Sicherer Datenaustausch für Unternehmen und Organisationen

Ähnliche Dokumente
Das IT-Sicherheitsgesetz Pflichten und aktueller Stand Rechtsanwalt Dr. Michael Neupert

Das neue IT-Sicherheitsgesetz: Welche Unternehmen sind betroffen? Was ist zu tun?

Informationssicherheit in der Energieversorgung

Neue gesetzliche Anforderungen an Stadtwerke: Mindestanforderungen für die IT-Sicherheit

Das neue it-sicherheitsgesetz - segen oder fluch? Jens Marschall Deutsche Telekom AG, Group Security Governance

IPS-ENERGY ISMS Unterstützung für Information Security Management Systeme IPS GmbH

Robert Grey, Symposium NLT / IT, Bautzen, 22. September 2015 Im Dschungel der IT-Sicherheitsrichtlinien Was sollten Energieversorgungsunternehmen

Die Zukunft der IT-Sicherheit

ITK Sicherheitsgesetz Umsetzung mit verinice.pro. verinice.xp- Grundschutztag

IT-Sicherheit in der Energiewirtschaft

Gesetz zur Erhöhung der Sicherheit informationstechnischer Systeme (IT-Sicherheitsgesetz)

Die Bedeutung des IT- Sicherheitsgesetzes für den Straßenverkehr

Informationssicherheit-Managementsystems (ISMS) mehr als IT-Sicherheit

IT Sicherheit für Industrieanlagen unter Berücksichtigung des IT Sicherheitsgesetzes

Das IT-Sicherheitsgesetz

Einblick ins IT-Sicherheitsgesetz. Monika Sekara Rechtsanwältin in Hamburg Fachanwältin für IT-Recht

IT-Sicherheitsgesetz & IT-Sicherheitskatalog Status Quo und neue Herausforderungen. Referent: Christian Bruns

Umsetzung IT-SiG in den Ländern

Aktuelle Bedrohungslage

IT-Sicherheitsgesetz:

First Climate AG IT Consulting und Support. Information Security Management System nach ISO/IEC 27001:2013 AUDIT REVISION BERATUNG

6. Petersberg-Regulierungs-Konferenz Cybersicherheit und globale Bedrohung Was kann Regulierung leisten?

BCM in der Energieversorgung: 4 Stunden ohne Strom was soll s!

SC124 Kritische Infrastrukturen gem. ISO u. ISO 27019

IT Sicherheit in Kritischen Infrastrukturen

Zertifizierung gemäß ISO/IEC 27001

Worum es geht. zertifiziert und grundlegend

Auswirkungen des IT-Sicherheitsgesetzes für KRITIS in der Wirtschaft

Entwurf zum IT-Sicherheitsgesetz

Häufig gestellte Fragen zum neuen IT-Sicherheitsgesetz

IT-Sicherheitsgesetz und IT- Sicherheitskatalog Anforderungen an Betreiber kritischer Infrastrukturen

Entwurf zum IT-Sicherheitsgesetz

IS-Revision in der Verwaltung

Antrag auf Zertifizierung eines Informationssicherheitsmanagementsystems (ISMS) gem. ISO/IEC 27001:2013 und Fragebogen

VdS Cyber-Security der Brandschutz des 21. Jahrhunderts. Cyber-Security für kleine und mittlere Unternehmen (KMU)

Aktuelles zu Kritischen Infrastrukturen

Sicherer Systembetrieb in der Energiewirtschaft. Worum es geht zertifiziert und grundlegend. Von der Analyse bis zur Zertifizierung.

ISIS12 Tipps und Tricks

Das IT-Sicherheitsgesetz

Einführung eines ISMS nach ISO 27001:2013

ISMS bei DENIC. Boban Krsic (Information Security Officer) Berlin, den 14. Februar 2014

Seminareinladung - Netzbetrieb & IT -

Industrial Defender Defense in Depth Strategie


Rolle eines Threat Management Centers im Rahmen des Risikomanagements nach ISO 27001

Freigegeben durch Dr. Stefan Krempl Vertraulichkeitsstufe Intern + Vertrieb

ISMS. Informationssicherheit ganzheitlich und nachhaltig. Materna GmbH

Arbeitskreis Sichere Smart Grids Kick-off

IT-Sicherheit der Netzleitstelle - Ausweitung auf Smart Meter

Das IT-Sicherheitsgesetz (IT-SiG)

Praxisleitfaden IT-Sicherheitskatalog. Anforderungen an die IT für den sicheren Betrieb von Energieversorgungsnetzen.

Lösungen die standhalten.

DAS NEUE IT-SICHERHEITSGESETZ

DIE NEUE IT-SICHERHEITSVERORDNUNG IN DER PRAXIS. Umsetzungspflichten, Standards und Best Practices für die Wasserwirtschaft

Sozioökonomische Dienstleistungsinfrastrukturen

Anforderungen an die IT-Sicherheit Sicherheit von Informationen in kritischen Infrastrukturen ein Erfahrungsbericht

Inhalt. Einleitung und Auftragsgegenstand Leistungsumfang Change-Request-Verfahren... 4 Deutsche Sprache... 4 Reporting... 4 Preise...

Risikomanagement in der Praxis Alles Compliance oder was?! 1. IT-Grundschutz-Tag

2. Forschungstag IT-Sicherheit NRW nrw-units. Informationssicherheit in der Energiewirtschaft

Compliance Anforderungen an Betreiber von kritischen und nicht-kritischen Infrastrukturen ZENOS Forum Hamburg

ISO mit oder ohne BSI-Grundschutz? Oliver Müller

Was sieht das Gesetz vor?

IT-Sicherheitsgesetz und nun?

Pragmatischer Umgang mit den wandelnden Anforderungen in KMU

BIG Netz- und Informationssicherheits-RL. I/11/a

CRAMM. CCTA Risikoanalyse und -management Methode

Workshop zu Praxisfragen des IT-Sicherheitsrechts

Brauchen wir wirklich soviel Datenschutz und IT-Sicherheit? Sicherheitskooperation Cybercrime

CIIP Massnahmen in der Schweiz

Definitionen Schwachstellen und Bedrohungen von IT-Systemen Sicherheitsmanagement Katastrophenmanagement Trends und Entwicklungen bei IT-Bedrohungen

Wie sicher bin ich eigentlich? Security Management mit OCTAVE

CIS Ihr Standard für Sicherheit. Ein Partner der QA. CIS Certification & Information CIS GmbH

Trends und Prognosen zur IT-Sicherheit. Online-Ausstellerbefragung zur it-sa 2016

Nationale und internationale Rahmenbedingungen Dr. Dennis Kenji Kipker

IT-Sicherheitsgesetz.

Embedded Systems. Sicherheit und Zuverlässigkeit in einer automatisierten und vernetzten Welt

Die Kombination von Medizinprodukten. SystemCheck

Ausblick und Diskussion. Isabel Münch Referatsleiterin IT-Grundschutz und Allianz für Cyber-Sicherheit

Patch- und Änderungsmanagement

RmCU V 4.0 DIN Rail RmCU V 3.4 DIN Rail / Compact

VDI Seminar 21. Windenergietage. Sicherheit, Gesetze, Richtlinien, worauf kommt es an?

Information Security Management Systeme-ISMS Beispiele erfolgreicher Umsetzung

IT-Sicherheitsgesetz

Energiedatenerfassung durch Smart Meter

Beraterprofil. ( Nur auf expliziten Wunsch des Kunden mit Namen und Lichtbild des Beraters! ) 2015, IT-InfoSec GmbH

der Informationssicherheit

Auswirkungen des IT-Sicherheitsgesetzes für Krankenhäuser. Umsetzungshinweise

Cloud-Lösungen für Kritische Infrastrukturen?

Auswirkungen des IT- Sicherheitsgesetzes auf die Betreiber von kritischen Infrastrukturen

TÜV Rheinland. Security Intelligence: Die Schlagkraft eines GRC nutzen. It-sa 2016, 18. Oktober 2016

Effizientes Risikomanagement für den Mittelstand

Security Audits. Ihre IT beim TÜV

Technische Realisierung von Datenschutz in Unternehmen. Prof. Dr. Hannes Federrath Universität Regensburg

Security Excellence. Informationssicherheit ganzheitlich und nachhaltig. Materna GmbH

Mindeststandard des BSI für den Einsatz des SSL/TLS-Protokolls durch Bundesbehörden. nach 8 Abs. 1 Satz 1 BSIG

Übersicht. Inhalte der DIN EN Ziele der DIN EN Notwenigkeit

SCHUTZ VON KRITISCHEN INFRASTRUKTUREN

IT-Grundschutz Informationssicherheit ohne Risiken und Nebenwirkungen

Datenschutz und IT-Sicherheit in. Smart Meter Systemen. Unser Angebot für Smart Meter Gateway Administrator und Smart Meter CA

Transkript:

1

Sicherer Datenaustausch für Unternehmen und Organisationen Next-Generation Security und erfahrenes Consultingteam Sichere Speicherung von Daten immer und überall Renommierter und langjähriger Kundenstamm www.apsec.de 2

3

4

Diverse Gesetzesauflagen im Bereich der IT-Sicherheit müssen bis Anfang 2018 umgesetzt werden. Außerdem wird 2018das ISDN-Netzwerkvon der Telekom abgeschaltet. Wer noch Geschäftsprozesse über ISDN laufen hat, wie beispielsweise Krankenhäuser mit FTAM zur Übermittlung von Abrechnungen an die Krankenkassen, muss auch hier eine sichere Alternative zur Datenübertragung suchen. Auch in der Behördenkommunikation ist FTAM über ISDN noch oft anzutreffen. Das IT-Sicherheitsgesetzverlangt von KRITIS-Unternehmen die Einführung eines ISMS (Informationssicherheitsmanagementsystem) bis 2018 -Zu den KRITIS-Unternehmen zählen vor allem Netzbetreiber(Energie, Gas, Wasser, Telekommunikation, IT), sowie die Branchen - Gesundheit -Ernährung - Finanz- und Versicherungswesen - Staat und Verwaltung -Medien - Transport und Verkehr 5

In Kraft seit 25. Juli 2015 Zentral: Änderungen am BSI-Gesetz Adressaten sind grundsätzlich Unternehmen aus den Sektoren der Kritischen Infrastrukturen KRITIS-Verordnung: Kriterien, wann Unternehmen zu KRITIS gezählt werden 6

Fachgesetze der einzelnen Sektoren: Energiebranche: Energiewirtschaftsgesetz Telekommunikationsbranche: Telekommunikations- und Telemediengesetz Für die Betreiber von Energieversorgungsnetzen ist vor allem der 11 EnWG von Bedeutung: Kernforderungen des IT-Sicherheitskatalogs der BNetzA Benennung eines Ansprechpartners für IT- Sicherheit gegenüber der BNetzA(Umsetzung bis 30.11.2015) Einführungund Zertifizierungeines ISMS nach ISO27001unter Einbeziehung des IT-SiKatbis 31.01.2018 Umsetzungspflicht auch dann, wenn der Netzbetreiber nichtunter die KRITIS-Verordnung des Bundes fällt! 7

8

KRITIS-Unternehmen müssensicherheitsvorfälle ans BSI melden Alle zwei Jahre: Audits/ Rezertifizierungendes ISMS ( 8a Abs. 3 BSIG). Auch deren Ergebnisse müssen dem BSI gemeldet werden! 9

IT-SiG-Verstöße: Bußgeldern von bis zu 50.000 EUR Verstöße gegen Nachbesserungs-aufforderungen des BSI: bis zu 100.000 EUR Aber: ISMS sollte vor allem im Eigeninteresse eingeführt werden! 10

Praxisleitfaden von VKU und BITKOM für Energieversorger (94 Seiten, von Praktikern geschrieben) Kostenlos beim BITKOM erhältlich Vieles in dem Leitfaden ist auch auf andere Branchen anwendbar 11

-Laut einer VKU-Umfrage haben bislang nur 6% der Energienetzbetreiber ein ISMS eingeführt -96% aller Befragten gehen von einer Zeit von mindestens einem Jahr aus, bis ein ISMS eingeführt ist -Für eine Zertifizierung fallen üblicherweise weitere 6-12 Monate an Folgerung: wer jetzt noch nichts tut, sollte schleunigst damit anfangen! 12

Grundlage für die Bestimmung des Anwendungsbereiches (Scope) eines ISMS und für die Risikoanalyse Unterscheidung in die Kategorien Leitsystem/Systembetrieb, Übertragungstechnik/Kommunikation und Sekundär-, Automatisierungs-und Fernwirktechnik 13

CyberWizist ein von der EU-Kommission gefördertes Projekt Ziel: Entwicklung und Verbreitung eines Tools zur Visualisierung, Analyseund Simulationvon Netzwerk-Schwachstellen Fokus: Schutz kritischer Infrastrukturen, speziell Energie- und Wasserversorger 14

15

Was macht securicad? -securicadmodelliertund visualisiertnetzwerke. Das Aufstellen eines Netzstrukturplansist auch zentrale Vorgabe des IT-SiKat der BNetzA! -securicadsimuliertcyber-angriffe und deren Auswirkung auf das gesamte Netzwerk -securicadschätzt die ZeitTTC (= time to compromise), wie lange ein Netzwerk Angriffen standhält - securicad kann die Auswirkungen von Änderungen im Netzwerk (z.b. Einbau einer neuen Firewall, Patchen eines Servers) vorhersagen, bevor diese tatsächlich umgesetzt wurden -securicadbezieht auch die Security Awareness der 16

Anwender mit ein -securicadliefert eine Heatmap über Schwachstellen im Netz -securicadenthält bereits mehr als 50 Angriffsvektorenund Abwehrmechanismenund wird ständig erweitert -securicadenthält Komponenten für typische Netze von KRITIS-Betreibern, z.b. SCADA-Systeme (ab Version 2.0) -securicadbasiert auf wissenschaftlicher Forschung an der KTH Stockholm - securicad analysiert Risiken und deren Propagation anhand probabilistischermathematischer Modelle (einer Variante Bayesscher-Netze) -securicadverwendet Dijkstras ShortestPath Algorithm zur Bestimmung der TTC Die EU bezeichnet securicad als disruptive Technologie 16

apsec unterstützt bei der Infrastrukturanalyse. apsecübernimmt die Modellierung des Netzwerkes mit securicad. apsecinterpretiert die Ergebnisse der Angriffssimulationen und gibt Empfehlungen zur Behebung von Schwachstellen. apsecerstellt einen Abschlussreport für das Management. 17

Was definiert den Umfang? Die Größe der Infrastruktur und die Anzahl der Szenarien, die analysiert werden sollen Die Qualität der vom Kunden zur Verfügung gestellten Dokumentation 18

AmEnde eines Projektes erhält der Kunde einen Analysereport als Ergebnis. Dieser enthält die Ergebnisse der Simulation und eine Auswertung der Risiken, ggf. mit Hinweisen zur Verbesserung. Die Ergebnisse der einzelnen Analysen können als Dokumentation für das ordnungsgemäße Risikomanagement dienen und ggf. in ein ISMS überführt werden. Überführung regelmäßiger Reports in ein ISMS ist möglich Dadurch: Nachweis der Einhaltung der Sorgfaltspflicht 19

20

21

22

2024 © DocPlayer.org Datenschutzbestimmungen | Nutzungsbedingungen | Feedback