GAI NetConsult ist auf Konferenz über Informationssicherheit in Energienetzen vertreten

Experten diskutieren auf der Fachtagung „IT-Sicherheit – Bedrohungen und Schutzmechanismen für elektrische Netze“ über Lösungen für die Sicherheit in der Energiebranche.

BildBerlin, 04.12.2014 – Die GAI NetConsult GmbH, führender Anbieter von IT-Sicherheitsaudits und der Beratung im Bereich IT-Sicherheitsmanagement in der Energiewirtschaft, referiert auf Einladung des Veranstalters SYMPOS auf der bedeutenden IT-Konferenz in Wien über Leitlinien zum Management der Informationssicherheit in der Energiewirtschaft. Die Fachtagung „IT-Sicherheit – Bedrohungen und Schutzmechanismen für elektrische Netze“ wird in Kooperation mit dem BDEW Bundesverband der Energie und Wasserwirtschaft e.V. durchgeführt und findet in diesem Jahr am 10. und 11. Dezember 2014 statt.

Die Konferenz ermöglicht den Dialog von Vordenkern und Spitzenvertretern der Energiebranche, hochqualifizierten Wissenschaftlern und führenden Experten für IT-Sicherheit in der Energiewirtschaft im deutschsprachigen Raum. Es wird darüber diskutiert werden, wie die Energiebranche in Österreich und Deutschland sicherheitstechnisch aufgestellt ist, welche Architekturen und Technologien sinnvoll sind sowie welche nachhaltigen Modelle und Lösungen sich bewährt haben. Dazu wird es verschiedene Vorträge und Diskussionsrunden geben, an denen auch GAI NetConsult mit einem Experten beteiligt ist.

Energieunternehmen müssen sich intensiv mit dem Thema IT-Sicherheit befassen. Für die Steuerung und Überwachung von Netz- und Erzeugungsanlagen, Elementen im Smart Grid (beispielsweise Ortsnetzstationen und Smart Meter) oder für die Kommunikation zwischen den Unternehmen gehören moderne Leit- und Steuerungstechnik sowie Datenkommunikationsverbindungen und deren Schutz zu den Kernaufgaben in der Branche. Immer wichtiger für die betreffenden Unternehmen werden also die Erkennung und Abwehr von Risiken im Vorfeld, die Umsetzung geeigneter Sicherheitsmaßnahmen sowie ein gezieltes Notfallmanagement. Im besten Fall wird die ISO/IEC 27001 bzw. ISO/IEC TR 27019 umgesetzt und ein Informationsmanagementsystem (ISMS) im Bereich der Prozesstechnik eingeführt.

Dr. Stephan Beirer, Teamleiter Sicherheit in der Prozessdatenverarbeitung bei der GAI NetConsult, ist am ersten Konferenztag Teil der Diskussionsrunde „Netz-Security in Austria“ und hält am zweiten Tag der Tagung einen Fachvortrag zum Thema „IT-Sicherheit für die Energiewirtschaft: Anwendung und Umsetzung der internationalen Norm ISO/IEC TR 27019“. Die ISO/IEC TR 27019 formuliert Leitlinien zum Informationssicherheitsmanagement auf Basis der ISO/IEC 27002 im Bereich der Leit- und Automatisierungstechnik für die Energiewirtschaft. Dr. Beirer hat als Projekteditor bei DIN und ISO/IEC die Arbeiten zur ISO/IEC TR 27019 wesentlich vorangetrieben und unterstützt.

Als Experte für IT-Sicherheit in der Energiewirtschaft berät Dr. Beirer insbesondere mittlere und große Industrie- und Energieversorgungsunternehmen, Fachverbände sowie verschiedene Hersteller bei der Erstellung von organisatorischen und technischen Sicherheitsrichtlinien sowie bei der Konzeption und Umsetzung von Sicherheitsmaßnahmen wie z.B. Notfallplänen. Er ist zertifiziert als „Lead Auditor ISO/IEC 27001“ und Mitglied der BDEW-Arbeitsgruppe „IT-Sicherheit in der Energie- und Wasserwirtschaft“ sowie der Standardisierungsgremien DIN NA 043-01-27 AA „IT-Sicherheitsverfahren“, DKE/AK 952.0.15 „Informationssicherheit in der Netz- und Stationsleittechnik“ und ISO/IEC JTC 1 SC27 WG 1 „Information security management systems“ und dort u.a. für den Bereich Prozessleittechnik und Smart Grid Security zuständig.

„Die Konferenz bietet eine hervorragende Plattform, um unseren intensiven Dialog mit Experten der Energiebranche und qualifizierten Wissenschaftlern weiterzuführen“, sagt Detlef Weidenhammer, Geschäftsführender Gesellschafter von GAI NetConsult. „Für uns ist eine Teilnahme an der Tagung selbstverständlich. Natürlich beteiligen wir uns auch gern mit unserem tiefen Know-how für IT-Sicherheit an der Diskussion.“

Weitere Informationen zur Konferenz „IT-Sicherheit – Bedrohungen und Schutzmechanismen für elektrische Netze“ finden Sie hier: http://www.netz-security.at

Details zu den Beratungsangeboten der GAI NetConsult wie Sicherheitsaudits, Sicherheitsmanagement und ISMS-Einführung finden Sie hier: https://www.gai-netconsult.de

Über:

GAI NetConsult GmbH
Herr Detlef Weidenhammer
Am Borsigturm 58
13507 Berlin
Deutschland

fon ..: +49 30 / 41 78 98 – 0
web ..: http://www.gai-netconsult.de
email : info@gai-netconsult.de

Die GAI NetConsult ist ein unabhängiges Software- und Consulting-Unternehmen mit besonderer Expertise in der Erstellung von umfassenden Lösungen zur Informationssicherheit und der Entwicklung sicherer eBusiness-Anwendungen.
In der Informationssicherheit wird der gesamte „Security Life Cycle“ von der Analyse über Konzeption, Realisierung und Betrieb bis hin zur Überprüfung bestehender Sicherheitsmaßnahmen abgedeckt. Zu den angebotenen Dienstleistungen gehören Sicherheitsaudits (BSI, ISO), Penetrationstests, Notfallmanagement und die ISMS-Einführung nach ISO/IEC 27001. Ein Schwerpunkt liegt in der Sicherung von Kontroll- und Automatisierungssystemen (ICS, SCADA), insbesondere im Bereich Kritischer Infrastrukturen wie z.B. der Energieversorgung. Dabei werden die Anforderungen aus dem bdew Whitepaper – von der Projektplanung über die Ausschreibung und Systemkonzeption bis zur Abnahme – begleitet. Mitarbeiter der GAI NetConsult gehören zu den Top-Know-how-Trägern für ICS-Sicherheit und arbeiten in Fachgremien wie DIN, ISO maßgeblich an wichtigen Industriestandards wie der ISO/IEC 27019 mit.
Prozessintegration mit modernen EAI- und ESB-Plattformen sowie agile Softwareentwicklung nach Scrum bei Umsetzung des Security Development Life Cycles (SDL) sind die Basis für die kundenindividuellen Integrations- und Branchenlösungen der GAI NetConsult. Diese Lösungen beinhalten auch die Umsetzung der jeweils relevanten Sicherheitsanforderungen, z.B. aus dem Sozialgesetzbuch (SGB) im Gesundheitswesen oder bzgl. der gesicherten Kommunikation, die im eGovernment gefordert ist.
Zum Kundenstamm der GAI NetConsult gehören mittlere und große Unternehmen vorwiegend aus den Branchen Energieversorgung, Finanzdienstleistung, Gesundheitswesen, Chemie/Pharma sowie Öffentliche Verwaltungen. Weitere Informationen über GAI NetConsult finden Sie unter www.gai-netconsult.de.

Pressekontakt:

bloodsugarmagic GmbH & Co. KG
Herr Bernd Hoeck
Gerberstr. 63
78050 Villingen-Schwenningen

fon ..: +49 7721 94 61 220
web ..: http://www.bloodsugarmagic.com
email : bernd.hoeck@bloodsugarmagic.com

DDoS-Attacken nehmen zu – Whitepaper von GAI NetConsult erklärt Hintergründe

Die Verfügbarkeit von Online-Plattformen wird immer häufiger angegriffen. Whitepaper gibt Expertentipps.

BildBerlin, 20.11.2014 – Die GAI NetConsult GmbH, führender Anbieter von IT-Sicherheitsaudits und IT-Sicherheitsmanagement, warnt vor der zunehmenden Bedrohung durch sogenannte Distributed Denial of Service Attacken (kurz DDoS), die den Netzzugang von Unternehmen blockieren können. Insbesondere Unternehmen mit hoher Abhängigkeit von Online-Services wie Online-Shops, Banken, Spieleserver und Informationsdienste sind immer häufiger Ziel von Erpressungsversuchen mit DDoS-Angriffen. In einem neuen Whitepaper erklärt das Unternehmen den Ablauf solcher Attacken, schildert die aktuelle Bedrohungslage und gibt Ratschläge, wie sich Unternehmen vor dieser Bedrohung schützen können.

Immer mehr Unternehmen werden Opfer von Erpressungsversuchen durch Cyberkriminelle. Im Oktober waren der IP-Telefonie-Anbieter Sipgate und die Münchener Fidor Bank Ziel von DDoS-Attacken. Der Telefonie-Anbieter wurde durch die Attacke derart hart getroffen, dass viele Sipgate Kunden fast zwei Tage lang telefonisch nicht erreichbar waren. Bei der Fidor Bank waren zeitweise weder die Website der Bank erreichbar, noch konnten die rund 60.000 Kunden der Bank ihre Prepaid MasterCard nutzen. Aus diesen Beispielen wird deutlich, dass DDoS-Angriffe nicht nur für das betroffene Unternehmen eine existentielle Bedrohung darstellen, sondern auch auf der Kundenseite immense Schäden und gegebenenfalls entsprechende Schadensersatzforderungen auslösen können.

Bei einer DDoS-Attacke werden – vereinfacht gesagt – die Webserver und Online-Schnittstellen des Unternehmens derart massiv mit Anfragen bombardiert, dass die Leitungskapazitäten nicht mehr ausreichen. Zusätzlich werden einzelne Systeme gezielt angegriffen und lahmgelegt. Ziel ist es, die reguläre Internet-Kommunikation mit dem Unternehmen zusammenbrechen zu lassen. Angriffe auf die Verfügbarkeit von Internetservices gibt es zwar schon lange, aber durch die neuen, ausgeklügelten Angriffstechniken von DDoS-Attacken hat sich die Bedrohungslage deutlich verschärft. Bei DDoS-Attacken werden viele Tausend Systeme, die zuvor mit Malware übernommen wurden, für den Angriff eingesetzt. Durch die Nutzung einer großen Zahl von Systemen können bei Angriffen Datenvolumen generiert werden, die mit Inhouse-Kapazitäten auch großer Unternehmen i.d.R. nicht abgefedert werden können. Noch perfider sind sogenannte Distributed-Reflected-Denial-of-Service-Attacken (DRDoS), bei denen auch Systeme, die nicht von Malware betroffen sind, in den Angriff eingebunden werden.

Leider hat sich in den letzten Jahren ein regelrechter Markt für kriminelle Dienstleistungen in diesem Bereich entwickelt. Viele der neuen und hocheffizienten DDoS-Angriffstechniken sind auch noch frei erhältlich und sehr einfach zu nutzen. So kann das Public-Domain Tool LOIC (Low Orbit Ion Cannon) mit wenigen Maus-Klicks konfiguriert werden und wenn nötig können auch für Angriffe benötigte Botnets, d.h. die zusammengeschalteten Netze vieler Tausend infizierter Systeme von ahnungslosen Internet-Nutzern, leicht bei Cyberkriminellen angemietet werden.

Mit DDoS-Attacken werden vorwiegend Erpressungsversuche unterstützt. In einigen Fa?llen wurden auch DDoS-Attacken eingesetzt, um die damit gebundene Aufmerksamkeit der IT-Mitarbeiter von der eigentlichen Absicht eines direkt gezielten Hackerangriffs abzulenken. Bevorzugte Ziele sind Unternehmen, die von ihrer Internetpra?senz stark abha?ngig sind. Mit der zunehmenden Vernetzung über Online-Systeme und -Schnittstellen weitet sich die Zahl der potentiellen Opfer rasant aus.

Es gibt leider keinen einfachen Schutz vor solchen Attacken. Trotzdem tun Unternehmen gut daran, sich intensiv mit Schutzmaßnahmen zu beschäftigen. Im oben genannten Whitepaper gibt GAI NetConsult eine detaillierte Einführung in die teilweise recht komplexen Gegenmaßnahmen. Der wichtigste Ratschlag ist jedoch ein ganz einfacher: Bereiten Sie sich auf eine solche Situation vor! Jedes Unternehmen sollte eine IT-Notfallplanung erstellen, die sicherheitskritische Situationen im Vorfeld beleuchtet, Verantwortlichkeiten klärt und Handlungsanweisungen zusammenfasst. Im besten Fall wird die ISO 27001 umgesetzt und ein Informationssicherheitsmanagementsystem (ISMS) eingeführt. Gehört das Unternehmen zur Risikogruppe, sollte explizit ein Notfallplan für die Abwehr von DDoS-Angriffen und Erpressungsversuchen erstellt werden. Unternehmen mit hoher IT-Sicherheitskompetenz wie GAI NetConsult unterstützen in der Erstellung routiniert aufgrund ihrer jahrelangen Erfahrung mit dem Thema. Durch vorgefertigte Verteidigungsmuster und bewährte Vorgehensbeschreibungen ist der Aufwand für die Notfallplanung begrenzt.

„Wer als Unternehmen stark von der Verfügbarkeit seiner Internetkommunikation abhängig ist, muss eine Notfallplanung gegen DDoS-Angriffe erarbeiten. Bei der rasant wachsenden Bedrohungslage und der Heftigkeit der zuletzt beobachteten Angriffe ist alles andere sehr fahrlässig“, sagt Detlef Weidenhammer, Geschäftsführender Gesellschafter von GAI NetConsult. „Bei entsprechender Vorbereitung kann man DDoS-Angriffe zwar nicht verhindern, aber doch ihren Schaden stark begrenzen.“

Das Whitepaper ist ein aktualisierter Auszug aus dem bekannten Security Journal der GAI NetConsult und kann per Mail an journal@gai-netconsult.de kostenlos angefordert werden.

Das Security Journal der GAI NetConsult erscheint alle zwei Monate mit aktuellen, sorgfältig recherchierten Informationen aus der Welt der Informationssicherheit. Es bündelt die Erfahrungen aus vielen Security-Projekten in Form von tiefgreifenden Fachartikeln sowie aktuellen Tipps und Tricks zum Thema Informationssicherheit. In einer „TOP 10 der Sicherheitsrisiken“ stellt es die wichtigsten Bedrohungen der letzten zwei Monate zusammen und gibt Hinweise zu empfohlenen Gegenmaßnahmen. Das Journal kann kostenlos online im Abo bezogen werden. Die Anmeldung kann hier erfolgen: https://www.gai-netconsult.de/journal

Weitere Informationen zu den Beratungsangeboten der GAI NetConsult wie Sicherheitsaudits, Sicherheitsmanagement und ISMS-Einführung finden Sie hier: https://www.gai-netconsult.de

Über:

GAI NetConsult GmbH
Herr Detlef Weidenhammer
Am Borsigturm 58
13507 Berlin
Deutschland

fon ..: +49 30 / 41 78 98 – 0
web ..: http://www.gai-netconsult.de
email : info@gai-netconsult.de

Die GAI NetConsult ist ein unabhängiges Software- und Consulting-Unternehmen mit besonderer Expertise in der Erstellung von umfassenden Lösungen zur Informationssicherheit und der Entwicklung sicherer eBusiness-Anwendungen.
In der Informationssicherheit wird der gesamte „Security Life Cycle“ von der Analyse über Konzeption, Realisierung und Betrieb bis hin zur Überprüfung bestehender Sicherheitsmaßnahmen abgedeckt. Zu den angebotenen Dienstleistungen gehören Sicherheitsaudits (BSI, ISO), Penetrationstests, Notfallmanagement und die ISMS-Einführung nach ISO/IEC 27001. Ein Schwerpunkt liegt in der Sicherung von Kontroll- und Automatisierungssystemen (ICS, SCADA), insbesondere im Bereich Kritischer Infrastrukturen wie z.B. der Energieversorgung. Dabei werden die Anforderungen aus dem bdew Whitepaper – von der Projektplanung über die Ausschreibung und Systemkonzeption bis zur Abnahme – begleitet. Mitarbeiter der GAI NetConsult gehören zu den Top-Know-how-Trägern für ICS-Sicherheit und arbeiten in Fachgremien wie DIN, ISO maßgeblich an wichtigen Industriestandards wie der ISO/IEC 27019 mit.
Prozessintegration mit modernen EAI- und ESB-Plattformen sowie agile Softwareentwicklung nach Scrum bei Umsetzung des Security Development Life Cycles (SDL) sind die Basis für die kundenindividuellen Integrations- und Branchenlösungen der GAI NetConsult. Diese Lösungen beinhalten auch die Umsetzung der jeweils relevanten Sicherheitsanforderungen, z.B. aus dem Sozialgesetzbuch (SGB) im Gesundheitswesen oder bzgl. der gesicherten Kommunikation, die im eGovernment gefordert ist.
Zum Kundenstamm der GAI NetConsult gehören mittlere und große Unternehmen vorwiegend aus den Branchen Energieversorgung, Finanzdienstleistung, Gesundheitswesen, Chemie/Pharma sowie Öffentliche Verwaltungen. Weitere Informationen über GAI NetConsult finden Sie unter www.gai-netconsult.de.

Pressekontakt:

bloodsugarmagic GmbH & Co. KG
Herr Bernd Hoeck
Gerberstr. 63
78050 Villingen-Schwenningen

fon ..: +49 7721 94 61 220
web ..: http://www.bloodsugarmagic.com
email : bernd.hoeck@bloodsugarmagic.com

Praxisseminar vermittelt Kenntnisse zur ISO 27001 und Einführung eines ISMS

Eine wichtige Voraussetzung für die Zertifizierung nach ISO/IEC 27001 ist die Einführung eines Information Security Management Systems (ISMS). Die IBS-Akademie bietet dazu ein praxisnahes Seminar an.

BildHamburg, 27. April 2017 – Die IBS Schreiber GmbH, ein führender Anbieter von Beratung, Schulung und Software für die Prüfung und Auditierung von SAP-Systemen, unterstützt Unternehmen bei der Einführung eines ISMS und der Zertifizierung nach ISO 27001. Im Rahmen eines praxisnahen Seminars erfolgt eine fundierte Einführung in die Anforderungen, außerdem werden zahlreiche Best-Practice-Tipps vermittelt und Hinweise zur Durchführung einer eigenständigen Risikoanalyse gegeben.

ISMS – Informationssicherheit als ganzheitlicher Ansatz

Die Informationssicherheit hat nicht nur den Schutz von Daten in IT-Systemen zum Ziel, sondern die Sicherheit aller Informationen, also auch Informationen, die beispielsweise nur auf Papier oder nur im Kopf eines Mitarbeiters gespeichert sind. Die Grundwerte der Informationssicherheit sind dabei die Verfügbarkeit, die Vertraulichkeit und die Integrität der Informationen.

Durch die Einführung eines Information Security Management Systems (ISMS) wird die Informationssicherheit im Unternehmen dauerhaft definiert, kontrolliert, aufrechterhalten und fortlaufend verbessert. Zu diesem Zweck beinhaltet ein ISMS eine Aufstellung von Verfahren und Regeln, an denen sich das Unternehmen auszurichten hat. Die Norm ISO/IEC 27001 spezifiziert die Anforderungen an ein ISMS. Sie betrachtet die Herstellung, den Betrieb, die Überwachung, die Wartung und die Verbesserung des ISMS.

Umsetzung der ISO 27001 und Risikomanagement zentrale Themen

Die Teilnehmer erlernen in diesem Seminar, wie ein ISMS nach ISO 27001 für ihr Unternehmen aufgebaut sein sollte und wie sie es prüfen und bewerten können. Dazu werden nicht nur Hintergründe der Informationssicherheit beleuchtet und die Struktur, Ziele und Anwendungsbereiche der Normenreiche 2700x, insbesondere der ISO/IEC 27001:2013, erläutert, sondern auch der Zweck und die Einführung eines ISMS anhand von Best-Practice-Beispielen dargestellt. Praxisnahe Tipps zur Organisation der Informationssicherheit und der Formulierung von Policies (Richtlinien) und Prozessen im ISMS sowie Einblick in die Kombination mit einem Business Continuity Management runden diesen Teil des Seminars ab.

Einen weiteren Schwerpunkt bildet Information Security Risk Management. Nach einer Einführung in das Risikomanagement werden insbesondere die Anforderungen an und Best Practices für das IS-Risikomanagement gemäß ISO/IEC 27001:2013 und anderen Vorgaben besprochen. Dabei wird der Risikomanagement-Prozess (Asset-Inventarisierung, Schutzbedarf, Gefährdungen, Risiko, Maßnahmen) behandelt und ein Best-Practice-Vorgehen für Information Security Risiko-Assessments vorgestellt. Viele Fallbeispiele aus der Praxis machen das Seminar besonders wertvoll für die Teilnehmer.

Das zweitägige Seminar findet am 8. und 9. Juni in der IBS-Akademie in Hamburg statt. Als Referenten konnten mit Alexander Clemm und Matthias Wehrhahn zwei ausgewiesene Experten für ISMS-Projekte gewonnen werden. Herr Alexander Clemm hat als Prüfungsleiter bei Ebner Stolz langjährige Erfahrung im Bereich der Durchführung und Leitung von zahlreichen IT-Compliance-Prüfungen (CISA). Zudem führt er als zertifizierter ISO 27001 Lead Auditor und zertifizierter IT-Sicherheitsmanager (CISM) IT-Risikoanalysen und ISMS-Implementierungen durch. Darüber hinaus kann Herr Clemm als zertifizierter ISO 22301 Lead Auditor auf erfolgreiche Implementierungsprojekte im Bereich Business Continuity Management zurückblicken. Herr Matthias Wehrhahn ist Consultant im Bereich der Informationssicherheit bei der Veritas Management Group GmbH & Co. KG. Als CISA und zertifizierter ISO 27001 Lead Auditor führt er unter anderem ISO 27001 und IT-Grundschutz Implementierungen durch. Zudem ist er als Berater im Bereich von Internen Kontrollsystemen und der Prozessoptimierung tätig.

„Die Einführung eines ISMS ist ein wichtiger Meilenstein für jedes Unternehmen, umso mehr im Zuge der unaufhaltsamen Digitalisierung. Legislative Änderungen erfordern zudem in zunehmendem Maße Zertifizierungen nach ISO/IEC 27001. Mit unserem Seminar können Unternehmen eine solide Basis für eine entsprechende Initiative im eigenen Haus legen und von unserem Praxiswissen profitieren“, sagt Alexander Clemm, Referent der IBS-Akademie und Prüfungsleiter bei Ebner Stolz.

„Die Zertifizierung nach ISO 27001 kristallisiert sich immer mehr zu einem wichtigen Qualitäts- und Differenzierungsmerkmal für Unternehmen heraus“, ergänzt Sebastian Schreiber, Geschäftsführer von IBS Schreiber.

Eine detaillierte Beschreibung des Seminars findet sich auf der Website unter:
https://www.ibs-schreiber.de/akademie/seminare/iso-27001-und-einfuehrung-eines-isms/

Das Akademieprogramm von IBS Schreiber bietet zudem mehr als einhundert Seminarthemen für Prüfung, Revision und Sicherheit von IT- und SAP®-Systemen: https://www.ibs-schreiber.de/akademie/

Über:

IBS Schreiber GmbH
Frau Lisa Niekamp
Zirkusweg 1
20359 Hamburg
Deutschland

fon ..: +49 40 69 69 85 68
web ..: http://www.ibs-schreiber.de
email : lisa.niekamp(at)ibs-schreiber.de

Über IBS Schreiber und CheckAud® for SAP® Systems
Die 1979 gegründete IBS Schreiber GmbH bietet ein einzigartiges Service- und Produktangebot für IT- und speziell SAP-Sicherheit, Datenschutz und Data Sciences an. Dabei kombiniert IBS Beratungs-, Prüfungs- und Serviceleistungen mit der Entwicklung spezieller Prüfsoftware und einem umfassenden Weiterbildungsangebot. Durch die Kombination von technischem, organisatorischem und fachlichem Know-how kann IBS alle Aspekte einer fundierten Governance, Risk & Compliance-Strategie (GRC) und IT-Sicherheitskonzeption aus einer Hand planen, prüfen und umsetzen.
Im Service- und Prüfungsgeschäft gehört das Unternehmen zu den führenden Experten für gesetzeskonforme und Compliance-gerechte Sicherheitskonzepte mit speziellem Fokus auf das Berechtigungsmanagement. IBS prüft IT- und SAP-Systeme auf ihre technische Sicherheit sowie die gesetzes- und regelkonforme Umsetzung von Berechtigungen, Zugriffsrechten und Prozessen. IBS bietet Datenschutz als Prüfungspaket, Beratung oder steht auch als externer Datenschutzbeauftragter zur Verfügung, mit langjähriger Erfahrung in der organisatorischen und technischen Beratung, Prüfung und Softwareerstellung. Als externer IT-Sicherheitsbeauftragter (ITSiBe) kann IBS seine Kunden in diesem speziellen Know-how auch operativ entlasten.
Mit mehr als einhundert Seminarthemen und vier jährlichen Fachkonferenzen ist IBS einer der größten und erfolgreichsten Anbieter von Schulungen, Seminaren und anderen Weiterbildungsformen für IT-Sicherheit, SAP-Sicherheit, Revision, Datenschutz und Datenanalyse im deutschsprachigen Raum. Durch die Synergien mit dem Prüfungs- und Beratungsgeschäft zeichnen sich die Veranstaltungen durch besonders hohe Praxisnähe und Anschaulichkeit aus. Mit dem Fachjournal Revisionspraxis PRev fördert IBS den Erfahrungsaustausch zwischen Revisoren, Wirtschaftsprüfern, IT-Sicherheits- und Datenschutzbeauftragten.
Zu den Kunden der IBS im Service- und Prüfungsgeschäft gehören u. a. das Technologieunternehmen Basler, Beiersdorf, die Ergo-Gruppe sowie die Schweizer Post. Weitere Informationen zum Unternehmen IBS Schreiber und dem Service- und Schulungsangebot unter www.ibs-schreiber.de.
Die GRC-Software CheckAud® for SAP® Systems ist ein professionelles Werkzeug zur umfassenden, effizienten und effektiven Prüfung von komplexen Zugriffsberechtigungen in SAP®-Systemen. Einzigartig ist der in der Software enthaltene ausgedehnte Katalog von mehreren Hundert vorkonfigurierten Prüfungen, für die IBS auch einen Aktualisierungsservice anbietet, der sowohl Veränderungen durch SAP®-seitige-Updates als auch durch geänderte gesetzliche Anforderungen umfasst.
Zu den Nutzern von CheckAud® for SAP® Systems gehören u. a. die Berliner Wasserbetriebe, Emil Frey, Knauf, MVV Energie und die Universität Graz. Weitere Informationen zum Produkt CheckAud® for SAP® Systems unter www.checkaud.de.

Pressekontakt:

bloodsugarmagic GmbH & Co. KG
Herr Bernd Hoeck
Gerberstraße 63
D-78050 Villingen-Schwenningen

fon ..: +4977219461222
web ..: http://www.bloodsugarmagic.com
email : bernd.hoeck@bloodsugarmagic.com

GAI NetConsult veröffentlicht aktuelle ICS-Schwachstellen

Als Service für Hersteller und Nutzer von Industrial Control Systems (ICS) recherchiert der Sicherheits-Spezialist Schwachstellen und gibt Lösungshinweise.

BildBerlin, 16.09.2015 – In der aktuellen Ausgabe ihres Security Journals zeigt die GAI NetConsult erneut Schwachstellen in der Absicherung von Steuerungs- und Automatisierungssystemen (Industrial Control Systems – ICS) auf. Aktuell wird auf Schwachstellen in Geräten und Komponenten von Siemens (SICAM MIC, RuggedCom und SIPROTEC), OSIsoft (PI Data Archive) und Schneider Electric (Modicom) hingewiesen.

Die Informationen über Schwachstellen im ICS-Bereich sind nirgendwo zentral abzurufen, weshalb die Verantwortlichen vor enormen Problemen stehen und kaum den Überblick über alle bekannt gewordenen Schwachstellen behalten können. Als Spezialist für ICS-Sicherheit beobachtet und bewertet die GAI NetConsult deshalb seit einiger Zeit aktuelle Schwachstellen, Sicherheitsvorfa?lle und Nutzerhinweise der ICS-Hersteller. Hierzu werden regelmäßig unter Leitung des anerkannten ICS-Experten Dr. Stephan Beirer viele öffentlich zugängliche Quellen gesichtet und ausgewertet.

In der dezidierten Kolumne „ICS Security News“ ihres Security Journals fasst die GAI NetConsult deshalb für Hersteller und Betreiber von Industrial Control Systems die aus ihrer Sicht wichtigsten Schwachstellen und Neuigkeiten aus dem ICS-Bereich zusammen. Dabei werden die Sicherheitsrisiken nicht nur detailliert beschrieben und erklärt, sondern auch – sofern vorhanden – konkrete Tipps zur Abhilfe angeboten. Den davon betroffenen Betreibern wird nahegelegt, auf diese Hinweise möglichst schnell zu reagieren.

Im aktuellen Security Journal #80 werden folgende Schwachstellen beleuchtet:

Authentisierungs-Schwachstelle in Siemens SICAM MIC
Ein Angreifer mit physischem Zugang zum Netzwerk des Siemens MIC-Controllers (ehem. TM 1703 MIC) kann eine Authentisierung-Schwachstelle in der Webanwendung über Netzwerkport 80 ausnutzen und administrative Funktionen ohne Authentisierung ausführen.

„TLS POODLE“-Schwachstelle in Siemens RuggedCom (ROS-/ROX- basiert)
Trotz der Verwendung von TLS über Netzwerkport 443 sind die betroffenen Produkte anfällig für die POODLE-Schwachstelle, die grundsätzlich für die SSL-Version 3 existiert. Der Grund dafür ist, dass die TLS-Implementierung entgegen der TLS-Spezifikation Fu?ll-Bytes nicht vollständig auf Korrektheit verifiziert und sich somit in diesem Punkt nicht von der SSL-Version 3 unterscheidet. Die Schwachstelle POODLE ermöglicht die teilweise Extraktion von sensiblen Daten einer SSL-Verbindung, z.B. von administrativen Zugangsdaten.

Denial-of-Service-Schwachstelle in Siemens SIPROTEC
Ein Angreifer kann durch speziell präparierte TCP-Netzwerkpakete auf Port 50000/UDP das System zum Stillstand bringen (Denial-of-Service-Angriff).

Mehrere Schwachstellen in OSIsoft PI Data Archive
Es wurden insgesamt 56 Schwachstellen identifiziert, darunter unter anderem: Unzureichende Validierung von Eingabedaten; die Software wird nicht mit minimalen Rechten ausgeführt; Preisgabe sensibler Informationen; Denial-of-Service Schwachstellen/ NULL Pointer Dereference; Schwachstellen im Session Management.

Unbestätigte Schwachstellen in Schneider Electric Modicon M340 PLC Station P34 Modul
Es existieren öffentliche Berichte zu mehreren Schwachstellen in den betroffenen Produkten, die allerdings vom Hersteller Schneider Electric noch nicht bestätigt wurden. Die folgenden Schwachstellen werden genannt: Hartkodierte Zugangsdaten in der Software, so dass ein Angreifer diese auslesen und zur Ausführung von beliebigem Programmcode auf dem betreffenden System nutzen kann; „Local file inclusion“-Schwachstelle, die es einem Angreifer erlaubt, ohne eine Authentisierung auf beliebige Dateien des Systems zuzugreifen (Directory Traversal) oder beliebige Dateien zu manipulieren; „Remote file inclusion“-Schwachstelle, die es einem Angreifer erlaubt, beliebigen Programmcode aus der Ferne auf dem System auszuführen oder das Gerät zum Absturz zu bringen.

Zusammen mit Lösungsempfehlungen sind diese Schwachstellen im aktuellen Security Journal der GAI NetConsult detaillierter beschrieben. Gerne stehen die Experten auch für individuelle Rückfragen zur Verfügung. „Die ständige Beobachtung und Bewertung von Schwachstellen, Sicherheitsvorfällen und Nutzerhinweisen gehören zu unserer täglichen Arbeit“, sagt Detlef Weidenhammer, Geschäftsführender Gesellschafter von GAI NetConsult. „Durch die wachsende Bedrohungslage wird auch mit Blick auf Industrie 4.0 eine schnelle Weitergabe dieser Informationen immer wichtiger. Aus diesem Grund haben wir die Rubrik ICS Security News in unserem kostenlosen Security-Journal ins Leben gerufen.“

Das Security Journal der GAI NetConsult erscheint alle zwei Monate mit aktuellen, sorgfältig recherchierten Informationen aus der Welt der Informationssicherheit. Es bündelt die Erfahrungen aus vielen Security-Projekten in Form von tiefgreifenden Fachartikeln sowie aktuellen Tipps zum Thema Informationssicherheit. In der regelmäßig erscheinenden Kolumne „ICS Security News“ werden wichtige Sicherheitsinformationen speziell aus dem Bereich der Steuerungs- und Automatisierungssysteme weitergegeben. Das Journal kann kostenlos online im Abo bezogen werden. Die Anmeldung erfolgt hier: https://www.gai-netconsult.de/journal

Details zu den Beratungsangeboten der GAI NetConsult bei den Themen Informationssicherheit im Bereich Kritischer Infrastrukturen, sichere Prozessdatenverarbeitung und Industrie 4.0 mit Dienstleistungen wie Sicherheitsaudits, Umsetzung des bdew Whitepapers oder der ISO 27001 sowie ISMS-Einführungen finden Sie hier: https://www.gai-netconsult.de/index.php?id=12

Über:

GAI NetConsult GmbH
Herr Detlef Weidenhammer
Am Borsigturm 58
13507 Berlin
Deutschland

fon ..: +49 30 / 41 78 98 – 0
web ..: http://www.gai-netconsult.de
email : info@gai-netconsult.de

Die GAI NetConsult ist ein unabhängiges Software- und Consulting-Unternehmen mit besonderer Expertise in der Erstellung von umfassenden Lösungen zur Informationssicherheit und der Entwicklung sicherer eBusiness-Anwendungen.
In der Informationssicherheit wird der gesamte „Security Life Cycle“ von der Analyse über Konzeption, Realisierung und Betrieb bis hin zur Überprüfung bestehender Sicherheitsmaßnahmen abgedeckt. Zu den angebotenen Dienstleistungen gehören Sicherheitsaudits (BSI, ISO), Penetrationstests, Notfallmanagement und die ISMS-Einführung nach ISO/IEC 27001. Ein Schwerpunkt liegt in der Sicherung von Kontroll- und Automatisierungssystemen (ICS, SCADA), insbesondere im Bereich Kritischer Infrastrukturen wie z.B. der Energieversorgung. Dabei werden die Anforderungen aus dem BDEW Whitepaper – von der Projektplanung über die Ausschreibung und Systemkonzeption bis zur Abnahme – begleitet. Mitarbeiter der GAI NetConsult gehören zu den Top-Know-how-Trägern für ICS-Sicherheit und arbeiten in Fachgremien wie DIN, ISO maßgeblich an wichtigen Industriestandards wie der DIN ISO/IEC 27019 mit.
Prozessintegration mit modernen EAI- und ESB-Plattformen sowie agile Softwareentwicklung nach Scrum bei Umsetzung des Security Development Life Cycles (SDL) sind die Basis für die kundenindividuellen Integrations- und Branchenlösungen der GAI NetConsult. Diese Lösungen beinhalten auch die Umsetzung der jeweils relevanten Sicherheitsanforderungen, z.B. aus dem Sozialgesetzbuch (SGB) im Gesundheitswesen oder bzgl. der gesicherten Kommunikation, die im eGovernment gefordert ist.
Zum Kundenstamm der GAI NetConsult gehören mittlere und große Unternehmen vorwiegend aus den Branchen Energieversorgung, Finanzdienstleistung, Gesundheitswesen, Chemie/Pharma sowie Öffentliche Verwaltungen. Weitere Informationen über GAI NetConsult finden Sie unter www.gai-netconsult.de.

Pressekontakt:

bloodsugarmagic GmbH & Co. KG
Herr Bernd Hoeck
Gerberstr. 63
78050 Villingen-Schwenningen

fon ..: +49 7721 94 61 220
web ..: http://www.bloodsugarmagic.com
email : bernd.hoeck@bloodsugarmagic.com

GAI NetConsult analysiert IT-Sicherheitskatalog für Energienetzbetreiber

Dokument enthält verpflichtende Anforderungen an IT-Sicherheit-Mindeststandards für Betreiber von Strom- und Gasnetzen.

BildBerlin, 26.08.2015 – GAI NetConsult, Spezialist für Informationssicherheit insbesondere bei Prozessdatenverarbeitung in Kritischen Infrastrukturen, hat eine erste Analyse des neuen IT-Sicherheitskatalogs für Betreiber von Strom- und Gasnetzen durchgeführt.

Die Bundesnetzagentur (BNetzA) hat den Katalog im Benehmen mit dem Bundesamt für Sicherheit in der Informationstechnik (BSI) erstellt. Er enthält Sicherheitsanforderungen, die dem Schutz gegen Bedrohungen der für einen sicheren Energienetzbetrieb notwendigen Telekommunikations- und elektronischen Datenverarbeitungssysteme dienen. Der in Kurzform IT-Sicherheitskatalog genannte Anforderungskatalog ist für Energienetzbetreiber gemäß EnWG §11 Absatz 1a verbindlich und wurde nun veröffentlicht.

Die Ziele des IT-Sicherheitskatalogs der BNetzA sind die Sicherstellung der Verfügbarkeit der zu schützenden Systeme und Daten, die Sicherstellung der Integrität der verarbeiteten Informationen und Systeme sowie die Gewährleistung der Vertraulichkeit der verarbeiteten Informationen. Der IT-Sicherheitskatalog verpflichtet Strom- und Gasnetzbetreiber zur Umsetzung IT-sicherheitstechnischer Mindeststandards.

Eine erste Analyse der neuen Richtlinie durch die GAI NetConsult hat neben einer Vielzahl kleinerer Änderungen/Korrekturen gegenüber der Entwurfsfassung vor allem folgende Punkte aufgezeigt, die für Energienetzbetreiber in der Strom- oder Gasversorgung relevant sind:

– Im Kern sind weiterhin der Aufbau und die Zertifizierung eines ISMS nach DIN ISO/IEC 27001 für alle Netzbetreiber im Bereich Strom und Gas unabhängig von ihrer Größe gefordert.
– Der Geltungsbereich ist gemäß der kürzlich durch das IT-Sicherheitsgesetz erfolgten Änderung des EnWG auf „Telekommunikations- und elektronische Datenverarbeitungssysteme, die für einen sicheren Netzbetrieb notwendig sind“ angepasst. Die konkrete Ermittlung des Geltungsbereichs und die Abgrenzung zwischen direkt, indirekt bzw. nicht für den sicheren Netzbetrieb erforderlicher Systeme obliegen weiterhin dem Netzbetreiber selbst. Die Vorgaben und Erläuterungen zur Abgrenzung sind weitgehend unverändert.
– In diesem Zusammenhang wird weiterhin die Erstellung eines Netzstrukturplans mit den Technologiekategorien „Leitsysteme und Systembetrieb“, „Übertragungstechnik / Kommunikation“ und „Sekundär-, Automatisierungs- und Fernwirktechnik“ gefordert.
– Für die Risikoeinschätzung werden nunmehr weitergehende Vorgaben hinsichtlich der zu betrachtenden Schadenskategorien, der zu betrachtenden Einstufungskriterien und Gefährdungen gemacht. Unter anderem sollen bei den Schäden auch „betroffener Bevölkerungsanteil“ und „Auswirkungen auf weitere Infrastrukturen (z.B. vor- und nachgelagerter Netzbetreiber, Wasserversorgung)“ explizit betrachtet werden. Hier sind im Unternehmen ggf. bereits vorhandene Methoden zur Risikoanalyse in der Regel zu erweitern.
– Weiterhin ist die Benennung eines Ansprechpartners für IT-Sicherheit vorgesehen, der auch für die Kommunikation mit der BNetzA bei aufgetretenen Sicherheitsvorfällen zuständig ist. Der Ansprechpartner IT-Sicherheit ist bis zum 30.11.2015 zu benennen. Hier besteht also kurzfristig Handlungsbedarf.
– Weitere Festlegungen zu den gemäß IT-Sicherheitsgesetz und EnWG § 11 1c bei KRITIS-Relevanz vorgesehenen Meldungen bei Störungen an das BSI macht der IT-Sicherheitskatalog nicht. Hier bleibt die Ausgestaltung des Verfahrens durch das BSI abzuwarten.
– Für die Zertifizierung ist nunmehr ein eigenes Zertifizierungsschema vorgesehen, das von der BNetzA mit der Deutsche Akkreditierungsstelle GmbH (DAkkS) derzeit erarbeitet wird. „Generische“ ISO/IEC 27001-Zertifikate sind somit an dieser Stelle nicht ausreichend. Zudem kann die Zertifizierung dann nur durch einen bei der DAkkS für dieses Schema akkreditierten Dienstleister erfolgen.
– Die erfolgreiche Zertifizierung ist bis zum 31.01.2018 gegenüber der BNetzA nachzuweisen.

Eine ausführliche Analyse des IT-Sicherheitskatalogs und Empfehlungen für die weitere Vorgehensweise werden durch die GAI NetConsult im kommenden GAI NetConsult SecurityJournal veröffentlicht werden.

„Der neue IT-Sicherheitskatalog der BNetzA macht Mindeststandards im Bereich IT-Sicherheit für Energienetzbetreiber erstmals verpflichtend“, sagt Detlef Weidenhammer, Geschäftsführender Gesellschafter von GAI NetConsult. „Verantwortungsvolle Netzbetreiber haben sich bereits in der Vergangenheit intensiv mit diesem Thema befasst und stehen jetzt nicht mit leeren Händen da. Wir begrüßen, dass durch den nunmehr verbindlichen IT-Sicherheitskatalog das Thema erneut ganz oben auf die Agenda gerückt ist. Die verbleibenden zweieinhalb Jahre bis zum zwingenden Nachweis der Zertifizierung wollen gut genutzt sein.“

Die GAI NetConsult unterstützt Netzbetreiber bei der Umsetzung des IT-Sicherheitskatalogs durch Beratung, Sicherheitschecks sowie den Aufbau von Informationssicherheitsmanagementsystemen (ISMS) nach DIN ISO/IEC 27001.

Details zu den Beratungsangeboten der GAI NetConsult speziell zum IT-Sicherheitskatalog und generell zur Informationssicherheit im Bereich Kritischer Infrastrukturen mit Dienstleistungen wie IT-Sicherheitsaudits, Umsetzung des BDEW Whitepaper oder der ISO 27001 sowie ISMS-Einführungen finden Sie hier: https://www.gai-netconsult.de

Das Security Journal der GAI NetConsult kann kostenlos online im Abo bezogen werden. Die Anmeldung erfolgt hier: https://www.gai-netconsult.de/journal

Über:

GAI NetConsult GmbH
Herr Detlef Weidenhammer
Am Borsigturm 58
13507 Berlin
Deutschland

fon ..: +49 30 / 41 78 98 – 0
web ..: http://www.gai-netconsult.de
email : info@gai-netconsult.de

Die GAI NetConsult ist ein unabhängiges Software- und Consulting-Unternehmen mit besonderer Expertise in der Erstellung von umfassenden Lösungen zur Informationssicherheit und der Entwicklung sicherer eBusiness-Anwendungen.
In der Informationssicherheit wird der gesamte „Security Life Cycle“ von der Analyse über Konzeption, Realisierung und Betrieb bis hin zur Überprüfung bestehender Sicherheitsmaßnahmen abgedeckt. Zu den angebotenen Dienstleistungen gehören Sicherheitsaudits (BSI, ISO), Penetrationstests, Notfallmanagement und die ISMS-Einführung nach ISO/IEC 27001. Ein Schwerpunkt liegt in der Sicherung von Kontroll- und Automatisierungssystemen (ICS, SCADA), insbesondere im Bereich Kritischer Infrastrukturen wie z.B. der Energieversorgung. Dabei werden die Anforderungen aus dem bdew Whitepaper – von der Projektplanung über die Ausschreibung und Systemkonzeption bis zur Abnahme – begleitet. Mitarbeiter der GAI NetConsult gehören zu den Top-Know-how-Trägern für ICS-Sicherheit und arbeiten in Fachgremien wie DIN, ISO maßgeblich an wichtigen Industriestandards wie der ISO/IEC 27019 mit.
Prozessintegration mit modernen EAI- und ESB-Plattformen sowie agile Softwareentwicklung nach Scrum bei Umsetzung des Security Development Life Cycles (SDL) sind die Basis für die kundenindividuellen Integrations- und Branchenlösungen der GAI NetConsult. Diese Lösungen beinhalten auch die Umsetzung der jeweils relevanten Sicherheitsanforderungen, z.B. aus dem Sozialgesetzbuch (SGB) im Gesundheitswesen oder bzgl. der gesicherten Kommunikation, die im eGovernment gefordert ist.
Zum Kundenstamm der GAI NetConsult gehören mittlere und große Unternehmen vorwiegend aus den Branchen Energieversorgung, Finanzdienstleistung, Gesundheitswesen, Chemie/Pharma sowie Öffentliche Verwaltungen. Weitere Informationen über GAI NetConsult finden Sie unter www.gai-netconsult.de.

Pressekontakt:

bloodsugarmagic GmbH & Co. KG
Herr Bernd Hoeck
Gerberstr. 63
78050 Villingen-Schwenningen

fon ..: +49 7721 94 61 220
web ..: http://www.bloodsugarmagic.com
email : bernd.hoeck@bloodsugarmagic.com