Die GAI NetConsult GmbH ist ein in Deutschland und dem benachbarten Ausland tätiges, unabhängiges Beratungsunternehmen für IT- und OT-Security mit Hauptsitz in Berlin. Wir unterstützen unsere Kunden mit unserer fachlichen Expertise in den Bereichen Information Security Management, Cyber Security und ICS/OT Security bei der Überprüfung ihres Sicherheitsniveaus, dem Aufbau und Regelbetrieb von Informationssicherheitsmanagementsystemen, und der Einhaltung von Sicherheitsstandards. Mit unserer großen Bandbreite an Prüfungsleistungen von Security Audits über Penetrationstests bis Red Teaming identifizieren wir branchenübergreifend und mit besonderer Expertise bei Kritischen Infrastrukturen Risiken und Chancen in Prozessen, Infrastrukturen und Applikationen unserer Kunden. Wir wenden Sicherheitsstandards nicht nur an, sondern gestalten diese auch aktiv in Gremien und Verbänden mit. Dieses tiefe Verständnis über die für unsere Kunden maßgeblichen Anforderungen, kombiniert mit unseren langjährigen Erfahrungen, bringen wir in Beratungsprojekten auch im Rahmen der Beschaffung und Einführung neuer IT- / OT-Systemtechnologien oder der Absicherung von Bestandssystemen ein.
Unsere Geschäftsfelder
ICS-/OT-Security
Die Digitalisierung macht Produktions- und Versorgungsprozesse intelligenter und flexibler. Moderne Operation Technology (OT) und Industrial Control Systems (ICS) überwachen und steuern heute nahezu alle kritischen Industrien. Unabhängig von Industriebranche oder Anwendungsumfeld nehmen durch die weiterwachsende Vernetzung und IT/OT-Konvergenz auch die Bedrohungen für die IT-Security im ICS- und OT-Umfeld weiter zu. Die Absicherung von kritischen ICS- und OT-Systemen erfordert durchdachte und individuelle, Konzepte und Strategien Wir bieten Security-Unterstützung in den Bereichen Leittechnik, Operational Technology und Industrial Control Systeme innerhalb aller Projektphasen.
Technical Security Audits
Mit unseren technischen Sicherheitsprüfungen in den Ausprägungen von Security Assessments und Konfigurationsprüfungen bis zu Penetrationstests, Red Teaming und Code-Analysen bieten wir Ihnen risikoorientierte Bewertungen des Sicherheitsniveaus Ihrer IT- und OT-Infrastrukturen und Applikationen, zeigen Ihnen Schwachstellen auf und untersuchen die Wirksamkeit implementierter technischer Maßnahmen. Dabei stellen wir die Ergebnisse in den Kontext konkreter Projekt- / ISMS-Anforderungen und bewerten auf Wunsch die Konformität in Abnahme-Audits. Die Tests können je nach Bedarf und technischen Voraussetzungen sowohl über das Internet als auch vor Ort durchgeführt werden.
Information Security Management
Managementsysteme aus den Bereichen Information Security (ISMS), Business Continuity (BCM) oder Datenschutz (DSMS) helfen Unternehmen bei der Risikominimierung, der Rechtssicherheit (Compliance) und dem Schutz vor Bedrohungen in einer zunehmend digitalen Welt. Zertifizierungen in diesen Bereichen stärken das Vertrauen in die Zuverlässigkeit des Unternehmens oder sind notwendig auf Grund von regulatorischen Anforderungen. Wir bieten umfassende Unterstützung bei der Analyse, Konzeption, Realisierung bis zum Betrieb von Managementsystemen in den Bereichen Informationssicherheit, Notfallvorsorge (Business Continuity) und Datenschutz unter Verwendung von anerkannten Standards.
Hier erfahren Sie die wichtigsten Neuigkeiten aus unserem Unternehmen und den von uns abgedeckten Geschäftsfeldern. Ergänzend dazu finden Sie auch einige unserem Security Journal entnommene IS-News, auf die wir besonders hinweisen möchten.
Vortrag auf der WINDFORCE Konferenz 2025
Im Rahmen der diesjährigen WINDFORCE Konferenz, die vom 17. bis 19. Juni 2025 in Bremerhaven stattfindet, freuen wir uns, einen spannenden Beitrag zum Themenblock „KRITIS“ ankündigen zu dürfen.
Am 18. Juni 2025 von 9:30 bis 10:30 Uhr wird unser Kollege Jan Grotelüschen gemeinsam mit Simon Gustafson, Information Security Manager der Amprion GmbH, einen Vortrag zum Thema
„Anspruch und Realität: IT-Security in komplexen Großprojekten am praktischen Beispiel“ halten.
Anhand der Offshore-Großprojekte BorWin/DolWin-4 sowie BalWin-1 und -2 geben die Referenten einen praxisnahen Einblick in die Herausforderungen, regulatorischen Rahmenbedingungen und Erfahrungswerte bei der Umsetzung von IT-Sicherheit in komplexen Infrastrukturprojekten.
Thematische Schwerpunkte:
- Überblick über relevante IT-Security-Regularien auf EU- und nationaler Ebene
- Regulatorische Anforderungen für Betreiber, Hersteller und Integratoren
- Einblick in zentrale Regelwerke wie NIS-2, RCE, CRA sowie das IT-Sicherheitsgesetz 2.0
- Lessons Learned aus verschiedenen Projektphasen: Vorbereitung, Ausschreibung, Design und Implementierung
Wir freuen uns auf den fachlichen Austausch mit Expertinnen und Experten der Branche sowie auf eine lebendige Diskussion rund um das Thema IT-Sicherheit im KRITIS-Umfeld.
Weitere Informationen zur WINDFORCE Konferenz 2025 finden Sie hier: https://windforce.info/windforce-2025/program/
Fachartikel in DuD: Strategien zur Absicherung gegen Quantencomputer
Wir freuen uns, dass unser Fachartikel von Dr. Derk Frerichs-Mihov und Dr. Stephan Beirer in der März-Ausgabe der Fachzeitschrift DuD – Datenschutz und Datensicherheit (Springer Verlag) erschienen ist.
Die Entwicklung von Quantencomputern schreitet mit hoher Geschwindigkeit voran. Ihre zukünftige Realisierung könnte bestehende asymmetrische Verschlüsselungsverfahren obsolet machen – mit weitreichenden Konsequenzen für Unternehmen, Behörden und kritische Infrastrukturen.
Parallel dazu gewinnt die Forschung an quantensicheren Verschlüsselungsverfahren zunehmend an Bedeutung. In ihrem Artikel analysieren Derk und Stephan die aktuellen Entwicklungen in diesem Bereich und geben praxisnahe Empfehlungen, wie Unternehmen frühzeitig Maßnahmen ergreifen können, um ihre IT-Sicherheit zukunftssicher aufzustellen.
Den vollständigen Artikel finden Sie in der aktuellen Ausgabe von DuD – Datenschutz und Datensicherheit.
🔗 Zum Artikel: https://rdcu.be/efzxR
Shaping the Future with Technology – Eindrücke von der Hannover Messe
Angesichts der wachsenden Bedrohungen durch Cyberangriffe auf industrielle Infrastrukturen ist es von entscheidender Bedeutung, dass wir stets auf dem neuesten Stand der Technik sind.
Letzte Woche hatte einer unserer Kollegen Dr. Derk Frerichs-Mihov die Gelegenheit, die Hannover Messe zu besuchen. Durch die Teilnahme an der Messe konnten wir wertvolle Einblicke gewinnen, die uns helfen, unsere Beratungsdienste kontinuierlich an die sich wandelnden Anforderungen der Branche anzupassen.
Seine Eindrücke dazu:
„Als eine der größten Industriemessen ist die Hannover Messe ein optimaler Ort, um Entwicklungen der Industrie am Puls der Zeit mitzubekommen. Zu verstehen, welche Trends in der Zukunft für die Industrie relevant werden, ist eine Grundvoraussetzung dafür, maßgeschneiderte Sicherheitslösungen zu konzipieren, die auch den Anforderungen der Zukunft gerecht werden. Der Besuch gab mir wertvolle Einblicke in kommende Herausforderungen und Chancen, die wir in unsere zukünftigen Beratungsansätze einfließen lassen können.“
Wir freuen uns darauf, diese neuen Erkenntnisse in unsere Arbeit zu integrieren und weiterhin innovative Sicherheitslösungen für die Industrie von morgen zu entwickeln.
Wechsel in der Geschäftsführung der GAI NetConsult GmbH
01.02.2025
Die GAI NetConsult GmbH hat einen Wechsel in der Firmenleitung vorgenommen: Mit Wirkung vom 1. Februar 2025 sind die bisherigen Teamleiter Sebastian Krause und Dr. Stephan Beirer zu Geschäftsführern ernannt worden. Zusammen mit dem Gründer und Geschäftsführer Detlef Weidenhammer bilden sie nun die Geschäftsleitung der GAI NetConsult GmbH. Herr Krause und Herr Dr. Beirer werden aber auch weiterhin in leicht reduziertem Umfang im Projektgeschäft tätig bleiben. Herr Weidenhammer wird zum 31. März 2025 seine Tätigkeit als Geschäftsführer beenden und auch aus dem Tagesbetrieb ausscheiden. Er bleibt der GAI NetConsult GmbH aber weiterhin als Gesellschafter eng verbunden. Die GAI NetConsult GmbH hat damit die erstrebte Kontinuität in der geschäftlichen Fortführung sichergestellt und beabsichtigt mit frischen Impulsen die bisherige erfolgreiche Arbeit fortzuführen.
Das Security Journal ist ein kostenloser Service der GAI NetConsult GmbH und erscheint alle zwei Monate mit aktuellen, sorgfältig recherchierten Informationen aus der Welt der Informationssicherheit.
Aktuell: Ausgabe 138 | April 2025
CRA – Risiken und Chancen für KRITIS-Betreiber
(B. Reiter)
In der Security-Community wird häufig über Sicherheitslücken in Produkten gelästert und nicht selten selbstgefällig darüber philosophiert, wie leicht sich diese doch vermeiden ließen. Eine häufig ins Spiel gebrachte „Lösung“ ist eine strengere Reglementierung und Regulierung durch den Gesetzgeber – salopp gesagt: Sicherheitslücken schlicht zu verbieten. Diesen Weg schlägt die Europäische Union mit dem am 10. Dezember 2024 in Kraft getretenen Cyber Resilience Act (CRA) ein: Er legt verbindliche Vorgaben für „Produkte mit digitalen Elementen“ auf dem europäischen Markt fest. Im Artikel „CRA – Risiken und Chancen für KRITIS-Betreiber“ fasst unser Kollege Benedikt Reiter den aktuellen Stand des CRA zusammen und beleuchtet die Thematik insbesondere aus der Perspektive von Betreibern Kritischer Infrastrukturen. Dabei zeigt er nicht nur auf, welche Auswirkungen der CRA auf die Verfügbarkeit etablierter Produkte haben kann, sondern auch, welche Chancen sich durch ein höheres Sicherheitsniveau und klarere Rechtsgrundlagen ergeben.
Ausgabe 137 | Februar 2025
Smarte Verträge mit großen Risiken – Die neuen OWASP Smart Contract Schwachstellen 2025
(M. Dietz)
Neue Begriffe sind in der IT nichts Ungewöhnliches, sie tauchen meist schnell auf und manche bleiben sogar länger. Die Blockchain-Technologie ist dafür ein gutes Bespiel. Diese dezentrale digitale Aufzeichnung von Transaktionen, die über ein Netzwerk geteilt wird und unveränderbar ist, hat sich mittlerweile in vielen Einsatzbereichen bewährt. Einer davon sind sog. Smart Contracts, die in einer Blockchain gespeichert sind und ausgeführt werden, wenn bestimmte Bedingungen erfüllt sind. Sie werden in der Regel verwendet, um die rechtsgültige Ausfertigung eines Vertrags zu automatisieren, so dass alle Beteiligten sofort Gewissheit über das Ergebnis haben, ohne dass ein Vermittler eingeschaltet werden muss oder Zeit verloren geht. Sie können auch einen Workflow automatisieren und die nächste Aktion auslösen, wenn die Bedingungen erfüllt sind. Leider bleibt wieder einmal ein entscheidender Aspekt auf der Strecke: die Sicherheit. In dem Artikel „Smarte Verträge mit großen Risiken“ wird ein detaillierter Blick auf die Schwachstellen von Smart Contracts laut des Open Web Application Security Projects (OWASP) gegeben und Best Practices für eine sicherere Blockchain-Zukunft erläutert.
Ausgabe 136 | Dezember 2024
Weihnachtswunder oder Bedrohung? Quantencomputer und ihre Sicherheitsfolgen
(Dr. D. Frerichs-Mihov)
Wurden Quantencomputer noch vor wenigen Jahren als Science-Fiction abgetan oder deren Nutzbarkeit weit in die Zukunft verwiesen, so kann man heute feststellen: die Zukunft beginnt gerade. Die technologische Entwicklung von Quantencomputern nimmt immer mehr Fahrt auf, die Ergebnisse sind aus Sicherheitssicht zumindest für einige Anwendungsfälle durchaus alarmierend. Eine Realisierung würde viele der heute verwendeten wichtigen asymmetrischen Verschlüsselungsalgorithmen obsolet machen, die in wichtigen Protokollen und Anwendungen eingesetzt werden. Glücklicherweise entwickelt sich auch die Forschung an quantensicheren Verschlüsselungsalgorithmen weiter, um diesen Herausforderungen zu begegnen. In dem Artikel „Weihnachtswunder oder Bedrohung? Quantencomputer und ihre Sicherheitsfolgen“ beleuchten wir die aktuellen Entwicklungen in diesem Bereich und geben konkrete Handlungsempfehlungen, wie Unternehmen sich schon heute auf die Auswirkungen von Quantencomputern vorbereiten können.