(PresseBox) - Seit das Gesetz zur Erhöhung der Sicherheit informationstechnischer Systeme im Juli 2015 in Kraft getreten ist, fragen sich viele Betreiber kritischer Infrastrukturen (KRITIS): Wie können wir unsere Systeme angemessen schützen? Dieser Frage ging die ICS AG in einem Seminar zu diesem Thema mit Teilnehmern aus dem Sektor Transport und Verkehr auf den Grund. In vier Vorträgen wurden die Inhalte sowie deren Auswirkungen und Umsetzung des IT-Sicherheitsgesetzes (ITSiG) beleuchtet.
?Ich bin total begeistert!? So lautete das Fazit von Katrin Schuy, Partner im Alliance Management von VirtualForge nach Abschluss des Seminars. Ihrer Ansicht nach stellten die Vorträge eine ?perfekte Analyse? des Themas dar.
In den Vorträgen wurde deutlich, dass das ITSiG alle KRITIS-Unternehmen betrifft und dass die IT aller Unternehmen gleichsam anfällig für Cyber-Attacken ist. Die Systeme und Architekturen werden durch die voranschreitende Digitalisierung und Entwicklungen wie der Industrie 4.0 und des Internets der Dinge zunehmend komplexer. Erschwerend kommt hinzu, dass die Cyber-Kriminalität in einer Weise organisiert ist, dass jedes Unternehmen sich darauf einstellen muss, dass ?alles was möglich ist, auch irgendwann passiert?, so Dr. Thomas Liedtke, Unit Manager Research & Development bei der ICS AG.
Das ITSiG schreibt die Mindestanforderungen an die IT-Sicherheit von Betreibern kritischer Infrastrukturen fest, bei denen durch ihre besondere Bedeutung für Wirtschaft und Gemeinschaft ein hohes Schadenspotential besteht. Der Gesetzgeber definiert hier neue Pflichten, wie die Benennung einer Kontaktstelle zum Bundesamt für Sicherheit in der Informationstechnik (BSI), eine Meldepflicht von erheblichen IT-Sicherheitsvorfällen und die Erbringung des Nachweises, dass angemessene organisatorische und technische Vorkehrungen zur Vermeidung von Störungen implementiert wurden. Dem IT Risk Management wird per Gesetz der aktuelle Stand der Technik als Maßgabe zugrunde gelegt.
Bei Compliance-Verletzungen drohen Bußgelder bis zu einer Höhe von EUR 50.000. Hinzu kommen weitere, nicht zu unterschätzende Folgen wie der Ausschluss von öffentlichen Ausschreibungen, negative Presseberichterstattung oder die Kosten für interne Untersuchungen. Wer haftet, hängt im Individualfall davon ab, wer wo seine Kontrollpflicht vernachlässigt hat, legt Philip Smitka, Rechtsanwalt mit Schwerpunkt Compliance bei der Wirtschaftskanzlei Noerr dar. Das ITSiG selbst gibt darüber allerdings keine Auskunft. In letzter Konsequenz ist der Vorstand eines Unternehmens dafür verantwortlich, dass die Richtlinien eingehalten werden, da er durch alle Ebenen hindurch sicherstellen muss, dass die Mitarbeiter mit den entsprechenden Vorgaben vertraut sind. ?IT-Sicherheit ist Chefsache?, betonte auch der IT-Security Berater Daniel Ehricht in seinem Vortrag.
Vor dem Hintergrund der gängigen Normen und Gesetze stellt das Compliance Management mittlerweile die Voraussetzung für technische Entwicklungen dar. Für den Anwendungsbereich industrieller Kommunikationsnetze im Bahnsektor kristallisiert sich im Hinblick auf die Einhaltung der anerkannten Regeln der Technik mehr und mehr die Normenreihe IEC 62443 heraus. Eine branchenspezifische Norm existiert bisher nicht. Obwohl der Gesetzgeber verlangt, dass die Erfüllung der gesetzlichen Anforderungen alle zwei Jahre überprüft wird, empfiehlt das BSI eine jährliche Neubewertung, erläutert Martin Hetzer, RAMS Manager bei der ICS AG.
?Safety braucht Security?, betonte Dr. Thomas Liedtke. Dabei ist ein strukturiertes Verständnis des Unterschiedes zwischen Security, also der IT-Sicherheit, und Safety, der Sicherheit von IT Systemen gegenüber Mensch und Umwelt, vonnöten. Vor diesem Hintergrund hat die ICS AG ein Vorgehensmodell entwickelt, das sich auf unterschiedliche Industriedomänen anwenden lässt. Martin Hetzer erklärte die einzelnen Schritte zur Bestimmung bestehender Risiken für Industrieanwendungen. Diese müssen zuverlässige, etablierte und aktuelle Quellen zu Angriffsmustern und Verwundbarkeiten zugrunde legen. Zusammen mit den Vorgaben gängiger Normen führt diese Risikoanalyse zu einer Ableitung spezifischer Anforderungen an Prozess, Organisation und Technik.
In den Vorträgen wurde deutlich, dass KRITIS-Unternehmen sich konkurrierenden Zielen widmen müssen. Sicherheitskritische Verfahren stehen unternehmenskritischen Verfahren, wie beispielsweise dem Bestandsschutz gegenüber, betonte Daniel Ehricht. So kollidiert z.B. die Lebensdauer eines Schienenfahrzeuges, die typischerweise bei 25 Jahren liegt, mit der rasanten Entwicklung im Bereich der IT. Denn das ITSiG kann den Bestandsschutz aushebeln. ?Die Anforderungen werden dadurch nicht einfacher?, so der IT-Sicherheitsexperte.
Der Störungsschutz und die dafür aufgewendeten Kosten müssen allerdings ?in einem vernünftigen Verhältnis zum Risiko stehen?, bemerkte Philip Smitka. Dennoch gelte der Grundsatz: ?Die Frage ist nicht, ob Sie sich Compliance leisten können. Die Frage ist, ob Sie es sich leisten können, keine Compliance zu haben?. Darauf wies auch Dr. Thomas Liedtke hin: ?Nur ein System das sicher implementiert und sicher konfiguriert ist, in einer sicheren Umgebung läuft und von sicherheitsbewussten Nutzern bedient wird, ist sicher.?
Michael Kirsch, Leiter der Geschäftsfeldentwicklung bei der ICS AG freut sich über den Erfolg der Veranstaltung und ist davon überzeugt, dass die ICS AG als internationaler Dienstleister im Bereich von High Dependability Engineering für Software und Systeme einen zukunftsweisenden Beitrag zu dem brandaktuellen Thema leisten kann. ?In dieser Veranstaltung schlagen wir den Bogen von der Theorie über rechtliche und operative Aspekte bis hin zur Implementierung von IT-Sicherheitssystemen für Betreiber kritischer Infrastrukturen?, fasst er zusammen und freut sich auf die Fortsetzung dieser Veranstaltungsreihe.
Die Agenda des Seminars beinhaltete folgende Vorträge:
? Was macht Security anders als Safety?
Dr. Thomas Liedtke Unit-Manager Research & Development, ICS AG
? Die Folgen eines unzureichenden Compliance- und Risikomanagement.
Philip Smitka, Rechtsanwalt bei der Wirtschaftskanzlei Noerr
? Das IT-Sicherheitsgesetz ? Wie viel Sicherheit ist gefordert und angemessen?
Daniel Ehricht, IT-Security Experte
? Nachweisverfahren für IT-Sicherheit ? Vorgehensmodell Transportation.
Martin Hetzer, Competence Center RAMS, Unit Transportation, ICS AG
Die ICS AG, gegründet 1966, ist eine international tätige, unabhängige Ingenieursgesellschaft. Mit über 130 Mitarbeitern ist die ICS AG Engineering-Partner der Industrie mit Schwerpunkt safety-critical, mission-critical und business-critical Applications.
Fokussiert durch branchenspezifische Business Units umspannt das Dienstleistungsspektrum, gebündelt in eigene Kompetenzzentren, den gesamten Produktentwicklungszyklus, von den sehr frühen Phasen des Systems Engineering über die konkrete Applikationsentwicklung bis hin zum Zulassungsmanagement.
In der Business Unit Research & Technology werden modernste Lösungen für softwareintensive Systeme in der Luft- und Raumfahrt entwickelt und realisiert. Ein eigenes Business Center R&D unterstützt darüber hinaus domänenunabhängig die gesamte ICS mit langjähriger Kompetenz bzgl. gemeinsam genutzter Methoden, Prozesse und Werkzeuge. Training, Forschungsprojekte, Projektmanagement und Consulting stellen weitere komplettierende Säulen dar.
Business Unit Industrial Engineering - Die Entwicklung von Business-Critical Software, Tools und Systemen gehört zu den Kernkompetenzen der ICS AG. Deshalb bündeln wir überregional unsere Technologieexpertise zur Lösung komplexer und individueller Aufgabenstellungen. In enger Abstimmung mit unseren Kunden analysieren wir vorhandene Logistik-Prozesse und Materialflüsse und optimieren diese nachhaltig. Wir führen notwendige Gefahren- und Risikoanalysen durch - von der Steuergeräteebene bis hin zum Gesamtsystem - und leiten daraus relevante Sicherheitsziele sowie das funktionale Sicherheitskonzept ab. Wir managen "Big Data" und ermöglichen mit verständlichen und angepassten Werkzeugen zielgruppengenaue Analysen. Außerdem gestalten wir die digitale Transformation von Geschäftsmodellen und sichern den Datenstrom mit einem Security Konzept ab. Nachfolgend unterstützen wir unsere Kunden bei der Einführung und Schulung der Mitarbeiter.
Business Unit Transportation - Mit unserem Team hoch qualifizierter Spezialisten bieten wir ein umfassendes Spektrum von Leistungen für die technischen Systeme des schienengebundenen Nah- und Fernverkehrs an. Unser Knowhow erstreckt sich über den kompletten Entwicklungs- und Lebenszyklus von Systemen - von der Konzeption und Entwicklung über die Prüfung, Inbetriebnahme sowie Safety Management, Zulassungsunterstützung und Begutachtung inkl. Maintenance. Kurz gesagt, von der Architektur bis zur Zulassung - von A-Z! Durch unsere Competence Center sind wir auch technologisch am Puls des Marktes. Ob moderne Entwicklungsmethoden, Normungsfragen, IT-Security oder Zukunftsthemen, bei der ICS AG sind Sie als Kunde in allen maßgeblichen Bereichen der Zugsicherung und Zugsteuerung in guten Händen.
Darüber hinaus werden branchenübergreifend fundierte und praxisnahe Beratung im Bereich Projektmanagement sowie Entwicklungsprozesse und - methoden angeboten.
Die ICS AG, gegründet 1966, ist eine international tätige, unabhängige Ingenieursgesellschaft. Mit über 130 Mitarbeitern ist die ICS AG Engineering-Partner der Industrie mit Schwerpunkt safety-critical, mission-critical und business-critical Applications.
Fokussiert durch branchenspezifische Business Units umspannt das Dienstleistungsspektrum, gebündelt in eigene Kompetenzzentren, den gesamten Produktentwicklungszyklus, von den sehr frühen Phasen des Systems Engineering über die konkrete Applikationsentwicklung bis hin zum Zulassungsmanagement.
In der Business Unit Research & Technology werden modernste Lösungen für softwareintensive Systeme in der Luft- und Raumfahrt entwickelt und realisiert. Ein eigenes Business Center R&D unterstützt darüber hinaus domänenunabhängig die gesamte ICS mit langjähriger Kompetenz bzgl. gemeinsam genutzter Methoden, Prozesse und Werkzeuge. Training, Forschungsprojekte, Projektmanagement und Consulting stellen weitere komplettierende Säulen dar.
Business Unit Industrial Engineering - Die Entwicklung von Business-Critical Software, Tools und Systemen gehört zu den Kernkompetenzen der ICS AG. Deshalb bündeln wir überregional unsere Technologieexpertise zur Lösung komplexer und individueller Aufgabenstellungen. In enger Abstimmung mit unseren Kunden analysieren wir vorhandene Logistik-Prozesse und Materialflüsse und optimieren diese nachhaltig. Wir führen notwendige Gefahren- und Risikoanalysen durch - von der Steuergeräteebene bis hin zum Gesamtsystem - und leiten daraus relevante Sicherheitsziele sowie das funktionale Sicherheitskonzept ab. Wir managen "Big Data" und ermöglichen mit verständlichen und angepassten Werkzeugen zielgruppengenaue Analysen. Außerdem gestalten wir die digitale Transformation von Geschäftsmodellen und sichern den Datenstrom mit einem Security Konzept ab. Nachfolgend unterstützen wir unsere Kunden bei der Einführung und Schulung der Mitarbeiter.
Business Unit Transportation - Mit unserem Team hoch qualifizierter Spezialisten bieten wir ein umfassendes Spektrum von Leistungen für die technischen Systeme des schienengebundenen Nah- und Fernverkehrs an. Unser Knowhow erstreckt sich über den kompletten Entwicklungs- und Lebenszyklus von Systemen - von der Konzeption und Entwicklung über die Prüfung, Inbetriebnahme sowie Safety Management, Zulassungsunterstützung und Begutachtung inkl. Maintenance. Kurz gesagt, von der Architektur bis zur Zulassung - von A-Z! Durch unsere Competence Center sind wir auch technologisch am Puls des Marktes. Ob moderne Entwicklungsmethoden, Normungsfragen, IT-Security oder Zukunftsthemen, bei der ICS AG sind Sie als Kunde in allen maßgeblichen Bereichen der Zugsicherung und Zugsteuerung in guten Händen.
Darüber hinaus werden branchenübergreifend fundierte und praxisnahe Beratung im Bereich Projektmanagement sowie Entwicklungsprozesse und - methoden angeboten.