News

ITS|KRITIS und der 15. IT-Sicherheitskongress

ITS|KRITIS war mit mehreren Beiträgen beim 15. Deutschen IT-Sicehrheitskongress des BSI dabei. Die Publikationen sind im Tagungsband wiederzufinden.

Die Ressonanz der Besucher ist eindeutig: Ansätze für Kritische Infratrukturen werden dringend benöigt - die Projektergebnisse fänden nicht nur Anklang sondern würden auch eingesetzt werden! 

Tamara Gurschler
19.05.2017 13:07

nrw.uniTS: Forschungstag IT-Sicherheit NRW

Am 26. Juni 2017 in den Räumlichkeiten der Fernuniversität Hagen der 4. Forschungstag IT-Sicherheit NRW statt.
 
Das diesjährige Motto für den Forschungstag lautet „Human Centered Systems Security“. Im Fokus stehen alle Themen und Fragestellungen rund um den Faktor Mensch in der IT-Sicherheit. Wir wollen zeigen, wie vielfältig und wichtig dieses Thema ist. Obwohl der Mensch eine häufige "Fehlerquelle" bei der Verwendung und Entwicklung von IT-Systemen darstellt und so Angriffsrisiken erhöht, sind viele damit verbundene Aspekte noch weitgehend unerforscht. Der Faktor Mensch spielt aber nicht nur bei der Benutzbarkeit von IT-Systemen eine wichtige Rolle, sondern ebenso bei der Entwicklung oder der Administration von IT-Systemen.
Wir haben für Sie hierzu ein spannendes Programm zusammengestellt mit tollen Referentinnen und Referenten aus der Wissenschaft und Wirtschaft NRWs. Neben spannenden Vorträgen zum Faktor Mensch in der Entwicklung, im Unternehmen sowie neuen Blickwinkeln auf den Faktor Mensch gibt es auf unserer Begleitausstellung viele Möglichkeiten zum netzwerken.
Die Veranstaltung richtet sich an Vertreterinnen und Vertreter von mittelständischen Unternehmen, Fachkräften und Wissenschaftlerinnen und Wissenschaftlern.
Wie auch in den letzten Jahren übernimmt die NRW-Wissenschaftsministerin Svenja Schulze die Schirmherrschaft für den Forschungstag.
 
Die Anmeldung und das nähere Programm finden Sie unter: http://www.forschungstag-it-sicherheit.de/  
Die Teilnahme ist kostenfrei, aber die Teilnehmerzahl ist begrenzt.

Max Jalowski
11.05.2017 17:55

Tagungsband RISK 2016 erschienen,

die Proceedings des RISK 2016 Workshops sind unter dem Titel "Risk Assessment and Risk-Driven Quality Assurance, 4th International Workshop, RISK 2016, Held in Conjunction with ICTSS 2016, Graz, Austria, October 18, 2016, Revised Selected Papers" im Springer Verlag veröffentlicht worden. Die Proceedings enthalten Beiträge aus den KRITIS Projekten PREVENT und MOSAIK.

Jürgen Großmann
27.04.2017 15:59

Webinare zu Normen und Standards

Auf einer neuen Unterseite sind nun zwei Webinare der DKE zu den Themen Nationale Normen und Internationale Normen verfügbar.

Webinare Nationale Normen und Internationale Normen

12.04.2017 14:45

Monitor IT-Sicherheit Kritischer Infrastrukturen

Die Ergebnisse der im Sommer 2016 durchgefürhten  Umfrage Monitor IT-Sicherheit Kritischer Infrastrukturen sind ab sofort unter https://monitor.itskritis.de verfügbar

Tamara Gurschler
04.04.2017 09:57

IT-Security Matchplay: Operation Digitale Schlange

Am 09. und 10. Mai 2017 wird VeSiKi in München eine weitere Variante der IT-Security Matchplays spielen: Operation Digitale Schlange

Hacktivisten, Cyber Criminals, Nation States und Innentäter haben nur ein Ziel: Die IT-Infrastruktur eines Krankenhauses zu kompromittieren.

Ob es Team Blau gelingen wird, die bevorstehenden Cyberangriffe erfolgreich abzuwehren? 

Wir halten Sie auf dem Laufenden.

Dr. Andreas Rieb
27.03.2017 10:39

Freie Universität Berlin - Ausstellung

SELBSTBESTIMMT UND SICHER IN DER DIGITALEN WELT, Heinz Nixdorf Museum Paderborn, Fu Berlin

Matthias Niedermaier
01.03.2017 12:54

Call for Student-Presentations

VeSiKi lädt im Rahmen der ITS|KRITIS Jahreskonferenz Studierende ein ihre Seminar-, Praktikums-, Bachelor- oder Masterarbeiten zum Thema IT-Sicherheit Kritischer Infrastrukturen zu präsentieren. Nähere Informationen:
Call for Student-Presentations 
Jahreskonferenz 2017

Tamara Gurschler
24.02.2017 17:44

Ankündigung: Monitor IT-Sicherheit Kritischer Infrastrukturen

Monitor IT-Sicherheit Kritischer Infrastrukturen

Die Ergebnisse der im Sommer 2016 durchgefürhten ITS|KRITIS Studie Monitor IT-Sicherheit Kritischer Infrastrukturen sind ab dem 31.03.2017 unter https://monitor.itskritis.de verfügbar

Tamara Gurschler
10.02.2017 10:20

Rechtliche Regulierung von Cybersecurity

Veranstaltungsankündigung

Vortrag von Dr. Dennis-Kenji Kipker zum Thema "Rechtliche Regulierung von Cybersecurity" am 04. April 2017 um 18:30 Uhr im Haus der Wissenschaft, Sandstr. 4-5, Bremen.
Informationsflyer

Max Jalowski
07.02.2017 09:59

Call for Ideas zum "Rahmenwerk ITS|KRITIS"

Der Call for Ideas zum "Rahmenwerk ITS|KRITIS" wurde gerade versandt.

Wir bedanken uns herzlich für die Anmerkungen der Projekte zur Struktur des "Rahmenwerks" und sind schon gespannt auf die einzelnen Kurzbeschreibungen.

Call for Ideas
Rahmenwerk ITS|KRITIS

Tamara Gurschler
31.01.2017 15:00

High Potential Seminar "Networking in den Wissenschaften"

Am 15. und 16. Dezember 2016 fand im JOSEPHS in Nürnberg das, von VeSiKi organisierte, High Potential Seminar zum Thema „Networking in den Wissenschaften – Publikationen, Zusammenarbeit und Community-Building“ statt. In dem interaktiven Seminar führte Dr. Dr. Albrecht Fritzsche durch die relevanten Schritte, um Communities im eigenen Forschungsfeld zu identifizieren, eine Forschungsstrategie aufzubauen, erfolgreich zu publizieren und zu networken. Durch den interaktiven Charakter konnten die Teilnehmer wichtige Player in ihrem Themengebiet identifizieren und zielgerichtet Konferenzen und Journale für ihr weiteres Forschungsvorhaben recherchieren.

Max Jalowski
09.01.2017 18:41

Neuer Pressespiegel zu "Datenschutz und IT-Sicherheit"

Im Wegweiser findet sich jetzt der neue monatliche Pressespiegel zu "Datenschutz und IT-Sicherheit". Dr. Dennis-Kenji Kipker hat erneut relevante Presseartikel aus dem Dezember 2016 zusammengestellt.
Pressespiegel Datenschutz und IT-Sicherheit 12/16

Max Jalowski
09.01.2017 16:33

<kes> & BBK

Von VeSiKi sind im Dezember 2016 zwei Medienbeiträge erschienen:

Das IT-Security-Matchplay zur Schaffung von Awareness wird in der aktuellen Ausgabe der <kes> - Die Zeitschrift für Informations-Sicherheit vorgestellt. Im Artikel "Spiel, Satz, Sieg!" finden Sie nähere Informationen.

In der BBK wurde der Beitrag "VeSiKi - Allgemeine IT-Sicherheitsbedrohungslage unter besonderer Berücksichtigung des Bevölkerungsschutzes" publiziert. Vorgestellt wird in diesem Artikel nicht nur die Begleitforschung sondern auch die Verbundprojekte des Förerschwerpunkts ITS|KRITIS sowie deren Tätigkeiten.

http://www.bbk.bund.de/SharedDocs/Downloads/BBK/DE/Publikationen/Publ_magazin/bsmag_4_16.pdf?__blob=publicationFile  

Tamara Gurschler
21.12.2016 15:42

Pressemitteilung zu PortSec

Schutz vor IT-Angriffen auf Häfen
 
 
Ein Konsortium aus Wirtschaft und Wissenschaft entwickelt ein System für das Risikomanagement von Informations- und Kommunikationstechnologien in Häfen, um dem Ausfall wichtiger Infrastrukturen vorzubeugen
 
Mehr als 90 Prozent der weltweit gehandelten Güter werden auf dem Seeweg transportiert – gerade für den „Exportweltmeister“ Deutschland sind die Häfen daher eine zentrale Voraussetzung für den wirtschaftlichen Erfolg. Ein Ausfall der Hafeninfrastrukturen würde jedoch nicht nur finanzielle Folgen haben, sondern könnte auch zu Versorgungsengpässen bei der Bevölkerung führen. Nicht zuletzt können auch gravierende Sicherheitsrisiken entstehen, wenn Gefahrgüter nicht sachgemäß umgeschlagen und überwacht werden. Einen möglichen Angriffspunkt bilden dabei die Informations- und Kommunikationstechnologien: In modernen Häfen wird der gesamte Umschlag mittlerweile elektronisch gesteuert und der Datenaustausch zwischen einer Vielzahl von Beteiligten zentral organisiert. Ein Konsortium aus Bremer Forschungseinrichtungen und Unternehmen entwickelt daher jetzt Lösungen für die verstärkte Absicherung dieser Kommunikationsplattformen, die als Hafentelematik-Systeme bezeichnet werden.
 
Förderung vom Forschungsministerium
 
Koordiniert wird das Projekt, das bis August 2018 läuft, vom Institut für Seeverkehrswirtschaft und Logistik (ISL). Als weiterer wissenschaftlicher Partner ist das Technologie-Zentrum Informatik und Informationstechnik der Universität Bremen (TZI) dabei, aus der Wirtschaft beteiligen sich die dbh Logistics IT AG und die datenschutz cert GmbH. Das Bundesministerium für Bildung und Forschung (BMBF) fördert das Projekt „IT-Risikomanagement in der Hafentelematik (PortSec)“ im Rahmen des Programms KMU-innovativ mit rund 1,28 Millionen Euro.  
 
Verschiedene Bedrohungsszenarien
 
Das ISL betrachtet seit vielen Jahren Bedrohungen bezüglich der Sicherheit der Lieferkette mit Schwerpunkt auf den Containerverkehr. Im Projekt PortSec geht es nun erstmals gezielt um die jüngste Art der Bedrohung – Angriffe auf IT-Systeme. „So könnten zum Beispiel vertrauliche Daten über manipulierte Nutzerkonten abgegriffen werden, um damit kriminelle Handlungen wie Drogenschmuggel vorzubereiten“, erklärt Prof. Dr. Frank Arendt. „Auch Sabotageakte sind vorstellbar.“ Das Projektkonsortium untersucht daher, wie existierende Hafentelematik-Systeme künftig weitgehend automatisch auf Schwachstellen getestet werden können, um sie im Voraus gegen verschiedene Bedrohungsszenarien abzusichern. „Hierbei soll auch ein entsprechender Standard entwickelt werden, damit sich Betreiber bezüglich der Sicherheit ihrer Hafentelematik-Systeme zertifizieren lassen können“, erklärt Arendt.
 
Schwachstellen auf Knopfdruck finden
 
Das TZI der Universität Bremen verfügt über umfassendes Know-how bei der automatisierten Prüfung von Software auf mögliche Schwachstellen. „Es wäre sehr zeitaufwändig und teuer, jede Zeile eines Programms einzeln durchzusehen und von einem Analysten prüfen zu lassen“, erklärt Dr. Karsten Sohr, der am TZI das Thema Informationssicherheit koordiniert. „Wir entwickeln daher Systeme, die den Bauplan der Software untersuchen und dort vor allem die Kommunikationsschnittstellen nach außen aufzeigen. Diese Zugänge müssen ausreichend gesichert sein.“ Im Bereich der Hafentelematik wird jedoch nicht nur der Programmcode auf diese Weise durchleuchtet, sondern das gesamte Netzwerk, sodass die Software-Analyse mit der Sicherheit des Rechnernetzes verbunden wird.
 
Zertifizierung für Telematiksysteme
 
Die Ergebnisse der automatischen Untersuchung werden anschließend von Experten begutachtet, um aufgeworfene Fragen zu klären und Handlungsempfehlungen abzuleiten. Übernommen wird diese Rolle von der datenschutz cert GmbH, einer Prüf- und Zertifizierungsgesellschaft mit Fokus auf Datenschutz und IT-Sicherheit. „Wir haben bereits andere Projekte erfolgreich mit dem TZI durchgeführt und daraus neue Dienstleistungen entwickelt, die vom Markt nachgefragt werden“, berichtet Jan Schirrmacher. Akuten Handlungsbedarf bei Häfen sieht er aufgrund des neuen IT-Sicherheitsgesetzes, das die Bundesregierung im vergangenen Jahr verabschiedet hat. Betreiber von sogenannten „kritischen Infrastrukturen“ müssen in Zukunft sicherstellen, dass sie nach dem aktuellen Stand der Technik geschützt sind. datenschutz cert will die Ergebnisse des Projekts PortSec nutzen, um entsprechende Zertifizierungen für Hafentelematiksysteme anzubieten.
 
Mehr Sicherheit als bei Qualitätsnormen
 
Als weiterer Wirtschaftspartner ist die dbh Logistics IT AG ebenfalls zentral am Verbundprojekt beteiligt – sie entwickelt und betreibt unter anderem die Hafentelematik- und Port-Community-Systeme für die Bremischen Häfen (Bremen und Bremerhaven) sowie den Jade-Weser-Port in Wilhelmshaven. Das Unternehmen ist bereits nach dem IT-Qualitätsstandard ISO 27001 zertifiziert, möchte aber noch einen Schritt weitergehen, denn eine aktive Suche nach Schwachstellen in der Software ist noch kein geforderter Bestandteil der internationalen Norm. Im Rahmen des Projekts will die dbh dieses Thema angehen und dabei untersuchen, wie werkzeugunterstützte Risikoanalysen von Software in das ISO-27001-Rahmenwerk eingebunden werden können.
 
Zum Abschluss des Projekts will das Konsortium prüfen, inwiefern der PortSec-Ansatz auch auf andere Branchen übertragen werden kann.

Rainer Müller
09.12.2016 16:22

Freie Universität Berlin - Hacker-Angriff auf Telekom-Geräte

Sicherheitsforscher der FreienUniversität Berlin erstellen detailliertes Lagebild, Fu Berlin

Matthias Niedermaier
30.11.2016 12:53

Nachbericht IT-Sicherheitsforum am 23.11.2016

IT-Sicherheitsforum – Forschung zeigt neue Wege für die Sicherung Kritischer Infrastrukturen auf.

Vernetzung und Digitalisierung umspannen alle Bereiche des täglichen Lebens. Auch Infrastrukturen für Energie, Kommunikation, Verkehr oder Gesundheit werden von IT-Systemen gesteuert. Oft sind diese mit dem Internet verbunden. Damit wird der Schutz der „Kritischen Infrastrukturen“ (KRITIS) vor Cyberangriffen zu einer zentralen Herausforderung der digitalen Gesellschaft. Welche neuen Ansätze zur Beurteilung und Erhöhung der IT-Sicherheit gibt es? Wie können KRITIS-Betreiber die gesetzlich geforderten IT-Sicherheitsvorkehrungen auf dem Stand der Technik umsetzen? Was bedeutet dies gerade für kleinere Betreiber? Und wie nutzt Deutschland im internationalen Vergleich gesetzliche Möglichkeiten, um IT-Security in und aus Deutschland zu fördern?
Um diese Fragen zu erörtern, trafen sich am 23.11.2016 über 100 Vertreterinnen und Vertreter aus Wirtschaft, Politik, Behörden und Forschung zu einem offenen Gesprächsforum. Initiatoren des Forums waren der Forschungsschwerpunkt „ITS.KRITIS“ des Bundesministeriums für Bildung und Forschung (BMBF) und der Verband der Elektrotechnik, Elektronik und Informationstechnik (VDE).
 
Dr. Christine Thomas (Leiterin der Unterabteilung „Innovation im Dienste der Gesellschaft“, BMBF) skizzierte die Herausforderungen im Umgang mit Cyberangriffen. Forschungsprojekte können beteiligte Betreiber zwar sensibilisieren und handfest unterstützen. Fruchtbar würden die Ergebnisse jedoch erst dann, wenn unterschiedliche KRITIS-Sektoren voneinander lernen und gemeinsam „ein Stück vor die Lage kommen“.
 
Genau daran arbeitet der UP-KRITIS, eine Öffentlich-Private Partnerschaft zum Schutz Kritischer Infrastrukturen des BSI (Bundesamt für Sicherheit in der Informationstechnik) und BBK (Bundesamt für Bevölkerungsschutz und Katastrophenhilfe. Daran erinnerte Arne Schönbohm (Präsident des BSI). Doch vor allem den deutschen Herstellern für IT-Sicherheitsleistungen komme eine wichtige Rolle zu. Denn die Angriffe nehmen nicht ab, im Gegenteil: In Zukunft können Angriffe auf die gezielte Zerstörung von Geschäftsprozessen gerichtet sein.
 
Dass die Bedeutung der IT-Sicherheit für die funktionale Sicherheit heute allgemein erkannt wird, ist für Ansgar Hinz (VDE-Vorstandsvorsitzender) eine begrüßenswerte Entwicklung. Jedoch mangele es nach wie vor an einem griffigen Analogon zum bewährten Beurteilungsmodell der Sicherheitsintegritätslevel aus dem Safety-Bereich, so Hinz. Eine strenge Abschottung der Systeme sei keine Alternative; Vernetzung und Sicherheit können vielmehr durch die Adaption des Konzeptes einer semipermeablen Membran in Einklang gebracht werden.
 
„Ein Dutzend Thesen eines Anwenders“ - so überschrieb Jens Feddern, Leiter der Berliner Wasserbetriebe, seine Keynote zu mehr Sicherheit. „Nehmt die kleinen Betreiber mit, nehmt die Menschen mit, vergesst die Besonderheiten einzelner Sektoren nicht und schafft Spielwiesen (Testumgebungen) zum Ausprobieren neuer Sicherheitsleistungen“, lautete sein Credo in Richtung der Forschungsprojekte.
 
Prof. Ulrike Lechner (Projektleitung Begleitforschung IT-Sicherheit für Kritische Infrastrukturen, Universität der Bundeswehr München) gab schließlich einen Überblick über den Förderschwerpunkt und skizzierte erste Ergebnisse einer aktuellen Umfrage von KRITIS-Betreibern: Auf die Frage nach der Verletzlichkeit der eigenen Organisation, seien die Verantwortlichen stets gelassen. Dies erinnere an die typische menschliche und oft falsche Regung: Das Problem betrifft nur andere – nicht mich. Wie passgenau die Themenstellung der zwölf Projekte dennoch sei, zeige ein anderes Ergebnis. Die angestrebten Lösungen der Projekte decken sich mit den Herausforderungen, denen sich die Mehrheit der Betreiber in den nächsten zwei bis drei Jahren zu stellen beabsichtigt.
 
Klare Handlungsempfehlungen für mehr Sicherheit
 
Die Podiumsdiskussion mit Michael Barth (Genua mbH), Jens Feddern (Berliner Wasserbetriebe), Prof. Ina Schieferdecker (Fraunhofer FOKUS Berlin) und Dr. Tim Stuchtey (Brandenburgisches Institut für Gesellschaft und Sicherheit gGmbh) unter der Moderation von Sven Oswald (rbb) skizzierte Lösungswege und klare Handlungsempfehlungen an unterschiedliche Adressen:
Es gebe keine Alternative dazu, stets an die Awareness der Betreiber und ihrer Mitarbeiter zu schärfen. Das Management müsse direkt in die Pflicht genommen werden, der IT-Sicherheit einen gebührenden Stellenwert inklusive einen angemessenen Budget einzuräumen. Ein sehr pragmatischer Vorschlag waren verbindliche Beschaffungslisten für KRITIS-Betreiber, um so den geforderten Stand der Technik nach dem IT-Sicherheitsgesetz (IT-SiG) in der Praxis zu etablieren. Die Runde forderte auch, die Haftung der Softwarehersteller für etwaige Schwachstellen ihrer Produkte auszuweiten - nur ein solcher Zwang führe zu höherer Qualität und weniger Sicherheitslücken. Ob implementierte Sicherheitslösungen auch wirklich sicher sind, solle schneller und einfach überprüfbar sein: Hier mangele es an geeigneten Verfahren, um softwaregeführte Systeme während des Betriebs und in der Produktivumgebung auf Herz und Nieren zu prüfen. Und das mit dem IT-SiG eingeführte Meldewesen könne einen Schatz darstellen – vorausgesetzt, dass auf vertrauensvolle Weise alle Betreiber von Angriffen bzw. Schwächen einzelner Betroffener lernen können.
 
Das Podium war sich einig: Die Anstrengungen zur mehr IT-Sicherheit dürfen trotz des hohen Niveaus im internationalen Vergleich nicht nachlassen. Denn eines sei nicht auszuschließen: Vielleicht habe man in Deutschland bis dato nur Glück gehabt, nicht von einem großen Cyberangriff betroffen worden zu sein.
 
Abschließend stellten die Forschungsprojekte ihre ersten Ergebnisse vor. Präsentiert wurden unter anderem eine Internetsuchmaschine zur Aufdeckung von Schwachstellen von Industriesteuerungen, eine Nachrüstlösung zur Absicherung von Bestandsanlagen in Industrienetzen oder Software zum präventiven Risiko- und Krisenmanagement in Rechenzentren von Banken.
 
Mehr zum IT-Sicherheitsforum:
 
https://www.vde.com/topics-de/cyber-security/aktuelles/it-sicherheit-berlin
 
Mehr zum Forschungsschwerpunkt:
 
http://www.forschung-it-sicherheit-kommunikationssysteme.de/foerderung/bekanntmachungen/kritische-infrastrukturen
 
Bildquelle: VDE

30.11.2016 11:20

SICIA auf der IQPC-Konferenz "IT-Sicherheit – Energie"

Das Projekt SICIA stellt aktuelle Ergebnisse zu (Betreiber-)unabhängigen Methoden und technischen Hilfsmitteln zur Implementierung und Pflege von Informationssicherheitsmanagementsystemen (ISMS) im Energie-Sektor vor.
Informationen zur Veranstaltung: www.it-sicherheit-evu.de

30.11.2016 00:00

Konsortium - IT-Sicherheitsforum - IT-Sicherheit in kritischen Infrastrukturen

Matthias Niedermaier
23.11.2016 12:25

Hochschule Augsburg - Advisory (ICSA-16-313-01)

Drei Schwachstellen in Steuerungskomponenten. Advisory des Departement of Homeland Security.
https://ics-cert.us-cert.gov/advisories/ICSA-313-01

Matthias Niedermaier
08.11.2016 10:00