IT-Sicherheitsmerkmale unserer Industrie Router

  • KRITIS konform; Anbieter mit den meisten Installationen in kritischer Infrastruktur
  • MRX3-LTE Router zertifiziert nach BSI BSZ für kritische Infrastrukturen
  • Firmware Update signiert und verschlüsselt
  • Supportpakete verschlüsselt
  • Kryptographische Verfahren konform zur BSI TR-02102-2
  • Gehärtete Firmware
  • Regelmäßige Penetration Tests
  • Update Policy
  • 8 Wochen Update-Zyklus für Router Firmware
  • White-List Industrial Firewall mit IP-Paket- und MAC-Filter
  • Keine Default Passwörter
  • User/PW, RADIUS oder Zertifikatsbasierte Authentifizierung
  • X.509 Zertifikate und Nutzung eigener PKI

Die wichtigsten IT-Sicherheitshinweise
unserer Produkte für Sie zusammengefasst:

Auch SIE sind ein lukratives Ziel!

Systeme überhaupt anzugreifen kann verschiedene Beweggründe haben, auch wenn diese auf den ersten Blick nicht offensichtlich sind.

Erpressung: Störung der Produktionsabläufe, die erst gegen Zahlung von Geld aufgehoben wird
z. B. mit dem Einsatz von Ransomware
Industriespionage: Diebstahl von geschäftskritischen Informationen und Know-how
Politische Motivation: Angriffe auf kritische Infrastrukturen als Teil eines „Cyber-Kriegs“
Demonstration von Macht: Anrichten maximalen Schadens ohne konkretes Ziel
Demonstration der Machbarkeit: Angriffe, um die Resilienz der Systeme zu verbessern. Angreifer sind überwiegend freundlich gesinnt und kooperativ.

Um unsere Kunden vor derartigen Angriffen zu schützen, ist unserer IT-Sicherheitskultur von den Begriffen „Security first“, „Security by Design“ und „Update it“ geprägt:

Angriffe gegen digitalisierte Systeme in der Industrie haben verschiedenste Beweggründe. INSYS icom sorgt entsprechende Konzepte für größtmögliche Sicherheit.
Schon bei der Entwicklung eines neuen Produkts wird höchster Wert auf die Sicherheit gegen Angriffe gelegt. Regelmäßiges Testen, sowie ausschließliche Verwendung von ISO27001-zertifizierten Rechenzentren sorgen auch nach Produktion für die nötige IT-Sicherheit.

„Security first“ – Sicherheit als Basis unseres Handelns

IT-Sicherheit spielt in jeder Phase unseres Handelns und in jedem Produktstadium eine entscheidende Rolle. Folgende fünf Punkte bilden dabei die Eckpfeiler unserer Arbeit:

  • Alle Bestandteile (Hardware, Firmware und Webdienste) sind aus einer Hand und werden von unseren Spezialisten in Deutschland entwickelt.
  • Wir lassen regelmäßig die IT-Sicherheit unserer Produkte durch Penetration-Tests und Widerstandsanalysen validieren.
  • Unsere Webdienste werden ausschließlich in ISO27001-zertifizierten Rechenzentren betrieben.
  • Wir aktualisieren regelmäßig alle sicherheitsrelevanten Open-Source-Bibliotheken.
  • Wir setzen konsequent auf automatisierte Software-Tests an Nightly-Builds mit tausenden Testfällen.
  • Kryptographische Verfahren konform zur BSI TR-02102-2
24/7 Monitoring der Services sowie eine einheitliche, verschlüsselte und signierte Firmware auf allen Geräten sorgt schon beim Produktdesign für höchste IT-Sicherheit.

„Security by Design“ – Sicherheit von Anfang an

Unsere Produkte werden von Beginn an anhand der Prinzipien „Security by Design“ und „Security by Default“ entwickelt. Sie zeichnen sich daher unter anderem durch folgende Punkte aus:

  • Einfache Konfiguration sicherer Authentifizierungsverfahren
  • Gehärtete Firmware für minimale Angriffsfläche
  • Einheitliche Firmware über alle Geräte hinweg
  • Verschlüsselte und signierte Firmware
  • Container-Anwendungen vollständig isoliert von der Firmware
  • Unterstützung stets aktueller Verschlüsselungsstandards
  • Automatisierte Updates via icom Router Management oder Update Server
  • Umfangreiches 24/7-Monitoring aller Managed Services
Regelmäßige Updates und sofortige Reaktionen auf aufgedeckte Sicherheitslücken stellen die große Wertlegung auf IT-Sicherheit bei INSYS icom unter Beweis.

“Update it” – Unsere Update Policy

Jedes Produkt ist nur so sicher, wie die Updates, die es erhält. Daher legen wir bei INSYS icom sehr großen Wert auf regelmäßige Updates für unsere Produkte:

null
icom OS Router Betriebssystem
  • Min. 6 Updates pro Jahr
  • Zyklus: Alle 8 Wochen
  • Sicherheits-Patches sind bis mindestens 2030 verfügbar
null
icom Connectivity Suite
  • Kontinuierliche Updates; durchschnittlich ein Update pro Monat
null
icom Router Management
  • Cloud: Kontinuierliche Updates; durchschnittlich ein Update pro Monat
  • onPremises: Kontinuierliche Updates
null
Reaktion auf Sicherheitslücken & Patchmanagement

Bereitstellung von Patches für kritische Sicherheitslücken (CVSS 9.0-10.0) unmittelbar nach Verfügbarkeit
Behebung weniger kritischer Sicherheitslücken zum nächsten geplanten Release
Pflege einer Liste mit Sicherheitsmeldungen für CVEs (Security Advisories)

In kritischen Infrastrukturen zu Hause (KRITIS)

Kritische Infrastrukturen (KRITIS) sind Organisationen oder Einrichtungen mit wichtiger Bedeutung für das staatliche Gemeinwesen. Die Anforderungen an die Sicherheit der dort genutzten Produkte und Services sind natürlich besonders hoch und stehen unter ständiger Beobachtung. Unsere Lösungen zur industriellen Datenkommunikation sind für diese Anforderungen bestens gerüstet, daher sind wir in Deutschland Marktführer in den Branchen erneuerbare Energien sowie Wasser/Abwasser.

LTE450 für kritische Infrastrukturen

Im März 2023 hat INSYS icom eine LTE450 Industrie Router Serie auf den Markt gebracht. Ausschließlich Akteure der kritischen Infrastruktur können auf das ausfallsichere und flächendeckende Mobilfunknetz zugreifen.

Organisationen in kritischen Infrastrukturen haben aufgrund deren Bedeutung für das staatliche Gemeinwesen höchste Anforderungen an die Sicherheit der genutzten Produkte. INSYS icom Lösungen sind dafür hervorragend geeignet.

Regulierung kritischer Infrastrukturen

Die KRITIS-Gesetzgebung hat zum Ziel, das IT-Sicherheitsniveau der informationstechnischen Systeme in Sektoren zu steigern, die als besonders relevant für die Aufrechterhaltung der öffentlichen Ordnung angesehen werden.

Die Regulierung unterliegt stetiger Weiterentwicklung. Aktuell ist das IT-Sicherheitsgesetz 2.0 mit der KRITIS-Verordnung von 2023 in Kraft.

Die BSI-KritisV definiert Schwellenwerte für Betreiber und Anlagen, ab denen eine KRITIS-Pflicht besteht. Die Listen der Schwellenwerte für die jeweiligen Sektoren finden Sie hier

Besteht eine KRITIS-Pflicht, so werden angemessene organisatorische und technische Sicherheitsmaßnahmen gefordert, um Störungen Ihrer informationstechnischen Systeme, Komponenten und Prozesse zu vermeiden.
Bei der Umsetzung der Maßnahmen wird auf den Stand der Technik verwiesen. Für verschiedene Branchen existieren branchenspezifische Sicherheitsstandards (B3S), die den Stand der Technik im jeweiligen Sektor definieren. Weitere Informationen zu dem B3S finden sich hier oder bei Ihrem Branchenverband.

Ausblick NIS2 Richtlinie und KRITIS-Dachgesetz/IT-Sicherheitsgesetz 3.0:

Mit dem in Vorbereitung befindlichen IT-Sicherheitsgesetz 3.0 (IT-SiG 3.0), dem KRITIS-Dachgesetz (KRITIS-DachG) und dem NIS2-Umsetzungsgesetz (NIS2UmsuCG) werden die Anforderungen der EU NIS2 Richtlinie (und auch der EU RCE Richtlinie) in nationales Recht überführt.

Diese neuen Gesetze lösen die bestehende KRITIS-Regulierung in Deutschland mit mehr Betreibern und mehr Pflichten ab. Die kritischen Infrastrukturen werden neu definiert. Im IT-SiG 3.0 wird von Betreibern “Kritischer Anlagen” gesprochen. Für ‚Kritische Anlagen‘ werden noch Schwellenwerte erarbeitet, die noch nicht final bekannt sind.

Ein Inkrafttreten wird für Oktober 2024 erwartet, mit Registrierungspflichten für betroffene Unternehmen bis Januar 2025 und Umsetzungsfristen bis Juli 2026.

Für Unternehmen die keine Betreiber kritischer Anlagen sind, ist das NIS2UmsuCG zutreffend. Es setzt die EU Mindeststandards für Cybersecurity in deutsches Recht um. Definiert werden “Besonders wichtige Einrichtungen” und “Wichtige Einrichtungen”:

EinrichtungMitarbeiterUmsatz und Bilanz
Besonders wichtig≥ 250≥ 50 Mio. + ≥ 43 Mio. EUR
Wichtig≥ 50≥ 10 Mio. + ≥ 10 Mio. EUR

Die Regulierung umfasst so große Teile der Wirtschaft.
Für betroffene Unternehmen ergeben sich daraus Anforderungen an die umzusetzenden Sicherheitsmaßnahmen (Risikomanagement, Vorfallsmeldung, technische Maßnahmen, Governance) sowie Pflichten zur Registrierung, Nachweispflicht, Meldepflicht und Pflicht zum Informationsaustausch.

So halten Sie Ihre Anlagen in fünf Schritten sicher

Mit den folgenden fünf Tipps können Sie dafür sorgen, dass Ihre Anlagen und Maschinen sicher vernetzt sind:

  • Sichern Sie Ihre Anwendung nach dem IT-Sicherheits-Leitfaden ab.
  • Installieren Sie Updates schnellstmöglich nach Verfügbarkeit. Dafür nutzen Sie am besten das icom Router Management und abonnieren unsere Release Notes.
  • Sensibilisieren Sie Ihre Mitarbeiter für Sicherheitsthemen: „Social Engineering“ spielt in 19% aller erfolgreichen Cyber-Attacken eine Hauptrolle.
  • Stellen Sie sicher, dass eingesetzte Komponenten und Produkte professionell genutzt werden. So vermeiden Sie Fehlkonfigurationen.
  • Wählen Sie ein sicheres Authentifizierungsverfahren, bspw. eine zertifikatsbasierte Authentifizierung mit eigener CA oder einem RADIUS-Server.

Links, Zertifikate und Penetration Tests

Hier finden Sie Material, das Sie bei der KRITIS-Auditierung unterstützt. Außerdem erhalten Sie einen Überblick über durchgeführte Penetration Tests sowie Dokumentationen und Anleitungen, um die Produkte von INSYS icom sicher zu verwenden.

Penetration Tests:

Produkte im TestDurchführende StelleZeitraumStatus/Ergebnis
icom OSBSI / OpenSource Security GmbHQ4 2022Sicherheitszertifikat erteilt. Keine Schwachstellen festgestellt.
icom Connectivity ServiceKundentest aus der GebäudetechnikQ3 2021Schwachstellen behoben.
icom Connectivity ServiceKundentest aus der GebäudeautomatisierungQ2 2021Schwachstellen behoben.
icom OSOpenSource Security GmbHQ2 2021Schwachstellen behoben.
icom Connectivity ServiceOpenSource Security GmbHQ2 2021Schwachstellen behoben.
icom Router ManagementOpenSource Security GmbHQ1 2021Schwachstellen behoben.
icom OSKundentest aus der EnergiewirtschaftQ1 2021Schwachstellen behoben.
icom OS
icom Data Suite
T-Systems im KundenauftragQ4 2019Schwachstellen behoben.
icom Connectivity Service
icom OS
Secunet im Kundenauftrag aus der Personenbeförderung Q3 2019„Abschließend kann festgestellt werden, dass dem untersuchten System ein allgemein hohes Sicherheitsniveau bestätigt werden kann.“
icom OSKundentest aus dem AnlagenbauQ2 2019Schwachstellen behoben.

IT Security – Häufig gestellte Fragen

Ist eigentlich exakt definiert was hohe IT-Sicherheit bedeutet?

Die IT ist sehr schnelllebig und es ließe sich kaum ein Standard finden, der die Komplexität aller Anwendungsfälle betrachtet. Je nach Anwendung wären Vorgaben über-sicher oder nicht sicher genug. Aus diesem Grund wird IT-Sicherheit meist relativ und nicht absolut definiert. Sicherheitsorganisationen und Branchenverbänden orientieren sich deshalb am Stand der Technik, der je nach Branche, Anwendungsfall und auch Unternehmensgröße unterschiedlich ausgelegt wird. Die branchenspezifischen Sicherheitsstandards (B3S) definieren beispielsweise den Stand der Technik für bestimmte Sektoren. Technische Richtlinien wie die BSI TR-02102 skizzieren den Stand der Technik für die Verwendung kryptografischer Verfahren.

Die Handreichung zum „Stand der Technik“ des TeleTrust (Bundesverband der IT-Sicherheit e.V.) bietet Handlungsempfehlungen und Orientierung zum „Stand der Technik“ an.

Dürfen in kritischen Infrastrukturen nur zertifizierte Router eingesetzt werden?

Es gibt aktuell keine Vorschriften, die den Einsatz zertifizierter Komponenten in kritischen Infrastrukturen gemäß BSI-KritisV vorschreiben oder bevorzugen. Dies kann sich in der Zukunft ändern, grundsätzlich können heute KRITIS-Betreiber auf beliebige Komponenten zurückgreifen, sofern Sie die Einhaltung der IT-Sicherheitsanforderungen nachweisen können.

Wie objektiv ist der Nachweis hoher IT-Sicherheit?

IT-Sicherheit kann zum einen durch unabhängige Penetration Tests und zum anderen durch staatlich anerkannte Zertifikate nachgewiesen werden. Werden Tests und Zertifizierungen durch eine von offizieller Stelle anerkannten Prüfstelle durchgeführt, so bleibt die Objektivität gewährleistet.

Wie bereitet man sich auf ein IT-Sicherheits-Audit vor?

Zum einen kann man sich an den Empfehlungen für den Stand der Technik des jeweiligen Branchenverbandes oder des TeleTrust orientieren. Außerdem haben wir für Sie ein Dokument mit unseren Empfehlungen zum Absichern von Infrastruktur zusammengestellt. Unser INSYS icom Schulungsteam bietet zudem im Rahmen des erweiterten Support eine Sicherheitsberatung an. Kontaktieren Sie uns dazu gerne unter: training@insys-icom.de

Kontaktformular für Sicherheitshinweise

Sie haben Fragen zur IT-Sicherheit von Produkten? Schreiben Sie eine Nachricht an unseren ISB/CISO unter security@insys-icom.com oder verwenden Sie unser sicheres Online-Formular