Sicherheitstipp: Fragen, die jeder CEO zu Cyber-Risiken stellen sollte..

Das US-CERT der USA ist vielen Verantwortlichen in der Informationssicherheit unter anderem als verlässliche Quelle für Meldungen zu Schwachstellen in IT-Systemen und ICS-Systemen bekannt.

In einem aktuellen Beitrag (Security Tip (ST18-007)) stellt das US-CERT nun einige Fragen vor, die sich CEOs stellen sollten, wenn sie das Thema Cyber-Sicherheit beleuchten. Der Beitrag des US-CERT kann auf der folgenden Webseite eingesehen werden:

https://www.us-cert.gov/ncas/tips/ST18-007

Benötigen Sie Hilfe bei der Planung einer angemessenen Strategie gegen Cyber-Risiken? Sprechen Sie uns an.

Weitere Hinweise finden Sie auch im Fachartikel „Das NIST Cybersecurity Framework in der Praxis – Ein Praxisbericht von Thomas Kochanek“ in unseren News.

BSI-Lagebericht der IT-Sicherheit in Deutschland 2018 vorgestellt

In der aktuellen Woche haben Bundesinnenminister Horst Seehofer und BSI-Präsident Arne Schönbohm in Berlin den „Lagebericht der IT-Sicherheit in Deutschland 2018“ vorgestellt.

Die im Bericht dargestellte Gefährdungslage ist laut eigener Aussage weiterhin hoch, allerdings im Vergleich zum vorherigen Bericht deutlich vielschichtiger geworden. Ein Fokus von Sicherheitsmaßnahmen sollte folglich weiterhin auf die Cyber-Sicherheit gelegt werden.

Der Lagebericht kann unter dem folgenden Link heruntergeladen werden:

https://www.bsi.bund.de/DE/Publikationen/Lageberichte/lageberichte_node.html

Benötigen Sie Unterstützung bei der Umsetzung von Sicherheitsmaßnahmen, Analysen vorhandener Strukturen oder der Einführung von Managementsystemen, sprechen Sie uns gerne an.

Wie Ihnen das „NIST Cybersecurity Framework“ bei der Umsetzung von Maßnahmen zur Vorbeugung, Erkennung und Behandlung von Cyber-Bedrohungen behilflich sein kann, haben wir bereits in einem eigenen Fachartikel beschrieben. Den Link zu diesem Beitrag finden Sie in unseren News.

Vortrag „Cyberwar – Fiktion oder Realität?“

Cyberwar – Fiktion oder Realität?

Dieser Fragestellung widmet sich der Vortrag, den die KonzeptAcht GmbH zusammen mit der operational services GmbH & Co. KG auf dem Arbeitskreis ISMS für Energieversorger (AK-ISMS) der TÜV TRUST IT GmbH in Köln halten wird. Der AK-ISMS findet vom 08.05.2018 bis 09.05.2018 statt.

Neben der aktuellen Entwicklung innerhalb der Informationssicherheit im Rahmen der Digitalisierung und des Internet of Things (IoT) werden vor allem aktuelle Herausforderungen der Cyber-Security diskutiert und das Vorgehen bei der Vorbereitung von Angriffen auf „Industrial Control Systems“ dargestellt.

Als Referenten werden Jörn Kuhr (operational services) und Thomas Kochanek (KonzeptAcht) teilnehmen. Wir freuen uns auf interessante Stunden und anregende Diskussionen.

Haben Sie Interesse an den Folien des Vortrages? Sprechen Sie uns gerne an.

Das NIST Cybersecurity Framework in der Praxis – Ein Praxisbericht von Thomas Kochanek

Praxisbericht von Thomas Kochanek in der Fachzeitschrift „IT-Governance“

In der aktuellen Ausgabe der „IT-Governance“ (Heft 27 vom März 2018), der Fachzeitschrift des ISACA Germany Chapter e.V. hat Thomas Kochanek, Geschäftsführer der KonzeptAcht GmbH einen Praxisbericht über die Einsatzmöglichkeiten des NIST Cybersecurity Frameworks geschrieben. Der Praxisbericht soll einen Überblick darüber geben, wie das Framework originär verwendet wird und welche Mög­lichkeiten der Einbindung in die eigene Organisation bestehen.

Das »Framework for Improving Critical Infrastructure Cyber­ security« (kurz Cybersecurity Framework) wurde durch das US-amerikanische National Institute of Standards and Techno­logy (NIST) entwickelt. Dieses Rahmenwerk wird als freiwilliges Hilfsmittel gesehen, um das Cybersicherheitsrisiko von Organisationen mit kritischen Infrastrukturen lenken und dauerhaft reduzieren zu können. Längst ist dieses Framework aber nicht mehr nur den Betreibern kritischer Infrastrukturen innerhalb der Vereinigten Staaten vorbehalten. Es findet immer mehr Gefallen und Anwendung auch in kleinen und mittelständischen Unternehmen im deutschen und europäischen Raum und kann vor allem mit bestehenden Managementsystemen und Anforderungen an die Compliance der eigenen Organisation in Ein­klang gebracht und effektiv verwendet werden.

Sollten Sie kein Mitglied des ISACA Germany Chapter e.V. sein oder kein Abonnement der „IT-Governance“ abgeschlossen haben, stellen wir Ihnen den digitalen Sonderdruck gerne kostenlos als PDF Datei zur Verfügung.

Sprechen Sie uns einfach an:  Ihr Weg zu uns

Ablaufdiagramm zur ISMS-Einführung nach ISO/IEC 27001:2013

KonzeptAcht hat die Einführung eines ISMS grafisch aufbereitet und in diesem Ablaufdiagramm die wichtigsten Schritte inkl. der erforderlichen Informationen zu deren Umsetzung dargestellt:

Die Grafik soll allen Verantwortlichen für die Einführung eines ISMS Anhaltspunkte geben, welche Teilaspekte in den einzelnen Normkapiteln der zugrundeliegenden ISO/IEC 27001:2013 zu beachten sind und gleichzeitig als Leitlinie zur Umsetzung des ISMS dienen.

Gerne senden wir Ihnen bei Interesse das Ablaufdiagramm in Originalgröße als PDF-Datei zu.

Sprechen Sie uns an.

http://www.konzeptacht.de/ihr-weg-zu-uns

Entwurf des IT-Sicherheitskatalogs gemäß § 11 Absatz 1b Energiewirtschaftsgesetz online

Die Bundesnetzagentur (BNetzA) hat die Konsultation des aktuellen Entwurfs des IT-Sicherheitskatalogs gemäß § 11 Absatz 1b Energiewirtschaftsgesetz auf ihren Webseiten veröffentlicht. Dieser soll für zukünftig für Betreiber von Energieanlagen gelten, die „durch Inkrafttreten der Rechtsverordnung gemäß § 10 Absatz 1 des BSI-Gesetzes (BSI-Kritisverordnung) vom 14. August 2009 (BGBl. I S. 2821) in der jeweils geltenden Fassung als Kritische Infrastruktur bestimmt wurden und an ein Energieversorgungsnetz angeschlossen sind.“

Ähnlich, wie beim bereits gültigen IT-Sicherheitskatalog gemäß § 11 Absatz 1a für die Betreiber von Strom- und Gasnetzen sind die Energieanlagenbetreiber dann aufgefordert, ein Informationssicherheitsmanagementsystem (ISMS) für den sicheren Betrieb der Anlagen einzurichten.

Mehr Informationen finden Sie auf den Webseiten der BNetzA:

https://www.bundesnetzagentur.de/DE/Sachgebiete/ElektrizitaetundGas/Unternehmen_Institutionen/Versorgungssicherheit/IT_Sicherheit/IT_Sicherheit.html

Sollten Sie Hilfe bei der Umsetzung der Anforderungen benötigen, sprechen Sie uns gerne an.

http://www.konzeptacht.de/ihr-weg-zu-uns

MaRisk BA und BAIT – Sind Sie bereit?

Mit ihrem „Rundschreiben 09/2017 (BA) – Mindestanforderungen an das Risikomanagement – MaRisk“ veröffentlichte die Bundesanstalt für Finanzdienstleistungsaufsicht (BaFin) die Novellierung dieser Mindestanforderungen und setzt mit ihrem „Rundschreiben 10/2017 (BA) – Bankaufsichtliche Anforderungen an die IT (BAIT)“ gleichzeitig zusätzlich präzisierte Anforderungen an die Informationssicherheit von Banken in Kraft.

Sind Sie bereit? Setzt Ihre Bank diese Anforderungen bereits um oder besteht Optimierungsbedarf?

Unsere Experten beraten Sie bei dieser Fragestellung. Mit Hilfe einer übersichtlichen Bestandsaufnahme lassen sich schnell die bereits umgesetzten Maßnahmen erkennen aber auch eventuelles Optimierungspotential herausarbeiten und in übersichtlichen Maßnahmenplänen in Abstimmung mit dem Risikomanagement der Bank definieren.

Sprechen Sie uns an.

BSI veröffentlicht IT-Grundschutz-Kompendium

Mit der diesjährigen it-sa, die in der vergangenen Woche in Nürnberg stattfand, hat das BSI die Modernisierung des IT-Grundschutzes abgeschlossen und das neue IT-Grundschutz-Kompendium vorgestellt. Dieses Kompendium basiert vorerst darauf, die bisher vorhandenen Inhalte der 15. Ergänzungslieferung (15. EL) der IT-Grundschutz Kataloge zu überführen und diese dann weiter auszubauen.

Für alle Anwender des IT-Grundschutzes heißt das, dass auch Zertifizierungen nach dem IT-Grundschutz-Kompendium ab sofort beantragt werden können. Parallel dazu gelten die Übergangsfristen zur Umstellung und jedes Unternehmen muss individuell für sich festlegen, welche Strategie zur Erneuerung einer bestehenden Zertifizierung umgesetzt werden soll.

Benötigen Sie Informationen oder Unterstützung bei Ihrer individuellen Strategie zur Umstellung auf den modernisierten IT-Grundschutz?

Wir erarbeiten mit Ihnen zusammen die auf Ihre Organisation angepasste Strategie. Sprechen Sie uns an.

Vorträge „Trusted ERP“ und „Cyber Security in Kritischen Infrastrukturen – Prüfverfahrens-Kompetenz für
§ 8a BSIG“ veröffentlicht

Die KonzeptAcht GmbH war mit ihren Vorträgen auf dem Cyber-Sicherheitstag des BSI und dem IT-GRC Kongress in Berlin vertreten.

Die Vorträge zum Thema „Trusted ERP-Zertifizierung“ und „Cyber Security in Kritischen Infrastrukturen – Prüfverfahrens-Kompetenz für §8a BSIG“ wurden sehr gut besucht und führten im Anschluss zu interessanten Fragen und Diskussionen der Betroffenen. An dieser Stelle möchten wir uns bei allen Veranstaltern und Teilnehmern für ihr Interesse herzlich bedanken.

Die Vorträge stehen auf den jeweiligen Webseiten der Veranstalter zum Download bereit.

Da einige Vorträge in geschützten Mitgliederbereichen zu finden sind, auf die nicht alle unserer Kunden Zugriff haben, bieten wir Ihnen an dieser Stelle an, Ihnen die jeweiligen Vorträge kostenlos als PDF-Datei zuzusenden. Bitte sprechen Sie und hierzu unter den bekannten Kontaktdaten an oder senden Sie eine kurze E-Mail.

Wir freuen uns auf Ihr Feedback.

Zertifizierung von ERP-Systemen nach „Trusted ERP“

Wie alle IT-Systeme sollten auch SAP-Systeme einer regelmäßigen Sicherheitsuntersuchung unterzogen werden. In Zusammenarbeit mit der Werth IT GmbH und der TÜV TRUST IT GmbH ist ein Zertifizierungsverfahren entstanden, mit dem Ihr SAP / ERP-System nach „Trusted ERP“ überprüft und zertifiziert wird. Mit dieser Zertifizierung, die aus einer technischen und organisatorischen Prüfung besteht, führen Sie einen unabhängigen Nachweis über ein dem „Stand der Technik“ entsprechendes Sicherheitsniveau.

KonzeptAcht hat dieses Verfahren mit entwickelt, ist maßgeblich an der Erstellung der organisatorischen Prüfung beteiligt und führt diese bei Kunden durch.

Ihr Nutzen:

  • Unabhängige Überprüfung der SAP/ERP-Sicherheit
  • Zertifikat als objektiver Nachweis des Sicherheitsniveaus
  • Umfassender Ergebnisbericht inkl. Optimierungsmaßnahmen
  • Wirksamer Wettbewerbsvorteil und ein ideales Instrument zur Gewinnung neuer Kunden
  • Onlinestellung des Zertifikats auf der Webseite der TÜV TRUST IT
  • TÜV-Siegel zur Nutzung für Ihr Marketing

Sprechen Sie uns an!