Die GAI NetConsult GmbH ist ein in Deutschland und dem benachbarten Ausland tätiges, unabhängiges Beratungsunternehmen für IT- und OT-Security mit Hauptsitz in Berlin. Wir unterstützen unsere Kunden mit unserer fachlichen Expertise in den Bereichen Information Security Management, Cyber Security und ICS/OT Security bei der Überprüfung ihres Sicherheitsniveaus, dem Aufbau und Regelbetrieb von Informationssicherheitsmanagementsystemen, und der Einhaltung von Sicherheitsstandards. Mit unserer großen Bandbreite an Prüfungsleistungen von Security Audits über Penetrationstests bis Red Teaming identifizieren wir branchenübergreifend und mit besonderer Expertise bei Kritischen Infrastrukturen Risiken und Chancen in Prozessen, Infrastrukturen und Applikationen unserer Kunden. Wir wenden Sicherheitsstandards nicht nur an, sondern gestalten diese auch aktiv in Gremien und Verbänden mit. Dieses tiefe Verständnis über die für unsere Kunden maßgeblichen Anforderungen, kombiniert mit unseren langjährigen Erfahrungen, bringen wir in Beratungsprojekten auch im Rahmen der Beschaffung und Einführung neuer IT- / OT-Systemtechnologien oder der Absicherung von Bestandssystemen ein.
Unsere Geschäftsfelder
ICS-/OT-Security
Die Digitalisierung macht Produktions- und Versorgungsprozesse intelligenter und flexibler. Moderne Operation Technology (OT) und Industrial Control Systems (ICS) überwachen und steuern heute nahezu alle kritischen Industrien. Unabhängig von Industriebranche oder Anwendungsumfeld nehmen durch die weiterwachsende Vernetzung und IT/OT-Konvergenz auch die Bedrohungen für die IT-Security im ICS- und OT-Umfeld weiter zu. Die Absicherung von kritischen ICS- und OT-Systemen erfordert durchdachte und individuelle, Konzepte und Strategien Wir bieten Security-Unterstützung in den Bereichen Leittechnik, Operational Technology und Industrial Control Systeme innerhalb aller Projektphasen.
Technical Security Audits
Mit unseren technischen Sicherheitsprüfungen in den Ausprägungen von Security Assessments und Konfigurationsprüfungen bis zu Penetrationstests, Red Teaming und Code-Analysen bieten wir Ihnen risikoorientierte Bewertungen des Sicherheitsniveaus Ihrer IT- und OT-Infrastrukturen und Applikationen, zeigen Ihnen Schwachstellen auf und untersuchen die Wirksamkeit implementierter technischer Maßnahmen. Dabei stellen wir die Ergebnisse in den Kontext konkreter Projekt- / ISMS-Anforderungen und bewerten auf Wunsch die Konformität in Abnahme-Audits. Die Tests können je nach Bedarf und technischen Voraussetzungen sowohl über das Internet als auch vor Ort durchgeführt werden.
Information Security Management
Managementsysteme aus den Bereichen Information Security (ISMS), Business Continuity (BCM) oder Datenschutz (DSMS) helfen Unternehmen bei der Risikominimierung, der Rechtssicherheit (Compliance) und dem Schutz vor Bedrohungen in einer zunehmend digitalen Welt. Zertifizierungen in diesen Bereichen stärken das Vertrauen in die Zuverlässigkeit des Unternehmens oder sind notwendig auf Grund von regulatorischen Anforderungen. Wir bieten umfassende Unterstützung bei der Analyse, Konzeption, Realisierung bis zum Betrieb von Managementsystemen in den Bereichen Informationssicherheit, Notfallvorsorge (Business Continuity) und Datenschutz unter Verwendung von anerkannten Standards.
Hier erfahren Sie die wichtigsten Neuigkeiten aus unserem Unternehmen und den von uns abgedeckten Geschäftsfeldern. Ergänzend dazu finden Sie auch einige unserem Security Journal entnommene IS-News, auf die wir besonders hinweisen möchten.
🔎 Sicherheitslücke in Siemens SIPROTEC 5 entdeckt
18.09.2025
Mitarbeiter unseres Teams für Technical Security Audits haben eine Schwachstelle in Siemens SIPROTEC 5-Geräten identifiziert:
⚠️ Der USB-Port kann durch eine fehlerhafte Bandbreitenbegrenzung Angriffe ermöglichen.
📌 Beschreibung:
Betroffene SIPROTEC 5-Geräte begrenzen die Bandbreite für eingehende Netzwerkpakete über ihren lokalen USB-Anschluss nicht ordnungsgemäß. Ein Angreifer mit physischem Zugriff könnte speziell manipulierte Pakete mit hoher Bandbreite senden und dadurch den Speicher des Geräts erschöpfen. Die Folge: Die Geräte reagieren nicht mehr auf den Netzwerkverkehr über den USB-Port, setzen sich automatisch zurück und während des Neustarts ist die Schutzfunktion nicht verfügbar.
📄 Das zugehörige Advisory ist hier abrufbar: https://www.gai-netconsult.de/wp-content/uploads/2025/09/Advisory-GAINC-2025-001-1.0.pdf
⚠️ Bitte beachten Sie die Hinweise und Updates des Herstellers.
🌐 Weitere Advisories finden Sie unter: https://www.gai-netconsult.de/advisories
👏 Wir gratulieren Herrn Cuny und Herrn Gimpel zu diesem Fund.
#CyberSecurity #SecurityAdvisory #Vulnerability #ITSecurity #GAINetConsult #Sicherheitsmeldung
Vortrag auf der WINDFORCE Konferenz 2025
Im Rahmen der diesjährigen WINDFORCE Konferenz, die vom 17. bis 19. Juni 2025 in Bremerhaven stattfindet, freuen wir uns, einen spannenden Beitrag zum Themenblock „KRITIS“ ankündigen zu dürfen.
Am 18. Juni 2025 von 9:30 bis 10:30 Uhr wird unser Kollege Jan Grotelüschen gemeinsam mit Simon Gustafson, Information Security Manager der Amprion GmbH, einen Vortrag zum Thema „Anspruch und Realität: IT-Security in komplexen Großprojekten am praktischen Beispiel“ halten.
Anhand der Offshore-Großprojekte BorWin/DolWin-4 sowie BalWin-1 und -2 geben die Referenten einen praxisnahen Einblick in die Herausforderungen, regulatorischen Rahmenbedingungen und Erfahrungswerte bei der Umsetzung von IT-Sicherheit in komplexen Infrastrukturprojekten.
Thematische Schwerpunkte:
- Überblick über relevante IT-Security-Regularien auf EU- und nationaler Ebene
- Regulatorische Anforderungen für Betreiber, Hersteller und Integratoren
- Einblick in zentrale Regelwerke wie NIS-2, RCE, CRA sowie das IT-Sicherheitsgesetz 2.0
- Lessons Learned aus verschiedenen Projektphasen: Vorbereitung, Ausschreibung, Design und Implementierung
Wir freuen uns auf den fachlichen Austausch mit Expertinnen und Experten der Branche sowie auf eine lebendige Diskussion rund um das Thema IT-Sicherheit im KRITIS-Umfeld.
Weitere Informationen zur WINDFORCE Konferenz 2025 finden Sie hier: https://windforce.info/windforce-2025/program/
Fachartikel in DuD: Strategien zur Absicherung gegen Quantencomputer
Wir freuen uns, dass unser Fachartikel von Dr. Derk Frerichs-Mihov und Dr. Stephan Beirer in der März-Ausgabe der Fachzeitschrift DuD – Datenschutz und Datensicherheit (Springer Verlag) erschienen ist.
Die Entwicklung von Quantencomputern schreitet mit hoher Geschwindigkeit voran. Ihre zukünftige Realisierung könnte bestehende asymmetrische Verschlüsselungsverfahren obsolet machen – mit weitreichenden Konsequenzen für Unternehmen, Behörden und kritische Infrastrukturen.
Parallel dazu gewinnt die Forschung an quantensicheren Verschlüsselungsverfahren zunehmend an Bedeutung. In ihrem Artikel analysieren Derk und Stephan die aktuellen Entwicklungen in diesem Bereich und geben praxisnahe Empfehlungen, wie Unternehmen frühzeitig Maßnahmen ergreifen können, um ihre IT-Sicherheit zukunftssicher aufzustellen.
Den vollständigen Artikel finden Sie in der aktuellen Ausgabe von DuD – Datenschutz und Datensicherheit.
🔗 Zum Artikel: https://rdcu.be/efzxR
Shaping the Future with Technology – Eindrücke von der Hannover Messe
Angesichts der wachsenden Bedrohungen durch Cyberangriffe auf industrielle Infrastrukturen ist es von entscheidender Bedeutung, dass wir stets auf dem neuesten Stand der Technik sind.
Letzte Woche hatte einer unserer Kollegen Dr. Derk Frerichs-Mihov die Gelegenheit, die Hannover Messe zu besuchen. Durch die Teilnahme an der Messe konnten wir wertvolle Einblicke gewinnen, die uns helfen, unsere Beratungsdienste kontinuierlich an die sich wandelnden Anforderungen der Branche anzupassen.
Seine Eindrücke dazu:
„Als eine der größten Industriemessen ist die Hannover Messe ein optimaler Ort, um Entwicklungen der Industrie am Puls der Zeit mitzubekommen. Zu verstehen, welche Trends in der Zukunft für die Industrie relevant werden, ist eine Grundvoraussetzung dafür, maßgeschneiderte Sicherheitslösungen zu konzipieren, die auch den Anforderungen der Zukunft gerecht werden. Der Besuch gab mir wertvolle Einblicke in kommende Herausforderungen und Chancen, die wir in unsere zukünftigen Beratungsansätze einfließen lassen können.“
Wir freuen uns darauf, diese neuen Erkenntnisse in unsere Arbeit zu integrieren und weiterhin innovative Sicherheitslösungen für die Industrie von morgen zu entwickeln.
Das Security Journal ist ein kostenloser Service der GAI NetConsult GmbH und erscheint alle zwei Monate mit aktuellen, sorgfältig recherchierten Informationen aus der Welt der Informationssicherheit.
Aktuell: Ausgabe 141 | Oktober 2025
Phantastische Keycloak-Fehlkonfigurationen und wo sie zu finden sind
(S. Wessling)
Der Identity Provider ist das Herzstück der Authentifizierungs-Infrastruktur im Web-Umfeld. Dennoch bleibt die firmeneigene Keycloak-Instanz zwischen allen Web-Pentests oft ein blinder Fleck. Ist Keycloak jedoch schwach konfiguriert, können im schlimmsten Fall Nutzerdaten abfließen oder unberechtigte Zugriffe auf Webanwendungen die Folge sein. Dieser Artikel beleuchtet Beispiele solcher Fehlkonfigurationen und zeigt, wie ein systematisches Konfigurationsreview sie aufdecken kann.
Ausgabe 140 | August 2025
Aufgeschoben ist nicht aufgehoben: Auswirkungen des NIS-2-Umsetzungsgesetzes für Betreiber kritischer Anlagen und Dienstleistungen
(Dr. D. Frerichs-Mihov)
In der deutschen Security-Community ist NIS2 in aller Munde – und das mindestens seit der Verabschiedung der entsprechenden EU-Richtlinie im Jahre 2022 vor nun fast schon drei Jahren. Kurz vor den entscheidenden Schritten im Gesetzgebungsverfahren des damaligen NIS2UmsuCG (NIS2-Umsetzungs- und Cybersicherheitsstärkungsgesetz) zerbrach die damalige Ampel-Regierung im November 2024 und das entsprechende Gesetz lag erstmal auf Eis.
Aber mit der Verabschiedung des aktuellen Regierungsentwurfs zur Umsetzung der NIS-2-Richtlinie Ende Juli nimmt das Verfahren nun wieder deutlich an Fahrt auf. Unser Kollege Derk Frerichs-Mihov nimmt dies zum Anlass in seinem Artikel „Aufgeschoben ist nicht aufgehoben“ die Auswirkungen des Gesetzentwurfs zu beleuchten und konkrete Handlungsempfehlungen insbesondere für Betreiber kritischer Anlagen und Dienstleistungen zu geben. Denn das NIS-2-Umsetzungsgesetz wird kommen – versprochen.
Ausgabe 139 | Juni 2025
Was die Web-Welt im Inneren zusammenhält: OAuth 2.0, OpenID Connect und typische Single-Sign-On-Schwachstellen
(S. Wessling)
Die bequeme Möglichkeit, sich per Google-, Amazon- oder Microsoft-Konto bei Apps oder Webseiten anzumelden, kennt fast jeder. Was viele dabei nicht sehen: Im Hintergrund läuft ein komplexes Zusammenspiel aus verschiedenen Diensten und Protokollen.
In seinem Artikel „Was die Web-Welt im Inneren zusammenhält: OAuth 2.0, OpenID Connect und typische Single-Sign-On-Schwachstellen“ zeigt unser Kollege Simon Wessling, wie genau diese Protokolle funktionieren – und welche Sicherheitslücken entstehen, wenn die Single-Sign-On-Funktionen nicht sauber konfiguriert sind.
Ausgabe 138 | April 2025
CRA – Risiken und Chancen für KRITIS-Betreiber
(B. Reiter)
In der Security-Community wird häufig über Sicherheitslücken in Produkten gelästert und nicht selten selbstgefällig darüber philosophiert, wie leicht sich diese doch vermeiden ließen. Eine häufig ins Spiel gebrachte „Lösung“ ist eine strengere Reglementierung und Regulierung durch den Gesetzgeber – salopp gesagt: Sicherheitslücken schlicht zu verbieten. Diesen Weg schlägt die Europäische Union mit dem am 10. Dezember 2024 in Kraft getretenen Cyber Resilience Act (CRA) ein: Er legt verbindliche Vorgaben für „Produkte mit digitalen Elementen“ auf dem europäischen Markt fest.
Im Artikel „CRA – Risiken und Chancen für KRITIS-Betreiber“ fasst unser Kollege Benedikt Reiter den aktuellen Stand des CRA zusammen und beleuchtet die Thematik insbesondere aus der Perspektive von Betreibern Kritischer Infrastrukturen. Dabei zeigt er nicht nur auf, welche Auswirkungen der CRA auf die Verfügbarkeit etablierter Produkte haben kann, sondern auch, welche Chancen sich durch ein höheres Sicherheitsniveau und klarere Rechtsgrundlagen ergeben.