Tag Archives: IT-Sicherheitsgesetz

Pressemitteilungen

Controlware auf der Mainzer Netztagung 2017 (30./31. Mai, Burg Weisenau in Mainz)

Tipps zur Umsetzung des IT-Sicherheitsgesetzes in der Energiewirtschaft

Dietzenbach, 10. Mai 2017 – Controlware, renommierter deutscher Systemintegrator und Managed Service Provider, ist auf der Mainzer Netztagung 2017 (30./31. Mai 2017, Burg Weisenau in Mainz) mit einem Expertenvortrag rund um die erfolgreiche Umsetzung des IT-Sicherheitsgesetzes (ITSG) vertreten. Im Fokus steht die Frage, wie sich mithilfe zertifizierter Information-Security-Management-Systeme (ISMS) die Weichen für einen ITSG-konformen Betrieb Kritischer Infrastrukturen stellen lassen.

Die Mainzer Netztagung ist eine etablierte Kommunikationsplattform für den Informationsaustausch in der Energiewirtschaft. An zwei Tagen haben die für den Betrieb der Stromnetze verantwortlichen Experten der Energieversorger Gelegenheit, sich mit den Entscheidungsträgern der Kommunen sowie mit Beratern, Herstellern und IT-Dienstleistern auszutauschen. Im Mittelpunkt stehen in diesem Jahr die Herausforderungen beim Betrieb smarter, dezentraler Stromnetze – von Fragen der IT-Sicherheit bis hin zu Netzplanung, Workforce Management und Energiespeicherung.

Controlware zeigt in einem Expertenvortrag auf, worauf die Energieversorger mit Blick auf die Einhaltung des 2015 in Kraft getretenen ITSG künftig achten müssen: „Das ITSG verpflichtet die Betreiber Kritischer Infrastrukturen, einen angemessenen Schutz ihrer Systeme sicherzustellen“, erläutert Rolf Bachmann, Business Development Manager bei Controlware. „Der erste Schritt auf diesem Weg ist der Aufbau eines ISO 27001-konformen Information-Security-Management-Systems – ein Lösungsansatz, der sich in der Praxis vielfach bewährt hat und inzwischen auch vom Gesetzgeber gefordert wird. Sobald ein solches ISMS in Kraft ist, lassen sich ausgehend davon konkrete und priorisierte Maßnahmen zur Steigerung der Sicherheit implementieren.“

Im Controlware Vortrag erfahren die Zuhörer:

– Was es mit dem IT-Sicherheitsgesetz (ITSG) auf sich hat und welche neuen Vorgaben die Betreiber Kritischer Infrastrukturen einhalten müssen

– Welche Unternehmen unter die „Verordnung zur Bestimmung Kritischer Infrastrukturen“ (BSI-Kritis-V) fallen und damit vom ITSG betroffen sind

– Welche Verpflichtungen aus dem ITSG hervorgehen und warum dem Aufbau eines Information-Security-Management-Systems (ISMS) eine Schlüsselrolle zukommt

– Warum die Einführung eines ISMS per se noch keine erhöhte IT-Sicherheit liefert

– Mit welchen konkreten Maßnahmen sich die IT-Sicherheit erhöhen lässt und welchen Mehrwert das ISMS bei der Umsetzung bietet – auch in „nicht-kritischen“ Infrastrukturen

„Auf der diesjährigen Netztagung werden wir den IT-Verantwortlichen der Energieversorger verdeutlichen, dass die Umsetzung des ITSG eine komplexe und zeitintensive Aufgabe ist, die man keinesfalls unterschätzen sollte“, erklärt Rolf Bachmann. „Wir wollen aber auch aufzeigen, dass inzwischen für praktisch alle damit verbundenen Fallstricke erprobte Best Practices existieren. Wer planvoll und systematisch vorgeht und die richtigen Partner an seiner Seite hat, wird auch diese Herausforderung meistern.“

Die Mainzer Netztagung findet am 30. und 31. Mai 2017 im Gewölbekeller der Burg Weisenau (Mönchstraße 13, 55130 Mainz) statt. Weiterführende Informationen zur Veranstaltung: www.ew-online.de

Über Controlware GmbH
Die Controlware GmbH, Dietzenbach, ist einer der führenden unabhängigen Systemintegratoren und Managed Service Provider in Deutschland. Das 1980 gegründete Unternehmen entwickelt, implementiert und betreibt anspruchsvolle IT-Lösungen für die Data Center-, Enterprise- und Campus-Umgebungen seiner Kunden. Das Portfolio erstreckt sich von der Beratung und Planung über Installation und Wartung bis hin zu Management, Überwachung und Betrieb von Kundeninfrastrukturen durch das firmeneigene ISO 27001-zertifizierte Customer Service Center. Zentrale Geschäftsfelder der Controlware sind die Bereiche Network Solutions, Unified Communications, Information Security, Application Delivery, Data Center & Cloud sowie IT-Management. Controlware arbeitet eng mit national und international führenden Herstellern zusammen und verfügt bei den meisten dieser Partner über den höchsten Zertifizierungsgrad. Das mehr als 600 Mitarbeiter starke Unternehmen unterhält ein flächendeckendes Vertriebs- und Servicenetz mit 16 Standorten in DACH. Im Bereich der Nachwuchsförderung kooperiert Controlware mit sechs renommierten deutschen Hochschulen und betreut durchgehend um die 50 Auszubildende und Studenten. Zu den Tochterunternehmen der Controlware Gruppe zählen die Controlware GmbH, die ExperTeach GmbH, die Networkers AG und die Productware GmbH.

Firmenkontakt
Controlware GmbH
Stefanie Zender
Waldstraße 92
63128 Dietzenbach
06074 858-246
stefanie.zender@controlware.de
http://www.controlware.de

Pressekontakt
H zwo B Kommunikations GmbH
Michal Vitkovsky
Neue Straße 7
91088 Bubenreuth
09131 / 812 81-0
info@h-zwo-b.de
http://www.controlware.de

Pressemitteilungen

Mit Informationssicherheit Vertrauen schaffen: eine strategische Aufgabe für die höchste Managementebene

Kompaktseminar „Informationssicherheit @ Mittelstand“ am 17. März 2017 in Würzburg mit dem Sicherheits-Experten Prof. Dr. Sachar Paulus

Mit Informationssicherheit Vertrauen schaffen: eine strategische Aufgabe für die höchste Managementebene

Der Informationssicherheitsexperte Prof. Dr. Sachar Paulus von der Fakultät für Informatik an der Hochschule Mannheim und die Sindelfinger ei-tea GmbH betonen die hohe Relevanz eines Informationssicherheits-Management-Systems für kleine und mittlere Unternehmen. Geschäftsführer und Entscheider sollten deshalb die Gelegenheit wahrnehmen, sich am 17. März 2017 in Würzburg von Experten zu diesem komplexen Thema informieren zu lassen – im Rahmen des Kompaktseminars „Informationssicherheit @ Mittelstand“.

Sindelfingen, 15. Februar 2017. Wenn es um die Sicherheit von Informationen in ihrem Unternehmen geht, denken auch Geschäftsführer und Entscheider häufig nur an den technischen Schutz ihrer IT-Systeme. Doch dieser Aspekt ist nur ein Baustein, wie ein Blick auf mögliche Bedrohungsszenarien verdeutlicht: So kann es schon riesigen Schaden verursachen, wenn bei einem Firmenbesuch die falschen Augen einen geheimen Prototypen, Bauplan oder andere vertrauliche Informationen erspähen – oder gar ein Foto davon machen.

„Auch unzufriedene oder fahrlässige Mitarbeiter können eine erhebliche Bedrohung für vertrauliche Inhalte und Daten sein“, unterstreicht Marcus Wustrack, Geschäftsführer des Sindelfinger Informationssicherheits-Experten ei-tea GmbH. „Gerade für mittelständische Unternehmen, die als Zulieferer für weltweit aktive Konzerne tätig sind, können die wirtschaftlichen und juristischen Folgen einer Sicherheitspanne existenzbedrohend werden.“

Hinzu kommen gesetzliche Rahmenbedingungen, die sich ständig verschärfen und Unternehmen stärker in die Verantwortung für Daten und vertrauliche Informationen nehmen. Die Datenschutz-Grundverordnung der EU und das deutsche IT-Sicherheitsgesetz formulieren deutliche Erwartungen an die Sicherheit von Informationen im Unternehmen.

„Das Thema Informationssicherheit ist so wichtig, dass es die höchste Ebene der Unternehmensleitung im Blick haben muss“, betont der renommierte Informationssicherheitsexperte Prof. Dr. Sachar Paulus. „Von der Unternehmensspitze aus müssen dann firmenweite Maßnahmen wie die Etablierung eines Management-Systems zur Umsetzung von Informationssicherheit eingeführt und durchgesetzt werden.“ Darüber hinaus sei ein solches Management-System auch eine wichtige Maßnahme zur Vertrauensbildung und -pflege im Kontakt mit bestehenden und künftigen Kunden, so Prof. Dr. Paulus.

Prof. Dr. Paulus und die ei-tea GmbH geben Geschäftsführern und Entscheidern die Möglichkeit, sich im Rahmen des kompakten Seminars „Informationssicherheit @ Mittelstand“ am 17. März 2017 in Würzburg über Rechtslage, Bedrohungsszenarien, Rahmenbedingungen und konkrete Maßnahmen zu informieren. Der Zeiteinsatz von 10 bis voraussichtlich 17 Uhr und die geringe Teilnahmegebühr von 120 Euro sind eine kleine Investition, um einen ersten, aber entscheidenden Schritt zur Absicherung des eigenen Unternehmens sowie seiner Geschäfts- und Kundenbeziehungen zu unternehmen. Interessenten sollten sich gleich anmelden – die Teilnehmerzahl ist begrenzt. Anmeldung und weitere Details unter: https://www.ei-tea.de/informationssicherheit-mittelstand

Die 2003 gegründete ei-tea GmbH betreut mehrheitlich Kleinbetriebe und Mittelstandsunternehmen (KMU) – von kleinen regional tätigen Firmen bis hin zum global aufgestellten Unternehmen des Mittelstands. Ihr Angebot umfasst die Beratung, Planung, Umsetzung und Betreuung bei der Konzeption und Einführung von Informationssicherheit sowie dem Aufbau und der Implementierung von Informationssicherheits-Management-Systemen. Zu ihrem Angebot zählen außerdem Aufbau und Optimierung von IT-Infrastrukturen, der Betrieb von CAx-Ecosystemen mit dem Schwerpunkt auf CATIA und NX sowie kontinuierliche und ganzheitliche IT-Betreuung. Die ei-tea GmbH ist ein eigenständiges und dennoch ein sehr gut vernetztes Unternehmen. Im Rahmen unserer Mitgliedschaft im Verbund der teaming IT ( www.teaming-it.de) pflegen wir langjährige Partnerschaften mit Spezialisten aus unserer Branche.

Firmenkontakt
ei-tea GmbH
Harald Gueffroy
Grabenstraße 18
71063 Sindelfingen
07031 63 20 430
07031 63 20 444
marketing@ei-tea.de
http://www.ei-tea.de

Pressekontakt
Der Publikant
Frank Erdle
An der Betteleiche 35d
70569 Stuttgart
0711 44 08 00 68
publikant@email.de
http://www.content4marketing.de

Pressemitteilungen

ISO 27001 oder Eine IT-Norm, die alle etwas angeht!

ISO 27001 oder Eine IT-Norm, die alle etwas angeht!

Peter Miller ist im Partnernetzwerk der Rhein S.Q.M. GmbH einer der Experten für IT-Sicherheit.

Wer glaubt, ein Unternehmen müsse sich nur mit der Zertifizierung nach DIN ISO/IEC 27001 beschäftigen, wenn es zu den schätzungsweise rund 2.000 sogenannten KRITIS-Betreiber gehört, die bisher vom Gesetzgeber dazu verpflichtet wurden, irrt. Wolfgang Rhein, dessen Qualitätsmanagement-Beratung Rhein S.Q.M. GmbH Unternehmen unter anderem auch im Bereich IT-Sicherheitsgesetz und ISO 27001 berät, warnt alle Organisationen vor Schadenersatzansprüchen im Fall von Industriespionage und Cyberattacken.

——————————————

„Wenn in einem Monat in Deutschland gut 10.000-mal nach „ISO 27001″ und verwandten Begriffen gegoogelt wird, dann kann man davon ausgehen, dass das Thema gerade in den Unternehmen wieder brodelt“, konstatiert denn auch Peter Miller, der als Experte für IT-Sicherheit Unternehmen im Auftrag von Rhein S.Q.M. berät. Diese Aufmerksamkeit kommt dabei nicht von ungefähr: Schlagzeilen zu Krypto-Trojanern, die – in Krankenhausrechner eingeschleust – die Gesundheitsversorgung lahmlegen oder Unternehmen, die Millionenbeträge in der virtuellen Bitcoin-Währung als Lösegeld berappen, um Datenlecks wieder zu stopfen, feuern die Debatte regelmäßig von Neuem an.

Nur noch etwas mehr als ein Jahr Übergangsfrist

Für einige Unternehmen drängt tatsächlich mittlerweile die Zeit. Der Gesetzgeber hat im Juli 2015 das „Gesetz zur Erhöhung der Sicherheit informations-technischer Systeme“ verabschiedet, dessen sperriger Titel landläufig mit „IT-Sicherheitsgesetz“ verkürzt wird, und ergänzend am 3. Mai 2016 die sog. KRITIS-Verordnung in Kraft gesetzt. Danach werden Unternehmen, die die Grundversorgung der Bevölkerung mit Strom und Gas gewährleisten, gesetzlich verpflichtet, bestimmte Anforderungen zu erfüllen, zu denen unter anderem auch die Zertifizierung nach ISO 27001 gehört. Bis 31.1.2018 müssen also zahlreiche Strom- und Gasnetzbetreiber der Bundesnetzagentur ein ISO-27001-Zertifikat vorlegen, das die Umsetzung des IT-Sicherheitskataloges dokumentiert. „Wenn man bedenkt, dass man in nahezu allen Projekten von mindestens sechs, eher aber neun Monaten Vorbereitungszeit ausgehen muss, sollten sich die betroffenen Unternehmen zeitnah mit dem Thema befassen und im 1. Quartal 2017 zumindest schon mal erste Grundüberlegungen und Abschätzungen zu den benötigten Ressourcen durchführen“, rechnet Miller vor. Die verbleibende Frist, ergänzt der QM-Berater und Lead Auditor, sei vor allem dann knapp, wenn ein zertifizierungsfähiges Informations-Sicherheits-Management-System (ISMS) komplett neu eingeführt werden müsse. Die Erfahrung aus vergangenen Zertifizierungsvorbereitungen zeigt: Selbst wenn die IT relativ gut dasteht, das heißt beispielsweise eine Netzwerk- und Hardwareplanung vorliegt oder Rollen- und Berechtigungskonzepte definiert sind, gibt es oft noch Lücken zwischen dem, was da ist und dem, was die ISO 27001 fordert. Im Besonderen ist hier auf die Dokumentation und Nachvollziehbarkeit der Prozesse und Anforderungen hinzuweisen – die aus Erfahrung in der Regel unvollständig oder weitgehend nicht vorhanden sind.

Die drei Schritte zur Zertifizierung

Die Vorbereitung auf die ISO-27001-Zertifizierung startet daher auch stets mit einem Workshop, der der Bestandsaufnahme beim Kunden dient und für den etwa drei Tage veranschlagt werden müssen. Mittels dieser GAP-Analyse wird aufgenommen, was schon da ist – schließlich ist das Ziel immer, auf einer bestehenden Systematik aufzubauen – und mit den Anforderungen der Norm abgeglichen.

In einem zweiten Step, der sechs bis neun Monate in Anspruch nimmt, werden die identifizierten Lücken nach und nach geschlossen. Möglich ist das Ganze nur, wenn das Management voll dahintersteht, daher muss die Zertifizierung auf oberster Ebene aufgehängt sein. Schließlich sind Aspekte wie Unternehmenspolitik, Unternehmensleitlinien oder Freigabe durch die Geschäftsführung nicht nur „nice to haves“, sondern inhaltliche Bestandteile der Zertifizierung nach der ISO 27001. „Die oberste Führungsebene trägt also ganz offiziell die Verantwortung für das Informations-Sicherheits-Management-System.“, stellt Miller klar und ergänzt: „Was natürlich nicht ausschließt, die Umsetzung zum Beispiel an den IT-Leiter zu delegieren.“ Die Frage hingegen, ob die Zertifizierungsvorbereitung komplett an einen externen Partner outgesourced werden kann, muss ganz klar verneint werden. Unternehmen können sich Anregungen und Ansätze von außen holen und auch die erforderlichen Dokumente extern schreiben lassen. Die Umsetzung muss aber zwingend intern erfolgen.

Denn beim dritten Schritt, dem Audit, reicht nur die Theorie nicht aus. Im Vergleich zu anderen Zertifizierungen kann die Norm nicht nur formal, also mit einer Dokumentenprüfung, abgebildet werden, sondern beim Audit wird explizit auch die Umsetzung, also die Praxis, geprüft. Bei guter Vorbereitung sei die Zertifizierung selbst aber eigentlich nur noch Formsache, beruhigt Miller.

Konkrete Controls sorgen für gute Umsetzbarkeit

Während die Revision der ISO 9001:2015 durch Unschärfen und wenig klare Forderungen in die Kritik geraten ist, enthält die ISO 27001 sehr konkrete Maßnahmenforderungen. Diese werden im Annex A der ISO 27001 (siehe auch ISO 27002) auf Basis einer Art Checkliste ins eigene Unternehmen und in die eigenen Prozesse eingebunden und umgesetzt. Ergänzt wird das Grundgerüst aus ISO 27001 und 27002 durch die Normen ISO 27017, ISO 27018 sowie der ISO 27019, die erweiterte Controls enthalten, und die als „Can dos“ im Gegensatz zu den „Must dos“ der Basisnorm freiwillig sind. Eine Ausnahme allerdings stellen hier wiederum die KRITIS-Unternehmen aus der Energieversorgungsindustrie dar: Um die Anforderungen aus dem IT-Sicherheitsgesetz erfüllen zu können, müssen sich diese ergänzend zur ISO 27001 mit dem Zusatz ISO 27019 zertifizieren lassen.

Vertragliche statt gesetzliche Verpflichtung

Freiwillig ist die gesamte ISO 27001 momentan noch für alle nicht in der KRITIS-Verordnung benannten Organisationen. Allerdings wird in einem zweiten Teil der KRITIS-Verordnung, die bereits für Anfang 2017 erwartet wird, die Definition, wer als Grundversorger eine Rechtspflicht zur Gewährleistung von IT-Sicherheit zu erfüllen hat, weiter ausgedehnt. So könnten Rechenzentrumsbetreiber, die Finanz- und Versicherungsbranche oder der gesamte Gesundheits- und Medizintechnikbereich bald unter die Verpflichtung fallen.
Manchmal ergibt sich eine Verpflichtung aber auch gar nicht über den Gesetzgeber, sondern durch kundenspezifische Forderungen, die beispielsweise Automobilhersteller mit ihren Zulieferern vertraglich vereinbaren. Damit begegnen Auftraggeber proaktiv dem oft noch fehlenden Sicherheitsverständnis und dem mangelhaften Risikobewusstsein ihrer Dienstleister. Ganz überraschend kommen diese Anforderungen im Übrigen nicht: „Die erste Welle mit Forderungen nach Erfüllung der ISO-27001-Standards gab es von den Automobilherstellern bereits 2009“, erinnert sich Miller. Die folgende Wirtschaftskrise habe die Bemühungen etwas ausgebremst, aber die Forderung, dass man sich als Zulieferer um IT-Sicherheitsstandards kümmern sollte, stand im Prinzip seither im Raum. Doch erst seit die Hersteller wieder konkret auffordern, die Zertifizierung durchzuführen, und zeitgleich Negativschlagzeilen von organisierter Internetkriminalität die Runde machen, erhält das Thema wieder höhere Priorität und auch eine gewisse Dringlichkeit.

„Stand der Technik“ als Maxime für alle Unternehmen

Doch Ausfälle bei den IT-Systemen kann sich in einer modernen Gesellschaft heute auch außerhalb der KRITIS-Betreiber kaum jemand leisten. „Deshalb gehören zur ISO-27001-Zielgruppe nicht nur die Unternehmen, die von Gesetzeswegen müssen, sondern im Prinzip alle Unternehmen weltweit.“, bringt es Wolfgang Rhein, Gründer und Geschäftsführer der Rhein S.Q.M. GmbH auf den Punkt. Das, so Rhein weiter, ergebe sich schlichtweg daraus, dass die ISO 27001 den Stand der Technik widerspiegle, und man, sollte man diesen als Unternehmen nicht erfüllen, eine große Angriffsfläche biete. Tritt nämlich eine IT-Störung auf und hat ein Unternehmen nicht nachgewiesenermaßen im Vorfeld strukturiert potenzielle Risiken identifiziert, die auf die Informationssicherheit einwirken könnten, und keine Sicherungsmaßnahmen entwickelt, um diese Gefährdungen zu eliminieren bzw. zu minimieren, kann ihm schuldhaftes Handeln vorgeworfen werden. Im Zuge der Überarbeitung der Normen haben unter anderem der risikobasierte Ansatz in der ISO 9001:2015 und das Risikomanagement in der ISO 27001:2013 Einzug gehalten. Die Bewertung des eigenen Unternehmens wird dadurch mehr in den Mittelpunkt gerückt, und somit können bekannte und erkannte Risiken als Chancen genutzt werden.

„Insbesondere“, da ist sich Rhein sicher, „gilt das für große Konzerne die sich die ISO 27001, deren Umsetzung in der Tat nicht ganz günstig ist, auch leisten könnten. Im Falle einer Klage – zum Beispiel aufgrund von Datenschutzproblemen – würde vermutlich jeder Richter befinden, dass von großen Unternehmen erwartet werden kann, die Anforderungen aus der Norm zu erfüllen. Urteile werden „nach Stand der Technik“ gefällt und wenn man exakt dieses durch eine ISO-27001-Zertifzierung nachweisen kann, kann man sich gegen Klagen absichern und Schadenersatzansprüche abwehren. Im anderen Fall könnte der Richter entscheiden, dass das Unternehmen schuldhaft gehandelt hat.“ Und das wird dann unter Umständen viel teurer als die ISO-27001-Zertifizierung gewesen wäre.

Die Organisationsberatung Rhein S.Q.M. wurde 2004 in Ludwigshafen gegründet und 2013 in eine GmbH umgewandelt. Der Schwerpunkt liegt bis heute im Bereich des Qualitätsmanagements für die Automobilindustrie sowie die Luft- und Raumfahrtbranche, auch wenn das Team rund um Gründer und Geschäftsführer Wolfgang Rhein zwischenzeitlich international in über 40 Branchen mit einer Abdeckung von mehr als 50 Regelwerken und Standards tätig ist. Die Leistungen in der Qualitätsmanagement-Beratung sowie im integrierten Management erstrecken sich dabei auch auf angrenzende Bereiche wie Umweltmanagement, Energiemanagement, Arbeitsschutzmanagement, Hygienemanagement sowie die Integration branchenspezifischer Standards. Neben der Beratung und operativen Unterstützung beim Aufbau und der Zertifizierung von Managementsystemen werden über die eigene Qualitätsakademie Seminare, Trainings und Workshops angeboten. Die Rhein S.Q.M. GmbH begleitet Organisationen außerdem dabei, die Einhaltung von Kunden- und Branchenforderungen in der gesamten Lieferkette sicherzustellen. Mehr Informationen zum Unternehmen sowie seinen Dienstleistungen im Internet unter www.qm-projects.de

Firmenkontakt
Rhein S.Q.M. GmbH
Wolfgang Rhein
Ebereschenweg 2a
67067 Ludwigshafen
06061 9674-15
06061 9674-29
info@qm-projects.de
http://www.qm-projects.de

Pressekontakt
Rhein S.Q.M. GmbH
Wolfgang Rhein
Ebereschenweg 2a
67067 Ludwigshafen
06061 9674-15
06061 9674-29
presse@qm-projects.de
http://www.qm-projects.de

Pressemitteilungen

Vorsorgecheck für die Krankenhaus-IT

IT-Sicherheit für Krankenhäuser: Webinar von G+H Systems und IT-Security@Work

Das IT-Sicherheitsgesetz ist seit Mitte 2015 in Kraft. Seitdem sind auch Krankenhäuser verpflichtet, im Einklang mit den gesetzlichen Bestimmungen für die eigene IT-Sicherheit zu sorgen. Doch insbesondere Krankenhäuser stehen hier oft vor besonderen Herausforderungen. Welche das sind und wie man sie meistert, erklären der Offenbacher Softwarehersteller G+H Systems und das Consulting-Unternehmen IT-Security@Work (ISW) am 09. und 15.11. in einem gemeinsamen Webinar zu diesem Thema. G+H hat zudem für alle Teilnehmer ein besonderes Angebot zur Nutzung seiner Access Governance-Lösung daccord vorbereitet.

G+H Systems hat sich als bundesweit aktiver Systemintegrator und Softwarehersteller unter anderem auf das Thema Access Governance spezialisiert. Da Access Governance ein fester Bestandteil moderner IT-Sicherheits- und Datenschutzkonzepte ist, liegt eine Partnerschaft mit dem jungen Consulting-Unternehmen ISW nahe. Die Frankfurter Experten von ISW beraten ihre Kunden zu aktuellen Herausforderungen der IT-Security und des Datenschutzes.

Schnell auf Notfälle reagieren
Krankenhäuser gehören zu den kritischen Infrastrukturen. Das bedeutet, sie sind verpflichtet, nicht nur ihre IT-Systeme, sondern auch wichtige medizinische Geräte und sensible Patientendaten vor unbefugten Zugriffen schützen. Aber gerade in Krankenhäusern ist es nicht so einfach festzulegen, wer wann auf welche Systeme und Daten zugreifen darf. Auf Notfallsituationen muss schnell reagiert werden können, ohne zuerst eine Zugangsberechtigung bei der IT-Abteilung anzufordern. Darüber hinaus wechselt medizinisches Personal häufig den Arbeitsplatz, entweder innerhalb eines Krankenhauses von Station zu Station oder sogar von Krankenhaus zu Krankenhaus. Hinzu kommt, dass bis zur aktuellen Digitalisierung die klassische IT-Sicherheit in Krankenhäusern nicht im Mittelpunkt der Aufmerksamkeit stand, denn Angriffe von außen waren schlicht nicht möglich. Dieser Problematik widmet sich das Webinar der beiden Spezialisten G+H Systems und ISW.

In dem Webinar werden mit Blick auf die speziellen Ausgangsbedingungen und Herausforderungen vor allem folgende Themen im Mittelpunkt stehen:
– Kurzvorstellung von IT-Sicherheits- und IT-Compliance-Anforderungen an Krankenhäuser
– Arztbusiness und Dokumentations-/Compliance-Anforderungen – ein Widerspruch?
– IT-Compliance- und IT-Sicherheitsanforderungen und das Krankenhaus-Business – sinnvolle Modellierung
– Restriktive Maßnahmen als Prävention gegen Verstöße oder Monitoring der korrekten Nutzung
– Beispiele aus dem Bereich des Berechtigungsmanagements
– Mit daccord die Mitarbeiterberechtigungen im Griff
– Vorteile von daccord im Krankenhauseinsatz

Für Teilnehmer des Webinars hält G+H Systems außerdem noch ein Special Offer zur Nutzung der hauseigenen Access Governance-Lösung daccord bereit. Für das Webinar stehen zwei Termine zur Auswahl: am 09.11. um 10.00 Uhr und am 15.11. um 11.00 Uhr. Die Anmeldung erfolgt über die G+H Homepage.

Über G+H Systems:
Die G+H Systems ist ein führendes, europaweit agierendes Software- und Consulting-Unternehmen mit Sitz in Offenbach am Main. Die G+H berät Unternehmen und integriert IT-Lösungen von exklusiven Partnern sowie eigenständig entwickelte Softwareprodukte. Die IT-Entwickler sehen ihren Auftrag darin, den Erfolg ihrer Kunden durch den Einsatz von sicheren, praktikablen und innovativen IT-Lösungen sicherzustellen. Mehr erfahren Sie unter www.guh-systems.de

Firmenkontakt
G+H Systems GmbH
Christin Hutter
Ludwigstr. 8
63067 Offenbach am Main
+49 (0)69 85 00 02-85
+49 (0)69 85 00 02-51
c.hutter@guh-systems.de
http://www.guh-systems.de

Pressekontakt
Sprengel & Partner GmbH
Marius Schenkelberg
Nisterstraße 3
56472 Nisterau
02661-912600
+49 2661 91260-29
guh@sprengel-pr.com
http://www.sprengel-pr.com

Pressemitteilungen

Online-Test zu IT-Sicherheitsgesetz

ironDNS bietet einfache Möglichkeit zur Überprüfung der Kriterien

Online-Test zu IT-Sicherheitsgesetz

Neue Sicherheitsauflagen für Kritische Infrastrukturen

Bereits im Juli 2015 ist in Deutschland ein IT-Sicherheitsgesetz in Kraft getreten, das den Schutz der heimischen IT-Infrastrukturen verbessern soll. Viele Telekommunikationsanbieter und Betreiber von Webservern oder Online-Shops wissen jedoch gar nicht, dass sie seitdem erhöhte Auflagen zum Schutz von Kundendaten und IT-Systemen erfüllen müssen.

Zum 3. Mai 2016 wurde dieses IT-Sicherheitsgesetz nun um eine Rechtsverordnung ergänzt, die die Regelungen auf alle für die Versorgung der Allgemeinheit wichtigen Bereiche erweitert. Das betrifft zunächst die sogenannten Kritischen Infrastrukturen in den Bereichen Informationstechnik und Telekommunikation, Energie, Wasser und Ernährung. Bis Anfang 2017 sollen dann noch die Sektoren Transport und Verkehr, Gesundheit sowie Finanz- und Versicherungswesen folgen.

Die Betreiber der betroffenen Anlagen und Dienstleistungen sind verpflichtet, innerhalb von sechs Monaten eine zentrale Kontaktstelle zum Bundesamt für Sicherheit in der Informationstechnik (BSI) einzurichten und innerhalb von zwei Jahren die Einhaltung eines Mindeststandards an IT-Sicherheit nachzuweisen. Zudem gelten Meldepflichten für sicherheitsrelevante Vorfälle wie Cyber-Attacken, Phishing oder IT-basierte Erpressungsversuche. Ziel dieser Meldepflicht ist es, ein aktuelles Bild über die Gefährdungslage der Cyber-Sicherheit in Deutschland zu bekommen und entsprechende Präventions- und Gegenmaßnahmen planen zu können.

Wer als Betreiber einer Kritischen Infrastruktur im Sinne des Gesetzes gilt, wird in der BSI-Kritisverordnung (KritisV) durch einen Kriterienkatalog festgelegt. Für die dem Internet zugrunde liegenden DNS-Dienste beispielsweise wird unter anderem die Anzahl der abgefragten IP-Adressen pro Tag betrachtet. Allerdings sind die Betreiber selbst in der Pflicht, den Versorgungsgrad Ihrer Anlagen zu bestimmen und festzustellen, ob sie als Kritische Infrastruktur gelten. Das Problem dabei ist, dass sich viele Betroffene dieser Verpflichtung und den möglichen Konsequenzen gar nicht bewusst sind. Denn es drohen Bußgelder von bis zu 100.000 Euro, wenn die vorgeschriebenen Maßnahmen zur Vermeidung von Störungen nicht angemessen umgesetzt werden oder wenn Sicherheitsvorfälle nicht ordnungsgemäß oder verspätet gemeldet werden.

Aus diesem Grund sollte jedes Unternehmen, das in einem der genannten Sektoren tätig ist, den in der Verordnung festgelegten Kriterienkatalog prüfen. Die Zeit für die Umsetzung der Richtlinien könnte sonst knapp werden.

Eine einfache und verständliche Möglichkeit um festzustellen, ob man als Betreiber einer Kritischen Infrastruktur eingestuft wird, bietet der „Online-Test Kritische Infrastruktur“. Dabei handelt es sich um einen interaktiven Fragebogen, den der DNS-Spezialist ironDNS unter https://irondns.net/kritisv bereit hält. Dort gibt es außerdem kurze und verständliche Erläuterungen, Hinweise zu möglichen nächsten Schritten und weiterführende Informationen.

ironDNS ist eine Premium DNS-Dienstleistung für Internet-Domains mit speziellen Anforderungen an Betriebssicherheit und weltweiter, schneller und zuverlässiger Erreichbarkeit.

ironDNS ermöglicht den Betrieb von kritischen DNS-Infrastrukturen auf höchstem technischen Niveau. Eingebettet in ISO 27001-zertifizierte Prozesse erfüllt ironDNS alle nach dem IT-Sicherheitsgesetz geforderten Auflagen schon heute.

ironDNS ist eine Dienstleistung der in Dortmund ansässigen Knipp Medien und Kommunikation GmbH.

Kontakt
ironDNS®
Linda Müller
Martin-Schmeißer-Weg 9
44227 Dortmund
+49 231 9703-0
info@irondns.net
www.irondns.net

Aktuelle Nachrichten Computer/Internet/IT Finanzen/Wirtschaft Gesellschaft/Politik Gesundheit/Medizin Pressemitteilungen Telekommunikation

ViPNet Technologie schützt kritische Infrastrukturen vor Cyber-Attacken im Sinne des IT-Sicherheitsgesetzes

Berlin, 13. April 2016 – Der High-Security-Anbieter Infotecs stellt eine neue Lösung für den Schutz industrieller und kritischer Infrastrukturen vor. ViPNet for Critical Infrastructure ermöglicht den sicheren, verschlüsselten Fernzugriff auf sensible Steuerungssysteme und kann auch bei extremen Umgebungsbedingungen eingesetzt werden.

ViPNet for critical infrastructure - Sicherheit für kritische Infrastrukturen
ViPNet for Critical Infrastructure sichert den Zugriff auf sensible Steuerungssysteme in der Industrie sowie bei kritischen Infrastrukturen von jedem Ort aus.

Die zunehmende Digitalisierung ist unaufhaltbar. Das Internet der Dinge (IoT), Industrie 4.0, Connected Enterprise, Connected Car sind nur einige Schlagworte, praktisch alles wird vernetzt. Dies erhöht wiederum das Risikopotential von Cyber-Attacken allgemein, besonders alarmierend sind jedoch Angriffe auf kritische Infrastrukturen (KRITIS). Sicherheitsvorfälle bei Strom-, Öl- und Gasversorgern, Krankenhäusern und anderen medizinischen Einrichtungen, in der Ernährungs- oder Finanzwirtschaft, etc. können im Extremfall das Gemeinwohl eines gesamten Staates gefährden. Eine Schlüsselrolle trägt dabei die Informationstechnologie. Fallen IT-Systeme oder die Stromversorgung aus, kann dies Auswirkungen auf alle Sektoren kritischer Infrastrukturen nach sich ziehen.

Das von der Bundesregierung erlassene IT-Sicherheitsgesetz in Deutschland strebt vor allem für Unternehmen mit kritischen Infrastrukturen einen Mindeststandard der IT-Sicherheit an. Seit Sommer 2015 sind KRITIS-Betreiber dazu verpflichtet, Sicherheitsvorfälle dem Bundesamt für Sicherheit in der Informationstechnik (BSI) zu melden.

Erschwerend kommt hinzu, dass viele kritische Infrastrukturen industrielle Prozessleit- und Automatisierungssysteme nutzen. Diese Systeme sind aufgrund ihrer Komplexität besonders schwierig zu schützen. Industrielle Steuerungen sind historisch bedingt nicht unter dem Gesichtspunkt der IT-Sicherheit entwickelt worden und wurden bisher weitgehend von den Unternehmensnetzwerken isoliert.

„Schwachstellen von Maschinen und Anlagen können mit geringem Aufwand im Internet aufgespürt werden“, kommentiert Sergej Torgow, COO der Infotecs GmbH. „Vielen KRITIS-Betreibern ist dies nicht bewusst. Weiterhin würde ein Stillstand der Steuerungssysteme enorme Umsatzeinbußen verursachen. Deswegen bleiben Anlagen oftmals sogar weiterhin in Betrieb, obwohl Schadsoftware im System entdeckt wurde. Dies kann natürlich fatale Folgen haben.“

Die Security-Spezialisten von Infotecs bieten daher eine Lösung, welche den Fernzugriff auf industrielle und kritische Infrastrukturen absichern kann, ohne dass bei der Implementierung Maschinen oder Anlagen abgeschaltet werden müssen. Mithilfe von ViPNet for Critical Infrastructure kann der Datenverkehr Ende-zu-Ende verschlüsselt und vor unautorisierten, unbefugten Zugriffen Dritter geschützt werden. Mit wenig Aufwand und Kosten können KRITIS-Systeme als Außenstation angebunden werden. Die Hard- und Software von Infotecs kann selbst bei extremen Umgebungsbedingungen, z. B. bei erhöhten Temperaturen, Staub oder Feuchtigkeit, eingesetzt werden.

Bei ViPNet handelt es sich um die einzige Technologie, welche Punkt-zu-Punkt-Verschlüsselung und sichere Kommunikation für alle Schichten der SCADA-Pyramide bietet und gleichzeitig für das komplette Unternehmen sowie alle ans Unternehmensnetzwerk angrenzenden Systeme genutzt werden kann.

ViPNet for Critical Infrastructure erleichtert weiterhin die Zusammenarbeit zwischen KRITIS-Betreibern, Maschinenherstellern und Service-Dienstleistern, indem der Schutz für Maschinen und Anlagen in den Bereichen Steuerung (autorisierter Zugriff aus dem lokalen Netzwerk oder sicherer Fernzugriff durch den KRITIS-Betreiber), Wartung (sicherer Fernzugriff für Analyse und Kontrolle durch den Betreiber, Hersteller oder Service-Dienstleister) und Überwachung (netzwerkübergreifendes Monitoring durch den KRITIS-Betreiber oder Service-Dienstleister) ermöglicht wird.

Weitere Informationen zu ViPNet for Critical Infrastructure erhalten Sie unter http://www.infotecs.de/solutions/kritis.php.

 

Über Infotecs

Als erfahrener Spezialist software-basierter VPN-Lösungen entwickelte Infotecs seit 1991 die Peer‑to‑Peer ViPNet Technologie, um mehr Sicherheit, Flexibilität und Effizienz als IPSec oder andere standardbasierte VPN-Produkte bieten zu können. Als einzige VPN-Lösung unterstützt ViPNet echte Punkt-zu-Punkt-Verbindungen. Mehr als 1.000.000 Endgeräte, Firmenstandorte und Server konnten bisher mithilfe von ViPNet sicher miteinander verbunden werden – unterstützt durch ein erstklassiges IT-Entwicklungs- und Support-Team. Unsere Lösungen wurden für die härtesten Anforderungen an die IT-Sicherheit konzipiert und bieten zuverlässigen, flexiblen sowie effektiven Schutz. Weitere Informationen zum Unternehmen finden Sie unter www.infotecs.de.

 

Kontakt

Infotecs GmbH
Anja Müller
Marketing & Kommunikation
Oberwallstr. 24
D-10117 Berlin
Tel.: +49 30 206 43 66-52
Fax: +49 30 206 43 66-66
anja.mueller@infotecs.de

Twitter: twitter.com/InfotecsDeutsch
Facebook: www.facebook.com/InfotecsGmbH
Xing: www.xing.com/companies/infotecsinternetsecuritysoftwaregmbh
Google+: plus.google.com/+InfotecsDe/
LinkedIn: www.linkedin.com/company/infotecs-internet-security-software-gmbh

Pressemitteilungen

Neue Rechtsverordnung spezifiziert IT-Sicherheitsgesetz

Betreiber kritischer Infrastrukturen müssen auf moderne Authentifizierungslösungen aufrüsten

Neue Rechtsverordnung spezifiziert IT-Sicherheitsgesetz

Logo OpenLimit SignCubes

Berlin, 8. März 2016. Im Juli 2015 ist das deutsche IT-Sicherheitsgesetz in Kraft getreten. Im Februar dieses Jahres wurde nun ein Rechtsverordnungsentwurf veröffentlicht, der erstmals definiert, wer von dem neuen Gesetz betroffen ist und somit künftig IT-Sicherheitsvorfälle melden muss.

IT-Sicherheitsgesetz für Betreiber kritischer Infrastrukturen

Das IT-Sicherheitsgesetz ist darauf gerichtet, die Sicherheit von Unternehmen und der Bundesverwaltung sowie den Schutz der Bürger im Internet zu verbessern. Diesbezüglich enthält die Verordnung Anforderungen an die IT-Sicherheit sogenannter kritischer Infrastrukturen. Das sind Einrichtungen, die für das Gemeinwesen von zentraler Bedeutung sind, wie die Bereiche Energieversorgung, Verkehr, Gesundheitswesen sowie Banken und Versicherungen. „Viele IT-Angriffe könnten bereits durch Standardsicherheitsmaßnahmen abgewehrt werden“, erklärt Mark Rüdiger, Business Development Manager der OpenLimit SignCubes GmbH ( www.openlimit.com ). Die Betreiber kritischer Infrastrukturen sind daher mit dem neuen Gesetz verpflichtet, IT-Sicherheitsvorfälle an das BSI (Bundesamt für Sicherheit in der Informationstechnik) zu melden und so einen eigenen Beitrag zur deutschen IT-Sicherheit zu leisten.

Starke Authentifizierungstechnologien unumgänglich

Unter Einhaltung des Standes der Technik müssen angemessene organisatorische und technische Vorkehrungen zur Vermeidung von Störungen der Verfügbarkeit, Integrität, Authentizität und Vertraulichkeit der informationstechnischen Systeme, Komponenten und Prozesse getroffen werden, die maßgeblich zur Funktionsfähigkeit der betriebenen Infrastrukturen beitragen. „Laut BSI lässt sich über nationale oder internationale Standards wie DIN oder ISO ermitteln, was zu einem bestimmten Zeitpunkt als Stand der Technik definiert ist. In Deutschland sind hier vor allem die IT-Grundschutzkataloge des BSI zu beachten. Eine dieser State-of-the-Art-Lösungen ist beispielsweise die Authentifizierungstechnologie truedentity ( www.truedentity.de ), die auf der zertifizierten Technologie und Infrastruktur des deutschen Personalausweises basiert und so auf ein bewährtes Datenschutz- und Datensicherheitskonzept für digitale Identitäten setzt“, konkretisiert Rüdiger.

Die IT-Grundschutzkataloge empfehlen für sicherheitskritische Anwendungsbereiche eine starke Authentisierung, die mindestens zwei Authentifizierungsfaktoren kombiniert, wie Passwort plus Chipkarte oder den Einsatz biometrischer Identifikationsmerkmale. „Eine Ein-Faktor-Authentifizierung aus Benutzername und Passwort bietet eine attraktive Angriffsfläche für Identitätsdiebstahl. Auch komplizierte Passwörter können mit speziellen Programmen geknackt werden und sind daher als sehr unsicher einzuschätzen“, sagt der IT-Sicherheitsexperte. Regelmäßige Medienberichte über große Datenklau-Skandale und Netzwerkübergriffe unterstreichen diese Aussage.

Zwei-Faktor-Authentifizierung für Vertrauen und Schutz

truedentity gewährleistet eine gegenseitige, eindeutige Identifikation von Nutzer und Dienst. Die sichere Authentifizierungstechnologie ist flexibel einsetzbar und bietet so bedarfsorientierte Lösungen mit skalierbarem Schutzniveau. Basierend auf einer Zwei- oder Multi-Faktor-Authentifizierung wird vor der Kommunikation die eindeutige Identität aller beteiligten Personen oder Maschinen überprüft. Hierfür verifiziert ein eID-Server, als unabhängiges Bindeglied zwischen den Beteiligten, die Echtheit beider Seiten, während Nutzer und Dienst den Zugriff auf ihre abgesicherten Daten aktiv gestatten. Die anschließende Kommunikation findet verschlüsselt und nach den Sicherheitsvorgaben des BSI für den deutschen Personalausweis statt. Missbrauch durch gestohlene Identitäten wird so schon vor dem Daten- oder Systemzugriff erkannt und verhindert. Eine anschließende Meldung des versuchten Angriffs beim BSI erfüllt die Vorgaben des neuen IT-Sicherheitsgesetzes.

truedentity unterstützt neben dem Personalausweis auch individuell ausgestellte ID-Token unterschiedlicher Bauformen (bspw. Smart Card, USB, Softtoken), während die eigentliche elektronische ID (die eID-Anwendung) konform zur BSI TR-03127 bestehen bleibt. Außerdem können biometrische Verfahren genutzt werden, sodass auch Mitarbeiter- oder Unternehmensausweise die Basis für sichere Authentifizierungsprozesse bilden können.

Wer ist von der neuen Meldepflicht betroffen?

„Insgesamt sind sieben Branchen und etwa 700 Anlagen in Deutschland vom IT-Sicherheitsgesetz und somit von der neuen Meldepflicht betroffen“, weiß der Spezialist aus dem Hause OpenLimit. „Als Faustregel gilt die 500.000-er-Grenze: Sind mehr als 500.000 Bürger von der Versorgungsleistung eines Unternehmens aus den Bereichen Informationstechnik, Telekommunikation, Energie, Ernährung, Finanz- und Versicherungswesen abhängig, ist die Anlage meldepflichtig und muss die geforderten Mindeststandards an IT-Sicherheit einhalten.“ Zur genaueren Definition wurden für die jeweiligen Sektoren Schwellenwerte festgelegt, die sich aus dem Verbrauch von 500.000 Bürgern berechnen. Diese liegen beispielsweise für Energieversorger bei einer jährlichen Stromerzeugung von mehr als 450 MW und bei Wasserwerken bei einer Bereitstellung von mindestens 21,9 Millionen m³ im Jahr. Noch bleiben den Betreibern sicherheitskritischer Anlagen knapp zwei Jahre, um die Sicherheitsrichtlinien nach dem aktuellen Stand der Technik zu realisieren. „Wir empfehlen jedoch jedem Unternehmen, ob von der Meldepflicht betroffen oder nicht, beim Thema IT-Sicherheit keine Zeit zu verlieren. Die Meldungen in den Medien sind lediglich die Spitze des Eisberges und Cyberangriffe sind eine reale, ernst zu nehmende Gefahr.“

Die OpenLimit SignCubes AG (www.openlimit.com) wurde im Jahr 2002 gegründet und ist eine hundertprozentige Tochtergesellschaft der börsennotierten OpenLimit Holding AG. Die Gesellschaft hat ihren Sitz in Baar, Schweiz und eine Tochtergesellschaft in Berlin, Deutschland. Die Unternehmensgruppe beschäftigt mehr als 70 hochqualifizierte Mitarbeiter.

OpenLimit steht für den sicheren elektronischen Handschlag. Wir ermöglichen mit unseren Technologien, dass Menschen und Maschinen weltweit ohne Einschränkungen sicher, nachweisbar und identifizierbar kommunizieren können. Wir entwickeln Basistechnologien und Produkte in den folgenden Bereichen: rechtssichere Signaturverfahren, digitale Langzeitarchivierung, sichere Datenübertragung und digitale Identitäten. Unsere Lösungen sind integraler Bestandteil von Produkten der führenden Hersteller von IT-Anwendungen und erreichen Unternehmen, Behörden, Institutionen sowie private Haushalte. Um unsere Mission eines sicheren elektronischen Handschlages zu verwirklichen, gehen wir gezielte strategische Entwicklungs- und Vertriebspartnerschaften ein.

Firmenkontakt
OpenLimit SignCubes AG
Marc Gurov
Zugerstraße 74
6341 Baar
+41 41 560 1020
+41 41 560 1039
info@openlimit.com
http://www.openlimit.com

Pressekontakt
OpenLimit SignCubes GmbH
Vanessa Schmidt
Saarbrücker Str. 38 a
10405 Berlin
+49 30 400 3510 20
+49 30 400 3510 41
vanessa.schmidt@openlimit.com
http://www.openlimit.com

Pressemitteilungen

Sonderweg bei IT-Sicherheit schadet dem Mittelstand

Aachen/Berlin, 12. Juni 2015 – Von dem am heutigen Freitag im Bundestag verabschiedeten IT-Sicherheitsgesetz zeigt sich der Bundesverband IT-Mittelstand e.V. (BITMi) enttäuscht. „Mit dem Gesetz schafft die Regierungskoalition zusätzliche Bürokratie und Rechtsunsicherheit für den IT-Mittelstand“ kritisiert der Präsident des BITMi, Dr. Oliver Grün, das Gesetz. „Es stellt einen unnötigen nationalen Alleingang Deutschlands dar, der speziell mittelständische IT-Unternehmen vor größere Herausforderungen stellt, beispielsweise bei 24/7 Verfügbarkeit für so genannte kritische Infrastrukturen oder der zusätzlichen Unsicherheit bei der gesetzlichen Verpflichtung zur IT-Sicherheit. Wenn jetzt auch noch direkt nach Einführung der Auflagen in Form einer Richtlinie die angekündigte europäische Richtlinie kommt, haben wir wie auch beim Vergaberecht ein heilloses Durcheinander an Berichts- und Meldepflichten.“

Das IT-Sicherheitsgesetz sieht Grün als Teil eines größeren Problems „Wir erleben heute im Bundestag neben dem IT-Sicherheitsgesetz auch die Vorratsdatenspeicherung in erster Lesung. Dies ist ein weiterer Alleingang der Bundesregierung, der den IT-Mittelstand teuer kommen wird, ohne dass er die Sicherheit für Bürger, Wirtschaft oder Staat verbessert.“ Bisher konnte die Bundesregierung die Wirksamkeit der Vorratsdatenspeicherung nicht nachweisen. Bundestagsjuristen sowie die Datenschutzbeauftragte der Bundesrepublik, Andrea Voßhoff, bescheinigen dem Entwurf zudem Verfassungswidrigkeit. Fraglich ist, wer die Kosten für nun anfallende Investitionen übernimmt, falls das Gesetz nachträglich gekippt wird. Bei dem letzten Anlauf in Sachen Vorratsdatenspeicherung blieben die Unternehmen auf ihren Kosten sitzen. „Die Bundesregierung übt sich in kopflosem Aktionismus und muss in Sachen IT-Sicherheit dringend nachholen. Denn das Lehrgeld zahlt nachher der deutsche IT-Mittelstand“ mahnt BITMi Präsident Grün.

Der Bundesverband IT-Mittelstand e.V. (BITMi) vertritt über 1.200 IT-Unternehmen und ist damit der größte Fachverband für ausschließlich mittelständische Interessen in Deutschland. Unter seinen Mitgliedern befinden sich auch Unternehmen aus dem Kryptografie- und Sicherheitsbereich.

Kontakt
Bundesverband IT-Mittelstand e.V.
Lisa Ehrentraut
Augustastraße 78-80
52064 Aachen
0241 1890558
kontakt@bitmi.de
http://www.bitmi.de

Aktuelle Nachrichten Computer/Internet/IT Energie/Natur/Umwelt Finanzen/Wirtschaft Gesellschaft/Politik Pressemitteilungen Recht/Gesetz/Anwalt Shopping/Handel Vereine/Verbände Wissenschaft/Forschung

OILCO lehnt dritten Entwurf für das IT-Sicherheitsgesetz (ITSiG) ab

BERLIN, den 09. Dezember 2014 – Der Energiebereich nimmt in Fragen der Cybersicherheit eine exponierte Position ein: Seine Infrastrukturen sind im besonderen Maße den Angriffen aus dem Internet ausgesetzt – mit potenziell desaströsen Folgen für Wirtschaft und Gesellschaft. Doch dieser Gefahr trägt der jüngste Entwurf eines IT-Sicherheitsgesetzes (ITSiG) des Bundesinnenministeriums nach Auffassung der OILCO Energy Trading (Deutschland) GmbH nicht ausreichend Rechnung.

OILCO Energy Trading GmbH
OILCO Energy Trading GmbH

Der Online-Fulfillment-Dienstleister bemängelt stattdessen die im Entwurf versteckten Belastungen für den Mittelstand, die mangelnden Auflagen für Soft- und Hardware-Hersteller sowie die fehlende Transparenz bei gefährlichen Sicherheitslücken. Die in Berlin ansässige OILCO Energy Trading (Deutschland) GmbH (www.oilco-energy.com) unterstützt den Internet-Handel mit Brennstoffen durch moderne und praktische Bezahlarten. Mit seinem Geschäftsmodell treibt das Unternehmen, das Mitglied im Cyber-Sicherheitsrat Deutschland e.V. ist, die Digitalisierung der Energiebranche entscheidend voran.

Das Bundesministerium des Innern hatte am 5. März 2013 einen Referentenentwurf für ein Gesetz zur Erhöhung der Sicherheit informationstechnischer Systeme vorgelegt. Am 18. August 2014 legte das Bundesministerium dann einen zweiten Referentenentwurf vor. Am 4. November 2014 schließlich veröffentlichte das Innenministerium den dritten Referentenentwurf.

An diesem dritten Entwurf für das IT-Sicherheitsgesetz bemängelt die OILCO Energy Trading (Deutschland) GmbH konkret:

• Der drohende Ausbau der Bürokratie und die potenziellen Mehrkosten für den Mittelstand sind gravierend: Der aktuelle Entwurf sieht vor, dass selbst Unternehmen ab 10 Mitarbeitern und einem Umsatz von über 2 Mio. Euro unter die Vorgabe des ITSiG fallen sollen.

• Ausgerechnet die Soft- und Hardwarehersteller wurden aus dem Anwendungsbereich der Richtlinie entfernt. Damit sind sie weder zur Gewährleistung verpflichtet, noch unterliegen sie der Meldepflicht.

• Gravierende Sicherheitslücken (Zero-Day-Vulnerabilities) sollen weiterhin nicht öffentlich gemacht werden. Laut dem Gesetzes-Entwurf hat das Bundesamt für Sicherheit in der Informationstechnik zwar die Aufgabe, Sicherheitslücken zu sammeln und auszuwerten, muss sie aber nicht publik machen.

• Keine Institution betreibt so viele kritische Sicherheitsstrukturen wie der Staat selbst. Dem Entwurf mangelt es jedoch sowohl an einer einheitlichen Regelung für den Bund als auch an einer länderübergreifenden IT-Sicherheitsstrategie.

• Zahlreiche kritische Infrastrukturen werden heute in Deutschland noch immer mit gängiger Software wie Windows betrieben – dieser Aspekt wurde überhaupt nicht berücksichtigt. Zunächst müssten neue Systeme entwickelt und implementiert werden, die den modernsten Sicherheitsstandards entsprechen. Die hierbei entstehenden Kosten dürfen nicht ausschließlich auf die Industrien umgelagert werden.

Mario Springer, Geschäftsführer der OILCO Energy Trading (Deutschland) GmbH: „Als Partner der deutschen Brennstoffhändler wissen wir, dass der Sicherheitsaspekt entscheidend bei der Umstellung auf digitale Dienstleistungen ist. Leider haben wir den Eindruck gewonnen, dass der jüngste Entwurf für das IT-Sicherheitsgesetz weder die Spezifikationen der Energiebranche ausreichend berücksichtigt, noch dass er den Mittelstand entlastet. Im Gegenteil: Es drohen ein Ausbau der Bürokratie und eine verstärkte Gefährdungssituation für kritische Energie-Infrastrukturen. Wir hoffen sehr, dass das Bundesministerium des Innern diesen dritten Entwurf erneut überarbeitet.“

Über OILCO Energy Trading:

Die OILCO Energy Trading (Deutschland) GmbH unterstützt den Handel mit Heizöl, Diesel, Flüssiggas und anderen Mineralölprodukten sowie alternativen Heizmitteln (Holzpellets, Brennholz) und allen sonstigen nicht-leitungsgebundenen Energieträgern. Das Berliner Unternehmen ist die erste Echtzeit-Backoffice-Handelsplattform für Händler und Verbraucher. OILCO Energy Trading bietet eine hoch performante Echtzeitanbindung an, die den neuesten Sicherheitsstandards entspricht. Das Unternehmen ist ordentliches Mitglied in der UNITI-Regionalgruppe Bayern (vormals: BBMV), im Deutschen Verband Flüssiggas e.V. (DVFG), im Weltenergierat – Deutschland e.V. sowie im Cyber-Sicherheitsrat Deutschland e.V.

Pressekontakt:

OILCO Energy Trading (Deutschland) GmbH
Friedrichstraße 90
D-10117 Berlin

Telefon: +49-(30) 2025-3512
Telefax: +49-(30) 2025-3340
presse@oilco-energy.com
www.oilco-energy.com

Pressemitteilungen

IT Systemhaus arbeitet mit FH Professor zusammen

IT-Sicherheit von der ADDAG

IT Systemhaus arbeitet mit FH Professor zusammen

Prof. Dr. Schuiba bei der Arbeit

Neuer Mitarbeiter bei der ADDAG: Professor Dr. Marko Schuba unterstützt das Team um den Geschäftsführer der ADDAG Dr. Ralf Schadowski für ein Semester. „Wir dürfen als Lehrende nicht den Bezug zur Praxis verlieren“, sagt der FH-Professor, der die IT-Sicherheit von Firmen im Blick hat. Weil gerade in Berlin ein IT-Sicherheitsgesetz für Betreiber kritischer Infrastrukturen – Strom- und Gasversorger, Telekommunikationsanbieter, Krankenhäuser – als Entwurf diskutiert wird, erwartet er eine hohe Nachfrage. „Besser wäre es, wenn sich Unternehmen auch ohne Gesetz mit ihren Sicherheitslücken beschäftigen“, urteilt Marko Schuba.
Der Professor analysiert in Firmen systematisch die aktuelle Situation: Gibt es Richtlinien zur Informationssicherheit? Gibt es einen IT-Sicherheitsbeauftragten? Was passiert mit den Daten auf Rechnern, wenn Mitarbeiter die Firma verlassen? Wie ist die Handhabung von USB-Sticks? Welche Nutzer bekommen welche Informationen? Dann erarbeitet Schuba Sicherheitskonzepte.
Warum arbeitet er bei der ADDAG? ADDAG Gründer und Geschäftsführer Dr. Ralf Schadowski ist ein über die Grenzen bekannter Datenschützer. Er berät Firmen als Datenschutzbeauftragter, führt Datenschutz-Audits durch und sensibilisiert Mitarbeiter für den gesetzlich vorgeschriebenen Datenschutz. „Beim Datenschutz und bei der IT-Sicherheit gibt es eine gemeinsame Schnittmenge“, erzählt der Geschäftsführer. „Wir freuen uns, Prof. Dr. Schuba für ein halbes Jahr gewonnen zu haben. Damit haben wir einen Mehrwert, den wir als Firma anbieten können. Gleichzeitig bietet sich uns die Gelegenheit, der FH Aachen ein Praxisfreisemester zu stellen und der Lehre mehr Praxisbezug zu geben.“

Ansprechpartner:
Richarda Springer
Marketing & Unternehmenskommunikation
ADDAG GmbH&CoKG | Krefelder Straße 121 | D52070 Aachen
IT Lösungen die begeistern!
Fon +49 241 44688 0
Fax +49 241 44688 10
Mail springer@addag.de

Über die ADDAG:
Die ADDAG GmbH & Co. KG ist seit 1993 IT-Dienstleister mit Sitz in Aachen. Das Unternehmen beschäftigt ca. 20 Mitarbeiter und ist auf die Kompetenzen IT-Beratung, IT-Sicherheit, Datenschutz, IT-Systemmanagement und Netzwerklösungen spezialisiert. Seit 2006 zählt ADDAG zu den TOP 100 IT Systemhäusern in Deutschland laut IT-Fachpresse.

Kontakt
ADDAG GmbH & Co. KG
Ricarda Springer
Krefelder Straße 121
52070 Aachen
0241446880
springer@addag.de
http://www.addag.de