Keine Safety ohne Security

Digitalisierung mit Verstand vorantreiben

Stuttgart, 27.11.2017:  Lange Zeit wurde das Thema Security von den Fürsprechern der Industrie 4.0 und des Internet of Things (IoT) stiefmütterlich behandelt. Aber wenn Kühlschränke zu Spammern werden und selbstfahrende Autos von Hackern ferngesteuert werden können, wird deutlich, dass in der Digitalisierung die Informationssicherheit in den Vordergrund rücken muss.

Früher galt unter IT-Experten die Devise, dass nur preisgegeben werden darf, was nötig ist. „Diese Weisheit ist nicht ins Zeitalter der Digitalisierung mitgenommen worden“, kritisiert Dr. Stefan Lewandowski, Software- und Systemingenieur bei der ICS AG. Heute wird alles internetfähig gemacht und unbedacht ins Netz gehängt, frei nach dem Motto: Es wird schon nichts passieren. Und die Informationssicherheit hinkt hinterher.

Übersetzungshilfen in Sachen Sicherheit

„Informationssicherheit ist nicht abhängig von der jeweiligen Software. Sicherheitslücken entstehen nicht nur, weil die Programmierer ihre Arbeit nicht richtig machen“, führt der IT-Fachmann aus. Der Grund liegt vielmehr in der zunehmenden Komplexität der Systeme und Vernetzungen. „Die Erkenntnisse von sicheren Systemen von früher müssen auf die aktuellen Gegebenheiten übertragen werden“, weiß Lewandowski.

Doch wie ist das technisch möglich? Zunächst müssen Entwickler, Produzenten und Nutzer den Unterschied zwischen Safety und Security kennen. Was im Deutschen allgemein als Sicherheit bezeichnet wird, findet im Englischen eine klare Abgrenzung: Ein sicheres System stellt für Anwender und andere Personen keine Gefahr dar, ist im technischen Sinne also safe. Man spricht hier auch von funktionaler Sicherheit. Wenn Datensicherheit gewährleistet ist und die Systeme vor Angriffen von außen geschützt sind, sind sie secure.

Gesetzgeber und Ausbildung reagieren

Früher stand die Safety im Mittelpunkt. Durch die zunehmende Vernetzung und Digitalisierung rückt die Security in allen Bereichen in den Vordergrund. Darauf hat auch der Gesetzgeber reagiert, der über das IT-Sicherheitsgesetz Betreiber kritischer Infrastrukturen (KRITIS) seit diesem Jahr dazu verpflichtet, ihre Systeme nach dem „Stand der Technik“ zu schützen. Was das genau heißt, weiß oftmals nicht einmal die eigene IT-Abteilung. Damit in Zukunft diese Wissenslücke geschlossen wird, legen inzwischen die Hochschulen thematisch nach. In neu aufgebauten Instituten wird der IT-Nachwuchs in Sachen Informationssicherheit geschult.

Dr. Lewandowski leistet auf dem IT-Mittelstandstag an der Hochschule Esslingen einen Beitrag zur Bewusstwerdung und fachlichen Umsetzung von digitaler Sicherheit. Dort hält er am 29. November einen Vortrag mit dem Titel „Safety und Security in der Industrie 4.0“ und erläutert, warum Safety Security braucht.

Keine Safety ohne Security

Digitalisierung mit Verstand vorantreiben

Stuttgart, 27.11.2017:  Lange Zeit wurde das Thema Security von den Fürsprechern der Industrie 4.0 und des Internet of Things (IoT) stiefmütterlich behandelt. Aber wenn Kühlschränke zu Spammern werden und selbstfahrende Autos von Hackern ferngesteuert werden können, wird deutlich, dass in der Digitalisierung die Informationssicherheit in den Vordergrund rücken muss.

Früher galt unter IT-Experten die Devise, dass nur preisgegeben werden darf, was nötig ist. „Diese Weisheit ist nicht ins Zeitalter der Digitalisierung mitgenommen worden“, kritisiert Dr. Stefan Lewandowski, Software- und Systemingenieur bei der ICS AG. Heute wird alles internetfähig gemacht und unbedacht ins Netz gehängt, frei nach dem Motto: Es wird schon nichts passieren. Und die Informationssicherheit hinkt hinterher.

Übersetzungshilfen in Sachen Sicherheit

„Informationssicherheit ist nicht abhängig von der jeweiligen Software. Sicherheitslücken entstehen nicht nur, weil die Programmierer ihre Arbeit nicht richtig machen“, führt der IT-Fachmann aus. Der Grund liegt vielmehr in der zunehmenden Komplexität der Systeme und Vernetzungen. „Die Erkenntnisse von sicheren Systemen von früher müssen auf die aktuellen Gegebenheiten übertragen werden“, weiß Lewandowski.

Doch wie ist das technisch möglich? Zunächst müssen Entwickler, Produzenten und Nutzer den Unterschied zwischen Safety und Security kennen. Was im Deutschen allgemein als Sicherheit bezeichnet wird, findet im Englischen eine klare Abgrenzung: Ein sicheres System stellt für Anwender und andere Personen keine Gefahr dar, ist im technischen Sinne also safe. Man spricht hier auch von funktionaler Sicherheit. Wenn Datensicherheit gewährleistet ist und die Systeme vor Angriffen von außen geschützt sind, sind sie secure.

Gesetzgeber und Ausbildung reagieren

Früher stand die Safety im Mittelpunkt. Durch die zunehmende Vernetzung und Digitalisierung rückt die Security in allen Bereichen in den Vordergrund. Darauf hat auch der Gesetzgeber reagiert, der über das IT-Sicherheitsgesetz Betreiber kritischer Infrastrukturen (KRITIS) seit diesem Jahr dazu verpflichtet, ihre Systeme nach dem „Stand der Technik“ zu schützen. Was das genau heißt, weiß oftmals nicht einmal die eigene IT-Abteilung. Damit in Zukunft diese Wissenslücke geschlossen wird, legen inzwischen die Hochschulen thematisch nach. In neu aufgebauten Instituten wird der IT-Nachwuchs in Sachen Informationssicherheit geschult.

Dr. Lewandowski leistet auf dem IT-Mittelstandstag an der Hochschule Esslingen einen Beitrag zur Bewusstwerdung und fachlichen Umsetzung von digitaler Sicherheit. Dort hält er am 29. November einen Vortrag mit dem Titel „Safety und Security in der Industrie 4.0“ und erläutert, warum Safety Security braucht.

Digitalisierung der Leit- und Sicherungstechnik:
Besser, einfacher - sicher?
Die Bahnbranche diskutiert auf dem Signal+Draht-Kongress

Stuttgart, 07.11.2017:  Die Bahnbranche setzt auf vernetzten Fortschritt und arbeitet an einer allumfassenden Digitalisierung. Doch was bedeutet das für die Leit- und Sicherungstechnik? Welchen Nutzen bringt der Einsatz von Augmented Reality? Und wie sieht es mit der Informationssicherheit aus? Wenn sich die Teilnehmer des Signal+Draht-Kongresses dieses Jahr zum 17. Mal treffen, steht die digitale Zukunft im Mittelpunkt.

Die Bahnbranche hat sich einer allumfassenden Digitalisierung verschrieben und treibt die unterschiedlichsten Initiativen voran. So will die Deutsche Bahn in Kürze Augmented Reality einsetzen, um Bahnkunden schneller zu ihrem reservierten Sitzplatz zu geleiten. Sie investiert in Projekte zur Smart City und setzt bei Bauprojekten auf das Building Information Modeling (BIM). Das BIM digitalisiert sämtliche Prozesse bei Bauprojekten und vereinfacht so die Projektplanung, -Durchführung und –Überwachung. Die Devise lautet: Besser, einfacher, komfortabler.

Zünglein an der Waage
So lockt die schöne neue Eisenbahnwelt mit zukunftsweisenden Versprechen von Vereinfachung und Modernisierung. Es entstehen veränderte Arbeitsprozesse und Perspektiven für modernere Systeme. Wenn jedoch Andreas Langer von der ICS AG aus Stuttgart am 9. und 10. November den Vorträgen und Diskussionen auf dem Signal+Draht-Kongress beiwohnt, wird er sich die Frage stellen: Ist das alles denn sicher?
„Mit der Einführung des BIM geht die Deutsche Bahn einen weiteren Schritt in Richtung digitalisierte Öffnung. Da jeder auf das System zugreifen kann, der an dem Projekt beteiligt ist, muss man sich fragen, ob das System auch den aktuellen Sicherheitsstandards entspricht. Oder bietet es etwa Cyberkriminellen ein unerwünschtes Einfallstor?“, warnt der Key Account Manager für den Bereich Transportation.

Sicherheitskonzepte gemeinsam erarbeiten
Die ICS AG hat sich, neben ihren klassischen Bereichen des Engineering über die komplette Prozesskette der Leit- und Sicherungstechnik, zusätzlich in den letzten Jahren auf IT- und Informationssicherheit spezialisiert und gestaltet aktiv die Umsetzung der KRITIS-Verordnung des BSI mit. Zusätzlich engagiert sie sich bei CYSIS, der Forschungskooperation Cyber-Security für sicherheitskritische Infrastrukturen, einer Initiative der Deutschen Bahn und der TU Darmstadt. CYSIS erarbeitet Konzepte, wie man der stetig wachsenden Bedrohung durch Cyberkriminelle in einem durchdigitalisierten Bahnumfeld gemeinsam begegnen kann. Für ihre Kunden aus der Industrie- und Bahnbranche entwickelt das IT-Beratungs- und Engineering-Unternehmen normenkonforme Methoden und Lösungsansätze für Aufgabenstellungen rund um das Thema IT-Security.
Seit 2009 ist die ICS AG Sponsor des Signal+Draht-Kongresses und sitzt im Redaktionsbeirat der Signal+Draht. Sie wird auch dieses Jahr wieder mit einem Infostand anwesend sein. „Ich freue mich auf den Austausch mit den Teilnehmern“, sagt Andreas Langer. Das Programm verspricht interessante Vorträge und belebte Diskussionen.

Der Signal+Draht-Kongress findet am 9. und 10. November in Fulda statt.
Die ICS AG ist mit einem Infostand im Foyer vertreten und freut sich auf konstruktive Gespräche

Die it-sa 2017 blickt in eine sichere Zukunft
Die ICS AG präsentiert sich als Experte auf ganzer Linie

Stuttgart, 26.10.2017:  Die neongelben Schutzwesten sind abgelegt, die wunden Füße werden gekühlt – drei Tage it-sa liegen hinter den Mitarbeitern der ICS AG, die sich in Nürnberg die Füße platt getreten und den Mund trocken geredet haben. Die Bilanz: Seit der letzten IT-Sicherheitsmesse vor einem Jahr hat sich das Bewusstsein für digitale Sicherheit in der Industrie geschärft. Und die ICS AG ist wegweisend dabei.

Das alles beherrschende Thema auf der it-sa 2017 war Informationssicherheit nach ISO 27001 und die EU-Datenschutz-Grundverordnung. Die Sicherheitsexperten der ICS AG warben in diesem Sinne wieder eindringlich dafür, sich rechtzeitig fit zu machen für digitale Sicherheit. „Die Vorfälle des letzten Jahres wie WannaCry und Petya haben den Entscheidungsträgern in Unternehmen deutlich vor Augen geführt, dass sie sich rechtzeitig mit IT- und Informationssicherheit beschäftigen müssen“, sagt Michael Kirsch, Leiter der Geschäftsfeldentwicklung bei der ICS AG. Es sei unumgänglich, dass alle Player, die die digitale Wende mitmachen, sich entsprechend zertifizieren lassen.

Das hauseigene Produkt DigiS, das einen einfachen Zugang zu dem Thema bietet, stand dabei im Mittelpunkt. Mit DigiS unterstützt die ICS AG Unternehmen dabei, sich auf den Weg zu einer Zertifizierung nach ISO 27001 zu begeben. Damit kommen die Firmen nicht nur den IT-Richtlinien nach, sondern etablieren sich auch bei ihren Auftraggebern als vertrauenswürdige Partner.


Sein Wissen konnte Kirsch auch unerwartet vor einer israelischen Delegation weitergeben: Er wurde spontan gebeten, vor einer Gruppe von Vertretern von KMUs aus Israel einen Vortrag über die EU-Datenschutzgrundverordnung und deren Bedeutung für Geschäftspartner nicht-europäischer Unternehmen zu halten. Denn: „Auch ausländische Geschäftspartner werden danach ausgesucht, ob sie mit sensiblen Informationen umgehen können und sichere Produktionsabläufe betreiben“, weiß Kirsch.


Als positive Entwicklung sieht Kirsch, dass „für die meisten Teilnehmer und Besucher auf der Messe dieses Jahr das Wort Sicherheitszertifizierung kein Fremdwort mehr war.“ Letztes Jahr mussten die Herren in den neongelben Schutzwesten am Stand des Stuttgarter IT-Beratungs- und Engineering-Unternehmens noch erklären, was eine RFID-Schutzhülle ist, die sie als Give-Away im Gepäck hatten. Dieses Jahr fanden sich einige Teilnehmer am Stand ein, um ihre benutzten Hüllen gegen eine neue einzutauschen.


Was diese alles verhindert, zeigte Martin Zappe, Business Unit Manager Industrial Engineering bei der ICS AG, mit einer eindrucksvollen Präsentation. Mit einer allgemein verfügbaren NFC-App las er unbemerkt vertrauliche Daten von einer Kreditkarte seines Kollegen ab. „In einer voll besetzten U-Bahn könnte sich ein Krimineller von ungeschützten Kreditkarten folglich schnell ein paar hundert Euro ergaunern“, warnt Zappe. Danach waren die Hüllen begehrter als ofenfrische Brezeln.

Mit ihrem Messedemonstrator und der eingebauten Security Appliance Irma der Firma Achtwerk bewiesen sich die Stuttgarter auch im Bereich Industrial Security als fortschrittliche Experten. Von IoT und Industrie 4.0 eingesetzte Sensoren stellen für Cyberkriminelle ein willkommenes Einfallstor dar. Der Betreiber muss daher genau wissen, welches Gerät mit wem über welches Protokoll kommuniziert. Mit dem Krandemonstrator zeigte die ICS AG, wie einer der Sensoren über ein UDP-Protokoll versucht, Informationen über das Netz abzuziehen. Dank Irma konnte das erkannt und verhindert werden. Kirsch: „In einer Produktionsumgebung wollen wir nicht, dass Sensoren selbständig Updates ziehen, ohne dass wir es kontrollieren können. Wir haben hier Industrial Security zum Anfassen gezeigt. Das hat bei den Messebesuchern großes Interesse geweckt.“
 

Besonders gut nahmen die Messebesucher das offene Konzept des Messestandes der ICS AG an, den sie auf der it-sa regelmäßig unter der Schirmherrschaft der Bayern Innovativ betreiben. „Wir verstecken uns nicht, sondern sprechen die Menschen an“, erzählt Kirsch. „Das funktioniert prima. Bei uns ist immer viel los!“

Alles in allem sind die Stuttgarter mehr als zufrieden: „Die Stimmung war sehr gut. Alles war perfekt organisiert. Und wir freuen uns, wenn wir einige Messeteilnehmer einen Schritt weiter in Richtung digitale Sicherheit gebracht haben“, so das Fazit von Michael Kirsch.

„Wir sind sehr glücklich, dass wir als Fachberater auf dem Themengebiet IT-Sicherheit die Beratungsleistung der bwcon ergänzen dürfen“, freut sich Michael Kirsch, Leiter der Geschäfts-feldentwicklung bei der ICS AG. In einer Zeit, in der kein Unternehmen um die Digitalisierung herumkommt, ist es unerlässlich, mit kompetenten und vertrauenswürdigen Partnern zusammen-zuarbeiten. „Wir sind sehr zuversichtlich, dass von diesem Ausbau der Partnerschaft vor allem die Unternehmen profitieren, die sich fit machen müssen für sichere IT- und Informations-systeme“, so Kirsch.

Die Fachberater der bwcon zeichnen sich durch die Expertise in Spitzentechnologien oder wichtigen Dienstleistungsfeldern aus. Es werden Spezialisten in den Fachberater-Pool aufge-nommen, die sich einer eingehenden Prüfung ihrer Fachkompetenzen unterziehen und das Dienstleistungsportfolio der bwcon komplementieren.

Expertise auf allen Ebenen
Martin Köppe, zuständig für das Netzwerkmanagement und die Mittelstandsförderung bei der bwcon, freut sich über den fachlichen Zugewinn: „Mit der ICS AG haben wir einen verlässlichen und kompetenten Fachberater für die Bereiche Informations- und IT-Sicherheit, die im Mittelstand noch ausbaufähig sind.“

Der Mittelstand wird sich in Zukunft vermehrt mit den Gesetzen und Normen der IT- und Infor-mationssicherheit sowie deren Auswirkungen auseinandersetzen müssen. „Darum freuen wir uns, die ICS AG empfehlen zu können, wenn insbesondere Expertisen zu IT-Sicherheitsnormen gefragt sind“, so Köppe.

Die ICS AG ist seit 2016 Mitglied im Baden-Württemberg: Connected e.V. Für das Stuttgarter IT-Beratungs- und Engineering-Unternehmen hat sich die bwcon bereits seit längerem als Medien-partner für das KRITIS-Forum bewährt. Über das Forum informiert die ICS AG zum IT-Sicher-heitsgesetz des BSI für kritische Infrastrukturen sowie zur EU-Datenschutzgrundverordnung und deren Konsequenzen für KMUs.

Noch nie war das Railway Forum so groß aufgestellt“, freut sich Andreas Langer, Key Account Manager und kommissarischer Leiter der Business Unit Transportation bei der ICS AG aus Stuttgart. Bei den zahlreichen Vorträgen und Workshops nahm die Digitalisierung zwar einen großen Raum ein. „Was ich allerdings vermisst habe, ist das Bewusstsein für Informationssicherheit, die dringend mit der Digitalisierung einher gehen muss“, bemerkt der Experte. Partiell wurde das Thema zwar beleuchtet, allerdings weniger intensiv als nötig.

„Die Vernetzung der Systeme ist in der Bahnbranche seit geraumer Zeit ein großes Thema“, weiß der Experte. „Dabei konzentrieren sich die Neuerungen aber hauptsächlich auf das Technische sowie die Verarbeitung der großen Datenmengen und weniger auf die dafür dringend notwendige Datensicherheit.“ Dabei drängt die Zeit. Die Frist für die Implementierung der Anforderungen aus dem BSI-Sicherheitsgesetz scheint zwar noch lange hin (Juni 2019 für die Transportbranche). Der TÜV Süd aber geht davon aus, dass je nach bereits vorhandener Sicherheitsmaßnahmen ein Unternehmen dafür zwischen zwölf und 24 Monate Zeit benötigt. „Ein Unternehmen muss intern neue Verfahrensanweisungen etablieren, die vom gesamten Betrieb nachgelebt werden müssen. Das braucht Zeit“, weiß Langer aus Erfahrung.

Für den organisatorischen Bereich hat sich mittlerweile die Norm ISO/IEC 27001 als vom Gesetzgeber akzeptierten Standard etabliert. Für die Produkte wird dies die Norm ISO/IEC 62443 sein. Deren Vorgaben müssen bei der Produktionsentwicklung eingehalten und umgesetzt werden.
„Damit unsere Systeme und die der gesamten Bahnindustrie den vorgeschriebenen Sicherheitsstandards entsprechen und vor möglichen Angriffen sicher sind, müssen wir jetzt die Weichen stellen. Ansonsten sind Probleme vorprogrammiert“, prognostiziert Langer.

Noch nie war das Railway Forum so groß aufgestellt“, freut sich Andreas Langer, Key Account Manager und kommissarischer Leiter der Business Unit Transportation bei der ICS AG aus Stuttgart. Bei den zahlreichen Vorträgen und Workshops nahm die Digitalisierung zwar einen großen Raum ein. „Was ich allerdings vermisst habe, ist das Bewusstsein für Informationssicherheit, die dringend mit der Digitalisierung einher gehen muss“, bemerkt der Experte. Partiell wurde das Thema zwar beleuchtet, allerdings weniger intensiv als nötig.

„Die Vernetzung der Systeme ist in der Bahnbranche seit geraumer Zeit ein großes Thema“, weiß der Experte. „Dabei konzentrieren sich die Neuerungen aber hauptsächlich auf das Technische sowie die Verarbeitung der großen Datenmengen und weniger auf die dafür dringend notwendige Datensicherheit.“ Dabei drängt die Zeit. Die Frist für die Implementierung der Anforderungen aus dem BSI-Sicherheitsgesetz scheint zwar noch lange hin (Juni 2019 für die Transportbranche). Der TÜV Süd aber geht davon aus, dass je nach bereits vorhandener Sicherheitsmaßnahmen ein Unternehmen dafür zwischen zwölf und 24 Monate Zeit benötigt. „Ein Unternehmen muss intern neue Verfahrensanweisungen etablieren, die vom gesamten Betrieb nachgelebt werden müssen. Das braucht Zeit“, weiß Langer aus Erfahrung.

Für den organisatorischen Bereich hat sich mittlerweile die Norm ISO/IEC 27001 als vom Gesetzgeber akzeptierten Standard etabliert. Für die Produkte wird dies die Norm ISO/IEC 62443 sein. Deren Vorgaben müssen bei der Produktionsentwicklung eingehalten und umgesetzt werden.
„Damit unsere Systeme und die der gesamten Bahnindustrie den vorgeschriebenen Sicherheitsstandards entsprechen und vor möglichen Angriffen sicher sind, müssen wir jetzt die Weichen stellen. Ansonsten sind Probleme vorprogrammiert“, prognostiziert Langer.

Railway Forum Berlin: Die Signale stehen auf Security
Die Bedeutung des IT-Sicherheitsgesetzes für die Bahnindustrie
Stuttgart, 21. August 2017:   BSI-Sicherheitsgesetz, KRITIS, IEC/ISO 27001, Security vs. Safety, IEC 62443 ... Kennen Sie sich aus? Und was hat das mit der Bahnindustrie zu tun? Eine Firma aus Stuttgart weiß es genau. Die ICS AG betreibt auf dem Railway Forum 2017 in Berlin Aufklärung in Sachen Informationssicherheit.

„Bisher stand das Thema Safety ganz oben auf der Wahrnehmung von Bahnbetreibern und deren Zulieferern“, weiß Andreas Langer, Key Account Manager Transportation bei der ICS AG. „Seit der Einführung des IT-Sicherheitsgesetzes und natürlich durch die stetig wachsende Gefahr von Cyber-Angriffen ist die Security in den Vordergrund gerückt.“

Für IT-Systeme, -Komponenten und –Prozesse müssen, so der Gesetzgeber, „angemessene organisatorische und technische Vorkehrungen zur Vermeidung von Störungen“ getroffen werden. Die Nachweise, dass sich die IT-Sicherheitssysteme auf dem „Stand der Technik“ befinden, sollen die Unternehmen mittels Zertifizierungen liefern und alle zwei Jahre erneuern. Zusätzlich muss eine Meldestelle für erhebliche Störungen eingerichtet werden. Bei Nichterfüllung drohen empfindliche Strafen.
Vorsorge ist besser als leere Auftragsbücher
Obwohl das Gesetz für Betreiber kritischer Infrastrukturen (KRITIS) gilt, wird ein Kaskadeneffekt erwartet: KRITIS-Unternehmen werden von ihren Zulieferern dieselben Nachweise verlangen, die sie selbst erbringen müssen. Um weiterhin wettbewerbsfähig zu bleiben, werden sich also auch KMUs mit der Umsetzung der gesetzlichen Vorgaben auseinandersetzen müssen - und damit automatisch ihre Produkte, Dienstleistungen und Prozesse vor Cyber-Angriffen schützen.
„Derzeit etablieren sich bestimmte Normen und Zertifikate als Standards“, erläutert Michael Kirsch, Leiter der Geschäftsfeldentwicklung bei der ICS AG. Dies sind zum einen die Industrienorm IEC 62443, eine internationale Normenreihe, die sich mit der IT-Sicherheit von Automatisierungssystemen im industriellen Umfeld befasst. Zum anderen ist das die Normenreihe ISO/IEC 27000. „Das A und O der Compliance mit dem Gesetz ist die Einführung eines ISMS, also eines Information Security Management Systems. Hierzu macht die Norm 27001 konkrete Vorgaben“, weiß Kirsch.
 

Licht ins Dunkel dank fachmännischer Unterstützung
Die ICS AG berät und unterstützt Unternehmen bei der Analyse des Ist-Zustandes der Informationssicherheit im Betrieb und führt fachmännisch bis zur Zertifizierung. Philip Degenhardt, Head of Business Center Information Security bei der ICS AG freut sich auf den Austausch mit den Besuchern auf der Messe: „Die Compliance mit dem IT-Sicherheitsgesetz liegt uns am Herzen. Wir wollen den Normendschungel lichten und die Unternehmen dabei unterstützen, ihre Systeme sicherer zu machen.“
Besuchen Sie das Railway Forum 2017 in Berlin und treffen Sie Andreas Langer, Philip Degenhardt und Michael Kirsch am Stand A04.

Sicherheit unter Industrie 4.0

KRITIS-Seminar erhält viel Lob

Stuttgart, 5. Juli 2017  -  Die Teilnehmer zeigten sich beruhigt und begeistert gleichermaßen. Beim Seminar Kritische Infrastruktur und Industrie 4.0, das am 29. Juni von der ICS AG in Zusammenarbeit mit der BWCon statt fand, standen IT-Sicherheitsfragen, die gesetzlich geforderten Maßnahmen und damit verbundene versicherungstechnische Fragen im Fokus.

„Aufklärung statt Panikmache – klare und solide Antworten auf rechtliche und versicherungstechnische Fragen, die sich durch die zunehmende Digitalisierung und Vernetzung für kleine und mittelständische Unternehmen ergeben“, fasst Ralf Schambier, Senior Projektleiter für Konzeption bei monopage seinen Eindruck zusammen.

Die Veranstalter brachten Licht ins Dunkel des Normendschungels mit dem sich Unternehmen konfrontiert sehen. Näher beleuchtet wurden dabei die ISO 2700ff, die Implementierung eines Informationssicherheits-Managementsystems (ISMS12) als Vorstufe zur IT-Sicherheitszertifizierung sowie die Industrienorm IEC 62443, die sich als Standard zur Compliance mit den gesetzlichen Vorgaben bewährt.

In einem Gastvortrag wurden „Schadensszenarien und Lösungsansätze aus Versicherungssicht“ näher beleuchtet. Der Vortragende Stephan Kuhn, Diplom-Betriebswirt und Versicherungsexperte spricht den Veranstaltern ein großes Lob aus: „Die Veranstaltung war perfekt organisiert.“

Das freut die Veranstalter von der ICS AG: „Wir werden weiter daran arbeiten, Entscheidungsträger und Verantwortliche von KMUs aufzuklären und dabei zu unterstützen, ihre Systeme vor Angriffen zu schützen“, verspricht Michael Kirsch. Leiter der Geschäftsfeldentwicklung bei der ICS AG. „Wir setzen die Vortragsreihe auf jeden Fall fort.“

Ein Seminar informiert über das IT-Sicherheitsgesetz

Digitalisierung und KMUs: Sicherheit im Griff?

Stuttgart, 19. Juni 2017 - Die Bundesregierung hat die zweite Tranche des IT-Sicherheitsgesetzes verabschiedet. Ab jetzt läuft der Countdown für Unternehmen aus den Bereichen Finanzen, Gesundheit sowie Transport und Verkehr, den Zertifizierungsprozess für ihre IT-Systeme zu starten. Wer  jetzt allerdings glaubt, das Gesetz gelte nur für Betreiber kritischer Infrastrukturen (KRITIS), sollte seine Auftragsbücher studieren. Denn die von dem Gesetz direkt betroffenen KRITIS-Unternehmen werden auch von ihren kleineren Zulieferern entsprechende Nachweise verlangen. Die Normenreihe ISO 27000 und der IEC 62443 sind der Standard, an dem sie ihre Systemsicherheit in Zukunft messen müssen.

Damit sich die Unternehmen nicht im Normendschungel verirren, setzt die Stuttgarter ICS AG zusammen mit der BWCon am 29. Juni 2017 ihre Seminarreihe mit dem Titel Kritische Infrastruktur und Industrie 4.0 fort.

Neben einer Einführung in die Normenreihe ISO 27000 und der IEC 62443 steht diesmal ein Gastvortrag zum Thema Versicherungen für Unternehmen im Zeitalter der Digitalisierung auf der Agenda.

Der Versicherungsmakler Stephan Kuhn gibt einen Überblick über Versicherungen gegen Cyber-Risiken. Denn auch wenn Unternehmen ihre Systeme nach allen Regeln vor möglichen Angriffen aus dem Netz schützen, gibt es keinen 100%igen Schutz vor Cyberangriffen. Kann ich mein Unternehmen also vor den Folgen einer gelungen Hacker-Attacke schützen? Und was bringen die Cyber-Versicherungen? Dieser Frage geht der Versicherungsexperte mit Ihnen nach.

Der Vortrag von Michael Kirsch von der ICS AG führt in die Normenreihe ISO 27000 ein. Der Standard definiert unter Anderem die Anforderungen für die Zertifizierung, bietet einen Leitfaden zur Implementierung und stellt Modelle für das Risikomanagement vor. An diesem Nachmittag sollen die verschiedenen Eckpunkte näher beleuchtet werden.

Abschließend widmet sich Martin Zappe von der ICS AG der Industrienorm IEC 62443. Diese baut auf dem Standard 27000 auf, erweitert diesen aber um die Anforderungen an die IT-Sicherheit für Produktionsanlagen. Dabei schließt sie Betreiber, Hersteller und Integratoren mit ein.

 
Das Programm im Einzelnen:

•    Willkommen
Michael Kirsch, Leiter der Geschäftsfeldentwicklung ICS AG
•     Was macht die Versicherungsbranche im Bereich IT-Sicherheit im Zeitalter der Digitalisierung?
Stephan Kuhn, Geschäftsführer Finanzdienstleistungen Kuhn
•    IT-Sicherheit, Grundschutz, ISO 27000ff, ISIS12, IT-Security, viele Namen, ein Ziel!
Michael Kirsch, Leiter Geschätsfeldentwicklung ICS AG
•    IEC 62443 und was das für die kritischen Infrastrukturen und Industrie 4.0 bedeutet.
Martin Zappe, Business Unit Leiter ICS AG
•    Podiumsdiskussion

Seminar zum Thema Kritische Infrastruktur und Industrie 4.0

Wann:     Donnerstag, 29. Juni 2017, 16:30 Uhr – 20:30 Uhr
Wo:     Steinbeis Europazentrum Stuttgart
Veranstalter:     ICS AG und BWCon

(Autor: Julia Grewe)
 
Über die ICS AG:
Die ICS AG ist seit mehr als 50 Jahren ein erfolgreiches, familiengeführtes IT-Beratungs- und Engineeringunternehmen. Die Spezialisierung liegt in den Geschäftsfeldern Industrial Engineering (Automation, Supply Chain, Logistic, Automotive), Transportation und Research und Development. In den Bereichen Funktionale Sicherheit, Security & Safety sowie KRITIS sorgt die ICS AG für intelligente und sichere Prozesse in komplexen Umgebungen.

Pressekontakt:
Fachlicher Kontakt

ICS AG
Marketing & PR
Frau Stefanie Henzler
Sonnenbergstraße 13

70184 Stuttgart

Tel.: +49 711 21037 – 40
Fax:+49 711 21037 – 53
 
Web: www.ics-ag.de
E-Mail: press@ics-ag.de
   
ICS AG
Leiter Geschäftsfeldentwicklung
Herr Michael Kirsch
Sonnenbergstraße 13

70184 Stuttgart

Tel.: +49 711 21037 – 00
Fax: +49 711 21037 – 53

Web: www.ics-ag.de
E-Mail: kritis@ics-ag.de


Weitere Informationen und hochauflösende Bilder für die Presse schicken wir Ihnen gerne auch auf Wunsch zu. Zur Veröffentlichung, honorarfrei. Belegexemplar oder Veröffentlichungshinweis wäre sehr freundlich.

Ein Seminar informiert über das IT-Sicherheitsgesetz

Digitalisierung und KMUs: Sicherheit im Griff?

Stuttgart, 19. Juni 2017 - Die Bundesregierung hat die zweite Tranche des IT-Sicherheitsgesetzes verabschiedet. Ab jetzt läuft der Countdown für Unternehmen aus den Bereichen Finanzen, Gesundheit sowie Transport und Verkehr, den Zertifizierungsprozess für ihre IT-Systeme zu starten. Wer  jetzt allerdings glaubt, das Gesetz gelte nur für Betreiber kritischer Infrastrukturen (KRITIS), sollte seine Auftragsbücher studieren. Denn die von dem Gesetz direkt betroffenen KRITIS-Unternehmen werden auch von ihren kleineren Zulieferern entsprechende Nachweise verlangen. Die Normenreihe ISO 27000 und der IEC 62443 sind der Standard, an dem sie ihre Systemsicherheit in Zukunft messen müssen.

Damit sich die Unternehmen nicht im Normendschungel verirren, setzt die Stuttgarter ICS AG zusammen mit der BWCon am 29. Juni 2017 ihre Seminarreihe mit dem Titel Kritische Infrastruktur und Industrie 4.0 fort.

Neben einer Einführung in die Normenreihe ISO 27000 und der IEC 62443 steht diesmal ein Gastvortrag zum Thema Versicherungen für Unternehmen im Zeitalter der Digitalisierung auf der Agenda.

Der Versicherungsmakler Stephan Kuhn gibt einen Überblick über Versicherungen gegen Cyber-Risiken. Denn auch wenn Unternehmen ihre Systeme nach allen Regeln vor möglichen Angriffen aus dem Netz schützen, gibt es keinen 100%igen Schutz vor Cyberangriffen. Kann ich mein Unternehmen also vor den Folgen einer gelungen Hacker-Attacke schützen? Und was bringen die Cyber-Versicherungen? Dieser Frage geht der Versicherungsexperte mit Ihnen nach.

Der Vortrag von Michael Kirsch von der ICS AG führt in die Normenreihe ISO 27000 ein. Der Standard definiert unter Anderem die Anforderungen für die Zertifizierung, bietet einen Leitfaden zur Implementierung und stellt Modelle für das Risikomanagement vor. An diesem Nachmittag sollen die verschiedenen Eckpunkte näher beleuchtet werden.

Abschließend widmet sich Martin Zappe von der ICS AG der Industrienorm IEC 62443. Diese baut auf dem Standard 27000 auf, erweitert diesen aber um die Anforderungen an die IT-Sicherheit für Produktionsanlagen. Dabei schließt sie Betreiber, Hersteller und Integratoren mit ein.

 
Das Programm im Einzelnen:

•    Willkommen
Michael Kirsch, Leiter der Geschäftsfeldentwicklung ICS AG
•     Was macht die Versicherungsbranche im Bereich IT-Sicherheit im Zeitalter der Digitalisierung?
Stephan Kuhn, Geschäftsführer Finanzdienstleistungen Kuhn
•    IT-Sicherheit, Grundschutz, ISO 27000ff, ISIS12, IT-Security, viele Namen, ein Ziel!
Michael Kirsch, Leiter Geschätsfeldentwicklung ICS AG
•    IEC 62443 und was das für die kritischen Infrastrukturen und Industrie 4.0 bedeutet.
Martin Zappe, Business Unit Leiter ICS AG
•    Podiumsdiskussion

Seminar zum Thema Kritische Infrastruktur und Industrie 4.0

Wann:     Donnerstag, 29. Juni 2017, 16:30 Uhr – 20:30 Uhr
Wo:     Steinbeis Europazentrum Stuttgart
Veranstalter:     ICS AG und BWCon

(Autor: Julia Grewe)
 
Über die ICS AG:
Die ICS AG ist seit mehr als 50 Jahren ein erfolgreiches, familiengeführtes IT-Beratungs- und Engineeringunternehmen. Die Spezialisierung liegt in den Geschäftsfeldern Industrial Engineering (Automation, Supply Chain, Logistic, Automotive), Transportation und Research und Development. In den Bereichen Funktionale Sicherheit, Security & Safety sowie KRITIS sorgt die ICS AG für intelligente und sichere Prozesse in komplexen Umgebungen.

Pressekontakt:
Fachlicher Kontakt

ICS AG
Marketing & PR
Frau Stefanie Henzler
Sonnenbergstraße 13

70184 Stuttgart

Tel.: +49 711 21037 – 40
Fax:+49 711 21037 – 53
 
Web: www.ics-ag.de
E-Mail: press@ics-ag.de
   
ICS AG
Leiter Geschäftsfeldentwicklung
Herr Michael Kirsch
Sonnenbergstraße 13

70184 Stuttgart

Tel.: +49 711 21037 – 00
Fax: +49 711 21037 – 53

Web: www.ics-ag.de
E-Mail: kritis@ics-ag.de


Weitere Informationen und hochauflösende Bilder für die Presse schicken wir Ihnen gerne auch auf Wunsch zu. Zur Veröffentlichung, honorarfrei. Belegexemplar oder Veröffentlichungshinweis wäre sehr freundlich.

IT-Sicherheitsgesetz einhalten

Bahnanwendungen mit IT-Sicherheitsanalyse vor Angriffen schützen

Stuttgart, 14. Mai 2017 - Das diesjährige Muttertagswochenende war geprägt von Nachrichten über den WannaCry Malware-Angriff, der sich in fast 100 Länder ausbreitete. Auch deutsche Unternehmen waren betroffen. Sicherheitsexperten sehen hierin eine Eskalation der weltweit wachsenden Bedrohung für unsere zunehmend digitalisierte Infrastruktur. Dies macht erneut deutlich, dass die Bundesregierung mit dem IT-Sicherheitsgesetz zu Recht Betreiber kritischer Infrastrukturen (KRITIS) per Gesetz dazu verpflichtet, ihre Systeme nach dem Stand der Technik zu schützen. Wie dies auf Grundlage vertrauter Normen und Vorgaben im Transportwesen möglich ist, erklärt ein Artikel am Beispiel einer Leit- und Sicherungstechnik (LST) für Bahnanwendungen.

Der Autor, Patric Birr, RAMS Engineer bei der ICS AG, beschreibt in seinem Artikel das Vorgehen zur Ableitung von Anforderungen an die Organisation und Prozesse von Bahnbetreibern sowie die Technik der dazugehörigen LST-Systeme. In Bahnanwendungen müssen dem Stand der Technik entsprechende IT-Sicherheitsanforderungen umgesetzt und kontinuierlich überprüft werden. Um dies zu gewährleisten, muss zuerst auf Basis der gängigen Sicherheitsnormen ein System zur Risikobewertung errichtet und zertifiziert werden. Darauf aufbauend folgt die Einführung und ebenfalls Zertifizierung entsprechender Schutzmechanismen.

Vom bahnspezifischen Leitfaden zur Zertifizierung

Birr erklärt, wie eine IT-Sicherheitsanalyse auf Basis der bekannten Normenreihe IEC 62443 zum Schutz von industriellen Kommunikationsnetzen durchgeführt werden kann. Das im bahnspezifischen Leitfaden DIN VDE V 0831-104 beschriebene Vorgehen zur Anwendung der Normenreihe wird dabei um eine mehrstufige qualitative Risikobetrachtung erweitert. Dies geschieht durch die Anwendung bewährter „Bottom-Up“- und „Top-Down“-Analysetechniken, die schrittweise die vorhandenen Schutzmechanismen bewerten und gegebenenfalls ergänzen.

Um, wie von dem IT-Sicherheitsgesetz gefordert, dem Stand der Technik zu entsprechen, empfiehlt der Autor, Datenbanken wie die vom BSI erstellten IT-Grundschutzkataloge zu Rate zu ziehen und mit IT-Experten zusammenzuarbeiten. Wenn im System die geforderten IT-Sicherheitsanforderungen implementiert und die entsprechenden Nachweise erbracht sind, steht einer Systemzertifizierung nichts mehr im Wege. Dadurch kann eine Schädigung der Systeme durch Malware wie WannaCry, abgewendet werden.

Der Artikel ist in Signal+Draht, Ausgabe 4/2017 erschienen. >>zum Artikel im Downloadbereich

Die Sinne schärfen für Industrial Security / Informationssicherheit
Industrie 4.0 auf dem Innovation Forum der Bitkom


Hannover, 10. Mai 2017

Das Schlagwort der diesjährigen Bitkom auf der Hannover Messe lautete Digitale Transformation. Die Begeisterung über das Internet of Things (IoT) und für die Errungenschaften der Industrie 4.0 war sowohl bei den Ausstellern als auch bei den Besuchern allgegenwärtig. Doch diese Entwicklungen sind nicht ausschließlich Heilsbringer für die digitale Zukunft. Sicherheitslücken, Schadsoftware, Hackerangriffe – die Liste der möglichen Angriffsflächen ist lang. Damit Unternehmen ihre Systeme sichern, hat die Bundesregierung das IT-Sicherheitsgesetz erlassen.

„Das Bewusstsein für IT-Sicherheit ist vor allem bei mittelständischen Unternehmen noch nicht angekommen“, erklärt Martin Zappe, Business Unit Manager Industrial Engineering bei der ICS AG. Dabei sind viele KMUs durch das GmbH-Gesetz und das Transparenz-Gesetz (KonTraG) dazu verpflichtet, geeignete Security-Maßnahmen vorzunehmen. Und für manche Unternehmen drängt die Zeit. Denn der Gesetzgeber hat mit dem IT-Sicherheitsgesetz festgelegt, dass Unternehmen kritischer Infrastrukturen (KRITIS) bis zum nächsten Jahr eine Reihe von Maßnahmen ergreifen müssen, um ihre Systeme vor Angriffen aus dem Internet zu schützen. Zudem legt das Gesetz die Verantwortung für die IT-Security in die Hände der Geschäftsführung. Bei Pflichtverletzungen drohen empfindliche Strafen.

In seinem Vortrag „Erfolgreich zum sicheren Industrie 4.0 Betrieb“ auf dem Innovation Forum Industrie 4.0 der Bitkom erläutert Zappe, dass der technologische Fortschritt dazu führt, dass alle an der Wertschöpfung beteiligten Systeme digital zusammenarbeiten. Diese Interoperabilität ermöglicht es, dass Daten in Echtzeit erfasst, gefiltert und analysiert werden können. Gleichzeitig steigt aber die Anfälligkeit für alle Arten von Angriffen aus dem Internet. Schon ein infizierter USB-Stick kann die Produktion lahmlegen und Schäden in unabsehbarer Höhe verursachen.

In vier Schritten zu mehr Sicherheit
Dabei bedarf es nur vier Schritten, um schnell Ergebnisse für sichere Systeme zu erzielen, legt Zappe dar:
1.    Das Bewusstsein für die Notwendigkeit einer umfassenden IT-Security herstellen.
2.    Die Risiken ermitteln, d.h. eine Bewertung von Schadensausmaß und Eintrittswahrscheinlichkeit vornehmen.
3.    Etablierung eines IT-Sicherheitsbeauftragten, der die Kommunikationsschnittstelle zwischen Management und Entwickler darstellt.
4.    Einhaltung eines Mindestniveaus an IT-Sicherheit, d.h. Festlegen von Handlungsrichtlinien, die im Unternehmen etabliert werden müssen.
„Jeder Mitarbeiter muss seinen Teil zur Security beitragen“, schärft der Industrial Engineering Experte und Sicherheitsberater den Anwesenden ein.

Um die digitale Wertschöpfungskette zu sichern, empfiehlt es sich, die Norm ISO/IEC 27000ff zu implementieren. Auf dieser Basis müssen Unternehmen ein Informationssicherheits-Managementsystem (ISMS) etablieren. Damit können sie Risiken identifizieren und entsprechend handeln. Da der Gesetzgeber vorsieht, dass die Zertifizierung alle zwei Jahre erneuert wird, bleibt das IT-Sicherheitsniveau automatisch auf dem neuesten Stand der Technik. „Sichere Produkte sind nur auf dieser Basis möglich“, betont Zappe.

Ein Standard für die Automatisierungstechnik
Für die unterschiedlichen Sektoren wurden und werden ergänzend individuelle Standards entwickelt. So etabliert sich derzeit für die Automatisierungstechnik beispielsweise der Standard IEC 62443. Dieser Standard setzt als Basis für die Managementprozesse auf die ISO 27000ff und deckt dabei alle erforderlichen Themen von Schutz des Personals, über die technische Konfiguration, den Entwicklungsprozess bis hin zur Compliance ab. Damit bietet die Norm ein optimales Fundament für eine sichere Produktentwicklung.

Um sich in dem Normendschungel zurechtzufinden, empfiehlt es sich, rechtzeitig einen Experten zu Rate zu ziehen. Denn: „Die Einhaltung des IT-Sicherheitsgesetzes muss jetzt vorbereitet werden“, warnt Zappe.

Cybersicherheit im Transportsektor

ICS AG übernimmt aktive Rolle bei CYSIS

Eines der Steckenpferde der ICS AG ist das Thema Cybersecurity im Transportsektor. Die fortschreitende Digitalisierung und Vernetzung des Eisenbahnsektors birgt neben vielen Vorteilen auch die erhöhte Gefahr von Angriffen über IP-fähige Netze. Vor diesem Hintergrund nehmen die Stuttgarter eine aktive Rolle in der AG Cybersecurity für sicherheitskritische Infrastrukturen (CYSIS) ein.

Mit Vorträgen zum Thema IT-Sicherheitsgesetz und -Nachweisverfahren sowie zu den Anforderungen an Technik, Infrastruktur und Betrieb im Schienenverkehrssektor informierte Patric Birr, RAMS Engineer bei der ICS AG, in der Vergangenheit bei diversen Projektgruppen. „Die Treffen der CYSIS sind sehr konstruktiv“, so Birr. „Gemeinsam sind wir auf dem richtigen Weg, den Betrieb und die Technik unserer Transportsysteme gegen Cyberangriffe sicherer zu machen.“

Die Arbeitsgruppe CYSIS ist eine Initiative der Deutschen Bahn AG und der TU Darmstadt. Sie widmet sich dem intensiven Informationsaustausch zwischen Industrie und Wissenschaft mit dem Ziel, effektive Abwehrtechniken und Gegenmaßnahmen gegen Cyberangriffe zu ermitteln und weiterzuentwickeln.

Moderation & Vortrag Bitkom Innovation Area Industrie 4.0 & Forum

Ausstellen, Austauschen, Informieren

Die ICS AG ist, wie schon wie schon jedes Jahr seit 2011, Teil der Leitmesse Research & Technology auf der Hannover Messe. Vertreter des Unternehmens sind am Gemeinschaftsstand von Bayern Innovativ zu finden. Dort informieren sie über "sichere Steuerung - Industrie 4.0". Dahinter verbergen sich Sicherheitsnormen, die für KMUs und KRITIS-Unternehmen aus den Geschäftsfeldern Industrial Engineering, Transportation sowie Research & Development von Bedeutung sind. Doch dieses Jahr belässt es die ICS AG nicht beim Präsentieren. Am 26. April hält Martin Zappe, Business Unit Leiter, einen Vortrag zum Thema Industrial Security. Vor dem Hintergrund der Norm IEC 62443 wird Zappe den Normendschungel lichten und den Weg zum sicheren Betrieb und Schutz der Assets in der Industrie 4.0 aufzeigen.Michael Kirsch, Leiter der Geschäftsfeldentwicklung bei der ICS AG, wird die Vorträge im Bitkom Innovation Forum dieses Nachmittags moderieren.  ICS AG Messestandvom 24. - 28. April 2017Halle 2, Stand A 52 Moderation & Vortrag Bitkom Innovation Area Industrie 4.0 & Forum Am 26.04.2017 / 13:30 – 14:00 UhrHalle 6, Stand K01

IT-Sicherheit ist Pflicht für den Mittelstand
Auch der Mittelstand ist von den Regularien des IT-Sicherheitsgesetzes (ITSiG) betroffen. Die Bundesagentur für Informationssicherheit (BSI) hat klare Regeln und einen Terminplan festgelegt, welche von den Unternehmen befolgt und zeitnah umgesetzt werden müssen. Die Informationsveranstaltung der IHK Stuttgart am 16. März 2017 gab den rund 60 Anwesenden hierzu praktische Hilfestellung.

„Wir sind sehr stolz, dass wir Teil dieses gelungenen Abends sein durften“, freut sich Michael Kirsch, Leiter Geschäftsfeldentwicklung bei der ICS AG. Die Firma, die sich seit mehr als 50 Jahren mit dem Thema Sicherheit beschäftigt, hat einen weiteren Grund zu feiern: Am selben Tag lancierte das Unternehmen seine neue Webseite KritisForum.

Durchblick im Regularien-Dschungel im KritisForum
Mit dieser Webseite will die ICS AG - Dienstleister für kritische Infrastrukturen - über das IT-Sicherheitsgesetz informieren und den komplexen Sachverhalt in eine Handlungsstrategie übersetzen. Denn viele Unternehmen wissen nicht einmal, ob sie von dem Gesetz überhaupt betroffen sind. Und genau hier setzt die Dienstleistung der ICS AG an: „Wir helfen den Unternehmen Schritt für Schritt fit in Sachen IT-Sicherheit zu werden und begleiten sie beim Erlangen der geforderten Zertifizierungen“, erläutert Michael Kirsch.

Mit der Norm IEC 62443 auf der sicheren Seite
Der Fokus des Abends lag von Seiten der ICS AG auf der Normenreihe IEC 62443. Hinter dieser sperrigen Bezeichnung verbirgt sich ein Regelwerk, das definiert, welche Sicherheitsstandards die Systemintegratoren, Dienstleister sowie Hersteller und Lieferanten von industriellen Kommunikationsnetzen implementieren müssen. Es bietet zudem Hilfestellung, um mögliche Schwachstellen in der Steuerungs- und Leittechnik zu identifizieren.

Weitere Informationsveranstaltungen der ICS AG zum Thema werden folgen.

Die Webseite KritisForum finden Sie unter der Adresse: www.KritisForum.de

Seit das Gesetz zur Erhöhung der Sicherheit informationstechnischer Systeme im Juli 2015 in Kraft getreten ist, fragen sich viele Betreiber kritischer Infrastrukturen (KRITIS): Sind wir betroffen? Und wie können wir unsere Systeme angemessen schützen? Dieser Frage ging die ICS AG in einem Seminar am 9. November 2016 in Stuttgart mit Teilnehmern aus dem Sektor Transport und Verkehr auf den Grund. In vier Vorträgen wurden die Inhalte des IT-Sicherheitsgesetzes (ITSiG) sowie deren Auswirkungen und Umsetzung durchleuchtet.

Neue Einsteigerkurse im Bereich IT-Security bei der ICS AG


Stuttgart, 19. Dezember 2016: Das ICS Business Center Security bietet ab 2017 Trainings für Security-Neulinge an
Die ICS AG verfügt über jahrelange Erfahrungen im Bereich sicherheitskritischer Software und Systeme. Das Know-how zu dem äußert wichtigen Thema der IT-Sicherheit bündelt sich im eigens gegründete Business Center Security.
Die Experten des Business Centers Security haben nun einen Kurs für Einsteiger entwickelt, welcher Security-Neulingen und am Thema Interessierten Einblicke in Zusammenhänge der Security und einen Überblick über die Begrifflichkeiten bietet. Weiter gibt es Kurse, die speziell auf Entwickler ausgerichtet sind.
Der IT-Security Crashkurs gibt einen Überblick über die Begriffs- und Methodenwelt von Informationssicherheit, IT-Security, Safety, IT-Management und Datenschutz bis hin zu 27k, BSI, 62443, KRITIS und möglichen Zertifizierungen. Er ist an alle gerichtet, die Ordnung und Struktur in das breite Thema „IT-Sicherheit“ bringen möchten.
Weitere Kurse im Angebot der ICS AG, richten sich direkt an Entwickler. Die verschiedenen Kurse führen in die Gedankenwelt von Angreifern ein und stellen Methoden und Werkzeuge sowohl analytischer als auch konstruktiver Art vor. Statische Codeanalyse, Security Coding Rules, Security Patterns, Threat Modelling, Security Architecture, Language Based Security sind nur einige Begriffe die ausführlich beleuchtet werden.
Alle Kurse werden sowohl bei der ICS AG als auch, bei entsprechendem Interesse und Gruppengrößen, als In-house-Seminare Vorort angeboten und durchgeführt.
Interessenten können über die Adresse training@ics-ag.de unkompliziert Kontakt aufnehmen.
Link zur Seite mit den Trainingsübersichten: www.ics-ag.de/aktuell/seminare

Neue Einsteigerkurse im Bereich IT-Security bei der ICS AG


Stuttgart, 19. Dezember 2016: Das ICS Business Center Security bietet ab 2017 Trainings für Security-Neulinge an
Die ICS AG verfügt über jahrelange Erfahrungen im Bereich sicherheitskritischer Software und Systeme. Das Know-how zu dem äußert wichtigen Thema der IT-Sicherheit bündelt sich im eigens gegründete Business Center Security.
Die Experten des Business Centers Security haben nun einen Kurs für Einsteiger entwickelt, welcher Security-Neulingen und am Thema Interessierten Einblicke in Zusammenhänge der Security und einen Überblick über die Begrifflichkeiten bietet. Weiter gibt es Kurse, die speziell auf Entwickler ausgerichtet sind.
Der IT-Security Crashkurs gibt einen Überblick über die Begriffs- und Methodenwelt von Informationssicherheit, IT-Security, Safety, IT-Management und Datenschutz bis hin zu 27k, BSI, 62443, KRITIS und möglichen Zertifizierungen. Er ist an alle gerichtet, die Ordnung und Struktur in das breite Thema „IT-Sicherheit“ bringen möchten.
Weitere Kurse im Angebot der ICS AG, richten sich direkt an Entwickler. Die verschiedenen Kurse führen in die Gedankenwelt von Angreifern ein und stellen Methoden und Werkzeuge sowohl analytischer als auch konstruktiver Art vor. Statische Codeanalyse, Security Coding Rules, Security Patterns, Threat Modelling, Security Architecture, Language Based Security sind nur einige Begriffe die ausführlich beleuchtet werden.
Alle Kurse werden sowohl bei der ICS AG als auch, bei entsprechendem Interesse und Gruppengrößen, als In-house-Seminare Vorort angeboten und durchgeführt.
Interessenten können über die Adresse training@ics-ag.de unkompliziert Kontakt aufnehmen.
Link zur Seite mit den Trainingsübersichten: www.ics-ag.de/aktuell/seminare

KRITIS
Wappnen für eine gesicherte Zukunft


Stuttgart, 24.11.2016: Seit das Gesetz zur Erhöhung der Sicherheit informationstechnischer Systeme im Juli 2015 in Kraft getreten ist, fragen sich viele Betreiber kritischer Infrastrukturen (KRITIS):  Wie können wir unsere Systeme angemessen schützen? Dieser Frage ging die ICS AG in einem Seminar zu diesem Thema mit Teilnehmern aus dem Sektor Transport und Verkehr auf den Grund. In vier Vorträgen wurden die Inhalte sowie deren Auswirkungen und Umsetzung des IT-Sicherheitsgesetzes (ITSiG) beleuchtet.

„Ich bin total begeistert!“ So lautete das Fazit von Katrin Schuy, Partner im Alliance Management von VirtualForge nach Abschluss des Seminars. Ihrer Ansicht nach stellten die Vorträge eine „perfekte Analyse“ des Themas dar.

In den Vorträgen wurde deutlich, dass das ITSiG alle KRITIS-Unternehmen betrifft und dass die IT aller Unternehmen gleichsam anfällig für Cyber-Attacken ist. Die Systeme und Architekturen werden durch die voranschreitende Digitalisierung und Entwicklungen wie der Industrie 4.0 und des Internets der Dinge zunehmend komplexer. Erschwerend kommt hinzu, dass die Cyber-Kriminalität in einer Weise organisiert ist, dass jedes Unternehmen sich darauf einstellen muss, dass „alles was möglich ist, auch irgendwann passiert“, so Dr. Thomas Liedtke, Unit Manager Research & Development bei der ICS AG.

Das ITSiG schreibt die Mindestanforderungen an die IT-Sicherheit von Betreibern kritischer Infrastrukturen fest, bei denen durch ihre besondere Bedeutung für Wirtschaft und Gemeinschaft ein hohes Schadenspotential besteht. Der Gesetzgeber definiert hier neue Pflichten, wie die Benennung einer Kontaktstelle zum Bundesamt für Sicherheit in der Informationstechnik (BSI), eine Meldepflicht von erheblichen IT-Sicherheitsvorfällen und die Erbringung des Nachweises, dass angemessene organisatorische und technische Vorkehrungen zur Vermeidung von Störungen implementiert wurden. Dem IT Risk Management wird per Gesetz der aktuelle Stand der Technik als Maßgabe zugrunde gelegt.

Bei Compliance-Verletzungen drohen Bußgelder bis zu einer Höhe von EUR 50.000. Hinzu kommen weitere, nicht zu unterschätzende Folgen wie der Ausschluss von öffentlichen Ausschreibungen, negative Presseberichterstattung oder die Kosten für interne Untersuchungen. Wer haftet, hängt im Individualfall davon ab, wer wo seine Kontrollpflicht vernachlässigt hat, legt Philip Smitka, Rechtsanwalt mit Schwerpunkt Compliance bei der Wirtschaftskanzlei Noerr dar. Das ITSiG selbst gibt darüber allerdings keine Auskunft. In letzter Konsequenz ist der Vorstand eines Unternehmens dafür verantwortlich, dass die Richtlinien eingehalten werden, da er durch alle Ebenen hindurch sicherstellen muss, dass die Mitarbeiter mit den entsprechenden Vorgaben vertraut sind. „IT-Sicherheit ist Chefsache“, betonte auch der IT-Security Berater Daniel Ehricht in seinem Vortrag.

Vor dem Hintergrund der gängigen Normen und Gesetze stellt das Compliance Management mittlerweile die Voraussetzung für technische Entwicklungen dar. Für den Anwendungsbereich industrieller Kommunikationsnetze im Bahnsektor kristallisiert sich im Hinblick auf die Einhaltung der anerkannten Regeln der Technik mehr und mehr die Normenreihe IEC 62443 heraus. Eine branchenspezifische Norm existiert bisher nicht. Obwohl der Gesetzgeber verlangt, dass die Erfüllung der gesetzlichen Anforderungen alle zwei Jahre überprüft wird, empfiehlt das BSI eine jährliche Neubewertung, erläutert Martin Hetzer, RAMS Manager bei der ICS AG.

„Safety braucht Security“, betonte Dr. Thomas Liedtke. Dabei ist ein strukturiertes Verständnis des Unterschiedes zwischen Security, also der IT-Sicherheit, und Safety, der  Sicherheit von IT Systemen gegenüber Mensch und Umwelt, vonnöten. Vor diesem Hintergrund hat die ICS AG ein Vorgehensmodell entwickelt, das sich auf unterschiedliche Industriedomänen anwenden lässt. Martin Hetzer erklärte die einzelnen Schritte zur Bestimmung bestehender Risiken für Industrieanwendungen. Diese müssen zuverlässige, etablierte und aktuelle Quellen zu Angriffsmustern und Verwundbarkeiten zugrunde legen. Zusammen mit den Vorgaben gängiger Normen führt diese Risikoanalyse zu einer Ableitung spezifischer Anforderungen an Prozess, Organisation und Technik.

In den Vorträgen wurde deutlich, dass KRITIS-Unternehmen sich konkurrierenden Zielen widmen müssen. Sicherheitskritische Verfahren stehen unternehmenskritischen Verfahren, wie beispielsweise dem Bestandsschutz gegenüber, betonte Daniel Ehricht. So kollidiert z.B. die Lebensdauer eines Schienenfahrzeuges, die typischerweise bei 25 Jahren liegt, mit der rasanten Entwicklung im Bereich der IT. Denn das ITSiG kann den Bestandsschutz aushebeln. „Die Anforderungen werden dadurch nicht einfacher“, so der IT-Sicherheitsexperte.

Der Störungsschutz und die dafür aufgewendeten Kosten müssen allerdings „in einem vernünftigen Verhältnis zum Risiko stehen“, bemerkte Philip Smitka. Dennoch gelte der Grundsatz: „Die Frage ist nicht, ob Sie sich Compliance leisten können. Die Frage ist, ob Sie es sich leisten können, keine Compliance zu haben“. Darauf wies auch Dr. Thomas Liedtke hin: „Nur ein System das sicher implementiert und sicher konfiguriert ist, in einer sicheren Umgebung läuft und von sicherheitsbewussten Nutzern bedient wird, ist sicher.“

Michael Kirsch, Leiter der Geschäftsfeldentwicklung bei der ICS AG freut sich über den Erfolg der Veranstaltung und ist davon überzeugt, dass die ICS AG als internationaler Dienstleister im Bereich von High Dependability Engineering für Software und Systeme einen zukunftsweisenden Beitrag zu dem brandaktuellen Thema leisten kann. „In dieser Veranstaltung schlagen wir den Bogen von der Theorie über rechtliche und operative Aspekte bis hin zur Implementierung von IT-Sicherheitssystemen für Betreiber kritischer Infrastrukturen“, fasst er zusammen und freut sich auf die Fortsetzung dieser Veranstaltungsreihe.


 
Die Agenda des Seminars beinhaltete folgende Vorträge:

•    Was macht Security anders als Safety?
Dr. Thomas Liedtke Unit-Manager Research & Development, ICS AG

•    Die Folgen eines unzureichenden Compliance- und Risikomanagement.
Philip Smitka, Rechtsanwalt bei der Wirtschaftskanzlei Noerr

•    Das IT-Sicherheitsgesetz – Wie viel Sicherheit ist gefordert und angemessen?
Daniel Ehricht, IT-Security Experte

•    Nachweisverfahren für IT-Sicherheit – Vorgehensmodell Transportation.
Martin Hetzer, Competence Center RAMS, Unit Transportation, ICS AG

IT-Security Messe in Nürnberg // it-sa


Stuttgart, 12.10.2016: Die ICS AG nimmt an der IT-Security Messe „IT-SA“ in Nürnberg teil und informiert über die Themen „Safety & Security“, „Secure System Control“, „Kritis“ und „Identity Access Management“.

Die ICS AG nimmt erstmalig an der IT-Security Messe in Nürnberg teil und widmet sich den Themen „Safety & Security“, „Secure System Control“, „Kritis“ und „Identity Access Management“.

Die ICS AG ist bereits seit 50 Jahren im Bereich Automatisierung, Logistik, Supply Chain Integration und Safety im Industriesektor erfolgreich tätig. Unsere Kunden treiben die aktuellen Buzzwords IoT und Industrie 4.0 vor allem unter Security-Aspekten um: Wie können z.B. Vertraulichkeit, Integrität, und Verfügbarkeit seitens der Betreiber sichergestellt werden und wie Ihre Maschinen, Steuerungen und vergleichbaren Einrichtungen gefahrlos vernetzt werden?

Diese Szenarien greifen wir auf, um auf Basis des gezeigten Messedemonstrators „Sichere Steuerung von Maschinen mit dezentralem Accessmanagement am Beispiel eines Verladekrans“ erfahrbar zu machen und Lösungsmöglichkeiten unter Nutzung von Standardkomponenten auf zu zeigen.

@Safety & Security – unsere Erfahrungen aus Aerospace, Bahn und Automotive ermöglichen uns hier neue Ansätze zur Funktionalen- und IT-Sicherheit für Cyber Physical Systems im Kontext „Industrie 4.0“ vorzustellen.

@Secure System Control – sichere Anlagensteuerungen erfordern nicht nur sichere Software Architekturen, sondern müssen auch in einem normgerechten Prozess eingebettet sein. Wir stellen ein integriertes Vorgehen für beide Aspekte – Safety & Security – vor.

@Kritis – Anforderungen an die Betreiber Kritischer Infrastrukturen
Mit Inkrafttreten des IT-Sicherheitsgesetzes im Juli 2015 und der Veröffentlichung des IT-Sicherheitskatalogs durch die Bundesnetzagentur haben der Gesetzgeber und die Regulierungsbehörden die Eckpunkte der Sicherheitsanforderungen an kritische Infrastrukturen festgelegt. Werden Sie rechtzeitig aktiv! Wir können Sie aufgrund unserer Erfahrungen in Safety & Security kompetent beraten. Gerne unterstützen wir Sie bei der Umsetzung und übernehmen auch die Durchführung relevanter Maßnahmen.

@Identity Access Management – kurz IAM verstehen und kundenspezifisch anwenden.
Identitätsmanagement ist die Voraussetzung dafür, dass personenbezogene Daten unmittelbar, konsistent und verlässlich bereitgestellt werden können. Unsere IT-Experten sorgen dafür, dass die richtigen Menschen zur richtigen Zeit mit den richtigen Rechten versorgt werden. Minimaler Verwaltungsaufwand durch optimale, kundenspezifisch angepasste Lösungen.

ICS AG ab sofort Mitglied der OPC Foundation


Stuttgart, 01. Februar 2016 - Die ICS AG ist ab sofort Mitglied der OPC Foundation




(www.opcfoundation.org)

Die ICS AG hat im Arbeitskreis Systemintegration des AIM[1] intensiv an der „OPC Unified Architecture (UA) AutoID Companion Specification“ mitgewirkt. Für die Präsentation des Standards, hat die ICS AG die Lösungen für die Systemintegration erarbeitet. Diese wurden bereits auf der Hannover Messe 2015 am Stand der OPC Foundation erfolgreich vorgestellt und zuletzt für das „Tracking & Tracing Theatre“ des AIM erweitert. Aus der Gremien- und Implementierungsarbeit wurden eine Vielzahl von Aktivitäten im Bereich "Interoperabilität" abgeleitet. Die ICS AG hat sich dadurch fundiertes, praxis-orientiertes Know-how bei der Anwendung, Implementierung und Integration von OPC UA aufgebaut.
Wir freuen uns deshalb - nun in dieser Konsequenz - unsere Mitgliedschaft in der OPC Foundation bekannt geben zu können.
Über OPC UA:
OPC UA ist ein industrielles M2M-Kommunikationsprotokoll, welches einen eigenen Kommunikationsstack implementiert und wichtige Sicherheitsaspekte miteinbezieht. Über die reine Kommunikation hinaus definiert es ein Datenmodell, um einheitliche Server Adressräume zu gestalten und so eine Plug&Play-Fähigkeit der beteiligten Geräte und Sensoren zu gewährleisten. Lediglich das erstellte Datenmodell muss eingehalten werden.

[1] AIM
Industrieverband für Automatische Identifikation (AutoID), Datenerfassung und Mobile Daten-kommunikation; www.aim-d.de