Das neue Control „8.9 Configuration management“ zählt zu den „Technological Controls“ der ISO/IEC 27002:2022. Das Ziel des Controls ist es, dass Konfigurationen (inklusive Sicherheitskonfigurationen) von Hardware, Software, Diensten und Netzwerken eingeführt, dokumentiert, umgesetzt, überwacht und geprüft werden. Was ist üblicherweise Configuration Management? Unter dem Begriff „Configuration Management“ (auch „Configuration Management Database“ (CMDB)) wird z. B. […]
Lars Meyer
About Lars Meyer
Posts by Lars Meyer:
BNetzA ändert Ausnahmeregelung für Netzbetreiber ohne eigene Betriebsführung
Bereits am 19.01.2021 hatte die Bundesnetzagentur eine Mitteilung zur „Zertifizierung nach dem IT-Sicherheitskatalog § 11 Abs. 1a EnWG im Falle der Betriebsführung durch Dritte“ veröffentlicht. Wir wollen diese Mitteilung nun noch mal in Erinnerung rufen, da die betroffenen Strom- und Gasnetzbetreiber für die Einhaltung der Umsetzungsfrist zum 30.11.2022 rechtzeitig mit der Einführung ihres ISMS gemäß […]
Der IT-Sicherheitskatalog für Energieanlagen kommt … bald
Die Bundesnetzagentur hat die Konsultationsfassung für den IT-Sicherheitskatalog gemäß § 11 Absatz 1b Energiewirtschaftsgesetz für Energieanlagen und Gasspeicher veröffentlicht Dieser Sicherheitskatalog muss gemäß der BSI-KRITIS-Verordnung für alle Energieanlagen mit einer installierten Netto-Nennleistung von 420 MW und für Gasspeicheranlagen mit 5190 GWh/Jahr umgesetzt werden. Wie bereits für die Energienetzbetreiber ist auch in diesem IT-Sicherheitskatalog die Einführung […]
Eindrücke zur Automotive Security
Am 27.09 und 28.09 hat der VDI eine Fachtagung zum Thema Automotive Security veranstaltet. Hinter dem Begriff Automotive Security versteckt sich dabei die Informationssicherheit innerhalb des Autos sowie der verbauten Schnittstellen nach außen. Nicht betrachtet werden der Datentransport zu und die Verarbeitung auf Backend-Systemen der Hersteller. Durch die Vorträge hat sich gezeigt, dass auch im […]
Webseitenformulare für personenbezogene Daten richtig schützen!
Funktionsweise von Formularen Websitebetreiber nutzen Formulare, um von Nutzern Daten entgegenzunehmen. Typische Anwendungsfälle sind Kontaktformulare, Bestellformulare oder Eingabemasken für Zugangsdaten. Die Funktionsweise von Formularen ist in der Regel schnell erklärt: Beim Aufruf einer Formularseite werden zunächst die Informationen zum Aufbau der Formulareingabeseite vom Webserver an den Browser übertragen. Ein Formular besteht im Grundsatz mindestens aus […]
Umsetzungsgesetz zur europäischen NIS-Richtlinie tritt in Kraft
Am 29.06.2016 wurde die europäische Richtlinie zur Gewährleistung einer hohen Netzwerk- und Informationssicherheit (NIS-Richtlinie) verabschiedet. Bei der Richtlinie handelt es sich im Wesentlichen um ein europäisches Pendant zum deutschen IT-Sicherheitsgesetz. Da es sich um eine EU-Richtlinie handelt, muss diese Richtlinie noch in nationales Recht umgesetzt werden. Das Umsetzungsgesetz zur EU-NIS-Richtlinie wurde am 23.06.2017 vom Bundestag […]
Aktuelles zum IT-Sicherheitsgesetz
Nachdem das IT-Sicherheitsgesetzes am 25.07.2015 in Kraft gesetzt wurde, waren wichtige Punkte noch nicht geklärt. Beispielsweise war noch nicht eindeutig, wer als Betreiber einer Kritischen Infrastruktur gilt und welche Form die nach §8a geforderte Nachweise haben werden. Rechtsverordnungen Da sich die kritischen Infrastrukturen über verschiedene Branchen verteilen, wurde diese zur besseren Strukturierung in Sektoren unterteilt. […]
Webseiten gemäß Stand der Technik schützen
In den letzten Jahren hat die Unterstützung von Transportverschlüsselung bei Webseiten stark zugenommen. Dies hat sicherlich eine Vielzahl von Gründen: Die Webseitenbetreiber werden stärker für IT-Sicherheit sensibilisiert und werden selbst tätig, die Webseitenbesucher werden durch Hinweise im Browser stärker auf unsichere Webseiten hingewiesen und passen ihr Verhalt entsprechend an und die Verfügbarkeit von Verschlüsselung stellt […]
Notfallmanagement als Gateway-Administrator
Das Notfallmanagement ist beim Betrieb von IT-Systemen ein wichtiges Thema, um auch auf Ausnahmesituationen vorbereitet zu sein und in diesen angemessen und besonnen reagieren zu können. Notfälle werden vom BSI im Standard 100-4 z.B. als Funktionsstörungen definiert, die den Geschäftsbetrieb stark beinträchtigen und im Rahmen der normalen Betriebsabläufe nicht rechtzeitig gelöst werden können und daher hohe […]
Änderungen durch die neue SM-PKI-Policy
Noch in der Vorweihnachtszeit des letzten Jahres, genauer am 09.12.2016, hat das Bundesamt für Sicherheit in der Informationstechnik (BSI) ohne große Ankündigungen die Version 1.1 der Certificate Policy für die Smart Metering PKI (SM-PKI-Policy) veröffentlicht. Im Folgenden möchten wir Ihnen einige der wesentlicheren Änderungen kurz vorstellen. Abschwächung der Funktionstrennung zwischen Rollen der SM-PKI In der alten […]
Gefahren durch Werbung im Internet
Werbung ist in den letzten Jahren nicht mehr aus dem Internet wegzudenken. Auf vielen Webseiten, insbesondere von Nachrichtenportalen und privat betriebenen Webseiten, findet sich eingebundene Werbung. Häufig dient die Werbung dazu, einen Teil der Kosten für den Webseitenbetrieb wieder einzuspielen. Die angezeigte Werbung selbst wird in der Regel nicht direkt durch den Webseitenbetreiber ausgewählt, sondern […]
Gefahren durch vernetzte Systeme
Der aktuelle Trend in der IT führt zu immer mehr und umfassender vernetzen Systemen. Egal ob Schloss, Kamera oder internes Verwaltungssystem, alles wird vernetzt, um dadurch die Verwaltung, den Zugriff oder die Weiterverarbeitung der Daten zu vereinfachen. Für die Vernetzung der Systeme werden dabei unterschiedlichste Anbindungen genutzt, es startet beim internen Netzwerk, geht über eine […]
Täglich grüßt der Datendiebstahl
Mittlerweile vergehen kaum Tage, an denen keine Meldungen zu Datendiebstählen oder Datenpannen in der Presse zu finden sind. Meldungen in der Presse behandeln dabei meistens Vorfälle, in denen sehr viele Benutzer betroffen sind, besonders sensible Daten abgeflossen sind oder die betroffene Webseite bzw. Firma besonders bekannt ist. Für den Benutzer steht bei diesen Meldungen im […]
Wenn der Smart Meter-Gateway-Administrator in der Wolke sitzt
Mittlerweile gibt es kaum eine Dienstleistung oder Anwendung, die nicht auch als Cloud-Lösung angeboten wird. Diese Entwicklung hat auch vor der Smart Meter-Gateway-Administration (GWA) nicht haltgemacht: Häufig wird die Software für eben diese Smartmeter-Gateway-Administration als Software-as-a-Service (SaaS) aus der Cloud angeboten. Anbieter für die SaaS-Lösungen sind dabei in der Regel die Softwarehersteller, die ihre Software […]
Alles Rund um die Smart Metering PKI
Im Stromnetz kommunizieren zukünftig verschiedene Stellen miteinander, damit u.a. eine genauere Erfassung der Stromverbräuche möglich ist. Um die Authentizität und Vertraulichkeit bei der Kommunikation der einzelnen Teilnehmer zu sichern, wird eine Smart Metering Public Key Infrastruktur (SM-PKI) etabliert. Diese, eine sichere Kommunikation im Stromnetz erst ermöglichende Struktur, nimmt immer mehr Gestalt an. In der Smart […]
1 2