Versorgungssicherheit und EnWG-Compliance Dem Schwarzfall vorbeugen, mit einem Management (ISMS) für sichere Steuerungs- und Kommunikationsprozesse gemäß ISO/IEC 27001
Es muss nicht gleich der Schwarzfall sein In Kürze ist mit der Inkraftsetzung des IT-Sicherheitskatalogs durch die Bundesnetz-Agentur (BNetzA) zu rechnen. Damit kommen auf die Energieversorger neue Verpflichtungen zu. Dies betrifft insbesondere die Netzsteuerung für Strom- und Gasnetze. Der Weg zur EnWG- Compliance ( 11 Abs. 1a) Netzsteuerungen unterliegen heute einer starken Abhängigkeit von Telekommunikationsund IT-gestützten Diensten und so auch den damit verbundenen Risiken. Aufgrund der möglichen kritischen Auswirkungen bei länger anhaltenden Ausfällen, kommt der Energieversorgung eine hohe Bedeutung zu. Hinsichtlich dieser Risiken hat der Gesetzgeber im 11 Abs. 1a des EnWG einen angemessenen Schutz vor Bedrohungen der Netzsteuerung verbindlich vorgegeben (EnWG Novelle aus 2011). In dem IT-Sicherheitskatalog der BNetzA werden die Schutzanforderungen bezüglich angemessenem Schutz präzisiert. Diesen müssen die für die Netzführung relevanten Telekommunikations- und IT-gestützten Dienste zukünftig entsprechen. Kernpunkt der Anforderungen ist der zukünftige Nachweis (ab 2017) eines funktionierenden ISMS (Informationssicherheitsmanagementsystems) gemäß ISO/IEC 27001 (unter Berücksichtigung von ISO/IEC 27002 und ISO/IEC TR 27019, siehe Erläuterung S.3). Netzbetreibern wird daher dringend empfohlen, mit der Implementierung eines ISMS gemäß ISO/IEC 27001:2013 zeitnah zu beginnen. Traditionell wurden Steuerungsnetze von den Büronetzen getrennt. Mit dem Einzug von IP-Protokollen und IT-Systemen hat sich diese Lage jedoch grundsätzlich geändert. Beispielweise wurden in den letzten Jahren zunehmend Cyber-Angriffe aus dem Internet festgestellt, die Netzsteuerungen von Versorgungsnetzen angreifen - hierzu gibt es internationale Beispiele, ebenso aus Deutschland oder von unseren europäischen Nachbarn. Das muss nicht immer gleich zum Schwarzfall führen, kann aber beträchtliche Störungen oder Risiken nach sich ziehen, wie z. B. die sukzessive Ausspähung des Netzbetriebs. Erneuerbare Energien ISMS Ziel Der Wandel zu erneuerbaren Energiequellen und der damit einhergehenden Lastdynamik in Stromnetzen, lässt die traditionell konzipierten physikalischen Sicherheitsreserven schwinden. Ziel einer ISMS-Umsetzung ist es, die kritischen Einrichtungen und Verfahren zur Netzsteuerung gegen die Risiken hinsichtlich der Beeinträchtigung von Verfügbarkeit, Integrität und Vertraulichkeit der Informationen zu schützen. 2
Unify verfügt über langjährige Erfahrungen aus zahlreichen Projekten zur Einführung eines ISMS und dessen Zertifizierung. Dazu zählen auch die jeweils geeigneten Methoden und Vorgehensweisen. Die Umsetzung von sicheren Kommunikationsprozessen gehört für Unify zum täglichen Geschäft ISMS Handlungsfelder und Mehrwerte Mit der Einführung eines ISMS geht auch die Umsetzung der notwendigen Verwaltungsund Kontrollprozesse einher sowie der entsprechenden Security-Prozesse, wie z. B. Change-Management, Meldewesen, geordnete Reaktionen auf Vorfälle, vorbeugende und korrigierende Maßnahmen oder Prüfung der Policy- und Compliance-Umsetzung. Der internationale Standard ISO/IEC 27001:2013 inkludiert in seinem Annex A auch den Standard ISO/IEC 27002:2013 Code of Practice für Maßnahmen zur Informationssicherheit. Auf Basis des ISO/IEC 27001:2013 sind die regulativen und vertraglichen Vorgaben, z. B. der BNetzA, verbindlich umzusetzen, daher ist auch die Anwendung des ISO/IEC TR 27019:2013 1 (vormals DIN SPEC 27009:2012) für die Betreiber verpflichtend. Zur Erreichung der Standard-Compliance gemäß ISO/IEC 27001, ist die aktive Mitwirkung der Unternehmens-/ Bereichsleitung hinsichtlich der Unterstützung, Ressourcenbereitstellung und der regelmäßigen Überwachung des ISMS (Reviews) notwendig. Hierzu gehört auch Festlegung der verantwortlichen Rollen und die Übergabe des Mandats an einen Beauftragten für das ISMS (z. B. Information Security Officer oder Risiko- Manager) sowie die formale Genehmigung und organisatorische Unterstützung zur Einführung und den Betrieb des ISMS. Organisatorische Anforderungen ISMS-Mandat 1 Information technology -- Security techniques -- Information security management guidelines based on ISO/IEC 27002 for process control systems specific to the energy utility industry (en) 3
Zertifiziert wird nach ISO/IEC 27001 Anwendung der relevanten ISO/IEC Standards Eine Zertifizierung erfolgt gegenüber dem Standard ISO/IEC 27001. Bei der Prüfung werden die Standards ISO/IEC 27002 und ISO/IEC TR 270192 2 einbezogen.standard Kontrollziele der Standards ISO/IEC 27002 und ISO/IEC TR 27019 ISMS-Planung Projektfahrplan Eine effiziente Umsetzung des Standards zur Erreichung der Compliance bzw. der entsprechenden Zertifizierung, setzt eine sorgsame und zeitgerechte Planung sowie den jeweils geeigneten Methodeneinsatz voraus. Organisatorische Voraussetzungen vor der Einführung des ISMS: Rollen und Management-Auftrag Projektschritte Benennung der verantwortlichen Rollen zur Informationssicherheit und des ISMS Erteilen der Genehmigung und bereitstellen der Ressourcen zur ISMS-Einführung Benennung der regelmäßigen Teilnehmer des ISMS-Forums Die wesentlichen Projektschritte bis zur Compliance-Erreichung/Zertifizierung: Kick-off-Veranstaltung, Information und Feedback mit den Beteiligten und Stakeholdern; Scope-Festlegung - Anwendungsbereich des ISMS unter Berücksichtigung von Abhängigkeiten interner und externer Services/Lieferungen; Gap-Analyse (Bestandsaufnahme) Stand der Informationssicherheit innerhalb des Scopes und Feststellen der Abweichungen zum Standard; Handlungsbedarf auf Basis der Ergebnisse aus der Gap-Analyse festlegen; Risikobewertung u. a. auf Basis der Gap-Analyse (inkl. notwendiger Risikoverfahren); Erstellung eines priorisierten Risikobehandlungsplans; (nach Risiken, Zeitaufwand und Fristen); Security Improvement Programme SIP (Maßnahmenumsetzung) des Risikobehandlungsplans im Rahmen des Security Improvement Programms; 2 Bei der Umsetzung im Bereich der Prozesssteuerung (ISO/IEC TR 27019) arbeiten wir mit qualifizierten und erfahrenen Partnern im Bereich der Netzsteuerungen zusammen. 4
Erstellung eines Statement of Applicability - SoA (Erklärung der Anwendung von Maßnahmen) als Audit-Referenz; Internes Audit zur Feststellung des Compliance-Grades (n. ISO 27001 und ff); Optional: externe 3rd-Party Audit Bestellung, zwecks formaler Zertifizierung. Bei der Umsetzung des Security Improvement Programms (SIP) fallen u.a. die folgenden Aufgaben an, die wir bei unseren Projektplanungen berücksichtigen: Einrichten eines ISMS-Forums; Verwaltung der Geschäftsanforderungen und Security-Richtlinien (Policy); Ausbildung und Bewusstseinsbildung zur Informationssicherheit; Management der dokumentierten Informationen; Abgleich bzw. Erstellen von Risikomanagementprozessen, der Risikokriterien und Verfahren zum Risiko-Reporting; Festlegung und Pflege der Informationssicherheitsziele; Verfahren zu korrigierenden Maßnahmen und Reaktion auf Non-Conformities; Überwachung der ISMS-Prozesse und des Dokumentenmanagements; Feststellung der ISMS-Wirksamkeit (Überwachung und interne Audits); Management-Review (durch das Senior-Management/Geschäftsleitung); Prozess zur nachhaltigen Verbesserung. Verbesserungsprogramm und ISMS Aufgaben Ggf. gemäß Entwurf zum IT-Sicherheitsgesetz auch der Meldeweg zum SPOC. ISMS Forum Im Rahmen regelmäßiger Sitzungen des ISMS-Forums wird die Umsetzung der ISMS- und Security-Prozesse überwacht und deren Status fortgeschrieben, unabhängig von den prozesseigenen Dokumentationen. Kick-Off Veranstaltung Informationen zum Projekt sind nicht zuletzt wegen der Akzeptanz der Beteiligten essentiell. Daher wird in dem ersten Schritt das Projekt den Beteiligten und den Stakeholdern (Anspruchsgruppen) vorgestellt. Die dabei erhaltenen Rückmeldungen werden aufgenommen und im weiteren Projektverlauf berücksichtigt. Bei dieser Gelegenheit werden auch die für die organisatorischen und funktionalen Anforderungen zuständigen Kontaktpersonen ausgewählt bzw. bestätigt. Projektstart und Informationsautausch Scope-Festlegung Hinsichtlich der Anwendungsebene werden zunächst die Grenzen und die zu erbringenden Leistungen/Services beschrieben, einschließlich der möglichen Übergänge zu Dritten. Die damit einhergehenden potenziellen Auswirkungen und Risiken werden im Nachgang innerhalb des Risikomanagements mit den relevanten Stakeholdern behandelt. 5
Anwendungsebene Foto: Ralf Julke Leitwarte Es ist eine Vorgabe aus dem IT-Sicherheitskatalog der BNetzA, dass die kritischen Prozesse und Komponenten zur Netzsteuerung im Scope erfasst werden. Dabei sind auch die möglichen Auswirkungen auf Dritte zu berücksichtigen. Funktionale- / Logische Ebene Auf der funktional-logischen Ebene werden die operativen Verfahren und die technischen Komponenten mit ihren wesentlichen Eigenschaften entsprechend dem Scope eingegrenzt und dokumentiert. Beispiel eines skizzierten Scopes:. Alle zur Bereitstellung einer funktionstüchtigen Netzsteuerung erforderlichen Ressourcen und Dienste werden ebenfalls dokumentiert. Hierzu gehören auch die internen und externen Dienste, die von anderen (außerhalb des Scopes) erbracht werden und von denen die eigene Service-Bereitstellung abhängig ist, einschließlich der zugehörigen SLAs/OLAs (Service-/ Operation-Level-Agreements). Abgrenzung des Scopes Für einen effizienten Projektfortschritt empfehlen wir dringend, den Scope zunächst auf die notwendigen kritischen Prozesse und Komponenten zu begrenzen, wobei die Prozessdurchgängigkeit und Nachvollziehbarkeit sichergestellt werden. Unter Anwendung von SLAs bzw. OLAs für ausgelagerte Standarddienste kann der Scope auf das tatsächlich Notwendige reduziert werden. 6
Gap-Analyse Mit der Gap-Analyse wird innerhalb des definierten Scopes festgestellt, inwieweit der aktuelle Stand der Informationssicherheit den Anforderungen der Standards ISO/IEC 27001 und ff. entspricht. Oder mit anderen Worten, welche Lücken hinsichtlich der Standarderfüllung noch zu schließen sind. Dazu werden alle relevanten Komponenten und Verfahren innerhalb des definierten Scopes einer Prüfung unterzogen. Die Bewertung erfolgt auf Basis von Prozessprüfungen, Dokumentensichtung und moderierten Interviews. Zur objektiven Bewertung wird innerhalb der Interviews auf repräsentative Fragenkataloge zurückgegriffen. Eine effiziente Erfassung und zeitnahe Präsentation der ersten Ergebnisse (Findings) wird unter Anwendung unseres Unify Gap- Analyse-Tools umgesetzt. Zu jedem der angesprochenen Punkte (Controls) wird eine Bewertung vorgenommen. Diese Bewertungen werden Findings genannt. Die Beantwortung der Fragen ist dabei nur eine der verschiedenen o. g. Bewertungskriterien. Im Zuge der Gap-Analyse wird auch überprüft, welche unabhängigen Systembewertungen (System-Audits) bereits vorgenommen worden sind oder ob hier Nachholbedarf besteht. Diese Informationen fließen ebenfalls in das Ergebnis der Gap-Analyse ein. Das Unify Gap-Analyse-Tool unterstützt zur Bewertung die gängigen ISO-Standards im IT- Umfeld. Eine Summierung der Ergebnisse kann wahlweise als Spider-Ergebnisdarstellung auf der Hauptkapitelebene oder als Scorecards auf der Haupt- und Unterkapitelebene vorgenommen werden. Spider-Darstellung der Ergebnisse aus der Gap-Analyse: Gap-Analyse als Bestandsaufnahme Findings Ergebnisse als Scorecard- oder Spider-Darstellung Beispiel Spider- Darstellung Beispiel ISO(IEC 27001 -Mit der Spider-Darstellung 3 sind die Haupthandlungsfelder schnell identifizierbar. 3 Die hier gewählte Darstellung kann, entsprechend der Konfiguration, von der des Unify-Tools abweichen. 7
Informationsbasis für die Folgeprojektschritte Die Gap-Analyse Ergebnisse (Detailinformationen aus den Findings) werden als Basisinformationen für die Folgeschritte bereitgestellt, z. B. für die: Risikobewertung (als eine wesentliche Informationsquelle) Erstellung des Risikobehandlungsplans Vorlage zum SoA (Statement of Applicability) Risikobewertung Spektrum der Risikoerfassung Die Findings aus der Gap-Analyse sind insbesondere für die Risikobewertung eine wesentliche Informationsquelle. Nach Möglichkeit werden für das Risikomanagement die Verfahren und Kriterien des unternehmensweiten Risikomanagements übernommen. Falls dies nicht möglich ist, werden diese entsprechend den Standard- Anforderungen neu festgelegt und mit der Geschäftsführung abgestimmt (formale Genehmigung). Neben den Findings aus der Gap-Analyse, werden im Rahmen des Risikomanagements noch weitere Eingangsquellen berücksichtigt, beispielsweise Risiken aus Sicherheitsvorfällen (Incidents), aus anderen Audits oder aus der Beobachtung des Betriebs. Entscheidend für den Standard ISO/IEC 27001 ist, dass die jeweiligen Risikobewertungen nachvollziehbar und reproduzierbar sind. Grundlage zur Risikobewertung sind die Auswirkungen auf den Betrieb (Impact ) und die Eintrittswahrscheinlichkeit von Bedrohungen (Likelihood) 4, sie bilden entsprechend dem ausgewählten Berechnungs-Algorithmus das Risikomaß (Level of Risk). Trenderkennung Bei niedriger Eintrittswahrscheinlichkeit und hohen Auswirkungen ist ggfs. hinsichtlich des Risikomaßes Vorsicht geboten, um Fehleinschätzungen durch Varianzen der Wahrscheinlichkeit vorzubeugen. Zur Trenderkennung präferieren wir die Anwendung von Risikofrühindikatoren, bei deren Auswahl bringen wir gerne unsere Erfahrungen ein. 4 Vergleichbar mit dem Schutzbedarf des Grundschutzkataloges (BSI-Bund) 8
Es werden Risikoakzeptanzkriterien für das Risikomaß festgelegt, nach denen entschieden wird, ob die Risiken akzeptabel sind oder nicht, dementsprechend erfolgt die weitere Risikobehandlung. Hinsichtlich der Risikobehandlung wird die Auswahl von verschiedenen Risikobehandlungsoptionen dokumentiert. Die Ergebnisse der jeweiligen Risikobewertung und der Behandlungsoption werden in einem Risikobericht eingetragen. Dort wird auch das Risikomaß des Restrisikos nach der vorgesehenen Risikobehandlung dokumentiert. Der Risikobericht wird kontinuierlich aktualisiert und überprüft. Dabei werden alle Sicherheitsvorfälle (Information Security Incidents), Findings aus Audits oder Feststellungen zur Informationssicherheit aus dem Betrieb berücksichtigt. Für regelmäßig wiederkehrende Risikobewertungen mit Ableitung von Folgemaßnahmen ist es zweckdienlich und effizienzfördernd, ein passendes ISMS-Tool einzusetzen. Am Markt gibt es eine Vielzahl von ISMS-Tools. Wir unterstützen bei der Auswahl eines geeigneten Tools sowie bei dessen Einsatzgestaltung. Risikoakzeptanz Behandlungsoptionen Risikobericht Risikobehandlungsplan Alle Risiken, die für die Risikominimierung (via Gegenmaßnahmen) vorgesehen sind, werden in einem priorisiertem Risikobehandlungsplan (Maßnahmenplan) geführt. Zu jedem Risiko wird jeweils die personelle Zuständigkeit (risk-owner) und für die Risikobehandlung ein Zieltermin (due-date) festgelegt. Die Umsetzung der Risikobehandlung wird kontinuierlich überwacht und Besonderheiten werden berichtet, z. B. an das ISMS-Forum. Die Prioritäten der jeweiligen Maßnahmen richten sich nicht nur nach den aktuellen Risiken, sondern auch nach den Fertigstellungsfristen und Umsetzungsdauer der Maßnahmen. Ferner sind die Nachweispflichten zu berücksichtigen, mit welchen eine Verbesserung des ISMS belegt werden kann. Maßnahmenplan Security-Improvement-Programme - SIP Die Umsetzung des Maßnahmenplans stellt nur einen Teil des Security-Improvement- Programms (SIP) dar. Wichtig sind die frühzeitige Einführung und Umsetzung der operativen ISMS-Prozesse, da nur mit diesen die Verbesserung eines ISMS erreicht und nachgewiesen werden kann. Hierzu zählen: Einrichten eines ISMS-Forums Ggfs. auch der Meldeweg zum SPOC gemäß Entwurf zum IT-Sicherheitsgesetz. Verwaltung von Geschäftsanforderungen und Richtlinien (Policy) Ausbildung und Bewusstseinsbildungsprozess Managementprozess zu dokumentierten Informationen Risikomanagementprozesse und Risiko-Reporting Festlegung und Pflege der Informationssicherheitsziele Verfahren zu korrigierenden Maßnahmen und Reaktion auf Non-Conformities Überwachung der ISMS-Prozesse und des Dokumentenmanagements Feststellung der ISMS-Wirksamkeit (Überwachung und int. Audits) Management-Review (durch das Senior-Management/Geschäftsleitung) Prozess zur nachhaltigen Verbesserung 9
ISMS-Forum Aufgaben des ISMS Forums Das ISMS-Forum hat u. a. die Aufgabe einer zeitnahen Überwachung der ISMS-Prozesse und der zugehörigen Informationssicherheit. Es setzt sich aus dem Beauftragten für das ISMS und den ISMS-Beteiligten zusammen und berücksichtigt die Geschäfts-/Stakeholder- Anforderungen. Es ist die erste Instanz für übergreifende Entscheidungen. In den regelmäßigen Sitzungen des ISMS-Forums wird die Funktion der ISMS-Prozesse überwacht und deren Status fortgeschrieben, unabhängig von den prozesseigenen Dokumentationen. Die zusammengefassten Ergebnisse werden regelmäßig der Geschäftsleitung berichtet. Statement of Applicability - SoA SoA (Statement of Applicability) Im Statement of Applicability SoA werden die Informationssicherheitsziele in Verbindung mit der Umsetzung der einzelnen Maßnahmen (Controls) beschrieben. Dieses Dokument dient als Referenz für die nachfolgenden Audits. Die tatsächlichen Sachverhalte sind zu dokumentieren (IST-Zustände). Ziele, die aus dem Audit nicht bestätigt werden können, führen im Audit-Ergebnis zu einem Gap oder einer Non Conformity. In dem SoA werden grundsätzlich alle Kontrollziele des Annex A (ISO/IEC 27002) und des ISO/IEC TR 27019 berücksichtigt. Für den Fall, dass einzelne Kontrollziele abgewählt werden, ist dies plausibel zu erläutern. Das SoA ist insbesondere vor Audits aktuell zu pflegen. Die wesentlichen Dokumente, wie Risiko-Bericht, Risikobehandlungsplan, Maßnahmenplan und SoA, werden von guten ISMS-Tools unterstützt. Internes Audit 1st Party Audit Das interne Audit dient einerseits zur Selbstkontrolle, welchen Compliance-Grad das ISMS erreicht hat, ist aber andererseits eine Grundvoraussetzung für ein formales Zertifizierungsaudit. Das interne Audit wird ähnlich der Gap-Analyse durchgeführt, jedoch vergleicht es die Umsetzung entsprechend dem SoA und prüft gleichzeitig, ob die Bedingungen für die ISO/IEC 27001 Compliance erreicht werden. So werden neben den vorgenannten Kontrollzielen u. a. auch die ISMS-Prozesse oder Entscheidungen und ihre Dokumentation auf ihre Nachvollziehbarkeit überprüft. Interne Audits sollen regelmäßig und vollumfänglich durchgeführt werden, um Compliance-Lücken zu vermeiden, bzw. zu erkennen. Ein ISMS-Tool kann dabei auch die Arbeit des Auditors für nachgelagerte Audits erheblich unterstützen. Anmerkung: In einem frisch aufgesetzten ISMS-Projekt sind einige Abläufe oder deren fristgemäße Umsetzung nicht von vornherein ersichtlich. So kann beispielsweise die termingerechte Bereitstellung (zum Audit-Termin) wichtiger Nachweise fehlen. Für derartige Projekte können Erfahrungen aus anderen ISMS-Projekten hinsichtlich der Planung helfen. 10
Externe 3rd-Party Audit Bestellung Wenn die Entscheidung für eine formale externe Zertifizierung gefallen ist, dann sollten sehr zeitnah die Art der Zertifizierung festgelegt und die Maßnahmen zur Zertifizierungsvorbereitung eingeleitet werden. Zweckmäßigerweise werden diese Maßnahmen schon während der Projektlaufzeit berücksichtigt. Formale Zertifizierung Im Gegensatz zu einem internen Audit werden im externen Audit nur Stichproben genommen. Je nach Unternehmensstruktur kommen ggfs. verschiedene Zertifizierungsarten in Betracht. Ob beispielsweise eine Standardzertifizierung auf Basis ISO/IEC 27001 oder eine Gemeinschaftszertifizierung über gleichartig strukturierte und vertraglich verbundene Unternehmen hinweg infrage kommen, ist projektspezifisch mit der Zertifizierungsinstanz zu vereinbaren. Entsprechend dem ausgewählten Scope, wird eine geeignete Zertifizierungsform unter Berücksichtigung der damit verbundenen Aufwände sowie der jeweiligen Vor- und Nachteile ausgewählt. Auf Basis der langjährigen Erfahrungen mit dem Zertifizierungsprozess kann Unify die Kundenangelegenheiten zu diesem Prozess zielgerichtet unterstützen. Eines ist aber sicher: Mit der Zertifizierung alleine ist man noch nicht am Ziel. Nach der Zertifizierung ist vor der Zertifizierung, bzw. richtiger, nach dem Audit ist vor dem Audit. Hier besteht ein sich ständig wiederholender Prozess. Gemäß dem Standard ISO/IEC 27001 fallen nach erfolgreichem Durchlauf des Zertifizierungsaudits jährliche Überwachungsaudits und alle drei Jahre die Wiederholung des Zertifizierungsaudits an. 11
Über Unify Unify ist ein weltweit führendes Unternehmen für Kommunikationssoftware und -services, das annähernd 75 Prozent der Global 500 -Unternehmen mit seinen integrierten Kommunikationslösungen beliefert. Unsere Lösungen vereinen unterschiedliche Netzwerke, Geräte und Applikationen auf einer einzigen, einfach bedienbaren Plattform, die Teams einen umfassenden und effizienten Austausch ermöglicht. Damit verändert sich die Art und Weise, wie Unternehmen kommunizieren und zusammenarbeiten, nachhaltig die Teamleistung wird verstärkt, das Geschäft belebt und die Business- Performance erheblich verbessert. Unify verfügt über eine lange Tradition aus verlässlichen Produkten, Innovationen, offenen Standards und Sicherheit. Unify.com Copyright Unify GmbH & Co. KG 2014 Hofmannstr. 51, D-81379 München Alle Rechte vorbehalten. Die Informationen in diesem Dokument enthalten lediglich allgemeine Beschreibungen bzw. Leistungsmerkmale, die je nach Anwendungsfall nicht immer in der beschriebenen Form zutreffen oder sich durch Weiterentwicklung der Produkte ändern können. Eine Verpflichtung, die jeweiligen Merkmale zu gewährleisten besteht nur, sofern diese ausdrücklich vertraglich zugesichert wurden. Liefermöglichkeiten und technische Änderungen vorbehalten. 12 Unify, OpenScape, OpenStage und HiPath sind eingetragene Marken der Unify GmbH & Co. KG. Alle anderen Marken-, Produkt- und Servicenamen sind Warenzeichen oder eingetragene Warenzeichen ihrer jeweiligen Inhaber.