Nachweispflicht für KRITIS Betreiber (Korb 2) rückt immer näher

Ein Informationssicherheitsmanagementsystem (ISMS) ist nach IT Sicherheitsgesetz zwingend notwendig für Betreiber Kritischer Infrastrukturen. Das ISMS, etwa ein System nach ISO 27001, muss nach dem Stand der Technik abgesichert sein und alle IT-Komponenten berücksichtigen, die für das Erbringen der kritischen Dienstleistung (kDL) notwendig sind.

Stand der Technik und B3S (Branchenspezifische Sicherheitsstandards) – was ist das?

Der Stand der Technik ist nicht universal festgelegt. Das BSI (Bundesamt für Sicherheit in der Informationstechnik) hat es den betroffenen Branchen freigestellt, einen oder mehrere B3S zu erstellen, die den Stand der Technik in ihrer Branche (oder einem Teilbereich) definieren. Diese bilden einerseits die Grundlage für den Aufbau eines ISMS, dienen andererseits auch als Grundlage für die Prüfung.
Eine Übersicht über die veröffentlichten bzw. beantragten B3S ist auf der Webseite des BSI zu finden.

Was KRITIS-Betreiber jetzt tun müssen

Für Betreiber Kritischer Infrastrukturen wird folgende Vorgehensweise empfohlen, um den Anforderungen des IT-Sicherheitsgesetzes nachzukommen:

  • Geltungsbereich festgelegen und alle kDL einbeziehen
  • zugrundeliegende kDL-relevante Prozesse erheben und dokumentieren
  • kDL-relevanten IT-Systeme und deren Hilfssysteme identifizieren
  • eine Risikoanalyse und -bewertung der Systeme in Bezug auf die kDL durchführen
  • aus der Risikobewertung entstandene nötige Sicherheitsmaßnahmen planen, umsetzen und dokumentieren
  • Prüfgrundlage wählen (sofern ein B3S existiert, ist dieser empfohlen zu nehmen, da er den vom BSI akzeptierten Stand der Technik enthält)
  • Dokumentation entsprechend der Prüfgrundlage bereitstellen
  • Prüfung beauftragen

Wie läuft die Prüfung ab?

Nach der Beauftragung der GUTcert werden die Rahmenbedingungen, wie z.B. die Prüfgrundlage, Prüfungszeitraum etc. abgestimmt. Die GUTcert stellt anschließend ein geeignetes Prüfteam zusammen, das über die geforderten Kompetenzen (Verfahrenskompetenz, Auditkompetenz, IT-Sicherheitskompetenz sowie Branchenkompetenz) verfügt.

Der leitende Prüfer wird dann die Dokumente entsprechend der Prüfgrundlage anfordern und diese prüfen. Dies dient dazu, schon vorab erste große Mängel aufzudecken, die dann noch vor der Vor-Ort-Prüfung beseitigt werden können. Nach der Dokumentenprüfung wird ein detaillierter Prüfplan erstellt, in dem die einzelnen Prüfschritte dargelegt sind.

In der Vor-Ort-Prüfung wird dann die Wirksamkeit der eingeführten Regelungen begutachtet. Dazu werden Interviews geführt, IT Systeme und Räume besichtigt und weitere Dokumente eingesehen.

Erforderliche Nachweise

KRITIS Betreiber müssen als Nachweis der erfolgten Prüfung vier Nachweisdokumente an das BSI senden. Sie erhalten außerdem einen Auditbericht, den das BSI auf Anfrage nachfordern kann. Diese Dokumente stellt die GUTcert, nach erfolgreicher Prüfung vor Ort, für den KRITIS Betreiber aus.

Stichtag für das Einreichen beim BSI ist der 30.06.2019.

Schulungen zum Thema Informationssicherheitssysteme

Unsere GUTcert Akademie bietet viele praxisorientierte Seminare zum Thema Informationssicherheitssysteme an, u.a. eine Schulung zum Informationssicherheitsbeauftragten/-auditor nach ISO 27001 (GUTcert). Verschaffen Sie sich das nötige Know-how, um Ihre Organisation kompetent abzusichern.

Für Informationen zum Schulungsprogramm steht Ihnen das Team der GUTcert Akademie (+49 30 2332021-21) zur Verfügung.

Fragen rund um das Thema KRITIS und Anfragen zur Nachweiserbringung beantwortet Ihnen gerne Herr Marcel Däfler, Tel.: +49 30 2332021-79.

Originalmeldung direkt auf PresseBox lesen
Mehr von Firma PresseBox

Stadtwerke Ingolstadt setzen bei Smart Metering auf Schleupen

Bereits mehr als 100 Stadtwerke setzen auf die ISMS-zertifizierte und BSI-konforme Komplettlösung zur Smart Meter Gateway Administration (SMGWA) der Schleupen AG. Jetzt ist auch bei den Stadtwerken Ingolstadt Beteiligungen GmbH (SWI) die Entscheidung gefallen. Damit gewinnt die Schleupen AG, die mit über 2,4 Mio. Zählpunkten einer der führenden Anbieter für SMGWA-Lösungen ist, rund 80.000 weitere Zählpunkte hinzu.

„Das Produkt der Schleupen AG passt einfach ideal in die Geschäftsprozesse der SWI.“, begründet Geschäftsführer Matthias Bolle die Entscheidung. „Jetzt sind die SWI bereit für den Rollout, sobald das Bundesamt für Sicherheit in der Informationstechnik die ausstehende Zertifizierung weiterer Geräte abgeschlossen hat und den Startschuss gibt.“

Die Lösung der Schleupen AG verfügt über eine moderne Software-Architektur und ist dank ihrer hohen Skalierbarkeit für große und kleine Energieversorger geeignet. Da sie alle nötigen Zertifikate nach ISO 27001 und TR-03109-6 mitbringt, hilft sie dem Betreiber, den eigenen Zertifizierungsaufwand in engen Grenzen zu halten oder sogar zu vermeiden.

Als zertifizierte Sub-CA kann die Schleupen AG die Anwender mit allen notwendigen Zertifikaten ausstatten, die zum rechtskonformen Betrieb intelligenter Messsysteme notwendig sind. Damit ist der Softwarehersteller derzeit der einzige Anbieter, der eine vom BSI freigegebene Sub-CA und gleichzeitig eine Plattform zur Gateway Administration betreibt.

Wie bei allen anderen Anwendern wird die SMGWA-Plattform für die SWI als Service in der Schleupen.Cloud betrieben. Mit einem zertifizierten Rechenzentrum in Karlsruhe stellt das Unternehmen sicher, dass die hohen Anforderungen des deutschen Datenschutzrechts eingehalten werden.

Originalmeldung direkt auf PresseBox lesen
Mehr von Firma PresseBox

Tageskurs für KRITIS-Energieerzeuger: Der neue IT-Sicherheitskatalog

Nachdem die Bundesnetzagentur zunächst im August 2015 einen IT-Sicherheitskatalog für Betreiber von Strom- und Gasnetzen veröffentlicht hat, folgte im Dezember 2018 eine neue Version für Energieerzeuger.

Betroffen sind alle Betreiber von Energieanlagen, die unter die KRITIS-Regelung fallen. Diese müssen, neben anderen Anforderungen, bis 2021 ein zertifiziertes Informationssicherheitsmanagementsystem nach ISO/IEC 27001 nachweisen.

Kurs in Kooperation mit KSG klärt Fragen für Energieerzeuger

Ein neuer Tageskurs, den die GUTcert Akademie in Kooperation mit der Kraftwerks-Simulator-Gesellschaft mbH (KSG) durchführt, zeigt verantwortlichen Fach- und Führungskräften betroffener Anlagen, wie genau die Anforderungen des Sicherheitskatalogs zu verstehen sind und wie sie in der Praxis umgesetzt werden.

Die Schulung „Informationssicherheits-Managementsysteme nach IT-Sicherheitskatalog gem. §11 1b EnWG i.V.m. ISO/IEC 2700x für Betreiber von zertifizierungspflichtigen Energieerzeugern (KRITIS)“ findet am 14.05.2019 in Berlin statt. Weitere Termine sind in Planung, auf Anfrage informieren wir Sie gerne.

Details zum Kursinhalt und die Anmeldung finden Sie hier. Bei Fragen zur Weiterbildung oder zum sonstigen Schulungsangebot steht Ihnen das Team der GUTcert Akademie unter +49 30 2332021-21 zur Verfügung.

Zum Thema ISMS und KRITIS ist Marcel Däfler (+49 30 2332021-79) Ihr Ansprechpartner.

Übrigens: Auch zum IT-Sicherheitskatalog von 2015 für Energienetzbetreiber bieten wir eine sechstägige Pflichtschulung für Auditoren an.

Originalmeldung direkt auf PresseBox lesen
Mehr von Firma PresseBox

Adiccon-Informationstag für das Gesundheitswesen erhält viel Lob von den Teilnehmern

Der 2. Informationstag für das Gesundheitswesen der Adiccon GmbH für IT-Leiter und IT-Sicherheitsbeauftragte aus Krankenhäusern und Klinikgruppen wurde von den Teilnehmern sehr positiv bewertet. Die gelungene, klinik-kompatible Themenkombination aus Informationssicherheit/Einführung eines Information Security Management Systems, Schutzmaßnahmen zur Abwehr von Cyber-Angriffen und interessanter neuer Alternativen zu Personalthemen der Klinik-IT-Abteilungen orientierte sich an den aktuellen Diskussionen des Marktes.

Die Veranstaltung des Beratungspartners für Krankenhäuser beschäftigte sich mit Fragen wie

  • Wie beschreitet ein Krankenhaus erfolgreich den Weg zur Umsetzung eines ISMS?
  • Wie unterstützen TOM bei der Umsetzung der IT-Sicherheit?
  • Wie kann ein Penetrationstest vor externen Angriffen schützen?
  • Gibt es Chancen zur Reduzierung personeller Engpässe in IT-Abteilungen durch den zeitlich begrenzten Einsatz fachkompetenter Know-how-Träger?

Die Teilnehmer konnten zahlreiche konkrete, nutzenorientierte Informationen für ihren Klinikalltag mitnehmen. Besonders positiv wurde der Workshop-Charakter der Veranstaltung bewertet.

Die nächsten Adiccon-Informationstage finden am 6. November (Darmstadt) und am 8. November (Berlin) statt.

Originalmeldung direkt auf PresseBox lesen
Mehr von Firma PresseBox

BSI-KRITIS-Verordnung: Weitere Krankenhäuser erreichen Schwellenwert

Der Schwellenwert zur Identifikation kritischer Infrastrukturen im Bereich der Krankenhäuser wurde vom Bundesamt für Sicherheit in der Informationstechnik (BSI) auf 30.000 vollstationäre Behandlungsfälle pro Jahr festgelegt. Dieser Schwellenwert bezieht sich auf das Vorjahr. Gemäß der BSI-KRITIS-Verordnung haben Krankenhäuser jeweils bis zum 31. März zu prüfen, ob sie diesen Schwellenwert erreichen oder überschreiten. In diesem Fall sind sie aufgefordert, eine entsprechende Meldung an das BSI zu übermitteln Das Krankenhaus gilt ab dem Folgetag (1. April) als kritische Infrastruktur im Sinne des BSI-Gesetzes.

Dieser Situation sehen sich demgemäß alle Krankenhäuser gegenüber, die bislang knapp unter dem Schwellenwert lagen (zwischen 29.000 und 29.999 vollstationären Fällen p.a.).

Mit dem im Dezember zum ersten Mal als Gesamtdokument vorgelegten branchenspezifischen Sicherheitsstandard (B3S), der zur Zeit vom BSI geprüft wird, steht den KRITIS-Häusern und allen, die es in Kürze werden, ein definiertes Rahmenwerk zur Etablierung eines angemessenen Sicherheitsniveaus bei gleichzeitiger Wahrung des üblichen Versorgungsniveaus der Patientenversorgung und der Verhältnismäßigkeit der umzusetzenden Maßnahmen zur Verfügung. Der Kern des B3S ist die Einführung eines Informationssicherheits-Management-Systems (ISMS), das grundlegende Vorteile für die Umsetzung eines transparenten Sicherheitsstandards in der heterogenen Systemlandschaft der Krankenhäuser bietet.

Die Krankenhäuser, die an der Schwelle zur KRITIS-Einstufung stehen, sollten sich umgehend mit dem Thema ISMS beschäftigen. Die Adiccon GmbH als erfahrener, klinikorientierter Beratungspartner bei allen Themen der Informationssicherheit bietet entsprechende Dienstleistungspakte an und steht für Informationsgespräche gerne zur Verfügung.

Originalmeldung direkt auf PresseBox lesen
Mehr von Firma PresseBox

Zulieferer in der Automobilindustrie für TISAX® fit machen

Stuttgart und Ratingen, 30.01.20019:
Zulieferer in der Automobilindustrie, die sich für das TISAX®-Label fit machen müssen, erhalten dank einer strategischen Partnerschaft zwischen der ICS AG und der Neupart GmbH ab sofort handfeste Unterstützung. Die ICS AG berät bis zum Erreichen des TISAX®-Nachweises, Neupart liefert dazu mit Secure ISMS das maßgeschneiderte Management-Tool.

Viele Zulieferer in der Automobilindustrie haben kein oder ein unzureichendes Informationssicherheit-Managementsystem (ISMS), um die Vorgaben für den TISAX®-Nachweis zu erfüllen. Michael Kirsch, Leiter der Geschäftsfeldentwicklung bei der ICS AG weiß: „Oft schaffen es die Unternehmen nicht aus eigener Kraft, die Prüffähigkeit zu erreichen. Dank unserer Kooperation mit der Neupart GmbH führen wir die Unternehmen jetzt bis zur Prüfreife und bieten gleichzeitig das passende Management-Tool an.“

Sicher und effizient zu nachhaltig gelebter TISAX®-Reife

Mit Secure ISMS für TISAX® stellen beide Partner weltweit zum ersten Mal ein Tool zur Verfügung, das es ermöglicht, den Workflow und das Management gemäß den TISAX-Vorgaben effizient umzusetzen und zu leben. Karl Otte, Seniorberater Informationssicherheit & Datenschutz bei der Neupart GmbH, erläutert: „Gemeinsam mit den Experten der ICS AG haben wir in Secure ISMS die Anforderungen für TISAX® eingepflegt. Das Modul enthält jetzt alle nötigen Normenkapitel des Labels, wobei die allgemeinen Bereiche sowie die gesetzlichen Vorgaben zur Informa¬tionssicherheit und des Datenschutzes bereits vorbereitet sind.“ Esben Mogensen, Sales Manager bei Neupart GmbH, fügt hinzu: „Und das Beste daran: Wenn unterschiedliche Normen und Labels mit dem Neupart Tool verwaltet werden, brauchen bereits vorhandene Dokumente nur einmal gepflegt werden.“

Kirsch, der 2017 mit der ICS AG die Zertifizierung nach ISO 27001 durchlaufen hat, weiß die Vorzüge eines maßgeschneiderten Management-Tools zu schätzen: „Wir haben Secure ISMS selbst im Einsatz und erleben täglich, welchen Mehrwert uns das Tool bringt. Mit der Partnerschaft bieten wir unseren Kunden, die wir zur TISAX®-Reife führen, jetzt auch diesen Mehrwert.“

Partnerschaft für kalkulierbaren Einstieg und Revisionssicherheit

Die ICS AG berät und unterstützt Unternehmen bei der Analyse zum Stand ihrer Informationssicherheit und ihres Datenschutzes. Außerdem begleitet sie auf dem Weg zu einem nachhaltigen ISMS, wenn gewünscht bis zur Zertifizierung nach ISO 27001. Mit ihren Beratungs-produkten DigiS und DigiS+ bieten die Sicherheitsexperten kalkulierbare Unterstützung und Beratung, die über das Förderprogramm go-digital des Bundesministeriums für Wirtschaft und Energie (BMWi) förderfähig ist.

Keine Revisionssicherheit ohne nachhaltiges ISMS

Secure ISMS von Neupart GmbH ist ein Komplettpaket, mit dem die Arbeitsabläufe und Vorgaben zu Informationssicherheit und Datenschutz nachhaltig und umfassend verwaltet werden können. TISAX ist ein Prüf- und Austauschverfahren, das auf dem standardisierten VDA ISA Fragenkatalog basiert, der wiederum eng an die international anerkannte Sicherheitsnorm ISO/IEC 27001 angelehnt ist. Die ISO 27001 beschreibt die Anforderungen an ein ISMS, welches die Basis für gelebte und nachhaltige Informationssicherheit sowie Datenschutz bildet. Das TISAX®-Label muss alle drei Jahre erneuert werden. Grundlage für eine erfolgreiche Neuprüfung ist ein effektives und nachvollziehbares Managementsystem.

Secure ISMS für TISAX® von Neupart GmbH kann mit dem Beratungspaket DigiS+ der ICS AG als Software as a Service (SaaS) abonniert oder lokal auf einem Unternehmensserver installiert werden.

Originalmeldung direkt auf PresseBox lesen
Mehr von Firma PresseBox

Internationaler Industriekonzern beauftragt IS4IT mit Support für Zertifizierung

Der Konzern wurde seitens seiner Kunden aufgefordert, den Nachweis über die Sicherheit einer Software per Zertifizierung zu erbringen. Da dies in dieser Form nicht einfach möglich ist, entschied man sich, den gesamten Erstellungsprozess der Software sowie den Cloudbetrieb und das zugehörige Managementsystem zertifizieren zu lassen. Um möglichst effizient und zielorientiert vorzugehen, entschied man sich für die Zusammenarbeit mit IS4IT. Der praxisorientierte Ansatz im Sinne von „agiler Zertifizierung“ sorgt dafür, dass Unternehmen ihre Zertifizierungsreife sehr schnell erreichen können.

Mehrstufiges Vorgehen ohne unnötigen administrativen Overhead

Der Prozess zur Zertifizierung gliedert sich in zwei Phasen. In der Planungsphase wird ein detaillierter Maßnahmenplan gemeinsam mit dem Kunden entwickelt, der als Grundlage zur anschließenden Umsetzung im ISMS dient. IS4IT begleitet die Kunden auch noch während der Zertifizierungs-Audits bis hin zur erfolgreichen Zertifizierung des ISMS.

Für den Industriekonzern wurden während der ersten Phase zwei Workshops durchgeführt. Im Rahmen eines eintägigen Scoping-Workshops wurde der Anwendungsbereich der Zertifizierung bestimmt, relevante interne und externe regulatorische Vorgaben identifiziert sowie weitere Anforderungen festgehalten. An dem Workshop waren vier Mitarbeiter der IS4IT sowie von Kundenseite der CIO, Führungskräfte aus dem Bereich Produkt-Support, Projektmanagement, Software-Entwicklung und Cloud-Betrieb beteiligt. Um das Ziel der Zertifizierungsreife des ISMS auf Basis ISO/IEC 27001:2013 möglichst schnell  zu erreichen, entschied man sich, den Fokus im Projekt auf Software-Entwicklung, Cloud-Service-Betrieb und die Kundenbetreuung zu legen. Die Zertifizierungen der Geschäftsbereiche Vertrieb und Marketing wurden auf einen späteren Zeitpunkt vertagt.

Zwei Wochen später wurde im Rahmen einer intensiven Gap-Analyse der Reifegrad und die prozessuale Tiefe des Unternehmens ermittelt, um zu klären, inwieweit die Normanforderungen bereits erfüllt sind bzw. wo Defizite bestehen. Von Mittwoch bis Freitagvormittag führte das IS4IT-Team die Interviews mit den Verantwortlichen durch und stellte sofort den daraus resultierenden Maßnahmenplan zur Verfügung, der der Geschäftsführung als Entscheidungsvorlage Freitagnachmittag präsentiert wurde.

„Der Zeitrahmen war etwas ambitioniert“, erinnert sich Björn Rudner, Senior Consultant und Projektleiter der IS4IT GmbH. „Aber das Management war von dem Ergebnis begeistert, denn eine verständliche Exceldatei mit rund vierzig Maßnahmen war das Resultat für den Kunden und kein ‚dickes Buch mit sieben Siegeln‘. Somit wurde unser Angebot über Projektmanagement und Betreuung der Einführung des ISMS bis zur Zertifizierung umgehend angenommen.“

Vierzig Maßnahmen bis zur Zertifizierungsreife

Auch das beauftragte Folgeprojekt ist entsprechend ehrgeizig. Hinter den vierzig Maßnahmen, die bis zu den Zertifizierungsaudits im Sommer umzusetzen sind, verbirgt sich ein umfassender Katalog an Aktivitäten. Dieser umfasst die Erweiterung des Rahmenwerks des ISMS, die Abstimmung der Informationssicherheitsziele als übergeordnete Leitlinie mit Stakeholdern aus dem Management und den Kunden unter Berücksichtigung der Vorgaben der Konzernmutter, die Zentralisierung der Dokumentenlenkung, die Ausarbeitung eines internen Auditprogrammes sowie die Festlegung der Prozesse des Risikomanagements. Dabei werden Personal- und Sicherheitsthemen ebenso adressiert wie die Prozesse aus dem Betrieb oder dem Produktsupport. Weitere Bereiche, die im Rahmen des Projektes überprüft werden, sind die Einhaltung der Datenschutzvorgaben sowie die Konformität mit DSGVO und anderen gesetzlichen Regularien.

Für den definierten Anwendungsbereich müssen die notwendigen Vorgaben definiert bzw. finalisiert und die Einhaltung der Vorgaben überprüft werden. Darüber hinaus werden die Mitarbeiter durch ein entsprechendes Awareness-Programm qualifiziert. Dabei setzt IS4IT auf einen hybriden Ansatz zwischen Wasserfall- und sprintbasiertem, agilen Projektmanagement, um die geforderte Umsetzungsgeschwindigkeit zu erreichen.

„Unsere Mitarbeiter prüfen, ‚Was ist vorhanden?‘, und ergänzen Prozesse und Dokumentationen im Bedarfsfall, sodass die Einhaltung der Normvorgaben gewährleistet ist und einer erfolgreichen Zertifizierung nichts im Wege steht. Dank des technischen Know-hows unserer Consultants, was Entwicklung und Betrieb angeht, gehen unsere Management-Berater sehr praxis- und damit kostenorientiert vor. Das Feedback der Kunden zeigt, dass diese Vorgehensweise sehr geschätzt wird“, sagt Björn Rudner abschließend.

Weitere Informationen zu den Leistungen der IS4IT im Bereich Zertifizierung finden Sie unter www.is4it.de.

Originalmeldung direkt auf PresseBox lesen
Mehr von Firma PresseBox

Eine neue Ära beginnt: MaKo2020

Die neue sternförmige Marktkommunikation und der tatsächliche Beginn des Rollouts der Smart Meter Gateways werden die Energiebranche 2019 in Atem halten. Die Schleupen AG stellt passgenaue und effiziente Lösungen vor, um den Herausforderungen zu begegnen. Im Mittelpunkt steht die gesetzeskonforme und termingerechte Unterstützung der Marktkommunikation 2020 sowie die ISMS-zertifizierte und BSI-konforme Komplettlösung zur Smart Meter Gateway Administration (SMGWA). Auch Themen wie IT-Sicherheit und die optimale Unterstützung von Kundenservice-Prozessen über alle Kommunikationskanäle in der Versorgungswirtschaft stehen im Fokus der diesjährigen Messepräsentation.

2019 tritt nach den Vorgaben der Bundesnetzagentur das überarbeitete Zielmodell einer sternförmigen Marktkommunikation in Kraft – eine tiefgreifende Veränderung, die leicht unterschätzt werden kann. Tatsächlich revolutioniert das Zielmodell aber Prozesse und Systeme grundsätzlich und stellt alle Markteilnehmer vor enorme Herausforderungen. Die Schleupen AG wird im Rahmen der Softwareplattform Schleupen.CS die neuen Prozesse zuverlässig, gesetzeskonform und termingerecht zum Stichtag 01.12.2019 zur Verfügung stellen.

Daneben geht es um Wege, die neuen Wahlmöglichkeiten nach dem Messstellenbetriebsgesetz (MsbG) als Chance zu nutzen. Schleupen.CS unterstützt beide Ausprägungen der Marktrolle Messstellenbetreiber – grundzuständig sowie wettbewerblich – rechtskonform und effizient. Gerade für wettbewerbliche Messstellenbetreiber dürfte die Lösung interessant sein, da hier eine hochmoderne, nur auf den Messstellenbetrieb ausgelegte Lösung angeboten werden kann. Die Möglichkeit, das System als Service in der Schleupen.Cloud laufen zu lassen, sorgt dabei für einen effizienten Betrieb ohne hohe Investitionen in die IT-Infrastruktur.

Oben auf der Agenda bleibt weiterhin das Thema Smart Meter Gateway Administration. Nachdem die Zertifizierung und damit der Rolloutprozess ins Stocken kam, ist jetzt tatsächlich Bewegung zu erwarten. Auf dem Messestand stellt die Schleupen AG ihre ISMS-zertifizierte und BSI-konforme, praxiserprobte Komplettlösung vor, die bereits mehr als 100 Stadtwerke mit weit über 2,4 Mio. Zählern beim Rollout unterstützen wird. Außerdem werden erste Lösungsansätze zum Controllable-Local-System (CLS)-Management vorgestellt und die Frage thematisiert, wie sich mit der modernen Technik Energieanlagen optimal steuern lassen.

Die Schleupen AG trägt dem anhaltenden Trend zum Cloud-Service Rechnung. Viele Versorgungsunternehmen haben sich bereits für die Schleupen.Cloud entschieden und nutzen Schleupen.CS als Service. Mit dem Hosting von insgesamt mehr als 700.000 Zählpunkten ist das Software Unternehmen der größte Rechenzentrumsbetreiber von Schleupen.CS.

"In einem Markt, in dem alles immer komplexer wird, ist es ein entscheidender Wettbewerbsvorteil, die Komplexität für den Anwender zu reduzieren.", bringt Dr. Volker Kruschinski, Vorstandsvorsitzender der Schleupen AG die strategische Stoßrichtung des Unternehmens auf einen Nenner. "Unser Konzept von Schleupen.CS als „Plattform der Möglichkeiten“ zielt genau in diese Richtung. Modernste Software-Entwicklungstechnik ermöglicht uns, extrem schnell auf veränderte Prozesse zu reagieren und sie so abzubilden, dass der Kunde effizient und einfach damit arbeiten kann." In diesem Sinne wird auch die neue, HTML5-basierte Benutzungsoberfläche präsentiert, die es dem Sachbearbeiter erleichtert, eine Vielzahl von Prozessen komfortabel zu bearbeiten.

 

Originalmeldung direkt auf PresseBox lesen
Mehr von Firma PresseBox

Gesicherte Überwachung von Energieanlagen

Im Bereich Smart Energy auf der E-World vom 5.-7. Februar 2019 in Essen stellt EES Neuheiten auf dem Stand 112 in der Halle 5 aus, die die Themen ISMS, BDEW-Whitepaper Konformität und Schutz kritischer Infrastrukturen fokussieren – innovative Lösungen für die zukünftige Energieversorgung.

Das klare Anzeigen und Signalisieren von Anlagenzuständen bildet die Basis für das Bedienpersonal schnell zu reagieren, um Ausfälle und Wiedereinschaltzeiten in der Energieverteilung zu verkürzen. In der Energieversorgung werden zur Kommunikation mit der Leittechnik oftmals die Protokolle IEC 60870-5-101 oder -104 eingesetzt. Neben den Meldungs- und Gerätezuständen, die an übergeordnete Systeme übermittelt werden, können mit den EES Störmeldern verschiedene Links aus Redundanzgründen oder verschiedene Hosts bedient werden. Ebenso ist das neue standardisierte IEC 61850 Protokoll in den Störmeldetechnik-Produkten von EES implementiert, um mit anderen Busteilnehmern oder der Stationsleittechnik Informationen über den Stationsbus auszutauschen.

Auch die Lumpensammler-Funktion kann durch ein USM-Störmeldegerät von EES optimal abgebildet werden, ohne dabei Schutz- oder Feldleitgeräte zu missbrauchen. Sowohl Einzel- und Doppelmeldungen als auch -befehle sind über den integrierten Webserver in der CID-Datei parametrierbar.

Die neuen Highlights in der Störmeldetechnik umfassen die Mehrfarbigkeit in der BSM/USM-Serie durch neue RGB-LEDs, eine Weitbereichsspannungsabdeckung für die Signaleingänge und eine Verarbeitung von Analogwerten.

Im Bereich der Fernwirktechnik ist die LTE-Integration für die MFW-Serie und WebRTU abgeschlossen, sowie die Möglichkeit zur verschlüsselten Kommunikation gegeben.

Letzteres ist insbesondere bei der Nutzung von Netzwerkprotokollen die effektivste Vorsorge gegen die Manipulation von Daten. Durch Bereitstellung von u.a. diversen Standards wie https, Dienste und Port Verwaltung über Firewall Einstellungen, erfüllen die Geräte IT-Security-Funktionen, die den BDEW Whitepaper Vorgaben entsprechen.

Originalmeldung direkt auf PresseBox lesen
Mehr von Firma PresseBox

Leitfaden: Meldepflicht ist Sellbstschutz

  • Geringe Zahl von IT-Sicherheitsmeldungen Kritischer Infrastrukturen an das BSI legt fehlende Diagnosefähigkeiten nahe
  • Gängige Sicherheitslösungen melden weder langfristig angelegte Hackerkampagnen noch netzwerkinterne Störungen
  • Neues Whitepaper »Meldepflicht in Kritischen Infrastrukturen« zeigt, wie auch Beinahstörungen erkannt und Vorfälle richtig eingeschätzt werden können 

Rhebo veröffentlicht ein Whitepaper zur Umsetzung der Meldepflicht in Kritischen Infrastrukturen und wesentlichen Dienstleistungen in Deutschland, Österreich und der Schweiz. Das Whitepaper adressiert speziell die Aspekte der Meldepflicht, die für viele Verantwortliche für die Netzleittechnik und Leitsysteme nur schwer realisierbar sind:

  • Meldung von Vorgängen, die beim Auftreten nicht als bösartig eingestuft werden und erst zukünftig zu Beeinträchtigungen führen können;
  • Bewertung der Erheblichkeit von Störungen;
  • Meldung aller Details zu einem Vorfall.

Hohes Gefährdungsrisiko, geringe Sichtbarkeit

Cyberattacken wie Industroyer und Dragonfly 2.0 haben jedoch gezeigt, wie sensibel die Infrastrukturen sind, wie professionell und langfristig Angreifer agieren und welche Auswirkungen für die Versorgungssicherheit bestehen.

Zwischen Juni 2017 und Mai 2018 wurden von Energie- und Wasserunternehmen jedoch nur 46 Vorfälle an das Bundesamt für Sicherheit in der Informationstechnik (BSI) gemeldet. Dem gegenüber stehen aktuell über 800 Millionen Schadprogramme (bei einer Wachstumsrate von 400.000 pro Tag) sowie unzählige nicht bekannte oder nicht gepatchte Sicherheitslücken. Hinzu kommen mehrstufige Angriffskampagnen, die – wie Industroyer und Dragonfly 2.0 – häufig über Monate bis Jahre unerkannt in den Unternehmensnetzwerken aktiv sind. Ergebnisse aus Rhebo Industrie 4.0 Stabilitäts- und Sicherheitsaudits in der Netzleittechnik Kritischer Infrastrukturen bestätigen eine naheliegende Vermutung: ein Großteil der Vorfälle in den Netzwerken wird durch gängige Sicherheitslösungen wie Firewalls & Co. nicht erkannt. Das betrifft insbesondere Vorfällen:

  • die Firewalls überwinden oder umgehen;
  • die innerhalb der Netzleittechnik oder Leitsysteme entstehen;
  • die langfristig wirken und somit auf den ersten Blick nicht relevant wirken;
  • für die nicht eindeutig ersichtlich ist, ob sie zu einer erheblichen Beeinträchtigung der Infrastrukturen führen können.

Das Whitepaper »Meldepflicht in Kritischen Infrastrukturen – Anforderungen und Umsetzung für Energieerzeuger, Energieversorger und Wasser-/Abwasserunternehmen in der DACH-Region« adressiert die Detektion und Dokumentation speziell dieser Vorfälle. Anhand der Anforderungen aus Gesetzen, Standards und Handreichungen wird erläutert, wie eine industrielle Anomalieerkennung Transparenz schafft und die drängenden Lücken schließen kann.

Download-Link zum Whitepaper: https://rhebo.com/de/meldepflicht/

Über Rhebo

Rhebo ist ein deutsches Unternehmen, das sich auf die Ausfall- und Störungssicherheit von Industrieunternehmen und Kritischen Infrastrukturen spezialisiert hat. Mit seinen Lösungen und Dienstleistungen überwacht und analysiert Rhebo die Datenkommunikation innerhalb der Steuerungstechnik, meldet Anomalien in Echtzeit und steigert so die Cybersicherheit und Verfügbarkeit von Industrial Control Systems und Leitsystemen. Rhebo ist einer der 30 Top-Anbieter für die industrielle Sicherheit in Gartners »Marktführer für betriebstechnische Sicherheit 2017«. Das Unternehmen ist zudem Mitglied im Teletrust – Bundesverband IT-Sicherheit e.V. sowie Bitkom e.V.

Originalmeldung direkt auf PresseBox lesen
Mehr von Firma PresseBox