[datensicherheit.de, 21.06.2025] Das Bundesamt für Sicherheit in der Informationstechnik (BSI) hat am 17. Juni 2025 gemeldet, dass es zwei weitere Steuerboxen für Intelligente Stromnetze nach der Technischen Richtlinie „BSI-TR-03109-5“ zertifiziert hat. Damit stehen nun laut BSI insgesamt acht Steuerbox-Lösungen für den Aufbau eines interoperablen, flexiblen und gleichzeitig sicheren Energiesystems am deutschen Markt zur Verfügung.

Abbildung: BSI

BSI fordert als einen wichtigen Schritt die zielgerichtete Härtung zentraler Komponenten im „Smart Grid“

Deutschland muss proaktiv in Sicherheitsstrukturen, technische Schutzmaßnahmen und resiliente Architekturen investieren

Zuverlässige Stromversorgung sei ein kritischer Faktor für nahezu alle Bereiche des gesellschaftlichen Lebens. „Die aktuelle Bedrohungslage im Cyberraum zeigt, dass staatliche und nichtstaatliche Akteure verstärkt versuchen, Schwachstellen im Energiesystem auszunutzen.“

Aus Sicht des BSI muss Deutschland daher „proaktiv in Sicherheitsstrukturen, technische Schutzmaßnahmen und resiliente Architekturen investieren“, um seine Energieversorgung langfristig zu sichern und die Risiken systemischer Ausfälle zu minimieren.

Zielgerichtete Härtung zentraler Komponenten im „Smart Grid“

Ein wichtiger Schritt dabei sei die zielgerichtete Härtung zentraler Komponenten im „Smart Grid“, in denen das Smart-Meter-Gateway (SMGW) und Steuerbox-Lösungen eine entscheidende Rolle spielten. „Mit Steuerbox-Lösungen, die nach der durch das BSI herausgegebenen Technischen Richtlinie ,BSI-TR-03109-5‘ zertifiziert sind, können Steuerbefehle über die nachweislich sichere Infrastruktur des SMGW übertragen werden.“

In diesem Zusammenhang nehme die sichere Digitalisierung der „Energiewende“ in Deutschland nun weiter Fahrt auf: „Die Unternehmen Theben Smart Energy GmbH und VIVAVIS AG haben für ihre Steuerboxlösungen die Anforderungen der ,BSI TR 03109-5‘ erfüllt und erfolgreich die Zertifizierung nach ,Technischer Richtlinie’ sowie die ,Beschleunigte Sicherheitszertifizierung’ (BSZ) des BSI abgeschlossen.“

Neue Steuerboxen erfüllen durch das BSI formulierten Anforderungen an IT-Sicherheit und Interoperabilität

Beide Hersteller hätten nachgewiesen, dass ihre Produkte die durch das BSI formulierten Anforderungen an IT-Sicherheit und Interoperabilität erfüllten. Die beiden zertifizierten Produkte ermöglichten darüber hinaus die standardisierte Steuerung energiewende-relevanter Geräte wie Wechselrichter, Wärmepumpen und Wallboxen.

Mit diesen zertifizierten Produkten könnten nicht nur Neuanlagen über EEBus angebunden werden, sondern auch Bestandsanlagen über Relais-Steuerung nachgerüstet werden. „Damit stehen praxistaugliche, skalierbare und zukunftssichere Lösungen für die netzdienliche Steuerung von Energiewendeanlagen bereit.“

Es geht um die Strom-Versorgungssicherheit in Deutschland und Europa

Die BSI-Präsidentin, Claudia Plattner, kommentiert: „Wir müssen uns schon heute für künftige Gefahren rüsten, indem wir die Sicherheitsarchitektur im Energiesektor insgesamt robuster aufstellen!“ Sogenannte Energiewende-Anlagen seien dabei ein wichtiger Faktor, denn sie hätten erheblichen Einfluss auf die Stabilität des europäischen Verbundnetzes und damit auf die Versorgungssicherheit in Deutschland und Europa.

„Mit den erfolgreichen Zertifizierungen von nun insgesamt acht Steuerbox-Lösungen kann der Aufbau eines interoperablen, flexiblen und gleichzeitig sicheren Energiesystems spürbar beschleunigt werden – ein entscheidender Schritt für das Gelingen der ,Energiewende’“, so Plattner.

Transparenter und einheitlicher Zertifizierungsprozess mit hoher Prüftiefe

Zeitgleich habe das BSI die Testspezifikation „TS 03109-1“ zur Technischen Richtlinie „TR 03109-1“ für Smart-Meter-Gateways (SMGW) aktualisiert. Damit könnten Hersteller von SMGW nachweisen, dass ihre Produkte die gesetzlichen Anforderungen an die Funktionalität, Interoperabilität und Nachhaltigkeit, welche das „Messstellenbetriebsgesetz“ (MsbG) fordert, erfüllen.

Durch die Veröffentlichung der Testspezifikation werde ein transparenter und einheitlicher Zertifizierungsprozess mit hoher Prüftiefe gewährleistet, welcher zudem in hohem Maße automatisierbar sei. Die bereits in den Zertifizierungsverfahren nach „BSI TR-03109-5“ zum Einsatz kommende Smart-Metering-Testplattform werde derzeit weiterentwickelt, um auch in Zertifizierungsverfahren für SMGW eingesetzt werden zu können.

Weitere Informationen zum Thema:

Bundesamt für Sicherheit in der Informationstechnik
Smart-Meter-Gateway / Cybersicherheit für die Digitalisierung der Energiewirtschaft

Bundesamt für Sicherheit in der Informationstechnik
BSI TR-03109: Technische Vorgaben für intelligente Messsysteme und deren sicherer Betrieb

Bundesamt für Sicherheit in der Informationstechnik, 10.06.2025
TS-03109-1: Testspezifikation zur Technischen Richtlinie TR-03109-1 / Version 2.0

Bundesamt für Sicherheit in der Informationstechnik, 21.05.2025
BSI fordert robuste Cybersicherheit für die Energieversorgung

Bundesamt für Sicherheit in der Informationstechnik, 12.12.2024
Technische Richtlinie BSI TR-03109-1: Anforderungen an die Interoperabilität der Kommunikationseinheit eines intelligenten Messsystems / Version 2.0

Bundesamt für Sicherheit in der Informationstechnik, 24.11.2024
Technische Richtlinie BSI TR-03109-5: Kommunikationsadapter / Version 1.0

Bundesamt für Sicherheit in der Informationstechnik, 21.11.2024
Digitale Energiewende: Drei Steuerboxen für intelligente Messsysteme zertifiziert

Bundesamt für Sicherheit in der Informationstechnik, 17.09.2024
Digitale Energiewende: BSI zertifiziert erste Steuerbox für intelligente Messsysteme

datensicherheit.de, 14.08.2023
Drohender Totalausfall: Sicherheitslücken in Rechenzentren könnten Energieversorgung lahmlegen / Trellix Advanced Research Center veröffentlicht Bericht zur Bedrohung moderner Rechenzentren

[datensicherheit.de, 15.06.2025] Laut einer aktuellen Meldung der Bundesbeauftragten für den Datenschutz und die Informationsfreiheit (BfDI) haben zahlreiche Datenschutzaufsichtsbehörden haben vom 11. bis zum 13. Juni 2025 einen Workshop zum Thema DSGVO-Zertifizierung veranstaltet: „Aus der ganzen EU sind Experten zusammengekommen und diskutierten, wie DSGVO-Zertifizierung genutzt werden kann, um das Datenschutzniveau europaweit zu verbessern.“

Foto: Johanna Wittig

Prof. Dr. Louisa Specht-Riemenschneider rät, DSGVO-Zertifizierung zu fördern und zu leben

DSGVO sieht Förderung von datenschutzspezifischen Prüfverfahren und Datenschutzsiegeln vor

Die DSGVO sieht demnach die Förderung von datenschutzspezifischen Prüfverfahren und Datenschutzsiegeln vor, welche nachweisen sollen, dass bei Verarbeitungsvorgängen die DSGVO eingehalten wird. Das Genehmigungsverfahren von Zertifizierungskriterien läuft laut BfDI im Rahmen einer Expertengruppe, welche zu diesem Workshop zusammenkam.

Gemeinsam mit Zertifizierungs- und Akkreditierungsstellen sowie Programmeignern sei evaluiert worden, wie Prozesse rund um die Zertifizierung verbessert werden könnten und welche Erfahrungen bereits gemacht wurden.

Datenschutz profitiert, wenn DSGVO-Zertifizierung gefördert und gelebt wird

Die BfDI, Prof. Dr. Louisa Specht-Riemenschneider, betonte dabei die Bedeutsamkeit von DSGVO-Zertifizierung für alle beteiligten Akteure:

„Betroffene Personen, Unternehmen, Zertifizierungsstellen und auch Datenschutzaufsichtsbehörden profitieren, wenn Zertifizierung gefördert und gelebt wird.“

Weitere Informationen zum Thema:

BfDI Die Bundesbeauftragte für den Datenschutz und die Informationsfreiheit
Zertifizierung

datenschutz cert
Zertifizierungen gem. DSGVO – information privacy standard / Was ist ein DSGVO-Zertifikat?

Bayerisches Landesamt für Datenschutzaufsicht
Zertifizierung

datensicherheit.de, 24.03.2025
AUDITOR: Erste DSGVO-Zertifizierung speziell für Cloud-Dienste / Der EDSA und der LDI NRW hatten bereits im Juni 2024 „AUDITOR“ als Datenschutzzertifizierung gemäß Artikel 42 DSGVO anerkannt

[datensicherheit.de, 20.05.2025] KI-Kenntnisse führen die Liste der 15 am schnellsten wachsenden Fähigkeiten an, die Fachleute benötigen, um heute wettbewerbsfähig zu bleiben. Dies ist die Aussage eines neuen LinkedIn-Berichts. Audit-Experten sind mit einer sich entwickelnden Technologie- und Compliance-Landschaft konfrontiert, in der KI eine wichtige Rolle spielt. Um diesen Anforderungen gerecht zu werden, hat ISACA die ISACA Advanced in AI Audit (AAIA)-Zertifizierung eingeführt – die erste fortgeschrittene, prüfungsspezifische Zertifizierung für Künstliche Intelligenz, die sich an erfahrene Auditoren richtet.

Auszeichnung für IT-Prüfungsexperten

Die Zertifizierung zeichnet IT-Prüfungsexperten aus, welche die Komplexität von KI beherrschen. Sie können nachweisen, dass sie Risiken erkennen, Chancen nutzen und die Einhaltung von Vorschriften gewährleisten sowie die Integrität des Unternehmens schützen können. Die Zertifizierung basiert auf der bewährten ISACA-Expertise in der IT-Prüfung. Hinzu kommen die strengen Standards, die hinter renommierten Zertifikaten wie dem „Certified Information Systems Auditor“ (CISA) von ISACA, dem „Certified Internal Auditor“ (CIA) vom Institute of Internal Auditors (IIA) und dem „Certified Public Accountant“ (CPA) vom American Institute of Certified Public Accountants (AICPA) stehen. Sie bestätigt die Fachkompetenz in der Durchführung KI-bezogener Prüfungen, der Bewältigung von Herausforderungen bei der KI-Integration und der Verbesserung von Prüfungsprozessen durch KI-gesteuerte Erkenntnisse.

IT-Audit-Experten können nicht nur Systeme prüfen, die KI nutzen, sondern auch KI-Tools und -Techniken einsetzen. Damit können sie Prüfungen rationalisieren, den manuellen Aufwand verringern und die betriebliche Effizienz steigern, um eine schnellere und genauere Entscheidungsfindung zu ermöglichen. Gleichzeitig werden die höchsten Standards für Genauigkeit, Compliance und Innovation eingehalten.

Anforderung zum Absolvieren der „Advanced in AI Audit“-Zertifizierung

Personen mit einem aktiven CISA von ISACA, CIA von IIA und CPA von AICPA sind berechtigt, den AAIA zu absolvieren. Dieser deckt die Schlüsselbereiche KI-Governance und -Risiko, KI-Betrieb sowie KI-Prüfungstools und -techniken ab.

„ISACA ist stolz darauf, der globalen Wirtschaftsprüfungsgemeinschaft seit mehr als 55 Jahren durch unsere Prüfungs- und Assurance-Standards, -Rahmenwerke und -Zertifizierungen zu dienen, und wir unterstützen die Gemeinschaft weiterhin mit den Zertifizierungen und Schulungen, die sie in dieser neuen Ära der Prüfungen mit KI benötigen”, sagt Shannon Donahue, Chief Content and Publishing Officer bei ISACA. „Mit dem AAIA können Auditoren ihr Fachwissen und ihre vertrauenswürdigen Beratungsfähigkeiten bei der Bewältigung von KI-getriebenen Herausforderungen unter Beweis stellen und dabei die höchsten Branchenstandards einhalten.“

Zur Prüfungsvorbereitung stehen das „AAIA Review Manual“ sowie der „AAIA Online Review Course“ und die „Questions, Answers, and Explanations Database“ (QAE) zur Verfügung. Alle drei Angebote können ein Jahr lang genutzt werden, um sich optimal auf die Prüfung vorzubereiten.

Ein wachsendes Angebot an KI-Ressourcen, -Schulungen und -Befähigungsnachweisen

In einer kürzlich von ISACA durchgeführten Umfrage unter Fachleuten für digitales Vertrauen, darunter Wirtschaftsprüfer, gaben 85 Prozent an, ihre Fähigkeiten und Kenntnisse im Bereich KI innerhalb der nächsten zwei Jahre erweitern zu müssen, um aufzusteigen oder ihre Stelle zu behalten. 94 Prozent sind zudem der Meinung, dass KI-Fähigkeiten für Fachleute für digitales Vertrauen wichtig sein werden. Vor diesem Hintergrund hat ISACA kürzlich eine Reihe von KI-Kursen und -Ressourcen veröffentlicht, darunter die Kurse „Introduction to AI for Auditors” und „Auditing Generative AI” sowie das „Artificial Intelligence Audit Toolkit”. Im 3. Quartal wird zudem eine weitere neue KI-Zertifizierung eingeführt: die „Advanced in AI Security Management (AAISM)“-Zertifizierung, die von CISMs und CISSPs erworben werden kann.

Weitere Informationen zum Thema:

ISACA
IT Resources | Knowledge & Insights

[datensicherheit.de, 24.03.2025] Laut einer aktuellen Meldung des eco – Verband der Internetwirtschaft e.V. wurde – nachdem der Europäische Datenschutzausschuss (EDSA) und die Datenschutz-Aufsichtsbehörde LDI NRW bereits im Juni 2024 „AUDITOR“ als Datenschutzzertifizierung gemäß Artikel 42 DSGVO anerkannt haben – jetzt der letzte Schritt zum Einsatz am Markt vollzogen: Die Deutsche Akkreditierungsstelle (DAkkS) hat demnach die datenschutz cert GmbH als erste Zertifizierungsstelle akkreditiert. Diese Akkreditierung soll bestätigen, dass die datenschutz cert GmbH die Anforderungen für die Konformitätsbewertung von „Cloud“-Diensten erfüllt und somit berechtigt ist, die Datenschutz-Zertifizierung „AUDITOR“ zu vergeben.

Andreas Weiss, eco, Foto: eco – Verband der Internetwirtschaft e.V.

Andreas Weiss sieht in „AUDITOR“ Stärkung der europäischen Datenhoheit und mehr Rechtssicherheit

„AUDITOR“-Zertifizierung im Rahmen eines BMWK-Projektes gefördert

Diese „AUDITOR“-Zertifizierung wurde laut eco im Rahmen eines vom Bundesministerium für Wirtschaft und Klimaschutz (BMWK) geförderten Projektes von einem Expertenkonsortium unter der Führung des Karlsruher Instituts für Technologie (KIT) und der Universität Kassel entwickelt und stellt die erste speziell auf „Cloud“-Dienste zugeschnittene Zertifizierung gemäß Art. 42 der Datenschutzgrundverordnung (DSGVO) dar.

Das Verfahren sei bereits in der Praxis anhand mehrerer „Use-Cases“ erprobt und validiert und von der DAkkS, der Landesbeauftragten für Datenschutz und Informationsfreiheit Nordrhein-Westfalen (LDI NRW) und dem Europäischen Datenschutzausschuss (EDSA) geprüft worden. „Cloud“-Dienst-Anbieter können jetzt das „AUDITOR“-Zertifikat nutzen, um die Einhaltung der Vorgaben der DSGVO am Markt nachzuweisen.

Zertifizierung „AUDITOR“ nach DSGVO-Maßgabe im Interesse aller Beteiligten

• „Cloud“-Anbieter können mit einer Zertifizierung Sicherheit und Transparenz bieten.
• „Cloud“-Kunden dürfen nur mit solchen „Cloud“-Anbietern zusammenarbeiten, die hinreichende Garantien zur Einhaltung des Datenschutzes vorweisen können.
• Der Schutz personenbezogener Daten von Endverbrauchern steht im Mittelpunkt der „AUDITOR“-Zertifizierung von „Cloud“-Diensten.

Unabhängige Prüfungen und Zertifizierungen lassen „Cloud“-Kunden gezielt mit Anbietern nachweislich hoher Datenschutzstandards zusammenarbeiten

Unabhängige Prüfungen und Zertifizierungen hätten sich weltweit etabliert, um einen objektiven Nachweis dafür zu erbringen, „dass Anforderungen zum Datenschutz und zur Informationssicherheit angemessen umgesetzt sind“. Andreas Weiss, Geschäftsführer des eco – Verband der Internetwirtschaft e.V. kommentiert abschließend:

„Mit ,AUDITOR’ haben wir endlich eine speziell für ,Cloud’-Dienste entwickelte Zertifizierung nach DSGVO-Standards. Das stärkt die europäische Datenhoheit und bietet Anwendern, Unternehmen und öffentlichen Institutionen mehr Rechtssicherheit. ,Cloud’-Kunden können so gezielt mit Anbietern zusammenarbeiten, die nachweislich hohe Datenschutzstandards erfüllen.“

Weitere Informationen zum Thema:

Trusted Cloud
Die Datenschutzzertifizierung des Kompetenznetzwerks Trusted Cloud e.V.

DAkkS, 25.02.2025
datenschutz cert GmbH

datensicherheit.de, 21.03.2025
US-Clouds: Erste Warnungen vor Gefährdung der Datensouveränität in Europa / Unternehmen und Organisationen speichern und verarbeiten sensible Daten bei US-basierten „Cloud“-Anbietern – mangels europäischer Alternativen

datensicherheit.de, 05.12.2024
Finanzsektor: Digitalisierung und Cloud bieten idealen Nährboden für Cyber-Angriffe / Tiho Saric erörtert Cyber-Risiken des Finanzsektors im Rahmen der Digitalisierung und der oftmals damit einhergehenden Migration in die „Cloud“

datensicherheit.de, 14.09.2024
SANS Institute gibt eBook zur Cloud-Sicherheit heraus / Im Fokus: „Cloud“-Sicherheit mit „AWS“, „Google Cloud“ und „Microsoft Azure“

[datensicherheit.de, 04.10.2021] Das Bundesamt für Sicherheit in der Informationstechnik (BSI) hat nach eigenen Angaben am 1. Oktober 2021 das Zertifizierungsprogramm nach dem neuen Schema „Beschleunigte Sicherheitszertifizierung“ (BSZ) gestartet. Das Programm sei zunächst auf Produkte aus dem Bereich der Netzwerkkomponenten ausgerichtet. Künftig werde es auch für andere Anwendungsbereiche angeboten werden.

BSZ ermöglicht Herstellern Sicherheitsaussage mit unabhängigem Zertifikat

„Das neue Zertifizierungsprogramm ist eine wichtige Neuerung im Angebot des BSI für mehr Cyber-Sicherheit in Deutschland.“ Die BSZ ermögliche es Herstellern, die Sicherheitsaussage ihres Produktes durch ein unabhängiges Zertifikat bestätigen zu lassen.
Das Zertifizierungsschema verfolge einen risikobasierten Ansatz. Die Sicherheitsleistungen des IT-Produkts würden dabei innerhalb eines festen Zeitrahmens mittels Konformitäts- und Penetrationstests auf ihre Sicherheitsleistungen und ihre Widerstandsfähigkeit gegen Angriffe geprüft.

BSZ klar strukturiert und mit überschaubarem Dokumentationsaufwand verbunden

Das gesamte Verfahren sei klar strukturiert und mit einem überschaubaren Dokumentationsaufwand verbunden. So würden die Produktzertifizierungen nach BSZ für die Hersteller gut planbar und mit moderaten Kosten umsetzbar sein. Für Anwender werde zudem gewährleistet, „dass der Hersteller das Produkt über einen definierten Zeitraum von in der Regel zwei Jahren durch Sicherheitsupdates auf dem neuesten Stand hält“.
Das Zertifikat sei mit einer eindeutigen und verständlichen Darstellung der Sicherheitseigenschaften sowie einer belastbaren Aussage über die Widerstandsfähigkeit des zertifizierten Produkts verbunden.

BSZ-Schema bereits erfolgreich in Pilotphase erprobt

Das BSZ-Schema sei erfolgreich in einer Pilotphase erprobt worden. „In dieser konnte nicht nur schon das erste BSZ-Zertifikat für ein IT-Produkt vergeben werden, sondern es konnten auch die ersten Prüfstellen ihre Eignung nachweisen.“ So stehen laut BSI zum Programmstart bereits drei für die BSZ anerkannte Prüfstellen bereit:

• TÜV Informationstechnik GmbH, Prüflabor für IT-Qualität, Standort Essen,
• OpenSource Security GmbH, IT-Sicherheitslabor, Standort Steinfurt und
• SRC Security Research & Consulting GmbH, Standort Bonn.

Prüfstellen können sich im Rahmen eines Erstverfahrens für die BSZ anerkennen lassen

Weitere Prüfstellen könnten sich ab dem Start des Programms im Rahmen eines Erstverfahrens ebenfalls für die BSZ anerkennen lassen. Eine Voraussetzung für die Anerkennung als BSZ-Prüfstelle sei die Umsetzung und Aufrechterhaltung der Norm DIN EN ISO/IEC 17025:2018. Die BSZ schaffe ein hohes Niveau an Vertrauen („CSA-high“) in die Sicherheitsaussagen und ergänze damit das schon bestehende Portfolio des BSI mit der Zertifizierung nach „Common Criteria“ und der Zertifizierung nach Technischen Richtlinien.
Das BSZ-Schema sei zur französischen „Certification de Sécurité de Premier Niveau“ (CSPN) kompatibel, eine gegenseitige Anerkennung zwischen Deutschland und Frankreich in Vorbereitung. Die Kompatibilität zum „Fixed-Time“-Ansatz (FIT CEM/prEN 17640) bilde zudem eine Basis für die Integration auf europäischer Ebene in zukünftige Schemata nach der Verordnung (EU) 2019/881, bekannt als „Cyber Security Act“ (CSA).

Weitere Informationen zum Thema:

datensicherheit.de, 07.09.2021
Branchenlagebild Automotive des BSI vorgestellt

Bundesamt für Sicherheit in der Informationstechnik
Beschleunigte Sicherheitszertifizierung

Bundesamt für Sicherheit in der Informationstechnik
Der Wert der Informationssicherheit: Zertifizierung und Anerkennung durch das BSI

Bundesamt für Sicherheit in der Informationstechnik, 21.06.2021
BSI erteilt das erste Zertifikat nach dem Schema „Beschleunigte Sicherheitszertifizierung“

EUR-Lex, 17.04.2019
Verordnung (EU) 2019/881 des Europäischen Parlaments und des Rates vom 17. April 2019 über die ENISA (Agentur der Europäischen Union für Cybersicherheit) und über die Zertifizierung der Cybersicherheit von Informations- und Kommunikationstechnik…

[datensicherheit.de, 19.05.2019] In einer aktuellen Meldung betont das Bundesamt für Sicherheit in der Informationstechnik (BSI), dass viele Unternehmen inzwischen zu der Erkenntnis gelangt seien, „dass Informationssicherheit eine notwendige Voraussetzung dafür ist, die Vorteile der Digitalisierung möglichst gewinnbringend nutzen zu können“. Schwer täten sich viele Anwender jedoch damit, entsprechende IT-Sicherheitsmaßnahmen und -prozesse zu planen und strukturiert umzusetzen. Viele Unternehmen und Behörden benötigten daher qualifizierte Beratungsleistungen für ihre Sicherheitsprozesse. Das BSI reagiert demnach auf diesen Bedarf und bietet ab sofort eine neue Personenzertifizierung zum „IT-Grundschutz“-Berater an.

Wichtiger Beitrag für Widerstandsfähigkeit der deutschen Wirtschaft

„Viele Unternehmen und Behörden holen sich heute zu Fragen der Informationssicherheit externe Unterstützung. Das BSI als nationale Cyber-Sicherheitsbehörde setzt mit dem neuen Zertifizierungsangebot den Standard für ein einheitlich hohes Niveau in der Ausbildung der Experten“, erläutert hierzu BSI-Präsident Arne Schönbohm.
Diese könnten die Empfehlungen und Maßnahmen aus dem „IT-Grundschutz“ fundiert und kompetent in der Praxis weitergeben. Jeder einzelne „IT-Grundschutz“-Berater könne damit künftig einen wichtigen Beitrag für die „Widerstandsfähigkeit der deutschen Wirtschaft sowie der öffentlichen Verwaltung im Bereich der Informationssicherheit“ leisten.

Zertifizierungsangebot basiert auf zweistufigem Schulungskonzept

Das neue Zertifizierungsangebot basiert laut BSI auf einem zweistufigen Schulungskonzept. Im ersten Schritt könne der Nachweis als „IT-Grundschutz“-Praktiker abgelegt werden. Nach einer Aufbauschulung erfolge dann die Personenzertifizierung zum„IT-Grundschutz“-Berater.
„IT-Grundschutz“-Berater könnten Behörden und Unternehmen zum Beispiel bei der Entwicklung von Sicherheitskonzepten oder bei der Einführung eines Managementsystems zur Informationssicherheit (ISMS) unterstützen. Im operativen Tagesgeschäft könnten sie mit den zuständigen Mitarbeitern der Institution auf Basis des „IT-Grundschutzes“ Maßnahmen definieren und im Betrieb umsetzen.

Informationen beim „16. Deutschen IT-Sicherheitskongress“

Zertifizierte „IT-Grundschutz“-Berater könnten zudem dabei helfen, ein „ISO 27001“-Audit auf Basis von „IT-Grundschutz“ vorzubereiten. Das BSI arbeitet nach eigenen Angaben mit Schulungsanbietern zusammen, die interessierten Anwendern künftig Schulungen zum „IT-Grundschutz“-Praktiker und „IT-Grundschutz“-Berater anbieten können.
Das BSI stelle dafür ein Curriculum zur Verfügung, die Prüfungen zum IT-Grundschutz-Berater führe das BSI durch. Informationen zur neuen Personenzertifizierung zum „IT-Grundschutz“-Berater biete das BSI auch im Rahmen des „16. Deutschen IT-Sicherheitskongresses“ vom 21. bis 23. Mai 2019 in Bonn an.

IT-Grundschutz: Bewährtes Verfahren, um Niveau der Informationssicherheit zu erhöhen

Der „IT-Grundschutz“ des BSI sei ein bewährtes Verfahren, um das Niveau der Informationssicherheit in Behörden und Unternehmen jeder Größenordnung zu erhöhen. Die Angebote des „IT-Grundschutzes“ gelten laut BSI „in Verwaltung und Wirtschaft als Maßstab, wenn es um die Absicherung von Informationen und den Aufbau eines Managementsystems für Informationssicherheit (ISMS) geht“.
Ein systematisches Vorgehen ermögliche es, „notwendige Sicherheitsmaßnahmen zu identifizieren und umzusetzen“. Die BSI-Standards lieferten hierzu bewährte Vorgehensweisen, das „IT-Grundschutz“-Kompendium in den „IT-Grundschutz“-Bausteinen konkrete Anforderungen.

Weitere Informationen zum Thema:

Bundesamt für Sicherheit in der Informationstechnik
IT-Grundschutz / Personenzertifizierung zum IT-Grundschutz-Berater

Bundesamt für Sicherheit in der Informationstechnik
Veranstaltungen / 16. Deutscher IT-Sicherheitskongress

datensicherheit.de, 15.05.2019
Windows-Schwachstelle: BSI warnt vor möglichen wurmartigen Angriffen

datensicherheit.de, 24.04.2019
Ransomware: BSI warnt vor gezielten Angriffen auf Unternehmen

datensicherheit.de, 05.01.2019
BSI kommentiert unbefugte Veröffentlichung gestohlener Daten und Dokumente

[datensicherheit.de, 11.12.2018] Steffen Teske, perseus-Geschäftsführer, nimmt Stellung zum Entschluss der EU, ihre Cyber-Sicherheitsagentur, die European Network and Information Security Agency (ENISA) zu stärken.

Rahmen für Sicherheit vernetzter Endgeräte gesetzt

„Wir begrüßen die geplante Einführung einer Zertifizierung von Cyber-Sicherheit in der EU“, sagt Teske. Mit diesem Schritt werde ein Rahmen für die Sicherheit vernetzter Endgeräte, für das Internet der Dinge (IoT) sowie für Kritische Infrastrukturen (Kritis) geschaffen.
Wichtig hierbei sei die inhaltliche Ausgestaltung der Zertifizierung, um einen dauerhaften Schutz vor Sicherheitsrisiken durch IT-Endgeräte sicherzustellen.

„Faktor Mensch“ auch weiterhin größtes Risiko für IT-Sicherheit

Der „Faktor Mensch“ bleibe auch weiterhin das größte Risiko in der IT-Sicherheit. Eine permanente Sensibilisierung von Mitarbeitern für Cyber-Risiken müsse zum festen Bestandteil der Unternehmens-DNA gehören.
Angriffe, wie die durch den aktuell grassierenden Trojaner „Emotet“, hätten bereits Kritische Infrastrukturen getroffen. Infektionen mit diesem Trojaner seien in der Regel auf menschliches Versagen (Phishing) und mangelnde Cyber-Hygiene (Patch Management) zurückzuführen.
„Wirtschafts- und Arbeitgeberverbände sowie Berufsinnungen müssen auch zukünftig für Aufmerksamkeit und Sensibilität beim Thema Cyber-Sicherheit werben“, fordert Teske.

Weitere Informationen zum Thema:

EUROPEAN COMMISSION, 10.12.2018
EU negotiators agree on strengthening Europe’s cybersecurity

datensicherheit.de, 23.09.2015
ENISA veröffentlicht „Cyber Europe 2014 After Action Report“

[datensicherheit.de, 29.08.2018] Die CyberArk-Lösung Privileged Access Security ist ab sofort SAP-zertifiziert. Unternehmen sollen damit die Sicherheit in SAP-Umgebungen, einschließlich SAP-ERP-Systemen, entscheidend erhöhen können. Die Lösung schützt nach Angaben des Unternehmens vor Risiken, die mit privilegierten Zugriffen verbunden sind, und vor der Kompromittierung von Zugangsdaten.

Mehr als 90 Prozent der Global-2000-Unternehmen nutzen SAP-Anwendungen. Die privilegierten Zugangsdaten zu den SAP-Applikationen und Systemen sind äußerst attraktive Ziele für Angreifer, da sie einen Zugriff auf kritische Unternehmensdaten ermöglichen. Mit der Privileged Access Security, die nun eine SAP-Zertifizierung für die Integration mit der Technologieplattform SAP NetWeaver erhalten hat, können Unternehmen diese Daten zuverlässig vor externen Angreifern und arglistigen Insidern schützen.

Die Zertifizierung stellt eine entscheidende Erweiterung der bereits existierenden  SAP-Integrationen von CyberArk dar, die für Unternehmen auf dem CyberArk Marketplace verfügbar sind. SAP ist zudem der C3 Alliance, CyberArks globalem Technologie-Partnerprogramm, beigetreten, was die Wichtigkeit der Privileged Access Security in SAP-Umgebungen unterstreicht.

Die Funktionen im Überblick:

• Verwaltung und Sicherung von SAP-Credentials: Unternehmen können die gesamte Sicherheit und operative Effizienz in SAP-Umgebungen verbessern, indem Accounts in CyberArks verschlüsseltes, zentrales Repository übernommen werden. Zudem lässt sich die Passwort-Rotation automatisieren und eine mehrstufige Sicherheitsüberwachung für privilegierte Zugriffe über den gesamten SAP-Stack hinweg realisieren – vom Applikationslayer bis zu Datenbanken, Betriebssystem und Servern.
• Reduzierung der Sicherheitsrisiken privilegierter Zugriffe: Unternehmen können verdächtige Aktivitäten schnell aufspüren und stoppen, indem die Tätigkeiten privilegierter SAP-Anwender überwacht werden. Die CyberArk-Lösung ergänzt die SAP-Sicherheitskontrollen um die Verwaltung, den Schutz und die Überwachung privilegierter Accounts. Sie ermöglicht zudem eine Reduzierung aller mit privilegierten Zugriffen und Aktivitäten verbundenen Risiken im gesamten Unternehmen – von SAP-Lösungen bis zu anderen kritischen Applikationen und Infrastrukturen.
• Erfüllung von Compliance-Anforderungen: Unternehmen können mit einem kompletten Überblick zu privilegierten Zugriffen und Aktivitäten in SAP leicht Compliance-Nachweise hinsichtlich interner Sicherheitsrichtlinien und externer Regularien erbringen – einschließlich DSGVO, PCI-DSS oder SOX.

„Mit der Zertifizierung hat die CyberArk-Lösung Privileged Access Security nun das offizielle Gütesiegel von SAP erhalten. SAP-Anwender haben damit die Gewissheit, dass die hohen Anforderungen von SAP erfüllt sind“, erklärt Michael Kleist, Regional Director DACH bei CyberArk in Düsseldorf. „Mit der innovativen, leistungsstarken und hochskalierbaren CyberArk-Lösung können Unternehmen das vorhandene Risiko- und Compliance-Management in SAP-Umgebungen um die Privileged Access Security und damit um einen extrem kritischen Layer der IT-Sicherheit erweitern, und zwar von der Infrastruktur- über die Middleware- bis hin zur Applikationsebene von einer zentralen Stelle aus – eine wichtige Ergänzung zu vorhandenen SAP-Lösungen im Bereich des Rollen- und Rechtemanagements.“

Weitere Informationen tum Thema:

CyberArk
Solution Brief: CyberArk für SAP-Umgebungen

CyberArk
White Paper: Verbesserung der SAP-Sicherheit mit der Privileged-Access-Security-Lösung von CyberArk

datensicherheit.de, 11.08.2018
Kostenloses Discovery-Tool zum Aufspüren privilegierter Konten

datensicherheit.de, 26.09.2017
Häufig von Unternehmen unterschätzt: Privilegierte Zugriffsrechte als Sicherheitsrisiko

datensicherheit.de, 29.08.2017
Privilegierte Benutzerkonten ins Visier von Hackern

datensicherheit.de, 07.09.2016
IT-Sicherheit im Gesundheitswesen: CyberArk sieht akuten Handlungsbedarf

[datensicherheit.de, 17.08.2018] Die Herausforderungen im Bereich Cybersecurity nehmen auch in Europa branchenübergreifend zu – regionale Lösungen sind notwendig. Um diesem Bedarf gerecht zu werden und die europäische Industrie zu unterstützen, plant UL, ein unabhängiges und weltweit tätiges Unternehmen für Produktsicherheit und Zertifizierung, zur Eröffnung seines neuen Cybersecurity-Labors in Frankfurt ein Cybersecurity-Forum.

Bild: UL

Einblick in ein UL-Prüflabor

Im Fokus der Tagung: Neue Bedrohungen der Cybersicherheit

Die Tagung bringt eine Reihe von Akteuren der Branche zusammen, darunter Hersteller, Experten aus der Forschung und Gäste aus der Politik. Im Mittelpunkt der Tagesordnung stehen neue Bedrohungen der Cybersicherheit, etwa Side-Channel-Angriffe, bekannt durch die Schwachstellen „Meltdown“ und „Spectre“. Darüber hinaus gibt es Management-Briefings mit Demos und Diskussionen. Ergänzend zum Forum und den Veranstaltungen zur Laboreröffnung haben die Teilnehmer die Möglichkeit, sich zu vernetzen und Informationen auszutauschen.

„Es ist absolut notwendig, dass wir uns als globale Organisation für Sicherheitsforschung mit dem Thema Cybersecurity in der vernetzten Welt befassen“, sagte Ingo M. Rübenach, Vice President Central, East and South Europe Region. „Unser Ziel ist es, unseren Kunden dabei zu helfen, die mit modernen Technologien, der Digitalisierung und der Cybersicherheit verbundenen Risiken erfolgreich zu managen. Dadurch unterstützen wir sie dabei, ihre Reputation im globalen Kontext zu schützen.“

Die IECEE-Organisation (IEC System for Conformity Assessment Schemes for Electrotechnical Equipment and Components) hat UL offiziell als Zertifizierungsstelle mit eigenen Prüflabors für Industrie-4.0-Standards der IEC 62443 Familie anerkannt. Das Frankfurter Cybersecurity-Prüflabor von UL erbringt in diesem Rahmen Cybersecurity-Services für Europa.

Neben der Anerkennung zu IEC 62443-2-4 ist UL weltweit die erste Zertifizierungsstelle, die seitens IECEE für die Standards IEC 62443-3-3 und IEC 62443-4-1 anerkannt wurde. UL-Kunden können nun sowohl die Vorteile der einzigartigen, weltweit bewährten Prüf- und Zertifizierungsdienste von UL als auch der UL Advisory Services für Cybersecurity nutzen. Sie erreichen damit einen effizienten Marktzugang in Deutschland, Europa und der ganzen Welt.

Die neue Cybersecurity-Einrichtung von UL in Frankfurt bietet ein breites Portfolio an Dienstleistungen, basierend auf IEC 62443 oder anderen Cybersecurity-Standards, seien es horizontale oder Industriesektor spezifische vertikale.

Weitere Informationen zum Thema:

UL
Cybersecurity Forum and Laboratory Grand Opening (Anmeldung zur Eröffnung und Tagung)

datensicherheit.de, 17.08.2018
Fertigungsindustrie: Cybersicherheit als zentrale Herausforderung

Palo Alto Networks
Cybersicherheit für Fertigungsumgebungen

datensicherheit.de, 03.08.2018
IT trifft OT – Cyberangriffe auf industrielle Umgebungen

datensicherheit.de, 30.07.2018
Studie: Unternehmen vernachlässigen IoT-Sicherheit

datensicherheit.de, 25.07.2018
SANS-Studie: Cybersicherheit im IIoT bedroht

[datensicherheit.de, 04.07.2018] In einem Gastbeitrag geht Catherine Bischofberger, Autorin und Technische Kommunikationsbeauftragte bei der IEC, der Internationalen Normen- und Konformitätsbewertungsstelle für alle Bereiche der Elektrotechnik mit Sitz in Genf, der brennenden Frage nach, wie die „Kritische Infrastruktur von morgen“ geschützt werden kann. Sie setzt hierzu auf spezifische internationale Standards in Kombination mit einem dedizierten und weltweiten Zertifizierungsprogramm.

Ballungsgebiete im Visier hochentwickelte Cyber-Waffen

Man möge sich hierzu eine Stadt von der Größe Londons vorstellen, welche zwangsläufig ins Chaos stürzt, wenn der Öffentliche Personennahverkehr (ÖPNV) zum Erliegen kommt – wenn dann noch die Beleuchtung ausgeht…
Dies sei nicht mehr nur der Stoff von Alpträumen oder das Szenario eines Katastrophenfilms, vielmehr aber eine „reale Möglichkeit, die jeden Tag wahrscheinlicher wird“. Denn Einrichtungen der sogenannten Kritischen Infrastruktur, ob konventionelle Stromlieferanten oder Kernkraftwerke, Eisenbahnfernverkehr oder lokale Untergrundbahnen bzw. andere Formen von
ÖPNV, werden zunehmend Ziele von Cyber-Angriffen.
Hochentwickelte Cyber-Waffen seien bereits entwickelt worden – einschließlich Malware, die den Betrieb von industriellen Kontrollsystemen stören soll. Der zunehmende Einsatz vernetzter Geräte im industriellen Umfeld mache Cyber-Angriffe wahrscheinlicher. Laut des Berichts „ Threat Landscape for Industrial Automation Systems“, veröffentlicht von KASPERSKY lab, seien 18.000 verschiedene Malware-Modifikationen für industrielle Automatisierungssysteme in den ersten sechs Monaten des Jahres 2017 entdeckt worden.

Gesamte Wertschöpfungskette jetzt und zukünftig schützen!

Unter „Machine-to-Machine“-Kommunikation sei eine Reihe von Technologien zu verstehen, die es vernetzten Geräten ermöglichen zu interoperieren, Informationen austauschen oder Aktionen durchführen – oft drahtlos und ohne manuellen Eingriff von Menschen. Sensoren seien in eine wachsenden Anzahl von Geräten eingebettet, um mit deren Hilfe die Automatisierung und Verwaltung von Prozessleitsystemen einschließlich der Übertragung und Verteilung von Elektrizität zu ermöglichen. Während sie unbestreitbare Vorteile in Bezug auf Kosten und Wartung böten, seien sie auch zunehmend anfällig für Hacker-Angriffe.
Cyber-Sicherheit sei daher eines der Hauptanliegen derer, die moderne Fertigungsanlagen sowie jede Art von Kritischer Infrastruktur verwalten. Eine der wenigen Möglichkeiten, diese Einrichtungen jetzt und in Zukunft zu sichern, seien standardisierte Schutzmaßnahmen.
Effiziente Sicherheitsprozesse und -verfahren deckten die gesamte Wertschöpfungskette ab, von den Herstellern von Automatisierungstechnik für Maschinen- und Anlagenbauer, über Installateure bis hin zu den Betreibern. Schutzmaßnahmen sollten nicht nur aktuellen Sicherheitslücken begegnen, sondern auch präventiv ausgerichtet sein, um auf zukünftige vorbereitet zu sein.
Institutionen müssten die Risiken verstehen und mindern sowie sichere Technologien installieren, um die Widerstandsfähigkeit gegenüber Cyber-Angriffen zu erhöhen. „Dies bedeutet die Umsetzung einer ganzheitlichen Cyber-Sicherheitsstrategie auf organisatorischer, prozessualer und technischer Ebene“, betont Bischofberger. Eine solche Strategie müsse umfassende und standardisierte Maßnahmen, Prozesse und technische Mittel sowie die Vorbereitung von Menschen umfassen. Daneben müsse es aber auch den Rückgriff auf ein international anerkanntes Zertifizierungssystem bieten.

Grundlegende Reihe von Standards für Cyber-Sicherheit

Die IEC habe kürzlich die Richtlinien IEC 62443-4-1-2018 veröffentlicht, die neueste in einer Reihe entscheidender Veröffentlichungen, welche „präzise Richtlinien und Spezifikationen für die Cyber-Sicherheit enthält, die für eine Vielzahl von Branchen und Kritischen Infrastruktur-Umgebungen anwendbar sind“, so Bischofberger. Die IEC 62443-Serie empfiehlt demnach, dass Sicherheit ein integraler Bestandteil des Entwicklungsprozesses sein sollte, wobei Sicherheitsfunktionen bereits in den Maschinen und Systemen zu implementieren sind.
Diese horizontalen Standards fänden auch im Verkehrssektor Anwendung: Eine Reihe von Richtlinien zur Cyber-Sicherheit an Bord von Schiffen, von der Internationalen Seeschiffahrtsorganisation (IMO) verabschiedet, nähmen Bezug auf die IEC 62243. Die „Shift2Rail“, eine Initiative, die die wichtigsten europäischen Eisenbahnakteure zusammenbringt, zielt laut Bischofberger darauf ab zu definieren, wie verschiedene Aspekte der Cyber-Sicherheit auf den Eisenbahnsektor angewendet werden sollten. Sie habe anwendbare Standards bewertet und die IEC 62443-Publikationen ausgewählt.
Die IEC 62443-Standards seien außerdem mit dem Cyber-Sicherheitsrahmen des US-amerikanischen National Institute of Standards and Technology (NIST) kompatibel.

International anerkannte Zertifizierung als Basis der Cyber-Sicherheit

Bischofberger: „Ein weiterer Segen ist, dass die 62443-Standards ihr eigenes Zertifizierungsprogramm haben. Die IEC ist die einzige Organisation auf der Welt, die eine internationale und standardisierte Form der Zertifizierung anbietet, die sich mit Cyber-Sicherheit befasst.“ Diese werde von IECEE, dem IEC-System für Konformitätsbewertungssysteme für elektrotechnische Geräte und Komponenten, geliefert. „Das Industrie-Cyber-Sicherheitsprogramm IECEE testet und zertifiziert Cyber-Sicherheit in der Industrieautomation“, so Bischofberger.
Die IEC arbeite auch mit der Wirtschaftskommission der Vereinten Nationen für Europa (UNECE) zusammen, um ein gemeinsames Regelungsdokument mit den Schwerpunkten Konformitätsbewertung und Cyber-Sicherheit zu erstellen. Ziel dieses Dokuments sei die Bereitstellung einer Methodik für einen umfassenden Systemansatz zur Konformitätsbewertung, die auf jedes technische System im Bereich der Cyber-Sicherheit angewendet werden kann.
„Cyber-Schutz auf kosteneffektive Weise zu erreichen, resultiert aus der Anwendung des richtigen Schutzes an den entsprechenden Stellen im System, um das Risiko und die Folgen eines Cyber-Angriffs zu begrenzen. Dazu gehört die Modellierung des Systems, die Durchführung einer Risikoanalyse, die Auswahl der richtigen Sicherheitsanforderungen, die Teil der IEC-Normen sind, und die Anwendung der entsprechenden Konformitätsbewertung auf die Anforderungen gemäß der Risikoanalyse. Wir müssen die Komponenten des Systems, die Kompetenzen der Personen, die es entwerfen, betreiben und warten, sowie die Prozesse und Verfahren, die für seine Ausführung verwendet werden, beurteilen. Dieser ganzheitliche Ansatz zur Konformitätsbewertung ist unerlässlich, um Anlagen, insbesondere Kritische Infrastrukturen, vor Cyber-Kriminalität zu schützen“, erläutert David Hanlon, Sekretär des „IEC Conformity Assessment Board“.
Bischofberger ergänzt abschließend: „In einer Welt, in der Cyber-Bedrohungen allgegenwärtig sind, ist es eine der besten Möglichkeiten, den langfristigen Cyber-Schutz Kritischer Infrastrukturen zu gewährleisten, indem Sie in der Lage sind, spezifische internationale Standards in Kombination mit einem dedizierten, weltweiten Zertifizierungsprogramm anzuwenden.“

Foto: IEC – International Electrotechnical Commission, Genf (CH)

Catherine Bischofberger: Internationale Standards in Kombination mit weltweitem Zertifizierungsprogramm!

Weitere Informationen zum Thema:

KASPERSKY lab – ICS CERT
Threat Landscape for Industrial Automation Systems in H1 2017

IEC
ISO/IEC JTC 1/SC 27 / IT security techniques

datensicherheit.de, 25.06.2018
Angriffe auf Cyber-Sicherheit bei einem Drittel der Industriebetriebe

datensicherheit.de, 09.07.2015
ISO 27034-basiertes Certified Secure Software Development & Testing