Schwachstellen. Es sind häufig die gleichen SPEZIAL. Industrial Security. Wie gut ist Ihr Krisenmanagement?

Größe: px
Ab Seite anzeigen:

Download "Schwachstellen. Es sind häufig die gleichen SPEZIAL. Industrial Security. Wie gut ist Ihr Krisenmanagement?"

Transkript

1 SPEZIAL Internationalisierung Chancen und Risiken für den Mittelstand Sicherheitsmanagement Anmeldungen bis Wie gut ist Ihr Krisenmanagement? Industrial Security Es sind häufig die gleichen» er ell bu üb ustri mge u ind IT-SICHERHEITSCLUSTER: IT SICHERHEIT AM DONAUSTRAND Schwachstellen hl, u tk r ö t i s S ÜD en be sa om TÜV S nalys erung h u a.t ko Ste en i Dr s Ri en ng

2 COVERSTORY Industrial Security Es sind häufig die gleichen Schwachstellen Anlagen für die Industrielle Automation und Leittechnik sind zunehmend Ziel von Cyber-Attacken. Roland Fiat und Dr. Kai Wollenweber vom TÜV SÜD sprechen mit it management darüber, wie sich Unternehmen gegen solche Angriffe schützen können. g Ulrich Parthier: Die Cyber-Attacken auf industrielle Umgebungen haben in letzter Zeit zugenommen. Wo sehen Sie die Gründe dafür? f Dr. Kai Wollenweber: Viele der Cyber-Attacken sind erfolgreich, weil die Software Schwachstellen aufweist, die zum Teil sehr leicht ausgenutzt werden können, und weil notwendige IT-Security-Prozesse im Rahmen der Entwicklung und Nutzung der Software fehlen. Schon im Entwicklungsprozess der Software muss die Qualität bezüglich der Security also dem Schutz gegen Angriffe deutlich verbessert werden. g Ulrich Parthier: Wie kann Security in den Entwicklungsprozess von Software integriert werden? f Roland Fiat: Ganz wesentlich ist, dass Security-Verantwortlichkeiten im ganzen Unternehmen und in den zu realisierenden Projekten eindeutig definiert sein müssen. Security-Maßnahmen und daraus resultierende Zeit- und Kostenaufwände sind entsprechend zu planen. Die Maßnahmen umfassen unter anderem eine Bedrohungs- und Risikoanalyse, die Ableitung zu implementierender Security-Anforderungen, die Berücksichtigung von Programmierrichtlinien sowie die Verifikation und Validierung insbesondere das Testen der realisierten Security-Funktionen. g Ulrich Parthier: Gibt es Standards, die entsprechende Vorgaben für den Entwicklungsprozess machen? Gerade auch für die Entwicklung von Produkten, die in der Industriellen Automation und der Leittechnik eingesetzt werden? f Dr. Kai Wollenweber: Ja, zum Beispiel den IEC Der IEC ist ein internationaler Standard, der speziell die Security für Industrial Control Systems (ICS) abdeckt. Er ist zwar noch lange nicht ausgereift, bietet aber schon eine gute Basis für die Entwicklung von Produkten. Bei TÜV SÜD haben wir uns für die Standardfamilie IEC als Grundlage unserer international ausgerichteten Arbeit entschieden und damit gute Erfahrungen gesammelt. Die Standardfamilie zieht eine ganzheitliche Betrachtungsweise heran ausgehend von einem IT Security Management System beim Betreiber eines ICS, über die Entwicklung, Integration und Wartung eines ICS bis zu den einzelnen Produkten/Komponenten, aus denen ein ICS aufgebaut ist. Speziell der erwähnte IEC stellt Security-Anforderungen an die Entwicklungsumgebung und den Entwicklungsprozess. g Ulrich Parthier: Wie werden die Anforderungen des IEC in der Praxis umgesetzt? f Roland Fiat: Wir unterstützen unsere Kunden durch Trainings, Audits und Beratung bei der Verbesserung ihrer Entwicklungsprozesse. Dabei ist es nicht wichtig, welches Vorgehensmodell wie etwa das V-Modell oder SCRUM verwendet wird. Im Mittelpunkt steht die Frage, ob Security-Aspekte in den unterschiedlichen Entwicklungsphasen berücksichtigt werden. So müssen beispielsweise am Anfang eines Projektes die Security-Anforderungen auf Basis einer Bedrohungs- und Risikoanalyse definiert werden. Aus den Anforderungen werden umzusetzende Security-Funktionen abgeleitet, die in die Ar- 4 JULI-AUGUST 2014

3 IT-SECURITY SPEZIAL Wesentlich ist, dass Security-Verantwortlichkeiten im ganzen Unternehmen und in den zu realisierenden Projekten eindeutig definiert und Security-Maßnahmen und daraus resultierende Zeit- und Kostenaufwände sollten entsprechend chitektur und das Design der Software aufzunehmen und zu beschreiben sind. Natürlich müssen auch Security-Tests definiert, durchgeführt und ausreichend dokumentiert werden. Der IEC beschreibt gerade diese Security-Aspekte, die in den Entwicklungsprozess integriert sein müssen, um die Qualität bzw. die Güte des Entwicklungsgegenstandes hinsichtlich der Security gewährleisten zu können. Damit ist der IEC auch eine mögliche Grundlage für eine Zertifizierung. Dabei ist allerdings zu berücksichtigen, dass dieses Dokument derzeit noch nicht als internationaler Standard veröffentlicht ist. Wir bereiten aktuell die Zertifizierung von Produkten auf Basis der IEC vor, um den Herstellern die Erfüllung der Maßnahmen von unabhängiger Seite bescheinigen zu können. g Ulrich Parthier: Kann man die Secu- rity nur durch Prüfung eines Prozesses W W W. I T - D A I L Y. N E T nachweisen oder werden die Produkte selbst getestet? f Dr. Kai Wollenweber: Die Prüfung des Entwicklungsprozesses ist eine wesentliche Säule unserer Prüfarbeit. Ein Produkt kann und sollte jedoch auch unabhängig davon auf die Erfüllung der Security-Anforderungen getestet werden. Hier setzen wir CRT und Penetrationstests ein. Beim CRT (Communication Robustness Test) geht es darum, die Qualität der Implementierung von Kommunikationsprotokollen zu prüfen. Hierfür werden kaputte Pakete an das Testgerät geschickt und Lasttests durchgeführt. Beim Penetrationstest geht es darum, die Vorgehensweise eines potentiellen Angreifers nachzuahmen, um Schwachstellen aufzudecken. g Ulrich Parthier: Wenn man beim Auf- bau eines Steuerungssystems ausschließlich bezüglich Security zertifizierte Produkte einsetzt, erhält man dann automatisch ein IT-sicheres System? geplant werden. Roland Fiat, TÜV SÜD f Roland Fiat: Nein, dem ist nicht so. Die Security eines Systems hängt nicht nur von vorhandenen Security-Eigenschaften der einzelnen Komponenten, sondern ganz wesentlich von der Gesamtstruktur, den Kommunikationsverbindungen zwischen den Komponenten und den Konfigurationen der einzelnen Komponenten ab. Ein System muss daher in einem ganzheitlichen Ansatz analysiert werden. Aus den Ergebnissen der Analyse sind entsprechende Security-Anforderungen und -Maßnahmen für das System abzuleiten, um inakzeptable Gefahren und Risiken zu vermeiden und eine übergeordnete Risikominimierung zu erreichen. g Ulrich Parthier: Wie kann man ganze Systeme bezüglich der IT-Security analysieren? JULI-AUGUST

4 IT-MANAGEMENT Die Prüfung des Entwicklungsprozesses ist eine wesentliche Säule unserer Prüfarbeit. Ein Produkt kann und sollte Beim Penetrationstest wird die Vorgehensweise eines potentiellen Angreifers nachgeahmt, um Schwachstellen aufzudecken. f Dr. Kai Wollenweber: Dafür gibt es WEB-TIPP: erprobte Vorgehen und Methoden der Bedrohungs- und Risikoanalyse. Allerdings müssen diese auf die Umgebungen der industriellen Steuerungsanlagen angepasst werden. Hierzu macht der IEC bestimmte Vorschläge und beschreibt zum Beispiel ein Vorgehen für die Analyse. Klassisch wird auch hier das Risiko als Produkt von Schadenshöhe und Eintrittswahrscheinlichkeit definiert. Wichtig ist, dass man ein Team zusammenstellt, das bezüglich Analysemethodik, Safety und Security und der im Unternehmen etablierten Prozesse über ausreichendes Wissen verfügt, um belastbare Analysen durchführen zu können. Hier ist zusammenhängendes Wissen gefragt. Ein solches Team kann Analysen zunächst an kleineren Systemen vornehmen, daraus lernen, die Methodik verbessern und sukzessive komplexere Systeme untersuchen. g Ulrich Parthier: Kann man Wahr- scheinlichkeiten bei dieser abstrakten Thematik der Security sinnvoll abschätzen? f Roland Fiat: Die Abschätzung von Eintrittswahrscheinlichkeiten stellt im6 JULI-AUGUST 2014 mer ein Problem dar. Es liegen keine brauchbaren statistischen Daten vor, die man nutzen könnte. Und erschwerend kommt hinzu, dass statistische Daten wenig sinnhaft sind, da sich die Bedrohungslage ständig ändert und die erhobenen Daten keine oder nur eine unzureichende Aussagekraft besitzen. Zudem muss für die Erhebung der Daten ein Security Monitoring etabliert sein, um überhaupt Kenntnisse über Angriffsversuche gewinnen zu können. Ein Security Monitoring ist aber in industriellen Steuerungsanlagen meist gar nicht oder nur sehr rudimentär implementiert und wird oftmals erst dann implementiert, wenn diese Maßnahme im Rahmen der unabhängigen Security-Bewertung des Unternehmens bzw. der Systeme als notwendig erkannt wird. g Ulrich Parthier: Was sind die üblichen Schwachstellen, die Sie bei Ihren Security-Analysen in den Unternehmen vor Ort entdecken/identifizieren? f Dr. Kai Wollenweber: Es sind häufig die gleichen Schwachstellen, die in industriellen IT-Infrastrukturen vorfinden: Verwendung von zu schwachen bzw. voreingestellten Passwörtern, ungeschützte Fernwartung und Remo- jedoch auch unabhängig davon auf die Erfüllung der Security-Anforderungen getestet werden. Hier setzen wir CRT und Penetrationstests ein. Dr. Kai Wollenweber, TÜV SÜD te-access-zugänge, unkontrollierter Gebrauch von USB-Sticks, Einsatz von Engineering Workstations in unterschiedlichen IT-Infrastrukturen bei verschiedenen Unternehmen, ein zu flach strukturiertes IT-Netzwerk, in dem keine Defense-in-Depth -Strategie umgesetzt ist. Und ganz wichtig: Um Security nachhaltig umzusetzen, muss ein Management von IT-Security für industrielle Umgebungen definiert und gelebt werden. Aber genau das fehlt bei sehr vielen Unternehmen. Für uns ist das auch ein Hinweis, dass das Bewusstsein für Security im Management der Unternehmen noch nicht ausreichend vorhanden ist. Ulrich Parthier: Herr Wollenweber, Herr Fiat, wir danken für das Gespräch. W W W. I T - D A I L Y. N E T

5 Standard IEC Risikoanalyse industrieller Steuerungsumgebungen Anlagen für die industrielle Automatisierung und Leittechnik (im Folgenden Industrial Control System (ICS) genannt) sind zunehmend Cyber-Angriffen ausgesetzt. Diese Angriffsversuche bergen ein erhöhtes Risiko, da Anlagen für ein ICS vermehrt aus standardisierten Hardware- und Softwarekomponenten zusammengesetzt und vernetzt werden ie dadurch realisierte und gewünschte Offenheit des ICS erleichtert Angriffe und die Manipulationen der IT-Infrastruktur. Internationale Organisationen und Gremien haben auf diese gesteigerte Bedrohungslage reagiert. Standards zur IT-Sicherheit in ICS Umgebungen sind veröffentlicht oder aktuell in Erstellung. Ziel dieses Beitrags ist es, Ansätze einer Risikoanalyse für industrielle Umgebungen auf Basis des IEC darzustellen. Mit diesen Ansätzen sollen Schwachstellen systematisch identifiziert werden, um insbesondere auch Bedrohungen für Mensch und Umwelt vermeiden oder reduzieren zu können. D W W W. I T - D A I L Y. N E T Konzepte des Standards IEC Der Standard IEC umfasst vier Säulen, von denen die erste Säule (IEC x) die verwendeten Begriffe und Konzepte erläutert. In der zweiten Säule (IEC x) werden Vorgaben für ein IT Security-Managementsystem von ICS-Umgebungen beschrieben. Die dritte Säule (IEC x) definiert IT-Sicherheitsanforderungen an die IT-Infrastruktur der ICS-Umgebung sowie einen Workflow für die Risikoanalyse. In der vierten Säule (IEC x) werden Anforderungen an den Entwicklungsprozess der verwendeten ICS Komponenten erklärt. Die entwickelte Methodik zur Risikoanalyse verwendet die folgenden Konzepte bzw. Vorgehensweisen der IEC 62443: für eine Risikoanalyse nach Vorgehen IEC , Security for industrial automation and control systems: Part 3-2: Security risk assessment and system design, Draft 4 Edit 6, April 2013; Level nach IEC , Security Security for industrial automation and control systems, Part 3-3: System security requirements and security levels, Edition 1, August 2013; nach IEC , Se Zonierung curity for industrial automation and control systems: Part 3-2: Security risk assessment and system design, Draft 4 Edit 6, April 2013; JULI-AUGUST

6 COVERSTORY Weiterführende Informationen: ICS Security Handbook Security Check Training Die Buttons führen Sie in der epaper-version direkt zum Ziel. In der Printversion nutzen Sie bitte den QR Code. Risikomatrix für den Bereich Safety und Business: Eine wesentliche Vereinfachung ist das Ersetzen der Eintrittswahrscheinlichkeiten durch Security Levels, die als Maß für die Härtung des Systems vor Angriffen in der Analyse bestimmt werden müssen. Katalog von Security Requirements für ICS nach IEC , Security for industrial automation and control systems, Part 3-3: System security requirements and security levels, Edition 1, August Risikoanalyse auf Basis der IEC In IEC wird ein klassisches Vorgehen zur Risikoanalyse beschrieben. Weiter werden Hilfsmittel wie Klassen für Schaden, Eintrittswahrscheinlichkeit und Risiko. Ein für die Durchführung der Risikoanalyse notwendiger Bedrohungskatalog wird in der IEC nicht beschrieben. Entsprechende Bedrohungsszenarien benennt beispielsweise die VDMA-Studie Status Quo der Security In Produktion und Automation. Für die in der IEC beschriebene Risikoanalyse werden folgende Verbesserungen bzw. Ergänzungen vorgeschlagen: Eintrittswahrscheinlichkeit Eine Abschätzung von Eintrittswahrscheinlichkeiten ist in der Praxis nicht oder nur mit großen Unsicherheiten durchführbar, insbesondere für ICS- Umgebungen. Deshalb wird die Verwendung der sogenannten Security Levels (SL) anstatt der Eintrittswahrscheinlichkeiten vorgeschlagen (siehe IEC/TS , IEC ). Der vierstufige SL definiert die Stärke eines etwaigen Angreifers, wobei SL=4 die höchste Stufe darstellt. Soll das ICS gegen einen Angreifer mit einem bestimmten SL geschützt werden, so muss das System einen ausreichenden Widerstand gegenüber Angriffen dieser Stärke bieten. Umgekehrt bedeutet dies, dass die Wahrscheinlichkeit geringer ist, dass ein Angriff dieser Stärke zum Erfolg führt. Daher können SLs die Eintrittswahrscheinlichkeiten bei der Risikobetrachtung ersetzen. Safety und Bedrohungskatalog Die Bedrohungsszenarien müssen bzgl. der relevanten Anwendungsfälle des ICS identifiziert werden. Jedoch können durch Bedrohungen nicht nur die Schutzziele Verfügbarkeit, Integrität und Vertraulichkeit verletzt werden, sondern potentiell auch zu einer Kompromittierung von funktionalen Sicherheitsfunktionen (Safety Funktionen) führen. Entsprechend sind Bedrohungsszenarien für die operationelle- und Safety-Kontrollschleife zu betrachten. Zonierung Mit der Risikoanalyse für industrielle Umgebungen auf Basis des IEC sollen Schwachstellen systematisch identifiziert werden, um insbesondere auch Bedrohungen für Mensch und Umwelt vermeiden oder reduzieren zu können. Dr. Thomas Störtkuhl, TÜV SÜD Das Prinzip der Zonierung ist ein weiterer Ansatz, der im Standard IEC eingeführt wird und hier auch für die Risikoanalyse genutzt werden kann. Netzwerkzonierung stellt einen Defense-in-Depth-Ansatz auf Netzwerkebene dar, der zur Härtung des Gesamtsystems gegenüber Angriffen dient. Eine Anforderung ist zum Beispiel, dass das Safety Implemented System (SIS) in einer eigenen Zone implementiert sein muss, die von anderen Zonen geschützt ist. Die SIS-Zone kann in einer Risikoanalyse speziell hinsichtlich Schäden für Mensch und Umwelt (Health, Safety, Environment (HSE)) betrachtet werden. Hierzu kann ein Functional Safey Level (FSL) eingeführt werden, der ein Schadensmaß bzgl. der Safety darstellt und sich auf die ganze SIS-Zone bezieht. Beispielsweise kann der FSL als das Maximum über alle Safety Integrity Level (SIL) der in der Zone befindlichen Steuerungskomponenten definiert werden. Der IEC liefert Methoden und Ansätze eine Risikoanalyse von industrieller Automations- und Leittechnik. Die vorgestellten Anpassungen und Ergänzungen führen zu einer Analyse, die Schwachstellen bzgl. Security und Safety aufdecken. Die Ergebnisse dieser Analyse können wie in der Abbildung gezeigt, in zwei Risikomatrizen für Schäden hinsichtlich Business und Safety dargestellt werden. DR. THOMAS STÖRTKUHL, DR. KAI WOLLENWEBER 8 JULI-AUGUST 2014

Fachtagung Safety in Transportation Leitfaden für die IT Sicherheit auf Grundlage IEC 62443

Fachtagung Safety in Transportation Leitfaden für die IT Sicherheit auf Grundlage IEC 62443 Fachtagung Safety in Transportation Leitfaden für die IT Sicherheit auf Grundlage IEC 62443 DKE UK 351.3.7 Hans-Hermann Bock 1 Braunschweig, 06.11.2013 Anwendungsbereich der Vornorm (1) Diese Vornorm ist

Mehr

Sicherheit und Qualität digitaler Leittechnik eine wesentliche Voraussetzung für Kraftwerke der Zukunft

Sicherheit und Qualität digitaler Leittechnik eine wesentliche Voraussetzung für Kraftwerke der Zukunft Sicherheit und Qualität digitaler Leittechnik eine wesentliche Voraussetzung für Kraftwerke der Zukunft Dr. Guido Rettig Chairman of the Board TÜV NORD AG 1 Vertikale und horizontale Kommunikation in der

Mehr

Industrial IT Security in Embedded Systems - was leistet die Norm IEC 62443? von Dipl.-Ing. (FH) Sebastian Schmidt

Industrial IT Security in Embedded Systems - was leistet die Norm IEC 62443? von Dipl.-Ing. (FH) Sebastian Schmidt Industrial IT Security in Embedded Systems - was leistet die Norm IEC 62443? von Dipl.-Ing. (FH) Sebastian Schmidt Die Vernetzung von Computer Systemen macht auch vor industriellen Systemen nicht halt.

Mehr

Security for Safety in der Industrieautomation Konzepte und Lösungsansätze des IEC 62443

Security for Safety in der Industrieautomation Konzepte und Lösungsansätze des IEC 62443 Security for Safety in der Industrieautomation Konzepte und Lösungsansätze des IEC 62443 Roadshow INDUSTRIAL IT SECURITY Dr. Thomas Störtkuhl 18. Juni 2013 Folie 1 Agenda Einführung: Standard IEC 62443

Mehr

Systemen im Wandel. Autor: Dr. Gerd Frenzen Coromell GmbH Seite 1 von 5

Systemen im Wandel. Autor: Dr. Gerd Frenzen Coromell GmbH Seite 1 von 5 Das Management von Informations- Systemen im Wandel Die Informations-Technologie (IT) war lange Zeit ausschließlich ein Hilfsmittel, um Arbeitsabläufe zu vereinfachen und Personal einzusparen. Sie hat

Mehr

IT-Security Portfolio

IT-Security Portfolio IT-Security Portfolio Beratung, Projektunterstützung und Services networker, projektberatung GmbH Übersicht IT-Security Technisch Prozesse Analysen Beratung Audits Compliance Bewertungen Support & Training

Mehr

IT-Security Portfolio

IT-Security Portfolio IT-Security Portfolio Beratung, Projektunterstützung und Services networker, projektberatung GmbH ein Unternehmen der Allgeier SE / Division Allgeier Experts Übersicht IT-Security Technisch Prozesse Analysen

Mehr

4. Stuttgarter Sicherheitskongress: IT-Sicherheit in industriellen Anlagen

4. Stuttgarter Sicherheitskongress: IT-Sicherheit in industriellen Anlagen 4. Stuttgarter Sicherheitskongress: IT-Sicherheit in industriellen Anlagen Henning Sandfort Siemens AG, Sector Industry SIMATIC Produkt- & Systemmanagement Allgemeine Security-Bedrohungen in der Automatisierung

Mehr

Sicherheitstechnische Qualifizierung (SQ), Version 10.0 Security Assurance Level SEAL-5

Sicherheitstechnische Qualifizierung (SQ), Version 10.0 Security Assurance Level SEAL-5 Die Zertifizierungsstelle der TÜV Informationstechnik GmbH bescheinigt hiermit dem Unternehmen SLA Software Logistik Artland GmbH Friedrichstraße 30 49610 Quakenbrück für das IT-System Meat Integrity Solution

Mehr

Sicherheitstechnische Qualifizierung (SQ), Version 10.0 Security Assurance Level SEAL-3

Sicherheitstechnische Qualifizierung (SQ), Version 10.0 Security Assurance Level SEAL-3 Die Zertifizierungsstelle der TÜV Informationstechnik GmbH bescheinigt hiermit dem Unternehmen Deutsche Telekom AG Products & Innovation T-Online-Allee 1 64295 Darmstadt für das IT-System Developer Garden

Mehr

Embedded Systems. Sicherheit und Zuverlässigkeit in einer automatisierten und vernetzten Welt

Embedded Systems. Sicherheit und Zuverlässigkeit in einer automatisierten und vernetzten Welt Embedded Systems Sicherheit und Zuverlässigkeit in einer automatisierten und vernetzten Welt Intelligente Embedded Systems revolutionieren unser Leben Embedded Systems spielen heute in unserer vernetzten

Mehr

Security. Voice +41 (0)55 214 41 56 Fax +41 (0)55 214 41 57 Mobile +41 (0)79 336 56 76 E-Mail felix.widmer@tan-group.ch Web www.tan-group.

Security. Voice +41 (0)55 214 41 56 Fax +41 (0)55 214 41 57 Mobile +41 (0)79 336 56 76 E-Mail felix.widmer@tan-group.ch Web www.tan-group. Security Felix Widmer TCG Tan Consulting Group GmbH Hanflaenderstrasse 3 CH-8640 Rapperswil SG Voice +41 (0)55 214 41 56 Fax +41 (0)55 214 41 57 Mobile +41 (0)79 336 56 76 E-Mail felix.widmer@tan-group.ch

Mehr

Praxisgerechte Validierung von Sicherheitsapplikationen

Praxisgerechte Validierung von Sicherheitsapplikationen Praxisgerechte Validierung von Sicherheitsapplikationen Dr. Michael Huelke, FB Unfallverhütung Produktsicherheit, BGIA Institut für Arbeitsschutz der Deutschen Gesetzlichen Unfallversicherung, Sankt Augustin

Mehr

BCM Schnellcheck. Referent Jürgen Vischer

BCM Schnellcheck. Referent Jürgen Vischer BCM Schnellcheck Referent Jürgen Vischer ISO 9001 ISO 9001 Dokumentation - der Prozesse - der Verantwortlichen - Managementverantwortlichkeit - Verbesserungszyklus - Mitarbeiterschulung & Bewusstsein Datenschutz

Mehr

Modellbasierter Entwurf sicherheitskritischer Anwendungen. Von Moritz Borgmann Für VL Eingebettete Systeme Sommer Semester 2009

Modellbasierter Entwurf sicherheitskritischer Anwendungen. Von Moritz Borgmann Für VL Eingebettete Systeme Sommer Semester 2009 Modellbasierter Entwurf sicherheitskritischer Anwendungen Von Moritz Borgmann Für VL Eingebettete Systeme Sommer Semester 2009 Einführung Einführung Modellbasierter Entwurf und der IEC 61508 Ausblick Zusammenfassung,

Mehr

Die riskobehaftete Zone der Industrial Control Systeme

Die riskobehaftete Zone der Industrial Control Systeme Die riskobehaftete Zone der Industrial Control Systeme 1. Abstract Einführung in Safety Instrumented Systems (SIS) und deren Herausforderungen für die Security Erwin Kruschitz, IMI IT meets Industry, anapur

Mehr

T.I.S.P. Community Meeting 2013 Berlin, 04. - 05.11.2013. Werte- und prozessorientierte Risikoanalyse mit OCTAVE

T.I.S.P. Community Meeting 2013 Berlin, 04. - 05.11.2013. Werte- und prozessorientierte Risikoanalyse mit OCTAVE T.I.S.P. Community Meeting 2013 Berlin, 04. - 05.11.2013 Werte- und prozessorientierte Risikoanalyse mit OCTAVE Christian Aust.consecco Dr. Christian Paulsen DFN-CERT Was Sie erwartet Vorstellung von OCTAVE:

Mehr

Industrial IT Security

Industrial IT Security Industrial IT Security Herausforderung im 21. Jahrhundert INNOVATIONSPREIS-IT www.koramis.de IT-SECURITY Industrial IT Security zunehmend wichtiger Sehr geehrter Geschäftspartner, als wir in 2005 begannen,

Mehr

Transparenz mit System Qualität im IT-Management sichert wichtige Ressourcen und schafft Vertrauen

Transparenz mit System Qualität im IT-Management sichert wichtige Ressourcen und schafft Vertrauen IT-DIENST- LEISTUNGEN Transparenz mit System Qualität im IT-Management sichert wichtige Ressourcen und schafft Vertrauen TÜV SÜD Management Service GmbH IT-Prozesse bilden heute die Grundlage für Geschäftsprozesse.

Mehr

Sicherheitstechnische Qualifizierung (SQ), Version 10.0 Security Assurance Level SEAL-3

Sicherheitstechnische Qualifizierung (SQ), Version 10.0 Security Assurance Level SEAL-3 Die Zertifizierungsstelle der TÜV Informationstechnik GmbH bescheinigt hiermit dem Unternehmen RWE Effizienz GmbH Flamingoweg 1 44139 Dortmund für das IT-System RWE eoperate IT Services die Erfüllung aller

Mehr

CeBIT 17.03.2015. CARMAO GmbH 2014 1

CeBIT 17.03.2015. CARMAO GmbH 2014 1 CeBIT 17.03.2015 CARMAO GmbH 2014 1 HERZLICH WILLKOMMEN Applikationssicherheit beginnt lange bevor auch nur eine Zeile Code geschrieben wurde Ulrich Heun Geschäftsführender Gesellschafter der CARMAO GmbH

Mehr

Grundlagen des Datenschutzes und der IT-Sicherheit. Musterlösung zur 7. Übung im SoSe 2014: IT-Risikomanagement

Grundlagen des Datenschutzes und der IT-Sicherheit. Musterlösung zur 7. Übung im SoSe 2014: IT-Risikomanagement und der IT-Sicherheit Musterlösung zur 7. Übung im SoSe 2014: IT-Risikomanagement 7.1 Risikoportfolio Vertraulichkeit Aufgabe: Gegeben seien folgende Werte einer Sicherheitsanalyse eines IT-Systems hinsichtlich

Mehr

Security in der industriellen Automatisierung im aktuellen Kontext

Security in der industriellen Automatisierung im aktuellen Kontext Anna Palmin, Dr. Pierre Kobes /18 November 2014, KommA 2014 Security in der industriellen Automatisierung im aktuellen Kontext Restricted Siemens AG 20XX All rights reserved. siemens.com/answers Security

Mehr

IT Security: Erfahrungen aus der Praxis

IT Security: Erfahrungen aus der Praxis IT Security: Erfahrungen aus der Praxis Congress@it-sa Der sichere Hafen für Ihre Unternehmens IT 6. 8. Oktober 2015, München Rainer Arnold, Dr. Thomas Störtkuhl Der Wunsch der Industrie Folie 2 Robustheit

Mehr

IT Security: Anforderungen und Lösungen für Eisenbahnleit- und -sicherungstechnik

IT Security: Anforderungen und Lösungen für Eisenbahnleit- und -sicherungstechnik Lorem est dolor sunt 2014 Prof. Dr. Jens Braband IT Security: Anforderungen und Lösungen für Eisenbahnleit- und -sicherungstechnik siemens.com/answers Inhalt Security versus Safety 4 Security-Bedrohungen

Mehr

WHITEPAPER. ISO 27001 Assessment. Security-Schwachstellen und -Defizite erkennen

WHITEPAPER. ISO 27001 Assessment. Security-Schwachstellen und -Defizite erkennen WHITEPAPER ISO 27001 Assessment Security-Schwachstellen und -Defizite erkennen Standortbestimmung Ihrer Informationssicherheit basierend auf dem internationalen Standard ISO 27001:2013 ISO 27001 Assessment

Mehr

Sicherheitstechnische Qualifizierung (SQ), Version 10.0 Security Assurance Level SEAL-5

Sicherheitstechnische Qualifizierung (SQ), Version 10.0 Security Assurance Level SEAL-5 Die Zertifizierungsstelle der TÜV Informationstechnik GmbH bescheinigt hiermit dem Unternehmen e-netz Südhessen GmbH & Co. KG Dornheimer Weg 24 64293 Darmstadt für das IT System Querverbundleitstelle Darmstadt

Mehr

Risikobasierte Bewertung von Hilfsstoffen

Risikobasierte Bewertung von Hilfsstoffen Risikobasierte Bewertung von Hilfsstoffen Systematische Vorgehensweise beim Risikomanagement-Prozess (in Anlehnung an ICH Q9): Systematische Vorgehensweise beim Risikomanagement-Prozess (in Anlehnung an

Mehr

Information Security Policy für Geschäftspartner

Information Security Policy für Geschäftspartner safe data, great business. Information Security Policy für Geschäftspartner Raiffeisen Informatik Center Steiermark Raiffeisen Rechenzentrum Dokument Eigentümer Version 1.3 Versionsdatum 22.08.2013 Status

Mehr

Sicherheitstechnische Qualifizierung (SQ), Version 9.0

Sicherheitstechnische Qualifizierung (SQ), Version 9.0 Die Zertifizierungsstelle der TÜV Informationstechnik GmbH bescheinigt hiermit dem Unternehmen RWE Effizienz GmbH Freistuhl 7 44137 Dortmund für den Webshop RWE SmartHome Shop die Erfüllung aller Anforderungen

Mehr

Einführung eines ISMS nach ISO 27001:2013

Einführung eines ISMS nach ISO 27001:2013 Einführung eines ISMS nach ISO 27001:2013 VKU-Infotag: Anforderungen an die IT-Sicherheit (c) 2013 SAMA PARTNERS Business Solutions Vorstellung Olaf Bormann Senior-Consultant Informationssicherheit Projekterfahrung:

Mehr

Funktionale Sicherheit Testing unter

Funktionale Sicherheit Testing unter Funktionale Sicherheit Testing unter den Bedingungen der Safety Integrity Levels Präsentation auf dem Neu-Ulmer Test-Engineering Day Sebastian Stiemke, MissingLinkElectronics, Neu-Ulm 1 Inhalt Idee hinter

Mehr

International anerkannter Standard für IT-Sicherheit: ISO27001 - Umsetzung und Zertifizierung auf der Basis von BSI Grundschutz

International anerkannter Standard für IT-Sicherheit: ISO27001 - Umsetzung und Zertifizierung auf der Basis von BSI Grundschutz AUTOMOTIVE INFOKOM VERKEHR & UMWELT LUFTFAHRT RAUMFAHRT VERTEIDIGUNG & SICHERHEIT International anerkannter Standard für IT-Sicherheit: ISO27001 - Umsetzung und Zertifizierung auf der Basis von BSI Grundschutz

Mehr

Industrial Control Systems Security

Industrial Control Systems Security Industrial Control Systems Security Lerneinheit 4: Risk Assessment Prof. Dr. Christoph Karg Studiengang Informatik Hochschule Aalen Wintersemester 2013/2014 20.1.2014 Einleitung Einleitung Das Thema dieser

Mehr

ISMS und Sicherheitskonzepte ISO 27001 und IT-Grundschutz

ISMS und Sicherheitskonzepte ISO 27001 und IT-Grundschutz ISMS und Sicherheitskonzepte ISO 27001 und IT-Grundschutz Aufbau eines ISMS, Erstellung von Sicherheitskonzepten Bei jedem Unternehmen mit IT-basierenden Geschäftsprozessen kommt der Informationssicherheit

Mehr

Validierung von Software-Werkzeugen. Matthias Hölzer-Klüpfel

Validierung von Software-Werkzeugen. Matthias Hölzer-Klüpfel Validierung von Software-Werkzeugen Matthias Hölzer-Klüpfel Was ist Validierung ISO 9000:2000 Bestätigung durch Bereitstellung eines objektiven Nachweises, dass die Anforderungen für einen spezifischen

Mehr

IT-Grundschutz nach BSI 100-1/-4

IT-Grundschutz nach BSI 100-1/-4 IT-Grundschutz nach BSI 100-1/-4 Marko Rogge www.marko-rogge.de www.leiner-denzer.com 100-1, 100-2, 100-3, 100-4 100-1 100-2 Managementsysteme für Informationssicherheit (ISMS, Information Security Management

Mehr

Sicherheitstechnische Qualifizierung (SQ), Version 10.0 Security Assurance Level SEAL-3

Sicherheitstechnische Qualifizierung (SQ), Version 10.0 Security Assurance Level SEAL-3 Die Zertifizierungsstelle der TÜV Informationstechnik GmbH bescheinigt hiermit dem Unternehmen Agfa HealthCare GmbH Konrad-Zuse-Platz 1-3 53227 Bonn für das IT-System IMPAX/web.Access die Erfüllung aller

Mehr

IT-Risikomanagement Auf die Schwachstellen kommt es an! Michael Haack 11. Februar 2008

IT-Risikomanagement Auf die Schwachstellen kommt es an! Michael Haack 11. Februar 2008 Auf die Schwachstellen kommt es an! 11. Februar 2008 Was ist Risikomanagement? Gefahr, dass Ziele nicht erreicht werden können Im Alltag Gesundheit Finanzielle Sicherheit Familie Beispiele für Maßnahmen

Mehr

Risikoanalyse mit der OCTAVE-Methode

Risikoanalyse mit der OCTAVE-Methode Risikoanalyse mit der OCTAVE-Methode 07.05.2013 Dr. Christian Paulsen DFN-CERT Services GmbH Bedrohungslage Trends der Informationssicherheit: Hauptmotivation der Angreifer: Geld, Informationen Automatisierte

Mehr

Automotive SPiCE und IEC 61508 Synergie oder Widerspruch?

Automotive SPiCE und IEC 61508 Synergie oder Widerspruch? Safety Competence Center Vienna Automotive SPiCE und IEC 61508 Synergie oder Widerspruch? Pierre Metz, Gabriele Schedl copyright SYNSPACE, SCC fh campus wien All rights reserved Problemfelder Produktsicherheit

Mehr

industrial engineering Safety & Security integrierte Entwicklung www.ics-ag.de 1

industrial engineering Safety & Security integrierte Entwicklung www.ics-ag.de 1 industrial engineering Safety & Security integrierte Entwicklung 1 industrial engineering Profitieren Sie von unserer Erfahrung Sparen Sie sich teure und langwierige Ausbildungsprogramme und starten Sie

Mehr

Änderungen ISO 27001: 2013

Änderungen ISO 27001: 2013 Änderungen ISO 27001: 2013 Loomans & Matz AG August-Horch-Str. 6a, 55129 Mainz Deutschland Tel. +496131-3277 877; www.loomans-matz.de, info@loomans-matz.de Die neue Version ist seit Oktober 2013 verfügbar

Mehr

Informationssicherheit - Last oder Nutzen für Industrie 4.0

Informationssicherheit - Last oder Nutzen für Industrie 4.0 Informationssicherheit - Last oder Nutzen für Industrie 4.0 Dr. Dina Bartels Automatica München, 4.Juni 2014 Industrie braucht Informationssicherheit - die Bedrohungen sind real und die Schäden signifikant

Mehr

T.I.S.P. Community Meeting 2014 Berlin, 03. - 04.11.2014 Wie können wir sichere Systeme entwickeln?

T.I.S.P. Community Meeting 2014 Berlin, 03. - 04.11.2014 Wie können wir sichere Systeme entwickeln? T.I.S.P. Community Meeting 2014 Berlin, 03. - 04.11.2014 Wie können wir sichere Systeme entwickeln? Dr. Yun Ding Secorvo Security Consulting Ingenieurs-Ansatz für Sicherheit 06.11.2014 2 Bildquelle: khunaspix,

Mehr

Sicherheit als strategische Herausforderung. Antonius Sommer Geschäftsführer. TÜV Informationstechnik GmbH

Sicherheit als strategische Herausforderung. Antonius Sommer Geschäftsführer. TÜV Informationstechnik GmbH TÜV Informationstechnik GmbH Langemarckstraße 20 45141 Essen, Germany Phone: +49-201-8999-401 Fax: +49-201-8999-888 Email: A.sommer@tuvit.de Web: www.tuvit.de Sicherheit als strategische Herausforderung

Mehr

Security Audits. Ihre IT beim TÜV

Security Audits. Ihre IT beim TÜV Security Audits Ihre IT beim TÜV Thinking Objects GmbH Leistungsstark. Sicher. Nachhaltig. Gegründet 1994 inhabergeführt Hauptsitz Stuttgart Kompetenter IT-Dienstleister und Systemintegrator Schwerpunkte:

Mehr

Funktionale Sicherheit in Automotive und Luftfahrt (ISO26262 und DO 178BC) Otto Alber, Peter Wittmann 09.10.2013

Funktionale Sicherheit in Automotive und Luftfahrt (ISO26262 und DO 178BC) Otto Alber, Peter Wittmann 09.10.2013 Funktionale Sicherheit in Automotive und Luftfahrt (ISO26262 und DO 178BC) Otto Alber, Peter Wittmann 09.10.2013 Einleitung Modell-basierte Entwicklung bei Silver Atena Erfahrung mit Modell-basierter Entwicklung

Mehr

ISO 27000 mit oder ohne BSI-Grundschutz? Oliver Müller

ISO 27000 mit oder ohne BSI-Grundschutz? Oliver Müller ISO 27000 mit oder ohne BSI-Grundschutz? Oliver Müller Agenda ISO 27001+BSI IT Grundschutz ISO 27001 nativ Eignung Fazit http://www.bsi.bund.de Grundsätzlicher Analyseansatz Prozess benötigt Anwendungen

Mehr

Technische Realisierung von Datenschutz in Unternehmen. Prof. Dr. Hannes Federrath Universität Regensburg

Technische Realisierung von Datenschutz in Unternehmen. Prof. Dr. Hannes Federrath Universität Regensburg Technische Realisierung von Datenschutz in Unternehmen Prof. Dr. Hannes Federrath Universität Regensburg Begriffe IT-Sicherheitsmanagement IT-Sicherheitsmanagement versucht, die mit Hilfe von Informationstechnik

Mehr

Anforderungen und Auswahlkriterien für Projektmanagement-Software

Anforderungen und Auswahlkriterien für Projektmanagement-Software Anforderungen und Auswahlkriterien für Projektmanagement-Software Anika Gobert 1,Patrick Keil 2,Veronika Langlotz 1 1 Projektmanagement Payment Giesecke &Devrient GmbH Prinzregentenstr. 159, Postfach 800729,

Mehr

Software EMEA Performance Tour 2013. Berlin, Germany 17-19 June

Software EMEA Performance Tour 2013. Berlin, Germany 17-19 June Software EMEA Performance Tour 2013 Berlin, Germany 17-19 June Change & Config Management in der Praxis Daniel Barbi, Solution Architect 18.06.2013 Einführung Einführung Wer bin ich? Daniel Barbi Seit

Mehr

Informationstechnik in der Prozessüberwachung und -steuerung. Grundsätzliche Anmerkungen

Informationstechnik in der Prozessüberwachung und -steuerung. Grundsätzliche Anmerkungen Informationstechnik in der Prozessüberwachung und -steuerung Grundsätzliche Anmerkungen Bundesamt für Sicherheit in der Informationstechnik Postfach 20 03 63 53133 Bonn Tel.: +49 22899 95820 E-Mail: ics-sec@bsi.bund.de

Mehr

IT Security Audit. www.securityaudit.ch. Beschreibung. Kundennutzen. Leistungsumfang

IT Security Audit. www.securityaudit.ch. Beschreibung. Kundennutzen. Leistungsumfang IT Security Audit Beschreibung Die Informatik ist immer stärker verantwortlich für das Erstellen und die Abwicklung von geschäftskritischen Abläufen und wird dadurch zum unmittelbaren Erfolgsfaktor eines

Mehr

FORUM Gesellschaft für Informationssicherheit mbh. ForumBankSafe-IT Der IT-Sicherheitsmanager

FORUM Gesellschaft für Informationssicherheit mbh. ForumBankSafe-IT Der IT-Sicherheitsmanager FORUM Gesellschaft für Informationssicherheit mbh ForumBankSafe-IT Der IT-Sicherheitsmanager Was leistet die Software und wozu wird sie benötigt? ForumBankSafe-IT einführen ForumBankSafe-IT bietet ein

Mehr

Strukturierte Informationssicherheit

Strukturierte Informationssicherheit Strukturierte Informationssicherheit Was muss getan werden ein kurzer Überblick. Donnerstag, 16.Juli 2009 Mark Semmler I Security Services I Mobil: +49. 163. 732 74 75 I E-Mail: kontakt_mse@mark-semmler.de

Mehr

BSI ICS-SECURITY-KOMPENDIUM

BSI ICS-SECURITY-KOMPENDIUM BSI ICS-SECURITY-KOMPENDIUM SICHERHEIT VON INDUSTRIELLEN STEUERANLAGEN Andreas Floß, Dipl.-Inform., Senior Consultant Information Security Management, HiSolutions AG 1 HiSolutions 2013 ICS-Kompendium Vorstellung

Mehr

IT-Sicherheit. IT-Sicherheit im Spannungsfeld von Kosten/Aufwand und Compliance/Nutzen. Informationsrechtstag 2006 / Seite 1 von 22

IT-Sicherheit. IT-Sicherheit im Spannungsfeld von Kosten/Aufwand und Compliance/Nutzen. Informationsrechtstag 2006 / Seite 1 von 22 IT-Sicherheit IT-Sicherheit im Spannungsfeld von Kosten/Aufwand und Compliance/Nutzen Informationsrechtstag 2006 / Seite 1 von 22 BASF IT Services Wir stellen uns vor Gründung einer europaweiten IT-Organisation

Mehr

Sicherheit in industriellen Anlagen als Herausforderung für Forschung und Lehre

Sicherheit in industriellen Anlagen als Herausforderung für Forschung und Lehre Sicherheit in industriellen Anlagen als Herausforderung für Forschung und Lehre Andreas Seiler, B. Sc. Prof. Dr. Gordon Rohrmair Agenda Forschungsbedarf Herausforderungen für die Lehre MAPR - Industrial

Mehr

Energieeffiziente IT

Energieeffiziente IT EnergiEEffiziente IT - Dienstleistungen Audit Revision Beratung Wir bieten eine energieeffiziente IT Infrastruktur und die Sicherheit ihrer Daten. Wir unterstützen sie bei der UmsetZUng, der Revision

Mehr

Auf dem Weg zu Industrie 4.0 - Safety, Security und Privacy in Produktionsnetzen

Auf dem Weg zu Industrie 4.0 - Safety, Security und Privacy in Produktionsnetzen Software Factory www.sf.com - Safety, Security und Privacy in Produktionsnetzen Thomas Trägler, traegler@sf.com Software Factory - Geschäftsfelder CAD/CAM process automation with PTC Creo PLM process automation

Mehr

Übersicht Kompakt-Audits Vom 01.05.2005

Übersicht Kompakt-Audits Vom 01.05.2005 Übersicht Kompakt-Audits Vom 01.05.2005 Bernhard Starke GmbH Kohlenstraße 49-51 34121 Kassel Tel: 0561/2007-452 Fax: 0561/2007-400 www.starke.de email: info@starke.de Kompakt-Audits 1/7 Inhaltsverzeichnis

Mehr

How to Survive an Audit with Real-Time Traceability and Gap Analysis. Martin Kochloefl, Software Solutions Consultant Seapine Software

How to Survive an Audit with Real-Time Traceability and Gap Analysis. Martin Kochloefl, Software Solutions Consultant Seapine Software How to Survive an Audit with Real-Time Traceability and Gap Analysis Martin Kochloefl, Software Solutions Consultant Seapine Software Agenda Was ist Traceability? Wo wird Traceability verwendet? Warum

Mehr

PLATO AG Funktionales Sicherheitsprojekt & System-FMEA

PLATO AG Funktionales Sicherheitsprojekt & System-FMEA PLATO AG Funktionales Sicherheitsprojekt & System-FMEA Umsetzung in einem Datenmodell Claudia Lange PLATO AG Die PLATO AG auf einem Blick Software- und Dienstleistungsunternehmen mit Methoden- und Softwarelösungen

Mehr

Aus Liebe zu Sicherheit und Qualität.

Aus Liebe zu Sicherheit und Qualität. Aus Liebe zu Sicherheit und Qualität. ECO Verband Frankfurt 30.01.2015 1 2013 - Auf allen Kontinenten zuhause. Überblick TÜV Rheinland Ca. 600 Standorte in 65 Ländern ca. 1,6 Mrd. Umsatz ca. 18.000 Mitarbeiter

Mehr

2. Klassifizierung von PLT-Schutzeinrichtungen gemäß VDI/VDE-Richtlinie 2180-1

2. Klassifizierung von PLT-Schutzeinrichtungen gemäß VDI/VDE-Richtlinie 2180-1 Safety Integrity Level (SIL)-Einstufungen Inhaltsübersicht 1. Einleitung 2. Klassifizierung von PLT-Schutzeinrichtungen gemäß VDI/VDE-Richtlinie 2180-1 3. Weitere Ansätze und Hilfsmittel zur Klassifizierung

Mehr

Smart Grids Security Assessment im Bereich der Netzführung

Smart Grids Security Assessment im Bereich der Netzführung Einleitung Die Stadtwerke Schwäbisch Hall führen für zahlreiche Kunden Netzführungen als Dienstleistung zentral durch und schlagen diesen Wachstumspfad erfolgreich weiter ein. Deshalb entschlossen sich

Mehr

Normenkonformer Betrieb medizinischer IT-Netzwerke neue Aufgaben des IT- Peter Grünberger 07.03.2012

Normenkonformer Betrieb medizinischer IT-Netzwerke neue Aufgaben des IT- Peter Grünberger 07.03.2012 Normenkonformer Betrieb medizinischer IT-Netzwerke neue Aufgaben des IT- Systemlieferanten Peter Grünberger 07.03.2012 Vorstellung COMPAREX COMPAREX versteht sich als unabhängiger IT Lösungsanbieter 2000

Mehr

Compliance Risk Assessment

Compliance Risk Assessment Compliance Risk Assessment Compliance Officer Lehrgang Modul 2 DDr. Alexander Petsche 22. September 2015 Compliance Management-Prozess Planning/Risk Assessment, Organization, Personnel Certification Awareness

Mehr

IT-Riskmanagement Strategie und Umsetzung. Inhalte. Begriffe. Armin Furter TKH Informationmangement Bern

IT-Riskmanagement Strategie und Umsetzung. Inhalte. Begriffe. Armin Furter TKH Informationmangement Bern IT-Riskmanagement Strategie und Umsetzung Armin Furter TKH Informationmangement Bern Inhalte Einführung Allgemeines Risikomangement IT-Risikomanagement Mögliche Methoden Begriffe Bedrohung Schaden Schadensausmass

Mehr

Presseinformation 17.09.2012

Presseinformation 17.09.2012 Presseinformation 17.09.2012 Roadshow Industrial IT-Security Industrielle IT-Sicherheit im Fokus auf der IT-Security-Messe it-sa 1 2 3 4 5 6 7 8 9 10 11 12 Regensburg, 17. September 2012 Industrial IT

Mehr

IT-Grundschutz. IT-Grundschutz. Dipl.-Inf. (FH) Thorsten Gerlach

IT-Grundschutz. IT-Grundschutz. Dipl.-Inf. (FH) Thorsten Gerlach IT-Grundschutz IT-Grundschutz modellieren modellieren Dipl.-Inf. (FH) Thorsten Gerlach IT-Grundschutz / Überblick IT- Grundschutzhandbuch (GSHB) betrachtet im Allgemeinen folgende Merkmale: Infrastruktur

Mehr

Beuth Hochschule BEUTH HOCHSCHULE FÜR TECHNIK BERLIN University of Applied Sciences

Beuth Hochschule BEUTH HOCHSCHULE FÜR TECHNIK BERLIN University of Applied Sciences Beuth Hochschule BEUTH HOCHSCHULE FÜR TECHNIK BERLIN University of Applied Sciences WISSENSCHAFTLICHE WEITERBILDUNG Fernstudium Industrial Engineering Produktions- und Betriebstechnik Kurseinheit 98 und

Mehr

Automotive Embedded Software. Beratung Entwicklung Tools

Automotive Embedded Software. Beratung Entwicklung Tools Automotive Embedded Software Beratung Entwicklung Tools 2 3 KOMPLEXE PROJEKTE SIND BEI UNS IN GUTEN HÄNDEN. Die F+S GmbH engagiert sich als unabhängiges Unternehmen im Bereich Automotive Embedded Software

Mehr

Kompaktseminar Mobile IT-Infrastrukturen Anforderungen an IT-Sicherheit, Datenschutz und Compliance

Kompaktseminar Mobile IT-Infrastrukturen Anforderungen an IT-Sicherheit, Datenschutz und Compliance Kompaktseminar Mobile IT-Infrastrukturen Anforderungen an IT-Sicherheit, Datenschutz und Compliance Mobile IT-Infrastrukturen in Unternehmen sicher und erfolgreich managen Kurzbeschreibung Mobilität der

Mehr

Abbildung 1: Tool-Qualification-Kits für Testwell CTC++ Test Coverage Analyser

Abbildung 1: Tool-Qualification-Kits für Testwell CTC++ Test Coverage Analyser Qualification-Kit für Testwell CTC++ In der sicherheitskritischen Softwareentwicklung müssen die im Projekt eingesetzten Werkzeuge zunächst klassifiziert werden (Tool Classification). Diese Klassifizierung

Mehr

Water-Scrum-Fall Ein Entwicklungsprozess mit Zukunft? Bernhard Fischer

Water-Scrum-Fall Ein Entwicklungsprozess mit Zukunft? Bernhard Fischer Water-Scrum-Fall Ein Entwicklungsprozess mit Zukunft? Bernhard Fischer Wasserfall vs. Agile: Eine Erfolgsstory 2 Umsetzung agiler Prinzipien Entwicklungsprozess 2009 30.6% 13.4% 20.6% 35.4% Agil Iterativ

Mehr

IT-Risiko- und Sicherheitsmanagement Workshop der GI Fachgruppe SECMGT am 28. Januar 2005 in Frankfurt/Main

IT-Risiko- und Sicherheitsmanagement Workshop der GI Fachgruppe SECMGT am 28. Januar 2005 in Frankfurt/Main Advisory Services Information Risk Management Turning knowledge into value IT-Risiko- und Sicherheitsmanagement Workshop der GI Fachgruppe SECMGT am 28. Januar 2005 in Frankfurt/Main Markus Gaulke mgaulke@kpmg.com

Mehr

sascha.zinke@splone.com

sascha.zinke@splone.com Verteiltes Scannen in Industrie- Sascha Zinke sascha.zinke@.com Version 1.0 1 1 4 Zusammenfassung Industrielle Netzwerke stellen für die Sicherheit besondere Herausforderungen dar. War bis jetzt vor allem

Mehr

Aufbau und Nutzen einer ganzheitlichen IT- Dokumentation

Aufbau und Nutzen einer ganzheitlichen IT- Dokumentation Aufbau und Nutzen einer ganzheitlichen IT- Dokumentation tekom RG Baden am 23.05.2012 dokuit Manuela Reiss Mai 2012 1 Manuela Reiss Studium der Geographie Seit fast 20 Jahren Erfahrungen als Beraterin

Mehr

Cyber Security in der Stromversorgung

Cyber Security in der Stromversorgung 12. CIGRE/CIRED Informationsveranstaltung Cyber Security in der Stromversorgung Manuel Ifland Ziele dieses Vortrags Sie können sich ein Bild davon machen, welche Cyber Security Trends in der Stromversorgung

Mehr

Risikoanalyse zur Informations-Sicherheit: ein Vorgehensmodell. Bernd Ewert it-sa Oktober 2009 Forum rot

Risikoanalyse zur Informations-Sicherheit: ein Vorgehensmodell. Bernd Ewert it-sa Oktober 2009 Forum rot Risikoanalyse zur Informations-Sicherheit: ein Vorgehensmodell Bernd Ewert it-sa Oktober 2009 Forum rot Grundsätzliches zur Risikoanalyse Sinn der Risikoanalyse: Übersicht schaffen Schutzmaßnahmen steuern

Mehr

MITsec. - Gelebte IT-Sicherheit in KMU - TÜV Thüringen Mit Sicherheit in guten Händen! IT - Sicherheitsforum Erfurt 2015 23.09.

MITsec. - Gelebte IT-Sicherheit in KMU - TÜV Thüringen Mit Sicherheit in guten Händen! IT - Sicherheitsforum Erfurt 2015 23.09. MITsec - Gelebte IT-Sicherheit in KMU - IT - Sicherheitsforum Erfurt 2015 23.09.2015 TÜV Thüringen Informationssicherheit Informationen sind das schützenswerte Gut ihres Unternehmens Definition: Eine Information

Mehr

Code of Conduct (CoC)

Code of Conduct (CoC) Code of Conduct (CoC) Aeiforia CoC-Check: Erkennen Sie Auswirkungen des CoC auf Ihr Unternehmen! Aeiforia hat ein auf Checklisten gestütztes Vorgehen entwickelt, mit dem Sie Klarheit erlangen, in welchen

Mehr

Leitfaden zum sicheren Betrieb von Smart Meter Gateways

Leitfaden zum sicheren Betrieb von Smart Meter Gateways Leitfaden zum sicheren Betrieb von Smart Meter Gateways Wer Smart Meter Gateways verwaltet, muss die IT-Sicherheit seiner dafür eingesetzten Infrastruktur nachweisen. Diesen Nachweis erbringt ein Gateway-

Mehr

CosmosDirekt. Theorie und Praxis der IT - Sicherheit. Ort: Saarbrücken, 19.12.2012. Antonio Gelardi IT - Sicherheitsbeauftragter

CosmosDirekt. Theorie und Praxis der IT - Sicherheit. Ort: Saarbrücken, 19.12.2012. Antonio Gelardi IT - Sicherheitsbeauftragter CosmosDirekt Theorie und Praxis der IT - Sicherheit Ort: Saarbrücken, 19.12.2012 Autor: Antonio Gelardi IT - Sicherheitsbeauftragter Agenda Die Versicherung, CosmosDirekt Der IT Sicherheitsbeauftragte,

Mehr

den sicherheitskritischen Bereich Christoph Schmiedinger Frankfurter Entwicklertag 2015 24.02.2015

den sicherheitskritischen Bereich Christoph Schmiedinger Frankfurter Entwicklertag 2015 24.02.2015 Agile Methoden als Diagnose-Tool für den sicherheitskritischen Bereich Christoph Schmiedinger Frankfurter Entwicklertag 2015 24.02.2015 Über mich Berufliche Erfahrung 3 Jahre Projektabwicklung 2 Jahre

Mehr

Qualitätssicherung von Software (SWQS)

Qualitätssicherung von Software (SWQS) Qualitätssicherung von Software (SWQS) Prof. Dr. Holger Schlingloff Humboldt-Universität zu Berlin und Fraunhofer FOKUS 20.6.2013: Sicherheitsnormen Folie 2 Fragen zur Wiederholung Wie funktioniert ein

Mehr

Business Continuity Management (BCM) als Managementaufgabe Ein prozessorientierter Ansatz für den IT-Sicherheitsprozess

Business Continuity Management (BCM) als Managementaufgabe Ein prozessorientierter Ansatz für den IT-Sicherheitsprozess Business Continuity Management (BCM) als Managementaufgabe Ein prozessorientierter Ansatz für den IT-Sicherheitsprozess, Projektmanager und Sales Consultant, EMPRISE Process Management GmbH Das Gesetz

Mehr

Grundlagen des Datenschutzes und der IT-Sicherheit. Musterlösung zur 5. Übung im SoSe 2010: Konzepte zur IT-Sicherheit

Grundlagen des Datenschutzes und der IT-Sicherheit. Musterlösung zur 5. Übung im SoSe 2010: Konzepte zur IT-Sicherheit und der IT-Sicherheit Musterlösung zur 5. Übung im SoSe 2010: Konzepte zur IT-Sicherheit 5.1 Sicherheitskonzept Aufgabe: Welche Aspekte sollten in einem Sicherheitskonzept, das den laufenden Betrieb der

Mehr

Schulungen zur IEC 61508

Schulungen zur IEC 61508 Schulungen zur IEC 61508 Funktionale Sicherheit Automation, Software, Halbleiter und branchenübergreifend Komplettes Trainingsprogramm von TÜV SÜD Inhouse und/oder modular TÜV SÜD Automotive GmbH Warum

Mehr

statuscheck im Unternehmen

statuscheck im Unternehmen Studentische Beratungsgesellschaft für Sicherheitsangelegenheiten an der HWR Berlin statuscheck im Unternehmen Mit unserem statuscheck analysieren wir für Sie Schwachstellen, Risiken sowie Kosten und Nutzen

Mehr

Medizintechnologie.de. Entwicklungsplan. Entwicklungsplan. Einteilung in Entwicklungsphasen

Medizintechnologie.de. Entwicklungsplan. Entwicklungsplan. Einteilung in Entwicklungsphasen Medizintechnologie.de Entwicklungsplan Entwicklungsplan Medizinprodukte werden immer komplexer. Um alle gesetzlichen und normativen Vorgaben einhalten und die Entwicklung eines Medizinproduktes kontrollieren

Mehr

SiMiS-Kurzcheck zur Informationssicherheit nach ISO/IEC 27001 bzw. Datenschutz nach Bundesdatenschutzgesetz (BDSG)

SiMiS-Kurzcheck zur Informationssicherheit nach ISO/IEC 27001 bzw. Datenschutz nach Bundesdatenschutzgesetz (BDSG) Unternehmen: Branche: Ansprechpartner: Position: Straße: PLZ / Ort: Tel.: Mail: Website: Kontaktdaten Datenschutzbeauftragter: Fax: Sicherheitspolitik des Unternehmens JA NEIN 01. Besteht eine verbindliche

Mehr

IT-Sicherheit in der Energiewirtschaft

IT-Sicherheit in der Energiewirtschaft IT-Sicherheit in der Energiewirtschaft Sicherer und gesetzeskonformer IT-Systembetrieb Dr. Joachim Müller Ausgangssituation Sichere Energieversorgung ist Voraussetzung für das Funktionieren unseres Gemeinwesens

Mehr

Das Wasserfallmodell - Überblick

Das Wasserfallmodell - Überblick Das Wasserfallmodell - Überblick Das Wasserfallmodell - Beschreibung Merkmale des Wasserfallmodells: Erweiterung des Phasenmodells Rückkopplungen zwischen den (benachbarten) Phasen sind möglich Ziel: Verminderung

Mehr

SICHERHEITSANALYSE & PENTEST SCHWÄCHEN ERKENNEN HEISST STÄRKE GEWINNEN.

SICHERHEITSANALYSE & PENTEST SCHWÄCHEN ERKENNEN HEISST STÄRKE GEWINNEN. SICHERHEITSANALYSE & PENTEST SCHWÄCHEN ERKENNEN HEISST STÄRKE GEWINNEN. willkommen in sicherheit. 02...03 UNSER GEZIELTER ANGRIFF, IHRE BESTE VERTEIDIGUNG. Hackerangriffe sind eine wachsende Bedrohung

Mehr

Cyber Security Lösungen mit PACiS

Cyber Security Lösungen mit PACiS Cyber Security Lösungen mit PACiS Erhöhte Netzzuverlässigkeit und Gesetzeskonformität durch innovatives Cyber Security Konzept PACiS bietet integrierte Systeme für Schutz, Automatisierung, Überwachung

Mehr

Referenzarchitekturmodell Industrie 4.0 (RAMI 4.0) Eine Einführung

Referenzarchitekturmodell Industrie 4.0 (RAMI 4.0) Eine Einführung Referenzarchitekturmodell Industrie 4.0 (RAMI 4.0) Eine Einführung Schöne neue Welt Foto BillionPhotos.com Fotolia Das Internet der Dinge und Dienstleistungen Smart Meter Smart Home Smart Building Smart

Mehr

I N F O R M A T I O N V I R T U A L I S I E R U N G. Wir schützen Ihre Unternehmenswerte

I N F O R M A T I O N V I R T U A L I S I E R U N G. Wir schützen Ihre Unternehmenswerte I N F O R M A T I O N V I R T U A L I S I E R U N G Wir schützen Ihre Unternehmenswerte Wir schützen Ihre Unternehmenswerte Ausfallsicherheit durch Virtualisierung Die heutigen Anforderungen an IT-Infrastrukturen

Mehr