IT-Sicherheit bei INSYS icom

INSYS icom ist Digitalisierungsexperte für industrielle Datenkommunikation. Mit unseren Kernkompetenzen Fernwartung, Netzwerktechnik und Datenübertragung bilden wir die Brücke zwischen IT und OT. Unsere Lösungen sind somit häufig das zentrale Gateway in der Kommunikation von geschlossenen und sicheren Netzwerken nach außen in das freie Internet. Vor allem bei Akteuren der kritischen Infrastruktur wie Energieversorger, Wärmenetze, Stadtwerke und Energieerzeugungsanlagen ist das Schadenspotential enorm. Damit bilden sie ein attraktives Ziel für Angreifer, aus diesem Grund hat die Sicherheit unserer Lösungen die oberste Priorität.

INSYS icom hat das IT-Sicherheitszertifikat des Bundesamts für Sicherheit in der Informationstechnik (BSI) gemäß BSZ-Prüfverfahren für den Industrie Router MRX3 LTE erhalten. Die Sicherheitsbewertung erfolgte durch eine vom BSI anerkannte Prüfstelle und attestiert somit von unabhängiger und offizieller Stelle ein hohes Maß an IT-Sicherheit.

Der Bundesverband IT-Sicherheit e.V. zeichnet INSYS icom mit dem TeleTrusT-Vertrauenszeichen „IT Security made in Germany“ aus.

✖

☰

Seitennavigation:

BSZ-Zertifizierung
Auch Sie sind ein Ziel
Unsere Sicherheiten
KRITIS
KIRITIS-Auditierung
FAQ

IT-Sicherheitsmerkmale unserer Industrie Router

KRITIS konform; Anbieter mit den meisten Installationen in kritischer Infrastruktur
MRX3-LTE Router zertifiziert nach BSI BSZ für kritische Infrastrukturen

Firmware Update signiert und verschlüsselt
Supportpakete verschlüsselt
Kryptographische Verfahren konform zur BSI TR-02102-2
Gehärtete Firmware

Regelmäßige Penetration Tests
Update Policy
8 Wochen Update-Zyklus für Router Firmware

White-List Industrial Firewall mit IP-Paket- und MAC-Filter
Keine Default Passwörter
User/PW, RADIUS oder Zertifikatsbasierte Authentifizierung
X.509 Zertifikate und Nutzung eigener PKI

Die wichtigsten IT-Sicherheitshinweise
unserer Produkte für Sie zusammengefasst:

Maßnahmenkatalog IT-Sicherheit

Auch SIE sind ein lukratives Ziel!

Systeme überhaupt anzugreifen kann verschiedene Beweggründe haben, auch wenn diese auf den ersten Blick nicht offensichtlich sind.

Erpressung: Störung der Produktionsabläufe, die erst gegen Zahlung von Geld aufgehoben wird
z. B. mit dem Einsatz von Ransomware
Industriespionage: Diebstahl von geschäftskritischen Informationen und Know-how
Politische Motivation: Angriffe auf kritische Infrastrukturen als Teil eines „Cyber-Kriegs“
Demonstration von Macht: Anrichten maximalen Schadens ohne konkretes Ziel
Demonstration der Machbarkeit: Angriffe, um die Resilienz der Systeme zu verbessern. Angreifer sind überwiegend freundlich gesinnt und kooperativ.

Um unsere Kunden vor derartigen Angriffen zu schützen, ist unserer IT-Sicherheitskultur von den Begriffen „Security first“, „Security by Design“ und „Update it“ geprägt:

Angriffe gegen digitalisierte Systeme in der Industrie haben verschiedenste Beweggründe. INSYS icom sorgt entsprechende Konzepte für größtmögliche Sicherheit.

Schon bei der Entwicklung eines neuen Produkts wird höchster Wert auf die Sicherheit gegen Angriffe gelegt. Regelmäßiges Testen, sowie ausschließliche Verwendung von ISO27001-zertifizierten Rechenzentren sorgen auch nach Produktion für die nötige IT-Sicherheit.

„Security first“ – Sicherheit als Basis unseres Handelns

IT-Sicherheit spielt in jeder Phase unseres Handelns und in jedem Produktstadium eine entscheidende Rolle. Folgende fünf Punkte bilden dabei die Eckpfeiler unserer Arbeit:

Alle Bestandteile (Hardware, Firmware und Webdienste) sind aus einer Hand und werden von unseren Spezialisten in Deutschland entwickelt.
Wir lassen regelmäßig die IT-Sicherheit unserer Produkte durch Penetration-Tests und Widerstandsanalysen validieren.
Unsere Webdienste werden ausschließlich in ISO27001-zertifizierten Rechenzentren betrieben.
Wir aktualisieren regelmäßig alle sicherheitsrelevanten Open-Source-Bibliotheken.
Wir setzen konsequent auf automatisierte Software-Tests an Nightly-Builds mit tausenden Testfällen.
Kryptographische Verfahren konform zur BSI TR-02102-2

24/7 Monitoring der Services sowie eine einheitliche, verschlüsselte und signierte Firmware auf allen Geräten sorgt schon beim Produktdesign für höchste IT-Sicherheit.

„Security by Design“ – Sicherheit von Anfang an

Unsere Produkte werden von Beginn an anhand der Prinzipien „Security by Design“ und „Security by Default“ entwickelt. Sie zeichnen sich daher unter anderem durch folgende Punkte aus:

Einfache Konfiguration sicherer Authentifizierungsverfahren
Gehärtete Firmware für minimale Angriffsfläche
Einheitliche Firmware über alle Geräte hinweg
Verschlüsselte und signierte Firmware
Container-Anwendungen vollständig isoliert von der Firmware
Unterstützung stets aktueller Verschlüsselungsstandards
Automatisierte Updates via icom Router Management oder Update Server
Umfangreiches 24/7-Monitoring aller Managed Services

Regelmäßige Updates und sofortige Reaktionen auf aufgedeckte Sicherheitslücken stellen die große Wertlegung auf IT-Sicherheit bei INSYS icom unter Beweis.

“Update it” – Unsere Update Policy

Jedes Produkt ist nur so sicher, wie die Updates, die es erhält. Daher legen wir bei INSYS icom sehr großen Wert auf regelmäßige Updates für unsere Produkte:

icom OS Router Betriebssystem

Min. 6 Updates pro Jahr
Zyklus: Alle 8 Wochen
Sicherheits-Patches sind bis mindestens 2030 verfügbar

icom Connectivity Suite

Kontinuierliche Updates; durchschnittlich ein Update pro Monat

icom Router Management

Cloud: Kontinuierliche Updates; durchschnittlich ein Update pro Monat
onPremises: Kontinuierliche Updates

Reaktion auf Sicherheitslücken & Patchmanagement

Bereitstellung von Patches für kritische Sicherheitslücken (CVSS 9.0-10.0) unmittelbar nach Verfügbarkeit
Behebung weniger kritischer Sicherheitslücken zum nächsten geplanten Release
Pflege einer Liste mit Sicherheitsmeldungen für CVEs (Security Advisories)

In kritischen Infrastrukturen zu Hause (KRITIS)

Kritische Infrastrukturen (KRITIS) sind Organisationen oder Einrichtungen mit wichtiger Bedeutung für das staatliche Gemeinwesen. Die Anforderungen an die Sicherheit der dort genutzten Produkte und Services sind natürlich besonders hoch und stehen unter ständiger Beobachtung. Unsere Lösungen zur industriellen Datenkommunikation sind für diese Anforderungen bestens gerüstet, daher sind wir in Deutschland Marktführer in den Branchen erneuerbare Energien sowie Wasser/Abwasser.

LTE450 für kritische Infrastrukturen

Im März 2023 hat INSYS icom eine LTE450 Industrie Router Serie auf den Markt gebracht. Ausschließlich Akteure der kritischen Infrastruktur können auf das ausfallsichere und flächendeckende Mobilfunknetz zugreifen.

Mehr Informationen über unsere LTE450 Lösungen

Organisationen in kritischen Infrastrukturen haben aufgrund deren Bedeutung für das staatliche Gemeinwesen höchste Anforderungen an die Sicherheit der genutzten Produkte. INSYS icom Lösungen sind dafür hervorragend geeignet.

Regulierung kritischer Infrastrukturen

Die KRITIS-Gesetzgebung hat zum Ziel, das IT-Sicherheitsniveau der informationstechnischen Systeme in Sektoren zu steigern, die als besonders relevant für die Aufrechterhaltung der öffentlichen Ordnung angesehen werden.

Die Regulierung unterliegt stetiger Weiterentwicklung. Aktuell ist das IT-Sicherheitsgesetz 2.0 mit der KRITIS-Verordnung von 2023 in Kraft.

Die BSI-KritisV definiert Schwellenwerte für Betreiber und Anlagen, ab denen eine KRITIS-Pflicht besteht. Die Listen der Schwellenwerte für die jeweiligen Sektoren finden Sie hier

Besteht eine KRITIS-Pflicht, so werden angemessene organisatorische und technische Sicherheitsmaßnahmen gefordert, um Störungen Ihrer informationstechnischen Systeme, Komponenten und Prozesse zu vermeiden.
Bei der Umsetzung der Maßnahmen wird auf den Stand der Technik verwiesen. Für verschiedene Branchen existieren branchenspezifische Sicherheitsstandards (B3S), die den Stand der Technik im jeweiligen Sektor definieren. Weitere Informationen zu dem B3S finden sich hier oder bei Ihrem Branchenverband.

Ausblick NIS2 Richtlinie:

Mit dem in Vorbereitung befindlichen IT-Sicherheitsgesetz 3.0 werden die Anforderungen der NIS2 von EU-Ebene in nationales Recht überführt. Dies wird voraussichtlich eine Ausweitung der KRITIS Pflicht auf weitere Unternehmen in den betroffenen Sektoren zur Folge haben. In der aktuellen Fassung definiert die NIS2 alle Unternehmen als KRITIS pflichtig, die >50 Mitarbeiter beschäftigen und >10 Mio. EUR Umsatz erwirtschaften.
Voraussichtlich wird der Gesetzgeber in Deutschland dieser Definition nicht in Gänze folgen und eine Kombination Vorschlagen, die die aktuellen Schwellwerten für KRITIS-Anlagen beibehält.

INSYS icom bemüht sich stets auf dem aktuellsten Stand der Regulierung und Technik zu sein. In unserem Maßnahmenkatalog fassen wir außerdem alle technischen und organisatorischen Maßnahmen für unsere Produkte zusammen, die Sie bei der Auditierung unterstützen. Für Fragen stehen wir jederzeit zur Verfügung..

So halten Sie Ihre Anlagen in fünf Schritten sicher

Mit den folgenden fünf Tipps können Sie dafür sorgen, dass Ihre Anlagen und Maschinen sicher vernetzt sind:

Sichern Sie Ihre Anwendung nach dem IT-Sicherheits-Leitfaden ab.
Installieren Sie Updates schnellstmöglich nach Verfügbarkeit. Dafür nutzen Sie am besten das icom Router Management und abonnieren unsere Release Notes.
Sensibilisieren Sie Ihre Mitarbeiter für Sicherheitsthemen: „Social Engineering“ spielt in 19% aller erfolgreichen Cyber-Attacken eine Hauptrolle.

Stellen Sie sicher, dass eingesetzte Komponenten und Produkte professionell genutzt werden. So vermeiden Sie Fehlkonfigurationen.
Wählen Sie ein sicheres Authentifizierungsverfahren, bspw. eine zertifikatsbasierte Authentifizierung mit eigener CA oder einem RADIUS-Server.

Links, Zertifikate und Penetration Tests

Hier finden Sie Material, das Sie bei der KRITIS-Auditierung unterstützt. Außerdem erhalten Sie einen Überblick über durchgeführte Penetration Tests sowie Dokumentationen und Anleitungen, um die Produkte von INSYS icom sicher zu verwenden.

Dokumente:

Zertifikate:

Penetration Tests:

Produkte im Test	Durchführende Stelle	Zeitraum	Status/Ergebnis
icom OS	BSI / OpenSource Security GmbH	Q4 2022	Sicherheitszertifikat erteilt. Keine Schwachstellen festgestellt.
icom Connectivity Service	Kundentest aus der Gebäudetechnik	Q3 2021	Schwachstellen behoben.
icom Connectivity Service	Kundentest aus der Gebäudeautomatisierung	Q2 2021	Schwachstellen behoben.
icom OS	OpenSource Security GmbH	Q2 2021	Schwachstellen behoben.
icom Connectivity Service	OpenSource Security GmbH	Q2 2021	Schwachstellen behoben.
icom Router Management	OpenSource Security GmbH	Q1 2021	Schwachstellen behoben.
icom OS	Kundentest aus der Energiewirtschaft	Q1 2021	Schwachstellen behoben.
icom OS icom Data Suite	T-Systems im Kundenauftrag	Q4 2019	Schwachstellen behoben.
icom Connectivity Service icom OS	Secunet im Kundenauftrag aus der Personenbeförderung	Q3 2019	„Abschließend kann festgestellt werden, dass dem untersuchten System ein allgemein hohes Sicherheitsniveau bestätigt werden kann.“
icom OS	Kundentest aus dem Anlagenbau	Q2 2019	Schwachstellen behoben.

IT Security – Häufig gestellte Fragen

Ist eigentlich exakt definiert was hohe IT-Sicherheit bedeutet?

Die IT ist sehr schnelllebig und es ließe sich kaum ein Standard finden, der die Komplexität aller Anwendungsfälle betrachtet. Je nach Anwendung wären Vorgaben über-sicher oder nicht sicher genug. Aus diesem Grund wird IT-Sicherheit meist relativ und nicht absolut definiert. Sicherheitsorganisationen und Branchenverbänden orientieren sich deshalb am Stand der Technik, der je nach Branche, Anwendungsfall und auch Unternehmensgröße unterschiedlich ausgelegt wird. Die branchenspezifischen Sicherheitsstandards (B3S) definieren beispielsweise den Stand der Technik für bestimmte Sektoren. Technische Richtlinien wie die BSI TR-02102 skizzieren den Stand der Technik für die Verwendung kryptografischer Verfahren.

Die Handreichung zum „Stand der Technik“ des TeleTrust (Bundesverband der IT-Sicherheit e.V.) bietet Handlungsempfehlungen und Orientierung zum „Stand der Technik“ an.

Dürfen in kritischen Infrastrukturen nur zertifizierte Router eingesetzt werden?

Es gibt aktuell keine Vorschriften, die den Einsatz zertifizierter Komponenten in kritischen Infrastrukturen gemäß BSI-KritisV vorschreiben oder bevorzugen. Dies kann sich in der Zukunft ändern, grundsätzlich können heute KRITIS-Betreiber auf beliebige Komponenten zurückgreifen, sofern Sie die Einhaltung der IT-Sicherheitsanforderungen nachweisen können.

Wie objektiv ist der Nachweis hoher IT-Sicherheit?

IT-Sicherheit kann zum einen durch unabhängige Penetration Tests und zum anderen durch staatlich anerkannte Zertifikate nachgewiesen werden. Werden Tests und Zertifizierungen durch eine von offizieller Stelle anerkannten Prüfstelle durchgeführt, so bleibt die Objektivität gewährleistet.

Wie bereitet man sich auf ein IT-Sicherheits-Audit vor?

Zum einen kann man sich an den Empfehlungen für den Stand der Technik des jeweiligen Branchenverbandes oder des TeleTrust orientieren. Außerdem haben wir für Sie ein Dokument mit unseren Empfehlungen zum Absichern von Infrastruktur zusammengestellt. Unser INSYS icom Schulungsteam bietet zudem im Rahmen des erweiterten Support eine Sicherheitsberatung an. Kontaktieren Sie uns dazu gerne unter: training@insys-icom.de

Kontaktformular für Sicherheitshinweise

Sie haben Fragen zur IT-Sicherheit von Produkten? Schreiben Sie eine Nachricht an unseren ISB/CISO unter security@insys-icom.com oder verwenden Sie unser sicheres Online-Formular

+49 941 58692-444

info@insys-icom.de