Freitag, 22. November 2024

InterviewSchwachstellen aufspüren

[29.06.2021] Die Unternehmen cosymap und Trovent Security wollen auch kleineren Netzbetreibern eine rechtssichere Leitungsauskunft ermöglichen. Im Interview mit stadt+werk stellen cosymap-CTO Thomas Schamal und Alexander Caswell, Geschäftsführer der Trovent Security, ihre Lösung vor.
Thomas Schamal ist Gründungsmitglied und CTO der cosymap GmbH. Er ist ausgewiesener Digital-Experte in der Versorgungs- und Telekommunikationsbranche.

Thomas Schamal ist Gründungsmitglied und CTO der cosymap GmbH. Er ist ausgewiesener Digital-Experte in der Versorgungs- und Telekommunikationsbranche.

(Bildquelle: cosymap GmbH)

Herr Schamal, Herr Caswell, die GIS-Gesamtlösung von cosymap, die eine standardisierte Anwendung für die Leitungsauskunft beinhaltet, ist insbesondere für kleine und mittlere Stadtwerke geeignet. Gemeinsam mit der Trovent Security aus Bochum wird die Web-Applikation vor der Inbetriebnahme beim Kunden auf Sicherheitslücken geprüft. Warum legen Sie mit Ihrer Kooperation den Schwerpunkt gerade auf das Thema IT-Sicherheit?

Thomas Schamal: Das zentrale Thema unserer Kunden ist die Daseinsvorsorge und Versorgungssicherheit. Gerade für Netzbetreiber kritischer Infrastrukturen, wie Energie- und Wasserversorger, muss sichergestellt werden, dass diese jederzeit gewährleistet ist. Das heißt, die Leitungsnetze müssen vor Beschädigungen durch Fremdeinwirkung Dritter, etwa Bautätige, geschützt werden, zudem muss die dahinterliegende IT-Infrastruktur Angriffen von außen standhalten. Das betrifft auch das Ausspähen von geschützten Leitungsdaten.

Alexander Caswell: Aktuelle Statistiken zeigen, dass Cyber-Angriffe, insbesondere auf Unternehmen und öffentliche Einrichtungen, im vergangenen Jahr in Deutschland einen Höchststand erreicht haben. Auch aus diesem Grund hat das Bundeskabinett im Dezember 2020 die Novellierung des IT-Sicherheitsgesetzes 2.0 beschlossen. Es enthält für Betreiber kritischer Infrastrukturen deutliche Verschärfungen. Regelmäßig durchgeführte Penetrationstests tragen neben anderen technischen und organisatorischen Maßnahmen dazu bei, dass die erhöhten Anforderungen des Gesetzgebers erfüllt werden können.

„Unser Ziel ist es, Manipulationsmöglichkeiten präventiv zu verhindern.“
Worin unterscheidet sich die cosy­map Lösung von herkömmlichen Applikationen zur Leitungsauskunft?

Schamal: Mit unserer Branchenlösung konzentrieren wir uns verstärkt auf kleinere und mittlere Versorgungsunternehmen. Gerade bei kleineren Stadtwerken sind die Ressourcen in der IT oftmals begrenzt. Die Vorgaben des Gesetzgebers und novellierte Regelwerke der Branchenverbände erzeugen einen hohen Modernisierungsdruck, dem die Unternehmen nur mit hohem Zeit- und Ressourcenaufwand nachkommen können. Die cosy­map-Lösung als Standard-Software für Leitungsauskunft schlägt hier sozusagen zwei Fliegen mit einer Klappe: Zum einen basiert sie auf der aktuellen Rechtsprechung und ist somit rechts- und revisionssicher, zum anderen ermöglichen die kurze Implementierungsphase sowie der einfache und intuitive Umgang mit der Lösung einen schnellen Return-on-Investment. Die Option, die Software im Anwendungsumfeld mittels Penetrationstest zu überprüfen, ist für die Entscheider ein zusätzlicher und wichtiger Aspekt in puncto Betriebssicherheit.

An welchen Stellen sind die Systeme der Netzbetreiber besonders angreifbar und welche Szenarien werden mit dem Penetrationstest der cosy­map-­Applikation durchgespielt?

Schamal: Bei dem Test konzentrieren wir uns auf unsere Web-Applikation und deren Schnittstellen in der Anwendungsumgebung. Wir implementieren die bereits auf Sicherheit und Schwachstellen überprüfte cosymap-Software beim Kunden und überprüfen sie in der Betriebsumgebung dann nochmals auf einwandfreie und sichere Funktion. Dabei werden die Server- und Netzwerk­infrastruktur genau beleuchtet, um eventuell vorhandene Schwachstellen aufzudecken und zu beheben. Unser Ziel ist es, Manipulationsmöglichkeiten präventiv zu verhindern.

Caswell: Trovent Security arbeitet hierbei nach anerkannten Standards. Dazu zählen unter anderem der Penetration Testing Execution Standard (PTES), der OWASP Web Security Testing Guide sowie das Durchführungskonzept für Pene­tra­tionstests des Bundesamts für Sicherheit in der Informationstechnik (BSI).

Wie läuft der Test im Stadtwerk konkret ab und mit welchem zeitlichen Rahmen muss der Kunde rechnen?

#bild2 Caswell: Zunächst werden gemeinsam mit dem Kunden Zielsetzung und Rahmenbedingungen für die Überprüfung festgelegt. Hierbei stehen Fragen im Vordergrund, welche die Art und die Vorgehensweise bei dem bevorstehenden Test betreffen. Dazu gehört beispielsweise, welche Informationen im Vorfeld über das Zielsystem zur Verfügung gestellt werden und wie aggressiv bei der Überprüfung vorgegangen werden soll und darf. Darüber hinaus werden die Zielsysteme für den Test festgelegt. Neben der cosymap-Leitungsauskunft können das auch die angeschlossenen Datenbank-Server sein. Unsere Tester führen danach die Überprüfung durch und greifen das Zielsystem mit den gleichen Mitteln an, die auch böswillige Angreifer anwenden, um mögliche IT-Sicherheitsrisiken aufzudecken. Werden im Zuge dessen Schwachstellen identifiziert, werden diese ausführlich dokumentiert und Verbesserungsvorschläge erarbeitet. Für einen vollständigen Penetrationstest ist mit etwa fünf Arbeitstagen zu rechnen.

Schamal: Natürlich werden die Ergebnisse der erfolgten Maßnahmen zur erhöhten IT-Sicherheit in Folge­tests verifiziert und auch Releases der Software entsprechend überprüft.

Was bedeutet Ihr Vorstoß bei der Leitungsauskunft im Bereich der IT-Sicherheit für die Branche?

Schamal: In Gesprächen mit Unternehmen aus der Branche haben wir festgestellt, dass die eingesetzten Web-Applikationen oft nicht mehr den aktuellen IT-Sicherheitsanforderungen genügen. Die Kooperation mit Trovent Security ermöglicht es uns, unseren Kunden einen zuverlässigen Nachweis zu liefern, dass unsere Lösung zur Leitungsauskunft hinsichtlich der IT-Sicherheit dem aktuellen Stand der Technik entspricht. Der vergleichsweise überschaubare Aufwand für das Testverfahren im Zuge der Software-Implementierung zahlt maßgeblich in die Vertrauensbildung des Netzbetreibers ein. Vor allem aber dient er der Sicherheit der Netzinfrastruktur in Deutschland.

Caswell: Im Übrigen gilt das nicht nur für die Versorgungsbranche, wobei gerade die Betreiber kritischer Infrastrukturen eine hohe Verantwortung für das Gemeinwohl tragen.

Interview: Bettina Schömig

Im Interview, Thomas Schamal und Alexander CaswellThomas Schamal ist Gründungsmitglied und CTO der cosymap GmbH. Er ist ausgewiesener Digital-Experte in der Versorgungs- und Telekommunikationsbranche. Alexander Caswell ist Gründer und Geschäftsführer der Trovent Security GmbH. Er hat über 15 Jahre Erfahrung in Führungsrollen innerhalb der IT und Telekommunikation, insbesondere in den Bereichen Cyber- und Kommunikationssicherheit sowie öffentliche Sicherheit.



Anzeige

Weitere Meldungen und Beiträge aus dem Bereich: Informationstechnik
Metering as a Service bietet Wasserversorgern eine Komplettlösung zur digitalen Messwerterfassung. Foto: iStock

Zenner / EMT: Praxisnähe auf Metering Days

[13.11.2024] Die Unternehmen Zenner International und aktiver EMT werden auch in diesem Jahr an den Metering Days in Fulda teilnehmen. mehr...

Der IT-Anbieter KISTERS belegt Effizienz seiner Maßnahmen für IT-Security mit Zertifizierung nach SOC 2 Typ II und BSI C5 Typ II. Bild: KISTERS

Kisters: IT-Security zertifiziert

[12.11.2024] Kisters belegt Effizienz der Maßnahmen für IT-Security mit Zertifizierung nach SOC 2 Typ 2 und BSI C5 Typ 2. mehr...

Das Bild zeigt das Titelblatt des Leitfadens Künstliche Intelligenz (KI) in Fernwärme.

dena: KI in Fernwärmenetzen

[11.11.2024] Konkrete Handlungsempfehlungen und Praxisbeispiele für eine effizientere und klimafreundlichere Fernwärmeversorgung mithilfe von Künstlicher Intelligenz (KI) hat die dena veröffentlicht. mehr...

Das Bild zeigt ein blau hinterleuchtetes SAP-Logo in einer schwarzen Wabe.
bericht

cortility: IT-Ausblick für 2025

[04.11.2024] Ab 2025 müssen sich die Energieversorger der Herausforderung des Lieferantenwechsels innerhalb von 24 Stunden stellen. Zudem werden dynamische Tarife und zeitvariable Netzentgelte eingeführt – und die Migration auf SAP S/4 HANA steht an. Was bedeutet das für die Prozesse im Stadtwerk? Ein Ausblick des IT-Dienstleisters cortility. mehr...

WAGO: Lösungen für Cybersecurity

[29.10.2024] Unter dem Motto „OPEN. For Smart Industry Solutions“ präsentiert WAGO auf der SPS – Smart Production Solutions in Nürnberg seine neuesten Entwicklungen aus den Bereichen OT-Security und Energiemanagement. mehr...

Somentec: Start einer AS4-Komplettlösung für den Gasmarkt

[28.10.2024] Somentec bringt gemeinsam mit SHERPA-X eine AS4-Komplettlösung für den Gasmarkt auf den Weg. Die praxiserprobte Plattform, die für den sicheren Austausch von B2B-Nachrichten entwickelt wurde, steht Gasversorgern ab sofort zur Verfügung und wird ab dem 1. April 2025 für alle Marktteilnehmer verbindlich. mehr...

Die Aufgabe von SAP Basis ist es

Support: Externe Unterstützung

[14.10.2024] Das IT-Haus cortility bietet Unternehmen der Energiewirtschaft das Dienstleistungspaket SAP Basis Support an. Das Spektrum reicht dabei von der temporären Unterstützung des Kundenteams bis zur Übernahme der Gesamtverantwortung. mehr...

SHERPA-X: AS4-Lösung für den Gasmarkt

[02.10.2024] Im deutschen Gasmarkt startet die Kommunikation über den AS4-Standard. SHERPA-X bietet den Marktteilnehmern mit einer End-to-End-Lösung umfassende Unterstützung, um die Umstellung schnell und effizient zu gestalten. mehr...

SachsenEnergie: GISA unterstützt bei SAP-Systemen

[01.10.2024] Der IT-Dienstleister GISA unterstützt SachsenEnergie bei der Betreuung ihrer SAP IS-U Systeme. Ziel ist es, den Fachbereich von Transformationsprojekten zu entlasten und Prozesse wie Kundenservice, Abrechnung und Marktkommunikation zu optimieren. mehr...

Mit der neue Aus- und Weiterbildungsplattform von Wilken können sich Mitarbeiterinnen und Mitarbeiter von Stadtwerken und Energieversorgern weiterbilden.

Wilken Software Group: Online-Plattform zur Weiterbildung

[01.10.2024] Die Wilken Software Group hat eine neue Aus- und Weiterbildungsplattform für Fachkräfte und Anwender in der Versorgungswirtschaft gestartet. Das Angebot soll Unternehmen dabei unterstützen, sich angesichts steigender Marktanforderungen und des Fachkräftemangels auf regulatorische Veränderungen vorzubereiten. mehr...

SAP will digitale Souveränität stärken und investiert in sichere Cloudlösungen für den öffentlichen Sektor.

SAP: Milliarden für sichere Cloudlösungen

[20.09.2024] In den kommenden zehn Jahren will SAP mehr als zwei Milliarden Euro in die Entwicklung hochsicherer Cloudlösungen für den öffentlichen Sektor und stark regulierte Branchen investieren. mehr...

GISA: BI-Angebot erweitert

[09.09.2024] Der IT-Dienstleister GISA verstärkt sein Angebot im Bereich Business Intelligence (BI). Neben SAP-Lösungen bietet das Unternehmen nun auch BI-Beratung und -Implementierung für Microsoft Power BI, MicroStrategy und Open Source-Technologien an. mehr...

Griechenlands größter Stromversorger PPC setzt auf Kisters-Lösung für Prognose und Beschaffungsvorbereitung.

Kisters: Lösung für griechischen Versorger

[30.08.2024] Die Public Power Corporation (PPC), der größte Energieversorger Griechenlands, hat IT-Lösungen von Kisters implementiert, um seine Handels- und Beschaffungsstrategien auf den Strommärkten zu optimieren. mehr...

Vertragsunterzeichnung: Drei Stadtwerke wollen eine gemeinsame ERP-Plattform einführen.

Saarland: Drei Stadtwerke, eine Plattform

[28.08.2024] Die Stadtwerke Saarlouis, Völklingen und Neunkirchen haben einen Kooperationsvertrag zur Einführung einer gemeinsamen ERP-Plattform unterzeichnet. Ziel ist es, Geschäftsprozesse zu optimieren und flexibler auf Kundenwünsche reagieren zu können. mehr...

Vorstellung der neuen Glasfaser-Ausbaugebiete in Osnabrück.

Osnabrück: Halbzeit beim Glasfaserausbau

[23.08.2024] Für den Glasfaserausbau in Osnabrück ist Halbzeit. Zeit, die Ausbaugebiete für 2025 vorzustellen. mehr...