Sichere eBusiness-Lösungen ...
... komplett aus einer Hand
Druckversion

News

Aktuelles...

Hier werden wir Sie über die wichtigsten Neuigkeiten aus dem Unternehmen und unseren Geschäftsfeldern auf dem Laufenden gehalten.

 

 

(01.10.2024)Neue Version 3.0 des BDEW/OE/VSE Whitepapers veröffentlicht

Der BDEW (Bundesverband der Energie- und Wasserwirtschaft) und seine österreichischen und Schweizer Schwesterverbände (OE Oesterreichs Energie und VSE Verband Schweizerischer Elektrizitätsunternehmen) haben am 30.09.2024 eine vollständig überarbeitete Version 3.0 des Whitepapers "Anforderungen an sichere Steuerungs- und Telekommunikationssysteme" veröffentlicht.  Das BDEW/OE/VSE-Whitepaper definiert grundlegende Sicherheitsanforderungen an Leit- und Automatisierungstechniksysteme der Energieversorgung und die zugehörige Nachrichten- und Telekommunikationstechnik. Diese Anforderungen können von Betreibern - beispielsweise auf Basis einer projektspezifischen Risikoanalyse - in Beschaffungsprojekten in eine Anforderungsspezifikation oder in ein Lastenheft integriert werden. Das Whitepaper wurde 2007 erstmalig veröffentlicht, die letztgültige Version 2.0 stammt aus dem Jahr 2018. Das Dokument  ist bei Energieversorgern, Netzbetreibern (Strom und Gas), Herstellern, IT-Dienstleistern und Zulieferern in Deutschland und in europäischen Nachbarländern eine weit verbreitete und anerkannte Hilfestellung bei der Beschaffung, sowie beim Aufbau und der Weiterentwicklung einer Sicherheitsorganisation.

Wesentlichen Änderungen zur Vorversion 2.0 sind:

  • Überarbeitung der Kapitelstruktur
  • Anpassung aller Normverweise auf die aktuelle Version der ISO/IEC 27002:2022
  • Schärfung des OT-Begriffs
  • Anpassung aller Inhalte an aktuelle technologische Entwicklungen im Energiesektor
  • Ergänzung von neuer Anforderungen und  Umsetzungsempfehlungen, z.B.

        - Public Key Infrastructure
        - Physische Sicherheit
        - Integration in Systeme zur Erkennung von Anomalien und Angriffen
        - Containervirtualisierung
        - Industrial IoT
        - Netzwerkauthentifizierung
        - Schwachstellen-Management und Patchinformationsdienst
        - Wartungsvertrag / Service-Level-Agreement

Die neue Version des Whitepapers steht auf der Webseite des BDEW zum Download bereit. Eine englische Übersetzung befindet sich derzeit in der Erstellung.
Wir gratulieren unseren Mitarbeitern Marl Joos und  Dr. Stephan Beirer, der im Auftrag von BDEW, VSE und  Oesterreichs Energie als Projekteditor die Überarbeitung des Whitepapers fachlich leitete, zum erfolgreichen Abschluss der Revision.

(15.12.2023)VDE ETG/FNN-Tutorial Schutz- und Leittechnik, 5. - 6. März 2024 in Leipzig

unser Mitarbeiter Dr. Stephan Beirer wurde eingeladen, auf der VDE ETG/FNN-Tutorial Schutz- und Leittechnik einen Fachvortrag zu halten.

Moving targets: Moving Targets – IT/OT-Security für Offshore Projekte unter Berücksichtigung sich stetig wandelnder regulatorischer Vorgaben

Weitere Informationen finden Sie hier

(06.04.2023)IT-OT Cybersecurity Conference & Exhibition

unser Mitarbeiter Dr. Stephan Beirer wurde eingeladen, auf der IT-OT Cybersecurity Conference & Exhibition einen Vortrag zu halten. Veranstalter ist Smart Grid Forums in Amsterdam vom 16. - 18. Mai 2023. Vortragstitel und Inhalte sind:

OT Security in Procurement Projects

Moving targets: Covering OT-Security requirements for Amprion Offshore HVDC projects in a changing regulatory landscape

  • Covering OT Security requirements for offshore HVDC projects in the critical infrastructure domain
  • Challenges of changing regulatory OT security requirements in long-running and complex projects
  • Lessons learned from large procurement projects over the past ten years and how to avoid common mistakes
  • Conducting technical security pre-tests and acceptance testing to meet the need for accelerated system design and project delivery

Weitere Informationen finden Sie hier

(28.05.2021) Neues zur Draft ISO/IEC 27002:2021

Die (zukünftige) ISO/IEC 27002:2021 wird derzeit überarbeitet, das Voting für die letzte Kommentierung endete Ende April 2021, mit einer Veröffentlichung der finalen Version wird im Herbst 2021 gerechnet. Die ISO/IEC 27002 ist ein gewichtiger Teil der ISO 27er- Normenreihe, denn sie prägt die wesentlichen Sicherheitsziele beispielhaft aus, die in den Controls der ISO/IEC 27001:2013 im Rahmen eines Informationssicherheits-Managementsystems beachtet werden sollen. Die Orientierung an diesen Beispielen der ISO/IEC 27002 wird von Unternehmen, die ein ISMS etablieren, oft genutzt. Auch im Rahmen von Zertifizierungen ist zunehmend in Deutschland wahrnehmbar, dass die Inhalte der ISO/IEC 27002:2017 im Prüfverfahren eine gewisse Verbindlichkeit entwickelt haben; dies auch vielleicht im Kontext der Kritik, der deutlich vernehmbar bei Zertifizierungen im Bereich der kritischen Infrastrukturen in den letzten Jahren wahrnehmbar war: Hier wurde möglicherweise in den ersten KRITIS-Prüfungen der „Stand der Technik“ zu großzügig ausgelegt, umsomehr wird mittlerweile die ISO/IEC 27002 als Referenz ins Spiel gebracht, nun auch angewendet auf alle Zertifizierungen nach ISO/IEC 27001, auch diejenigen ohne Bezug zu kritischen Infrastukturen.

(01.11.2019)GAI NetConsult GmbH mit neuer Niederlassung in Wien

Die GAI NetConsult expandiert weiter und verfügt seit dem 1.11.2019 auch über eine Niederlassung in Wien. Der österreichische Markt wird immer interessanter und da wir uns demnächst auch als „Qualifizierte NIS-Prüfstelle“ bewerben werden, ist diese direkte Präsenz in Österreich ein Schritt in eine noch bessere Betreuung unserer jetzigen und auch hoffentlich zukünftigen Kunden.  

Die Adresse der neuen NL ist:
Regus Business Center – Cityport 11
Simmeringer Hauptstraße 24
1110 Wien

(27.08.2019)IT-Sicherheit in der Beschaffung - Umsetzung des BDEW/OE-Whitepaper

Am 03.12.2019 findet in Düsseldorf ein Informationstag Energie des BDEW statt. Das Whitepaper ist ein Best-Practice-Anforderungskatalog und wird für alle neuen Steuerungs-und TK-Systeme im Bereich der Energieversorgung empfohlen. Es verpflichtet Lieferanten und Anlagenintegratoren auf die Einhaltung von grundlegenden Regeln zur IT-Sicherheit für Systeme, Anwendungen und Komponenten. Das Whitepaper ist somit ein wichtiger Bestandteil des Lieferantenmanagements im zertifizierten ISMS. Im Jahr 2008 wurde durch den deutschen Branchenverband BDEW in Zusammenarbeit mit Oestereichs Energie das Whitepaper „Anforderungen an sichere Steuerungs- und Telekommunikationssysteme” veröffentlicht. 2017 wurde das Dokument einem Review unterzogen und die Referenzen auf die ISO/IEC 27019:2017 angepasst.

Unser Mitarbeiter Sebastian Krause wurde eingeladen einen Vortrag zu "Security-Abnahmetests für BDEW/OE-Whitepaper Anforderungen" zu halten.

Weitere Informationen finden Sie hier.

(27.08.2019)The Premier Cyber Security Conference for ICS/SCADA and Critical Infrastructure

Vom 21. - 24.10.2019 findet in Schweden die hoch interessante Konferenz CS3STHLM zum Thema "Industrial Control Systems" statt. Diese jährlich stattfindende Veranstaltung gibt es seit 2014 und kann mittlerweile wohl zu den herausragenden Events zur Sicherheit in kritischen Infrastrukturen, Automatisierung und Smart Grids gezählt werden.

Unser Mitarbeiter Markus Mahrla wurde eingeladen einen Vortrag zu "Fuzz Testing IEC 61850" zu halten.

Weitere Informationen finden Sie hier.

(21.09.2018)ICS/OT-Security-Konferenz CS3STHLM

Der Veranstalter der ICS/OT-Security-Konferenz CS3STHLM hat ein Interview mit unserem Mitarbeiter Dr. Stephan Beirer veröffentlicht.
Die international bekannte ICS/OT-Security-Konferenz zieht jedes Jahr mehrere hundert Experten an und wird dieses Jahr vom  24. bis 25. Oktober in Stockholm abgehalten, am 22. und 23. Oktober finden Workshops und Trainings statt. Herr Dr. Beirer wird im Rahmen der Veranstaltung am 23.10. eine Schulung zum Thema "Cyber security for the energy sector – an introduction to ISO/IEC 27019 and the BDEW/OE Whitepaper" durchführen.

Weitere Informationen finden Sie hier

(18.05.2018)Vollständig überarbeitete Version 2.0 des BDEW/OE Whitepapers veröffentlicht

Der BDEW - Bundesverband der Energie- und Wasserwirtschaft und Oesterreichs Energie haben am 08.05.2018 eine vollständig überarbeitete Version 2.0 des Whitepapers "Anforderungen an sichere Steuerungs- und Telekommunikationssysteme" veröffentlicht.  Das BDEW/OE-Whitepaper definiert grundlegende Sicherheitsanforderungen an Leit- und Automatisierungstechniksysteme der Energieversorgung und die zugehörige Nachrichten- und Telekommunikationstechnik. Diese Anforderungen können von Betreibern - beispielsweise auf Basis einer projektspezifischen Risikoanalyse - im Beschaffungsprojekten in eine Anforderungsspezifikation oder in ein Lastenheft integriert werden. Das Whitepaper wurde bereits 2007 erstmalig veröffentlicht und ist bei Energieversorgern, Netzbetreibern (Strom und Gas), Herstellern, IT-Dienstleistern und Zulieferern in Deutschland und in europäischen Nachbarländern eine weit verbreitete und anerkannte Hilfestellung bei der Beschaffung, sowie beim Aufbau und der Weiterentwicklung einer Sicherheitsorganisation. Es unterstützt insbesondere bei der Definition von Sicherheitsanforderungen im Systemdesign- und Beschaffungsprozess gemäß ISO/IEC 27001, A.14.1.1 „Information security requirements analysis and specification“.

Wesentlichen Änderungen zur Vorversion 1.1 aus 2014 sind:

  • Grundlegende Überarbeitung der Kapitelstruktur
  • Anpassung aller Normverweise auf die aktuelle Version der ISO/IEC 27019:2017
  • Integration der Anforderungen und der bisher separat verfügbaren Ausführungshinweise in einem Dokument
  • Anpassung der Inhalte an aktuelle technologische Entwicklungen im Energiesektor
  • Ergänzung von neuer Anforderungen und  Umsetzungsempfehlungen, z.B. zu Virtualisierung und Cloud-Nutzung

Die neue Version des Whitepapers steht auf der Webseite des BDEW zum Download bereit. Eine englische Übersetzung befindet sich derzeit in der Erstellung.

Wir gratulieren unserem Mitarbeiter Dr. Stephan Beirer, der im Auftrag von BDEW und Oesterreichs Energie als Projekteditor die Überarbeitung des Whitepapers fachlich leitete, zum erfolgreichen Abschluss der Revision. Zusätzlich möchten wir noch darauf hinweisen, dass der BDEW am Dienstag, den 3. Juli 2018 einen Informationstag zum Whitepaper in Bonn veranstalten wird. Die GAI NetConsult wird hierbei mit einem Vortrag von Sebastian Krause (Teamleiter Sicherheitsauditierung) zum Thema „Security-Abnahmetests für BDEW/OE Whitepaper Anforderungen“ vertreten sein, der Projekteditor D. Beirer wird ebenfalls an der Veranstaltung teilnehmen.

Nachtrag v. 24.05.2018: Pressemeldung von BDEW und Oesterreichs Energie zur Veröffentlichung BDEW/OE Whitepaper 2.0

(06.03.2018)Zertifizierung zum IRCA ISMS Lead Auditor

GAI NetConsult GmbH bietet hierzu ein 5-Tages-Seminar an

Die Sicherheit von Informationen ist für jedes Unternehmen essentieller Bestandteil der Unternehmensziele. Dem Schutz dieser Informationen ist deshalb eine hohe Bedeutung beizumessen. Um dieser Zielsetzung gerecht zu werden, benötigen die Verantwortlichen ein fundiertes und gut aufbereitetes Wissen im Bereich der Informationssicherheit. In diesem 5-Tages-Zertifizierungsseminar lernen Sie auf Basis der international anerkannten Standards zur Informationssicherheit aus der ISO/IEC 2700x-Reihe wichtige Elemente zu Aufbau und Umsetzung eines Informationssicherheitsmanagementsystems (ISMS) kennen. Weiterhin erwerben Sie umfangreiches Wissen über die Planung, Organisation und Durchführung eines ISMS-Audits. Diverse Fall- und Umsetzungsbeispiele vermitteln einen anschaulichen Praxisbezug.

Dieses Seminar ist beim internationalen Register für zertifizierte Auditoren (IRCA) registriert und erfüllt alle Anforderungen, die für die Registrierung als Lead Auditor unter diesem anerkannten Schema notwendig sind. (Akkreditierung: Intertek Deutschland GmbH) Seminarleiter ist der IRCA-akkreditierte ISMS Auditor Dr. Kristian Tomov unseres Partners NenConsulting IT and Security GmbH.

Agenda und Anmeldung finden sie hier.

(06.11.2017)Vollständig überarbeitete Version der ISO/IEC 27019 veröffentlicht

Die International Organization for Standardization (ISO) hat am 02.11.17 eine vollständig überarbeitete Version der ISO/IEC 27019 als International Standard unter dem neuen Titel "ISO/IEC 27019:2017(E) Information security controls for the energy utility industry" veröffentlicht. Die Revision des Standards wurde in 2015 begonnen und konnte im Oktober 2017 sechs Monate vor geplantem Projektende mit 100% Zustimmung der National Bodies abgeschlossen werden.

Wesentlichen Änderungen zur Vorversion sind:
•             Änderung des Normtyps vom Technical Report zum International Standard
•             Anpassung der Kapitelstruktur an die 2013er-Version der ISO/IEC 27002
•             Berücksichtigung von Anforderungen an sektor-spezifische 2700x-Normen
•             Erweiterung des Scopes um den Sektor Öl
•             Anpassung der Norminhalte an aktuelle technologische Entwicklungen im Energiesektor
•             Ergänzung von neuen Controls und EVU-spezifischen Umsetzungsempfehlungen

Die ISO/IEC 27019 ist eine wesentliche Grundlage für die Zertifizierung der deutschen Energienetzbetreiber gemäß IT-Sicherheitskatalog nach §11 1a EnWG. Die Bundesnetzagentur hat in diesem Zusammenhang das zugehörige Konformitätsbewertungsprogramms unter Berücksichtigung der neuen Normversion angepasst. Ebenso wird die ISO/IEC 27019 in verschiedenen Entwürfen von Branchenspezifischen Sicherheitsstandards (B3S) gemäß IT-Sicherheitsgesetz für den Energiesektor referenziert.

Der International Standard kann im ISO-Onlineshop bezogen werden.

Wir gratulieren unserem Mitarbeiter Dr. Stephan Beirer, der als Projekteditor der Norm bei ISO/IEC SC27 den Revisionsprozess leiten durfte, zum erfolgreichen Abschluss des Normungsprojekts. Herr Dr. Beirer wird in der kommenden Ausgabe unseres Security Journals #94 einen Übersichtsartikel zu den aktuellen Änderungen der ISO/IEC 27019 veröffentlichen.

(04.10.2016)F&E-Projekt ROBUS 104

Im Rahmen unseres F&E-Projekts ROBUS 104 haben wir zusammen mit unserem US-amerikanischen Projektpartner Automatak die Robustheit und Codequalität verschiedener Implementierungen der Fernwirkprotokolle IEC 60870-5-101/104 (IEC-101/104) mit Hilfe eines sog. „intelligenten Fuzzers“ untersucht. Die IEC-101/104-Protokollfamilie wird in der Energieversorgung in den Bereichen Strom, Gas, Fernwärme, Wasser und Abwasser insb. im Bereich Verteilung und Transport eingesetzt und ist in Deutschland und Europa als de-facto Standard nahezu flächendeckend im Einsatz. Dies umfasst auch die gemäß KritisV eingestuften Betreiber kritischer Infrastrukturen. In dem Projekt haben wir in nahezu  allen geprüften Soft- und Hardwarekomponenten der verschiedensten Hersteller schwerwiegende Fehler in den IEC-101/104-Stacks identifiziert, die zu Verarbeitungsfehlern,  System- und Komponentenabstürzen und potentieller Remote Code Execution führen. Die gefundenen Schwachstellen wurden den Herstellern über sichere Kanäle gemeldet und auch an das BSI und das ICS-CERT weitergegeben.

Die ids GmbH hat nun als eine der ersten Betroffenen am 21.09.2016 die "Schwachstelle ROBUS 104" mit hoher Kritikalität gemeldet und auf das bereitgestellte Update hingewiesen. Gern geben wir den Hinweis dazu aus dem IT-Security Bulletin der ids GmbH auch hier weiter:

"Bei Kommunikationsmodulen der Systemfamilien IDS 640/650/850/ACOS 750 wurde eine Schwachstelle erkannt, die beim Empfang ungültiger IEC 60870-5-104 Telegramme zum Absturz der Software führt. Dies wurde bei Tests von Dr. Stephan Beirer / Sebastian Krause, GAI NetConsult GmbH mit Unterstützung von Adam Crane, Automatak LLC, Project Robus 104 festgestellt..."

Auch die Siemens AG hat dann am 21.10.2016 reagiert und in ihren ProductCERT Security Advisories folgenden Hinweis aufgenommen: “The latest ETA4 firmware for the SM-2558 IEC 60870-5-104 COM Module fixes a vulnerability that could allow remote attackers to perform a Denial-of-Service attack under certain condition…”

Einen ersten Einblick zum Vorgehen im ROBUS104-Projekt finden Sie auch in unserem Security Journal #87 im Artikel "Unscharfe Prozesskommunikation – Fuzz-Testing IEC 60870-5-104".

(24.05.2016)Security-Konferenz S4 erstmals in Europa

Vom 9. - 10. Juni 2016 findet zum ersten Mal der europäische Ableger der bekannten „Industrial Control Systems (ICS) Security Konferenz S4“ in Wien statt. Die S4 - kurz für SCADA Security Scientific Symposium - ist eine der weltweit führenden Konferenzen zur Sicherheitsthematik in der Leit- und Automatisierungstechnik und bietet eine gute Gelegenheit, sich über die aktuellen Entwicklungen im Umfeld der ICS Security zu informieren.

Frank Breitschaft, Leiter Informationssicherheit bei der GAI NetConsult wird auf der S4 einen Vortrag mit dem Titel „Security by law? The new German regulations for critical infrastructures“ über das IT-Sicherheitsgesetz und den BNetzA-Sicherheitskatalog für Energieversorger halten.

Die Agenda der S4 kann man Opens external link in new windowhier studieren, dort findet sich auch der Buchungszugang.

(13.08.2015)IT-Sicherheitskatalog für Energienetzbetreiber gemäß EnWG §11 Absatz 1a veröffentlicht

Die Bundesnetzagentur (BNetzA) hat am 12.08.2015 den verbindlichen IT-Sicherheitskatalog für Energienetzbetreiber gemäß EnWG §11 Absatz 1a veröffentlicht. Dieser ist hier abzurufen. 

Unsere erste Analyse hat neben einer Vielzahl kleinerer Änderungen/Korrekturen ggü. der Entwurfsfassung vor allem folgende für Energienetzbetreiber (Strom/Gas) relevante Punkte aufgezeigt:

  • Im Kern sind weiterhin der Aufbau und die Zertifizierung eines ISMS nach DIN ISO/IEC 27001 für alle Netzbetreiber Strom und Gas unabhängig von ihrer Größe gefordert.
  • Der Geltungsbereich ist gemäß der kürzlich durch das IT-Sicherheitsgesetz erfolgten Änderung des EnWG auf „Telekommunikations- und elektronische Datenverarbeitungssysteme, die für einen sicheren Netzbetrieb notwendig sind“ angepasst. Die konkrete Ermittlung des Geltungsbereichs und die Abgrenzung zwischen direkt, indirekt bzw. nicht für den sicheren Netzbetrieb erforderlicher Systeme obliegen weiterhin dem Netzbetreiber selbst. Die Vorgaben und Erläuterungen zur Abgrenzung sind weitgehend unverändert.
  • In diesem Zusammenhang wird weiterhin die Erstellung eines Netzstrukturplans mit den Technologiekategorien „Leitsysteme und Systembetrieb“, „Übertragungstechnik/Kommunikation“ und „Sekundär-, Automatisierungs- und Fernwirktechnik“ gefordert.
  • Für die Risikoeinschätzung werden nunmehr weitergehende Vorgaben hinsichtlich der zu betrachtenden Schadenskategorien, der zu betrachtenden Einstufungskriterien und Gefährdungen gemacht. Unter anderem sollen bei den Schäden auch „betroffener Bevölkerungsanteil“ und „Auswirkungen auf weitere Infrastrukturen (z.B. vor- und nachgelagerter Netzbetreiber, Wasserversorgung)“ explizit betrachtet werden. Hier sind im Unternehmen ggf. bereits vorhandene Risikoanalysemethodiken vermutlich zu erweitern.
  • Weiterhin ist die Benennung eines Ansprechpartners für IT-Sicherheit vorgesehen, der auch für die Kommunikation mit der BNetzA bei aufgetretenen Sicherheitsvorfällen zuständig ist. Einzig im Meldeformular findet sich noch die Forderung, dass im Falle der Nicht-Erreichbarkeit eine telefonische Weiterleitung an eine geeignete Stelle (z.B. Netzleitstelle) erfolgen muss, die ebenfalls Auskunft geben kann.
  • Weitere Festlegungen zu den gemäß IT-Sicherheitsgesetz und EnWG § 11 1c bei KRITIS-Relevanz vorgesehenen Meldungen bei Störungen an das BSI  macht der IT-Sicherheitskatalog nicht. Hier bleibt die Ausgestaltung des Verfahrens durch das BSI abzuwarten.
  • Für die Zertifizierung ist nunmehr ein eigenes Zertifizierungsschema vorgesehen, das von der BNetzA mit der DAkkS derzeit erarbeitet wird. „Generische“ ISO/IEC 27001-Zertifikate sind somit an dieser Stelle nicht ausreichend. Zudem kann die Zertifizierung dann nur durch einen bei der DAkkS für dieses Schema akkreditierten Dienstleister erfolgen.

Fast die spannendste Frage war bis zuletzt die Umsetzungsfrist. Hier besteht nun Klarheit:

  • Der Ansprechpartner IT-Sicherheit ist bis zum 30.11.2015 zu benennen. Hier besteht also kurzfristig Klärungsbedarf.
  • Die erfolgreiche Zertifizierung ist bis zum 31.01.2018 ggü. der BNetzA nachzuweisen. Hier verbleiben also noch ca. zweieinhalb Jahre.

Eine ausführliche Analyse des IT-Sicherheitskatalogs und Empfehlungen für die weitere Vorgehensweise finden Sie demnächst in unserem SecurityJournal. Bei Fragen stehen wir Ihnen gerne auch direkt zur Verfügung.

(19.06.2015)Informationssicherheitsmanagement in der E-Wirtschaft

Termin: 28. - 29.10.2015 Location: Fleming´s Hotel Wien

Ein umfassendes Informationssicherheitsmanagement ist gerade für Betreiber kritischer Infrastrukturen in der E-Wirtschaft unerlässlich. Ziel der Fachtagung ist es, den Teilnehmern die Erfordernisse und Handlungsempfehlungen zur IT-Sicherheit im Energieunternehmen aufzuzeigen. Der Fokus der Fachtagung liegt bei den Anforderungen an Netzbetreiber. Die Notwendigkeiten für die Einführung eines Informationssicherheits-Managementsystems (ISMS) werden detailliert erläutert.

Besonderer Hinweis auf folgenden Vortrag:

29.10., 11:30 Uhr  Spezifische Anforderungen für Energieunternehmen: ISO/IEC TR 27019, BDEW Whitepaper sowie BDEW/Oesterreichs Energie Ausführungshinweise    
Dipl. Phys. Frank BREITSCHAFT, GAI NetConsult GmbH
▪ Überblick über die sektorspezifische Norm ISO/IEC TR 27019 für die EVU-Prozesstechnik Bereich Basissystem
▪ Berücksichtigung im Rahmen eines ISMS nach ISO/IEC 27001
▪ Anwendung von BDEW/OE Whitepaper und Ausführungshinweisen für die EVU-Prozesstechnik
▪ Beispiele und Erfahrungen aus Projekten der letzten zehn Jahre

Weitere Informationen finden Sie hier.

(04.03.2015)Deutsche Übersetzungen zu ISO/IEC 27001 / 27019 liegen vor - DIN SPEC 27009 zurückgezogen

Die folgenden beiden deutschen DIN Normen sind seit kurzem veröffentlicht und beim Beuth-Verlag verfügbar:

DIN ISO/IEC 27001:2015-03 (deutsche Übersetzung der ISO/IEC 27001:2013)

DIN ISO/IEC TR 27019:2015-03; DIN SPEC 27019:2015-03 (deutsche Übersetzung der ISO/IEC TR 27019:2013; ersetzt die DIN SPEC 27009, diese ist somit zurückgezogen)

Herr Dr. Beirer (GAI NetConsult GmbH) hat als nationaler und internationaler Editor der ISO/IEC 27019 den Übersetzungsprozess fachlich begleitet.

 

(03.03.2015)"Grundlagem zur IT-Sicherheit für EVUs" und "Technische Umsetzung von IT-Sicherheitsanforderungen"
Informationstage des BDEW am 28./29.04.2015 in Frankfurt/Main

Der BDEW-Informationstag „Grundlagen zur IT-Sicherheit für EVUs“ beschäftigt intensiv sich mit den bestehenden gesetzlichen IT-Sicherheitsanforderungen und gibt einen Ausblick auf die geplanten Initiativen und deren Inhalt und Auswirkungen auf die Unternehmen. Hinweis auf einen der Vorträge:

11.30 Uhr   Der BNetzA-Sicherheitskatalog für Netze und Umsetzungsaufwände  
Frank Breitschaft, Leiter Informationssicherheit, Mitglied der Geschäftsleitung, GAI NetConsult GmbH, Berlin 

Der BDEW-Informationstag „Technische Umsetzung von IT-Sicherheitsanforderungen in der Energiewirtschaft“ beschäftigt sich intensiv mit den Auswirkungen der neuen gesetzlichen Anforderungen. Experten aus der Branche beschreiben die Durchführung einer Risikoanalyse, das Aufstellen eines Netzstrukturplans und das Defence-in-depth-Prinzip. Experten vom BSI und der Branche beleuchten zusätzlich das Themengebiet SCADA-Sicherheit und Erläutern am Praxisbeispiel erkannte Sicherheitslücken durch Penetrationstests. Hinweis auf einen der Vorträge:

14.45 Uhr   Systematische Sicherheitsprüfungen bei Beschaffung und Betrieb von EVU-PDV-Systemen  
Frank Breitschaft, Leiter Informationssicherheit, Mitglied der Geschäftsleitung, GAI NetConsult GmbH, Berlin  

Weitere Informationen finden Sie hier.

(12.11.2014)Aktueller Entwurf zum ITSiGe

Das Bundesministerium des Innern (BMI) hat den Entwurf des IT-Sicherheitsgesetzes überarbeitet und am 05.11.2014 zur Kommentierung an die betroffenen Branchenverbände versandt. Im Internet ist der aktuelle Entwurf z.B. hier verfügbar.

Eine wesentliche Änderung gegenüber der Vorversion besteht darin, dass nunmehr neben dem Telekommunikationssektor explizit auch für die Energieversorgung auf die bestehenden Rechtsvorschriften referenziert wird und diese Sektoren von weiteren Verpflichtungen ausgenommen werden. Sowohl für die Umsetzung von Branchenstandards als auch der Meldeverpflichtungen verweist der BMI-Entwurf nun auf die im Energiewirtschaftsgesetz (EnWG) in Artikel 11 (1) enthaltenen Regelungen und die neuen, zukünftig im BSI-Gesetz (Gesetz über das Bundesamt für Sicherheit in der Informationstechnik) zu verankernden Regelungen aus dem IT-Sicherheitsgesetz finden keine Anwendung. Der aktuelle BMI-Entwurf sieht allerdings auch vor, die EnWG-Regelungen weiter zu konkretisieren und zu ergänzen. Eine wesentliche Änderung hierbei ist beispielsweise, dass über die Inhalte des Sicherheitskatalogs, der die Anforderungen nach §11 (1a) weiter konkretisieren wird, nun ein Einvernehmen zwischen BSI und  Bundesnetzagentur (BNetzA) herbeigeführt werden muss. Die Rolle des BSI wird hierdurch wesentlich gestärkt. Unseres Erachtens können sich hierdurch auch noch deutliche Veränderungen des Sicherheitskatalogs ggü. dem Ende 2013 vorgelegten Entwurf ergeben. Des Weiteren wird zusätzlich zu den in EnWG §11 Absatz 1a bereits festgelegten IT-Sicherheitsanforderungen für den Netzbetrieb ein zusätzlicher Absatz 1b neu eingefügt, der analoge Anforderungen an Anlagenbetreiber festschreibt. Diese gelten für Energieanlagen, die an ein Energieversorgungsnetz angeschlossen sind und nach einer noch zu erlassenden Rechtsverordnung als Kritische Infrastruktur eingestuft werden.  Es ist davon auszugehen, dass dies insbesondere konventionelle Kraftwerke, regenerative Erzeuger wie Wind- und Solarparks oder zukünftige Energiespeicher ab einer gewissen Mindesteinspeiseleistung betreffen wird. Eine zusätzliche Ergänzung in Absatz 1c konkretisiert die Meldepflichten für Netz- und Anlagenbetreiber, nach der Sicherheitsvorfälle mit konkreten oder potentiellen Auswirkungen auf den Netz- und Anlagenbetrieb direkt an das BSI zu melden sind, die diese wiederum an die BNetzA weiterleitet. Hierbei fällt auf, dass im Gegensatz zu den für andere KRITIS-Sektoren vorgesehenen Regelungen keine anonymisierten Meldungen möglich sind. Die Definition der zu meldenden Ereignisse ist weiterhin wenig konkret und umfasst potentiell eine Vielzahl meldepflichtiger Vorfälle.

Die Kommentierungsfrist zum aktuellen Entwurf endet bereits am 12.11.2014, eine Verbändeanhörung im BMI ist für den 17.11.2014 vorgesehen. Die kurzen Fristen unterstreichen die Planung der Bundesregierung, das Gesetz möglichst noch in diesem Jahr vom Parlament verabschieden zu lassen. Für Umsetzungsprojekte bei EVUs bleibt aber noch die Veröffentlichung der Sicherheitskataloge für Netz- und Anlagenbetreiber (sowie der Rechtsverordnung zu den KRITIS-relevanten Energieanlagen) abzuwarten.

(10.10.2014)Akute Bedrohungen und Schutzmechanismen für elektrische Netze

Termin: 10. - 11.12.2014 Location: Fleming´s Hotel Wien

Wie ist die Energiebranche in Österreich und Deutschland in Punkto Sicherheit aufgestellt? Welche Architekturen und Technologien sind sinnvoll und welche nachhaltigen Modelle und Lösungen gibt es konkret? Diese und andere brisante Fragestellungen werden in der Fachtagung „Akute Bedrohungen und Schutzmechanismen für elektrische Netze“ aufgeworfen und intensiv diskutiert. Die Konferenz bietet ein unabhängiges Forum, um mit Vordenkern und Spitzenvertretern der Energiebranche sowie hochqualifizierten Wissenschaftlern in Dialog zu treten und Lösungen für die Herausforderungen der Sicherheit der elektrischen Netze zu diskutieren, um akute Bedrohungen abzuwenden bzw. zu verhindern.

Besonderer Hinweis auf folgenden Vortrag:

11:00 Uhr IT-Sicherheit für die Energiewirtschaft - die internationale Norm ISO/IEC TR 27019
Dr. Stephan Beirer, Teamleiter Sicherheit in der Prozessdatenverarbeitung, GAI NetConsult GmbH, Deutschland

Weitere Informationen finden Sie hier.

(08.10.2014)BDEW-Informationstag „IT-Sicherheitsanforderungen für die Energiewirtschaft“ am 13.11.2014 in Leipzig
Politische Erwartungen, neue Anforderungen und Umsetzungsbeispiele

Der BDEW-Informationstag „IT-Sicherheitsanforderungen in der Energiewirtschaft“ beschäftigt sich intensiv mit den bestehenden gesetzlichen IT-Sicherheitsanforderungen und gibt einen Ausblick auf die geplanten Initiativen und deren Inhalte und Auswirkungen auf die Unternehmen.Darüber hinaus erläutern IT-Sicherheitsexperten aus der Branche z.B. die Anforderungen aus dem IT-Sicherheitskatalog und stellen konkrete Umsetzungsmöglichkeiten vor. Exklusiv geht der Informationstag auf einen vergangenen IT-Sicherheitsvorfall in Europa ein, erläutert Ursachen und Verlauf und beschreibt effektive Gegenmaßnahmen. 

Um 10:15 Uhr gibt es den folgenden interessanten Vortrag:

IT-Sicherheitskatalog der BNetzA zu §11 EnWG 
•  Letzter Stand der BNetzA-Anforderungen an Gas- und Stromnetzbetreiber
•  DIN ISO/IEC 27001, 27002, 27009 und 27019: Welche Norm regelt was?
•  Empfohlene Vorgehensweise zum ISMS-Aufbau im Prozessumfeld von EVUs
•  Erfahrungen aus Projekten der letzten zehn Jahre 
Dr. Stephan Beirer, Teamleiter Sicherheit in der Prozessdatenverarbeitung, GAI NetConsult GmbH

Weitere Informationen zur Veranstaltung finden Sie hier.

(1.09.2014)Fachartikel E-Health – Der „Neue Markt“ für Cyberkriminelle?

Die Zeitschrift <kes>, der führende Fachtitel im Bereich IT-Sicherheit (www.kes.info), veröffentliche am 11. August 2014 ein <kes>-Special mit dem Titel  "eHealth-Datenschutz und IT-Sicherheit in Arztpraxis und Klinik". Der Geschäftsführer der GAI NetConsult Wilfrid Kettler war mit dem Beitrag E-Health – Der „Neue Markt“ für Cyberkriminelle? vertreten. Aus dem Intro: "Versorgungsqualität erhöhen und gleichzeitig Kosten senken – beides erfordert auch  im Gesundheitswesen eine weitere Vernetzung von IT-Systemen und Softwarelösungen sowie die Automatisierung von Arbeitsprozessen über Systemgrenzen hinweg. Dies ruft aber auch ungebetene Akteure auf den Plan: Informationen aus dem Gesundheitssystem bringen bares Geld – nicht nur im Fall der gestohlenen Krankenakte eines mehrfachen Formel-1-Weltmeisters..."

Das <kes>-Special mit dem Artikel finden Sie hier.

(01.04.2014)Infotag am 5. Juni 2014 in Frankfurt am Main
Systemintegration für Netzbetreiber (Energiewirtschaft)

CONSULECTRA und GAI NetConsult stellen auf ihrem ersten gemeinsamen Infotag und im Rahmen einer Vortrags- und Diskussionsplattform das Thema Systemintegration für Netzbetreiber in den Fokus und laden dazu herzlich ein.

Informieren Sie sich über:

  • Herausforderungen, Ziele und Vorteile der Systemintegration
  • Integration als Schlüsselfaktor für die Prozessoptimierung und weitgehend automatisierte Arbeitsabläufe
  • Aufbau von Integrationsplattformen als Infrastruktur zum Zwecke der zukunftsfähigen Integration beliebiger Systeme unabhängig von Plattform, Sprache und Datenformat
  • Erfüllung kritischer Anforderungen wie Informationssicherheit und Fehlertoleranz
  • Wirtschaftliche Aspekte.

Die kompetenten Referenten berichten aus eigenen Projekterfahrungen und beleuchten die Aspekte der Integration aus verschiedenen Blickwinkeln. Seien Sie unser Gast, profitieren Sie von der 360-Grad-Sicht auf das Thema Systemintegration für Netzbetreiber und knüpfen Sie neue Kontakte.

Veranstaltungsort: Airport Conference Center, Frankfurt Airport Center 1 (FAC 1)
Frankfurt am Main, Deutschland, Telefon 069 69070500

Teilnahmegebühr: Die Teilnahmegebühr beträgt EUR 250,-- zzgl. MwSt.
Die Anmeldung ist verbindlich. Die Teilnehmeranzahl ist begrenzt - sichern Sie sich baldigst Ihren Platz.

Koordination: Fragen zur Veranstaltung? Wenden Sie sich bitte an:
Frau Silke Guske, Telefon 030 417898-555, E-Mail vertrieb(at)gai-netconsult.de

Hier finden Sie die Einladung mit der Agenda

Hier finden Sie das Anmeldeformular zum Faxen (Download)

Hier finden Sie die Online-Anmeldung

(01.04.2014)BDEW-Veranstaltung „IT-Sicherheitsanforderungen für die Energiewirtschaft“, 27. Mai 2014, Düsseldorf
Politische Erwartungen, neue Anforderungen und Umsetzungsbeispiele

12:15 Uhr "IT-Sicherheitskatalog der BNetzA zu §11 EnWG", Frank Breitschaft, GAI NetConsult GmbH

Weitere Informationen zur Veranstaltung finden Sie hier.

(01.04.2014)Forum Security Meets Energy vom 21. - 22. Mai 2014 in Berlin

Der Energiesektor benötigt neue Sicherheitskonzepte
Geprägt durch europäische Rahmenbedingungen und aufgrund nationaler Richtungsentscheidungen findet ein Wandel in der Energiewirtschaft statt. Die Verantwortung für die Sicherheit, Zuverlässigkeit und Verfügbarkeit im Energiesektor geht immer mehr in die private Hand bzw. in zahlreiche kommunale Wirtschaftsunternehmen über. Stadtwerke erhalten einen höheren Stellenwert und somit eine höhere Verantwortung für die Sicherstellung der Energieversorgung. Die Gewinnungs- und Versorgungslandschaften und deren Anlagen und Infrastrukturen müssen für einen sicheren und zuverlässigen Betrieb ausgelegt sein. Für die Betreiber der Versorgungsnetze gilt es hier insbesondere eine nachhaltige technische Gefahrenabwehr (u. a. Brandschutz, Einbruchsicherung, Überwachung mittels intelligenter Videosysteme) zum Einsatz zu bringen.

21.05.2014, 13:50 - 14:20 Themen-Vortrag "Sicherheitskatalog der BNetzA zu §11 EnWG für Strom- und Gasnetzbetreiber – Ihr Weg zur geforderten Zertifizierung nach ISO/IEC 27001" Frank Breitschaft, GAI NetConsult GmbH

Das vollstämdige Programm finden Sie «hier».

(30.01.2014)IBM: Lösungsanbieter treffen Infrastrukturdienstleister am 11.02.14 in Berlin

Die Keynote hält D. Weidenhammer zum Thema "Entwicklung und Betrieb sicherer SaaS-Anwendungen"

(20.12.2013)Entwurf eines "IT-Sicherheitskatalogs" zu § 11 Absatz 1a EnWG

Die Bundesnetzagentur hat kürzlich den Entwurf des Anforderungskatalogs zu §11 Absatz 1a EnWG veröffentlicht und den Anhörungsprozess gestartet, siehe Link. Demgemäß sind Netzbetreiber verpflichtet, binnen einen Jahres ein ISMS nach DIN ISO/IEC 27001 unter Berücksichtigung der DIN SPEC 27009 aufzubauen und zertifizieren zu lassen. Für Fragen stehen Ihnen unsere Mitarbeiter gerne zur Verfügung - insbesondere  Herr Dr. Beirer, der als Editor und Fachverantwortlicher die Entwicklung der DIN SPEC 27009 und ihrer internationalen Fassung ISO/IEC TR 27019 eng begleitet hat.

(17.10.2013)DKE-Fachtagung "Security in der Praxis der Netz- und Stationsleittechnik" am 5.12.2013 in Frankfurt/Main

Veranstalter und Programmkomitee ist der VDE-Gemeinschaftsarbeitskreis "Informationssicherheit in der Netz- und Stationsleittechnik". Die geplante Veranstaltung adressiert in erster Linie praxisbezogene Themen und fokussiert sich auf die Auswirkungen regulatorischer Vorgaben und den Einsatz neuer und bereits bestehender Normen und Spezifikationen auf die Betriebsführung in der Praxis.
Als Referenten wurden auch zwei Mitarbeiter der GAI NetConsult mit folgenden Beiträgen eingeladen:

Informationssicherheit im Netzbetrieb - die neue internationale Sicherheitsnorm ISO/IEC TR 27019
Dr. Stephan Beirer, GAI NetConsult GmbH

Sicherer Betrieb im Umfeld der Prozessdatenverarbeitung (PDV)
Frank Breitschaft, GAI NetConsult GmbH

Weitere Informationen zur Veranstaltung finden Sie hier

(20.09.2013)Fachtagung Energie - Messwesen 2013

Vom 19. - 20. November 2013 veranstaltet der BDEW (Bundesverband der Energie- und Wasserwirtschaft e.V.) in Berlin die Fachtagung Energie - Messwesen 2013.
Dr. Stephan Beirer, GAI NetConsult GmbH, ist am 19. November im Block B: IT-Sicherheit und Telekommunikationsanbindung mit einem Beitrag vertreten:
14.45 Uhr   Umsetzung der IT-Sicherheitsanforderungen für den Gateway-Administrator 

Weitere Informationen zur Veranstaltung finden Sie in diesem Flyer.

05.08.2013Fachartikel aus a+s Juli 2013

Mit freundlicher Genehmigung der a+s (zeitschrift für automation und security) können wir den Artikel von Dr. Stephan Beirer "Erweiterte Sicherheits-anforderungen für Prozessteuerungstechnik der Energieversorgung" auch hier veröffentlichen. 

(3.05.2013)Symposium Netzleittechnik 2013

Am 5. und 6. Juni 2013 veranstaltet die CONSULECTRA Unternehmensberatung GmbH in Hamburg ihr diesjähriges Symposium Netzleittechnik, an der als Referent auch unser Dr. Stephan Beirer mit dem Thema "Management der Informationssicherheit im EVU-Prozessbereich - Anwendung der Normen DIN 27009 / ISO 27019 und des BDEW-Whitepapers" teilnehmen wird.

Weitere Informationen erhalten Sie hier.

(30.04.2013)Neue internationale Sicherheitsnorm für EVU-Prozessleittechnik - ISO/IEC TR 27019

Der Fast-Track-Prozess der deutschen Sicherheitsnorm für EVU-Prozessleittechnik DIN SPEC 27009 wurde Ende April auf dem Plenum von ISO/IEC JTC1 SC27 in Sophia Antipolis / Frankreich erfolgreich beendet. Der internationale Standard wird demnächst von ISO und IEC als Technischer Report "ISO/IEC TR 27019 -- Information security management guidelines based on ISO/IEC 27002 for process control systems specific to the energy utility industry" veröffentlicht.

Wir gratulieren unserem Mitarbeiter Dr. Stephan Beirer, der als Projekteditor der Norm bei DIN und ISO/IEC SC27 den Fast-Track-Prozess begleiten durfte, zum erfolgreichen Abschluss des Standardisierungsprojekts.

Nachtrag: Im Juli 2013 wurde die ISO/IEC TR 27019 von ITTF veröffentlicht und kann für 140 CHF bezogen werden.  -> Bezugsquelle

(04.10.2012)OMNICARD 2013

Vom 15. bis 17. Januar 2013, veranstaltet inTIME berlin im "Grand Hotel Esplanade" in Berlin zum zwanzigsten Mal in Folge OMNICARD - der ultimative Kongress für die Smart Card / Smart Objects Community.

Programmauszug:

GROSSES FORUM 16-2: Kommunikations- und Diensteplattform im Smart Grid
Vortrag am 17.01.2013 um 12:00 Uhr von Frank Breitschaft (Leiter Informationssicherheit, Mitglied der Geschäftsleitung, GAI NetConsult GmbH)

In der Diskussion um den Aufbau eines Smart Grid wird die Konzeption einer Kommunikations- und Diensteplattform (KDP) intensiv diskutiert. Kerngedanke der KDP ist, abstrakt formuliert, die in einem Smart Grid benötigten Daten dezentral zu erheben, auszuwerten und den beteiligten Akteuren zur Verfügung zu stellen. Das Vortragsforum verfolgt inhaltlich die Ziele: Geschäftsmodelle für Verteilnetzbetreiber als Basis einer KDP mit Antworten zur Verortung der Verantwortlichkeit für eine KDP, Aufgaben und Funktionen einer KDP am Beispiel der Elektromobilität exemplarisch vorzustellen und notwendige IT-Sicherheitsaspekte zu diskutieren.

Das Programm OMNICARD 2013 erhalten sie «hier»

(06.09.2012)Grids - Smart, Safe, Secure

Am 23. und 24. Oktober 2012, veranstaltet der Carl Hanser Verlag GmbH & Co. KG im "The Rilano Hotel" in München eine Tagung zum Thema Grids - Smart, Safe, Secure.
 
Programmauszug:

Sicherheitsanforderung an den Betrieb von Energienetzen
Vortrag am 23.10.2012 um 14:30 Uhr von Frank Breitschaft (GAI NetConsult GmbH).

Das Programm "Grids - Smart, Safe, Secure" erhalten Sie  «hier».

(25.06.2012)Seminar-Serie "IT-Sicherheit"

Webanwendungen - Die Hintertür ins Unternehmen?

Am Dienstag, den 3. Juli 2012 informieren wir Sie, im Radisson Blu Scandinavia Hotel in Düsseldorf, über neueste Entwicklungen zur „(Un)Sicherheit von Webanwendungen“.

Ergänzt durch interessante Live-Demos werden die aktuellen Trends bei Angriffen und Gegenmaßnahmen in kompakter Form vorgestellt. Das kostenfreie Seminar bietet Ihnen die Möglichkeit in kurzer Zeit mehr über dieses immer brisanter werdende Thema zu erfahren und zu prüfen, ob Ihre eigenen Sicherheitsvorkehrungen noch ausreichend sind. Kompetente Fachleute stehen Ihnen durchgängig für Fragen zur Verfügung. Dieses Seminar wird von der GAI NetConsult im Rahmen der langjährigen Seminar-Serie „Informationssicherheit“ veranstaltet und richtet sich vorrangig an Entscheider und technisch Verantwortliche. Die Teilnehmerzahl ist eng begrenzt - sichern Sie sich baldigst Ihren Platz. Das Programm und die Faxanmeldung finden unten im PDF-Format.

Veranstaltungsort:Radisson Blu Scandinavia Hotel
Karl-Arnold-Platz 5
40474 Düsseldorf
Veranstaltungsbeginn:Die Veranstaltung beginnt um 09:15 Uhr
Einladung / Agenda:Die Einladung samt der Agenda erhalten Sie «hier»

(25.06.2012)IT Security Industrial & Automation

Am 13. und 14. November 2012 in Leipzig. Vortrag von Dr. Stephan Beirer, Teamleiter Sicherheit in der Prozessdatenverarbeitung, GAI NetConsult GmbH zum Thema: Sicherheitsschwachstellen in der Leit- und Automatisierungstechnik – Anonymisierte Fallbeispiele

Weitere Informationen erhalten sie «hier»

(25.06.2012)think smart – secure communication for energy networks

Am 21. November 2012 Düsseldorf. Vortrag von Dr. Stephan Beirer, Teamleiter Sicherheit in der Prozessdatenverarbeitung, GAI NetConsult GmbH zum Thema: New German Grid Security Standards: DIN-SPEC 27009 and OE/BDEW Best Practice Guidelines in Practice

Weitere Informationen erhalten sie «hier»

(25.01.2012)S4-Konferenz "SCADA Security Scientific Symposium"

Vom 18. bis 19. Januar 2012, veranstaltete Digital Bond im Florida International University (FIU) Konvens Conference Center in Miami Florida (USA) eine Konferenz zum Thema Sicherheit von SCADA- und Steuerungssystemen.

 

Technical Security in Smart Metering Devices: A German Perspective

Den Power Point Vortrag von Dr. Stephan Beirer & Holm Diening (GAI NetConsult GmbH)
erhalten Sie <<hier>>.

Das dazugehörge Video sehen Sie <<hier>>.

(24.10.2011)Augen zu und durch?
Das hilft nicht!

IT-Sicherheit als Herausforderung für Hersteller und Betreiber

Sicherheitsprobleme in der Prozessleittechnik beschränken sich nicht auf dort eingesetzte PC-basierte Komponenten. Das zeigen etwa die vielen kürzlich veröffentlichten Schwachstellen in Siemens-S7-Steuerungskomponenten. Die Problematik ist grundlegender Natur und erfordert ein generelles Umdenken.

Auch in aktueller Leittechnik sind eine Vielzahl von Sicherheitslücken und Design-Schwachstellen vorhanden. Das Sicherheitsniveau der hier genutzten Technik hinkt im Vergleich zur "klassischen" IT-Welt in Büroumgebungen und Rechenzentren um Jahre bis Jahrzehnte hinterher. Leider sind das bislang wenig thematisierte Tatsachen. In der Regel werden Sicherheitsvorfälle in diesen Bereichen nicht öffentlich gemacht. Experten diskutieren jedoch seit langem intensiv Systemausfälle aufgrund von Schadsoftwarebefall, Netzwerkstörungen und Manipulationsmöglichkeiten. Durch Stuxnet wurde die Problematik im Jahr 2010 erstmals auch der breiten Öffentlichkeit bekannt. Allerdings entstand in der folgenden Diskussion allzu leicht der Eindruck, dass es sich bei den durch den Wurm ausgenutzten Lücken um kleinere Fehlkonfigurationen und Schwachstellen handelt, die primär nur die in der Leittechnik genutzten Windows-Komponenten betrafen und laut Herstelleraussagen inzwischen alle behoben sind. Zudem wurde häufig betont, mit welch hohem Aufwand der Stuxnet-Angriff durchgeführt wurde und dass nur staatliche Organisationen die hierfür notwendigen Ressourcen besitzen würden.

Den gesamten Artikel erhalten Sie «hier»

SecuMedia Verlags-GmbH, Informationsdienst SCADA-Sicherheit, Oktober 2011

(02.05.2011)ETP-Konferenz "Intelligenter Datenaustausch zur Steuerung des modernen Verteilnetzes"

Vom 14.07. bis 15.07.2011, veranstaltet das EUROFORUM Deutschland SE im Airport Marriott Hotel in München eine Konferenz zum Thema "Intelligenter Datenaustausch zur Steuerung des modernen Verteilnetzes".

Programmauszug:

Stuxnet und andere Sicherheitsrisiken – Wie anfällig sind Smart Grids?
Vortrag am 15.07.2011 von Dr. Stephan Beirer (GAI NetConsult GmbH)

(02.05.2011)KISTERS PRAXISFORUM ENERGIE 2011

Vom 17.05. bis 18.05.2011, veranstaltet der Hersteller KISTERS AG im Steigenberger Hotel Frankfurt Airport in Frankfurt am Main ein Praxisforum zu den Themen "Energiemarkt" und "Leittechnik".

Programmauszug:

Informationssicherheit für moderne Leitsysteme - Umsetzung der BDEW-Anforderungen
Vortrag am 18.05.2011 von Dr. Stephan Beirer (GAI NetConsult GmbH)

(02.05.2011)IT-Sicherheits-Forum 2011

An insgesamt 2 Tagen, vom 23.05. bis 24.05.2011, veranstaltet die ComConsult Akademie im Maritim Hotel in Königswinter das alljährliche "IT-Sicherheits-Forum".

Programmauszug:

Angriff auf die Leittechnik - Stuxnet und die Konsequenzen
Vortrag am 23.05.2011, 16:15 - 17:00 Uhr von Dr. Stephan Beirer (GAI NetConsult GmbH)

  • Rückblick: Funktionsweise und Schadfunktion des Stuxnet-Wurms
  • Derzeitiger Stand: Systeme gepatcht -Lücken geschlossen?
  • Aktuelle Schwachstellen in der Prozessleittechnik: Gefährdung durch Nachahmungstäter
  • Ausblick: Konsequenzen für Leittechnik-Betreiber und Hersteller

Praktische Herangehensweise an BCM Projekte
Vortrag am 23.05.2011, 17:00 - 17:45 Uhr von Holm Diening (GAI NetConsult GmbH)

  • Überblick zum Notfallmanagement
  • Notfallszenarien und deren Bewältigung
  • Durchführung und Dokumentation von Notfalltests
  • Tooleinsatz im Notfallmanagement

(02.12.2008)Web-Application-Firewall - Basisschutz zum günstigen Preis

Die Gefahren der Hackerangriffe auf webbasierte Anwendungen im Inter-, Intra- bzw. Extranet steigen noch rasanter an, als erwartet. Dies erhöht die Dringlichkeit für die Unternehmen, ein schnelles, proaktives Handeln zum Schutz von Unternehmensdaten und Web-Applikationen, umzusetzen!

Ideal ist dies mit dem "sProxy" von Deny All in der Version 2.6, der Einstiegsversion der Web-Application-Firewall, möglich. Durch die Verwendung von ständig aktualisierten Black- und Scoring-Listen können ca. 70% aller Hackerangriffe frühzeitig geblockt werden und das ohne den oft erforderlichen Konfigurationsaufwand einer WAF betreiben zu müssen. Sowohl Installation als auch Konfiguration lassen sich in wenigen Stunden durchführen und auch eine Einweisung in das System kann an einem einzigen Tag erfolgen.

Eine spätere Migration von "sProxy" auf die mit umfangreicheren Möglichkeiten ausgestattete WAF-Lösung "rWeb" ist ohne weiteres möglich, inklusive Übernahme der vorhandenen Konfiguration. So können Sie sofort ihre wichtigen Web-Applikationen mit einem Basisschutz versehen und sich dann ausreichend Zeit nehmen, um die Notwendigkeit weiter gehender Schutzmaßnahmen zu verifizieren.

(01.12.2008)Sichere E-Mails für die sächsische Verwaltung

Das Sächsische Innenministerium hat den Zuschlag für eine Lösung zur zentralen E-Mail-Verschlüsselung und Signatur erteilt. Wie das Ministerium heute vermeldete, konnte sich im Rahmen der bundesweiten Ausschreibung die Berliner GAI Netconsult GmbH mit dem Unterauftragnehmer Zertificon Solutions GmbH durchsetzen. Ihre Lösung "Z1 SecureMail Gateway" wird ab 2009 im Freistaat Sachsen zum Einsatz kommen. Ziel des Projektes ist, den E-Mail-Verkehr in der sächsischen Verwaltung besser abzusichern. Beispielsweise soll so das Versenden vertraulicher Informationen, wie rechtssichere Bescheide, per E-Mail ermöglicht werden.

Die Landeshauptstadt Dresden ist einer der ersten Nutzer der neuen Funktionen. Die Ausschreibung erfolgte in enger Zusammenarbeit mit dem Eigenbetrieb IT-Dienstleistungen der Stadtverwaltung Dresden. Dabei flossen technische und funktionale Anforderungen ein, die in stadteigenen E-Government-Projekten sowie im Informationssicherheitskonzept ermittelt wurden. Nach dem erfolgreich abgeschlossenen Aufbau soll die Lösung "Z1 SecureMail Gateway" auch allen anderen sächsischen Landes- und Kommunalverwaltungen im Sächsischen Verwaltungsnetz zur Verfügung stehen, so das Innenministerium.

Security Journal
Aktuelle Techniken, Trends und Nachrichten aus der Welt der
Informationssicherheit

>> mehr

© 2024 GAI NetConsult GmbH, Am Borsigturm 58, D-13507 Berlin, Letzte Änderung 07.10.2024