Projekt Penetrationstest IPK, IK und CN. Corporate Network TenneT TSO GmbH. Anfrage

Größe: px
Ab Seite anzeigen:

Download "Projekt Penetrationstest IPK, IK und CN. Corporate Network TenneT TSO GmbH. Anfrage"

Transkript

1 Projekt Penetrationstest IPK, IK und CN Corporate Network Anfrage Erstellung eines Konzeptes und die Durchführung eines Penetrationstestes für einen IP-Konverter, Informationsknoten und ein vollständiges Nachrichtennetz Version 0.2

2 Änderungshistorie Datum Version Abschnitt / Seite Änderung Name Erstellung Krellner Ergänzungen Krellner NAA Krellner Seite - 2 von 18

3 Inhaltsverzeichnis 1 Einleitung Aufgabenstellung Ziele Beteiligte Anforderungen an den Auftragnehmer Leistungsbeschreibung Konzept für (Standard-) Penetrationstests Penetrationstest Informationsknoten (Datenkonzentrator) Penetrationstest IP-Konverter (Datenproxy) Penetrationstest Communication Network (CN) Geheimhaltung Rahmenbedingungen Zeitplan Ansprechpartner Anhang A: Einheitsformblatt NAA Krellner Seite - 3 von 18

4 1 Einleitung Die mit Sitz in Bayreuth ist mit ihren rund 1400 Mitarbeitern verantwortlich für den Betrieb, die Instandhaltung und die weitere Entwicklung des Stromübertragungsnetzes der Spannungsebenen 220kV und 380kV in großen Teilen Deutschlands. Das Unternehmen ist mit rund Kilometern Höchstspannungsleitungen für einen effizienten Stromtransport über große Entfernungen zuständig. Das Netz reicht von der Grenze Dänemarks bis zu den Alpen und deckt mit Quadratkilometern rund 40 Prozent der Fläche Deutschlands ab: Mehr als 20 Millionen Menschen können sich auf die sichere Stromversorgung durch TenneT verlassen. Die nachrichtentechnischen Verbindungen der ca. 125 Umspannwerke untereinander und mit den Leitstellen werden derzeit zum größeren Teil durch gemietete Übertragungsbandbreite des Dienstleisters E.ON-Netz, und zum kleineren Teil durch eigene Glasfaserverbindungen, realisiert. Für den Betrieb des Leittechnischen Prozessnetz auf Basis des Protokolls IEC wurde ein eigenständiges routingfähiges Netzwerk über das Transportnetz des Dienstleisters eingerichtet. Aufgrund strategischer Überlegungen und regulatorischer Vorgaben liegt die Notwendigkeit vor, den Betrieb des nachrichtentechnischen Übertragungsnetzes für die Prozessdatenkommunikation des Stromübertragungsnetzes in eigener Hoheit durchzuführen. Dies wurde in einer Konzeptstudie analysiert und daraufhin von TenneT zur Umsetzung freigegeben. Für den Aufbau des neuen Nachrichtennetzes wurde das Projekt CN TTG (Corporate Network ) ins Leben gerufen. Für dieses Projekt sollen auch die aktuellen Sicherheitsstandards angewendet werden. Darüber hinaus wurden nach den Anforderungen bzgl. des Betriebs einer kritischen Infrastruktur weitere Sicherheitsmaßnahmen implementiert. Somit soll sichergestellt werden, dass die aktuellen und zukünftigen gesetzlichen Vorgaben besonders in Hinblick auf die Vorgaben für KRITIS auch mit dem neuen Nachrichtennetz vollständig erfüllt werden. NAA Krellner Seite - 4 von 18

5 2 Aufgabenstellung Innerhalb von TenneT gibt es klare Vorgaben und Regeln über den Einsatz um Umgang mit TK- und IT-Systemen. Die zu berücksichtigenden Sicherheitsaspekte werden in einer Geschäftsanweisung verbindlich für alle Mitarbeiter geregelt. Die Umsetzung und Regelungen zur Anwendung der Sicherheitsvorgaben sind in weiteren Anwenderdokumenten geregelt. Auf Grundlage dieser Sicherheitsvorgaben wurde ein technisches Konzept für ein neues Nachrichtennetz (Corporate Network CN) zum Zwecke der Prozessautomation erstellt. Auf Basis dieses Konzeptes, wurde nun das neue Nachrichtennetz (CN) aufgebaut. Der Probebetrieb dieses neuen Netzes inkl. aller darin abgebildeten Dienste soll noch Ende 2014 gestartet werden. Eine zentrale Aufgabe des neuen Nachrichtennetzes ist die Bereitstellung von kritischen Diensten zur Steuerung und Schutz des Höchstspannungsnetzes. Diese Dienste werden in der sogenannten Prozessnetzinfrastruktur zusammengefasst. Des Weiteren werden über das Nachrichtennetz auch andere Dienste, sogenannte kommerzielle Dienste für das eigenen Unternehmen erbracht. Ein wichtiger Punkt hierbei ist, die rückwirkungsfreie Trennung zwischen Prozessnetzen und kommerziellen Netzen, sowie die sichere Trennung der einzelnen Dienste untereinander. Zur Qualitätssicherung der tatsächlichen Umsetzung des technischen Konzeptes, und insbesondere der Sicherheitsvorgaben, soll das gesamte neue Nachrichtennetz und zwei wichtige technische Systeme, einem Penetrationstest unterzogen werden. Da das zu testende Kommunikationsnetz zum großen Teil Dienste der Prozessautomation zur Verfügung stellt, muss der Test noch vor dem eigentlichen Live-Betrieb, d.h. während des Probebetriebs durchgeführt werden. In der nachfolgenden Aufstellung werden die Aufgaben grob skizziert, welche durch den Auftragnehmer übernommen werden sollen: o o o o o Erstellung eines Unternehmens-Standards bzw. Konzeptes zur Durchführung der Penetrationstest. Durchführung eines Penetrationstest auf einen Datenkonzentrator (Informationsknoten) zur sicheren Übertragung des Protokolls IEC Durchführung eines Penetrationstest auf einen Datenproxy (IP-Konverter) zur sicheren Übertragung des Protokolls IEC Überprüfung der korrekten Umsetzung des technischen Konzeptes bzw. des Sicherheitsniveaus für das neue Nachrichtennetz, mittels Durchführung von Analysen und Penetrationstests. Ausführliche Dokumentation aller durchgeführten Analysen, Tests und Auswertungen. Der Auftragnehmer soll, die Ihm übertragenen Aufgaben, in enger Zusammenarbeit mit den TenneT Fachabteilungen umsetzen. Hierzu sind insbesondere auch regelmäßige Workshops und laufend Reviews sowie Teilfreigaben vorgesehen. NAA Krellner Seite - 5 von 18

6 3 Ziele Mit der Fachberatung, Mitarbeit und Unterstützung durch einen externen Dienstleister sollen insbesondere folgende strategische Ziele erreicht werden: Qualitätssicherung des Nachrichtennetzes in Bezug auf das Sicherheitsniveau Analyse und Test des neuen Nachrichtennetzes sollen Umsetzungsfehler und technische Mängel aufdecken bevor das Netz in den Live-Betrieb überführt wird. Dies soll ermöglichen, dass ausführlichere Untersuchungen durchgeführt werden können welche bei einem Prozessinformationsnetz sonst nicht möglich wären. Zudem können evtl. entdeckte Mängel noch rechtzeitig, mit vertretbarem Aufwand beseitigt werden, falls dies notwendig sein sollte. Qualitätssicherung des Prozessnetzdienstes IEC104 Mit der detaillierten Untersuchung zweier zentraler Komponenten soll das gewünschte Sicherheitsniveau für einen Dienst überprüft werden, welcher auf dem Protokoll IEC beruht. Die Tests sollen ggf. technische Mängel aufdecken welche dann an die Hersteller zur Beseitigung adressiert werden können oder als Basis zur Ergreifung weiterer Sicherheitsmaßnahmen dienen. Prüfung der Planung und Umsetzung Eine Prüfung und Analyse der vorhandenen Konzepte sowie der zugehörigen Test- Ergebnisse soll sicherstellen, dass die festgelegten Sicherheitsanforderungen, durch die Auswahl der richtigen Maßnahmen die zu einer Minimierung der Risiken führen sollen, erfüllt werden. Weiterhin soll geprüft werden ob die Umsetzung der Konzepte, d.h. der Aufbau des neuen Nachrichtennetzes mit all seinen Diensten, durch externe sowie interne Unterstützung fehlerfrei und in der notwendigen Qualität ausgeführt wurde. Festlegung eines Standards für zukünftige Penetrationstests Penetrationstest, welche in der Vergangenheit durchgeführt wurden, sind immer projektspezifisch umgesetzt worden. Dies bedeutet, dass für jeden neuen Test die Vorgehensweise immer wieder neu abgestimmt werden muss. Durch die Festlegung auf eine Standardvorgehensweise soll in Zukunft, auf Seiten des Auftragnehmers, Zeit und personelle Ressourcen für die Vorbereitung gespart werden. Einbringung von externen Know-how und Expertise Durch die Einbeziehung von externem Wissen aus dem Bereich Informationssicherheit, Analysen und Testing soll das interne technische Know-how optimal unterstützt werden. Die aktuellen Ergebnisse können dann aufgrund der externen Expertise unternehmensintern besser vermittelt werden. NAA Krellner Seite - 6 von 18

7 4 Beteiligte Der Auftragnehmer hat alle zu erbringende Leistungen im eigenen Betrieb auszuführen. D.h. eine Übertragung von Leistungen an Nachunternehmer durch den Auftragnehmer ist dem Auftraggeber anzuzeigen und nur mit dessen Zustimmung zulässig. Auf Seiten des Auftragnehmers sind feste Ansprechpartner für die Umsetzung und die Dauer des Projektes gegenüber dem Auftraggeber zu nennen. Auf Seiten des Auftraggebers ist der Ansprechpartner für obiges Projekt, die Abteilung NAA Asset Management und Asset Strategie (siehe Kapitel 10 Ansprechpartner). Alle vom Auftraggeber notwendigen Informationen und Ressourcen werden von dem benannten Ansprechpartner zur Verfügung gestellt. Die weitere Zusammenarbeit mit den erforderlichen internen und externen Organisationen und Bereiche wird vom Auftraggeber koordiniert. NAA Krellner Seite - 7 von 18

8 5 Anforderungen an den Auftragnehmer Der Auftragnehmer muss Erfahrungen aus dem EVU-Umfeld und dem Bereich Prozessleittechnik bzw. ICS Systeme mitbringen. Diese Erfahrungen müssen durch entsprechende Referenzen (Referenzliste) nachgewiesen werden. Insbesondere werden folgende Kenntnisse und Fähigkeiten gefordert: Know-how über Prozessleittechnik bzw. ICS Systemen welche in den letzten 20 Jahren bei EVUs eingeführt wurden und im Einsatz sind. Know-how im Bereich EVU Sicherheitstechnologien und Datensicherheit. D.h. es sind Kenntnisse der verwendeten Protokolle, Technologien und Lösungen aus dem Bereich eines ÜNB bzw. Stromnetzbetreibers erforderlich. Praktische Erfahrungen mit nachrichtentechnische Übertragungssysteme sowie TK-Systeme aus dem Bereich WAN und LAN. Praktische Erfahrungen mit dem aktuellen Spektrum an IT-Systemen für den Rechenzentrumsbetrieb, zur Benutzeranwendung und von Sicherheitssystemen inkl. deren Hard- und Software. Praktische Erfahrungen mit Penetrationstests im Prozessnetzumfeld von EVUs. Know-how im Bereich Risikoanalyse für Nachrichten- und Prozessdatennetze zur Steuerung von Stromnetzen. Know-how bzgl. der Analyse von Abhängigkeiten zwischen Security und Safety. Know-how aus dem Bereich der Leitstellensicherheit, Netzkopplungen und Netzwerktrennung sind ebenfalls relevant. Der Anbieter muss unabhängig von Technologie-Lieferanten und Service-Dienstleistern sein und dies bei Auftragsvergabe über die Projektlaufzeit zusichern. Eine Sicherheitsüberprüfung der Stufe Ü1 nach dem SÜG (Sicherheitsüberprüfungsgesetz) ist im Bedarfsfall für die eingesetzten Mitarbeiter des Auftragnehmers vorzuweisen bzw. durchzuführen. NAA Krellner Seite - 8 von 18

9 6 Leistungsbeschreibung Nachfolgend werden die Inhalte für die Penetrationstests und deren Dokumentation soweit wie möglich skizziert. Die Auflistung beschreibt die inhaltlichen Schwerpunkte, die im Projekt gemeinsam mit dem Auftragnehmer noch ergänzt bzw. detailliert werden können. 6.1 Konzept für (Standard-) Penetrationstests Bei der existiert eine interne Geschäftsanweisung in der die IT- Sicherheitsrichtlinie für den Bereich der Prozessnetzkommunikation festgelegt ist. In dieser Richtlinie sind auch die Kontrollen für die Überprüfung der Sicherheitsvorgaben geregelt. Hierbei soll bereits bei der Beschaffung von Hard- und Software die Überprüfung stattfinden, ob die ausgewählte Technik den Sicherheitsanforderungen von TenneT gerecht wird. Ebenso wird eine kontinuierliche Überwachung der Sicherheitsvorgaben als qualitätssichernde Maßnahme gefordert, welche mittels Sicherheitsanalysen und Scans umgesetzt werden soll. Ein wichtiger Teil der oben beschriebenen Kontrollprozesse ist die Überprüfung der Herstellerangaben, bzgl. der Funktionalität der Systeme, durch TenneT interne Tests. Somit können meist auch Schwachstellen und Fehler identifiziert werden, welche dem Hersteller nicht bekannt sind. Die negativen Ergebnisse der Tests werden dann zur Behebung an die Hersteller der Hard- bzw. Software adressiert. Da sich die Tests der Systeme erfahrungsgemäß wiederholen, soll für die Zukunft ein verbindlicher Standard für diese Tests geschaffen werden. Anhand dieses Standards soll es dann möglich sein, einen Großteil der Überprüfungen einfach zu replizieren. Um somit die Aufwendungen, welche in Form von internen Ressourcen zur Verfügung gestellt werden müssen, deutlich zu reduzieren. Folgende Leistungen sollen vom Auftragnehmer erbracht werden: o Erstellung eines neuen Konzeptes für Penetrationstest von ICS- und Kommunikationstechnik-Komponenten auf Basis von allgemeinen Standards und TenneT Unternehmensrichtlinien: Beschreibung von Generellen Festlegungen zu Testmethoden, Vorgehensweise und Testinhalte zur Überprüfung der IT-Sicherheit sowie von Systemfunktionen. Beschreibung aller sicherheitsrelevanten Themen in Bezug auf die Verantwortung, Nutzen, Prozesse und die Durchführung der Tests. Beschreibung zur Bewertung inkl. Metriken zum Risikograd und Darstellung der Testergebnisse. Beschreibung von möglichen Maßnahmen zur Minimierung von Sicherheitsrisiken. o Qualitätssicherung des erstellten Dokumentes durch die Prüfung und Revision in Bezug auf inhaltliche Richtigkeit, Vollständigkeit und Widerspruchsfreiheit. NAA Krellner Seite - 9 von 18

10 6.2 Penetrationstest Informationsknoten (Datenkonzentrator) Eine zentrale Komponente für den im Kapitel 0 beschriebenen Dienst IEC ist im TenneT Prozessdatennetz der sogenannte Informationsknoten oder kurz Infoknoten. Ein Informationsknoten kann aus Master- und Slave-Baugruppen bestehen. Dieses System terminiert vor einer Leitstelle alle 104er Verbindungen und setzt diese in neue Verbindungen für die Leitstelle um. Somit sammelt er aus allen angeschlossenen Umspannwerken die entsprechenden Prozessdatenverbindungen und gibt diese anschließend in gebündelter Form als Datenkonzentrator an die verarbeitende Leitstelle weiter. Die zu verarbeitenden Prozessdaten werden durch die sogenannten IP-Konvertern (siehe Kapitel 6.3) aus den Umspannwerken als weitere vermittelnde Einheit geliefert. Da der Informationsknoten eine wichtige Sicherheitsfunktion zum Schutz der Leitstellen und des angeschlossenen Prozessdatennetz erfüllt, soll diese Schutzfunktion nun auch überprüft werden. Die Schutzfunktion besteht zum größten Teil darin, die Leitstellennetze und das Prozessdatennetz voneinander zu trennen. Um die notwendigen Sicherheitstest erfolgreich umsetzen zu können, ist es notwendig, dass der Auftragnehmer entsprechende Kompetenzen aus dem Bereich Systemtests (Hard- und Software) von proprietären Herstellerlösungen für Prozessleittechnik auf Basis des Protokolls IEC mitbringt. Folgende Leistungen sollen vom Auftragnehmer erbracht werden: o Durchführung eines Penetrationstests an einem proprietären ICS welches als Datenkonzentrator für das Protokoll IEC eingesetzt wird. Anwendung des im Kapitel 6.1 beschriebenen Konzeptes zum Penetrationstest. Darstellung der Testergebnisse auch in Verbindung mit den Tests in Kapitel 6.3 und 6.4. Beschreibung von möglichen Maßnahmen zur Minimierung von Sicherheitsrisiken. Qualitätssicherung des erstellten Dokumentes durch die Prüfung und Revision in Bezug auf inhaltliche Richtigkeit, Vollständigkeit und Widerspruchsfreiheit. NAA Krellner Seite - 10 von 18

11 6.3 Penetrationstest IP-Konverter (Datenproxy) Neben der im Kapitel 6.2 beschriebenen wichtigen Komponente wird für den Dienst IEC noch eine weitere wichtige Komponente, der sogenannte IP-Konverter benötigt. Ein IP-Konverter sammelt die Prozessdaten innerhalb eines Umspannwerkes bzw. eines Stationsbusses und gibt diese an den übergeordneten Informationsknoten weiter. Der IP-Konverter terminiert somit als Datenproxy alle Verbindungen aus einem lokalen Stationsbus und setzt diese in neue Verbindungen für den Infoknoten bzw. die dahinter liegende Leitstelle um. Auch der IP-Konverter bietet eine wichtige Sicherheitsfunktion zum Schutz des 104er Prozessdatennetzes. Daher soll auch diese Schutzfunktion bzw. die Wirksamkeit des IP- Konverters mit einem entsprechenden Test überprüft werden. Die Schutzfunktion des IP- Konverters besteht darin, den Stationsbus d.h. ein Umspannwerk von den Leitstellennetzen zu trennen. Um die notwendigen Sicherheitstest erfolgreich umsetzen zu können, ist es notwendig, dass der Auftragnehmer entsprechende Kompetenzen aus dem Bereich Systemtests (Hard- und Software) von proprietären Herstellerlösungen für Prozessleittechnik auf Basis des Protokolls IEC mitbringt. Folgende Leistungen sollen vom Auftragnehmer erbracht werden: o Durchführung eines Penetrationstests an einem proprietären ICS welches als Datenproxy für das Protokoll IEC eingesetzt wird. Anwendung des im Kapitel 6.1 beschriebenen Konzeptes zum Penetrationstest. Darstellung der Testergebnisse auch in Verbindung mit den Tests in Kapitel 6.2 und 6.4. Beschreibung von möglichen Maßnahmen zur Minimierung von Sicherheitsrisiken. Qualitätssicherung des erstellten Dokumentes durch die Prüfung und Revision in Bezug auf inhaltliche Richtigkeit, Vollständigkeit und Widerspruchsfreiheit. NAA Krellner Seite - 11 von 18

12 6.4 Penetrationstest Communication Network (CN) Seit Mitte des Jahres 2014 wird bei der ein vollständig neues Nachrichtennetz auf Basis der SDH-, MPLS-TP- und IP-Technologie aufgebaut. Hierbei werden deutschlandweit ca. 160 Standorte mit neuer Systemtechnik ausgerüstet. Das neue Netzwerk wird das bestehende Layer-3 Kommunikationsnetz vollständig ablösen. In dem neuen Kommunikationsnetzwerk werden 14 Dienste mit unterschiedlichen Sicherheitsanforderungen transportiert. Für die Erbringung dieser Dienste werden verschiedenste Kommunikations- und IT-Systeme genutzt. Wobei ca. 400 Kommunikationssysteme und ca. 60 IT-Systeme zum Einsatz kommen. Für das im Bau befindliche Netz soll eine Analyse des Sicherheitsniveaus und die hierfür notwendigen Penetrationstests durchgeführt werden. Die Ergebnisse der Untersuchung sowie der Tests sollen in geeigneter Form aufbereitet und für eine evtl. weitere Behandlung dargestellt werden. D.h. die Ergebnisse sollen zur Überprüfung bzw. Verbesserung und Optimierung der korrekten Implementierung für das neue Nachrichtennetz verwendet werden. Den entsprechenden Führungskräften dienen die Ergebnisse als Grundlage um erforderliche Maßnahmen zu identifizieren und eine Behebung von Schwachstellen in Auftrag zu geben bzw. entsprechende Maßnahmen bei der laufenden Umsetzung für das neue Netz mit einzuplanen. Bei der TenneT existiert ebenso ein Prozessdatennetz welches auf der Basis des Protokolls IEC als eigenständiger Dienst aufgebaut wurde. Für dieses sicherheitskritische Teilnetz wurde bereits eine begrenzte Risikoanalyse durchgeführt. Mit dem Aufbau des neuen Nachrichtennetzes wird dieser Dienst ebenfalls neu implementiert. Nun soll eine ganzheitliche Überprüfung des erreichten Sicherheitsniveaus für den neu implementierten Dienst durchgeführt werden. Als weiterer Baustein wird mit dem neuen Nachrichtennetz erstmals eine Fernwartungslösung für das Prozessdatennetz als eigenständiger Dienst realisiert. Da das Fernwartungsnetz ebenfalls als sicherheitskritisch einzustufen ist, soll dieses ebenso einer gezielten Analyse bzw. einem gezieltem Test unterzogen werden. Somit sind vom Auftragnehmer folgende spezielle Kompetenzen für eine erfolgreiche Umsetzung der an Ihn übertragenen Aufgaben mitzubringen: Schwachstellenanalyse eines vollständigen Nachrichtennetzes welches aus unterschiedlichen Technologien und Diensten besteht inkl. der Aufdeckung der Schachstellen bzgl. der Absicherung von Teilnetzen (Segregation of Networks) und der Überprüfung deren Ausnutzbarkeit. Schwachstellenanalyse des Dienstes IEC in der Ende zu Ende Beziehung. Aufdeckung der Schachstellen auch in Bezug auf die Anbindung an eine Netzleitstelle. Überprüfung des gesamten 104er Dienstes inkl. seiner Komponenten und des Protokolls in Bezug auf die Ausnutzbarkeit von Schwachstellen. Schwachstellenanalyse eines Fernwartungsnetzes inkl. der beteiligten Sicherheitskomponenten (z.b. Firewalls, Proxyserver, Citrix-Server, o.ä.) und Protokolle (z.b. ssh, ICA, RDP, o.ä.). Überprüfung der gefundenen Schachstellen in Bezug auf deren Ausnutzbarkeit. NAA Krellner Seite - 12 von 18

13 Die im Umfeld der Analysen und Tests gefundenen Schachstellen in Bezug auf die Funktionalität bzw. mögliche Safety Aspekte sind für den Auftraggeber ebenso relevant wie die IT-Sicherheit. Somit sind diese Beziehungen vom Auftragnehmer bei dessen Analysen und Test auch mit zu berücksichtigen. Aus diesem Grund wäre es von Vorteil, wenn der Auftragnehmer hierbei ebenfalls auf fundierte Kompetenzen zurückgreifen kann. Folgende Leistungen sollen vom Auftragnehmer erbracht werden: o Durchführung eines Red Team Penetrationstest inkl. der Ermittlung der vorhandenen Schachstellen für die technischen Systeme eines gesamten Nachrichtennetzwerkes zum Zweck der Bestimmung des Sicherheitsniveaus. Überprüfung der sicheren und rückwirkungsfreien Trennung von Diensten. Überprüfung der sicherheitstechnischen Vorkehrungen in Bezug auf die Verfügbarkeit des Kommunikationsnetzes. Überprüfung der sicherheitstechnischen Vorkehrungen in Bezug auf den Schutz vor Angriffen des Kommunikationsnetzes. Überprüfung der Umsetzung bzw. der korrekten Implementierung von sicherheitstechnischen Maßnahmen für das neue Kommunikationsnetz durch interne und externe Auftragnehmer. o Durchführung eines ausführlichen White-Box Penetrationstest inkl. der Ermittlung der vorhandenen Schachstellen für einen Anwendungsdienstes auf Basis des Protokolls IEC Überprüfung des Sicherheitsniveaus des Dienstes innerhalb der Prozessnetzinfrastruktur. Überprüfung des Sicherheitsniveaus des Dienstes in gesamter Ende zu Ende Sicht. o Durchführung eines ausführlichen White-Box Penetrationstest inkl. der Ermittlung der vorhandenen Schachstellen für die technischen Systeme des Anwendungsdienstes Fernwartung. Überprüfung des Sicherheitsniveaus des gesamten Dienstes Fernwartung unter Einbezug aller beteiligten internen wie externen Ressourcen und Komponenten. o Bewertung und übersichtliche Darstellung aller Testergebnisse. o Beschreibung von möglichen Maßnahmen zur Minimierung von Sicherheitsrisiken. o Qualitätssicherung des erstellten Dokumentes durch die Prüfung und Revision in Bezug auf inhaltliche Richtigkeit, Vollständigkeit und Widerspruchsfreiheit. Bei den geforderten Tests müssen auch die Abhängigkeiten zwischen den einzelnen Dienste, Netzwerken und der darin eingesetzten Sicherheitssystemen mit berücksichtigt werden. Dies bedeutet, dass die implementierten Sicherheitsmechanismen auch einer besonderen Überprüfung zu unterziehen sind. NAA Krellner Seite - 13 von 18

14 7 Geheimhaltung Im Rahmen der Durchführung von Penetrationstests und der Überprüfung der technischen bzw. sicherheitsrelevanten Konzepte erhält der Auftragnehmer einen sehr tiefen Einblick über Steuerung, Kontrolle, Prozesse und die Sicherheit des TenneT Hochspannungsnetzes. Alle im Rahmen dieses Projektes erhaltenen Informationen dürfen Dritten nicht zugänglich gemacht werden. Hierzu wird mit der Vergabe des Auftrags ein Geheimhaltungsvertrag (NDA) abgeschlossen. NAA Krellner Seite - 14 von 18

15 8 Rahmenbedingungen Die vom Auftragnehmer geforderten Leistungen sind unter Berücksichtigung folgender Normen, Richtlinien, Vorschriften und Dokumente zu erbringen. DIN ISO/IEC 27001, DIN ISO/IEC und DIN SPEC ( D) BDEW Whitepaper - Anforderungen an sichere Steuerungs- und Telekommunikationssysteme, Version 1.0, BDEW Whitepaper Ausführungshinweise, Version 1.0, 15. März 2012 ICS-Security-Kompendium, BSI, 2013 BSI-Standard 100-X und BSI IT-Grundschutz-Kataloge, Version 12 Durchführungskonzept für Penetrationstests, BSI, November 2003 OSSTMM 3 (Open Source Security Testing Methodology Manual), ISECOM, 2010 Cyber Security Assessments of Industrial Control Systems, CPNI, November 2010 CVSS (Common Vulnerability Scoring System), Version 2.0 Umsetzungsplan KRITIS des Nationalen Plans zum Schutz der Informationsinfrastrukturen, Bundesministerium des Inneren, 2005 Schutz Kritischer Infrastrukturen Basisschutzkonzept, Bundesministerium des Inneren, 2005 Schutz Kritischer Infrastrukturen Risiko- und Krisenmanagement, Bundesministerium des Inneren, 2011 Informationstechnik in der Prozessüberwachung und -steuerung, Bundesamt für Sicherheit in der Informationstechnik, 2008 Sicherheit von Industrial Control Systems (ICSs), Bundesamt für Sicherheit in der Informationstechnik, 2012 (ausführliche Version) NAA Krellner Seite - 15 von 18

16 9 Zeitplan Dezember 2014 Januar 2015 Februar 2015 April 2015 Mai 2015 Kick-Off mit der Festlegung der konkreten Terminplanung Beginn der Vorplanung (Abgrenzung etc.) und Erstellung des Konzeptes für Penetrationstests Penetrationstest des IP-Konverters und der Infoknotens Analyse Nachrichten-, Prozessnetz mit Tests und Dokumentation Ende der Analysen mit Auswertung und Dokumentation der Ergebnisse NAA Krellner Seite - 16 von 18

17 10 Ansprechpartner Michael Schülke Georg Krellner Marko Riedel Nachrichtentechnik (Bayreuth, NAA) Tel.: +49 (921) Mobil: +49 (151) Nachrichtentechnik IP (Bayreuth, NAA) Tel.: +49 (921) Mobil: +49 (151) Nachrichtentechnik Lienientechnik (Bayreuth, NAA) Tel.: +49 (921) Mobil: +49 (151) NAA Krellner Seite - 17 von 18

18 Anhang A: Einheitsformblatt Projekterfahrung im EVU-Umfeld Ja Nein Erfahrung mit ICS Systemen Ja Nein Erfahrung mit ITK (WAN / LAN) Ja Nein Einschlägige Kenntnisse relevanter Normen und Richtlinien Ja Nein Projekterfahrung Penetrationstests von Endsystemen Ja Nein Projekterfahrung Penetrationstests von kritischen Infrastrukturen Ja Nein Projekterfahrung Erstellung und Analyse technischer Konzepte Ja Nein Projekterfahrung aus den Bereichen Security und Safety Ja Nein Technologie- und Serviceunabhängige Dienstleistungen Ja Nein Referenzliste verfügbar Ja Nein Position Konzepterstellung PEN-Test PENT-Test IPK PEN-Test IK PEN-Test CN geplante Tage MT/RT/ST Tagessatz Gesamt Reisekosten (Hin- und Rückfahrt) zusätzliche Kosten (Übernachtung und Spesen) Summe Angebot MT: Manntage, RT: Reisetage, ST: Spesentage NAA Krellner Seite - 18 von 18

Sicherheitstechnische Qualifizierung (SQ), Version 10.0 Security Assurance Level SEAL-3

Sicherheitstechnische Qualifizierung (SQ), Version 10.0 Security Assurance Level SEAL-3 Die Zertifizierungsstelle der TÜV Informationstechnik GmbH bescheinigt hiermit dem Unternehmen RWE Effizienz GmbH Flamingoweg 1 44139 Dortmund für das IT-System RWE eoperate IT Services die Erfüllung aller

Mehr

Sicherheitstechnische Qualifizierung (SQ), Version 10.0 Security Assurance Level SEAL-5

Sicherheitstechnische Qualifizierung (SQ), Version 10.0 Security Assurance Level SEAL-5 Die Zertifizierungsstelle der TÜV Informationstechnik GmbH bescheinigt hiermit dem Unternehmen e-netz Südhessen GmbH & Co. KG Dornheimer Weg 24 64293 Darmstadt für das IT System Querverbundleitstelle Darmstadt

Mehr

Einordnung, Zielsetzung und Klassifikation von Penetrationstests

Einordnung, Zielsetzung und Klassifikation von Penetrationstests Einordnung, Zielsetzung und Klassifikation von Penetrationstests Vortrag zur Vorlesung Sicherheit in Netzen Marco Spina 12 Jan 2005 1 Inhalt (1) Penetrationstest Definitionen Nach Bundesamt für Sicherheit

Mehr

Sicherheitstechnische Qualifizierung (SQ), Version 10.0 Security Assurance Level SEAL-3

Sicherheitstechnische Qualifizierung (SQ), Version 10.0 Security Assurance Level SEAL-3 Die Zertifizierungsstelle der TÜV Informationstechnik GmbH bescheinigt hiermit dem Unternehmen Agfa HealthCare GmbH Konrad-Zuse-Platz 1-3 53227 Bonn für das IT-System IMPAX/web.Access die Erfüllung aller

Mehr

Neue gesetzliche Anforderungen an Stadtwerke: Mindestanforderungen für die IT-Sicherheit

Neue gesetzliche Anforderungen an Stadtwerke: Mindestanforderungen für die IT-Sicherheit Neue gesetzliche Anforderungen an Stadtwerke: Mindestanforderungen für die IT-Sicherheit smartoptimo GmbH & Co. KG Luisenstraße 20 49074 Osnabrück Telefon 0541.600680-0 Telefax 0541.60680-12 info@smartoptimo.de

Mehr

Leitfaden zum sicheren Betrieb von Smart Meter Gateways

Leitfaden zum sicheren Betrieb von Smart Meter Gateways Leitfaden zum sicheren Betrieb von Smart Meter Gateways Wer Smart Meter Gateways verwaltet, muss die IT-Sicherheit seiner dafür eingesetzten Infrastruktur nachweisen. Diesen Nachweis erbringt ein Gateway-

Mehr

BSI ICS-SECURITY-KOMPENDIUM

BSI ICS-SECURITY-KOMPENDIUM BSI ICS-SECURITY-KOMPENDIUM SICHERHEIT VON INDUSTRIELLEN STEUERANLAGEN Andreas Floß, Dipl.-Inform., Senior Consultant Information Security Management, HiSolutions AG 1 HiSolutions 2013 ICS-Kompendium Vorstellung

Mehr

2. Forschungstag IT-Sicherheit NRW nrw-units. Informationssicherheit in der Energiewirtschaft

2. Forschungstag IT-Sicherheit NRW nrw-units. Informationssicherheit in der Energiewirtschaft 2 2. Forschungstag IT-Sicherheit NRW nrw-units 15. Juni 2015 Hochschule Niederrhein Informationssicherheit in der Energiewirtschaft 3 Informationssicherheit in der Energiewirtschaft 1. Sicherheit der Stromversorgung

Mehr

Philosophie & Tätigkeiten. Geschäftsfelder. Software Engineering. Business Applikationen. Mobile Applikationen. Web Applikationen.

Philosophie & Tätigkeiten. Geschäftsfelder. Software Engineering. Business Applikationen. Mobile Applikationen. Web Applikationen. Philosophie & Tätigkeiten Wir sind ein Unternehmen, welches sich mit der Umsetzung kundenspezifischer Softwareprodukte und IT-Lösungen beschäftigt. Wir unterstützen unsere Kunde während des gesamten Projektprozesses,

Mehr

Sicherheitstechnische Qualifizierung (SQ), Version 10.0 Security Assurance Level SEAL-3

Sicherheitstechnische Qualifizierung (SQ), Version 10.0 Security Assurance Level SEAL-3 Die Zertifizierungsstelle der TÜV Informationstechnik GmbH bescheinigt hiermit dem Unternehmen Deutsche Telekom AG Products & Innovation T-Online-Allee 1 64295 Darmstadt für das IT-System Developer Garden

Mehr

20 Jahre IT-Grundschutz Zeit für eine Modernisierung und Die neuen Vorgehensweisen. Holger Schildt IT-Grundschutz und Allianz für Cyber-Sicherheit

20 Jahre IT-Grundschutz Zeit für eine Modernisierung und Die neuen Vorgehensweisen. Holger Schildt IT-Grundschutz und Allianz für Cyber-Sicherheit 20 Jahre IT-Grundschutz Zeit für eine Modernisierung und Die neuen Vorgehensweisen Holger Schildt IT-Grundschutz und Allianz für Cyber-Sicherheit Agenda 1. Einleitung und Motivation 2. Vorgehensweisen

Mehr

Einführung eines ISMS nach ISO 27001:2013

Einführung eines ISMS nach ISO 27001:2013 Einführung eines ISMS nach ISO 27001:2013 VKU-Infotag: Anforderungen an die IT-Sicherheit (c) 2013 SAMA PARTNERS Business Solutions Vorstellung Olaf Bormann Senior-Consultant Informationssicherheit Projekterfahrung:

Mehr

Kriterienkatalog und Vorgehensweise für eine Begutachtung zur ISO 24762-Konformität. datenschutz cert GmbH Version 1.2

Kriterienkatalog und Vorgehensweise für eine Begutachtung zur ISO 24762-Konformität. datenschutz cert GmbH Version 1.2 Kriterienkatalog und Vorgehensweise für eine Begutachtung zur ISO 24762-Konformität datenschutz cert GmbH Version 1.2 Inhaltsverzeichnis Kriterienkatalog und Vorgehensweise für eine Begutachtung zur ISO

Mehr

ITIL & IT-Sicherheit. Michael Storz CN8

ITIL & IT-Sicherheit. Michael Storz CN8 ITIL & IT-Sicherheit Michael Storz CN8 Inhalt Einleitung ITIL IT-Sicherheit Security-Management mit ITIL Ziele SLA Prozess Zusammenhänge zwischen Security-Management & IT Service Management Einleitung

Mehr

Anforderungen an die IT-Sicherheit Sicherheit von Informationen in kritischen Infrastrukturen ein Erfahrungsbericht

Anforderungen an die IT-Sicherheit Sicherheit von Informationen in kritischen Infrastrukturen ein Erfahrungsbericht Anforderungen an die IT-Sicherheit Sicherheit von Informationen in kritischen Infrastrukturen ein Erfahrungsbericht Jörg Kehrmann Datenschutz- und IT-Sicherheitsbeauftragter der Wuppertaler Stadtwerke

Mehr

ISMS und Sicherheitskonzepte ISO 27001 und IT-Grundschutz

ISMS und Sicherheitskonzepte ISO 27001 und IT-Grundschutz ISMS und Sicherheitskonzepte ISO 27001 und IT-Grundschutz Aufbau eines ISMS, Erstellung von Sicherheitskonzepten Bei jedem Unternehmen mit IT-basierenden Geschäftsprozessen kommt der Informationssicherheit

Mehr

Richtlinie zur Festlegung von Verantwortlichkeiten im Datenschutz

Richtlinie zur Festlegung von Verantwortlichkeiten im Datenschutz Richtlinie zur Festlegung von Verantwortlichkeiten im Datenschutz Freigabedatum: Freigebender: Version: Referenz: Klassifikation: [Freigabedatum] Leitung 1.0 DSMS 01-02-R-01 Inhaltsverzeichnis 1 Ziel...

Mehr

Sicherheitstechnische Qualifizierung (SQ), Version 10.0 Security Assurance Level SEAL-5

Sicherheitstechnische Qualifizierung (SQ), Version 10.0 Security Assurance Level SEAL-5 Die Zertifizierungsstelle der TÜV Informationstechnik GmbH bescheinigt hiermit dem Unternehmen SLA Software Logistik Artland GmbH Friedrichstraße 30 49610 Quakenbrück für das IT-System Meat Integrity Solution

Mehr

Sozioökonomische Dienstleistungsinfrastrukturen

Sozioökonomische Dienstleistungsinfrastrukturen Das IT-Sicherheitsgesetz Am 12. Juni 2015 hat der deutsche Bundestag in 2. und 3. Lesung das Gesetz zur Erhöhung der Sicherheit informationstechnischer Systeme (IT-Sicherheitsgesetz) beschlossen. Die Zustimmung

Mehr

Zertifizierung IT-Sicherheitsbeauftragter

Zertifizierung IT-Sicherheitsbeauftragter Zertifizierung IT-Sicherheitsbeauftragter Prof. Jürgen Müller Agenda Begrüßung Gefährdungen und Risiken Sicherheitsanforderungen und Schutzbedarf Live-Hacking Rechtliche Aspekte der IT- Sicherheit Vorgaben

Mehr

C R I S A M im Vergleich

C R I S A M im Vergleich C R I S A M im Vergleich Ergebnis der Bakkalaureatsarbeit Risiko Management Informationstag 19. Oktober 2004 2004 Georg Beham 2/23 Agenda Regelwerke CRISAM CobiT IT-Grundschutzhandbuch BS7799 / ISO17799

Mehr

Informationssicherheit zentral koordiniert IT-Sicherheitsbeauftragter

Informationssicherheit zentral koordiniert IT-Sicherheitsbeauftragter Informationssicherheit zentral koordiniert IT-Sicherheitsbeauftragter Informationssicherheit lösungsorientiert Informationssicherheit ist für Unternehmen mit IT-basierten Prozessen grundlegend: Neben dem

Mehr

Nürnberg, 25.11.2014 Kongress SPS/IPC/Drives 2014. Technische Sicherheitstests

Nürnberg, 25.11.2014 Kongress SPS/IPC/Drives 2014. Technische Sicherheitstests Nürnberg, 25.11.2014 Kongress SPS/IPC/Drives 2014 Technische Sicherheitstests von Industrial Control Systems (ICS) Autoren Heiko Rudolph heiko.rudolph@admeritia.de +49 2173 20363-0 +49 162 2414691 Aaron

Mehr

ITK Sicherheitsgesetz Umsetzung mit verinice.pro. verinice.xp- Grundschutztag 15.09.2015

ITK Sicherheitsgesetz Umsetzung mit verinice.pro. verinice.xp- Grundschutztag 15.09.2015 ITK Sicherheitsgesetz Umsetzung mit verinice.pro verinice.xp- Grundschutztag 15.09.2015 Überblick Kurze Vorstellung des IT-Sicherheitsgesetzes Konkretisierung des Gesetzes für Energieversorger Abbildung

Mehr

Augsburg, 19.02.2014- Cyber-Sicherheits-Tag 2014. Audit-Methodik für Installationen von Industrial Control Systems (ICS)

Augsburg, 19.02.2014- Cyber-Sicherheits-Tag 2014. Audit-Methodik für Installationen von Industrial Control Systems (ICS) Augsburg, 19.02.2014- Cyber-Sicherheits-Tag 2014 Audit-Methodik für Installationen von Industrial Control Systems (ICS) Referent Mario Corosidis Mario.corosidis@admeritia.de +49 2173 20363-0 +49 162 2414692

Mehr

IT-Grundschutz-Novellierung 2015. Security Forum 2015. Hagenberger Kreis. Joern Maier, Director Information Security Management

IT-Grundschutz-Novellierung 2015. Security Forum 2015. Hagenberger Kreis. Joern Maier, Director Information Security Management IT-Grundschutz-Novellierung 2015 Security Forum 2015 Hagenberger Kreis Joern Maier, Director Information Security Management 1 AGENDA 1 Ausgangslage 2 unbekannte Neuerungen 3 mögliche geplante Überarbeitungen

Mehr

SICHERHEIT VON INDUSTRIELLEN STEUERUNGSSYSTEMEN

SICHERHEIT VON INDUSTRIELLEN STEUERUNGSSYSTEMEN 14. DEUTSCHER IT-SICHERHEITSKONGRESS 2015, BONN, 19.05.2015 SICHERHEIT VON INDUSTRIELLEN STEUERUNGSSYSTEMEN SICHERHEITSMANAGEMENT MIT DER BSI IT-GRUNDSCHUTZ-VORGEHENSWEISE Andreas Floß, Dipl.-Inform.,

Mehr

Grundlagen des Datenschutzes und der IT-Sicherheit. Musterlösung zur 5. Übung im SoSe 2010: Konzepte zur IT-Sicherheit

Grundlagen des Datenschutzes und der IT-Sicherheit. Musterlösung zur 5. Übung im SoSe 2010: Konzepte zur IT-Sicherheit und der IT-Sicherheit Musterlösung zur 5. Übung im SoSe 2010: Konzepte zur IT-Sicherheit 5.1 Sicherheitskonzept Aufgabe: Welche Aspekte sollten in einem Sicherheitskonzept, das den laufenden Betrieb der

Mehr

IT-Grundschutz IT-Sicherheit ohne Risiken Und Nebenwirkungen

IT-Grundschutz IT-Sicherheit ohne Risiken Und Nebenwirkungen IT-Sicherheit ohne Risiken Und Nebenwirkungen Bundesamt für Sicherheit in der Informationstechnik Grundlagen der Informationssicherheit und 1. -Tag 03.02.2015 Agenda Das BSI Informationssicherheit Definition

Mehr

IDC-Studie: Software Quality Assurance Unternehmen in Deutschland haben Nachholbedarf

IDC-Studie: Software Quality Assurance Unternehmen in Deutschland haben Nachholbedarf Pressemeldung Frankfurt am Main, 02. Februar 2012 IDC-Studie: Software Quality Assurance Unternehmen in Deutschland haben Nachholbedarf Software Quality Assurance wird nicht geliebt aber praktiziert. Die

Mehr

IT Sicherheit: Bewertungskriterien

IT Sicherheit: Bewertungskriterien Dr. Christian Rathgeb IT-Sicherheit, Kapitel 8 / 18.12.2014 1/27 IT Sicherheit: Bewertungskriterien Dr. Christian Rathgeb Hochschule Darmstadt, CASED, da/sec Security Group 18.12.2014 Dr. Christian Rathgeb

Mehr

Sicherheit integrierter Gebäudesysteme - Bedrohungsszenarien, Lösungsansätze - Markus Ullmann

Sicherheit integrierter Gebäudesysteme - Bedrohungsszenarien, Lösungsansätze - Markus Ullmann Sicherheit integrierter Gebäudesysteme - Bedrohungsszenarien, Lösungsansätze - Markus Ullmann Bundesamt für Sicherheit in der Informationstechnik (BSI) Connected Living 2013 Agenda Studie: Integrierte

Mehr

Auswirkungen des IT-Sicherheitsgesetzes für Krankenhäuser. Umsetzungshinweise

Auswirkungen des IT-Sicherheitsgesetzes für Krankenhäuser. Umsetzungshinweise Ziele Auswirkungen des IT-Sicherheitsgesetzes für Krankenhäuser Umsetzungshinweise dubois it-consulting gmbh, Holzhofstr. 10, 55116 Mainz, +49 6131 2150691 oder +49 177 4104045, ingrid.dubois@dubois-it-consulting.de

Mehr

Zertifizierung der IT nach ISO 27001 - Unsere Erfahrungen -

Zertifizierung der IT nach ISO 27001 - Unsere Erfahrungen - Zertifizierung der IT nach ISO 27001 - Unsere Erfahrungen - Agenda Die BDGmbH Gründe für eine ISO 27001 Zertifizierung Was ist die ISO 27001? Projektablauf Welcher Nutzen konnte erzielt werden? Seite 2

Mehr

WHITEPAPER. ISO 27001 Assessment. Security-Schwachstellen und -Defizite erkennen

WHITEPAPER. ISO 27001 Assessment. Security-Schwachstellen und -Defizite erkennen WHITEPAPER ISO 27001 Assessment Security-Schwachstellen und -Defizite erkennen Standortbestimmung Ihrer Informationssicherheit basierend auf dem internationalen Standard ISO 27001:2013 ISO 27001 Assessment

Mehr

SICHERHEITSANALYSE & PENTEST SCHWÄCHEN ERKENNEN HEISST STÄRKE GEWINNEN.

SICHERHEITSANALYSE & PENTEST SCHWÄCHEN ERKENNEN HEISST STÄRKE GEWINNEN. SICHERHEITSANALYSE & PENTEST SCHWÄCHEN ERKENNEN HEISST STÄRKE GEWINNEN. willkommen in sicherheit. 02...03 UNSER GEZIELTER ANGRIFF, IHRE BESTE VERTEIDIGUNG. Hackerangriffe sind eine wachsende Bedrohung

Mehr

Systemen im Wandel. Autor: Dr. Gerd Frenzen Coromell GmbH Seite 1 von 5

Systemen im Wandel. Autor: Dr. Gerd Frenzen Coromell GmbH Seite 1 von 5 Das Management von Informations- Systemen im Wandel Die Informations-Technologie (IT) war lange Zeit ausschließlich ein Hilfsmittel, um Arbeitsabläufe zu vereinfachen und Personal einzusparen. Sie hat

Mehr

BSI-Mindestsicherheitsanforderungen an Cloud-Computing-Anbieter

BSI-Mindestsicherheitsanforderungen an Cloud-Computing-Anbieter BSI-Mindestsicherheitsanforderungen an Cloud-Computing-Anbieter Alex Didier Essoh und Dr. Clemens Doubrava EuroCloud Deutschland_eco e.v. Köln 02.02.2011 Ziel Ziel des BSI ist es, gemeinsam mit den Marktteilnehmern

Mehr

Personal- und Kundendaten Datenschutz bei Energieversorgern

Personal- und Kundendaten Datenschutz bei Energieversorgern Personal- und Kundendaten Datenschutz bei Energieversorgern Datenschutz bei Energieversorgern Datenschutz nimmt bei Energieversorgungsunternehmen einen immer höheren Stellenwert ein. Neben der datenschutzkonformen

Mehr

LEISTUNGSBESCHREIBUNG

LEISTUNGSBESCHREIBUNG Auditierung eines IT-Sicherheitsmanagement Systems Human Internet CONSULT AG Kirchschlager Weg 8 71711 Murr Version: 1.0 Datum: 2006 Seiten: 8 INHALTSVERZEICHNIS 1 AUSGANGSSITUATION...3 2 AUDITIERUNG EINES

Mehr

Testmanagement in IT-Projekten

Testmanagement in IT-Projekten Teil 1: Projektmagazin 05/20009 Teil 2: Projektmagazin 06/2009 1 Test: Prozess, bei dem ein Programm oder ein Software-System ausgeführt wird, um Fehler zu finden Teil 1: Projektmagazin 05/20009 Teil 2:

Mehr

Rolle eines Threat Management Centers im Rahmen des Risikomanagements nach ISO 27001

Rolle eines Threat Management Centers im Rahmen des Risikomanagements nach ISO 27001 Rolle eines Threat Management Centers im Rahmen des Risikomanagements nach ISO 27001 Aleksei Resetko, CISA, CISSP Security Global Competence Center 18.02.2009 Agenda 1.! ISO 27001 Überblick 2.! Anforderungen

Mehr

Vulnerability Management

Vulnerability Management Quelle. fotolia Vulnerability Management The early bird catches the worm Dipl.-Ing. Lukas Memelauer, BSc lukas.memelauer@calpana.com calpana business consulting gmbh Blumauerstraße 43, 4020 Linz 1 Agenda

Mehr

Lösungen die standhalten.

Lösungen die standhalten. Aufbau eines Information Security Management Systems in der Praxis 14.01.2010, München Dipl. Inform. Marc Heinzmann, ISO 27001 Auditor Lösungen die standhalten. plan42 GmbH Wir sind ein reines Beratungsunternehmen

Mehr

Industrial IT Security

Industrial IT Security Industrial IT Security Herausforderung im 21. Jahrhundert INNOVATIONSPREIS-IT www.koramis.de IT-SECURITY Industrial IT Security zunehmend wichtiger Sehr geehrter Geschäftspartner, als wir in 2005 begannen,

Mehr

Penetrationstest Extern Leistungsbeschreibung

Penetrationstest Extern Leistungsbeschreibung Schneider & Wulf EDV-Beratung 2013 Penetrationstest Extern Leistungsbeschreibung Schneider & Wulf EDV-Beratung GmbH & Co KG Im Riemen 17 64832 Babenhausen +49 6073 6001-0 www.schneider-wulf.de Einleitung

Mehr

Mit SErviCE-lEvEl DDoS AppliCAtion SECUrity Monitoring

Mit SErviCE-lEvEl DDoS AppliCAtion SECUrity Monitoring Mit Service-Level DDoS Application Security Monitoring Die Umsetzung meiner Applikations-Security-Strategie war nicht immer einfach. AppSecMon konnte mich in wesentlichen Aufgaben entlasten. Kontakt zu

Mehr

IT-Grundschutz - Informationssicherheit ohne Risiken & Nebenwirkungen

IT-Grundschutz - Informationssicherheit ohne Risiken & Nebenwirkungen IT-Grundschutz - Informationssicherheit ohne Risiken & Nebenwirkungen Jonas Paulzen Bundesamt für Sicherheit in der Informationstechnik Grundlagen der Informationssicherheit und IT-Grundschutz 2. IT-Grundschutz-Tag

Mehr

Prüfkatalog nach ISO/IEC 27001

Prüfkatalog nach ISO/IEC 27001 Seite 1 Prüfkatalog nach ISO/IEC 27001 Zum Inhalt Konzeption, Implementierung und Aufrechterhaltung eines Informationssicherheits Managementsystems sollten sich an einem Prüfkatalog orientieren, der sowohl

Mehr

Sicherheitsrichtlinie für das Outsourcing von IT-Leistungen. - Beispiel -

Sicherheitsrichtlinie für das Outsourcing von IT-Leistungen. - Beispiel - Sicherheitsrichtlinie für das Outsourcing von IT-Leistungen - Beispiel - Stand: Juni 2004 INHALTSVERZEICHNIS 1 EINLEITUNG... 2 2 GELTUNGSBEREICH... 2 3 AUSWAHL EINES OUTSOURCING-DIENSTLEISTERS... 3 4 VERTRAGSSPEZIFISCHE

Mehr

secunet SwissIT AG ISMS in der öffentlichen Verwaltung

secunet SwissIT AG ISMS in der öffentlichen Verwaltung secunet SwissIT AG ISMS in der öffentlichen Verwaltung Berlin, 22. November 2010 Agenda 1 Einleitung 2 ISO/IEC 27000er-Normenfamilie 3 ISO 27001 auf der Basis von IT-Grundschutz 4 Einsatz von ISMS in der

Mehr

Einstieg in ein kommunales Informationssicherheits- Managementsystem (ISMS)

Einstieg in ein kommunales Informationssicherheits- Managementsystem (ISMS) 32.Forum Kommunikation und Netze 25. und 26. März 2015 in Rotenburg a. d. Fulda Einstieg in ein kommunales Informationssicherheits- Managementsystem (ISMS) Stefan Wojciechowski IT-Sicherheitsbeauftragter

Mehr

Firmenprofil Dienstleistungen NeTec GmbH

Firmenprofil Dienstleistungen NeTec GmbH Firmenpräsentation Firmenprofil Dienstleistungen NeTec GmbH Unternehmen Projektunterstützung Outsourcing Service & Support Netzwerktechnik Security Mobilfunkservices Plan-Build-Run Alles aus einer Hand

Mehr

Interne Datensicherheit

Interne Datensicherheit Roadmap Interne Datensicherheit Inhalt: Analyse der Ist-Situation Anforderungsdefinition Auswahl der Lösungen Implementierung und Betrieb Nachhaltigkeit 1 2 3 4 5 Analyse der Ist-Situation 1. Bewertung

Mehr

BSI-IGZ-0052-2009. zum. Phoenix Videokonferenzsystem. der. Phoenix Software GmbH

BSI-IGZ-0052-2009. zum. Phoenix Videokonferenzsystem. der. Phoenix Software GmbH zum Phoenix Videokonferenzsystem der Phoenix Software GmbH BSI - Bundesamt für Sicherheit in der Informationstechnik, Postfach 20 03 63, D-53133 Bonn Telefon +49 (0)228 9582-0, Fax +49 (0)228 9582-5477,

Mehr

ISIS12 INFORMATIONSSICHERHEIT IN MITTELSTÄNDISCHEN UNTERNEHMEN UND ORGANISATIONEN

ISIS12 INFORMATIONSSICHERHEIT IN MITTELSTÄNDISCHEN UNTERNEHMEN UND ORGANISATIONEN ISIS12 INFORMATIONSSICHERHEIT IN MITTELSTÄNDISCHEN UNTERNEHMEN UND ORGANISATIONEN 1 Bayerischer IT-Sicherheitscluster e.v. 09.10.2015 REFERENT Claudia Pock Sales Managerin IT Security Applied Security

Mehr

ESA SECURITY MANAGER. Whitepaper zur Dokumentation der Funktionsweise

ESA SECURITY MANAGER. Whitepaper zur Dokumentation der Funktionsweise ESA SECURITY MANAGER Whitepaper zur Dokumentation der Funktionsweise INHALTSVERZEICHNIS 1 Einführung... 3 1.1 Motivation für den ESA Security Manager... 3 1.2 Voraussetzungen... 3 1.3 Zielgruppe... 3 2

Mehr

International anerkannter Standard für IT-Sicherheit: ISO27001 - Umsetzung und Zertifizierung auf der Basis von BSI Grundschutz

International anerkannter Standard für IT-Sicherheit: ISO27001 - Umsetzung und Zertifizierung auf der Basis von BSI Grundschutz AUTOMOTIVE INFOKOM VERKEHR & UMWELT LUFTFAHRT RAUMFAHRT VERTEIDIGUNG & SICHERHEIT International anerkannter Standard für IT-Sicherheit: ISO27001 - Umsetzung und Zertifizierung auf der Basis von BSI Grundschutz

Mehr

2.2. 8b Zentrale Meldestelle für die Sicherheit in der Informationstechnik für die Betreiber kritischer Infrastrukturen

2.2. 8b Zentrale Meldestelle für die Sicherheit in der Informationstechnik für die Betreiber kritischer Infrastrukturen Stellungnahme des Gesamtverbandes der Deutschen Versicherungswirtschaft ID-Nummer 6437280268-55 sowie des Verbandes der Privaten Krankenversicherung zum Referentenentwurf des Bundesministeriums des Innern

Mehr

Datenschutzbeauftragter Datenschutzberatung - externer Datenschutzbeauftragter - Datenschutzaudits

Datenschutzbeauftragter Datenschutzberatung - externer Datenschutzbeauftragter - Datenschutzaudits Datenschutzbeauftragter Datenschutzberatung - externer Datenschutzbeauftragter - Datenschutzaudits www.ds-easy.de Seminare für Datenschutzbeauftragte Seite 2 von 5 Egal, ob Sie sich weiterqualifizieren

Mehr

Arbeitskreis Sichere Smart Grids Kick-off

Arbeitskreis Sichere Smart Grids Kick-off Arbeitskreis Sichere Smart Grids Kick-off 30. Juli 2013, 16.30 bis 18.30 Uhr secunet Security Networks AG, Konrad-Zuse-Platz 2, 81829 München Leitung: Steffen Heyde, secunet Agenda: 16.30 Uhr Begrüßung

Mehr

IT-Schwachstellenampel: Produktsicherheit auf einen Blick+

IT-Schwachstellenampel: Produktsicherheit auf einen Blick+ IT-SECURITY-FORUM: GEFAHREN UND PRAKTISCHE HILFESTELLUNG IT-Schwachstellenampel: Produktsicherheit auf einen Blick+ 1 Aktuelle Lage 2 Bedrohungen für Unternehmen Welche Folgen können für Sie aus Datenpannen

Mehr

Risikoanalyse mit OCTAVE

Risikoanalyse mit OCTAVE Risikoanalyse mit OCTAVE Angebote DFN-CERT November 2012 1 Angebote des DFN-CERT 1.1 Einführung / Arbeitsunterlagen Die OCTAVE 1 -Risikoanalysemethode wurde von der Carnegie Mellon Universität in Pittsburgh

Mehr

Integrales Enterprise Threat Schwachstellen-Management mit SCAP

Integrales Enterprise Threat Schwachstellen-Management mit SCAP Integrales Enterprise Threat Schwachstellen-Management mit SCAP Lukas Grunwald, Greenbone Networks CTO Oktober 2012 IT-SA, Nürnberg Version 20100714 Die Greenbone Networks GmbH Fokus: Schwachstellen Management

Mehr

Informationssicherheit im mittelstand. Bavarian IT Security & Safety Cluster

Informationssicherheit im mittelstand. Bavarian IT Security & Safety Cluster Informationssicherheit im mittelstand... > Bavarian IT Security & Safety Cluster > ein PROdUKt des BayeRisCHen it-sicherheits- ClUsteRs e.v. der Bayerische it-sicherheitscluster e.v. Der Bayerische It-sicherheitscluster

Mehr

Zentrum für Informationssicherheit

Zentrum für Informationssicherheit SEMINARE 2015 Zentrum für Informationssicherheit Informationssicherheitsmanagement BSI- Grundschutz in der Praxis Informationssicherheit nach BSI-Grundschutz und ISO 27001 im Praxisvergleich Cyber Akademie

Mehr

Prüfschema Erteilung des Datenschutz-Siegels Datenschutzkonform. durch die Prüfstelle. greeneagle certification GmbH Frankenstraße 18a 20097 Hamburg

Prüfschema Erteilung des Datenschutz-Siegels Datenschutzkonform. durch die Prüfstelle. greeneagle certification GmbH Frankenstraße 18a 20097 Hamburg Prüfschema Erteilung des Datenschutz-Siegels Datenschutzkonform durch die Prüfstelle greeneagle certification GmbH Frankenstraße 18a 20097 Hamburg Dokumententitel: Erteilung des Datenschutz-Siegels Datenschutzkonform

Mehr

ISIS12 Informations Sicherheitsmanagement System in 12 Schritten Informationssicherheit für den Mittelstand

ISIS12 Informations Sicherheitsmanagement System in 12 Schritten Informationssicherheit für den Mittelstand ISIS12 Informations Sicherheitsmanagement System in 12 Schritten Informationssicherheit für den Mittelstand Cloud- und Informationssicherheit -praktisch umgesetzt in KMU- IHK München (27. Februar 2014)

Mehr

IT-Sicherheit heute (Teil 2) Diesen und andere Vorträge bieten wir Ihnen als kostenlose Downloads an. www.networktraining.

IT-Sicherheit heute (Teil 2) Diesen und andere Vorträge bieten wir Ihnen als kostenlose Downloads an. www.networktraining. IT-Sicherheit heute (Teil 2) Diesen und andere Vorträge bieten wir Ihnen als kostenlose Downloads an. www.networktraining.de/download Agenda Grundlagen: Fakten, Zahlen, Begriffe Der Weg zu mehr Sicherheit

Mehr

Consulting Services Effiziente Sicherheitsprozesse nach Mass.

Consulting Services Effiziente Sicherheitsprozesse nach Mass. Consulting Services Effiziente Sicherheitsprozesse nach Mass. Angemessene, professionelle Beratung nach internationalen Sicherheitsstandards. Effektive Schwachstellenerkennung und gezielte Risikominimierung.

Mehr

IT-Sicherheitsmanagement IT Security Management

IT-Sicherheitsmanagement IT Security Management Sommerakademie 2006, 28. August, Kiel Summer Conference 2006, 28th August, Kiel IT-Sicherheitsmanagement IT Security Management Dr. Martin Meints, ULD Dr. Martin Meints, ICPP Inhalt Allgemeine Überlegungen

Mehr

IT-Grundschutz - der direkte Weg zur Informationssicherheit

IT-Grundschutz - der direkte Weg zur Informationssicherheit IT-Grundschutz - der direkte Weg zur Informationssicherheit Bundesamt für Sicherheit in der Informationstechnik Referat IT-Sicherheitsmanagement und IT-Grundschutz Security-Forum 08.10.2008 Überblick IT-Grundschutz-Methodik

Mehr

E i n f ü h r u n g u n d Ü b e r s i c h t

E i n f ü h r u n g u n d Ü b e r s i c h t E i n f ü h r u n g u n d Ü b e r s i c h t Informationssicherheit in Gemeinden mit einer Bevölkerungszahl < 4 000 und in privaten Organisationen mit einem Leistungsauftrag wie Alters- und Pflegeheime

Mehr

3.5 IT Security Coordinator (IT-Sicherheitskoordinator/in)

3.5 IT Security Coordinator (IT-Sicherheitskoordinator/in) 3.5 IT Security Coordinator (IT-Sicherheitskoordinator/in) 3.5.1 Kurzbeschreibung IT Security Coordinators konzipieren angemessene IT Sicherheitslösungen entsprechend geltender technischer Standards, Gesetze

Mehr

(IT-SICHERHEITSGRUNDSÄTZE)

(IT-SICHERHEITSGRUNDSÄTZE) Senatsverwaltung für Inneres und Sport 1 GRUNDSÄTZE ZUR GEWÄHRLEISTUNG DER NOTWENDIGEN SICHERHEIT BEIM IT-EINSATZ IN DER BERLINER VERWALTUNG (IT-SICHERHEITSGRUNDSÄTZE) (beschlossen vom Senat am 11.12.07)

Mehr

Personal- und Kundendaten Datenschutz in Werbeagenturen

Personal- und Kundendaten Datenschutz in Werbeagenturen Personal- und Kundendaten Datenschutz in Werbeagenturen Datenschutz in Werbeagenturen Bei Werbeagenturen stehen neben der Verarbeitung eigener Personaldaten vor allem die Verarbeitung von Kundendaten von

Mehr

Vorstellung der Software GRC-Suite i RIS

Vorstellung der Software GRC-Suite i RIS Vorstellung der Software GRC-Suite i RIS Systemgestütztes Governance-, Risk- und Compliance- sowie Security-, Business Continuity- und Audit- Inhalt Überblick Architektur der GRC-Suite i RIS Einsatz-Szenarien

Mehr

IT Sicherheitsleitlinie der DATAGROUP

IT Sicherheitsleitlinie der DATAGROUP IT Sicherheitsleitlinie der DATAGROUP Dezember 2011 Dr. Tobias Hüttner Version 2.0 Seite 1 von 5 Änderungshistorie IT Sicherheitsleitlinie der DATAGROUP In der nachfolgenden Tabelle werden alle Änderungen

Mehr

Cyber-Sicherheit von Industrial Control Systems

Cyber-Sicherheit von Industrial Control Systems Cyber-Sicherheit von Industrial Control Systems Holger Junker Bundesamt für Sicherheit in der Informationstechnik Industrial IT Forum 2012-04-25 Agenda Das BSI Cyber-Sicherheit im ICS-Kontext Sicherheitsmaßnahmen

Mehr

Wide Area Networks (WAN) Digitalfunk (PMR) Nachrichtenkabelnetze

Wide Area Networks (WAN) Digitalfunk (PMR) Nachrichtenkabelnetze Wide Area Networks (WAN) Digitalfunk (PMR) Nachrichtenkabelnetze Übersicht Portfolio und Leistungsumfang für Standortausrüstungen und Infrastrukturen IfTk Ingenieurbüro für Telekommunikation Weitverkehrstechnik

Mehr

IT-Security Portfolio

IT-Security Portfolio IT-Security Portfolio Beratung, Projektunterstützung und Services networker, projektberatung GmbH ein Unternehmen der Allgeier SE / Division Allgeier Experts Übersicht IT-Security Technisch Prozesse Analysen

Mehr

Mindeststandard des BSI nach 8 Abs. 1 Satz 1 BSIG für den Einsatz des SSL/TLS-Protokolls in der Bundesverwaltung

Mindeststandard des BSI nach 8 Abs. 1 Satz 1 BSIG für den Einsatz des SSL/TLS-Protokolls in der Bundesverwaltung Mindeststandard des BSI nach 8 Abs. 1 Satz 1 BSIG für den Einsatz des SSL/TLS-Protokolls in der Bundesverwaltung Bundesamt für Sicherheit in der Informationstechnik Postfach 20 03 63 53133 Bonn Tel.: +49

Mehr

Überlegungen zur Struktur eines Schulnetzes

Überlegungen zur Struktur eines Schulnetzes Überlegungen zur Struktur eines Schulnetzes Kurzbeschreibung Viele Schulen arbeiten heute mit einem Computernetzwerk, das unterschiedlichen Anforderungen genügen muss. Bereits durch eine entsprechende

Mehr

Risikomanagement. Nationale / Internationale Methoden. Herbert.Leitold@a-sit.at. Zentrum für sichere Informationstechnologie - Austria

Risikomanagement. Nationale / Internationale Methoden. Herbert.Leitold@a-sit.at. Zentrum für sichere Informationstechnologie - Austria Risikomanagement Nationale / Internationale Methoden Herbert.Leitold@a-sit.at Zentrum für sichere Informationstechnologie - Austria Inhalte Einleitung Vorgaben des Rates zu klassifizierten Informationen

Mehr

IT-Grundschutz nach BSI 100-1/-4

IT-Grundschutz nach BSI 100-1/-4 IT-Grundschutz nach BSI 100-1/-4 Marko Rogge www.marko-rogge.de www.leiner-denzer.com 100-1, 100-2, 100-3, 100-4 100-1 100-2 Managementsysteme für Informationssicherheit (ISMS, Information Security Management

Mehr

esec der sichere Weg zum ganzheitlichen Information-Security-Management-System (ISMS) nach ISO 27001 Version: 2.9 / 29.09.2008

esec der sichere Weg zum ganzheitlichen Information-Security-Management-System (ISMS) nach ISO 27001 Version: 2.9 / 29.09.2008 esec der sichere Weg zum ganzheitlichen Information-Security-Management-System (ISMS) nach ISO 27001 Version: 2.9 / 29.09.2008 WMC Wüpper Management Consulting GmbH Vertriebs-/Projektbüros Unternehmenssitz

Mehr

Inhaltsverzeichnis. Einleitung 15

Inhaltsverzeichnis. Einleitung 15 Inhaltsverzeichnis Einleitung 15 1 Umfang und Aufgabe des IT-Security Managements 19 1.1 Kapitelzusammenfassung 19 1.2 Einführung 19 1.3 Informationen und Daten 20 1.4 IT-Security Management ist wichtig

Mehr

Beraten statt prüfen Behördlicher Datenschutzbeauftragter

Beraten statt prüfen Behördlicher Datenschutzbeauftragter Beraten statt prüfen Behördlicher Datenschutzbeauftragter Bestellpflicht zum Datenschutzbeauftragten Nach den Vorgaben aller Landesdatenschutzgesetze müssen öffentliche Stellen des Landes grundsätzlich

Mehr

IT-Security Portfolio

IT-Security Portfolio IT-Security Portfolio Beratung, Projektunterstützung und Services networker, projektberatung GmbH Übersicht IT-Security Technisch Prozesse Analysen Beratung Audits Compliance Bewertungen Support & Training

Mehr

Informationssicherheit ein Best-Practice Überblick (Einblick)

Informationssicherheit ein Best-Practice Überblick (Einblick) Informationssicherheit ein Best-Practice Überblick (Einblick) Geschäftsführer der tgt it- und informationssicherheit gmbh Geschäftsführer am TZI, Universität Bremen Lehrbeauftragter an der Hochschule Bremen

Mehr

Security 4 Safety. Markus Bartsch, Christian Freckmann

Security 4 Safety. Markus Bartsch, Christian Freckmann Security 4 Safety Markus Bartsch, Christian Freckmann Internet der Dinge Samsung und Android Samsung Samsung TÜV Informationstechnik GmbH Member of TÜV NORD Group 1 Heise-Meldungen Industrieanlagen schutzlos

Mehr

Qualitätsmanagementsystem nach DIN EN ISO 9001:2015

Qualitätsmanagementsystem nach DIN EN ISO 9001:2015 Qualitätsmanagementsystem nach DIN EN ISO 9001:2015 Quick Tour (Foliensatz für das Management) Karlsruhe, im Juni 2015 Qualitätsmanagement ist einfach. Sehr einfach. Wir zeigen Ihnen wie. ipro Consulting

Mehr

Zertifikatsstudiengang Certified Security Manager (CSM)

Zertifikatsstudiengang Certified Security Manager (CSM) Zertifikatsstudiengang Certified Security Manager (CSM) Mit Security Management sind Sie gut vorbereitet Das Thema Sicherheit im Unternehmen wird meist in verschiedene Bereiche, Unternehmenssicherheit,

Mehr

Sicherheit und Qualität digitaler Leittechnik eine wesentliche Voraussetzung für Kraftwerke der Zukunft

Sicherheit und Qualität digitaler Leittechnik eine wesentliche Voraussetzung für Kraftwerke der Zukunft Sicherheit und Qualität digitaler Leittechnik eine wesentliche Voraussetzung für Kraftwerke der Zukunft Dr. Guido Rettig Chairman of the Board TÜV NORD AG 1 Vertikale und horizontale Kommunikation in der

Mehr

PCI Security Scan. Beweisen Sie Ihre Sicherheit! Ihre Vorteile auf einen Blick:

PCI Security Scan. Beweisen Sie Ihre Sicherheit! Ihre Vorteile auf einen Blick: Beweisen Sie Ihre Sicherheit! Unser Security Scan ist eine Sicherheitsmaßnahme, die sich auszahlt. Systeme ändern sich ständig. Selbst Spezialisten kennen nicht alle Schwachstellen im Detail. Der PCI Scan

Mehr

Verordnungsdaten und Patientendatenbanken Datenschutz in Pharmaunternehmen

Verordnungsdaten und Patientendatenbanken Datenschutz in Pharmaunternehmen Verordnungsdaten und Patientendatenbanken Datenschutz in Pharmaunternehmen Datenschutz in Pharmaunternehmen Bei Pharmaunternehmen stehen neben der Verarbeitung eigener Personaldaten vor allem die Dokumentation

Mehr

Penetrationstest Intern Leistungsbeschreibung

Penetrationstest Intern Leistungsbeschreibung Schneider & Wulf EDV-Beratung 2013 Penetrationstest Intern Leistungsbeschreibung Schneider & Wulf EDV-Beratung GmbH & Co KG Im Riemen 17 64832 Babenhausen +49 6073 6001-0 www.schneider-wulf.de Einleitung

Mehr

Fachtagung Safety in Transportation Leitfaden für die IT Sicherheit auf Grundlage IEC 62443

Fachtagung Safety in Transportation Leitfaden für die IT Sicherheit auf Grundlage IEC 62443 Fachtagung Safety in Transportation Leitfaden für die IT Sicherheit auf Grundlage IEC 62443 DKE UK 351.3.7 Hans-Hermann Bock 1 Braunschweig, 06.11.2013 Anwendungsbereich der Vornorm (1) Diese Vornorm ist

Mehr

Agenda. 2008 SEC Consult Unternehmensberatung GmbH All rights reserved

Agenda. 2008 SEC Consult Unternehmensberatung GmbH All rights reserved Agenda Web-Anwendungen als schwächstes Glied für Angriffe aus dem Internet Bewertung gängiger Standards und Normen von Web-Anwendungen BSI-Standards 100-1, 100-2 und IT-Grundschutz BSI-Studie ISi-Web:

Mehr

Anforderungen für sicheres Cloud Computing

Anforderungen für sicheres Cloud Computing Anforderungen für sicheres Cloud Computing Isabel Münch Bundesamt für Sicherheit in der Informationstechnik EuroCloud Deutschland Conference Köln 18.05.2011 Agenda Überblick BSI Grundlagen Sicherheitsempfehlungen

Mehr