Herzlich Willkommen auf der Presseseite der ICS AG!
Die hier veröffentlichten Texte stellen wir Journalisten und Redakteuren honorarfrei zur Verfügung. Wir freuen uns über Ihre Anfragen und Feedback. Bitte kontaktieren Sie uns unter presse(at)ics-ag.de oder rufen Sie uns an: 0711 2103740, Stefanie Henzler.
Die ICS AG hat allen Grund zu feiern: Das Stuttgarter IT-Engineering und Consulting-Unternehmen hat die Zertifizierung nach dem international anerkannten Sicherheitsstandard ISO/IEC 27001 erhalten.
ICS AG beurkundet mit 27001-Zertifizierung ihren Sicherheitsstandard
Stuttgart, 19.04.2018: Die ICS AG hat allen Grund zu feiern: Das Stuttgarter IT-Engineering und Consulting-Unternehmen hat die Zertifizierung nach dem international anerkannten Sicherheitsstandard ISO/IEC 27001 erhalten.
Für das mittelständische Unternehmen, das selbst seit über 50 Jahren in der Sicherheitsberatung tätig ist, war die Zertifizierung ein logischer Schritt. Denn die ICS-Experten beraten Kleine und mittelständische Unternehmen (KMU) in der Umsetzung eines Informationssicherheits-Managementsystems (ISMS). Die Einführung eines ISMS ist der Kern der ISO 27001 und gleichzeitig Teil der Compliance mit der neuen Datenschutzgrundverordnung (EU-DSGVO).
Informationssicherheit ist eine Selbstverständlichkeit
„Ein funktionierendes ISMS ist das A und O, um den heutigen Ansprüchen nach Informationssicherheit gerecht zu werden“, sagt Cid Kiefer, Vorstand der ICS AG. „Für uns war es schon immer selbstverständlich sowohl mit internen als auch mit den Daten unserer Kunden absolut vertraulich umzugehen. Durch die Zertifizierung wurde unser Selbstverständnis sozusagen offiziell.“
Die Norm ISO 27001 beschreibt, wie Informationssicherheit in einem Unternehmen individuell umgesetzt werden kann. Dazu dient das ISMS, welches die entsprechenden Regeln und Methoden u.a. auf Grundlage einer Risikobewertung der Unternehmenswerte definiert. Eckpfeiler eines ISMS ist eine lückenlose Dokumentation der eingeführten Maßnahmen und Prozesse.
Die ICS AG ist als IT-Beratungs- und Engineering-Unternehmen mit Spezialisierungen in den Geschäftsfeldern Industrial Engineering und Transportation tätig. In den Bereichen Funktionale Sicherheit, Security & Safety sowie KRITIS sorgt die ICS AG für intelligente und sichere Prozesse in komplexen Umgebungen.
Wie die Zertifizierung bei der ICS AG ablief, welche Überraschungen es gab und wie es ist, wenn der Auditor selbst geprüft wird, können Sie hier lesen [Link zu Homestory]
Sie ist in aller Munde, die Norm ISO/IEC 27001, kurz ISO 27001 genannt. Betreiber kritischer Infrastrukturen lassen sich danach zertifizieren, um vor dem Gesetz ihre Compliance zu beweisen. Warum aber lässt sich ein kleines mittelständisches Unternehmen aus Stuttgart zertifizieren? Und welche Erfahrungen hat es dabei gemacht? Die ICS AG aus Stuttgart ist den Schritt gegangen. Drei beteiligte Mitarbeiter teilen ihre Erfahrungen.
Wer hat Angst vorm Auditor?
Wie ein mittelständisches Unternehmen die ISO 27001-Zertifizierung erlebte
Sie ist in aller Munde, die Norm ISO/IEC 27001, kurz ISO 27001 genannt. Betreiber kritischer Infrastrukturen lassen sich danach zertifizieren, um vor dem Gesetz ihre Compliance zu beweisen. Warum aber lässt sich ein kleines mittelständisches Unternehmen aus Stuttgart zertifizieren? Und welche Erfahrungen hat es dabei gemacht? Die ICS AG aus Stuttgart ist den Schritt gegangen. Drei beteiligte Mitarbeiter teilen ihre Erfahrungen.
Die ICS AG hat allen Grund zu feiern: Das Stuttgarter IT-Engineering und Consulting-Unternehmen hat die Zertifizierung nach dem international anerkannten Sicherheitsstandard ISO 27001 erhalten. Für das mittelständische Unternehmen, das selbst seit über 50 Jahren in der Sicherheitsberatung tätig ist, haben unternehmenspolitische Erwägungen zu der Entscheidung geführt.
Der Informationssicherheitsaspekt gewinnt durch das IT-Sicherheitsgesetz und verschärfte Vorschriften wie die Datenschutzgrundverordnung (DSGVO) zunehmend an Gewicht. Sie zwingen nicht nur global agierende Firmen und Betreiber kritischer Infrastrukturen zum Handeln sondern auch deren Zulieferer und Dienstleister. Rainer Gerhäuser, kaufmännischer Leiter und Beauftragter für das Qualitätsmanagement bei der ICS AG, sagt: „Mit einer Zertifizierung nach der ISO 27001 beweisen wir unseren Geschäftspartnern gegenüber, dass wir mit dem, was wir innerhalb des Unternehmens tun, nachweislich sicher umgehen.“
Für das ISMS werden die Kernkompetenzen in den Fokus gestellt
Die ISO 27001 stellt die Einführung eines Informationssicherheits-Managementsystems (ISMS) in den Mittelpunkt. Es definiert Regeln und Methoden, um die Informationssicherheit in einem Unternehmen zu gewährleisten. Um überhaupt definieren zu können, welche Maßnahmen im jeweiligen Unternehmen ergriffen werden müssen, wird zunächst der Geltungsbereich definiert.
„Das Unternehmen muss klar seine Kernkompetenzen in den Fokus stellen und nicht Prozesse, die notwendigerweise sowieso getan werden müssen, wie beispielsweise die Buchhaltung“, rät Gerhäuser. „Der Fokus muss sein: Womit agieren wir am Markt?“ Nach Meinung von Andrian Dürr, IT-Sicherheitsberater bei der ICS AG, schafft dies auch erst Glaubwürdigkeit. „Der Geltungsbereich wird auf dem Zertifikat eingetragen. Und da das Zertifikat öffentlich einsehbar ist, stellt der Geltungsbereich nicht nur für die Zertifizierung einen wichtigen Teil dar. Er schafft auch Glaubwürdigkeit gegenüber unseren Geschäftspartnern.“
Zieldefinitionen sichern die Qualität der Maßnahmen
Ein weiterer Schritt zur Vorbereitung auf die Zertifizierung ist die Bestimmung der Informationssicherheitsziele. Dabei geht es um die Qualität der Sicherheitsmaßnahmen sowie deren Anwendbarkeit und Wirkung. Dürr erläutert: „Man definiert verschiedene Messgrößen anhand derer ich ablesen kann, ob das ISMS, das ich aufgesetzt habe, überhaupt funktioniert. Die Norm macht dazu zwar keine Vorgaben, sie stellt aber gewisse Qualitätsanforderungen an die KPIs (Key Performance Indicators). Wir können also relativ frei definieren, welche KPIs wir ansetzen wollen. Sie müssen für den Prüfer nur sinnvoll und nachvollziehbar sein.“
Keine Angst vor Daumenschrauben: ISO 27001 berücksichtigt Individualität
Die ISO 27001 hat den großen Vorteil, dass sie sich an die Organisation und Struktur der einzelnen Unternehmen anpasst. Gerhäuser bemerkt: „Es ist ganz wichtig zu verstehen, dass die Norm nicht etwas sein soll, was das Unternehmen in seinem Tun begrenzt. Man sollte immer erst analysieren, wie das Unternehmen agiert. Man muss sich fragen: Wie passt die Norm tatsächlich auf das Unternehmen? Was ist der Mehrwert davon?“ Für Michael Kirsch, Leiter der Geschäftsfeldentwicklung bei der ICS AG, ist die ISO 27001 wie ein Rezept zu verstehen: „Die Norm bietet alle Zutaten, um die Informationssicherheit in einem Unternehmen zu überprüfen. Wenn alles stimmt, kann auch nichts mehr schief gehen“, weiß er.
Jede Firma kann Bereiche ausschließen, die für sie nicht von Belang sind. Das geht allerdings nur mit einer schlüssigen Begründung. Ursprünglich hatte die ICS AG das Sicherheitsmanagement der Lieferantenbeziehungen ausgeklammert, weil sie der Meinung war, dass dieser Bereich für eine Beratungsfirma nicht zutrifft. Doch als der Auditor vor Ort den Mitarbeiter eines Paketdienstes unbegleitet im Firmensitz antraf, war er wenig begeistert. Sein Einwurf war: Wie wird sichergestellt, dass der Lieferant nicht an Informationen kommt, an die er eigentlich nicht kommen darf? „Da war für uns klar, dass wir diesen Bereich doch betrachten müssen“, gesteht Gerhäuser.
Hauptabweichung, Nebenabweichung, Empfehlung? Nacharbeitung ist Pflicht
Der Prüfer stellte für den Lieferantenbereich eine so genannte Nebenabweichung fest. Dürr erläutert: „Bei einer Nebenabweichung bekommt man das Zertifikat dennoch. Man muss aber im Überwachungsaudit nachweisen, dass man hier nachgearbeitet hat.“
Bei einer Hauptabweichung sind weder Prüfer noch die Norm kulant. Gerhäuser berichtet: „Bei der Definition des Geltungsbereichs hatten wir nicht alle nötigen Punkte identifiziert. Das hat unser Auditor als harte Abweichung, also als Hauptabweichung eingestuft. Für die Nacharbeitung dieses Punktes mussten wir die Ziele definieren und die Erfüllung innerhalb von drei Monaten nachweisen.“ Bei nicht rechtzeitiger Erfüllung einer Hauptabweichung verweigert der Prüfer das Zertifikat.
Zusätzlich kann der Prüfer Empfehlungen aussprechen. Sie haben die Funktion eines gut gemeinten Tipps, da sie nicht dokumentiert und nur verbal ausgesprochen werden. Sie stellen somit keine Abweichung dar. „Dennoch sollte man zeigen, dass man den Prüfer und seine Anmerkungen Ernst nimmt“, rät Michael Kirsch. „Im jährlichen Überwachungsaudit muss dann auch der Fortschritt entsprechend nachgewiesen werden“, so Kirsch.
Und täglich grüßt das Murmeltier: jährliche Überwachungsaudits zur Qualitätskontrolle
Eine Zertifizierung nach ISO 27001 endet nicht mit dem Erhalt der Urkunde, da sie einen standardisierten Prozess zur ständigen Qualitätskontrolle vorsieht. Ein Jahr nach Erhalt der Zertifizierung gibt es ein Überwachungsaudit. Nach dem zweiten Jahr folgt ein weiteres Überwachungsaudit und nach dem dritten Jahr die Rezertifizierung. „Das heißt, dass wir laufend kontrolliert werden. Somit wird gewährleistet, dass wir auch umsetzen, was wir definiert haben“, erläutert Gerhäuser.
Der Kontakt mit dem Auditor (Prüfer) war entspannter, als Dürr und Gerhäuser erwartet hatten. „Es ist wichtig, erst mal eine entspannte und vertrauensvolle Atmosphäre zu schaffen“, rät Gerhäuser und fügt hinzu: „Es ist ganz wichtig, dass man dem Auditor nichts vormacht, was man nicht nachweisen kann. Das kommt nicht gut an.“ Der Prüfer ist in erster Linie daran interessiert, das Unternehmen kennenzulernen. Nur so kann er schließlich einschätzen, ob es sich auf dem richtigen Weg befindet.
Die Prüfung der ICS AG unterlag allerdings einer besonderen Situation: Die Zertifizierungsstelle des Auditors wurde von der Deutsche Akkreditierungsstelle (DAkkS) geprüft, um seine Akkreditierung zu erhalten. „Davor hatten wir ein wenig Angst und es war für uns auch mit erhöhtem Aufwand verbunden“, gesteht Gerhäuser und fügt hinzu: „Wenn einer von der DAkkS anwesend ist, gräbt der Prüfer natürlich in jedes Eckchen.“
Augen auf bei der Beraterwahl: Falsche Prognosen führen zu Mehraufwand
Trotz guter Vorbereitung und entspannter Atmosphäre gab es für die Stuttgarter doch eine Überraschung. „Wir hatten im Vorfeld drei Berater im Haus“, berichtet Gerhäuser. Die Berater unterstützen das Unternehmen dabei, die Anforderungen der ISO 27001 individuell und korrekt zu interpretieren. Doch auch Berater sind nicht unfehlbar, darum sollte man bei der Wahl genau hinschauen. Gerhäuser erzählt: „Die hatten uns attestiert, dass wir die Norm zu 95% erfüllen. Im Audit hat sich dann aber herausgestellt, dass wir bei Weitem nicht so weit sind, sondern dass wir nur zu 50% fertig sind. Das hat uns doch überrascht.“
Der Aufwand, um die fehlenden Prozesse nachzuarbeiten, war dann auch entsprechend hoch. Dürr gesteht: „Bei uns hat es hauptsächlich an der Dokumentation gelegen.“ Wenn die Dokumentation einmal vollständig und in einem vernünftigen Rahmen aufgesetzt ist, bleibt der Aufwand für die zukünftigen Überprüfungen und Anpassungen gering.
Sensibilisierung der Mitarbeiter ist der beste Hacker-Schutz
Bei den Vorbereitungen zum Audit waren ausgesuchte Personen der jeweiligen Business Units, aber auch das komplette Management und der IT-Service beteiligt. Die ISO 27001 deckt schließlich nicht nur die technische Seite ab, sondern befasst sich vor allem mit organisatorischen Maßnahmen zur Sicherstellung der Informationssicherheit.
Doch wie holt man die Mitarbeiter mit ins Boot, wenn es darum geht, möglicherweise unpopuläre Maßnahmen in den Arbeitsalltag zu integrieren? Gerhäuser rät: „Zunächst einmal muss man gegenüber den Mitarbeitern kommunizieren, dass die ISO 27001 kein Hemmschuh für das Unternehmen ist, sondern eine Bereicherung zur weiteren Qualitätssicherung darstellt.“ Dürr ergänzt: „Das erreicht man eigentlich ganz gut, indem man effiziente Prozesse organisiert, die keinen hohen Organisationsaufwand bedeuten, sondern die im täglichen Umgang gut handhabbar sind.“
Wie von der Norm gefordert, legte die ICS AG ihren Mitarbeitern eine Informationssicherheitsleitlinie vor. „Das Dokument sah auf den ersten Blick wohl etwas schwierig aus“, weiß Dürr. „Aber dann haben wir Awarenss-Schulungen durchgeführt und so das Dokument für die Mitarbeiter verständlich gemacht. Wir haben sie damit auf den neuesten Stand gebracht und auf tägliche Stolperfallen hingewiesen, wodurch die Informationssicherheit gefährdet werden könnte.“
Zertifikat mit Außenwirkung liefert klare Wettbewerbsvorteile
Fühlt man sich denn sicherer, wenn man die Zertifizierung hat? Dürr sagt: „Das Zertifikat selbst ist eher etwas für die Außenwirkung. Damit können wir zeigen, dass wir funktionierende Prozesse aufgesetzt haben, die unsere Informationssicherheit gewährleisten. Was uns aber Sicherheit gibt, ist, dass wir jetzt wissen, wie wir mit unseren Prozessen umgehen und wie sie gelebt werden. Man gewinnt auch grundsätzlich einen guten Blick für das Delta zwischen dem was man für die Sicherheit tun kann und was bisher getan worden ist.“
Die mit dem ISMS nach ISO 27001 implementierten Sicherheitsstandards sind Teil der neuen europäischen Datenschutzgrundverordnung (EU-DSGVO). Für immer mehr Auftraggeber sind genau diese Sicherheitsstandards bei der Auftragsvergabe entscheidend. Diese Erfahrung haben auch die Sicherheitsexperten der ICS AG gemacht. Kurz nachdem die Zertifizierung abgeschlossen war, erhielten sie von zwei ihrer wichtigsten Kunden AV-Verträge (Auftragsverarbeitung) und Fragebögen zugeschickt, in denen Maßnahmen und Prozesse der Informationssicherheit abgefragt wurden. „Da konnten wir mit ruhigem Gewissen auf die Inhalte der ISO 27001 verweisen und ziemlich schnell wieder zum Tagesgeschäft übergehen“, freut sich Michael Kirsch. Der Aufwand hat sich also auf jeden Fall jetzt schon gelohnt.
Der One-Stop-Shop für allumfassende Sicherheit: Am Stand A52 in Halle 2 auf der Hannover Messe tummeln sich Experten zur industriellen Sicherheit, zur Informationssicherheit und der DSGVO. In Vorträgen auf dem Forum Industrial Security teilen sie ihr Wissen.
DSGVO, ISO 27001 und industrielle Sicherheit aus einer Hand
Experten-Vorträge auf der Hannover Messe
Stuttgart, 26.03.2018: Der One-Stop-Shop für allumfassende Sicherheit: Am Stand A52 in Halle 2 auf der Hannover Messe tummeln sich Experten zur industriellen Sicherheit, zur Informationssicherheit und der DSGVO. In Vorträgen auf dem Forum Industrial Security teilen sie ihr Wissen.
Wenn dieses Jahr die Hannover Messe startet, werden sich viele Firmeninhaber Gedanken darüber machen müssen, wie sie die neue Datenschutzgrundverordnung (EU-DSGVO) im Unternehmen umsetzen können, die im Mai für alle zur Pflicht wird.
Ein mittelständisches Unternehmen aus Stuttgart hat diesen Weg bereits beschritten und kann – basierend auf diesen Erfahrungen - Abhilfe schaffen.
Martin Tege, Vertriebsleiter der ICS AG aus Stuttgart, klärt in einem Vortrag darüber auf, welche Maßnahmen ein Unternehmen Schritt für Schritt ergreifen muss, um Bußgelder wegen Verstoßes gegen die DSGVO zu vermeiden. „Wir wollen in erster Linie die Angst vor den Anforderungen nehmen und zeigen, dass Compliance mit der DSGVO kein Hexenwerk ist“, sagt Martin Tege.
Im Kontext Industrial Security erläutert Martin Zappe, Business Unit Manager Industrial Engineering bei der ICS AG, in seinem Vortrag das Zusammenspiel zwischen Safety und Security für operative Systeme. Am Beispiel des Standards Open Platform Communications Unified Architecture (OPC UA) macht er die Herausforderungen an die Sicherheit deutlich und bietet einen praktischen, allumfassenden Lösungsansatz: Die Einführung des Industriestandards 62443.
Treffen Sie Martin Tege und Martin Zappe am Stand von Bayern Innovativ und erleben Sie das von der ICS AG entwickelte Secure-System-Control-Netz im Zusammenspiel mit IRMA der Security Appliance für kritische Infrastrukturen und vernetzte Automatisierungen in Industrieanlagen.
Martin Zappe hält seinen Vortrag mit dem Titel Safety und Security - Herausforderungen für die Automatisierung im Kontext OPC UA und IEC 62443
am Montag, 23.4.2018
von 16:30 bis 16:50 Uhr
auf dem Forum Industrial Security (Halle 6/D02)
Martin Tege hält seinen Vortrag mit dem Titel: Einfach – Sicher! Informationssicherheit ist kein Hexenwerk
am Freitag, 27.4.2018
von 10:00 – 10:20 Uhr
auf dem Forum Industrial Security (Halle 6/D02)
Die Sicherheits-Experten der ICS AG finden Sie am Stand von Bayern Innovativ in Halle 2 Stand A52.
(Autor: Julia Grewe)
____________________________________________________________
Über die ICS AG:
Die ICS AG ist seit mehr als 50 Jahren ein erfolgreiches, familiengeführtes IT-Beratungs- und Engineering-Unternehmen.
Die Spezialisierung liegt in den Geschäftsfeldern Industrial Engineering (Automation, Supply Chain, Logistic, Automotive), Transportation sowie Research und Development. In den Bereichen Funktionale Sicherheit, Security & Safety sowie Informationssicherheit und DSGVO sorgt die ICS AG für intelligente und sichere Prozesse in komplexen Umgebungen.
Weitere Informationen unter www.ics-ag.de
Die 20. Fachtagung der Eisenbahn-Sachverständigen befasst sich dieses Jahr mit dem Thema Interaktion zwischen Fahrzeug und Fahrweg. Die Experten diskutieren die damit verbundenen Herausforderungen. Doch nach Meinung eines Stuttgarter Unternehmens kommt dabei ein wichtiger Punkt immer noch zu kurz: Security.
ICS AG wirbt für mehr Sicherheit auf Gutachter-Tagung
Bahnbranche muss Security bei der Entwicklung integrieren
Stuttgart, 19.02.2018: Die 20. Fachtagung der Eisenbahn-Sachverständigen befasst sich dieses Jahr mit dem Thema Interaktion zwischen Fahrzeug und Fahrweg. Die Experten diskutieren die damit verbundenen Herausforderungen. Doch nach Meinung eines Stuttgarter Unternehmens kommt dabei ein wichtiger Punkt immer noch zu kurz: die Security.
Die Gewährleistung der funktionalen Sicherheit (Safety) ist eines der wichtigsten Kriterien bei der Entwicklung neuer Systeme und Komponenten der Bahnindustrie. Auf der Gutachter-Tagung im Februar spielt die Safety auch eine große Rolle. Ebenso wie die Digitalisierung. Sie verspricht mehr Flexibilität und geringere Kosten. Die Vorteile gehen allerdings zu Lasten der traditionell geschlossenen Systeme mit absoluter Kontrolle, so die Sicherheitsexperten der ICS AG.
Digitalisierung von Anfang an sicher entwickeln
Digitalisierung kann nur sicher umgesetzt werden, wenn die Informationssicherheit (Security) schon bei der Entwicklung von Leit- und Sicherungstechnik oder Fahrzeugen mit einbezogen wird. Das Thema muss auch die Zulassungsstellen interessieren, so die Experten der ICS AG. Noch ist fraglich, wie viel das Eisenbahn-Bundesamt (EBA) über Security wissen muss, um sichere Züge zulassen zu können.
IT-Sicherheitsgesetz fordert Security von der Bahn
Die Bahnindustrie fällt unter das IT-Sicherheitsgesetz des Bundesamtes für Sicherheit in der Informationstechnik (BSI). Solange die Security nicht in die Systeme und Züge integriert ist, kommt die Bahn den gesetzlichen Anforderungen nicht nach. Außerdem tickt die Uhr: Bis Anfang 2019 muss die Transportbranche die Vorgaben des Gesetzes umgesetzt haben.
Treffen Sie die Sicherheitsexperten der ICS AG
Die ICS AG bietet Software-Entwicklung im Fahrzeug-Bereich sowie in der Leit- und Sicherungstechnik an. Sie entwickelt seit über 50 Jahren sichere Lösungen für Türsteuerung, Sicherungsausstattung, ETCS, Bordgeräte und mehr. Seit 20 Jahren ist sie regelmäßig auf der Tagung der Eisenbahn-Sachverständigen präsent.
Die Spezialisten der ICS AG sind während der Vortragspausen jederzeit ansprechbar und gerne für Sie da.
Die 20. Fachtagung der Eisenbahn-Sachverständigen findet statt am 20. und 21. Februar in Fulda. Weitere Informationen zur Veranstaltung: >>http://www.eurailpress.de/events/eurailpress-veranstaltungen/jahrestagung-der-eisenbahn-sachverstaendigen/event.html
Wenn sich die Experten für automatische Identifikation (AutoID) des Globalen Industrieverbandes (AIM) zum diesjährigen Frühjahrsforum treffen, werden nicht nur die Ergebnisse und Vorhaben der unterschiedlichen Arbeitskreise vorgestellt. Der diesjährige Sponsor stellt die Sicherheit in den Vordergrund.
Wenn sich die Experten für automatische Identifikation (AutoID) des Globalen Industrieverbandes (AIM) zum diesjährigen Frühjahrsforum treffen, werden nicht nur die Ergebnisse und Vorhaben der unterschiedlichen Arbeitskreise vorgestellt. Der diesjährige Sponsor stellt die Sicherheit in den Vordergrund.
Die ICS AG ist offizieller Sponsor des Frühjahrsforums von AIM Deutschland. Das Augenmerk der Stuttgarter liegt schon seit eh und je auf dem Sicherheitsaspekt. Der allgemein etablierte Industriestandard OPC UA gilt zwar als sichere M2M-Kommunikation. Bei zunehmender Vernetzung in die Industrie 4.0 muss die Informationssicherheit aber genauer betrachtet werden.
Informationssicherheit funktioniert ohne Prozesse nicht!
Martin Zappe, Manager Business Unit Industrial Engineering bei der ICS AG, möchte sicherstellen, dass in der Auto-ID-Technologie alle Sicherheitsaspekte betrachtet werden. „Eine reine Konzentration auf die Security (Informationssicherheit) genügt nicht“, sagt der Experte. „Aus Erfahrung wissen wir, dass sowohl die Verwaltungs- als auch die Produktionsprozesse in diesem Kontext betrachtet und die Mitarbeiter mit einbezogen werden müssen.“
In seinem Vortrag „Challenge Informationssicherheit“, den Zappe auf dem Frühjahrsforum halten wird, nimmt er die notwendige Abgrenzung vor und zeigt auf Basis der Normenreihe IEC 62443 Lösungsmöglichkeiten auf. Die Norm etabliert sich derzeit als einer der wichtigsten IT-Sicherheitsstandards für industrielle Anlagen.
ISC AG: Sicherheitsexperten mit langer Tradition
Die ICS AG ist seit 2012 Mitglied bei AIM Deutschland. Die Stuttgarter Softwareingenieure und Sicherheitsberater haben in enger Zusammenarbeit mit dem Verband und der OPC Foundation die Entwicklung der OPC UA Companion Specification vorangetrieben. Die Foundation definiert Standards für den digitalen Datenaustausch in der industriellen Automatisierung. Seit seiner Einführung auf der Logimat 2016 hat sich der OPC UA als Sicherheitsstandard für industrielle Anlagen etabliert. Die ICS AG ist seit 2016 Mitglied bei der OPC Foundation.
Das Frühjahrsforum des AIM Deutschland findet statt vom 21.-23. Februar.
Den Vortrag mit dem Titel „Challenge Informationssicherheit“ hält Martin Zappe am 22. Februar um 11.30 Uhr.
Die ICS AG gehört zu den Nominierten für den großen Preis des Mittelstands der jährlich von der Oskar-Patzelt Stiftung ausgerufen wird.
Ein Oskar für die ICS AG?
Nominierung für den „Großen Preis des Mittelstandes“
Stuttgart, 05.02.2018: Wenn im September der Rote Teppich ausgerollt wird und die Preisträger des „Großen Preis des Mittelstandes“ verkündet werden, steht sie vielleicht auf der Bühne: die Informatik Consulting Systems AG (ICS AG) aus Stuttgart. Die Software-Entwicklungs- und Beratungsfirma wurde für den angesehenen Preis nominiert, der jährlich von der Oskar-Patzelt Stiftung ausgerufen wird.
Der diesjährige Wettbewerb steht unter dem Motto „Zukunft gestalten“. Damit identifiziert sich die ICS AG seit Jahren. In der Entwicklung und Beratung von System- und Informationssicherheit ist das 110-Mann starke Unternehmen regelmäßig seiner Zeit voraus. Stolz sind die Stuttgarter vor allem, da die Teilnehmer sich nicht selbst vorschlagen können. Dies dürfen nur Dritte.
Federführend in Sachen Safety und Security
„Wir sind seit über 50 Jahren ein zuverlässiger Arbeitgeber in Baden-Württemberg“, sagt Michael Kirsch, Leiter der Geschäftsfeldentwicklung bei der ICS AG. „Gleichzeitig beschreiten wir regelmäßig neue Wege in Sachen Safety und Security. Dass wir für den Preis in Anmerkung kommen, freut uns natürlich sehr.“
Seit 24 Jahren ruft die Oskar-Patzelt-Stiftung den bundesweiten Wettbewerb aus und ehrt damit kleine und mittlere Unternehmen, die sich überdurchschnittlich entwickeln, Arbeitsplätze sichern und Innovation vorantreiben. Sie können nur von Ministerien, Kommunen, Kammern, Verbänden oder Firmen nominiert werden.
(Autor: Julia Grewe)
Die ICS AG besonders stolz darauf, zwei ihrer Mitarbeiter ab sofort zum zertifizierten Stamm der Information Security Officer zählen zu dürfen. Martin Zappe und Michael Kirsch legten mit Erfolg die Prüfung vor dem TÜV Nord ab und freuen sich, ihre Kompetenz im Bereich Informationssicherheit auch von offizieller Seite bestätigt zu bekommen.
Stuttgart, 10.01.2018: IT- und Informationssicherheit sowie Datenschutz werden die vorherrschenden Themen des Jahres 2018 sein. Denn im Mai diesen Jahres tritt die EU-Datenschutzgrundverordnung in Kraft und für die ersten Sektoren (Energie, Wasser und Ernährung sowie Informationstechnik und Telekommunikation) tickt ebenfalls ab Mai 2018 die Uhr zur Umsetzung der Anforderungen aus dem IT-Sicherheitsgesetz und der KRITIS-Verordnung.
Daher ist die ICS AG besonders stolz darauf, zwei ihrer Mitarbeiter ab sofort zum zertifizierten Stamm der Information Security Officer zählen zu dürfen. Martin Zappe und Michael Kirsch legten mit Erfolg die Prüfung vor dem TÜV Nord ab und freuen sich, ihre Kompetenz im Bereich Informationssicherheit auch von offizieller Seite bestätigt zu bekommen.
„Mit der jetzigen Zertifizierung wird uns bestätigt, dass wir auf dem Gebiet der digitalen und Informationssicherheit wegweisend vorausdenken und die Sicherheit aller kritischen Abläufe eines Unternehmens im Blick behalten“, so Martin Zappe.
Und Michael Kirsch freut sich: „Wir haben so unseren Informationssicherheitsbereich weiter gestärkt und stellen uns noch breiter auf.“
Mit Zappe und Kirsch verfügt die ICS AG jetzt über drei zertifizierte Information Security Officer. Mitte 2017 legte bereits Andrian Dürr die Prüfung erfolgreich ab. Seither hat er den Posten des hauseigenen ISO (Information Security Officer) inne.
Dass sich in der ICS AG eine Vielzahl von Sicherheitsexperten tummeln, ist schon lange über die Grenzen Baden-Württembergs bekannt. Nicht umsonst hat sich die Firma seit über 50 Jahren der System- und Informationssicherheit verschrieben und berät erfolgreich sowohl große Konzerne als auch mittelständische Unternehmen kompetent und auf Augenhöhe.
Die ICS AG gratuliert!
(Autor: Julia Grewe)
Industrielle Prozesse sind kaum mehr denkbar, ohne den Einsatz von hochpräzise arbeitenden Maschinen, da sie Abläufe vereinfachen und die Produktivität steigern. Doch auch in anderen kritischen Bereichen, wie der Medizin und im privaten Raum halten Roboter Einzug. Sie führen OPs durch oder saugen selbständig die Wohnung. Doch wie steht es dabei um die Sicherheit vor Cyberattacken oder ungewollter Fernkontrolle?
Stuttgart, 27.11.2017: Lange Zeit wurde das Thema Security von den Fürsprechern der Industrie 4.0 und des Internet of Things (IoT) stiefmütterlich behandelt. Aber wenn Kühlschränke zu Spammern werden und selbstfahrende Autos von Hackern ferngesteuert werden können, wird deutlich, dass in der Digitalisierung die Informationssicherheit in den Vordergrund rücken muss.
Früher galt unter IT-Experten die Devise, dass nur preisgegeben werden darf, was nötig ist. „Diese Weisheit ist nicht ins Zeitalter der Digitalisierung mitgenommen worden“, kritisiert Dr. Stefan Lewandowski, Software- und Systemingenieur bei der ICS AG. Heute wird alles internetfähig gemacht und unbedacht ins Netz gehängt, frei nach dem Motto: Es wird schon nichts passieren. Und die Informationssicherheit hinkt hinterher.
„Informationssicherheit ist nicht abhängig von der jeweiligen Software. Sicherheitslücken entstehen nicht nur, weil die Programmierer ihre Arbeit nicht richtig machen“, führt der IT-Fachmann aus. Der Grund liegt vielmehr in der zunehmenden Komplexität der Systeme und Vernetzungen. „Die Erkenntnisse von sicheren Systemen von früher müssen auf die aktuellen Gegebenheiten übertragen werden“, weiß Lewandowski.
Doch wie ist das technisch möglich? Zunächst müssen Entwickler, Produzenten und Nutzer den Unterschied zwischen Safety und Security kennen. Was im Deutschen allgemein als Sicherheit bezeichnet wird, findet im Englischen eine klare Abgrenzung: Ein sicheres System stellt für Anwender und andere Personen keine Gefahr dar, ist im technischen Sinne also safe. Man spricht hier auch von funktionaler Sicherheit. Wenn Datensicherheit gewährleistet ist und die Systeme vor Angriffen von außen geschützt sind, sind sie secure.
Früher stand die Safety im Mittelpunkt. Durch die zunehmende Vernetzung und Digitalisierung rückt die Security in allen Bereichen in den Vordergrund. Darauf hat auch der Gesetzgeber reagiert, der über das IT-Sicherheitsgesetz Betreiber kritischer Infrastrukturen (KRITIS) seit diesem Jahr dazu verpflichtet, ihre Systeme nach dem „Stand der Technik“ zu schützen. Was das genau heißt, weiß oftmals nicht einmal die eigene IT-Abteilung. Damit in Zukunft diese Wissenslücke geschlossen wird, legen inzwischen die Hochschulen thematisch nach. In neu aufgebauten Instituten wird der IT-Nachwuchs in Sachen Informationssicherheit geschult.
Dr. Lewandowski leistet auf dem IT-Mittelstandstag an der Hochschule Esslingen einen Beitrag zur Bewusstwerdung und fachlichen Umsetzung von digitaler Sicherheit. Dort hält er am 29. November einen Vortrag mit dem Titel „Safety und Security in der Industrie 4.0“ und erläutert, warum Safety Security braucht.
Lange Zeit wurde das Thema Security von den Fürsprechern der Industrie 4.0 und des Internet of Things (IoT) stiefmütterlich behandelt. Aber wenn Kühlschränke zu Spammern werden und selbstfahrende Autos von Hackern ferngesteuert werden können, wird deutlich, dass in der Digitalisierung die Informationssicherheit in den Vordergrund rücken muss.
Stuttgart, 27.11.2017: Lange Zeit wurde das Thema Security von den Fürsprechern der Industrie 4.0 und des Internet of Things (IoT) stiefmütterlich behandelt. Aber wenn Kühlschränke zu Spammern werden und selbstfahrende Autos von Hackern ferngesteuert werden können, wird deutlich, dass in der Digitalisierung die Informationssicherheit in den Vordergrund rücken muss.
Früher galt unter IT-Experten die Devise, dass nur preisgegeben werden darf, was nötig ist. „Diese Weisheit ist nicht ins Zeitalter der Digitalisierung mitgenommen worden“, kritisiert Dr. Stefan Lewandowski, Software- und Systemingenieur bei der ICS AG. Heute wird alles internetfähig gemacht und unbedacht ins Netz gehängt, frei nach dem Motto: Es wird schon nichts passieren. Und die Informationssicherheit hinkt hinterher.
„Informationssicherheit ist nicht abhängig von der jeweiligen Software. Sicherheitslücken entstehen nicht nur, weil die Programmierer ihre Arbeit nicht richtig machen“, führt der IT-Fachmann aus. Der Grund liegt vielmehr in der zunehmenden Komplexität der Systeme und Vernetzungen. „Die Erkenntnisse von sicheren Systemen von früher müssen auf die aktuellen Gegebenheiten übertragen werden“, weiß Lewandowski.
Doch wie ist das technisch möglich? Zunächst müssen Entwickler, Produzenten und Nutzer den Unterschied zwischen Safety und Security kennen. Was im Deutschen allgemein als Sicherheit bezeichnet wird, findet im Englischen eine klare Abgrenzung: Ein sicheres System stellt für Anwender und andere Personen keine Gefahr dar, ist im technischen Sinne also safe. Man spricht hier auch von funktionaler Sicherheit. Wenn Datensicherheit gewährleistet ist und die Systeme vor Angriffen von außen geschützt sind, sind sie secure.
Früher stand die Safety im Mittelpunkt. Durch die zunehmende Vernetzung und Digitalisierung rückt die Security in allen Bereichen in den Vordergrund. Darauf hat auch der Gesetzgeber reagiert, der über das IT-Sicherheitsgesetz Betreiber kritischer Infrastrukturen (KRITIS) seit diesem Jahr dazu verpflichtet, ihre Systeme nach dem „Stand der Technik“ zu schützen. Was das genau heißt, weiß oftmals nicht einmal die eigene IT-Abteilung. Damit in Zukunft diese Wissenslücke geschlossen wird, legen inzwischen die Hochschulen thematisch nach. In neu aufgebauten Instituten wird der IT-Nachwuchs in Sachen Informationssicherheit geschult.
Dr. Lewandowski leistet auf dem IT-Mittelstandstag an der Hochschule Esslingen einen Beitrag zur Bewusstwerdung und fachlichen Umsetzung von digitaler Sicherheit. Dort hält er am 29. November einen Vortrag mit dem Titel „Safety und Security in der Industrie 4.0“ und erläutert, warum Safety Security braucht.
Die schöne neue Eisenbahnwelt lockt mit dem zukunftsweisenden Versprechen von Vereinfachung und Modernisierung. Es entstehen veränderte Arbeitsprozesse und Perspektiven für modernere Systeme. Doch wer stellt sicht die Frage: "Ist dies alles sicher?" - Andreas Langer, Key Account Manager bei der ICS AG!
Digitalisierung der Leit- und Sicherungstechnik:
Besser, einfacher - sicher?
Die Bahnbranche diskutiert auf dem Signal+Draht-Kongress
Stuttgart, 07.11.2017: Die Bahnbranche setzt auf vernetzten Fortschritt und arbeitet an einer allumfassenden Digitalisierung. Doch was bedeutet das für die Leit- und Sicherungstechnik? Welchen Nutzen bringt der Einsatz von Augmented Reality? Und wie sieht es mit der Informationssicherheit aus? Wenn sich die Teilnehmer des Signal+Draht-Kongresses dieses Jahr zum 17. Mal treffen, steht die digitale Zukunft im Mittelpunkt.
Die Bahnbranche hat sich einer allumfassenden Digitalisierung verschrieben und treibt die unterschiedlichsten Initiativen voran. So will die Deutsche Bahn in Kürze Augmented Reality einsetzen, um Bahnkunden schneller zu ihrem reservierten Sitzplatz zu geleiten. Sie investiert in Projekte zur Smart City und setzt bei Bauprojekten auf das Building Information Modeling (BIM). Das BIM digitalisiert sämtliche Prozesse bei Bauprojekten und vereinfacht so die Projektplanung, -Durchführung und –Überwachung. Die Devise lautet: Besser, einfacher, komfortabler.
Zünglein an der Waage
So lockt die schöne neue Eisenbahnwelt mit zukunftsweisenden Versprechen von Vereinfachung und Modernisierung. Es entstehen veränderte Arbeitsprozesse und Perspektiven für modernere Systeme. Wenn jedoch Andreas Langer von der ICS AG aus Stuttgart am 9. und 10. November den Vorträgen und Diskussionen auf dem Signal+Draht-Kongress beiwohnt, wird er sich die Frage stellen: Ist das alles denn sicher?
„Mit der Einführung des BIM geht die Deutsche Bahn einen weiteren Schritt in Richtung digitalisierte Öffnung. Da jeder auf das System zugreifen kann, der an dem Projekt beteiligt ist, muss man sich fragen, ob das System auch den aktuellen Sicherheitsstandards entspricht. Oder bietet es etwa Cyberkriminellen ein unerwünschtes Einfallstor?“, warnt der Key Account Manager für den Bereich Transportation.
Sicherheitskonzepte gemeinsam erarbeiten
Die ICS AG hat sich, neben ihren klassischen Bereichen des Engineering über die komplette Prozesskette der Leit- und Sicherungstechnik, zusätzlich in den letzten Jahren auf IT- und Informationssicherheit spezialisiert und gestaltet aktiv die Umsetzung der KRITIS-Verordnung des BSI mit. Zusätzlich engagiert sie sich bei CYSIS, der Forschungskooperation Cyber-Security für sicherheitskritische Infrastrukturen, einer Initiative der Deutschen Bahn und der TU Darmstadt. CYSIS erarbeitet Konzepte, wie man der stetig wachsenden Bedrohung durch Cyberkriminelle in einem durchdigitalisierten Bahnumfeld gemeinsam begegnen kann. Für ihre Kunden aus der Industrie- und Bahnbranche entwickelt das IT-Beratungs- und Engineering-Unternehmen normenkonforme Methoden und Lösungsansätze für Aufgabenstellungen rund um das Thema IT-Security.
Seit 2009 ist die ICS AG Sponsor des Signal+Draht-Kongresses und sitzt im Redaktionsbeirat der Signal+Draht. Sie wird auch dieses Jahr wieder mit einem Infostand anwesend sein. „Ich freue mich auf den Austausch mit den Teilnehmern“, sagt Andreas Langer. Das Programm verspricht interessante Vorträge und belebte Diskussionen.
Der Signal+Draht-Kongress findet am 9. und 10. November in Fulda statt.
Die ICS AG ist mit einem Infostand im Foyer vertreten und freut sich auf konstruktive Gespräche
Drei Tage it-sa liegen hinter den Mitarbeitern der ICS AG, die sich in Nürnberg die Füße platt getreten und den Mund trocken geredet haben. Die Bilanz: Seit der letzten IT-Sicherheitsmesse vor einem Jahr hat sich das Bewusstsein für digitale Sicherheit in der Industrie geschärft. Und die ICS AG ist wegweisend dabei.
Die it-sa 2017 blickt in eine sichere Zukunft
Die ICS AG präsentiert sich als Experte auf ganzer Linie
Stuttgart, 26.10.2017: Die neongelben Schutzwesten sind abgelegt, die wunden Füße werden gekühlt – drei Tage it-sa liegen hinter den Mitarbeitern der ICS AG, die sich in Nürnberg die Füße platt getreten und den Mund trocken geredet haben. Die Bilanz: Seit der letzten IT-Sicherheitsmesse vor einem Jahr hat sich das Bewusstsein für digitale Sicherheit in der Industrie geschärft. Und die ICS AG ist wegweisend dabei.
Das alles beherrschende Thema auf der it-sa 2017 war Informationssicherheit nach ISO 27001 und die EU-Datenschutz-Grundverordnung. Die Sicherheitsexperten der ICS AG warben in diesem Sinne wieder eindringlich dafür, sich rechtzeitig fit zu machen für digitale Sicherheit. „Die Vorfälle des letzten Jahres wie WannaCry und Petya haben den Entscheidungsträgern in Unternehmen deutlich vor Augen geführt, dass sie sich rechtzeitig mit IT- und Informationssicherheit beschäftigen müssen“, sagt Michael Kirsch, Leiter der Geschäftsfeldentwicklung bei der ICS AG. Es sei unumgänglich, dass alle Player, die die digitale Wende mitmachen, sich entsprechend zertifizieren lassen.
Das hauseigene Produkt DigiS, das einen einfachen Zugang zu dem Thema bietet, stand dabei im Mittelpunkt. Mit DigiS unterstützt die ICS AG Unternehmen dabei, sich auf den Weg zu einer Zertifizierung nach ISO 27001 zu begeben. Damit kommen die Firmen nicht nur den IT-Richtlinien nach, sondern etablieren sich auch bei ihren Auftraggebern als vertrauenswürdige Partner.
Sein Wissen konnte Kirsch auch unerwartet vor einer israelischen Delegation weitergeben: Er wurde spontan gebeten, vor einer Gruppe von Vertretern von KMUs aus Israel einen Vortrag über die EU-Datenschutzgrundverordnung und deren Bedeutung für Geschäftspartner nicht-europäischer Unternehmen zu halten. Denn: „Auch ausländische Geschäftspartner werden danach ausgesucht, ob sie mit sensiblen Informationen umgehen können und sichere Produktionsabläufe betreiben“, weiß Kirsch.
Als positive Entwicklung sieht Kirsch, dass „für die meisten Teilnehmer und Besucher auf der Messe dieses Jahr das Wort Sicherheitszertifizierung kein Fremdwort mehr war.“ Letztes Jahr mussten die Herren in den neongelben Schutzwesten am Stand des Stuttgarter IT-Beratungs- und Engineering-Unternehmens noch erklären, was eine RFID-Schutzhülle ist, die sie als Give-Away im Gepäck hatten. Dieses Jahr fanden sich einige Teilnehmer am Stand ein, um ihre benutzten Hüllen gegen eine neue einzutauschen.
Was diese alles verhindert, zeigte Martin Zappe, Business Unit Manager Industrial Engineering bei der ICS AG, mit einer eindrucksvollen Präsentation. Mit einer allgemein verfügbaren NFC-App las er unbemerkt vertrauliche Daten von einer Kreditkarte seines Kollegen ab. „In einer voll besetzten U-Bahn könnte sich ein Krimineller von ungeschützten Kreditkarten folglich schnell ein paar hundert Euro ergaunern“, warnt Zappe. Danach waren die Hüllen begehrter als ofenfrische Brezeln.
Mit ihrem Messedemonstrator und der eingebauten Security Appliance Irma der Firma Achtwerk bewiesen sich die Stuttgarter auch im Bereich Industrial Security als fortschrittliche Experten. Von IoT und Industrie 4.0 eingesetzte Sensoren stellen für Cyberkriminelle ein willkommenes Einfallstor dar. Der Betreiber muss daher genau wissen, welches Gerät mit wem über welches Protokoll kommuniziert. Mit dem Krandemonstrator zeigte die ICS AG, wie einer der Sensoren über ein UDP-Protokoll versucht, Informationen über das Netz abzuziehen. Dank Irma konnte das erkannt und verhindert werden. Kirsch: „In einer Produktionsumgebung wollen wir nicht, dass Sensoren selbständig Updates ziehen, ohne dass wir es kontrollieren können. Wir haben hier Industrial Security zum Anfassen gezeigt. Das hat bei den Messebesuchern großes Interesse geweckt.“
Besonders gut nahmen die Messebesucher das offene Konzept des Messestandes der ICS AG an, den sie auf der it-sa regelmäßig unter der Schirmherrschaft der Bayern Innovativ betreiben. „Wir verstecken uns nicht, sondern sprechen die Menschen an“, erzählt Kirsch. „Das funktioniert prima. Bei uns ist immer viel los!“
Alles in allem sind die Stuttgarter mehr als zufrieden: „Die Stimmung war sehr gut. Alles war perfekt organisiert. Und wir freuen uns, wenn wir einige Messeteilnehmer einen Schritt weiter in Richtung digitale Sicherheit gebracht haben“, so das Fazit von Michael Kirsch.
Die Mitglieder der bwcon (Baden-Württemberg: Connected e.V.) können ab sofort auf die Expertise der ICS AG zurückgreifen, um ihre Informations- und IT-Sicherheit zu stärken. Die Software-Entwicklungs- und Beratungsfirma aus Stuttgart hat sich erfolgreich dem Akkreditierungsprozess zum Fachberater für Informations- und IT-Sicherheit bei der bwcon unterzogen und freut sich auf eine noch engere Partnerschaft.
„Wir sind sehr glücklich, dass wir als Fachberater auf dem Themengebiet IT-Sicherheit die Beratungsleistung der bwcon ergänzen dürfen“, freut sich Michael Kirsch, Leiter der Geschäfts-feldentwicklung bei der ICS AG. In einer Zeit, in der kein Unternehmen um die Digitalisierung herumkommt, ist es unerlässlich, mit kompetenten und vertrauenswürdigen Partnern zusammen-zuarbeiten. „Wir sind sehr zuversichtlich, dass von diesem Ausbau der Partnerschaft vor allem die Unternehmen profitieren, die sich fit machen müssen für sichere IT- und Informations-systeme“, so Kirsch.
Die Fachberater der bwcon zeichnen sich durch die Expertise in Spitzentechnologien oder wichtigen Dienstleistungsfeldern aus. Es werden Spezialisten in den Fachberater-Pool aufge-nommen, die sich einer eingehenden Prüfung ihrer Fachkompetenzen unterziehen und das Dienstleistungsportfolio der bwcon komplementieren.
Expertise auf allen Ebenen
Martin Köppe, zuständig für das Netzwerkmanagement und die Mittelstandsförderung bei der bwcon, freut sich über den fachlichen Zugewinn: „Mit der ICS AG haben wir einen verlässlichen und kompetenten Fachberater für die Bereiche Informations- und IT-Sicherheit, die im Mittelstand noch ausbaufähig sind.“
Der Mittelstand wird sich in Zukunft vermehrt mit den Gesetzen und Normen der IT- und Infor-mationssicherheit sowie deren Auswirkungen auseinandersetzen müssen. „Darum freuen wir uns, die ICS AG empfehlen zu können, wenn insbesondere Expertisen zu IT-Sicherheitsnormen gefragt sind“, so Köppe.
Die ICS AG ist seit 2016 Mitglied im Baden-Württemberg: Connected e.V. Für das Stuttgarter IT-Beratungs- und Engineering-Unternehmen hat sich die bwcon bereits seit längerem als Medien-partner für das KRITIS-Forum bewährt. Über das Forum informiert die ICS AG zum IT-Sicher-heitsgesetz des BSI für kritische Infrastrukturen sowie zur EU-Datenschutzgrundverordnung und deren Konsequenzen für KMUs.
Betreiber von Industrieanlagen haben bei der Integration von IoT und Industrie 4.0 berechtigte Sicherheitsbedenken. Produktionsanlagen sind heute keine geschlossenen Systeme mehr und ein individuelles Risikomanagement ist unabdingbar. Die ICS AG stellt auf der it-sa in Nürnberg ihr Secure-System-Control-Netz vor. Sie bekommt dabei Unterstützung von einer intelligenten Dame: IRMA, das ist eine Security Appliance für kritische Infrastrukturen und vernetzte Automatisierungen in Industrieanlagen.
Noch nie war das Railway Forum so groß aufgestellt“, freut sich Andreas Langer, Key Account Manager und kommissarischer Leiter der Business Unit Transportation bei der ICS AG aus Stuttgart. Bei den zahlreichen Vorträgen und Workshops nahm die Digitalisierung zwar einen großen Raum ein. „Was ich allerdings vermisst habe, ist das Bewusstsein für Informationssicherheit, die dringend mit der Digitalisierung einher gehen muss“, bemerkt der Experte. Partiell wurde das Thema zwar beleuchtet, allerdings weniger intensiv als nötig.
„Die Vernetzung der Systeme ist in der Bahnbranche seit geraumer Zeit ein großes Thema“, weiß der Experte. „Dabei konzentrieren sich die Neuerungen aber hauptsächlich auf das Technische sowie die Verarbeitung der großen Datenmengen und weniger auf die dafür dringend notwendige Datensicherheit.“ Dabei drängt die Zeit. Die Frist für die Implementierung der Anforderungen aus dem BSI-Sicherheitsgesetz scheint zwar noch lange hin (Juni 2019 für die Transportbranche). Der TÜV Süd aber geht davon aus, dass je nach bereits vorhandener Sicherheitsmaßnahmen ein Unternehmen dafür zwischen zwölf und 24 Monate Zeit benötigt. „Ein Unternehmen muss intern neue Verfahrensanweisungen etablieren, die vom gesamten Betrieb nachgelebt werden müssen. Das braucht Zeit“, weiß Langer aus Erfahrung.
Für den organisatorischen Bereich hat sich mittlerweile die Norm ISO/IEC 27001 als vom Gesetzgeber akzeptierten Standard etabliert. Für die Produkte wird dies die Norm ISO/IEC 62443 sein. Deren Vorgaben müssen bei der Produktionsentwicklung eingehalten und umgesetzt werden.
„Damit unsere Systeme und die der gesamten Bahnindustrie den vorgeschriebenen Sicherheitsstandards entsprechen und vor möglichen Angriffen sicher sind, müssen wir jetzt die Weichen stellen. Ansonsten sind Probleme vorprogrammiert“, prognostiziert Langer.
Entscheider und Experten der Bahnbranche trafen sich zum Informations- und Meinungsaustausch auf dem 5. Railway Forum in Berlin. Zwei geschäftiger Tage, die unter dem Motto „Wettbewerbsfähigkeit 2025“ standen - das Bewusstsein für Informationssicherheit jedoch fehlte...
Noch nie war das Railway Forum so groß aufgestellt“, freut sich Andreas Langer, Key Account Manager und kommissarischer Leiter der Business Unit Transportation bei der ICS AG aus Stuttgart. Bei den zahlreichen Vorträgen und Workshops nahm die Digitalisierung zwar einen großen Raum ein. „Was ich allerdings vermisst habe, ist das Bewusstsein für Informationssicherheit, die dringend mit der Digitalisierung einher gehen muss“, bemerkt der Experte. Partiell wurde das Thema zwar beleuchtet, allerdings weniger intensiv als nötig.
„Die Vernetzung der Systeme ist in der Bahnbranche seit geraumer Zeit ein großes Thema“, weiß der Experte. „Dabei konzentrieren sich die Neuerungen aber hauptsächlich auf das Technische sowie die Verarbeitung der großen Datenmengen und weniger auf die dafür dringend notwendige Datensicherheit.“ Dabei drängt die Zeit. Die Frist für die Implementierung der Anforderungen aus dem BSI-Sicherheitsgesetz scheint zwar noch lange hin (Juni 2019 für die Transportbranche). Der TÜV Süd aber geht davon aus, dass je nach bereits vorhandener Sicherheitsmaßnahmen ein Unternehmen dafür zwischen zwölf und 24 Monate Zeit benötigt. „Ein Unternehmen muss intern neue Verfahrensanweisungen etablieren, die vom gesamten Betrieb nachgelebt werden müssen. Das braucht Zeit“, weiß Langer aus Erfahrung.
Für den organisatorischen Bereich hat sich mittlerweile die Norm ISO/IEC 27001 als vom Gesetzgeber akzeptierten Standard etabliert. Für die Produkte wird dies die Norm ISO/IEC 62443 sein. Deren Vorgaben müssen bei der Produktionsentwicklung eingehalten und umgesetzt werden.
„Damit unsere Systeme und die der gesamten Bahnindustrie den vorgeschriebenen Sicherheitsstandards entsprechen und vor möglichen Angriffen sicher sind, müssen wir jetzt die Weichen stellen. Ansonsten sind Probleme vorprogrammiert“, prognostiziert Langer.
„Bisher stand das Thema Safety ganz oben auf der Wahrnehmung von Bahnbetreibern und deren Zulieferern“, weiß Andreas Langer, Key Account Manager Transportation bei der ICS AG. „Seit der Einführung des IT-Sicherheitsgesetzes und natürlich durch die stetig wachsende Gefahr von Cyber-Angriffen ist die Security in den Vordergrund gerückt.“
Railway Forum Berlin: Die Signale stehen auf Security
Die Bedeutung des IT-Sicherheitsgesetzes für die Bahnindustrie
Stuttgart, 21. August 2017: BSI-Sicherheitsgesetz, KRITIS, IEC/ISO 27001, Security vs. Safety, IEC 62443 ... Kennen Sie sich aus? Und was hat das mit der Bahnindustrie zu tun? Eine Firma aus Stuttgart weiß es genau. Die ICS AG betreibt auf dem Railway Forum 2017 in Berlin Aufklärung in Sachen Informationssicherheit.
„Bisher stand das Thema Safety ganz oben auf der Wahrnehmung von Bahnbetreibern und deren Zulieferern“, weiß Andreas Langer, Key Account Manager Transportation bei der ICS AG. „Seit der Einführung des IT-Sicherheitsgesetzes und natürlich durch die stetig wachsende Gefahr von Cyber-Angriffen ist die Security in den Vordergrund gerückt.“
Für IT-Systeme, -Komponenten und –Prozesse müssen, so der Gesetzgeber, „angemessene organisatorische und technische Vorkehrungen zur Vermeidung von Störungen“ getroffen werden. Die Nachweise, dass sich die IT-Sicherheitssysteme auf dem „Stand der Technik“ befinden, sollen die Unternehmen mittels Zertifizierungen liefern und alle zwei Jahre erneuern. Zusätzlich muss eine Meldestelle für erhebliche Störungen eingerichtet werden. Bei Nichterfüllung drohen empfindliche Strafen.
Vorsorge ist besser als leere Auftragsbücher
Obwohl das Gesetz für Betreiber kritischer Infrastrukturen (KRITIS) gilt, wird ein Kaskadeneffekt erwartet: KRITIS-Unternehmen werden von ihren Zulieferern dieselben Nachweise verlangen, die sie selbst erbringen müssen. Um weiterhin wettbewerbsfähig zu bleiben, werden sich also auch KMUs mit der Umsetzung der gesetzlichen Vorgaben auseinandersetzen müssen - und damit automatisch ihre Produkte, Dienstleistungen und Prozesse vor Cyber-Angriffen schützen.
„Derzeit etablieren sich bestimmte Normen und Zertifikate als Standards“, erläutert Michael Kirsch, Leiter der Geschäftsfeldentwicklung bei der ICS AG. Dies sind zum einen die Industrienorm IEC 62443, eine internationale Normenreihe, die sich mit der IT-Sicherheit von Automatisierungssystemen im industriellen Umfeld befasst. Zum anderen ist das die Normenreihe ISO/IEC 27000. „Das A und O der Compliance mit dem Gesetz ist die Einführung eines ISMS, also eines Information Security Management Systems. Hierzu macht die Norm 27001 konkrete Vorgaben“, weiß Kirsch.
Licht ins Dunkel dank fachmännischer Unterstützung
Die ICS AG berät und unterstützt Unternehmen bei der Analyse des Ist-Zustandes der Informationssicherheit im Betrieb und führt fachmännisch bis zur Zertifizierung. Philip Degenhardt, Head of Business Center Information Security bei der ICS AG freut sich auf den Austausch mit den Besuchern auf der Messe: „Die Compliance mit dem IT-Sicherheitsgesetz liegt uns am Herzen. Wir wollen den Normendschungel lichten und die Unternehmen dabei unterstützen, ihre Systeme sicherer zu machen.“
Besuchen Sie das Railway Forum 2017 in Berlin und treffen Sie Andreas Langer, Philip Degenhardt und Michael Kirsch am Stand A04.
„Aufklärung statt Panikmache – klare und solide Antworten auf rechtliche und versicherungstechnische Fragen, die sich durch die zunehmende Digitalisierung und Vernetzung für kleine und mittelständische Unternehmen ergeben“, fasst Ralf Schambier, Senior Projektleiter für Konzeption bei monopage seinen Eindruck zusammen.
Stuttgart, 5. Juli 2017 - Die Teilnehmer zeigten sich beruhigt und begeistert gleichermaßen. Beim Seminar Kritische Infrastruktur und Industrie 4.0, das am 29. Juni von der ICS AG in Zusammenarbeit mit der BWCon statt fand, standen IT-Sicherheitsfragen, die gesetzlich geforderten Maßnahmen und damit verbundene versicherungstechnische Fragen im Fokus.
„Aufklärung statt Panikmache – klare und solide Antworten auf rechtliche und versicherungstechnische Fragen, die sich durch die zunehmende Digitalisierung und Vernetzung für kleine und mittelständische Unternehmen ergeben“, fasst Ralf Schambier, Senior Projektleiter für Konzeption bei monopage seinen Eindruck zusammen.
Die Veranstalter brachten Licht ins Dunkel des Normendschungels mit dem sich Unternehmen konfrontiert sehen. Näher beleuchtet wurden dabei die ISO 2700ff, die Implementierung eines Informationssicherheits-Managementsystems (ISMS12) als Vorstufe zur IT-Sicherheitszertifizierung sowie die Industrienorm IEC 62443, die sich als Standard zur Compliance mit den gesetzlichen Vorgaben bewährt.
In einem Gastvortrag wurden „Schadensszenarien und Lösungsansätze aus Versicherungssicht“ näher beleuchtet. Der Vortragende Stephan Kuhn, Diplom-Betriebswirt und Versicherungsexperte spricht den Veranstaltern ein großes Lob aus: „Die Veranstaltung war perfekt organisiert.“
Das freut die Veranstalter von der ICS AG: „Wir werden weiter daran arbeiten, Entscheidungsträger und Verantwortliche von KMUs aufzuklären und dabei zu unterstützen, ihre Systeme vor Angriffen zu schützen“, verspricht Michael Kirsch. Leiter der Geschäftsfeldentwicklung bei der ICS AG. „Wir setzen die Vortragsreihe auf jeden Fall fort.“
Die Bundesregierung hat die zweite Tranche des IT-Sicherheitsgesetzes verabschiedet. Ab jetzt läuft der Countdown für Unternehmen aus den Bereichen Finanzen, Gesundheit sowie Transport und Verkehr, den Zertifizierungsprozess für ihre IT-Systeme zu starten. Wer jetzt allerdings glaubt, das Gesetz gelte nur für Betreiber kritischer Infrastrukturen (KRITIS), sollte seine Auftragsbücher studieren. Denn die von dem Gesetz direkt betroffenen KRITIS-Unternehmen werden auch von ihren kleineren Zulieferern entsprechende Nachweise verlangen. Die Normenreihe ISO 27000 und der IEC 62443 sind der Standard, an dem sie ihre Systemsicherheit in Zukunft messen müssen.
Ein Seminar informiert über das IT-Sicherheitsgesetz
Digitalisierung und KMUs: Sicherheit im Griff?
Stuttgart, 19. Juni 2017 - Die Bundesregierung hat die zweite Tranche des IT-Sicherheitsgesetzes verabschiedet. Ab jetzt läuft der Countdown für Unternehmen aus den Bereichen Finanzen, Gesundheit sowie Transport und Verkehr, den Zertifizierungsprozess für ihre IT-Systeme zu starten. Wer jetzt allerdings glaubt, das Gesetz gelte nur für Betreiber kritischer Infrastrukturen (KRITIS), sollte seine Auftragsbücher studieren. Denn die von dem Gesetz direkt betroffenen KRITIS-Unternehmen werden auch von ihren kleineren Zulieferern entsprechende Nachweise verlangen. Die Normenreihe ISO 27000 und der IEC 62443 sind der Standard, an dem sie ihre Systemsicherheit in Zukunft messen müssen.
Damit sich die Unternehmen nicht im Normendschungel verirren, setzt die Stuttgarter ICS AG zusammen mit der BWCon am 29. Juni 2017 ihre Seminarreihe mit dem Titel Kritische Infrastruktur und Industrie 4.0 fort.
Neben einer Einführung in die Normenreihe ISO 27000 und der IEC 62443 steht diesmal ein Gastvortrag zum Thema Versicherungen für Unternehmen im Zeitalter der Digitalisierung auf der Agenda.
Der Versicherungsmakler Stephan Kuhn gibt einen Überblick über Versicherungen gegen Cyber-Risiken. Denn auch wenn Unternehmen ihre Systeme nach allen Regeln vor möglichen Angriffen aus dem Netz schützen, gibt es keinen 100%igen Schutz vor Cyberangriffen. Kann ich mein Unternehmen also vor den Folgen einer gelungen Hacker-Attacke schützen? Und was bringen die Cyber-Versicherungen? Dieser Frage geht der Versicherungsexperte mit Ihnen nach.
Der Vortrag von Michael Kirsch von der ICS AG führt in die Normenreihe ISO 27000 ein. Der Standard definiert unter Anderem die Anforderungen für die Zertifizierung, bietet einen Leitfaden zur Implementierung und stellt Modelle für das Risikomanagement vor. An diesem Nachmittag sollen die verschiedenen Eckpunkte näher beleuchtet werden.
Abschließend widmet sich Martin Zappe von der ICS AG der Industrienorm IEC 62443. Diese baut auf dem Standard 27000 auf, erweitert diesen aber um die Anforderungen an die IT-Sicherheit für Produktionsanlagen. Dabei schließt sie Betreiber, Hersteller und Integratoren mit ein.
Das Programm im Einzelnen:
• Willkommen
Michael Kirsch, Leiter der Geschäftsfeldentwicklung ICS AG
• Was macht die Versicherungsbranche im Bereich IT-Sicherheit im Zeitalter der Digitalisierung?
Stephan Kuhn, Geschäftsführer Finanzdienstleistungen Kuhn
• IT-Sicherheit, Grundschutz, ISO 27000ff, ISIS12, IT-Security, viele Namen, ein Ziel!
Michael Kirsch, Leiter Geschätsfeldentwicklung ICS AG
• IEC 62443 und was das für die kritischen Infrastrukturen und Industrie 4.0 bedeutet.
Martin Zappe, Business Unit Leiter ICS AG
• Podiumsdiskussion
Seminar zum Thema Kritische Infrastruktur und Industrie 4.0
Wann: Donnerstag, 29. Juni 2017, 16:30 Uhr – 20:30 Uhr
Wo: Steinbeis Europazentrum Stuttgart
Veranstalter: ICS AG und BWCon
(Autor: Julia Grewe)
Über die ICS AG:
Die ICS AG ist seit mehr als 50 Jahren ein erfolgreiches, familiengeführtes IT-Beratungs- und Engineeringunternehmen. Die Spezialisierung liegt in den Geschäftsfeldern Industrial Engineering (Automation, Supply Chain, Logistic, Automotive), Transportation und Research und Development. In den Bereichen Funktionale Sicherheit, Security & Safety sowie KRITIS sorgt die ICS AG für intelligente und sichere Prozesse in komplexen Umgebungen.
Pressekontakt:
Fachlicher Kontakt
ICS AG
Marketing & PR
Frau Stefanie Henzler
Sonnenbergstraße 13
70184 Stuttgart
Tel.: +49 711 21037 – 40
Fax:+49 711 21037 – 53
Web: www.ics-ag.de
E-Mail: press@ics-ag.de
ICS AG
Leiter Geschäftsfeldentwicklung
Herr Michael Kirsch
Sonnenbergstraße 13
70184 Stuttgart
Tel.: +49 711 21037 – 00
Fax: +49 711 21037 – 53
Web: www.ics-ag.de
E-Mail: kritis@ics-ag.de
Weitere Informationen und hochauflösende Bilder für die Presse schicken wir Ihnen gerne auch auf Wunsch zu. Zur Veröffentlichung, honorarfrei. Belegexemplar oder Veröffentlichungshinweis wäre sehr freundlich.
Die Bundesregierung hat die zweite Tranche des IT-Sicherheitsgesetzes verabschiedet. Ab jetzt läuft der Countdown für Unternehmen aus den Bereichen Finanzen, Gesundheit sowie Transport und Verkehr, den Zertifizierungsprozess für ihre IT-Systeme zu starten. Wer jetzt allerdings glaubt, das Gesetz gelte nur für Betreiber kritischer Infrastrukturen (KRITIS), sollte seine Auftragsbücher studieren. Denn die von dem Gesetz direkt betroffenen KRITIS-Unternehmen werden auch von ihren kleineren Zulieferern entsprechende Nachweise verlangen. Die Normenreihe ISO 27000 und der IEC 62443 sind der Standard, an dem sie ihre Systemsicherheit in Zukunft messen müssen.
Ein Seminar informiert über das IT-Sicherheitsgesetz
Digitalisierung und KMUs: Sicherheit im Griff?
Stuttgart, 19. Juni 2017 - Die Bundesregierung hat die zweite Tranche des IT-Sicherheitsgesetzes verabschiedet. Ab jetzt läuft der Countdown für Unternehmen aus den Bereichen Finanzen, Gesundheit sowie Transport und Verkehr, den Zertifizierungsprozess für ihre IT-Systeme zu starten. Wer jetzt allerdings glaubt, das Gesetz gelte nur für Betreiber kritischer Infrastrukturen (KRITIS), sollte seine Auftragsbücher studieren. Denn die von dem Gesetz direkt betroffenen KRITIS-Unternehmen werden auch von ihren kleineren Zulieferern entsprechende Nachweise verlangen. Die Normenreihe ISO 27000 und der IEC 62443 sind der Standard, an dem sie ihre Systemsicherheit in Zukunft messen müssen.
Damit sich die Unternehmen nicht im Normendschungel verirren, setzt die Stuttgarter ICS AG zusammen mit der BWCon am 29. Juni 2017 ihre Seminarreihe mit dem Titel Kritische Infrastruktur und Industrie 4.0 fort.
Neben einer Einführung in die Normenreihe ISO 27000 und der IEC 62443 steht diesmal ein Gastvortrag zum Thema Versicherungen für Unternehmen im Zeitalter der Digitalisierung auf der Agenda.
Der Versicherungsmakler Stephan Kuhn gibt einen Überblick über Versicherungen gegen Cyber-Risiken. Denn auch wenn Unternehmen ihre Systeme nach allen Regeln vor möglichen Angriffen aus dem Netz schützen, gibt es keinen 100%igen Schutz vor Cyberangriffen. Kann ich mein Unternehmen also vor den Folgen einer gelungen Hacker-Attacke schützen? Und was bringen die Cyber-Versicherungen? Dieser Frage geht der Versicherungsexperte mit Ihnen nach.
Der Vortrag von Michael Kirsch von der ICS AG führt in die Normenreihe ISO 27000 ein. Der Standard definiert unter Anderem die Anforderungen für die Zertifizierung, bietet einen Leitfaden zur Implementierung und stellt Modelle für das Risikomanagement vor. An diesem Nachmittag sollen die verschiedenen Eckpunkte näher beleuchtet werden.
Abschließend widmet sich Martin Zappe von der ICS AG der Industrienorm IEC 62443. Diese baut auf dem Standard 27000 auf, erweitert diesen aber um die Anforderungen an die IT-Sicherheit für Produktionsanlagen. Dabei schließt sie Betreiber, Hersteller und Integratoren mit ein.
Das Programm im Einzelnen:
• Willkommen
Michael Kirsch, Leiter der Geschäftsfeldentwicklung ICS AG
• Was macht die Versicherungsbranche im Bereich IT-Sicherheit im Zeitalter der Digitalisierung?
Stephan Kuhn, Geschäftsführer Finanzdienstleistungen Kuhn
• IT-Sicherheit, Grundschutz, ISO 27000ff, ISIS12, IT-Security, viele Namen, ein Ziel!
Michael Kirsch, Leiter Geschätsfeldentwicklung ICS AG
• IEC 62443 und was das für die kritischen Infrastrukturen und Industrie 4.0 bedeutet.
Martin Zappe, Business Unit Leiter ICS AG
• Podiumsdiskussion
Seminar zum Thema Kritische Infrastruktur und Industrie 4.0
Wann: Donnerstag, 29. Juni 2017, 16:30 Uhr – 20:30 Uhr
Wo: Steinbeis Europazentrum Stuttgart
Veranstalter: ICS AG und BWCon
(Autor: Julia Grewe)
Über die ICS AG:
Die ICS AG ist seit mehr als 50 Jahren ein erfolgreiches, familiengeführtes IT-Beratungs- und Engineeringunternehmen. Die Spezialisierung liegt in den Geschäftsfeldern Industrial Engineering (Automation, Supply Chain, Logistic, Automotive), Transportation und Research und Development. In den Bereichen Funktionale Sicherheit, Security & Safety sowie KRITIS sorgt die ICS AG für intelligente und sichere Prozesse in komplexen Umgebungen.
Pressekontakt:
Fachlicher Kontakt
ICS AG
Marketing & PR
Frau Stefanie Henzler
Sonnenbergstraße 13
70184 Stuttgart
Tel.: +49 711 21037 – 40
Fax:+49 711 21037 – 53
Web: www.ics-ag.de
E-Mail: press@ics-ag.de
ICS AG
Leiter Geschäftsfeldentwicklung
Herr Michael Kirsch
Sonnenbergstraße 13
70184 Stuttgart
Tel.: +49 711 21037 – 00
Fax: +49 711 21037 – 53
Web: www.ics-ag.de
E-Mail: kritis@ics-ag.de
Weitere Informationen und hochauflösende Bilder für die Presse schicken wir Ihnen gerne auch auf Wunsch zu. Zur Veröffentlichung, honorarfrei. Belegexemplar oder Veröffentlichungshinweis wäre sehr freundlich.
Das diesjährige Muttertagswochenende war geprägt von Nachrichten über den WannaCry Malware-Angriff, der sich in fast 100 Länder ausbreitete. Auch deutsche Unternehmen waren betroffen. Sicherheitsexperten sehen hierin eine Eskalation der weltweit wachsenden Bedrohung für unsere zunehmend digitalisierte Infrastruktur. Dies macht erneut deutlich, dass die Bundesregierung mit dem IT-Sicherheitsgesetz zu Recht Betreiber kritischer Infrastrukturen (KRITIS) per Gesetz dazu verpflichtet, ihre Systeme nach dem Stand der Technik zu schützen. Wie dies auf Grundlage vertrauter Normen und Vorgaben im Transportwesen möglich ist, erklärt ein Artikel am Beispiel einer Leit- und Sicherungstechnik (LST) für Bahnanwendungen.
Stuttgart, 14. Mai 2017 - Das diesjährige Muttertagswochenende war geprägt von Nachrichten über den WannaCry Malware-Angriff, der sich in fast 100 Länder ausbreitete. Auch deutsche Unternehmen waren betroffen. Sicherheitsexperten sehen hierin eine Eskalation der weltweit wachsenden Bedrohung für unsere zunehmend digitalisierte Infrastruktur. Dies macht erneut deutlich, dass die Bundesregierung mit dem IT-Sicherheitsgesetz zu Recht Betreiber kritischer Infrastrukturen (KRITIS) per Gesetz dazu verpflichtet, ihre Systeme nach dem Stand der Technik zu schützen. Wie dies auf Grundlage vertrauter Normen und Vorgaben im Transportwesen möglich ist, erklärt ein Artikel am Beispiel einer Leit- und Sicherungstechnik (LST) für Bahnanwendungen.
Der Autor, Patric Birr, RAMS Engineer bei der ICS AG, beschreibt in seinem Artikel das Vorgehen zur Ableitung von Anforderungen an die Organisation und Prozesse von Bahnbetreibern sowie die Technik der dazugehörigen LST-Systeme. In Bahnanwendungen müssen dem Stand der Technik entsprechende IT-Sicherheitsanforderungen umgesetzt und kontinuierlich überprüft werden. Um dies zu gewährleisten, muss zuerst auf Basis der gängigen Sicherheitsnormen ein System zur Risikobewertung errichtet und zertifiziert werden. Darauf aufbauend folgt die Einführung und ebenfalls Zertifizierung entsprechender Schutzmechanismen.
Birr erklärt, wie eine IT-Sicherheitsanalyse auf Basis der bekannten Normenreihe IEC 62443 zum Schutz von industriellen Kommunikationsnetzen durchgeführt werden kann. Das im bahnspezifischen Leitfaden DIN VDE V 0831-104 beschriebene Vorgehen zur Anwendung der Normenreihe wird dabei um eine mehrstufige qualitative Risikobetrachtung erweitert. Dies geschieht durch die Anwendung bewährter „Bottom-Up“- und „Top-Down“-Analysetechniken, die schrittweise die vorhandenen Schutzmechanismen bewerten und gegebenenfalls ergänzen.
Um, wie von dem IT-Sicherheitsgesetz gefordert, dem Stand der Technik zu entsprechen, empfiehlt der Autor, Datenbanken wie die vom BSI erstellten IT-Grundschutzkataloge zu Rate zu ziehen und mit IT-Experten zusammenzuarbeiten. Wenn im System die geforderten IT-Sicherheitsanforderungen implementiert und die entsprechenden Nachweise erbracht sind, steht einer Systemzertifizierung nichts mehr im Wege. Dadurch kann eine Schädigung der Systeme durch Malware wie WannaCry, abgewendet werden.
Der Artikel ist in Signal+Draht, Ausgabe 4/2017 erschienen. >>zum Artikel im Downloadbereich
„Jeder Mitarbeiter muss seinen Teil zur Security beitragen“ - lautet eine der Botschaften von Martin Zappe (Business Unit Manger Industrial Engineerung und Sicherheitsberater) bei seinem Vortrag auf der Hannover Messe 2017 im Bitkom Innovation Forum.
Die Sinne schärfen für Industrial Security / Informationssicherheit
Industrie 4.0 auf dem Innovation Forum der Bitkom
Hannover, 10. Mai 2017
Das Schlagwort der diesjährigen Bitkom auf der Hannover Messe lautete Digitale Transformation. Die Begeisterung über das Internet of Things (IoT) und für die Errungenschaften der Industrie 4.0 war sowohl bei den Ausstellern als auch bei den Besuchern allgegenwärtig. Doch diese Entwicklungen sind nicht ausschließlich Heilsbringer für die digitale Zukunft. Sicherheitslücken, Schadsoftware, Hackerangriffe – die Liste der möglichen Angriffsflächen ist lang. Damit Unternehmen ihre Systeme sichern, hat die Bundesregierung das IT-Sicherheitsgesetz erlassen.
„Das Bewusstsein für IT-Sicherheit ist vor allem bei mittelständischen Unternehmen noch nicht angekommen“, erklärt Martin Zappe, Business Unit Manager Industrial Engineering bei der ICS AG. Dabei sind viele KMUs durch das GmbH-Gesetz und das Transparenz-Gesetz (KonTraG) dazu verpflichtet, geeignete Security-Maßnahmen vorzunehmen. Und für manche Unternehmen drängt die Zeit. Denn der Gesetzgeber hat mit dem IT-Sicherheitsgesetz festgelegt, dass Unternehmen kritischer Infrastrukturen (KRITIS) bis zum nächsten Jahr eine Reihe von Maßnahmen ergreifen müssen, um ihre Systeme vor Angriffen aus dem Internet zu schützen. Zudem legt das Gesetz die Verantwortung für die IT-Security in die Hände der Geschäftsführung. Bei Pflichtverletzungen drohen empfindliche Strafen.
In seinem Vortrag „Erfolgreich zum sicheren Industrie 4.0 Betrieb“ auf dem Innovation Forum Industrie 4.0 der Bitkom erläutert Zappe, dass der technologische Fortschritt dazu führt, dass alle an der Wertschöpfung beteiligten Systeme digital zusammenarbeiten. Diese Interoperabilität ermöglicht es, dass Daten in Echtzeit erfasst, gefiltert und analysiert werden können. Gleichzeitig steigt aber die Anfälligkeit für alle Arten von Angriffen aus dem Internet. Schon ein infizierter USB-Stick kann die Produktion lahmlegen und Schäden in unabsehbarer Höhe verursachen.
In vier Schritten zu mehr Sicherheit
Dabei bedarf es nur vier Schritten, um schnell Ergebnisse für sichere Systeme zu erzielen, legt Zappe dar:
1. Das Bewusstsein für die Notwendigkeit einer umfassenden IT-Security herstellen.
2. Die Risiken ermitteln, d.h. eine Bewertung von Schadensausmaß und Eintrittswahrscheinlichkeit vornehmen.
3. Etablierung eines IT-Sicherheitsbeauftragten, der die Kommunikationsschnittstelle zwischen Management und Entwickler darstellt.
4. Einhaltung eines Mindestniveaus an IT-Sicherheit, d.h. Festlegen von Handlungsrichtlinien, die im Unternehmen etabliert werden müssen.
„Jeder Mitarbeiter muss seinen Teil zur Security beitragen“, schärft der Industrial Engineering Experte und Sicherheitsberater den Anwesenden ein.
Um die digitale Wertschöpfungskette zu sichern, empfiehlt es sich, die Norm ISO/IEC 27000ff zu implementieren. Auf dieser Basis müssen Unternehmen ein Informationssicherheits-Managementsystem (ISMS) etablieren. Damit können sie Risiken identifizieren und entsprechend handeln. Da der Gesetzgeber vorsieht, dass die Zertifizierung alle zwei Jahre erneuert wird, bleibt das IT-Sicherheitsniveau automatisch auf dem neuesten Stand der Technik. „Sichere Produkte sind nur auf dieser Basis möglich“, betont Zappe.
Ein Standard für die Automatisierungstechnik
Für die unterschiedlichen Sektoren wurden und werden ergänzend individuelle Standards entwickelt. So etabliert sich derzeit für die Automatisierungstechnik beispielsweise der Standard IEC 62443. Dieser Standard setzt als Basis für die Managementprozesse auf die ISO 27000ff und deckt dabei alle erforderlichen Themen von Schutz des Personals, über die technische Konfiguration, den Entwicklungsprozess bis hin zur Compliance ab. Damit bietet die Norm ein optimales Fundament für eine sichere Produktentwicklung.
Um sich in dem Normendschungel zurechtzufinden, empfiehlt es sich, rechtzeitig einen Experten zu Rate zu ziehen. Denn: „Die Einhaltung des IT-Sicherheitsgesetzes muss jetzt vorbereitet werden“, warnt Zappe.
Eines der Steckenpferde der ICS AG ist das Thema Cybersecurity im Transportsektor. Die fortschreitende Digitalisierung und Vernetzung des Eisenbahnsektors birgt neben vielen Vorteilen auch die erhöhte Gefahr von Angriffen über IP-fähige Netze. Vor diesem Hintergrund nehmen die Stuttgarter eine aktive Rolle in der AG Cybersecurity für sicherheitskritische Infrastrukturen (CYSIS) ein.
Eines der Steckenpferde der ICS AG ist das Thema Cybersecurity im Transportsektor. Die fortschreitende Digitalisierung und Vernetzung des Eisenbahnsektors birgt neben vielen Vorteilen auch die erhöhte Gefahr von Angriffen über IP-fähige Netze. Vor diesem Hintergrund nehmen die Stuttgarter eine aktive Rolle in der AG Cybersecurity für sicherheitskritische Infrastrukturen (CYSIS) ein.
Mit Vorträgen zum Thema IT-Sicherheitsgesetz und -Nachweisverfahren sowie zu den Anforderungen an Technik, Infrastruktur und Betrieb im Schienenverkehrssektor informierte Patric Birr, RAMS Engineer bei der ICS AG, in der Vergangenheit bei diversen Projektgruppen. „Die Treffen der CYSIS sind sehr konstruktiv“, so Birr. „Gemeinsam sind wir auf dem richtigen Weg, den Betrieb und die Technik unserer Transportsysteme gegen Cyberangriffe sicherer zu machen.“
Die Arbeitsgruppe CYSIS ist eine Initiative der Deutschen Bahn AG und der TU Darmstadt. Sie widmet sich dem intensiven Informationsaustausch zwischen Industrie und Wissenschaft mit dem Ziel, effektive Abwehrtechniken und Gegenmaßnahmen gegen Cyberangriffe zu ermitteln und weiterzuentwickeln.
Am 26. April hält Martin Zappe, Business Unit Leiter, einen Vortrag zum Thema Industrial Security. Michael Kirsch, Leiter der Geschäftsfeldentwicklung bei der ICS AG, wird die Vorträge im Bitkom Innovation Forum dieses Nachmittags moderieren. Am Stand präsentiert die ICS AG einen Demonstrator "sichere Steuerung - Industrie 4.0"
Die ICS AG ist, wie schon wie schon jedes Jahr seit 2011, Teil der Leitmesse Research & Technology auf der Hannover Messe. Vertreter des Unternehmens sind am Gemeinschaftsstand von Bayern Innovativ zu finden. Dort informieren sie über "sichere Steuerung - Industrie 4.0". Dahinter verbergen sich Sicherheitsnormen, die für KMUs und KRITIS-Unternehmen aus den Geschäftsfeldern Industrial Engineering, Transportation sowie Research & Development von Bedeutung sind. Doch dieses Jahr belässt es die ICS AG nicht beim Präsentieren. Am 26. April hält Martin Zappe, Business Unit Leiter, einen Vortrag zum Thema Industrial Security. Vor dem Hintergrund der Norm IEC 62443 wird Zappe den Normendschungel lichten und den Weg zum sicheren Betrieb und Schutz der Assets in der Industrie 4.0 aufzeigen.Michael Kirsch, Leiter der Geschäftsfeldentwicklung bei der ICS AG, wird die Vorträge im Bitkom Innovation Forum dieses Nachmittags moderieren. ICS AG Messestandvom 24. - 28. April 2017Halle 2, Stand A 52 Moderation & Vortrag Bitkom Innovation Area Industrie 4.0 & Forum Am 26.04.2017 / 13:30 – 14:00 UhrHalle 6, Stand K01
IT-Sicherheit ist Pflicht für den Mittelstand
Auch der Mittelstand ist von den Regularien des IT-Sicherheitsgesetzes (ITSiG) betroffen. Die Bundesagentur für Informationssicherheit (BSI) hat klare Regeln und einen Terminplan festgelegt, welche von den Unternehmen befolgt und zeitnah umgesetzt werden müssen. Die Informationsveranstaltung der IHK Stuttgart am 16. März 2017 gab den rund 60 Anwesenden hierzu praktische Hilfestellung.
IT-Sicherheit ist Pflicht für den Mittelstand
Auch der Mittelstand ist von den Regularien des IT-Sicherheitsgesetzes (ITSiG) betroffen. Die Bundesagentur für Informationssicherheit (BSI) hat klare Regeln und einen Terminplan festgelegt, welche von den Unternehmen befolgt und zeitnah umgesetzt werden müssen. Die Informationsveranstaltung der IHK Stuttgart am 16. März 2017 gab den rund 60 Anwesenden hierzu praktische Hilfestellung.
„Wir sind sehr stolz, dass wir Teil dieses gelungenen Abends sein durften“, freut sich Michael Kirsch, Leiter Geschäftsfeldentwicklung bei der ICS AG. Die Firma, die sich seit mehr als 50 Jahren mit dem Thema Sicherheit beschäftigt, hat einen weiteren Grund zu feiern: Am selben Tag lancierte das Unternehmen seine neue Webseite KritisForum.
Durchblick im Regularien-Dschungel im KritisForum
Mit dieser Webseite will die ICS AG - Dienstleister für kritische Infrastrukturen - über das IT-Sicherheitsgesetz informieren und den komplexen Sachverhalt in eine Handlungsstrategie übersetzen. Denn viele Unternehmen wissen nicht einmal, ob sie von dem Gesetz überhaupt betroffen sind. Und genau hier setzt die Dienstleistung der ICS AG an: „Wir helfen den Unternehmen Schritt für Schritt fit in Sachen IT-Sicherheit zu werden und begleiten sie beim Erlangen der geforderten Zertifizierungen“, erläutert Michael Kirsch.
Mit der Norm IEC 62443 auf der sicheren Seite
Der Fokus des Abends lag von Seiten der ICS AG auf der Normenreihe IEC 62443. Hinter dieser sperrigen Bezeichnung verbirgt sich ein Regelwerk, das definiert, welche Sicherheitsstandards die Systemintegratoren, Dienstleister sowie Hersteller und Lieferanten von industriellen Kommunikationsnetzen implementieren müssen. Es bietet zudem Hilfestellung, um mögliche Schwachstellen in der Steuerungs- und Leittechnik zu identifizieren.
Weitere Informationsveranstaltungen der ICS AG zum Thema werden folgen.
Die Webseite KritisForum finden Sie unter der Adresse: www.KritisForum.de
Seit das Gesetz zur Erhöhung der Sicherheit informationstechnischer Systeme im Juli 2015 in Kraft getreten ist, fragen sich viele Betreiber kritischer Infrastrukturen (KRITIS): Sind wir betroffen? Und wie können wir unsere Systeme angemessen schützen? Dieser Frage ging die ICS AG in einem Seminar am 9. November 2016 in Stuttgart mit Teilnehmern aus dem Sektor Transport und Verkehr auf den Grund. In vier Vorträgen wurden die Inhalte des IT-Sicherheitsgesetzes (ITSiG) sowie deren Auswirkungen und Umsetzung durchleuchtet.
Seit das Gesetz zur Erhöhung der Sicherheit informationstechnischer Systeme im Juli 2015 in Kraft getreten ist, fragen sich viele Betreiber kritischer Infrastrukturen (KRITIS): Sind wir betroffen? Und wie können wir unsere Systeme angemessen schützen? Dieser Frage ging die ICS AG in einem Seminar am 9. November 2016 in Stuttgart mit Teilnehmern aus dem Sektor Transport und Verkehr auf den Grund. In vier Vorträgen wurden die Inhalte des IT-Sicherheitsgesetzes (ITSiG) sowie deren Auswirkungen und Umsetzung durchleuchtet.
Das ICS Business Center Security bietet ab 2017 Trainings für Security-Neulinge an. Die Experten des Business Centers Security haben nun einen Kurs für Einsteiger entwickelt, welcher Security-Neulingen und am Thema Interessierten Einblicke in Zusammenhänge der Security und einen Überblick über die Begrifflichkeiten bietet. Weiter gibt es Kurse, die speziell auf Entwickler ausgerichtet sind.
Neue Einsteigerkurse im Bereich IT-Security bei der ICS AG
Stuttgart, 19. Dezember 2016: Das ICS Business Center Security bietet ab 2017 Trainings für Security-Neulinge an
Die ICS AG verfügt über jahrelange Erfahrungen im Bereich sicherheitskritischer Software und Systeme. Das Know-how zu dem äußert wichtigen Thema der IT-Sicherheit bündelt sich im eigens gegründete Business Center Security.
Die Experten des Business Centers Security haben nun einen Kurs für Einsteiger entwickelt, welcher Security-Neulingen und am Thema Interessierten Einblicke in Zusammenhänge der Security und einen Überblick über die Begrifflichkeiten bietet. Weiter gibt es Kurse, die speziell auf Entwickler ausgerichtet sind.
Der IT-Security Crashkurs gibt einen Überblick über die Begriffs- und Methodenwelt von Informationssicherheit, IT-Security, Safety, IT-Management und Datenschutz bis hin zu 27k, BSI, 62443, KRITIS und möglichen Zertifizierungen. Er ist an alle gerichtet, die Ordnung und Struktur in das breite Thema „IT-Sicherheit“ bringen möchten.
Weitere Kurse im Angebot der ICS AG, richten sich direkt an Entwickler. Die verschiedenen Kurse führen in die Gedankenwelt von Angreifern ein und stellen Methoden und Werkzeuge sowohl analytischer als auch konstruktiver Art vor. Statische Codeanalyse, Security Coding Rules, Security Patterns, Threat Modelling, Security Architecture, Language Based Security sind nur einige Begriffe die ausführlich beleuchtet werden.
Alle Kurse werden sowohl bei der ICS AG als auch, bei entsprechendem Interesse und Gruppengrößen, als In-house-Seminare Vorort angeboten und durchgeführt.
Interessenten können über die Adresse training@ics-ag.de unkompliziert Kontakt aufnehmen.
Link zur Seite mit den Trainingsübersichten: www.ics-ag.de/aktuell/seminare
Das ICS Business Center Security bietet ab 2017 Trainings für Security-Neulinge an. Die Experten des Business Centers Security haben nun einen Kurs für Einsteiger entwickelt, welcher Security-Neulingen und am Thema Interessierten Einblicke in Zusammenhänge der Security und einen Überblick über die Begrifflichkeiten bietet. Weiter gibt es Kurse, die speziell auf Entwickler ausgerichtet sind.
Neue Einsteigerkurse im Bereich IT-Security bei der ICS AG
Stuttgart, 19. Dezember 2016: Das ICS Business Center Security bietet ab 2017 Trainings für Security-Neulinge an
Die ICS AG verfügt über jahrelange Erfahrungen im Bereich sicherheitskritischer Software und Systeme. Das Know-how zu dem äußert wichtigen Thema der IT-Sicherheit bündelt sich im eigens gegründete Business Center Security.
Die Experten des Business Centers Security haben nun einen Kurs für Einsteiger entwickelt, welcher Security-Neulingen und am Thema Interessierten Einblicke in Zusammenhänge der Security und einen Überblick über die Begrifflichkeiten bietet. Weiter gibt es Kurse, die speziell auf Entwickler ausgerichtet sind.
Der IT-Security Crashkurs gibt einen Überblick über die Begriffs- und Methodenwelt von Informationssicherheit, IT-Security, Safety, IT-Management und Datenschutz bis hin zu 27k, BSI, 62443, KRITIS und möglichen Zertifizierungen. Er ist an alle gerichtet, die Ordnung und Struktur in das breite Thema „IT-Sicherheit“ bringen möchten.
Weitere Kurse im Angebot der ICS AG, richten sich direkt an Entwickler. Die verschiedenen Kurse führen in die Gedankenwelt von Angreifern ein und stellen Methoden und Werkzeuge sowohl analytischer als auch konstruktiver Art vor. Statische Codeanalyse, Security Coding Rules, Security Patterns, Threat Modelling, Security Architecture, Language Based Security sind nur einige Begriffe die ausführlich beleuchtet werden.
Alle Kurse werden sowohl bei der ICS AG als auch, bei entsprechendem Interesse und Gruppengrößen, als In-house-Seminare Vorort angeboten und durchgeführt.
Interessenten können über die Adresse training@ics-ag.de unkompliziert Kontakt aufnehmen.
Link zur Seite mit den Trainingsübersichten: www.ics-ag.de/aktuell/seminare
Seit das Gesetz zur Erhöhung der Sicherheit informationstechnischer Systeme im Juli 2015 in Kraft getreten ist, fragen sich viele Betreiber kritischer Infrastrukturen (KRITIS): Wie können wir unsere Systeme angemessen schützen? Dieser Frage ging die ICS AG in einem Seminar zu diesem Thema mit Teilnehmern aus dem Sektor Transport und Verkehr auf den Grund. In vier Vorträgen wurden die Inhalte sowie deren Auswirkungen und Umsetzung des IT-Sicherheitsgesetzes (ITSiG) beleuchtet.
KRITIS
Wappnen für eine gesicherte Zukunft
Stuttgart, 24.11.2016: Seit das Gesetz zur Erhöhung der Sicherheit informationstechnischer Systeme im Juli 2015 in Kraft getreten ist, fragen sich viele Betreiber kritischer Infrastrukturen (KRITIS): Wie können wir unsere Systeme angemessen schützen? Dieser Frage ging die ICS AG in einem Seminar zu diesem Thema mit Teilnehmern aus dem Sektor Transport und Verkehr auf den Grund. In vier Vorträgen wurden die Inhalte sowie deren Auswirkungen und Umsetzung des IT-Sicherheitsgesetzes (ITSiG) beleuchtet.
„Ich bin total begeistert!“ So lautete das Fazit von Katrin Schuy, Partner im Alliance Management von VirtualForge nach Abschluss des Seminars. Ihrer Ansicht nach stellten die Vorträge eine „perfekte Analyse“ des Themas dar.
In den Vorträgen wurde deutlich, dass das ITSiG alle KRITIS-Unternehmen betrifft und dass die IT aller Unternehmen gleichsam anfällig für Cyber-Attacken ist. Die Systeme und Architekturen werden durch die voranschreitende Digitalisierung und Entwicklungen wie der Industrie 4.0 und des Internets der Dinge zunehmend komplexer. Erschwerend kommt hinzu, dass die Cyber-Kriminalität in einer Weise organisiert ist, dass jedes Unternehmen sich darauf einstellen muss, dass „alles was möglich ist, auch irgendwann passiert“, so Dr. Thomas Liedtke, Unit Manager Research & Development bei der ICS AG.
Das ITSiG schreibt die Mindestanforderungen an die IT-Sicherheit von Betreibern kritischer Infrastrukturen fest, bei denen durch ihre besondere Bedeutung für Wirtschaft und Gemeinschaft ein hohes Schadenspotential besteht. Der Gesetzgeber definiert hier neue Pflichten, wie die Benennung einer Kontaktstelle zum Bundesamt für Sicherheit in der Informationstechnik (BSI), eine Meldepflicht von erheblichen IT-Sicherheitsvorfällen und die Erbringung des Nachweises, dass angemessene organisatorische und technische Vorkehrungen zur Vermeidung von Störungen implementiert wurden. Dem IT Risk Management wird per Gesetz der aktuelle Stand der Technik als Maßgabe zugrunde gelegt.
Bei Compliance-Verletzungen drohen Bußgelder bis zu einer Höhe von EUR 50.000. Hinzu kommen weitere, nicht zu unterschätzende Folgen wie der Ausschluss von öffentlichen Ausschreibungen, negative Presseberichterstattung oder die Kosten für interne Untersuchungen. Wer haftet, hängt im Individualfall davon ab, wer wo seine Kontrollpflicht vernachlässigt hat, legt Philip Smitka, Rechtsanwalt mit Schwerpunkt Compliance bei der Wirtschaftskanzlei Noerr dar. Das ITSiG selbst gibt darüber allerdings keine Auskunft. In letzter Konsequenz ist der Vorstand eines Unternehmens dafür verantwortlich, dass die Richtlinien eingehalten werden, da er durch alle Ebenen hindurch sicherstellen muss, dass die Mitarbeiter mit den entsprechenden Vorgaben vertraut sind. „IT-Sicherheit ist Chefsache“, betonte auch der IT-Security Berater Daniel Ehricht in seinem Vortrag.
Vor dem Hintergrund der gängigen Normen und Gesetze stellt das Compliance Management mittlerweile die Voraussetzung für technische Entwicklungen dar. Für den Anwendungsbereich industrieller Kommunikationsnetze im Bahnsektor kristallisiert sich im Hinblick auf die Einhaltung der anerkannten Regeln der Technik mehr und mehr die Normenreihe IEC 62443 heraus. Eine branchenspezifische Norm existiert bisher nicht. Obwohl der Gesetzgeber verlangt, dass die Erfüllung der gesetzlichen Anforderungen alle zwei Jahre überprüft wird, empfiehlt das BSI eine jährliche Neubewertung, erläutert Martin Hetzer, RAMS Manager bei der ICS AG.
„Safety braucht Security“, betonte Dr. Thomas Liedtke. Dabei ist ein strukturiertes Verständnis des Unterschiedes zwischen Security, also der IT-Sicherheit, und Safety, der Sicherheit von IT Systemen gegenüber Mensch und Umwelt, vonnöten. Vor diesem Hintergrund hat die ICS AG ein Vorgehensmodell entwickelt, das sich auf unterschiedliche Industriedomänen anwenden lässt. Martin Hetzer erklärte die einzelnen Schritte zur Bestimmung bestehender Risiken für Industrieanwendungen. Diese müssen zuverlässige, etablierte und aktuelle Quellen zu Angriffsmustern und Verwundbarkeiten zugrunde legen. Zusammen mit den Vorgaben gängiger Normen führt diese Risikoanalyse zu einer Ableitung spezifischer Anforderungen an Prozess, Organisation und Technik.
In den Vorträgen wurde deutlich, dass KRITIS-Unternehmen sich konkurrierenden Zielen widmen müssen. Sicherheitskritische Verfahren stehen unternehmenskritischen Verfahren, wie beispielsweise dem Bestandsschutz gegenüber, betonte Daniel Ehricht. So kollidiert z.B. die Lebensdauer eines Schienenfahrzeuges, die typischerweise bei 25 Jahren liegt, mit der rasanten Entwicklung im Bereich der IT. Denn das ITSiG kann den Bestandsschutz aushebeln. „Die Anforderungen werden dadurch nicht einfacher“, so der IT-Sicherheitsexperte.
Der Störungsschutz und die dafür aufgewendeten Kosten müssen allerdings „in einem vernünftigen Verhältnis zum Risiko stehen“, bemerkte Philip Smitka. Dennoch gelte der Grundsatz: „Die Frage ist nicht, ob Sie sich Compliance leisten können. Die Frage ist, ob Sie es sich leisten können, keine Compliance zu haben“. Darauf wies auch Dr. Thomas Liedtke hin: „Nur ein System das sicher implementiert und sicher konfiguriert ist, in einer sicheren Umgebung läuft und von sicherheitsbewussten Nutzern bedient wird, ist sicher.“
Michael Kirsch, Leiter der Geschäftsfeldentwicklung bei der ICS AG freut sich über den Erfolg der Veranstaltung und ist davon überzeugt, dass die ICS AG als internationaler Dienstleister im Bereich von High Dependability Engineering für Software und Systeme einen zukunftsweisenden Beitrag zu dem brandaktuellen Thema leisten kann. „In dieser Veranstaltung schlagen wir den Bogen von der Theorie über rechtliche und operative Aspekte bis hin zur Implementierung von IT-Sicherheitssystemen für Betreiber kritischer Infrastrukturen“, fasst er zusammen und freut sich auf die Fortsetzung dieser Veranstaltungsreihe.
Die Agenda des Seminars beinhaltete folgende Vorträge:
• Was macht Security anders als Safety?
Dr. Thomas Liedtke Unit-Manager Research & Development, ICS AG
• Die Folgen eines unzureichenden Compliance- und Risikomanagement.
Philip Smitka, Rechtsanwalt bei der Wirtschaftskanzlei Noerr
• Das IT-Sicherheitsgesetz – Wie viel Sicherheit ist gefordert und angemessen?
Daniel Ehricht, IT-Security Experte
• Nachweisverfahren für IT-Sicherheit – Vorgehensmodell Transportation.
Martin Hetzer, Competence Center RAMS, Unit Transportation, ICS AG
Die ICS AG nimmt an der IT-Security Messe „IT-SA“ in Nürnberg teil und informiert über die Themen „Safety & Security“, „Secure System Control“, „Kritis“ und „Identity Access Management“.
IT-Security Messe in Nürnberg // it-sa
Stuttgart, 12.10.2016: Die ICS AG nimmt an der IT-Security Messe „IT-SA“ in Nürnberg teil und informiert über die Themen „Safety & Security“, „Secure System Control“, „Kritis“ und „Identity Access Management“.
Die ICS AG nimmt erstmalig an der IT-Security Messe in Nürnberg teil und widmet sich den Themen „Safety & Security“, „Secure System Control“, „Kritis“ und „Identity Access Management“.
Die ICS AG ist bereits seit 50 Jahren im Bereich Automatisierung, Logistik, Supply Chain Integration und Safety im Industriesektor erfolgreich tätig. Unsere Kunden treiben die aktuellen Buzzwords IoT und Industrie 4.0 vor allem unter Security-Aspekten um: Wie können z.B. Vertraulichkeit, Integrität, und Verfügbarkeit seitens der Betreiber sichergestellt werden und wie Ihre Maschinen, Steuerungen und vergleichbaren Einrichtungen gefahrlos vernetzt werden?
Diese Szenarien greifen wir auf, um auf Basis des gezeigten Messedemonstrators „Sichere Steuerung von Maschinen mit dezentralem Accessmanagement am Beispiel eines Verladekrans“ erfahrbar zu machen und Lösungsmöglichkeiten unter Nutzung von Standardkomponenten auf zu zeigen.
@Safety & Security – unsere Erfahrungen aus Aerospace, Bahn und Automotive ermöglichen uns hier neue Ansätze zur Funktionalen- und IT-Sicherheit für Cyber Physical Systems im Kontext „Industrie 4.0“ vorzustellen.
@Secure System Control – sichere Anlagensteuerungen erfordern nicht nur sichere Software Architekturen, sondern müssen auch in einem normgerechten Prozess eingebettet sein. Wir stellen ein integriertes Vorgehen für beide Aspekte – Safety & Security – vor.
@Kritis – Anforderungen an die Betreiber Kritischer Infrastrukturen
Mit Inkrafttreten des IT-Sicherheitsgesetzes im Juli 2015 und der Veröffentlichung des IT-Sicherheitskatalogs durch die Bundesnetzagentur haben der Gesetzgeber und die Regulierungsbehörden die Eckpunkte der Sicherheitsanforderungen an kritische Infrastrukturen festgelegt. Werden Sie rechtzeitig aktiv! Wir können Sie aufgrund unserer Erfahrungen in Safety & Security kompetent beraten. Gerne unterstützen wir Sie bei der Umsetzung und übernehmen auch die Durchführung relevanter Maßnahmen.
@Identity Access Management – kurz IAM verstehen und kundenspezifisch anwenden.
Identitätsmanagement ist die Voraussetzung dafür, dass personenbezogene Daten unmittelbar, konsistent und verlässlich bereitgestellt werden können. Unsere IT-Experten sorgen dafür, dass die richtigen Menschen zur richtigen Zeit mit den richtigen Rechten versorgt werden. Minimaler Verwaltungsaufwand durch optimale, kundenspezifisch angepasste Lösungen.
Die ICS AG hat im Arbeitskreis Systemintegration des AIM[1] intensiv an der „OPC Unified Architecture (UA) AutoID Companion Specification“ mitgewirkt und ist seit 1. Februar 2016 offizielles Mitglied der OPC Foundation.
ICS AG ab sofort Mitglied der OPC Foundation
Stuttgart, 01. Februar 2016 - Die ICS AG ist ab sofort Mitglied der OPC Foundation
(www.opcfoundation.org)
Die ICS AG hat im Arbeitskreis Systemintegration des AIM[1] intensiv an der „OPC Unified Architecture (UA) AutoID Companion Specification“ mitgewirkt. Für die Präsentation des Standards, hat die ICS AG die Lösungen für die Systemintegration erarbeitet. Diese wurden bereits auf der Hannover Messe 2015 am Stand der OPC Foundation erfolgreich vorgestellt und zuletzt für das „Tracking & Tracing Theatre“ des AIM erweitert. Aus der Gremien- und Implementierungsarbeit wurden eine Vielzahl von Aktivitäten im Bereich "Interoperabilität" abgeleitet. Die ICS AG hat sich dadurch fundiertes, praxis-orientiertes Know-how bei der Anwendung, Implementierung und Integration von OPC UA aufgebaut.
Wir freuen uns deshalb - nun in dieser Konsequenz - unsere Mitgliedschaft in der OPC Foundation bekannt geben zu können.
Über OPC UA:
OPC UA ist ein industrielles M2M-Kommunikationsprotokoll, welches einen eigenen Kommunikationsstack implementiert und wichtige Sicherheitsaspekte miteinbezieht. Über die reine Kommunikation hinaus definiert es ein Datenmodell, um einheitliche Server Adressräume zu gestalten und so eine Plug&Play-Fähigkeit der beteiligten Geräte und Sensoren zu gewährleisten. Lediglich das erstellte Datenmodell muss eingehalten werden.
[1] AIM
Industrieverband für Automatische Identifikation (AutoID), Datenerfassung und Mobile Daten-kommunikation; www.aim-d.de
