News

Aktuelles im Wegweiser "Recht"

In unserem Wegweiser zum Thema Recht im Themenfeld findet sich ein Kommentar zur BSI-KritisV, die vor allem für Betreiber Kritischer Infrastrukturen von Relevanz ist. Darüber hinaus wurde ein aktueller Vortrag von Dr. Dennis-Kenji Kipker zum Thema Compliance & IT-Sicherheitsrecht hochgeladen. Außerdem findet sich dort ein Kurzbeitrag mit den wesentlichen Vorgaben zur neuen NIS-RL, verglichen mit dem IT-SiG.
Link zum Wegweiser "Recht"

Max Jalowski
05.09.2016 16:44

Reminder: CFP 4th International Workshop on Risk Assessment and Risk-Driven Quality Assurance

>> RISK 16 CFP <<
 
4TH INTERNATIONAL WORKSHOP ON RISK ASSESSMENT AND RISK-DRIVEN QUALITY ASSURANCE
 
October 18th, 2016 in Graz, Austria, co-located with the ICTSS 2016 conference (http://ictss2016.ist.tugraz.at/)
 
The fourth international workshop on Risk Assessment and Risk-driven Quality Assurance (RISK) addresses risk-based approaches for ensuring the quality of software and cyber-physical systems. We are interested in innovative techniques, tools, languages and methods from industry or research, that take risk into account in the process of assurance, compliance, validation, or testing of cyber-physical systems and software. We are interested in safety, security and reliability, and in particular the intersection between these areas. In this year's edition, contributions that address reliability or the Internet of Things are particularly encouraged.
 
SCOPE AND INTERESTS
 
Submitted papers should cover at least one of the following topics:
- Languages for capturing risk information
- Formal and semi-formal risk analysis techniques (e.g., FTA, FMEA, etc.)
- Risk-based assurance, validation, development, compliance, or testing.
- Continuous risk assessment and monitoring
- Best practices/methodologies for integrating risk analysis with other techniques
- Support of standard-compliant quality assurance by risk-based approaches (e.g., IEC 61508, ISO 26262, Common Criteria)
- Verification and validation of safety-/security-critical systems
- Risk-based testing with model-based technologies
- Quality and quality improvement of risk-based test models
- Limitations and restrictions of integrated risk analysis and testing, its costs and economic impact
- Traceability and management of integrated risk analysis and testing
- Experience reports and industrial case studies
- Legal risk management
- Risk assessment to support regulatory compliance
- Assurance and compliance
- Cyber Insurance
 
IMPORTANT DATES
Paper Submission Deadline:           September 18th, 2016
Author Notification:                         October 4th, 2016
Camera-ready Deadline:                 February 2017
 
The workshop will take place at October 18th, 2016 in Graz, Austria.
 
SUBMISSION AND PUBLICATION
Authors are invited to submit abstracts and manuscripts reporting original unpublished research and recent developments in the topics related to the workshop. Submissions are intended to fit into one of the following sections:
- Long paper (16 pages): This format will be used for original research results in the domain of risk assessment and risk-driven testing
- Short paper (6 –8 pages): This format will be used to describe industrial experiences, or for describing novel techniques and positions that have not yet been fully developed
We also accept extended abstracts (2–3 pages). These abstracts are meant to introduce industrial experiences or original research results to the workshop even without having a complete full paper at hand. Extended abstracts are considered for publication in the workshop proceedings if they are elaborated to a short or long paper after the workshop taking discussions during the workshop into account and pass a second review after elaboration. All submission must adhere to the Springer LNCS format. Accepted revised papers will be published in a special RISK 2016 Springer LNCS volume (www.springer.com/lncs).
 
Paper Submission: https://easychair.org/conferences/?conf=risk2016
 
ORGANIZERS
- Jürgen Großmann, Fraunhofer FOKUS, Germany
- Michael Felderer, University of Innsbruck, Austria
- Fredrik Seehusen, SINTEF ICT, Norway
 
PROGRAM COMITTEE
- Ina Schieferdecker (TU Berlin / Fraunhofer FOKUS, Germany)
- Ketil Stolen (SINTEF ICT, Norway)
- Ruth Breu (University of Innsbruck, Austria)
- Ron Kenett (KPA Ltd. and Univ. of Torino, Italy)
- Sardar Muhammad Sulaman (Lund University, Sweden)
- Markus Schacher (KnowGravity Inc., Switzerland)
- Rudolf Ramler (Software Competence Center Hagenberg, Austria)
- Alessandra Bagnato (Softeam, France)
- Kenji Taguchi (AIST, Japan)
- Zhen Ru Dai (University of Applied Science Hamburg, Germany)
- Fredrik Seehusen (SINTEF ICT, Norway)
- Michael Felderer (University of Innsbruck, Austria)
- Jürgen Großmann (Fraunhofer FOKUS, Germany)
- Luca Compagna (SAP Labs, France)
- Per Håkon Meland (SINTEF, Norway)
- Bruno Legeard (Femto-ST, France)
- Fabio Martinelli (CNR-IIT Pisa, Italy)
- Jörn Eichler (Fraunhofer AISEC, Germany)
- Xiaoying Bai (Tsinghua University, China)
 
HOME PAGE
https://www.fokus.fraunhofer.de/en/events/risk_2016

05.09.2016 15:00

Operation Digitales Chamäleon auf der OpenSym 2016

Das IT-Security Matchplay "Operation Digital Chamäleon" wird mit Spieldesign und ersten Resultaten zu IT-Security Innvationen wird auf der OpenSym 2016 vom 17. bis 19. August 2016 in Berlin präsentiert. Ulrike Lechner hält den Vortrag mit dem Titel "Operation Digital Chameleon".

Prof. Dr. Ulrike Lechner
17.08.2016 13:30

Dennis-Kenji Kipker auf heise-online

In einem Artikel zur geplanten Umsetzung der deutschen Vorratsdatenspeicherung auf europäischer Ebene wird ein Kommentar von Dennis-Kenji Kipker zitiert, in dem er auf die Problematik der Gewährleistung der Datensicherheit innerhalb der Behörden hinweist. Link zum vollständigen Artikel: https://www.heise.de/newsticker/meldung/EU-Kommission-prueft-geplante-Umsetzung-der-deutschen-Vorratsdatenspeicherung-3278858.html

Max Jalowski
08.08.2016 11:35

Normenlandschaft von DKE und DIN veröffentlicht

Durch die zunehmende Vernetzung durch Informationstechnik gewinnt das Thema Informationssicherheit immer mehr an Bedeutung. Normen und Standards helfen dabei die Informationstechnik sicherer zu gestalten, indem sie einheitliche Anforderungen und Lösungsansätze beschreiben. Allerdings existieren auf dem Gebiet der Informationssicherheit unzählige nationale sowie internationale Normen, Standards und Richtlinien, teilweise generischer, teilweise domänenspezifischer Natur. Dem Anwender fällt es dadurch schwer, die für seinen eigenen Bereich relevanten Standards zu identifizieren.
In den relevanten Expertengremien bei DKE und DIN wurden daher die entsprechenden Normen, Richtlinien und Standards identifiziert und im Rahmen des Begleitforschungsprojekts „Vernetzte IT-Sicherheit für Kritische Infrastrukturen (VeSiKi)“ des BMBF entsprechend aufbereitet und in einer Online-Plattform umgesetzt.
Die Online Plattform zur Normenlandschaft ist unter folgendem Link erreichbar: https://www.security-standards.de
Weitere Informationen zur Normenlandschaft finden sich auch in unserem Wegweiser
Bei Fragen und Anmerkungen können Sie sich an IT-SECURITYSTANDARDS@VDE.COM wenden.
 

Max Jalowski
01.08.2016 15:52

Recht und Technik – Grenzen des Rechts im Informationszeitalter

Am 21. und 22. September 2016 findet in Bremen die rechtsphilosophische Tagung "Recht und Technik – Grenzen des Rechts im Informationszeitalter" statt. Das Programm und weitere Informationen finden Sie im Programmflyer

Max Jalowski
01.08.2016 15:03

Steuerungssysteme von Wasserwerken

Die Studenten Sebastian Neef und Tim Philipp Schäfers decken die Sicherheitslücken der Steuerungssysteme von Wasserwerken auf. Viele Steuerungssysteme sind ungeschützt mit dem Internet verbunden. Mehr dazu unter www.spiegel.de

Tamara Gurschler
21.07.2016 16:25

ITS|KRITIS bei den TechDays 2016 in München

Gründer, Unternehmer und Kreative im Cyberspace bilden das Zielpublikum der TechDays in München. Dieses Jahr fand das Event vom 13. bis 14. Juli auf dem Industriegelände der Kultfabrik, in der Nähe des Ostbahnhofs, statt. Spannende Vorträge, Podiumsdiskussionen, Keynotes, Pitches und Workshops von Fachexperten prägten die Agenda –VeSiKi war als Vertretung für den Förderschwerpunkt ITS|KRITIS und deren Verbundprojekte mittendrin.

Der Messestand des Förderschwerpunktes zog neugierige Blicke der Besucher auf sich. „Was ist dieses ITS|KRITIS denn?“, „Was macht ihr genau?“ und „Wo liegt euer Fokus?“ bildeten die beliebtesten Fragen. Die Reaktionen der Interessenten nach einem kurzen Wissensaustausch waren eindeutig und unverkennbar: die Projekte im Förderscherpunkt werden positiv wahrgenommen und finden Beachtung.

Steffi Rudel nutzte den Rahmen der Veranstaltung zusätzlich um den Förderschwerpunkt ITS|KRITIS mehr nach außen zu tragen: in einem Pitch stellte Sie die Zielsetzungen der einzelnen Verbundprojekte vor.
 

Tamara Gurschler
18.07.2016 15:48

Unterlagen und Fotos der Jahreskonferenz online

Die Unterlagen und Fotos der Jahreskonferenz 2016 in Bremen sind nun zum ansehen und zum Download verfügbar:
Fotos der Jahreskonferenz 2016
Präsentationen der Jahreskonferenz 2016
 

14.07.2016 10:11

PREVENT auf der TAROT Summer School

Fraunhofer Forscher Jürgen Großmann präsentiert auf der 12. TAROT Summer School in der Vorlesung "Integrating security testing, risk assessment and compliance assessment" Ergebnisse aus dem PREVENT Projekt.

Jürgen Großmann
12.07.2016 12:02

4. Internationaler RISK-Workshop

Bereits zum vierten Mal findet vom 17. - 19. Oktober 2016 der internationale Workshop zu Risk Assessment und Risk-Driven Quality Aussurance in Graz statt. Der Workshop bietet ein renommiertes Programmkomitee und attraktive Veröffentlichungsmöglichkeiten. Weitere Informationen finden sie hier:
Call for Papers: itskritis.de/images/RISK2016_CFP_050716final.pdf
Webseite des Workshops: fokus.fraunhofer.de/en/events/risk_2016

Max Jalowski
11.07.2016 14:05

Zweite Jahreskonferenz des BMBF-Förderschwerpunkts „IT-Sicherheit für Kritische Infrastrukturen“

150 Gäste aus nahezu allen KRITIS-Domänen treffen sich zum zweitägigen wissenschaftlichen Austausch über das Thema IT Security
 
Am 20. und 21. Juni 2016 kamen die Beteiligten des vom Bundesministerium für Bildung und Forschung (BMBF) geförderten Förderschwerpunkts „IT-Sicherheit für Kritische Infrastrukturen“ – kurz ITS|KRITIS – zur zweiten Jahreskonferenz in Bremen zusammen, um sich gemeinsam mit insgesamt 150 Gästen aus Wissenschaft, Wirtschaft, Politik und von Behörden über die aktuellen technischen, rechtlichen und politischen Entwicklungen für KRITIS auszutauschen sowie erste Forschungsergebnisse vorzustellen. Die Konferenz wurde wie bereits im vergangenen Jahr durch das Begleitforschungsprojekt „Vernetzte IT-Sicherheit Kritischer Infrastrukturen“ (VeSiKi) unter Beteiligung der Universität der Bundeswehr München, der Friedrich-Alexander-Universität Erlangen-Nürnberg, der Universität Bremen sowie der Deutschen Kommission Elektrotechnik Elektronik Informationstechnik organisiert. Die Veranstalter luden zur wissenschaftlichen Vernetzung der insgesamt zwölf interdisziplinär aufgestellten Forschungsprojekte in das traditionsreiche Haus der Wissenschaft ein. Das vielfältige Programm kombinierte wissenschaftliche Vorträge verschiedener Fachdisziplinen, Keynote Speeches, Workshops und Präsentationen der einzelnen Forschungsprojekte. Den wissenschaftlichen Rahmen bildete eine zweitägige Posterausstellung im Foyer des Hauses.

Prof. Matthias Stauch, Staatsrat beim Senator für Justiz und Verfassung der Freien Hansestadt Bremen, richtete zur Eröffnung der Konferenz das Begrüßungswort an die Gäste. Er drückte seine besondere Freude über die Wahl des diesjährigen Veranstaltungsortes aus, sei das Bundesland Bremen doch auch als Industriestandort von besonderer Bedeutung. Die Digitalisierung industrieller Prozesse – Industrie 4.0 – das sei aus wirtschaftlicher Sicht ein wesentlicher, nicht zu vernachlässigender Wettbewerbsfaktor. Die Digitalisierung und Revolutionierung betreffe aber nicht nur die Produktion, sondern auch die kommunikativen Prozesse und die Zirkulation von Waren. Besonders betont wurde von Stauch die gesellschaftliche Verantwortung; dem Faktor Mensch komme unter dem Stichwort „Arbeit 4.0“ im digitalisierten Produktionsprozess hohe Bedeutung zu. Bei alledem sei IT-Sicherheit eine Grundvoraussetzung.

Dem Verhältnis von Datenschutz und Datensicherheit in Kritischen Infrastrukturen widmete sich im Folgenden Peter Schaar, vormaliger Bundesbeauftragter für den Datenschutz und die Informationsfreiheit sowie Vorsitzender der Europäischen Akademie für Informationsfreiheit und Datenschutz (EAID) Berlin, in einer Keynote-Speech mit dem Titel „Datenschutz und IT-Sicherheit – Gleichklang oder Widerspruch“. Auch wenn in der öffentlichen Wahrnehmung zwischen IT-Sicherheit und Datenschutz nicht unterschieden werde, müsse hier klar differenziert werden. IT-Sicherheit meine den Schutz der Vertraulichkeit, Integrität und Verfügbarkeit von Daten. Datenschutz hingegen sei ein seit dem so genannten Volkszählungsurteil des Bundesverfassungsgerichts (BVerfG) höchstrichterlich anerkanntes Grundrecht, das als allgemeines Persönlichkeitsrecht der Wahrung der Menschenwürde und der freien Entfaltung der Persönlichkeit diene. Dieses Grundrecht sei in der Rechtsprechung des BVerfG seit 2008 neu ausgerichtet worden hin zu einem Anspruch des Einzelnen auf die Intimität und Vertraulichkeit informationstechnischer Systeme, in welche nur in begründeten Einzelfällen eingegriffen werden dürfe. Schaar zeigte anhand einzelner Beispiele auf, dass IT-Sicherheit und Datenschutz sich immer wieder auch in Konfliktbereichen gegenüber stehen und nannte Lösungsansätze, um solche Konfliktfälle beherrschbar zu machen. Ein ausbalanciertes, faires System zu schaffen, das sei im wirtschaftlichen und im politischen Interesse.

Prof. Dr. Hanno Friedrich von der Kühne Logistics University Hamburg (KLU) stellte anschließend die Forschungsergebnisse des Forschungsprojektes SEAK zur Bewältigung von Versorgungsengpässen in der Lebensmittel-Supply-Chain vor. Dabei wurden verschiedene Sicherheitsszenarien genauer beleuchtet, darunter Hitzewellen, ein Arbeitskräfteausfall und ein IT-Ausfall. Friedrich kam zu dem Ergebnis, dass Notfallpläne zwar für Ausfälle der IT, nicht hingegen für Beeinträchtigungen in der Logistik in den Unternehmen vorhanden seien. Die Notwendigkeit präventiven Risikomanagements für extreme Ereignisse sei insgesamt nur schwer vermittelbar, dennoch müssten im Notfall mangels ausreichender staatlicher operativer Ressourcen Unternehmen die Versorgung übernehmen.

Das wissenschaftliche Vortragsprogramm des Konferenztages wurde durch das Live Hacking einer simulierten Windenergieanlage ergänzt, durchgeführt wurde dieses von den Sicherheitsexperten Dirk Reimers und Markus Ohnmacht. Zum Abschluss des öffentlichen Programms referierte Supervisory Special Agent Edward H. You, Federal Bureau of Investigation (FBI), Washington, D.C., der unter dem Vortragstitel „Current and Future Challanges to Cypersecurity, the Economy, Defense, and Health“ das Thema Cyber-Security aus Sicht einer US-amerikanischen Bundesbehörde beleuchtete. Ausdrücklich wies You dabei auf den Wert von Gesundheitsdaten hin, insbesondere wenn diese im Sinne intimer Persönlichkeitsprofile mit sonstigen personenbezogenen Daten kombiniert würden. Hier gebe es für die Zukunft ein erhebliches Schutzpotenzial, das vor allem durch Maßnahmen effektiver IT-Security umgesetzt werden könne.

Den zweiten Veranstaltungstag eröffnete Dr. Timo Hauschild, Referatsleiter beim Bundesamt für Sicherheit in der Informationstechnik (BSI), mit seinem Vortrag über „Resiliente IT in Kritischen Infrastrukturen – UP KRITIS und IT-Sicherheitsgesetz als Wegbereiter“. Er wies auf die enorme Bedeutung der IT in sämtlichen anerkannten Kritischen Infrastrukturen hin; diese ließen sich ohne eine funktionierende Informationstechnik regelmäßig nicht beherrschen. Sodann legte Hauschild den Fokus seiner Betrachtung auf den Anwendungsbereich des IT-Sicherheitsgesetzes sowie des BSI-Gesetzes (BSIG) und erläuterte, dass hiernach die Definition Kritischer Infrastrukturen gem. § 2 Abs. 10 BSIG enger gefasst sei als im fachwissenschaftlichen Sprachgebrauch, was insbesondere auf eine fehlende Gesetzgebungskompetenz des Bundesgesetzgebers zurückgeführt werden könne. Hauschild stellte weiterhin dar, unter welchen Voraussetzungen von Kritischen Infrastrukturen im Sinne des BSIG gesprochen werden könne. Anschließend wies er auf die wesentlichen Neuregelungen des durch das IT-Sicherheitsgesetz eingefügten § 8b BSIG hin und schilderte sodann die Konzeption der §§ 8a und  8b BSIG. Dabei veranschaulichte er die Rolle und Eingliederung des BSI in die gesetzlichen Vorschriften. Schließlich stellte Hauschild den UP KRITIS, eine öffentlich-private Kooperation zwischen den Betreibern Kritischer Infrastrukturen, deren Verbänden und den zuständigen staatlichen Stellen vor. Dessen Ziel sei es, die Vorgaben des BSIG zum Nutzen aller umzusetzen und damit die Versorgung mit Dienstleistungen Kritischer Infrastrukturen in Deutschland aufrechtzuerhalten.

Das weitere Programm der Zweiten Jahrestagung sah parallel verlaufende Workshops, Vorträge sowie ein Serious Game vor. Insgesamt bildete die Zweite Jahreskonferenz zur IT-Sicherheit in Kritischen Infrastrukturen gerade aufgrund der Vielfältigkeit der Forschungsschwerpunkte und der weiten Abdeckung der KRITIS-Domänen eine gute Gelegenheit, um innerhalb von zwei Tagen ein aktuelles Update in Sachen nationaler IT-Security-Forschung zu erhalten. Gerade aufgrund der Vielzahl von anwesenden Wissenschaftlern, Betreibern und Behördenvertretern war es zudem möglich, das eigene Sicherheitsnetzwerk weiter zu verfestigen und zu vertiefen. Man darf gespannt sein, welche Forschungsergebnisse auf der dritten ITS|KRITIS-Jahreskonferenz im Sommer 2017 vorgestellt werden.

Max Jalowski
29.06.2016 10:28

Hochschule Augsburg – Forschungszentrum Cyber Defence der Bundeswehr Universität München

Matthias Niedermaier
16.06.2016 09:54

Software - Release

https://github.com/Egomania/ResponseSelection : Response Selection Simulations-Controller

Nadine Herold
31.05.2016 10:06

Open-Source-Werkzeuge aus INDI

Das Verbundvorhaben INDI präsentiert erste Open-Source-Werkzeuge aus der Forschung zur Analyse und Anomalieerkennung von Netzwerkdaten. Weitere Informationen sind hier verfügbar.

20.05.2016 14:13

UP-KRITIS und BDB

Die Ausgestaltung eines integrierten Risikomanagements im Rechenzentrum von Banken wird auch durch externe Anforderungen beeinflusst, wie sie durch das IT-Sicherheitsgesetz für das Informationssicherheits- und Risikomanagement sowie das Meldewesen für die Rechenzentren kritischer Infrastrukturen vorgesehen sind. Die UniCredit Bank AG / HypoVereinsbank hält Kontakt zu verschiedenen Gremien, die sich u.A. mit der branchenspezifischen Umsetzung des IT-Sicherheitsgesetzes im Finanz- und Versicherungswesen befassen, insbesondere die entsprechenden Arbeitskreise UP-KRITIS und im BDB, damit die Anforderungen im Projekt PREVENT berücksichtigt werden können.

Jürgen Wendling
20.05.2016 08:22

Standardisierungsaktivitäten im Rahmen der ETSI

Fraunhofer FOKUS leitet die Arbeitsgruppe MTS Security SIG beim European Telecommunication Standardisation Institute (ETSI). Fraunhofer FOKUS koordiniert die dort angesiedelten Standardisierungsaktivitäten. Nach der Veröffentlichung des ETSI Guides EG 203251 Methods for Testing & Specification Risk-based Security Assessment and Testing Methodologies (http://www.etsi.org/deliver/etsi_eg/203200_203299/203251/01.01.01_50/eg_203251v010101m.pdf) im Januar 2016 wird derzeit die Veröffentlichung des ETSI Guides EG 203250 Methods for Testing & Specifications Security Assurance Lifecycle (https://portal.etsi.org/webapp/workProgram/Report_WorkItem.asp?wki_id=43303) vorbereitet. Der ETSI Guides EG 203250 dient als Orientierungshilfe zur systematischen Integration von Security Assurance-Aktivitäten in die Phasen des Software Life Cycles. Die Veröffentlichung ist für Sommer 2016 geplant.

Jürgen Großmann
19.05.2016 16:10

PREVENT Artikel für die DIN-Mitteilungen 08/16

Im Rahmen der DIN-Mitteilungen 08/16 werden wir das PREVENT Projekt, die Ziele und Lösungsansätze sowie den Bezug zur Standardisierung kurz darstellen.

Jürgen Großmann
19.05.2016 16:08