FNN-Hinweis. IT-Sicherheit in Stromnetzen

Save this PDF as:
 WORD  PNG  TXT  JPG

Größe: px
Ab Seite anzeigen:

Download "FNN-Hinweis. IT-Sicherheit in Stromnetzen"

Transkript

1 FNN-Hinweis IT-Sicherheit in Stromnetzen Einordnung bestehender Regeln, Richtlinien und Gesetzesinitiativen März 2015

2 Impressum Forum Netztechnik / Netzbetrieb im VDE (FNN) Bismarckstraße 33, Berlin Telefon: + 49 (0) Fax: + 49 (0) Internet: März 2015

3 IT-Sicherheit in Stromnetzen Einordnung bestehender Regeln, Richtlinien und Gesetzesinitiativen

4 Inhaltsverzeichnis 1 Einleitung Bedeutung der IT-Sicherheit in der Stromversorgung Begriffe und wesentliche informationstechnische Schutzziele Bestehende Initiativen Initiativen des Gesetzgebers / Regulators IT-Sicherheitsgesetz (IT-SIG) IT-Sicherheitskatalog Bundesamt für Sicherheit in der Informationstechnik (BSI) Grundschutz Normen und Richtlinien DIN ISO/IEC 27000er Reihe IEC Weitere Dokumente BDEW Whitepaper Bewertung und Einordnung Wirksamkeit der bestehenden Regeln Schlussfolgerung und Handlungsempfehlung... 23

5 Abbildungsverzeichnis Abbildung 1- Regelungshierarchie bestehender Initiativen Abbildung 2- Zusammenspiel der Normenreihe IEC

6 Vorwort Die Unterstützung durch Informations- und Kommunikationstechnik-Systeme (IKT) mit der wachsenden Abhängigkeit von Selbigen geht mit Chancen und Risiken einher. Um die Vorteile moderner IKT sicher nutzen zu können, wird ein angemessener Schutz gegen Bedrohungen auch im Bereich der Stromversorgung und Netzsteuerung auf unterschiedlichen Ebenen angestrebt. Neben der gesetzlichen Initiative mit dem Entwurf eines Gesetzes zur Erhöhung der Sicherheit informationstechnischer Systeme gibt es eine Vielzahl an weiteren Regelungen, Normen und Empfehlungen, deren Ziel es ist, die Sicherheit in Energieversorgungsunternehmen zu gewährleisten. Mit dem geplanten IT-Sicherheitsgesetz sollen besonders schützenswerte und sogenannte kritische Infrastrukturen (KRITIS) wie Energie- oder Telekommunikationsnetze besser vor Beeinträchtigungen und Missbrauch durch IT-Systeme geschützt werden. Im Dezember 2013 ist zudem ein IT-Sicherheitskatalog der BNetzA gem. 11 Abs. 1a EnWG für Systeme zur Netzsteuerung als Entwurf veröffentlicht worden, in dem wesentliche Anforderungen an Netzbetreiber gestellt werden. Parallel dazu werden Normungsaktivitäten und weitere Empfehlungen erarbeitet bzw. aktualisiert, die zunehmend auch dem Thema Netzbetrieb und Netztechnik zuzuordnen sind wie z.b. die DIN ISO/IEC Normungsreihe und die IEC Normungsreihe. Das vorliegende Dokument soll eine grundlegende Einordnung der bestehenden Normen und Regelwerke vornehmen, die für den (informationstechnisch) sicheren Netzbetrieb notwendig sind. Darauf aufbauend wurde eine Analyse und ein Ausblick auf den weiteren Handlungsbedarf für die Ausgestaltung einer sicheren Informationstechnik (IT) im Netzbetrieb erarbeitet. Der Hinweis richtet sich an Netzbetreiber und Netzserviceunternehmen. Im Fokus steht dabei die Stromversorgung. Die folgenden Überlegungen sind grundsätzlich auch in spartenübergreifenden Unternehmen und spartenspezifische Aspekte innerhalb der Prozess-IT anwendbar. Bedingt durch die physikalischen Eigenschaften und die technischen Besonderheiten der Stromversorgung besteht hier eine besondere Abhängigkeit von der Informations- und Kommunikationstechnik und deren inhärenten Sicherheit. Fokus dieses Dokuments sind die bestehenden oder absehbar in Kraft tretenden nationalen Normen (inkl. Vornormen), Gesetze und Richtlinien (Stand Januar 2015). Darüber hinaus existieren weitere Regelwerke, u.a. auf europäischer Ebene (z.b. ENISA), welche nicht Teil der Betrachtungen dieses Dokuments sind. 6/24 IT Sicherheit in Stromnetzen März 2015 VDE FNN

7 1 Einleitung 1.1 Bedeutung der IT-Sicherheit in der Stromversorgung Die Informationstechnologie im Prozess des Netzbetriebes (Prozess-IT) erfüllt viele Funktionen zur Steuerung und zum Betrieb eines Versorgungsnetzes, um der Verantwortung der öffentlichen Versorgung bei gleichbleibend hoher Qualität nachzukommen. Dies umfasst die steuerungs- (Schutz-, Leit- und Fernwirktechnik) und nachrichtentechnischen Systeme (z.b. Datennetze) sowie die zentralen Systeme der Prozessdatenverarbeitung (z.b. Leitstelle). Sie dienen damit der Unterstützung der primärtechnischen Prozesse und sind unabdingbar für die Ausführung der Aufgaben der Netzführung. Diese Systeme erfüllen Funktionen ( Melden, Messen, Steuern, Schutzfunktionen und die zugehörigen Prozessdatenkommunikations-Techniken) sowohl an dezentral verteilten Standorten des Stromnetzes (z.b. in Umspannanlagen) als auch an den zentralen Netzführungsstandorten (Leitstellen). Darüber hinaus werden die zentralen Prozessdatenverarbeitungssysteme zur Unterstützung von betrieblich relevanten Aufgabenstellungen und Prozessen benötigt. Dabei nimmt die Komplexität des Gesamtsystems kontinuierlich zu. Der Anteil der Prozess-IT an der Netzbetriebsführung gewinnt weiter an Relevanz und hat zur Folge, dass aus den vormaligen Schaltanlagen komplexe IT-Systeme geworden sind. Haupttreiber sind: Zunehmende Digitalisierung der Systeme und Anlagentechnik im Netzbetrieb Stärkere Kopplung mit öffentlichen und fremden Netzen Wachsende Anzahl dezentraler Erzeugungsanlagen mit IT-Ankopplung Die zunehmende Interaktion zwischen den Netzebenen und Netzbetreibern mit einem vermehrten Austausch von Informationen und Daten (Integration der involvierten IT-Systeme) Die stärkere Vernetzung über die Wertschöpfungsstufen in der Energieversorgung Für die genannten Komponenten der Prozess-IT ergibt sich vor dem Hintergrund der Wahrnehmung der öffentlichen Versorgungsaufgabe ein hoher Schutzbedarf. Dabei besteht insbesondere an den Schnittstellen zur Prozess-IT ein erhöhtes Risiko für Angriffe, Beeinträchtigungen oder Manipulation durch Dritte. Die Auswirkungen möglicher Beeinträchtigungen differieren spartenspezifisch. Stromspezifische Herausforderungen an die IT-Sicherheit sind: Durch IT-Probleme ausgelöste Beeinträchtigungen können sich aufgrund der elektrotechnischen Besonderheiten direkt und in Echtzeit auf das Netz und andere Systeme auswirken. Ein extrem robustes und zuverlässiges Zusammenwirken der am Netz gekoppelten Komponenten bedingt, dass die Anforderungen an die IT-Sicherheit im Netzbetrieb im gleichen Maße auch für externe Komponenten gelten müssen. Zur Prozess-IT gehören grundsätzlich keine Systeme der allgemeinen Büro-IT, wie z.b. Arbeitsplatzrechner für Verwaltungsaufgaben, Konstruktions- und Planungssysteme usw. Die Ausprägung der Prozess-IT kann individuell und unternehmensspezifisch variieren und festgelegt werden. VDE FNN März 2015 IT Sicherheit in Stromnetzen 7/24

8 1.2 Begriffe und wesentliche informationstechnische Schutzziele Die normative Bedeutung der Fachbegriffe im Kontext der IT-Sicherheit ist in der entsprechenden Fachliteratur nachzulesen. Die nach Auffassung des FNN besonders und zum Verständnis des FNN Hinweises wichtigen Begriffe sind im Folgenden kurz dargestellt: IT-Sicherheit: IT-Sicherheit bezeichnet einen Zustand, in dem die Risiken, die beim Einsatz von Informationstechnik aufgrund von Bedrohungen und Schwachstellen vorhanden sind, durch angemessene Maßnahmen auf ein tragbares Maß reduziert sind. IT-Sicherheit ist also der Zustand, in dem Vertraulichkeit, Integrität, Verfügbarkeit und Authentizität von Informationen und Informationstechnik durch angemessene Maßnahmen geschützt sind. Informationssicherheit: Informationssicherheit hat den Schutz von Informationen als Ziel. Dabei können Informationen sowohl auf Papier, in Rechnern oder auch in Köpfen gespeichert sein. IT-Sicherheit beschäftigt sich an erster Stelle mit dem Schutz elektronisch gespeicherter Informationen und deren Verarbeitung. Der Begriff "Informationssicherheit" statt IT-Sicherheit ist daher umfassender und wird zunehmend verwendet. Schutzziele: Als Schutzziele sind primär die Vertraulichkeit, die Integrität, die Authentizität sowie die Verfügbarkeit von Informations-Assets (Schutzgüter der IT-Sicherheit) zu betrachten. In der Praxis können weitere Schutzziele Bedeutung haben, z.b. die Nachweisbarkeit bzw. die Nicht-Abstreitbarkeit von Handlungen oder die Zuverlässigkeit von Services. Verfügbarkeit: Die Verfügbarkeit von Informationen, Funktionen eines IT-Systems, IT- Anwendungen oder IT-Netzen ist vorhanden, wenn diese von den Anwendern stets wie vorgesehen genutzt werden können. Vertraulichkeit: Vertraulichkeit ist der Schutz vor unbefugter Preisgabe von Informationen. Vertrauliche Daten und Informationen dürfen ausschließlich Befugten in der zulässigen Weise zugänglich sein. Integrität: Integrität bezeichnet die Sicherstellung der Korrektheit (Unversehrtheit) von Daten und der korrekten Funktionsweise von Systemen. Authentizität: Mit dem Begriff Authentizität wird die Eigenschaft bezeichnet, die gewährleistet, dass ein Kommunikationspartner bzw. eine Information tatsächlich die Identität besitzt, die dieser bzw. diese vorgibt. Risikoeinschätzung: Ein Risiko ist die häufig auf Berechnungen beruhende Vorhersage eines möglichen Schadens. Mit einer Risikoeinschätzung wird untersucht, welche schädigenden Ereignisse eintreten können, wie wahrscheinlich das Eintreten eines schädigenden Ereignisses ist und welche Auswirkungen der Schaden hätte. Die Risikoeinschätzung ist im Zusammenhang mit IT-Sicherheit von zentraler Bedeutung. Schwachstellenanalyse: Die Schwachstellenanalyse soll alle potentiellen und tatsächlichen Lücken oder Abweichungen von einem definierten Sicherheitsniveau erheben. Sie kann technische und organisatorische Implikationen beinhalten. Schutzbedarfsfeststellung: Bei der Schutzbedarfsfeststellung wird der Schutzbedarf der Geschäftsprozesse, der verarbeiteten Informationen und der IT-Komponenten bestimmt. Hierzu werden für jede Anwendung und die verarbeiteten Informationen die zu erwartenden Schäden betrachtet. 8/24 IT Sicherheit in Stromnetzen März 2015 VDE FNN

9 Schutzmaßnahmen: Unter Schutzmaßnahmen werden alle organisatorischen und technischen Maßnahmen zur Erreichung oder Verbesserung eines definierten Sicherheitsniveaus verstanden. Der Schutzbedarf eines Geschäftsprozesses, also der in diesem Prozess verarbeiteten Daten und für die Datenverarbeitung verwendeten technischen Systeme, wird auf Grundlage spezifischer und konkreter Schutzziele festgelegt. Die Risikoeinschätzung führt die Schutzbedarfsfeststellung und die Schwachstellenanalyse zusammen. Im Ergebnis der Risikoeinschätzung werden geeignete Maßnahmen (Akzeptanz, Vermeidung, Übertragung, Minimierung) festgelegt, um identifizierte Risiken zu behandeln und das definierte Sicherheitsniveau zu erreichen. Wesentliche Bedrohungen, die im Rahmen der IT-Sicherheitskonzeption berücksichtigt werden: Verlust/Zerstörung von Systemen/Komponenten Verlust elementarer Versorgungssysteme Kompromittierte Informationen Technisches Versagen Nicht autorisierte Zugriffe und Aktionen Verlust/Einschränkung der Funktionen Menschliches Versagen Darüber hinaus existieren weitere Bedrohungen. VDE FNN März 2015 IT Sicherheit in Stromnetzen 9/24

10 2 Bestehende Initiativen In dem folgenden Kapitel werden die bestehenden Initiativen zur IT-Sicherheit eingeordnet. Aus Sicht des FNN ergänzen sich die folgenden Regelwerke, wobei vereinzelte Überschneidungen nicht ausgeschlossen sind. Abbildung 1- Regelungshierarchie bestehender Initiativen Die hier dargestellten Gesetze, Verordnungen, Normen, Anwendungsregeln und sonstige Regelwerke werden i.d.r. durch unternehmensspezifische Richtlinien und Vorgaben unterlegt. 2.1 Initiativen des Gesetzgebers / Regulators IT-Sicherheitsgesetz (IT-SIG) Kurzbeschreibung Der Gesetzentwurf der Bundesregierung liegt vor. Es wird erwartet, dass das Gesetz im 2. Quartal 2015 in Kraft treten wird. Ziel des Gesetzes ist es, u.a. durch Sicherheitsanforderungen und Meldepflichten bei IT-Sicherheitsvorfällen das IT-Sicherheitsniveau bei Unternehmen, die Betreiber kritischer Infrastrukturen sind, zu erhöhen. Es handelt sich um ein Artikel-Gesetz, das unter anderem durch Änderungen im EnWG und im BSIG wirkt. Dies hat wiederum Auswirkungen auf die Ausprägung des IT-Sicherheitskatalogs der BNetzA (siehe 2.1.2) Ziel/Fokus/Geltungsbereich Gemäß dem Gesetzentwurf sind alle Betreiber kritischer Infrastrukturen betroffen. Von den insgesamt sieben Sektoren betreffen die Folgenden die Energie- und Wasserversorgung: 10/24 IT Sicherheit in Stromnetzen März 2015 VDE FNN

11 Sektor Energie (Stromversorgung, Erdgas) Sektor Wasser Sektor Informationstechnik und Telekommunikation Durch das Gesetz bzw. eine entsprechende Rechtsverordnung wird definiert, welche Einrichtungen, Anlagen oder Bestandteile als kritische Infrastrukturen gelten. Es werden grundlegende, allgemeine Anforderungen für die Umsetzung von Informationssicherheit definiert. Konkrete Anforderungen sind für die Ausprägung von Kontaktstellen und Meldeprozessen genannt, ohne jedoch genaue Schwellwerte und Kriterien festzulegen Anwendbarkeit Bei dem IT-Sicherheitsgesetz handelt es sich um eine staatliche Vorgabe, welche obligatorisch umzusetzen ist. Der Betrieb eines sicheren Energieversorgungsnetzes umfasst einen angemessenen Schutz gegen Bedrohungen für Telekommunikations- und elektronische Datenverarbeitungssysteme. Für Betreiber von Energieversorgungsnetzen, die als kritische Infrastruktur eingestuft werden, gilt: innerhalb von zwei Jahren nach Inkrafttreten der Rechtsverordnung sind Maßnahmen für einen angemessenen Schutz gegen Bedrohungen durchzuführen. dass sie dem Bundesamt für Sicherheit in der Informationstechnik erhebliche Störungen der Verfügbarkeit, Integrität, Authentizität und Vertraulichkeit ihrer informationstechnischen Systeme, Komponenten oder Prozesse unverzüglich melden, wenn diese zu einem Ausfall oder einer Beeinträchtigung der Funktionsfähigkeit des Energieversorgungsnetzes oder der betreffenden Energieanlage führen können oder bereits geführt haben. Darüber hinaus erstellt die Regulierungsbehörde hierzu im Benehmen mit dem Bundesamt für Sicherheit in der Informationstechnik einen Katalog von Sicherheitsanforderungen und veröffentlicht diesen (siehe 2.1.2). Netzbetreiber als Betreiber kritischer Infrastrukturen sind somit verpflichtet, binnen zwei Jahren nach Inkrafttreten der Rechtsverordnung angemessene organisatorische und technische Vorkehrungen und sonstige Maßnahmen zum Schutz derjenigen informationstechnischen Systeme, Komponenten oder Prozesse zu treffen, die für die Funktionsfähigkeit der von ihnen betriebenen kritischen Infrastrukturen maßgeblich sind. Dabei ist der Stand der Technik zu berücksichtigen. Branchenspezifische Sicherheitsstandards sind optional vorgesehen. Die Anwendbarkeit wird von deren Ausprägung abhängen. Betreiber von Energieversorgungsnetzen müssen Verpflichtungen aus dem IT-SiG und dem in diesem Zusammenhang geänderten EnWG umsetzen. Für konkrete Maßnahmen sind daher die Anforderungen aus dem IT-Sicherheitskatalog der BNetzA relevant (Siehe 2.1.2), auf welchen in 11 Abs. 1a EnWG verwiesen wird Implementierungsaufwand Für Betreiber kritischer Infrastrukturen entsteht ein Erfüllungsaufwand für die Einhaltung eines Mindestniveaus an IT-Sicherheit und insbesondere den Nachweis der Erfüllung u.a. durch Sicherheitsaudits. Darüber hinaus entsteht ein Aufwand durch die Einrichtung und VDE FNN März 2015 IT Sicherheit in Stromnetzen 11/24

12 Aufrechterhaltung von Verfahren für die Meldung erheblicher Sicherheitsvorfälle an das BSI, sowie das Betreiben einer Kontaktstelle. Um bei Beeinträchtigungen der informationstechnischen Systeme, Komponenten oder Prozesse kritischer Infrastrukturen eine unverzügliche Information betroffener Betreiber zu gewährleisten, ist dem Bundesamt binnen sechs Monaten nach Inkrafttreten der Rechtsverordnung eine jederzeit erreichbare Kontaktstelle zu benennen Berücksichtigte Bedrohungen Das Gesetz berücksichtigt alle bekannten Bedrohungen und deren Ausbreitung. Insbesondere durch die geforderten Kontakt- und Meldestellen soll eine umfassende Information über die aktuelle Gefährdungslage gewährleistet werden Abgedeckte Schutzziele Mit dem Gesetz soll eine signifikante Verbesserung der Sicherheit informationstechnischer Systeme in Deutschland erreicht werden, die für das Funktionieren des Gemeinwesens zentral sind. Der Schutz der IT-Systeme solcher kritischen Infrastrukturen und der für den Infrastrukturbetrieb nötigen Netze ist daher von größter Wichtigkeit IT-Sicherheitskatalog Kurzbeschreibung Die Bundesnetzagentur hat nach 11 Absatz 1a EnWG im Benehmen mit dem Bundesamt für Sicherheit in der Informationstechnik (BSI) einen Entwurf für einen Katalog von Sicherheitsanforderungen zum Schutz gegen Bedrohungen für Telekommunikations- und elektronische Datenverarbeitungssysteme, die der Netzsteuerung dienen, erstellt (IT- Sicherheitskatalog V1, veröffentlicht im Dezember 2013). Der Katalog ergänzt das IT Sicherheitsgesetz. Eine aktualisierte Version wird nach dem Inkrafttreten des Gesetzes erwartet. Der Entwurf des IT-Sicherheitskatalogs sieht bei Betreibern von Energieversorgungsnetzen unter anderem die Implementierung von Maßnahmen zur IT-Sicherheit sowie die Einführung und Zertifizierung eines Informationssicherheits-Managementsystems (ISMS) vor. Dieses ISMS muss sämtlichen organisatorischen und technischen Maßnahmen zum Schutz und sicheren Betrieb der im Fokus stehenden Systeme und Prozesse umfassen. Des Weiteren ist in jedem betroffenen Unternehmen ein IT-Sicherheitsbeauftragter zu benennen. Die im Entwurf von 2013 genannten Fristen betragen zwei Monate für die Benennung des IT- Sicherheitsbeauftragten durch den Netzbetreiber und ein Jahr für die Umsetzung der geforderten Maßnahmen nach Inkrafttreten des IT-Sicherheitskatalogs Ziel/Fokus/Geltungsbereich Das Ziel des IT-Sicherheitskatalogs ist ein umfassender Schutz gegen informationstechnische Bedrohungen für alle Telekommunikations- und elektronischen Datenverarbeitungssysteme, die der Netzsteuerung dienen (Sekundär-, Feld- und Automatisierungstechnik; Übertragungstechnik/Kommunikation; Leitsystem/Systembetrieb). Durch das IT-Sicherheitsgesetz (s ) und den damit geplanten Änderungen des EnWG soll der Geltungsbereich des IT-Sicherheitskataloges auf alle elektronischen Datenverarbeitungssysteme, die für einen sicheren Netzbetrieb notwendig sind, erweitert 12/24 IT Sicherheit in Stromnetzen März 2015 VDE FNN

13 werden. Damit soll ein wesentlicher Beitrag zum sicheren Betrieb und zur Erhöhung der Versorgungssicherheit der Energieversorgung geleistet werden. Die Identifizierung der zu schützenden Systeme und die Auswahl geeigneter Maßnahmen (nach technischer und wirtschaftlicher Verhältnismäßigkeit) obliegen den Betreibern eines Energieversorgungsnetzes (Strom und Gas). Die Netzbetreiber tragen auch die Verantwortung für die Umsetzung, Einhaltung und die stetige Verbesserung der Maßnahmen nach dem aktuellen Stand der Technik. Die geforderte Zertifizierung und regelmäßige Auditierung nach ISO/IEC durch eine akkreditierte Stelle soll dies sicherstellen Anwendbarkeit Die Anforderungen des aktuellen Entwurfs des IT-Sicherheitskatalogs sind auf einem eher allgemeinen Betrachtungslevel. Konkrete Details zur Umsetzung sind der Normenreihe DIN ISO/IEC zu entnehmen, auf die durchgehend referenziert wird und die in der klassischen Informationstechnik bereits häufig Anwendung findet. Bei der Einführung des ISMS sind das Unternehmens-Management, ISMS-Verantwortliche, IT- Administratoren, system- und betriebsmittelverantwortliche Mitarbeiter sowie die Anwender einzubeziehen. Eine nachhaltige Wirksamkeit der eingeführten Maßnahmen und insbesondere der Prozesse ist daher von der kontinuierlichen Mitwirkung aller Beteiligten abhängig Implementierungsaufwand Die Einführung eines Informationssicherheits-Managementsystems und vor allem die Umsetzung von zahlreichen Schutzmaßnahmen kommen in dieser Form aus der klassischen IT. Durch eine engere Zusammenarbeit der Prozessdatenverarbeitungssysteme (PDV) mit der allgemeinen IT können beim Aufbau eines ISMS z.b. durch die Verwendung bzw. Übertragung vorhandener Strukturen und Prozesse mögliche Synergien erzielt werden. Somit hängt der für die Erfüllung des IT-Sicherheitskatalogs erforderliche Aufwand auch vom Reifegrad in der allgemeinen IT und den Möglichkeiten und der Bereitschaft zur Zusammenarbeit ab. Des Weiteren sind für den zu implementierenden kontinuierlichen Verbesserungsprozess (KVP) aus der Norm DIN ISO/IEC dauerhaft personelle Ressourcen mit entsprechender fachlicher Eignung vorzuhalten Berücksichtigte Bedrohungen Durch die Einführung eines Informationssicherheits-Managementsystems und die Umsetzung konkreter technischer Maßnahmen werden Bedrohungen ganzheitlich berücksichtigt. Durch die geforderte Zertifizierung werden die Netzbetreiber dazu angehalten, alle Risiken selbst zu identifizieren, die unmittelbar einen reibungslosen Netzbetrieb beeinträchtigen Abgedeckte Schutzziele Im IT-Sicherheitskatalog stehen die üblichen zentralen Schutzziele der IT im Vordergrund. Eine Nachweisbarkeit ergibt sich teilweise indirekt bei Sicherstellen der Integrität. VDE FNN März 2015 IT Sicherheit in Stromnetzen 13/24

14 2.1.3 Bundesamt für Sicherheit in der Informationstechnik (BSI) Grundschutz Kurzbeschreibung Der IT-Grundschutz ist ein Standard für die Informationssicherheit und wird vom Bundesamt für Sicherheit in der Informationstechnik (BSI) herausgegeben und regelmäßig aktualisiert. Er ist für die Behörden des Bundes eine verbindliche Vorgabe und bietet für Netzbetreiber eine Orientierungshilfe. Der IT-Grundschutz umfasst sowohl eine Methodik zur Einführung eines Informationssicherheitsmanagements (ISM) als auch Kataloge mit typischen Gefährdungen und entsprechenden Sicherheitsmaßnahmen für häufig eingesetzte Technologien und wesentliche Aspekte der Informationssicherheit. Durch seine modulare Struktur in Form sogenannter Bausteine kann der IT-Grundschutz an unterschiedliche Anwendungsfälle angepasst werden. Der Grundschutz wurde seinerzeit entwickelt um den Schutz in Bundesbehörden sicherzustellen. Aktuell führt das BSI eine umfangreiche Modernisierung des IT-Grundschutzes durch, durch die der IT-Grundschutz besser an die technologische Entwicklung und an aktuelle Cyber- Gefährdungen angepasst werden soll. Ende 2015 soll die Modernisierung überwiegend abgeschlossen sein Ziel/Fokus/Geltungsbereich Der IT-Grundschutz hat den Anspruch, den Anwender nicht nur bei der Steuerung der Informationssicherheit (Informationssicherheitsmanagement - ISM), sondern auch bei der konkreten Umsetzung zu unterstützen. Hierzu enthalten die Bausteine des IT-Grundschutzes sowohl organisatorische/personelle als auch technische Maßnahmenempfehlungen. Hinsichtlich der abgedeckten Technologien liegt der Schwerpunkt des IT-Grundschutzes aktuell auf typischen Landschaften der Rechenzentrums-, Büro- und mobilen IT. Im Zuge der Modernisierung des IT-Grundschutzes sollen jedoch auch die BSI-Empfehlungen zu Industrial Control Systems (ICS), die das BSI derzeit noch separat veröffentlicht, in den IT-Grundschutz integriert werden. Für die Bundesverwaltung und viele andere Teile der öffentlichen Verwaltung in Deutschland ist der IT-Grundschutz die Basis für das ISM und die Umsetzung von IT-Sicherheitsmaßnahmen. Darüber hinaus gibt es in einigen Bereichen spezialgesetzliche oder untergesetzliche Regelungen mit Bezug zum IT-Grundschutz. Für andere Bereiche wie z.b. EVUs hat der IT- Grundschutz den Charakter einer Orientierungshilfe, sofern nicht durch Verträge oder andere Anforderungen eine Verbindlichkeit hergestellt wird Anwendbarkeit Eine Beurteilung der Anwendbarkeit des aktuellen IT-Grundschutzes des BSI ist derzeit nicht sinnvoll, da eine umfassende Modernisierung vorgesehen ist. Diese umfasst zwei Elemente, die die Anwendbarkeit des IT-Grundschutzes auf die Sicherheit von Versorgungsnetzen deutlich erleichtern wird. Zum einen wird das BSI seine Empfehlungen zur Absicherung von Industrial Control Systems (ICS) in den IT-Grundschutz integrieren. Zweitens ist geplant, anhand von sogenannten Profilen die Anpassung des IT-Grundschutzes an die spezifischen Anforderungen bestimmter Branchen oder Anwendungsfälle zu ermöglichen. Profile können dabei eine Auswahl der vorhandenen Maßnahmen des IT-Grundschutzes treffen und/oder zusätzliche/konkretisierte Maßnahmen festlegen. Idealerweise werden solche Profile durch einen entsprechenden Arbeitskreis der Branche unter Beteiligung des BSI erarbeitet. 14/24 IT Sicherheit in Stromnetzen März 2015 VDE FNN

15 Implementierungsaufwand Da der IT-Grundschutz sowohl das Management der Informationssicherheit als auch die konkrete Umsetzung von Sicherheitsmaßnahmen adressiert, hängt der Implementierungsaufwand entscheidend vom jeweiligen Anwendungsbereich und den dort bereits umgesetzten Sicherheitsmaßnahmen ab Berücksichtigte Bedrohungen IT-Grundschutz ist ein ganzheitlicher Ansatz und berücksichtigt alle relevanten Gefährdungsbereiche. Im Zuge der Modernisierung des IT-Grundschutzes ist geplant, die beobachtete Gefährdungslage noch stärker in die Priorisierung der Maßnahmen einfließen zu lassen Abgedeckte Schutzziele Der IT-Grundschutz verwendet die international übliche Systematik von Verfügbarkeit, Vertraulichkeit und Integrität. Die in einigen Normen zusätzlich betrachteten Schutzziele Nachweisbarkeit, Verbindlichkeit oder Nicht-Abstreitbarkeit werden als Spezialfälle der Integrität betrachtet. Die Maßnahmen des IT-Grundschutzes decken diese erweiterten Schutzziele mit ab. 2.2 Normen und Richtlinien DIN ISO/IEC 27000er Reihe Komplexe Sicherheitsbedrohungen können durch bloße Einzelmaßnahmen nicht nachhaltig beseitigt werden. Für den dauerhaft sicheren Betrieb von PDV-Systemen und deren Infrastruktur ist deshalb die Einrichtung eines ganzheitlichen Schutzkonzeptes sowie dessen stetige Optimierung eine wesentliche Voraussetzung. Hierzu können die DIN ISO/IEC 27001/2 und DIN ISO/IEC TR dienen. Zertifizierungsgrundlage ist die international gültige ISO/IEC aus dem Jahr 2013, die noch 2015 gemeinsam mit der ISO/IEC als DIN-Norm umgesetzt werden soll. Eine Kernforderung im Entwurf des IT-Sicherheitskatalogs der BNetzA ist die Einführung eines Informationssicherheits-Managementsystems (ISMS) gemäß DIN ISO/IEC Informationssicherheits-Managementsysteme - Anforderungen sowie dessen Zertifizierung durch eine unabhängige hierfür zugelassene Stelle. Bei der Implementierung des ISMS sind die ergänzende Norm DIN ISO/IEC Leitfaden für das Informationssicherheits-Management sowie die Spezifikation DIN ISO/IEC TR Leitfaden für das Informationssicherheitsmanagement von Steuerungssystemen der Energieversorgung auf Grundlage der ISO/IEC grundsätzlich zu berücksichtigen. Die relevanten Normen DIN ISO/IEC und DIN ISO/IEC TR liegen in aktueller deutscher Fassung von 2015 vor, ISO/IEC in aktueller englischer Fassung von Die ISO/IEC TR ging aus der DIN SPEC hervor und ersetzt diese. VDE FNN März 2015 IT Sicherheit in Stromnetzen 15/24

16 Kurzbeschreibung Die Norm DIN ISO/IEC enthält den normativen Teil der Standardreihe Sie definiert die Anforderungen an ein Informationssicherheits-Managementsystem und die umzusetzenden Kontrollziele. Nachfolgend die wesentlichen Normforderungen: ganzheitliches ISMS, um unternehmenskritische Werte langfristig zu schützen Übernahme der Verantwortung durch das Management Risikomanagement Bereitstellung von Ressourcen regelmäßige Bewertung des ISMS durch das Management Messung der Wirksamkeit und kontinuierliche Verbesserung des ISMS Die Norm DIN ISO/IEC enthält Umsetzungsempfehlungen für die Managementgebiete der DIN ISO/IEC und entspricht vom Aufbau genau deren Anhang A. Es gibt keine offizielle Zertifizierung nach DIN ISO/IEC Ursprünglich wurde die Norm für die klassische Büro-IT entwickelt. Die DIN ISO/IEC TR erweitert die Sicherheitsmaßnahmen der Norm DIN ISO/IEC auf Prozessdatenverarbeitungssysteme (PDV-Systeme) in der Energieversorgung und deren zugehörige Infrastruktur, welche zur Führung von Strom- und Rohrnetzen erforderlich sind und definiert spezifische Maßnahmen (Controls) für diese Systeme. Die besonderen Anforderungen an diese Systeme im Vergleich zur klassischen Büro-IT bezüglich Entwicklung, Betrieb, Wartung und dem Einsatzumfeld rechtfertigen eine separate Betrachtung. Konventionelle Prozesstechnik (z.b. elektromechanische Systeme) wird darin nicht behandelt. Der Aufbau der DIN ISO/IEC TR ist analog zur Norm DIN ISO/IEC Die Maßnahmen der DIN ISO/IEC TR können nicht ohne Zuhilfenahme der Norm DIN ISO/IEC vollständig erfasst werden. Statt Nennung gleichlautender Inhalte wird direkt auf die DIN ISO/IEC referenziert. Dies gilt auch für unveränderte Textpassagen bei den erweiterten Controls. Hier wird zunächst wieder auf die DIN ISO/IEC referenziert, gefolgt von Umsetzungsempfehlungen für den EVU-Bereich. Neue bzw. ergänzende Controls sind in den entsprechenden Kapiteln eingefügt Ziel/Fokus/Geltungsbereich Das wesentliche Ziel der DIN ISO/IEC ist die Etablierung eines umfassenden Informationssicherheits-Managementsystems. Die ergänzenden Standards enthalten Umsetzungsmpfehlungen sowie Erweiterungen zur Anwendung im Umfeld der Energieversorgung. Die Maßnahmen, welche im Anhang A der DIN ISO/IEC genannt werden, behandeln dabei folgende Managementgebiete: Organisation der Informationssicherheit Sicherheitsrichtlinien Management von organisationseigenen Werten Sicherheit im Personalbereich physische und umgebungsbezogene Sicherheit 16/24 IT Sicherheit in Stromnetzen März 2015 VDE FNN

17 logische Sicherheit Kommunikationssicherheit Betriebssicherheit Kryptographie Systembeschaffung, Entwicklung und Wartung Lieferantenbeziehungen Management von Informationssicherheitsvorfällen Notfallmanagement Einhaltung von Vorgaben (Compliance) Der Fokus der Norm umfasst die gesamte Informationssicherheit inklusive der für die Verarbeitung von Informationen notwendigen technischen Systeme (IKT-Systeme). Darüber hinaus werden bspw. Anforderungen an die Personalsicherheit oder die Gebäudesicherheit gestellt. Die sektorspezifische Norm DIN ISO/IEC TR enthält Umsetzungsempfehlungen der DIN ISO/IEC im Hinblick auf Prozessleit- und Steuerungssysteme aus dem EVU-Umfeld sowie deren zugehörige Infrastruktur. Sie berücksichtigt alle relevanten Bereiche der Energieversorgung, insbesondere auch den sicheren Betrieb sowie die Organisation. Der Geltungsbereich der Spezifikation umfasst: zentrale und dezentrale Prozess-, Leit-, Automatisierungs- und Überwachungssysteme digitale Schutzsysteme digitale Mess- und Zählvorrichtungen Kommunikations- und Fernwirktechnik Smart Grid Komponenten Programmier- und Parametriergeräte Sicherung von Leitstellen, Technikräumen, Außenstandorte und in Räumlichkeiten Dritter Behandlung von Altsystemen Notfallkommunikation Darüber hinaus geben weitere international gültige Normen dieser Reihe gute Hinweise zur Ausprägung und Umsetzung der IT-Sicherheitsmaßnahmen. Insbesondere sollten die ISO/IEC zur Implementierungsunterstützung, die ISO/IEC zum Nachweis der Wirksamkeit von Maßnahmen und die ISO/IEC zum Risikomanagement herangezogen werden. Informativ ist auch die ISO/IEC 27006, die Anforderungen zur Zertifierungsdurchführung beschreibt Anwendbarkeit Den Fokus der Norm DIN ISO/IEC bildet die Implementierung eines risikobasierten Managementsystems mit einem kontinuierlichen Verbesserungsprozess. Es muss eine VDE FNN März 2015 IT Sicherheit in Stromnetzen 17/24

18 Informationssicherheitsorganisation mit Rollen und Verantwortlichkeiten etabliert werden, welche Risiken für Informationen dauerhaft minimiert Implementierungsaufwand Eine Zertifizierung des ISMS nach ISO/IEC setzt die Umsetzung aller Anforderungen aus dem Hauptteil der Norm voraus. Die Maßnahmen aus dem Anhang A der Norm müssen vollständig in die Betrachtung mit einbezogen werden. Einzelne Maßnahmen können aber in begründeten Fällen von der Umsetzung ausgeschlossen werden. Die Einführung eines ISMS wird in der Regel als Projekt durchgeführt und ist mit entsprechenden Kosten und Ressourcen verbunden. Der Regelbetrieb und der kontinuierliche Verbesserungsprozess sind durch die Bereitstellung entsprechender Ressourcen dauerhaft sicherzustellen und in die Linienfunktionen zu integrieren. Die Anknüpfung an ein bestehendes ISMS nach DIN ISO/IEC führt zu einer maßgeblichen Reduzierung des Erfüllungsaufwandes. Der Aufwand für die Umsetzung der Maßnahmen nach DIN ISO/IEC TR hängt stark von den bereits realisierten Sicherheitsmaßnahmen gemäß DIN ISO/IEC ab, soweit diese auch im Bereich der Prozess-IT umgesetzt wurden. Auch das Alter der eingesetzten Technik hat einen Einfluss. Die Realisierung sollte stets angemessen sein und sich am Wert der zu schützenden Informationen orientieren. Personelle Ressourcen mit den entsprechenden Qualifikationen sind dauerhaft einzuplanen Berücksichtigte Bedrohungen Es werden keine konkreten Bedrohungen genannt. Grundsätzlich müssen alle Bedrohungen berücksichtigt werden, welche die Schutzziele von Informationen verletzen. Zur Identifikation, Bewertung und Behandlung möglicher Bedrohungen beinhaltet das geforderte ISMS eine nachvollziehbare, vergleichbare und fundierte Risikoeinschätzung Abgedeckte Schutzziele Da die PDV-Systeme aus dem EVU-Umfeld sowie deren Netzwerke integraler Bestandteil von kritischen Infrastrukturen sind und damit direkt Einfluss auf deren Verfügbarkeit haben können, bestehen hier insbesondere erhöhte Anforderungen bezüglich der Verfügbarkeit und Integrität. Das Schutzziel der Vertraulichkeit steht nicht im Vordergrund, wird allerdings durch entsprechende organisatorische Bestandteile eines ISMS ebenfalls abgedeckt IEC Kurzbeschreibung Die Normenreihe IEC erweitert gängige Kommunikationstandards für die Schutz- und Leittechnik (IEC , IEC , IEC 61850, IEC 61970) um Sicherheitsvorgaben. Die Standards der IEC Reihe - Power systems management and associated information exchange Data and communications security, von denen sich einige noch in der Entwicklungsphase befinden, bestehen aus 11 unterschiedlichen Teilen. Diese Normen spezifizieren und adaptieren in der Regel aus der allgemeinen IT-Welt bekannte 18/24 IT Sicherheit in Stromnetzen März 2015 VDE FNN

19 Sicherheitsstandards und Maßnahmen für die Systeme der Telekommunikations- und Prozessleittechnik. Der Zusammenhang zwischen den Kommunikationsstandards und der IEC ist in der nachfolgenden Abbildung dargestellt. Abbildung 2- Zusammenspiel der Normenreihe IEC Ziel/Fokus/Geltungsbereich Der erste Teil des Standards beschäftigt sich mit den Hintergründen für die IT-Sicherheit beim Betrieb von Energieversorgungssystemen und mit einführenden Informationen über die einzelnen Teile der IEC 62351er-Reihe. Darüber hinaus werden im zweiten Teil Definitionen und Abkürzungen erläutert, welche weitestgehend auf bereits bestehenden Industriestandards basieren. Die Teile 3 bis 6 der IEC beinhalten Sicherheitsanforderungen für die Kommunikationsstandards IEC 60870, IEC 61850, IEC und IEC Einige der Sicherheitsstandards sind dabei für mehrere Kommunikationsstandards anwendbar, wohingegen andere sehr spezifisch auf bestimmte Einsatzfälle und Profile abgestimmt sind. Der Teil 3 beschreibt die Parameter und Einstellungen für die Transportschichtsicherheit (TLS)- Verschlüsselung beim Einsatz im Sektor Energie. Auch im Teil 4 wird primär mit TLS gearbeitet, um Sicherheitsmaßnahmen, wie z.b. die Authentisierung bei Zugriffen verschiedener Funktionseinheiten zu gewährleisten. Die Teile 7 bis 11 der IEC beinhalten Sicherheitsanforderungen an Ende-zu-Ende Verbindungen in Form von Sicherheitpolicies, Zugriffskontrollmechanismen, Schlüsselmanagement, Audit-Logs und andere Maßnahmen und stellen damit ein wesentlich größeres Betätigungsfeld dar. Teil 7 konzentriert sich auf das Netzwerk- und 1 Quelle: IEC TC 57 - WG 15 VDE FNN März 2015 IT Sicherheit in Stromnetzen 19/24

20 Systemmanagement (NSM) einer Informationsinfrastruktur. Teil 8 spezifiziert die Zugriffskontrollmechanismen für Benutzer auf Datenobjekte mittels rollenbasierter Zugriffskontrolle. Teil 9 legt fest, wie digitale Zertifikate und kryptografische Schlüssel erzeugt, verteilt, gesperrt und verarbeitet werden, um digitale Daten und Kommunikation zu schützen. Teil 10 der Normenreihe IEC behandelt die Beschreibung von Grundsätzen zur Sicherheitsarchitektur und Teil 11 die Sicherheit von XML-Files Anwendbarkeit Durch den zunehmenden Einsatz von standardisierten Kommunikationsprotokollen sind informationstechnische Sicherungsmaßnahmen (u.a. Verschlüsselungen) in Abhängigkeit von den unternehmensspezifischen Anforderungen zu empfehlen. Die IEC bietet hierfür einen systematisierten normativen Ansatz. Von Bedeutung sind die informations- bzw. nachrichtentechnische Kopplung zu anderen Netzbetreibern und/oder Marktpartner, sowie die Kopplung zwischen zentraler und dezentraler Leittechnik, insbesondere dann, wenn sie über fremde nachrichtentechnische Infrastruktur betrieben werden Implementierungsaufwand Der Umsetzungsaufwand ist stets vom aktuellen Stand der IT-Sicherheits- und Schutzmaßnahmen, den grundlegenden Rahmenbedingungen im Unternehmen und der Komplexität der Systeme abhängig. Da die notwendigen Voraussetzungen durch die derzeit im Einsatz befindliche Technik häufig nicht gegeben sind, finden die Normen derzeit noch keine breite Anwendung Berücksichtigte Bedrohungen Grundsätzlich werden alle Bedrohungen berücksichtigt, welche die Schutzziele von Informationen, insbesondere bei der Nutzung externer Nachrichtenwege gefährden (z.b. Missbrauch, Sabotage, Manipulation). Im Speziellen bietet bspw. der Teil 3 der Schutz mittels TLS-Verschlüsselung vor Man-in-the-middle-Angriffen, Verfälschungen und unbefugten Zugriffen durch die Verwendung von Sicherheitszertifikaten Abgedeckte Schutzziele Die aus der IT-Welt bekannten Schutzmaßnahmen bezogen auf die allgemeinen Schutzziele werden überführt in die Prozesswelt. 2.3 Weitere Dokumente BDEW Whitepaper Kurzbeschreibung Das BDEW-Whitepaper (Whitepaper) beschreibt grundsätzliche Anforderungen zur IT-Sicherheit an Steuerungs- und Telekommunikationssysteme, die in Unternehmen der Energiewirtschaft eingesetzt werden. Es werden grundlegende, anwenderorientierte und praxisgerechte Sicherheitsmaßnahmen definiert, die sich an Planer, Technologen, Entwickler (Hersteller) und Betreiber dieser Systeme richten. Wesentlicher Inhalt sind die mit Fokus IT-Sicherheit beschriebenen funktionalen Eigenschaften der o.g. technischen Komponenten und Systeme 20/24 IT Sicherheit in Stromnetzen März 2015 VDE FNN

21 sowie die Anforderungen an den Service und die Instandhaltung über die gesamte Lebensdauer der Systemtechnik (Hardware und Software). Die technischen Vorgaben und Anforderungen werden in einen organisatorischen und prozessualen Kontext gestellt und durch die Anwendungshinweise weiter konkretisiert Ziel/Fokus/Geltungsbereich Zitat aus dem Vorwort des BDEW-Whitepapers: Für die Unternehmen der Energiewirtschaft wurde das Whitepaper mit grundsätzlichen Sicherheitsmaßnahmen für Steuerungs- und Telekommunikationssysteme entwickelt. Ziel ist es dabei, die Systeme gegen Sicherheitsbedrohungen im täglichen Betrieb angemessen zu schützen. Die in diesem Whitepaper festgelegten Sicherheitsmaßnahmen werden für alle neuen Steuerungs- und Telekommunikationssysteme empfohlen. Strategisches Ziel des Whitepapers ist die positive Beeinflussung der Produktentwicklung für die oben genannten Systeme im Sinne der IT-Sicherheit und die Vermittlung eines gemeinsamen Verständnisses in der Branche für den Schutz der Systeme. Das Whitepaper wird zur Anwendung bei allen neu zu beschaffenden und einzuführenden Systemen im Prozessbereich von Energieversorgungsunternehmen empfohlen. Es handelt sich um eine Empfehlung des Verbandes BDEW und damit um keine verbindliche oder gesetzliche Vorgabe, die zwingend umgesetzt werden muss Anwendbarkeit Das Whitepaper hat sich in der Branche etabliert und kann als Basis für die IT- Sicherheitsanforderungen an die Hersteller und Lieferanten im Prozessbereich (Schutz-, Steuerund Leittechnik, Kommunikationstechnik) genutzt werden. Das Whitepaper ist eine Arbeitsgrundlage bei der Konzeption und Einführung neuer Systeme, im Rahmen der Beschaffung der Systemtechniken (als Bestandteil von Lastenheften) und der grundlegenden Auswahl und Beauftragung von Lieferanten und Dienstleistern. Es kann darüber hinaus zur Bewertung der derzeit eingesetzten Systeme herangezogen werden Implementierungsaufwand Der Umsetzungsaufwand ist stets vom aktuellen Stand der IT-Sicherheits- und Schutzmaßnahmen, den grundlegenden Rahmenbedingungen im Unternehmen und der Komplexität der Systeme abhängig Berücksichtigte Bedrohungen Die im Whitepaper beschriebenen Anforderungen und Maßnahmen ermöglichen eine grundsätzliche Berücksichtigung aller potentiellen Bedrohungen. Diese Einschätzung muss bei entsprechender Berücksichtigung der spezifischen Rahmenbedingungen im jeweiligen Unternehmen individuell unter Anwendung der Methoden Schutzbedarfsfeststellung und Risikoeinschätzung überprüft werden Abgedeckte Schutzziele Die allgemeinen Schutzziele werden durch die konkreten Auflagen des Auftraggebers an den Auftragnehmer erreicht. Elementar für eine erfolgreiche Anwendung ist jedoch eine gewissenhafte Vorbereitung des Auftraggebers, um die im Whitepaper abstrakt gehaltenen Vorgaben für eine praktische Umsetzung hinreichend genau zu detaillieren. VDE FNN März 2015 IT Sicherheit in Stromnetzen 21/24

22 3 Bewertung und Einordnung 3.1 Wirksamkeit der bestehenden Regeln Die betrachteten Initiativen bilden die Grundlage für ein adäquates Sicherheitsniveau und greifen, wie in der Grafik zur Regelhierarchie bzgl. der IT-Sicherheit (S. 10) dargestellt, wirksam ineinander. Sie bilden eine gute Basis um den zitierten Stand der Technik für die Prozess-IT geeignet und wirksam zu implementieren. Ein Informationssicherheits-Managementsystem (ISMS) bildet die wesentliche Grundlage für die Einführung und dauerhafte Gewährleistung der notwendigen IT-Sicherheit. Ein solches System kann unter Anwendung der DIN ISO/IEC 27000er Reihe etabliert bzw. betrieben werden. Die DIN ISO/IEC ergänzt die Rahmensetzung der DIN ISO/IEC um einen Standardsatz allgemein und auf hohem Abstraktionsniveau beschriebener Maßnahmen. Diese sind allerdings auf eine Anwendung in klassischen Bereichen der Informationstechnik begrenzt. Durch die DIN ISO/IEC TR wird dieser Maßnahmensatz geeignet für eine Anwendung im Bereich von Energieversorgungsnetzen und damit der Prozess-IT adaptiert. Für wichtige Technologiebereiche der Prozess-IT können Konkretisierungen der abstrakt geforderten Absicherungsmaßnahmen aus der Normenfamilie IEC entnommen werden. Insbesondere gilt dies für die Absicherung der leit- und fernwirktechnischen Kommunikationsprotokolle gemäß IEC , IEC und IEC Hilfestellungen bei der Beauftragung von Herstellern und Dienstleistern zum Bau und Betrieb von Netzanlagen mit Komponenten der Prozess-IT finden sich im BDEW Whitepaper und den zugehörigen Anwendungshinweisen. Für Anwendungsbereiche, in denen die oben genannten Dokumente und Regelwerke keine hinreichenden Hinweise zur Umsetzung von IT-Sicherheitsmaßnahmen liefern, kann auf Elemente des BSI IT-Grundschutz zurückgegriffen werden. Eine genauere Einordnung sollte nach Konkretisierung der geplanten Neufassung des BSI IT-Grundschutz Ende 2015 erfolgen. Die regulatorische Rahmensetzung mit dem aktuellen Diskussionsstand zum IT-SiG, einer Anpassung des EnWG und des angekündigten IT-Sicherheitskatalogs der BNetzA berücksichtigen die vorgenannten Dokumente explizit (DIN ISO/IEC 27001, und DINISO/IEC TR 27019). Für eine effektive und effiziente Umsetzung der IT-Sicherheit in Stromnetzen bedarf es weiterer Konkretisierung zu folgenden Punkten: Ein durch den Netzbetreiber implementiertes IT-Sicherheitsniveau ist nahezu wirkungslos, wenn es im Hinblick auf die Systemsicherheit nicht im gleichen Maße durch Netzkunden und Betreiber von Erzeugungsanlagen umgesetzt wird. Die Sicherheitsanforderungen an diese Marktteilnehmer sind derzeit nicht im gleichen Maße beschrieben. Die Umsetzungsempfehlungen durch die DIN ISO/IEC und DIN ISO/IEC TR sind vorhanden. Ein detaillierter technischer Leitfaden zur Implementierung der Maßnahmen, spezifiziert auf die Anforderungen eines Netzbetreibers, liegt nicht vor. Derzeit existiert kein branchenspezifisches Prüfschema für eine ISMS-Zertifizierung. Derzeit ist nicht definiert, welche Informationssicherheitsereignisse meldepflichtig gegenüber BNetzA und/oder BSI sind insbesondere fehlen die Konkretisierung von Schwellwerten, 22/24 IT Sicherheit in Stromnetzen März 2015 VDE FNN

23 Ereignisarten und die Erörterung anhand von Beispielen. Eine zum IT-Sicherheitsgesetz ergänzende Verordnung, die diese Fragestellungen aufgreift, wird Anfang 2016 erwartet. 3.2 Schlussfolgerung und Handlungsempfehlung Maßnahmen für die IT-Sicherheit sind ein wesentliches Element eines sicheren und zuverlässigen Netzbetriebes, um die hohe Versorgungsqualität zu erhalten. Die stärkere Vernetzung von Prozess-IT und öffentlichem Netz, sowie der zunehmende Austausch von Informationen und Daten zwischen den Netzbetreibern und anderen Marktpartnern erhöhen die Komplexität. Die wachsende Interaktion und Abhängigkeit von Komponenten, z.b. durch die steigende Anzahl dezentraler Erzeugungsanlagen, bringen neue Herausforderungen. Im Hinblick auf einen sicheren Netzbetrieb bedeutet dies, dass die IT-Verantwortung bzw. die Gewährleistung der Anforderungen an die IT-Sicherheit als bedeutende Funktion und Kernaufgabe des Netzbetriebes hinzukommt und vom Netzbetreiber wahrgenommen werden muss. Dabei ist zu betonen, dass der Aufwand für eine maximale Sicherheit gegen IT- Bedrohungen im Hinblick auf Organisation, Durchführung und Ressourcen erheblich ist. Die Einhaltung der bestehenden Regelwerke und Gesetzesanforderungen erhöht das Sicherheitsniveau. Die organisatorischen und technischen Maßnahmen müssen von den Mitarbeitern des Netzbetreibers auf die unternehmensspezifischen Gegebenheiten adaptiert und umgesetzt sowie regelmäßig überprüft und angepasst werden. Grundsätzlich ist davon auszugehen, dass die Anwendung der Normenreihe DIN ISO/IEC ein zentrales Element der Sicherheitskonzepte gegen IT-Bedrohungen sein wird. Da die regulatorische Rahmensetzung nicht vollständig abgeschlossen ist, kann eine abschließende Umsetzungsempfehlung noch nicht getroffen werden. Schlussfolgerungen und grundsätzliche Empfehlungen: Bei allen Netzbetreibern besteht die Notwendigkeit, ein Mindestmaß an IT- Sicherheitsmaßnahmen für alle relevanten Systeme sicherzustellen. Ein funktionierendes ISMS, als erste organisatorische Maßnahme, entfaltet eine adäquate Wirkung und muss Bestandteil der zukünftigen Aktivitäten der Netzbetreiber werden. Um die Informationssicherheit der im Geltungsbereich befindlichen Systeme zu gewährleisten, müssen regulatorische Anforderungen und technische Vorkehrungen nach dem Stand der Technik umgesetzt werden. Dies sind: organisatorische Maßnahmen (z.b. Bereitstellung entsprechender Ressourcen inklusive Benennung eines IT-Sicherheitsbeauftragten, Aufbau ISMS inklusive Identifikation entsprechender Prozesse, Festlegung der Verantwortlichkeiten, Risikoanalyse und Schutzbedarfsfeststellung, Personalsicherheit, physische und umgebungsbezogene Sicherheit) Technische Maßnahmen (z.b. grundsätzliche Anforderungen an Netzwerksegmentation, Schadsoftwareschutz, Verschlüsselung, Anforderungen an Protokollschnittstellen, Patchmanagement, Umgang mit Altsystemen) Mindestanforderungen an Lieferanten, Produkte, interne und externe Dienstleister (Orientierung am eigenen Sicherheitsniveau) VDE FNN März 2015 IT Sicherheit in Stromnetzen 23/24

24 Für ein wirkungsvolles ganzheitliches IT-Sicherheitskonzept müssen die im ISMS definierten Rollen sowohl für das Management als auch für die Fachbereiche angemessen ausgeprägt sein. Die Implementierung des ISMS beinhaltet die adäquate Einbeziehung der Geschäftsführung (Berücksichtigung in der Unternehmensstrategie und Organisationsvorgaben), des Mittleren Managements (Aufbau und Ablauforganisation, Ressourcenplanung, Berücksichtigung im Projektgeschäft, interne Regelwerke usw.) sowie des operativen Bereiches (Projektierer, Administratoren und Anwender - konkrete Anwendung und Umsetzung). Alle notwendigen organisatorischen und technischen Maßnahmen basieren in der Regel auf einer zyklischen Risikoabschätzung. Hierfür fehlen aktuell die entsprechenden regulatorischen Randbedingungen und Kriterien für ein gesellschaftlich einheitliches Bewertungsniveau. Im Ergebnis bedeutet die Einführung und Umsetzung von Sicherheitsmaßnahmen einen erheblichen Zusatzaufwand. Netzbetreiber müssen zukünftig wesentliche und zusätzliche Dokumentationsund Reporting-Pflichten erfüllen, sowie die Wirksamkeit der Maßnahmen durch regelmäßige Überprüfungen bzw. Zertifizierungen nachweisen. Eine wesentliche Herausforderung wird darin liegen, Mitarbeiter adäquat zu qualifizieren, entsprechende Dienstleister auszuwählen und den Stand der Technik für die spezifischen Belange der Netzbetreiber weiter auszuprägen und zu entwickeln. Die resultierenden unternehmensspezifischen Kosten sind derzeit weder beeinflussbar noch darstellbar. 24/24 IT Sicherheit in Stromnetzen März 2015 VDE FNN

Informationssicherheit in der Energieversorgung

Informationssicherheit in der Energieversorgung FNN-/DVGW-Hinweis Informationssicherheit in der Energieversorgung Rechtliche Einordnung und Hilfestellungen für die Umsetzung Dezember 2015 in Kooperation mit Impressum Forum Netztechnik / Netzbetrieb

Mehr

IT-Sicherheit in der Energiewirtschaft

IT-Sicherheit in der Energiewirtschaft IT-Sicherheit in der Energiewirtschaft Sicherer und gesetzeskonformer IT-Systembetrieb Dr. Joachim Müller Ausgangssituation Sichere Energieversorgung ist Voraussetzung für das Funktionieren unseres Gemeinwesens

Mehr

2. Forschungstag IT-Sicherheit NRW nrw-units. Informationssicherheit in der Energiewirtschaft

2. Forschungstag IT-Sicherheit NRW nrw-units. Informationssicherheit in der Energiewirtschaft 2 2. Forschungstag IT-Sicherheit NRW nrw-units 15. Juni 2015 Hochschule Niederrhein Informationssicherheit in der Energiewirtschaft 3 Informationssicherheit in der Energiewirtschaft 1. Sicherheit der Stromversorgung

Mehr

Neue gesetzliche Anforderungen an Stadtwerke: Mindestanforderungen für die IT-Sicherheit

Neue gesetzliche Anforderungen an Stadtwerke: Mindestanforderungen für die IT-Sicherheit Neue gesetzliche Anforderungen an Stadtwerke: Mindestanforderungen für die IT-Sicherheit smartoptimo GmbH & Co. KG Luisenstraße 20 49074 Osnabrück Telefon 0541.600680-0 Telefax 0541.60680-12 info@smartoptimo.de

Mehr

ITK Sicherheitsgesetz Umsetzung mit verinice.pro. verinice.xp- Grundschutztag 15.09.2015

ITK Sicherheitsgesetz Umsetzung mit verinice.pro. verinice.xp- Grundschutztag 15.09.2015 ITK Sicherheitsgesetz Umsetzung mit verinice.pro verinice.xp- Grundschutztag 15.09.2015 Überblick Kurze Vorstellung des IT-Sicherheitsgesetzes Konkretisierung des Gesetzes für Energieversorger Abbildung

Mehr

Sicherer Systembetrieb in der Energiewirtschaft. Worum es geht zertifiziert und grundlegend. Von der Analyse bis zur Zertifizierung.

Sicherer Systembetrieb in der Energiewirtschaft. Worum es geht zertifiziert und grundlegend. Von der Analyse bis zur Zertifizierung. Sicherer Systembetrieb in der Energiewirtschaft. Von der Analyse bis zur Zertifizierung. Worum es geht zertifiziert und grundlegend In Industriestaaten ist das gesamte Leben von einer sicheren Energieversorgung

Mehr

IPS-ENERGY ISMS Unterstützung für Information Security Management Systeme. 2015 IPS GmbH

IPS-ENERGY ISMS Unterstützung für Information Security Management Systeme. 2015 IPS GmbH IPS-ENERGY ISMS Unterstützung für Information Security Management Systeme Inhalt Zur Relevanz von ISMS für EVUs Übersicht Kritische Infrastrukturen 11 EnWG BSI-Standards 100-x Was ist ein ISMS? Unterstützung

Mehr

Robert Grey, Symposium NLT / IT, Bautzen, 22. September 2015 Im Dschungel der IT-Sicherheitsrichtlinien Was sollten Energieversorgungsunternehmen

Robert Grey, Symposium NLT / IT, Bautzen, 22. September 2015 Im Dschungel der IT-Sicherheitsrichtlinien Was sollten Energieversorgungsunternehmen Robert Grey, Symposium NLT / IT, Bautzen, 22. September 2015 Im Dschungel der IT-Sicherheitsrichtlinien Was sollten Energieversorgungsunternehmen wissen? September 24, 2015 Slide 1 Über den Drucker ins

Mehr

Einführung eines ISMS nach ISO 27001:2013

Einführung eines ISMS nach ISO 27001:2013 Einführung eines ISMS nach ISO 27001:2013 VKU-Infotag: Anforderungen an die IT-Sicherheit (c) 2013 SAMA PARTNERS Business Solutions Vorstellung Olaf Bormann Senior-Consultant Informationssicherheit Projekterfahrung:

Mehr

Worum es geht. zertifiziert und grundlegend

Worum es geht. zertifiziert und grundlegend Sicherer Systembetrieb in der Energiewirtschaft. Von der Analyse bis zur Zertifizierung. Worum es geht zertifiziert und grundlegend In Industrie staaten ist das gesamte Leben von einer sicheren Energie

Mehr

Freigegeben durch Dr. Stefan Krempl Vertraulichkeitsstufe Intern + Vertrieb

Freigegeben durch Dr. Stefan Krempl Vertraulichkeitsstufe Intern + Vertrieb Zum Geltungsbereich einer ISO/IEC ISO 27001 Zertifizierung für Energiever- sorger unter Berücksichtigung der ISO/IEC TR 27019, den Vorgaben der IT- Sicherheitsgesetzes und des IT- Sicherheitskataloges

Mehr

Auswirkungen des IT-Sicherheitsgesetzes für Krankenhäuser. Umsetzungshinweise

Auswirkungen des IT-Sicherheitsgesetzes für Krankenhäuser. Umsetzungshinweise Ziele Auswirkungen des IT-Sicherheitsgesetzes für Krankenhäuser Umsetzungshinweise dubois it-consulting gmbh, Holzhofstr. 10, 55116 Mainz, +49 6131 2150691 oder +49 177 4104045, ingrid.dubois@dubois-it-consulting.de

Mehr

Seminareinladung - Netzbetrieb & IT -

Seminareinladung - Netzbetrieb & IT - Becker Büttner Held Consulting AG Pfeuferstraße 7 81373 München Seminareinladung - Netzbetrieb & IT - Unser Az.: 001689-14 München, 25.03.2014 (Bitte stets angeben.) - Seminareinladung: IT-Sicherheitskatalog,

Mehr

ESN expert-veranstaltung Krisenmanagement im EVU

ESN expert-veranstaltung Krisenmanagement im EVU ESN expert-veranstaltung Krisenmanagement im EVU Krisenmanagement und ISMS Erfurt, 17.06.2015 Schlagworte ISMS- Energiewirtschaftsgesetz IT-Sicherheit BSI-Grundschutzkataloge Krisenmanagement Informationssicherheitsmanagementsystem

Mehr

Osnabrück, 29.10.2014

Osnabrück, 29.10.2014 Luisenstraße 20 49074 Osnabrück Name: Durchwahl: Fax: Mail: Daniel Eling 0541.600680-22 0541.600680-12 Daniel.Eling@smartoptimo.de Osnabrück, 29.10.2014 Einladung: Seminar IT-Sicherheitskatalog, BSI-Schutzprofil

Mehr

TeleTrusT-Informationstag "IT-Sicherheit im Smart Grid" Berlin, 31.05.2011. RWE Deutschland AG Sicherheit im Smart Grid

TeleTrusT-Informationstag IT-Sicherheit im Smart Grid Berlin, 31.05.2011. RWE Deutschland AG Sicherheit im Smart Grid TeleTrusT-Informationstag "IT-Sicherheit im Smart Grid" Berlin, 31.05.2011 Rolf-Dieter Kasper Rolf-Dieter Kasper RWE Deutschland AG Sicherheit im Smart Grid Agenda Grundverständnis Smart Grid IT-Sicherheit

Mehr

Wo erweitert das IT-Sicherheitsgesetz bestehende Anforderungen und wo bleibt alles beim Alten?

Wo erweitert das IT-Sicherheitsgesetz bestehende Anforderungen und wo bleibt alles beim Alten? Wo erweitert das IT-Sicherheitsgesetz bestehende Anforderungen und wo bleibt alles beim Alten? Hamburg/Osnabrück/Bremen 18./25./26. November 2014 Gerd Malert Agenda 1. Kernziele des Gesetzesentwurfes 2.

Mehr

IT-Sicherheitsgesetz:

IT-Sicherheitsgesetz: IT-Sicherheitsgesetz: Neue Herausforderungen für Unternehmen und Behörden Rechtsanwalt Thomas Feil Fachanwalt für IT-Recht und Arbeitsrecht Datenschutzbeauftragter TÜV Thomas Feil 09/2015 1 Thomas Feil

Mehr

IT-Riskmanagement Strategie und Umsetzung. Inhalte. Begriffe. Armin Furter TKH Informationmangement Bern

IT-Riskmanagement Strategie und Umsetzung. Inhalte. Begriffe. Armin Furter TKH Informationmangement Bern IT-Riskmanagement Strategie und Umsetzung Armin Furter TKH Informationmangement Bern Inhalte Einführung Allgemeines Risikomangement IT-Risikomanagement Mögliche Methoden Begriffe Bedrohung Schaden Schadensausmass

Mehr

ISMS und Sicherheitskonzepte ISO 27001 und IT-Grundschutz

ISMS und Sicherheitskonzepte ISO 27001 und IT-Grundschutz ISMS und Sicherheitskonzepte ISO 27001 und IT-Grundschutz Aufbau eines ISMS, Erstellung von Sicherheitskonzepten Bei jedem Unternehmen mit IT-basierenden Geschäftsprozessen kommt der Informationssicherheit

Mehr

IT-Sicherheitsgesetz und IT- Sicherheitskatalog Anforderungen an Betreiber kritischer Infrastrukturen

IT-Sicherheitsgesetz und IT- Sicherheitskatalog Anforderungen an Betreiber kritischer Infrastrukturen IT-Sicherheitsgesetz und IT- Sicherheitskatalog Anforderungen an Betreiber kritischer Infrastrukturen 5. Fachtagung Infrastruktursicherheit des KKI e. V. IT-SICHERHEIT UND KRITISCHE I NFRASTRUKTUREN 10.

Mehr

IS-Revision in der Verwaltung

IS-Revision in der Verwaltung IS-Revision in der Verwaltung Dr. Gerhard Weck INFODAS GmbH, Köln 27. November 2009 Inhalt Nationaler Plan zur Sicherung der Informationsinfrastrukturen (NPSI) Umsetzungsplan KRITIS Umsetzungsplan Bund

Mehr

Leitfaden zum sicheren Betrieb von Smart Meter Gateways

Leitfaden zum sicheren Betrieb von Smart Meter Gateways Leitfaden zum sicheren Betrieb von Smart Meter Gateways Wer Smart Meter Gateways verwaltet, muss die IT-Sicherheit seiner dafür eingesetzten Infrastruktur nachweisen. Diesen Nachweis erbringt ein Gateway-

Mehr

Bausteine einer modernen IT-Sicherheitsstrategie in Rechenzentren. Patricia Krenedics Empalis Consulting GmbH Vaihingen, 04.

Bausteine einer modernen IT-Sicherheitsstrategie in Rechenzentren. Patricia Krenedics Empalis Consulting GmbH Vaihingen, 04. Bausteine einer modernen IT-Sicherheitsstrategie in Rechenzentren Patricia Krenedics Empalis Consulting GmbH Vaihingen, 04. November 2014 1 Index Sicherheitsstrategie Praxis Ganzheitliche Betrachtung (Informations-)

Mehr

......... http://www.r-tec.net

......... http://www.r-tec.net Digital unterschrieben von Marek Stiefenhofer Date: 2014.09.09 09:18:41 MESZ Reason: (c) 2014, r-tec IT Systeme GmbH.......... r-tec IT Systeme GmbH 09.09.2014 Bedrohungslage 2014 SEITE 3 2010: Stuxnet

Mehr

Aktualisierung der ISO/IEC 27001 (ISMS): Entstehung, Änderungsbedarf und Handlungsempfehlungen für Unternehmen

Aktualisierung der ISO/IEC 27001 (ISMS): Entstehung, Änderungsbedarf und Handlungsempfehlungen für Unternehmen Aktualisierung der ISO/IEC 27001 (ISMS): Entstehung, Änderungsbedarf und Handlungsempfehlungen für Unternehmen Bearbeitet von Stefan Beck 1. Auflage 2015. Taschenbuch. 148 S. Paperback ISBN 978 3 95934

Mehr

Die Bedeutung des IT- Sicherheitsgesetzes für den Straßenverkehr

Die Bedeutung des IT- Sicherheitsgesetzes für den Straßenverkehr Die Bedeutung des IT- Sicherheitsgesetzes für den Straßenverkehr Prof. Dr., LL.M. Fachgebiet Öffentliches Recht, IT-Recht und Umweltrecht 3. Würzburger Tagung zum Technikrecht: Auf dem Weg zum autonomen

Mehr

Anforderungen an die IT-Sicherheit Sicherheit von Informationen in kritischen Infrastrukturen ein Erfahrungsbericht

Anforderungen an die IT-Sicherheit Sicherheit von Informationen in kritischen Infrastrukturen ein Erfahrungsbericht Anforderungen an die IT-Sicherheit Sicherheit von Informationen in kritischen Infrastrukturen ein Erfahrungsbericht Jörg Kehrmann Datenschutz- und IT-Sicherheitsbeauftragter der Wuppertaler Stadtwerke

Mehr

Sicherheit als strategische Herausforderung. Antonius Sommer Geschäftsführer. TÜV Informationstechnik GmbH

Sicherheit als strategische Herausforderung. Antonius Sommer Geschäftsführer. TÜV Informationstechnik GmbH TÜV Informationstechnik GmbH Langemarckstraße 20 45141 Essen, Germany Phone: +49-201-8999-401 Fax: +49-201-8999-888 Email: A.sommer@tuvit.de Web: www.tuvit.de Sicherheit als strategische Herausforderung

Mehr

Gesetz zur Erhöhung der Sicherheit informationstechnischer Systeme (IT-Sicherheitsgesetz)

Gesetz zur Erhöhung der Sicherheit informationstechnischer Systeme (IT-Sicherheitsgesetz) Gesetz zur Erhöhung der Sicherheit informationstechnischer Systeme (IT-Sicherheitsgesetz) Dr. Reinhold Scheffel und Martin Lang Öffentlich bestellte und vereidigte Sachverständige 1. Vorstellung des neuen

Mehr

Richtlinie zur Informationssicherheit T-Systems Multimedia Solutions

Richtlinie zur Informationssicherheit T-Systems Multimedia Solutions Richtlinie zur Informationssicherheit T-Systems Multimedia Solutions Autor: Frank Schönefeld Gültig ab: 23.03.2015 / Ersetzte Ausgabe: 29.05.2012 Seite 1 von 5 Vorwort Unsere Kunden und Beschäftigten müssen

Mehr

Sicherheitsnachweise für elektronische Patientenakten

Sicherheitsnachweise für elektronische Patientenakten Copyright 2000-2011, AuthentiDate International AG Sicherheitsnachweise für elektronische Patientenakten Christian Schmitz Christian Schmitz Copyright 2000-2011, AuthentiDate International AG Seite 2 Systemziele

Mehr

Das IT-Sicherheitsgesetz

Das IT-Sicherheitsgesetz Das IT-Sicherheitsgesetz RA Dr. Jan K. Köcher Syndikus DFN-CERT Services GmbH koecher@dfn-cert.de Hintergrund/Ziele IT-Sicherheitsgesetz vom 17.7.2015 Änderungen: BSIG, TKG, TMG, AtomG... Ziele: Erhöhung

Mehr

Informationsrisikomanagement und Auslagerungsmanagement, Erfahrungen aus 44 KWG Prüfungen

Informationsrisikomanagement und Auslagerungsmanagement, Erfahrungen aus 44 KWG Prüfungen Informationsveranstaltung IT-Aufsicht bei Banken Informationsrisikomanagement und Auslagerungsmanagement, Erfahrungen aus 44 KWG Prüfungen Axel Leckner - Informationsveranstaltung IT-Aufsicht bei 1 Banken

Mehr

Häufig gestellte Fragen zum neuen IT-Sicherheitsgesetz

Häufig gestellte Fragen zum neuen IT-Sicherheitsgesetz Häufig gestellte Fragen zum neuen IT-Sicherheitsgesetz Am 25. Juli 2015 trat das neue IT-Sicherheitsgesetz in Kraft. Ziel des Gesetzes ist es, eine signifikante Verbesserung der IT-Sicherheit in Deutschland

Mehr

Informations-Sicherheit mit ISIS12

Informations-Sicherheit mit ISIS12 GPP Projekte gemeinsam zum Erfolg führen www.it-sicherheit-bayern.de Informations-Sicherheit mit ISIS12 GPP Service GmbH & Co. KG Kolpingring 18 a 82041 Oberhaching Tel.: +49 89 61304-1 Fax: +49 89 61304-294

Mehr

WHITEPAPER. ISO 27001 Assessment. Security-Schwachstellen und -Defizite erkennen

WHITEPAPER. ISO 27001 Assessment. Security-Schwachstellen und -Defizite erkennen WHITEPAPER ISO 27001 Assessment Security-Schwachstellen und -Defizite erkennen Standortbestimmung Ihrer Informationssicherheit basierend auf dem internationalen Standard ISO 27001:2013 ISO 27001 Assessment

Mehr

Wie viel IT-Sicherheit braucht mein Unternehmen? Was ist IT-Sicherheit? Prozess Chefsache Management-Tool Notwendigkeit Warum IT-Sicherheit? Gesetze Rechtsverordnungen Kunden Öffentlichkeit Geschäftspartner

Mehr

Peter Piwecki und Robert Grey, Webinar, 17. Februar 2015 Im Dschungel der IT-Sicherheitsrichtlinien Was sollten Energieversorgungsunternehmen

Peter Piwecki und Robert Grey, Webinar, 17. Februar 2015 Im Dschungel der IT-Sicherheitsrichtlinien Was sollten Energieversorgungsunternehmen Peter Piwecki und Robert Grey, Webinar, 17. Februar 2015 Im Dschungel der IT-Sicherheitsrichtlinien Was sollten Energieversorgungsunternehmen wissen? February 17, 2015 Slide 1 Agenda Aktueller Lagebericht

Mehr

Zertifizierung IT-Sicherheitsbeauftragter

Zertifizierung IT-Sicherheitsbeauftragter Zertifizierung IT-Sicherheitsbeauftragter Prof. Jürgen Müller Agenda Begrüßung Gefährdungen und Risiken Sicherheitsanforderungen und Schutzbedarf Live-Hacking Rechtliche Aspekte der IT- Sicherheit Vorgaben

Mehr

Informationstechnische Anforderungen zur Gewährleistung der Netzstabilität im zukünftigen Stromnetz

Informationstechnische Anforderungen zur Gewährleistung der Netzstabilität im zukünftigen Stromnetz Informationstechnische Anforderungen zur Gewährleistung der Netzstabilität im zukünftigen Stromnetz Nachhaltige Sicherstellung der Einhaltung grundlegender Anforderungen Hans Honecker IT-Sicherheit und

Mehr

Das neue IT-Sicherheitsgesetz: Welche Unternehmen sind betroffen? Was ist zu tun?

Das neue IT-Sicherheitsgesetz: Welche Unternehmen sind betroffen? Was ist zu tun? Dipl.-Wirtsch.-Ing. Frank Hallfell Dipl.-Ing.(FH) Günther Orth enbiz gmbh, Kaiserslautern Das neue IT-Sicherheitsgesetz: Welche Unternehmen sind betroffen? Was ist zu tun? IT-Tag Saarbrücken, 16.10.2015

Mehr

Sicherheitskatalog gem. 11 Abs. 1a EnWG. Bundesnetzagentur Energieabteilung

Sicherheitskatalog gem. 11 Abs. 1a EnWG. Bundesnetzagentur Energieabteilung Sicherheitskatalog gem. 11 Abs. 1a EnWG Bundesnetzagentur Energieabteilung 1 Version 1 2 Inhaltsverzeichnis A. EINLEITUNG... 4 B. RECHTLICHE GRUNDLAGEN... 5 C. SCHUTZZIELE... 6 D. TK- UND EDV-SYSTEME ZUR

Mehr

IT-Sicherheitskatalog gemäß 11 Absatz 1a Energiewirtschaftsgesetz

IT-Sicherheitskatalog gemäß 11 Absatz 1a Energiewirtschaftsgesetz IT-Sicherheitskatalog gemäß 11 Absatz 1a Energiewirtschaftsgesetz Stand: August 2015 Inhaltsverzeichnis A. EINLEITUNG... 3 B. RECHTLICHE GRUNDLAGEN... 4 C. SCHUTZZIELE... 5 D. GELTUNGSBEREICH... 6 E. SICHERHEITSANFORDERUNGEN...

Mehr

DAS NEUE IT-SICHERHEITSGESETZ

DAS NEUE IT-SICHERHEITSGESETZ BRIEFING DAS NEUE IT-SICHERHEITSGESETZ FEBRUAR 2016 UNTERNEHMEN WERDEN ZUR VERBESSERUNG DER IT-SICHERHEIT VERPFLICHTET BEI VERSTÖßEN DROHEN BUßGELDER BIS ZU EUR 100.000 Selten hatte die Verabschiedung

Mehr

First Climate AG IT Consulting und Support. Information Security Management System nach ISO/IEC 27001:2013 AUDIT REVISION BERATUNG

First Climate AG IT Consulting und Support. Information Security Management System nach ISO/IEC 27001:2013 AUDIT REVISION BERATUNG First Climate AG IT Consulting und Support Information Security Management System nach ISO/IEC 27001:2013 AUDIT REVISION BERATUNG - INFORMATION SECURITY MANAGEMENT MAIKO SPANO IT MANAGER CERTIFIED ISO/IEC

Mehr

Mindeststandard des BSI für den Einsatz des SSL/TLS-Protokolls durch Bundesbehörden. nach 8 Abs. 1 Satz 1 BSIG

Mindeststandard des BSI für den Einsatz des SSL/TLS-Protokolls durch Bundesbehörden. nach 8 Abs. 1 Satz 1 BSIG Mindeststandard des BSI für den Einsatz des SSL/TLS-Protokolls durch Bundesbehörden nach 8 Abs. 1 Satz 1 BSIG Bundesamt für Sicherheit in der Informationstechnik Postfach 20 03 63 53133 Bonn Tel.: +49

Mehr

Datenschutz und IT-Sicherheit. Smart Meter CA & Gateway Administration. SmartMeterCA &

Datenschutz und IT-Sicherheit. Smart Meter CA & Gateway Administration. SmartMeterCA & Datenschutz und IT-Sicherheit Smart Meter CA & Gateway Administration SmartMeterCA & Gateway Administration 4 Projekte 4 gute Ideen für den Smart Meter Gateway Administrator Unsere vier Projekte im Überblick

Mehr

Auswirkungen des IT-Sicherheitsgesetzes für KRITIS in der Wirtschaft

Auswirkungen des IT-Sicherheitsgesetzes für KRITIS in der Wirtschaft Sicherheitskooperation Cybercrime am 23. und 24.09.2015 in Hannover Auswirkungen des IT-Sicherheitsgesetzes für KRITIS in der Wirtschaft Stefan Menge Freies Institut für IT-Sicherheit e. V. (IFIT) Freies

Mehr

Verankerung und Umsetzung der IT-Sicherheit in der Hochschule

Verankerung und Umsetzung der IT-Sicherheit in der Hochschule Verankerung und Umsetzung der IT-Sicherheit in der Hochschule 3. Arbeitstreffen der G-WiN Kommission des ZKI Berlin, den 27.10.2003 Dipl.-Inform. W. Moll Institut für Informatik IV der Universität Bonn

Mehr

2.2. 8b Zentrale Meldestelle für die Sicherheit in der Informationstechnik für die Betreiber kritischer Infrastrukturen

2.2. 8b Zentrale Meldestelle für die Sicherheit in der Informationstechnik für die Betreiber kritischer Infrastrukturen Stellungnahme des Gesamtverbandes der Deutschen Versicherungswirtschaft ID-Nummer 6437280268-55 sowie des Verbandes der Privaten Krankenversicherung zum Referentenentwurf des Bundesministeriums des Innern

Mehr

Entwurf eines Gesetzes zur Erhöhung der Sicherheit informationstechnischer. von Wirtschaft und Gesellschaft.

Entwurf eines Gesetzes zur Erhöhung der Sicherheit informationstechnischer. von Wirtschaft und Gesellschaft. Bundesrat Drucksache 643/14 (Beschluss) 06.02.15 Stellungnahme des Bundesrates Entwurf eines Gesetzes zur Erhöhung der Sicherheit informationstechnischer Systeme (IT-Sicherheitsgesetz) Der Bundesrat hat

Mehr

IT-Sicherheitspolitik. der teilnehmenden Hochschulen und Forschungseinrichtungen in Schleswig-Holstein

IT-Sicherheitspolitik. der teilnehmenden Hochschulen und Forschungseinrichtungen in Schleswig-Holstein der teilnehmenden Hochschulen und Forschungseinrichtungen in Schleswig-Holstein Teilnehmende Institutionen Flensburg Universität Flensburg Christian- Albrechts- Universität IFM-GEOMAR Kiel Muthesius Kunsthochschule

Mehr

BSI Technische Richtlinie

BSI Technische Richtlinie BSI Technische Richtlinie Bezeichnung: Accountmanagement IT-Sicherheit Anwendungsbereich: De-Mail Kürzel: BSI TR 01201 Teil 2.3 Version: 1.2 Bundesamt für Sicherheit in der Informationstechnik Postfach

Mehr

BSI IT-GRUNDSCHUTZ 3.0: EINE PRAGMATISCHE VORGEHENSWEISE. Alternative Ansätze im Sicherheitsmanagement

BSI IT-GRUNDSCHUTZ 3.0: EINE PRAGMATISCHE VORGEHENSWEISE. Alternative Ansätze im Sicherheitsmanagement BSI IT-GRUNDSCHUTZ 3.0: EINE PRAGMATISCHE VORGEHENSWEISE Alternative Ansätze im Sicherheitsmanagement Knud Brandis Studium Rechtswissenschaft an der Universität Potsdam Master of Business Administration

Mehr

20 Jahre IT-Grundschutz Zeit für eine Modernisierung und Die neuen Vorgehensweisen. Holger Schildt IT-Grundschutz und Allianz für Cyber-Sicherheit

20 Jahre IT-Grundschutz Zeit für eine Modernisierung und Die neuen Vorgehensweisen. Holger Schildt IT-Grundschutz und Allianz für Cyber-Sicherheit 20 Jahre IT-Grundschutz Zeit für eine Modernisierung und Die neuen Vorgehensweisen Holger Schildt IT-Grundschutz und Allianz für Cyber-Sicherheit Agenda 1. Einleitung und Motivation 2. Vorgehensweisen

Mehr

Prüfkatalog nach ISO/IEC 27001

Prüfkatalog nach ISO/IEC 27001 Seite 1 Prüfkatalog nach ISO/IEC 27001 Zum Inhalt Konzeption, Implementierung und Aufrechterhaltung eines Informationssicherheits Managementsystems sollten sich an einem Prüfkatalog orientieren, der sowohl

Mehr

Embedded Systems. Sicherheit und Zuverlässigkeit in einer automatisierten und vernetzten Welt

Embedded Systems. Sicherheit und Zuverlässigkeit in einer automatisierten und vernetzten Welt Embedded Systems Sicherheit und Zuverlässigkeit in einer automatisierten und vernetzten Welt Intelligente Embedded Systems revolutionieren unser Leben Embedded Systems spielen heute in unserer vernetzten

Mehr

IT-Grundschutz. Manuel Atug & Daniel Jedecke Chaos Computer Club Cologne (C4) e.v. OpenChaos Januar 2007

IT-Grundschutz. Manuel Atug & Daniel Jedecke Chaos Computer Club Cologne (C4) e.v. OpenChaos Januar 2007 IT-Grundschutz Chaos Computer Club Cologne (C4) e.v. OpenChaos Januar 2007 IT-Grundschutzhandbuch Agenda Ziel der IT-Sicherheit Das IT-Grundschutzhandbuch Umsetzung des IT-Grundschutzhandbuchs Ausbaustufen

Mehr

»Einführung des ISMS nach ISO 27001 beim Energieversorger«

»Einführung des ISMS nach ISO 27001 beim Energieversorger« Konzept: Befragung und White Paper»Einführung des ISMS nach ISO 27001 beim Energieversorger«Fabian Wohlfart Andreas Hänel Überblick 1 Die Energieforen 2 Begründung und Ziele des IT-Sicherheitskataloges

Mehr

Einführung eines ISMS an Hochschulen Praxisbericht: Informationssicherheitsmanagement am KIT

Einführung eines ISMS an Hochschulen Praxisbericht: Informationssicherheitsmanagement am KIT Einführung eines ISMS an Hochschulen Praxisbericht: Informationssicherheitsmanagement am KIT STEINBUCH CENTRE FOR COMPUTING - SCC KIT University of the State of Baden-Wuerttemberg and National Research

Mehr

MM-2-111-403-00. IT-Sicherheit

MM-2-111-403-00. IT-Sicherheit MM-2-111-403-00 Rev. Nr.: 01 Rev. Datum: 26.03.2014 Nächste Rev.: 26.03.2017 MM-2-111-403-00 IT-Sicherheit Seite: 1 / 8 MM-2-111-403-00 Rev. Nr.: 01 Rev. Datum: 26.03.2014 Nächste Rev.: 26.03.2017 Ziel

Mehr

Informationssicherheitsmanagement

Informationssicherheitsmanagement Informationssicherheitsmanagement nach ISO 27001 und BSI Grundschutz Karner & Schröppel Partnerschaft Sachverständige für Informationssicherheit und Datenschutz Unser Konzept Informationssicherheit und

Mehr

Die Zukunft der IT-Sicherheit

Die Zukunft der IT-Sicherheit Die Zukunft der IT-Sicherheit Was wir aus dem IT-SiG und Co. so alles für die Zukunft lernen können! 20.03.2015 Gerald Spyra, LL.M. Kanzlei Spyra Vorstellung meiner Person Gerald Spyra, LL.M. Rechtsanwalt

Mehr

Aktuelles zu Kritischen Infrastrukturen

Aktuelles zu Kritischen Infrastrukturen Aktuelles zu Kritischen Infrastrukturen Marc Schober Bundesamt für Sicherheit in der Informationstechnik Referat 112 Kritische Infrastrukturen und IT-Sicherheitsrevision GI SECMGT Workshop, 2011-06-10

Mehr

IT-Sicherheitskatalog der BNetzA Informationssicherheit bei Netzbetreibern

IT-Sicherheitskatalog der BNetzA Informationssicherheit bei Netzbetreibern IT-Sicherheitskatalog der BNetzA Informationssicherheit bei Netzbetreibern Die Energiewirtschaft wird zunehmend digital. Netzbetreiber sind bereits heute und zukünftig noch stärker auf IKT-Lösungen zur

Mehr

ISMS Teil 3 Der Startschuss

ISMS Teil 3 Der Startschuss ISMS Teil 3 Der Startschuss Nachdem das TOP-Managenment die grundsätzliche Entscheidung getroffen hat ein ISMS einzuführen, kann es nun endlich losgehen. Zu Beginn sollte Sie noch die Grundlagen des ISMS

Mehr

Projekt IT-Sicherheitskonzept.DVDV

Projekt IT-Sicherheitskonzept.DVDV Projekt IT-Sicherheitskonzept.DVDV Dokumentation.Sicherheitsrichtlinie.Server DVDV Dienstleister Bundesverwaltungsamt BIT 3 Barbarastr. 1 50735 Köln 10. Mai 2006 Dokumentinformationen Projekt IT-Sicherheitskonzept.DVDV

Mehr

Entwurf zum IT-Sicherheitsgesetz

Entwurf zum IT-Sicherheitsgesetz Entwurf zum IT-Sicherheitsgesetz Sebastian Hinzen, LL.M. Bird & Bird LLP 6. IT LawCamp 2015 Agenda Einleitung Wesentliche neue Regelungen im BSI-Gesetz TMG TKG Fazit & Ausblick Page 2 Einleitung (1) Ziel

Mehr

IT-Sicherheit für Energieversorger

IT-Sicherheit für Energieversorger IT-Sicherheit für Energieversorger Das Wichtigste im Überblick Um was geht es? Die Bundesregierung erarbeitet derzeit folgende Gesetzesvorlage: IT-Sicherheitsgesetz (für kritische Infrastrukturen) umfasst

Mehr

IT-Sicherheitskoordinator in der öffentlichen Verwaltung mit TÜV Rheinland geprüfter Qualifikation. 26. 28. Februar 2014, Berlin

IT-Sicherheitskoordinator in der öffentlichen Verwaltung mit TÜV Rheinland geprüfter Qualifikation. 26. 28. Februar 2014, Berlin IT-Sicherheitskoordinator in der öffentlichen Verwaltung mit TÜV Rheinland geprüfter Qualifikation 26. 28. Februar 2014, Berlin IT-Sicherheitskoordinator in der öffentlichen Verwaltung 26. 28. Februar

Mehr

IT-Sicherheitsgesetz und nun?

IT-Sicherheitsgesetz und nun? IT-Sicherheitsgesetz und nun? Umsetzung bei Betreibern Kritischer Infrastrukturen Frankfurt, den 25.02.2016 AGENDA Kurzvorstellung DENIC eg UP KRITIS IT-Sicherheitsgesetz Überlegungen zur Umsetzung Weiteres

Mehr

Informationssicherheit (k)eine Frage für Ihr Unternehmen?

Informationssicherheit (k)eine Frage für Ihr Unternehmen? Ziele Informationssicherheit (k)eine Frage für Ihr Unternehmen? SSV bei connect Schnelligkeit, Sicherheit, Verfügbarkeit Vortrag von Ingrid Dubois, dubois it-consulting gmbh Informationssicherheit: Ziele

Mehr

Betreff: Entwurf eines Gesetzes zur Erhöhung der Sicherheit informationstechnischer Systeme (IT- Sicherheitsgesetz)

Betreff: Entwurf eines Gesetzes zur Erhöhung der Sicherheit informationstechnischer Systeme (IT- Sicherheitsgesetz) Bundesministerium des Innern z.hd. Herrn Dr. Düring Alt-Moabit 101 D 10559 Berlin Per E-Mail: ITII1@bmi.bund.de Berlin, 18.11.2014 Betreff: Entwurf eines Gesetzes zur Erhöhung der Sicherheit informationstechnischer

Mehr

Software EMEA Performance Tour 2013. 17.-19 Juni, Berlin

Software EMEA Performance Tour 2013. 17.-19 Juni, Berlin Software EMEA Performance Tour 2013 17.-19 Juni, Berlin In 12 Schritten zur ISo27001 Tipps & Tricks zur ISO/IEC 27001:27005 Gudula Küsters Juni 2013 Das ISO Rennen und wie Sie den Halt nicht verlieren

Mehr

(IT-SICHERHEITSGRUNDSÄTZE)

(IT-SICHERHEITSGRUNDSÄTZE) Senatsverwaltung für Inneres und Sport 1 GRUNDSÄTZE ZUR GEWÄHRLEISTUNG DER NOTWENDIGEN SICHERHEIT BEIM IT-EINSATZ IN DER BERLINER VERWALTUNG (IT-SICHERHEITSGRUNDSÄTZE) (beschlossen vom Senat am 11.12.07)

Mehr

IT-Sicherheitsgesetz. www.it-rechtsberater.de

IT-Sicherheitsgesetz. www.it-rechtsberater.de 1 Herzlich willkommen! Die Themen heute: Vorstellung Fachkanzlei für IT-Recht & Datenschutz COSTARD Inkrafttreten IT-Sicherheitsgesetz Zweck des Gesetzes Adressaten des Gesetzes Betreiber kritischer Infrastrukturen

Mehr

IT-Sicherheitspolitik in der FhG

IT-Sicherheitspolitik in der FhG IT-Sicherheitspolitik in der FhG Dipl.-Math. Wilfried Gericke IT-Verantwortlicher IT-Sicherheitspolitik in der FhG Motivation IT-Sicherheitsziele Verantwortlichkeit Maßnahmen und Umsetzung Motivation(1)

Mehr

Die Telematikinfrastruktur als sichere Basis im Gesundheitswesen

Die Telematikinfrastruktur als sichere Basis im Gesundheitswesen Die Telematikinfrastruktur als sichere Basis im Gesundheitswesen conhit Kongress 2014 Berlin, 06.Mai 2014 Session 3 Saal 3 Gesundheitsdaten und die NSA Haben Patienten in Deutschland ein Spionageproblem?

Mehr

IT-Grundschutz IT-Sicherheit ohne Risiken Und Nebenwirkungen

IT-Grundschutz IT-Sicherheit ohne Risiken Und Nebenwirkungen IT-Sicherheit ohne Risiken Und Nebenwirkungen Bundesamt für Sicherheit in der Informationstechnik Grundlagen der Informationssicherheit und 1. -Tag 03.02.2015 Agenda Das BSI Informationssicherheit Definition

Mehr

IT-Grundschutz Informationssicherheit ohne Risiken und Nebenwirkungen

IT-Grundschutz Informationssicherheit ohne Risiken und Nebenwirkungen IT-Grundschutz Informationssicherheit ohne Risiken und Nebenwirkungen Bundesamt für Sicherheit in der Informationstechnik Grundlagen der Informationssicherheit und IT-Grundschutz IT-Grundschutz-Tag 09.10.2013

Mehr

Einführung Cybersicherheit für Industrieanlagen

Einführung Cybersicherheit für Industrieanlagen Kundentag - Cybersicherheit für Industrieanlagen - 22.10.2015, Ragnar Schierholz ABB Einführung Cybersicherheit für Industrieanlagen Slide 2 Leitprinzipien der Cybersicherheit Realität Es gibt keine 100%ige

Mehr

Erstellung eines Sicherheitskonzeptes nach BSI-GS für das Personenstandswesen. Marco Puschmann

Erstellung eines Sicherheitskonzeptes nach BSI-GS für das Personenstandswesen. Marco Puschmann Erstellung eines Sicherheitskonzeptes nach BSI-GS für das Personenstandswesen Marco Puschmann Agenda Kurzportrait HannIT (AöR) Das Personenstandswesen Daten Gesetzliche Rahmenbedingungen (PStV) technische

Mehr

secunet SwissIT AG ISMS in der öffentlichen Verwaltung

secunet SwissIT AG ISMS in der öffentlichen Verwaltung secunet SwissIT AG ISMS in der öffentlichen Verwaltung Berlin, 22. November 2010 Agenda 1 Einleitung 2 ISO/IEC 27000er-Normenfamilie 3 ISO 27001 auf der Basis von IT-Grundschutz 4 Einsatz von ISMS in der

Mehr

Business Continuity Management (BCM) als Managementaufgabe Ein prozessorientierter Ansatz für den IT-Sicherheitsprozess

Business Continuity Management (BCM) als Managementaufgabe Ein prozessorientierter Ansatz für den IT-Sicherheitsprozess Business Continuity Management (BCM) als Managementaufgabe Ein prozessorientierter Ansatz für den IT-Sicherheitsprozess, Projektmanager und Sales Consultant, EMPRISE Process Management GmbH Das Gesetz

Mehr

Datenschutz und IT-Sicherheit in. Smart Meter Systemen. Unser Angebot für Smart Meter Gateway Administrator und Smart Meter CA

Datenschutz und IT-Sicherheit in. Smart Meter Systemen. Unser Angebot für Smart Meter Gateway Administrator und Smart Meter CA Datenschutz und IT-Sicherheit in Smart Meter Systemen Unser Angebot für Smart Meter Gateway Administrator und Smart Meter CA Smart, sicher und zertifiziert Das Energiekonzept der Bundesregierung sieht

Mehr

Dieter Börner Management-Service. Quelle : Bundesamt für Sicherheit in der Informationstechnik

Dieter Börner Management-Service. Quelle : Bundesamt für Sicherheit in der Informationstechnik Dieter Börner Management-Service Am Bahnhof 12 96328 Küps Tel. 09264 91323 Fax 09264 91324 Das Informationssicherheits- Managementsystem nach ISO/IEC 27001 Informationstechnik - IT-Sicherheitsverfahren

Mehr

IT-Sicherheit für die Energie- und Wasserwirtschaft

IT-Sicherheit für die Energie- und Wasserwirtschaft IT-Sicherheit für die Energie- und Wasserwirtschaft Als Prozess für Ihr ganzes Unternehmen. Zu Ihrer Sicherheit. www.schleupen.de Schleupen AG 2 Deshalb sollte sich Ihr Unternehmen mit IT-Sicherheit beschäftigen

Mehr

Das IT-Sicherheitsgesetz

Das IT-Sicherheitsgesetz Das IT-Sicherheitsgesetz Kritische Infrastrukturen schützen Das IT-sIcherheITsgeseTz InhalT Inhaltsverzeichnis 1 Das IT-Sicherheitsgesetz 5 2 Zielgruppen und Neuregelungen 7 3 Neue Aufgaben für das BSI

Mehr

Ergänzung zum BSI-Standard 100-3, Version 2.5

Ergänzung zum BSI-Standard 100-3, Version 2.5 Ergänzung zum BSI-Standard 100-3, Version 2.5 Verwendung der elementaren Gefährdungen aus den IT-Grundschutz-Katalogen zur Durchführung von Risikoanalysen Stand: 03. August 2011 Bundesamt für Sicherheit

Mehr

Cyber Security in der Stromversorgung

Cyber Security in der Stromversorgung 12. CIGRE/CIRED Informationsveranstaltung Cyber Security in der Stromversorgung Manuel Ifland Ziele dieses Vortrags Sie können sich ein Bild davon machen, welche Cyber Security Trends in der Stromversorgung

Mehr

Im Stadtwerkeausschuss vom 16.09.2013 wurde auf Anfrage von B 90/DIE GRÜNEN u.a. erläutert:

Im Stadtwerkeausschuss vom 16.09.2013 wurde auf Anfrage von B 90/DIE GRÜNEN u.a. erläutert: Sitzung Stadtwerkeausschuss 25.06.2014 Thema Anfrage zur Sicherheit der Steuerung der Stadtwerke für Strom/Gas/Wasser Anfrage Herr Ramcke (Fraktion Bündnis 90/DIE GRÜNEN) Anfrage im Stadtwerkeausschuss

Mehr

Sicherheitstechnische Qualifizierung (SQ), Version 10.0 Security Assurance Level SEAL-3

Sicherheitstechnische Qualifizierung (SQ), Version 10.0 Security Assurance Level SEAL-3 Die Zertifizierungsstelle der TÜV Informationstechnik GmbH bescheinigt hiermit dem Unternehmen RWE Effizienz GmbH Flamingoweg 1 44139 Dortmund für das IT-System RWE eoperate IT Services die Erfüllung aller

Mehr

Der IT Security Manager

Der IT Security Manager Edition kes Der IT Security Manager Aktuelles Praxiswissen für IT Security Manager und IT-Sicherheitsbeauftragte in Unternehmen und Behörden Bearbeitet von Heinrich Kersten, Gerhard Klett 4. Auflage 2015.

Mehr

Informationssicherheit

Informationssicherheit Informationssicherheit Dipl.-Kfm., CISA, CISM 2007 RÖVERBRÖNNER Consulting GmbH Das einzige System, welches wirklich sicher ist, ist ausgeschaltet und ausgesteckt, eingesperrt in einem Safe aus Titan,

Mehr

IT Sicherheit in Kritischen Infrastrukturen

IT Sicherheit in Kritischen Infrastrukturen IT Sicherheit in Kritischen Infrastrukturen Forschungsansätze zur ganzheitlichen Risikobewertung Dipl. oec. Michael Sparenberg Institut für Internet-Sicherheit if(is) Westfälische Hochschule Gelsenkirchen

Mehr

BSI-Mindestsicherheitsanforderungen an Cloud-Computing-Anbieter

BSI-Mindestsicherheitsanforderungen an Cloud-Computing-Anbieter BSI-Mindestsicherheitsanforderungen an Cloud-Computing-Anbieter Alex Didier Essoh und Dr. Clemens Doubrava EuroCloud Deutschland_eco e.v. Köln 02.02.2011 Ziel Ziel des BSI ist es, gemeinsam mit den Marktteilnehmern

Mehr

Deutscher Bundestag Drucksache 18/5122. Bericht. 18. Wahlperiode 10.06.2015. des Haushaltsausschusses (8. Ausschuss) gemäß 96 der Geschäftsordnung

Deutscher Bundestag Drucksache 18/5122. Bericht. 18. Wahlperiode 10.06.2015. des Haushaltsausschusses (8. Ausschuss) gemäß 96 der Geschäftsordnung Deutscher Bundestag Drucksache 18/5122 18. Wahlperiode 10.06.2015 Bericht des Haushaltsausschusses (8. Ausschuss) gemäß 96 der Geschäftsordnung zu dem Gesetzentwurf der Bundesregierung Entwurf eines Gesetzes

Mehr

ISMS. Informationssicherheit ganzheitlich und nachhaltig. Materna GmbH 2014 www.materna.de

ISMS. Informationssicherheit ganzheitlich und nachhaltig. Materna GmbH 2014 www.materna.de ISMS Informationssicherheit ganzheitlich und nachhaltig Warum Informationssicherheit ISMS Standards (ISO27001, IT GS, ISIS12) Annäherung Dipl.-Ing Alfons Marx Materna GmbH Teamleiter Security, DQS-Auditor

Mehr

Aktuelles aus Rechtsprechung und Behördenpraxis zum EnWG und den Rechtsverordnungen

Aktuelles aus Rechtsprechung und Behördenpraxis zum EnWG und den Rechtsverordnungen Aktuelles aus Rechtsprechung und Behördenpraxis zum EnWG und den Rechtsverordnungen Messsysteme und IT-Sicherheit Weimar, 04.09.2014 1 Kurzprofil BBH Becker Büttner Held gibt es seit 1991. Bei uns arbeiten

Mehr