[datensicherheit.de, 04.10.2021] Das Bundesamt für Sicherheit in der Informationstechnik (BSI) hat nach eigenen Angaben am 1. Oktober 2021 das Zertifizierungsprogramm nach dem neuen Schema „Beschleunigte Sicherheitszertifizierung“ (BSZ) gestartet. Das Programm sei zunächst auf Produkte aus dem Bereich der Netzwerkkomponenten ausgerichtet. Künftig werde es auch für andere Anwendungsbereiche angeboten werden.

BSZ ermöglicht Herstellern Sicherheitsaussage mit unabhängigem Zertifikat

„Das neue Zertifizierungsprogramm ist eine wichtige Neuerung im Angebot des BSI für mehr Cyber-Sicherheit in Deutschland.“ Die BSZ ermögliche es Herstellern, die Sicherheitsaussage ihres Produktes durch ein unabhängiges Zertifikat bestätigen zu lassen.
Das Zertifizierungsschema verfolge einen risikobasierten Ansatz. Die Sicherheitsleistungen des IT-Produkts würden dabei innerhalb eines festen Zeitrahmens mittels Konformitäts- und Penetrationstests auf ihre Sicherheitsleistungen und ihre Widerstandsfähigkeit gegen Angriffe geprüft.

BSZ klar strukturiert und mit überschaubarem Dokumentationsaufwand verbunden

Das gesamte Verfahren sei klar strukturiert und mit einem überschaubaren Dokumentationsaufwand verbunden. So würden die Produktzertifizierungen nach BSZ für die Hersteller gut planbar und mit moderaten Kosten umsetzbar sein. Für Anwender werde zudem gewährleistet, „dass der Hersteller das Produkt über einen definierten Zeitraum von in der Regel zwei Jahren durch Sicherheitsupdates auf dem neuesten Stand hält“.
Das Zertifikat sei mit einer eindeutigen und verständlichen Darstellung der Sicherheitseigenschaften sowie einer belastbaren Aussage über die Widerstandsfähigkeit des zertifizierten Produkts verbunden.

BSZ-Schema bereits erfolgreich in Pilotphase erprobt

Das BSZ-Schema sei erfolgreich in einer Pilotphase erprobt worden. „In dieser konnte nicht nur schon das erste BSZ-Zertifikat für ein IT-Produkt vergeben werden, sondern es konnten auch die ersten Prüfstellen ihre Eignung nachweisen.“ So stehen laut BSI zum Programmstart bereits drei für die BSZ anerkannte Prüfstellen bereit:

• TÜV Informationstechnik GmbH, Prüflabor für IT-Qualität, Standort Essen,
• OpenSource Security GmbH, IT-Sicherheitslabor, Standort Steinfurt und
• SRC Security Research & Consulting GmbH, Standort Bonn.

Prüfstellen können sich im Rahmen eines Erstverfahrens für die BSZ anerkennen lassen

Weitere Prüfstellen könnten sich ab dem Start des Programms im Rahmen eines Erstverfahrens ebenfalls für die BSZ anerkennen lassen. Eine Voraussetzung für die Anerkennung als BSZ-Prüfstelle sei die Umsetzung und Aufrechterhaltung der Norm DIN EN ISO/IEC 17025:2018. Die BSZ schaffe ein hohes Niveau an Vertrauen („CSA-high“) in die Sicherheitsaussagen und ergänze damit das schon bestehende Portfolio des BSI mit der Zertifizierung nach „Common Criteria“ und der Zertifizierung nach Technischen Richtlinien.
Das BSZ-Schema sei zur französischen „Certification de Sécurité de Premier Niveau“ (CSPN) kompatibel, eine gegenseitige Anerkennung zwischen Deutschland und Frankreich in Vorbereitung. Die Kompatibilität zum „Fixed-Time“-Ansatz (FIT CEM/prEN 17640) bilde zudem eine Basis für die Integration auf europäischer Ebene in zukünftige Schemata nach der Verordnung (EU) 2019/881, bekannt als „Cyber Security Act“ (CSA).

Weitere Informationen zum Thema:

datensicherheit.de, 07.09.2021
Branchenlagebild Automotive des BSI vorgestellt

Bundesamt für Sicherheit in der Informationstechnik
Beschleunigte Sicherheitszertifizierung

Bundesamt für Sicherheit in der Informationstechnik
Der Wert der Informationssicherheit: Zertifizierung und Anerkennung durch das BSI

Bundesamt für Sicherheit in der Informationstechnik, 21.06.2021
BSI erteilt das erste Zertifikat nach dem Schema „Beschleunigte Sicherheitszertifizierung“

EUR-Lex, 17.04.2019
Verordnung (EU) 2019/881 des Europäischen Parlaments und des Rates vom 17. April 2019 über die ENISA (Agentur der Europäischen Union für Cybersicherheit) und über die Zertifizierung der Cybersicherheit von Informations- und Kommunikationstechnik…

[datensicherheit.de, 19.05.2019] In einer aktuellen Meldung betont das Bundesamt für Sicherheit in der Informationstechnik (BSI), dass viele Unternehmen inzwischen zu der Erkenntnis gelangt seien, „dass Informationssicherheit eine notwendige Voraussetzung dafür ist, die Vorteile der Digitalisierung möglichst gewinnbringend nutzen zu können“. Schwer täten sich viele Anwender jedoch damit, entsprechende IT-Sicherheitsmaßnahmen und -prozesse zu planen und strukturiert umzusetzen. Viele Unternehmen und Behörden benötigten daher qualifizierte Beratungsleistungen für ihre Sicherheitsprozesse. Das BSI reagiert demnach auf diesen Bedarf und bietet ab sofort eine neue Personenzertifizierung zum „IT-Grundschutz“-Berater an.

Wichtiger Beitrag für Widerstandsfähigkeit der deutschen Wirtschaft

„Viele Unternehmen und Behörden holen sich heute zu Fragen der Informationssicherheit externe Unterstützung. Das BSI als nationale Cyber-Sicherheitsbehörde setzt mit dem neuen Zertifizierungsangebot den Standard für ein einheitlich hohes Niveau in der Ausbildung der Experten“, erläutert hierzu BSI-Präsident Arne Schönbohm.
Diese könnten die Empfehlungen und Maßnahmen aus dem „IT-Grundschutz“ fundiert und kompetent in der Praxis weitergeben. Jeder einzelne „IT-Grundschutz“-Berater könne damit künftig einen wichtigen Beitrag für die „Widerstandsfähigkeit der deutschen Wirtschaft sowie der öffentlichen Verwaltung im Bereich der Informationssicherheit“ leisten.

Zertifizierungsangebot basiert auf zweistufigem Schulungskonzept

Das neue Zertifizierungsangebot basiert laut BSI auf einem zweistufigen Schulungskonzept. Im ersten Schritt könne der Nachweis als „IT-Grundschutz“-Praktiker abgelegt werden. Nach einer Aufbauschulung erfolge dann die Personenzertifizierung zum„IT-Grundschutz“-Berater.
„IT-Grundschutz“-Berater könnten Behörden und Unternehmen zum Beispiel bei der Entwicklung von Sicherheitskonzepten oder bei der Einführung eines Managementsystems zur Informationssicherheit (ISMS) unterstützen. Im operativen Tagesgeschäft könnten sie mit den zuständigen Mitarbeitern der Institution auf Basis des „IT-Grundschutzes“ Maßnahmen definieren und im Betrieb umsetzen.

Informationen beim „16. Deutschen IT-Sicherheitskongress“

Zertifizierte „IT-Grundschutz“-Berater könnten zudem dabei helfen, ein „ISO 27001“-Audit auf Basis von „IT-Grundschutz“ vorzubereiten. Das BSI arbeitet nach eigenen Angaben mit Schulungsanbietern zusammen, die interessierten Anwendern künftig Schulungen zum „IT-Grundschutz“-Praktiker und „IT-Grundschutz“-Berater anbieten können.
Das BSI stelle dafür ein Curriculum zur Verfügung, die Prüfungen zum IT-Grundschutz-Berater führe das BSI durch. Informationen zur neuen Personenzertifizierung zum „IT-Grundschutz“-Berater biete das BSI auch im Rahmen des „16. Deutschen IT-Sicherheitskongresses“ vom 21. bis 23. Mai 2019 in Bonn an.

IT-Grundschutz: Bewährtes Verfahren, um Niveau der Informationssicherheit zu erhöhen

Der „IT-Grundschutz“ des BSI sei ein bewährtes Verfahren, um das Niveau der Informationssicherheit in Behörden und Unternehmen jeder Größenordnung zu erhöhen. Die Angebote des „IT-Grundschutzes“ gelten laut BSI „in Verwaltung und Wirtschaft als Maßstab, wenn es um die Absicherung von Informationen und den Aufbau eines Managementsystems für Informationssicherheit (ISMS) geht“.
Ein systematisches Vorgehen ermögliche es, „notwendige Sicherheitsmaßnahmen zu identifizieren und umzusetzen“. Die BSI-Standards lieferten hierzu bewährte Vorgehensweisen, das „IT-Grundschutz“-Kompendium in den „IT-Grundschutz“-Bausteinen konkrete Anforderungen.

Weitere Informationen zum Thema:

Bundesamt für Sicherheit in der Informationstechnik
IT-Grundschutz / Personenzertifizierung zum IT-Grundschutz-Berater

Bundesamt für Sicherheit in der Informationstechnik
Veranstaltungen / 16. Deutscher IT-Sicherheitskongress

datensicherheit.de, 15.05.2019
Windows-Schwachstelle: BSI warnt vor möglichen wurmartigen Angriffen

datensicherheit.de, 24.04.2019
Ransomware: BSI warnt vor gezielten Angriffen auf Unternehmen

datensicherheit.de, 05.01.2019
BSI kommentiert unbefugte Veröffentlichung gestohlener Daten und Dokumente

[datensicherheit.de, 11.12.2018] Steffen Teske, perseus-Geschäftsführer, nimmt Stellung zum Entschluss der EU, ihre Cyber-Sicherheitsagentur, die European Network and Information Security Agency (ENISA) zu stärken.

Rahmen für Sicherheit vernetzter Endgeräte gesetzt

„Wir begrüßen die geplante Einführung einer Zertifizierung von Cyber-Sicherheit in der EU“, sagt Teske. Mit diesem Schritt werde ein Rahmen für die Sicherheit vernetzter Endgeräte, für das Internet der Dinge (IoT) sowie für Kritische Infrastrukturen (Kritis) geschaffen.
Wichtig hierbei sei die inhaltliche Ausgestaltung der Zertifizierung, um einen dauerhaften Schutz vor Sicherheitsrisiken durch IT-Endgeräte sicherzustellen.

„Faktor Mensch“ auch weiterhin größtes Risiko für IT-Sicherheit

Der „Faktor Mensch“ bleibe auch weiterhin das größte Risiko in der IT-Sicherheit. Eine permanente Sensibilisierung von Mitarbeitern für Cyber-Risiken müsse zum festen Bestandteil der Unternehmens-DNA gehören.
Angriffe, wie die durch den aktuell grassierenden Trojaner „Emotet“, hätten bereits Kritische Infrastrukturen getroffen. Infektionen mit diesem Trojaner seien in der Regel auf menschliches Versagen (Phishing) und mangelnde Cyber-Hygiene (Patch Management) zurückzuführen.
„Wirtschafts- und Arbeitgeberverbände sowie Berufsinnungen müssen auch zukünftig für Aufmerksamkeit und Sensibilität beim Thema Cyber-Sicherheit werben“, fordert Teske.

Weitere Informationen zum Thema:

EUROPEAN COMMISSION, 10.12.2018
EU negotiators agree on strengthening Europe’s cybersecurity

datensicherheit.de, 23.09.2015
ENISA veröffentlicht „Cyber Europe 2014 After Action Report“

[datensicherheit.de, 29.08.2018] Die CyberArk-Lösung Privileged Access Security ist ab sofort SAP-zertifiziert. Unternehmen sollen damit die Sicherheit in SAP-Umgebungen, einschließlich SAP-ERP-Systemen, entscheidend erhöhen können. Die Lösung schützt nach Angaben des Unternehmens vor Risiken, die mit privilegierten Zugriffen verbunden sind, und vor der Kompromittierung von Zugangsdaten.

Mehr als 90 Prozent der Global-2000-Unternehmen nutzen SAP-Anwendungen. Die privilegierten Zugangsdaten zu den SAP-Applikationen und Systemen sind äußerst attraktive Ziele für Angreifer, da sie einen Zugriff auf kritische Unternehmensdaten ermöglichen. Mit der Privileged Access Security, die nun eine SAP-Zertifizierung für die Integration mit der Technologieplattform SAP NetWeaver erhalten hat, können Unternehmen diese Daten zuverlässig vor externen Angreifern und arglistigen Insidern schützen.

Die Zertifizierung stellt eine entscheidende Erweiterung der bereits existierenden  SAP-Integrationen von CyberArk dar, die für Unternehmen auf dem CyberArk Marketplace verfügbar sind. SAP ist zudem der C3 Alliance, CyberArks globalem Technologie-Partnerprogramm, beigetreten, was die Wichtigkeit der Privileged Access Security in SAP-Umgebungen unterstreicht.

Die Funktionen im Überblick:

• Verwaltung und Sicherung von SAP-Credentials: Unternehmen können die gesamte Sicherheit und operative Effizienz in SAP-Umgebungen verbessern, indem Accounts in CyberArks verschlüsseltes, zentrales Repository übernommen werden. Zudem lässt sich die Passwort-Rotation automatisieren und eine mehrstufige Sicherheitsüberwachung für privilegierte Zugriffe über den gesamten SAP-Stack hinweg realisieren – vom Applikationslayer bis zu Datenbanken, Betriebssystem und Servern.
• Reduzierung der Sicherheitsrisiken privilegierter Zugriffe: Unternehmen können verdächtige Aktivitäten schnell aufspüren und stoppen, indem die Tätigkeiten privilegierter SAP-Anwender überwacht werden. Die CyberArk-Lösung ergänzt die SAP-Sicherheitskontrollen um die Verwaltung, den Schutz und die Überwachung privilegierter Accounts. Sie ermöglicht zudem eine Reduzierung aller mit privilegierten Zugriffen und Aktivitäten verbundenen Risiken im gesamten Unternehmen – von SAP-Lösungen bis zu anderen kritischen Applikationen und Infrastrukturen.
• Erfüllung von Compliance-Anforderungen: Unternehmen können mit einem kompletten Überblick zu privilegierten Zugriffen und Aktivitäten in SAP leicht Compliance-Nachweise hinsichtlich interner Sicherheitsrichtlinien und externer Regularien erbringen – einschließlich DSGVO, PCI-DSS oder SOX.

„Mit der Zertifizierung hat die CyberArk-Lösung Privileged Access Security nun das offizielle Gütesiegel von SAP erhalten. SAP-Anwender haben damit die Gewissheit, dass die hohen Anforderungen von SAP erfüllt sind“, erklärt Michael Kleist, Regional Director DACH bei CyberArk in Düsseldorf. „Mit der innovativen, leistungsstarken und hochskalierbaren CyberArk-Lösung können Unternehmen das vorhandene Risiko- und Compliance-Management in SAP-Umgebungen um die Privileged Access Security und damit um einen extrem kritischen Layer der IT-Sicherheit erweitern, und zwar von der Infrastruktur- über die Middleware- bis hin zur Applikationsebene von einer zentralen Stelle aus – eine wichtige Ergänzung zu vorhandenen SAP-Lösungen im Bereich des Rollen- und Rechtemanagements.“

Weitere Informationen tum Thema:

CyberArk
Solution Brief: CyberArk für SAP-Umgebungen

CyberArk
White Paper: Verbesserung der SAP-Sicherheit mit der Privileged-Access-Security-Lösung von CyberArk

datensicherheit.de, 11.08.2018
Kostenloses Discovery-Tool zum Aufspüren privilegierter Konten

datensicherheit.de, 26.09.2017
Häufig von Unternehmen unterschätzt: Privilegierte Zugriffsrechte als Sicherheitsrisiko

datensicherheit.de, 29.08.2017
Privilegierte Benutzerkonten ins Visier von Hackern

datensicherheit.de, 07.09.2016
IT-Sicherheit im Gesundheitswesen: CyberArk sieht akuten Handlungsbedarf

Herausforderungen im Bereich Cybersicherheit nehmen in Europa branchenübergreifend zu

[datensicherheit.de, 17.08.2018] Die Herausforderungen im Bereich Cybersecurity nehmen auch in Europa branchenübergreifend zu – regionale Lösungen sind notwendig. Um diesem Bedarf gerecht zu werden und die europäische Industrie zu unterstützen, plant UL, ein unabhängiges und weltweit tätiges Unternehmen für Produktsicherheit und Zertifizierung, zur Eröffnung seines neuen Cybersecurity-Labors in Frankfurt ein Cybersecurity-Forum.

Bild: UL

Einblick in ein UL-Prüflabor

Im Fokus der Tagung: Neue Bedrohungen der Cybersicherheit

Die Tagung bringt eine Reihe von Akteuren der Branche zusammen, darunter Hersteller, Experten aus der Forschung und Gäste aus der Politik. Im Mittelpunkt der Tagesordnung stehen neue Bedrohungen der Cybersicherheit, etwa Side-Channel-Angriffe, bekannt durch die Schwachstellen „Meltdown“ und „Spectre“. Darüber hinaus gibt es Management-Briefings mit Demos und Diskussionen. Ergänzend zum Forum und den Veranstaltungen zur Laboreröffnung haben die Teilnehmer die Möglichkeit, sich zu vernetzen und Informationen auszutauschen.

„Es ist absolut notwendig, dass wir uns als globale Organisation für Sicherheitsforschung mit dem Thema Cybersecurity in der vernetzten Welt befassen“, sagte Ingo M. Rübenach, Vice President Central, East and South Europe Region. „Unser Ziel ist es, unseren Kunden dabei zu helfen, die mit modernen Technologien, der Digitalisierung und der Cybersicherheit verbundenen Risiken erfolgreich zu managen. Dadurch unterstützen wir sie dabei, ihre Reputation im globalen Kontext zu schützen.“

Die IECEE-Organisation (IEC System for Conformity Assessment Schemes for Electrotechnical Equipment and Components) hat UL offiziell als Zertifizierungsstelle mit eigenen Prüflabors für Industrie-4.0-Standards der IEC 62443 Familie anerkannt. Das Frankfurter Cybersecurity-Prüflabor von UL erbringt in diesem Rahmen Cybersecurity-Services für Europa.

Neben der Anerkennung zu IEC 62443-2-4 ist UL weltweit die erste Zertifizierungsstelle, die seitens IECEE für die Standards IEC 62443-3-3 und IEC 62443-4-1 anerkannt wurde. UL-Kunden können nun sowohl die Vorteile der einzigartigen, weltweit bewährten Prüf- und Zertifizierungsdienste von UL als auch der UL Advisory Services für Cybersecurity nutzen. Sie erreichen damit einen effizienten Marktzugang in Deutschland, Europa und der ganzen Welt.

Die neue Cybersecurity-Einrichtung von UL in Frankfurt bietet ein breites Portfolio an Dienstleistungen, basierend auf IEC 62443 oder anderen Cybersecurity-Standards, seien es horizontale oder Industriesektor spezifische vertikale.

Weitere Informationen zum Thema:

UL
Cybersecurity Forum and Laboratory Grand Opening (Anmeldung zur Eröffnung und Tagung)

datensicherheit.de, 17.08.2018
Fertigungsindustrie: Cybersicherheit als zentrale Herausforderung

Palo Alto Networks
Cybersicherheit für Fertigungsumgebungen

datensicherheit.de, 03.08.2018
IT trifft OT – Cyberangriffe auf industrielle Umgebungen

datensicherheit.de, 30.07.2018
Studie: Unternehmen vernachlässigen IoT-Sicherheit

datensicherheit.de, 25.07.2018
SANS-Studie: Cybersicherheit im IIoT bedroht

Plädoyer für die Umsetzung ganzheitlicher Cyber-Sicherheitsstrategien von Catherine Bischofberger, IEC

[datensicherheit.de, 04.07.2018] In einem Gastbeitrag geht Catherine Bischofberger, Autorin und Technische Kommunikationsbeauftragte bei der IEC, der Internationalen Normen- und Konformitätsbewertungsstelle für alle Bereiche der Elektrotechnik mit Sitz in Genf, der brennenden Frage nach, wie die „Kritische Infrastruktur von morgen“ geschützt werden kann. Sie setzt hierzu auf spezifische internationale Standards in Kombination mit einem dedizierten und weltweiten Zertifizierungsprogramm.

Ballungsgebiete im Visier hochentwickelte Cyber-Waffen

Man möge sich hierzu eine Stadt von der Größe Londons vorstellen, welche zwangsläufig ins Chaos stürzt, wenn der Öffentliche Personennahverkehr (ÖPNV) zum Erliegen kommt – wenn dann noch die Beleuchtung ausgeht…
Dies sei nicht mehr nur der Stoff von Alpträumen oder das Szenario eines Katastrophenfilms, vielmehr aber eine „reale Möglichkeit, die jeden Tag wahrscheinlicher wird“. Denn Einrichtungen der sogenannten Kritischen Infrastruktur, ob konventionelle Stromlieferanten oder Kernkraftwerke, Eisenbahnfernverkehr oder lokale Untergrundbahnen bzw. andere Formen von
ÖPNV, werden zunehmend Ziele von Cyber-Angriffen.
Hochentwickelte Cyber-Waffen seien bereits entwickelt worden – einschließlich Malware, die den Betrieb von industriellen Kontrollsystemen stören soll. Der zunehmende Einsatz vernetzter Geräte im industriellen Umfeld mache Cyber-Angriffe wahrscheinlicher. Laut des Berichts „ Threat Landscape for Industrial Automation Systems“, veröffentlicht von KASPERSKY lab, seien 18.000 verschiedene Malware-Modifikationen für industrielle Automatisierungssysteme in den ersten sechs Monaten des Jahres 2017 entdeckt worden.

Gesamte Wertschöpfungskette jetzt und zukünftig schützen!

Unter „Machine-to-Machine“-Kommunikation sei eine Reihe von Technologien zu verstehen, die es vernetzten Geräten ermöglichen zu interoperieren, Informationen austauschen oder Aktionen durchführen – oft drahtlos und ohne manuellen Eingriff von Menschen. Sensoren seien in eine wachsenden Anzahl von Geräten eingebettet, um mit deren Hilfe die Automatisierung und Verwaltung von Prozessleitsystemen einschließlich der Übertragung und Verteilung von Elektrizität zu ermöglichen. Während sie unbestreitbare Vorteile in Bezug auf Kosten und Wartung böten, seien sie auch zunehmend anfällig für Hacker-Angriffe.
Cyber-Sicherheit sei daher eines der Hauptanliegen derer, die moderne Fertigungsanlagen sowie jede Art von Kritischer Infrastruktur verwalten. Eine der wenigen Möglichkeiten, diese Einrichtungen jetzt und in Zukunft zu sichern, seien standardisierte Schutzmaßnahmen.
Effiziente Sicherheitsprozesse und -verfahren deckten die gesamte Wertschöpfungskette ab, von den Herstellern von Automatisierungstechnik für Maschinen- und Anlagenbauer, über Installateure bis hin zu den Betreibern. Schutzmaßnahmen sollten nicht nur aktuellen Sicherheitslücken begegnen, sondern auch präventiv ausgerichtet sein, um auf zukünftige vorbereitet zu sein.
Institutionen müssten die Risiken verstehen und mindern sowie sichere Technologien installieren, um die Widerstandsfähigkeit gegenüber Cyber-Angriffen zu erhöhen. „Dies bedeutet die Umsetzung einer ganzheitlichen Cyber-Sicherheitsstrategie auf organisatorischer, prozessualer und technischer Ebene“, betont Bischofberger. Eine solche Strategie müsse umfassende und standardisierte Maßnahmen, Prozesse und technische Mittel sowie die Vorbereitung von Menschen umfassen. Daneben müsse es aber auch den Rückgriff auf ein international anerkanntes Zertifizierungssystem bieten.

Grundlegende Reihe von Standards für Cyber-Sicherheit

Die IEC habe kürzlich die Richtlinien IEC 62443-4-1-2018 veröffentlicht, die neueste in einer Reihe entscheidender Veröffentlichungen, welche „präzise Richtlinien und Spezifikationen für die Cyber-Sicherheit enthält, die für eine Vielzahl von Branchen und Kritischen Infrastruktur-Umgebungen anwendbar sind“, so Bischofberger. Die IEC 62443-Serie empfiehlt demnach, dass Sicherheit ein integraler Bestandteil des Entwicklungsprozesses sein sollte, wobei Sicherheitsfunktionen bereits in den Maschinen und Systemen zu implementieren sind.
Diese horizontalen Standards fänden auch im Verkehrssektor Anwendung: Eine Reihe von Richtlinien zur Cyber-Sicherheit an Bord von Schiffen, von der Internationalen Seeschiffahrtsorganisation (IMO) verabschiedet, nähmen Bezug auf die IEC 62243. Die „Shift2Rail“, eine Initiative, die die wichtigsten europäischen Eisenbahnakteure zusammenbringt, zielt laut Bischofberger darauf ab zu definieren, wie verschiedene Aspekte der Cyber-Sicherheit auf den Eisenbahnsektor angewendet werden sollten. Sie habe anwendbare Standards bewertet und die IEC 62443-Publikationen ausgewählt.
Die IEC 62443-Standards seien außerdem mit dem Cyber-Sicherheitsrahmen des US-amerikanischen National Institute of Standards and Technology (NIST) kompatibel.

International anerkannte Zertifizierung als Basis der Cyber-Sicherheit

Bischofberger: „Ein weiterer Segen ist, dass die 62443-Standards ihr eigenes Zertifizierungsprogramm haben. Die IEC ist die einzige Organisation auf der Welt, die eine internationale und standardisierte Form der Zertifizierung anbietet, die sich mit Cyber-Sicherheit befasst.“ Diese werde von IECEE, dem IEC-System für Konformitätsbewertungssysteme für elektrotechnische Geräte und Komponenten, geliefert. „Das Industrie-Cyber-Sicherheitsprogramm IECEE testet und zertifiziert Cyber-Sicherheit in der Industrieautomation“, so Bischofberger.
Die IEC arbeite auch mit der Wirtschaftskommission der Vereinten Nationen für Europa (UNECE) zusammen, um ein gemeinsames Regelungsdokument mit den Schwerpunkten Konformitätsbewertung und Cyber-Sicherheit zu erstellen. Ziel dieses Dokuments sei die Bereitstellung einer Methodik für einen umfassenden Systemansatz zur Konformitätsbewertung, die auf jedes technische System im Bereich der Cyber-Sicherheit angewendet werden kann.
„Cyber-Schutz auf kosteneffektive Weise zu erreichen, resultiert aus der Anwendung des richtigen Schutzes an den entsprechenden Stellen im System, um das Risiko und die Folgen eines Cyber-Angriffs zu begrenzen. Dazu gehört die Modellierung des Systems, die Durchführung einer Risikoanalyse, die Auswahl der richtigen Sicherheitsanforderungen, die Teil der IEC-Normen sind, und die Anwendung der entsprechenden Konformitätsbewertung auf die Anforderungen gemäß der Risikoanalyse. Wir müssen die Komponenten des Systems, die Kompetenzen der Personen, die es entwerfen, betreiben und warten, sowie die Prozesse und Verfahren, die für seine Ausführung verwendet werden, beurteilen. Dieser ganzheitliche Ansatz zur Konformitätsbewertung ist unerlässlich, um Anlagen, insbesondere Kritische Infrastrukturen, vor Cyber-Kriminalität zu schützen“, erläutert David Hanlon, Sekretär des „IEC Conformity Assessment Board“.
Bischofberger ergänzt abschließend: „In einer Welt, in der Cyber-Bedrohungen allgegenwärtig sind, ist es eine der besten Möglichkeiten, den langfristigen Cyber-Schutz Kritischer Infrastrukturen zu gewährleisten, indem Sie in der Lage sind, spezifische internationale Standards in Kombination mit einem dedizierten, weltweiten Zertifizierungsprogramm anzuwenden.“

Foto: IEC – International Electrotechnical Commission, Genf (CH)

Catherine Bischofberger: Internationale Standards in Kombination mit weltweitem Zertifizierungsprogramm!

Weitere Informationen zum Thema:

KASPERSKY lab – ICS CERT
Threat Landscape for Industrial Automation Systems in H1 2017

IEC
ISO/IEC JTC 1/SC 27 / IT security techniques

datensicherheit.de, 25.06.2018
Angriffe auf Cyber-Sicherheit bei einem Drittel der Industriebetriebe

datensicherheit.de, 09.07.2015
ISO 27034-basiertes Certified Secure Software Development & Testing

[datensicherheit.de, 15.08.2017] Die nach eigenen Angaben weltweit größte gemeinnützige Vereinigung von zertifizierten Cyber-Sicherheitsexperten, (ISC)², hat gemeldet, dass seine Mitgliederanzahl auf weltweit über 125.000 zertifizierte Cyber-Sicherheitsprofis gestiegen ist. Vor dem Hintergrund des exponentiellen Wachstums der Nachfrage nach qualifizierten Sicherheitsexperten ermöglichten die (ISC)²-Zertifizierungs- und Weiterbildungsprogramme Cyber- und IT-Sicherheitsanwendern, ihre Kompetenz zu beweisen, ihre Karriere voranzutreiben und zu einer sichereren Gesellschaft beizutragen.

Innerhalb der IT-Sicherheitsbranche fehlen 1,8 Millionen Fachkräfte

„Wir sind extrem stolz darauf, den Meilenstein von 125.000 Mitgliedern erreicht zu haben. Allerdings wissen wir auch, dass uns noch viel Arbeit bevorsteht“, erklärt (ISC)²-Geschäftsführer und CISSP David Shearer.
„Technologie allein wird unsere Sicherheitsherausforderungen nicht bewältigen können. Zusätzlich werden wir bis 2022 einen weltweiten Arbeitskräftemangel erleben“, so seine Prognose. Innerhalb der IT-Sicherheitsbranche würden 1,8 Millionen Fachkräfte fehlen.
Shearer: „In Zusammenarbeit mit unseren Mitgliedern, Regierungsbehörden, akademischen Einrichtungen und anderen Organisationen auf der ganzen Welt liegt die Aufgabe der (ISC)² darin, die Informationssicherheitsfachkräfte- und IT-Anwender anzulocken, auszubilden und zu trainieren, die wir benötigen, um den größten Sicherheitsherausforderungen Herr zu werden.“

(ISC)²-Zertifizierungen weltweit Nachweis für IT-Sicherheitskompetenz

„125.000 Mitglieder ist eine sehr große Zahl für eine Community aus engagierten Menschen, die die Messlatte stetig durch Lernen, Forschen, Unterrichten und Austauschen ihrer Kenntnisse und Fähigkeiten erhöhen, um unsere Cyber-Welt sicherer zu machen“, unterstreicht Emmanuel Nicaise, CISSP und Präsident des (ISC)²-Benelux-Chapters.
Ein (ISC)²-Mitglied zu werden, bedeutet demnach mehr als eine Prüfung abzulegen – es sei ein Bekenntnis zu einer bestimmten Ethik und einer kontinuierlichen Weiterentwicklung der Fähigkeiten und des Wissens im eigenen Bereich.
(ISC)²-Zertifizierungen seien weltweit als Nachweis für die Kompetenz von IT-Sicherheitsexperten anerkannt, die außerdem zu einem Karriere-Sprung und Möglichkeiten zur Weiterentwicklung verhelfen würden. Jeden Tag setzten Verbandsmitglieder auf der ganzen Welt Kenntnisse ein, die sie aus ihren (ISC)²-Zertifizierungen gewonnen hätten, um zu allen Aspekten der Cyber-, Informations-, Software-, IT- und Infrastruktursicherheit beizutragen.

Regionale und globale Kooperation

„Ich schloss mich (ISC)² im Jahr 2010 während meiner CISSP-Zertifizierung an und kann nun rückblickend sagen, dass dies einen der wichtigsten Meilensteine meiner Karriere darstellt“, berichtet Dr. Martin Simka, CISSP, CEE bei Showmax und Sekretär des polnischen (ISC)²-Chapters.
„Die Einrichtung hilft mir, zu verfolgen, was innerhalb der weltweiten Sicherheitsgemeinschaft vor sich geht. Andererseits besitze ich dank der lokalen monatlichen Chapter-Treffen Möglichkeiten, anderen Kollegen aus der Industrie zu begegnen und Präsentationen wie Live-Diskussionen zu sicherheitsverwandten Themen beizuwohnen“, so Simka. Als lokale und globale Gemeinschaft habe (ISC)² einen erheblichen Einfluss auf die kontinuierliche persönliche Entwicklung von zertifizierten IT-Security-Profis.
Mehr denn je müsse die Cyber-Sicherheitsgemeinschaft zusammenkommen und neue Lösungen und Strategien entwickeln, um Organisationen auf der ganzen Welt zu helfen, Daten in einer zunehmend gefährlichen Online-Welt zu schützen, fügt Shearer hinzu: „Genau das wird nächsten Monat im Rahmen unseres jährlichen ,North America Security Congress‘ geschehen. Wir werden die besten und hellsten Köpfe der Cyber-Sicherheit zusammenbringen, um die Fragen, Bedrohungen und andere Herausforderungen, denen die Cyber-Sicherheitsbranche gegenübersteht, zu erforschen. Zusätzlich werden sie gemeinsam nach kreativen, handlungsfähigen Lösungen suchen, die unsere Mitglieder anschließend im Arbeitsalltag zur besseren Absicherung ihrer Daten einsetzen können.“

Weitere Informationen zum Thema:

(ISC)²
Join Us in Inspiring a Safe and Secure Cyber World

(ISC)²
SECURITY CONGRESS 2017

datensicherheit.de, 17.01.2017
(ISC)² startet Bewerbungsfrist für Women’s Information Security-Stipendien 2017

datensicherheit.de, 24.10.2016
(ISC)² Certified Cyber Forensics Professional (CCFP) – Ein Erfahrungsbericht

[datensicherheit.de, 11.05.2017] Die Bundesnetzagentur hat 2015 gemäß dem Energiewirtschaftsgesetz (EnWG) den „IT-Sicherheitskatalog“ veröffentlicht, um die Sicherstellung der Energieversorgung zu gewährleisten. Netzbetreiber seien daher verpflichtet, bis 31. Januar 2018 ein Informationssicherheits-Managementsystem (ISMS) einzuführen und dieses zertifizieren zu lassen, betont der TÜV-SÜD-Experte Alexander Häußler.

Zunehmende Anforderungen an sichere und zuverlässige Netzsteuerung

Im Zuge der „Energiewende“ und der zunehmend dezentralen Stromerzeugung stiegen die Anforderungen an eine sichere und zuverlässige Netzsteuerung. Diese sei aufgrund der Digitalisierung der Netzleit- und Messtechnik in hohem Maße von einer intakten Informations- und Kommunikationstechnologie (IKT) abhängig.
Um die Versorgungssicherheit zu gewährleisten, habe die Bundesnetzagentur (BNetzA) nach § 11 Absatz 1a EnWG daher den „IT-Sicherheitskatalog“ publiziert. Dieser basiere auf den Normen DIN ISO/IEC 27001 und DIN ISO/IEC TR 27019 und sei um spezifische Aspekte der Netzsteuerung erweitert worden.
Die in den beiden Normen genannten Maßnahmen seien zwar nicht zwingend vollständig umzusetzen, aber im Rahmen des Risikomanagements vollständig auf ihre Relevanz zu prüfen.

ISMS-Einführung und dessen Zertifizierung

Eine Kernforderung des Sicherheitskatalogs sei die ISMS-Einführung und dessen Zertifizierung durch eine zugelassene unabhängige Stelle, wie z.B. TÜV SÜD. Denn um ein angemessenes Sicherheitsniveau für IKT-Systeme gewährleisten zu können und somit einen sicheren Netzbetrieb, reiche die Umsetzung von Einzelmaßnahmen wie Antivirensoftware oder Firewalls nicht aus. Es sei ein „ganzheitlicher Ansatz“ nötig, der kontinuierlich aufLeistungsfähigkeit und Wirksamkeit zu prüfen und bei Bedarf anzupassen sei, erläutert Häußler.
Die Informationssicherheit müsse daher als regelmäßiger Prozess fest in die Organisationsstrukturen eingebunden werden, etwa durch Anwendung des „Plan-Do-Check-Act“-Modells (PDCA-Modell). Wichtig sei hierbei, dass Leitlinien, Ziele und Prozesse festgelegt, Maßnahmen zu ihrer Umsetzung durchgeführt und die Entwicklungen überprüft würden.
Ein starker Fokus liege bei einem ISMS auf der Risikoanalyse und der Risikobehandlung. Durch interne Audits lässt sich laut Häußler feststellen, welche Korrektur- oder Vorbeugungsmaßnahmen nötig sind, um das ISMS ständig zu verbessern und nachhaltig sicherzustellen, dass der Betrieb der relevanten Telekommunikations- und Datenverarbeitungssysteme ordnungsgemäß erfolgt.

Akkreditierte Zertifizierungsstellen erforderlich

Um ein gleichbleibend hohes und vergleichbares Qualitätsniveau der Zertifizierungsstellen für den „IT-Sicherheitskatalog“ gewährleisten zu können, fordere die Bundesnetzagentur eine Zertifizierung bei einer von der Deutschen Akkreditierungsstelle (DAkkS) akkreditierten Zertifizierungsstelle.
Dafür müssten gewisse Anforderungen erfüllt werden, welche im Konformitätsbewertungsprogramm festgehalten seien. So müsse etwa für einen Informationsaustausch unter den beschäftigten Auditoren gesorgt werden oder alle im Rahmen der Risikoeinschätzung mindestens als „hoch“ eingestuften Anwendungen und Systeme auditiert werden. Außerdem müssten die Auditoren eine von der Bundesnetzagentur anerkannte Schulung zu den Grundlagen der leitungsgebundenen Energieversorgung mit Strom und Gas erfolgreich absolvieren, so Häußler.

Zertifizierungsverfahren in zwei Stufen

Die Zertifizierung nach dem IT-Sicherheitskatalog erfolge in einem zweistufigen Verfahren.
Häußler: „In der ersten Stufe vergewissert sich der Auditor vor Ort, ob das System grundsätzlich funktioniert und das Unternehmen zertifizierungsfähig ist.“ Dafür werde geprüft, ob der Netzstrukturplan alle Systeme enthält, die Einfluss auf die Netzsteuerung haben. Außerdem werde das Thema Risikoeinschätzung betrachtet und der Frage nachgegangen, wie diese Netzsteuerung aufgesetzt wurde, wie sie funktioniert und ob die Ergebnisse nachvollziehbar sind.
Auch die Maßnahmen, die sogenannten Controls, würden darauf geprüft, ob sie anwendbar sind. Die Prüfung basiere auf den vom Unternehmen vorgelegten Dokumenten wie dem Netzstrukturplan und persönlichen Gesprächen. Zudem würden die grundsätzlichen Managementsystemaspekte wie die Durchführung von internen Audits oder Management-Bewertung betrachtet.
Werde deutlich, dass Aspekte nicht nachvollziehbar oder falsch bewertet sind, müsse der Netzbetreiber nacharbeiten. Über die Ergebnisse des ersten Audits erstelle der Auditor einen bei der Zertifizierungsstelle einzureichenden Bericht. Diese prüfe ebenfalls, ob alle Angaben nachvollziehbar sind, und entscheide, ob das Audit der Stufe 2 folgen kann.
Im Audit der Stufe 2 würden beim Unternehmen vor Ort das Managementsystem an sich, die technischen Systeme und die Maßnahmen mit Prozesscharakter genauer betrachtet. Der Auditor prüfe hierzu die Implementierung der „Controls“. Dafür würden konkrete Beispiele betrachtet. Häußler: „Werden Aspekte gefunden, die nicht zu 100 Prozent den Anforderungen genügen, muss das Unternehmen eine Ursachenanalyse sowie Korrekturen und Korrekturmaßnahmen liefern.“ Erst wenn dies erfolgt sei, könne der Auditor auch für die zweite Stufe einen Bericht erstellen. Dieser werde wiederum bei der Zertifizierungsstelle eingereicht, um über die Vergabe des Zertifikats zu entscheiden.

Weitere Informationen zum Thema:

TÜV SÜD
IT-Sicherheitskatalog

datensicherheit.de, 21.03.2017
Manifest zur IT-Sicherheit auf der CeBIT 2017 an BMI und BMWi überreicht

Kooperation mit dem Bayerischen Landesamt für Datenschutzaufsicht zur Erarbeitung von Audit- und Zertifizierungskonzepten

[datensicherheit.de, 09.01.2017] Die Vorbereitungen für den Start der neuen EU-Datenschutz-Grundverordnung (DS-GVO) laufen bereits auf Hochtouren, denn am 25. Mai 2018 treten die Neuerungen für alle Unternehmen in Europa verpflichtend in Kraft. IT-Sicherheitsexperten der PSW GROUP erarbeiten hierzu nach eigenen Angaben gemeinsam mit „hochkarätigen Netzwerkpartnern“ Audit- und Zertifizierungskonzepte.

Zunehmender Dokumentationsaufwand für Unternehmen

„Unser Ziel ist es, unseren Kunden Möglichkeiten an die Hand zu geben, ihren Workflow an die anstehende EU-Datenschutz-Grundverordnung auszurichten und sie rechtssicher agieren zu lassen“, erläutert Christian Heutger, Geschäftsführer der PSW GROUP.
Die Komplexität der EU-DSGVO verlange nach Experten, welche die Gesetze, aber auch Risiken und Chancen von Daten und Datenschutz kennen.
Sicher sei, so Heutger, dass die DS-GVO „richtig kompliziert“ und der Dokumentationsaufwand für Unternehmen „immens“ steigen werde – nicht zuletzt deshalb, weil Unternehmen künftig „über alles Rechenschaft abzulegen haben“.

Unternehmen in der Bringschuld

„Für die Praxis bedeutet es, dass Unternehmen künftig nach dem ,Belege deine Unschuld‘-Prinzip agieren müssen“, so Heutger. Unternehmen seien grundsätzlich in der „Bringschuld“ – wer seine Schutzmaßnahmen künftig nicht transparent belegen kann, müsse mit „existenzbedrohenden Bußgeldern“ rechnen.
Das gelte auch für Unternehmen, die den Datenschutz ab Mai 2018 wissentlich oder unwissentlich vernachlässigen. Die Verbraucherseite werde „immens gestärkt“. Betroffene könnten immaterielle Schadenersatzansprüche geltend machen, deren Höhe im Ermessen des Gerichts liege. Heutger: „Für Unternehmen bedeutet es im Klartext, dass jeder Datenschutz-Fehler so teuer werden kann, dass die unternehmerische Existenz daran hängt.“

Auch Vorteile für Werbetreibende

Aber nicht nur die Verbraucherrechte würden gestärkt, sondern auch die Möglichkeiten für Unternehmen, Werbung zu machen. So heiße es in der DS-GVO, dass „die Verarbeitung personenbezogener Daten […] zum Zwecke der Direktwerbung als eine einem berechtigten Interesse dienende Verarbeitung betrachtet werden [kann]“ – ein solches „berechtigtes Interesse“ liege vor, wenn Unternehmen Produkte, Waren oder Dienstleistungen bekannter machen und/oder verkaufen möchten, sagt Heutger.
Damit dürften die Möglichkeiten zu werben vielfältiger werden. Allerdings könne ein Verbraucher sein Widerspruchsrecht in Anspruch nehmen. Dann überwiege das „schutzwürdige Interesse“ des Einzelnen – dieses sorge dafür, dass Werbemaßnahmen in jedweder Form unzulässig seien.

Informations-Sicherheits-Analyse empfohlen

„Aufgrund dieser Komplexität und der Tatsache, dass jedes Unternehmen in Europa ganz individuell ist, ist eine Informationssicherheitsanalyse deshalb fast schon Pflicht“, bekräftigt Heutger.
Als Netzwerkpartner des Bayerischen IT-Sicherheitscluster e.V. sei die PSW GROUP bereits jetzt in der Lage, die „ISA+“-Informations-Sicherheits-Analyse anbieten zu können. Diese Analyse sei entwickelt und standardisiert worden, um Bedarf bezüglich der Informationssicherheit in Unternehmen feststellen zu können.
„Als akkreditierter ,ISA+‘-Informations-Sicherheits-Analyse-Berater identifizieren wir Stärken und Schwächen in der IT-Infrastruktur gezielt. Unsere Handlungsempfehlungen zeigen auf, wie Unternehmen ihre Informationssicherheit steigern können.“ Die Analyse tangiere den Datenschutz und inkludiere zahlreiche datenschutzrelevante Punkte, die aufzeigten, inwieweit jedes einzelne Unternehmen bereits fit für die DS-GVO-Ära ist.

© PSW Group

Christian Heutger: Informationssicherheitsanalyse fast schon Pflicht!

Audit- und Zertifizierungskonzepte zur EU-DSGVO

Zudem arbeitet die PSW GROUP nach eigenen Angaben gemeinsam mit anderen Mitgliedern des Vereins, darunter Firmen der IT-Wirtschaft, Hochschulen, Forschungs- sowie Weiterbildungseinrichtungen und Juristen, an Zielen in den Schwerpunktthemen IT-Sicherheit und „Functional Safety“.
Vertreter der PSW GROUP treffen sich demnach zu diesem Zweck derzeit regelmäßig mit dem Bayerischen Landesamt für Datenschutzaufsicht (BayLDA), um Audit- und Zertifizierungskonzepte zur EU-DSGVO zu erarbeiten.

Weitere Informationen zum Thema:

datensicherheit.de, 19.10.2016
EU-DSGVO: Neue EU-Datenschutzregeln ab 2018

[datensicherheit.de, 13.10.2014] Die zentrale Registrierungsstelle und technische Betreibergesellschaft der deutschen Länderdomain .de, DENIC, geht einen weiteren konsequenten Schritt in Richtung nachhaltiger Sicherheit: Das Unternehmen hat am 10. Oktober 2014 sein Informations-Sicherheits-Management-System (ISMS) durch den TÜV Nord nach den normativen Vorgaben der ISO/IEC 27001:2013 in einem Full-Scope-Ansatz zertifizieren lassen. Dieser umfasst sämtliche Aufgaben, Infrastrukturen und Prozesse, die zur Erbringung der Dienstleistungen Domainregistrierung, Namensauflösung und Auskunftsdienste sowie von Infrastrukturdienstleistungen für Betreiber weiterer Namensräume benötigt werden.

„Für die DENIC eG ist Informationssicherheit seit jeher integraler Bestandteil aller Geschäftsprozesse und hat stets einen übergeordneten Stellenwert. Die Zertifizierung nach dem international anerkannten Standard ISO/IEC 27001:2013 unterstreicht nun das hohe Implementierungsniveau unseres ISMS, bei dem aus Sicht der Auditoren überdurchschnittlich viele ‚Good Practices‘ hervorzuheben sind“, stellt DENIC-CEO Dr. Jörg Schweiger fest. „Die regelmäßigen Überwachungsaudits liefern uns und den Mitgliedern der Genossenschaft sowie der Internet Community die Gewissheit, dass unsere Geschäftsprozesse und unsere Informationssicherheit kontinuierlich den hohen Standards entsprechen“, ergänzt Chief Information Security Officer Boban Krsic, der das Informations-Sicherheits-Management-System bei DENIC aufgebaut und mit seinem Team zur Zertifizierungsreife gebracht hat.

Das Zertifizierungsaudit wurde am 10. Oktober 2014 erfolgreich abgeschlossen. Damit attestiert TÜV Nord der DENIC eG ein systematisches und ganzheitliches Vorgehen hinsichtlich der unternehmensweiten Steuerung sicherheitsrelevanter Prozesse, Transparenz und Nachvollziehbarkeit in den Abläufen sowie ein normkonformes Risikomanagement der Informationssicherheit.