Controlware auf der Mainzer Netztagung 2017 (30./31. Mai, Burg Weisenau in Mainz)

Tipps zur Umsetzung des IT-Sicherheitsgesetzes in der Energiewirtschaft

Dietzenbach, 10. Mai 2017 – Controlware, renommierter deutscher Systemintegrator und Managed Service Provider, ist auf der Mainzer Netztagung 2017 (30./31. Mai 2017, Burg Weisenau in Mainz) mit einem Expertenvortrag rund um die erfolgreiche Umsetzung des IT-Sicherheitsgesetzes (ITSG) vertreten. Im Fokus steht die Frage, wie sich mithilfe zertifizierter Information-Security-Management-Systeme (ISMS) die Weichen für einen ITSG-konformen Betrieb Kritischer Infrastrukturen stellen lassen.

Die Mainzer Netztagung ist eine etablierte Kommunikationsplattform für den Informationsaustausch in der Energiewirtschaft. An zwei Tagen haben die für den Betrieb der Stromnetze verantwortlichen Experten der Energieversorger Gelegenheit, sich mit den Entscheidungsträgern der Kommunen sowie mit Beratern, Herstellern und IT-Dienstleistern auszutauschen. Im Mittelpunkt stehen in diesem Jahr die Herausforderungen beim Betrieb smarter, dezentraler Stromnetze – von Fragen der IT-Sicherheit bis hin zu Netzplanung, Workforce Management und Energiespeicherung.

Controlware zeigt in einem Expertenvortrag auf, worauf die Energieversorger mit Blick auf die Einhaltung des 2015 in Kraft getretenen ITSG künftig achten müssen: „Das ITSG verpflichtet die Betreiber Kritischer Infrastrukturen, einen angemessenen Schutz ihrer Systeme sicherzustellen“, erläutert Rolf Bachmann, Business Development Manager bei Controlware. „Der erste Schritt auf diesem Weg ist der Aufbau eines ISO 27001-konformen Information-Security-Management-Systems – ein Lösungsansatz, der sich in der Praxis vielfach bewährt hat und inzwischen auch vom Gesetzgeber gefordert wird. Sobald ein solches ISMS in Kraft ist, lassen sich ausgehend davon konkrete und priorisierte Maßnahmen zur Steigerung der Sicherheit implementieren.“

Im Controlware Vortrag erfahren die Zuhörer:

– Was es mit dem IT-Sicherheitsgesetz (ITSG) auf sich hat und welche neuen Vorgaben die Betreiber Kritischer Infrastrukturen einhalten müssen

– Welche Unternehmen unter die „Verordnung zur Bestimmung Kritischer Infrastrukturen“ (BSI-Kritis-V) fallen und damit vom ITSG betroffen sind

– Welche Verpflichtungen aus dem ITSG hervorgehen und warum dem Aufbau eines Information-Security-Management-Systems (ISMS) eine Schlüsselrolle zukommt

– Warum die Einführung eines ISMS per se noch keine erhöhte IT-Sicherheit liefert

– Mit welchen konkreten Maßnahmen sich die IT-Sicherheit erhöhen lässt und welchen Mehrwert das ISMS bei der Umsetzung bietet – auch in „nicht-kritischen“ Infrastrukturen

„Auf der diesjährigen Netztagung werden wir den IT-Verantwortlichen der Energieversorger verdeutlichen, dass die Umsetzung des ITSG eine komplexe und zeitintensive Aufgabe ist, die man keinesfalls unterschätzen sollte“, erklärt Rolf Bachmann. „Wir wollen aber auch aufzeigen, dass inzwischen für praktisch alle damit verbundenen Fallstricke erprobte Best Practices existieren. Wer planvoll und systematisch vorgeht und die richtigen Partner an seiner Seite hat, wird auch diese Herausforderung meistern.“

Die Mainzer Netztagung findet am 30. und 31. Mai 2017 im Gewölbekeller der Burg Weisenau (Mönchstraße 13, 55130 Mainz) statt. Weiterführende Informationen zur Veranstaltung: www.ew-online.de

Ãœber Controlware GmbH
Die Controlware GmbH, Dietzenbach, ist einer der führenden unabhängigen Systemintegratoren und Managed Service Provider in Deutschland. Das 1980 gegründete Unternehmen entwickelt, implementiert und betreibt anspruchsvolle IT-Lösungen für die Data Center-, Enterprise- und Campus-Umgebungen seiner Kunden. Das Portfolio erstreckt sich von der Beratung und Planung über Installation und Wartung bis hin zu Management, Überwachung und Betrieb von Kundeninfrastrukturen durch das firmeneigene ISO 27001-zertifizierte Customer Service Center. Zentrale Geschäftsfelder der Controlware sind die Bereiche Network Solutions, Unified Communications, Information Security, Application Delivery, Data Center & Cloud sowie IT-Management. Controlware arbeitet eng mit national und international führenden Herstellern zusammen und verfügt bei den meisten dieser Partner über den höchsten Zertifizierungsgrad. Das mehr als 600 Mitarbeiter starke Unternehmen unterhält ein flächendeckendes Vertriebs- und Servicenetz mit 16 Standorten in DACH. Im Bereich der Nachwuchsförderung kooperiert Controlware mit sechs renommierten deutschen Hochschulen und betreut durchgehend um die 50 Auszubildende und Studenten. Zu den Tochterunternehmen der Controlware Gruppe zählen die Controlware GmbH, die ExperTeach GmbH, die Networkers AG und die Productware GmbH.

Firmenkontakt
Controlware GmbH
Stefanie Zender
Waldstraße 92
63128 Dietzenbach
06074 858-246
stefanie.zender@controlware.de
http://www.controlware.de

Pressekontakt
H zwo B Kommunikations GmbH
Michal Vitkovsky
Neue Straße 7
91088 Bubenreuth
09131 / 812 81-0
info@h-zwo-b.de
http://www.controlware.de

Mit Informationssicherheit Vertrauen schaffen: eine strategische Aufgabe für die höchste Managementebene

Kompaktseminar „Informationssicherheit @ Mittelstand“ am 17. März 2017 in Würzburg mit dem Sicherheits-Experten Prof. Dr. Sachar Paulustrevordiy.wordpress.com

Der Informationssicherheitsexperte Prof. Dr. Sachar Paulus von der Fakultät für Informatik an der Hochschule Mannheim und die Sindelfinger ei-tea GmbH betonen die hohe Relevanz eines Informationssicherheits-Management-Systems für kleine und mittlere Unternehmen. Geschäftsführer und Entscheider sollten deshalb die Gelegenheit wahrnehmen, sich am 17. März 2017 in Würzburg von Experten zu diesem komplexen Thema informieren zu lassen – im Rahmen des Kompaktseminars „Informationssicherheit @ Mittelstand“.

Sindelfingen, 15. Februar 2017. Wenn es um die Sicherheit von Informationen in ihrem Unternehmen geht, denken auch Geschäftsführer und Entscheider häufig nur an den technischen Schutz ihrer IT-Systeme. Doch dieser Aspekt ist nur ein Baustein, wie ein Blick auf mögliche Bedrohungsszenarien verdeutlicht: So kann es schon riesigen Schaden verursachen, wenn bei einem Firmenbesuch die falschen Augen einen geheimen Prototypen, Bauplan oder andere vertrauliche Informationen erspähen – oder gar ein Foto davon machen.

„Auch unzufriedene oder fahrlässige Mitarbeiter können eine erhebliche Bedrohung für vertrauliche Inhalte und Daten sein“, unterstreicht Marcus Wustrack, Geschäftsführer des Sindelfinger Informationssicherheits-Experten ei-tea GmbH. „Gerade für mittelständische Unternehmen, die als Zulieferer für weltweit aktive Konzerne tätig sind, können die wirtschaftlichen und juristischen Folgen einer Sicherheitspanne existenzbedrohend werden.“

Hinzu kommen gesetzliche Rahmenbedingungen, die sich ständig verschärfen und Unternehmen stärker in die Verantwortung für Daten und vertrauliche Informationen nehmen. Die Datenschutz-Grundverordnung der EU und das deutsche IT-Sicherheitsgesetz formulieren deutliche Erwartungen an die Sicherheit von Informationen im Unternehmen.

„Das Thema Informationssicherheit ist so wichtig, dass es die höchste Ebene der Unternehmensleitung im Blick haben muss“, betont der renommierte Informationssicherheitsexperte Prof. Dr. Sachar Paulus. „Von der Unternehmensspitze aus müssen dann firmenweite Maßnahmen wie die Etablierung eines Management-Systems zur Umsetzung von Informationssicherheit eingeführt und durchgesetzt werden.“ Darüber hinaus sei ein solches Management-System auch eine wichtige Maßnahme zur Vertrauensbildung und -pflege im Kontakt mit bestehenden und künftigen Kunden, so Prof. Dr. Paulus.

Prof. Dr. Paulus und die ei-tea GmbH geben Geschäftsführern und Entscheidern die Möglichkeit, sich im Rahmen des kompakten Seminars „Informationssicherheit @ Mittelstand“ am 17. März 2017 in Würzburg über Rechtslage, Bedrohungsszenarien, Rahmenbedingungen und konkrete Maßnahmen zu informieren. Der Zeiteinsatz von 10 bis voraussichtlich 17 Uhr und die geringe Teilnahmegebühr von 120 Euro sind eine kleine Investition, um einen ersten, aber entscheidenden Schritt zur Absicherung des eigenen Unternehmens sowie seiner Geschäfts- und Kundenbeziehungen zu unternehmen. Interessenten sollten sich gleich anmelden – die Teilnehmerzahl ist begrenzt. Anmeldung und weitere Details unter: https://www.ei-tea.de/informationssicherheit-mittelstand

Die 2003 gegründete ei-tea GmbH betreut mehrheitlich Kleinbetriebe und Mittelstandsunternehmen (KMU) – von kleinen regional tätigen Firmen bis hin zum global aufgestellten Unternehmen des Mittelstands. Ihr Angebot umfasst die Beratung, Planung, Umsetzung und Betreuung bei der Konzeption und Einführung von Informationssicherheit sowie dem Aufbau und der Implementierung von Informationssicherheits-Management-Systemen. Zu ihrem Angebot zählen außerdem Aufbau und Optimierung von IT-Infrastrukturen, der Betrieb von CAx-Ecosystemen mit dem Schwerpunkt auf CATIA und NX sowie kontinuierliche und ganzheitliche IT-Betreuung. Die ei-tea GmbH ist ein eigenständiges und dennoch ein sehr gut vernetztes Unternehmen. Im Rahmen unserer Mitgliedschaft im Verbund der teaming IT ( www.teaming-it.de) pflegen wir langjährige Partnerschaften mit Spezialisten aus unserer Branche.

Firmenkontakt
ei-tea GmbH
Harald Gueffroy
Grabenstraße 18
71063 Sindelfingen
07031 63 20 430
07031 63 20 444
marketing@ei-tea.de
http://www.ei-tea.de

Pressekontakt
Der Publikant
Frank Erdle
An der Betteleiche 35d
70569 Stuttgart
0711 44 08 00 68
publikant@email.de
http://www.content4marketing.de

ISO 27001 oder Eine IT-Norm, die alle etwas angeht!

Wer glaubt, ein Unternehmen müsse sich nur mit der Zertifizierung nach DIN ISO/IEC 27001 beschäftigen, wenn es zu den schätzungsweise rund 2.000 sogenannten KRITIS-Betreiber gehört, die bisher vom Gesetzgeber dazu verpflichtet wurden, irrt. Wolfgang Rhein, dessen Qualitätsmanagement-Beratung Rhein S.Q.M. GmbH Unternehmen unter anderem auch im Bereich IT-Sicherheitsgesetz und ISO 27001 berät, warnt alle Organisationen vor Schadenersatzansprüchen im Fall von Industriespionage und Cyberattacken.

——————————————

„Wenn in einem Monat in Deutschland gut 10.000-mal nach „ISO 27001″ und verwandten Begriffen gegoogelt wird, dann kann man davon ausgehen, dass das Thema gerade in den Unternehmen wieder brodelt“, konstatiert denn auch Peter Miller, der als Experte für IT-Sicherheit Unternehmen im Auftrag von Rhein S.Q.M. berät. Diese Aufmerksamkeit kommt dabei nicht von ungefähr: Schlagzeilen zu Krypto-Trojanern, die – in Krankenhausrechner eingeschleust – die Gesundheitsversorgung lahmlegen oder Unternehmen, die Millionenbeträge in der virtuellen Bitcoin-Währung als Lösegeld berappen, um Datenlecks wieder zu stopfen, feuern die Debatte regelmäßig von Neuem an.

Nur noch etwas mehr als ein Jahr Ãœbergangsfrist

Für einige Unternehmen drängt tatsächlich mittlerweile die Zeit. Der Gesetzgeber hat im Juli 2015 das „Gesetz zur Erhöhung der Sicherheit informations-technischer Systeme“ verabschiedet, dessen sperriger Titel landläufig mit „IT-Sicherheitsgesetz“ verkürzt wird, und ergänzend am 3. Mai 2016 die sog. KRITIS-Verordnung in Kraft gesetzt. Danach werden Unternehmen, die die Grundversorgung der Bevölkerung mit Strom und Gas gewährleisten, gesetzlich verpflichtet, bestimmte Anforderungen zu erfüllen, zu denen unter anderem auch die Zertifizierung nach ISO 27001 gehört. Bis 31.1.2018 müssen also zahlreiche Strom- und Gasnetzbetreiber der Bundesnetzagentur ein ISO-27001-Zertifikat vorlegen, das die Umsetzung des IT-Sicherheitskataloges dokumentiert. „Wenn man bedenkt, dass man in nahezu allen Projekten von mindestens sechs, eher aber neun Monaten Vorbereitungszeit ausgehen muss, sollten sich die betroffenen Unternehmen zeitnah mit dem Thema befassen und im 1. Quartal 2017 zumindest schon mal erste Grundüberlegungen und Abschätzungen zu den benötigten Ressourcen durchführen“, rechnet Miller vor. Die verbleibende Frist, ergänzt der QM-Berater und Lead Auditor, sei vor allem dann knapp, wenn ein zertifizierungsfähiges Informations-Sicherheits-Management-System (ISMS) komplett neu eingeführt werden müsse. Die Erfahrung aus vergangenen Zertifizierungsvorbereitungen zeigt: Selbst wenn die IT relativ gut dasteht, das heißt beispielsweise eine Netzwerk- und Hardwareplanung vorliegt oder Rollen- und Berechtigungskonzepte definiert sind, gibt es oft noch Lücken zwischen dem, was da ist und dem, was die ISO 27001 fordert. Im Besonderen ist hier auf die Dokumentation und Nachvollziehbarkeit der Prozesse und Anforderungen hinzuweisen – die aus Erfahrung in der Regel unvollständig oder weitgehend nicht vorhanden sind.

Die drei Schritte zur Zertifizierung

Die Vorbereitung auf die ISO-27001-Zertifizierung startet daher auch stets mit einem Workshop, der der Bestandsaufnahme beim Kunden dient und für den etwa drei Tage veranschlagt werden müssen. Mittels dieser GAP-Analyse wird aufgenommen, was schon da ist – schließlich ist das Ziel immer, auf einer bestehenden Systematik aufzubauen – und mit den Anforderungen der Norm abgeglichen.

In einem zweiten Step, der sechs bis neun Monate in Anspruch nimmt, werden die identifizierten Lücken nach und nach geschlossen. Möglich ist das Ganze nur, wenn das Management voll dahintersteht, daher muss die Zertifizierung auf oberster Ebene aufgehängt sein. Schließlich sind Aspekte wie Unternehmenspolitik, Unternehmensleitlinien oder Freigabe durch die Geschäftsführung nicht nur „nice to haves“, sondern inhaltliche Bestandteile der Zertifizierung nach der ISO 27001. „Die oberste Führungsebene trägt also ganz offiziell die Verantwortung für das Informations-Sicherheits-Management-System.“, stellt Miller klar und ergänzt: „Was natürlich nicht ausschließt, die Umsetzung zum Beispiel an den IT-Leiter zu delegieren.“ Die Frage hingegen, ob die Zertifizierungsvorbereitung komplett an einen externen Partner outgesourced werden kann, muss ganz klar verneint werden. Unternehmen können sich Anregungen und Ansätze von außen holen und auch die erforderlichen Dokumente extern schreiben lassen. Die Umsetzung muss aber zwingend intern erfolgen.

Denn beim dritten Schritt, dem Audit, reicht nur die Theorie nicht aus. Im Vergleich zu anderen Zertifizierungen kann die Norm nicht nur formal, also mit einer Dokumentenprüfung, abgebildet werden, sondern beim Audit wird explizit auch die Umsetzung, also die Praxis, geprüft. Bei guter Vorbereitung sei die Zertifizierung selbst aber eigentlich nur noch Formsache, beruhigt Miller.

Konkrete Controls sorgen für gute Umsetzbarkeit

Während die Revision der ISO 9001:2015 durch Unschärfen und wenig klare Forderungen in die Kritik geraten ist, enthält die ISO 27001 sehr konkrete Maßnahmenforderungen. Diese werden im Annex A der ISO 27001 (siehe auch ISO 27002) auf Basis einer Art Checkliste ins eigene Unternehmen und in die eigenen Prozesse eingebunden und umgesetzt. Ergänzt wird das Grundgerüst aus ISO 27001 und 27002 durch die Normen ISO 27017, ISO 27018 sowie der ISO 27019, die erweiterte Controls enthalten, und die als „Can dos“ im Gegensatz zu den „Must dos“ der Basisnorm freiwillig sind. Eine Ausnahme allerdings stellen hier wiederum die KRITIS-Unternehmen aus der Energieversorgungsindustrie dar: Um die Anforderungen aus dem IT-Sicherheitsgesetz erfüllen zu können, müssen sich diese ergänzend zur ISO 27001 mit dem Zusatz ISO 27019 zertifizieren lassen.

Vertragliche statt gesetzliche Verpflichtung

Freiwillig ist die gesamte ISO 27001 momentan noch für alle nicht in der KRITIS-Verordnung benannten Organisationen. Allerdings wird in einem zweiten Teil der KRITIS-Verordnung, die bereits für Anfang 2017 erwartet wird, die Definition, wer als Grundversorger eine Rechtspflicht zur Gewährleistung von IT-Sicherheit zu erfüllen hat, weiter ausgedehnt. So könnten Rechenzentrumsbetreiber, die Finanz- und Versicherungsbranche oder der gesamte Gesundheits- und Medizintechnikbereich bald unter die Verpflichtung fallen.
Manchmal ergibt sich eine Verpflichtung aber auch gar nicht über den Gesetzgeber, sondern durch kundenspezifische Forderungen, die beispielsweise Automobilhersteller mit ihren Zulieferern vertraglich vereinbaren. Damit begegnen Auftraggeber proaktiv dem oft noch fehlenden Sicherheitsverständnis und dem mangelhaften Risikobewusstsein ihrer Dienstleister. Ganz überraschend kommen diese Anforderungen im Ãœbrigen nicht: „Die erste Welle mit Forderungen nach Erfüllung der ISO-27001-Standards gab es von den Automobilherstellern bereits 2009“, erinnert sich Miller. Die folgende Wirtschaftskrise habe die Bemühungen etwas ausgebremst, aber die Forderung, dass man sich als Zulieferer um IT-Sicherheitsstandards kümmern sollte, stand im Prinzip seither im Raum. Doch erst seit die Hersteller wieder konkret auffordern, die Zertifizierung durchzuführen, und zeitgleich Negativschlagzeilen von organisierter Internetkriminalität die Runde machen, erhält das Thema wieder höhere Priorität und auch eine gewisse Dringlichkeit.

„Stand der Technik“ als Maxime für alle Unternehmen

Doch Ausfälle bei den IT-Systemen kann sich in einer modernen Gesellschaft heute auch außerhalb der KRITIS-Betreiber kaum jemand leisten. „Deshalb gehören zur ISO-27001-Zielgruppe nicht nur die Unternehmen, die von Gesetzeswegen müssen, sondern im Prinzip alle Unternehmen weltweit.“, bringt es Wolfgang Rhein, Gründer und Geschäftsführer der Rhein S.Q.M. GmbH auf den Punkt. Das, so Rhein weiter, ergebe sich schlichtweg daraus, dass die ISO 27001 den Stand der Technik widerspiegle, und man, sollte man diesen als Unternehmen nicht erfüllen, eine große Angriffsfläche biete. Tritt nämlich eine IT-Störung auf und hat ein Unternehmen nicht nachgewiesenermaßen im Vorfeld strukturiert potenzielle Risiken identifiziert, die auf die Informationssicherheit einwirken könnten, und keine Sicherungsmaßnahmen entwickelt, um diese Gefährdungen zu eliminieren bzw. zu minimieren, kann ihm schuldhaftes Handeln vorgeworfen werden. Im Zuge der Ãœberarbeitung der Normen haben unter anderem der risikobasierte Ansatz in der ISO 9001:2015 und das Risikomanagement in der ISO 27001:2013 Einzug gehalten. Die Bewertung des eigenen Unternehmens wird dadurch mehr in den Mittelpunkt gerückt, und somit können bekannte und erkannte Risiken als Chancen genutzt werden.

„Insbesondere“, da ist sich Rhein sicher, „gilt das für große Konzerne die sich die ISO 27001, deren Umsetzung in der Tat nicht ganz günstig ist, auch leisten könnten. Im Falle einer Klage – zum Beispiel aufgrund von Datenschutzproblemen – würde vermutlich jeder Richter befinden, dass von großen Unternehmen erwartet werden kann, die Anforderungen aus der Norm zu erfüllen. Urteile werden „nach Stand der Technik“ gefällt und wenn man exakt dieses durch eine ISO-27001-Zertifzierung nachweisen kann, kann man sich gegen Klagen absichern und Schadenersatzansprüche abwehren. Im anderen Fall könnte der Richter entscheiden, dass das Unternehmen schuldhaft gehandelt hat.“ Und das wird dann unter Umständen viel teurer als die ISO-27001-Zertifizierung gewesen wäre.

Die Organisationsberatung Rhein S.Q.M. wurde 2004 in Ludwigshafen gegründet und 2013 in eine GmbH umgewandelt. Der Schwerpunkt liegt bis heute im Bereich des Qualitätsmanagements für die Automobilindustrie sowie die Luft- und Raumfahrtbranche, auch wenn das Team rund um Gründer und Geschäftsführer Wolfgang Rhein zwischenzeitlich international in über 40 Branchen mit einer Abdeckung von mehr als 50 Regelwerken und Standards tätig ist. Die Leistungen in der Qualitätsmanagement-Beratung sowie im integrierten Management erstrecken sich dabei auch auf angrenzende Bereiche wie Umweltmanagement, Energiemanagement, Arbeitsschutzmanagement, Hygienemanagement sowie die Integration branchenspezifischer Standards. Neben der Beratung und operativen Unterstützung beim Aufbau und der Zertifizierung von Managementsystemen werden über die eigene Qualitätsakademie Seminare, Trainings und Workshops angeboten. Die Rhein S.Q.M. GmbH begleitet Organisationen außerdem dabei, die Einhaltung von Kunden- und Branchenforderungen in der gesamten Lieferkette sicherzustellen. Mehr Informationen zum Unternehmen sowie seinen Dienstleistungen im Internet unter www.qm-projects.de

Firmenkontakt
Rhein S.Q.M. GmbH
Wolfgang Rhein
Ebereschenweg 2a
67067 Ludwigshafen
06061 9674-15
06061 9674-29
info@qm-projects.de
http://www.qm-projects.de

Pressekontakt
Rhein S.Q.M. GmbH
Wolfgang Rhein
Ebereschenweg 2a
67067 Ludwigshafen
06061 9674-15
06061 9674-29
presse@qm-projects.de
http://www.qm-projects.de