Sicherheitskatalog gem. 11 Abs. 1a EnWG. Bundesnetzagentur Energieabteilung

Größe: px
Ab Seite anzeigen:

Download "Sicherheitskatalog gem. 11 Abs. 1a EnWG. Bundesnetzagentur Energieabteilung"

Transkript

1 Sicherheitskatalog gem. 11 Abs. 1a EnWG Bundesnetzagentur Energieabteilung 1

2 Version 1 2

3 Inhaltsverzeichnis A. EINLEITUNG... 4 B. RECHTLICHE GRUNDLAGEN... 5 C. SCHUTZZIELE... 6 D. TK- UND EDV-SYSTEME ZUR NETZSTEUERUNG... 8 E. SICHERHEITSANFORDERUNGEN I. INFORMATIONSSICHERHEITS-MANAGEMENTSYSTEM II. ORDNUNGSGEMÄßER BETRIEB DER BETROFFENEN IKT-SYSTEME III. NETZSTRUKTURPLAN IV. SCHUTZBEDARFSERMITTLUNG V. IT-SICHERHEITSBEAUFTRAGTER VI. GEEIGNETE AUSWAHL KONKRETER MAßNAHMEN F. SICHERHEITSKATEGORIEN UND MAßNAHMEN I. SICHERHEITSLEITLINIE II. ORGANISATION DER INFORMATIONSSICHERHEIT III. MANAGEMENT VON ORGANISATIONSEIGENEN WERTEN IV. PERSONALSICHERHEIT V. PHYSISCHE UND UMGEBUNGSBEZOGENE SICHERHEIT VI. BETRIEBS- UND KOMMUNIKATIONSMANAGEMENT VII. ZUGANGSKONTROLLE VIII. BESCHAFFUNG, ENTWICKLUNG UND WARTUNG VON INFORMATIONSSYSTEMEN IX. UMGANG MIT INFORMATIONSSICHERHEITSVORFÄLLEN X. SICHERSTELLUNG DES GESCHÄFTSBETRIEBES (BUSINESS CONTINUITY MANAGEMENT) XI. EINHALTUNG VON VORGABEN (COMPLIANCE) G. UMSETZUNGSVORGABEN I. ZERTIFIZIERUNG II. UMSETZUNGSFRISTEN H. LITERATURVERZEICHNIS

4 A. Einleitung Unsere moderne Gesellschaft ist in hohem Maße von einer funktionierenden Energieversorgung abhängig. Fehlen Strom und Gas, kommt das öffentliche Leben innerhalb kürzester Zeit zum Erliegen und lebensnotwendige Dienstleistungen können nicht mehr erbracht werden. Gleichzeitig ist die Funktionsfähigkeit der Energieversorgung von einer intakten Informations- und Kommunikationstechnologie (IKT) abhängig. Dies gilt im Besonderen für den Bereich der Netzsteuerung, der auf valide Netzzustandsdaten für einen sicheren Systembetrieb angewiesen ist. Die Unterstützung durch IKT-Systeme bringt viele Vorteile, mit der wachsenden Abhängigkeit von diesen Systemen gehen jedoch auch Risiken für die Versorgungssicherheit einher. Um die Vorteile moderner IKT auch in Zukunft sicher nutzen zu können, ist es daher wichtig, einen angemessenen Schutz gegen Bedrohungen für die IKT im Bereich der Netzsteuerung zu etablieren. Dies soll u. a. durch die Umsetzung der Anforderungen des vorliegenden IT- Sicherheitskataloges erreicht werden. In Abschnitt B wird kurz der Auftrag an die BNetzA zur Erstellung des vorliegenden IT- Sicherheitskatalogs auf Basis des 11 Abs. 1a EnWG dargestellt. Abschnitt C formuliert die Schutzziele, für die unter Abschnitt D definierten Systeme der Netzsteuerung. Abschnitt E enthält konkrete Anforderungen an Netzbetreiber, die unter Berücksichtigung der zuvor genannten Schutzziele umzusetzen sind. In Abschnitt F wird auf anerkannte, internationale Standards aus dem Bereich der IT-Sicherheit verwiesen, die bei der Umsetzung der Anforderungen des IT-Sicherheitskataloges zu beachten sind. Abschnitt G enthält sonstige Forderungen und Fristen für die Umsetzung des IT-Sicherheitskataloges. Kernforderung des vorliegenden Sicherheitskataloges ist die Einführung eines Informationssicherheits-Managementsystems gemäß DIN ISO/IEC sowie die Zertifizierung dieses Systems durch eine unabhängige hierfür zugelassene Stelle. Des Weiteren soll durch den Netzbetreiber ein IT-Sicherheitsbeauftragter als Ansprechpartner für die Bundesnetzagentur benannt werden. Die Anforderungen des Sicherheitskataloges sind unabhängig von der Größe oder der Anzahl der angeschlossenen Kunden von allen Netzbetreibern zu erfüllen, soweit diese über Systeme verfügen, die in den Anwendungsbereich des Sicherheitskataloges fallen (vgl. Abschnitt D TK und EDV zur Netzsteuerung). 4

5 B. Rechtliche Grundlagen 11 Absatz 1a Energiewirtschaftsgesetz (EnWG) enthält den Auftrag an die Bundesnetzagentur, im Benehmen mit dem Bundesamt für Sicherheit in der Informationstechnik einen Katalog von Sicherheitsanforderungen zu erstellen zum Schutz gegen Bedrohungen für Telekommunikations- und elektronische Datenverarbeitungssysteme, die der Netzsteuerung dienen. Mit dieser im Rahmen der EnWG-Novelle 2011 neu eingefügten Vorschrift wird die Pflicht zum Betrieb eines sicheren Energieversorgungsnetzes nach 11 Abs. 1 EnWG konkretisiert. Unter Sicherheit wird in Anlehnung an den in 1 Absatz 1 EnWG definierten Gesetzeszweck einerseits die technische Anlagensicherheit verstanden, andererseits und vor allem aber auch die allgemeine Versorgungssicherheit. Vor dem Hintergrund einer immer stärkeren Durchdringung der Steuerung von Energieversorgungsnetzen mit Informations- und Kommunikationstechnologie und der damit zunehmenden Bedeutung von IT-Sicherheit umfasst das Ziel der Sicherheit nach dem Willen des Gesetzgebers daher nun auch den angemessenen Schutz gegen Bedrohungen für Telekommunikations- und elektronische Datenverarbeitungssysteme, die der Netzsteuerung dienen. Ein angemessener Schutz wird gemäß 11 Absatz 1a S. 3 EnWG vermutet, wenn der Katalog der Sicherheitsanforderungen vom Betreiber eines Energieversorgungsnetzes eingehalten wird. Diese Vermutungsregel befreit den Netzbetreiber jedoch nicht davon, im Einzelfall auch ein höheres Schutzniveau einhalten zu müssen. In der Begründung zum Gesetzesentwurf (Bt.-Drs. 17/6072, S. 66) heißt es dazu: Die grundsätzliche Verantwortung der betroffenen Unternehmen, sich über den Sicherheitskatalog hinaus eigenverantwortlich durch Ergreifen weiterer individueller Maßnahmen in erforderlichem Umfang gegen Gefährdungen zu schützen, bleibt unberührt. Hierzu ist es angezeigt, dass der Netzbetreiber insbesondere auch den allgemein anerkannten Stand der Technik in Bezug auf die Absicherung der jeweils eingesetzten leittechnischen Systeme beachtet sowie die allgemeine IKT- Bedrohungslage und die spezifische Bedrohungslage für die eingesetzten leittechnischen Systeme berücksichtigt. Dazu sind insbesondere geeignete, für den jeweiligen Anwendungsbereich formulierte, ggf. branchen- oder sektorspezifische Sicherheitsstandards sowie relevante Empfehlungen, Anwendungsregeln etc. nach jeweils aktuellem Stand heranzuziehen. Das Benehmen mit dem Bundesamt für Sicherheit in der Informationstechnik zum vorliegenden IT-Sicherheitskatalog gemäß 11 Abs. 1a S. 2 EnWG wurde am [noch einzutragen] hergestellt. 5

6 C. Schutzziele Der vorliegende IT-Sicherheitskatalog enthält Anforderungen zur Gewährleistung eines angemessenen Schutzes gegen Bedrohungen für Telekommunikations- und elektronische Datenverarbeitungssysteme, die der Netzsteuerung dienen. Hierdurch soll ein Beitrag zum sicheren Betrieb und zur Erhöhung der Versorgungssicherheit der Energieversorgung geleistet werden. Dieses Ziel soll insbesondere durch die Auswahl geeigneter, angemessener und dem Stand der Technik entsprechender Maßnahmen zur Realisierung der folgenden Schutzziele aus dem Bereich der Informationssicherheit erreicht werden: die Sicherstellung der Verfügbarkeit der zu schützenden Systeme und Daten, die Sicherstellung der Integrität der verarbeiteten Informationen und Systeme, die Gewährleistung der Vertraulichkeit der mit den betrachteten Systemen verarbeiteten Informationen. Verfügbarkeit bedeutet, dass die zu schützenden Systeme und Daten jederzeit betriebsbereit und auf Verlangen einer berechtigten Einheit zugänglich und nutzbar sind. Integrität bedeutet zum einen die Richtigkeit und Vollständigkeit der verarbeiteten Daten und zum anderen die korrekte Funktionsweise der Systeme. Unter Vertraulichkeit wird der Schutz der Systeme und Daten vor unberechtigtem Zugriff durch Personen oder Prozesse verstanden. 1 Nicht erfasst ist der Schutz personenbezogener Daten, da dieser bereits durch andere Regelungen (zum Beispiel BDSG) bestimmt wird. Die Angemessenheit der durchzuführenden Maßnahmen ist vom individuellen Schutzbedarf des jeweiligen Netzbetreibers abhängig. In die Ermittlung des individuellen Schutzbedarfs sind insbesondere auch Risiken bzgl. der Sicherheit verbundener Energieversorgungsnetze im Falle einer lokalen Störung einzubeziehen. Eine Maßnahme gilt dann als angemessen, wenn der dafür erforderliche technische und wirtschaftliche Aufwand nicht völlig außer Verhältnis zu ihrem Zweck hier dem Schutz von netzsteuerungsdienlichen TK- und EDV- Systemen vor Bedrohungen steht. Des Weiteren bleibt die Berücksichtigung sonstiger Vorschriften und Regelungen, die die hier betrachteten Systeme betreffen, auch wenn diese hier nicht näher beleuchtet werden, unbenommen. 1 Vgl. DIN, S. 8f 6

7 Die Verantwortung für die Erfüllung der Schutzziele trägt der Netzbetreiber. Er stellt die Erarbeitung, Kommunikation, Durchführung und Dokumentation der zur Umsetzung der Schutzziele getroffenen Maßnahmen innerhalb der Organisation sicher. 7

8 D. TK- und EDV-Systeme zur Netzsteuerung Der sachliche Rahmen des IT-Sicherheitskataloges umfasst gemäß 11 Abs. 1a Satz 1 EnWG einen angemessenen Schutz gegen Bedrohungen für Telekommunikations- und elektronische Datenverarbeitungssysteme, die der Netzsteuerung dienen. Um die sich daraus ableitenden Sicherheitsanforderungen für die verschiedenen Betreiber von Energieversorgungsnetzen im Einzelnen zu ermitteln, bedarf es einer an den Schutzzielen ausgerichteten Vorgehensweise zur Identifizierung der betroffenen TK- und EDV-Systeme, die der Netzsteuerung dienlich sind, in Abgrenzung zum übrigen Netzbetrieb. Die Netzsteuerungsdienlichkeit ist somit von besonderer Bedeutung. Netzsteuerung im Sinne dieses IT-Sicherheitskataloges bedeutet unter Zugrundelegung der oben benannten Schutzziele die unmittelbare Einflussnahme auf die Fahrweise von Transport- und Verteilnetzen im Strom- und Gasbereich. Dieser IT-Sicherheitskatalog umfasst demnach zum einen alle TK- und EDV-Systeme des Netzbetreibers, welche direkt Teil der Netzsteuerung sind, d.h. unmittelbar Einfluss nehmen auf die Netzfahrweise. Darunter fallen zum Beispiel zentrale Netzleit- und Netzführungssysteme. Im Hinblick auf die weitergehende Eigenschaft der Netzsteuerungsdienlichkeit können aber auch TK- und EDV-Systeme im Netz betroffen sein, die selbst zwar nicht direkt Teil der Netzsteuerung sind, dieser aber unmittelbar dienen. Darunter fallen z.b. Messeinrichtungen an Trafo- oder Netzkoppelstationen, welche durch die Bereitstellung von (Mess-)Daten einen direkten Einfluss auf die Netzsteuerung nehmen. Davon abzugrenzen sind TK- und EDV-Systeme, die nur mittelbaren oder gar keinen Einfluss auf die Netzsteuerung ausüben oder Systeme, die nicht Teil des Energieversorgungsnetzes nach 3 Nr. 16 EnWG sind. Zu diesen nicht vom IT-Sicherheitskatalog umfassten Systemen gehören zum Beispiel kundenseitige Messsysteme gemäß 21d EnWG (Smart Meter). Zwar können Messsysteme der Letztverbraucher mittelbar Einfluss auf die Netzsteuerung ausüben, indem sie Netzzustandsinformationen (z.b. Spannung, Frequenz und Phasenwinkel) bereitstellen sowie netzindizierte Schalthandlungen ermöglichen. Allerdings sind diese nicht Teil des Energieversorgungsnetzes nach 3 Nr. 16 EnWG. Die Kommunikationseinheit des Messsystems (Smart Meter Gateway) ist zudem durch die Vorgaben der BSI- Schutzprofile (BSI-CC-PP-0073/BSI-CC-PP-0077) und die zugehörige Technische Richtlinie (BSI TR-03109) bereits hinreichend geschützt. Der Anwendungsbereich des IT-Sicherheitskatalogs erstreckt sich demnach auf Netzkomponenten oder Teilsysteme, die steuerbar sind und somit die Fahrweise des Netzes unmittelbar beeinflussen, oder aber Netzkomponenten, die selbst zwar nicht steuerbar sind, aber bei- 8

9 spielsweise durch Bereitstellung von Daten mittelbar die Netzfahrweise beeinflussen und auf diese Weise auch der Netzsteuerung dienlich sind. Die Ermittlung der im Einzelfall betroffenen (Teil-)Systeme eines Netzes erfolgt durch den jeweiligen Netzbetreiber selbst unter Beachtung der in diesem IT-Sicherheitskatalog vorgegebenen Kriterien. Werden (Teil-)Systeme, die der Anwendung des Katalogs unterliegen, nicht vom Netzbetreiber selbst betrieben, sondern von Dritten, beispielsweise im Rahmen von Outsourcing, so ist die Anwendung und Umsetzung des Katalogs vertraglich sicherzustellen. Die volle Verantwortung in Bezug auf die Einhaltung des Katalogs bleibt dabei beim Betreiber des Energieversorgungsnetzes. 9

10 E. Sicherheitsanforderungen I. Informationssicherheits-Managementsystem Zur Gewährleistung eines angemessenen Sicherheitsniveaus für TK- und EDV-Systeme im Bereich der Netzsteuerung ist die bloße Umsetzung von Einzelmaßnahmen, wie zum Beispiel der Einsatz von Antivirensoftware, Firewalls usw. nicht ausreichend. Zur Erreichung der Schutzziele ist stattdessen ein ganzheitlicher Ansatz nötig, der kontinuierlich auf Leistungsfähigkeit und Wirksamkeit zu überprüfen und bei Bedarf anzupassen ist. Einen solchen ganzheitlichen Ansatz stellt ein sog. Informationssicherheits- Managementsystem (ISMS) dar. Ein Managementsystem umfasst alle Regelungen, die für die Steuerung und Lenkung zur Zielerreichung der Institution sorgen. Der Teil des Managementsystems, der sich mit Informationssicherheit beschäftigt, wird als Informationssicherheitsmanagementsystem (ISMS) bezeichnet. Das ISMS legt fest, mit welchen Instrumenten und Methoden das Management die auf Informationssicherheit ausgerichteten Aufgaben und Aktivitäten nachvollziehbar lenkt (plant, einsetzt, durchführt, überwacht und verbessert). 2 Dementsprechend sollen Netzbetreiber ein ISMS, das den Anforderungen der DIN ISO/IEC genügt, implementieren, das mindestens die unter Abschnitt D beschriebenen Systeme, d. h. Telekommunikations- und EDV-Systeme, die der Netzsteuerung dienen, umfasst. Bei der Implementierung sind unbedingt die unter Abschnitt F genannten Informationen und Verweise auf die Normen DIN ISO/IEC und DIN SPEC zu berücksichtigen. Eine wesentliche Anforderung der DIN ISO/IEC ist, dass das ISMS und die damit verbundenen Maßnahmen kontinuierlich auf Wirksamkeit überprüft und im Bedarfsfall angepasst werden. Maßstäbe sind dabei die Schutzziele und die Angemessenheit im Sinne des Abschnitts C. Informationssicherheit und deren Etablierung in einer Organisation darf demnach kein einmaliges Projekt mit definiertem Anfang und Ende sein, sondern muss vielmehr als regelmäßiger Prozess in die Organisationsstrukturen eingebunden werden. Gemäß DIN ISO/IEC soll dies durch Anwendung des Plan-Do-Check-Act Modells (PDCA) für die 2 BSI1, S

11 Prozesse des ISMS erreicht werden. Die Phasen des PDCA-Modells sind in Abbildung 1 dargestellt. Tabelle 1 enthält eine kurze Erläuterung zu den jeweiligen Phasen. Abbildung 1: Auf die ISMS-Prozesse angewandtes PDCA-Modell (Quelle: DIN, S. 6) Tabelle 1: Phasen des PDCA-Modells eines ISMS (Quelle: DIN, S. 7) Phase im PDCA-Modell Kurzbeschreibung Planen / Plan (Festlegen Festlegen der ISMS-Leitlinie, -Ziele, -Prozesse und -Verfahren, des ISMS) die für das Risikomanagement und die Verbesserung der Informationssicherheit notwendig sind, um Ergebnisse im Rahmen aller Grundsätze und Ziele einer Organisation zu erreichen. Durchführen / Do (Umsetzen und Durchführen des Prozesse und Verfahren. Umsetzen und Durchführen der ISMS-Leitlinie, Maßnahmen, ISMS) Prüfen / Check (Überwachen und Überprüfen des ISMS-Leitlinie, den ISMS-Zielen und praktischen Erfahrungen, Einschätzen und ggf. Messen der Prozessleistung an der ISMS) und Berichten der Ergebnisse an das Management zwecks Überprüfung. Handeln / Act (Instandhalten und Verbessern des nahmen, basierend auf den Ergebnissen von internen ISMS- Ergreifen von Korrekturmaßnahmen und Vorbeugungsmaß- ISMS) Audits und Überprüfungen des Managements und anderen wesentlichen Informationen, zur ständigen Verbesserung des ISMS. 11

12 Die DIN ISO/IEC legt Leitlinien und allgemeine Prinzipien für die Initiierung, Umsetzung, den Betrieb und die Verbesserung des Informationssicherheits-Managements in einer Organisation fest. Die DIN SPEC erweitert diese in einzelnen Punkten um Besonderheiten im Bereich der Prozesssteuerung der Energieversorgung. Die Umsetzung der beiden vorgenannten Normen, auf die in Abschnitt F verwiesen wird, führt im Ergebnis zu einem ISMS, das den Anforderungen der DIN ISO/IEC entspricht. II. Ordnungsgemäßer Betrieb der betroffenen IKT-Systeme Im Rahmen des ISMS ist nachhaltig sicherzustellen, dass der Betrieb der relevanten Telekommunikations- und Datenverarbeitungssysteme ordnungsgemäß erfolgt. Dies bedeutet insbesondere, dass die eingesetzten IKT-Systeme und IKT-gestützten Verfahren und Prozesse zu jedem Zeitpunkt beherrscht werden und dass technische Störungen als solche erkannt und behoben werden können oder anderweitig deren Behebung sichergestellt werden kann. Auch für die Unterstützung der Abwehr von IKT-basierten Angriffen muss der Betrieb der relevanten Telekommunikations- und Datenverarbeitungssysteme gerüstet sein. Dies ist auch über den von ISO/IEC 27001, ISO/IEC und DIN SPEC gesetzten Rahmen hinaus sicherzustellen. III. Netzstrukturplan Das EVU soll eine Übersicht über die Komponenten seines Netzes im Prozessumfeld mit den anzutreffenden Haupttechnologien und deren Verbindungen erstellen. Die Übersicht ist nach den Technologiekategorien Leitsystem/Systembetrieb, Übertragungstechnik/Kommunikation und Sekundär-, Automatisierungs- und Fernwirktechnik zu unterscheiden. Tabelle 2 enthält eine kurze Beschreibung zu den Technologiekategorien sowie einige Beispiele. Tabelle 2: Technologiekategorien (Quelle: In Anlehnung an BDEW, S. 7f) Technologie- Beschreibung und Beispiele kategorie Leitsysteme Alle zentralisierten Systeme die der Netzsteuerung, -überwachung dienen, und Systembetrieb und zentralen Infrastrukturen. sowie die hierzu notwendigen unterstützenden IT-Systeme, Anwendungen Beispiele: - Zentrale Netzleit- und Netzführungssysteme 12

13 - Zentrale Messwerterfassungssysteme - Systeme zur Überwachung und Steuerung von Netzspeichern - Datenarchivierungssysteme - Zentrale Parametrier-, Konfigurations- und Programmiersysteme - die für den Betrieb der o.g. Systeme notwendigen unterstützenden Systeme Die in der Netzsteuerung zur Kommunikation eingesetzte Übertragungs-, Telekommunikations- und Netzwerktechnik. Beispiele: - Router, Switches und Firewalls - Übertragungstechnische Netzelemente - Zentrale Management- und Überwachungssysteme der Ü- bertragungs-, Telekommunikations- und Netzwerktechnik - Kommunikationsendgeräte Übertragungstechnik / Kommunikation Sekundär-, Automatisierungs- und Fernwirktechnik - Funksysteme Die prozessnahe Steuerungs- und Automatisierungstechnik, die zugehörigen Schutz- und Sicherheitssysteme sowie fernwirktechnische Komponenten. Hierzu gehören insbesondere die Technik in den dezentralen Stationen sowie die Automatisierungstechnik in Netzspeicheranlagen. Beispiele: - Steuerungs- und Automatisierungskomponenten - Leit- und Feldgeräte - Controller und SPSen inklusive digitaler Sensor- und Aktorelemente - Schutzgeräte und Sicherheitskomponenten - Fernwirkgeräte - Mess- und Zählvorrichtungen. Die in der Übersicht enthaltenen Komponenten sind in geeigneter Form in einem Netzstrukturplan darzustellen. Die Komplexität des Netzstrukturplans kann durch Gruppenbildung vereinfacht werden (z.b. nach Typ, Konfiguration, Netz, Lokation, Rahmenbedingungen, Anwendungen, Dienste, etc.). Ebenso können bei größeren Netzen getrennte Teilpläne sinnvoll 13

14 sein. Schnittstellen zu Teilsystemen, die nicht zu den unter Abschnitt D genannten Teilsystemen gehören oder sich der unmittelbaren Kontrolle des Netzbetreibers (zum Beispiel durch Outsourcing) entziehen, müssen im Netzstrukturplan klar gekennzeichnet und in der Komponentenübersicht definiert werden. Funktion und funktionale Beziehungen der Teilsysteme, dort laufende Anwendungen und Betriebssysteme, ggf. inkl Revisionsständen, netzwerktechnische Beziehungen, verwendete Protokolle und Berechtigungen etc. sollen erkennbar sein. IV. Schutzbedarfsermittlung Für die in Abschnitt D beschriebenen und im Netzstrukturplan erfassten Systeme ist durch den Netzbetreiber eine Schutzbedarfsermittlung durchzuführen. Zweck der Schutzbedarfsermittlung ist es festzustellen, welcher Schutz für die Informationen und die eingesetzte Informationstechnik geeignet und angemessen ist. Hierzu werden für jede Anwendung und die verarbeiteten Informationen die insbesondere für die Versorgungssicherheit zu erwartenden Schäden betrachtet, die bei einer Beeinträchtigung von Vertraulichkeit, Integrität oder Verfügbarkeit entstehen können. Wichtig ist es dabei auch, die möglichen Folgeschäden für die Versorgungssicherheit realistisch einzuschätzen und insbesondere Auswirkungen über den eigenen Netzbetrieb hinaus zu berücksichtigen (zum Beispiel mögliche Beeinträchtigungen bei vor- / nachgelagerten Netzen). Dabei ist zu jedem der Schutzziele Verfügbarkeit, Integrität und Vertraulichkeit eine Einteilung in die drei Schutzbedarfskategorien "normal", "hoch" und "sehr hoch" vorzunehmen. Erläuterungen und praktische Hinweise zur Schutzbedarfsfeststellung sind zum Beispiel Gegenstand von Kapitel 4.3 der IT-Grundschutz- Vorgehensweise (BSI-Standard 100-2). Tabelle 3: Schutzbedarfskategorien nach BSI Grundschutz (Quelle: BSI2, S. 49) "normal" Die Schadensauswirkungen sind begrenzt und überschaubar. "hoch" "sehr hoch" Die Schadensauswirkungen können beträchtlich sein. Die Schadensauswirkungen können ein existentiell bedrohliches, katastrophales Ausmaß erreichen. Für die Komponenten der Netzsteuerung wird grundsätzlich von einem Schutzbedarf der Kategorie hoch ausgegangen. Im Einzelnen ist zu prüfen, ob ggf. der Schutzbedarf sehr hoch ist. Falls er als normal eingestuft wird, ist dies ausführlich zu begründen und zu dokumentieren. Bei der Ermittlung des Schutzbedarfs ist zu beachten, dass die Sicherheit von TK- und EDV- Systemen, die der Netzsteuerung dienen, nicht nur durch vorsätzliche Handlungen (zum Beispiel Computer-Viren, Abhören der Kommunikation, Diebstahl von Rechnern usw.) bedroht 14

15 wird. Vielmehr können Sicherheitsvorfälle eine Vielzahl von Ursachen haben. Bei der Schutzbedarfsermittlung sind daher insbesondere Gefährdungen aus den folgenden Kategorien zu berücksichtigen: Elementare Gefährdungen Höhere Gewalt Organisatorische Mängel Menschliche Fehlhandlungen Technisches Versagen Vorsätzliche Handlungen. Zur Identifizierung von Gefährdungen aus den oben genannten Kategorien können die Grundschutzkataloge des BSI herangezogen werden. Diese enthalten ausführlich beschriebene Beispiele zu den einzelnen Gefährdungskategorien, die aber nicht abschließend sind. V. IT-Sicherheitsbeauftragter Für die Koordination, Verwaltung und Kommunikation der IT-Sicherheit soll durch den Netzbetreiber ein IT-Sicherheitsbeauftragter als zentraler Ansprechpartner benannt werden. Name und Kontaktdaten des IT-Sicherheitsbeauftragten sind der Bundesnetzagentur mitzuteilen. Auf Anfrage soll der IT-Sicherheitsbeauftragte der Bundesnetzagentur insbesondere zu folgenden Punkten unverzüglich Auskunft geben können: Umsetzungsstand der Anforderungen aus dem vorliegenden IT-Sicherheitskatalog Aufgetretene Sicherheitsvorfälle sowie Art und Umfang evt. hierdurch hervorgerufener Auswirkungen Ursache aufgetretener Sicherheitsvorfälle sowie Maßnahmen zu deren Behebung und zukünftigen Vermeidung Zudem soll der IT-Sicherheitsbeauftragte sicherstellen, dass der Betreiber geeignet an relevante Kommunikationsinfrastrukturen für Lageberichte und Warnmeldungen sowie zur Bewältigung großflächiger IKT-Krisen angebunden ist. Dies kann zum Beispiel durch Teilnahme des Betreibers am UP KRITIS erfolgen (www.upkritis.de). VI. Geeignete Auswahl konkreter Maßnahmen Durch die beispielhafte Auflistung von Controls in ISO/IEC und DIN SPEC werden abstrakt Maßnahmenbereiche festgelegt, für deren Umsetzung konkrete Maßnahmen festzulegen, zu implementieren und deren nachhaltige Einhaltung sicherzustellen sind. Hierfür sind im ISMS geeignete Vorkehrungen zu treffen. Dabei kann grundsätzlich auf den für den jeweiligen Anwendungsbereich dokumentierten Stand der Technik in der für die Erfüllung der jeweiligen Schutzziele geeigneten Ausprägung zurückgegriffen werden. Soweit dies 15

16 nicht möglich ist, oder aus anderen Gründen abweichende Maßnahmen getroffen werden, ist konkret zu belegen, dass die jeweiligen IKT-Schutzziele dennoch erreicht werden. 16

17 F. Sicherheitskategorien und Maßnahmen Im Folgenden wird hinsichtlich der Sicherheitskategorien und Maßnahmen auf die DIN ISO/IEC und die DIN SPEC in der jeweils geltenden Fassung verwiesen. Es handelt sich also um dynamische Verweisungen, die entsprechende Novellierungen berücksichtigen. Die Bundesnetzagentur behält sich vor, etwaige Anpassungen der genannten DIN- Normen in Bezug auf ihre Anwendbarkeit in regelmäßigen Abständen zu überprüfen. Ferner schließt die hier vorgenommene Verweistechnik andere, hier nicht genannte, aber im Rahmen des Informationssicherheits-Managements identifizierte Ziele und Maßnahmen nicht aus. Entscheidend für den Umgang mit den Verweisungen und die Umsetzung der sich aus diesem Katalog ergebenden Anforderungen an die IT-Sicherheit ist, diese insbesondere im Hinblick auf die Netzsteuerungsdienlichkeit des betroffenen TK- oder EDV-Systems anzuwenden. Das heißt, die Maßnahmen, auf die im Folgenden verwiesen wird, sind nicht per se ungeprüft umzusetzen, sondern immer in Abhängigkeit von ihrer Bedeutung für die Sicherheit der in Abschnitt D beschriebenen Systeme. I. Sicherheitsleitlinie Die Maßnahmenziele sowie die Inhalte der DIN ISO/IEC Abschnitt 5 sind entsprechend anzuwenden. II. Organisation der Informationssicherheit Die Maßnahmenziele sowie die Inhalte der DIN ISO/IEC Abschnitt 6 sind entsprechend anzuwenden. Die Erweiterungen für die Energieversorgung durch die Punkte 6.1.6, 6.1.7, 6.2.1, und der DIN SPEC sind zu berücksichtigen. III. Management von organisationseigenen Werten Die Maßnahmenziele sowie die Inhalte der DIN ISO/IEC Abschnitt 7 sind entsprechend anzuwenden. Die Erweiterungen für die Energieversorgung durch die Punkte 7.1.1, und der DIN SPEC sind zu berücksichtigen. IV. Personalsicherheit Die Maßnahmenziele sowie die Inhalte der DIN ISO/IEC Abschnitt 8 sind entsprechend anzuwenden. Die Erweiterungen für die Energieversorgung durch die Punkte 8.1.1, 8.1.2, und der DIN SPEC sind zu berücksichtigen. 17

18 V. Physische und umgebungsbezogene Sicherheit Die Maßnahmenziele sowie die Inhalte der DIN ISO/IEC Abschnitt 9 sind entsprechend anzuwenden. Die Erweiterungen für die Energieversorgung durch die Punkte 9.1.1, 9.1.2, 9.1.7, 9.1.8, 9.1.9, 9.2.1, 9.2.2, 9.2.3, und 9.3 der DIN SPEC sind zu berücksichtigen. VI. Betriebs- und Kommunikationsmanagement Die Maßnahmenziele sowie die Inhalte der DIN ISO/IEC Abschnitt 10 sind entsprechend anzuwenden. Die Erweiterungen für die Energieversorgung durch die Punkte , ,10.4.1,10.4.2, , , , und der DIN SPEC sind zu berücksichtigen. VII. Zugangskontrolle Die Maßnahmenziele sowie die Inhalte der DIN ISO/IEC Abschnitt 11 sind entsprechend anzuwenden. Die Erweiterungen für die Energieversorgung durch die Punkte , , , , und der DIN SPEC sind zu berücksichtigen. VIII. Beschaffung, Entwicklung und Wartung von Informationssystemen Die Maßnahmenziele sowie die Inhalte der DIN ISO/IEC Abschnitt 12 sind entsprechend anzuwenden. Die Erweiterungen für die Energieversorgung durch die Punkte und der DIN SPEC sind zu berücksichtigen. IX. Umgang mit Informationssicherheitsvorfällen Die Maßnahmenziele sowie die Inhalte der DIN ISO/IEC Abschnitt 13 sind entsprechend anzuwenden. X. Sicherstellung des Geschäftsbetriebes (Business Continuity Management) Die Maßnahmenziele sowie die Inhalte der DIN ISO/IEC Abschnitt 14 sind entsprechend anzuwenden. Die Erweiterungen für die Energieversorgung durch die Punkte und 14.2 der DIN SPEC sind zu berücksichtigen. 18

19 XI. Einhaltung von Vorgaben (Compliance) Die Maßnahmenziele sowie die Inhalte der DIN ISO/IEC Abschnitt 15 sind entsprechend anzuwenden. Die Erweiterungen für die Energieversorgung durch Punkt der DIN SPEC sind zu berücksichtigen. 19

20 G. Umsetzungsvorgaben I. Zertifizierung Der Netzbetreiber ist verpflichtet die Konformität seines ISMS mit den Anforderungen der DIN ISO/IEC durch ein Zertifikat zu belegen. Die Zertifizierung muss durch eine unabhängige und für die Zertifizierung nach DIN ISO/IEC akkreditierte Stelle durchgeführt werden. Eine Übersicht akkreditierter Stellen zur Zertifizierung nach DIN ISO/IEC kann auf der Internetseite der deutschen Akkreditierungsstelle (DAkkS) abgerufen werden. II. Umsetzungsfristen Die Anforderungen des vorliegenden IT-Sicherheitskataloges sind durch die betroffenen Netzbetreiber bis zum xx.xx.xxxx [1 Jahr nach Veröffentlichung] umzusetzen. Der IT-Sicherheitsbeauftragte ist der Bundesnetzagentur bis zum xx.xx.xxxx [innerhalb von zwei Monaten nach Veröffentlichung] mitzuteilen. Die Meldung des IT- Sicherheitsbeauftragten erfolgt per an die Adresse: [IT- Für die Meldung des IT-Sicherheitsbeauftragten ist, das auf der Internetseite der Bundesnetzagentur bereitgestellte Formular zu verwenden. 20

21 H. Literaturverzeichnis BDEW BDEW; Oestereichs E-Wirtschaft: Ausführungshinweise zur Anwendung des Whitepaper Anforderungen an sichere Steuerungs- und Telekommunikationssysteme : Oestereichs Energie und bdew Best Practice Papier. Version 1.0 Wien und Berlin: BSI1 BSI: BSI-Standard 100-1: Managementsysteme für Informationssicherheit (ISMS). Version 1.5, https://www.bsi.bund.de/de/publikationen/bsi_standard/it_grundschutzstandards. html, 2008, BSI2 BSI: BSI-Standard 100-2: IT-Grundschutz-Vorgehensweise. Version 2.0, https://www.bsi.bund.de/de/publikationen/bsi_standard/it_grundschutzstandards. html, 2008, DIN DIN; DIN ISO/IEC 27001: Informationstechnik IT-Sicherheitsverfahren Informationssicherheits-Managementsysteme Anforderungen (ISO/IEC 27001:2005). Berlin: Beuth Verlag,

IT-Sicherheitskatalog gemäß 11 Absatz 1a Energiewirtschaftsgesetz

IT-Sicherheitskatalog gemäß 11 Absatz 1a Energiewirtschaftsgesetz IT-Sicherheitskatalog gemäß 11 Absatz 1a Energiewirtschaftsgesetz Stand: August 2015 Inhaltsverzeichnis A. EINLEITUNG... 3 B. RECHTLICHE GRUNDLAGEN... 4 C. SCHUTZZIELE... 5 D. GELTUNGSBEREICH... 6 E. SICHERHEITSANFORDERUNGEN...

Mehr

Worum es geht. zertifiziert und grundlegend

Worum es geht. zertifiziert und grundlegend Sicherer Systembetrieb in der Energiewirtschaft. Von der Analyse bis zur Zertifizierung. Worum es geht zertifiziert und grundlegend In Industrie staaten ist das gesamte Leben von einer sicheren Energie

Mehr

ESN expert-veranstaltung Krisenmanagement im EVU

ESN expert-veranstaltung Krisenmanagement im EVU ESN expert-veranstaltung Krisenmanagement im EVU Krisenmanagement und ISMS Erfurt, 17.06.2015 Schlagworte ISMS- Energiewirtschaftsgesetz IT-Sicherheit BSI-Grundschutzkataloge Krisenmanagement Informationssicherheitsmanagementsystem

Mehr

2. Forschungstag IT-Sicherheit NRW nrw-units. Informationssicherheit in der Energiewirtschaft

2. Forschungstag IT-Sicherheit NRW nrw-units. Informationssicherheit in der Energiewirtschaft 2 2. Forschungstag IT-Sicherheit NRW nrw-units 15. Juni 2015 Hochschule Niederrhein Informationssicherheit in der Energiewirtschaft 3 Informationssicherheit in der Energiewirtschaft 1. Sicherheit der Stromversorgung

Mehr

Neue gesetzliche Anforderungen an Stadtwerke: Mindestanforderungen für die IT-Sicherheit

Neue gesetzliche Anforderungen an Stadtwerke: Mindestanforderungen für die IT-Sicherheit Neue gesetzliche Anforderungen an Stadtwerke: Mindestanforderungen für die IT-Sicherheit smartoptimo GmbH & Co. KG Luisenstraße 20 49074 Osnabrück Telefon 0541.600680-0 Telefax 0541.60680-12 info@smartoptimo.de

Mehr

VDE-Symposium Zertifizierung des Leitstellensystems nach ISO auf Basis IT Grundschutz Restricted Siemens AG 2014 All rights reserved.

VDE-Symposium Zertifizierung des Leitstellensystems nach ISO auf Basis IT Grundschutz Restricted Siemens AG 2014 All rights reserved. 03.09.2014 VDE-Symposium Zertifizierung des Leitstellensystems nach ISO auf Basis IT Grundschutz Zertifizierung des Leitstellensystems Agenda Die ISO - Normen 27001/2- Standards; Grundlagen und Auswirkungen

Mehr

Einführung eines ISMS nach ISO 27001:2013

Einführung eines ISMS nach ISO 27001:2013 Einführung eines ISMS nach ISO 27001:2013 VKU-Infotag: Anforderungen an die IT-Sicherheit (c) 2013 SAMA PARTNERS Business Solutions Vorstellung Olaf Bormann Senior-Consultant Informationssicherheit Projekterfahrung:

Mehr

ITK Sicherheitsgesetz Umsetzung mit verinice.pro. verinice.xp- Grundschutztag 15.09.2015

ITK Sicherheitsgesetz Umsetzung mit verinice.pro. verinice.xp- Grundschutztag 15.09.2015 ITK Sicherheitsgesetz Umsetzung mit verinice.pro verinice.xp- Grundschutztag 15.09.2015 Überblick Kurze Vorstellung des IT-Sicherheitsgesetzes Konkretisierung des Gesetzes für Energieversorger Abbildung

Mehr

ISMS und Sicherheitskonzepte ISO 27001 und IT-Grundschutz

ISMS und Sicherheitskonzepte ISO 27001 und IT-Grundschutz ISMS und Sicherheitskonzepte ISO 27001 und IT-Grundschutz Aufbau eines ISMS, Erstellung von Sicherheitskonzepten Bei jedem Unternehmen mit IT-basierenden Geschäftsprozessen kommt der Informationssicherheit

Mehr

Leitfaden zum sicheren Betrieb von Smart Meter Gateways

Leitfaden zum sicheren Betrieb von Smart Meter Gateways Leitfaden zum sicheren Betrieb von Smart Meter Gateways Wer Smart Meter Gateways verwaltet, muss die IT-Sicherheit seiner dafür eingesetzten Infrastruktur nachweisen. Diesen Nachweis erbringt ein Gateway-

Mehr

WHITEPAPER. ISO 27001 Assessment. Security-Schwachstellen und -Defizite erkennen

WHITEPAPER. ISO 27001 Assessment. Security-Schwachstellen und -Defizite erkennen WHITEPAPER ISO 27001 Assessment Security-Schwachstellen und -Defizite erkennen Standortbestimmung Ihrer Informationssicherheit basierend auf dem internationalen Standard ISO 27001:2013 ISO 27001 Assessment

Mehr

BYOD und ISO 27001. Sascha Todt. Bremen, 23.11.2012

BYOD und ISO 27001. Sascha Todt. Bremen, 23.11.2012 BYOD und ISO 27001 Sascha Todt Bremen, 23.11.2012 Inhalt Definition BYOD Einige Zahlen zu BYOD ISO 27001 Fazit Planung & Konzeption Assets Bedrohungen/Risiken Maßahmen(ziele) BYOD Definition (Bring Your

Mehr

Auswirkungen des IT-Sicherheitsgesetzes für Krankenhäuser. Umsetzungshinweise

Auswirkungen des IT-Sicherheitsgesetzes für Krankenhäuser. Umsetzungshinweise Ziele Auswirkungen des IT-Sicherheitsgesetzes für Krankenhäuser Umsetzungshinweise dubois it-consulting gmbh, Holzhofstr. 10, 55116 Mainz, +49 6131 2150691 oder +49 177 4104045, ingrid.dubois@dubois-it-consulting.de

Mehr

Aktuelles aus Rechtsprechung und Behördenpraxis zum EnWG und den Rechtsverordnungen

Aktuelles aus Rechtsprechung und Behördenpraxis zum EnWG und den Rechtsverordnungen Aktuelles aus Rechtsprechung und Behördenpraxis zum EnWG und den Rechtsverordnungen Messsysteme und IT-Sicherheit Weimar, 04.09.2014 1 Kurzprofil BBH Becker Büttner Held gibt es seit 1991. Bei uns arbeiten

Mehr

Peter Piwecki und Robert Grey, Webinar, 17. Februar 2015 Im Dschungel der IT-Sicherheitsrichtlinien Was sollten Energieversorgungsunternehmen

Peter Piwecki und Robert Grey, Webinar, 17. Februar 2015 Im Dschungel der IT-Sicherheitsrichtlinien Was sollten Energieversorgungsunternehmen Peter Piwecki und Robert Grey, Webinar, 17. Februar 2015 Im Dschungel der IT-Sicherheitsrichtlinien Was sollten Energieversorgungsunternehmen wissen? February 17, 2015 Slide 1 Agenda Aktueller Lagebericht

Mehr

Prüfkatalog nach ISO/IEC 27001

Prüfkatalog nach ISO/IEC 27001 Seite 1 Prüfkatalog nach ISO/IEC 27001 Zum Inhalt Konzeption, Implementierung und Aufrechterhaltung eines Informationssicherheits Managementsystems sollten sich an einem Prüfkatalog orientieren, der sowohl

Mehr

Informationstechnische Anforderungen zur Gewährleistung der Netzstabilität im zukünftigen Stromnetz

Informationstechnische Anforderungen zur Gewährleistung der Netzstabilität im zukünftigen Stromnetz Informationstechnische Anforderungen zur Gewährleistung der Netzstabilität im zukünftigen Stromnetz Nachhaltige Sicherstellung der Einhaltung grundlegender Anforderungen Hans Honecker IT-Sicherheit und

Mehr

IT-Sicherheitskatalog der BNetzA Informationssicherheit bei Netzbetreibern

IT-Sicherheitskatalog der BNetzA Informationssicherheit bei Netzbetreibern IT-Sicherheitskatalog der BNetzA Informationssicherheit bei Netzbetreibern Die Energiewirtschaft wird zunehmend digital. Netzbetreiber sind bereits heute und zukünftig noch stärker auf IKT-Lösungen zur

Mehr

Im Stadtwerkeausschuss vom 16.09.2013 wurde auf Anfrage von B 90/DIE GRÜNEN u.a. erläutert:

Im Stadtwerkeausschuss vom 16.09.2013 wurde auf Anfrage von B 90/DIE GRÜNEN u.a. erläutert: Sitzung Stadtwerkeausschuss 25.06.2014 Thema Anfrage zur Sicherheit der Steuerung der Stadtwerke für Strom/Gas/Wasser Anfrage Herr Ramcke (Fraktion Bündnis 90/DIE GRÜNEN) Anfrage im Stadtwerkeausschuss

Mehr

Software EMEA Performance Tour 2013. 17.-19 Juni, Berlin

Software EMEA Performance Tour 2013. 17.-19 Juni, Berlin Software EMEA Performance Tour 2013 17.-19 Juni, Berlin In 12 Schritten zur ISo27001 Tipps & Tricks zur ISO/IEC 27001:27005 Gudula Küsters Juni 2013 Das ISO Rennen und wie Sie den Halt nicht verlieren

Mehr

Auswirkungen des IT-Sicherheitsgesetzes für KRITIS in der Wirtschaft

Auswirkungen des IT-Sicherheitsgesetzes für KRITIS in der Wirtschaft Sicherheitskooperation Cybercrime am 23. und 24.09.2015 in Hannover Auswirkungen des IT-Sicherheitsgesetzes für KRITIS in der Wirtschaft Stefan Menge Freies Institut für IT-Sicherheit e. V. (IFIT) Freies

Mehr

Informationssicherheit

Informationssicherheit Informationssicherheit Dipl.-Kfm., CISA, CISM 2007 RÖVERBRÖNNER Consulting GmbH Das einzige System, welches wirklich sicher ist, ist ausgeschaltet und ausgesteckt, eingesperrt in einem Safe aus Titan,

Mehr

IT-Sicherheitsgesetz und IT- Sicherheitskatalog Anforderungen an Betreiber kritischer Infrastrukturen

IT-Sicherheitsgesetz und IT- Sicherheitskatalog Anforderungen an Betreiber kritischer Infrastrukturen IT-Sicherheitsgesetz und IT- Sicherheitskatalog Anforderungen an Betreiber kritischer Infrastrukturen 5. Fachtagung Infrastruktursicherheit des KKI e. V. IT-SICHERHEIT UND KRITISCHE I NFRASTRUKTUREN 10.

Mehr

secunet SwissIT AG ISMS in der öffentlichen Verwaltung

secunet SwissIT AG ISMS in der öffentlichen Verwaltung secunet SwissIT AG ISMS in der öffentlichen Verwaltung Berlin, 22. November 2010 Agenda 1 Einleitung 2 ISO/IEC 27000er-Normenfamilie 3 ISO 27001 auf der Basis von IT-Grundschutz 4 Einsatz von ISMS in der

Mehr

Kriterienkatalog und Vorgehensweise für eine Begutachtung zur ISO 24762-Konformität. datenschutz cert GmbH Version 1.2

Kriterienkatalog und Vorgehensweise für eine Begutachtung zur ISO 24762-Konformität. datenschutz cert GmbH Version 1.2 Kriterienkatalog und Vorgehensweise für eine Begutachtung zur ISO 24762-Konformität datenschutz cert GmbH Version 1.2 Inhaltsverzeichnis Kriterienkatalog und Vorgehensweise für eine Begutachtung zur ISO

Mehr

IT-Zertifizierung nach ISO 27001 Riskmanagement im Rechenzentrum des KH

IT-Zertifizierung nach ISO 27001 Riskmanagement im Rechenzentrum des KH IT-Zertifizierung nach ISO 27001 Riskmanagement im Rechenzentrum des KH St. Wolfganger Krankenhaustage 16. und 17. Juni 2011 Agenda Die Probleme und Herausforderungen Datenskandale in jüngster Zeit Der

Mehr

Dr. Andreas Gabriel Ethon GmbH 24.09.2015

Dr. Andreas Gabriel Ethon GmbH 24.09.2015 Wie meistern Sie nachhaltig die Kann Ihnen eine Zertifizierung ISO 27001 helfen? Dr. Andreas Gabriel Ethon GmbH KURZE VORSTELLUNG 2 Profil der Ethon GmbH; Ulm Über die Ethon GmbH Informationssicherheit

Mehr

IT-Grundschutz - Informationssicherheit ohne Risiken & Nebenwirkungen

IT-Grundschutz - Informationssicherheit ohne Risiken & Nebenwirkungen IT-Grundschutz - Informationssicherheit ohne Risiken & Nebenwirkungen Jonas Paulzen Bundesamt für Sicherheit in der Informationstechnik Grundlagen der Informationssicherheit und IT-Grundschutz 2. IT-Grundschutz-Tag

Mehr

Wo erweitert das IT-Sicherheitsgesetz bestehende Anforderungen und wo bleibt alles beim Alten?

Wo erweitert das IT-Sicherheitsgesetz bestehende Anforderungen und wo bleibt alles beim Alten? Wo erweitert das IT-Sicherheitsgesetz bestehende Anforderungen und wo bleibt alles beim Alten? Hamburg/Osnabrück/Bremen 18./25./26. November 2014 Gerd Malert Agenda 1. Kernziele des Gesetzesentwurfes 2.

Mehr

IT-Sicherheit für Energieversorger

IT-Sicherheit für Energieversorger IT-Sicherheit für Energieversorger Das Wichtigste im Überblick Um was geht es? Die Bundesregierung erarbeitet derzeit folgende Gesetzesvorlage: IT-Sicherheitsgesetz (für kritische Infrastrukturen) umfasst

Mehr

Das neue IT-Sicherheitsgesetz: Welche Unternehmen sind betroffen? Was ist zu tun?

Das neue IT-Sicherheitsgesetz: Welche Unternehmen sind betroffen? Was ist zu tun? Dipl.-Wirtsch.-Ing. Frank Hallfell Dipl.-Ing.(FH) Günther Orth enbiz gmbh, Kaiserslautern Das neue IT-Sicherheitsgesetz: Welche Unternehmen sind betroffen? Was ist zu tun? IT-Tag Saarbrücken, 16.10.2015

Mehr

Anforderungen an die IT-Sicherheit Sicherheit von Informationen in kritischen Infrastrukturen ein Erfahrungsbericht

Anforderungen an die IT-Sicherheit Sicherheit von Informationen in kritischen Infrastrukturen ein Erfahrungsbericht Anforderungen an die IT-Sicherheit Sicherheit von Informationen in kritischen Infrastrukturen ein Erfahrungsbericht Jörg Kehrmann Datenschutz- und IT-Sicherheitsbeauftragter der Wuppertaler Stadtwerke

Mehr

Technische Aspekte der ISO-27001

Technische Aspekte der ISO-27001 ISO/IEC 27001 - Aktuelles zur IT-Sicherheit Technische Aspekte der ISO-27001 Donnerstag, 19. September 2013, 14.00-18.30 Uhr Österreichische Computer Gesellschaft. 1010 Wien Überblick Norm Anhang A normativ

Mehr

Novellierung der ISO 27001. Sicht einer Zertifizierungsstelle

Novellierung der ISO 27001. Sicht einer Zertifizierungsstelle G m b H Novellierung der ISO 27001 Sicht einer Zertifizierungsstelle Internet: www.uimcert.de Moltkestr. 19 42115 Wuppertal Telefon: (0202) 309 87 39 Telefax: (0202) 309 87 49 E-Mail: certification@uimcert.de

Mehr

......... http://www.r-tec.net

......... http://www.r-tec.net Digital unterschrieben von Marek Stiefenhofer Date: 2014.09.09 09:18:41 MESZ Reason: (c) 2014, r-tec IT Systeme GmbH.......... r-tec IT Systeme GmbH 09.09.2014 Bedrohungslage 2014 SEITE 3 2010: Stuxnet

Mehr

Entwurf zum IT-Sicherheitsgesetz

Entwurf zum IT-Sicherheitsgesetz Entwurf zum IT-Sicherheitsgesetz Sebastian Hinzen, LL.M. Bird & Bird LLP 6. IT LawCamp 2015 Agenda Einleitung Wesentliche neue Regelungen im BSI-Gesetz TMG TKG Fazit & Ausblick Page 2 Einleitung (1) Ziel

Mehr

Datenschutz und IT-Sicherheit. Smart Meter CA & Gateway Administration. SmartMeterCA &

Datenschutz und IT-Sicherheit. Smart Meter CA & Gateway Administration. SmartMeterCA & Datenschutz und IT-Sicherheit Smart Meter CA & Gateway Administration SmartMeterCA & Gateway Administration 4 Projekte 4 gute Ideen für den Smart Meter Gateway Administrator Unsere vier Projekte im Überblick

Mehr

Zertifizierung IT-Sicherheitsbeauftragter

Zertifizierung IT-Sicherheitsbeauftragter Zertifizierung IT-Sicherheitsbeauftragter Prof. Jürgen Müller Agenda Begrüßung Gefährdungen und Risiken Sicherheitsanforderungen und Schutzbedarf Live-Hacking Rechtliche Aspekte der IT- Sicherheit Vorgaben

Mehr

2.2. 8b Zentrale Meldestelle für die Sicherheit in der Informationstechnik für die Betreiber kritischer Infrastrukturen

2.2. 8b Zentrale Meldestelle für die Sicherheit in der Informationstechnik für die Betreiber kritischer Infrastrukturen Stellungnahme des Gesamtverbandes der Deutschen Versicherungswirtschaft ID-Nummer 6437280268-55 sowie des Verbandes der Privaten Krankenversicherung zum Referentenentwurf des Bundesministeriums des Innern

Mehr

IT-Grundschutz nach BSI 100-1/-4

IT-Grundschutz nach BSI 100-1/-4 IT-Grundschutz nach BSI 100-1/-4 Marko Rogge www.marko-rogge.de www.leiner-denzer.com 100-1, 100-2, 100-3, 100-4 100-1 100-2 Managementsysteme für Informationssicherheit (ISMS, Information Security Management

Mehr

Prüfschema Erteilung des Datenschutz-Siegels Datenschutzkonform. durch die Prüfstelle. greeneagle certification GmbH Frankenstraße 18a 20097 Hamburg

Prüfschema Erteilung des Datenschutz-Siegels Datenschutzkonform. durch die Prüfstelle. greeneagle certification GmbH Frankenstraße 18a 20097 Hamburg Prüfschema Erteilung des Datenschutz-Siegels Datenschutzkonform durch die Prüfstelle greeneagle certification GmbH Frankenstraße 18a 20097 Hamburg Dokumententitel: Erteilung des Datenschutz-Siegels Datenschutzkonform

Mehr

Datenschutz & Datensicherheit

Datenschutz & Datensicherheit Datenschutz & Datensicherheit IT und Haftungsfragen 1 Vorstellung Holger Filges Geschäftsführer der Filges IT Beratung Beratung und Seminare zu IT Sicherheit, Datenschutz und BSI Grundschutz Lizenzierter

Mehr

Sicherheit integrierter Gebäudesysteme - Bedrohungsszenarien, Lösungsansätze - Markus Ullmann

Sicherheit integrierter Gebäudesysteme - Bedrohungsszenarien, Lösungsansätze - Markus Ullmann Sicherheit integrierter Gebäudesysteme - Bedrohungsszenarien, Lösungsansätze - Markus Ullmann Bundesamt für Sicherheit in der Informationstechnik (BSI) Connected Living 2013 Agenda Studie: Integrierte

Mehr

IT-Grundschutz-Novellierung 2015. Security Forum 2015. Hagenberger Kreis. Joern Maier, Director Information Security Management

IT-Grundschutz-Novellierung 2015. Security Forum 2015. Hagenberger Kreis. Joern Maier, Director Information Security Management IT-Grundschutz-Novellierung 2015 Security Forum 2015 Hagenberger Kreis Joern Maier, Director Information Security Management 1 AGENDA 1 Ausgangslage 2 unbekannte Neuerungen 3 mögliche geplante Überarbeitungen

Mehr

Verankerung und Umsetzung der IT-Sicherheit in der Hochschule

Verankerung und Umsetzung der IT-Sicherheit in der Hochschule Verankerung und Umsetzung der IT-Sicherheit in der Hochschule 3. Arbeitstreffen der G-WiN Kommission des ZKI Berlin, den 27.10.2003 Dipl.-Inform. W. Moll Institut für Informatik IV der Universität Bonn

Mehr

ISMS Teil 3 Der Startschuss

ISMS Teil 3 Der Startschuss ISMS Teil 3 Der Startschuss Nachdem das TOP-Managenment die grundsätzliche Entscheidung getroffen hat ein ISMS einzuführen, kann es nun endlich losgehen. Zu Beginn sollte Sie noch die Grundlagen des ISMS

Mehr

Lösungen die standhalten.

Lösungen die standhalten. Aufbau eines Information Security Management Systems in der Praxis 14.01.2010, München Dipl. Inform. Marc Heinzmann, ISO 27001 Auditor Lösungen die standhalten. plan42 GmbH Wir sind ein reines Beratungsunternehmen

Mehr

IT-Grundschutz IT-Sicherheit ohne Risiken Und Nebenwirkungen

IT-Grundschutz IT-Sicherheit ohne Risiken Und Nebenwirkungen IT-Sicherheit ohne Risiken Und Nebenwirkungen Bundesamt für Sicherheit in der Informationstechnik Grundlagen der Informationssicherheit und 1. -Tag 03.02.2015 Agenda Das BSI Informationssicherheit Definition

Mehr

Zertifizierung der IT nach ISO 27001 - Unsere Erfahrungen -

Zertifizierung der IT nach ISO 27001 - Unsere Erfahrungen - Zertifizierung der IT nach ISO 27001 - Unsere Erfahrungen - Agenda Die BDGmbH Gründe für eine ISO 27001 Zertifizierung Was ist die ISO 27001? Projektablauf Welcher Nutzen konnte erzielt werden? Seite 2

Mehr

Informationssicherheit zentral koordiniert IT-Sicherheitsbeauftragter

Informationssicherheit zentral koordiniert IT-Sicherheitsbeauftragter Informationssicherheit zentral koordiniert IT-Sicherheitsbeauftragter Informationssicherheit lösungsorientiert Informationssicherheit ist für Unternehmen mit IT-basierten Prozessen grundlegend: Neben dem

Mehr

Kapitel 2: Grundlagen. Wolfgang Hommel, Helmut Reiser, LRZ, WS 14/15 IT-Sicherheit 1

Kapitel 2: Grundlagen. Wolfgang Hommel, Helmut Reiser, LRZ, WS 14/15 IT-Sicherheit 1 Kapitel 2: Grundlagen Wolfgang Hommel, Helmut Reiser, LRZ, WS 14/15 IT-Sicherheit 1 Kapitel 2: Inhalt 1. Grundlegende Ziele der IT-Sicherheit 2. Kategorisierung von Sicherheitsmaßnahmen 3. Standards der

Mehr

Zentrum für Informationssicherheit

Zentrum für Informationssicherheit SEMINARE 2015 Zentrum für Informationssicherheit Informationssicherheitsmanagement BSI- Grundschutz in der Praxis Informationssicherheit nach BSI-Grundschutz und ISO 27001 im Praxisvergleich Cyber Akademie

Mehr

Die Vorgaben des IT-Planungsrates Leitlinie für Informationssicherheit der öffentlichen Verwaltung

Die Vorgaben des IT-Planungsrates Leitlinie für Informationssicherheit der öffentlichen Verwaltung Die Vorgaben des IT-Planungsrates Leitlinie für Informationssicherheit der öffentlichen Verwaltung Dr. Stefan Grosse Bundesministerium des Innern, Leiter Referat IT5 (IT5@bmi.bund.de) IT-Infrastrukturen

Mehr

BSI Technische Richtlinie

BSI Technische Richtlinie Seite 1 von 13 BSI Technische Richtlinie BSI Bezeichnung: Technische Richtlinie De-Mail Bezeichnung: Anwendungsbereich: De-Mail Sicherheit Modulübergreifend Anwendungsbereich: Kürzel: BSI De-Mail TR 01201

Mehr

Voraussetzungen zur Durchführung eines Hauptaudits nach DIN EN ISO 9001:2000

Voraussetzungen zur Durchführung eines Hauptaudits nach DIN EN ISO 9001:2000 VdS SCHADENVERHÜTUNG Herausgeber: Verlag: VdS Schadenverhütung VdS Schadenverhütung VdS-Merkblatt für die Voraussetzungen zur Durchführung eines Hauptaudits nach DIN EN ISO 9001:2000 VdS 2522 : 2002-03

Mehr

Sicherheitstechnische Qualifizierung (SQ), Version 10.0 Security Assurance Level SEAL-5

Sicherheitstechnische Qualifizierung (SQ), Version 10.0 Security Assurance Level SEAL-5 Die Zertifizierungsstelle der TÜV Informationstechnik GmbH bescheinigt hiermit dem Unternehmen e-netz Südhessen GmbH & Co. KG Dornheimer Weg 24 64293 Darmstadt für das IT System Querverbundleitstelle Darmstadt

Mehr

Kooperationsgruppe Informationssicherheit des IT-PLR. Leitlinie für die Informationssicherheit. in der öffentlichen Verwaltung

Kooperationsgruppe Informationssicherheit des IT-PLR. Leitlinie für die Informationssicherheit. in der öffentlichen Verwaltung Kooperationsgruppe Informationssicherheit des IT-PLR Leitlinie für die Informationssicherheit in der öffentlichen Verwaltung - Hauptdokument - Stand 19.02.2013 Version 1.8 (10. IT-Planungsrat Beschluss

Mehr

Einführung eines ISMS nach ISO 27001. Kai Wittenburg, Geschäftsführer/CEO, ISO27001-Auditor (BSI)

Einführung eines ISMS nach ISO 27001. Kai Wittenburg, Geschäftsführer/CEO, ISO27001-Auditor (BSI) Einführung eines ISMS nach ISO 27001 Kai Wittenburg, Geschäftsführer/CEO, ISO27001-Auditor (BSI) Was ist Informationssicherheit? Vorhandensein von Integrität Vertraulichkeit und Verfügbarkeit in einem

Mehr

(IT-SICHERHEITSGRUNDSÄTZE)

(IT-SICHERHEITSGRUNDSÄTZE) Senatsverwaltung für Inneres und Sport 1 GRUNDSÄTZE ZUR GEWÄHRLEISTUNG DER NOTWENDIGEN SICHERHEIT BEIM IT-EINSATZ IN DER BERLINER VERWALTUNG (IT-SICHERHEITSGRUNDSÄTZE) (beschlossen vom Senat am 11.12.07)

Mehr

Datenschutz. und Synergieeffekte. Verimax GmbH. Blatt 1. Autor:Stefan Staub Stand

Datenschutz. und Synergieeffekte. Verimax GmbH. Blatt 1. Autor:Stefan Staub Stand Datenschutz und Synergieeffekte Verimax GmbH Autor:Stefan Staub Stand Blatt 1 Nicht weil es schwer ist, wagen wir es nicht, sondern weil wir es nicht wagen, ist es schwer. Lucius Annaeus Seneca röm. Philosoph,

Mehr

BSI-Mindestsicherheitsanforderungen an Cloud-Computing-Anbieter

BSI-Mindestsicherheitsanforderungen an Cloud-Computing-Anbieter BSI-Mindestsicherheitsanforderungen an Cloud-Computing-Anbieter Alex Didier Essoh und Dr. Clemens Doubrava EuroCloud Deutschland_eco e.v. Köln 02.02.2011 Ziel Ziel des BSI ist es, gemeinsam mit den Marktteilnehmern

Mehr

Die Bestellung des IT-Sicherheitsbeauftragten

Die Bestellung des IT-Sicherheitsbeauftragten Die Bestellung des IT-Sicherheitsbeauftragten Ein Überblick für Energieversorger, die ein Informationssicherheits- Management-System einführen wollen. Stand: Juli 2015 Executive Summary Der IT-Sicherheitskatalog

Mehr

IT-Sicherheit - Sicherheit vernetzter Systeme -

IT-Sicherheit - Sicherheit vernetzter Systeme - IT-Sicherheit - Sicherheit vernetzter Systeme - Kapitel 2: Grundlagen Folienversion: 18.10.2013 Wolfgang Hommel, Helmut Reiser, LRZ, WS 13/14 IT-Sicherheit 1 Kapitel 2: Inhalt 1. Grundlegende Ziele der

Mehr

Sicherheitstechnische Qualifizierung (SQ), Version 10.0 Security Assurance Level SEAL-3

Sicherheitstechnische Qualifizierung (SQ), Version 10.0 Security Assurance Level SEAL-3 Die Zertifizierungsstelle der TÜV Informationstechnik GmbH bescheinigt hiermit dem Unternehmen Deutsche Telekom AG Products & Innovation T-Online-Allee 1 64295 Darmstadt für das IT-System Developer Garden

Mehr

Sicherheitstechnische Qualifizierung (SQ), Version 10.0 Security Assurance Level SEAL-3

Sicherheitstechnische Qualifizierung (SQ), Version 10.0 Security Assurance Level SEAL-3 Die Zertifizierungsstelle der TÜV Informationstechnik GmbH bescheinigt hiermit dem Unternehmen RWE Effizienz GmbH Flamingoweg 1 44139 Dortmund für das IT-System RWE eoperate IT Services die Erfüllung aller

Mehr

wir müssen reden. Über Qualität!

wir müssen reden. Über Qualität! wir müssen reden. Über Qualität! "Made in Quality - Made for Success" 1 Auditors Liebling! Der Messmittelmanagementprozess Jörg Roggensack Warum Auditors Liebling? Es ist eine muss Forderung jeder Systemnorm!

Mehr

Datenschutz- und Datensicherheitskonzept der e.consult AG (Kurzversion)

Datenschutz- und Datensicherheitskonzept der e.consult AG (Kurzversion) Datenschutz- und Datensicherheitskonzept der e.consult AG (Kurzversion) I. Ziel des Datenschutzkonzeptes Das Datenschutzkonzept stellt eine zusammenfassende Dokumentation der datenschutzrechtlichen Aspekte

Mehr

Einstieg in ein kommunales Informationssicherheits- Managementsystem (ISMS)

Einstieg in ein kommunales Informationssicherheits- Managementsystem (ISMS) 32.Forum Kommunikation und Netze 25. und 26. März 2015 in Rotenburg a. d. Fulda Einstieg in ein kommunales Informationssicherheits- Managementsystem (ISMS) Stefan Wojciechowski IT-Sicherheitsbeauftragter

Mehr

Hinweise zur Umsetzung und den Obliegenheiten im Rahmen von Outsourcing in Kreditinstituten.

Hinweise zur Umsetzung und den Obliegenheiten im Rahmen von Outsourcing in Kreditinstituten. AT 9 der MaRisk Hinweise zur Umsetzung und den Obliegenheiten im Rahmen von Outsourcing in Kreditinstituten. MC-Bankrevision, www.mc-bankrevision.de Stand 18.04.2013 1 Outsourcing nach AT 9 der MaRisk

Mehr

ISO 27000 mit oder ohne BSI-Grundschutz? Oliver Müller

ISO 27000 mit oder ohne BSI-Grundschutz? Oliver Müller ISO 27000 mit oder ohne BSI-Grundschutz? Oliver Müller Agenda ISO 27001+BSI IT Grundschutz ISO 27001 nativ Eignung Fazit http://www.bsi.bund.de Grundsätzlicher Analyseansatz Prozess benötigt Anwendungen

Mehr

Zentrum für Informationssicherheit

Zentrum für Informationssicherheit SEMINARE 2015 Zentrum für Informationssicherheit mit TÜV Rheinland geprüfter Qualifikation 16. 20. November 2015, Berlin Cyber Akademie (CAk) ist eine eingetragene Marke www.cyber-akademie.de IT-Sicherheitsbeauftragte

Mehr

IT-Sicherheitsmanagement IT Security Management

IT-Sicherheitsmanagement IT Security Management Sommerakademie 2006, 28. August, Kiel Summer Conference 2006, 28th August, Kiel IT-Sicherheitsmanagement IT Security Management Dr. Martin Meints, ULD Dr. Martin Meints, ICPP Inhalt Allgemeine Überlegungen

Mehr

Inhaltsverzeichnis. Einleitung 15

Inhaltsverzeichnis. Einleitung 15 Inhaltsverzeichnis Einleitung 15 1 Umfang und Aufgabe des IT-Security Managements 19 1.1 Kapitelzusammenfassung 19 1.2 Einführung 19 1.3 Informationen und Daten 20 1.4 IT-Security Management ist wichtig

Mehr

International anerkannter Standard für IT-Sicherheit: ISO27001 - Umsetzung und Zertifizierung auf der Basis von BSI Grundschutz

International anerkannter Standard für IT-Sicherheit: ISO27001 - Umsetzung und Zertifizierung auf der Basis von BSI Grundschutz AUTOMOTIVE INFOKOM VERKEHR & UMWELT LUFTFAHRT RAUMFAHRT VERTEIDIGUNG & SICHERHEIT International anerkannter Standard für IT-Sicherheit: ISO27001 - Umsetzung und Zertifizierung auf der Basis von BSI Grundschutz

Mehr

Arbeitskreis Sichere Smart Grids Kick-off

Arbeitskreis Sichere Smart Grids Kick-off Arbeitskreis Sichere Smart Grids Kick-off 30. Juli 2013, 16.30 bis 18.30 Uhr secunet Security Networks AG, Konrad-Zuse-Platz 2, 81829 München Leitung: Steffen Heyde, secunet Agenda: 16.30 Uhr Begrüßung

Mehr

Vereinbarung über den elektronischen Datenaustausch (EDI)

Vereinbarung über den elektronischen Datenaustausch (EDI) Vereinbarung über den elektronischen Datenaustausch (EDI) Die Vereinbarung über den elektronischen Datenaustausch (EDI) wird getroffen von und zwischen: Energieversorgung Filstal GmbH & Co. KG Großeislinger

Mehr

Rolle eines Threat Management Centers im Rahmen des Risikomanagements nach ISO 27001

Rolle eines Threat Management Centers im Rahmen des Risikomanagements nach ISO 27001 Rolle eines Threat Management Centers im Rahmen des Risikomanagements nach ISO 27001 Aleksei Resetko, CISA, CISSP Security Global Competence Center 18.02.2009 Agenda 1.! ISO 27001 Überblick 2.! Anforderungen

Mehr

Zertifizierung IT-Sicherheitsbeauftragter

Zertifizierung IT-Sicherheitsbeauftragter Zertifizierung IT-Sicherheitsbeauftragter Ablauf der Zertifizierung / Zertifizierung von Organisationen Prof. Kathrin Winkler / Prof. Jürgen Müller Agenda 1. Fortbildungsweg 2. Projektarbeit und dpüf Prüfung

Mehr

... - nachstehend Auftraggeber genannt - ... - nachstehend Auftragnehmer genannt

... - nachstehend Auftraggeber genannt - ... - nachstehend Auftragnehmer genannt Vereinbarung zur Auftragsdatenverarbeitung gemäß 11 Bundesdatenschutzgesetz zwischen... - nachstehend Auftraggeber genannt - EDV Sachverständigen- und Datenschutzbüro Michael J. Schüssler Wirtschaftsinformatiker,

Mehr

Informations- / IT-Sicherheit Standards

Informations- / IT-Sicherheit Standards Ziele Informations- / IT-Sicherheit Standards Überblick über Ziele, Anforderungen, Nutzen Ingrid Dubois Grundlage zuverlässiger Geschäftsprozesse Informationssicherheit Motivation Angemessenen Schutz für

Mehr

Regulierung. IT-Sicherheit im Fokus der Aufsichtsbehörden

Regulierung. IT-Sicherheit im Fokus der Aufsichtsbehörden Regulierung IT-Sicherheit im Fokus der Aufsichtsbehörden Risikomanagement nach MaRisk beinhaltet auch das Management von IT-Risiken. Dies ist an sich nicht neu, die Anforderungen nehmen aber durch Ergebnisse

Mehr

Praxisleitfaden IT-Sicherheitskatalog. Anforderungen an die IT für den sicheren Betrieb von Energieversorgungsnetzen. www.bitkom.

Praxisleitfaden IT-Sicherheitskatalog. Anforderungen an die IT für den sicheren Betrieb von Energieversorgungsnetzen. www.bitkom. Praxisleitfaden IT-Sicherheitskatalog Anforderungen an die IT für den sicheren Betrieb von Energieversorgungsnetzen www.bitkom.org Praxisleitfaden IT-Sicherheitskatalog Herausgeber Bitkom Bundesverband

Mehr

IT-Sicherheitspolitik. der teilnehmenden Hochschulen und Forschungseinrichtungen in Schleswig-Holstein

IT-Sicherheitspolitik. der teilnehmenden Hochschulen und Forschungseinrichtungen in Schleswig-Holstein der teilnehmenden Hochschulen und Forschungseinrichtungen in Schleswig-Holstein Teilnehmende Institutionen Flensburg Universität Flensburg Christian- Albrechts- Universität IFM-GEOMAR Kiel Muthesius Kunsthochschule

Mehr

Sicherheitstechnische Qualifizierung (SQ), Version 10.0 Security Assurance Level SEAL-5

Sicherheitstechnische Qualifizierung (SQ), Version 10.0 Security Assurance Level SEAL-5 Die Zertifizierungsstelle der TÜV Informationstechnik GmbH bescheinigt hiermit dem Unternehmen SLA Software Logistik Artland GmbH Friedrichstraße 30 49610 Quakenbrück für das IT-System Meat Integrity Solution

Mehr

Vereinbarung über den elektronischen Datenaustausch

Vereinbarung über den elektronischen Datenaustausch Vereinbarung über den elektronischen Datenaustausch RECHTLICHE BESTIMMUNGEN Die Vereinbarung über den elektronischen Datenaustausch (EDI) wird getroffen von und zwischen: Stadtwerke Heidelberg Netze GmbH

Mehr

Vereinbarung über den elektronischen Datenaustausch (EDI)

Vereinbarung über den elektronischen Datenaustausch (EDI) Vereinbarung über den elektronischen Datenaustausch (EDI) RECHTLICHE BESTIMMUNGEN Die Vereinbarung über den elektronischen Datenaustausch (EDI) wird getroffen von und zwischen: ZVO Energie GmbH und...

Mehr

Kriterienkatalog und Vorgehensweise zur Auditierung und Zertifizierung gemäß ISO 27001. datenschutz cert GmbH Version 1.0

Kriterienkatalog und Vorgehensweise zur Auditierung und Zertifizierung gemäß ISO 27001. datenschutz cert GmbH Version 1.0 Kriterienkatalog und Vorgehensweise zur Auditierung und Zertifizierung gemäß ISO 27001 datenschutz cert GmbH Version 1.0 Inhaltsverzeichnis Kriterienkatalog und Vorgehensweise zur Auditierung und Zertifizierung

Mehr

Stadtwerke Homburg GmbH Lessingstraße 3 66424 Homburg

Stadtwerke Homburg GmbH Lessingstraße 3 66424 Homburg Vereinbarung über den elektronischen Datenaustausch (EDI) RECHTLICHE BESTIMMUNGEN Die Vereinbarung über den elektronischen Datenaustausch (EDI) wird getroffen von und zwischen: Stadtwerke Homburg GmbH

Mehr

3612 Seiten IT-Sicherheit - ISO 27001 auf der Basis von IT-Grundschutz

3612 Seiten IT-Sicherheit - ISO 27001 auf der Basis von IT-Grundschutz 3612 Seiten IT-Sicherheit - ISO 27001 auf der Basis von IT-Grundschutz Institut für Informatik und Automation Dipl.-Inf. Günther Diederich Institut für Informatik und Automation In-Institut der Hochschule

Mehr

Vereinbarung über den elektronischen Datenaustausch (EDI)

Vereinbarung über den elektronischen Datenaustausch (EDI) Vereinbarung über den elektronischen Datenaustausch (EDI) RECHTLICHE BESTIMMUNGEN Die Vereinbarung über den elektronischen Datenaustausch (EDI) wird getroffen von und zwischen: und EWR Netze GmbH Friedrichstr.

Mehr

Informationssicherheitsmanagement

Informationssicherheitsmanagement Informationssicherheitsmanagement Q_PERIOR AG 2014 www.q-perior.com Einführung Die Herausforderungen an die Compliance in der Informationssicherheit steigen Neue Technologien Fraud und Industriespionage

Mehr

Vereinbarung über den elektronischen Datenaustausch (EDI)

Vereinbarung über den elektronischen Datenaustausch (EDI) Vereinbarung über den elektronischen Datenaustausch (EDI) RECHTLICHE BESTIMMUNGEN Die Vereinbarung über den elektronischen Datenaustausch (EDI) wird getroffen von und zwischen: Stadtwerke Vilshofen GmbH

Mehr

Vereinbarung über den elektronischen Datenaustausch (EDI)

Vereinbarung über den elektronischen Datenaustausch (EDI) Vereinbarung über den elektronischen Datenaustausch (EDI) RECHTLICHE BESTIMMUNGEN Die Vereinbarung über den elektronischen Datenaustausch (EDI) wird getroffen von und zwischen: Stadtwerke Konstanz GmbH

Mehr

Vereinbarung über den Elektronischen Datenaustausch (EDI)

Vereinbarung über den Elektronischen Datenaustausch (EDI) Vereinbarung über den Elektronischen Datenaustausch (EDI) zwischen und Energie- und Wasserversorgung Bruchsal GmbH Schnabel-Henning-Straße 1a 76646 Bruchsal im Folgenden Parteien genannt EDI Stand 10.2009

Mehr

Security. Voice +41 (0)55 214 41 56 Fax +41 (0)55 214 41 57 Mobile +41 (0)79 336 56 76 E-Mail felix.widmer@tan-group.ch Web www.tan-group.

Security. Voice +41 (0)55 214 41 56 Fax +41 (0)55 214 41 57 Mobile +41 (0)79 336 56 76 E-Mail felix.widmer@tan-group.ch Web www.tan-group. Security Felix Widmer TCG Tan Consulting Group GmbH Hanflaenderstrasse 3 CH-8640 Rapperswil SG Voice +41 (0)55 214 41 56 Fax +41 (0)55 214 41 57 Mobile +41 (0)79 336 56 76 E-Mail felix.widmer@tan-group.ch

Mehr

Information Security Management System

Information Security Management System WHITEPAPER Information Security Management System Grundpfeiler der Informationssicherheit Information Security Management System Grundpfeiler der Informationssicherheit Welche Werte gilt es zu schützen?

Mehr

Vereinbarung über den elektronischen Datenaustausch (EDI)

Vereinbarung über den elektronischen Datenaustausch (EDI) Vereinbarung über den elektronischen Datenaustausch (EDI) RECHTLICHE BESTIMMUNGEN Die Vereinbarung über den elektronischen Datenaustausch (EDI) wird getroffen von und zwischen:, Unterkotzauer Weg 25, 95028

Mehr

Anlage 3 Vereinbarung über den elektronischen Datenaustausch (EDI)

Anlage 3 Vereinbarung über den elektronischen Datenaustausch (EDI) Anlage 3 Vereinbarung über den elektronischen Datenaustausch (EDI) RECHTLICHE BESTIMMUNGEN Die Vereinbarung über den elektronischen Datenaustausch (EDI) wird getroffen von und zwischen: Stadtwerke Rinteln

Mehr