SUCCESS STORY INFORMATION SECURITY

Ähnliche Dokumente
Datenschutz und IT-Sicherheit in. Smart Meter Systemen. Unser Angebot für Smart Meter Gateway Administrator und Smart Meter CA

Die Telematikinfrastruktur als sichere Basis im Gesundheitswesen

Was macht Layer2 eigentlich? Erfahren Sie hier ein wenig mehr über uns.

Datenschutz und IT-Sicherheit. Smart Meter CA & Gateway Administration. SmartMeterCA &

Informationssicherheit zentral koordiniert IT-Sicherheitsbeauftragter

Kirchlicher Datenschutz

GPP Projekte gemeinsam zum Erfolg führen

Personal- und Kundendaten Datenschutz in Werbeagenturen

Beraten statt prüfen Betrieblicher Datenschutzbeauftragter

Unsere Energie für Sie

Kriterienkatalog und Vorgehensweise für Bestätigungen und Konformitätsnachweise gemäß Signaturgesetz. datenschutz cert GmbH Version 1.

Der Datenschutzbeauftragte. Eine Information von ds² 05/2010

Personal- und Kundendaten Datenschutz bei Energieversorgern

Informationssicherheitsmanagement

Was meinen die Leute eigentlich mit: Grexit?

Geprüfter Datenschutz TÜV Zertifikat für Geprüften Datenschutz

Wege zur Patientensicherheit - Fragebogen zum Lernzielkatalog für Kompetenzen in der Patientensicherheit

Beraten statt prüfen Behördlicher Datenschutzbeauftragter

Welches Übersetzungsbüro passt zu mir?

Dominik Stockem Datenschutzbeauftragter Microsoft Deutschland GmbH

Die Post hat eine Umfrage gemacht

Mehr Transparenz für optimalen Durchblick. Mit dem TÜV Rheinland Prüfzeichen.

Verordnungsdaten und Patientendatenbanken Datenschutz in Pharmaunternehmen

Ganz sicher oben arbeiten!

WARENWIRT- SCHAFT UND ERP BERATUNG Mehr Sicherheit für Ihre Entscheidung

Entwicklung des Dentalmarktes in 2010 und Papier versus Plastik.

SCHALTEN SIE DEN DATENSCHUTZ EIN. EINFACH & EFFEKTIV.

ÜBERGABE DER OPERATIVEN GESCHÄFTSFÜHRUNG VON MARC BRUNNER AN DOMINIK NYFFENEGGER

Software-Entwicklungsprozesse zertifizieren

Lernaufgabe Industriekauffrau/Industriekaufmann Angebot und Auftrag: Arbeitsblatt I Auftragsbeschreibung

Dienstleistungen Externer Datenschutz. Beschreibung der Leistungen, die von strauss esolutions erbracht werden

.. für Ihre Business-Lösung

Mit dem richtigen Impuls kommen Sie weiter.

Updateanleitung für SFirm 3.1

Agenda: Richard Laqua ISMS Auditor & IT-System-Manager

DATENSCHUTZBERATUNG. vertrauensvoll, qualifiziert, rechtssicher

Die neue Datenträgervernichter DIN 66399

DER SELBST-CHECK FÜR IHR PROJEKT

Ausschuss für technische und operative Unterstützung (zur Unterrichtung) ZUSAMMENFASSUNG

27001 im Kundendialog. ISO Wertschätzungsmanagement. Wie Wertschätzung profitabel macht und den Kunden glücklich

Ideation-Day Fit für Innovation

Welchen Weg nimmt Ihr Vermögen. Unsere Leistung zu Ihrer Privaten Vermögensplanung. Wir machen aus Zahlen Werte

Karriere mit Auszeichnung... international anerkannt: Ein EOQ-Zertifikat

BÜV-ZERT NORD-OST GMBH Zertifizierungsstelle für Managementsysteme der Baustoffindustrie

Sich einen eigenen Blog anzulegen, ist gar nicht so schwer. Es gibt verschiedene Anbieter. ist einer davon.

Nr. 12-1/Dezember 2005-Januar A 12041

Maintenance & Re-Zertifizierung

15 Social-Media-Richtlinien für Unternehmen!

BSI-IGZ zum. Phoenix Videokonferenzsystem. der. Phoenix Software GmbH

Informationssicherheit als Outsourcing Kandidat

Simple SMS SMS Gateway

Leitartikel Weltnachrichten 2 / 2016

Digital Insights Industrie 4.0. Bundesverband Digitale Wirtschaft (BVDW) e.v.

KitaStar 2015 Kita forscht!

Ergebnis und Auswertung der BSV-Online-Umfrage zur dienstlichen Beurteilung

Anleitung zur Online-Schulung

Wie erreiche ich was?

erfahren unabhängig weitsichtig

Die Wasser App.

Welchen Nutzen haben Risikoanalysen für Privatanleger?

Ablauf Vorstellungsgespräch

ecco Kundensupport zur Normenrevision ISO 9001:2015 und ISO 14001:

Alle gehören dazu. Vorwort

Die 7 wichtigsten Erfolgsfaktoren für die Einführung von Zielvereinbarungen und deren Ergebnissicherung

SSI WHITE PAPER Design einer mobilen App in wenigen Stunden

Energiemanagement: Das Thema der Stunde!

Datenschutz-Management

1 Was ist Personal Online-Coaching?

RUNDE TISCHE /World Cafe. Themen

I n f o r m a t i o n s s i c h e r h e i t i n G e m e i n d e n B e v ö l k e r u n g s z a h l < 6 000

Wir organisieren Ihre Sicherheit

Techem Monitoring. Ihr Online-Service für Energie- und Wasserverbrauch in Immobilien.

Die Zertifizierungsstelle der TÜV Informationstechnik GmbH bescheinigt hiermit dem Unternehmen

Die neue Aufgabe von der Monitoring-Stelle. Das ist die Monitoring-Stelle:

Fortbildungsangebote Qualitätsmanagement 2014

Finanzierung für den Mittelstand. Leitbild. der Abbildung schankz

Herzlich Willkommen beim Webinar: Was verkaufen wir eigentlich?

Potenziale entdecken Lösungen finden Erfolgreich handeln

«Zertifizierter» Datenschutz

KRISE. Auch ein schwerer Weg beginnt immer mit dem ersten Schritt. Besser mit einem starken Partner. argenus

SCHALTEN SIE DEN DATENSCHUTZ EIN. EINFACH & EFFEKTIV.

Häufig gestellte Fragen zur Initiative Sportverein 2020

Leistungsstarke Enterprise Apps. Für Menschen erdacht. Für Veränderungen entwickelt.

Kurzanleitung Registrierung / Kauf Basispaket Anbieter

Traditionelle Suchmaschinenoptimierung (SEO)

Leiterplatten und Baugruppen Bestücken, Löten, Montieren

Der schnelle Weg zu Ihrer eigenen App

Aussage: Das Seminar ist hilfreich für meine berufliche Entwicklung

Pflegende Angehörige Online Ihre Plattform im Internet

Leitfaden zum sicheren Betrieb von Smart Meter Gateways

Denken und Träumen - Selbstreflexion zum Jahreswechsel

Mehr Effizienz und Wertschöpfung durch Ihre IT. Mit unseren Dienstleistungen werden Ihre Geschäftsprozesse erfolgreicher.

Personal- und Kundendaten Datenschutz im Einzelhandel

Projektmanagment-Zertifizierung als Beleg für Ihre Kompetenz

Beispiel Shop-Eintrag Ladenlokal & Online-Shop im Verzeichnis 1

Die Zeit ist reif. Für eine intelligente Agentursoftware.

Nebenberuflich Geld verdienen als Tagesmutter interna

BETTER.SECURITY AWARENESS FÜR INFORMATIONSSICHERHEIT

Transkript:

SUCCESS STORY

Landis+Gyr sorgt für Sicherheit im Smart Metering Schutzprofil für Smart-Meter-Gateway nach Common Criteria umgesetzt Die Herstellung intelligenter Stromzähler, sogenannte Smart Meter, unterliegt rechtlichen Vorgaben und muss strenge Sicherheitsanforderungen erfüllen, deren Einhaltung geprüft und zertifiziert wird. Mit Unterstützung der Sidler Information Security GmbH hat der Smart-Meter-Pionier Landis+Gyr ein dafür erforderliches Informationssicherheitskonzept erstellt und so den Weg zu sicheren Smart-Meter-Lösungen geebnet. Das erste, nach neustem Standard entwickelte Smart-Meter-Gateway konnte Landis+Gyr im Juli 2013 zur Zertifizierung Treuhand Gesundheit Finanz Industrie Verwaltung Legal Ausbildung anmelden. Landis+Gyr mit Hauptsitz in Zug und Niederlassungen rund um den Globus, ist weltweiter Leader auf dem Gebiet des Smart Metering und führender Anbieter von integrierten Energiemanagementlösungen. Das Unternehmen ermöglicht es nicht nur Versorgungs-unternehmen und Endkunden ihre Energieeffizienz zu verbessern, Energiekosten zu senken und zu einer nachhaltigen Nutzung der Ressourcen beizutragen. Nachhaltige Werte schaffen, zukunftsfähige Lösungen entwickeln und diese dabei mit den energiepolitischen Herausforderungen in Einklang bringen, gehört mit zum Tagesgeschäft des Branchenführers. Rechtlich Anforderungen umsetzen Der Einsatz intelligenter Stromzähler bzw. Smart Meter gilt als grundlegende Voraussetzung für die Umsetzung des "Aktionsplans für Energieeffizienz in Europa". Dieser sieht vor, dass mindestens 80 Prozent der Verbraucher aller EUMitgliedsstaaten bis zum Jahr 2020 mit intelligenten auszustatten sind. Im Rahmen der unter Berücksichtigung Deutschland eine Vorreiterrolle ein und hat durch das Bundesamt für Sicherheit in der Informationstechnik (BSI) ein Schutzprofil (BSI-CC-0073) nach den "Common Criteria für ein Smart Metering Gateway und die dazugehörigen Sicherheitsmodule herausgegeben. Für Hersteller wie Landis+Gyr stellten die umfangreichen Anforderungen des BSISchutzprofils und die damit verbundenen rechtlichen Vorgaben, die in den elektronischen Zählern und Smart-Meter-Gateways umgesetzt werden müssen, vor neuartige Herausforderungen. Denn nicht nur das Produkt an sich wird hinsichtlich Sicherheitsanforderungen dieser Zertifizierung unterzogen. Bestimmte Mindestanforderungen müssen auch im Entwicklungsprozess, in der Dokumentation, bei der Unterstützung des Produktlebenszyklus, bei Tests sowie der Schwachstellenanalyse erfüllt werden. Und nur wenn das Gesamtumfeld dieser Auditierung standhält, erhält das Produkt ein Zertifikat. Dazu Thomas Mosel, Head of Information Security EMEA, bei Landis+Gyr: «Das Schutzprofil nach den international anerkannten IT-Sicherheitsrichtlinien der Common Criteria beinhaltet eine grosse Anzahl von Sicherheitsanforderungen. Uns war schnell klar, dass wir für die Umsetzung dieses umfassenden Anforderungskatalogs, im speziellen für den ITSicherheitsbereich, jemanden mit entsprechendem Know-how beiziehen mussten. Auf der Suche nach einem Experten sind wir auf Wolfgang Sidler von der Sidler Information Security gestossen. Sein enormes Sicherheitswissen passte perfekt auf das bevorstehende Projekt. So sind wir ins Gespräch gekommen und haben ihn für die Umsetzung des Projektes verpflichtet.»

Bereichsübergreifende GAP-Analyse von A bis Z Im April 2012 starteten Thomas Mosel und Wolfgang Sidler mit einer eingehenden Bestandsaufnahme mittels GAP-Analyse, in der die bestehende Informationssicherheit gegenüber dem vorliegenden Anforderungskatalog abgeglichen wurde. Einen wichtigen Teil nehmen die "Assurance Requirements" der Common Criteria ein. Sie definieren, welche Mindestanforderungen im Entwicklungsprozess, in der Dokumentation, bei der Unterstützung des Produktlebenszyklus, bei den Tests sowie der Schwachstellenanalyse zwingend eingehalten werden müssen und, wie der Evaluator diese Anforderungen zu prüfen hat. Basierend auf diesem Katalog wurde anschliessend ermittelt, welche Anforderungen auf organisatorischer Ebene bereits vorhanden und welche zwingend zu erfüllen sind, welche Punkte in welcher Form ergänzt oder neu erarbeitet werden müssen und vor allem, wie der Massnahmenkatalog letztendlich aussehen muss. Das daraus abgeleitete Informationssicherheitskonzept, das Wolfgang Sidler nach der von ihm erarbeiteten Analyse erstellte, setzt bereichsübergreifend innerhalb der Landis+Gyr an und findet von der Soft- und Hardware-Entwicklung über das Konfigurationsmanagement bis hin zur Produktion und Qualitätssicherung seine Anwendung. Das daraus abgeleitete Informationssicherheitskonzept, das Wolfgang Sidler nach der von ihm erarbeiteten Analyse Treuhand Gesundheit Finanz Industrie Verwaltung Legal Ausbildung erstellte, setzt bereichsübergreifend innerhalb der Landis+Gyr an und findet von der Soft- und Hardware-Entwicklung über das Konfigurationsmanagement bis hin zur Produktion und Qualitätssicherung seine Anwendung. Bis das Informationssicherheitskonzept dem Management vorgelegt und von diesem freigegeben wurde, vergingen rund zwölf Monate. Thomas Mosel erklärt: «Wir hatten das Privileg, nicht unter einem enormen Zeitdruck zu stehen. Sowohl für die Erstellung der GAP-Analyse, als auch für das anschliessende Sicherheitskonzept konnten wir uns genügend Zeit nehmen, alle einzelnen Punkte einer sehr detaillierten Prüfung unterziehen und uns intensiv und vor allem sehr genau auf die BSIZertifizierung vorbereiten.» Mehr als nur ein Informationssicherheitskonzept Mit dem heute vorliegenden Informationssicherheits-Konzept hat Landis+Gyr den ersten entscheidenden Schritt auf dem Weg zu einem sicheren intelligenten Messsystem für Strom und Gas gemacht, das den neuen rechtlichen Vorgaben entspricht und konnte im Juli 2013 das erste Smart-Meter-Gateway zur Zertifizierung gemäss Common Criteria und Schutzprofil (BSICC-PP-0073) beim Bundesamt für Sicherheit in der Informationstechnik (BSI) anmelden. Die weitere Entwicklung wird jetzt mit den Anforderungen des Common-Criteria-Zertifizierungsprozesses abgestimmt. «Eine Produktzertifizierung ist mit gewissen Einschränkungen international gültig. Aus diesem Grundhaben wir das Sicherheitskonzept ebenfalls international ausgelegt, damit es landes- bzw. standortunabhängig anwendbar ist», erklärt Mosel und ergänzt:

«Die Erfahrungen im IT-Security-Bereich, die Wolfgang Sidler auf internationaler Ebene mitbrachte, waren uns auch hier sehr nützlich.» Konkret spricht Mosel das ISO 27001-Zertifizierungsprojekt von Landis+Gyr in England an, das zeitgleich mit dem Common Criteria Projekt durchgeführt wurde und alle mit dem Betrieb und der Implementierung sicherheitsrelevanter Funktionen eines Informationssicherheits-Management-Systems (ISMS) im Unternehmen definiert. «Im Rahmen der jeweiligen Analysen und Konzepterstellung haben beide Projekte sehr voneinander profitiert und Informationen sind vise versa eingeflossen. Dabei hat Wolfgang Sidler mit den internen Stellen in England zusammengearbeitet, das Sicherheitsaudit aktiv unterstützt und ist auch bei der erfolgreichen Zertifizierung Anfang Juli in England in beratender Funktion dabei gewesen.» jederzeit und nach Bedarf weitere Trainings selber durchführen». Fazit Die Weichen für die Zukunft intelligenter Messsysteme sind bei Landis+Gyr gestellt, das Endresultat entspricht den Erwartungen und ist soweit auf Kurs, um Informationssicherheit, Datenschutz und Datensiche heit in Smart Grids zu gewährleisten. Was jetzt noch fehlt, ist die Zertifizierung. Sobald diese erteilt wird, können der Industrie bald auch zukunftsfähige Lösungen angeboten werden. Security-Awareness für die Mitarbeitenden Technische Sicherheitsmassnahmen bedürfen nicht nur organisatorischer, sondern vor allem auch personeller Massnahmen, um effektiv sein zu können. In Zusammenhang mit der Umsetzung der Sicherheitsrichtlinien und auf Basis des erstellten Informationssicherheits-Konzepts, wurde ergänzend ein Trainings-Konzept erstellt und auf Initiative von Wolfgang Sidler hin im Juni 2012 erstmals ein Awareness-Training für Mitarbeitende durchgeführt. 2013 folgte auf der Basis der erarbeiteten Projektergebnisse zum Common Criteria Projekt ein Security-Training für alle am Projekt beteiligten Mitarbeitenden. «Nicht nur die Resonanz der Mitarbeitenden war sehr positiv und hat konstruktive Diskussionen und gutes Feedback hervorgebracht», so Thomas Mosel. «Speziell das Review und die daraus resultierenden Verbesserungsvorschläge, die Wolfgang Sidler im Anschluss zu den Schulungs-unterlagen gemacht hat, waren überaus hilfreich. Das Awareness-Training entspricht heute aktuellen Standards und wir können

Projektdetails Smart Meter Gateway Common Criteria EAL4+ Product Certification Durchführen einer Informationssicherheits GAP-Analyse nach ISO 27001 Erstellen von Security-Weisungen und Richtlinien für die Entwicklungs-, Projekt- und Produk tions-bereiche Durchführen von ISO 27001 Audits in den Smart-Meter Produktions-Werken in England und Frankreich ISMS Beratung basierend auf dem ISO 27001 und ISO 27002 Standard Projektkategorie www.sidler-security.ch info@sidler-security.ch Holzhäusernstrasse 5a CH-6331 Hünenberg / Zug

2024 © DocPlayer.org Datenschutzbestimmungen | Nutzungsbedingungen | Feedback