Sicherheit für SAP-Systeme: „Trusted ERP“

Wie alle IT-Systeme sollten auch SAP-Systeme einer regelmäßigen Sicherheitsuntersuchung unterzogen werden. In Zusammenarbeit mit der Werth IT GmbH und der TÜV TRUST IT GmbH ist ein Prüf- und Zertifizierungsverfahren entstanden, mit dem Ihr SAP / ERP-System nach „Trusted ERP“ überprüft und auf Wunsch zertifiziert wird. Mit diesem Verfahren, das aus einer technischen und einer organisatorischen Prüfung besteht, führen Sie einen unabhängigen Nachweis über ein dem „Stand der Technik“ entsprechendes Sicherheitsniveau.

Technischer Prüfumfang des „werthAUDITOR“

KonzeptAcht hat dieses Verfahren mit entwickelt, ist maßgeblich an der Erstellung der organisatorischen Prüfung beteiligt und führt diese bei Kunden durch.

Ihr Nutzen:

  • Unabhängige und vollständige Prüfung Ihres ERP-Systems auf Cyberrisiken
  • Detaillierte Berichte zur durchgeführten Prüfung inklusive Risikobewertung
  • Klare Handlungsempfehlungen und Strategien zur Abmilderung eventueller Risiken
  • Externe Bestätigung der wirksamen Sicherheitsmaßnahmen und des erreichten Sicherheitsniveaus
  • Prüf- und Gütesiegel „TRUSTED ERP“ zur Nutzung für Ihr Marketing und als Nachweis des funktionierenden Risikomanagements
  • Verbesserung Ihrer Marktchancen: Beleg gegenüber Ihren Kunden und Ihrer Geschäftsführung, dass Ihre Daten und Geschäftsprozesse vertrauenswürdig und sicher sind
  • Know-how Transfer durch Sicherheitsexperten der KonzeptAcht GmbH, TÜV TRUST IT (objektive Prüfung) und der Werth IT

Laden Sie sich unser gemeinsam erstelltes Datenblatt zur Prüfung und Zertifizierung herunter und sprechen Sie uns bei Fragen gerne an.

IT-Sicherheitskatalog für Energieerzeuger veröffentlicht

Die Bundesnetzagentur (BNetzA) hat den „IT-Sicherheitskatalog gemäß § 11 Absatz 1b Energiewirtschaftsgesetz“ veröffentlicht.

Demnach haben „Betreiber von Energieanlagen, die durch die Verordnung zur Bestimmung Kritischer Infrastrukturen nach dem BSI-Gesetz (BSI-Kritisverordnung) vom 22. April 2016 (BGBl. I S. 958), zuletzt geändert durch Artikel 1 der Verordnung vom 21. Juni 2017 (BGBl. I S. 1903), in der jeweils geltenden Fassung als Kritische Infrastruktur bestimmt wurden und an ein Energieversorgungsnetz angeschlossen sind, einen angemessenen Schutz gegen Bedrohungen für Telekommunikations- und elektronische Datenverarbeitungssysteme (TK- und EDV- Systeme) zu gewährleisten, die für einen sicheren Anlagenbetrieb notwendig sind.“  
[Quelle: IT-Sicherheitskatalog gemäß § 11 Absatz 1b Energiewirtschaftsgesetz]

Das zugehörige Konformitätsbewertungsprogramm, welches Aufschluss über die Umsetzungsanforderungen, Umsetzungsfristen und Anforderungen an die Zertifizierungsstellen sowie Auditoren gibt, wird in 2019 erwartet.

Der IT-Sicherheitskatalog kann unter dem folgenden Link eingesehen werden:
https://www.bundesnetzagentur.de/SharedDocs/Downloads/DE/Sachgebiete/Energie/Unternehmen_Institutionen/Versorgungssicherheit/IT_Sicherheit/IT_Sicherheitskatalog_2018.pdf?__blob=publicationFile&v=4

Benötigen Sie Hilfe bei der Umsetzung oder haben Sie weitergehende Fragen, so sprechen Sie uns gerne an.


Sicherheitstipp: Fragen, die jeder CEO zu Cyber-Risiken stellen sollte..

Das US-CERT der USA ist vielen Verantwortlichen in der Informationssicherheit unter anderem als verlässliche Quelle für Meldungen zu Schwachstellen in IT-Systemen und ICS-Systemen bekannt.

In einem aktuellen Beitrag (Security Tip (ST18-007)) stellt das US-CERT nun einige Fragen vor, die sich CEOs stellen sollten, wenn sie das Thema Cyber-Sicherheit beleuchten. Der Beitrag des US-CERT kann auf der folgenden Webseite eingesehen werden:

https://www.us-cert.gov/ncas/tips/ST18-007

Benötigen Sie Hilfe bei der Planung einer angemessenen Strategie gegen Cyber-Risiken? Sprechen Sie uns an.

Weitere Hinweise finden Sie auch im Fachartikel „Das NIST Cybersecurity Framework in der Praxis – Ein Praxisbericht von Thomas Kochanek“ in unseren News.

BSI-Lagebericht der IT-Sicherheit in Deutschland 2018 vorgestellt

In der aktuellen Woche haben Bundesinnenminister Horst Seehofer und BSI-Präsident Arne Schönbohm in Berlin den „Lagebericht der IT-Sicherheit in Deutschland 2018“ vorgestellt.

Die im Bericht dargestellte Gefährdungslage ist laut eigener Aussage weiterhin hoch, allerdings im Vergleich zum vorherigen Bericht deutlich vielschichtiger geworden. Ein Fokus von Sicherheitsmaßnahmen sollte folglich weiterhin auf die Cyber-Sicherheit gelegt werden.

Der Lagebericht kann unter dem folgenden Link heruntergeladen werden:

https://www.bsi.bund.de/DE/Publikationen/Lageberichte/lageberichte_node.html

Benötigen Sie Unterstützung bei der Umsetzung von Sicherheitsmaßnahmen, Analysen vorhandener Strukturen oder der Einführung von Managementsystemen, sprechen Sie uns gerne an.

Wie Ihnen das „NIST Cybersecurity Framework“ bei der Umsetzung von Maßnahmen zur Vorbeugung, Erkennung und Behandlung von Cyber-Bedrohungen behilflich sein kann, haben wir bereits in einem eigenen Fachartikel beschrieben. Den Link zu diesem Beitrag finden Sie in unseren News.

Vortrag „Cyberwar – Fiktion oder Realität?“

Cyberwar – Fiktion oder Realität?

Dieser Fragestellung widmet sich der Vortrag, den die KonzeptAcht GmbH zusammen mit der operational services GmbH & Co. KG auf dem Arbeitskreis ISMS für Energieversorger (AK-ISMS) der TÜV TRUST IT GmbH in Köln halten wird. Der AK-ISMS findet vom 08.05.2018 bis 09.05.2018 statt.

Neben der aktuellen Entwicklung innerhalb der Informationssicherheit im Rahmen der Digitalisierung und des Internet of Things (IoT) werden vor allem aktuelle Herausforderungen der Cyber-Security diskutiert und das Vorgehen bei der Vorbereitung von Angriffen auf „Industrial Control Systems“ dargestellt.

Als Referenten werden Jörn Kuhr (operational services) und Thomas Kochanek (KonzeptAcht) teilnehmen. Wir freuen uns auf interessante Stunden und anregende Diskussionen.

Haben Sie Interesse an den Folien des Vortrages? Sprechen Sie uns gerne an.

Das NIST Cybersecurity Framework in der Praxis – Ein Praxisbericht von Thomas Kochanek

Praxisbericht von Thomas Kochanek in der Fachzeitschrift „IT-Governance“

In der aktuellen Ausgabe der „IT-Governance“ (Heft 27 vom März 2018), der Fachzeitschrift des ISACA Germany Chapter e.V. hat Thomas Kochanek, Geschäftsführer der KonzeptAcht GmbH einen Praxisbericht über die Einsatzmöglichkeiten des NIST Cybersecurity Frameworks geschrieben. Der Praxisbericht soll einen Überblick darüber geben, wie das Framework originär verwendet wird und welche Mög­lichkeiten der Einbindung in die eigene Organisation bestehen.

Das »Framework for Improving Critical Infrastructure Cyber­ security« (kurz Cybersecurity Framework) wurde durch das US-amerikanische National Institute of Standards and Techno­logy (NIST) entwickelt. Dieses Rahmenwerk wird als freiwilliges Hilfsmittel gesehen, um das Cybersicherheitsrisiko von Organisationen mit kritischen Infrastrukturen lenken und dauerhaft reduzieren zu können. Längst ist dieses Framework aber nicht mehr nur den Betreibern kritischer Infrastrukturen innerhalb der Vereinigten Staaten vorbehalten. Es findet immer mehr Gefallen und Anwendung auch in kleinen und mittelständischen Unternehmen im deutschen und europäischen Raum und kann vor allem mit bestehenden Managementsystemen und Anforderungen an die Compliance der eigenen Organisation in Ein­klang gebracht und effektiv verwendet werden.

Sollten Sie kein Mitglied des ISACA Germany Chapter e.V. sein oder kein Abonnement der „IT-Governance“ abgeschlossen haben, stellen wir Ihnen den digitalen Sonderdruck gerne kostenlos als PDF Datei zur Verfügung.

Sprechen Sie uns einfach an:  Ihr Weg zu uns

Ablaufdiagramm zur ISMS-Einführung nach ISO/IEC 27001:2013

KonzeptAcht hat die Einführung eines ISMS grafisch aufbereitet und in diesem Ablaufdiagramm die wichtigsten Schritte inkl. der erforderlichen Informationen zu deren Umsetzung dargestellt:

Die Grafik soll allen Verantwortlichen für die Einführung eines ISMS Anhaltspunkte geben, welche Teilaspekte in den einzelnen Normkapiteln der zugrundeliegenden ISO/IEC 27001:2013 zu beachten sind und gleichzeitig als Leitlinie zur Umsetzung des ISMS dienen.

Gerne senden wir Ihnen bei Interesse das Ablaufdiagramm in Originalgröße als PDF-Datei zu.

Sprechen Sie uns an.

https://www.konzeptacht.de/ihr-weg-zu-uns

Entwurf des IT-Sicherheitskatalogs gemäß § 11 Absatz 1b Energiewirtschaftsgesetz online

Die Bundesnetzagentur (BNetzA) hat die Konsultation des aktuellen Entwurfs des IT-Sicherheitskatalogs gemäß § 11 Absatz 1b Energiewirtschaftsgesetz auf ihren Webseiten veröffentlicht. Dieser soll für zukünftig für Betreiber von Energieanlagen gelten, die „durch Inkrafttreten der Rechtsverordnung gemäß § 10 Absatz 1 des BSI-Gesetzes (BSI-Kritisverordnung) vom 14. August 2009 (BGBl. I S. 2821) in der jeweils geltenden Fassung als Kritische Infrastruktur bestimmt wurden und an ein Energieversorgungsnetz angeschlossen sind.“

Ähnlich, wie beim bereits gültigen IT-Sicherheitskatalog gemäß § 11 Absatz 1a für die Betreiber von Strom- und Gasnetzen sind die Energieanlagenbetreiber dann aufgefordert, ein Informationssicherheitsmanagementsystem (ISMS) für den sicheren Betrieb der Anlagen einzurichten.

Mehr Informationen finden Sie auf den Webseiten der BNetzA:

https://www.bundesnetzagentur.de/DE/Sachgebiete/ElektrizitaetundGas/Unternehmen_Institutionen/Versorgungssicherheit/IT_Sicherheit/IT_Sicherheit.html

Sollten Sie Hilfe bei der Umsetzung der Anforderungen benötigen, sprechen Sie uns gerne an.

https://www.konzeptacht.de/ihr-weg-zu-uns

MaRisk BA und BAIT – Sind Sie bereit?

Mit ihrem „Rundschreiben 09/2017 (BA) – Mindestanforderungen an das Risikomanagement – MaRisk“ veröffentlichte die Bundesanstalt für Finanzdienstleistungsaufsicht (BaFin) die Novellierung dieser Mindestanforderungen und setzt mit ihrem „Rundschreiben 10/2017 (BA) – Bankaufsichtliche Anforderungen an die IT (BAIT)“ gleichzeitig zusätzlich präzisierte Anforderungen an die Informationssicherheit von Banken in Kraft.

Sind Sie bereit? Setzt Ihre Bank diese Anforderungen bereits um oder besteht Optimierungsbedarf?

Unsere Experten beraten Sie bei dieser Fragestellung. Mit Hilfe einer übersichtlichen Bestandsaufnahme lassen sich schnell die bereits umgesetzten Maßnahmen erkennen aber auch eventuelles Optimierungspotential herausarbeiten und in übersichtlichen Maßnahmenplänen in Abstimmung mit dem Risikomanagement der Bank definieren.

Sprechen Sie uns an.

BSI veröffentlicht IT-Grundschutz-Kompendium

Mit der diesjährigen it-sa, die in der vergangenen Woche in Nürnberg stattfand, hat das BSI die Modernisierung des IT-Grundschutzes abgeschlossen und das neue IT-Grundschutz-Kompendium vorgestellt. Dieses Kompendium basiert vorerst darauf, die bisher vorhandenen Inhalte der 15. Ergänzungslieferung (15. EL) der IT-Grundschutz Kataloge zu überführen und diese dann weiter auszubauen.

Für alle Anwender des IT-Grundschutzes heißt das, dass auch Zertifizierungen nach dem IT-Grundschutz-Kompendium ab sofort beantragt werden können. Parallel dazu gelten die Übergangsfristen zur Umstellung und jedes Unternehmen muss individuell für sich festlegen, welche Strategie zur Erneuerung einer bestehenden Zertifizierung umgesetzt werden soll.

Benötigen Sie Informationen oder Unterstützung bei Ihrer individuellen Strategie zur Umstellung auf den modernisierten IT-Grundschutz?

Wir erarbeiten mit Ihnen zusammen die auf Ihre Organisation angepasste Strategie. Sprechen Sie uns an.