Produktzertifizierung – Sind Sie als Hersteller betroffen und was müssen Sie jetzt tun?

Wir haben für Sie ein kurzes Video erstellt um die ersten Fragen rund um eine Produktsicherheitszertifizierung zu beantworten.

In dem Video erfahren Sie warum Sie für Ihre OT-Komponente eine Security-Zertifizierung brauchen und wie Sie als Hersteller von Automatisierungskomponenten den Anforderungen des IT-Sicherheitsgesetzes 2.0 nachkommen.

Neben den Gründen die für eine Zertifizierung sprechen, beleuchten wir dabei aber auch schon den Zeitaspekt und zeigen auf warum Sie sich jetzt schon um einen entsprechenden Nachweis kümmern sollten, auch wenn das Gesetz noch nicht verabschiedet ist und welche Möglichkeiten Ihnen die IEC 62443 bietet.

Um mehr über eine IEC 62443 Zertifizierung zu erfahren und Ihre Möglichkeiten zu evaluieren, vereinbaren Sie einfach einen unverbindlichen Beratungstermin mit uns.

Weitere Informationen zur Konformitätsprüfung finden Sie auch auf der Webseite unseres Tochterunternehmens: https://www.adfidetia.de

Besuchen Sie uns bei der SPS 2019 in Nürnberg!

Die admeritia wird, wie bereits in den Jahren zuvor, wieder mit einem eigenen Stand auf der SPS 2019 vertreten sein. Vom 26. bis zum 28. November wird das Team der admeritia in Halle 6 am Stand 259 für Fragen und Gespräche rund um die Themen IT- sowie OT-Security zur Verfügung stehen.

Industrie 4.0 ist neben der Absicherung von Industrial Automation eines unserer Hauptthemen. Ein weiterer Fokus liegt auf der Umsetzung des IT-Sicherheitsgesetzes für Unternehmen mit Leittechnik, welche eine Anforderung für Betreiber Kritischer Infrastrukturen nach dem BSIG § 8a darstellt.

Das Fokusthema in Bezug auf Industrie 4.0 ist die Security Readiness und welche Maßnahmen dafür von Betreibern sowie Errichtern umgesetzt werden müssen.
Security- und Risk Assessments bilden einen weiteren Schwerpunkt. Die Tests der admeritia reichen vom technischen Security Test von industriellen Anlagen bis hin zu Risikoanalysen gemäß IEC 62443 oder diversen anderen internationalen Standards – immer mit dem Blick auf die Funktionen der Anlage und einer möglichen Komplexitätsreduzierung.
Das Leistungsangebot umfasst ferner das Security Management. Dazu gehören der Aufbau von IT-Sicherheitsorganisationen, ein Security Managementsystem nach IEC 62443 oder ISO/IEC 27001 sowie die Erstellung von Policies and Procedures.
Die Fokussierung auf die technische Absicherung von Produktionsanlagen durch gezieltes Security Engineering rundet das Portfolio der admeritia ab.

Neben dem Leistungsportfolio der admeritia informieren wir Sie natürlich auch über die Schwerpunkte unserer Tochterfirma adfidetia. Der Fokus liegt hier auf Konformitätsprüfungen für Zertifizierungen gemäß IEC 62443 für Anlagenbetreiber, Integratoren und Hersteller. Diese führt sie unter anderem als offizielles Prüflabor der TÜV NORD CERT GmbH durch.

Besuchen Sie uns außerdem bei dem Vortag von Sarah Fluchs zum Thema „Wie OT-Security-Engineering eine Ingenieurwissenschaft wird“. Der Vortrag findet am Dienstag, 26. November 2018, um 11:40 Uhr am „Forum hall 3“ in der Halle 3 – Stand 668 statt.

Wir freuen uns auf Ihren Besuch, um mit Ihnen die Themen zu besprechen, die Sie interessieren. Nutzen Sie die Möglichkeit, im Voraus einen Messetermin mit einem unserer Berater vor Ort zu vereinbaren.

Paper veröffentlicht im atp magazin!

OT-Security-Engineering verdient die Bezeichnung Ingenieurwissenschaft nicht. Um das zu ändern, haben unsere Kollegen Sarah Fluchs und Heiko Rudolph das Layered Blueprints Denkmodell entwickelt.

Das Denkmodell systematisiert den Security-Prozess und gibt OT-Ingenieuren das Rüstzeug, um die Verantwortung für die Security ihrer Systeme selbst zuübernehmen. Unser Paper „Wie OT-Security-Engineering eine Ingenieurwissenschaft wird“ wurde nun als Hauptbeitrag im atp magazin veröffentlicht!

atp_magazin_Cover_08_2019

 

Mehr Informationen:
https://www.atpinfo.de/atp-magazin-82019/

admeritia hält Vortrag beim Forum Safety & Security!

Am 09. Juli 2019 hält Sarah Fluchs, Head of Security Engineering bei der admeritia GmbH, einen Vortrag beim diesjährigen Forum Safety & Security 2019 (08.-10. Juli 2019 in der Stadthalle Sindelfingen). Der Vortrag beginnt um 12:20 und widmet sich dem Thema „Layered-Blueprints-Denkmodell – Wie Security Engineering eine Ingenieurwissenschaft wird“.

LeuchtturmGrafik_Vortrag_Safety_und_Security

Die internationalen Functional Safety-Standards IEC 61511 und IEC 61508 fordern eine Risikoanalyse auch für Security. Im Gegensatz zu Safety sind Security-Risiken jedoch weniger gut statistisch fassbar. Wie lässt sich die Security-Risikoanalyse trotzdem technisch fundiert und pragmatisch umsetzen? Und wie betrachtet man ohne redundanten Mehraufwand sowohl Safety- als auch Security-Risiken? Das im Vortrag vorgestellte Layered-Blueprints-Denkmodell gibt Antworten und zeigt, was Security von der Safety lernen kann. Es wurde entwickelt, damit OT-Ingenieure Verantwortung für die Security ihrer Systeme selbst übernehmen, Security-Probleme und -Ziele selbst definieren sowie verschiedene Security-Lösungen selbst vergleichen, bewerten und in den Betrieb integrieren können. Das Denkmodell ist in vier Ebenen aufgebaut, die – ähnlich wie die Stockwerke eines Turms – von unten nach oben durchlaufen werden und jeweils aufeinander aufbauen: Jede Etage funktioniert nur auf Basis der darunterliegenden, und das Erklimmen jeder Etage verschafft zusätzlichen Überblick sowie zusätzliche Security. Das Turmmodell strukturiert und systematisiert Security Engineering, gibt jedoch keine konkrete Methode für die einzelnen Etagen vor. Es soll vielmehr helfen, unterschiedliche Methoden und deren Ergebnisse zu vergleichen, zu diskutieren und einzubinden. Das Layered-Blueprints-Denkmodell gibt OT-Ingenieuren die Möglichkeit, selbst Verantwortung für die Sicherheit ihrer OT-Anlagen zu übernehmen und OT-Security Engineering wie selbstverständlich in den bestehenden Engineering-Prozess einer automatisierten Anlage einzufügen. So ermöglicht das Modell standardgemäße Security nach Methoden, die der Denkweise der OT-Ingenieure entsprechen, und Werkzeugen, die in ihren Engineering-Prozess passen, zum Beispiel OPC UA oder AutomationML.

Weitere Informationen zum Vortrag sowie zur Veranstaltung finden Sie hier: https://events.weka-fachmedien.de/forum-safety-security/home/

Wir freuen uns über Ihren Besuch!

admeritia hält Vortrag bei der Safety & Security in München!

Am 02. Juli 2019 hält Sarah Fluchs, Head of Security Engineering bei der admeritia GmbH, einen Vortrag bei der diesjährigen Safety & Security 2019 (01.-02. Juli 2019 in München). Der Vortrag beginnt um 15 Uhr und widmet sich dem Thema „Layered-Blueprints-Denkmodell – Wie Security Engineering eine Ingenieurwissenschaft wird“.

Leuchtturm_Vortrag_Safety_und_Security

OT-Security Engineering wird nur selten von OT-Ingenieuren selbst übernommen. Dabei ist ihre umfassende Systemkenntnis der zu schützenden Anlagen Voraussetzung für ein systematisches und erfolgreiches Security Engineering.

Aus diesem Grund haben wir das methodenneutrale Layered-Blueprints-Denkmodell entwickelt – es befähigt OT-Ingenieure, selbst Verantwortung für die Security ihrer Systeme übernehmen, Security-Probleme und -Ziele definieren und verschiedene Security-Lösungen bewerten und in den Betrieb integrieren können. Methodenneutral bedeutet, dass alle existierenden Vorgehensweisen und Methodikfragmente im Bereich OT-Security-Engineering im Rahmen des Denkmodells verwendet werden können. Das Modell gibt keine spezifische Methodik vor, sondern bietet vielmehr ein Grundgerüst, in dessen Rahmen OT-Security Engineering systematisch und effektiv durchgeführt kann.

Am 02. Juli wird Sarah Fluchs das Layered-Blueprints-Denkmodell in München vorstellen und aufzeigen, wie sich OT-Security-Engineering wie selbstverständlich in den bestehenden Engineering-Prozess einer automatisierten Anlage einfügen lässt. Ihr Vortrag schildert reale Anwendungsbeispiele und gibt einen Ausblick, wie ein Datenmodell für eine maschinenlesbare Version (z.B. in AutomationML / OPC UA) des Denkmodells aussehen kann.

Zusätzlich wird erklärt, wie sich Ergebnisse von Security- und Safety-Risikoanalysen synergetisch miteinander vereinen lassen: Wir betrachten zusammen mit unserem Partner TÜV Nord sowohl Safety- als auch Security-Risiken.

Weitere Informationen zu unserem Vortrag sowie zur Veranstaltung finden Sie hier: https://www.sasec.de/home.html

Wir freuen uns auf Ihren Besuch!

Eignungsfeststellung des Branchenspezifischen Sicherheitsstandards B3S für den kommunalen Straßenverkehr

Der Sektor Transport und Verkehr unterliegt seit dem IT-Sicherheitsgesetz einigen zusätzlichen gesetzlichen Anforderungen, sofern eine Anlage als Kritische Infrastruktur (KRITIS) eingestuft wird. Die BSI-KritisV legt dabei Schwellenwerte fest, ab wann eine Anlage als Kritische Infrastruktur zu betrachten ist. Der Schwellenwert für Verkehrssteuerungs- und Leitsysteme im kommunalen Straßenverkehr liegt bei 500.000 versorgten Einwohnern.
Um den gesetzlichen Anforderungen nachzukommen, IT-Sicherheitsmaßnahmen nach „Stand der Technik“ einzusetzen und zu erhalten, können betroffene Unternehmen den Branchenspezifischen Sicherheitsstandard (B3S) Straßenverkehr umsetzen. Die Kernforderung des B3S ist der Aufbau eines ISMS nach ISO/IEC 27001:2013 unter Berücksichtigung der branchenspezifischen Anforderungen. Diese wurden definiert im VDE-Standard DIN VDE V 0832-700, der vom DKE/AK 355.0.5 „Schutzmaßnahmen gegen nicht autorisierte Zugriffe“, in dem auch die admeritia mitwirkt, erstellt wurde. Die Eignung des branchenspezifischen Sicherheitsstandards für den kommunalen Straßenverkehr wurde im April 2019 gemäß § 8a Absatz 2 des BSIG durch das Bundesamt für Sicherheit in der Informationstechnik (BSI) festgestellt. Damit gewährleistet die Umsetzung des Standards die Erfüllung der nach § 8a Absatz 1 BSIG definierten Anforderungen.
Die Frist für die Umsetzung und Prüfung des B3S läuft im Juni 2019 ab. Darüber hinaus unterliegen KRITIS-Unternehmen gleichzeitig einer Meldepflicht von erheblichen IT-Störungen gegenüber dem BSI.

Wir freuen uns auf Ihren Besuch auf der Hannover Messe 2019

Das Thema Industrielle IT-Sicherheit gerät immer mehr in den Fokus der Verantwortlichen. Daher wird die admeritia dieses Jahr wieder mit einem eigenen Stand auf der Hannover Messe 2019 zu finden sein.
Vom 01. bis zum 05. April wird das Team der admeritia in Halle 6 am Stand E10 für Fragen und Gespräche rund um das Thema IT- / OT-Security und das Leistungsportfolio der admeritia zur Verfügung stehen.
Besuchen Sie uns auch zu unseren beiden Vorträgen zum Thema: „Warum OT-Security Engineering seinen Namen nicht verdient – und was das Denken in Türmen ändern kann“. Die Vorträge finden am 01.04. im Forum Industrial Security (16:30 Uhr, Halle 6 Stand F03) und am 04.04. im Forum Automation (14:40 Uhr, Halle 14 Stand L19) statt.

Die folgenden Themen stehen bei uns im Fokus:

Industrial Automation / OT-Security
Für Messebesucher aus der produzierenden Industrie bieten wir eine Vielzahl von individuellen Lösungen an, wie sie ihre Prozess-IT absichern. Von der Beratung über die Planung bis hin zur Implementierung und Betriebsunterstützung: Wir legen besonderen Wert auf die Vermittlung zwischen den unterschiedlichen Perspektiven der Ingenieurswelt und der IT-Domäne.

Industrie 4.0
Industrie 4.0 löst das deterministische Lösungsdenken auf und erfordert grundsätzlich neue Architekturen. Hieraus ergeben sich von Grund auf neue Sicherheitsanforderungen. Wir helfen Ihnen, die Einführung von Industrie 4.0 zu planen und zu implementieren. Mit unseren standardbasierten Frameworks für Hersteller und Betreiber berücksichtigen Sie alle relevanten Sicherheitsaspekte mit organisatorischen, prozessualen und technischen Maßnahmen.

IT-Sicherheitsgesetz / §8a) BSI-Gesetz
Was bedeutet das IT-Sicherheitsgesetz für Sie und was müssen Sie bedenken? Wir zeigen Lösungen auf, mit denen Sie nicht nur die Anforderungen aus dem IT-Sicherheitsgesetz erfüllen, sondern darüber hinaus Ihr faktisches Sicherheitsniveau erhöhen und für eine technisch wirksame Sicherheit sorgen.

IT-Sicherheitskatalog
Der Aufbau eines technisch wirksamen ISMS auf der Grundlage der individuellen faktischen Sicherheitslage ist zwingend erforderlich für die Erfüllung der Regularien aus dem IT-Sicherheitskatalog für Betreiber von Energieanlagen. Damit ein ISMS seine technische Wirksamkeit erhält, müssen die erstellten Regeldokumente von der Leittechnik ausgehen, zudem muss sich das ISMS an den im jeweiligen Bereich geltenden Rahmenbedingungen orientieren.

Technical Compliance
Um einen umfassenden Überblick über Ihre ISMS-Reife, die Wirkung Ihrer Security Controls sowie die Prozessreife und Ihre KPIs zu erhalten, hat die admeritia auf Basis der gängigen Standards eine Methode entwickelt, um mit einem Extended Security Assessment all diese Anforderungen kombiniert zu erfüllen und die Technical Compliance zu gewährleisten.

Konformitätsprüfung IEC 62443
Wir führen für Sie Konformitätsprüfungen für Ihre Produkt- und Herstellerzertifizierungen gemäß IEC 62443 durch. Hersteller können die Anforderungen an ihren Entwicklungsprozess nach dem Standard IEC 62443-4-1 zertifizieren lassen. Die Zertifizierung der technischen Anforderungen eines Produktes erfolgt wiederrum nach der IEC 62443-4-2 und IEC 62443-3-3

Natürlich wird Ihnen aber auch bei jedem weiteren Anliegen, welches unter unser Leistungsportfolio fällt, weitergeholfen.
Wir freuen uns auf Ihren Besuch, um mit Ihnen die Themen zu besprechen, die Sie interessieren.

Video zum Vortrag bei der S4x19 veröffentlicht!

Im Januar diesen Jahres war Sarah Fluchs, Head of Security Engineering bei der admeritia GmbH, zu Gast als Referentin bei der S4x19 in Miami, USA. Die S4 ist eine der weltweit führenden Konferenzen für OT-Security und findet erneut vom 21.-23. Januar 2020 in Miami statt.

Der Vortrag hat den Titel „Layered Blueprints – A Method for Engineering OT Security“. Er stellt anhand eines realen Beispiels ein Denkmodell vor, das den Security-Engineering-Prozess strukturiert und systematisiert.

Das Layered-Blueprints-Denkmodell ist von admeritia-Beratern in einer Vielzahl an Projekten bei Herstellern, Betreibern und Integratoren praxiserprobt. Es betrachtet OT-Security konsequent aus der Perspektive von PLTisten bzw. Automatisierungsingenieuren und befähigt diese, selbst die Verantwortung für die Security ihrer OT-Systeme zu übernehmen.

Weil OT-Security sich stets den funktionalen Anforderungen und dem Betriebsregime unterordnen muss, gibt der Vortrag auch einen Ausblick auf Möglichkeiten, die eine maschinenlesbare Version des Layered-Blueprints-Denkmodells bieten würde: Beispielsweise die (teil-)automatisierte Implementierung von Security-Lösungen sowie einfachere Wartbarkeit.

Für alle, die den Vortrag nicht live vor Ort hören konnten, gibt es gute Nachrichten: Das Video ist ab sofort auf dem offiziellen YouTube-Kanal der S4 verfügbar.

Sollten Sie Fragen zum Vortrag, OT-Security und deren Machbarkeit haben, treten Sie gern mit uns in Kontakt.

Weitere Infos zur kommenden S4x20 sind hier zu finden: https://s4xevents.com/

admeritia präsentiert neues Corporate Design bei der SPS 2018

In der vergangenen Woche war die admeritia GmbH erneut mit einem Stand sowie einem Vortrag zum Thema „OT-Security machbar machen – Wie Betreiber die IEC 62443 betriebsverträglich umsetzen können“ bei der SPS IPC Drives 2018 vertreten. In diesem Jahr präsentierte sich die admeritia jedoch mit einem völlig neuen Corporate Design. Nicht nur der Schrifttyp sowie die Farbgebung wurden angepasst, die admeritia zeigt sich fortan mit einem neuen Logo.

Doch nicht nur in Sachen Design entwickelte sich die admeritia weiter, auch das Leistungsportfolio wurde mit der Gründung der Tochterfirma adfidetia GmbH erweitert. Die neugegründete adfidetia präsentierte sich erstmals bei der SPS und erweitert die Kompetenzen aus dem Bereich IT- und OT-Security um Zertifizierungen. Dazu gehören Konformitätsprüfungen in Bezug auf Produkte und Hersteller nach dem Standard IEC 62443 sowie die Beschleunigte Sicherheitszertifizierung.

admeritia-Messestand-SPS-2018

admeritia hält Vortrag auf der S4x19

Am 15. Januar 2019 wird Sarah Fluchs, IT-Security Consultant mit Schwerpunkt Automatisierungstechnik bei der admeritia GmbH, zu Gast als Referentin bei der S4x19 in Miami South Beach sein. Der Vortrag beginnt um 11:30 Uhr auf der Main Stage.
Die Veranstaltung behandelt insgesamt das Thema ICS Security und findet vom 14.-17. Januar 2019 statt.

Der Vortrag wird sich inhaltlich mit dem Thema „Layered Blueprints – A Method for Engineerin OT Security“ befassen.

Das vorgestellte Denkmodell befähigt PLT-Ingenieure, Verantwortung für die Security ihrer Systeme zu übernehmen, also Security-Probleme und -Ziele selbst zu definieren sowie verschiedene Security-Lösungen zu vergleichen, zu bewerten und in ihren Betrieb zu integrieren. Security-Ingenieuren hilft das Security-Engineering-Denkmodell, strukturiert Lösungen zu entwickeln, zu kommunizieren und zu diskutieren. Das Denkmodell basiert auf vier Etagen eines Turms, sie stehen für Funktion, Risiko, Anforderung und Implementierung. Das Turmmodell strukturiert und systematisiert Security Engineering, gibt jedoch nicht die konkrete Methode für die einzelnen Etagen vor. Es soll vielmehr helfen, unterschiedliche Methoden und deren Ergebnisse zu vergleichen, zu diskutieren und einzubinden.

Der Vortrag erläutert das Turm-Denkmodell anhand realer Anwendungsbeispiele aus verschiedenen Branchen. Außerdem gibt er einen Ausblick darauf, wie ein Datenmodell für eine maschinenlesbare Version des Denkmodells aussehen könnte. Die Maschinenlesbarkeit eröffnet nicht nur Möglichkeiten für die automatisierte Erstellung von Auswertungen und Vergleichen, sondern auch für die effiziente Übersetzung von Security-Lösungen in konkrete Konfigurationen sowie die Integration von Security Engineering in relevante Datenmodelle für AutomationML oder OPC UA.

Weitere Informationen zum Vortrag finden Sie hier: https://s4xevents.com/sessions/layered-blueprints-a-method-for-engineering-ot-security/