Projekt Penetrationstest IPK, IK und CN. Corporate Network TenneT TSO GmbH. Anfrage

Größe: px
Ab Seite anzeigen:

Download "Projekt Penetrationstest IPK, IK und CN. Corporate Network TenneT TSO GmbH. Anfrage"

Transkript

1 Projekt Penetrationstest IPK, IK und CN Corporate Network Anfrage Erstellung eines Konzeptes und die Durchführung eines Penetrationstestes für einen IP-Konverter, Informationsknoten und ein vollständiges Nachrichtennetz Version 0.2

2 Änderungshistorie Datum Version Abschnitt / Seite Änderung Name Erstellung Krellner Ergänzungen Krellner NAA Krellner Seite - 2 von 18

3 Inhaltsverzeichnis 1 Einleitung Aufgabenstellung Ziele Beteiligte Anforderungen an den Auftragnehmer Leistungsbeschreibung Konzept für (Standard-) Penetrationstests Penetrationstest Informationsknoten (Datenkonzentrator) Penetrationstest IP-Konverter (Datenproxy) Penetrationstest Communication Network (CN) Geheimhaltung Rahmenbedingungen Zeitplan Ansprechpartner Anhang A: Einheitsformblatt NAA Krellner Seite - 3 von 18

4 1 Einleitung Die mit Sitz in Bayreuth ist mit ihren rund 1400 Mitarbeitern verantwortlich für den Betrieb, die Instandhaltung und die weitere Entwicklung des Stromübertragungsnetzes der Spannungsebenen 220kV und 380kV in großen Teilen Deutschlands. Das Unternehmen ist mit rund Kilometern Höchstspannungsleitungen für einen effizienten Stromtransport über große Entfernungen zuständig. Das Netz reicht von der Grenze Dänemarks bis zu den Alpen und deckt mit Quadratkilometern rund 40 Prozent der Fläche Deutschlands ab: Mehr als 20 Millionen Menschen können sich auf die sichere Stromversorgung durch TenneT verlassen. Die nachrichtentechnischen Verbindungen der ca. 125 Umspannwerke untereinander und mit den Leitstellen werden derzeit zum größeren Teil durch gemietete Übertragungsbandbreite des Dienstleisters E.ON-Netz, und zum kleineren Teil durch eigene Glasfaserverbindungen, realisiert. Für den Betrieb des Leittechnischen Prozessnetz auf Basis des Protokolls IEC wurde ein eigenständiges routingfähiges Netzwerk über das Transportnetz des Dienstleisters eingerichtet. Aufgrund strategischer Überlegungen und regulatorischer Vorgaben liegt die Notwendigkeit vor, den Betrieb des nachrichtentechnischen Übertragungsnetzes für die Prozessdatenkommunikation des Stromübertragungsnetzes in eigener Hoheit durchzuführen. Dies wurde in einer Konzeptstudie analysiert und daraufhin von TenneT zur Umsetzung freigegeben. Für den Aufbau des neuen Nachrichtennetzes wurde das Projekt CN TTG (Corporate Network ) ins Leben gerufen. Für dieses Projekt sollen auch die aktuellen Sicherheitsstandards angewendet werden. Darüber hinaus wurden nach den Anforderungen bzgl. des Betriebs einer kritischen Infrastruktur weitere Sicherheitsmaßnahmen implementiert. Somit soll sichergestellt werden, dass die aktuellen und zukünftigen gesetzlichen Vorgaben besonders in Hinblick auf die Vorgaben für KRITIS auch mit dem neuen Nachrichtennetz vollständig erfüllt werden. NAA Krellner Seite - 4 von 18

5 2 Aufgabenstellung Innerhalb von TenneT gibt es klare Vorgaben und Regeln über den Einsatz um Umgang mit TK- und IT-Systemen. Die zu berücksichtigenden Sicherheitsaspekte werden in einer Geschäftsanweisung verbindlich für alle Mitarbeiter geregelt. Die Umsetzung und Regelungen zur Anwendung der Sicherheitsvorgaben sind in weiteren Anwenderdokumenten geregelt. Auf Grundlage dieser Sicherheitsvorgaben wurde ein technisches Konzept für ein neues Nachrichtennetz (Corporate Network CN) zum Zwecke der Prozessautomation erstellt. Auf Basis dieses Konzeptes, wurde nun das neue Nachrichtennetz (CN) aufgebaut. Der Probebetrieb dieses neuen Netzes inkl. aller darin abgebildeten Dienste soll noch Ende 2014 gestartet werden. Eine zentrale Aufgabe des neuen Nachrichtennetzes ist die Bereitstellung von kritischen Diensten zur Steuerung und Schutz des Höchstspannungsnetzes. Diese Dienste werden in der sogenannten Prozessnetzinfrastruktur zusammengefasst. Des Weiteren werden über das Nachrichtennetz auch andere Dienste, sogenannte kommerzielle Dienste für das eigenen Unternehmen erbracht. Ein wichtiger Punkt hierbei ist, die rückwirkungsfreie Trennung zwischen Prozessnetzen und kommerziellen Netzen, sowie die sichere Trennung der einzelnen Dienste untereinander. Zur Qualitätssicherung der tatsächlichen Umsetzung des technischen Konzeptes, und insbesondere der Sicherheitsvorgaben, soll das gesamte neue Nachrichtennetz und zwei wichtige technische Systeme, einem Penetrationstest unterzogen werden. Da das zu testende Kommunikationsnetz zum großen Teil Dienste der Prozessautomation zur Verfügung stellt, muss der Test noch vor dem eigentlichen Live-Betrieb, d.h. während des Probebetriebs durchgeführt werden. In der nachfolgenden Aufstellung werden die Aufgaben grob skizziert, welche durch den Auftragnehmer übernommen werden sollen: o o o o o Erstellung eines Unternehmens-Standards bzw. Konzeptes zur Durchführung der Penetrationstest. Durchführung eines Penetrationstest auf einen Datenkonzentrator (Informationsknoten) zur sicheren Übertragung des Protokolls IEC Durchführung eines Penetrationstest auf einen Datenproxy (IP-Konverter) zur sicheren Übertragung des Protokolls IEC Überprüfung der korrekten Umsetzung des technischen Konzeptes bzw. des Sicherheitsniveaus für das neue Nachrichtennetz, mittels Durchführung von Analysen und Penetrationstests. Ausführliche Dokumentation aller durchgeführten Analysen, Tests und Auswertungen. Der Auftragnehmer soll, die Ihm übertragenen Aufgaben, in enger Zusammenarbeit mit den TenneT Fachabteilungen umsetzen. Hierzu sind insbesondere auch regelmäßige Workshops und laufend Reviews sowie Teilfreigaben vorgesehen. NAA Krellner Seite - 5 von 18

6 3 Ziele Mit der Fachberatung, Mitarbeit und Unterstützung durch einen externen Dienstleister sollen insbesondere folgende strategische Ziele erreicht werden: Qualitätssicherung des Nachrichtennetzes in Bezug auf das Sicherheitsniveau Analyse und Test des neuen Nachrichtennetzes sollen Umsetzungsfehler und technische Mängel aufdecken bevor das Netz in den Live-Betrieb überführt wird. Dies soll ermöglichen, dass ausführlichere Untersuchungen durchgeführt werden können welche bei einem Prozessinformationsnetz sonst nicht möglich wären. Zudem können evtl. entdeckte Mängel noch rechtzeitig, mit vertretbarem Aufwand beseitigt werden, falls dies notwendig sein sollte. Qualitätssicherung des Prozessnetzdienstes IEC104 Mit der detaillierten Untersuchung zweier zentraler Komponenten soll das gewünschte Sicherheitsniveau für einen Dienst überprüft werden, welcher auf dem Protokoll IEC beruht. Die Tests sollen ggf. technische Mängel aufdecken welche dann an die Hersteller zur Beseitigung adressiert werden können oder als Basis zur Ergreifung weiterer Sicherheitsmaßnahmen dienen. Prüfung der Planung und Umsetzung Eine Prüfung und Analyse der vorhandenen Konzepte sowie der zugehörigen Test- Ergebnisse soll sicherstellen, dass die festgelegten Sicherheitsanforderungen, durch die Auswahl der richtigen Maßnahmen die zu einer Minimierung der Risiken führen sollen, erfüllt werden. Weiterhin soll geprüft werden ob die Umsetzung der Konzepte, d.h. der Aufbau des neuen Nachrichtennetzes mit all seinen Diensten, durch externe sowie interne Unterstützung fehlerfrei und in der notwendigen Qualität ausgeführt wurde. Festlegung eines Standards für zukünftige Penetrationstests Penetrationstest, welche in der Vergangenheit durchgeführt wurden, sind immer projektspezifisch umgesetzt worden. Dies bedeutet, dass für jeden neuen Test die Vorgehensweise immer wieder neu abgestimmt werden muss. Durch die Festlegung auf eine Standardvorgehensweise soll in Zukunft, auf Seiten des Auftragnehmers, Zeit und personelle Ressourcen für die Vorbereitung gespart werden. Einbringung von externen Know-how und Expertise Durch die Einbeziehung von externem Wissen aus dem Bereich Informationssicherheit, Analysen und Testing soll das interne technische Know-how optimal unterstützt werden. Die aktuellen Ergebnisse können dann aufgrund der externen Expertise unternehmensintern besser vermittelt werden. NAA Krellner Seite - 6 von 18

7 4 Beteiligte Der Auftragnehmer hat alle zu erbringende Leistungen im eigenen Betrieb auszuführen. D.h. eine Übertragung von Leistungen an Nachunternehmer durch den Auftragnehmer ist dem Auftraggeber anzuzeigen und nur mit dessen Zustimmung zulässig. Auf Seiten des Auftragnehmers sind feste Ansprechpartner für die Umsetzung und die Dauer des Projektes gegenüber dem Auftraggeber zu nennen. Auf Seiten des Auftraggebers ist der Ansprechpartner für obiges Projekt, die Abteilung NAA Asset Management und Asset Strategie (siehe Kapitel 10 Ansprechpartner). Alle vom Auftraggeber notwendigen Informationen und Ressourcen werden von dem benannten Ansprechpartner zur Verfügung gestellt. Die weitere Zusammenarbeit mit den erforderlichen internen und externen Organisationen und Bereiche wird vom Auftraggeber koordiniert. NAA Krellner Seite - 7 von 18

8 5 Anforderungen an den Auftragnehmer Der Auftragnehmer muss Erfahrungen aus dem EVU-Umfeld und dem Bereich Prozessleittechnik bzw. ICS Systeme mitbringen. Diese Erfahrungen müssen durch entsprechende Referenzen (Referenzliste) nachgewiesen werden. Insbesondere werden folgende Kenntnisse und Fähigkeiten gefordert: Know-how über Prozessleittechnik bzw. ICS Systemen welche in den letzten 20 Jahren bei EVUs eingeführt wurden und im Einsatz sind. Know-how im Bereich EVU Sicherheitstechnologien und Datensicherheit. D.h. es sind Kenntnisse der verwendeten Protokolle, Technologien und Lösungen aus dem Bereich eines ÜNB bzw. Stromnetzbetreibers erforderlich. Praktische Erfahrungen mit nachrichtentechnische Übertragungssysteme sowie TK-Systeme aus dem Bereich WAN und LAN. Praktische Erfahrungen mit dem aktuellen Spektrum an IT-Systemen für den Rechenzentrumsbetrieb, zur Benutzeranwendung und von Sicherheitssystemen inkl. deren Hard- und Software. Praktische Erfahrungen mit Penetrationstests im Prozessnetzumfeld von EVUs. Know-how im Bereich Risikoanalyse für Nachrichten- und Prozessdatennetze zur Steuerung von Stromnetzen. Know-how bzgl. der Analyse von Abhängigkeiten zwischen Security und Safety. Know-how aus dem Bereich der Leitstellensicherheit, Netzkopplungen und Netzwerktrennung sind ebenfalls relevant. Der Anbieter muss unabhängig von Technologie-Lieferanten und Service-Dienstleistern sein und dies bei Auftragsvergabe über die Projektlaufzeit zusichern. Eine Sicherheitsüberprüfung der Stufe Ü1 nach dem SÜG (Sicherheitsüberprüfungsgesetz) ist im Bedarfsfall für die eingesetzten Mitarbeiter des Auftragnehmers vorzuweisen bzw. durchzuführen. NAA Krellner Seite - 8 von 18

9 6 Leistungsbeschreibung Nachfolgend werden die Inhalte für die Penetrationstests und deren Dokumentation soweit wie möglich skizziert. Die Auflistung beschreibt die inhaltlichen Schwerpunkte, die im Projekt gemeinsam mit dem Auftragnehmer noch ergänzt bzw. detailliert werden können. 6.1 Konzept für (Standard-) Penetrationstests Bei der existiert eine interne Geschäftsanweisung in der die IT- Sicherheitsrichtlinie für den Bereich der Prozessnetzkommunikation festgelegt ist. In dieser Richtlinie sind auch die Kontrollen für die Überprüfung der Sicherheitsvorgaben geregelt. Hierbei soll bereits bei der Beschaffung von Hard- und Software die Überprüfung stattfinden, ob die ausgewählte Technik den Sicherheitsanforderungen von TenneT gerecht wird. Ebenso wird eine kontinuierliche Überwachung der Sicherheitsvorgaben als qualitätssichernde Maßnahme gefordert, welche mittels Sicherheitsanalysen und Scans umgesetzt werden soll. Ein wichtiger Teil der oben beschriebenen Kontrollprozesse ist die Überprüfung der Herstellerangaben, bzgl. der Funktionalität der Systeme, durch TenneT interne Tests. Somit können meist auch Schwachstellen und Fehler identifiziert werden, welche dem Hersteller nicht bekannt sind. Die negativen Ergebnisse der Tests werden dann zur Behebung an die Hersteller der Hard- bzw. Software adressiert. Da sich die Tests der Systeme erfahrungsgemäß wiederholen, soll für die Zukunft ein verbindlicher Standard für diese Tests geschaffen werden. Anhand dieses Standards soll es dann möglich sein, einen Großteil der Überprüfungen einfach zu replizieren. Um somit die Aufwendungen, welche in Form von internen Ressourcen zur Verfügung gestellt werden müssen, deutlich zu reduzieren. Folgende Leistungen sollen vom Auftragnehmer erbracht werden: o Erstellung eines neuen Konzeptes für Penetrationstest von ICS- und Kommunikationstechnik-Komponenten auf Basis von allgemeinen Standards und TenneT Unternehmensrichtlinien: Beschreibung von Generellen Festlegungen zu Testmethoden, Vorgehensweise und Testinhalte zur Überprüfung der IT-Sicherheit sowie von Systemfunktionen. Beschreibung aller sicherheitsrelevanten Themen in Bezug auf die Verantwortung, Nutzen, Prozesse und die Durchführung der Tests. Beschreibung zur Bewertung inkl. Metriken zum Risikograd und Darstellung der Testergebnisse. Beschreibung von möglichen Maßnahmen zur Minimierung von Sicherheitsrisiken. o Qualitätssicherung des erstellten Dokumentes durch die Prüfung und Revision in Bezug auf inhaltliche Richtigkeit, Vollständigkeit und Widerspruchsfreiheit. NAA Krellner Seite - 9 von 18

10 6.2 Penetrationstest Informationsknoten (Datenkonzentrator) Eine zentrale Komponente für den im Kapitel 0 beschriebenen Dienst IEC ist im TenneT Prozessdatennetz der sogenannte Informationsknoten oder kurz Infoknoten. Ein Informationsknoten kann aus Master- und Slave-Baugruppen bestehen. Dieses System terminiert vor einer Leitstelle alle 104er Verbindungen und setzt diese in neue Verbindungen für die Leitstelle um. Somit sammelt er aus allen angeschlossenen Umspannwerken die entsprechenden Prozessdatenverbindungen und gibt diese anschließend in gebündelter Form als Datenkonzentrator an die verarbeitende Leitstelle weiter. Die zu verarbeitenden Prozessdaten werden durch die sogenannten IP-Konvertern (siehe Kapitel 6.3) aus den Umspannwerken als weitere vermittelnde Einheit geliefert. Da der Informationsknoten eine wichtige Sicherheitsfunktion zum Schutz der Leitstellen und des angeschlossenen Prozessdatennetz erfüllt, soll diese Schutzfunktion nun auch überprüft werden. Die Schutzfunktion besteht zum größten Teil darin, die Leitstellennetze und das Prozessdatennetz voneinander zu trennen. Um die notwendigen Sicherheitstest erfolgreich umsetzen zu können, ist es notwendig, dass der Auftragnehmer entsprechende Kompetenzen aus dem Bereich Systemtests (Hard- und Software) von proprietären Herstellerlösungen für Prozessleittechnik auf Basis des Protokolls IEC mitbringt. Folgende Leistungen sollen vom Auftragnehmer erbracht werden: o Durchführung eines Penetrationstests an einem proprietären ICS welches als Datenkonzentrator für das Protokoll IEC eingesetzt wird. Anwendung des im Kapitel 6.1 beschriebenen Konzeptes zum Penetrationstest. Darstellung der Testergebnisse auch in Verbindung mit den Tests in Kapitel 6.3 und 6.4. Beschreibung von möglichen Maßnahmen zur Minimierung von Sicherheitsrisiken. Qualitätssicherung des erstellten Dokumentes durch die Prüfung und Revision in Bezug auf inhaltliche Richtigkeit, Vollständigkeit und Widerspruchsfreiheit. NAA Krellner Seite - 10 von 18

11 6.3 Penetrationstest IP-Konverter (Datenproxy) Neben der im Kapitel 6.2 beschriebenen wichtigen Komponente wird für den Dienst IEC noch eine weitere wichtige Komponente, der sogenannte IP-Konverter benötigt. Ein IP-Konverter sammelt die Prozessdaten innerhalb eines Umspannwerkes bzw. eines Stationsbusses und gibt diese an den übergeordneten Informationsknoten weiter. Der IP-Konverter terminiert somit als Datenproxy alle Verbindungen aus einem lokalen Stationsbus und setzt diese in neue Verbindungen für den Infoknoten bzw. die dahinter liegende Leitstelle um. Auch der IP-Konverter bietet eine wichtige Sicherheitsfunktion zum Schutz des 104er Prozessdatennetzes. Daher soll auch diese Schutzfunktion bzw. die Wirksamkeit des IP- Konverters mit einem entsprechenden Test überprüft werden. Die Schutzfunktion des IP- Konverters besteht darin, den Stationsbus d.h. ein Umspannwerk von den Leitstellennetzen zu trennen. Um die notwendigen Sicherheitstest erfolgreich umsetzen zu können, ist es notwendig, dass der Auftragnehmer entsprechende Kompetenzen aus dem Bereich Systemtests (Hard- und Software) von proprietären Herstellerlösungen für Prozessleittechnik auf Basis des Protokolls IEC mitbringt. Folgende Leistungen sollen vom Auftragnehmer erbracht werden: o Durchführung eines Penetrationstests an einem proprietären ICS welches als Datenproxy für das Protokoll IEC eingesetzt wird. Anwendung des im Kapitel 6.1 beschriebenen Konzeptes zum Penetrationstest. Darstellung der Testergebnisse auch in Verbindung mit den Tests in Kapitel 6.2 und 6.4. Beschreibung von möglichen Maßnahmen zur Minimierung von Sicherheitsrisiken. Qualitätssicherung des erstellten Dokumentes durch die Prüfung und Revision in Bezug auf inhaltliche Richtigkeit, Vollständigkeit und Widerspruchsfreiheit. NAA Krellner Seite - 11 von 18

12 6.4 Penetrationstest Communication Network (CN) Seit Mitte des Jahres 2014 wird bei der ein vollständig neues Nachrichtennetz auf Basis der SDH-, MPLS-TP- und IP-Technologie aufgebaut. Hierbei werden deutschlandweit ca. 160 Standorte mit neuer Systemtechnik ausgerüstet. Das neue Netzwerk wird das bestehende Layer-3 Kommunikationsnetz vollständig ablösen. In dem neuen Kommunikationsnetzwerk werden 14 Dienste mit unterschiedlichen Sicherheitsanforderungen transportiert. Für die Erbringung dieser Dienste werden verschiedenste Kommunikations- und IT-Systeme genutzt. Wobei ca. 400 Kommunikationssysteme und ca. 60 IT-Systeme zum Einsatz kommen. Für das im Bau befindliche Netz soll eine Analyse des Sicherheitsniveaus und die hierfür notwendigen Penetrationstests durchgeführt werden. Die Ergebnisse der Untersuchung sowie der Tests sollen in geeigneter Form aufbereitet und für eine evtl. weitere Behandlung dargestellt werden. D.h. die Ergebnisse sollen zur Überprüfung bzw. Verbesserung und Optimierung der korrekten Implementierung für das neue Nachrichtennetz verwendet werden. Den entsprechenden Führungskräften dienen die Ergebnisse als Grundlage um erforderliche Maßnahmen zu identifizieren und eine Behebung von Schwachstellen in Auftrag zu geben bzw. entsprechende Maßnahmen bei der laufenden Umsetzung für das neue Netz mit einzuplanen. Bei der TenneT existiert ebenso ein Prozessdatennetz welches auf der Basis des Protokolls IEC als eigenständiger Dienst aufgebaut wurde. Für dieses sicherheitskritische Teilnetz wurde bereits eine begrenzte Risikoanalyse durchgeführt. Mit dem Aufbau des neuen Nachrichtennetzes wird dieser Dienst ebenfalls neu implementiert. Nun soll eine ganzheitliche Überprüfung des erreichten Sicherheitsniveaus für den neu implementierten Dienst durchgeführt werden. Als weiterer Baustein wird mit dem neuen Nachrichtennetz erstmals eine Fernwartungslösung für das Prozessdatennetz als eigenständiger Dienst realisiert. Da das Fernwartungsnetz ebenfalls als sicherheitskritisch einzustufen ist, soll dieses ebenso einer gezielten Analyse bzw. einem gezieltem Test unterzogen werden. Somit sind vom Auftragnehmer folgende spezielle Kompetenzen für eine erfolgreiche Umsetzung der an Ihn übertragenen Aufgaben mitzubringen: Schwachstellenanalyse eines vollständigen Nachrichtennetzes welches aus unterschiedlichen Technologien und Diensten besteht inkl. der Aufdeckung der Schachstellen bzgl. der Absicherung von Teilnetzen (Segregation of Networks) und der Überprüfung deren Ausnutzbarkeit. Schwachstellenanalyse des Dienstes IEC in der Ende zu Ende Beziehung. Aufdeckung der Schachstellen auch in Bezug auf die Anbindung an eine Netzleitstelle. Überprüfung des gesamten 104er Dienstes inkl. seiner Komponenten und des Protokolls in Bezug auf die Ausnutzbarkeit von Schwachstellen. Schwachstellenanalyse eines Fernwartungsnetzes inkl. der beteiligten Sicherheitskomponenten (z.b. Firewalls, Proxyserver, Citrix-Server, o.ä.) und Protokolle (z.b. ssh, ICA, RDP, o.ä.). Überprüfung der gefundenen Schachstellen in Bezug auf deren Ausnutzbarkeit. NAA Krellner Seite - 12 von 18

13 Die im Umfeld der Analysen und Tests gefundenen Schachstellen in Bezug auf die Funktionalität bzw. mögliche Safety Aspekte sind für den Auftraggeber ebenso relevant wie die IT-Sicherheit. Somit sind diese Beziehungen vom Auftragnehmer bei dessen Analysen und Test auch mit zu berücksichtigen. Aus diesem Grund wäre es von Vorteil, wenn der Auftragnehmer hierbei ebenfalls auf fundierte Kompetenzen zurückgreifen kann. Folgende Leistungen sollen vom Auftragnehmer erbracht werden: o Durchführung eines Red Team Penetrationstest inkl. der Ermittlung der vorhandenen Schachstellen für die technischen Systeme eines gesamten Nachrichtennetzwerkes zum Zweck der Bestimmung des Sicherheitsniveaus. Überprüfung der sicheren und rückwirkungsfreien Trennung von Diensten. Überprüfung der sicherheitstechnischen Vorkehrungen in Bezug auf die Verfügbarkeit des Kommunikationsnetzes. Überprüfung der sicherheitstechnischen Vorkehrungen in Bezug auf den Schutz vor Angriffen des Kommunikationsnetzes. Überprüfung der Umsetzung bzw. der korrekten Implementierung von sicherheitstechnischen Maßnahmen für das neue Kommunikationsnetz durch interne und externe Auftragnehmer. o Durchführung eines ausführlichen White-Box Penetrationstest inkl. der Ermittlung der vorhandenen Schachstellen für einen Anwendungsdienstes auf Basis des Protokolls IEC Überprüfung des Sicherheitsniveaus des Dienstes innerhalb der Prozessnetzinfrastruktur. Überprüfung des Sicherheitsniveaus des Dienstes in gesamter Ende zu Ende Sicht. o Durchführung eines ausführlichen White-Box Penetrationstest inkl. der Ermittlung der vorhandenen Schachstellen für die technischen Systeme des Anwendungsdienstes Fernwartung. Überprüfung des Sicherheitsniveaus des gesamten Dienstes Fernwartung unter Einbezug aller beteiligten internen wie externen Ressourcen und Komponenten. o Bewertung und übersichtliche Darstellung aller Testergebnisse. o Beschreibung von möglichen Maßnahmen zur Minimierung von Sicherheitsrisiken. o Qualitätssicherung des erstellten Dokumentes durch die Prüfung und Revision in Bezug auf inhaltliche Richtigkeit, Vollständigkeit und Widerspruchsfreiheit. Bei den geforderten Tests müssen auch die Abhängigkeiten zwischen den einzelnen Dienste, Netzwerken und der darin eingesetzten Sicherheitssystemen mit berücksichtigt werden. Dies bedeutet, dass die implementierten Sicherheitsmechanismen auch einer besonderen Überprüfung zu unterziehen sind. NAA Krellner Seite - 13 von 18

14 7 Geheimhaltung Im Rahmen der Durchführung von Penetrationstests und der Überprüfung der technischen bzw. sicherheitsrelevanten Konzepte erhält der Auftragnehmer einen sehr tiefen Einblick über Steuerung, Kontrolle, Prozesse und die Sicherheit des TenneT Hochspannungsnetzes. Alle im Rahmen dieses Projektes erhaltenen Informationen dürfen Dritten nicht zugänglich gemacht werden. Hierzu wird mit der Vergabe des Auftrags ein Geheimhaltungsvertrag (NDA) abgeschlossen. NAA Krellner Seite - 14 von 18

15 8 Rahmenbedingungen Die vom Auftragnehmer geforderten Leistungen sind unter Berücksichtigung folgender Normen, Richtlinien, Vorschriften und Dokumente zu erbringen. DIN ISO/IEC 27001, DIN ISO/IEC und DIN SPEC ( D) BDEW Whitepaper - Anforderungen an sichere Steuerungs- und Telekommunikationssysteme, Version 1.0, BDEW Whitepaper Ausführungshinweise, Version 1.0, 15. März 2012 ICS-Security-Kompendium, BSI, 2013 BSI-Standard 100-X und BSI IT-Grundschutz-Kataloge, Version 12 Durchführungskonzept für Penetrationstests, BSI, November 2003 OSSTMM 3 (Open Source Security Testing Methodology Manual), ISECOM, 2010 Cyber Security Assessments of Industrial Control Systems, CPNI, November 2010 CVSS (Common Vulnerability Scoring System), Version 2.0 Umsetzungsplan KRITIS des Nationalen Plans zum Schutz der Informationsinfrastrukturen, Bundesministerium des Inneren, 2005 Schutz Kritischer Infrastrukturen Basisschutzkonzept, Bundesministerium des Inneren, 2005 Schutz Kritischer Infrastrukturen Risiko- und Krisenmanagement, Bundesministerium des Inneren, 2011 Informationstechnik in der Prozessüberwachung und -steuerung, Bundesamt für Sicherheit in der Informationstechnik, 2008 Sicherheit von Industrial Control Systems (ICSs), Bundesamt für Sicherheit in der Informationstechnik, 2012 (ausführliche Version) NAA Krellner Seite - 15 von 18

16 9 Zeitplan Dezember 2014 Januar 2015 Februar 2015 April 2015 Mai 2015 Kick-Off mit der Festlegung der konkreten Terminplanung Beginn der Vorplanung (Abgrenzung etc.) und Erstellung des Konzeptes für Penetrationstests Penetrationstest des IP-Konverters und der Infoknotens Analyse Nachrichten-, Prozessnetz mit Tests und Dokumentation Ende der Analysen mit Auswertung und Dokumentation der Ergebnisse NAA Krellner Seite - 16 von 18

17 10 Ansprechpartner Michael Schülke Georg Krellner Marko Riedel Nachrichtentechnik (Bayreuth, NAA) Tel.: +49 (921) Mobil: +49 (151) Nachrichtentechnik IP (Bayreuth, NAA) Tel.: +49 (921) Mobil: +49 (151) Nachrichtentechnik Lienientechnik (Bayreuth, NAA) Tel.: +49 (921) Mobil: +49 (151) NAA Krellner Seite - 17 von 18

18 Anhang A: Einheitsformblatt Projekterfahrung im EVU-Umfeld Ja Nein Erfahrung mit ICS Systemen Ja Nein Erfahrung mit ITK (WAN / LAN) Ja Nein Einschlägige Kenntnisse relevanter Normen und Richtlinien Ja Nein Projekterfahrung Penetrationstests von Endsystemen Ja Nein Projekterfahrung Penetrationstests von kritischen Infrastrukturen Ja Nein Projekterfahrung Erstellung und Analyse technischer Konzepte Ja Nein Projekterfahrung aus den Bereichen Security und Safety Ja Nein Technologie- und Serviceunabhängige Dienstleistungen Ja Nein Referenzliste verfügbar Ja Nein Position Konzepterstellung PEN-Test PENT-Test IPK PEN-Test IK PEN-Test CN geplante Tage MT/RT/ST Tagessatz Gesamt Reisekosten (Hin- und Rückfahrt) zusätzliche Kosten (Übernachtung und Spesen) Summe Angebot MT: Manntage, RT: Reisetage, ST: Spesentage NAA Krellner Seite - 18 von 18

Sicherheitstechnische Qualifizierung (SQ), Version 10.0 Security Assurance Level SEAL-3

Sicherheitstechnische Qualifizierung (SQ), Version 10.0 Security Assurance Level SEAL-3 Die Zertifizierungsstelle der TÜV Informationstechnik GmbH bescheinigt hiermit dem Unternehmen RWE Effizienz GmbH Flamingoweg 1 44139 Dortmund für das IT-System RWE eoperate IT Services die Erfüllung aller

Mehr

Richtlinie zur Festlegung von Verantwortlichkeiten im Datenschutz

Richtlinie zur Festlegung von Verantwortlichkeiten im Datenschutz Richtlinie zur Festlegung von Verantwortlichkeiten im Datenschutz Freigabedatum: Freigebender: Version: Referenz: Klassifikation: [Freigabedatum] Leitung 1.0 DSMS 01-02-R-01 Inhaltsverzeichnis 1 Ziel...

Mehr

Sicherheitstechnische Qualifizierung (SQ), Version 10.0 Security Assurance Level SEAL-5

Sicherheitstechnische Qualifizierung (SQ), Version 10.0 Security Assurance Level SEAL-5 Die Zertifizierungsstelle der TÜV Informationstechnik GmbH bescheinigt hiermit dem Unternehmen e-netz Südhessen GmbH & Co. KG Dornheimer Weg 24 64293 Darmstadt für das IT System Querverbundleitstelle Darmstadt

Mehr

Amtliches Mitteilungsblatt

Amtliches Mitteilungsblatt Nr. 13/12 Amtliches Mitteilungsblatt der HTW Berlin Seite 119 13/12 26. April 2012 Amtliches Mitteilungsblatt Seite Grundsätze der Informationssicherheit der HTW Berlin vom 18. April 2012.................

Mehr

Leitfaden zum sicheren Betrieb von Smart Meter Gateways

Leitfaden zum sicheren Betrieb von Smart Meter Gateways Leitfaden zum sicheren Betrieb von Smart Meter Gateways Wer Smart Meter Gateways verwaltet, muss die IT-Sicherheit seiner dafür eingesetzten Infrastruktur nachweisen. Diesen Nachweis erbringt ein Gateway-

Mehr

Bausteine einer modernen IT-Sicherheitsstrategie in Rechenzentren. Patricia Krenedics Empalis Consulting GmbH Vaihingen, 04.

Bausteine einer modernen IT-Sicherheitsstrategie in Rechenzentren. Patricia Krenedics Empalis Consulting GmbH Vaihingen, 04. Bausteine einer modernen IT-Sicherheitsstrategie in Rechenzentren Patricia Krenedics Empalis Consulting GmbH Vaihingen, 04. November 2014 1 Index Sicherheitsstrategie Praxis Ganzheitliche Betrachtung (Informations-)

Mehr

SiMiS-Kurzcheck zur Informationssicherheit nach ISO/IEC 27001 bzw. Datenschutz nach Bundesdatenschutzgesetz (BDSG)

SiMiS-Kurzcheck zur Informationssicherheit nach ISO/IEC 27001 bzw. Datenschutz nach Bundesdatenschutzgesetz (BDSG) Unternehmen: Branche: Ansprechpartner: Position: Straße: PLZ / Ort: Tel.: Mail: Website: Kontaktdaten Datenschutzbeauftragter: Fax: Sicherheitspolitik des Unternehmens JA NEIN 01. Besteht eine verbindliche

Mehr

Informationssicherheit zentral koordiniert IT-Sicherheitsbeauftragter

Informationssicherheit zentral koordiniert IT-Sicherheitsbeauftragter Informationssicherheit zentral koordiniert IT-Sicherheitsbeauftragter Informationssicherheit lösungsorientiert Informationssicherheit ist für Unternehmen mit IT-basierten Prozessen grundlegend: Neben dem

Mehr

Sicherheitstechnische Qualifizierung (SQ), Version 10.0 Security Assurance Level SEAL-3

Sicherheitstechnische Qualifizierung (SQ), Version 10.0 Security Assurance Level SEAL-3 Die Zertifizierungsstelle der TÜV Informationstechnik GmbH bescheinigt hiermit dem Unternehmen Agfa HealthCare GmbH Konrad-Zuse-Platz 1-3 53227 Bonn für das IT-System IMPAX/web.Access die Erfüllung aller

Mehr

Maintenance & Re-Zertifizierung

Maintenance & Re-Zertifizierung Zertifizierung nach Technischen Richtlinien Maintenance & Re-Zertifizierung Version 1.2 vom 15.06.2009 Bundesamt für Sicherheit in der Informationstechnik Postfach 20 03 63 53133 Bonn Tel.: +49 22899 9582-0

Mehr

QUICK-CHECK IT-SICHERHEIT

QUICK-CHECK IT-SICHERHEIT QUICK-CHECK IT-SICHERHEIT Systeme fachkundig überprüfen lassen? Die Führung eines Unternehmens ist für dessen reibungslosen Ablauf verantwortlich. IT-Systeme spielen dabei eine wichtige Rolle. Im digitalen

Mehr

Penetrationstest Extern Leistungsbeschreibung

Penetrationstest Extern Leistungsbeschreibung Schneider & Wulf EDV-Beratung 2013 Penetrationstest Extern Leistungsbeschreibung Schneider & Wulf EDV-Beratung GmbH & Co KG Im Riemen 17 64832 Babenhausen +49 6073 6001-0 www.schneider-wulf.de Einleitung

Mehr

ITIL & IT-Sicherheit. Michael Storz CN8

ITIL & IT-Sicherheit. Michael Storz CN8 ITIL & IT-Sicherheit Michael Storz CN8 Inhalt Einleitung ITIL IT-Sicherheit Security-Management mit ITIL Ziele SLA Prozess Zusammenhänge zwischen Security-Management & IT Service Management Einleitung

Mehr

Einführung eines ISMS nach ISO 27001:2013

Einführung eines ISMS nach ISO 27001:2013 Einführung eines ISMS nach ISO 27001:2013 VKU-Infotag: Anforderungen an die IT-Sicherheit (c) 2013 SAMA PARTNERS Business Solutions Vorstellung Olaf Bormann Senior-Consultant Informationssicherheit Projekterfahrung:

Mehr

III.2.3) Technische und berufliche Leistungsfähigkeit

III.2.3) Technische und berufliche Leistungsfähigkeit 1. Anforderungen an das Unternehmen 1.1 Sicherheitsanforderungen Gegenstand des vorliegenden Auftrags sind Lieferungen und Leistungen, die entweder ganz oder teilweise der Geheimhaltung nach dem Sicherheitsüberprüfungsgesetz

Mehr

Sicherheitstechnische Qualifizierung (SQ), Version 9.0

Sicherheitstechnische Qualifizierung (SQ), Version 9.0 Die Zertifizierungsstelle der TÜV Informationstechnik GmbH bescheinigt hiermit dem Unternehmen RWE Effizienz GmbH Freistuhl 7 44137 Dortmund für den Webshop RWE SmartHome Shop die Erfüllung aller Anforderungen

Mehr

Sicherheitstechnische Qualifizierung (SQ), Version 10.0 Security Assurance Level SEAL-5

Sicherheitstechnische Qualifizierung (SQ), Version 10.0 Security Assurance Level SEAL-5 Die Zertifizierungsstelle der TÜV Informationstechnik GmbH bescheinigt hiermit dem Unternehmen SLA Software Logistik Artland GmbH Friedrichstraße 30 49610 Quakenbrück für das IT-System Meat Integrity Solution

Mehr

DATEV eg, 90329 Nürnberg. Betrieb der DATEV Rechenzentren. Anforderungsprofil Business Continuity

DATEV eg, 90329 Nürnberg. Betrieb der DATEV Rechenzentren. Anforderungsprofil Business Continuity Z E R T I F I K A T Die Zertifizierungsstelle der T-Systems bestätigt hiermit der, für den Betrieb der DATEV Rechenzentren (Standorte DATEV I, II und III) die erfolgreiche Umsetzung und Anwendung der Sicherheitsmaßnahmen

Mehr

IS-Revision in der Verwaltung

IS-Revision in der Verwaltung IS-Revision in der Verwaltung Dr. Gerhard Weck INFODAS GmbH, Köln 27. November 2009 Inhalt Nationaler Plan zur Sicherung der Informationsinfrastrukturen (NPSI) Umsetzungsplan KRITIS Umsetzungsplan Bund

Mehr

C R I S A M im Vergleich

C R I S A M im Vergleich C R I S A M im Vergleich Ergebnis der Bakkalaureatsarbeit Risiko Management Informationstag 19. Oktober 2004 2004 Georg Beham 2/23 Agenda Regelwerke CRISAM CobiT IT-Grundschutzhandbuch BS7799 / ISO17799

Mehr

Zertifizierung der IT nach ISO 27001 - Unsere Erfahrungen -

Zertifizierung der IT nach ISO 27001 - Unsere Erfahrungen - Zertifizierung der IT nach ISO 27001 - Unsere Erfahrungen - Agenda Die BDGmbH Gründe für eine ISO 27001 Zertifizierung Was ist die ISO 27001? Projektablauf Welcher Nutzen konnte erzielt werden? Seite 2

Mehr

Grundlagen des Datenschutzes und der IT-Sicherheit. Musterlösung zur 5. Übung im SoSe 2010: Konzepte zur IT-Sicherheit

Grundlagen des Datenschutzes und der IT-Sicherheit. Musterlösung zur 5. Übung im SoSe 2010: Konzepte zur IT-Sicherheit und der IT-Sicherheit Musterlösung zur 5. Übung im SoSe 2010: Konzepte zur IT-Sicherheit 5.1 Sicherheitskonzept Aufgabe: Welche Aspekte sollten in einem Sicherheitskonzept, das den laufenden Betrieb der

Mehr

DIN EN ISO 50001 Was erwarten die Zertifizierer?

DIN EN ISO 50001 Was erwarten die Zertifizierer? Zertifizierung DIN EN ISO 50001 Was erwarten die Zertifizierer? TÜV NORD Energiemanagement-Tag Zerifizierung 13. September 2012, Museum für Energiegeschichte (Hannover) Zur Person Lars Kirchner, Dipl.-Umweltwiss.

Mehr

Systemen im Wandel. Autor: Dr. Gerd Frenzen Coromell GmbH Seite 1 von 5

Systemen im Wandel. Autor: Dr. Gerd Frenzen Coromell GmbH Seite 1 von 5 Das Management von Informations- Systemen im Wandel Die Informations-Technologie (IT) war lange Zeit ausschließlich ein Hilfsmittel, um Arbeitsabläufe zu vereinfachen und Personal einzusparen. Sie hat

Mehr

Personal- und Kundendaten Datenschutz bei Energieversorgern

Personal- und Kundendaten Datenschutz bei Energieversorgern Personal- und Kundendaten Datenschutz bei Energieversorgern Datenschutz bei Energieversorgern Datenschutz nimmt bei Energieversorgungsunternehmen einen immer höheren Stellenwert ein. Neben der datenschutzkonformen

Mehr

Rolle eines Threat Management Centers im Rahmen des Risikomanagements nach ISO 27001

Rolle eines Threat Management Centers im Rahmen des Risikomanagements nach ISO 27001 Rolle eines Threat Management Centers im Rahmen des Risikomanagements nach ISO 27001 Aleksei Resetko, CISA, CISSP Security Global Competence Center 18.02.2009 Agenda 1.! ISO 27001 Überblick 2.! Anforderungen

Mehr

Governance, Risk & Compliance für den Mittelstand

Governance, Risk & Compliance für den Mittelstand Governance, Risk & Compliance für den Mittelstand Die Bedeutung von Steuerungs- und Kontrollsystemen nimmt auch für Unternehmen aus dem Mittelstand ständig zu. Der Aufwand für eine effiziente und effektive

Mehr

IT-Security im Zeitalter von Industrie 4.0. -Eine Annäherung. Dr. Dirk Husfeld, genua mbh 15. April 2015

IT-Security im Zeitalter von Industrie 4.0. -Eine Annäherung. Dr. Dirk Husfeld, genua mbh 15. April 2015 IT-Security im Zeitalter von Industrie 4.0 -Eine Annäherung Dr. Dirk Husfeld, genua mbh 15. April 2015 Ein wolkiges Ziel cyberphysical systems Internet der Dinge machine 2 machine Smart Factory Industrie

Mehr

Sicherheitstechnische Qualifizierung (SQ), Version 10.0 Security Assurance Level SEAL-3

Sicherheitstechnische Qualifizierung (SQ), Version 10.0 Security Assurance Level SEAL-3 Die Zertifizierungsstelle der TÜV Informationstechnik GmbH bescheinigt hiermit dem Unternehmen Deutsche Telekom AG Products & Innovation T-Online-Allee 1 64295 Darmstadt für das IT-System Developer Garden

Mehr

IT-Sicherheit Risiken erkennen und behandeln. Hanau, 12.11.2014

IT-Sicherheit Risiken erkennen und behandeln. Hanau, 12.11.2014 IT-Sicherheit Risiken erkennen und behandeln Hanau, 12.11.2014 Agenda GAP-Analysis Schwachstellen finden Risk-Management - Risiken analysieren und bewerten TOMs - Technische und organisatorische Maßnahmen

Mehr

TÜV Rheinland. ISO 27001 / Aufbau eines ISMS

TÜV Rheinland. ISO 27001 / Aufbau eines ISMS TÜV Rheinland. ISO 27001 / Aufbau eines ISMS TÜV Rheinland i-sec GmbH / ISMS Kurze Unternehmensvorstellung Was ist ein ISMS (und was nicht)? Drei zentrale Elemente eines ISMS Die Phasen einer ISMS Implementierung

Mehr

Robert Grey, Symposium NLT / IT, Bautzen, 22. September 2015 Im Dschungel der IT-Sicherheitsrichtlinien Was sollten Energieversorgungsunternehmen

Robert Grey, Symposium NLT / IT, Bautzen, 22. September 2015 Im Dschungel der IT-Sicherheitsrichtlinien Was sollten Energieversorgungsunternehmen Robert Grey, Symposium NLT / IT, Bautzen, 22. September 2015 Im Dschungel der IT-Sicherheitsrichtlinien Was sollten Energieversorgungsunternehmen wissen? September 24, 2015 Slide 1 Über den Drucker ins

Mehr

Informationssicherheit in handlichen Päckchen ISIS12

Informationssicherheit in handlichen Päckchen ISIS12 Informationssicherheit in handlichen Päckchen ISIS12 Der praxistaugliche Sicherheitsstandard für kleine und mittelgroße Unternehmen IT-Trends Sicherheit, 20. April 2016 Referentin Claudia Pock Sales Managerin

Mehr

Organisatorische Einbindung eines Risikomanagementsystems in mittelständische Unternehmen

Organisatorische Einbindung eines Risikomanagementsystems in mittelständische Unternehmen Organisatorische Einbindung eines Risikomanagementsystems März 2002 Andreas Henking www.risk-sim.de 1 Einleitung Wichtiger Erfolgsfaktor bei der Einführung von Risikomanagementsystemen ist die richtige

Mehr

Datenschutz-Management

Datenschutz-Management Dienstleistungen Datenschutz-Management Datenschutz-Management Auf dem Gebiet des Datenschutzes lauern viele Gefahren, die ein einzelnes Unternehmen oft nur schwer oder erst spät erkennen kann. Deshalb

Mehr

EDV-Dienstleistung für Industrie und Handel

EDV-Dienstleistung für Industrie und Handel EDV-Dienstleistung für Industrie und Handel Wir vereinfachen Ihre Geschäftsprozesse Die Bedeutung der elektronischen Datenverarbeitung, insbesondere für Klein- und mittelständische Unternehmen, nimmt ständig

Mehr

Übersicht Kompakt-Audits Vom 01.05.2005

Übersicht Kompakt-Audits Vom 01.05.2005 Übersicht Kompakt-Audits Vom 01.05.2005 Bernhard Starke GmbH Kohlenstraße 49-51 34121 Kassel Tel: 0561/2007-452 Fax: 0561/2007-400 www.starke.de email: info@starke.de Kompakt-Audits 1/7 Inhaltsverzeichnis

Mehr

IT-Grundschutz nach BSI 100-1/-4

IT-Grundschutz nach BSI 100-1/-4 IT-Grundschutz nach BSI 100-1/-4 Marko Rogge www.marko-rogge.de www.leiner-denzer.com 100-1, 100-2, 100-3, 100-4 100-1 100-2 Managementsysteme für Informationssicherheit (ISMS, Information Security Management

Mehr

Das sichere Netz der KVen (SNK) Zertifizierung von Laboranwendungen im SNK

Das sichere Netz der KVen (SNK) Zertifizierung von Laboranwendungen im SNK SNK Zertifizierung von Laboranwendungen 25.06.2015 1 Das sichere Netz der KVen (SNK) Zertifizierung von Laboranwendungen im SNK KVTG - Workshop Laborkommunikation Jens Haufe, Kassenärztliche Bundesvereinigung

Mehr

Verordnungsdaten und Patientendatenbanken Datenschutz in Pharmaunternehmen

Verordnungsdaten und Patientendatenbanken Datenschutz in Pharmaunternehmen Verordnungsdaten und Patientendatenbanken Datenschutz in Pharmaunternehmen Datenschutz in Pharmaunternehmen Bei Pharmaunternehmen stehen neben der Verarbeitung eigener Personaldaten vor allem die Dokumentation

Mehr

Penetrationstest Intern Leistungsbeschreibung

Penetrationstest Intern Leistungsbeschreibung Schneider & Wulf EDV-Beratung 2013 Penetrationstest Intern Leistungsbeschreibung Schneider & Wulf EDV-Beratung GmbH & Co KG Im Riemen 17 64832 Babenhausen +49 6073 6001-0 www.schneider-wulf.de Einleitung

Mehr

Schon mal an den Notfall gedacht? Vorgaben und Handl ungs- Empfehlungen zur IT-Notfallvorsorge

Schon mal an den Notfall gedacht? Vorgaben und Handl ungs- Empfehlungen zur IT-Notfallvorsorge Schon mal an den Notfall gedacht? Vorgaben und Handl ungs- Empfehlungen zur IT-Notfallvorsorge Wozu IT-Notfallvorsorge? S k Schaden, der zum Konkurs des Unternehmens führt PENG! S limit vom Unternehmen

Mehr

BSI IT-GRUNDSCHUTZ 3.0: EINE PRAGMATISCHE VORGEHENSWEISE. Alternative Ansätze im Sicherheitsmanagement

BSI IT-GRUNDSCHUTZ 3.0: EINE PRAGMATISCHE VORGEHENSWEISE. Alternative Ansätze im Sicherheitsmanagement BSI IT-GRUNDSCHUTZ 3.0: EINE PRAGMATISCHE VORGEHENSWEISE Alternative Ansätze im Sicherheitsmanagement Knud Brandis Studium Rechtswissenschaft an der Universität Potsdam Master of Business Administration

Mehr

Cyber Security in der Stromversorgung

Cyber Security in der Stromversorgung 12. CIGRE/CIRED Informationsveranstaltung Cyber Security in der Stromversorgung Manuel Ifland Ziele dieses Vortrags Sie können sich ein Bild davon machen, welche Cyber Security Trends in der Stromversorgung

Mehr

Informationssicherheit als Outsourcing Kandidat

Informationssicherheit als Outsourcing Kandidat Informationssicherheit als Outsourcing Kandidat aus Kundenprojekten Frankfurt 16.06.2015 Thomas Freund Senior Security Consultant / ISO 27001 Lead Auditor Agenda Informationssicherheit Outsourcing Kandidat

Mehr

Personal- und Kundendaten Datenschutz in Werbeagenturen

Personal- und Kundendaten Datenschutz in Werbeagenturen Personal- und Kundendaten Datenschutz in Werbeagenturen Datenschutz in Werbeagenturen Bei Werbeagenturen stehen neben der Verarbeitung eigener Personaldaten vor allem die Verarbeitung von Kundendaten von

Mehr

IT Security Investments 2003

IT Security Investments 2003 Grafische Auswertung der Online-Befragung IT Security Investments 2003 1) Durch welche Vorfälle wurde die IT-Sicherheit Ihres Unternehmens / Ihrer Organisation im letzten Jahr besonders gefährdet beziehungsweise

Mehr

IT-Grundschutz Informationssicherheit ohne Risiken und Nebenwirkungen

IT-Grundschutz Informationssicherheit ohne Risiken und Nebenwirkungen IT-Grundschutz Informationssicherheit ohne Risiken und Nebenwirkungen Bundesamt für Sicherheit in der Informationstechnik Grundlagen der Informationssicherheit und IT-Grundschutz IT-Grundschutz-Tag 09.10.2013

Mehr

ITSM-Health Check: die Versicherung Ihres IT Service Management. Christian Köhler, Service Manager, Stuttgart, 03.07.2014

ITSM-Health Check: die Versicherung Ihres IT Service Management. Christian Köhler, Service Manager, Stuttgart, 03.07.2014 : die Versicherung Ihres IT Service Management Christian Köhler, Service Manager, Stuttgart, 03.07.2014 Referent Christian Köhler AMS-EIM Service Manager Geschäftsstelle München Seit 2001 bei CENIT AG

Mehr

IT-Sicherheit in der Energiewirtschaft

IT-Sicherheit in der Energiewirtschaft IT-Sicherheit in der Energiewirtschaft Sicherer und gesetzeskonformer IT-Systembetrieb Dr. Joachim Müller Ausgangssituation Sichere Energieversorgung ist Voraussetzung für das Funktionieren unseres Gemeinwesens

Mehr

ITK Sicherheitsgesetz Umsetzung mit verinice.pro. verinice.xp- Grundschutztag 15.09.2015

ITK Sicherheitsgesetz Umsetzung mit verinice.pro. verinice.xp- Grundschutztag 15.09.2015 ITK Sicherheitsgesetz Umsetzung mit verinice.pro verinice.xp- Grundschutztag 15.09.2015 Überblick Kurze Vorstellung des IT-Sicherheitsgesetzes Konkretisierung des Gesetzes für Energieversorger Abbildung

Mehr

Embedded Systems. Sicherheit und Zuverlässigkeit in einer automatisierten und vernetzten Welt

Embedded Systems. Sicherheit und Zuverlässigkeit in einer automatisierten und vernetzten Welt Embedded Systems Sicherheit und Zuverlässigkeit in einer automatisierten und vernetzten Welt Intelligente Embedded Systems revolutionieren unser Leben Embedded Systems spielen heute in unserer vernetzten

Mehr

Sicherheitstechnische Qualifizierung (SQ), Version 9.0

Sicherheitstechnische Qualifizierung (SQ), Version 9.0 Die Zertifizierungsstelle der TÜV Informationstechnik GmbH bescheinigt hiermit dem Unternehmen Atos Worldline GmbH Hahnstraße 25 60528 Frankfurt/Main für das PIN Change-Verfahren Telefonbasierte Self Selected

Mehr

27001 im Kundendialog. ISO Wertschätzungsmanagement. Wie Wertschätzung profitabel macht und den Kunden glücklich

27001 im Kundendialog. ISO Wertschätzungsmanagement. Wie Wertschätzung profitabel macht und den Kunden glücklich ISO 27001 im Kundendialog Informationssicherheit intern und extern organisieren Juni 2014 Was steckt hinter der ISO/IEC 27001:2005? Die internationale Norm ISO/IEC 27001:2005 beschreibt ein Modell für

Mehr

QI SERVICES. QI RISK.

QI SERVICES. QI RISK. QI SERVICES. QI RISK. 3/7/2014 1 Agenda QI Services Qi Risk Rechtliches Umfeld QI Risk Audit Auf einen Blick Ihr Nutzen Risk Scan 3/7/2014 2 QI Services Mit der Produktgruppe QI Services unterstützen wir

Mehr

20 Jahre IT-Grundschutz Zeit für eine Modernisierung und Die neuen Vorgehensweisen. Holger Schildt IT-Grundschutz und Allianz für Cyber-Sicherheit

20 Jahre IT-Grundschutz Zeit für eine Modernisierung und Die neuen Vorgehensweisen. Holger Schildt IT-Grundschutz und Allianz für Cyber-Sicherheit 20 Jahre IT-Grundschutz Zeit für eine Modernisierung und Die neuen Vorgehensweisen Holger Schildt IT-Grundschutz und Allianz für Cyber-Sicherheit Agenda 1. Einleitung und Motivation 2. Vorgehensweisen

Mehr

Normenkonformer Betrieb medizinischer IT-Netzwerke neue Aufgaben des IT- Peter Grünberger 07.03.2012

Normenkonformer Betrieb medizinischer IT-Netzwerke neue Aufgaben des IT- Peter Grünberger 07.03.2012 Normenkonformer Betrieb medizinischer IT-Netzwerke neue Aufgaben des IT- Systemlieferanten Peter Grünberger 07.03.2012 Vorstellung COMPAREX COMPAREX versteht sich als unabhängiger IT Lösungsanbieter 2000

Mehr

Sicherheitsbewertungsbericht

Sicherheitsbewertungsbericht Sicherheitsbewertungsbericht auf Basis der "Verordnung (EG) Nr. 352/2009 der Kommission vom 24. April 2009 über die Festlegung einer gemeinsamen Sicherheitsmethode für die Evaluierung und Bewertung von

Mehr

Smart Grids Security Assessment im Bereich der Netzführung

Smart Grids Security Assessment im Bereich der Netzführung Einleitung Die Stadtwerke Schwäbisch Hall führen für zahlreiche Kunden Netzführungen als Dienstleistung zentral durch und schlagen diesen Wachstumspfad erfolgreich weiter ein. Deshalb entschlossen sich

Mehr

Account Information Security Programme - Allgemeine Informationen -

Account Information Security Programme - Allgemeine Informationen - Account Information Security Programme - Allgemeine Informationen - Neue Sicherheitsstandards für die Aufbewahrung und Weiterverarbeitung sensibler Karteninhaberdaten Kreditkartenzahlungen erfreuen sich

Mehr

Industrial IT Security

Industrial IT Security Industrial IT Security Herausforderung im 21. Jahrhundert INNOVATIONSPREIS-IT www.koramis.de IT-SECURITY Industrial IT Security zunehmend wichtiger Sehr geehrter Geschäftspartner, als wir in 2005 begannen,

Mehr

MK advisory. Unternehmens Check

MK advisory. Unternehmens Check Unternehmens Check Management und Corporate Finance Beratung Interim Finance Professionals Löwengrube 10 80333 München tel: + 49 89 288 90-150 fax + 49 89 99 01 84-91 mail: info@mk-.de hp: www.mk-.de Leistungen

Mehr

SICHERHEITSANALYSE & PENTEST SCHWÄCHEN ERKENNEN HEISST STÄRKE GEWINNEN.

SICHERHEITSANALYSE & PENTEST SCHWÄCHEN ERKENNEN HEISST STÄRKE GEWINNEN. SICHERHEITSANALYSE & PENTEST SCHWÄCHEN ERKENNEN HEISST STÄRKE GEWINNEN. willkommen in sicherheit. 02...03 UNSER GEZIELTER ANGRIFF, IHRE BESTE VERTEIDIGUNG. Hackerangriffe sind eine wachsende Bedrohung

Mehr

IT-Grundschutz - Informationssicherheit ohne Risiken & Nebenwirkungen

IT-Grundschutz - Informationssicherheit ohne Risiken & Nebenwirkungen IT-Grundschutz - Informationssicherheit ohne Risiken & Nebenwirkungen Jonas Paulzen Bundesamt für Sicherheit in der Informationstechnik Grundlagen der Informationssicherheit und IT-Grundschutz 2. IT-Grundschutz-Tag

Mehr

Was muss ich noch für meine Zertifizierung tun, wenn meine Organisation. organisiert

Was muss ich noch für meine Zertifizierung tun, wenn meine Organisation. organisiert ? organisiert Was muss ich noch für meine Zertifizierung tun, wenn meine Organisation ist? Sie müssen ein QM-System: aufbauen, dokumentieren, verwirklichen, aufrechterhalten und dessen Wirksamkeit ständig

Mehr

Test GmbH Test 123 20555 Hamburg Hamburg

Test GmbH Test 123 20555 Hamburg Hamburg Test GmbH Test 123 20555 Hamburg Hamburg 29.07.2015 Angaben zum Unternehmen Unternehmensdaten Unternehmen Test GmbH Adresse Test 123 20555 Hamburg Hamburg Internetadresse http://www.was-acuh-immer.de Tätigkeitsangaben

Mehr

Kurzprofil - Anforderungen an ein geprüftes Rechenzentrum

Kurzprofil - Anforderungen an ein geprüftes Rechenzentrum Kurzprofil - Anforderungen an ein geprüftes Rechenzentrum Stufe 3 tekplus Hochverfügbarkeit 24x7 Kurzprofil Rechenzentrum Stufe 3 tekplus Hochverfügbarkeit der tekit Consult Bonn GmbH TÜV Saarland Gruppe

Mehr

ESA SECURITY MANAGER. Whitepaper zur Dokumentation der Funktionsweise

ESA SECURITY MANAGER. Whitepaper zur Dokumentation der Funktionsweise ESA SECURITY MANAGER Whitepaper zur Dokumentation der Funktionsweise INHALTSVERZEICHNIS 1 Einführung... 3 1.1 Motivation für den ESA Security Manager... 3 1.2 Voraussetzungen... 3 1.3 Zielgruppe... 3 2

Mehr

Notfallmanagement nach BS25999 oder BSI-Standard 100-4

Notfallmanagement nach BS25999 oder BSI-Standard 100-4 Notfallmanagement nach BS25999 oder BSI-Standard 100-4 Karner & Schröppel Partnerschaft Sachverständige für Informationssicherheit und Datenschutz Unser Konzept Informationssicherheit und Datenschutz als

Mehr

Business Continuity Management - Ganzheitlich. ein anderer Ansatz. 17.10.2014 itmcp it Management Consulting & Projekte

Business Continuity Management - Ganzheitlich. ein anderer Ansatz. 17.10.2014 itmcp it Management Consulting & Projekte - Ganzheitlich ein anderer Ansatz 1 Was ist das? Unvorhergesehen Wie konnte das passieren? Alles läuft gut Bei Ihrem Auto sorgen Sie durch rechtzeitigen Kundendienst vor 2 Was ist das? Kerngesunde, liquide

Mehr

Zertifizierung IT-Sicherheitsbeauftragter

Zertifizierung IT-Sicherheitsbeauftragter Zertifizierung IT-Sicherheitsbeauftragter Prof. Jürgen Müller Agenda Begrüßung Gefährdungen und Risiken Sicherheitsanforderungen und Schutzbedarf Live-Hacking Rechtliche Aspekte der IT- Sicherheit Vorgaben

Mehr

Die Beurteilung normativer Managementsysteme

Die Beurteilung normativer Managementsysteme Die Beurteilung normativer Managementsysteme Hanspeter Ischi, Leiter SAS 1. Ziel und Zweck Um die Vertrauenswürdigkeit von Zertifikaten, welche durch akkreditierte Zertifizierungsstellen ausgestellt werden,

Mehr

Prüfung Netzwerk. Sicherheitslücken im IT-Verbund

Prüfung Netzwerk. Sicherheitslücken im IT-Verbund Prüfung Netzwerk Sicherheitslücken im IT-Verbund Prüfung Netzwerk Netzwerke Router und Switche stellen das Rückgrat jeder Kommunikation in Unternehmen dar. Diese werden bei Prüfungen oft vernachlässigt

Mehr

Personal- und Kundendaten Datenschutz im Einzelhandel

Personal- und Kundendaten Datenschutz im Einzelhandel Personal- und Kundendaten Datenschutz im Einzelhandel Datenschutz im Einzelhandel Im Einzelhandel stehen neben der datenschutzkonformen Speicherung eigener Personaldaten vor allem die Verarbeitung von

Mehr

Beraten statt prüfen Behördlicher Datenschutzbeauftragter

Beraten statt prüfen Behördlicher Datenschutzbeauftragter Beraten statt prüfen Behördlicher Datenschutzbeauftragter Bestellpflicht zum Datenschutzbeauftragten Nach den Vorgaben aller Landesdatenschutzgesetze müssen öffentliche Stellen des Landes grundsätzlich

Mehr

International anerkannter Standard für IT-Sicherheit: ISO27001 - Umsetzung und Zertifizierung auf der Basis von BSI Grundschutz

International anerkannter Standard für IT-Sicherheit: ISO27001 - Umsetzung und Zertifizierung auf der Basis von BSI Grundschutz AUTOMOTIVE INFOKOM VERKEHR & UMWELT LUFTFAHRT RAUMFAHRT VERTEIDIGUNG & SICHERHEIT International anerkannter Standard für IT-Sicherheit: ISO27001 - Umsetzung und Zertifizierung auf der Basis von BSI Grundschutz

Mehr

Weisungen des Bundesrates über die IKT-Sicherheit in der Bundesverwaltung

Weisungen des Bundesrates über die IKT-Sicherheit in der Bundesverwaltung Weisungen des Bundesrates über die IKT-Sicherheit in der Bundesverwaltung vom 14. August 2013 Der Schweizerische Bundesrat erlässt folgende Weisungen: 1 Allgemeine Bestimmungen 1.1 Gegenstand Diese Weisungen

Mehr

Dieter Brunner ISO 27001 in der betrieblichen Praxis

Dieter Brunner ISO 27001 in der betrieblichen Praxis Seite 1 von 6 IT-Sicherheit: die traditionellen Sichtweise Traditionell wird Computer-Sicherheit als technisches Problem gesehen Technik kann Sicherheitsprobleme lösen Datenverschlüsselung, Firewalls,

Mehr

A u f b a u u n d O r g a n i s a t i o n s- s t r u k t u r I n f o r m a t i o n s s i c h e r- h e i t i n G e m e i n d e n

A u f b a u u n d O r g a n i s a t i o n s- s t r u k t u r I n f o r m a t i o n s s i c h e r- h e i t i n G e m e i n d e n Anleitung A u f b a u u n d O r g a n i s a t i o n s- s t r u k t u r I n f o r m a t i o n s s i c h e r- h e i t i n G e m e i n d e n Inhalt 1 Einleitung... 2 2 Zweck der Informationssicherheitsorganisation...

Mehr

IT-Security Portfolio

IT-Security Portfolio IT-Security Portfolio Beratung, Projektunterstützung und Services networker, projektberatung GmbH Übersicht IT-Security Technisch Prozesse Analysen Beratung Audits Compliance Bewertungen Support & Training

Mehr

SAP/IS-U Einführung. e.on Mitte AG. Stand 10.02.2009, Version 1.0

SAP/IS-U Einführung. e.on Mitte AG. Stand 10.02.2009, Version 1.0 SAP/IS-U Einführung e.on Mitte AG Stand 10.02.2009, Version 1.0 Projektziel Ziel des Projekts war die Analyse und Dokumentation der SAP/IS-U relevanten Geschäftsprozesse in den einzelnen Fachabteilungen

Mehr

Audits und Assessments als Mittel zur Risk Mitigation in der Aviatik. Helmut Gottschalk. AeroEx 2012 1

Audits und Assessments als Mittel zur Risk Mitigation in der Aviatik. Helmut Gottschalk. AeroEx 2012 1 1 Audits und Assessments als Mittel zur Risk Mitigation in der Aviatik Helmut Gottschalk AeroEx 2012 1 Agenda Definitionen Assessments in der Aviatik Audits in der Aviatik Interne Audits im Risk Management

Mehr

Strategien und Konzepte des Facility Management Sourcing fmpro Fachtagung, 22.April 2015

Strategien und Konzepte des Facility Management Sourcing fmpro Fachtagung, 22.April 2015 Strategien und Konzepte des Facility Sourcing fmpro Fachtagung, 22.April 2015 Institut für Facility an der ZHAW Ronald Schlegel 1 Facility in erfolgreichen Unternehmen Erfolgreiche Unternehmen sind in

Mehr

IT-Governance. Standards und ihr optimaler Einsatz bei der. Implementierung von IT-Governance

IT-Governance. Standards und ihr optimaler Einsatz bei der. Implementierung von IT-Governance IT-Governance Standards und ihr optimaler Einsatz bei der Implementierung von IT-Governance Stand Mai 2009 Disclaimer Die Inhalte der folgenden Seiten wurden von Severn mit größter Sorgfalt angefertigt.

Mehr

Qualitäts- Managementhandbuch (QMH) DIN EN ISO 9001 : 2008 (ohne Entwicklung) von. Margot Schön Burgbühl 11 88074 Meckenbeuren

Qualitäts- Managementhandbuch (QMH) DIN EN ISO 9001 : 2008 (ohne Entwicklung) von. Margot Schön Burgbühl 11 88074 Meckenbeuren Qualitäts- Managementhandbuch (QMH) DIN EN ISO 9001 : 2008 (ohne Entwicklung) von Margot Schön Die Einsicht Führung des IMS-Handbuches ist EDV-technisch verwirklicht. Jeder Ausdruck unterliegt nicht dem

Mehr

LGA InterCert GmbH Nürnberg. Exzellente Patientenschulung. (c) Fachreferent Gesundheitswesen Martin Ossenbrink

LGA InterCert GmbH Nürnberg. Exzellente Patientenschulung. (c) Fachreferent Gesundheitswesen Martin Ossenbrink LGA InterCert GmbH Nürnberg Exzellente Patientenschulung 05.06.2012 Inhaltsverzeichnis Kurzvorstellung LGA InterCert GmbH Ablauf Zertifizierungsverfahren Stufe 1 Audit Stufe 2 Audit Überwachungs- und Re-zertifizierungsaudits

Mehr

IT-Security Portfolio

IT-Security Portfolio IT-Security Portfolio Beratung, Projektunterstützung und Services networker, projektberatung GmbH ein Unternehmen der Allgeier SE / Division Allgeier Experts Übersicht IT-Security Technisch Prozesse Analysen

Mehr

Medizintechnik und Informationstechnologie im Krankenhaus. Dr. Andreas Zimolong

Medizintechnik und Informationstechnologie im Krankenhaus. Dr. Andreas Zimolong Medizintechnik und Informationstechnologie im Krankenhaus Dr. Andreas Zimolong DIN EN 80001-1:2011 Anwendung des Risikomanagements für IT-Netzwerke, die Medizinprodukte beinhalten Teil 1: Aufgaben, Verantwortlichkeiten

Mehr

Erläuterungen zur Untervergabe von Instandhaltungsfunktionen

Erläuterungen zur Untervergabe von Instandhaltungsfunktionen Zentrale Erläuterungen zur Untervergabe von Instandhaltungsfunktionen Gemäß Artikel 4 der Verordnung (EU) 445/2011 umfasst das Instandhaltungssystem der ECM die a) Managementfunktion b) Instandhaltungsentwicklungsfunktion

Mehr

PARNDORF DESIGNER OUTLET Arbeits- und Gesundheitsschutz-Strategie Verbesserung des Kundenerlebnisses. Version 3 2012-2013

PARNDORF DESIGNER OUTLET Arbeits- und Gesundheitsschutz-Strategie Verbesserung des Kundenerlebnisses. Version 3 2012-2013 PARNDORF DESIGNER OUTLET Arbeits- und Gesundheitsschutz-Strategie Verbesserung des Kundenerlebnisses Version 3 2012-2013 Erklärung des Vorstands Die Herausforderung ist es, eine langfristige und nachhaltige

Mehr

BSI-IGZ-0052-2009. zum. Phoenix Videokonferenzsystem. der. Phoenix Software GmbH

BSI-IGZ-0052-2009. zum. Phoenix Videokonferenzsystem. der. Phoenix Software GmbH zum Phoenix Videokonferenzsystem der Phoenix Software GmbH BSI - Bundesamt für Sicherheit in der Informationstechnik, Postfach 20 03 63, D-53133 Bonn Telefon +49 (0)228 9582-0, Fax +49 (0)228 9582-5477,

Mehr

IBS - Smart Repair. Risiken in Ihrem IT- oder SAP -System? IBS - Smart Repair bietet Ihnen schnelle und kostengünstige Hilfestellung!

IBS - Smart Repair. Risiken in Ihrem IT- oder SAP -System? IBS - Smart Repair bietet Ihnen schnelle und kostengünstige Hilfestellung! IBS - Smart Repair Risiken in Ihrem IT- oder SAP -System? IBS - Smart Repair bietet Ihnen schnelle und kostengünstige Hilfestellung! Festpreis (Nach individueller Bedarfsanalyse) www.ibs-schreiber.de IBS

Mehr

Sicherheit integrierter Gebäudesysteme - Bedrohungsszenarien, Lösungsansätze - Markus Ullmann

Sicherheit integrierter Gebäudesysteme - Bedrohungsszenarien, Lösungsansätze - Markus Ullmann Sicherheit integrierter Gebäudesysteme - Bedrohungsszenarien, Lösungsansätze - Markus Ullmann Bundesamt für Sicherheit in der Informationstechnik (BSI) Connected Living 2013 Agenda Studie: Integrierte

Mehr

Sicherheitsrichtlinie für das Outsourcing von IT-Leistungen. - Beispiel -

Sicherheitsrichtlinie für das Outsourcing von IT-Leistungen. - Beispiel - Sicherheitsrichtlinie für das Outsourcing von IT-Leistungen - Beispiel - Stand: Juni 2004 INHALTSVERZEICHNIS 1 EINLEITUNG... 2 2 GELTUNGSBEREICH... 2 3 AUSWAHL EINES OUTSOURCING-DIENSTLEISTERS... 3 4 VERTRAGSSPEZIFISCHE

Mehr

Audits und Assessments als Mittel zur Risk Mitigation in der Aviatik. Joel Hencks

Audits und Assessments als Mittel zur Risk Mitigation in der Aviatik. Joel Hencks Audits und Assessments als Mittel zur Risk Mitigation in der Aviatik Joel Hencks AeroEx 2012 1 1 Agenda Assessments in der Aviatik Audits in der Aviatik Interne Audits im Risk Management Management System

Mehr

I n f o r m a t i o n s s i c h e r h e i t i n G e m e i n d e n B e v ö l k e r u n g s z a h l < 6 000

I n f o r m a t i o n s s i c h e r h e i t i n G e m e i n d e n B e v ö l k e r u n g s z a h l < 6 000 Leitfaden I n f o r m a t i o n s s i c h e r h e i t i n G e m e i n d e n B e v ö l k e r u n g s z a h l < 6 000 Inhalt 1 Einleitung... 2 2 Übersicht Dokumente... 2 3 Umsetzung der Anforderungen an

Mehr

IT-NOTFALL ÜBEN MACHT STARK! PERSICON@night 15. Oktober 2015

IT-NOTFALL ÜBEN MACHT STARK! PERSICON@night 15. Oktober 2015 IT-NOTFALL ÜBEN MACHT STARK! PERSICON@night 15. Oktober 2015 Agenda 1. IT-Notfall üben macht stark! 2. Übungen im Kontext des Notfallmanagements 3. Praxisbeispiel einer Notfallübung 4. Erkenntnisse aus

Mehr

Einführung eines ISMS an Hochschulen Praxisbericht: Informationssicherheitsmanagement am KIT

Einführung eines ISMS an Hochschulen Praxisbericht: Informationssicherheitsmanagement am KIT Einführung eines ISMS an Hochschulen Praxisbericht: Informationssicherheitsmanagement am KIT STEINBUCH CENTRE FOR COMPUTING - SCC KIT University of the State of Baden-Wuerttemberg and National Research

Mehr

Sicherheitsnachweise für elektronische Patientenakten

Sicherheitsnachweise für elektronische Patientenakten Copyright 2000-2011, AuthentiDate International AG Sicherheitsnachweise für elektronische Patientenakten Christian Schmitz Christian Schmitz Copyright 2000-2011, AuthentiDate International AG Seite 2 Systemziele

Mehr

Neu erstellen!!! Wenigstens das Deckblatt erscheint fehlerfrei IT-Sicherheitsbeauftragter

Neu erstellen!!! Wenigstens das Deckblatt erscheint fehlerfrei IT-Sicherheitsbeauftragter und Nutzung der Wenigstens das Deckblatt erscheint fehlerfrei IT-Sicherheitsbeauftragter Neu erstellen!!! I3 - Gruppe IT-Sicherheit und Cyber Defence IT-Sicherheit in der Folie 1 und Nutzung in der Bundesamt

Mehr