IT-Sicherheit bei INSYS icom
INSYS icom ist Digitalisierungsexperte für industrielle Datenkommunikation. Mit unseren Kernkompetenzen Fernwartung, Netzwerktechnik und Datenübertragung bilden wir die Brücke zwischen IT und OT. Unsere Lösungen sind somit häufig das zentrale Gateway in der Kommunikation von geschlossenen und sicheren Netzwerken nach außen in das freie Internet. Vor allem bei Akteuren der kritischen Infrastruktur wie Energieversorger, Wärmenetze, Stadtwerke und Energieerzeugungsanlagen ist das Schadenspotential enorm. Damit bilden sie ein attraktives Ziel für Angreifer, aus diesem Grund hat die Sicherheit unserer Lösungen die oberste Priorität.
Zukunftsfähig nach dem Cyber Resilience Act:
Wie lässt sich sichere Fernwartung
einfach umsetzen?
» VPN-basierte Fernwartung sicher einführen: Wie INSYS icom Maschinenhersteller beim Cyber Resilience Act unterstützt «
Inhaltsverzeichnis
- Sichere Fernwartung
- Cyber Resilience Act
- Sichere Konnektivität
- Regulierungen & Umsetzung
- CRA für Maschinen
- Maßnahmen & Investitionen
- Lösungen für CRA-Compliance
- Netzwerksicherheit
- Fernzugriff (iCS)
- Geräteverwaltung (iRM)
- Cyber Resilience Act
Whitepaper jetzt anfordern!
IT-Sicherheitsmerkmale unserer Industrie Router
Die wichtigsten IT-Sicherheitshinweise
unserer Produkte für Sie zusammengefasst:
Auch SIE sind ein lukratives Ziel!
Systeme überhaupt anzugreifen kann verschiedene Beweggründe haben, auch wenn diese auf den ersten Blick nicht offensichtlich sind.
Erpressung: Störung der Produktionsabläufe, die erst gegen Zahlung von Geld aufgehoben wird
z. B. mit dem Einsatz von Ransomware
Industriespionage: Diebstahl von geschäftskritischen Informationen und Know-how
Politische Motivation: Angriffe auf kritische Infrastrukturen als Teil eines „Cyber-Kriegs“
Demonstration von Macht: Anrichten maximalen Schadens ohne konkretes Ziel
Demonstration der Machbarkeit: Angriffe, um die Resilienz der Systeme zu verbessern. Angreifer sind überwiegend freundlich gesinnt und kooperativ.
Um unsere Kunden vor derartigen Angriffen zu schützen, ist unserer IT-Sicherheitskultur von den Begriffen „Security first“, „Security by Design“ und „Update it“ geprägt:
„Security first“ – Sicherheit als Basis unseres Handelns
IT-Sicherheit spielt in jeder Phase unseres Handelns und in jedem Produktstadium eine entscheidende Rolle. Folgende fünf Punkte bilden dabei die Eckpfeiler unserer Arbeit:
„Security by Design“ – Sicherheit von Anfang an
Unsere Produkte werden von Beginn an anhand der Prinzipien „Security by Design“ und „Security by Default“ entwickelt. Sie zeichnen sich daher unter anderem durch folgende Punkte aus:
“Update it” – Unsere Update Policy
Jedes Produkt ist nur so sicher, wie die Updates, die es erhält. Daher legen wir bei INSYS icom sehr großen Wert auf regelmäßige Updates für unsere Produkte:
icom OS Router Betriebssystem
icom Connectivity Suite
icom Router Management
Reaktion auf Sicherheitslücken & Patchmanagement
Bereitstellung von Patches für kritische Sicherheitslücken (CVSS 9.0-10.0) unmittelbar nach Verfügbarkeit
Behebung weniger kritischer Sicherheitslücken zum nächsten geplanten Release
Pflege einer Liste mit Sicherheitsmeldungen für CVEs (Security Advisories)
In kritischen Infrastrukturen zu Hause (KRITIS)
Kritische Infrastrukturen (KRITIS) sind Organisationen oder Einrichtungen mit wichtiger Bedeutung für das staatliche Gemeinwesen. Die Anforderungen an die Sicherheit der dort genutzten Produkte und Services sind natürlich besonders hoch und stehen unter ständiger Beobachtung. Unsere Lösungen zur industriellen Datenkommunikation sind für diese Anforderungen bestens gerüstet, daher sind wir in Deutschland Marktführer in den Branchen erneuerbare Energien sowie Wasser/Abwasser.
LTE450 für kritische Infrastrukturen
Im März 2023 hat INSYS icom eine LTE450 Industrie Router Serie auf den Markt gebracht. Ausschließlich Akteure der kritischen Infrastruktur können auf das ausfallsichere und flächendeckende Mobilfunknetz zugreifen.
Cybersicherheit: Schutz vor digitalen Risiken
Cybersicherheit ist gesetzlich verpflichtend
Die Umsetzung von Cybersicherheit ist längst nicht mehr nur für Betreiber kritischer Infrastrukturen verpflichtend. Mit der EU-Cybersicherheitsstrategie wurde ein umfassender Rahmen geschaffen, um Cyberbedrohungen wirksam zu begegnen und den verlässlichen Einsatz digitaler Technologien zu sichern.
Die Umsetzung erfolgt über mehrere verbindliche Regelwerke, die sowohl Betreiber als auch Hersteller betreffen. INSYS icom erfüllt die geltenden Anforderungen und unterstützt Unternehmen bei der sicheren Umsetzung gesetzlicher Vorgaben. Unsere Produkte sind u.a. nach dem Prinzip „Security by Design“ entwickelt und ermöglichen einen zuverlässigen, konformen Betrieb vernetzter Systeme.
Regelwerke im Überblick
NIS 2
Die NIS-2-Richtlinie (Network and Information Security) definiert verbindliche Anforderungen an die Cybersicherheit kritischer Infrastrukturen.
Radio Equipment Directive (RED)
Die erweiterte RED-Richtlinie schreibt Cybersicherheitsanforderungen für internetfähige Funkanlagen wie Router oder IoT-Geräte verbindlich vor.
Cyber Resilience Act (CRA)
Der CRA verpflichtet Hersteller digitaler Produkte, Cybersicherheit über den gesamten Produktlebenszyklus hinweg sicherzustellen.
So halten Sie Ihre Anlagen in fünf Schritten sicher
Mit den folgenden fünf Tipps können Sie dafür sorgen, dass Ihre Anlagen und Maschinen sicher vernetzt sind:
Links, Zertifikate und Penetration Tests
Hier finden Sie Material, das Sie bei der KRITIS-Auditierung unterstützt. Außerdem erhalten Sie einen Überblick über durchgeführte Penetration Tests sowie Dokumentationen und Anleitungen, um die Produkte von INSYS icom sicher zu verwenden.
Links:
Dokumente:
Zertifikate:
Penetration Tests:
| Produkte im Test | Durchführende Stelle | Zeitraum | Status/Ergebnis |
|---|---|---|---|
| icom OS | Test durch externe Sicherheitsfirma | Q2 2025 | Keine Critical oder High Vulnerabilities gefunden. |
| icom OS | Kundentest aus der Energie- und Automatisierungstechnik | Q1 2025 | Schwachstellen behoben |
| icom OS | Kundentest aus der Energiewirtschaft | Q1 2025 | Schwachstellen behoben |
| icom Connectivity Suite | TG Alpha | Q1 2025 | Schwachstellen behoben |
| icom OS | BSI / OpenSource Security GmbH | Q4 2022 | Sicherheitszertifikat erteilt. Keine Schwachstellen festgestellt. |
| icom Connectivity Suite | Kundentest aus der Gebäudetechnik | Q3 2021 | Schwachstellen behoben. |
| icom Connectivity Suite | Kundentest aus der Gebäudeautomatisierung | Q2 2021 | Schwachstellen behoben. |
| icom OS | OpenSource Security GmbH | Q2 2021 | Schwachstellen behoben. |
| icom Connectivity Suite | OpenSource Security GmbH | Q2 2021 | Schwachstellen behoben. |
| icom Router Management | OpenSource Security GmbH | Q1 2021 | Schwachstellen behoben. |
| icom OS | Kundentest aus der Energiewirtschaft | Q1 2021 | Schwachstellen behoben. |
| icom OS icom Data Suite | T-Systems im Kundenauftrag | Q4 2019 | Schwachstellen behoben. |
| icom Connectivity Suite icom OS | Secunet im Kundenauftrag aus der Personenbeförderung | Q3 2019 | „Abschließend kann festgestellt werden, dass dem untersuchten System ein allgemein hohes Sicherheitsniveau bestätigt werden kann.“ |
| icom OS | Kundentest aus dem Anlagenbau | Q2 2019 | Schwachstellen behoben. |
IT Security – Häufig gestellte Fragen
Ist eigentlich exakt definiert was hohe IT-Sicherheit bedeutet?
Die IT ist sehr schnelllebig und es ließe sich kaum ein Standard finden, der die Komplexität aller Anwendungsfälle betrachtet. Je nach Anwendung wären Vorgaben über-sicher oder nicht sicher genug. Aus diesem Grund wird IT-Sicherheit meist relativ und nicht absolut definiert. Sicherheitsorganisationen und Branchenverbänden orientieren sich deshalb am Stand der Technik, der je nach Branche, Anwendungsfall und auch Unternehmensgröße unterschiedlich ausgelegt wird. Die branchenspezifischen Sicherheitsstandards (B3S) definieren beispielsweise den Stand der Technik für bestimmte Sektoren. Technische Richtlinien wie die BSI TR-02102 skizzieren den Stand der Technik für die Verwendung kryptografischer Verfahren.
Das BSI IT-Grundschutz-Kompendium bietet anerkannte Handlungsempfehlungen und gilt als etablierte Orientierung für den Stand der Technik in der IT-Sicherheit.
Dürfen in kritischen Infrastrukturen nur zertifizierte Router eingesetzt werden?
Es gibt aktuell keine Vorschriften, die den Einsatz zertifizierter Komponenten in kritischen Infrastrukturen gemäß BSI-KritisV vorschreiben oder bevorzugen. Dies kann sich in der Zukunft ändern, grundsätzlich können heute KRITIS-Betreiber auf beliebige Komponenten zurückgreifen, sofern Sie die Einhaltung der IT-Sicherheitsanforderungen nachweisen können.
Wie objektiv ist der Nachweis hoher IT-Sicherheit?
IT-Sicherheit kann zum einen durch unabhängige Penetration Tests und zum anderen durch staatlich anerkannte Zertifikate nachgewiesen werden. Werden Tests und Zertifizierungen durch eine von offizieller Stelle anerkannten Prüfstelle durchgeführt, so bleibt die Objektivität gewährleistet.
Wie bereitet man sich auf ein IT-Sicherheits-Audit vor?
Zum einen kann man sich an den Empfehlungen für den Stand der Technik des jeweiligen Branchenverbandes oder des TeleTrust orientieren. Außerdem haben wir für Sie ein Dokument mit unseren Empfehlungen zum Absichern von Infrastruktur zusammengestellt. Unser INSYS icom Schulungsteam bietet zudem im Rahmen des erweiterten Support eine Sicherheitsberatung an. Kontaktieren Sie uns dazu gerne unter: training@insys-icom.de
Kontaktformular für Sicherheitshinweise
Sie haben Fragen zur IT-Sicherheit von Produkten? Schreiben Sie eine Nachricht an unseren ISB/CISO unter security@insys-icom.com oder verwenden Sie unser sicheres Online-Formular