Die GAI NetConsult GmbH ist ein in Deutschland und dem benachbarten Ausland tätiges, unabhängiges Beratungsunternehmen für IT- und OT-Security mit Hauptsitz in Berlin. Wir unterstützen unsere Kunden mit unserer fachlichen Expertise in den Bereichen Information Security Management, Cyber Security und ICS/OT Security bei der Überprüfung ihres Sicherheitsniveaus, dem Aufbau und Regelbetrieb von Informationssicherheitsmanagementsystemen, und der Einhaltung von Sicherheitsstandards. Mit unserer großen Bandbreite an Prüfungsleistungen von Security Audits über Penetrationstests bis Red Teaming identifizieren wir branchenübergreifend und mit besonderer Expertise bei Kritischen Infrastrukturen Risiken und Chancen in Prozessen, Infrastrukturen und Applikationen unserer Kunden. Wir wenden Sicherheitsstandards nicht nur an, sondern gestalten diese auch aktiv in Gremien und Verbänden mit. Dieses tiefe Verständnis über die für unsere Kunden maßgeblichen Anforderungen, kombiniert mit unseren langjährigen Erfahrungen, bringen wir in Beratungsprojekten auch im Rahmen der Beschaffung und Einführung neuer IT- / OT-Systemtechnologien oder der Absicherung von Bestandssystemen ein.
Unsere Geschäftsfelder
ICS-/OT-Security
Die Digitalisierung macht Produktions- und Versorgungsprozesse intelligenter und flexibler. Moderne Operation Technology (OT) und Industrial Control Systems (ICS) überwachen und steuern heute nahezu alle kritischen Industrien. Unabhängig von Industriebranche oder Anwendungsumfeld nehmen durch die weiterwachsende Vernetzung und IT/OT-Konvergenz auch die Bedrohungen für die IT-Security im ICS- und OT-Umfeld weiter zu. Die Absicherung von kritischen ICS- und OT-Systemen erfordert durchdachte und individuelle, Konzepte und Strategien Wir bieten Security-Unterstützung in den Bereichen Leittechnik, Operational Technology und Industrial Control Systeme innerhalb aller Projektphasen.
Technical Security Audits
Mit unseren technischen Sicherheitsprüfungen in den Ausprägungen von Security Assessments und Konfigurationsprüfungen bis zu Penetrationstests, Red Teaming und Code-Analysen bieten wir Ihnen risikoorientierte Bewertungen des Sicherheitsniveaus Ihrer IT- und OT-Infrastrukturen und Applikationen, zeigen Ihnen Schwachstellen auf und untersuchen die Wirksamkeit implementierter technischer Maßnahmen. Dabei stellen wir die Ergebnisse in den Kontext konkreter Projekt- / ISMS-Anforderungen und bewerten auf Wunsch die Konformität in Abnahme-Audits. Die Tests können je nach Bedarf und technischen Voraussetzungen sowohl über das Internet als auch vor Ort durchgeführt werden.
Information Security Management
Managementsysteme aus den Bereichen Information Security (ISMS), Business Continuity (BCM) oder Datenschutz (DSMS) helfen Unternehmen bei der Risikominimierung, der Rechtssicherheit (Compliance) und dem Schutz vor Bedrohungen in einer zunehmend digitalen Welt. Zertifizierungen in diesen Bereichen stärken das Vertrauen in die Zuverlässigkeit des Unternehmens oder sind notwendig auf Grund von regulatorischen Anforderungen. Wir bieten umfassende Unterstützung bei der Analyse, Konzeption, Realisierung bis zum Betrieb von Managementsystemen in den Bereichen Informationssicherheit, Notfallvorsorge (Business Continuity) und Datenschutz unter Verwendung von anerkannten Standards.
Hier erfahren Sie die wichtigsten Neuigkeiten aus unserem Unternehmen und den von uns abgedeckten Geschäftsfeldern. Ergänzend dazu finden Sie auch einige unserem Security Journal entnommene IS-News, auf die wir besonders hinweisen möchten.
Wechsel in der Geschäftsführung der GAI NetConsult GmbH
01.02.2025
Die GAI NetConsult GmbH hat einen Wechsel in der Firmenleitung vorgenommen: Mit Wirkung vom 1. Februar 2025 sind die bisherigen Teamleiter Sebastian Krause und Dr. Stephan Beirer zu Geschäftsführern ernannt worden. Zusammen mit dem Gründer und Geschäftsführer Detlef Weidenhammer bilden sie nun die Geschäftsleitung der GAI NetConsult GmbH. Herr Krause und Herr Dr. Beirer werden aber auch weiterhin in leicht reduziertem Umfang im Projektgeschäft tätig bleiben.
Herr Weidenhammer wird zum 31. März 2025 seine Tätigkeit als Geschäftsführer beenden und auch aus dem Tagesbetrieb ausscheiden. Er bleibt der GAI NetConsult GmbH aber weiterhin als Gesellschafter eng verbunden. Die GAI NetConsult GmbH hat damit die erstrebte Kontinuität in der geschäftlichen Fortführung sichergestellt und beabsichtigt mit frischen Impulsen die bisherige erfolgreiche Arbeit fortzuführen.
NIS2-Richtlinie: GAP-Analyse und Unterstützung für Ihre Umsetzung
16.10.2024
Die NIS2-Richtlinie („The Network and Information Security (NIS) Directive“) ist eine europäische Gesetzgebung, die darauf abzielt, die Cybersicherheit innerhalb der EU zu verbessern. Sie ist die Nachfolgerin der ursprünglichen NIS-Richtlinie und wurde entwickelt, um auf die wachsenden Herausforderungen und Bedrohungen im Bereich der Cybersicherheit zu reagieren. Die NIS2-Richtlinie erweitert den Anwendungsbereich auf mehr Sektoren und Dienste, einschließlich kritischer Infrastrukturen wie Gesundheitswesen, Energie und Transport. Sie legt strengere Anforderungen an die Sicherheitsmaßnahmen und Meldung von Sicherheitsvorfällen fest. Ziel ist es, ein hohes gemeinsames Sicherheitsniveau in der EU zu gewährleisten und die Widerstandsfähigkeit gegen Cyberangriffe zu erhöhen. Die Richtlinie soll zeitnah in nationales Recht überführt werden und hat in Deutschland den etwas sperrigen Namen „NIS2-Umsetzungs- und Cybersicherheitsstärkungsgesetz (NIS2UmsuCG)“.
Unsere initiale NIS2-GAP-Analyse zeigt Ihnen in kurzer Zeit, wo Ihr Unternehmen steht und wo Handlungsbedarf besteht. Diese umfasst:
- Ausführlicher Fragebogen: Zur Vorerfassung der Umsetzung der Risikomanagementmaßnahmen gemäß § 30.
- Online-Workshops: Durchführung von Interviews zur Abfrage des Ist-Zustands, je nach Organisationsgröße über 1 oder 2 Tage.
- Strukturiertes Gesprächsprotokoll: Dokumentation der Maßnahmenumsetzung mit identifizierten Feststellungen und Empfehlungen.
- Online-Ergebnispräsentation: Zusammenfassung und Präsentation der Analyseergebnisse.
Die Prüfer der GAI NetConsult verfügen über jahrelange Projekterfahrung im Bereich der Kritischen Infrastrukturen und setzen innerhalb des Prüfprozesses erprobte Vorgehensweisen und Tools ein.
Schützen Sie Ihre Daten, erfüllen Sie die Vorschriften und vermeiden Sie hohe Bußgelder.
Wenn Sie weitere Informationen wünschen oder ein persönliches Beratungsgespräch vereinbaren möchten, zögern Sie nicht, uns zu kontaktieren!
VDE ETG/FNN-Tutorial Schutz- und Leittechnik, 5. - 6. März 2024 in Leipzig
15.12.2023
Unser Mitarbeiter Dr. Stephan Beirer wurde eingeladen, auf der VDE ETG/FNN-Tutorial Schutz- und Leittechnik einen Fachvortrag zu halten.
Moving targets: Moving Targets – IT/OT-Security für Offshore Projekte unter Berücksichtigung sich stetig wandelnder regulatorischer Vorgaben
Weitere Informationen finden Sie hier.
IT-OT Cybersecurity Conference & Exhibition
06.04.2023
Unser Mitarbeiter Dr. Stephan Beirer wurde eingeladen, auf der IT-OT Cybersecurity Conference & Exhibition einen Vortrag zu halten.
Veranstalter ist Smart Grid Forums in Amsterdam vom 16. – 18. Mai 2023.
Vortragstitel und Inhalte sind:
OT Security in Procurement Projects
Moving targets: Covering OT-Security requirements for Amprion Offshore HVDC projects in a changing regulatory landscape
- Covering OT Security requirements for offshore HVDC projects in the critical infrastructure domain
- Challenges of changing regulatory OT security requirements in long-running and complex projects
- Lessons learned from large procurement projects over the past ten years and how to avoid common mistakes
- Conducting technical security pre-tests and acceptance testing to meet the need for accelerated system design and project delivery
Weitere Informationen finden Sie hier.
Das Security Journal ist ein kostenloser Service der GAI NetConsult GmbH und erscheint alle zwei Monate mit aktuellen, sorgfältig recherchierten Informationen aus der Welt der Informationssicherheit.
Aktuell: Ausgabe 137 | Februar 2025
Smarte Verträge mit großen Risiken – Die neuen OWASP Smart Contract Schwachstellen 2025
(M. Dietz)
Neue Begriffe sind in der IT nichts Ungewöhnliches, sie tauchen meist schnell auf und manche bleiben sogar länger. Die Blockchain-Technologie ist dafür ein gutes Bespiel. Diese dezentrale digitale Aufzeichnung von Transaktionen, die über ein Netzwerk geteilt wird und unveränderbar ist, hat sich mittlerweile in vielen Einsatzbereichen bewährt. Einer davon sind sog. Smart Contracts, die in einer Blockchain gespeichert sind und ausgeführt werden, wenn bestimmte Bedingungen erfüllt sind. Sie werden in der Regel verwendet, um die rechtsgültige Ausfertigung eines Vertrags zu automatisieren, so dass alle Beteiligten sofort Gewissheit über das Ergebnis haben, ohne dass ein Vermittler eingeschaltet werden muss oder Zeit verloren geht. Sie können auch einen Workflow automatisieren und die nächste Aktion auslösen, wenn die Bedingungen erfüllt sind. Leider bleibt wieder einmal ein entscheidender Aspekt auf der Strecke: die Sicherheit. In dem Artikel „Smarte Verträge mit großen Risiken“ wird ein detaillierter Blick auf die Schwachstellen von Smart Contracts laut des Open Web Application Security Projects (OWASP) gegeben und Best Practices für eine sicherere Blockchain-Zukunft erläutert.
Ausgabe 136 | Dezember 2024
Weihnachtswunder oder Bedrohung? Quantencomputer und ihre Sicherheitsfolgen
(Dr. D. Frerichs-Mihov)
Wurden Quantencomputer noch vor wenigen Jahren als Science-Fiction abgetan oder deren Nutzbarkeit weit in die Zukunft verwiesen, so kann man heute feststellen: die Zukunft beginnt gerade. Die technologische Entwicklung von Quantencomputern nimmt immer mehr Fahrt auf, die Ergebnisse sind aus Sicherheitssicht zumindest für einige Anwendungsfälle durchaus alarmierend. Eine Realisierung würde viele der heute verwendeten wichtigen asymmetrischen Verschlüsselungsalgorithmen obsolet machen, die in wichtigen Protokollen und Anwendungen eingesetzt werden. Glücklicherweise entwickelt sich auch die Forschung an quantensicheren Verschlüsselungsalgorithmen weiter, um diesen Herausforderungen zu begegnen. In dem Artikel „Weihnachtswunder oder Bedrohung? Quantencomputer und ihre Sicherheitsfolgen“ beleuchten wir die aktuellen Entwicklungen in diesem Bereich und geben konkrete Handlungsempfehlungen, wie Unternehmen sich schon heute auf die Auswirkungen von Quantencomputern vorbereiten können.
Ausgabe 135 | Oktober 2024
(M. Joos, B. Reiter)
Neben unserem ständig aktualisierten News-Block mit vielen neuen und interessanten Informationen aus der Welt der Informationssicherheit thematisieren wir diesmal in unserem Hauptartikel „IT-Sicherheit in der Energiewirtschaft – BDEW-Whitepaper 3.0 erschienen“ das wohl vielen vertraute BDEW-Whitepaper. Um mit den fortschreitenden technischen und gesellschaftlichen Entwicklungen Schritt zu halten, ist es entscheidend, IT-Sicherheitsanforderungen am aktuellen Stand der Technik auszurichten und zukunftssicher zu gestalten. Diesem Ziel widmet sich das BDEW-Whitepaper seit seinem ersten Erscheinen im Jahre 2008. Damit ist es zu einem unverzichtbaren Hilfsmittel geworden, ein branchenweites Verständnis für IT-Sicherheitsanforderungen an Steuerungs- und Telekommunikations-systeme in der Energiewirtschaft zu schaffen und die Produktentwicklung positiv zu beeinflussen. Sechs Jahre nach der letzten Veröffentlichung erschien nun die neueste Ausgabe, diesmal auch mit Unterstützung des Verbandes Schweizerischer Elektrizitätsunternehmen (VSE).
Ausgabe 134 | August 2024
CrowdStrike erschüttert die Welt
(A. Brosche, D. Weidenhammer)
Vor nicht einmal sechs Wochen erschütterte ein gravierender Sicherheitsvorfall weltweit eine Vielzahl von Unternehmen. Der Betrieb an Flughäfen stand still, Banken konnten nicht mehr arbeiten, Züge fielen aus und Firmen schickten ihre Mitarbeiter nach Hause, weil ihre IT-Systeme nicht mehr liefen. Pikanterweise war der Verursacher die Sicherheitssoftware Falcon Sensor der US-Firma CrowdStrike. Grund war ein fehlerhaftes Update, hervorgerufen durch unzureichende Validierungstests des Herstellers vor der weltweiten Auslieferung. Wirft das jetzt ein bezeichnendes Bild auf den aktuellen Stand der Softwareentwicklung und ‑verteilung? Der Artikel “CrowdStrike erschüttert die Welt” gibt hierzu einige interessante Einblicke.
Wichtige Änderungen im Datenschutzrecht — Einführung des Digitalen-Dienste-Gesetzes (DDG)
(K. Tomov — NenConsulting IT and Security GmbH)
In dieser Ausgabe widmen wir uns auch einem zweiten Thema. Seit Mai 2024 ist das neue Digitale-Dienste-Gesetz (DDG) in Deutschland in Kraft. Die wichtigsten Änderungen werden in einem kurzen Artikel vorgestellt und insbesondere wird auf Anpassungsbedarf für die Betreiber von Websites hingewiesen.