Einstieg VR Equitypartner GmbH
VR Equitypartner hat im Rahmen einer Nachfolgeregelung eine Minderheitsbeteiligung an der ICS AG erworben, nachdem die passiven Gesellschafter der ICS AG ihre Anteile veräußern wollten. Cid Kiefer, Vorstand der ICS AG, war darum auf der Suche nach einem kapitalstarken Partner, der die Zukunftspläne des erfolgreichen Unternehmens mitträgt: „Da wir jetzt nicht mehr mit unterschiedlichen Gesellschafterinteressen jonglieren müssen, können wir zielgerichtet in den Ausbau unserer Leistungen investieren“, sagt er.
Ausbau des Potentials baut auf langjähriger Expertise auf
Ziel ist es, das Potential in den Branchen zu verbreitern, in denen das Unternehmen jetzt schon erfolgreich operiert; diese sind Transportation, Industrial Engineering und Information Security. „Denn genau hier sehen wir für die nächsten zehn bis 15 Jahre großes Wachstumspotential“, sagt Cid Kiefer. Große Chancen sieht das Unternehmen im Bereich Transportation durch den Ausbau und die Digitalisierung der Schieneninfrastruktur und der Stellwerkstechnik sowie den Ausbau des European Train Control Systems (ETCS). Für den Geschäftszweig Industrial Engineering zeigen sich interessante Wachstumsfelder durch Industrie 4.0, die Erfüllung von Sicherheitsnormen (u.a. IEC 62443), CyberSecurity und TISAX. Auch das jüngste Geschäftsfeld Information Security birgt mit den Schwerpunkten Informationssicherheit und Datenschutz (ISMS, DSGVO, ISO 27001) enormes Potential.
Erfolgreicher Mittelstand mit Tradition trifft auf finanzstarken Partner
Seit über 50 Jahren ist die ICS AG ein erfolgreiches, familiengeführtes Unternehmen mit derzeit 120 Mitarbeitern an vier deutschen Standorten und einem Tochterunternehmen in der Schweiz. Zu den Auftraggebern gehören große Konzerne aus der Bahn-, Automobil- und Logistikbranche. Zusammen mit den langjährigen Führungskräften Rainer Gerhäuser (kaufmännische Leitung) und Andreas Langer (Leitung Vertrieb) hält Cid Kiefer jetzt einen Anteil von 51% an der ICS AG. Als einer der führenden Eigenkapitalfinanzierer in der DACH-Region hält VR Equitypartner GmbH die restlichen 49%.
VR Equitypartner GmbH begleitet mittelständische Unternehmen erfolgreich bei der strategischen Lösung komplexer Finanzierungsfragen und Nachfolgeregelungen. Die Nachhaltigkeit der Unternehmensentwicklung stellt VR Equitypartner dabei in den Vordergrund, ein wesentlicher Grund, warum Cid Kiefer sich für VR Equitypartner entschieden hat: Die Kultur des Familienunternehmens soll nicht verlorengehen auf dem Weg in eine expandierende Zukunft.
THINK SAFE THINK ICS
Die ICS AG ist seit mehr als 50 Jahren ein erfolgreiches, familiengeführtes IT-Beratungs- und Engineering-Unternehmen mit den Spezialisierungen:
– Industrial Engineering (Automation, Supply Chain, Logistic, Automotive)
– Transportation (Funktionale Sicherheit, Security & Safety)
– Information Security & Data Protection (ISMS, ISO 27001 , TISAX, DSGVO)
Weitere Informationen unter www.ics-ag.de und www.einfach-sicher.info
Informatik Consulting Systems GmbH
Sonnenbergstr.13
70184 Stuttgart
Telefon: +49 (711) 21037-00
Telefax: +49 (711) 21037-53
https://www.think-safe-think-ics.de
Marketing & PR
Telefon: +49 (711) 2103740
E-Mail: stefanie.henzler@ics-ag.de
ICS-Vorgehensmodell für die IT-Sicherheits-Risikoanalyse im Bahnumfeld
Mit dem Begutachtungsergebnis durch den TÜV Rheinland hat das ICS-Vorgehensmodell jetzt offiziell alle Vorgaben erfüllt, die der Gesetzgeber an ein dem Stand der Technik entsprechendes Security Risk Assessment im Bahnumfeld stellt. Damit wird bestätigt, dass das Vorgehen den relevanten Standards und Vorgaben entspricht. Es kann ab jetzt als integraler Bestandteil von Sicherheitsbetrachtungen in der Domäne Bahn angewendet werden sowohl in der Systementwicklung als auch in späteren Lebenszyklus-Phasen.
„Wir sind stolz auf das positive Begutachtungsergebnis und profitieren jetzt davon, dass wir uns frühzeitig auf die wachsende Bedeutung der IT-Sicherheit im Bahnumfeld vorbereitet haben“, freut sich Birr. Der RAMS Ingenieur mit Schwerpunkt Security hatte Anfang 2017 in einem Vortrag vor Mitgliedern des Verbands der Bahnindustrie in Deutschland e.V. (VDB) sein Modell vorgestellt, das zu diesem Zeitpunkt bereits in einem Entwicklungsprojekt der Deutschen Bahn (DB) im Einsatz war. Dies erregte die Aufmerksamkeit des TÜV Rheinland, der schon kurz darauf mit der Begutachtung im Rahmen des Projektes DiB beauftragt wurde. Zum Abschluss dieser Begutachtung wurde im März dieses Jahres die IT-Sicherheits-Risikoanalyse für das im Projekt DiB entwickelte System durch den TÜV Rheinland erfolgreich zertifiziert.
Kontinuierliche und gesetzeskonforme Sicherheit für die Bahn
Die auf funktionale Sicherheit (Safety) ausgelegten, geschlossenen Systeme der Bahn werden durch die fortschreitende Digitalisierung geöffnet, womit sie anfällig werden für Cyber-Attacken. Das IT-Sicherheitsgesetz verpflichtet Betreiber Kritischer Infrastrukturen (KRITIS) dazu, ihre Informationssicherheit regelmäßig auf den Prüfstand zu stellen, dies betrifft auch die Bahnbranche.
Die einschlägigen Normen, Prozesse und Nachweisführungen stellen den Schutz der Verfügbarkeit sowie die Systemintegrität zur Wahrung der funktionalen Sicherheit in den Mittelpunkt. Um den gesetzlichen Anforderungen zur Konformität mit dem Stand der Technik nachzukommen, erweitert Birrs Modell, das in der Vornorm DIN VDE V 0831-104 beschriebene Vorgehen zur Anwendung der IEC 62443 im Bahnumfeld um eine mehrstufige, qualitative Risikobetrachtung. Dabei werden – unter Anwendung bewährter Ansätze über Bottom-Up und Top-Down Analysetechniken – schrittweise die vorhandenen Schutzmechanismen überprüft und bei Bedarf ergänzt.
Die ICS AG, gegründet 1966, ist eine international tätige, unabhängige Ingenieursgesellschaft. Mit über 130 Mitarbeitern ist die ICS AG Engineering-Partner der Industrie mit Schwerpunkt safety-critical, mission-critical und business-critical Applications.
Fokussiert durch branchenspezifische Business Units umspannt das Dienstleistungsspektrum, gebündelt in eigene Kompetenzzentren, den gesamten Produktentwicklungszyklus, von den sehr frühen Phasen des Systems Engineering über die konkrete Applikationsentwicklung bis hin zum Zulassungsmanagement.
In der Business Unit Research & Technology werden modernste Lösungen für softwareintensive Systeme in der Luft- und Raumfahrt entwickelt und realisiert. Ein eigenes Business Center R&D unterstützt darüber hinaus domänenunabhängig die gesamte ICS mit langjähriger Kompetenz bzgl. gemeinsam genutzter Methoden, Prozesse und Werkzeuge. Training, Forschungsprojekte, Projektmanagement und Consulting stellen weitere komplettierende Säulen dar.
Business Unit Industrial Engineering – Die Entwicklung von Business-Critical Software, Tools und Systemen gehört zu den Kernkompetenzen der ICS AG. Deshalb bündeln wir überregional unsere Technologieexpertise zur Lösung komplexer und individueller Aufgabenstellungen. In enger Abstimmung mit unseren Kunden analysieren wir vorhandene Logistik-Prozesse und Materialflüsse und optimieren diese nachhaltig. Wir führen notwendige Gefahren- und Risikoanalysen durch – von der Steuergeräteebene bis hin zum Gesamtsystem – und leiten daraus relevante Sicherheitsziele sowie das funktionale Sicherheitskonzept ab. Wir managen "Big Data" und ermöglichen mit verständlichen und angepassten Werkzeugen zielgruppengenaue Analysen. Außerdem gestalten wir die digitale Transformation von Geschäftsmodellen und sichern den Datenstrom mit einem Security Konzept ab. Nachfolgend unterstützen wir unsere Kunden bei der Einführung und Schulung der Mitarbeiter.
Business Unit Transportation – Mit unserem Team hoch qualifizierter Spezialisten bieten wir ein umfassendes Spektrum von Leistungen für die technischen Systeme des schienengebundenen Nah- und Fernverkehrs an. Unser Knowhow erstreckt sich über den kompletten Entwicklungs- und Lebenszyklus von Systemen – von der Konzeption und Entwicklung über die Prüfung, Inbetriebnahme sowie Safety Management, Zulassungsunterstützung und Begutachtung inkl. Maintenance. Kurz gesagt, von der Architektur bis zur Zulassung – von A-Z! Durch unsere Competence Center sind wir auch technologisch am Puls des Marktes. Ob moderne Entwicklungsmethoden, Normungsfragen, IT-Security oder Zukunftsthemen, bei der ICS AG sind Sie als Kunde in allen maßgeblichen Bereichen der Zugsicherung und Zugsteuerung in guten Händen.
Darüber hinaus werden branchenübergreifend fundierte und praxisnahe Beratung im Bereich Projektmanagement sowie Entwicklungsprozesse und – methoden angeboten.
Informatik Consulting Systems GmbH
Sonnenbergstr.13
70184 Stuttgart
Telefon: +49 (711) 21037-00
Telefax: +49 (711) 21037-53
https://www.think-safe-think-ics.de
Marketing & PR
Telefon: +49 (711) 2103740
E-Mail: stefanie.henzler@ics-ag.de
Großer Andrang bei Sicherheitsthemen
„Ich freue mich wirklich sehr, dass das Thema Sicherheit bei den Besuchern und Ausstellern dieses Jahr ganz oben auf der Tagesordnung stand“, sagt Andreas Langer, Key Account Manager der Business Unit Transportation bei der ICS AG. „Wir hatten viele intensive und konkrete Gespräche zu den Themen sichere Leitsysteme, Datensicherung und Zertifizierungen. Schließlich muss die Bahnbranche die Vorgaben der KRITIS-Verordnung bis Juni 2019 umgesetzt haben“, merkt Langer an.
In zahlreichen Gesprächen mit Messebesuchern konnten Langer und seine Kollegen zu konkreten Fragestellungen Antworten und Lösungsansätze liefern. „Wir sind sehr breit aufgestellt und haben den Vorteil, dass wir uns bereits seit langem mit dem Thema Safety und Security auseinandersetzen. Davon profitieren schlussendlich die Unternehmen, die wir beraten und zu mehr Sicherheit verhelfen“, freut sich Langer.
Experten aus allen Bereichen bieten sichere Lösungsansätze
Auch zahlte sich die hohe Personaldecke aus, mit der die ICS AG dieses Jahr vertreten war. Langer zieht Bilanz: „Aus jedem unserer Geschäftsbereiche war immer ein Experte am Stand. So waren wir durchgängig mit Kompetenz und Fachverstand vertreten und konnten die aufkommenden Fragen gleich vor Ort beantworten.“
In gut besuchten Fachvorträgen gab das Software- und Beratungsunternehmen einen Einblick in seine breit gefächerte Expertise. Die Bandbreite der Themen erstreckte sich von der dynamischen Umsetzung des IT-Sicherheitsgesetzes über sicherungstechnische und betriebliche Aspekte in ETCS bis hin zu Informationssicherheit und Datenschutz sowie zur IRIS-Zertifizierung.
Die Messe ist internationaler geworden
Auch das Interesse aus dem Ausland war in diesem Jahr größer als in der Vergangenheit, konnte Andreas Langer berichten. „Hier kam uns zugute, dass wir dieses Jahr zusammen mit unserer Schweizer Tochter, der DTec Solutions AG, am Stand präsent waren“, führt er aus, „zumal die Schweiz als ausgewiesenes Bahn-Land für uns einen wichtigen Markt darstellt“.
Omas Maultaschen und innovatives Standdesign finden Anklang
Viel Lob erhielten Langer und seine Kollegen auch für die innovative Standgestaltung. Das Wand– und Bodendesign in Form eines U-Bahnnetzplans, zeigte als Haltestellen die wichtigen Schlagworte zum Leistungsspektrum der ICS AG. So wussten die Besucher sofort, dass sie z.B. bei den Sicherheitsthemen bei der ICS an der richtigen Stelle waren. Für das leibliche Wohl der Vortragsgäste war auch gesorgt und zwar mit einer schwäbischen Spezialität: Echte Maultaschen in Omaqualität. Die Besucher am Stand der ICS AG waren also nicht nur fachlich bestens versorgt.
(Autor: Julia Grewe)
Über die ICS AG:
Die ICS AG ist seit mehr als 50 Jahren ein erfolgreiches, familiengeführtes IT-Beratungs- und Engineering-Unternehmen. Die Spezialisierung liegt in den Geschäftsfeldern Industrial Engineering (Automation, Supply Chain, Logistic, Automotive), Transportation und den Bereichen Funktionale Sicherheit, Security & Safety sowie Informationssicherheit und DSGVO.
Die DTec Solutions AG ist eine 100%ige Tochter der ICS AG mit Sitz in Tägerwilen, Schweiz. Sie bietet identische Dienstleistungen, speziell für den Schweizer Bahnmarkt, an.
Weitere Informationen unter www.ics-ag.de, www.dtec-ac.ch und https://www.einfach-sicher.info
Informatik Consulting Systems GmbH
Sonnenbergstr.13
70184 Stuttgart
Telefon: +49 (711) 21037-00
Telefax: +49 (711) 21037-53
https://www.think-safe-think-ics.de
Marketing & PR
Telefon: +49 (711) 2103740
E-Mail: stefanie.henzler@ics-ag.de
ICS AG stärkt ihren Informationssicherheitsbereich
Daher ist die ICS AG besonders stolz darauf, zwei ihrer Mitarbeiter ab sofort zum zertifizierten Stamm der Information Security Officer zählen zu dürfen. Martin Zappe und Michael Kirsch legten mit Erfolg die Prüfung vor dem TÜV Nord ab und freuen sich, ihre Kompetenz im Bereich Informationssicherheit auch von offizieller Seite bestätigt zu bekommen.
Vorausdenkend die Sicherheit im Blick
„Mit der jetzigen Zertifizierung wird uns bestätigt, dass wir auf dem Gebiet der digitalen und Informationssicherheit wegweisend vorausdenken und die Sicherheit aller kritischen Abläufe eines Unternehmens im Blick behalten“, so Martin Zappe.
Und Michael Kirsch freut sich: „Wir haben so unseren Informationssicherheitsbereich weiter gestärkt und stellen uns noch breiter auf.“
Mit Zappe und Kirsch verfügt die ICS AG jetzt über drei zertifizierte Information Security Officer. Mitte 2017 legte bereits Andrian Dürr die Prüfung erfolgreich ab. Seither hat er den Posten des hauseigenen ISO (Information Security Officer) inne.
Dass sich in der ICS AG eine Vielzahl von Sicherheitsexperten tummeln, ist schon lange über die Grenzen Baden-Württembergs bekannt. Nicht umsonst hat sich die Firma seit über 50 Jahren der System- und Informationssicherheit verschrieben und berät erfolgreich sowohl große Konzerne als auch mittelständische Unternehmen kompetent und auf Augenhöhe.
Die ICS AG gratuliert!
Die ICS AG ist seit mehr als 50 Jahren ein erfolgreiches, familiengeführtes IT-Beratungs- und Engineeringunternehmen. Die Spezialisierung liegt in den Geschäftsfeldern Industrial Engineering (Automation, Supply Chain, Logistic, Automotive), Transportation und Research und Development. In den Bereichen Funktionale Sicherheit, Security & Safety sowie KRITIS sorgt die ICS AG für intelligente und sichere Prozesse in komplexen Umgebungen.
Informatik Consulting Systems GmbH
Sonnenbergstr.13
70184 Stuttgart
Telefon: +49 (711) 21037-00
Telefax: +49 (711) 21037-53
https://www.think-safe-think-ics.de
Business Unit Manager
Telefon: +49 (711) 2103700
E-Mail: martin.zappe@ics-ag.de
Marketing & PR
Telefon: +49 (711) 2103740
E-Mail: stefanie.henzler@ics-ag.de
Zertifizierte Sicherheit für Roboter
Der Standard Open Platform Communications Unified Architecture (OPC UA) hat sich zu einem der wichtigsten Standards zur sicheren, herstellerübergreifenden Vernetzung für industrielle Anlagen etabliert. Dies hat das BSI im Rahmen einer Studie (vom 26. April 2016) im Wesentlichen bestätigt. Dabei kann OPC UA aber nur IT-Sicherheitsmaßnahmen definieren, welche die Kommunikation unmittelbar schützen. Von außen wirkende Bedrohungen, beispielsweise auf das Betriebssystem, bedürfen weiterführender Sicherheitsmaßnahmen.
Das Open-Source-Projekt „Robot Operation System“ (ROS) stellt ein Framework für Roboter-Applikationen zur Verfügung, das selbstverständlich auch Anbindungen an das Internet und den Einsatz der Cloud zur Kontrolle, Steuerung und zum Datenaustausch bietet und sich dementsprechend den oben genannten Herausforderungen stellen muss.
Safety und Security nur gemeinsam betrachten
Bleibt die Frage, welche Sicherheitsmaßnahmen Hersteller, Integratoren und Betreiber etablieren müssen, um einen ganzheitlichen Schutz im Sinne von Safety und Security zu gewährleisten. Die Definition, Abgrenzung und Abhängigkeit von Security und Safety spielen dabei eine wichtige Rolle. Denn ohne Security (Datensicherheit) keine Safety (funktionale Sicherheit) und umgekehrt. Doch wie können Ingenieure ganzheitliche Sicherheit gewährleisten? Welche Methoden gibt es und wie lässt sich nachweisen, dass diese Methoden dem Stand der Technik und der einschlägigen Gesetzgebung entsprechen?
Ein wichtiges Element ist hier die Umsetzung der Normenreihe IEC 62443. Diese gewinnt immer mehr an Aufmerksamkeit und entwickelt sich zu einem der bedeutendsten IT-Sicherheitsstandards. Diese internationale Normenreihe hat zum Ziel, die Anforderungen der Industrial Security abzudecken und bildet eine gute Basis zur Erstellung von ganzheitlichen Schutzkonzepten. Eine Zertifizierung mit der IEC 62443 entspricht auch den normativen Grundlagen, wie sie vom Gesetzgeber gefordert werden und im B2B-Bereich als Beweis ausreichender Sicherheitsvorkehrung immer mehr an Bedeutung gewinnt.
Vortrag mit Sicherheits-Effekt
Diesem Thema nimmt sich Martin Zappe von der ICS AG in seinem Vortrag Challenges in Safety and Security for Industrial Automation Systems an, den er auf der Konferenz des ROS-Industrial am 13. Dezember 2017 in Stuttgart hält. Die ICS AG ist seit mehr als 50 Jahren als Experte im Sicherheitsbereich bekannt und Pionier im Bereich Umsetzung von industrieller Informationssicherheit. „Seit nun über vier Jahren arbeiten wir intensiv an dem Zusammenwirken von Safety und Security und den möglichen Lösungen für die unterschiedlichen Industrien“, untermauert Zappe.
Die ICS AG ist seit mehr als 50 Jahren ein erfolgreiches, familiengeführtes IT-Beratungs- und Engineeringunternehmen. Die Spezialisierung liegt in den Geschäftsfeldern Industrial Engineering (Automation, Supply Chain, Logistic, Automotive), Transportation und Research und Development. In den Bereichen Funktionale Sicherheit, Security & Safety sowie KRITIS sorgt die ICS AG für intelligente und sichere Prozesse in komplexen Umgebungen.
Informatik Consulting Systems GmbH
Sonnenbergstr.13
70184 Stuttgart
Telefon: +49 (711) 21037-00
Telefax: +49 (711) 21037-53
https://www.think-safe-think-ics.de
Marketing & PR
Telefon: +49 (711) 2103740
E-Mail: stefanie.henzler@ics-ag.de
Business Unit Manager
Telefon: +49 (711) 2103700
E-Mail: martin.zappe@ics-ag.de
Intelligente Hochzeit auf der it-sa
„Sicherheit darf nicht als Ballast gesehen werden“, warnt Thomas Reiner, Head of BC Supply Chain Integration bei der ICS AG. „Genau deshalb sehe ich Unterstützung durch gute Methoden und Tools für immens wichtig an. Mit IRMA scheint hier ein ordentliches Werkzeug gelungen zu sein, das erste Informationen schnell liefert und in Folge permanent wesentliche Informationen für ein Risikomanagement bereitstellt“, führt der Informatiker aus.
IRMA steht für Industrie Risiko Management Automatisierung und wurde von der Bremer Firma Achtwerk entwickelt. Die Security Appliance besteht aus einem leistungsfähigen Computersystem, das kontinuierlich Produktionsanlagen überwacht und dank eines intelligenten Lerneffekts Informationen zu Cyberangriffen liefert. Die fortlaufenden Plausibilitäts¬checks stellt sie grafisch dar. Bei Unregelmäßig¬keiten schlägt sie Alarm, so dass Betreiber von Industrieanlagen in Echtzeit auf Cyber-Attacken reagieren können. Irma greift dabei nicht in die Datenströme ein, sondern hört nur mit.
Eine sichere Verbindung mit Folgen
Martin Zappe, Business Unit Manager Industrial Engineering bei der ICS AG freut sich darüber, wie unkompliziert und schnell IRMA sich in das Netzwerk integrieren ließ: „Bereits nach wenigen Minuten Laufzeit lieferte sie wichtige Erkenntnisse über vorhandene Security-Leaks ohne das Echtzeit-Verhalten des Systems zu beeinflussen.“
Diese intelligente Verbindung führt nicht nur zu mehr Sicherheit, sie unterstützt auch dabei, die vom Gesetzgeber verlangten Sicherheitsvorgaben zu erfüllen. Christian Redak, Head of Business Center Mobile Applications bei der ICS AG führt aus: „Auf der it-sa machen wir mit unserem Demonstrator die Vorzüge der Industrial Security im Kontext der IEC 62443[1] erlebbar. Die Automatisierung des Netzwerk-Monitorings im Produktionsumfeld, wie beispielsweise die Asset-Verwaltung und das Absetzen von Alarmen, ist dabei essentiell. IRMA bietet uns dabei sowohl in der Analysephase als auch im anschließenden Betrieb hervorragende Unterstützung.“
Stefan Menge, Geschäftsführer von Achtwerk, ist mit der Kooperation sehr zufrieden: „Die ICS AG ist mir seit vielen Jahren als Engineering- und Beratungshaus für sichere Prozesse ein Begriff.“ Und auch der Verbindung des Secure-System-Control-Netzes mit IRMA gibt er gerne seinen Segen: „Mit dem Messedemonstrator machen wir anschaulich, wie IRMA anomales Kommunikationsverhalten bei einem Angriff erkennt und entsprechend Alarm schlägt.“
Sprechen Sie uns am Stand 402 in Halle 9 auf der it-sa 2017 an! Die Experten von der ICS AG freuen sich darauf, Ihnen Industrial Security am Beispiel „Secure-System-Control“ mit IRMA vorstellen zu dürfen.
[1]: Die Normenreihe IEC 62443 Industrial communication networks – Network and system security besteht aus folgenden Teilen (https://de.wikipedia.org/…)
• Teil 1-1: Terminology, concepts and models
• Teil 2-1: Establishing an industrial automation and control system security program
• Teil 3-1: Security technologies for industrial automation and control systems
• Teil 3-3: Security for industrial process measurement and control – Network and system security
ICS AG – Wir arbeiten als Safety- und Security-Manager und begleiten unsere Kunden bei der Erstellung von sichereren Systemen sowie bei der Sicherung ihrer Daten und Unternehmenswerte im Sinne der IT-Security.
In Workshops, die auf jeden Kunden individuell zugeschnitten sind, identifizieren wir die relevanten Assets und Anforderungen. Wir erstellen Risikoanalysen, leiten daraus die wesentlichen Sicherheitsziele ab und entwickeln auf dieser Grundlage Sicherheitskonzepte für sichere Systeme und Anforderungen zum Schutz gegen Cyber-Angriffe.
Bei Bedarf übernehmen wir ebenfalls die Analyse der bestehenden Prozesse, um diese anschließend normgerecht und praxisnah zu optimieren bzw. zu gestalten. Unsere zertifizierten Sicherheitsexperten sind Ihnen ein verlässlicher Partner, sowohl bei der Dokumentation individueller Sicherheitsrichtlinien als auch bei der Integration in die jeweilige Prozesswelt – von der Personalschulung bis hin zum Support.
Selbstverständlich begleiten wir Sie auch bei der Vorbereitung und Durchführung von IT-Security-Audits entsprechend der ISO 27001ff wie diese z. B. mittlerweile regelmäßig in der Automobilindustrie üblich sind. Dabei greifen wir auf eigene Audit-Erfahrung zurück – die ICS AG ist entsprechend erfolgreich durch OEMs auditiert worden.
Die ICS AG, gegründet 1966, ist eine international tätige, unabhängige Ingenieursgesellschaft. Mit über 130 Mitarbeitern ist die ICS AG Engineering-Partner der Industrie mit Schwerpunkt safety-critical, mission-critical und business-critical Applications.
Fokussiert durch branchenspezifische Business Units umspannt das Dienstleistungsspektrum, gebündelt in eigene Kompetenzzentren, den gesamten Produktentwicklungszyklus, von den sehr frühen Phasen des Systems Engineering über die konkrete Applikationsentwicklung bis hin zum Zulassungsmanagement.
In der Business Unit Research & Technology werden modernste Lösungen für softwareintensive Systeme in der Luft- und Raumfahrt entwickelt und realisiert. Ein eigenes Business Center R&D unterstützt darüber hinaus domänenunabhängig die gesamte ICS mit langjähriger Kompetenz bzgl. gemeinsam genutzter Methoden, Prozesse und Werkzeuge. Training, Forschungsprojekte, Projektmanagement und Consulting stellen weitere komplettierende Säulen dar.
Business Unit Industrial Engineering – Die Entwicklung von Business-Critical Software, Tools und Systemen gehört zu den Kernkompetenzen der ICS AG. Deshalb bündeln wir überregional unsere Technologieexpertise zur Lösung komplexer und individueller Aufgabenstellungen. In enger Abstimmung mit unseren Kunden analysieren wir vorhandene Logistik-Prozesse und Materialflüsse und optimieren diese nachhaltig. Wir führen notwendige Gefahren- und Risikoanalysen durch – von der Steuergeräteebene bis hin zum Gesamtsystem – und leiten daraus relevante Sicherheitsziele sowie das funktionale Sicherheitskonzept ab. Wir managen "Big Data" und ermöglichen mit verständlichen und angepassten Werkzeugen zielgruppengenaue Analysen. Außerdem gestalten wir die digitale Transformation von Geschäftsmodellen und sichern den Datenstrom mit einem Security Konzept ab. Nachfolgend unterstützen wir unsere Kunden bei der Einführung und Schulung der Mitarbeiter.
Business Unit Transportation – Mit unserem Team hoch qualifizierter Spezialisten bieten wir ein umfassendes Spektrum von Leistungen für die technischen Systeme des schienengebundenen Nah- und Fernverkehrs an. Unser Knowhow erstreckt sich über den kompletten Entwicklungs- und Lebenszyklus von Systemen – von der Konzeption und Entwicklung über die Prüfung, Inbetriebnahme sowie Safety Management, Zulassungsunterstützung und Begutachtung inkl. Maintenance. Kurz gesagt, von der Architektur bis zur Zulassung – von A-Z! Durch unsere Competence Center sind wir auch technologisch am Puls des Marktes. Ob moderne Entwicklungsmethoden, Normungsfragen, IT-Security oder Zukunftsthemen, bei der ICS AG sind Sie als Kunde in allen maßgeblichen Bereichen der Zugsicherung und Zugsteuerung in guten Händen.
Darüber hinaus werden branchenübergreifend fundierte und praxisnahe Beratung im Bereich Projektmanagement sowie Entwicklungsprozesse und – methoden angeboten.
Informatik Consulting Systems GmbH
Sonnenbergstr.13
70184 Stuttgart
Telefon: +49 (711) 21037-00
Telefax: +49 (711) 21037-53
https://www.think-safe-think-ics.de
Marketing & PR
Telefon: +49 (711) 2103740
E-Mail: stefanie.henzler@ics-ag.de
Leiter Geschäftsfeldentwicklung
Telefon: +49 (711) 21037-00
Fax: +49 (711) 21037-53
E-Mail: michael.kirsch@ics-ag.de
Business Unit Manager
Telefon: +49 (711) 2103700
E-Mail: martin.zappe@ics-ag.de
CYSIS: Bahnindustrie und Wissenschaft erarbeiten IT-Sicherheitskonzepte
Mit der fortschreitenden Digitalisierung werden Anlagen und Fahrzeuge mit komplexen Softwaresystemen kombiniert und an öffentliche Netze angebunden. „Früher hatte man eigene Server-Systeme und Netze. Heute muss man sich mit Cyberkriminalität auseinandersetzen“, warnt Andreas Langer, Key Account Manager Transportation bei der ICS AG. Obwohl sich dieses Bewusstsein in der Bahnbranche in den letzten zwei bis drei Jahren geschärft hat, ist es immer noch ein weiter Weg zur Umsetzung von Sicherheitsmaßnahmen.
Die Zeit drängt: IT-Sicherheit ist ein komplexes Thema
Ziel von CYSIS ist der Informationsaustausch zwischen Industrie und Wissenschaft, um die Security in den sicherheitskritischen Strukturen der Bahnbetreiber zu verbessern. Dazu gehört auch die Umsetzung der Vorgaben aus dem IT-Sicherheitsgesetz, das Betreiber kritischer Infrastrukturen (KRITIS) in die Pflicht nimmt. Nach der Verabschiedung der für die Bahnindustrie geltenden BSI-Verordnung haben Betreiber zwei Jahre Zeit, konkrete Sicherheitsmaßnahmen zu implementieren. „Die Betroffenen denken, dass sie sich Zeit lassen können“, weiß Andreas Langer aus Erfahrung. „Dabei wird die Komplexität des Themas unterschätzt.“
Das IT-Sicherheitsgesetz schreibt nicht vor, welche Normen und Vorschriften angewendet werden sollen. Es verweist lediglich auf den „neuesten Stand der Technik“.
Patric Birr, RAMS Engineer bei der ICS AG meint: „Bei CYSIS sitzen alle Beteiligten am selben Tisch um Lösungsansätze zu diskutieren und dabei geeignete Standards für die Branche zu identifizieren.“ Bislang wird die bahnspezifische Vornorm DIN VDE V 0831-104 angewendet. „Die international anerkannte Normenreihe für industrielle Kommunikationsnetze ISO/IEC 62443 wird aber immer konkreter und vollständiger“, so Birr. Ein IT-Sicherheitsnachweis in Anlehnung an den neu entstehenden Teil ISO/IEC 62443-3-2 (IT-Sicherheits- Risikobewertung für Systementwicklung) funktioniert sehr gut. Birr: „Bei der ICS AG haben wir ein entsprechendes Vorgehensmodell bereits erfolgreich angewendet.“
Alles sicher? Security für Safety
Wie Patric Birr erklärt, stand im Bahnsektor bislang die funktionale Sicherheit (Safety) an erster Stelle. Safety stellt sicher, dass Anlagen und Fahrzeuge jederzeit einen definierten Zustand haben und somit ein ungestörter Betrieb gewährleistet ist. Bei der Komplexität und Dynamik heutiger Softwaresysteme reicht dieser Ansatz zumeist nicht mehr aus. Safety muss mit etablierten Verfahren der Security ergänzt werden.
Der Cyber-Angriff mit der Malware WannaCry auf die Anzeigen der Bahn hat gezeigt, dass viele Systeme inzwischen von außen manipulierbar sind. „Das Ausfallen der Anzeigen war zwar ärgerlich aber nicht kritisch“, bemerkt Andreas Langer. Kritisch wird es allerdings, wenn Cyber-Kriminelle über eine unzureichende Trennung von Anzeigensystem und Signalsteuerung die Kontrolle über den Fahrweg übernehmen können.
Der Betrieb und die Zulassung der Systeme ist auf eine Nutzung von mitunter 20-30 Jahre ausgelegt. Die Zulassung der Systeme durch das Eisenbahn-Bundesamt (EBA) bleibt aber aktuell nur bestehen, wenn keinerlei Anpassungen an den Systemen vorgenommen werden. Um mit den aus Security-Gründen u.U. regelmäßig erforderlichen Änderungen an Softwaresystemen handlungsfähig zu bleiben, ist es notwendig, die Security technisch klar von der Safety zu trennen und auch den Zulassungsprozess entsprechend zu adaptieren. Die Safety-Funktionen der Systeme werden dafür in eine Security-Schale eingebettet, die dynamischer an die aktuelle Bedrohungslage angepasst werden kann. In einem umfassenden IT-Sicherheitsnachweis ist die Rückwirkungsfreiheit der Security gegenüber dem sicherheitsrelevanten System nachzuweisen.
Patric Birr hat ein Vorgehensmodell erarbeitet, das sowohl in der Entwicklung als auch später im Betrieb dynamisch die Gegenüberstellung neuer Angriffsmuster mit geeigneten Schutzmaßnahmen ermöglicht. Damit wird sichergestellt, dass nach jedem Software-Update oder Patch die Voraussetzungen für die EBA-Zulassung immer noch gegeben sind. Der zeit- und kostenaufwendige Prozess einer Neuzulassung ist nicht erforderlich.
Der Letzte macht die Türe zu: ganzheitliche IT-Sicherheit
„Die beste Technik nutzt nichts, wenn organisatorisch und infrastrukturell die IT-Sicherheit nicht hergestellt ist“, warnt Patric Birr. Bei CYSIS konnte er vermitteln, dass IT-Sicherheit nur in einem ganzheitlichen Ansatz funktioniert. Dazu müssen neben der Technik auch der Betrieb, die Infrastruktur und das Personal in die Betrachtung mit einbezogen werden. Als Standard hat sich hierzu die Reihe ISO/IEC 2700x bewährt. Sie bezieht sich auf Managementaspekte und legt Richtlinien und allgemeine Grundsätze für die Einführung, Umsetzung, Aufrechterhaltung und Verbesserung des Informationsmanagements innerhalb einer Organisation fest.
Andreas Langer verspricht sich von der Mitarbeit bei CYSIS, dass Unternehmen für das Thema IT-Security weiter sensibilisiert werden und zeitnah die geforderten Maßnahmen angehen. „Allen ist klar, dass sich Cyber-Attacken nicht verhindern lassen“, sagt Langer. Aber es ist wichtig, die gesetzlichen Vorgaben umzusetzen. Und das ist ein langer Prozess. Dass hiervon nicht nur die großen Bahnbetreiber und Produzenten betroffen sind, ist den wenigsten bewusst. „Zwar ist der Betreiber für die Sicherheit seiner Anlagen verantwortlich“, sagt Langer, doch beim Zukauf von Komponenten geben die Bahnbetreiber ihre Sicherheitskriterien an Lieferanten und Sublieferanten weiter. „Da wir uns bei der ICS AG schon sehr lange mit dem Thema beschäftigen, können wir für CYSIS einen wertvollen Beitrag leisten“, ist Langers Einschätzung.
Infokasten:
Das IT-Sicherheitsgesetz
Am 31. Mai hat die Bundesregierung der Änderung der BSI-KRITIS-Verordnung zugestimmt. Sie legt die Kriterien fest anhand derer Betreiber Kritischer Infrastrukturen aus den Sektoren Finanz- und Versicherungswesen, Gesundheit sowie Transport und Verkehr überprüfen können, ob sie unter das IT-Sicherheitsgesetz fallen.
Damit kann die Verordnung im Juni 2017 in Kraft treten.
Ab jetzt haben die betroffenen Unternehmen für die Umsetzung zwei Jahre Zeit.
Die Regelungen für die Sektoren Energie, Informationstechnik und Telekommunikation, Wasser und Ernährung sind bereits seit Mai 2016 in Kraft.
Für Betreiber Kritischer Infrastrukturen in der Transportbranche gelten folgende Schwellwerte:
• Schienennetze, Stellwerke und Leitzentralen im ÖSPNV: ab 125 Mio. beförderten Personen im Jahr oder 500.000 Einwohner in der überwachten Region
• Personenbahnhöfe der jeweils höchsten Kategorie
• Güterbahnhöfe und Zugbildungsbahnhöfe: ab 23.000 Züge im Jahr
• Logistikzentren und Umschlaganlagen: ab 17 Mio. Tonnen Güter im Jahr
• Abfertigungsanlagen und Flughäfen: ab 20 Mio. Passagiere im Jahr bzw. 750.000 Tonnen Fracht im Jahr
• Flugsicherung und Luftverkehrskontrolle: ab 17.5000 Flugbewegungen im Jahr
Es wird allerdings erwartet, dass die betroffenen Unternehmen von ihren Zulieferern entsprechende Garantien oder Zertifizierungen verlangen.
Die vom BSI vorgegebenen Richtlinien beinhalten folgende Maßnahmen:
• Einhaltung eines Mindestniveaus an IT-Sicherheit
• Nachweis der Erfüllung durch Sicherheitsaudits
• Meldepflicht für erhebliche IT-Störungen
• Betreiben einer Kontaktstelle innerhalb des Unternehmens zum BSI
Zu den Personen:
Patric Birr ist aktiv in den CYSIS Arbeitsgemeinschaften Security for Safety und ETCS mit Security vertreten.
Von Patric Birr ist erschienen: „Vorgehensmodell zur IT-Sicherheitsanalyse für Bahnanwendungen“ in Signal+Draht, Ausgabe 4/2017.
Andreas Langer und Patric Birr nehmen am CYSIS Cyber Congress am 4. Juli 2017 in Frankfurt teil.
(Autor: Julia Grewe)
Informatik Consulting Systems GmbH
Sonnenbergstr.13
70184 Stuttgart
Telefon: +49 (711) 21037-00
Telefax: +49 (711) 21037-53
https://www.think-safe-think-ics.de
Marketing & PR
Telefon: +49 (711) 2103740
E-Mail: stefanie.henzler@ics-ag.de
