IT-Sicherheitsgesetz wird Realität

Größe: px
Ab Seite anzeigen:

Download "IT-Sicherheitsgesetz wird Realität"

Transkript

1 Das Kundenmagazin Ausgabe 1/2015 IT-Sicherheitsgesetz wird Realität Welche Vorbereitungen sollten KRITIS-Betreiber jetzt treffen? Interview mit Dr. Walter Schlebusch, Vorsitzender der Geschäftsführung G&D Der Schutz Kritischer Infrastrukturen hat gerade erst begonnen Flexibel und mobil Die SINA Workstations im Bundesministerium der Finanzen Weder sperrig noch langwierig Optimierte Sicherheitskonzepterstellung durch secunet auf Basis des IT-Grundschutzes

2 Inhalt 4 Interview mit Dr. Walter Schlebusch, Vorsitzender der Geschäftsführung Giesecke & Devrient GmbH Der Schutz Kritischer Infrastrukturen hat gerade erst begonnen 24 National 04 Interview mit Dr. Walter Schlebusch 06 Starke Partnerschaft: AREVA und secunet 08 Flexibel und mobil: die SINA Workstations 10 Das IT-Sicherheitsgesetz kein Märchen 13 Getrennt, zusammen und doch wieder getrennt Wissenschaft 14 Interview mit Prof. Dr. Gabi Dreo Rodosek Security by Design IT-Sicherheit im vernetzten Fahrzeug ist eine große Herausforderung. Welche Lösungsansätze gibt es? Und vor allem: Wann macht welche Lösung Sinn? Technologien & Lösungen 20 SINA erhält höchste internationale Zulassungen 22 SINA macht das Leben leichter 24 Security by Design: sicher vernetzt im Fahrzeug 26 Wo die App-Gefahren lauern International 16 Mit EasyPASS unter den Top 3! 16 And twelve points go to 17 Deutsches Expertenwissen für nationale PKD-Lösung 18 Weder sperrig noch langwierig: IT-Grundschutz Kurz notiert 19 Dr. Rainer Baumgart erneut in ENISA-Beirat berufen 23 Deutsche IT-Sicherheit punktet Termine 27 Aktuelle Veranstaltungen 2 secuview 1/2015

3 Editorial Die IT-Sicherheit geht jeden etwas an. Sei es der private Nutzer mit seinem Smartphone, die Industrie, vor allem bei der zunehmenden Vernetzung von Steuerungs- und Produktionsnetzen, oder ganze Nationen in allen Bereichen birgt das Internet nicht nur enorme Chancen und großen Komfort, sondern auch Bedrohungen. Eine effektive Sicherung und Verteidigung von IT-Infrastrukturen und Daten kann nur mit einer sorgfältigen Beobachtung, Erforschung und detaillierten Analyse sowohl des Angreifers als auch der vorhandenen und künftigen Technologien funktionieren. Das Forschungszentrum CODE in München beschäftigt sich mit genau solchen Aufgaben, wie Prof. Dr. Gabi Dreo Rodosek uns im Interview erläuterte. Der lage- und anforderungsgerechte Schutz Kritischer Infrastrukturen bildet bei CODE ein eigenes Forschungsfeld, und auch die Politik setzt einen Fokus auf diese Unternehmen: Mit dem neuen IT-Sicherheitsgesetz soll eine signifikante Verbesserung der Sicherheit informationstechnischer Systeme (IT-Sicherheit) in Deutschland erreicht werden. Dafür werden Betreiber Kritischer Infrastrukturen nicht nur die IT-Infrastrukturen, sondern auch die organisatorischen Prozesse anpassen müssen. Aktuell herrschen diesbezüglich noch viele Unsicherheiten. Auf unserer Fachtagung Informationssicherheit Kritische Infrastrukturen im November werden wir Möglichkeiten zeigen, den Herausforderungen effektiv zu begegnen, und gemeinsam Lösungen erarbeiten. Liebe Leserinnen und Leser, Ihre effektive Sicherung und Verteidigung machen wir uns bereits seit Jahren zur Aufgabe. Dr. Walter Schlebusch sagte im Interview: Sicherheit heißt für uns mehr, als ein farbenfrohes Band von Schweizer Garden um ein Problem zu ziehen. Optimal sei eine gemeinsam mit dem Kunden erarbeitete IT-Sicherheitsstrategie, die konsequent umgesetzt werde. Das beschreibt nicht nur den Ansatz von Giesecke & Devrient, sondern trifft auch exakt unseren Standpunkt. Dafür agieren wir, wie Sie wissen, mit unseren fünf Divisionen sehr nah an unseren Kunden. Einige Beispiele der Projekte haben wir in dieser Ausgabe für Sie aufbereitet. Viel Spaß beim Lesen wünscht Dr. Rainer Baumgart secuview 1/2015 3

4 National Der Schutz Kritischer Infrastrukturen hat gerade erst begonnen Interview mit Dr. Walter Schlebusch, Vorsitzender der Geschäftsführung der Giesecke & Devrient GmbH Im Interview: Dr. Walter Schlebusch ist seit 2013 Vorsitzender der Geschäftsführung von G&D. Davor war er seit 1. Januar 2000 Mitglied der Geschäftsführung und hat den Unternehmensbereich Banknote verantwortet. Herr Dr. Schlebusch, bedarf es nach dem Hackerangriff auf den Deutschen Bundestag eigentlich noch der Werbung für IT-Sicherheit? Dr. Schlebusch: Woher auch immer der Angriff stammt, zeigen doch solche Vorfälle, wie verwundbar unsere Systeme sind. Die Diskussion um den Schutz Kritischer Infrastrukturen ist insofern mit der Verabschiedung des IT-Sicherheitsgesetzes noch nicht an ihrem Ende angelangt, sondern hat gerade erst begonnen. Mit Giesecke & Devrient (G&D) und secunet positionieren sich gleich zwei deutsche Anbieter auf einem hochspezialisierten Markt Dr. Schlebusch: Und genau das ist unsere Stärke! G&D erwirtschaftet den weit überwiegenden Teil seines Umsatzes im Ausland und hat den Zugang zu zahlreichen staatlichen Verwaltungen, Finanzinstituten, Telekommunikationsanbietern und Technologiefirmen weltweit. secunet verfügt über einen starken nationalen Footprint mit langjähriger Erfahrung im Regierungsbereich und einer exzellenten Produktpalette rund um die SINA Familie und Grenzkontrolllösungen. Wo sehen Sie die besonderen Stärken von G&D im Bereich der IT-Sicherheit? Dr. Schlebusch: Ins Auge fallen natürlich besonders die langjährige internationale Erfahrung im Bereich der Sicherheitstechnologien und das breite Portfolio sicherheitssensibler Produkte. Aus dieser Tatsache heraus sind wir für zahlreiche Kunden ein glaubwürdiger, verlässlicher und legitimer Vertrauensanker. So wie Sie Ihre Hausschlüssel nicht jedermann aushändigen, haben unsere Kunden zu Recht einen Anspruch darauf, dass ihre Daten professionell und sicher verarbeitet werden. Das heißt konkret? Dr. Schlebusch: Um in hochsicheren Umgebungen zu arbeiten, müssen Sie die Prozesse des Kunden 4 secuview 1/2015

5 National genau kennen. Anders als breit aufgestellte Sicherheitsanbieter sind wir spezialisiert auf IT-Sicherheit. Sicherheit heißt dabei für uns mehr, als ein farbenfrohes Band von Schweizer Garden um ein Problem zu ziehen. Ebenso wenig reichen nachträgliche, punktuelle Eingriffe in ein Kundensystem. Optimal ist eine gemeinsam mit dem Kunden erarbeitete IT-Sicherheitsstrategie, die konsequent umgesetzt wird. Dazu bieten wir hard- und softwareseitig Lösungen an und unterstützen unsere Kunden auch mit einer hohen Beratungskompetenz. Der Nutzer kennt auf der einen Seite die bunte Welt der Apps. Auf der anderen Seite steht das ernste Thema Sicherheit. Wie passt das zusammen? Dr. Schlebusch: Abstrakt ist Sicherheit schwer vermittelbar, am konkreten Beispiel wird es fassbarer: So wird die Bordkommunikation deutscher Premiumfahrzeuge genauso schon heute von G&D abgesichert wie Industrieanlagen. Mobile Wallets weltweit basieren auf Sicherheit made by G&D. Und Banking-Apps funktionieren sicher mit Technologie aus unserem Haus. Der Anwendungsbereich für IT-Sicherheit ist also größer, als es der Smartphone-Screen vermittelt! Wo sehen Sie die künftigen Trends? Dr. Schlebusch: Jeder spricht heutzutage von Industrie 4.0, also der vollständig vernetzten Industrieautomation. Sicherheit sehen wir dabei als ein Sicherheit heißt dabei für uns mehr, als ein farbenfrohes Band von Schweizer Garden um ein Problem zu ziehen. zentrales Thema an: Nehmen Sie die stetig wachsende Zahl asymmetrischer Angriffsszenarien auf IT- und damit auch Produktionssysteme. Dem hat ein typischer industrieller Mittelständler bislang wenig entgegenzusetzen. Wir helfen dabei, angemessene und skalierbare Sicherheitslösungen zu finden. National wird sicherlich die Umsetzung des IT-Sicherheitsgesetzes spannend. Hier sehen wir eine große Chance, dass sich Branchen selbstständig auf die von ihnen zu realisierenden und vom Gesetzgeber geforderten Sicherheitsmaßnahmen verständigen. Schließlich bietet auch das breite Feld der Identitätssicherung und des Identitätsmanagements ein enormes Potenzial: Das Internet der Dinge basiert auf der sicheren Zuordnung von Identitäten zu Objekten und Prozessen. Hier bringen wir unsere langjährige Erfahrung in den Bereichen Secure Connectivity und sichere Softwareentwicklung auf Basis von spezieller Hardware mit ein. secuview 1/2015 5

6 Starke Partnerschaft: AREVA und secunet Das neue IT-Sicherheitsgesetz soll mehr Sicherheit schaffen für Kritische Infrastrukturen. Verantwortlich für die Umsetzung bleibt allerdings weiterhin der Betreiber Der Angriff auf den französischen Fernsehsender TV5Monde Anfang April ist nur ein Beispiel für eine Art von Kriminalität, die mehr und mehr Lebensbereiche bedroht. Die Cyberattacke richtete enormen Schaden an: Stundenlang war der Sendebetrieb der Station unterbrochen, auch über die Internetseite und die meisten Konten in den sozialen Netzwerken hatte der Sender lange Zeit keine Kontrolle. Es dauerte Tage, um zu einem Normalbetrieb zurückzukehren. 6 secuview 1/2015

7 National Die Auswirkungen wären noch gravierender, wenn ein solcher Angriff auf lebenswichtigere Bereiche wie die Strom- oder Wasserversorgung erfolgreich wäre! Wie ab Seite 10 beschrieben, soll nun das IT- Sicherheitsgesetz für diese Bereiche der Kritischen Infrastrukturen (KRITIS) mehr und umfassendere Sicherheit schaffen. Verantwortlich für die Umsetzung bleibt allerdings weiterhin der Betreiber. Sicherheit für digitale Steuerungsanlagen AREVA ist nicht nur Lieferant für Nuklear- und Windkraftanlagen, sondern bietet auf Basis jahrelanger Erfahrung im Umfeld Kritischer Infrastrukturen auch ein breites Spektrum an Produkten und Dienstleistungen, wenn es um die Sicherheit von digitalen Steuerungsanlagen geht. Im engen Schulterschluss mit Partnern wie secunet wird hierbei die IT-Sicherheit nicht erst beim Betrieb einer Anlage berücksichtigt, sondern fängt schon bei der Produktentwicklung an. So können ausgereifte Ansätze angeboten werden: sei es beim grundlegenden Aufbau eines ISMS, beim Gesamtkonzept oder bei der konkreten Implementierung spezieller Hardware- und Softwarelösungen. Alle Leistungen zum Thema Industrial Security werden in einem integrativen Ansatz zusammengefasst, so dass nukleare und nicht nukleare Kunden gleichermaßen von den Best Practices mit weltweit höchsten Schutzklassen profitieren: - Aufbau von ISMS inklusive Risikobewertung bis hin zur Auditierung, zum Beispiel nach ISO/IEC Industrial Security, mit Security-Zonen und Security Grading, zum Beispiel nach IEC Security Modellierung und Simulation - Prozessleitsysteme und Netzleittechnik - SIEM (Security Information and Event Management) - Automation Security, z. B. PCS7, WINCC, SIPROTEC - Intrusion Detection und Intrusion Prevention, Whitelisting, Security Tests - Laufende Bedrohungserfassung, -bewertung, -analyse und -abwehr Mehr Informationen: Holger Hoppe Christoph Schambach Zuverlässige Integritätsüberwachung Mit der Lösung OPANASec TM entwickelte AREVA für diverse Steuerungssysteme verschiedene, einfach einsetzbare Softwaremodule, mit denen eine Integritätsüberwachung realisiert wird. Einerseits sind damit Änderungen am Programm nur nach Betätigung eines Schlüsselschalters möglich, andererseits werden Angriffe, die die Anwendersoftware oder die Konfigurationsdaten manipulieren, zuverlässig entdeckt und sofort gemeldet. Das hat der TÜV SÜD zertifiziert, Patente dafür sind angemeldet. secuview 1/2015 7

8 National Flexibel und mobil Die SINA Workstations im Bundesministerium der Finanzen B erufs- und Privatleben unter einen Hut zu bringen, ist meist nicht so einfach. Das Bundesministerium der Finanzen (BMF) ermöglicht flexible Arbeitszeitmodelle für die sichere Arbeit von unterwegs oder im Rahmen der Tele- Damit wird nicht nur der Mobilität Rechnung getragen, sondern vor allem auch dem Thema IT-Sicherheit. Es geht nicht nur darum, dass Daten außerhalb des Büros bearbeitet oder Fachanwendungen genutzt werden können, sondern insbesondere auch Beschäftigte des BMF werden in Bonn und Berlin intensiv für den Umgang mit der SINA Workstation geschult. arbeit und zeigt sich damit als äußerst moderne und familienfreundliche Behörde. Auch auf Dienstreisen kann jederzeit sicher auf BMF-Vorgänge zugegriffen werden. Die Aufgaben und Themengebiete des BMF sind komplex und vielfältig, und das nicht nur auf Bundesebene, sondern auch im europäischen und internationalen Bereich. Dies erfordert von den Beschäftigten Fachwissen, Flexibilität und Engagement oftmals auch außerhalb der Büroräume. Damit die Mitarbeiterinnen und Mitarbeiter diese Anforderungen auch auf ihren Dienstreisen erfüllen und in Einklang mit ihrem persönlichen Lebensentwurf hohe Leistungen erbringen können, sind als sichere Plattform für die mobile Arbeit aktuell etwa SINA Workstations im Bundesministerium der Finanzen im Einsatz. darum, dass dies sicher funktioniert. Viele Daten, die das BMF verarbeitet, sind auch von politischem und wirtschaftlichem Interesse und müssen dementsprechend zu jeder Zeit vertrauensvoll behandelt werden. Die SINA Workstation kann genau diese Sicherheit für die drei mobilen BMF-Nutzergruppen bieten: Die Dienstreisenden Deutschland wird durch das BMF in verschiedenen Finanzausschüssen und Gremien insbesondere auch auf europäischer und internationaler Ebene vertreten. Von unterwegs müssen die BMF-Mitarbeiterinnen und -Mitarbeiter dann mit jeder Mobilfunkverbindung sicher arbeiten können; egal, welche sich ihnen gerade bietet: Sei es ein offenes WLAN auf Konferenzen, UMTS am Flughafen oder 8 secuview 1/2015

9 National ein Hotspot im Hotel. Wichtig ist, dass die Daten und Fachanwendungen mit der SINA Workstation aufgerufen und in einem abgesicherten virtuellen Raum bearbeitet werden können. Die mobilen Beschäftigten Wer seine Arbeit im Laufe eines Tages unterbrechen muss oder einen oder mehrere Tage braucht, um sich z. B. um seine Kinder zu kümmern oder einen kranken Angehörigen zu pflegen, kann seine Arbeit von zu Hause oder einem anderen Ort aus erledigen. Im Büro sind die mobil Beschäftigten mit ihrer SINA Workstation über das LAN der Behörde angebunden, ansonsten nutzen sie die sich bietenden Mobilfunkverbindungen, in der Regel das heimische WLAN. Die Telearbeiter Telearbeiterinnen und Telearbeiter haben zwei fest eingerichtete Arbeitsplätze: einen im Büro und einen zu Hause. Sowohl im Büro als auch zu Hause profitieren sie mit der SINA Workstation von einer sicheren und leistungsstarken LAN-Verbindung direkt ins BMF, so dass die Daten und Fachanwendungen jederzeit verfügbar sind und auch größere Datenmengen problemlos bearbeitet werden können. Ganz gleich, um welche Personengruppe es sich handelt: Die SINA Workstation ermöglicht ein Maximum an Flexibilität und Mobilität und wird damit dem Zertifikat audit berufundfamilie und den hohen Arbeitsanforderungen auf nationaler sowie internationaler Ebene gerecht. Sämtliche Fachanwendungen und Daten können uneingeschränkt und zugleich gesichert genutzt werden, egal wo welche (unsichere) Internetverbindung genutzt wird. Genau dies war für das BMF bei der Entscheidung für die SINA Workstation ebenso wichtig wie die Zulassung der All-in-one-Lösung SINA Workstation durch das Bundesamt für Sicherheit in der Informationstechnik in diesem Fall für VS-NfD. Mehr Informationen: Thomas Peine Das Projekt im Überblick SINA Workstations wurden innerhalb von zwei Wochen von einem secunet Mitarbeiter installiert. Mit dem Installserver konnte dies komfortabel mit den jeweiligen individuellen Anpassungen erfolgen. - Effiziente Logistik für Lieferung, Installation und Roll-out von Geräten. - Ganzheitliches Projektmanagement der Projektleiter war vom ersten Kundenkontakt bis zur Begleitung in der Betriebsphase dabei. - Projektmanagementmethoden: Stakeholdermanagement, Risikomanagement, Earned-Value-Analyse, Ablauf- und Terminplanung. - Das Projektteam bestand aus 15 Personen von secunet, ca. zehn von ZIVIT und ca. fünf vom BMF, das Kernteam bildeten sieben Mitarbeiterinnen und Mitarbeiter. - Maßnahmen zur Schulung der Anwenderinnen und Anwender: Newsletter, Lern-Videos, Info-Stand vor der Kantine, drei einstündige Schulungstermine als Großveranstaltung im Interview-Format, Kurzanleitung. secuview 1/2015 9

10 Das IT-Sicherheitsgesetz kein Märchen Jetzt ist es Realität: Das Gesetz zur Erhöhung der Sicherheit informationstechnischer Systeme wurde vom Bundestag und Bundesrat beschlossen die Realität. Mit dem am 17. Dezember 2014 vom Bundeskabinett, am 12. Juni 2015 vom Bundestag und am 10. Juli 2015 vom Bundesrat beschlossenen Gesetz zur Erhöhung der Sicherheit informations- Dornröschen hatte keine Chance. Sie sah den Prinzen nicht kommen. Sonst hätte sie vielleicht noch mal die Lippen nachgezogen und sich die Haare gerichtet Zurück in 10 secuview 1/2015

11 National technischer Systeme (IT-Sicherheitsgesetz) soll, so die Begründung, eine signifikante Verbesserung der Sicherheit informationstechnischer Systeme (IT- Sicherheit) in Deutschland erreicht werden. Es lässt sich darüber streiten, ob dieses Artikelgesetz, das Änderungen diverser Bundesgesetze vorsieht, geeignet ist, den Dornröschenschlaf zu beenden, der Wirtschaft und öffentlicher Verwaltung in Berichten über Informationssicherheitsvorfälle regelmäßig vorgeworfen wird. Nach der Unterzeichnung durch den Bundespräsidenten muss zudem noch eine Rechtsverordnung erlassen werden, die eindeutig festlegt, wer ein Betreiber Kritische Infrastrukturen ist. Der Prinz ist im Anmarsch, aber anders als Dornröschen sehen wir ihn kommen. Und können uns darauf vorbereiten. Wen betrifft das IT-Sicherheitsgesetz in erster Linie? Betreibern Kritischer Infrastrukturen entsteht branchenunabhängig Erfüllungsaufwand für - das Einhalten eines Mindestniveaus an IT-Sicherheit, - den Nachweis der Erfüllung durch Sicherheitsaudits, - die Einrichtung und Aufrechterhaltung von Verfahren für die Meldung erheblicher IT-Sicherheitsvorfälle an das BSI sowie - den Betrieb einer Kontaktstelle. Darüber hinaus sieht das IT-Sicherheitsgesetz verschiedene branchenspezifische Sicherheitsstandards vor. Wer ist KRITIS-Betreiber? Als Kritische Infrastrukturen (KRITIS) stuft das Gesetz Einrichtungen oder Anlagen ein, die zu den Sektoren Energie, Informationstechnik und Telekommunikation, Transport und Verkehr, Gesundheit, Wasser, Ernährung, Finanz- und Versicherungswesen sowie Medien und Kultur gehören und eine hohe Bedeutung für das Funktionieren des Gemeinwesens haben. Weitere Kriterien enthält das Gesetz nicht. Vielmehr sieht es, wie bereits gesagt, nähere Bestimmungen per Rechtsverordnung vor. Die Anzahl der zukünftig meldepflichtigen Betreiber Kritischer Infrastrukturen schätzt die Begründung zum Gesetzentwurf auf ca Welche Vorbereitungen sollten (potenzielle) KRITIS-Betreiber jetzt treffen? Die aktuell bestehende Unklarheit, wer zukünftig als Betreiber Kritischer Infrastrukturen der Erfüllung des IT-Sicherheitsgesetzes unterliegt, sollte die in Frage kommenden Betroffenen nicht dazu verleiten, sich erst aus dem Dornröschenschlaf wachküssen zu lassen. Als Vorbereitungen der (potenziellen) KRITIS-Betreiber empfehlen sich folgende Aktivitäten: - Die Festlegung, welche Teile der Organisation (Prozesse, Organisationseinheiten, Produkte und Dienstleistungen) Kritische Infrastrukturen darstellen - Die Überprüfung des aktuellen Sicherheitsniveaus dieser Organisationsteile - Der Aufbau eines Informationssicherheitsmanagements zur dauerhaften Einhaltung eines Mindestniveaus an IT-Sicherheit - Die Auswahl qualifizierter und kompetenter Mitarbeiterinnen und Mitarbeiter für die Besetzung der Kontaktstelle sowie der Aufbau des Meldewesens für erhebliche IT-Sicherheitsvorfälle - Die Auswahl geeigneter Dienstleister für unabhängige Sicherheitsaudits - Bei entsprechenden Sicherheitsanforderungen: die frühzeitige Initiierung einer Zertifizierung nach ISO/IEC Organisation und Prozesse zu strukturieren und zu sichern ist eine wesentliche Voraussetzung, doch allein nicht ausreichend, um die vom IT-Sicherheitsgesetz angestrebte Anhebung des IT-Sicherheitsniveaus in Kritischen Infrastrukturen zu erreichen und dauerhaft zu gewährleisten. Auch auf technischer Ebene müssen entsprechende Maßnahmen ergriffen werden. >>> secuview 1/

12 National Energie- und Wasserversorgung sichern Sehr gut lässt sich das am Beispiel von Energie- und Wasserversorgern verdeutlichen, wo IT nicht nur im Büroalltag, sondern auch für die Steuerung von Anlagen durch die Prozessleittechnik eine zentrale Rolle spielt. Hier gewährleistet eine wirksame informationstechnische Separierung interner IT-Netze von öffentlichen Netzen die Integrität der Prozessleitdaten und Verfügbarkeit der betriebenen IT-Systeme zur Anlagensteuerung. Denn hier ist nur verbunden, was verbunden sein muss. So bleibt beispielsweise der Leitstand streng von den Internetdiensten getrennt (vgl. Artikel S. 13). Doch zugleich muss ein Zugang für Fernwirkszenarien über öffentliche Netze möglich sein. Dieser Herausforderung können Betreiber begegnen, indem sie Sicherheitszonen und -beziehungen einrichten, die über ein zentrales Management gesteuert werden. So kann beispielsweise aus dem Leitstand heraus eine sichere Kopplung mit den im Feld befindlichen Systemen erlaubt oder jederzeit unterbunden werden. Produktionsnetze vom Internet abschotten Bei der Einrichtung von Sicherheitszonen sind selbstverständlich auch alle angeschlossenen Endgeräte zu berücksichtigen, etwa von internen oder externen Wartungstechnikern für den Service- oder Bereitschaftsfall. Das Problem ist, dass trotz noch so sicherer VPN-Anbindung alle Schwachstellen auf dem Endgerät mit dem Produktionsnetz verbunden sind. Bewegt oder bewegte sich das Endgerät zudem im Internet, so ist die Abschottung des Produktionsnetzes vom Internet (sogenanntes Air Gap) unwirksam. die genau die Anforderungen der Betreiber Kritischer Infrastrukturen erfüllen: - Strikte Abschottung des Produktionsnetzes vom Internet - Vertrauenswürdige Endgeräte unter ständiger Kontrolle des Leitstands Nutzung der Möglichkeit des Fernwirkens auch durch mobile Mitarbeiterinnen und Mitarbeiter Nutzung der Fernwartung durch interne oder externe Fachkräfte Aus dem Leitstand heraus können über ein zentrales Online-Management einzelne SINA Geräte im Einsatzfall in das Produktionsnetz aufgenommen werden, ohne Gefahr zu laufen, dass dieses über das Gerät an andere Netze oder gar das Internet gekoppelt wird. Zusammen mit den vom BSI evaluierten Verschlüsselern auf Layer 2 und Layer 3 für die Fernwirktechnik bildet SINA als Sichere Inter-Netzwerk Architektur somit eine zugelassene Gesamtlösung für Produktionsnetze, mit der Sie dem Prinzen namens IT-Sicherheitsgesetz gelassen begegnen können. Mehr Informationen: Alexander Schlensog Solche Anforderungen an (mobile) Endgeräte sind nicht neu, sondern aus der behördlichen Verarbeitung vertraulich eingestufter Dokumente längst bekannt. Das BSI evaluiert für solche Anwendungsfälle die Geräte und das Gesamtsystem und lässt diese dann für die Verarbeitung von Daten über das Internet zu. Die SINA Workstation und das SINA Tablet sind solche zugelassenen Endgeräte, 12 secuview 1/2015

13 National Getrennt, zusammen und doch wieder getrennt Wie sich IT-Sicherheit in Zeiten der Digitalisierung und der damit einhergehenden Öffnung der Netzwerke effektiv realisieren lässt Um die ständige Verfügbarkeit eines Produktionsnetzwerks zu gewährleisten, wurde in der Vergangenheit ein strikt isoliertes eigenständiges Netzwerk betrieben. So waren (Ab-)Wasser-, Verkehrs-, Energie- oder sonstige eigenständige Netze mit Netzleit- oder Großrechnersystemen zuverlässig von gefährlichen Schnittstellen mit der Außenwelt getrennt. Maßnahmen bereits heute nicht mehr ausreichend, um eine angemessene und verlässliche Sicherheit zu erzeugen. Viele Sicherheitsexperten fordern zur Sicherheitserhöhung bereits eine Entnetzung. Doch wie ist diese Entwicklung mit den gegenläufigen Anforderungen der Digitalisierung vereinbar? Ist eine strikte Isolation trotz Vernetzung Ziel und Lösung? Doch mit der Digitalisierung werden die Anforderungen an diese Netzwerke komplexer. Das Management der zahlreichen dezentralen und zentralen Anlagen und Einrichtungen läuft über IP-Netze. Hier wachsen IT- und Prozessnetze zusammen, werden Informationen netzwerkübergreifend ausgetauscht, neue Geräte und Zugangspunkte etabliert und damit smarte Funktionen integriert. Auf den ersten Blick gehen hier die Anforderungen zwischen Digitalisierung und IT-Sicherheit stark auseinander: IT-sicherheitstechnisch sind rein reaktive Was auf den ersten Blick unlösbar klingt, ist technisch zwar eine Herausforderung, aber machbar, und in einigen Bereichen bereits heute gelebte Praxis. So werden beispielsweise durch Isolationstechniken (Prinzip secunet safe surfer) aus der Terminalserver-Technologie oder die hochsichere Netztrennung mit Hilfe von SINA innerhalb von Netzen sichere Netze geschaffen. Die strikte Trennung sorgt für eine proaktive, nachhaltige Sicherheit. Die Herausforderungen widersprechen sich also nur auf den ersten Blick. Heutige Sicher- heitstechnologien in Kombination mit organisatorischen Maßnahmen, effektiv konzeptioniert und umgesetzt, schaffen eine Entnetzung innerhalb von Netzen und können somit eine angemessene Sicherheit gewährleisten. Mehr Informationen: Torsten Redlich secuview 1/

14 Wissenschaft Interview mit Prof. Dr. Gabi Dreo Rodosek Der lage- und anforderungsgerechte Schutz der Vernetzungen in den Bereichen Industrie 4.0 und Kritische Infrastrukturen stellt ein eigenes Forschungsfeld dar Im Interview: Prof. Dr. Gabi Dreo Rodosek leitet den Lehrstuhl für Kommunikationssysteme und Netzsicherheit des Instituts für Technische Informatik an der Universität der Bundeswehr München und ist Sprecherin des Forschungszentrums CODE (Cyber Operations Defence). Frau Prof. Dreo Rodosek, Sie sind Sprecherin des Forschungszentrums CODE. Was sind die Ziele der Forschungseinrichtung? Prof. Dr. Dreo Rodosek: Mit dem Forschungszentrum wollen wir alle Aspekte des Themenfeldes Cybersicherheit ganzheitlich erforschen. Dabei liegt der Fokus in der Erforschung neuartiger Sicherheitstechnologien und -ansätze. Derzeit werden u. a. die Erkennung und Abwehr von Advanced Persistent Threats (APT)/ Smart Attacks sowie die Visualisierung von Sicherheitszuständen und die Identifizierung von Angreifern (Geolokalisation) im Rahmen von Forschungsprojekten untersucht. Jedoch kann Technologie allein keine Sicherheit gewährleisten. Deshalb werden auch rechtliche Rahmenbedingungen und Managementprozesse in die Betrachtung mit einbezogen und deren Auswirkungen strukturiert untersucht, wozu auch der Mensch als Bediener und dessen Sicherheitsbewusstsein (Awareness) betrachtet wird. Zusätzlich zur Forschungsarbeit ist der Vernetzungsaspekt ein Kernziel des Forschungszentrums. In Zeiten der Globalisierung gehen Cyberkriminelle grenzenlose Wege mit zunehmender Diversifizierung und Vernetzung. Dieser Bedrohung kann man nur gemeinsam im Rahmen von Expertennetzwerken begegnen, welche ein hohes Maß an gegenseitigem Vertrauen erfordern. Cybersicherheitsexpertinnen und -experten verschiedenster Universitäten, Forschungseinrichtungen, Behörden und Unternehmen werden in der vertrauenswürdigen Umgebung von CODE zusammenarbeiten, Informationen teilen und Daten austauschen können. 14 secuview 1/2015

15 Wissenschaft Cyberangriffe kennen keine Landesgrenzen. Steht CODE auch im Austausch mit internationalen Organisationen? Prof. Dr. Dreo Rodosek: In der Tat ist die Herausforderung globaler Natur. Bisher konnte das Forschungszentrum das Cooperative Cyber Defence Center Of Excellence (CCDCOE) der NATO als Kooperationspartner gewinnen. In diesem Zusammenhang besteht eine Vereinbarung auf gegenseitige Unterstützung im Bereich Forschung. Mit der ENISA besteht eine enge Zusammenarbeit, was maßgeblich an Prof. Dr. Udo Helmbrecht liegt, welcher Honorarprofessor an der Fakultät für Informatik* ist. Auf nationaler Ebene bestehen Kooperationsvereinbarungen mit Sicherheitsbehörden sowie Wirtschaftsunternehmen, welche im Bereich Cybersicherheit global agieren. Tiefergehend möchte ich mich aus Rücksicht auf laufende Projekte nicht äußern. Worin unterscheiden sich Forschung und Lehre an der Universität der Bundeswehr von anderen Lehrstühlen für IT-Sicherheit in Deutschland? Prof. Dr. Dreo Rodosek: Im Unterschied zur Cybersicherheitsforschung an anderen Universitäten und Forschungszentren konzentrieren wir uns auf die Kooperation mit der Bundeswehr, ihr nahestehende Behörden und Dienste sowie Unternehmen mit besonderen Sicherheitsanforderungen. Unsere Forschung ist teilweise For German Eyes Only und bezieht weder Gastwissenschaftler, Doktoranden noch Studierende anderer Nationen ein. Dass die Zusammenarbeit erfolgreich und äußerst vertrauensvoll gelebt wird, ist an den Kooperationen zu erkennen, die bereits etabliert wurden. Die Intensität von Cyberangriffen nimmt massiv zu. Was sehen Sie als die größte Gefährdung für die nächsten Jahre an und welche Schutzmaßnahmen werden mit Blick auf CODE entwickelt? Prof. Dr. Dreo Rodosek: Aus technologischer Sicht wären die Zunahme von mobilen, kompromittierbaren Geräten und deren Heterogenität sowie neuartige Technologien wie Software Defined Networking und Inter-Clouds (Vernetzung von Clouds) zu nennen. In diesem Zusammenhang werden anomaliebasierte Erkennungsverfahren auf Kommunikationsebene sowie zugehörige Filter- und Analysewerkzeuge durch CODE erforscht. Ferner erhöhen sich Verkehrsvolumen und Bandbreite weiter. Die Analyse von Daten in diesen Netzen stellt ein Big-Data-Problem dar. Hier werden neuartige Ansätze (Security Analytics) zur Begegnung der Angriffe bereits im Providernetz und damit zur Entlastung von Kunden und Nutzern untersucht. Da zunehmend wirtschaftlich und gesellschaftlich bedeutsame Systeme wie industrielle Produktionsketten (Industrie 4.0) und Kritische Infrastrukturkomponenten vernetzt werden, müssen diese besonders In Zeiten der Globalisierung gehen Cyberkriminelle Wege mit zunehmender Diversifizierung und Vernetzung. Dieser Bedrohung kann man nur gemeinsam im Rahmen von Expertennetzwerken begegnen. geschützt werden. Hier stellt der lage- und anforderungsgerechte Schutz unter vertretbaren Aufwänden und zulässigen Restrisiken ein eigenes Forschungsfeld dar, bei dem rechtliche Rahmenbedingungen, Modelle zur Verwaltung, technologische Komponenten und Nutzersensibilisierung ganzheitlich sowie schlüssig miteinander verknüpft werden müssen. Diese Systeme werden durch APTs und Smart Attacks bedroht, für die eigene Taxonomien und Metriken für Erkennung und Abwehr entwickelt werden müssen. * an der Universität der Bundeswehr München (Anm. d. Redaktion) secuview 1/

16 International Mit EasyPASS unter den Top 3! Bequem und einfach über die Grenze: Nach den Flughäfen Frankfurt am Main, München, Düsseldorf, Hamburg und Berlin-Tegel wird bis Mitte 2015 auch in Köln-Bonn das von dem Konsortium Bundesdruckerei (BDR) und secunet umgesetzte automatisierte Grenzkontrollsystem EasyPASS installiert. Damit gibt es in Deutschland 140 secunet easygates*, durch die Reisende über die Außengrenzen des Schengenraums die Grenzkontrolle in Eigenregie passieren können. Eine ähnlich hohe Anzahl automatisierter Grenzkontrollsysteme gibt es weltweit ansonsten nur in den Niederlanden und in Großbritannien. Diese Entwicklung passt perfekt in das Programm Smart Borders der Europäischen Kommission für mehr Mobilität und Sicherheit, in dem neue Technologien für ein moderneres und effizienteres Grenzmanagement eingesetzt werden. Die automatisierte Grenzkontrolle spielt dabei eine erhebliche Rolle. * Das secunet easygate wird in der deutschen Installation durch Komponenten der BDR ergänzt. Mehr Informationen: Frank Steffens And twelve points go to... Die volle Punktzahl für das secunet Golden Reader Tool Platinum Edition (GRT) kommt mittlerweile aus sage und schreibe 27 Ländern! So geben unter anderem Aserbaidschan, Estland, Indien und Kanada ihr Votum für die deutsche Software zum Auslesen verschiedener elektronischer Identitätsdokumente. Ein Beweis dafür, dass secunet sich mit dem GRT sicher und erfolgreich auf internationalen Bühnen bewegt. Das secunet Golden Reader Tool Platinum Edition ist die Weiterentwicklung des umfassend erprobten Golden Reader Tools aus der Gemeinschaftsentwicklung von BSI und secunet. Damit hat secunet eine Software-Applikation zum Auslesen von ICAO-konformen emrtds wie zum Beispiel von elektronischen Reisepässen entwickelt. Diese Applikation wird kontinuierlich optimiert und an Kundenbedarfe angepasst. Bereits heute unterstützt das GRT alle internationalen Sicherheitsprotokolle wie BAC, EAC in Version 1 und 2 oder SAC. Zudem lassen sich neben nationalen und internationalen Reisepässen auch Dokumente wie der deutsche elektronische Aufenthaltstitel, der neue deutsche Personalausweis, die in anderen Ländern erhältliche elektronische Fahrerlaubnis oder die elektronische Zulassungsbescheinigung auslesen und überprüfen. Mehr Informationen: Norbert Richartz 16 secuview 1/2015

17 Deutsches Expertenwissen für nationale PKD-Lösung Elektronische Reisepässe manipulationssicher und effizient überprüfen: EGSP realisiert die Lösung gemeinsam mit HJP, Bundesdruckerei, secunet und G&D für die Grenzkontrollpunkte in den Vereinigten Arabischen Emiraten Das in Abu Dhabi ansässige Unternehmen Emirates German Security Printing LLC (EGSP) lieferte die komplette Infrastruktur für den Aufbau einer nationalen Public-Key-Directory- Lösung. Das System kommt an den Grenzkontrollpunkten in den Vereinigten Arabischen Emiraten (VAE) zum Einsatz und dient der manipulationssicheren und effizienten Kontrolle in- und ausländischer elektronischer Reisepässe. Zur Umsetzung der Sicherheitslösung Made in Germany wurde EGSP als Generalunternehmer des nationalen Public-Key-Directory-(NPKD) Projekts unterstützt von den Partnern HJP Consulting GmbH, Bundesdruckerei GmbH, secunet Security Networks AG und Giesecke & Devrient GmbH. So stellte G&D die NPKD-Software zur Verfügung, die Bestandteil der secunet eid PKI Suite ist. Nachweis über Echtheit und Manipulationsfreiheit Mit einem Chip ausgestattete elektronische Reisepässe verhindern, dass die personenbezogenen Daten des Passinhabers unerkannt manipuliert werden können. Denn mit Hilfe des Public Key Directorys der Internationalen Zivilluftfahrtorganisation (ICAO) können Grenzkontrollbehörden die Echtheit der Passdaten prüfen. Dabei greifen sie auf vorqualifizierte Zertifikate, sogenannte Document Signer Certificates, und andere PKI-Daten aus den aktiven Mitgliedstaaten zurück. Das Innenministerium der Vereinigten Arabischen Emirate hat jetzt das nationale PKD-System eingeführt, das die von dem ICAO PKD und aus anderen Quellen erhaltenen Daten gegenprüft und die entsprechenden Zertifikate und Sperrlisten an alle Prüfsysteme (sogenannte Inspection Systems ) der Grenzkontrollstellen in den VAE weiterleitet. Im September 2011 traten die Vereinigten Arabischen Emirate als erstes Land im Mittleren Osten der ICAO PKD bei. Jetzt sind sie das erste Land im Mittleren Osten, das eine nationale PKD-Lösung eingeführt hat. Mehr Informationen: Oliver Jahnke secuview 1/

18 International Weder sperrig noch langwierig: IT-Grundschutz Die von secunet entwickelte Vorgehensweise mit drei Handlungssträngen ermöglicht die schnelle und angepasste Umsetzung eines IT-Sicherheitskonzepts bei Behörden und Unternehmen auf Basis des IT-Grundschutzes. Fachprozesse finden in der Methodik ebenso Berücksichtigung wie Standard-IT-Anwendungen Seit 15 Jahren erstellt secunet Sicherheitskonzepte nach der IT-Grundschutzmethode. Mehr als Projekte im Umfeld der Bundesverwaltung, auf Länderebene und in Unternehmen verschiedener Branchen wurden bereits erfolgreich abgeschlossen. Dabei wurde klar: Die Umsetzung der Informationssicherheit auf Basis des IT-Grundschutzes eignet sich gut für Standard- IT-Komponenten, steht jedoch immer wieder vor folgenden Herausforderungen: - Kombination mit Fachprozessen - Geringes inhaltliches Wissen der Mitarbeiterinnen und Mitarbeiter in den IT-Bereichen über die von ihnen betreuten Fachprozesse und deren Schutzbedarf - Kein integrierter Betrieb von Managementsystemen und Informationssicherheitsmanagementsystemen (ISMS) - Gemeinsame Behandlung von Compliance- Anforderungen und IT-Sicherheit nur in Ausnahmefällen - Späte Erfolge und hohe Komplexität durch das klassische Vorgehen im Grundschutz-Wasserfallmodell Mit dem gesammelten Know-how hat secunet eine angepasste Vorgehensweise zur Umsetzung des Grundschutzes entwickelt, die diese Schwierigkeiten eindämmt, dabei aber die Vorteile des Grundschutzes nutzt. Die Methodik umfasst drei vorzugsweise parallel auszuführende Handlungsstränge und führt zielgerichtet und schnell zu zertifizierungsfähigen ISMS nach IT-Grundschutz. - Handlungsstrang sichere Kern-IT Die IT einer Institution besteht aus Kernsystemen. Diese werden in einem Bottom-up-Ansatz betrachtet. Das betrifft sowohl virtualisierte Infrastrukturen als auch physische Clients, Server und Netzwerkkomponenten oder allgemeine Anwendungen wie Webserver oder das Active Directory. - Handlungsstrang Fachsicherheitskonzepte Die fachlichen Aufgaben, Anwendungen und Geschäftsprozesse der Institution, die die sichere Kern-IT nutzen, werden in Form von Fachsicherheitskonzepten betrachtet (Top-down-Ansatz). 18 secuview 1/2015

19 International Kurz notiert Dr. Rainer Baumgart erneut in ENISA- Beirat berufen - Handlungsstrang ISMS Ein oft unterschätzter Bestandteil der Informationssicherheit ist der eigentliche Kern der meisten Standards also auch des IT-Grundschutzes: das ISMS. Schnelle Ergebnisse, Aufhebung der Nachteile von IT-Grundschutz, Einbeziehung von Fachprozessen Der BSI-Standard legt nicht fest, die einzelnen Schritte der Sicherheitskonzepterstellung nacheinander abzuarbeiten. Die von secunet entwickelte Methodik sieht vor, mehrere Schritte zeitgleich zu beginnen und in den drei Handlungssträngen parallel zu verfolgen. Dadurch ist es möglich, effizient und schnell zu Ergebnissen zu kommen und das ISMS in bestehende andere Managementsysteme einzubinden. Die Europäische Agentur für Netz- und Informationssicherheit ENISA hat die Mitglieder der Permanent Stakeholder Group (PSG) bekanntgegeben. Die nun auf 23 Mitglieder verkleinerte PSG setzt sich aus Vertretern der Industrie, Wissenschaft, Verbraucherorganisationen und nationalen Regulierungsbehörden zusammen. Das Gremium berät den ausführenden Direktor der ENISA bei der Entwicklung ihres Aufgabengebietes sowie bei der Kommunikation mit den relevanten Stakeholdern und der Identifizierung aller mit IT-Sicherheit verbundenen Themen. Dr. Rainer Baumgart war von 2010 bis 2012 bereits Mitglied der PSG, anschließend vertrat Volker Schneider secunet bei der ENISA. Im März wurde der secunet CEO erneut in das Gremium berufen die aktuelle Mitgliedschaft endet am 1. September Mehr Informationen: René Seydel secuview 1/

20 Technologien & Lösungen SINA erhält höchste internationale Zulassungen secunet ist einziger deutscher Hersteller von IPsec-Lösungen für den Geheimhaltungsgrad NATO SECRET D ie NATO hat die Kryptokomponenten SINA gelassen. Zuvor erhielten verschiedene andere Ver- L3 Box H, SINA Workstation H und SINA schlüsselungsgeräte der SINA Produktfamilie durch Terminal H Anfang des Jahres für den den Rat der Europäischen Union eine Zulassung für Geheimhaltungsgrad NATO SECRET zugelassen. den Einsatz in der EU zur sicheren Übertragung von Damit können alle NATO-Mitgliedstaaten sowie die Informationen über öffentliche Leitungswege. gesamte NATO-Organisation und ihre weltweiten Einheiten diese SINA Produkte für NATO SECRET secunet ist damit der einzige Hersteller, der eingestufte Kommunikation einsetzen. IP-basierte Kryptographie-Lösungen für alle EUGeheimhaltungsgrade bereitstellt. Zudem erfüllt Auf europäischer Ebene wurden im Juni dieses Jah- secunet als einziger deutscher Hersteller die res die SINA L3 Box S in den Softwareversionen 2.2 NATO-Anforderungen an IPsec-Lösungen für den und 3.7, die SINA L2 Box S in den Softwareversi- hohen Geheimhaltungsgrad NATO SECRET. onen 3.2 und 3.3 sowie die SINA Workstation S in der Version für den EU-Geheimhaltungsgrad RESTREINT UE (EU RESTRICTED) zugelassen. Die Mehr Informationen: SINA L3 Box H wurde im August 2014 bereits für den Merlin Gräwer Geheimhaltungsgrad SECRET UE (EU SECRET) zu- VS-Zulassungen Komponenten SINA L3 Box Deutschland GEHEIM / STRENG GEHEIM NATO NATO SECRET EU SECRET UE VS-VERTRAULICH NATO CONFIDENTIAL CONFIDENTIEL UE VS-NfD NATO RESTRICTED RESTREINT UE SINA One Way GEHEIM NATO SECRET SINA L2 Box VS-NfD NATO RESTRICTED RESTREINT UE SINA Workstation GEHEIM NATO SECRET In Evaluierung VS-VERTRAULICH NATO CONFIDENTIAL* CONFIDENTIEL UE* VS-NfD NATO RESTRICTED RESTREINT UE SINA Tablet VS-NfD SINA Terminal GEHEIM / STRENG GEHEIM NATO SECRET In Evaluierung VS-VERTRAULICH NATO CONFIDENTIAL CONFIDENTIEL UE* VS-NfD NATO RESTRICTED RESTREINT UE Für den zulassungskonformen Betrieb sind die Vorgaben/Sicherheitshinweise der jeweils gültigen BSI-Zulassungsurkunde zu beachten. * Nur für den nationalen Gebrauch durch BSI zugelassen. ist eine Gemeinschaftsentwicklung von 20 secuview 1/2015 Stand: Juli 2015 und

L2 Box. Layer 2 Netzwerkverschlüsselung Nachweislich sicher, einfach, schnell.

L2 Box. Layer 2 Netzwerkverschlüsselung Nachweislich sicher, einfach, schnell. L2 Box Layer 2 Netzwerkverschlüsselung Nachweislich sicher, einfach, schnell. Zuverlässige Leitungsverschlüsselung. Der Austausch interner und vertraulicher Daten zwischen Standorten oder Rechenzentren

Mehr

Embedded Systems. Sicherheit und Zuverlässigkeit in einer automatisierten und vernetzten Welt

Embedded Systems. Sicherheit und Zuverlässigkeit in einer automatisierten und vernetzten Welt Embedded Systems Sicherheit und Zuverlässigkeit in einer automatisierten und vernetzten Welt Intelligente Embedded Systems revolutionieren unser Leben Embedded Systems spielen heute in unserer vernetzten

Mehr

Auswirkungen des IT-Sicherheitsgesetzes für Krankenhäuser. Umsetzungshinweise

Auswirkungen des IT-Sicherheitsgesetzes für Krankenhäuser. Umsetzungshinweise Ziele Auswirkungen des IT-Sicherheitsgesetzes für Krankenhäuser Umsetzungshinweise dubois it-consulting gmbh, Holzhofstr. 10, 55116 Mainz, +49 6131 2150691 oder +49 177 4104045, ingrid.dubois@dubois-it-consulting.de

Mehr

FORSCHUNGSZENTRUM CODE Jahrestagung 2015: Security Awareness. Prof. Dr. Gabi Dreo Rodosek

FORSCHUNGSZENTRUM CODE Jahrestagung 2015: Security Awareness. Prof. Dr. Gabi Dreo Rodosek FORSCHUNGSZENTRUM CODE Jahrestagung 2015: Security Awareness Prof. Dr. Gabi Dreo Rodosek www.unibw.de/code code@unibw.de 25.03.2015 Vernetze, Smarte, Virtuelle Welt Internet der Dinge/Dienste/Daten Die

Mehr

Sicherheitstechnische Qualifizierung (SQ), Version 10.0 Security Assurance Level SEAL-3

Sicherheitstechnische Qualifizierung (SQ), Version 10.0 Security Assurance Level SEAL-3 Die Zertifizierungsstelle der TÜV Informationstechnik GmbH bescheinigt hiermit dem Unternehmen RWE Effizienz GmbH Flamingoweg 1 44139 Dortmund für das IT-System RWE eoperate IT Services die Erfüllung aller

Mehr

Wo erweitert das IT-Sicherheitsgesetz bestehende Anforderungen und wo bleibt alles beim Alten?

Wo erweitert das IT-Sicherheitsgesetz bestehende Anforderungen und wo bleibt alles beim Alten? Wo erweitert das IT-Sicherheitsgesetz bestehende Anforderungen und wo bleibt alles beim Alten? Hamburg/Osnabrück/Bremen 18./25./26. November 2014 Gerd Malert Agenda 1. Kernziele des Gesetzesentwurfes 2.

Mehr

Die Telematikinfrastruktur als sichere Basis im Gesundheitswesen

Die Telematikinfrastruktur als sichere Basis im Gesundheitswesen Die Telematikinfrastruktur als sichere Basis im Gesundheitswesen conhit Kongress 2014 Berlin, 06.Mai 2014 Session 3 Saal 3 Gesundheitsdaten und die NSA Haben Patienten in Deutschland ein Spionageproblem?

Mehr

Datenschutz und IT-Sicherheit. Smart Meter CA & Gateway Administration. SmartMeterCA &

Datenschutz und IT-Sicherheit. Smart Meter CA & Gateway Administration. SmartMeterCA & Datenschutz und IT-Sicherheit Smart Meter CA & Gateway Administration SmartMeterCA & Gateway Administration 4 Projekte 4 gute Ideen für den Smart Meter Gateway Administrator Unsere vier Projekte im Überblick

Mehr

ISMS und Sicherheitskonzepte ISO 27001 und IT-Grundschutz

ISMS und Sicherheitskonzepte ISO 27001 und IT-Grundschutz ISMS und Sicherheitskonzepte ISO 27001 und IT-Grundschutz Aufbau eines ISMS, Erstellung von Sicherheitskonzepten Bei jedem Unternehmen mit IT-basierenden Geschäftsprozessen kommt der Informationssicherheit

Mehr

Newsletter SLA März 2015

Newsletter SLA März 2015 Sollte dieser Newsletter nicht korrekt dargestellt werden, Klicken Sie bitte hier. Newsletter SLA März 2015 MEAT INTEGRITY SOLUTION (MIS) ALS NEUER STANDARD! Was leistet die MEAT INTEGRITY SOLUTION (MIS)?

Mehr

Sicherheitstechnische Qualifizierung (SQ), Version 10.0 Security Assurance Level SEAL-5

Sicherheitstechnische Qualifizierung (SQ), Version 10.0 Security Assurance Level SEAL-5 Die Zertifizierungsstelle der TÜV Informationstechnik GmbH bescheinigt hiermit dem Unternehmen SLA Software Logistik Artland GmbH Friedrichstraße 30 49610 Quakenbrück für das IT-System Meat Integrity Solution

Mehr

TÜV Rheinland. ISO 27001 / Aufbau eines ISMS

TÜV Rheinland. ISO 27001 / Aufbau eines ISMS TÜV Rheinland. ISO 27001 / Aufbau eines ISMS TÜV Rheinland i-sec GmbH / ISMS Kurze Unternehmensvorstellung Was ist ein ISMS (und was nicht)? Drei zentrale Elemente eines ISMS Die Phasen einer ISMS Implementierung

Mehr

Sicherheitstechnische Qualifizierung (SQ), Version 10.0 Security Assurance Level SEAL-3

Sicherheitstechnische Qualifizierung (SQ), Version 10.0 Security Assurance Level SEAL-3 Die Zertifizierungsstelle der TÜV Informationstechnik GmbH bescheinigt hiermit dem Unternehmen Deutsche Telekom AG Products & Innovation T-Online-Allee 1 64295 Darmstadt für das IT-System Developer Garden

Mehr

Die Zukunft der IT-Sicherheit

Die Zukunft der IT-Sicherheit Die Zukunft der IT-Sicherheit Was wir aus dem IT-SiG und Co. so alles für die Zukunft lernen können! 20.03.2015 Gerald Spyra, LL.M. Kanzlei Spyra Vorstellung meiner Person Gerald Spyra, LL.M. Rechtsanwalt

Mehr

Cyber-Sicherheit von Industrial Control Systems

Cyber-Sicherheit von Industrial Control Systems Cyber-Sicherheit von Industrial Control Systems Holger Junker Bundesamt für Sicherheit in der Informationstechnik Industrial IT Forum 2012-04-25 Agenda Das BSI Cyber-Sicherheit im ICS-Kontext Sicherheitsmaßnahmen

Mehr

IT-Sicherheit in der Energiewirtschaft

IT-Sicherheit in der Energiewirtschaft IT-Sicherheit in der Energiewirtschaft Sicherer und gesetzeskonformer IT-Systembetrieb Dr. Joachim Müller Ausgangssituation Sichere Energieversorgung ist Voraussetzung für das Funktionieren unseres Gemeinwesens

Mehr

Leitfaden zum sicheren Betrieb von Smart Meter Gateways

Leitfaden zum sicheren Betrieb von Smart Meter Gateways Leitfaden zum sicheren Betrieb von Smart Meter Gateways Wer Smart Meter Gateways verwaltet, muss die IT-Sicherheit seiner dafür eingesetzten Infrastruktur nachweisen. Diesen Nachweis erbringt ein Gateway-

Mehr

Herausforderungen und Lösungsansätze für wachsende IT- Sicherheitsanforderungen bei Verkehrsunternehmen

Herausforderungen und Lösungsansätze für wachsende IT- Sicherheitsanforderungen bei Verkehrsunternehmen Herausforderungen und Lösungsansätze für wachsende IT- Sicherheitsanforderungen bei Verkehrsunternehmen Dr. Alexander Vilbig Leitung Anwendungen SWM Services GmbH M / Wasser M / Bäder M / Strom M / Fernwärme

Mehr

Sicherheitstechnische Qualifizierung (SQ), Version 10.0 Security Assurance Level SEAL-3

Sicherheitstechnische Qualifizierung (SQ), Version 10.0 Security Assurance Level SEAL-3 Die Zertifizierungsstelle der TÜV Informationstechnik GmbH bescheinigt hiermit dem Unternehmen Agfa HealthCare GmbH Konrad-Zuse-Platz 1-3 53227 Bonn für das IT-System IMPAX/web.Access die Erfüllung aller

Mehr

ITK Sicherheitsgesetz Umsetzung mit verinice.pro. verinice.xp- Grundschutztag 15.09.2015

ITK Sicherheitsgesetz Umsetzung mit verinice.pro. verinice.xp- Grundschutztag 15.09.2015 ITK Sicherheitsgesetz Umsetzung mit verinice.pro verinice.xp- Grundschutztag 15.09.2015 Überblick Kurze Vorstellung des IT-Sicherheitsgesetzes Konkretisierung des Gesetzes für Energieversorger Abbildung

Mehr

Das neue IT-Sicherheitsgesetz: Welche Unternehmen sind betroffen? Was ist zu tun?

Das neue IT-Sicherheitsgesetz: Welche Unternehmen sind betroffen? Was ist zu tun? Dipl.-Wirtsch.-Ing. Frank Hallfell Dipl.-Ing.(FH) Günther Orth enbiz gmbh, Kaiserslautern Das neue IT-Sicherheitsgesetz: Welche Unternehmen sind betroffen? Was ist zu tun? IT-Tag Saarbrücken, 16.10.2015

Mehr

Hacking für Deutschland!? Aufgaben und Herausforderungen der Cyberabwehr im BSI

Hacking für Deutschland!? Aufgaben und Herausforderungen der Cyberabwehr im BSI Hacking für Deutschland!? Aufgaben und Herausforderungen der Cyberabwehr im BSI Andreas Könen Vizepräsident, Bundesamt für Sicherheit in der Informationstechnik Hacking für Deutschland!? Aufgaben und Herausforderungen

Mehr

E-POSTBRIEF Sicherheit in der digitalen Schriftkommunikation

E-POSTBRIEF Sicherheit in der digitalen Schriftkommunikation E-POSTBRIEF Sicherheit in der digitalen Schriftkommunikation Dr. André Wittenburg, Vice President Architektur & Plattformstragie i2b, Bremen, Februar 2012 1 Der E-Postbrief: Ein kurzer Überflug 2 Sicherheit

Mehr

Sicherheit integrierter Gebäudesysteme - Bedrohungsszenarien, Lösungsansätze - Markus Ullmann

Sicherheit integrierter Gebäudesysteme - Bedrohungsszenarien, Lösungsansätze - Markus Ullmann Sicherheit integrierter Gebäudesysteme - Bedrohungsszenarien, Lösungsansätze - Markus Ullmann Bundesamt für Sicherheit in der Informationstechnik (BSI) Connected Living 2013 Agenda Studie: Integrierte

Mehr

Cybercrime, Cyberspionage, Cybersabotage - Wie schützen wir unseren Cyberraum?

Cybercrime, Cyberspionage, Cybersabotage - Wie schützen wir unseren Cyberraum? Cybercrime, Cyberspionage, Cybersabotage - Wie schützen wir unseren Cyberraum? Dirk Häger, Fachbereichsleiter Operative Netzabwehr Bundesamt für Sicherheit in der Informationstechnik Jahrestagung CODE,

Mehr

BSI-Mindestsicherheitsanforderungen an Cloud-Computing-Anbieter

BSI-Mindestsicherheitsanforderungen an Cloud-Computing-Anbieter BSI-Mindestsicherheitsanforderungen an Cloud-Computing-Anbieter Alex Didier Essoh und Dr. Clemens Doubrava EuroCloud Deutschland_eco e.v. Köln 02.02.2011 Ziel Ziel des BSI ist es, gemeinsam mit den Marktteilnehmern

Mehr

PRÜFEN BERATEN LÖSEN appsphere - Professionalität aus einer Hand.

PRÜFEN BERATEN LÖSEN appsphere - Professionalität aus einer Hand. PRÜFEN BERATEN LÖSEN appsphere - Professionalität aus einer Hand. SERVICES appsphere ist spezialisiert auf Sicherheitsanalysen und Lösungsentwicklungen für den zuverlässigen Schutz von Web-Applikationen

Mehr

Status quo Know-how Kontext Industrial IT-Security beim VDMA

Status quo Know-how Kontext Industrial IT-Security beim VDMA Status quo Know-how how-schutz im Kontext Industrial IT-Security beim VDMA Augsburg, 2014-02-19 Peter Mnich VICCON GmbH Ottostr. 1 76275 Ettlingen VICCON GmbH Büro Potsdam David-Gilly-Str. 1 14469 Potsdam

Mehr

Der starke Partner für Ihre IT-Umgebung.

Der starke Partner für Ihre IT-Umgebung. Der starke Partner für Ihre IT-Umgebung. Leistungsfähig. Verlässlich. Mittelständisch. www.michael-wessel.de IT-Service für den Mittelstand Leidenschaft und Erfahrung für Ihren Erfolg. Von der Analyse

Mehr

Sicherheit für Ihre Daten. Security Made in Germany

Sicherheit für Ihre Daten. Security Made in Germany Sicherheit für Ihre Daten Security Made in Germany Auf einen Blick. Die Sicherheitslösung, auf die Sie gewartet haben. Sicherheitslösungen müssen transparent sein; einfach, aber flexibel. DriveLock bietet

Mehr

Digitalisierungsprozesse sicher gestalten - Die Perspektive des BSI

Digitalisierungsprozesse sicher gestalten - Die Perspektive des BSI Digitalisierungsprozesse sicher gestalten - Die Perspektive des BSI Oliver Klein Referat Informationssicherheit und Digitalisierung Bundesamt für Sicherheit in der Informationstechnik (BSI) Rüsselsheim,

Mehr

Das IT-Sicherheitsgesetz

Das IT-Sicherheitsgesetz Das IT-Sicherheitsgesetz Kritische Infrastrukturen schützen Das IT-sIcherheITsgeseTz InhalT Inhaltsverzeichnis 1 Das IT-Sicherheitsgesetz 5 2 Zielgruppen und Neuregelungen 7 3 Neue Aufgaben für das BSI

Mehr

Neue gesetzliche Anforderungen an Stadtwerke: Mindestanforderungen für die IT-Sicherheit

Neue gesetzliche Anforderungen an Stadtwerke: Mindestanforderungen für die IT-Sicherheit Neue gesetzliche Anforderungen an Stadtwerke: Mindestanforderungen für die IT-Sicherheit smartoptimo GmbH & Co. KG Luisenstraße 20 49074 Osnabrück Telefon 0541.600680-0 Telefax 0541.60680-12 info@smartoptimo.de

Mehr

Sichere Telefonkonferenzen zum Schutz vor Wirtschaftsspionage

Sichere Telefonkonferenzen zum Schutz vor Wirtschaftsspionage Sichere Telefonkonferenzen zum Schutz vor Wirtschaftsspionage it-sa, 16. Oktober 2012 seamless secure communication Über Secusmart! Gründung: 2007! Seit 2009 bei den Bundesbehörden im Einsatz Quelle: Spiegel

Mehr

G Data Small Business Security Studie 2012. Wie gehen kleinere Unternehmen mit IT-Sicherheit um? G Data. Security Made in Germany

G Data Small Business Security Studie 2012. Wie gehen kleinere Unternehmen mit IT-Sicherheit um? G Data. Security Made in Germany G Data Small Business Security Studie 2012 Wie gehen kleinere Unternehmen mit IT-Sicherheit um? G Data. Security Made in Germany IT-Security ist für kleinere Firmen zu einer zentralen Herausforderung geworden,

Mehr

FIRMENPROFIL. Virtual Software as a Service

FIRMENPROFIL. Virtual Software as a Service FIRMENPROFIL Virtual Software as a Service WER WIR SIND ECKDATEN Die ViSaaS GmbH & Co. KG ist Ihr professioneller Partner für den Bereich Virtual Software as a Service. Mit unseren modernen und flexiblen

Mehr

Arbeitskreis Sichere Smart Grids Kick-off

Arbeitskreis Sichere Smart Grids Kick-off Arbeitskreis Sichere Smart Grids Kick-off 30. Juli 2013, 16.30 bis 18.30 Uhr secunet Security Networks AG, Konrad-Zuse-Platz 2, 81829 München Leitung: Steffen Heyde, secunet Agenda: 16.30 Uhr Begrüßung

Mehr

Die Bedeutung des IT- Sicherheitsgesetzes für den Straßenverkehr

Die Bedeutung des IT- Sicherheitsgesetzes für den Straßenverkehr Die Bedeutung des IT- Sicherheitsgesetzes für den Straßenverkehr Prof. Dr., LL.M. Fachgebiet Öffentliches Recht, IT-Recht und Umweltrecht 3. Würzburger Tagung zum Technikrecht: Auf dem Weg zum autonomen

Mehr

CISO nur eine sinnlose Jobbezeichnung? Prof. Dr. Thomas Jäschke

CISO nur eine sinnlose Jobbezeichnung? Prof. Dr. Thomas Jäschke CISO nur eine sinnlose Jobbezeichnung? Prof. Dr. Thomas Jäschke Vorstellung - Ihr Referent Prof. Dr. Thomas Jäschke Professor für Wirtschaftsinformatik an der FOM Hochschule für Oekonomie & Management

Mehr

IT-Sicherheitsgesetz:

IT-Sicherheitsgesetz: IT-Sicherheitsgesetz: Neue Herausforderungen für Unternehmen und Behörden Rechtsanwalt Thomas Feil Fachanwalt für IT-Recht und Arbeitsrecht Datenschutzbeauftragter TÜV Thomas Feil 09/2015 1 Thomas Feil

Mehr

Penetrationstest Digitale Forensik Schulungen Live-Hacking

Penetrationstest Digitale Forensik Schulungen Live-Hacking M IT S I C H E R H E I T Penetrationstest Digitale Forensik Schulungen Live-Hacking Seien Sie den Hackern einen Schritt voraus. Wir finden Ihre Sicherheitslücken, bevor andere sie ausnutzen. Ethisches

Mehr

Security. Voice +41 (0)55 214 41 56 Fax +41 (0)55 214 41 57 Mobile +41 (0)79 336 56 76 E-Mail felix.widmer@tan-group.ch Web www.tan-group.

Security. Voice +41 (0)55 214 41 56 Fax +41 (0)55 214 41 57 Mobile +41 (0)79 336 56 76 E-Mail felix.widmer@tan-group.ch Web www.tan-group. Security Felix Widmer TCG Tan Consulting Group GmbH Hanflaenderstrasse 3 CH-8640 Rapperswil SG Voice +41 (0)55 214 41 56 Fax +41 (0)55 214 41 57 Mobile +41 (0)79 336 56 76 E-Mail felix.widmer@tan-group.ch

Mehr

Cyber Defence vor dem Hintegrund der NSA-Affäre

Cyber Defence vor dem Hintegrund der NSA-Affäre Cyber Defence vor dem Hintegrund der NSA-Affäre Prof. Dr. Gabi Dreo Rodosek Sprecherin des Forschungszentrums CODE gabi.dreo@unibw.de 2014 Gabi Dreo Rodosek 1 Die Wachsende Bedrohung 2014 Gabi Dreo Rodosek

Mehr

Industrial IT Security

Industrial IT Security Industrial IT Security Herausforderung im 21. Jahrhundert INNOVATIONSPREIS-IT www.koramis.de IT-SECURITY Industrial IT Security zunehmend wichtiger Sehr geehrter Geschäftspartner, als wir in 2005 begannen,

Mehr

THEMA: CLOUD SPEICHER

THEMA: CLOUD SPEICHER NEWSLETTER 03 / 2013 THEMA: CLOUD SPEICHER Thomas Gradinger TGSB IT Schulung & Beratung Hirzbacher Weg 3 D-35410 Hungen FON: +49 (0)6402 / 504508 FAX: +49 (0)6402 / 504509 E-MAIL: info@tgsb.de INTERNET:

Mehr

IT-Sicherheitspolitik. der teilnehmenden Hochschulen und Forschungseinrichtungen in Schleswig-Holstein

IT-Sicherheitspolitik. der teilnehmenden Hochschulen und Forschungseinrichtungen in Schleswig-Holstein der teilnehmenden Hochschulen und Forschungseinrichtungen in Schleswig-Holstein Teilnehmende Institutionen Flensburg Universität Flensburg Christian- Albrechts- Universität IFM-GEOMAR Kiel Muthesius Kunsthochschule

Mehr

Informations-Sicherheit mit ISIS12

Informations-Sicherheit mit ISIS12 GPP Projekte gemeinsam zum Erfolg führen www.it-sicherheit-bayern.de Informations-Sicherheit mit ISIS12 GPP Service GmbH & Co. KG Kolpingring 18 a 82041 Oberhaching Tel.: +49 89 61304-1 Fax: +49 89 61304-294

Mehr

2.2. 8b Zentrale Meldestelle für die Sicherheit in der Informationstechnik für die Betreiber kritischer Infrastrukturen

2.2. 8b Zentrale Meldestelle für die Sicherheit in der Informationstechnik für die Betreiber kritischer Infrastrukturen Stellungnahme des Gesamtverbandes der Deutschen Versicherungswirtschaft ID-Nummer 6437280268-55 sowie des Verbandes der Privaten Krankenversicherung zum Referentenentwurf des Bundesministeriums des Innern

Mehr

Consulting Services Effiziente Sicherheitsprozesse nach Mass.

Consulting Services Effiziente Sicherheitsprozesse nach Mass. Consulting Services Effiziente Sicherheitsprozesse nach Mass. Angemessene, professionelle Beratung nach internationalen Sicherheitsstandards. Effektive Schwachstellenerkennung und gezielte Risikominimierung.

Mehr

iphone und ipad im Unternehmen? Ja. Sicher.

iphone und ipad im Unternehmen? Ja. Sicher. iphone und ipad im Unternehmen? Ja. Sicher. Im aktivierten Smartcard-Modus ist der unautorisierte Zugriff auf Geschäftsdaten in SecurePIM nach heutigem Stand der Technik nicht möglich. Ihr Upgrade in die

Mehr

Informationssicherheit zentral koordiniert IT-Sicherheitsbeauftragter

Informationssicherheit zentral koordiniert IT-Sicherheitsbeauftragter Informationssicherheit zentral koordiniert IT-Sicherheitsbeauftragter Informationssicherheit lösungsorientiert Informationssicherheit ist für Unternehmen mit IT-basierten Prozessen grundlegend: Neben dem

Mehr

First Climate AG IT Consulting und Support. Information Security Management System nach ISO/IEC 27001:2013 AUDIT REVISION BERATUNG

First Climate AG IT Consulting und Support. Information Security Management System nach ISO/IEC 27001:2013 AUDIT REVISION BERATUNG First Climate AG IT Consulting und Support Information Security Management System nach ISO/IEC 27001:2013 AUDIT REVISION BERATUNG - INFORMATION SECURITY MANAGEMENT MAIKO SPANO IT MANAGER CERTIFIED ISO/IEC

Mehr

SINA mit Windows = eine gute Gastfreundschaft. Dr. Kai Martius, Armin Wappenschmidt Bonn, 21. / 22. Mai 2014

SINA mit Windows = eine gute Gastfreundschaft. Dr. Kai Martius, Armin Wappenschmidt Bonn, 21. / 22. Mai 2014 SINA mit Windows = eine gute Gastfreundschaft Dr. Kai Martius, Armin Wappenschmidt Bonn, 21. / 22. Mai 2014 secunet Security Networks AG Security Made in Germany Einer der führenden Spezialisten für innovative

Mehr

IT-Grundschutz Informationssicherheit ohne Risiken und Nebenwirkungen

IT-Grundschutz Informationssicherheit ohne Risiken und Nebenwirkungen IT-Grundschutz Informationssicherheit ohne Risiken und Nebenwirkungen Bundesamt für Sicherheit in der Informationstechnik Grundlagen der Informationssicherheit und IT-Grundschutz IT-Grundschutz-Tag 09.10.2013

Mehr

Welche Sicherheit brauchen die Unterehmen?

Welche Sicherheit brauchen die Unterehmen? Welche Sicherheit brauchen die Unterehmen? Ammar Alkassar Vorstand Sirrix AG IuK-Tag NRW 20. November 2014 ı Bochum Ursprünge BMWi-Studie in der Spitzenforschung zur IT-Sicherheit bei Industrie 4.0 Gegründet

Mehr

CLOUD COMPUTING. Risikomanagementstrategien bei der Nutzung von Cloud Computing

CLOUD COMPUTING. Risikomanagementstrategien bei der Nutzung von Cloud Computing CLOUD COMPUTING Risikomanagementstrategien bei der Nutzung von Cloud Computing Michael Rautert Staatlich geprüfter Informatiker Geprüfter IT-Sicherheitsbeauftragter (SGS TÜV) Ausbildung zum geprüften Datenschutzbeauftragten

Mehr

Herausforderungen und Chancen im industriellen Umfeld

Herausforderungen und Chancen im industriellen Umfeld Die Vorteile öffentlicher Netze nutzen 12.08.2014, Marc Lindlbauer, secunet Security Networks AG Herausforderungen und Chancen im industriellen Umfeld Daten & Fakten zur secunet Security Networks AG >340

Mehr

UNTERNEHMENSVORSTELLUNG. Wir schützen Ihre Unternehmenswerte

UNTERNEHMENSVORSTELLUNG. Wir schützen Ihre Unternehmenswerte UNTERNEHMENSVORSTELLUNG Wir schützen Ihre Unternehmenswerte Wir schützen Ihre Unternehmenswerte Wer sind wir? Die wurde 1996 als klassisches IT-Systemhaus gegründet. 15 qualifizierte Mitarbeiter, Informatiker,

Mehr

IPS-ENERGY ISMS Unterstützung für Information Security Management Systeme. 2015 IPS GmbH

IPS-ENERGY ISMS Unterstützung für Information Security Management Systeme. 2015 IPS GmbH IPS-ENERGY ISMS Unterstützung für Information Security Management Systeme Inhalt Zur Relevanz von ISMS für EVUs Übersicht Kritische Infrastrukturen 11 EnWG BSI-Standards 100-x Was ist ein ISMS? Unterstützung

Mehr

IT-Grundschutz-Zertifizierung von ausgelagerten Komponenten

IT-Grundschutz-Zertifizierung von ausgelagerten Komponenten Ergänzung zum Zertifizierungsschema Nr. 1 Titel ITGrundschutzZertifizierung von ausgelagerten Komponenten Status Version 1.0 Datum Diese Ergänzung zum Zertifizierungsschema gibt verbindliche Hinweise,

Mehr

Sicherheit entspannt Sichere Daten. Sicheres Geschäft. Tipps zur Informationssicherheit für Manager. TÜV SÜD Management Service GmbH

Sicherheit entspannt Sichere Daten. Sicheres Geschäft. Tipps zur Informationssicherheit für Manager. TÜV SÜD Management Service GmbH Sicherheit entspannt Sichere Daten. Sicheres Geschäft. Tipps zur Informationssicherheit für Manager TÜV SÜD Management Service GmbH Sicherheit, Verfügbarkeit und Zuverlässigkeit von Informationen stehen

Mehr

Risikoanalyse mit der OCTAVE-Methode

Risikoanalyse mit der OCTAVE-Methode Risikoanalyse mit der OCTAVE-Methode 07.05.2013 Dr. Christian Paulsen DFN-CERT Services GmbH Bedrohungslage Trends der Informationssicherheit: Hauptmotivation der Angreifer: Geld, Informationen Automatisierte

Mehr

Business Continuity Management (BCM) als Managementaufgabe Ein prozessorientierter Ansatz für den IT-Sicherheitsprozess

Business Continuity Management (BCM) als Managementaufgabe Ein prozessorientierter Ansatz für den IT-Sicherheitsprozess Business Continuity Management (BCM) als Managementaufgabe Ein prozessorientierter Ansatz für den IT-Sicherheitsprozess, Projektmanager und Sales Consultant, EMPRISE Process Management GmbH Das Gesetz

Mehr

emra-x DIE ANFRAGERSCHNITTSTELLE FÜR DIE MELDEREGISTERAUSKUNFT 2.0

emra-x DIE ANFRAGERSCHNITTSTELLE FÜR DIE MELDEREGISTERAUSKUNFT 2.0 emra-x DIE ANFRAGERSCHNITTSTELLE FÜR DIE MELDEREGISTERAUSKUNFT 2.0 ÜBER UNS Die DVZ Datenverarbeitungszentrum Mecklenburg-Vorpommern GmbH (DVZ M-V GmbH) ist der IT-Service-Provider der Landesverwaltung

Mehr

DATENSCHUTZBERATUNG. vertrauensvoll, qualifiziert, rechtssicher

DATENSCHUTZBERATUNG. vertrauensvoll, qualifiziert, rechtssicher DATENSCHUTZBERATUNG vertrauensvoll, qualifiziert, rechtssicher SIND SIE WIRKLICH SICHER? Wer sorgt in Ihrem Unternehmen dafür, dass die rechtlichen Anforderungen des Datenschutzes und der Datensicherheit

Mehr

ikb Data Experten für sensible Daten

ikb Data Experten für sensible Daten ikb Data Experten für sensible Daten Die ikb Data GmbH gehört zu den führenden deutschen Dienstleistungsunternehmen im Bereich IT-Infrastruktur und Datensicherheit. Im Jahr 2004 als Shared-Service-Center

Mehr

Richtlinie zur Informationssicherheit T-Systems Multimedia Solutions

Richtlinie zur Informationssicherheit T-Systems Multimedia Solutions Richtlinie zur Informationssicherheit T-Systems Multimedia Solutions Autor: Frank Schönefeld Gültig ab: 23.03.2015 / Ersetzte Ausgabe: 29.05.2012 Seite 1 von 5 Vorwort Unsere Kunden und Beschäftigten müssen

Mehr

IT-Grundschutz IT-Sicherheit ohne Risiken Und Nebenwirkungen

IT-Grundschutz IT-Sicherheit ohne Risiken Und Nebenwirkungen IT-Sicherheit ohne Risiken Und Nebenwirkungen Bundesamt für Sicherheit in der Informationstechnik Grundlagen der Informationssicherheit und 1. -Tag 03.02.2015 Agenda Das BSI Informationssicherheit Definition

Mehr

IT-Grundschutz IT-Sicherheit ohne Risiken und Nebenwirkungen

IT-Grundschutz IT-Sicherheit ohne Risiken und Nebenwirkungen IT-Grundschutz IT-Sicherheit ohne Risiken und Nebenwirkungen Bundesamt für Sicherheit in der Informationstechnik Grundlagen der Informationssicherheit und IT-Grundschutz 2. IT-Grundschutz-Tag 2014 20.03.2014

Mehr

Intelligente Lösungen für höchste IT-Sicherheitsanforderungen

Intelligente Lösungen für höchste IT-Sicherheitsanforderungen Intelligente Lösungen für höchste IT-Sicherheitsanforderungen 1 2 1 2 3 Informationssicherheit von Architekten moderner Kryptosysteme SINA (Sichere Inter-Netzwerk-Architektur) ermöglicht die sichere Bearbeitung,

Mehr

IS-Revision in der Verwaltung

IS-Revision in der Verwaltung IS-Revision in der Verwaltung Dr. Gerhard Weck INFODAS GmbH, Köln 27. November 2009 Inhalt Nationaler Plan zur Sicherung der Informationsinfrastrukturen (NPSI) Umsetzungsplan KRITIS Umsetzungsplan Bund

Mehr

IT-Grundschutz - der direkte Weg zur Informationssicherheit

IT-Grundschutz - der direkte Weg zur Informationssicherheit IT-Grundschutz - der direkte Weg zur Informationssicherheit Bundesamt für Sicherheit in der Informationstechnik Referat IT-Sicherheitsmanagement und IT-Grundschutz Security-Forum 08.10.2008 Überblick IT-Grundschutz-Methodik

Mehr

Das Wichtigste im Überblick 3 Sicherheit der Inhalte Sicherheit der Benutzeroberfläche Sicherheit der Infrastruktur.

Das Wichtigste im Überblick 3 Sicherheit der Inhalte Sicherheit der Benutzeroberfläche Sicherheit der Infrastruktur. MIKOGO SICHERHEIT Inhaltsverzeichnis Das Wichtigste im Überblick 3 Sicherheit der Inhalte Sicherheit der Benutzeroberfläche Sicherheit der Infrastruktur Seite 2. Im Einzelnen 4 Komponenten der Applikation

Mehr

Datenschutz und Informationssicherheit 03.09.2015

Datenschutz und Informationssicherheit 03.09.2015 Datenschutz und Informationssicherheit 03.09.2015 Vertrauen in öffentliche Institutionen in Deutschland ist hoch Studie der GfK: Global Trust Report (2015) Staatliche Institutionen führen das Vertrauensranking

Mehr

IT-Dienstleistungszentrum Berlin

IT-Dienstleistungszentrum Berlin IT-Dienstleistungszentrum Berlin»Private Cloud für das Land Berlin«25.11.2010, Kai Osterhage IT-Sicherheitsbeauftragter des ITDZ Berlin Moderne n für die Verwaltung. Private Cloud Computing Private Cloud

Mehr

Cybersicherheit als Wettbewerbsvorteil und Voraussetzung wirtschaftlichen Erfolgs

Cybersicherheit als Wettbewerbsvorteil und Voraussetzung wirtschaftlichen Erfolgs Cybersicherheit als Wettbewerbsvorteil und Voraussetzung 9. Dezember 2014 1 Gliederung I. Digitale Risiken Reale Verluste II. Cybersicherheit als Business Enabler III. Konsequenzen für die deutsche Software

Mehr

Der einfache Weg zu Sicherheit

Der einfache Weg zu Sicherheit Der einfache Weg zu Sicherheit BUSINESS SUITE Ganz einfach den Schutz auswählen Die Wahl der passenden IT-Sicherheit für ein Unternehmen ist oft eine anspruchsvolle Aufgabe und umfasst das schier endlose

Mehr

BeamYourScreen Sicherheit

BeamYourScreen Sicherheit BeamYourScreen Sicherheit Inhalt BeamYourScreen Sicherheit... 1 Das Wichtigste im Überblick... 3 Sicherheit der Inhalte... 3 Sicherheit der Benutzeroberfläche... 3 Sicherheit der Infrastruktur... 3 Im

Mehr

Einführung eines ISMS nach ISO 27001:2013

Einführung eines ISMS nach ISO 27001:2013 Einführung eines ISMS nach ISO 27001:2013 VKU-Infotag: Anforderungen an die IT-Sicherheit (c) 2013 SAMA PARTNERS Business Solutions Vorstellung Olaf Bormann Senior-Consultant Informationssicherheit Projekterfahrung:

Mehr

Maintenance & Re-Zertifizierung

Maintenance & Re-Zertifizierung Zertifizierung nach Technischen Richtlinien Maintenance & Re-Zertifizierung Version 1.2 vom 15.06.2009 Bundesamt für Sicherheit in der Informationstechnik Postfach 20 03 63 53133 Bonn Tel.: +49 22899 9582-0

Mehr

Schleupen.Cloud IT-Betrieb sicher, wirtschaftlich und hochverfügbar.

Schleupen.Cloud IT-Betrieb sicher, wirtschaftlich und hochverfügbar. Schleupen.Cloud IT-Betrieb sicher, wirtschaftlich und hochverfügbar. www.schleupen.de Schleupen AG 2 Herausforderungen des Betriebs der IT-Systeme IT-Systeme werden aufgrund technischer und gesetzlicher

Mehr

netyard Ihr EDV-Systemhaus in Düsseldorf

netyard Ihr EDV-Systemhaus in Düsseldorf netyard Ihr EDV-Systemhaus in Düsseldorf netyard ist Ihr EDV-Systemhaus für die Region in und um Düsseldorf. Als kompetenter Partner konzipieren und realisieren wir ganzheitliche IT-Lösungen für kleine

Mehr

Cyber-Sicherheits-Exposition

Cyber-Sicherheits-Exposition BSI-Veröffentlichungen zur Cyber-Sicherheit EMPFEHLUNG: MANAGEMENT Cyber-Sicherheits-Exposition Voraussetzung für eine wirksame Absicherung von Netzen und IT-Systemen in Unternehmen, Behörden und anderen

Mehr

Brauchen wir wirklich soviel Datenschutz und IT-Sicherheit? 23.09.2015 Sicherheitskooperation Cybercrime

Brauchen wir wirklich soviel Datenschutz und IT-Sicherheit? 23.09.2015 Sicherheitskooperation Cybercrime Brauchen wir wirklich soviel Datenschutz und IT-Sicherheit? 23.09.2015 Sicherheitskooperation Cybercrime www.s-con.de 1 Referent Michael J. Schöpf michael.schoepf@s-con.de +49 171 3241977 +49 511 27074450

Mehr

TEUTODATA. Managed IT-Services. Beratung Lösungen Technologien Dienstleistungen. Ein IT- Systemhaus. stellt sich vor!

TEUTODATA. Managed IT-Services. Beratung Lösungen Technologien Dienstleistungen. Ein IT- Systemhaus. stellt sich vor! TEUTODATA Managed IT-Services Beratung Lösungen Technologien Dienstleistungen Ein IT- Systemhaus stellt sich vor! 2 Willkommen Mit dieser kleinen Broschüre möchten wir uns bei Ihnen vorstellen und Ihnen

Mehr

Übersicht Kompakt-Audits Vom 01.05.2005

Übersicht Kompakt-Audits Vom 01.05.2005 Übersicht Kompakt-Audits Vom 01.05.2005 Bernhard Starke GmbH Kohlenstraße 49-51 34121 Kassel Tel: 0561/2007-452 Fax: 0561/2007-400 www.starke.de email: info@starke.de Kompakt-Audits 1/7 Inhaltsverzeichnis

Mehr

Mehr wissen. Mehr entdecken. Mehr leisten. Erschließen Sie Informationen mit Enterprise Search.

Mehr wissen. Mehr entdecken. Mehr leisten. Erschließen Sie Informationen mit Enterprise Search. Mehr wissen. Mehr entdecken. Mehr leisten. Erschließen Sie Informationen mit Enterprise Search. Die Lösung für Enterprise Search xdot search xdot search ist eine professionelle Semantische Suche Suchlösung

Mehr

Notfallmanagement nach BS25999 oder BSI-Standard 100-4

Notfallmanagement nach BS25999 oder BSI-Standard 100-4 Notfallmanagement nach BS25999 oder BSI-Standard 100-4 Karner & Schröppel Partnerschaft Sachverständige für Informationssicherheit und Datenschutz Unser Konzept Informationssicherheit und Datenschutz als

Mehr

Veranstaltung. IT Trends 2014 - Ihr Weg in die Zukunft. Prinzip Partnerschaft

Veranstaltung. IT Trends 2014 - Ihr Weg in die Zukunft. Prinzip Partnerschaft Veranstaltung IT Trends 2014 - Ihr Weg in die Zukunft Prinzip Partnerschaft IT Trends 2014 Im digitalen Zeitalter hat die weltweite Kommunikation rasant zugenommen. Bites und Bytes immer detailliert im

Mehr

LEITLINIE ZUR INFORMATIONSSICHERHEIT. Stand: 2011

LEITLINIE ZUR INFORMATIONSSICHERHEIT. Stand: 2011 LEITLINIE ZUR INFORMATIONSSICHERHEIT Stand: 2011 Inhaltsverzeichnis Präambel... 3 Ziele und Adressatenkreis... 3 Leitsätze... 4 Organisationsstruktur... 4 Verantwortlichkeiten... 6 Abwehr von Gefährdungen...

Mehr

Die Senatorin für Finanzen. Vortrag

Die Senatorin für Finanzen. Vortrag Vortrag Nationaler Plan zum Schutz der Informationsinfrastrukturen Ressortübergreifend abgestimmte IT- Sicherheitsstrategie für Deutschland Drei strategische Ziele Prävention: Informationsinfrastrukturen

Mehr

HYBRID CLOUD IN DEUTSCHLAND 2015/16

HYBRID CLOUD IN DEUTSCHLAND 2015/16 Fallstudie: IBM Deutschland GmbH IDC Multi-Client-Projekt HYBRID CLOUD IN DEUTSCHLAND 2015/16 Mit hybriden IT-Landschaften zur Digitalen Transformation? IBM DEUTSCHLAND GMBH Fallstudie: Panasonic Europe

Mehr

Sicherheit als strategische Herausforderung. Antonius Sommer Geschäftsführer. TÜV Informationstechnik GmbH

Sicherheit als strategische Herausforderung. Antonius Sommer Geschäftsführer. TÜV Informationstechnik GmbH TÜV Informationstechnik GmbH Langemarckstraße 20 45141 Essen, Germany Phone: +49-201-8999-401 Fax: +49-201-8999-888 Email: A.sommer@tuvit.de Web: www.tuvit.de Sicherheit als strategische Herausforderung

Mehr

IT-Security im Zeitalter von Industrie 4.0. -Eine Annäherung. Dr. Dirk Husfeld, genua mbh 15. April 2015

IT-Security im Zeitalter von Industrie 4.0. -Eine Annäherung. Dr. Dirk Husfeld, genua mbh 15. April 2015 IT-Security im Zeitalter von Industrie 4.0 -Eine Annäherung Dr. Dirk Husfeld, genua mbh 15. April 2015 Ein wolkiges Ziel cyberphysical systems Internet der Dinge machine 2 machine Smart Factory Industrie

Mehr

Advanced Cyber Defense im Spannungsfeld zwischen Compliance und Wirksamkeit. Uwe Bernd-Striebeck RSA Security Summit München, 12.

Advanced Cyber Defense im Spannungsfeld zwischen Compliance und Wirksamkeit. Uwe Bernd-Striebeck RSA Security Summit München, 12. Advanced Cyber Defense im Spannungsfeld zwischen Compliance und Wirksamkeit Uwe Bernd-Striebeck RSA Security Summit München, 12. Mai 2014 Security Consulting Planung und Aufbau von Informationssicherheit

Mehr

Arbeitshilfe zur Vertraulichkeits-/Integritätsanalyse und Kryptobedarfsanalyse

Arbeitshilfe zur Vertraulichkeits-/Integritätsanalyse und Kryptobedarfsanalyse Arbeitshilfe zur Vertraulichkeits-/Integritätsanalyse und Kryptobedarfsanalyse Verfasser: BSI Ref. 113 Version: 1.0 Stand: 26. Januar 2009 Bundesamt für Sicherheit in der Informationstechnik Postfach 20

Mehr

Einführung eines ISMS an Hochschulen Praxisbericht: Informationssicherheitsmanagement am KIT

Einführung eines ISMS an Hochschulen Praxisbericht: Informationssicherheitsmanagement am KIT Einführung eines ISMS an Hochschulen Praxisbericht: Informationssicherheitsmanagement am KIT STEINBUCH CENTRE FOR COMPUTING - SCC KIT University of the State of Baden-Wuerttemberg and National Research

Mehr

Inhalt Dezember 2013. Die Quentia wünscht Ihnen frohe Weihnachten und ein glückliches neues Jahr! Neue Dienstleistung: MS SharePoint

Inhalt Dezember 2013. Die Quentia wünscht Ihnen frohe Weihnachten und ein glückliches neues Jahr! Neue Dienstleistung: MS SharePoint Inhalt Dezember 2013 Seite 2 Neue Dienstleistung: MS SharePoint Seite 4 Schulungen von Quentia: Individuell und nach Maß Seite 5 Digitale Dokumenten-Verarbeitung mit NSI AutoStore Die Quentia wünscht Ihnen

Mehr

DAS NEUE IT-SICHERHEITSGESETZ

DAS NEUE IT-SICHERHEITSGESETZ BRIEFING DAS NEUE IT-SICHERHEITSGESETZ FEBRUAR 2016 UNTERNEHMEN WERDEN ZUR VERBESSERUNG DER IT-SICHERHEIT VERPFLICHTET BEI VERSTÖßEN DROHEN BUßGELDER BIS ZU EUR 100.000 Selten hatte die Verabschiedung

Mehr

Mit Sicherheit... SEITE - 1. www.lippedv.de

Mit Sicherheit... SEITE - 1. www.lippedv.de Mit Sicherheit... computersyteme Lösungen für Unternehmen SEITE - 1 Leistungen Im Überblick... unsere Leistungen _ kostenfreies Beratunggespräch mit Systemanalyse _ individuelle Vor-Ort-Betreuung _ Fernwartung

Mehr