IT & Telekommunikation

KRITIS-Dachgesetz: Mehr physische Sicherheit

KRITIS-Dachgesetz: Mehr physische Sicherheit

Das KRITIS-Dachgesetz bietet zahlreiche Möglichkeiten und Chancen für die Sicherheit kritischer Infrastrukturen in Deutschland. Lange Zeit lag der Fokus auf der IT-Sicherheit. Im Bereich der physischen Absicherung klaffte eine Lücke. Das neue KRITIS-Dachgesetz soll diese Lücke füllen und bildet eine Ergänzung zu den bestehenden Regelungen im Bereich Cybersicherheit. Zudem verpflichtet es Betreiber von KRITIS-Einrichtungen dazu, auch ein Mindestniveau an physischer Sicherheit zu gewährleisten.

Zentrale Inhalte dabei sind die klare Definition und Abgrenzung der KRITIS-Bereiche, verpflichtende Risikobewertungen, Mindeststandards für Betreiber sowie ein zentrales Störungsmonitoring. Wichtig hierbei ist die Schaffung sektorübergreifender Regelungen, um die Hindernisse für Zusammenarbeit und Austausch zu minimieren. Die sektorübergreifenden Auswirkungen der vergangenen Krisen und Katastrophen haben gezeigt, dass in einer vernetzten Welt mit starken Abhängigkeiten zahlreiche Schnittstellen und Interdependenzen nicht vernachlässigt werden dürfen.

Das KRITIS-Dachgesetz bietet eine wichtige Grundlage für eine sichere und stabile kritische Infrastruktur in Deutschland. Betreiber müssen die Vorgaben des Gesetzes ernst nehmen und in enger Zusammenarbeit mit den Behörden arbeiten, um die Sicherheit zu gewährleisten und Störungen schnell und effektiv zu beheben.

Autor: Prof. Dr. Clemens Gause, Geschäftsführer, Verband für Sicherheitstechnik e.V.

Weitere Informationen

IT-Sicherheit weiter gefährdet

BSI-Lagebericht zur Cybersicherheit

Das Bundesamt für Sicherheit in der Informationstechnik (BSI) hat den IT-Lagebericht 2022 veröffentlicht. Aus diesem geht hervor, dass sich die Gefährdungslage im Cyber-Raum von Juni 2021 bis Mai 2022 weiter zugespitzt hat. Die Gründe für die hohe Bedrohungslage sind anhaltende Aktivitäten im Bereich der Cyber-Kriminalität, Cyber-Angriffe im Kontext des russischen Angriffs auf die Ukraine und auch in vielen Fällen eine unzureichende Produktqualität von IT- und Software-Produkten.

Jede Schwachstelle in Soft- oder Hardware-Produkten ist ein potenzielles Einfallstor für Angreifer und gefährdet die Informationssicherheit in Verwaltung, Wirtschaft und Gesellschaft. So wurden im Jahr 2021 über 20.000 Schwachstellen in Software-Produkten registriert. Das entspricht einem Zuwachs von 10 Prozent gegenüber dem Vorjahr.

Ransomware-Angriffe, also Cyber-Angriffe auf Unternehmen, Universitäten und Behörden, mit dem Ziel, Lösegeld zu erpressen, gilt aktuell als größte Bedrohung im Cyber-Bereich. Hier ist es im Berichtszeitraum zu mehreren Ransomware-Vorfällen gekommen bei denen Kommunen in Deutschland angegriffen wurden. Zum ersten Mal in der deutschen Geschichte wurde in Folge eines Cyber-Angriffs von der betroffenen Kommune der Katastrophenfall ausgerufen.

Mit seinem Bericht zur Lage der IT-Sicherheit in Deutschland legt das BSI als die Cyber-Sicherheitsbehörde des Bundes jährlich einen umfassenden Überblick über die Bedrohungen im Cyber-Raum vor.

Weitere Informationen

IT-Notfallmangement

IT-Notfallkarte – Ihr Einstieg ins Notfallmanagement

Nicht nur weltweit agierende Großkonzerne, sondern auch KMU und weitere Unternehmen aller Branchen und Größen sind von Cyber-Angriffen und anderen IT-Vorfällen betroffen. Die daraus resultierenden Schäden können mitunter existenzbedrohende Dimensionen annehmen.

Um das Ausmaß derartiger Vorkommnisse zu minimieren, müssen Betroffene Kompetenzen für Cyber-Resilienz aufbauen. Hiermit ist die Fähigkeit einer Organisation gemeint, auf Veränderungen – also auch Störungen jeder Art – reagieren zu können. Ziel ist es, den Regelbetrieb möglichst schnell wieder aufnehmen zu können. Cyber-Resilienz ist damit eine der Kernkompetenzen bei den Cyber-Sicherheitsmaßnahmen einer Organisation.

Jede Organisation muss damit rechnen, dass IT-Ressourcen versagen oder Schwachstellen von Cyber-Kriminellen ausgenutzt werden. Technische Maßnahmen sind wichtige Bestandteile der Cyber-Resilienz, aber nicht die allein Entscheidenden. Mindestens genauso wichtig ist die Vorbereitung auf Cyber-Angriffe und IT-Notfälle. Während die technische Abwehr und Wiederinstandsetzung spezielles Know-How erfordern, sind die Vorbereitung und auch die konsequente Reaktion auf Cyber-Angriffe und andere Arten von IT-Notfällen durch Erstmaßnahmen jeder Organisation möglich.

Eine Arbeitsgruppe aus Initiativen, non-profit Organisationen und Behörden hat sich dieser Herausforderung mit Unterstützung der Allianz für Cyber-Sicherheit angenommen und ein Paket für mehr Cyber-Resilienz – nicht nur, aber insbesondere – für kleine und mittlere Unternehmen entwickelt.

Gestalten Sie jetzt Ihren Einstieg in das IT-Notfallmanagement und minimieren Sie die Auswirkungen eines IT-Notfalls. Sie erhalten praktische Hinweise und wertvolle Hilfestellungen sowie greifbare Cyber-Resilienz für Ihre Organisation mit der IT-Notfallkarte.

Weitere Informationen

Digitales Handwerk

Gerade in der Kundenberatung und im Service sind situationsgerechte Informationen unerlässlich. Oft müssen diese am Einsatzort spontan zur Verfügung stehen. In vielen Bereichen setzen sich Systeme, die eine Visualisierung zur Unterstützung der Kundenberatung und von Dienstleistungen ermöglichen durch. Beim Einsatz von sogenannten VR-Brillen (VR = Virtual Reality) wird der Anwender in eine „andere Welt“ versetzt. So kann dem Kunden ein Bauvorhaben bereits vor dem Bau visuell dargestellt werden. Im Bereich der AR-Technologie (AR = Augmented Reality) werden auf den Displays von Smartphones oder Tablets neben dem Kamerabild weitere Objekte wie Serviceinformationen, Montage- und Bedienungsanleitungen sichtbar gemacht. Eine dritte Kategorie optischer Lösungen bilden Datenbrillen, bei deren Anwendung die Informationen auf die Brillengläser projiziert werden und die Hände frei bleiben. Dies bietet bei der Wartung und Instandhaltung in den Gewerken Vorteile, die eine Serviceleistung beim Kunden vor Ort erbringen wie der Elektrotechnik, dem Heizungs- und Anlagenbau. Mit den steigenden Anforderungen der Digitalisierung gewinnen auch neue Berufsbilder an Bedeutung, wie es der ZVEH mit dem neuen Ausbildungsberuf Elektroniker/in Gebäudesystemintegration im Elektrohandwerk umsetzt und mit dem E-Haus auf der Light + Building 2020 präsentiert.

Autor: Dipl.-Ing. Rainer Holtz, Bereichsleiter Projekte und Technologietransfer, Bundestechnologiezentrum für Elektro- und Informationstechnik e. V. (BFE)

Weitere Informationen:

IT-Sicherheit

IT-Sicherheitspyramide

Ziel einer IT-Sicherheitsstrategie ist die Gewährleistung der Sicherheitsanforderungen bei gleichzeitiger wirtschaftlicher Umsetzung der Schutzmaßnahmen.

Nach dem Modell der IT-Sicherheitspyramide steht an oberster Stelle eine IT-Sicherheitsrichtlinie, in der die langfristige IT-Strategie und die übergeordneten Sicherheitsziele eines Unternehmens festgelegt werden. Daraus ergeben sich die auf der darunterliegenden Ebene liegenden IT-Sicherheitsrichtlinien mit Vorgaben für die Umsetzung. Auf der untersten Ebene geben die IT-Sicherheitsregeln konkrete Handlungsanweisungen vor.

Risiken

  • Mitarbeiter
  • E-Mails
  • Mobile Endgeräte

Bedrohungen

  • Malware
  • Phishing
  • Ransomware
  • Viren
  • Trojaner
  • Hacker-Angriffe
  • E-Mail-Anhänge
  • Mobile Endgeräte (Handys, Smartphones, Tablets)

Schutzmaßnahmen

  • Firewall
  • Antivirus-Programme
  • Air Gap (Physische Trennung sicherheitsrelevanter Systeme)
  • Regelmäßige Software-Updates
  • Regelmäßige Datensicherungen

Weiterführende Informationen

IT-Sicherheit, EDV, Schutz, Cyber, Security, Informationssicherheit
Malware, Trojaner, Viren, Verschlüsselung, Signatur, Firewall, Virenscanner, Phishing, Antivirus, Ransomware

KRITIS - IT-Sicherheit für kritische Infrastrukturen

KRITIS ist Chefsache

Kritische IT-Infrastrukturen der Bereiche Energie, Informationstechnik und Telekommunikation sowie Wasser und Ernährung sollen besser geschützt werden.

Das Gesetz zur Erhöhung der Sicherheit informationstechnischer Systeme (IT-Sicherheitsgesetz) hat Betreiber im Fokus, die ein Mindestniveau an IT-Sicherheit gewährleisten und IT-Störungen an das Bundesamt für Sicherheit in der Informationstechnik (BSI) melden müssen. Die Vorgaben für Energieeffizienz-Messwerte, Verfügbarkeits- und Schutzklassen schafft die europäische Rechenzentrum-Norm EN 50600. Das BSI als Bundesbehörde ist für die Unterstützungs- und Überwachungsfunktion zuständig.

Autor: Thomas Grüschow, Auditor kritische Infrastruktur Data Center, TÜV SÜD Industrie Service GmbH

Weitere Informationen

ANGA COM in Köln

Die Fachmesse ANGA COM mit über 450 Ausstellern für Breitband, Satellit und Kabel findet vom 7. bis 9. Juni 2016 in Köln statt und lockt über 17.000 Besucher an. Begleitend findet ein Fachkongress statt. Themen sind u.a. Cloud-TV, Video on Demand, All over IP, DVB-T2, Smart Home, WLAN und Digitalisierung. Der Besuch zum Thementag Breitband am 9. Juni 2016 ist für Ausstellung und Kongress kostenlos. Die Anmeldung erfolgt online. www.dgwz.de/angacom

Weiterführende Informationen

ANGA COM, Köln, Breitband, Satellit, Kabel, Messe, Kongress

IT-Grundschutz - Bundesamt für Sicherheit in der Informationstechnik (BSI)

IT-Grundschutz

IT-Grundschutz - Bundesamt für Sicherheit in der Informationstechnik (BSI)Das Bundesamt für Sicherheit in der Informationstechnik (BSI) hat den IT-Grundschutz entwickelt, um in deutschen Behörden und Unternehmen ein angemessenes und ausreichendes Schutzniveaus für IT-Systeme zu erreichen. Hierfür werden in den IT-Grundschutz-Katalogen technische Sicherheitsmaßnahmen und infrastrukturelle, organisatorische und personelle Schutzmaßnahmen beschrieben.

Weiterführende Informationen

IT-Grundschutz

Logo der Allianz für Cyber-Sicherheit vom BSI (png)

Sichere IT-Systeme

Allianz für Cyber-Sicherheit

Logo der Allianz für Cyber-Sicherheit vom BSI (png)Die Allianz für Cyber-Sicherheit ist eine Initiative des Bundesamtes für Sicherheit in der Informationstechnik (BSI) und der deutschen Wirtschaft, um die IT-Sicherheit in Deutschland zu stärken. Über 1.200 Unternehmen und Institutionen nehmen bereits teil. Sie werden kostenlos über neue Gefahren und Gegenmaßnahmen informiert, tauschen Erfahrungen aus und besuchen regelmäßige Veranstaltungen zu aktuellen Themen rund um die Cyber-Sicherheit. Der nächste Cyber-Sicherheitstag findet am 24. September 2015 in Hamburg statt. (sp)

Autorin: Stephanie Pötz (sp), Referat C 26 IT-Grundschutz und Allianz für Cyber-Sicherheit, Bundesamt für Sicherheit in der Informationstechnik (BSI)

Weitere Informationen

Technischer Risikomanager

Risikobewertung Notfall- und GefahrensituationÜbersicht zum Technischen Risikomanager nach DIN VDE V 0827

Zertifizierte Technische Risikomanager | Ausbildung | Prüfung | Weitere Informationen

Der Technische Risikomanager ist durch die DIN VDE V 0827 vorgeschrieben. Er nimmt eine Risikobewertung für Einrichtungen vor, in denen ein Notfall- und Gefahren-Reaktions-System (NGRS) errichtet werden soll. Aus Lage, Größe und Vorkommnissen in der Vergangenheit werden Schutzklassen und Maßnahmen bestimmt, um z. B. eine Schule oder Öffentliche Einrichtung auf mögliche Bedrohungslagen und Gefahrensituationen vorzubereiten. Der Technische Risikomanager fällt die notwendigen Entscheidungen für die Auswahl eines geeigneten NGRS.

Zertifizierte Technische Risikomanager nach DIN VDE V 0827

Ausbildung

Für die Aufgabe des Technischen Risikomanagers sind insbesondere leitende Mitarbeiter und Sicherheitsfachkräfte von Schulen, Schul- und Bauämtern und anderen Öffentlichen Einrichtungen sowie Sachverständige und Fachplaner geeignet. Die Ausbildung zum Technischen Risikomanager umfasst eine dreitägige Schulung mit schriftlicher Prüfung. In dem Seminar müssen umfassende Kenntnisse zum Risikomanagement, den zugrundeliegenden Normen DIN VDE V 0827, DIN ISO 31000 und DIN EN 31010 und den notwendigen Dokumentationspflichten wie dem Aufstellen und Pflegen der Dokumentation und der Risikomanagement-Akte vermittelt werden.

Prüfung zum Technischen Risikomanager

Die Sachkunde zum Technischen Risikomanager nach DIN VDE V 0827 muss durch eine schriftliche Prüfung nachgewiesen werden. Die Rahmenbedingungen sind in der Prüfungsordnung für die Prüfung zum Technischen Risikomanager nach DIN VDE V 0827 (DGWZ 1013:2015-07) geregelt.

Die wesentlichen Punkte der Prüfungsordnung sind:

  • Die Prüfung zum Technische Risikomanager bezieht sich auf die DIN VDE V 0827 – Teil 1, ISO 31000 und DIN EN 31010
  • Die Prüfung besteht aus 20 bis 25 Multiple-Choice-Fragen und dauert eine Stunde
  • Die Prüfung gilt als Bestanden bei einem Erreichen von mindestens 70 % der Gesamtpunktzahl
  • Die Prüfung kann beliebig oft wiederholt werden
  • Die Sachkunde zum Technischen Risikomanager ist befristet auf fünf Jahre

Weitere Informationen

Schlagworte

Bedrohungslage, Gefahrensituation, Riskobewertung, Risikomanagement, Norm, DIN VDE V 0827, ISO 31000, DIN EN 31010, Notfall- und Gefahren-Reaktions-System, NGRS, Technischer Risikomanager