 |
|
|
|
|
 |
|
Trojaner-Angriffe auf Industrie-Automatisierungsanlagen
Mit den herkömmlichen ISMS nicht beizukommen
FORMAT: ungekürzt
DATUM: 25.10.2011
BEREICH: Informationssicherheit / Datenschutz / Compliance / Risikomanagement
ZIELGRUPPE: IT-Sicherheitsbeauftragte, Datenschutzbeauftragte, IT-Entscheider, Geschäftsführer, Revision
Wie Symantec berichtet, ist jetzt - nach Stuxnet - der zweite Schädling aufgetaucht, der Industrie-Automatisierungs-Anlagen befällt. Symantec nennt diesen neu entdeckten Trojaner "Duqu". Anscheinend liegen Hinweise vor, dass Duqu darauf ausgelegt ist Betriebsgeheimnisse auszuspionieren und/oder Angriffe auf die Industrie-Automatisierung vorzubereiten. Auch das Bundesamt für Sicherheit in der Informationstechnik nimmt diesen zweiten Trojaner sehr ernst und bittet die Industrie Sicherheitsvorfälle zu melden, die sich im Bereich Industrie-Automatisierung ereignen.
Wir fragen den Experten Gerhard Kron, Inhaber von kronsoft, wie man sich vor diesem neuen Schädling schützen kann. Kron gibt Auskunft: "Wir haben es hier mit einem neuen Typ von Schädling zu tun, der nicht im Office-Bereich eines Unternehmens agiert, sondern in der Automatisierungstechnik. Dieser Bereich wird heute durch die bekannten Informationssicherheits-Managementsysteme ISO 27001 oder BSI-Grundschutz nur unzureichend abgedeckt. Wie man sich im Bereich Automatisierungstechnik schützen kann, beschreibt allerdings die IEC 62443, die von der International Electrotechnical Commission herausgegeben wird. Dort wird ein entsprechendes Managementsystem beschrieben. Um zu zeigen, dass es sich um ein spezielles ISMS handelt, hat die IEC den Namen Cyper Security Management System (CSMS) gewählt."
Für unsere Leser hier noch der vollständige Text der Warnmeldung des BSI:
BSI: Wirtschaft soll Befall mit Duqu-Wurm melden
Unternehmen, deren Systeme mit dem neu entdeckten Trojaner Duqu befallen sind, sollen das den Behörden melden. Dazu hat der Präsident des Bundesinstituts für Sicherheit in der Informationstechnik (BSI), Michael Hange, die deutsche Wirtschaft aufgefordert. Zwar bestehe eine Meldepflicht von IT-Sicherheitsvorfällen nur für die Bundesverwaltung, sagte er der Frankfurter Allgemeinen Sonntagszeitung (FAS). "Wir setzen aber darauf, dass im gemeinsamen Sicherheitsinteresse – wie in der Vergangenheit – Betroffene mit dem BSI zusammenarbeiten."
Bisher seien dem Institut keine Duqu-Fälle bekanntgeworden. Der Software-Konzern Symantec hatte in der vergangenen Woche erstmals vor dem neuen Wurm gewarnt, der gezielt Unternehmen wie Entwickler von Industrieanlagen ausspähen sollte. Das deutet darauf hin, dass er zum Diebstahl von Betriebsgeheimnissen ausgelegt war, um weitere Angriffe auf Unternehmen vorzubereiten.
Duqu weist zahlreiche Parallelen zu Stuxnet auf, weshalb vermutet wird, dass die Virenschreiber zumindest Zugriff auf den Stuxnet-Quellcode hatten, wenn er nicht sogar von den gleichen Entwicklern stammt. Stuxnet hatte Industrieanlagen in den USA, Südkorea, UK und dem Iran befallen, auf denen die zur Anlagensteuerung eingesetzte SCADA-Software WinCC von Siemens läuft. Ein Siemens-Sprecher teilte der FAS mit, derzeit sei im Unternehmen "kein Befall von Computern mit dem Computerwurm Duqu bekannt". (mit Material von dpa) / (axv)
|
|
|
|
|
Managementsysteme im IT-Bereich
Best Practices helfen Synergien nutzen, bringen Wirtschaftlichkeit ins Spiel, Transparenz, verkürzen Einarbeitungszeiten
FORMAT: ungekürzt
DATUM: 14.06.2011
BEREICH: Informationssicherheit / Datenschutz / Compliance / Risikomanagement
ZIELGRUPPE: IT-Sicherheitsbeauftragte, Datenschutzbeauftragte, IT-Entscheider, Geschäftsführer, Revision
kronsoft unterstützt die „IT“ von Unternehmen und Behörden jeder Größenordnung und Branche die Effizienz zu steigern. Egal, in welchem der IT-Bereiche oder IT nahen Bereichen Sie tätig sind, kronsoft ermöglicht es Ihnen und Ihrer Organisation effizienter zusammenzuarbeiten und Geschäftsinformationen effektiver zu nutzen, um der Konkurrenz immer einen Schritt voraus zu sein.
Durch ausgereifte Software, spezielle Module, einen WEB-Client, einfache Installation und gutem Support sorgen wir dafür, dass Sie die bestmögliche Unterstützung bei der Realisierung Ihrer Aufgaben und Projekte finden.
Unsere Engagement ist es den Verantwortlichen im IT-Umfeld Software an die Hand zu geben, mit der sie ihre Arbeiten wirtschaftlich bewältigen können und sich dabei aber trotz allem auf einem hohem fachlichen Niveau bewegen.
Unsere Vorstellung ist es, dass unsere Anwender Synergieeffekte erzielen, weil sie die verschiedenen fachlichen Aufgaben bündeln können.
kronsoft hat sich im Laufe der Jahre auf die softwareseitige Unterstützung von Managementsystemen spezialisiert und kann heute die Informationssicherheit entsprechend der ISO 27001 und den BSI-Grundschutz, den Datenschutz, das IT-Management, die Inventarisierung und das Helpdesk unterstützen. Weitere Module zur Unterstützung des Audits nach der ISO 19011, der ISO 20000 (ITIL), dem Qualitätsmanagement entsprechend der ISO 9000 und dem Umweltmanagement nach der ISO 14001 sind in Vorbereitung.
Epilog
In den 70-er und 80-er Jahren mussten wir uns über „wirtschaftliche Führung“ der Aufgaben im IT-Umfeld noch keine Gedanken machen, es boomte einfach. In den 90-er Jahren hörten wir ab und zu den Begriff „Globalisierung“, spürten aber noch keine ernsthaften Auswirkungen auf uns selbst.
Heute merken wir diese Auswirkungen der Globalisierung aber sehr stark. Das „Made in Germany“ ist in verschiedenen Branchen nur noch zu 30 % ein wesentlicher Punkt zur Kaufentscheidung; in 70 % der Kaufentscheidungen spielt es also überhaupt keine Rolle mehr.
Man kann bedingt sagen: „heute geht alles über den Preis“. Die aufstrebenden Länder des EMEA-Wirtschaftsraumes beginnen jetzt ihr Preis-Diktat und werden dies noch viele Jahre tun können.
Deshalb ist es jetzt an der Zeit durch das Anwenden von „Best Practices“, also von bewährten, optimalen bzw. vorbildlichen Methoden, Praktiken und Vorgehensweisen auch in unseren Verantwortungsbereichen wirtschaftlich zu arbeiten, damit auch wir und nicht immer nur die Anderen unseren Beitrag zur Gegensteuerung leisten. Natürlich ist das schwieriger als nur „sein eigenes Ding zu machen“.
Im IT-Umfeld wirken Anforderungen aus der Informationssicherheit, aus ITIL, aus dem Qualitätsmanagement, aus dem Umweltmanagement, aus dem Datenschutz und Teilgebiete aus allen finden wir im Compliance-Management. Cobit versucht alle Disziplinen zu deckeln. Für all diese Arbeitsgebiete gibt es Best Practices, sprich Normen (Standards), lediglich für den Datenschutz nicht, der allerdings in allen Arbeitsgebieten seinen Ursprung hat und dadurch ohne Mehraufwand an Leistung durch die anderen Gebiete abgedeckt wird.
Beginnen wir jetzt Verantwortung zu tragen, beginnen wir damit die Fachgebiete der IT an den Runden Tisch zu bringen und ganzheitlich zu arbeiten. In spätestens drei Jahren werden wir sagen: „was für eine gute Entscheidung bereits so frühzeitig auf „Unified Management“ gesetzt zu haben!“.
Das gilt nicht nur für die Privatwirtschaft, nein, auch für Behörden.
kronsoft kann Sie mit opus i dabei unterstützen.
|
|
|
|
|
Software-Inventarisierung trotz Firewall oder hohen Sicherheitseinstellungen
Die Anwender-PCs gut absichern und trotzdem eine aktuelle IT- und Software-Lizenzübersicht führen
FORMAT: ungekürzt
DATUM: 22.03.2011
BEREICH: IT-Verwaltung / Informationssicherheit / Datenschutz / Compliance / Risikomanagement / Inventar / Software / Inventarisierung / Inventarisierungssoftware / Lizenz / Verwaltung / Netzwerk
ZIELGRUPPE: IT-Administratoren, IT-Entscheider, IT-Sicherheitsbeauftragte, Datenschutzbeauftragte, Revision
kronsoft meldet für seine Inventarisierungssoftware opus i die Fertigstellung des zweiten Software-Inventarisierungs-Agenten. Nun kann mit opus i auf zwei verschiedene Arten die Software-Inventarisierung im Netzwerk betrieben werden. Entweder direkt vom Arbeitsplatz des Administrators aus über das Netzwerk und/oder als weitere Möglichkeit, wenn die Anwenderrechner durch Firewall abgesichert sind, mit dem zweiten und neuen Software-Inventarisierungs-Agenten, der über eine Start-Verknüpfung auf dem Anwenderrechner geladen und ausgeführt wird. Dieser neue Agent läuft auch dann, wenn die Firewall vor dem Anwenderrechner geschaltet ist und nicht für den Agenten freigeschaltet wurde. Fehlerhafte Netzwerkeinstellungen oder Änderungen von Freigaben und sonstigen Netzwerksicherheitseinstellungen - zum Beispiel beim Einspielen von neuen Service-Packs - behindern den neuen Agenten ebenfalls nicht. Die im Inventar hinterlegte Information ist sehr einfach über einen Treeview abzurufen. Alle Einzeldaten werden tabellarisch aufbereitet.
opus i Inventarisierung wird einmal zentral, zum Beispiel auf einem "Server", installiert. Die Startverknüpfung für den Agenten kann bei den einzelnen Anwender-PCs in den Autostartordner gelegt werden. Mehr Aufwand ist nicht notwendig.
|
|
|
|
|
ISO-27001-Risikoanalyse und BSI-Grundschutz verknüpfen und Maßnahmen reduzieren
BSI-Grundschutz-Maßnahmen über die Akzeptanzkriterien der Risikoanalyse ausschließen
FORMAT: ungekürzt
DATUM: 02.02.2011
BEREICH: Informationssicherheit / Datenschutz / Compliance / Risikomanagement
ZIELGRUPPE: IT-Sicherheitsbeauftragte, Datenschutzbeauftragte, IT-Entscheider, Geschäftsführer, Revision
Wer sein Informationsmanagementsystem (ISMS) auf der ISO 27001 aufbaut aber die Maßnahmen des BSI-Grundschutzes nicht missen, bzw. in speziellen Fällen gerade die BSI-Grundschutz-Maßnahmen realisieren möchte, findet hier die Vorgehensweise, die beschreibt, wie die Ergebnisse der ISO 27001-Risikoanalyse auf den BSI-Grundschutz und dessen Maßnahmen übertragen werden können. Im Regelfall reduzieren sich die Anzahl der umzusetzenden BSI-Grundschutz-Maßnahmen.
Trotz allem ist es grundsätzlich immer möglich ISO 27001 und Grundschutz-Dinge nebeneinander und unabhängig voneinander zu erstellen und zu bearbeiten.
Hier und in einem speziellen "Paper", welches Sie auch herunterladen können, wird aufgezeigt, wie die Fülle der BSI-Grundschutz-Maßnahmen entsprechend den Festlegungen aus der ISO-27001-Risikoanalyse reduziert werden können.
Es ist wichtig, dass die Festlegungen in der Risikoanalyse gemeinsam im Informationssicherheitsteam erarbeitet werden, sodass beim Ausschließen von Maßnahmen Einigkeit herrscht.
Die Voraussetzung, dass die beschriebene Vorgehensweise angewandt werden kann, ist der Einsatz der opus i Module „BSI-Grundschutz“ und „ISO 27001 nativ“.
Mit "ISO-27001-Risikoanalyse" ist hier und in dem herunterladbaren "Paper" die Risikoanalyse gemeint, die im opus i Modul „ISO 27001 Nativ“ durchgeführt wird.
Sie führt über das Festlegen der Eintrittswahrscheinlichkeiten und Schadenshöhen zur Risikomatrix und über diese zur Einstufung der Akzeptanzkriterien mit anschließendem Einstufen der Risiken und Maßnahmen.
Die Risikoanalyse wird zu einem beliebigen ISO 27001 Prozess aufgesetzt und in fünf Schritte durchgeführt. Im ersten Schritt werden die Eintrittswahrscheinlichkeiten nach Ihrer Einschätzung festgelegt, im zweiten Schritt definieren Sie Ihre Schadenshöhen, im dritten Schritt wird die Risiko-Matrix aufgebaut - dies geschieht direkt am Bildschirm unter Zuhilfenahme der Maus. Im vierten Schritt werden die Risiken bewertet und im fünften Schritt auf die BSI-Grundschutz-Maßnahmen übertragen. Es ergeben sich die Risiko-Akzeptanzkriterien.
Diese Festlegungen können jetzt beim Modellieren eines Prozesses, der nach BSI-Grundschutz-Kriterien aufgebaut ist, auf die Grundschutz-Maßnahmen angewendet werden. Maßnahmen können inaktiv gesetzt oder überhaupt nicht in die Maßnahmenübersicht aufgenommen werden.
Das "Paper" laden Sie hier herunter
http://www.kronsoft.de/download/free/opusi-paper-b2.001.de.zip
Das Kennwort ist: SuperSache.
|
|
