IT-Sicherheitsgesetz wird Realität

Größe: px
Ab Seite anzeigen:

Download "IT-Sicherheitsgesetz wird Realität"

Transkript

1 Das Kundenmagazin Ausgabe 1/2015 IT-Sicherheitsgesetz wird Realität Welche Vorbereitungen sollten KRITIS-Betreiber jetzt treffen? Interview mit Dr. Walter Schlebusch, Vorsitzender der Geschäftsführung G&D Der Schutz Kritischer Infrastrukturen hat gerade erst begonnen Flexibel und mobil Die SINA Workstations im Bundesministerium der Finanzen Weder sperrig noch langwierig Optimierte Sicherheitskonzepterstellung durch secunet auf Basis des IT-Grundschutzes

2 Inhalt 4 Interview mit Dr. Walter Schlebusch, Vorsitzender der Geschäftsführung Giesecke & Devrient GmbH Der Schutz Kritischer Infrastrukturen hat gerade erst begonnen 24 National 04 Interview mit Dr. Walter Schlebusch 06 Starke Partnerschaft: AREVA und secunet 08 Flexibel und mobil: die SINA Workstations 10 Das IT-Sicherheitsgesetz kein Märchen 13 Getrennt, zusammen und doch wieder getrennt Wissenschaft 14 Interview mit Prof. Dr. Gabi Dreo Rodosek Security by Design IT-Sicherheit im vernetzten Fahrzeug ist eine große Herausforderung. Welche Lösungsansätze gibt es? Und vor allem: Wann macht welche Lösung Sinn? Technologien & Lösungen 20 SINA erhält höchste internationale Zulassungen 22 SINA macht das Leben leichter 24 Security by Design: sicher vernetzt im Fahrzeug 26 Wo die App-Gefahren lauern International 16 Mit EasyPASS unter den Top 3! 16 And twelve points go to 17 Deutsches Expertenwissen für nationale PKD-Lösung 18 Weder sperrig noch langwierig: IT-Grundschutz Kurz notiert 19 Dr. Rainer Baumgart erneut in ENISA-Beirat berufen 23 Deutsche IT-Sicherheit punktet Termine 27 Aktuelle Veranstaltungen 2 secuview 1/2015

3 Editorial Die IT-Sicherheit geht jeden etwas an. Sei es der private Nutzer mit seinem Smartphone, die Industrie, vor allem bei der zunehmenden Vernetzung von Steuerungs- und Produktionsnetzen, oder ganze Nationen in allen Bereichen birgt das Internet nicht nur enorme Chancen und großen Komfort, sondern auch Bedrohungen. Eine effektive Sicherung und Verteidigung von IT-Infrastrukturen und Daten kann nur mit einer sorgfältigen Beobachtung, Erforschung und detaillierten Analyse sowohl des Angreifers als auch der vorhandenen und künftigen Technologien funktionieren. Das Forschungszentrum CODE in München beschäftigt sich mit genau solchen Aufgaben, wie Prof. Dr. Gabi Dreo Rodosek uns im Interview erläuterte. Der lage- und anforderungsgerechte Schutz Kritischer Infrastrukturen bildet bei CODE ein eigenes Forschungsfeld, und auch die Politik setzt einen Fokus auf diese Unternehmen: Mit dem neuen IT-Sicherheitsgesetz soll eine signifikante Verbesserung der Sicherheit informationstechnischer Systeme (IT-Sicherheit) in Deutschland erreicht werden. Dafür werden Betreiber Kritischer Infrastrukturen nicht nur die IT-Infrastrukturen, sondern auch die organisatorischen Prozesse anpassen müssen. Aktuell herrschen diesbezüglich noch viele Unsicherheiten. Auf unserer Fachtagung Informationssicherheit Kritische Infrastrukturen im November werden wir Möglichkeiten zeigen, den Herausforderungen effektiv zu begegnen, und gemeinsam Lösungen erarbeiten. Liebe Leserinnen und Leser, Ihre effektive Sicherung und Verteidigung machen wir uns bereits seit Jahren zur Aufgabe. Dr. Walter Schlebusch sagte im Interview: Sicherheit heißt für uns mehr, als ein farbenfrohes Band von Schweizer Garden um ein Problem zu ziehen. Optimal sei eine gemeinsam mit dem Kunden erarbeitete IT-Sicherheitsstrategie, die konsequent umgesetzt werde. Das beschreibt nicht nur den Ansatz von Giesecke & Devrient, sondern trifft auch exakt unseren Standpunkt. Dafür agieren wir, wie Sie wissen, mit unseren fünf Divisionen sehr nah an unseren Kunden. Einige Beispiele der Projekte haben wir in dieser Ausgabe für Sie aufbereitet. Viel Spaß beim Lesen wünscht Dr. Rainer Baumgart secuview 1/2015 3

4 National Der Schutz Kritischer Infrastrukturen hat gerade erst begonnen Interview mit Dr. Walter Schlebusch, Vorsitzender der Geschäftsführung der Giesecke & Devrient GmbH Im Interview: Dr. Walter Schlebusch ist seit 2013 Vorsitzender der Geschäftsführung von G&D. Davor war er seit 1. Januar 2000 Mitglied der Geschäftsführung und hat den Unternehmensbereich Banknote verantwortet. Herr Dr. Schlebusch, bedarf es nach dem Hackerangriff auf den Deutschen Bundestag eigentlich noch der Werbung für IT-Sicherheit? Dr. Schlebusch: Woher auch immer der Angriff stammt, zeigen doch solche Vorfälle, wie verwundbar unsere Systeme sind. Die Diskussion um den Schutz Kritischer Infrastrukturen ist insofern mit der Verabschiedung des IT-Sicherheitsgesetzes noch nicht an ihrem Ende angelangt, sondern hat gerade erst begonnen. Mit Giesecke & Devrient (G&D) und secunet positionieren sich gleich zwei deutsche Anbieter auf einem hochspezialisierten Markt Dr. Schlebusch: Und genau das ist unsere Stärke! G&D erwirtschaftet den weit überwiegenden Teil seines Umsatzes im Ausland und hat den Zugang zu zahlreichen staatlichen Verwaltungen, Finanzinstituten, Telekommunikationsanbietern und Technologiefirmen weltweit. secunet verfügt über einen starken nationalen Footprint mit langjähriger Erfahrung im Regierungsbereich und einer exzellenten Produktpalette rund um die SINA Familie und Grenzkontrolllösungen. Wo sehen Sie die besonderen Stärken von G&D im Bereich der IT-Sicherheit? Dr. Schlebusch: Ins Auge fallen natürlich besonders die langjährige internationale Erfahrung im Bereich der Sicherheitstechnologien und das breite Portfolio sicherheitssensibler Produkte. Aus dieser Tatsache heraus sind wir für zahlreiche Kunden ein glaubwürdiger, verlässlicher und legitimer Vertrauensanker. So wie Sie Ihre Hausschlüssel nicht jedermann aushändigen, haben unsere Kunden zu Recht einen Anspruch darauf, dass ihre Daten professionell und sicher verarbeitet werden. Das heißt konkret? Dr. Schlebusch: Um in hochsicheren Umgebungen zu arbeiten, müssen Sie die Prozesse des Kunden 4 secuview 1/2015

5 National genau kennen. Anders als breit aufgestellte Sicherheitsanbieter sind wir spezialisiert auf IT-Sicherheit. Sicherheit heißt dabei für uns mehr, als ein farbenfrohes Band von Schweizer Garden um ein Problem zu ziehen. Ebenso wenig reichen nachträgliche, punktuelle Eingriffe in ein Kundensystem. Optimal ist eine gemeinsam mit dem Kunden erarbeitete IT-Sicherheitsstrategie, die konsequent umgesetzt wird. Dazu bieten wir hard- und softwareseitig Lösungen an und unterstützen unsere Kunden auch mit einer hohen Beratungskompetenz. Der Nutzer kennt auf der einen Seite die bunte Welt der Apps. Auf der anderen Seite steht das ernste Thema Sicherheit. Wie passt das zusammen? Dr. Schlebusch: Abstrakt ist Sicherheit schwer vermittelbar, am konkreten Beispiel wird es fassbarer: So wird die Bordkommunikation deutscher Premiumfahrzeuge genauso schon heute von G&D abgesichert wie Industrieanlagen. Mobile Wallets weltweit basieren auf Sicherheit made by G&D. Und Banking-Apps funktionieren sicher mit Technologie aus unserem Haus. Der Anwendungsbereich für IT-Sicherheit ist also größer, als es der Smartphone-Screen vermittelt! Wo sehen Sie die künftigen Trends? Dr. Schlebusch: Jeder spricht heutzutage von Industrie 4.0, also der vollständig vernetzten Industrieautomation. Sicherheit sehen wir dabei als ein Sicherheit heißt dabei für uns mehr, als ein farbenfrohes Band von Schweizer Garden um ein Problem zu ziehen. zentrales Thema an: Nehmen Sie die stetig wachsende Zahl asymmetrischer Angriffsszenarien auf IT- und damit auch Produktionssysteme. Dem hat ein typischer industrieller Mittelständler bislang wenig entgegenzusetzen. Wir helfen dabei, angemessene und skalierbare Sicherheitslösungen zu finden. National wird sicherlich die Umsetzung des IT-Sicherheitsgesetzes spannend. Hier sehen wir eine große Chance, dass sich Branchen selbstständig auf die von ihnen zu realisierenden und vom Gesetzgeber geforderten Sicherheitsmaßnahmen verständigen. Schließlich bietet auch das breite Feld der Identitätssicherung und des Identitätsmanagements ein enormes Potenzial: Das Internet der Dinge basiert auf der sicheren Zuordnung von Identitäten zu Objekten und Prozessen. Hier bringen wir unsere langjährige Erfahrung in den Bereichen Secure Connectivity und sichere Softwareentwicklung auf Basis von spezieller Hardware mit ein. secuview 1/2015 5

6 Starke Partnerschaft: AREVA und secunet Das neue IT-Sicherheitsgesetz soll mehr Sicherheit schaffen für Kritische Infrastrukturen. Verantwortlich für die Umsetzung bleibt allerdings weiterhin der Betreiber Der Angriff auf den französischen Fernsehsender TV5Monde Anfang April ist nur ein Beispiel für eine Art von Kriminalität, die mehr und mehr Lebensbereiche bedroht. Die Cyberattacke richtete enormen Schaden an: Stundenlang war der Sendebetrieb der Station unterbrochen, auch über die Internetseite und die meisten Konten in den sozialen Netzwerken hatte der Sender lange Zeit keine Kontrolle. Es dauerte Tage, um zu einem Normalbetrieb zurückzukehren. 6 secuview 1/2015

7 National Die Auswirkungen wären noch gravierender, wenn ein solcher Angriff auf lebenswichtigere Bereiche wie die Strom- oder Wasserversorgung erfolgreich wäre! Wie ab Seite 10 beschrieben, soll nun das IT- Sicherheitsgesetz für diese Bereiche der Kritischen Infrastrukturen (KRITIS) mehr und umfassendere Sicherheit schaffen. Verantwortlich für die Umsetzung bleibt allerdings weiterhin der Betreiber. Sicherheit für digitale Steuerungsanlagen AREVA ist nicht nur Lieferant für Nuklear- und Windkraftanlagen, sondern bietet auf Basis jahrelanger Erfahrung im Umfeld Kritischer Infrastrukturen auch ein breites Spektrum an Produkten und Dienstleistungen, wenn es um die Sicherheit von digitalen Steuerungsanlagen geht. Im engen Schulterschluss mit Partnern wie secunet wird hierbei die IT-Sicherheit nicht erst beim Betrieb einer Anlage berücksichtigt, sondern fängt schon bei der Produktentwicklung an. So können ausgereifte Ansätze angeboten werden: sei es beim grundlegenden Aufbau eines ISMS, beim Gesamtkonzept oder bei der konkreten Implementierung spezieller Hardware- und Softwarelösungen. Alle Leistungen zum Thema Industrial Security werden in einem integrativen Ansatz zusammengefasst, so dass nukleare und nicht nukleare Kunden gleichermaßen von den Best Practices mit weltweit höchsten Schutzklassen profitieren: - Aufbau von ISMS inklusive Risikobewertung bis hin zur Auditierung, zum Beispiel nach ISO/IEC Industrial Security, mit Security-Zonen und Security Grading, zum Beispiel nach IEC Security Modellierung und Simulation - Prozessleitsysteme und Netzleittechnik - SIEM (Security Information and Event Management) - Automation Security, z. B. PCS7, WINCC, SIPROTEC - Intrusion Detection und Intrusion Prevention, Whitelisting, Security Tests - Laufende Bedrohungserfassung, -bewertung, -analyse und -abwehr Mehr Informationen: Holger Hoppe Christoph Schambach Zuverlässige Integritätsüberwachung Mit der Lösung OPANASec TM entwickelte AREVA für diverse Steuerungssysteme verschiedene, einfach einsetzbare Softwaremodule, mit denen eine Integritätsüberwachung realisiert wird. Einerseits sind damit Änderungen am Programm nur nach Betätigung eines Schlüsselschalters möglich, andererseits werden Angriffe, die die Anwendersoftware oder die Konfigurationsdaten manipulieren, zuverlässig entdeckt und sofort gemeldet. Das hat der TÜV SÜD zertifiziert, Patente dafür sind angemeldet. secuview 1/2015 7

8 National Flexibel und mobil Die SINA Workstations im Bundesministerium der Finanzen B erufs- und Privatleben unter einen Hut zu bringen, ist meist nicht so einfach. Das Bundesministerium der Finanzen (BMF) ermöglicht flexible Arbeitszeitmodelle für die sichere Arbeit von unterwegs oder im Rahmen der Tele- Damit wird nicht nur der Mobilität Rechnung getragen, sondern vor allem auch dem Thema IT-Sicherheit. Es geht nicht nur darum, dass Daten außerhalb des Büros bearbeitet oder Fachanwendungen genutzt werden können, sondern insbesondere auch Beschäftigte des BMF werden in Bonn und Berlin intensiv für den Umgang mit der SINA Workstation geschult. arbeit und zeigt sich damit als äußerst moderne und familienfreundliche Behörde. Auch auf Dienstreisen kann jederzeit sicher auf BMF-Vorgänge zugegriffen werden. Die Aufgaben und Themengebiete des BMF sind komplex und vielfältig, und das nicht nur auf Bundesebene, sondern auch im europäischen und internationalen Bereich. Dies erfordert von den Beschäftigten Fachwissen, Flexibilität und Engagement oftmals auch außerhalb der Büroräume. Damit die Mitarbeiterinnen und Mitarbeiter diese Anforderungen auch auf ihren Dienstreisen erfüllen und in Einklang mit ihrem persönlichen Lebensentwurf hohe Leistungen erbringen können, sind als sichere Plattform für die mobile Arbeit aktuell etwa SINA Workstations im Bundesministerium der Finanzen im Einsatz. darum, dass dies sicher funktioniert. Viele Daten, die das BMF verarbeitet, sind auch von politischem und wirtschaftlichem Interesse und müssen dementsprechend zu jeder Zeit vertrauensvoll behandelt werden. Die SINA Workstation kann genau diese Sicherheit für die drei mobilen BMF-Nutzergruppen bieten: Die Dienstreisenden Deutschland wird durch das BMF in verschiedenen Finanzausschüssen und Gremien insbesondere auch auf europäischer und internationaler Ebene vertreten. Von unterwegs müssen die BMF-Mitarbeiterinnen und -Mitarbeiter dann mit jeder Mobilfunkverbindung sicher arbeiten können; egal, welche sich ihnen gerade bietet: Sei es ein offenes WLAN auf Konferenzen, UMTS am Flughafen oder 8 secuview 1/2015

9 National ein Hotspot im Hotel. Wichtig ist, dass die Daten und Fachanwendungen mit der SINA Workstation aufgerufen und in einem abgesicherten virtuellen Raum bearbeitet werden können. Die mobilen Beschäftigten Wer seine Arbeit im Laufe eines Tages unterbrechen muss oder einen oder mehrere Tage braucht, um sich z. B. um seine Kinder zu kümmern oder einen kranken Angehörigen zu pflegen, kann seine Arbeit von zu Hause oder einem anderen Ort aus erledigen. Im Büro sind die mobil Beschäftigten mit ihrer SINA Workstation über das LAN der Behörde angebunden, ansonsten nutzen sie die sich bietenden Mobilfunkverbindungen, in der Regel das heimische WLAN. Die Telearbeiter Telearbeiterinnen und Telearbeiter haben zwei fest eingerichtete Arbeitsplätze: einen im Büro und einen zu Hause. Sowohl im Büro als auch zu Hause profitieren sie mit der SINA Workstation von einer sicheren und leistungsstarken LAN-Verbindung direkt ins BMF, so dass die Daten und Fachanwendungen jederzeit verfügbar sind und auch größere Datenmengen problemlos bearbeitet werden können. Ganz gleich, um welche Personengruppe es sich handelt: Die SINA Workstation ermöglicht ein Maximum an Flexibilität und Mobilität und wird damit dem Zertifikat audit berufundfamilie und den hohen Arbeitsanforderungen auf nationaler sowie internationaler Ebene gerecht. Sämtliche Fachanwendungen und Daten können uneingeschränkt und zugleich gesichert genutzt werden, egal wo welche (unsichere) Internetverbindung genutzt wird. Genau dies war für das BMF bei der Entscheidung für die SINA Workstation ebenso wichtig wie die Zulassung der All-in-one-Lösung SINA Workstation durch das Bundesamt für Sicherheit in der Informationstechnik in diesem Fall für VS-NfD. Mehr Informationen: Thomas Peine Das Projekt im Überblick SINA Workstations wurden innerhalb von zwei Wochen von einem secunet Mitarbeiter installiert. Mit dem Installserver konnte dies komfortabel mit den jeweiligen individuellen Anpassungen erfolgen. - Effiziente Logistik für Lieferung, Installation und Roll-out von Geräten. - Ganzheitliches Projektmanagement der Projektleiter war vom ersten Kundenkontakt bis zur Begleitung in der Betriebsphase dabei. - Projektmanagementmethoden: Stakeholdermanagement, Risikomanagement, Earned-Value-Analyse, Ablauf- und Terminplanung. - Das Projektteam bestand aus 15 Personen von secunet, ca. zehn von ZIVIT und ca. fünf vom BMF, das Kernteam bildeten sieben Mitarbeiterinnen und Mitarbeiter. - Maßnahmen zur Schulung der Anwenderinnen und Anwender: Newsletter, Lern-Videos, Info-Stand vor der Kantine, drei einstündige Schulungstermine als Großveranstaltung im Interview-Format, Kurzanleitung. secuview 1/2015 9

10 Das IT-Sicherheitsgesetz kein Märchen Jetzt ist es Realität: Das Gesetz zur Erhöhung der Sicherheit informationstechnischer Systeme wurde vom Bundestag und Bundesrat beschlossen die Realität. Mit dem am 17. Dezember 2014 vom Bundeskabinett, am 12. Juni 2015 vom Bundestag und am 10. Juli 2015 vom Bundesrat beschlossenen Gesetz zur Erhöhung der Sicherheit informations- Dornröschen hatte keine Chance. Sie sah den Prinzen nicht kommen. Sonst hätte sie vielleicht noch mal die Lippen nachgezogen und sich die Haare gerichtet Zurück in 10 secuview 1/2015

11 National technischer Systeme (IT-Sicherheitsgesetz) soll, so die Begründung, eine signifikante Verbesserung der Sicherheit informationstechnischer Systeme (IT- Sicherheit) in Deutschland erreicht werden. Es lässt sich darüber streiten, ob dieses Artikelgesetz, das Änderungen diverser Bundesgesetze vorsieht, geeignet ist, den Dornröschenschlaf zu beenden, der Wirtschaft und öffentlicher Verwaltung in Berichten über Informationssicherheitsvorfälle regelmäßig vorgeworfen wird. Nach der Unterzeichnung durch den Bundespräsidenten muss zudem noch eine Rechtsverordnung erlassen werden, die eindeutig festlegt, wer ein Betreiber Kritische Infrastrukturen ist. Der Prinz ist im Anmarsch, aber anders als Dornröschen sehen wir ihn kommen. Und können uns darauf vorbereiten. Wen betrifft das IT-Sicherheitsgesetz in erster Linie? Betreibern Kritischer Infrastrukturen entsteht branchenunabhängig Erfüllungsaufwand für - das Einhalten eines Mindestniveaus an IT-Sicherheit, - den Nachweis der Erfüllung durch Sicherheitsaudits, - die Einrichtung und Aufrechterhaltung von Verfahren für die Meldung erheblicher IT-Sicherheitsvorfälle an das BSI sowie - den Betrieb einer Kontaktstelle. Darüber hinaus sieht das IT-Sicherheitsgesetz verschiedene branchenspezifische Sicherheitsstandards vor. Wer ist KRITIS-Betreiber? Als Kritische Infrastrukturen (KRITIS) stuft das Gesetz Einrichtungen oder Anlagen ein, die zu den Sektoren Energie, Informationstechnik und Telekommunikation, Transport und Verkehr, Gesundheit, Wasser, Ernährung, Finanz- und Versicherungswesen sowie Medien und Kultur gehören und eine hohe Bedeutung für das Funktionieren des Gemeinwesens haben. Weitere Kriterien enthält das Gesetz nicht. Vielmehr sieht es, wie bereits gesagt, nähere Bestimmungen per Rechtsverordnung vor. Die Anzahl der zukünftig meldepflichtigen Betreiber Kritischer Infrastrukturen schätzt die Begründung zum Gesetzentwurf auf ca Welche Vorbereitungen sollten (potenzielle) KRITIS-Betreiber jetzt treffen? Die aktuell bestehende Unklarheit, wer zukünftig als Betreiber Kritischer Infrastrukturen der Erfüllung des IT-Sicherheitsgesetzes unterliegt, sollte die in Frage kommenden Betroffenen nicht dazu verleiten, sich erst aus dem Dornröschenschlaf wachküssen zu lassen. Als Vorbereitungen der (potenziellen) KRITIS-Betreiber empfehlen sich folgende Aktivitäten: - Die Festlegung, welche Teile der Organisation (Prozesse, Organisationseinheiten, Produkte und Dienstleistungen) Kritische Infrastrukturen darstellen - Die Überprüfung des aktuellen Sicherheitsniveaus dieser Organisationsteile - Der Aufbau eines Informationssicherheitsmanagements zur dauerhaften Einhaltung eines Mindestniveaus an IT-Sicherheit - Die Auswahl qualifizierter und kompetenter Mitarbeiterinnen und Mitarbeiter für die Besetzung der Kontaktstelle sowie der Aufbau des Meldewesens für erhebliche IT-Sicherheitsvorfälle - Die Auswahl geeigneter Dienstleister für unabhängige Sicherheitsaudits - Bei entsprechenden Sicherheitsanforderungen: die frühzeitige Initiierung einer Zertifizierung nach ISO/IEC Organisation und Prozesse zu strukturieren und zu sichern ist eine wesentliche Voraussetzung, doch allein nicht ausreichend, um die vom IT-Sicherheitsgesetz angestrebte Anhebung des IT-Sicherheitsniveaus in Kritischen Infrastrukturen zu erreichen und dauerhaft zu gewährleisten. Auch auf technischer Ebene müssen entsprechende Maßnahmen ergriffen werden. >>> secuview 1/

12 National Energie- und Wasserversorgung sichern Sehr gut lässt sich das am Beispiel von Energie- und Wasserversorgern verdeutlichen, wo IT nicht nur im Büroalltag, sondern auch für die Steuerung von Anlagen durch die Prozessleittechnik eine zentrale Rolle spielt. Hier gewährleistet eine wirksame informationstechnische Separierung interner IT-Netze von öffentlichen Netzen die Integrität der Prozessleitdaten und Verfügbarkeit der betriebenen IT-Systeme zur Anlagensteuerung. Denn hier ist nur verbunden, was verbunden sein muss. So bleibt beispielsweise der Leitstand streng von den Internetdiensten getrennt (vgl. Artikel S. 13). Doch zugleich muss ein Zugang für Fernwirkszenarien über öffentliche Netze möglich sein. Dieser Herausforderung können Betreiber begegnen, indem sie Sicherheitszonen und -beziehungen einrichten, die über ein zentrales Management gesteuert werden. So kann beispielsweise aus dem Leitstand heraus eine sichere Kopplung mit den im Feld befindlichen Systemen erlaubt oder jederzeit unterbunden werden. Produktionsnetze vom Internet abschotten Bei der Einrichtung von Sicherheitszonen sind selbstverständlich auch alle angeschlossenen Endgeräte zu berücksichtigen, etwa von internen oder externen Wartungstechnikern für den Service- oder Bereitschaftsfall. Das Problem ist, dass trotz noch so sicherer VPN-Anbindung alle Schwachstellen auf dem Endgerät mit dem Produktionsnetz verbunden sind. Bewegt oder bewegte sich das Endgerät zudem im Internet, so ist die Abschottung des Produktionsnetzes vom Internet (sogenanntes Air Gap) unwirksam. die genau die Anforderungen der Betreiber Kritischer Infrastrukturen erfüllen: - Strikte Abschottung des Produktionsnetzes vom Internet - Vertrauenswürdige Endgeräte unter ständiger Kontrolle des Leitstands Nutzung der Möglichkeit des Fernwirkens auch durch mobile Mitarbeiterinnen und Mitarbeiter Nutzung der Fernwartung durch interne oder externe Fachkräfte Aus dem Leitstand heraus können über ein zentrales Online-Management einzelne SINA Geräte im Einsatzfall in das Produktionsnetz aufgenommen werden, ohne Gefahr zu laufen, dass dieses über das Gerät an andere Netze oder gar das Internet gekoppelt wird. Zusammen mit den vom BSI evaluierten Verschlüsselern auf Layer 2 und Layer 3 für die Fernwirktechnik bildet SINA als Sichere Inter-Netzwerk Architektur somit eine zugelassene Gesamtlösung für Produktionsnetze, mit der Sie dem Prinzen namens IT-Sicherheitsgesetz gelassen begegnen können. Mehr Informationen: Alexander Schlensog Solche Anforderungen an (mobile) Endgeräte sind nicht neu, sondern aus der behördlichen Verarbeitung vertraulich eingestufter Dokumente längst bekannt. Das BSI evaluiert für solche Anwendungsfälle die Geräte und das Gesamtsystem und lässt diese dann für die Verarbeitung von Daten über das Internet zu. Die SINA Workstation und das SINA Tablet sind solche zugelassenen Endgeräte, 12 secuview 1/2015

13 National Getrennt, zusammen und doch wieder getrennt Wie sich IT-Sicherheit in Zeiten der Digitalisierung und der damit einhergehenden Öffnung der Netzwerke effektiv realisieren lässt Um die ständige Verfügbarkeit eines Produktionsnetzwerks zu gewährleisten, wurde in der Vergangenheit ein strikt isoliertes eigenständiges Netzwerk betrieben. So waren (Ab-)Wasser-, Verkehrs-, Energie- oder sonstige eigenständige Netze mit Netzleit- oder Großrechnersystemen zuverlässig von gefährlichen Schnittstellen mit der Außenwelt getrennt. Maßnahmen bereits heute nicht mehr ausreichend, um eine angemessene und verlässliche Sicherheit zu erzeugen. Viele Sicherheitsexperten fordern zur Sicherheitserhöhung bereits eine Entnetzung. Doch wie ist diese Entwicklung mit den gegenläufigen Anforderungen der Digitalisierung vereinbar? Ist eine strikte Isolation trotz Vernetzung Ziel und Lösung? Doch mit der Digitalisierung werden die Anforderungen an diese Netzwerke komplexer. Das Management der zahlreichen dezentralen und zentralen Anlagen und Einrichtungen läuft über IP-Netze. Hier wachsen IT- und Prozessnetze zusammen, werden Informationen netzwerkübergreifend ausgetauscht, neue Geräte und Zugangspunkte etabliert und damit smarte Funktionen integriert. Auf den ersten Blick gehen hier die Anforderungen zwischen Digitalisierung und IT-Sicherheit stark auseinander: IT-sicherheitstechnisch sind rein reaktive Was auf den ersten Blick unlösbar klingt, ist technisch zwar eine Herausforderung, aber machbar, und in einigen Bereichen bereits heute gelebte Praxis. So werden beispielsweise durch Isolationstechniken (Prinzip secunet safe surfer) aus der Terminalserver-Technologie oder die hochsichere Netztrennung mit Hilfe von SINA innerhalb von Netzen sichere Netze geschaffen. Die strikte Trennung sorgt für eine proaktive, nachhaltige Sicherheit. Die Herausforderungen widersprechen sich also nur auf den ersten Blick. Heutige Sicher- heitstechnologien in Kombination mit organisatorischen Maßnahmen, effektiv konzeptioniert und umgesetzt, schaffen eine Entnetzung innerhalb von Netzen und können somit eine angemessene Sicherheit gewährleisten. Mehr Informationen: Torsten Redlich secuview 1/

14 Wissenschaft Interview mit Prof. Dr. Gabi Dreo Rodosek Der lage- und anforderungsgerechte Schutz der Vernetzungen in den Bereichen Industrie 4.0 und Kritische Infrastrukturen stellt ein eigenes Forschungsfeld dar Im Interview: Prof. Dr. Gabi Dreo Rodosek leitet den Lehrstuhl für Kommunikationssysteme und Netzsicherheit des Instituts für Technische Informatik an der Universität der Bundeswehr München und ist Sprecherin des Forschungszentrums CODE (Cyber Operations Defence). Frau Prof. Dreo Rodosek, Sie sind Sprecherin des Forschungszentrums CODE. Was sind die Ziele der Forschungseinrichtung? Prof. Dr. Dreo Rodosek: Mit dem Forschungszentrum wollen wir alle Aspekte des Themenfeldes Cybersicherheit ganzheitlich erforschen. Dabei liegt der Fokus in der Erforschung neuartiger Sicherheitstechnologien und -ansätze. Derzeit werden u. a. die Erkennung und Abwehr von Advanced Persistent Threats (APT)/ Smart Attacks sowie die Visualisierung von Sicherheitszuständen und die Identifizierung von Angreifern (Geolokalisation) im Rahmen von Forschungsprojekten untersucht. Jedoch kann Technologie allein keine Sicherheit gewährleisten. Deshalb werden auch rechtliche Rahmenbedingungen und Managementprozesse in die Betrachtung mit einbezogen und deren Auswirkungen strukturiert untersucht, wozu auch der Mensch als Bediener und dessen Sicherheitsbewusstsein (Awareness) betrachtet wird. Zusätzlich zur Forschungsarbeit ist der Vernetzungsaspekt ein Kernziel des Forschungszentrums. In Zeiten der Globalisierung gehen Cyberkriminelle grenzenlose Wege mit zunehmender Diversifizierung und Vernetzung. Dieser Bedrohung kann man nur gemeinsam im Rahmen von Expertennetzwerken begegnen, welche ein hohes Maß an gegenseitigem Vertrauen erfordern. Cybersicherheitsexpertinnen und -experten verschiedenster Universitäten, Forschungseinrichtungen, Behörden und Unternehmen werden in der vertrauenswürdigen Umgebung von CODE zusammenarbeiten, Informationen teilen und Daten austauschen können. 14 secuview 1/2015

15 Wissenschaft Cyberangriffe kennen keine Landesgrenzen. Steht CODE auch im Austausch mit internationalen Organisationen? Prof. Dr. Dreo Rodosek: In der Tat ist die Herausforderung globaler Natur. Bisher konnte das Forschungszentrum das Cooperative Cyber Defence Center Of Excellence (CCDCOE) der NATO als Kooperationspartner gewinnen. In diesem Zusammenhang besteht eine Vereinbarung auf gegenseitige Unterstützung im Bereich Forschung. Mit der ENISA besteht eine enge Zusammenarbeit, was maßgeblich an Prof. Dr. Udo Helmbrecht liegt, welcher Honorarprofessor an der Fakultät für Informatik* ist. Auf nationaler Ebene bestehen Kooperationsvereinbarungen mit Sicherheitsbehörden sowie Wirtschaftsunternehmen, welche im Bereich Cybersicherheit global agieren. Tiefergehend möchte ich mich aus Rücksicht auf laufende Projekte nicht äußern. Worin unterscheiden sich Forschung und Lehre an der Universität der Bundeswehr von anderen Lehrstühlen für IT-Sicherheit in Deutschland? Prof. Dr. Dreo Rodosek: Im Unterschied zur Cybersicherheitsforschung an anderen Universitäten und Forschungszentren konzentrieren wir uns auf die Kooperation mit der Bundeswehr, ihr nahestehende Behörden und Dienste sowie Unternehmen mit besonderen Sicherheitsanforderungen. Unsere Forschung ist teilweise For German Eyes Only und bezieht weder Gastwissenschaftler, Doktoranden noch Studierende anderer Nationen ein. Dass die Zusammenarbeit erfolgreich und äußerst vertrauensvoll gelebt wird, ist an den Kooperationen zu erkennen, die bereits etabliert wurden. Die Intensität von Cyberangriffen nimmt massiv zu. Was sehen Sie als die größte Gefährdung für die nächsten Jahre an und welche Schutzmaßnahmen werden mit Blick auf CODE entwickelt? Prof. Dr. Dreo Rodosek: Aus technologischer Sicht wären die Zunahme von mobilen, kompromittierbaren Geräten und deren Heterogenität sowie neuartige Technologien wie Software Defined Networking und Inter-Clouds (Vernetzung von Clouds) zu nennen. In diesem Zusammenhang werden anomaliebasierte Erkennungsverfahren auf Kommunikationsebene sowie zugehörige Filter- und Analysewerkzeuge durch CODE erforscht. Ferner erhöhen sich Verkehrsvolumen und Bandbreite weiter. Die Analyse von Daten in diesen Netzen stellt ein Big-Data-Problem dar. Hier werden neuartige Ansätze (Security Analytics) zur Begegnung der Angriffe bereits im Providernetz und damit zur Entlastung von Kunden und Nutzern untersucht. Da zunehmend wirtschaftlich und gesellschaftlich bedeutsame Systeme wie industrielle Produktionsketten (Industrie 4.0) und Kritische Infrastrukturkomponenten vernetzt werden, müssen diese besonders In Zeiten der Globalisierung gehen Cyberkriminelle Wege mit zunehmender Diversifizierung und Vernetzung. Dieser Bedrohung kann man nur gemeinsam im Rahmen von Expertennetzwerken begegnen. geschützt werden. Hier stellt der lage- und anforderungsgerechte Schutz unter vertretbaren Aufwänden und zulässigen Restrisiken ein eigenes Forschungsfeld dar, bei dem rechtliche Rahmenbedingungen, Modelle zur Verwaltung, technologische Komponenten und Nutzersensibilisierung ganzheitlich sowie schlüssig miteinander verknüpft werden müssen. Diese Systeme werden durch APTs und Smart Attacks bedroht, für die eigene Taxonomien und Metriken für Erkennung und Abwehr entwickelt werden müssen. * an der Universität der Bundeswehr München (Anm. d. Redaktion) secuview 1/

16 International Mit EasyPASS unter den Top 3! Bequem und einfach über die Grenze: Nach den Flughäfen Frankfurt am Main, München, Düsseldorf, Hamburg und Berlin-Tegel wird bis Mitte 2015 auch in Köln-Bonn das von dem Konsortium Bundesdruckerei (BDR) und secunet umgesetzte automatisierte Grenzkontrollsystem EasyPASS installiert. Damit gibt es in Deutschland 140 secunet easygates*, durch die Reisende über die Außengrenzen des Schengenraums die Grenzkontrolle in Eigenregie passieren können. Eine ähnlich hohe Anzahl automatisierter Grenzkontrollsysteme gibt es weltweit ansonsten nur in den Niederlanden und in Großbritannien. Diese Entwicklung passt perfekt in das Programm Smart Borders der Europäischen Kommission für mehr Mobilität und Sicherheit, in dem neue Technologien für ein moderneres und effizienteres Grenzmanagement eingesetzt werden. Die automatisierte Grenzkontrolle spielt dabei eine erhebliche Rolle. * Das secunet easygate wird in der deutschen Installation durch Komponenten der BDR ergänzt. Mehr Informationen: Frank Steffens And twelve points go to... Die volle Punktzahl für das secunet Golden Reader Tool Platinum Edition (GRT) kommt mittlerweile aus sage und schreibe 27 Ländern! So geben unter anderem Aserbaidschan, Estland, Indien und Kanada ihr Votum für die deutsche Software zum Auslesen verschiedener elektronischer Identitätsdokumente. Ein Beweis dafür, dass secunet sich mit dem GRT sicher und erfolgreich auf internationalen Bühnen bewegt. Das secunet Golden Reader Tool Platinum Edition ist die Weiterentwicklung des umfassend erprobten Golden Reader Tools aus der Gemeinschaftsentwicklung von BSI und secunet. Damit hat secunet eine Software-Applikation zum Auslesen von ICAO-konformen emrtds wie zum Beispiel von elektronischen Reisepässen entwickelt. Diese Applikation wird kontinuierlich optimiert und an Kundenbedarfe angepasst. Bereits heute unterstützt das GRT alle internationalen Sicherheitsprotokolle wie BAC, EAC in Version 1 und 2 oder SAC. Zudem lassen sich neben nationalen und internationalen Reisepässen auch Dokumente wie der deutsche elektronische Aufenthaltstitel, der neue deutsche Personalausweis, die in anderen Ländern erhältliche elektronische Fahrerlaubnis oder die elektronische Zulassungsbescheinigung auslesen und überprüfen. Mehr Informationen: Norbert Richartz 16 secuview 1/2015

17 Deutsches Expertenwissen für nationale PKD-Lösung Elektronische Reisepässe manipulationssicher und effizient überprüfen: EGSP realisiert die Lösung gemeinsam mit HJP, Bundesdruckerei, secunet und G&D für die Grenzkontrollpunkte in den Vereinigten Arabischen Emiraten Das in Abu Dhabi ansässige Unternehmen Emirates German Security Printing LLC (EGSP) lieferte die komplette Infrastruktur für den Aufbau einer nationalen Public-Key-Directory- Lösung. Das System kommt an den Grenzkontrollpunkten in den Vereinigten Arabischen Emiraten (VAE) zum Einsatz und dient der manipulationssicheren und effizienten Kontrolle in- und ausländischer elektronischer Reisepässe. Zur Umsetzung der Sicherheitslösung Made in Germany wurde EGSP als Generalunternehmer des nationalen Public-Key-Directory-(NPKD) Projekts unterstützt von den Partnern HJP Consulting GmbH, Bundesdruckerei GmbH, secunet Security Networks AG und Giesecke & Devrient GmbH. So stellte G&D die NPKD-Software zur Verfügung, die Bestandteil der secunet eid PKI Suite ist. Nachweis über Echtheit und Manipulationsfreiheit Mit einem Chip ausgestattete elektronische Reisepässe verhindern, dass die personenbezogenen Daten des Passinhabers unerkannt manipuliert werden können. Denn mit Hilfe des Public Key Directorys der Internationalen Zivilluftfahrtorganisation (ICAO) können Grenzkontrollbehörden die Echtheit der Passdaten prüfen. Dabei greifen sie auf vorqualifizierte Zertifikate, sogenannte Document Signer Certificates, und andere PKI-Daten aus den aktiven Mitgliedstaaten zurück. Das Innenministerium der Vereinigten Arabischen Emirate hat jetzt das nationale PKD-System eingeführt, das die von dem ICAO PKD und aus anderen Quellen erhaltenen Daten gegenprüft und die entsprechenden Zertifikate und Sperrlisten an alle Prüfsysteme (sogenannte Inspection Systems ) der Grenzkontrollstellen in den VAE weiterleitet. Im September 2011 traten die Vereinigten Arabischen Emirate als erstes Land im Mittleren Osten der ICAO PKD bei. Jetzt sind sie das erste Land im Mittleren Osten, das eine nationale PKD-Lösung eingeführt hat. Mehr Informationen: Oliver Jahnke secuview 1/

18 International Weder sperrig noch langwierig: IT-Grundschutz Die von secunet entwickelte Vorgehensweise mit drei Handlungssträngen ermöglicht die schnelle und angepasste Umsetzung eines IT-Sicherheitskonzepts bei Behörden und Unternehmen auf Basis des IT-Grundschutzes. Fachprozesse finden in der Methodik ebenso Berücksichtigung wie Standard-IT-Anwendungen Seit 15 Jahren erstellt secunet Sicherheitskonzepte nach der IT-Grundschutzmethode. Mehr als Projekte im Umfeld der Bundesverwaltung, auf Länderebene und in Unternehmen verschiedener Branchen wurden bereits erfolgreich abgeschlossen. Dabei wurde klar: Die Umsetzung der Informationssicherheit auf Basis des IT-Grundschutzes eignet sich gut für Standard- IT-Komponenten, steht jedoch immer wieder vor folgenden Herausforderungen: - Kombination mit Fachprozessen - Geringes inhaltliches Wissen der Mitarbeiterinnen und Mitarbeiter in den IT-Bereichen über die von ihnen betreuten Fachprozesse und deren Schutzbedarf - Kein integrierter Betrieb von Managementsystemen und Informationssicherheitsmanagementsystemen (ISMS) - Gemeinsame Behandlung von Compliance- Anforderungen und IT-Sicherheit nur in Ausnahmefällen - Späte Erfolge und hohe Komplexität durch das klassische Vorgehen im Grundschutz-Wasserfallmodell Mit dem gesammelten Know-how hat secunet eine angepasste Vorgehensweise zur Umsetzung des Grundschutzes entwickelt, die diese Schwierigkeiten eindämmt, dabei aber die Vorteile des Grundschutzes nutzt. Die Methodik umfasst drei vorzugsweise parallel auszuführende Handlungsstränge und führt zielgerichtet und schnell zu zertifizierungsfähigen ISMS nach IT-Grundschutz. - Handlungsstrang sichere Kern-IT Die IT einer Institution besteht aus Kernsystemen. Diese werden in einem Bottom-up-Ansatz betrachtet. Das betrifft sowohl virtualisierte Infrastrukturen als auch physische Clients, Server und Netzwerkkomponenten oder allgemeine Anwendungen wie Webserver oder das Active Directory. - Handlungsstrang Fachsicherheitskonzepte Die fachlichen Aufgaben, Anwendungen und Geschäftsprozesse der Institution, die die sichere Kern-IT nutzen, werden in Form von Fachsicherheitskonzepten betrachtet (Top-down-Ansatz). 18 secuview 1/2015

19 International Kurz notiert Dr. Rainer Baumgart erneut in ENISA- Beirat berufen - Handlungsstrang ISMS Ein oft unterschätzter Bestandteil der Informationssicherheit ist der eigentliche Kern der meisten Standards also auch des IT-Grundschutzes: das ISMS. Schnelle Ergebnisse, Aufhebung der Nachteile von IT-Grundschutz, Einbeziehung von Fachprozessen Der BSI-Standard legt nicht fest, die einzelnen Schritte der Sicherheitskonzepterstellung nacheinander abzuarbeiten. Die von secunet entwickelte Methodik sieht vor, mehrere Schritte zeitgleich zu beginnen und in den drei Handlungssträngen parallel zu verfolgen. Dadurch ist es möglich, effizient und schnell zu Ergebnissen zu kommen und das ISMS in bestehende andere Managementsysteme einzubinden. Die Europäische Agentur für Netz- und Informationssicherheit ENISA hat die Mitglieder der Permanent Stakeholder Group (PSG) bekanntgegeben. Die nun auf 23 Mitglieder verkleinerte PSG setzt sich aus Vertretern der Industrie, Wissenschaft, Verbraucherorganisationen und nationalen Regulierungsbehörden zusammen. Das Gremium berät den ausführenden Direktor der ENISA bei der Entwicklung ihres Aufgabengebietes sowie bei der Kommunikation mit den relevanten Stakeholdern und der Identifizierung aller mit IT-Sicherheit verbundenen Themen. Dr. Rainer Baumgart war von 2010 bis 2012 bereits Mitglied der PSG, anschließend vertrat Volker Schneider secunet bei der ENISA. Im März wurde der secunet CEO erneut in das Gremium berufen die aktuelle Mitgliedschaft endet am 1. September Mehr Informationen: René Seydel secuview 1/

20 Technologien & Lösungen SINA erhält höchste internationale Zulassungen secunet ist einziger deutscher Hersteller von IPsec-Lösungen für den Geheimhaltungsgrad NATO SECRET D ie NATO hat die Kryptokomponenten SINA gelassen. Zuvor erhielten verschiedene andere Ver- L3 Box H, SINA Workstation H und SINA schlüsselungsgeräte der SINA Produktfamilie durch Terminal H Anfang des Jahres für den den Rat der Europäischen Union eine Zulassung für Geheimhaltungsgrad NATO SECRET zugelassen. den Einsatz in der EU zur sicheren Übertragung von Damit können alle NATO-Mitgliedstaaten sowie die Informationen über öffentliche Leitungswege. gesamte NATO-Organisation und ihre weltweiten Einheiten diese SINA Produkte für NATO SECRET secunet ist damit der einzige Hersteller, der eingestufte Kommunikation einsetzen. IP-basierte Kryptographie-Lösungen für alle EUGeheimhaltungsgrade bereitstellt. Zudem erfüllt Auf europäischer Ebene wurden im Juni dieses Jah- secunet als einziger deutscher Hersteller die res die SINA L3 Box S in den Softwareversionen 2.2 NATO-Anforderungen an IPsec-Lösungen für den und 3.7, die SINA L2 Box S in den Softwareversi- hohen Geheimhaltungsgrad NATO SECRET. onen 3.2 und 3.3 sowie die SINA Workstation S in der Version für den EU-Geheimhaltungsgrad RESTREINT UE (EU RESTRICTED) zugelassen. Die Mehr Informationen: SINA L3 Box H wurde im August 2014 bereits für den Merlin Gräwer Geheimhaltungsgrad SECRET UE (EU SECRET) zu- VS-Zulassungen Komponenten SINA L3 Box Deutschland GEHEIM / STRENG GEHEIM NATO NATO SECRET EU SECRET UE VS-VERTRAULICH NATO CONFIDENTIAL CONFIDENTIEL UE VS-NfD NATO RESTRICTED RESTREINT UE SINA One Way GEHEIM NATO SECRET SINA L2 Box VS-NfD NATO RESTRICTED RESTREINT UE SINA Workstation GEHEIM NATO SECRET In Evaluierung VS-VERTRAULICH NATO CONFIDENTIAL* CONFIDENTIEL UE* VS-NfD NATO RESTRICTED RESTREINT UE SINA Tablet VS-NfD SINA Terminal GEHEIM / STRENG GEHEIM NATO SECRET In Evaluierung VS-VERTRAULICH NATO CONFIDENTIAL CONFIDENTIEL UE* VS-NfD NATO RESTRICTED RESTREINT UE Für den zulassungskonformen Betrieb sind die Vorgaben/Sicherheitshinweise der jeweils gültigen BSI-Zulassungsurkunde zu beachten. * Nur für den nationalen Gebrauch durch BSI zugelassen. ist eine Gemeinschaftsentwicklung von 20 secuview 1/2015 Stand: Juli 2015 und

Auswirkungen des IT-Sicherheitsgesetzes für Krankenhäuser. Umsetzungshinweise

Auswirkungen des IT-Sicherheitsgesetzes für Krankenhäuser. Umsetzungshinweise Ziele Auswirkungen des IT-Sicherheitsgesetzes für Krankenhäuser Umsetzungshinweise dubois it-consulting gmbh, Holzhofstr. 10, 55116 Mainz, +49 6131 2150691 oder +49 177 4104045, ingrid.dubois@dubois-it-consulting.de

Mehr

FORSCHUNGSZENTRUM CODE Jahrestagung 2015: Security Awareness. Prof. Dr. Gabi Dreo Rodosek

FORSCHUNGSZENTRUM CODE Jahrestagung 2015: Security Awareness. Prof. Dr. Gabi Dreo Rodosek FORSCHUNGSZENTRUM CODE Jahrestagung 2015: Security Awareness Prof. Dr. Gabi Dreo Rodosek www.unibw.de/code code@unibw.de 25.03.2015 Vernetze, Smarte, Virtuelle Welt Internet der Dinge/Dienste/Daten Die

Mehr

Neue gesetzliche Anforderungen an Stadtwerke: Mindestanforderungen für die IT-Sicherheit

Neue gesetzliche Anforderungen an Stadtwerke: Mindestanforderungen für die IT-Sicherheit Neue gesetzliche Anforderungen an Stadtwerke: Mindestanforderungen für die IT-Sicherheit smartoptimo GmbH & Co. KG Luisenstraße 20 49074 Osnabrück Telefon 0541.600680-0 Telefax 0541.60680-12 info@smartoptimo.de

Mehr

Cybercrime, Cyberspionage, Cybersabotage - Wie schützen wir unseren Cyberraum?

Cybercrime, Cyberspionage, Cybersabotage - Wie schützen wir unseren Cyberraum? Cybercrime, Cyberspionage, Cybersabotage - Wie schützen wir unseren Cyberraum? Dirk Häger, Fachbereichsleiter Operative Netzabwehr Bundesamt für Sicherheit in der Informationstechnik Jahrestagung CODE,

Mehr

BSI-Mindestsicherheitsanforderungen an Cloud-Computing-Anbieter

BSI-Mindestsicherheitsanforderungen an Cloud-Computing-Anbieter BSI-Mindestsicherheitsanforderungen an Cloud-Computing-Anbieter Alex Didier Essoh und Dr. Clemens Doubrava EuroCloud Deutschland_eco e.v. Köln 02.02.2011 Ziel Ziel des BSI ist es, gemeinsam mit den Marktteilnehmern

Mehr

ISMS und Sicherheitskonzepte ISO 27001 und IT-Grundschutz

ISMS und Sicherheitskonzepte ISO 27001 und IT-Grundschutz ISMS und Sicherheitskonzepte ISO 27001 und IT-Grundschutz Aufbau eines ISMS, Erstellung von Sicherheitskonzepten Bei jedem Unternehmen mit IT-basierenden Geschäftsprozessen kommt der Informationssicherheit

Mehr

Sozioökonomische Dienstleistungsinfrastrukturen

Sozioökonomische Dienstleistungsinfrastrukturen Das IT-Sicherheitsgesetz Am 12. Juni 2015 hat der deutsche Bundestag in 2. und 3. Lesung das Gesetz zur Erhöhung der Sicherheit informationstechnischer Systeme (IT-Sicherheitsgesetz) beschlossen. Die Zustimmung

Mehr

SINA mit Windows = eine gute Gastfreundschaft. Dr. Kai Martius, Armin Wappenschmidt Bonn, 21. / 22. Mai 2014

SINA mit Windows = eine gute Gastfreundschaft. Dr. Kai Martius, Armin Wappenschmidt Bonn, 21. / 22. Mai 2014 SINA mit Windows = eine gute Gastfreundschaft Dr. Kai Martius, Armin Wappenschmidt Bonn, 21. / 22. Mai 2014 secunet Security Networks AG Security Made in Germany Einer der führenden Spezialisten für innovative

Mehr

Cyber Defence vor dem Hintegrund der NSA-Affäre

Cyber Defence vor dem Hintegrund der NSA-Affäre Cyber Defence vor dem Hintegrund der NSA-Affäre Prof. Dr. Gabi Dreo Rodosek Sprecherin des Forschungszentrums CODE gabi.dreo@unibw.de 2014 Gabi Dreo Rodosek 1 Die Wachsende Bedrohung 2014 Gabi Dreo Rodosek

Mehr

Consulting Services Effiziente Sicherheitsprozesse nach Mass.

Consulting Services Effiziente Sicherheitsprozesse nach Mass. Consulting Services Effiziente Sicherheitsprozesse nach Mass. Angemessene, professionelle Beratung nach internationalen Sicherheitsstandards. Effektive Schwachstellenerkennung und gezielte Risikominimierung.

Mehr

Die Zukunft der IT-Sicherheit

Die Zukunft der IT-Sicherheit Die Zukunft der IT-Sicherheit Was wir aus dem IT-SiG und Co. so alles für die Zukunft lernen können! 20.03.2015 Gerald Spyra, LL.M. Kanzlei Spyra Vorstellung meiner Person Gerald Spyra, LL.M. Rechtsanwalt

Mehr

Wo erweitert das IT-Sicherheitsgesetz bestehende Anforderungen und wo bleibt alles beim Alten?

Wo erweitert das IT-Sicherheitsgesetz bestehende Anforderungen und wo bleibt alles beim Alten? Wo erweitert das IT-Sicherheitsgesetz bestehende Anforderungen und wo bleibt alles beim Alten? Hamburg/Osnabrück/Bremen 18./25./26. November 2014 Gerd Malert Agenda 1. Kernziele des Gesetzesentwurfes 2.

Mehr

Cyber-Sicherheit von Industrial Control Systems

Cyber-Sicherheit von Industrial Control Systems Cyber-Sicherheit von Industrial Control Systems Holger Junker Bundesamt für Sicherheit in der Informationstechnik Industrial IT Forum 2012-04-25 Agenda Das BSI Cyber-Sicherheit im ICS-Kontext Sicherheitsmaßnahmen

Mehr

Sicherheitstechnische Qualifizierung (SQ), Version 10.0 Security Assurance Level SEAL-3

Sicherheitstechnische Qualifizierung (SQ), Version 10.0 Security Assurance Level SEAL-3 Die Zertifizierungsstelle der TÜV Informationstechnik GmbH bescheinigt hiermit dem Unternehmen RWE Effizienz GmbH Flamingoweg 1 44139 Dortmund für das IT-System RWE eoperate IT Services die Erfüllung aller

Mehr

Das neue IT-Sicherheitsgesetz: Welche Unternehmen sind betroffen? Was ist zu tun?

Das neue IT-Sicherheitsgesetz: Welche Unternehmen sind betroffen? Was ist zu tun? Dipl.-Wirtsch.-Ing. Frank Hallfell Dipl.-Ing.(FH) Günther Orth enbiz gmbh, Kaiserslautern Das neue IT-Sicherheitsgesetz: Welche Unternehmen sind betroffen? Was ist zu tun? IT-Tag Saarbrücken, 16.10.2015

Mehr

Infoblatt Security Management

Infoblatt Security Management NCC Guttermann GmbH Wolbecker Windmühle 55 48167 Münster www.nccms.de 4., vollständig neu bearbeitete Auflage 2014 2013 by NCC Guttermann GmbH, Münster Umschlag unter Verwendung einer Abbildung von 123rf

Mehr

IT-Dienstleistungszentrum Berlin

IT-Dienstleistungszentrum Berlin IT-Dienstleistungszentrum Berlin»Private Cloud für das Land Berlin«25.11.2010, Kai Osterhage IT-Sicherheitsbeauftragter des ITDZ Berlin Moderne n für die Verwaltung. Private Cloud Computing Private Cloud

Mehr

Status quo Know-how Kontext Industrial IT-Security beim VDMA

Status quo Know-how Kontext Industrial IT-Security beim VDMA Status quo Know-how how-schutz im Kontext Industrial IT-Security beim VDMA Augsburg, 2014-02-19 Peter Mnich VICCON GmbH Ottostr. 1 76275 Ettlingen VICCON GmbH Büro Potsdam David-Gilly-Str. 1 14469 Potsdam

Mehr

Leitfaden zum sicheren Betrieb von Smart Meter Gateways

Leitfaden zum sicheren Betrieb von Smart Meter Gateways Leitfaden zum sicheren Betrieb von Smart Meter Gateways Wer Smart Meter Gateways verwaltet, muss die IT-Sicherheit seiner dafür eingesetzten Infrastruktur nachweisen. Diesen Nachweis erbringt ein Gateway-

Mehr

Herausforderungen und Lösungsansätze für wachsende IT- Sicherheitsanforderungen bei Verkehrsunternehmen

Herausforderungen und Lösungsansätze für wachsende IT- Sicherheitsanforderungen bei Verkehrsunternehmen Herausforderungen und Lösungsansätze für wachsende IT- Sicherheitsanforderungen bei Verkehrsunternehmen Dr. Alexander Vilbig Leitung Anwendungen SWM Services GmbH M / Wasser M / Bäder M / Strom M / Fernwärme

Mehr

IT-Sicherheit für die Energie- und Wasserwirtschaft

IT-Sicherheit für die Energie- und Wasserwirtschaft IT-Sicherheit für die Energie- und Wasserwirtschaft Als Prozess für Ihr ganzes Unternehmen. Zu Ihrer Sicherheit. www.schleupen.de Schleupen AG 2 Deshalb sollte sich Ihr Unternehmen mit IT-Sicherheit beschäftigen

Mehr

Datenschutz und IT-Sicherheit. Smart Meter CA & Gateway Administration. SmartMeterCA &

Datenschutz und IT-Sicherheit. Smart Meter CA & Gateway Administration. SmartMeterCA & Datenschutz und IT-Sicherheit Smart Meter CA & Gateway Administration SmartMeterCA & Gateway Administration 4 Projekte 4 gute Ideen für den Smart Meter Gateway Administrator Unsere vier Projekte im Überblick

Mehr

ITK Sicherheitsgesetz Umsetzung mit verinice.pro. verinice.xp- Grundschutztag 15.09.2015

ITK Sicherheitsgesetz Umsetzung mit verinice.pro. verinice.xp- Grundschutztag 15.09.2015 ITK Sicherheitsgesetz Umsetzung mit verinice.pro verinice.xp- Grundschutztag 15.09.2015 Überblick Kurze Vorstellung des IT-Sicherheitsgesetzes Konkretisierung des Gesetzes für Energieversorger Abbildung

Mehr

Hacking für Deutschland!? Aufgaben und Herausforderungen der Cyberabwehr im BSI

Hacking für Deutschland!? Aufgaben und Herausforderungen der Cyberabwehr im BSI Hacking für Deutschland!? Aufgaben und Herausforderungen der Cyberabwehr im BSI Andreas Könen Vizepräsident, Bundesamt für Sicherheit in der Informationstechnik Hacking für Deutschland!? Aufgaben und Herausforderungen

Mehr

Arbeitskreis Sichere Smart Grids Kick-off

Arbeitskreis Sichere Smart Grids Kick-off Arbeitskreis Sichere Smart Grids Kick-off 30. Juli 2013, 16.30 bis 18.30 Uhr secunet Security Networks AG, Konrad-Zuse-Platz 2, 81829 München Leitung: Steffen Heyde, secunet Agenda: 16.30 Uhr Begrüßung

Mehr

IT-Grundschutz IT-Sicherheit ohne Risiken Und Nebenwirkungen

IT-Grundschutz IT-Sicherheit ohne Risiken Und Nebenwirkungen IT-Sicherheit ohne Risiken Und Nebenwirkungen Bundesamt für Sicherheit in der Informationstechnik Grundlagen der Informationssicherheit und 1. -Tag 03.02.2015 Agenda Das BSI Informationssicherheit Definition

Mehr

Welche Sicherheit brauchen die Unterehmen?

Welche Sicherheit brauchen die Unterehmen? Welche Sicherheit brauchen die Unterehmen? Ammar Alkassar Vorstand Sirrix AG IuK-Tag NRW 20. November 2014 ı Bochum Ursprünge BMWi-Studie in der Spitzenforschung zur IT-Sicherheit bei Industrie 4.0 Gegründet

Mehr

Sicherheitstechnische Qualifizierung (SQ), Version 10.0 Security Assurance Level SEAL-5

Sicherheitstechnische Qualifizierung (SQ), Version 10.0 Security Assurance Level SEAL-5 Die Zertifizierungsstelle der TÜV Informationstechnik GmbH bescheinigt hiermit dem Unternehmen SLA Software Logistik Artland GmbH Friedrichstraße 30 49610 Quakenbrück für das IT-System Meat Integrity Solution

Mehr

LANCOM Systems. Standortvernetzung NEU

LANCOM Systems. Standortvernetzung NEU LANCOM Systems Hochsichere Standortvernetzung NEU Hochsichere Standortvernetzung [...] Geheimdienste werten in ungeahntem Ausmaß deutsche Mails, Telefongespräche und Kurznachrichten aus. Unternehmen befürchten

Mehr

Anforderungen an die IT-Sicherheit Sicherheit von Informationen in kritischen Infrastrukturen ein Erfahrungsbericht

Anforderungen an die IT-Sicherheit Sicherheit von Informationen in kritischen Infrastrukturen ein Erfahrungsbericht Anforderungen an die IT-Sicherheit Sicherheit von Informationen in kritischen Infrastrukturen ein Erfahrungsbericht Jörg Kehrmann Datenschutz- und IT-Sicherheitsbeauftragter der Wuppertaler Stadtwerke

Mehr

emra-x DIE ANFRAGERSCHNITTSTELLE FÜR DIE MELDEREGISTERAUSKUNFT 2.0

emra-x DIE ANFRAGERSCHNITTSTELLE FÜR DIE MELDEREGISTERAUSKUNFT 2.0 emra-x DIE ANFRAGERSCHNITTSTELLE FÜR DIE MELDEREGISTERAUSKUNFT 2.0 ÜBER UNS Die DVZ Datenverarbeitungszentrum Mecklenburg-Vorpommern GmbH (DVZ M-V GmbH) ist der IT-Service-Provider der Landesverwaltung

Mehr

Rechtliche Anforderungen an die IT-Sicherheit

Rechtliche Anforderungen an die IT-Sicherheit Rechtliche Anforderungen an die IT-Sicherheit Tag der IT-Sicherheit 05.02.2015 NELL-BREUNING-ALLEE 6 D-66115 SAARBRÜCKEN TELEFON: +49(0)681 /9 26 75-0 TELFAX: +49(0)681 /9 26 75-80 WWW.JURE.DE Überblick

Mehr

Lehrgang Information Security Management

Lehrgang Information Security Management Lehrgang Security Management Das Zeitalter der Datenkommunikation bietet ungeahnte Möglichkeiten der, Kommunikation, der Vereinfachung, Beschleunigung von Arbeitsabläufen, Geschäftsabschlüssen. Geschäftsprozesse

Mehr

Sicherheitstechnische Qualifizierung (SQ), Version 10.0 Security Assurance Level SEAL-3

Sicherheitstechnische Qualifizierung (SQ), Version 10.0 Security Assurance Level SEAL-3 Die Zertifizierungsstelle der TÜV Informationstechnik GmbH bescheinigt hiermit dem Unternehmen Deutsche Telekom AG Products & Innovation T-Online-Allee 1 64295 Darmstadt für das IT-System Developer Garden

Mehr

20 Jahre IT-Grundschutz Zeit für eine Modernisierung und Die neuen Vorgehensweisen. Holger Schildt IT-Grundschutz und Allianz für Cyber-Sicherheit

20 Jahre IT-Grundschutz Zeit für eine Modernisierung und Die neuen Vorgehensweisen. Holger Schildt IT-Grundschutz und Allianz für Cyber-Sicherheit 20 Jahre IT-Grundschutz Zeit für eine Modernisierung und Die neuen Vorgehensweisen Holger Schildt IT-Grundschutz und Allianz für Cyber-Sicherheit Agenda 1. Einleitung und Motivation 2. Vorgehensweisen

Mehr

IT-Grundschutz - der direkte Weg zur Informationssicherheit

IT-Grundschutz - der direkte Weg zur Informationssicherheit IT-Grundschutz - der direkte Weg zur Informationssicherheit Bundesamt für Sicherheit in der Informationstechnik Referat IT-Sicherheitsmanagement und IT-Grundschutz Security-Forum 08.10.2008 Überblick IT-Grundschutz-Methodik

Mehr

2.2. 8b Zentrale Meldestelle für die Sicherheit in der Informationstechnik für die Betreiber kritischer Infrastrukturen

2.2. 8b Zentrale Meldestelle für die Sicherheit in der Informationstechnik für die Betreiber kritischer Infrastrukturen Stellungnahme des Gesamtverbandes der Deutschen Versicherungswirtschaft ID-Nummer 6437280268-55 sowie des Verbandes der Privaten Krankenversicherung zum Referentenentwurf des Bundesministeriums des Innern

Mehr

Sichere Telefonkonferenzen zum Schutz vor Wirtschaftsspionage

Sichere Telefonkonferenzen zum Schutz vor Wirtschaftsspionage Sichere Telefonkonferenzen zum Schutz vor Wirtschaftsspionage it-sa, 16. Oktober 2012 seamless secure communication Über Secusmart! Gründung: 2007! Seit 2009 bei den Bundesbehörden im Einsatz Quelle: Spiegel

Mehr

Security. Voice +41 (0)55 214 41 56 Fax +41 (0)55 214 41 57 Mobile +41 (0)79 336 56 76 E-Mail felix.widmer@tan-group.ch Web www.tan-group.

Security. Voice +41 (0)55 214 41 56 Fax +41 (0)55 214 41 57 Mobile +41 (0)79 336 56 76 E-Mail felix.widmer@tan-group.ch Web www.tan-group. Security Felix Widmer TCG Tan Consulting Group GmbH Hanflaenderstrasse 3 CH-8640 Rapperswil SG Voice +41 (0)55 214 41 56 Fax +41 (0)55 214 41 57 Mobile +41 (0)79 336 56 76 E-Mail felix.widmer@tan-group.ch

Mehr

UNTERNEHMENSVORSTELLUNG. Wir schützen Ihre Unternehmenswerte

UNTERNEHMENSVORSTELLUNG. Wir schützen Ihre Unternehmenswerte UNTERNEHMENSVORSTELLUNG Wir schützen Ihre Unternehmenswerte Wir schützen Ihre Unternehmenswerte Wer sind wir? Die wurde 1996 als klassisches IT-Systemhaus gegründet. 15 qualifizierte Mitarbeiter, Informatiker,

Mehr

individuelle IT-Lösungen

individuelle IT-Lösungen individuelle IT-Lösungen Unternehmensprofil Als kompetenter IT Dienstleister ist HaKoDi EDV-Systeme für kleine und mittelständische Unternehmen in ganz Mitteldeutschland tätig. Wir planen und realisieren

Mehr

Müssen Sie Ihre Informationen schützen? Werden Sie aktiv mit ISO/IEC 27001 von BSI.

Müssen Sie Ihre Informationen schützen? Werden Sie aktiv mit ISO/IEC 27001 von BSI. Müssen Sie Ihre Informationen schützen? Werden Sie aktiv mit ISO/IEC 27001 von BSI. ISO/IEC 27001 von BSI Ihre erste Wahl für Informationssicherheit BSI ist die Gesellschaft für Unternehmensstandards,

Mehr

IT-Security on Cloud Computing

IT-Security on Cloud Computing Abbildung 1: IT-Sicherheit des Cloud Computing Name, Vorname: Ebert, Philipp Geb.: 23.06.1993 Studiengang: Angewandte Informatik, 3. FS Beruf: IT-Systemelektroniker Abgabedatum: 08.12.2014 Kurzfassung

Mehr

ikb Data Experten für sensible Daten

ikb Data Experten für sensible Daten ikb Data Experten für sensible Daten Die ikb Data GmbH gehört zu den führenden deutschen Dienstleistungsunternehmen im Bereich IT-Infrastruktur und Datensicherheit. Im Jahr 2004 als Shared-Service-Center

Mehr

Angewandte Forschung zur IT Sicherheit: Das Fraunhofer SIT in Darmstadt

Angewandte Forschung zur IT Sicherheit: Das Fraunhofer SIT in Darmstadt Angewandte Forschung zur IT Sicherheit: Das Fraunhofer SIT in Darmstadt Prof. Dr. Michael Waidner Institutsleiter, Fraunhofer SIT Darmstadt & Stellv. Direktor, CASED Überblick Wohin geht die Informationssicherheit?

Mehr

Sicherheit für Ihre Daten. Security Made in Germany

Sicherheit für Ihre Daten. Security Made in Germany Sicherheit für Ihre Daten Security Made in Germany Auf einen Blick. Die Sicherheitslösung, auf die Sie gewartet haben. Sicherheitslösungen müssen transparent sein; einfach, aber flexibel. DriveLock bietet

Mehr

Sicherheitstechnische Qualifizierung (SQ), Version 10.0 Security Assurance Level SEAL-3

Sicherheitstechnische Qualifizierung (SQ), Version 10.0 Security Assurance Level SEAL-3 Die Zertifizierungsstelle der TÜV Informationstechnik GmbH bescheinigt hiermit dem Unternehmen Agfa HealthCare GmbH Konrad-Zuse-Platz 1-3 53227 Bonn für das IT-System IMPAX/web.Access die Erfüllung aller

Mehr

Was sieht das Gesetz vor?

Was sieht das Gesetz vor? Die Bundesregierung plant ein IT Sicherheitsgesetz. Dieses liegt aktuell als Referenten- entwurf des Innenministeriums vor und wird zwischen den einzelnen Ministerien abgestimmt. Im Internet wird viel

Mehr

IT-Sicherheitspolitik. der teilnehmenden Hochschulen und Forschungseinrichtungen in Schleswig-Holstein

IT-Sicherheitspolitik. der teilnehmenden Hochschulen und Forschungseinrichtungen in Schleswig-Holstein der teilnehmenden Hochschulen und Forschungseinrichtungen in Schleswig-Holstein Teilnehmende Institutionen Flensburg Universität Flensburg Christian- Albrechts- Universität IFM-GEOMAR Kiel Muthesius Kunsthochschule

Mehr

Smartphones, Pads, Apps, Socialnetworks und Co

Smartphones, Pads, Apps, Socialnetworks und Co @-yet GmbH Wolfgang Straßer Geschäftsführer Dipl.-Kfm. Smartphones, Pads, Apps, Socialnetworks und Co Neue Gefahren für die Informationssicherheit @-yet GmbH, Schloß Eicherhof, D-42799 Leichlingen +49

Mehr

CRAMM. CCTA Risikoanalyse und -management Methode

CRAMM. CCTA Risikoanalyse und -management Methode CRAMM CCTA Risikoanalyse und -management Methode Agenda Überblick Markt Geschichte Risikomanagement Standards Phasen Manuelle Methode Business Continuity Vor- und Nachteile Empfehlung! ""# # Überblick

Mehr

Anforderungen für sicheres Cloud Computing

Anforderungen für sicheres Cloud Computing Anforderungen für sicheres Cloud Computing Isabel Münch Bundesamt für Sicherheit in der Informationstechnik EuroCloud Deutschland Conference Köln 18.05.2011 Agenda Überblick BSI Grundlagen Sicherheitsempfehlungen

Mehr

secunet Security Networks AG IPv6 in Hochsicherheitsumgebungen Probleme und Lösungsansätze

secunet Security Networks AG IPv6 in Hochsicherheitsumgebungen Probleme und Lösungsansätze secunet Security Networks AG IPv6 in Hochsicherheitsumgebungen Probleme und Lösungsansätze Potsdam, 15.5.2009 Hans-Markus Krüger, Dr. Kai Martius Das Unternehmen im Überblick Der führende deutsche Spezialist

Mehr

Philosophie & Tätigkeiten. Geschäftsfelder. Software Engineering. Business Applikationen. Mobile Applikationen. Web Applikationen.

Philosophie & Tätigkeiten. Geschäftsfelder. Software Engineering. Business Applikationen. Mobile Applikationen. Web Applikationen. Philosophie & Tätigkeiten Wir sind ein Unternehmen, welches sich mit der Umsetzung kundenspezifischer Softwareprodukte und IT-Lösungen beschäftigt. Wir unterstützen unsere Kunde während des gesamten Projektprozesses,

Mehr

Industrial IT Security

Industrial IT Security Industrial IT Security Herausforderung im 21. Jahrhundert INNOVATIONSPREIS-IT www.koramis.de IT-SECURITY Industrial IT Security zunehmend wichtiger Sehr geehrter Geschäftspartner, als wir in 2005 begannen,

Mehr

Advanced Cyber Defense im Spannungsfeld zwischen Compliance und Wirksamkeit. Uwe Bernd-Striebeck RSA Security Summit München, 12.

Advanced Cyber Defense im Spannungsfeld zwischen Compliance und Wirksamkeit. Uwe Bernd-Striebeck RSA Security Summit München, 12. Advanced Cyber Defense im Spannungsfeld zwischen Compliance und Wirksamkeit Uwe Bernd-Striebeck RSA Security Summit München, 12. Mai 2014 Security Consulting Planung und Aufbau von Informationssicherheit

Mehr

Klein Computer System AG. Portrait

Klein Computer System AG. Portrait Klein Computer System AG Portrait Die Klein Computer System AG wurde 1986 durch Wolfgang Klein mit Sitz in Dübendorf gegründet. Die Geschäftstätigkeiten haben sich über die Jahre stark verändert und wurden

Mehr

......... http://www.r-tec.net

......... http://www.r-tec.net Digital unterschrieben von Marek Stiefenhofer Date: 2014.09.09 09:18:41 MESZ Reason: (c) 2014, r-tec IT Systeme GmbH.......... r-tec IT Systeme GmbH 09.09.2014 Bedrohungslage 2014 SEITE 3 2010: Stuxnet

Mehr

Sicherheit integrierter Gebäudesysteme - Bedrohungsszenarien, Lösungsansätze - Markus Ullmann

Sicherheit integrierter Gebäudesysteme - Bedrohungsszenarien, Lösungsansätze - Markus Ullmann Sicherheit integrierter Gebäudesysteme - Bedrohungsszenarien, Lösungsansätze - Markus Ullmann Bundesamt für Sicherheit in der Informationstechnik (BSI) Connected Living 2013 Agenda Studie: Integrierte

Mehr

lassen Sie mich zunächst den Organisatoren dieser Konferenz für ihre Einladung danken. Es freut mich sehr, zu Ihren Diskussionen beitragen zu dürfen.

lassen Sie mich zunächst den Organisatoren dieser Konferenz für ihre Einladung danken. Es freut mich sehr, zu Ihren Diskussionen beitragen zu dürfen. Mobile Personal Clouds with Silver Linings Columbia Institute for Tele Information Columbia Business School New York, 8. Juni 2012 Giovanni Buttarelli, Stellvertretender Europäischer Datenschutzbeauftragter

Mehr

E-Mail-Verschlüsselung für Unternehmen Basics und Trends im Jahr 2015

E-Mail-Verschlüsselung für Unternehmen Basics und Trends im Jahr 2015 E-Mail-Verschlüsselung für Unternehmen Basics und Trends im Jahr 2015 E-Mail-Verschlüsselung für Unternehmen Basics und Trends im Jahr 2015 Warum Inhalte und nicht nur Übertragungswege verschlüsseln? Standards:

Mehr

SINA Tablet. CeBIT 2015

SINA Tablet. CeBIT 2015 CeBIT 2015 secunet Security Networks AG Security Made in Germany Einer der führenden Spezialisten für innovative und anspruchsvolle IT-Sicherheit Kunden Über 500 nationale und internationale Referenzen

Mehr

Die Vorgaben des IT-Planungsrates Leitlinie für Informationssicherheit der öffentlichen Verwaltung

Die Vorgaben des IT-Planungsrates Leitlinie für Informationssicherheit der öffentlichen Verwaltung Die Vorgaben des IT-Planungsrates Leitlinie für Informationssicherheit der öffentlichen Verwaltung Dr. Stefan Grosse Bundesministerium des Innern, Leiter Referat IT5 (IT5@bmi.bund.de) IT-Infrastrukturen

Mehr

G Data Small Business Security Studie 2012. Wie gehen kleinere Unternehmen mit IT-Sicherheit um? G Data. Security Made in Germany

G Data Small Business Security Studie 2012. Wie gehen kleinere Unternehmen mit IT-Sicherheit um? G Data. Security Made in Germany G Data Small Business Security Studie 2012 Wie gehen kleinere Unternehmen mit IT-Sicherheit um? G Data. Security Made in Germany IT-Security ist für kleinere Firmen zu einer zentralen Herausforderung geworden,

Mehr

Mehr wissen. Mehr entdecken. Mehr leisten. Erschließen Sie Informationen mit Enterprise Search.

Mehr wissen. Mehr entdecken. Mehr leisten. Erschließen Sie Informationen mit Enterprise Search. Mehr wissen. Mehr entdecken. Mehr leisten. Erschließen Sie Informationen mit Enterprise Search. Die Lösung für Enterprise Search xdot search xdot search ist eine professionelle Semantische Suche Suchlösung

Mehr

Herausforderungen und Chancen im industriellen Umfeld

Herausforderungen und Chancen im industriellen Umfeld Die Vorteile öffentlicher Netze nutzen 12.08.2014, Marc Lindlbauer, secunet Security Networks AG Herausforderungen und Chancen im industriellen Umfeld Daten & Fakten zur secunet Security Networks AG >340

Mehr

DATENSCHUTZBERATUNG. vertrauensvoll, qualifiziert, rechtssicher

DATENSCHUTZBERATUNG. vertrauensvoll, qualifiziert, rechtssicher DATENSCHUTZBERATUNG vertrauensvoll, qualifiziert, rechtssicher SIND SIE WIRKLICH SICHER? Wer sorgt in Ihrem Unternehmen dafür, dass die rechtlichen Anforderungen des Datenschutzes und der Datensicherheit

Mehr

NEUARBEITEN Der moderne Arbeitsplatz der Zukunft Neuarbeiten schafft auf Basis von Office 365 einen sofort nutzbaren, modernen IT-Arbeitsplatz

NEUARBEITEN Der moderne Arbeitsplatz der Zukunft Neuarbeiten schafft auf Basis von Office 365 einen sofort nutzbaren, modernen IT-Arbeitsplatz NEUARBEITEN Der moderne Arbeitsplatz der Zukunft Neuarbeiten schafft auf Basis von Office 365 einen sofort nutzbaren, modernen IT-Arbeitsplatz Mit NEUARBEITEN gestalten wir Ihnen eine innovative Arbeitsplattform

Mehr

Ganz sicher sicher surfen. it-sa 2013 Nürnberg

Ganz sicher sicher surfen. it-sa 2013 Nürnberg Ganz sicher sicher surfen it-sa 2013 Nürnberg + Soforthilfe gegen kritische Reader-Lücken heise.de, 14.02.2013 Wer mit den aktuellen Versionen des Adobe Reader ein PDF-Dokument öffnet, läuft Gefahr, sich

Mehr

IT-Sicherheitsgesetz und IT- Sicherheitskatalog Anforderungen an Betreiber kritischer Infrastrukturen

IT-Sicherheitsgesetz und IT- Sicherheitskatalog Anforderungen an Betreiber kritischer Infrastrukturen IT-Sicherheitsgesetz und IT- Sicherheitskatalog Anforderungen an Betreiber kritischer Infrastrukturen 5. Fachtagung Infrastruktursicherheit des KKI e. V. IT-SICHERHEIT UND KRITISCHE I NFRASTRUKTUREN 10.

Mehr

SkyConnect. Globale Netzwerke mit optimaler Steuerung

SkyConnect. Globale Netzwerke mit optimaler Steuerung SkyConnect Globale Netzwerke mit optimaler Steuerung Inhalt >> Sind Sie gut vernetzt? Ist Ihr globales Netzwerk wirklich die beste verfügbare Lösung? 2 Unsere modularen Dienstleistungen sind flexibel skalierbar

Mehr

Modellierung von Informationsverbünden mit Consumer-Endgeräten und BYOD

Modellierung von Informationsverbünden mit Consumer-Endgeräten und BYOD Modellierung von Informationsverbünden mit Consumer-Endgeräten und BYOD Erfahrungen und Empfehlungen für Zertifizierungen nach ISO 27001 auf der Basis von IT-Grundschutz Jonas Paulzen Bundesamt für Sicherheit

Mehr

E-POSTBRIEF Sicherheit in der digitalen Schriftkommunikation

E-POSTBRIEF Sicherheit in der digitalen Schriftkommunikation E-POSTBRIEF Sicherheit in der digitalen Schriftkommunikation Dr. André Wittenburg, Vice President Architektur & Plattformstragie i2b, Bremen, Februar 2012 1 Der E-Postbrief: Ein kurzer Überflug 2 Sicherheit

Mehr

CLOUD COMPUTING. Risikomanagementstrategien bei der Nutzung von Cloud Computing

CLOUD COMPUTING. Risikomanagementstrategien bei der Nutzung von Cloud Computing CLOUD COMPUTING Risikomanagementstrategien bei der Nutzung von Cloud Computing Michael Rautert Staatlich geprüfter Informatiker Geprüfter IT-Sicherheitsbeauftragter (SGS TÜV) Ausbildung zum geprüften Datenschutzbeauftragten

Mehr

Schutz sensibler Personendaten im e-government-umfeld. Christian Spörer Juni 2013 Chief Information Officer Total Security & Quality Management

Schutz sensibler Personendaten im e-government-umfeld. Christian Spörer Juni 2013 Chief Information Officer Total Security & Quality Management Schutz sensibler Personendaten im e-government-umfeld Christian Spörer Juni 2013 Chief Information Officer Total Security & Quality Management OeSD im Überblick Gründung: 1804 Mitarbeiter: 180 Produktion:

Mehr

Datenkonvertierung & EDI

Datenkonvertierung & EDI Cloud Services Datenkonvertierung & EDI Geschäftsprozesse optimieren Ressourcen entlasten Kosten reduzieren www.signamus.de Geschäftsprozesse optimieren Mit der wachsenden Komplexität moderner Infrastrukturen

Mehr

Aktuelle Angriffsmuster was hilft?

Aktuelle Angriffsmuster was hilft? Aktuelle Angriffsmuster was hilft? Referatsleiterin Allianz für Cyber-Sicherheit, Penetrationszentrum und IS-Revision Bundesamt für Sicherheit in der Informationstechnik Managementforum Postmarkt, Frankfurt

Mehr

Wozu Identitäts- und Berechtigungsmanagement? Alle Wege führen zum IAM.

Wozu Identitäts- und Berechtigungsmanagement? Alle Wege führen zum IAM. Wozu Identitäts- und Berechtigungsmanagement? Alle Wege führen zum IAM. 4. IT-Grundschutz-Tag 2014, Nürnberg Bundesamt für Sicherheit in der Informationstechnik ism Secu-Sys AG Gerd Rossa, CEO ism Secu-Sys

Mehr

successstory Sicherheit für die Diplomatie: Schutz von Botschaftsnetzen

successstory Sicherheit für die Diplomatie: Schutz von Botschaftsnetzen successstory Sicherheit für die Diplomatie: Schutz von Botschaftsnetzen Der konsequente Einsatz starker Kryptographie, gepaart mit einem Schlüsselmanagement, das die Zugriffe auf Daten regelt, sind die

Mehr

Bestimmungen zur Kontrolle externer Lieferanten

Bestimmungen zur Kontrolle externer Lieferanten Bestimmungen zur Kontrolle externer Lieferanten Internet-Sicherheit Für Lieferanten der Kategorie Geringes Internetrisiko Internet- 1. Ressourcenschutz und Systemkonfiguration Die Daten von Barclays sowie

Mehr

Best Practice Sichere Webseite vom Server bis CMS 02.12.2014 Dr. Markus Müller Bereichsleiter secunet AG Stephan Sachweh Geschäftsführer Pallas GmbH /

Best Practice Sichere Webseite vom Server bis CMS 02.12.2014 Dr. Markus Müller Bereichsleiter secunet AG Stephan Sachweh Geschäftsführer Pallas GmbH / Best Practice Sichere Webseite vom Server bis CMS 02.12.2014 Dr. Markus Müller Bereichsleiter secunet AG Stephan Sachweh Geschäftsführer Pallas GmbH Pallas stellt sich vor Wir sind ein MSSP: Managed Security

Mehr

Sicherheit und Datenschutz in der Cloud

Sicherheit und Datenschutz in der Cloud Sicherheit und Datenschutz in der Cloud Kennen Sie die Herausforderungen der Zukunft? VDE Rhein-Main e.v. Arbeitsgemeinschaft IK Thomas Kochanek Montag, den 24.10.2011 Sicherheit und Datenschutz in der

Mehr

Der starke Partner für Ihre IT-Umgebung.

Der starke Partner für Ihre IT-Umgebung. Der starke Partner für Ihre IT-Umgebung. Leistungsfähig. Verlässlich. Mittelständisch. www.michael-wessel.de IT-Service für den Mittelstand Leidenschaft und Erfahrung für Ihren Erfolg. Von der Analyse

Mehr

Willkommen zum Livehacking

Willkommen zum Livehacking Willkommen zum Livehacking bei der Deutschen Bank Berlin mit Unterstützung des BVMW 23.10.2012 Da nachgefragt wurde: Ja! Antago steht Ihnen gerne mit Rat und Tat rund um Ihre Informationssicherheit zur

Mehr

IT-SICHERHEIT IN KLEINEN UND MITTELSTÄNDISCHEN UNTERNEHMEN

IT-SICHERHEIT IN KLEINEN UND MITTELSTÄNDISCHEN UNTERNEHMEN DISCLAIMER / HAFTUNGSAUSSCHLUSS Haftung für Inhalte Die auf Seiten dargestellten Beiträge dienen nur der allgemeinen Information und nicht der Beratung in konkreten Fällen. Wir sind bemüht, für die Richtigkeit

Mehr

sieben Thesen ZUR IT-Sicherheit Kompetenzzentrum für angewandte Sicherheitstechnologie

sieben Thesen ZUR IT-Sicherheit Kompetenzzentrum für angewandte Sicherheitstechnologie sieben Thesen ZUR IT-Sicherheit Kompetenzzentrum für angewandte Sicherheitstechnologie Sichere E-Mail ist von Ende zu Ende verschlüsselt Sichere E-Mail-Kommunikation bedeutet, dass die Nachricht nur vom

Mehr

Das IT-Sicherheitsgesetz (IT-SiG)

Das IT-Sicherheitsgesetz (IT-SiG) Das IT-Sicherheitsgesetz (IT-SiG) Die Lösung oder ein neues Problem? 11.06.2015 Gerald Spyra, LL.M. Kanzlei Spyra Vorstellung meiner Person Gerald Spyra, LL.M. Rechtsanwalt Hohe Affinität für die IT-Sicherheit

Mehr

Entwurf zum IT-Sicherheitsgesetz

Entwurf zum IT-Sicherheitsgesetz Entwurf zum IT-Sicherheitsgesetz Sebastian Hinzen, LL.M. Bird & Bird LLP 6. IT LawCamp 2015 Agenda Einleitung Wesentliche neue Regelungen im BSI-Gesetz TMG TKG Fazit & Ausblick Page 2 Einleitung (1) Ziel

Mehr

Der Mensch als Schlüsselperson für die IT-Security

Der Mensch als Schlüsselperson für die IT-Security Der Mensch als Schlüsselperson für die IT-Security Bei Voith steht nicht nur die Technik im Vordergrund, sondern auch das Bewusstsein der Mitarbeiter Von Martin Schiller CIO Voith AG, Heidenheim Die großen

Mehr

iphone und ipad im Unternehmen? Ja. Sicher.

iphone und ipad im Unternehmen? Ja. Sicher. iphone und ipad im Unternehmen? Ja. Sicher. Im aktivierten Smartcard-Modus ist der unautorisierte Zugriff auf Geschäftsdaten in SecurePIM nach heutigem Stand der Technik nicht möglich. Ihr Upgrade in die

Mehr

Newsletter SLA März 2015

Newsletter SLA März 2015 Sollte dieser Newsletter nicht korrekt dargestellt werden, Klicken Sie bitte hier. Newsletter SLA März 2015 MEAT INTEGRITY SOLUTION (MIS) ALS NEUER STANDARD! Was leistet die MEAT INTEGRITY SOLUTION (MIS)?

Mehr

Open for Business - Open to Attack? Walter Lender, Geschäftsführer, Visonys IT-Security Software GesmbH

Open for Business - Open to Attack? Walter Lender, Geschäftsführer, Visonys IT-Security Software GesmbH Open for Business - Open to Attack? Walter Lender, Geschäftsführer, Visonys IT-Security Software GesmbH 2 Open for Business - Open to Attack? 75% aller Angriffe zielen auf Webanwendungen (Gartner, ISS)

Mehr

Worum es geht. zertifiziert und grundlegend

Worum es geht. zertifiziert und grundlegend Sicherer Systembetrieb in der Energiewirtschaft. Von der Analyse bis zur Zertifizierung. Worum es geht zertifiziert und grundlegend In Industrie staaten ist das gesamte Leben von einer sicheren Energie

Mehr

Allgemeine Erläuterungen zu

Allgemeine Erläuterungen zu en zu persönliche Zertifikate Wurzelzertifikate Zertifikatssperrliste/Widerrufsliste (CRL) Public Key Infrastructure (PKI) Signierung und Verschlüsselung mit S/MIME 1. zum Thema Zertifikate Zertifikate

Mehr

Informationssicherheit - Last oder Nutzen für Industrie 4.0

Informationssicherheit - Last oder Nutzen für Industrie 4.0 Informationssicherheit - Last oder Nutzen für Industrie 4.0 Dr. Dina Bartels Automatica München, 4.Juni 2014 Industrie braucht Informationssicherheit - die Bedrohungen sind real und die Schäden signifikant

Mehr

Forschung für die zivile Sicherheit: Sicherheit im Kontext globaler Entwicklungen Wandel zur Informations- und Wissensgesellschaft

Forschung für die zivile Sicherheit: Sicherheit im Kontext globaler Entwicklungen Wandel zur Informations- und Wissensgesellschaft Forschung für die zivile Sicherheit: Sicherheit im Kontext globaler Entwicklungen Wandel zur Informations- und Wissensgesellschaft Prof. Dr. Michael Waidner Institutsleiter, Fraunhofer SIT Darmstadt Stellvertrender

Mehr

Herausforderungen und Massnahmenaus Sicht eines grossenproviders

Herausforderungen und Massnahmenaus Sicht eines grossenproviders Herausforderungen und Massnahmenaus Sicht eines grossenproviders 23. Juni 2015 Christian Greuter, CEO Health Info Net AG Agenda Einführung und Vorstellung HIN Trends als Herausforderung Grenzen der Machbarkeit

Mehr

bei DATEV Unterwegs in der Cloud sicher? Torsten Wunderlich, Leiter DATEV-Informationsbüro Berlin

bei DATEV Unterwegs in der Cloud sicher? Torsten Wunderlich, Leiter DATEV-Informationsbüro Berlin Willkommen bei DATEV Unterwegs in der Cloud sicher? Torsten Wunderlich, Leiter DATEV-Informationsbüro Berlin Was nutzen Sie heute schon in der Cloud? Mobil Privat-PC Gmail Deutsche Bank Flickr Wikipedia

Mehr

IT-Grundschutz-Novellierung 2015. Security Forum 2015. Hagenberger Kreis. Joern Maier, Director Information Security Management

IT-Grundschutz-Novellierung 2015. Security Forum 2015. Hagenberger Kreis. Joern Maier, Director Information Security Management IT-Grundschutz-Novellierung 2015 Security Forum 2015 Hagenberger Kreis Joern Maier, Director Information Security Management 1 AGENDA 1 Ausgangslage 2 unbekannte Neuerungen 3 mögliche geplante Überarbeitungen

Mehr

Unabhängiges Landeszentrum für Datenschutz Schleswig-Holstein Anstalt des öffentlichen Rechts

Unabhängiges Landeszentrum für Datenschutz Schleswig-Holstein Anstalt des öffentlichen Rechts Unabhängiges Landeszentrum für Datenschutz Schleswig-Holstein Anstalt des öffentlichen Rechts IT-Grundschutz und Datenschutz im Unternehmen implementieren Heiko Behrendt ISO 27001 Grundschutzauditor Fon:

Mehr