhaltige Einhaltung sicherzustellen sind. Hierfür sind im ISMS geeignete Vorkehrungen zu treffen. Dabei kann grundsätzlich auf den für den jeweiligen Anwendungsbereich dokumentierten Stand der Technik in der für die Erfüllung der jeweiligen Schutzziele geeigneten Ausprägung zurückgegriffen werden. Soweit dies 15

16 nicht möglich ist, oder aus anderen Gründen abweichende Maßnahmen getroffen werden, ist konkret zu belegen, dass die jeweiligen IKT-Schutzziele dennoch erreicht werden. 16

17 F. Sicherheitskategorien und Maßnahmen Im Folgenden wird hinsichtlich der Sicherheitskategorien und Maßnahmen auf die DIN ISO/IEC und die DIN SPEC in der jeweils geltenden Fassung verwiesen. Es handelt sich also um dynamische Verweisungen, die entsprechende Novellierungen berücksichtigen. Die Bundesnetzagentur behält sich vor, etwaige Anpassungen der genannten DIN- Normen in Bezug auf ihre Anwendbarkeit in regelmäßigen Abständen zu überprüfen. Ferner schließt die hier vorgenommene Verweistechnik andere, hier nicht genannte, aber im Rahmen des Informationssicherheits-Managements identifizierte Ziele und Maßnahmen nicht aus. Entscheidend für den Umgang mit den Verweisungen und die Umsetzung der sich aus diesem Katalog ergebenden Anforderungen an die IT-Sicherheit ist, diese insbesondere im Hinblick auf die Netzsteuerungsdienlichkeit des betroffenen TK- oder EDV-Systems anzuwenden. Das heißt, die Maßnahmen, auf die im Folgenden verwiesen wird, sind nicht per se ungeprüft umzusetzen, sondern immer in Abhängigkeit von ihrer Bedeutung für die Sicherheit der in Abschnitt D beschriebenen Systeme. I. Sicherheitsleitlinie Die Maßnahmenziele sowie die Inhalte der DIN ISO/IEC Abschnitt 5 sind entsprechend anzuwenden. II. Organisation der Informationssicherheit Die Maßnahmenziele sowie die Inhalte der DIN ISO/IEC Abschnitt 6 sind entsprechend anzuwenden. Die Erweiterungen für die Energieversorgung durch die Punkte 6.1.6, 6.1.7, 6.2.1, und der DIN SPEC sind zu berücksichtigen. III. Management von organisationseigenen Werten Die Maßnahmenziele sowie die Inhalte der DIN ISO/IEC Abschnitt 7 sind entsprechend anzuwenden. Die Erweiterungen für die Energieversorgung durch die Punkte 7.1.1, und der DIN SPEC sind zu berücksichtigen. IV. Personalsicherheit Die Maßnahmenziele sowie die Inhalte der DIN ISO/IEC Abschnitt 8 sind entsprechend anzuwenden. Die Erweiterungen für die Energieversorgung durch die Punkte 8.1.1, 8.1.2, und der DIN SPEC sind zu berücksichtigen. 17

18 V. Physische und umgebungsbezogene Sicherheit Die Maßnahmenziele sowie die Inhalte der DIN ISO/IEC Abschnitt 9 sind entsprechend anzuwenden. Die Erweiterungen für die Energieversorgung durch die Punkte 9.1.1, 9.1.2, 9.1.7, 9.1.8, 9.1.9, 9.2.1, 9.2.2, 9.2.3, und 9.3 der DIN SPEC sind zu berücksichtigen. VI. Betriebs- und Kommunikationsmanagement Die Maßnahmenziele sowie die Inhalte der DIN ISO/IEC Abschnitt 10 sind entsprechend anzuwenden. Die Erweiterungen für die Energieversorgung durch die Punkte , ,10.4.1,10.4.2, , , , und der DIN SPEC sind zu berücksichtigen. VII. Zugangskontrolle Die Maßnahmenziele sowie die Inhalte der DIN ISO/IEC Abschnitt 11 sind entsprechend anzuwenden. Die Erweiterungen für die Energieversorgung durch die Punkte , , , , und der DIN SPEC sind zu berücksichtigen. VIII. Beschaffung, Entwicklung und Wartung von Informationssystemen Die Maßnahmenziele sowie die Inhalte der DIN ISO/IEC Abschnitt 12 sind entsprechend anzuwenden. Die Erweiterungen für die Energieversorgung durch die Punkte und der DIN SPEC sind zu berücksichtigen. IX. Umgang mit Informationssicherheitsvorfällen Die Maßnahmenziele sowie die Inhalte der DIN ISO/IEC Abschnitt 13 sind entsprechend anzuwenden. X. Sicherstellung des Geschäftsbetriebes (Business Continuity Management) Die Maßnahmenziele sowie die Inhalte der DIN ISO/IEC Abschnitt 14 sind entsprechend anzuwenden. Die Erweiterungen für die Energieversorgung durch die Punkte und 14.2 der DIN SPEC sind zu berücksichtigen. 18

19 XI. Einhaltung von Vorgaben (Compliance) Die Maßnahmenziele sowie die Inhalte der DIN ISO/IEC Abschnitt 15 sind entsprechend anzuwenden. Die Erweiterungen für die Energieversorgung durch Punkt der DIN SPEC sind zu berücksichtigen. 19

20 G. Umsetzungsvorgaben I. Zertifizierung Der Netzbetreiber ist verpflichtet die Konformität seines ISMS mit den Anforderungen der DIN ISO/IEC durch ein Zertifikat zu belegen. Die Zertifizierung muss durch eine unabhängige und für die Zertifizierung nach DIN ISO/IEC akkreditierte Stelle durchgeführt werden. Eine Übersicht akkreditierter Stellen zur Zertifizierung nach DIN ISO/IEC kann auf der Internetseite der deutschen Akkreditierungsstelle (DAkkS) abgerufen werden. II. Umsetzungsfristen Die Anforderungen des vorliegenden IT-Sicherheitskataloges sind durch die betroffenen Netzbetreiber bis zum xx.xx.xxxx [1 Jahr nach Veröffentlichung] umzusetzen. Der IT-Sicherheitsbeauftragte ist der Bundesnetzagentur bis zum xx.xx.xxxx [innerhalb von zwei Monaten nach Veröffentlichung] mitzuteilen. Die Meldung des IT- Sicherheitsbeauftragten erfolgt per an die Adresse: [IT- Für die Meldung des IT-Sicherheitsbeauftragten ist, das auf der Internetseite der Bundesnetzagentur bereitgestellte Formular zu verwenden. 20

21 H. Literaturverzeichnis BDEW BDEW; Oestereichs E-Wirtschaft: Ausführungshinweise zur Anwendung des Whitepaper Anforderungen an sichere Steuerungs- und Telekommunikationssysteme : Oestereichs Energie und bdew Best Practice Papier. Version 1.0 Wien und Berlin: BSI1 BSI: BSI-Standard 100-1: Managementsysteme für Informationssicherheit (ISMS). Version 1.5, https://www.bsi.bund.de/de/publikationen/bsi_standard/it_grundschutzstandards. html, 2008, BSI2 BSI: BSI-Standard 100-2: IT-Grundschutz-Vorgehensweise. Version 2.0, https://www.bsi.bund.de/de/publikationen/bsi_standard/it_grundschutzstandards. html, 2008, DIN DIN; DIN ISO/IEC 27001: Informationstechnik IT-Sicherheitsverfahren Informationssicherheits-Managementsysteme Anforderungen (ISO/IEC 27001:2005). Berlin: Beuth Verlag,

IT-Sicherheitskatalog gemäß 11 Absatz 1a Energiewirtschaftsgesetz

IT-Sicherheitskatalog gemäß 11 Absatz 1a Energiewirtschaftsgesetz IT-Sicherheitskatalog gemäß 11 Absatz 1a Energiewirtschaftsgesetz Stand: August 2015 Inhaltsverzeichnis A. EINLEITUNG... 3 B. RECHTLICHE GRUNDLAGEN... 4 C. SCHUTZZIELE... 5 D. GELTUNGSBEREICH... 6 E. SICHERHEITSANFORDERUNGEN...

Mehr

Freigegeben durch Dr. Stefan Krempl Vertraulichkeitsstufe Intern + Vertrieb

Freigegeben durch Dr. Stefan Krempl Vertraulichkeitsstufe Intern + Vertrieb Zum Geltungsbereich einer ISO/IEC ISO 27001 Zertifizierung für Energiever- sorger unter Berücksichtigung der ISO/IEC TR 27019, den Vorgaben der IT- Sicherheitsgesetzes und des IT- Sicherheitskataloges

Mehr

IT-Sicherheit in der Energiewirtschaft

IT-Sicherheit in der Energiewirtschaft IT-Sicherheit in der Energiewirtschaft Sicherer und gesetzeskonformer IT-Systembetrieb Dr. Joachim Müller Ausgangssituation Sichere Energieversorgung ist Voraussetzung für das Funktionieren unseres Gemeinwesens

Mehr

Sicherer Systembetrieb in der Energiewirtschaft. Worum es geht zertifiziert und grundlegend. Von der Analyse bis zur Zertifizierung.

Sicherer Systembetrieb in der Energiewirtschaft. Worum es geht zertifiziert und grundlegend. Von der Analyse bis zur Zertifizierung. Sicherer Systembetrieb in der Energiewirtschaft. Von der Analyse bis zur Zertifizierung. Worum es geht zertifiziert und grundlegend In Industriestaaten ist das gesamte Leben von einer sicheren Energieversorgung

Mehr

Worum es geht. zertifiziert und grundlegend

Worum es geht. zertifiziert und grundlegend Sicherer Systembetrieb in der Energiewirtschaft. Von der Analyse bis zur Zertifizierung. Worum es geht zertifiziert und grundlegend In Industrie staaten ist das gesamte Leben von einer sicheren Energie

Mehr

Robert Grey, Symposium NLT / IT, Bautzen, 22. September 2015 Im Dschungel der IT-Sicherheitsrichtlinien Was sollten Energieversorgungsunternehmen

Robert Grey, Symposium NLT / IT, Bautzen, 22. September 2015 Im Dschungel der IT-Sicherheitsrichtlinien Was sollten Energieversorgungsunternehmen Robert Grey, Symposium NLT / IT, Bautzen, 22. September 2015 Im Dschungel der IT-Sicherheitsrichtlinien Was sollten Energieversorgungsunternehmen wissen? September 24, 2015 Slide 1 Über den Drucker ins

Mehr

IPS-ENERGY ISMS Unterstützung für Information Security Management Systeme. 2015 IPS GmbH

IPS-ENERGY ISMS Unterstützung für Information Security Management Systeme. 2015 IPS GmbH IPS-ENERGY ISMS Unterstützung für Information Security Management Systeme Inhalt Zur Relevanz von ISMS für EVUs Übersicht Kritische Infrastrukturen 11 EnWG BSI-Standards 100-x Was ist ein ISMS? Unterstützung

Mehr

ITK Sicherheitsgesetz Umsetzung mit verinice.pro. verinice.xp- Grundschutztag 15.09.2015

ITK Sicherheitsgesetz Umsetzung mit verinice.pro. verinice.xp- Grundschutztag 15.09.2015 ITK Sicherheitsgesetz Umsetzung mit verinice.pro verinice.xp- Grundschutztag 15.09.2015 Überblick Kurze Vorstellung des IT-Sicherheitsgesetzes Konkretisierung des Gesetzes für Energieversorger Abbildung

Mehr

Informationssicherheit in der Energieversorgung

Informationssicherheit in der Energieversorgung FNN-/DVGW-Hinweis Informationssicherheit in der Energieversorgung Rechtliche Einordnung und Hilfestellungen für die Umsetzung Dezember 2015 in Kooperation mit Impressum Forum Netztechnik / Netzbetrieb

Mehr

Einführung eines ISMS nach ISO 27001:2013

Einführung eines ISMS nach ISO 27001:2013 Einführung eines ISMS nach ISO 27001:2013 VKU-Infotag: Anforderungen an die IT-Sicherheit (c) 2013 SAMA PARTNERS Business Solutions Vorstellung Olaf Bormann Senior-Consultant Informationssicherheit Projekterfahrung:

Mehr

Seminareinladung - Netzbetrieb & IT -

Seminareinladung - Netzbetrieb & IT - Becker Büttner Held Consulting AG Pfeuferstraße 7 81373 München Seminareinladung - Netzbetrieb & IT - Unser Az.: 001689-14 München, 25.03.2014 (Bitte stets angeben.) - Seminareinladung: IT-Sicherheitskatalog,

Mehr

2. Forschungstag IT-Sicherheit NRW nrw-units. Informationssicherheit in der Energiewirtschaft

2. Forschungstag IT-Sicherheit NRW nrw-units. Informationssicherheit in der Energiewirtschaft 2 2. Forschungstag IT-Sicherheit NRW nrw-units 15. Juni 2015 Hochschule Niederrhein Informationssicherheit in der Energiewirtschaft 3 Informationssicherheit in der Energiewirtschaft 1. Sicherheit der Stromversorgung

Mehr

ESN expert-veranstaltung Krisenmanagement im EVU

ESN expert-veranstaltung Krisenmanagement im EVU ESN expert-veranstaltung Krisenmanagement im EVU Krisenmanagement und ISMS Erfurt, 17.06.2015 Schlagworte ISMS- Energiewirtschaftsgesetz IT-Sicherheit BSI-Grundschutzkataloge Krisenmanagement Informationssicherheitsmanagementsystem

Mehr

Amtliches Mitteilungsblatt

Amtliches Mitteilungsblatt Nr. 13/12 Amtliches Mitteilungsblatt der HTW Berlin Seite 119 13/12 26. April 2012 Amtliches Mitteilungsblatt Seite Grundsätze der Informationssicherheit der HTW Berlin vom 18. April 2012.................

Mehr

Neue gesetzliche Anforderungen an Stadtwerke: Mindestanforderungen für die IT-Sicherheit

Neue gesetzliche Anforderungen an Stadtwerke: Mindestanforderungen für die IT-Sicherheit Neue gesetzliche Anforderungen an Stadtwerke: Mindestanforderungen für die IT-Sicherheit smartoptimo GmbH & Co. KG Luisenstraße 20 49074 Osnabrück Telefon 0541.600680-0 Telefax 0541.60680-12 info@smartoptimo.de

Mehr

Leitfaden zum sicheren Betrieb von Smart Meter Gateways

Leitfaden zum sicheren Betrieb von Smart Meter Gateways Leitfaden zum sicheren Betrieb von Smart Meter Gateways Wer Smart Meter Gateways verwaltet, muss die IT-Sicherheit seiner dafür eingesetzten Infrastruktur nachweisen. Diesen Nachweis erbringt ein Gateway-

Mehr

Richtlinie zur Informationssicherheit T-Systems Multimedia Solutions

Richtlinie zur Informationssicherheit T-Systems Multimedia Solutions Richtlinie zur Informationssicherheit T-Systems Multimedia Solutions Autor: Frank Schönefeld Gültig ab: 23.03.2015 / Ersetzte Ausgabe: 29.05.2012 Seite 1 von 5 Vorwort Unsere Kunden und Beschäftigten müssen

Mehr

Osnabrück, 29.10.2014

Osnabrück, 29.10.2014 Luisenstraße 20 49074 Osnabrück Name: Durchwahl: Fax: Mail: Daniel Eling 0541.600680-22 0541.600680-12 Daniel.Eling@smartoptimo.de Osnabrück, 29.10.2014 Einladung: Seminar IT-Sicherheitskatalog, BSI-Schutzprofil

Mehr

WHITEPAPER. ISO 27001 Assessment. Security-Schwachstellen und -Defizite erkennen

WHITEPAPER. ISO 27001 Assessment. Security-Schwachstellen und -Defizite erkennen WHITEPAPER ISO 27001 Assessment Security-Schwachstellen und -Defizite erkennen Standortbestimmung Ihrer Informationssicherheit basierend auf dem internationalen Standard ISO 27001:2013 ISO 27001 Assessment

Mehr

ISMS und Sicherheitskonzepte ISO 27001 und IT-Grundschutz

ISMS und Sicherheitskonzepte ISO 27001 und IT-Grundschutz ISMS und Sicherheitskonzepte ISO 27001 und IT-Grundschutz Aufbau eines ISMS, Erstellung von Sicherheitskonzepten Bei jedem Unternehmen mit IT-basierenden Geschäftsprozessen kommt der Informationssicherheit

Mehr

Informationssicherheit (k)eine Frage für Ihr Unternehmen?

Informationssicherheit (k)eine Frage für Ihr Unternehmen? Ziele Informationssicherheit (k)eine Frage für Ihr Unternehmen? SSV bei connect Schnelligkeit, Sicherheit, Verfügbarkeit Vortrag von Ingrid Dubois, dubois it-consulting gmbh Informationssicherheit: Ziele

Mehr

Informationstechnische Anforderungen zur Gewährleistung der Netzstabilität im zukünftigen Stromnetz

Informationstechnische Anforderungen zur Gewährleistung der Netzstabilität im zukünftigen Stromnetz Informationstechnische Anforderungen zur Gewährleistung der Netzstabilität im zukünftigen Stromnetz Nachhaltige Sicherstellung der Einhaltung grundlegender Anforderungen Hans Honecker IT-Sicherheit und

Mehr

BYOD und ISO 27001. Sascha Todt. Bremen, 23.11.2012

BYOD und ISO 27001. Sascha Todt. Bremen, 23.11.2012 BYOD und ISO 27001 Sascha Todt Bremen, 23.11.2012 Inhalt Definition BYOD Einige Zahlen zu BYOD ISO 27001 Fazit Planung & Konzeption Assets Bedrohungen/Risiken Maßahmen(ziele) BYOD Definition (Bring Your

Mehr

IT-Grundschutz nach BSI 100-1/-4

IT-Grundschutz nach BSI 100-1/-4 IT-Grundschutz nach BSI 100-1/-4 Marko Rogge www.marko-rogge.de www.leiner-denzer.com 100-1, 100-2, 100-3, 100-4 100-1 100-2 Managementsysteme für Informationssicherheit (ISMS, Information Security Management

Mehr

VDE-Symposium Zertifizierung des Leitstellensystems nach ISO auf Basis IT Grundschutz Restricted Siemens AG 2014 All rights reserved.

VDE-Symposium Zertifizierung des Leitstellensystems nach ISO auf Basis IT Grundschutz Restricted Siemens AG 2014 All rights reserved. 03.09.2014 VDE-Symposium Zertifizierung des Leitstellensystems nach ISO auf Basis IT Grundschutz Zertifizierung des Leitstellensystems Agenda Die ISO - Normen 27001/2- Standards; Grundlagen und Auswirkungen

Mehr

IS-Revision in der Verwaltung

IS-Revision in der Verwaltung IS-Revision in der Verwaltung Dr. Gerhard Weck INFODAS GmbH, Köln 27. November 2009 Inhalt Nationaler Plan zur Sicherung der Informationsinfrastrukturen (NPSI) Umsetzungsplan KRITIS Umsetzungsplan Bund

Mehr

Prüfkatalog nach ISO/IEC 27001

Prüfkatalog nach ISO/IEC 27001 Seite 1 Prüfkatalog nach ISO/IEC 27001 Zum Inhalt Konzeption, Implementierung und Aufrechterhaltung eines Informationssicherheits Managementsystems sollten sich an einem Prüfkatalog orientieren, der sowohl

Mehr

Hinweise zur Umsetzung und den Obliegenheiten im Rahmen von Outsourcing in Kreditinstituten.

Hinweise zur Umsetzung und den Obliegenheiten im Rahmen von Outsourcing in Kreditinstituten. AT 9 der MaRisk Hinweise zur Umsetzung und den Obliegenheiten im Rahmen von Outsourcing in Kreditinstituten. MC-Bankrevision, www.mc-bankrevision.de Stand 18.04.2013 1 Outsourcing nach AT 9 der MaRisk

Mehr

IT-Grundschutz - Informationssicherheit ohne Risiken & Nebenwirkungen

IT-Grundschutz - Informationssicherheit ohne Risiken & Nebenwirkungen IT-Grundschutz - Informationssicherheit ohne Risiken & Nebenwirkungen Jonas Paulzen Bundesamt für Sicherheit in der Informationstechnik Grundlagen der Informationssicherheit und IT-Grundschutz 2. IT-Grundschutz-Tag

Mehr

Maintenance & Re-Zertifizierung

Maintenance & Re-Zertifizierung Zertifizierung nach Technischen Richtlinien Maintenance & Re-Zertifizierung Version 1.2 vom 15.06.2009 Bundesamt für Sicherheit in der Informationstechnik Postfach 20 03 63 53133 Bonn Tel.: +49 22899 9582-0

Mehr

Auswirkungen des IT-Sicherheitsgesetzes für Krankenhäuser. Umsetzungshinweise

Auswirkungen des IT-Sicherheitsgesetzes für Krankenhäuser. Umsetzungshinweise Ziele Auswirkungen des IT-Sicherheitsgesetzes für Krankenhäuser Umsetzungshinweise dubois it-consulting gmbh, Holzhofstr. 10, 55116 Mainz, +49 6131 2150691 oder +49 177 4104045, ingrid.dubois@dubois-it-consulting.de

Mehr

DATEV eg, 90329 Nürnberg. Betrieb der DATEV Rechenzentren. Anforderungsprofil Business Continuity

DATEV eg, 90329 Nürnberg. Betrieb der DATEV Rechenzentren. Anforderungsprofil Business Continuity Z E R T I F I K A T Die Zertifizierungsstelle der T-Systems bestätigt hiermit der, für den Betrieb der DATEV Rechenzentren (Standorte DATEV I, II und III) die erfolgreiche Umsetzung und Anwendung der Sicherheitsmaßnahmen

Mehr

Peter Piwecki und Robert Grey, Webinar, 17. Februar 2015 Im Dschungel der IT-Sicherheitsrichtlinien Was sollten Energieversorgungsunternehmen

Peter Piwecki und Robert Grey, Webinar, 17. Februar 2015 Im Dschungel der IT-Sicherheitsrichtlinien Was sollten Energieversorgungsunternehmen Peter Piwecki und Robert Grey, Webinar, 17. Februar 2015 Im Dschungel der IT-Sicherheitsrichtlinien Was sollten Energieversorgungsunternehmen wissen? February 17, 2015 Slide 1 Agenda Aktueller Lagebericht

Mehr

Technische Aspekte der ISO-27001

Technische Aspekte der ISO-27001 ISO/IEC 27001 - Aktuelles zur IT-Sicherheit Technische Aspekte der ISO-27001 Donnerstag, 19. September 2013, 14.00-18.30 Uhr Österreichische Computer Gesellschaft. 1010 Wien Überblick Norm Anhang A normativ

Mehr

Sicherheitsnachweise für elektronische Patientenakten

Sicherheitsnachweise für elektronische Patientenakten Copyright 2000-2011, AuthentiDate International AG Sicherheitsnachweise für elektronische Patientenakten Christian Schmitz Christian Schmitz Copyright 2000-2011, AuthentiDate International AG Seite 2 Systemziele

Mehr

Software EMEA Performance Tour 2013. 17.-19 Juni, Berlin

Software EMEA Performance Tour 2013. 17.-19 Juni, Berlin Software EMEA Performance Tour 2013 17.-19 Juni, Berlin In 12 Schritten zur ISo27001 Tipps & Tricks zur ISO/IEC 27001:27005 Gudula Küsters Juni 2013 Das ISO Rennen und wie Sie den Halt nicht verlieren

Mehr

Datenschutz und IT-Sicherheit. Smart Meter CA & Gateway Administration. SmartMeterCA &

Datenschutz und IT-Sicherheit. Smart Meter CA & Gateway Administration. SmartMeterCA & Datenschutz und IT-Sicherheit Smart Meter CA & Gateway Administration SmartMeterCA & Gateway Administration 4 Projekte 4 gute Ideen für den Smart Meter Gateway Administrator Unsere vier Projekte im Überblick

Mehr

Was muss ich noch für meine Zertifizierung tun, wenn meine Organisation. organisiert

Was muss ich noch für meine Zertifizierung tun, wenn meine Organisation. organisiert ? organisiert Was muss ich noch für meine Zertifizierung tun, wenn meine Organisation ist? Sie müssen ein QM-System: aufbauen, dokumentieren, verwirklichen, aufrechterhalten und dessen Wirksamkeit ständig

Mehr

IT-Sicherheitspolitik. der teilnehmenden Hochschulen und Forschungseinrichtungen in Schleswig-Holstein

IT-Sicherheitspolitik. der teilnehmenden Hochschulen und Forschungseinrichtungen in Schleswig-Holstein der teilnehmenden Hochschulen und Forschungseinrichtungen in Schleswig-Holstein Teilnehmende Institutionen Flensburg Universität Flensburg Christian- Albrechts- Universität IFM-GEOMAR Kiel Muthesius Kunsthochschule

Mehr

Sicherheitstechnische Qualifizierung (SQ), Version 10.0 Security Assurance Level SEAL-3

Sicherheitstechnische Qualifizierung (SQ), Version 10.0 Security Assurance Level SEAL-3 Die Zertifizierungsstelle der TÜV Informationstechnik GmbH bescheinigt hiermit dem Unternehmen RWE Effizienz GmbH Flamingoweg 1 44139 Dortmund für das IT-System RWE eoperate IT Services die Erfüllung aller

Mehr

Kooperationsgruppe Informationssicherheit des IT-PLR. Leitlinie für die Informationssicherheit. in der öffentlichen Verwaltung

Kooperationsgruppe Informationssicherheit des IT-PLR. Leitlinie für die Informationssicherheit. in der öffentlichen Verwaltung Kooperationsgruppe Informationssicherheit des IT-PLR Leitlinie für die Informationssicherheit in der öffentlichen Verwaltung - Umsetzungsplan - Stand 19.02.2013 Version 1.6 (10. IT-Planungsrat Beschluss

Mehr

Dr. Andreas Gabriel Ethon GmbH 24.09.2015

Dr. Andreas Gabriel Ethon GmbH 24.09.2015 Wie meistern Sie nachhaltig die Kann Ihnen eine Zertifizierung ISO 27001 helfen? Dr. Andreas Gabriel Ethon GmbH KURZE VORSTELLUNG 2 Profil der Ethon GmbH; Ulm Über die Ethon GmbH Informationssicherheit

Mehr

IT-Grundschutz Informationssicherheit ohne Risiken und Nebenwirkungen

IT-Grundschutz Informationssicherheit ohne Risiken und Nebenwirkungen IT-Grundschutz Informationssicherheit ohne Risiken und Nebenwirkungen Bundesamt für Sicherheit in der Informationstechnik Grundlagen der Informationssicherheit und IT-Grundschutz IT-Grundschutz-Tag 09.10.2013

Mehr

»Einführung des ISMS nach ISO 27001 beim Energieversorger«

»Einführung des ISMS nach ISO 27001 beim Energieversorger« Konzept: Befragung und White Paper»Einführung des ISMS nach ISO 27001 beim Energieversorger«Fabian Wohlfart Andreas Hänel Überblick 1 Die Energieforen 2 Begründung und Ziele des IT-Sicherheitskataloges

Mehr

Einstieg in ein kommunales Informationssicherheits- Managementsystem (ISMS)

Einstieg in ein kommunales Informationssicherheits- Managementsystem (ISMS) 32.Forum Kommunikation und Netze 25. und 26. März 2015 in Rotenburg a. d. Fulda Einstieg in ein kommunales Informationssicherheits- Managementsystem (ISMS) Stefan Wojciechowski IT-Sicherheitsbeauftragter

Mehr

Datenschutz und IT-Sicherheit in. Smart Meter Systemen. Unser Angebot für Smart Meter Gateway Administrator und Smart Meter CA

Datenschutz und IT-Sicherheit in. Smart Meter Systemen. Unser Angebot für Smart Meter Gateway Administrator und Smart Meter CA Datenschutz und IT-Sicherheit in Smart Meter Systemen Unser Angebot für Smart Meter Gateway Administrator und Smart Meter CA Smart, sicher und zertifiziert Das Energiekonzept der Bundesregierung sieht

Mehr

Sicherheitstechnische Qualifizierung (SQ), Version 10.0 Security Assurance Level SEAL-5

Sicherheitstechnische Qualifizierung (SQ), Version 10.0 Security Assurance Level SEAL-5 Die Zertifizierungsstelle der TÜV Informationstechnik GmbH bescheinigt hiermit dem Unternehmen e-netz Südhessen GmbH & Co. KG Dornheimer Weg 24 64293 Darmstadt für das IT System Querverbundleitstelle Darmstadt

Mehr

Informationsrisikomanagement und Auslagerungsmanagement, Erfahrungen aus 44 KWG Prüfungen

Informationsrisikomanagement und Auslagerungsmanagement, Erfahrungen aus 44 KWG Prüfungen Informationsveranstaltung IT-Aufsicht bei Banken Informationsrisikomanagement und Auslagerungsmanagement, Erfahrungen aus 44 KWG Prüfungen Axel Leckner - Informationsveranstaltung IT-Aufsicht bei 1 Banken

Mehr

Aktuelles aus Rechtsprechung und Behördenpraxis zum EnWG und den Rechtsverordnungen

Aktuelles aus Rechtsprechung und Behördenpraxis zum EnWG und den Rechtsverordnungen Aktuelles aus Rechtsprechung und Behördenpraxis zum EnWG und den Rechtsverordnungen Messsysteme und IT-Sicherheit Weimar, 04.09.2014 1 Kurzprofil BBH Becker Büttner Held gibt es seit 1991. Bei uns arbeiten

Mehr

Wo erweitert das IT-Sicherheitsgesetz bestehende Anforderungen und wo bleibt alles beim Alten?

Wo erweitert das IT-Sicherheitsgesetz bestehende Anforderungen und wo bleibt alles beim Alten? Wo erweitert das IT-Sicherheitsgesetz bestehende Anforderungen und wo bleibt alles beim Alten? Hamburg/Osnabrück/Bremen 18./25./26. November 2014 Gerd Malert Agenda 1. Kernziele des Gesetzesentwurfes 2.

Mehr

Dieter Börner Management-Service. Quelle : Bundesamt für Sicherheit in der Informationstechnik

Dieter Börner Management-Service. Quelle : Bundesamt für Sicherheit in der Informationstechnik Dieter Börner Management-Service Am Bahnhof 12 96328 Küps Tel. 09264 91323 Fax 09264 91324 Das Informationssicherheits- Managementsystem nach ISO/IEC 27001 Informationstechnik - IT-Sicherheitsverfahren

Mehr

Kriterienkatalog und Vorgehensweise für Bestätigungen und Konformitätsnachweise gemäß Signaturgesetz. datenschutz cert GmbH Version 1.

Kriterienkatalog und Vorgehensweise für Bestätigungen und Konformitätsnachweise gemäß Signaturgesetz. datenschutz cert GmbH Version 1. Kriterienkatalog und Vorgehensweise für Bestätigungen und Konformitätsnachweise gemäß Signaturgesetz (SigG) datenschutz cert GmbH Version Inhaltsverzeichnis Kriterienkatalog und Vorgehensweise für Bestätigungen

Mehr

Wie viel IT-Sicherheit braucht mein Unternehmen? Was ist IT-Sicherheit? Prozess Chefsache Management-Tool Notwendigkeit Warum IT-Sicherheit? Gesetze Rechtsverordnungen Kunden Öffentlichkeit Geschäftspartner

Mehr

ISMS Teil 3 Der Startschuss

ISMS Teil 3 Der Startschuss ISMS Teil 3 Der Startschuss Nachdem das TOP-Managenment die grundsätzliche Entscheidung getroffen hat ein ISMS einzuführen, kann es nun endlich losgehen. Zu Beginn sollte Sie noch die Grundlagen des ISMS

Mehr

IT-Sicherheitskatalog der BNetzA Informationssicherheit bei Netzbetreibern

IT-Sicherheitskatalog der BNetzA Informationssicherheit bei Netzbetreibern IT-Sicherheitskatalog der BNetzA Informationssicherheit bei Netzbetreibern Die Energiewirtschaft wird zunehmend digital. Netzbetreiber sind bereits heute und zukünftig noch stärker auf IKT-Lösungen zur

Mehr

IT-Grundschutz. IT-Grundschutz. Dipl.-Inf. (FH) Thorsten Gerlach

IT-Grundschutz. IT-Grundschutz. Dipl.-Inf. (FH) Thorsten Gerlach IT-Grundschutz IT-Grundschutz modellieren modellieren Dipl.-Inf. (FH) Thorsten Gerlach IT-Grundschutz / Überblick IT- Grundschutzhandbuch (GSHB) betrachtet im Allgemeinen folgende Merkmale: Infrastruktur

Mehr

Auswirkungen des IT-Sicherheitsgesetzes für KRITIS in der Wirtschaft

Auswirkungen des IT-Sicherheitsgesetzes für KRITIS in der Wirtschaft Sicherheitskooperation Cybercrime am 23. und 24.09.2015 in Hannover Auswirkungen des IT-Sicherheitsgesetzes für KRITIS in der Wirtschaft Stefan Menge Freies Institut für IT-Sicherheit e. V. (IFIT) Freies

Mehr

Datenschutz. und Synergieeffekte. Verimax GmbH. Blatt 1. Autor:Stefan Staub Stand

Datenschutz. und Synergieeffekte. Verimax GmbH. Blatt 1. Autor:Stefan Staub Stand Datenschutz und Synergieeffekte Verimax GmbH Autor:Stefan Staub Stand Blatt 1 Nicht weil es schwer ist, wagen wir es nicht, sondern weil wir es nicht wagen, ist es schwer. Lucius Annaeus Seneca röm. Philosoph,

Mehr

Informationssicherheit zentral koordiniert IT-Sicherheitsbeauftragter

Informationssicherheit zentral koordiniert IT-Sicherheitsbeauftragter Informationssicherheit zentral koordiniert IT-Sicherheitsbeauftragter Informationssicherheit lösungsorientiert Informationssicherheit ist für Unternehmen mit IT-basierten Prozessen grundlegend: Neben dem

Mehr

......... http://www.r-tec.net

......... http://www.r-tec.net Digital unterschrieben von Marek Stiefenhofer Date: 2014.09.09 09:18:41 MESZ Reason: (c) 2014, r-tec IT Systeme GmbH.......... r-tec IT Systeme GmbH 09.09.2014 Bedrohungslage 2014 SEITE 3 2010: Stuxnet

Mehr

Einführung eines ISMS nach ISO 27001. Kai Wittenburg, Geschäftsführer/CEO, ISO27001-Auditor (BSI)

Einführung eines ISMS nach ISO 27001. Kai Wittenburg, Geschäftsführer/CEO, ISO27001-Auditor (BSI) Einführung eines ISMS nach ISO 27001 Kai Wittenburg, Geschäftsführer/CEO, ISO27001-Auditor (BSI) Was ist Informationssicherheit? Vorhandensein von Integrität Vertraulichkeit und Verfügbarkeit in einem

Mehr

Informationssicherheit

Informationssicherheit Informationssicherheit Dipl.-Kfm., CISA, CISM 2007 RÖVERBRÖNNER Consulting GmbH Das einzige System, welches wirklich sicher ist, ist ausgeschaltet und ausgesteckt, eingesperrt in einem Safe aus Titan,

Mehr

Arbeitshilfe zur Vertraulichkeits-/Integritätsanalyse und Kryptobedarfsanalyse

Arbeitshilfe zur Vertraulichkeits-/Integritätsanalyse und Kryptobedarfsanalyse Arbeitshilfe zur Vertraulichkeits-/Integritätsanalyse und Kryptobedarfsanalyse Verfasser: BSI Ref. 113 Version: 1.0 Stand: 26. Januar 2009 Bundesamt für Sicherheit in der Informationstechnik Postfach 20

Mehr

IT-Sicherheitsgesetz und IT- Sicherheitskatalog Anforderungen an Betreiber kritischer Infrastrukturen

IT-Sicherheitsgesetz und IT- Sicherheitskatalog Anforderungen an Betreiber kritischer Infrastrukturen IT-Sicherheitsgesetz und IT- Sicherheitskatalog Anforderungen an Betreiber kritischer Infrastrukturen 5. Fachtagung Infrastruktursicherheit des KKI e. V. IT-SICHERHEIT UND KRITISCHE I NFRASTRUKTUREN 10.

Mehr

Sicherheitstechnische Qualifizierung (SQ), Version 10.0 Security Assurance Level SEAL-3

Sicherheitstechnische Qualifizierung (SQ), Version 10.0 Security Assurance Level SEAL-3 Die Zertifizierungsstelle der TÜV Informationstechnik GmbH bescheinigt hiermit dem Unternehmen Deutsche Telekom AG Products & Innovation T-Online-Allee 1 64295 Darmstadt für das IT-System Developer Garden

Mehr

Risikogrundsätze Version 2, Stand 10/2011

Risikogrundsätze Version 2, Stand 10/2011 Version 2, Stand 10/2011 1. RISIKOGRUNDSÄTZE 1.1 Verantwortung des Vorstandes Der Vorstand der Schoellerbank Invest AG ist für die ordnungsgemäße Geschäftsorganisation und deren Weiterentwicklung verantwortlich.

Mehr

Muster Nachweisdokumentation und Sicherheitsbewertungsbericht

Muster Nachweisdokumentation und Sicherheitsbewertungsbericht Muster Nachweisdokumentation und Sicherheitsbewertungsbericht auf Basis der "Verordnung (EG) Nr. 352/2009 der Kommission vom 24. April 2009 über die Festlegung einer gemeinsamen Sicherheitsmethode für

Mehr

ISO 27000 mit oder ohne BSI-Grundschutz? Oliver Müller

ISO 27000 mit oder ohne BSI-Grundschutz? Oliver Müller ISO 27000 mit oder ohne BSI-Grundschutz? Oliver Müller Agenda ISO 27001+BSI IT Grundschutz ISO 27001 nativ Eignung Fazit http://www.bsi.bund.de Grundsätzlicher Analyseansatz Prozess benötigt Anwendungen

Mehr

Datenschutz- und Datensicherheitskonzept der e.consult AG (Kurzversion)

Datenschutz- und Datensicherheitskonzept der e.consult AG (Kurzversion) Datenschutz- und Datensicherheitskonzept der e.consult AG (Kurzversion) I. Ziel des Datenschutzkonzeptes Das Datenschutzkonzept stellt eine zusammenfassende Dokumentation der datenschutzrechtlichen Aspekte

Mehr

Tabelle: Maßnahmen und Datenschutz-Kontrollziele zu Baustein 1.5 Datenschutz

Tabelle: Maßnahmen und Datenschutz-Kontrollziele zu Baustein 1.5 Datenschutz Tabelle: Maßn und Datenschutz-Kontrollziele zu Baustein 1.5 Datenschutz (Verweis aus Maß M 7.5) Basierend auf den IT-Grundschutz-Katalogen Version 2006 Stand: November 2006, Stand der Tabelle: 22.08.07

Mehr

Im Stadtwerkeausschuss vom 16.09.2013 wurde auf Anfrage von B 90/DIE GRÜNEN u.a. erläutert:

Im Stadtwerkeausschuss vom 16.09.2013 wurde auf Anfrage von B 90/DIE GRÜNEN u.a. erläutert: Sitzung Stadtwerkeausschuss 25.06.2014 Thema Anfrage zur Sicherheit der Steuerung der Stadtwerke für Strom/Gas/Wasser Anfrage Herr Ramcke (Fraktion Bündnis 90/DIE GRÜNEN) Anfrage im Stadtwerkeausschuss

Mehr

Zertifizierung der IT nach ISO 27001 - Unsere Erfahrungen -

Zertifizierung der IT nach ISO 27001 - Unsere Erfahrungen - Zertifizierung der IT nach ISO 27001 - Unsere Erfahrungen - Agenda Die BDGmbH Gründe für eine ISO 27001 Zertifizierung Was ist die ISO 27001? Projektablauf Welcher Nutzen konnte erzielt werden? Seite 2

Mehr

27001 im Kundendialog. ISO Wertschätzungsmanagement. Wie Wertschätzung profitabel macht und den Kunden glücklich

27001 im Kundendialog. ISO Wertschätzungsmanagement. Wie Wertschätzung profitabel macht und den Kunden glücklich ISO 27001 im Kundendialog Informationssicherheit intern und extern organisieren Juni 2014 Was steckt hinter der ISO/IEC 27001:2005? Die internationale Norm ISO/IEC 27001:2005 beschreibt ein Modell für

Mehr

Umsetzungsverfahren. Inhalt. KMU-Zertifizierung Informationssicherheit

Umsetzungsverfahren. Inhalt. KMU-Zertifizierung Informationssicherheit Umsetzungsverfahren KMU-Zertifizierung Informationssicherheit Inhalt Umsetzungsverfahren... 1 Umsetzungsverfahren zur KMU-Zertifizierung nach OVVI Summary... 2 1. Information Security Policy / IT-Sicherheitsleitlinie...

Mehr

IT-NOTFALL ÜBEN MACHT STARK! PERSICON@night 15. Oktober 2015

IT-NOTFALL ÜBEN MACHT STARK! PERSICON@night 15. Oktober 2015 IT-NOTFALL ÜBEN MACHT STARK! PERSICON@night 15. Oktober 2015 Agenda 1. IT-Notfall üben macht stark! 2. Übungen im Kontext des Notfallmanagements 3. Praxisbeispiel einer Notfallübung 4. Erkenntnisse aus

Mehr

Erstellung eines Sicherheitskonzeptes nach BSI-GS für das Personenstandswesen. Marco Puschmann

Erstellung eines Sicherheitskonzeptes nach BSI-GS für das Personenstandswesen. Marco Puschmann Erstellung eines Sicherheitskonzeptes nach BSI-GS für das Personenstandswesen Marco Puschmann Agenda Kurzportrait HannIT (AöR) Das Personenstandswesen Daten Gesetzliche Rahmenbedingungen (PStV) technische

Mehr

Verfahrensanweisung Umgang mit Beschwerden.doc INHALT

Verfahrensanweisung Umgang mit Beschwerden.doc INHALT INHALT 1 Zweck und Anwendungsbereich 2 2 Begriffe / Definitionen 2 2.1 Definitionen 2 3 Zuständigkeiten 2 4 Verfahrensbeschreibung 3 4.1 Schematische Darstellung Fehler! Textmarke nicht definiert. 4.2

Mehr

Datenschutz und Informationssicherheit 03.09.2015

Datenschutz und Informationssicherheit 03.09.2015 Datenschutz und Informationssicherheit 03.09.2015 Vertrauen in öffentliche Institutionen in Deutschland ist hoch Studie der GfK: Global Trust Report (2015) Staatliche Institutionen führen das Vertrauensranking

Mehr

Das neue IT-Sicherheitsgesetz: Welche Unternehmen sind betroffen? Was ist zu tun?

Das neue IT-Sicherheitsgesetz: Welche Unternehmen sind betroffen? Was ist zu tun? Dipl.-Wirtsch.-Ing. Frank Hallfell Dipl.-Ing.(FH) Günther Orth enbiz gmbh, Kaiserslautern Das neue IT-Sicherheitsgesetz: Welche Unternehmen sind betroffen? Was ist zu tun? IT-Tag Saarbrücken, 16.10.2015

Mehr

secunet SwissIT AG ISMS in der öffentlichen Verwaltung

secunet SwissIT AG ISMS in der öffentlichen Verwaltung secunet SwissIT AG ISMS in der öffentlichen Verwaltung Berlin, 22. November 2010 Agenda 1 Einleitung 2 ISO/IEC 27000er-Normenfamilie 3 ISO 27001 auf der Basis von IT-Grundschutz 4 Einsatz von ISMS in der

Mehr

Datenschutzkonzept. Muster. (Ausschnitt) Datenschutzkonzept. Informationsverbund

Datenschutzkonzept. Muster. (Ausschnitt) Datenschutzkonzept. Informationsverbund Muster (Ausschnitt) Datenschutzkonzept Informationsverbund.. Dokumentinformationen BSI-Konformität und gesetzliche Grundlagen Bausteine Gesetzliche Grundlagen verantwortlich für den Inhalt Name Telefon

Mehr

Sicherheitstechnische Qualifizierung (SQ), Version 10.0 Security Assurance Level SEAL-3

Sicherheitstechnische Qualifizierung (SQ), Version 10.0 Security Assurance Level SEAL-3 Die Zertifizierungsstelle der TÜV Informationstechnik GmbH bescheinigt hiermit dem Unternehmen Agfa HealthCare GmbH Konrad-Zuse-Platz 1-3 53227 Bonn für das IT-System IMPAX/web.Access die Erfüllung aller

Mehr

International anerkannter Standard für IT-Sicherheit: ISO27001 - Umsetzung und Zertifizierung auf der Basis von BSI Grundschutz

International anerkannter Standard für IT-Sicherheit: ISO27001 - Umsetzung und Zertifizierung auf der Basis von BSI Grundschutz AUTOMOTIVE INFOKOM VERKEHR & UMWELT LUFTFAHRT RAUMFAHRT VERTEIDIGUNG & SICHERHEIT International anerkannter Standard für IT-Sicherheit: ISO27001 - Umsetzung und Zertifizierung auf der Basis von BSI Grundschutz

Mehr

IT-Grundschutz IT-Sicherheit ohne Risiken Und Nebenwirkungen

IT-Grundschutz IT-Sicherheit ohne Risiken Und Nebenwirkungen IT-Sicherheit ohne Risiken Und Nebenwirkungen Bundesamt für Sicherheit in der Informationstechnik Grundlagen der Informationssicherheit und 1. -Tag 03.02.2015 Agenda Das BSI Informationssicherheit Definition

Mehr

BCM Schnellcheck. Referent Jürgen Vischer

BCM Schnellcheck. Referent Jürgen Vischer BCM Schnellcheck Referent Jürgen Vischer ISO 9001 ISO 9001 Dokumentation - der Prozesse - der Verantwortlichen - Managementverantwortlichkeit - Verbesserungszyklus - Mitarbeiterschulung & Bewusstsein Datenschutz

Mehr

SiMiS-Kurzcheck zur Informationssicherheit nach ISO/IEC 27001 bzw. Datenschutz nach Bundesdatenschutzgesetz (BDSG)

SiMiS-Kurzcheck zur Informationssicherheit nach ISO/IEC 27001 bzw. Datenschutz nach Bundesdatenschutzgesetz (BDSG) Unternehmen: Branche: Ansprechpartner: Position: Straße: PLZ / Ort: Tel.: Mail: Website: Kontaktdaten Datenschutzbeauftragter: Fax: Sicherheitspolitik des Unternehmens JA NEIN 01. Besteht eine verbindliche

Mehr

Business Continuity Management (BCM) als Managementaufgabe Ein prozessorientierter Ansatz für den IT-Sicherheitsprozess

Business Continuity Management (BCM) als Managementaufgabe Ein prozessorientierter Ansatz für den IT-Sicherheitsprozess Business Continuity Management (BCM) als Managementaufgabe Ein prozessorientierter Ansatz für den IT-Sicherheitsprozess, Projektmanager und Sales Consultant, EMPRISE Process Management GmbH Das Gesetz

Mehr

Lösungen die standhalten.

Lösungen die standhalten. Aufbau eines Information Security Management Systems in der Praxis 14.01.2010, München Dipl. Inform. Marc Heinzmann, ISO 27001 Auditor Lösungen die standhalten. plan42 GmbH Wir sind ein reines Beratungsunternehmen

Mehr

Sicherheit integrierter Gebäudesysteme - Bedrohungsszenarien, Lösungsansätze - Markus Ullmann

Sicherheit integrierter Gebäudesysteme - Bedrohungsszenarien, Lösungsansätze - Markus Ullmann Sicherheit integrierter Gebäudesysteme - Bedrohungsszenarien, Lösungsansätze - Markus Ullmann Bundesamt für Sicherheit in der Informationstechnik (BSI) Connected Living 2013 Agenda Studie: Integrierte

Mehr

Anforderungen an die IT-Sicherheit Sicherheit von Informationen in kritischen Infrastrukturen ein Erfahrungsbericht

Anforderungen an die IT-Sicherheit Sicherheit von Informationen in kritischen Infrastrukturen ein Erfahrungsbericht Anforderungen an die IT-Sicherheit Sicherheit von Informationen in kritischen Infrastrukturen ein Erfahrungsbericht Jörg Kehrmann Datenschutz- und IT-Sicherheitsbeauftragter der Wuppertaler Stadtwerke

Mehr

Informations-Sicherheit mit ISIS12

Informations-Sicherheit mit ISIS12 GPP Projekte gemeinsam zum Erfolg führen www.it-sicherheit-bayern.de Informations-Sicherheit mit ISIS12 GPP Service GmbH & Co. KG Kolpingring 18 a 82041 Oberhaching Tel.: +49 89 61304-1 Fax: +49 89 61304-294

Mehr

Muster mit Beispiel Verifikation des Basis-Sicherheitschecks im Rahmen der Zertifizierung nach ISO 27001 auf der Basis von IT- Grundschutz

Muster mit Beispiel Verifikation des Basis-Sicherheitschecks im Rahmen der Zertifizierung nach ISO 27001 auf der Basis von IT- Grundschutz Muster mit Beispiel Verifikation des Basis-Sicherheitschecks im Rahmen der Zertifizierung nach ISO 27001 auf der Basis von IT- Grundschutz Antragsteller: Zertifizierungskennung: BSI-XXX-XXXX Der Inhalt

Mehr

IT-Grundschutz-Zertifizierung von ausgelagerten Komponenten

IT-Grundschutz-Zertifizierung von ausgelagerten Komponenten Ergänzung zum Zertifizierungsschema Nr. 1 Titel ITGrundschutzZertifizierung von ausgelagerten Komponenten Status Version 1.0 Datum Diese Ergänzung zum Zertifizierungsschema gibt verbindliche Hinweise,

Mehr

Die Beurteilung normativer Managementsysteme

Die Beurteilung normativer Managementsysteme Die Beurteilung normativer Managementsysteme Hanspeter Ischi, Leiter SAS 1. Ziel und Zweck Um die Vertrauenswürdigkeit von Zertifikaten, welche durch akkreditierte Zertifizierungsstellen ausgestellt werden,

Mehr

Governance, Risk & Compliance für den Mittelstand

Governance, Risk & Compliance für den Mittelstand Governance, Risk & Compliance für den Mittelstand Die Bedeutung von Steuerungs- und Kontrollsystemen nimmt auch für Unternehmen aus dem Mittelstand ständig zu. Der Aufwand für eine effiziente und effektive

Mehr

FNN-Hinweis. IT-Sicherheit in Stromnetzen

FNN-Hinweis. IT-Sicherheit in Stromnetzen FNN-Hinweis IT-Sicherheit in Stromnetzen Einordnung bestehender Regeln, Richtlinien und Gesetzesinitiativen März 2015 Impressum Forum Netztechnik / Netzbetrieb im VDE (FNN) Bismarckstraße 33, 10625 Berlin

Mehr

A u f b a u u n d O r g a n i s a t i o n s- s t r u k t u r I n f o r m a t i o n s s i c h e r- h e i t i n G e m e i n d e n

A u f b a u u n d O r g a n i s a t i o n s- s t r u k t u r I n f o r m a t i o n s s i c h e r- h e i t i n G e m e i n d e n Anleitung A u f b a u u n d O r g a n i s a t i o n s- s t r u k t u r I n f o r m a t i o n s s i c h e r- h e i t i n G e m e i n d e n Inhalt 1 Einleitung... 2 2 Zweck der Informationssicherheitsorganisation...

Mehr

2.2. 8b Zentrale Meldestelle für die Sicherheit in der Informationstechnik für die Betreiber kritischer Infrastrukturen

2.2. 8b Zentrale Meldestelle für die Sicherheit in der Informationstechnik für die Betreiber kritischer Infrastrukturen Stellungnahme des Gesamtverbandes der Deutschen Versicherungswirtschaft ID-Nummer 6437280268-55 sowie des Verbandes der Privaten Krankenversicherung zum Referentenentwurf des Bundesministeriums des Innern

Mehr

IT-Sicherheit der Netzleitstelle - Ausweitung auf Smart Meter

IT-Sicherheit der Netzleitstelle - Ausweitung auf Smart Meter IT-Sicherheit der Netzleitstelle - Ausweitung auf Smart Meter Agenda 1) Warum IT-Sicherheit? 2) IT-Sicherheit der Netzleitstelle 3) Ausweitung auf Smart Meter 2 Definition IT-Sicherheit IT-Sicherheit betrifft

Mehr

Security. Voice +41 (0)55 214 41 56 Fax +41 (0)55 214 41 57 Mobile +41 (0)79 336 56 76 E-Mail felix.widmer@tan-group.ch Web www.tan-group.

Security. Voice +41 (0)55 214 41 56 Fax +41 (0)55 214 41 57 Mobile +41 (0)79 336 56 76 E-Mail felix.widmer@tan-group.ch Web www.tan-group. Security Felix Widmer TCG Tan Consulting Group GmbH Hanflaenderstrasse 3 CH-8640 Rapperswil SG Voice +41 (0)55 214 41 56 Fax +41 (0)55 214 41 57 Mobile +41 (0)79 336 56 76 E-Mail felix.widmer@tan-group.ch

Mehr