IT-Sicherheit bei INSYS icom
Login
Die iCS – VPN ist ein Fernwartungsdienst für die einfache und sichere Vernetzung von Standorten, Anlagen oder mobilen Geräten über ein VPN-Netzwerk.
Das iRM ermöglicht Rollouts von Geräte-Firmware, Konfigurationen, Sicherheitszertifikaten und Anwendungen inkl. Protokollierung.
Hier erhalten Sie Zugang zu unserem Partner Portal – werden Sie jetzt Teil unseres Netzwerks!
Seitennavigation:
BSZ-Zertifizierung
Auch Sie sind ein Ziel
Unsere Sicherheiten
KRITIS
KRITIS-Auditierung
FAQ
Systeme überhaupt anzugreifen kann verschiedene Beweggründe haben, auch wenn diese auf den ersten Blick nicht offensichtlich sind.
Erpressung: Störung der Produktionsabläufe, die erst gegen Zahlung von Geld aufgehoben wird
z. B. mit dem Einsatz von Ransomware
Industriespionage: Diebstahl von geschäftskritischen Informationen und Know-how
Politische Motivation: Angriffe auf kritische Infrastrukturen als Teil eines „Cyber-Kriegs“
Demonstration von Macht: Anrichten maximalen Schadens ohne konkretes Ziel
Demonstration der Machbarkeit: Angriffe, um die Resilienz der Systeme zu verbessern. Angreifer sind überwiegend freundlich gesinnt und kooperativ.
Um unsere Kunden vor derartigen Angriffen zu schützen, ist unserer IT-Sicherheitskultur von den Begriffen „Security first“, „Security by Design“ und „Update it“ geprägt:
IT-Sicherheit spielt in jeder Phase unseres Handelns und in jedem Produktstadium eine entscheidende Rolle. Folgende fünf Punkte bilden dabei die Eckpfeiler unserer Arbeit:
Unsere Produkte werden von Beginn an anhand der Prinzipien „Security by Design“ und „Security by Default“ entwickelt. Sie zeichnen sich daher unter anderem durch folgende Punkte aus:
Jedes Produkt ist nur so sicher, wie die Updates, die es erhält. Daher legen wir bei INSYS icom sehr großen Wert auf regelmäßige Updates für unsere Produkte:
Bereitstellung von Patches für kritische Sicherheitslücken (CVSS 9.0-10.0) unmittelbar nach Verfügbarkeit
Behebung weniger kritischer Sicherheitslücken zum nächsten geplanten Release
Pflege einer Liste mit Sicherheitsmeldungen für CVEs (Security Advisories)
Kritische Infrastrukturen (KRITIS) sind Organisationen oder Einrichtungen mit wichtiger Bedeutung für das staatliche Gemeinwesen. Die Anforderungen an die Sicherheit der dort genutzten Produkte und Services sind natürlich besonders hoch und stehen unter ständiger Beobachtung. Unsere Lösungen zur industriellen Datenkommunikation sind für diese Anforderungen bestens gerüstet, daher sind wir in Deutschland Marktführer in den Branchen erneuerbare Energien sowie Wasser/Abwasser.
Im März 2023 hat INSYS icom eine LTE450 Industrie Router Serie auf den Markt gebracht. Ausschließlich Akteure der kritischen Infrastruktur können auf das ausfallsichere und flächendeckende Mobilfunknetz zugreifen.
Die KRITIS-Gesetzgebung hat zum Ziel, das IT-Sicherheitsniveau der informationstechnischen Systeme in Sektoren zu steigern, die als besonders relevant für die Aufrechterhaltung der öffentlichen Ordnung angesehen werden.
Die Regulierung unterliegt stetiger Weiterentwicklung. Aktuell ist das IT-Sicherheitsgesetz 2.0 mit der KRITIS-Verordnung von 2023 in Kraft.
Die BSI-KritisV definiert Schwellenwerte für Betreiber und Anlagen, ab denen eine KRITIS-Pflicht besteht. Die Listen der Schwellenwerte für die jeweiligen Sektoren finden Sie hier
Besteht eine KRITIS-Pflicht, so werden angemessene organisatorische und technische Sicherheitsmaßnahmen gefordert, um Störungen Ihrer informationstechnischen Systeme, Komponenten und Prozesse zu vermeiden.
Bei der Umsetzung der Maßnahmen wird auf den Stand der Technik verwiesen. Für verschiedene Branchen existieren branchenspezifische Sicherheitsstandards (B3S), die den Stand der Technik im jeweiligen Sektor definieren. Weitere Informationen zu dem B3S finden sich hier oder bei Ihrem Branchenverband.
Mit dem in Vorbereitung befindlichen IT-Sicherheitsgesetz 3.0 (IT-SiG 3.0), dem KRITIS-Dachgesetz (KRITIS-DachG) und dem NIS2-Umsetzungsgesetz (NIS2UmsuCG) werden die Anforderungen der EU NIS2 Richtlinie (und auch der EU RCE Richtlinie) in nationales Recht überführt.
Diese neuen Gesetze lösen die bestehende KRITIS-Regulierung in Deutschland mit mehr Betreibern und mehr Pflichten ab. Die kritischen Infrastrukturen werden neu definiert. Im IT-SiG 3.0 wird von Betreibern “Kritischer Anlagen” gesprochen. Für ‚Kritische Anlagen‘ werden noch Schwellenwerte erarbeitet, die noch nicht final bekannt sind.
Ein Inkrafttreten wird für Oktober 2024 erwartet, mit Registrierungspflichten für betroffene Unternehmen bis Januar 2025 und Umsetzungsfristen bis Juli 2026.
Für Unternehmen die keine Betreiber kritischer Anlagen sind, ist das NIS2UmsuCG zutreffend. Es setzt die EU Mindeststandards für Cybersecurity in deutsches Recht um. Definiert werden “Besonders wichtige Einrichtungen” und “Wichtige Einrichtungen”:
Einrichtung | Mitarbeiter | Umsatz und Bilanz |
---|---|---|
Besonders wichtig | ≥ 250 | ≥ 50 Mio. + ≥ 43 Mio. EUR |
Wichtig | ≥ 50 | ≥ 10 Mio. + ≥ 10 Mio. EUR |
Die Regulierung umfasst so große Teile der Wirtschaft.
Für betroffene Unternehmen ergeben sich daraus Anforderungen an die umzusetzenden Sicherheitsmaßnahmen (Risikomanagement, Vorfallsmeldung, technische Maßnahmen, Governance) sowie Pflichten zur Registrierung, Nachweispflicht, Meldepflicht und Pflicht zum Informationsaustausch.
Mit den folgenden fünf Tipps können Sie dafür sorgen, dass Ihre Anlagen und Maschinen sicher vernetzt sind:
Hier finden Sie Material, das Sie bei der KRITIS-Auditierung unterstützt. Außerdem erhalten Sie einen Überblick über durchgeführte Penetration Tests sowie Dokumentationen und Anleitungen, um die Produkte von INSYS icom sicher zu verwenden.
Produkte im Test | Durchführende Stelle | Zeitraum | Status/Ergebnis |
---|---|---|---|
icom OS | BSI / OpenSource Security GmbH | Q4 2022 | Sicherheitszertifikat erteilt. Keine Schwachstellen festgestellt. |
icom Connectivity Service | Kundentest aus der Gebäudetechnik | Q3 2021 | Schwachstellen behoben. |
icom Connectivity Service | Kundentest aus der Gebäudeautomatisierung | Q2 2021 | Schwachstellen behoben. |
icom OS | OpenSource Security GmbH | Q2 2021 | Schwachstellen behoben. |
icom Connectivity Service | OpenSource Security GmbH | Q2 2021 | Schwachstellen behoben. |
icom Router Management | OpenSource Security GmbH | Q1 2021 | Schwachstellen behoben. |
icom OS | Kundentest aus der Energiewirtschaft | Q1 2021 | Schwachstellen behoben. |
icom OS icom Data Suite | T-Systems im Kundenauftrag | Q4 2019 | Schwachstellen behoben. |
icom Connectivity Service icom OS | Secunet im Kundenauftrag aus der Personenbeförderung | Q3 2019 | „Abschließend kann festgestellt werden, dass dem untersuchten System ein allgemein hohes Sicherheitsniveau bestätigt werden kann.“ |
icom OS | Kundentest aus dem Anlagenbau | Q2 2019 | Schwachstellen behoben. |
Die IT ist sehr schnelllebig und es ließe sich kaum ein Standard finden, der die Komplexität aller Anwendungsfälle betrachtet. Je nach Anwendung wären Vorgaben über-sicher oder nicht sicher genug. Aus diesem Grund wird IT-Sicherheit meist relativ und nicht absolut definiert. Sicherheitsorganisationen und Branchenverbänden orientieren sich deshalb am Stand der Technik, der je nach Branche, Anwendungsfall und auch Unternehmensgröße unterschiedlich ausgelegt wird. Die branchenspezifischen Sicherheitsstandards (B3S) definieren beispielsweise den Stand der Technik für bestimmte Sektoren. Technische Richtlinien wie die BSI TR-02102 skizzieren den Stand der Technik für die Verwendung kryptografischer Verfahren.
Die Handreichung zum „Stand der Technik“ des TeleTrust (Bundesverband der IT-Sicherheit e.V.) bietet Handlungsempfehlungen und Orientierung zum „Stand der Technik“ an.
Es gibt aktuell keine Vorschriften, die den Einsatz zertifizierter Komponenten in kritischen Infrastrukturen gemäß BSI-KritisV vorschreiben oder bevorzugen. Dies kann sich in der Zukunft ändern, grundsätzlich können heute KRITIS-Betreiber auf beliebige Komponenten zurückgreifen, sofern Sie die Einhaltung der IT-Sicherheitsanforderungen nachweisen können.
IT-Sicherheit kann zum einen durch unabhängige Penetration Tests und zum anderen durch staatlich anerkannte Zertifikate nachgewiesen werden. Werden Tests und Zertifizierungen durch eine von offizieller Stelle anerkannten Prüfstelle durchgeführt, so bleibt die Objektivität gewährleistet.
Zum einen kann man sich an den Empfehlungen für den Stand der Technik des jeweiligen Branchenverbandes oder des TeleTrust orientieren. Außerdem haben wir für Sie ein Dokument mit unseren Empfehlungen zum Absichern von Infrastruktur zusammengestellt. Unser INSYS icom Schulungsteam bietet zudem im Rahmen des erweiterten Support eine Sicherheitsberatung an. Kontaktieren Sie uns dazu gerne unter: training@insys-icom.de
Sie haben Fragen zur IT-Sicherheit von Produkten? Schreiben Sie eine Nachricht an unseren ISB/CISO unter security@insys-icom.com oder verwenden Sie unser sicheres Online-Formular