GAI NetConsult ist auf Konferenz über Informationssicherheit in Energienetzen vertreten

Experten diskutieren auf der Fachtagung „IT-Sicherheit – Bedrohungen und Schutzmechanismen für elektrische Netze“ über Lösungen für die Sicherheit in der Energiebranche.

BildBerlin, 04.12.2014 – Die GAI NetConsult GmbH, führender Anbieter von IT-Sicherheitsaudits und der Beratung im Bereich IT-Sicherheitsmanagement in der Energiewirtschaft, referiert auf Einladung des Veranstalters SYMPOS auf der bedeutenden IT-Konferenz in Wien über Leitlinien zum Management der Informationssicherheit in der Energiewirtschaft. Die Fachtagung „IT-Sicherheit – Bedrohungen und Schutzmechanismen für elektrische Netze“ wird in Kooperation mit dem BDEW Bundesverband der Energie und Wasserwirtschaft e.V. durchgeführt und findet in diesem Jahr am 10. und 11. Dezember 2014 statt.

Die Konferenz ermöglicht den Dialog von Vordenkern und Spitzenvertretern der Energiebranche, hochqualifizierten Wissenschaftlern und führenden Experten für IT-Sicherheit in der Energiewirtschaft im deutschsprachigen Raum. Es wird darüber diskutiert werden, wie die Energiebranche in Österreich und Deutschland sicherheitstechnisch aufgestellt ist, welche Architekturen und Technologien sinnvoll sind sowie welche nachhaltigen Modelle und Lösungen sich bewährt haben. Dazu wird es verschiedene Vorträge und Diskussionsrunden geben, an denen auch GAI NetConsult mit einem Experten beteiligt ist.

Energieunternehmen müssen sich intensiv mit dem Thema IT-Sicherheit befassen. Für die Steuerung und Überwachung von Netz- und Erzeugungsanlagen, Elementen im Smart Grid (beispielsweise Ortsnetzstationen und Smart Meter) oder für die Kommunikation zwischen den Unternehmen gehören moderne Leit- und Steuerungstechnik sowie Datenkommunikationsverbindungen und deren Schutz zu den Kernaufgaben in der Branche. Immer wichtiger für die betreffenden Unternehmen werden also die Erkennung und Abwehr von Risiken im Vorfeld, die Umsetzung geeigneter Sicherheitsmaßnahmen sowie ein gezieltes Notfallmanagement. Im besten Fall wird die ISO/IEC 27001 bzw. ISO/IEC TR 27019 umgesetzt und ein Informationsmanagementsystem (ISMS) im Bereich der Prozesstechnik eingeführt.

Dr. Stephan Beirer, Teamleiter Sicherheit in der Prozessdatenverarbeitung bei der GAI NetConsult, ist am ersten Konferenztag Teil der Diskussionsrunde „Netz-Security in Austria“ und hält am zweiten Tag der Tagung einen Fachvortrag zum Thema „IT-Sicherheit für die Energiewirtschaft: Anwendung und Umsetzung der internationalen Norm ISO/IEC TR 27019“. Die ISO/IEC TR 27019 formuliert Leitlinien zum Informationssicherheitsmanagement auf Basis der ISO/IEC 27002 im Bereich der Leit- und Automatisierungstechnik für die Energiewirtschaft. Dr. Beirer hat als Projekteditor bei DIN und ISO/IEC die Arbeiten zur ISO/IEC TR 27019 wesentlich vorangetrieben und unterstützt.

Als Experte für IT-Sicherheit in der Energiewirtschaft berät Dr. Beirer insbesondere mittlere und große Industrie- und Energieversorgungsunternehmen, Fachverbände sowie verschiedene Hersteller bei der Erstellung von organisatorischen und technischen Sicherheitsrichtlinien sowie bei der Konzeption und Umsetzung von Sicherheitsmaßnahmen wie z.B. Notfallplänen. Er ist zertifiziert als „Lead Auditor ISO/IEC 27001“ und Mitglied der BDEW-Arbeitsgruppe „IT-Sicherheit in der Energie- und Wasserwirtschaft“ sowie der Standardisierungsgremien DIN NA 043-01-27 AA „IT-Sicherheitsverfahren“, DKE/AK 952.0.15 „Informationssicherheit in der Netz- und Stationsleittechnik“ und ISO/IEC JTC 1 SC27 WG 1 „Information security management systems“ und dort u.a. für den Bereich Prozessleittechnik und Smart Grid Security zuständig.

„Die Konferenz bietet eine hervorragende Plattform, um unseren intensiven Dialog mit Experten der Energiebranche und qualifizierten Wissenschaftlern weiterzuführen“, sagt Detlef Weidenhammer, Geschäftsführender Gesellschafter von GAI NetConsult. „Für uns ist eine Teilnahme an der Tagung selbstverständlich. Natürlich beteiligen wir uns auch gern mit unserem tiefen Know-how für IT-Sicherheit an der Diskussion.“

Weitere Informationen zur Konferenz „IT-Sicherheit – Bedrohungen und Schutzmechanismen für elektrische Netze“ finden Sie hier: http://www.netz-security.at

Details zu den Beratungsangeboten der GAI NetConsult wie Sicherheitsaudits, Sicherheitsmanagement und ISMS-Einführung finden Sie hier: https://www.gai-netconsult.de

Über:

GAI NetConsult GmbH
Herr Detlef Weidenhammer
Am Borsigturm 58
13507 Berlin
Deutschland

fon ..: +49 30 / 41 78 98 – 0
web ..: http://www.gai-netconsult.de
email : info@gai-netconsult.de

Die GAI NetConsult ist ein unabhängiges Software- und Consulting-Unternehmen mit besonderer Expertise in der Erstellung von umfassenden Lösungen zur Informationssicherheit und der Entwicklung sicherer eBusiness-Anwendungen.
In der Informationssicherheit wird der gesamte „Security Life Cycle“ von der Analyse über Konzeption, Realisierung und Betrieb bis hin zur Überprüfung bestehender Sicherheitsmaßnahmen abgedeckt. Zu den angebotenen Dienstleistungen gehören Sicherheitsaudits (BSI, ISO), Penetrationstests, Notfallmanagement und die ISMS-Einführung nach ISO/IEC 27001. Ein Schwerpunkt liegt in der Sicherung von Kontroll- und Automatisierungssystemen (ICS, SCADA), insbesondere im Bereich Kritischer Infrastrukturen wie z.B. der Energieversorgung. Dabei werden die Anforderungen aus dem bdew Whitepaper – von der Projektplanung über die Ausschreibung und Systemkonzeption bis zur Abnahme – begleitet. Mitarbeiter der GAI NetConsult gehören zu den Top-Know-how-Trägern für ICS-Sicherheit und arbeiten in Fachgremien wie DIN, ISO maßgeblich an wichtigen Industriestandards wie der ISO/IEC 27019 mit.
Prozessintegration mit modernen EAI- und ESB-Plattformen sowie agile Softwareentwicklung nach Scrum bei Umsetzung des Security Development Life Cycles (SDL) sind die Basis für die kundenindividuellen Integrations- und Branchenlösungen der GAI NetConsult. Diese Lösungen beinhalten auch die Umsetzung der jeweils relevanten Sicherheitsanforderungen, z.B. aus dem Sozialgesetzbuch (SGB) im Gesundheitswesen oder bzgl. der gesicherten Kommunikation, die im eGovernment gefordert ist.
Zum Kundenstamm der GAI NetConsult gehören mittlere und große Unternehmen vorwiegend aus den Branchen Energieversorgung, Finanzdienstleistung, Gesundheitswesen, Chemie/Pharma sowie Öffentliche Verwaltungen. Weitere Informationen über GAI NetConsult finden Sie unter www.gai-netconsult.de.

Pressekontakt:

bloodsugarmagic GmbH & Co. KG
Herr Bernd Hoeck
Gerberstr. 63
78050 Villingen-Schwenningen

fon ..: +49 7721 94 61 220
web ..: http://www.bloodsugarmagic.com
email : bernd.hoeck@bloodsugarmagic.com

IBS-Akademie bietet Seminar zu Identity & Access Management

In dem praxisnahen Seminar wird Prüfern das Know-how zur Auditierung von Identity & Access Management (IAM) vermittelt.

BildHamburg, 15. März 2017 – Die IBS Schreiber GmbH, ein führender Anbieter von Beratung, Schulung und Software für die Prüfung und Auditierung von SAP-Systemen, bietet ein speziell auf den Bedarf von Prüfern zugeschnittenes Seminar zum Thema Identity & Access Management (IAM) an.

Identity & Access Management im Fokus der Prüfung

Die Verwaltung von Identitäten, Benutzerkonten und Berechtigungen ist seit jeher im Fokus bei der Auditierung von IT-Anwendungen und Systemen. In der Vergangenheit waren die je nach Zielsystem technisch sehr anspruchsvollen und hohen Anforderungen an die Prüfer oftmals eine erhebliche Hürde in der Prüfung.

Durch die Zentralisierung der Verwaltung von Identitäten, Benutzerkonten und Berechtigungen in sogenannten IAM-Systemen wurde diese Herausforderung maßgeblich verringert. Schwer durchschaubare Reports aus den Systemen gehören nunmehr der Vergangenheit an und ein Gesamtüberblick sowie die Nachvollziehbarkeit der Zusammenhänge sind weitgehend problemlos möglich. Diese Effizienzsteigerung bei der oberflächlichen Prüfung wurde durch eine erhebliche Steigerung der Komplexität bei der Umsetzung von Erfassung, Ausführung und Dokumentation von Anträgen auf neue Berechtigungen im Rahmen des IAM-Systems erkauft.

Aus Sicht der Revision verlagert sich nunmehr der Fokus von der reinen Prüfung der Sachlage „Wer hat Zugriff auf was?“ auf die Prozesssicht und die Organisations- Abbildung: „Wer hat wann für wen was beantragt, warum und wieso wurde es genehmigt?“. Dies erfordert tieferen Einblick in die Rollenmodelle, Prozesse und Workflows in den IAM-Systemen und deren technische Abbildung.

Seminar bietet Prüfern umfassenden Einblick in IAM in kompakter Form

Das Seminar ist inhaltlich auf die besonderen Aspekte der Prüfung des Identity & Access Managements ausgelegt. Nach einer Einführung in die Grundlagen werden die relevanten Konzepte des Identity & Access Managements wie digitale und physische Identität, Accounts, User und User Lifecycle, Applikation und Zugriff, Berechtigungen für Konten sowie Single-Sign-On (SSO) und Föderation erläutert. Anschließend werden die wichtigen Konzepte der Governance wie Rollen und Hierarchien, Workflows und Re-Zertifizierung vorgestellt. Dabei werden kritische Probleme aus der Praxis im Bereich Namensräume, Gewaltenteilung sowie Privilege Escalation / Management beleuchtet. Alle wichtigen Bausteine der IAM-Prüfung wie beispielsweise Re-Zertifizierung und Attestierung von bestehenden Konten und Berechtigungen sowie der Abgleich von Soll- gegen Ist-Stand (Identity Governance) werden vermittelt.

Das zweitägige Seminar wird in diesem Jahr am 27. und 28.3. sowie am 19. und 20.10. jeweils in der IBS Schreiber Akademie in Hamburg angeboten. Als Referent konnte der ausgewiesene Experte für IAM-Prüfung Sebastian Rohr gewonnen werden. Über Stationen als Sicherheitsberater bei der Siemens AG, Forscher für Netzwerksicherheit am Fraunhofer Institut für Sichere Informationstechnik (SIT) sowie als Solution Strategist für die Sicherheitslösungen von CA (Computer Associates), kam Rohr als Chief Security Advisor zu Microsoft. Nach seiner Tätigkeit bei Microsoft gründete er 2007 die accessec GmbH, die er in Funktion des CTO/CSO führt. Zu seinen Mandanten in der prüfungsvorbereitenden Beratung zählen hauptsächlich deutsche DAX-Unternehmen und der gehobene Mittelstand. Rohr ist Mitglied der ISACA, ISC2 und im TeleTrust e.V.

„Identity & Access Management ist ein Schlüsselthema für die Prüfung der IT-Sicherheit im Unternehmen“, sagt Sebastian Rohr, Referent der IBS Schreiber Akademie und Geschäftsführer der accessec GmbH. „Moderne IAM-Systeme können die Auditierung erheblich erleichtern – wenn man sie denn richtig zu nutzen weiß. Mit diesem Seminar vermitteln wir das notwendige Know-how für die Praxis.“

Eine detaillierte Beschreibung des Seminars findet sich auf der Website unter:
https://www.ibs-schreiber.de/akademie/seminare/identity-access-management

Das Akademieprogramm von IBS Schreiber bietet zudem mehr als einhundert Seminarthemen für Prüfung, Revision und Sicherheit von IT- und SAP®-Systemen: https://www.ibs-schreiber.de/akademie/

Über:

IBS Schreiber GmbH
Frau Lisa Niekamp
Zirkusweg 1
20359 Hamburg
Deutschland

fon ..: +49 40 69 69 85 68
web ..: http://www.ibs-schreiber.de
email : lisa.niekamp(at)ibs-schreiber.de

Über IBS Schreiber und CheckAud® for SAP® Systems
Die 1979 gegründete IBS Schreiber GmbH bietet ein einzigartiges Service- und Produktangebot für IT- und speziell SAP-Sicherheit, Datenschutz und Data Sciences an. Dabei kombiniert IBS Beratungs-, Prüfungs- und Serviceleistungen mit der Entwicklung spezieller Prüfsoftware und einem umfassenden Weiterbildungsangebot. Durch die Kombination von technischem, organisatorischem und fachlichem Know-how kann IBS alle Aspekte einer fundierten Governance, Risk & Compliance-Strategie (GRC) und IT-Sicherheitskonzeption aus einer Hand planen, prüfen und umsetzen.
Im Service- und Prüfungsgeschäft gehört das Unternehmen zu den führenden Experten für gesetzeskonforme und Compliance-gerechte Sicherheitskonzepte mit speziellem Fokus auf das Berechtigungsmanagement. IBS prüft IT- und SAP-Systeme auf ihre technische Sicherheit sowie die gesetzes- und regelkonforme Umsetzung von Berechtigungen, Zugriffsrechten und Prozessen. IBS bietet Datenschutz als Prüfungspaket, Beratung oder steht auch als externer Datenschutzbeauftragter zur Verfügung, mit langjähriger Erfahrung in der organisatorischen und technischen Beratung, Prüfung und Softwareerstellung. Als externer IT-Sicherheitsbeauftragter (ITSiBe) kann IBS seine Kunden in diesem speziellen Know-how auch operativ entlasten.
Mit mehr als einhundert Seminarthemen und vier jährlichen Fachkonferenzen ist IBS einer der größten und erfolgreichsten Anbieter von Schulungen, Seminaren und anderen Weiterbildungsformen für IT-Sicherheit, SAP-Sicherheit, Revision, Datenschutz und Datenanalyse im deutschsprachigen Raum. Durch die Synergien mit dem Prüfungs- und Beratungsgeschäft zeichnen sich die Veranstaltungen durch besonders hohe Praxisnähe und Anschaulichkeit aus. Mit dem Fachjournal Revisionspraxis PRev fördert IBS den Erfahrungsaustausch zwischen Revisoren, Wirtschaftsprüfern, IT-Sicherheits- und Datenschutzbeauftragten.
Zu den Kunden der IBS im Service- und Prüfungsgeschäft gehören u. a. das Technologieunternehmen Basler, Beiersdorf, die Ergo-Gruppe sowie die Schweizer Post. Weitere Informationen zum Unternehmen IBS Schreiber und dem Service- und Schulungsangebot unter www.ibs-schreiber.de.
Die GRC-Software CheckAud® for SAP® Systems ist ein professionelles Werkzeug zur umfassenden, effizienten und effektiven Prüfung von komplexen Zugriffsberechtigungen in SAP®-Systemen. Einzigartig ist der in der Software enthaltene ausgedehnte Katalog von mehreren Hundert vorkonfigurierten Prüfungen, für die IBS auch einen Aktualisierungsservice anbietet, der sowohl Veränderungen durch SAP®-seitige-Updates als auch durch geänderte gesetzliche Anforderungen umfasst.
Zu den Nutzern von CheckAud® for SAP® Systems gehören u. a. die ARAG Versicherung, die Berliner Wasserbetriebe, Emil Frey, Knauf, MVV Energie und die Universität Graz. Weitere Informationen zum Produkt CheckAud® for SAP® Systems unter www.checkaud.de.

Pressekontakt:

bloodsugarmagic GmbH & Co. KG
Herr Bernd Hoeck
Gerberstraße 63
D-78050 Villingen-Schwenningen

fon ..: +4977219461222
web ..: http://www.bloodsugarmagic.com
email : bernd.hoeck@bloodsugarmagic.com

ISO 9001 für Kleinunternehmen – Nutzen deutlich höher als Aufwand

Mehr Umsatz? Zufriedene Stammkunden? Langfristiger Geschäftserfolg? Ein nach ISO 9001 zertifiziertes Qualitätsmanagement verbessert die Wettbewerbssituation, auch und gerade für Kleinunternehmen.

Zerspanungsbetrieb S. und Kunststoffgießer P. hatten sich ordnungsgemäß und fristgerecht für die Vergabe von bedeutenden Aufträgen beworben und eingeschrieben. Der eine für einen Automotive-Zulieferer, der andere für einen Betrieb der öffentlichen Hand. Beide Aufträge waren nach Auffassung von S. und P. prozesssicher und zeichnungsgerecht durchführbar, zeitlich realisierbar und finanziell gemäß Lastenheft der Auftraggeber tragbar. Doch warum wurden dann die Aufträge anderweitig vergeben? „Eine langfristige und eindeutige Garantie der involvierten Prozesse zur Produktherstellung kann nur durch Audit und Freigabe von einer akkreditierten Zertifizierungsstelle erteilt werden. Erfüllt Ihr Unternehmen diese Voraussetzung oder wird es sie in den nächsten zwei Monaten erfüllen, können wir Sie bei der Auftragsvergabe berücksichtigen“, so die Anforderung der Auftraggeber.

Langfristige Kundenbindung: keine Chance ohne IS0 9001-Zertifikat

Der Weg zum Auftrag führt also über ein nach ISO 9001 zertifiziertes Qualitätsmanagementsystem (QMS). Die Unternehmensgröße spielt dabei keine Rolle und selbst Kleinunternehmen lassen sich heute zertifizieren. „Weil es sich lohnt“, betont Denis Brogniart, Inhaber der Tolbiac Quality Consult (TQC) im nordrhein-westfälischen Zülpich. Auch die Handwerkskammern empfehlen die Zertifizierung, denn sie ist der Standard, den die Auftraggeber zunehmend voraussetzen. Die Beispiele von S. und P. stammen aus NRW.

Keine Frage – S. und P. beherrschen ihr Metier. Sie können die geforderte Qualität liefern und langfristig sicherstellen. Die Mitarbeiter sind hochmotiviert. Aber: Die fehlende IS0 9001-Zertifizierung ist der entscheidende Wettbewerbsnachteil. „Es passiert immer häufiger, dass Unternehmen wegen fehlender Zertifizierung lukrative Aufträge verlieren oder bei Neuausschreibungen aus dem Rennen geworfen werden. Das darf und muss nicht sein. Die Zertifizierung ist kein Zauberwerk und problemlos und kostengünstig machbar“, so Brogniart.

Für KMU: Qualitätsmanager auf Zeit

Kleinere Unternehmen finden Hilfe bei QM-Beratern, die sich auf KMU spezialisiert haben. Qualitätsmanager auf Zeit nennt die TQC ihr Angebot für Unternehmen, die keinen eigenen Qualitätsmanager beschäftigen wollen oder können. Service aus einer Hand lautet die TQC-Devise: „Unser Kunde soll sich voll und ganz auf sein operatives Geschäft konzentrieren können.“

Die Geschäftsführer von S. und P. rechneten mit Folgeaufträgen. „Aber insbesondere langfristige Aufträge oder Rahmenverträge setzen ein nach ISO 9001 zertifiziertes QMS voraus. Mit Ihrer Zertifizierung sichern Sie langfristig Ihren Unternehmenserfolg“, so der Rat von Denis Brogniart.

Audit und ISO 9001-Zertifizierung: Weg mit der Prüfungsangst

Ihm zufolge ist der Aufbau eines QMS inklusive Audit und anschließender Zertifizierung durch einen akkreditierten Zertifizierer mit geringem Kosten- und Zeitaufwand möglich. Sein Kunde erhält hierzu eine mehrstufige Betreuung in der Vorbereitung zur Zertifizierung inklusive der Auditierung für Unternehmen in der Metall-, Kunststoff- und Textilverarbeitung. TQC ist zudem die erste Beratung für KMU aus dem francophonen Markt, die eine deutsche Zertifizierung nach ISO 9001anstreben. Mehr auf www.facebook.com/TQCZuelpich.

Über:

Tolbiac Quality Consult
Herr Denis M. Brogniart
Aachener Straße 62
53909 Zülpich
Deutschland

fon ..: 022528384373
web ..: http://www.facebook.com/TQCZuelpich
email : info@dialog-driehsen.biz

Tolbiac Quality Consult (TQC) ist im nordrhein-westfälischen Zülpich ansässig. Das deutsch-/ französischsprachige Team betreut KMU in Deutschland, Luxemburg, Belgien und Frankreich. Erklärtes Ziel ist es, als Qualitätsmanager auf Zeit insbesondere Kleinunternehmen beim Aufbau ihres Qualitätsmanagementsystems zu unterstützen und zur erfolgreichen Zertifizierung nach DIN ISO 9001 zu führen. Die Unternehmen erhalten eine umfangreiche, dreistufige Betreuung ohne oder inklusive einer sofortigen bzw. späteren Zertifizierung. TQC kooperiert mit kompetenten Zertifizierern und auditiert im Vorfeld einer Zertifizierung Produzenten in der Metall-, Kunststoff- und Textilverarbeitung.
News und Fachinfos des Unternehmens auf Facebook unter der Adresse www.facebook.com/TQCZuelpich. Sie können diese Pressemitteilung – auch in geänderter oder gekürzter Form – mit Quelllink auf unsere Homepage auf Ihrer Webseite kostenlos verwenden.

Pressekontakt:

Tolbiac Quality Consult
Herr Denis M. Brogniart
Aachener Straße 62
53909 Zülpich

fon ..: 022528384373
web ..: http://www.facebook.com/TQCZuelpich
email : info@dialog-driehsen.biz

GAI NetConsult nimmt kritische Einschätzung des IT-Sicherheitsgesetzes vor

Auswirkungen auf EVUs und andere KRITIS-Unternehmen werden bewertet. GAI NetConsult stellt Hilfe zur Umsetzung bereit.

BildBerlin, 27.07.2015 – GAI NetConsult, Spezialist für Informationssicherheit bei Kritischen Infrastrukturen, veröffentlicht eine kritische Bewertung des IT-SiG und zeigt Hürden bei der Umsetzung auf.

Vor dem Hintergrund zunehmender Cyber-Angriffe auf Unternehmen, Betreiber Kritischer Infrastrukturen und staatliche Institutionen, verfolgt die Bundesregierung mit dem kürzlich verabschiedeten IT-SiG das Ziel, die IT-Sicherheit in Deutschland signifikant zu verbessern. Das Gesetz mit dem allumfassenden Namen „Gesetz zur Erhöhung der Sicherheit informationstechnischer Systeme“ stellt Anforderungen für Mindeststandards an IT-Sicherheit auf und definiert Meldepflichten für erhebliche IT-Sicherheitsvorfälle. Betroffen sind insbesondere Betreiber Kritischer Infrastrukturen aus den Bereichen Energie, Informationstechnik und Telekommunikation, Transport und Verkehr, Gesundheit, Wasser, Ernährung sowie Finanz- und Versicherungswesen.

Geltungsbereich weiterhin unklar

Nach wie vor unklar ist, welche Unternehmen nun genau Betreiber Kritischer Infrastrukturen sein sollen. Die exakte Definition Kritischer Infrastrukturen und damit die Abgrenzung des Geltungsbereiches des Gesetzes sind weiterhin offen und werden erst per Rechtsverordnung durch das BMI (unter Einbeziehung der betroffenen Kreise aus Verwaltung, Wirtschaft und Wissenschaft) genauer festgelegt. Während der Gesetzesentwurf nach „aktuellen Schätzungen“ die Zahl der meldepflichtigen Betreiber Kritischer Infrastrukturen bei maximal 2000 sieht, kommt eine Studie im Auftrag des BDI auf bis zu 18.000 Großunternehmen in den KRITIS-Sektoren. Hier drängt sich der Verdacht auf, dass der Gesetzgeber bei seinen Planungen von erheblich zu niedrigen Zahlen ausgegangen ist.

Abgrenzung zu branchenspezifischen Gesetzen und Sicherheitsstandards

Das IT-SiG ist kein eigenständiges Gesetz, sondern ein Artikelgesetz, d.h. eine Sammlung von Änderungen und Erweiterungen bereits bestehender Gesetze wie u.a. dem BSI-Gesetz (BSIG), dem Energiewirtschaftsgesetz (EnWG) und dem Telemediengesetz. Für Energienetzbetreiber (Strom und Gas) ändert sich durch das IT-SiG zunächst nur wenig, da sie bereits dem Energiewirtschaftsgesetz (EnWG) unterliegen und gesetzlich zur Umsetzung des IT-Sicherheitskatalogs der Bundesnetzagentur (BNetzA) und zur Einhaltung von Mindeststandards zur IT-Sicherheit im Netzbetrieb verpflichtet sind. Anderes gilt bei Energieanlagenbetreibern und ggf. auch Energiehändlern, die virtuelle Kraftwerke betreiben. Sie kommen jetzt in die Obhut der BNetzA und unterliegen damit neu dem BnetzA IT-Sicherheitskatalog. Zudem ändern sich die Meldewege für Sicherheitsvorfälle (BSI statt BNetzA) und die damit verbundenen Auskunftspflichten ggü. dem BSI.

Änderungen für Energieversorger (EVU) in der Praxis

Für Umsetzungsprojekte bei EVUs bleibt noch die Veröffentlichung der endgültigen Version der IT-Sicherheitskataloge für Netz- und Anlagenbetreiber (sowie die Rechtsverordnung zu den KRITIS-relevanten Energieanlagen) abzuwarten, die allgemein für Q3/2015 erwartet wird. Die umzusetzenden Mindeststandards orientieren sich an der internationalen Normenreihe ISO/IEC 2700x, ergänzt um den IT-Sicherheitskatalog für Energienetze und -anlagen der Bundesnetzagentur (BNetzA). Im Kern wird die Einführung eines Informationssicherheitsmanagementsystems (ISMS, engl. Information Security Management System) – wie in der ISO/IEC 27001 beschrieben – verlangt. Weiterhin etabliert das IT-SiG eine Meldepflicht für IT-Sicherheitsvorfälle in Kritischen Infrastrukturen und verlangt die Einrichtung einer Kontaktstelle für die Störungsmeldungen, spätestens sechs Monate nach Erlass der Verordnung. Im Zwei-Jahres-Rhythmus ist nachzuweisen, wie diese Mindestanforderungen erfüllt werden.

Analyse und Planung für ein ISMS jetzt beginnen

Mit Blick auf die zu erwartenden gesetzlichen Fristen zur Einführung eines ISMS sollten EVUs und andere Unternehmen der KRITIS-Sektoren schon jetzt in die Planung einsteigen. Die Einführung eines ISMS und dessen Zertifizierung innerhalb von zwei Jahren bei Unternehmen, die hierfür noch keine ausreichenden Vorarbeiten aufweisen können, ist nahezu ein Ding der Unmöglichkeit. Der hierfür benötigte Aufwand auch bei den eigenen Mitarbeitern wird zumeist unterschätzt und ohne externe Hilfe mit fundierten Kenntnissen der ISO-Methodiken wird die Zielsetzung der Zertifizierungsfähigkeit nicht erreichbar sein. Weiterhin ist bei den prognostizierten Tausenden von betroffenen Unternehmen ein Run auf die entsprechend erfahrenen Beratungsunternehmen zu erwarten. Es empfiehlt sich also zur eigenen Risikominimierung, sich frühzeitig mit den Auswirkungen des IT-SiG zu beschäftigen.

IT-SiG ist bei allen Schwächen ein Schritt in die richtige Richtung

Eine ausführliche Diskussion des IT-SiG mit Details der Auswirkungen insbesondere für EVUs und andere KRITIS-Unternehmen findet sich im aktuellen Security Journal der GAI NetConsult. „Auch wenn viele Experten das IT-SiG mit dem berühmten Sprichwort too little, too late kommentieren, ist es ein Schritt in die richtige Richtung“, sagt Detlef Weidenhammer, Geschäftsführender Gesellschafter von GAI NetConsult. „Wir erwarten durch das IT-SiG, dass sich deutlich mehr Unternehmen in den KRITIS-Branchen intensiver mit dem Schutz ihrer Daten und Infrastruktur auseinandersetzen. Die Einführung eines Informationssicherheitsmanagementsystems sollte – unabhängig von den konkret gesetzlich geforderten Maßnahmen – immer die Basis einer Informationssicherheitsstrategie sein.“

Das Security Journal der GAI NetConsult erscheint alle zwei Monate mit aktuellen, sorgfältig recherchierten Informationen aus der Welt der Informationssicherheit. Es bündelt die Erfahrungen aus vielen Security-Projekten in Form von tiefgreifenden Fachartikeln sowie aktuellen Tipps zum Thema Informationssicherheit. Das Journal kann kostenlos online im Abo bezogen werden. Die Anmeldung erfolgt hier: https://www.gai-netconsult.de/journal

Details zu den Beratungsangeboten der GAI NetConsult bei den Themen IT-Sicherheitsgesetz (IT-SiG) und generell zur Informationssicherheit im Bereich Kritischer Infrastrukturen mit Dienstleistungen wie IT-Sicherheitsaudits und BSI-Audits, Umsetzung des bdew Whitepapers oder der ISO 27001 sowie ISMS-Einführungen finden Sie hier: https://www.gai-netconsult.de

Über:

GAI NetConsult GmbH
Herr Detlef Weidenhammer
Am Borsigturm 58
13507 Berlin
Deutschland

fon ..: +49 30 / 41 78 98 – 0
web ..: http://www.gai-netconsult.de
email : info@gai-netconsult.de

Die GAI NetConsult ist ein unabhängiges Software- und Consulting-Unternehmen mit besonderer Expertise in der Erstellung von umfassenden Lösungen zur Informationssicherheit und der Entwicklung sicherer eBusiness-Anwendungen.
In der Informationssicherheit wird der gesamte „Security Life Cycle“ von der Analyse über Konzeption, Realisierung und Betrieb bis hin zur Überprüfung bestehender Sicherheitsmaßnahmen abgedeckt. Zu den angebotenen Dienstleistungen gehören Sicherheitsaudits (BSI, ISO), Penetrationstests, Notfallmanagement und die ISMS-Einführung nach ISO/IEC 27001. Ein Schwerpunkt liegt in der Sicherung von Kontroll- und Automatisierungssystemen (ICS, SCADA), insbesondere im Bereich Kritischer Infrastrukturen wie z.B. der Energieversorgung. Dabei werden die Anforderungen aus dem bdew Whitepaper – von der Projektplanung über die Ausschreibung und Systemkonzeption bis zur Abnahme – begleitet. Mitarbeiter der GAI NetConsult gehören zu den Top-Know-how-Trägern für ICS-Sicherheit und arbeiten in Fachgremien wie DIN, ISO maßgeblich an wichtigen Industriestandards wie der ISO/IEC 27019 mit.
Prozessintegration mit modernen EAI- und ESB-Plattformen sowie agile Softwareentwicklung nach Scrum bei Umsetzung des Security Development Life Cycles (SDL) sind die Basis für die kundenindividuellen Integrations- und Branchenlösungen der GAI NetConsult. Diese Lösungen beinhalten auch die Umsetzung der jeweils relevanten Sicherheitsanforderungen, z.B. aus dem Sozialgesetzbuch (SGB) im Gesundheitswesen oder bzgl. der gesicherten Kommunikation, die im eGovernment gefordert ist.
Zum Kundenstamm der GAI NetConsult gehören mittlere und große Unternehmen vorwiegend aus den Branchen Energieversorgung, Finanzdienstleistung, Gesundheitswesen, Chemie/Pharma sowie Öffentliche Verwaltungen. Weitere Informationen über GAI NetConsult finden Sie unter www.gai-netconsult.de.

Pressekontakt:

bloodsugarmagic GmbH & Co. KG
Herr Bernd Hoeck
Gerberstr. 63
78050 Villingen-Schwenningen

fon ..: +49 7721 94 61 220
web ..: http://www.bloodsugarmagic.com
email : bernd.hoeck@bloodsugarmagic.com

GAI NetConsult empfiehlt Unternehmen Erstellung eines IT-Notfallplans

Jedes zweite deutsche Unternehmen ist laut BITKOM-Studie nicht auf IT-Notfälle vorbereitet. Vorbereitung auf Angriffsszenario aufgrund wachsender Bedrohungslage jedoch erforderlich.

BildBerlin, 23.4.2015 – Die GAI NetConsult GmbH, führender Anbieter von Sicherheitsaudits und der Beratung im Bereich Informationssicherheit, warnt vor einer zunehmenden Bedrohungslage und empfiehlt Unternehmen dringend die Aufstellung eines Notfallplans.

Die aktuellen Beispiele des französischen Fernsehsenders TV5 Monde und der belgischen Tageszeitung „Le Soir“, deren Internetplattformen mutmaßliche Hacker kürzlich tagelang lahm legten, hat wieder eindrucksvoll gezeigt, welche Ausmaße ein digitaler Angriff schnell nehmen kann. Die Bedrohungslage nimmt zu und wird immer unübersichtlicher, da die Zahl der Akteure steigt.

Auch das Bundesamt für Sicherheit in der Informationstechnik (BSI) warnt vor zunehmenden Cyber-Angriffen auf Bürger, staatliche Stellen, Forschungseinrichtungen, Wirtschaftsunternehmen und Betreiber Kritischer Infrastrukturen, wie Energieversorgungs- oder Telekommunikationsunternehmen oder eben Medien im erwähnten Beispiel.

Dennoch sind deutsche Unternehmen zumeist nicht ausreichend gegen digitale Angriffe von außen geschützt. Das hat jetzt eine repräsentative Umfrage des Digitalverbands BITKOM ergeben. Demnach verfügt nur knapp die Hälfte der 1.074 befragten Unternehmen über ein Notfallmanagement bei digitaler Wirtschaftsspionage, Sabotage oder Datendiebstahl. Dabei führen diese Bedrohungen zu „schweren Schäden und können Unternehmen in ihrer Existenz bedrohen“, wie BITKOM-Hauptgeschäftsführer Dr. Bernhard Rohleder in der entsprechenden Pressemitteilung zitiert wird. Größere Unternehmen sind dabei nur unwesentlich besser gerüstet als kleinere.

Die GAI NetConsult und der BITKOM empfehlen deshalb jedem Unternehmen unbedingt eine Notfallplanung. Diese sollte sicherheitskritische Situationen im Vorfeld beleuchten, Verantwortlichkeiten klären und Handlungsanweisungen zusammenfassen. Ziel ist es dann zum Beispiel, einen Datenabfluss zu stoppen oder beim Ausfall wichtiger Systeme die Arbeitsfähigkeit des Unternehmens so schnell wie möglich wieder herzustellen, so der BITKOM.

„Einen Angriff kann man zwar nicht in jedem Fall verhindern, wenn man auf die Situation aber vorbereitet ist, lässt sie sich auch rasch wieder in den Griff bekommen“, sagt Detlef Weidenhammer, Geschäftsführender Gesellschafter von GAI NetConsult. „Wer bei der rasant wachsenden Bedrohungslage keine Notfallplanung erarbeitet, handelt fahrlässig.“

Dabei komme es nicht nur auf Systeme und Aspekte der IT-Sicherheit an, sondern auf eine ganzheitliche Beschäftigung mit dem Thema Informationssicherheit. Das bedeutet neben rein technischen Maßnahmen auch die Berücksichtigung der häufig vernachlässigten Sicherheitsorganisation. Im besten Fall wird die Norm ISO/IEC 27001 umgesetzt und ein Informationssicherheitsmanagementsystem (ISMS) eingeführt.

Die GAI NetConsult ist Experte auf dem Gebiet der Informationssicherheit und kann aufgrund ihrer jahrelangen Erfahrung mit dem Thema eine geeignete Notfallplanung routiniert erarbeiten. Vorgefertigte Verteidigungsmuster, bewährte Vorgehensbeschreibungen und die Nutzung von eigenen Software-Tools zur Notfallplanung begrenzen dabei den Aufwand für die Erstellung.

Neben einer guten Notfallplanung ist es außerdem sinnvoll, die eigenen Systeme präventiv regelmäßig über Security Audits checken zu lassen. Hierbei werden einzelne Komponenten oder ganze IT-Umgebungen mittels verschiedener Tests überprüft. Je nach Bedarf und technischen Voraussetzungen können diese Tests sowohl über das Internet als auch vor Ort durchgeführt werden.

Details zu den Beratungsangeboten der GAI NetConsult wie Sicherheitsaudits, Sicherheitsmanagement und ISMS-Einführung finden Sie hier:
http://www.gai-netconsult.de

Über:

GAI NetConsult GmbH
Herr Detlef Weidenhammer
Am Borsigturm 58
13507 Berlin
Deutschland

fon ..: +49 30 / 41 78 98 – 0
web ..: http://www.gai-netconsult.de
email : info@gai-netconsult.de

Die GAI NetConsult ist ein unabhängiges Software- und Consulting-Unternehmen mit besonderer Expertise in der Erstellung von umfassenden Lösungen zur Informationssicherheit und der Entwicklung sicherer eBusiness-Anwendungen.
In der Informationssicherheit wird der gesamte „Security Life Cycle“ von der Analyse über Konzeption, Realisierung und Betrieb bis hin zur Überprüfung bestehender Sicherheitsmaßnahmen abgedeckt. Zu den angebotenen Dienstleistungen gehören Sicherheitsaudits (BSI, ISO), Penetrationstests, Notfallmanagement und die ISMS-Einführung nach ISO/IEC 27001. Ein Schwerpunkt liegt in der Sicherung von Kontroll- und Automatisierungssystemen (ICS, SCADA), insbesondere im Bereich Kritischer Infrastrukturen wie z.B. der Energieversorgung. Dabei werden die Anforderungen aus dem bdew Whitepaper – von der Projektplanung über die Ausschreibung und Systemkonzeption bis zur Abnahme – begleitet. Mitarbeiter der GAI NetConsult gehören zu den Top-Know-how-Trägern für ICS-Sicherheit und arbeiten in Fachgremien wie DIN, ISO maßgeblich an wichtigen Industriestandards wie der ISO/IEC 27019 mit.
Prozessintegration mit modernen EAI- und ESB-Plattformen sowie agile Softwareentwicklung nach Scrum bei Umsetzung des Security Development Life Cycles (SDL) sind die Basis für die kundenindividuellen Integrations- und Branchenlösungen der GAI NetConsult. Diese Lösungen beinhalten auch die Umsetzung der jeweils relevanten Sicherheitsanforderungen, z.B. aus dem Sozialgesetzbuch (SGB) im Gesundheitswesen oder bzgl. der gesicherten Kommunikation, die im eGovernment gefordert ist.
Zum Kundenstamm der GAI NetConsult gehören mittlere und große Unternehmen vorwiegend aus den Branchen Energieversorgung, Finanzdienstleistung, Gesundheitswesen, Chemie/Pharma sowie Öffentliche Verwaltungen. Weitere Informationen über GAI NetConsult finden Sie unter www.gai-netconsult.de.

Pressekontakt:

bloodsugarmagic GmbH & Co. KG
Herr Bernd Hoeck
Gerberstr. 63
78050 Villingen-Schwenningen

fon ..: +49 7721 94 61 220
web ..: http://www.bloodsugarmagic.com
email : bernd.hoeck@bloodsugarmagic.com