RACF Security Analyse Tool für IBM z/OS

Veröffentlicht am15. Mai 202615. Mai 2026AutorKarl-Josef Schiffhauer

Professionelle Sicherheitsanalyse für RACF-Umgebungen in IBM z/OS

Die Sicherheit von IBM z/OS-Systemen und dem Security Server RACF stellt insbesondere im Banken-, Versicherungs- und KRITIS-Umfeld einen zentralen Bestandteil der IT-Compliance und Informationssicherheit dar. Fehlkonfigurationen, überhöhte Berechtigungen oder unzureichende Überwachung innerhalb von RACF können erhebliche Sicherheits- und Compliance-Risiken verursachen.

Mit unserem spezialisierten RACF Security Analyse Tool unterstützen wir Unternehmen dabei, ihre RACF-Umgebung effizient, strukturiert und revisionssicher zu analysieren.

Das Tool wurde auf Basis langjähriger Praxiserfahrung im Umfeld von:

IT-Audit
IT-Revision
Informationssicherheit
IBM z/OS Security
RACF Administration
regulatorischen Prüfungen

entwickelt und speziell auf die Anforderungen großer Mainframe-Umgebungen ausgerichtet.

Funktionen des RACF Analyse Tools

Das Tool analysiert RACF-Datenbanken bzw. IRRDBU00-Unloads automatisiert und identifiziert sicherheitsrelevante Schwachstellen, Auffälligkeiten und Compliance-Risiken.

Analysebereiche

Analyse privilegierter Benutzerkonten
- SPECIAL
- OPERATIONS
- AUDITOR
- UID(0)-ähnliche Berechtigungen
Identifikation kritischer RACF-Einstellungen
Analyse von:
- UACC-Berechtigungen
- generischen Profilen
- Dataset-Profilen
- Ressourcenschutzklassen
- Gruppenstrukturen
Erkennung von:
- verwaisten Benutzerkonten
- inaktiven Accounts
- ungenutzten Berechtigungen
- kritischen Berechtigungsvererbungen
Sicherheitsbewertung von:
- RACF-Usern
- Gruppen
- Dataset-Profilen
- General Resource Profiles
Unterstützung regulatorischer Anforderungen:
- ISO 27001
- DORA
- BAIT
- VAIT
- MaRisk
- NIS2
- interne Revision

Vorteile für Unternehmen

Mehr Transparenz in RACF

Das Tool schafft Transparenz über komplexe RACF-Strukturen und reduziert den manuellen Analyseaufwand erheblich. Das Tool beansprucht die RACF Systemadministratoren nur in geringem Umfang, da die Analyse offline durch den Auditor bzw. Revisor durchgeführt werden kann

Unterstützung von Audits und Revisionen

Die erzeugten Auswertungen eignen sich ideal zur Unterstützung von:

internen Revisionen sowie
insbesondere externe Prüfungen
ISO-27001-Audits
regulatorischen Assessments
Security Reviews

Schnellere Identifikation kritischer Risiken

Sicherheitskritische Konfigurationen und potenzielle Schwachstellen werden automatisiert erkannt und übersichtlich dargestellt.

Optimierung der Compliance

Die Analyse unterstützt Unternehmen dabei, regulatorische Anforderungen und interne Sicherheitsrichtlinien effizient umzusetzen.

Zielgruppen

Unser RACF Security Analyse Tool richtet sich insbesondere an:

Banken
Versicherungen
Rechenzentren
KRITIS-Unternehmen
IBM z/OS-Betreiber
IT-Revisionsabteilungen
Informationssicherheitsbeauftragte
RACF-Administratoren
Mainframe-Security-Spezialisten

Technologische Basis

Das Tool wurde speziell für große IBM z/OS-Umgebungen entwickelt und unterstützt die Analyse umfangreicher RACF-Datenbestände auf Basis von IRRDBU00-Unloads.

Die Architektur ermöglicht:

schnelle Verarbeitung großer Datenmengen
flexible SQL-basierte Auswertungen
individuelle Sicherheitsanalysen
revisionssichere Dokumentation
professionelle Reporting-Funktionen

RACF Security Analyse vom Spezialisten

Als langjähriger IT-Auditor und Spezialist für IBM z/OS Security und RACF unterstütze wir Unternehmen bei der Analyse, Bewertung und Optimierung ihrer Mainframe-Sicherheitsarchitektur.

Der Fokus liegt auf:

praxisnahen Sicherheitsanalysen
regulatorischer Compliance
revisionssicheren Auswertungen
nachhaltiger Verbesserung der RACF-Sicherheit
permanenten Audits

Jetzt Kontakt aufnehmen

Sie möchten Ihre RACF-Umgebung analysieren, Sicherheitsrisiken identifizieren oder Ihre Compliance-Anforderungen effizient unterstützen?

Dann nehmen Sie gerne mit uns Kontakt auf.

BSI Grundschutz++ – Die nächste Generation des IT-Grundschutzes

Veröffentlicht am15. Mai 202615. Mai 2026AutorKarl-Josef Schiffhauer

Das Bundesamt für Sicherheit in der Informationstechnik (BSI) entwickelt den bisherigen IT-Grundschutz aktuell umfassend weiter. Die bekannten BSI-Standards 100, 200, 300 und 400 sowie das IT-Grundschutz-Kompendium werden schrittweise modernisiert und zu einem neuen, flexibleren Sicherheitsansatz zusammengeführt: dem BSI Grundschutz++.

Im Mittelpunkt des neuen Ansatzes stehen künftig stärker die tatsächlichen Geschäftsprozesse, Informationen und individuellen Anforderungen der jeweiligen Organisation.

Was ist der BSI Grundschutz++?

Der BSI Grundschutz++ ist die moderne Weiterentwicklung des klassischen IT-Grundschutzes. Ziel ist es, Unternehmen und Behörden eine deutlich flexiblere, skalierbare und stärker automatisierbare Umsetzung von Informationssicherheit zu ermöglichen.

Im Gegensatz zum bisherigen Ansatz definiert der Grundschutz++ zunächst verbindliche Mindestanforderungen für ein angemessenes Cybersicherheitsniveau. Aufbauend darauf können Organisationen die Anforderungen abhängig von Größe, Komplexität und Schutzbedarf individuell erweitern.

Dadurch eignet sich der Grundschutz++ sowohl für kleinere Organisationen als auch für komplexe Unternehmensstrukturen mit hohen regulatorischen Anforderungen.

Prozessorientierter und digitaler Sicherheitsansatz

Eine wesentliche Neuerung des Grundschutz++ ist sein prozessorientierter Aufbau. Sicherheitsanforderungen werden künftig als standardisierte und maschinenlesbare Regeln beschrieben.

Dadurch können die Anforderungen:

automatisiert verarbeitet,
digital modelliert,
technisch ausgewertet,
sowie in ISMS- und Compliance-Werkzeuge integriert werden.

Die Sicherheitsanforderungen liegen dabei in einem maschinenlesbaren Format vor und können direkt durch Softwarelösungen interpretiert werden. Dies ermöglicht eine deutlich effizientere, nachvollziehbarere und stärker automatisierte Umsetzung von Informationssicherheit.

Anwenderkatalog und technische Anforderungen

Ergänzend zur Methodik stellt das BSI einen Anwenderkatalog Grundschutz++ bereit. Dieser enthält sowohl technische als auch organisatorische Sicherheitsanforderungen.

Die normativen Vorgaben der Methodik wurden dabei in konkrete Anforderungen überführt, die Organisationen direkt für den Aufbau und Betrieb eines Informationssicherheitsmanagementsystems (ISMS) nutzen können.

Besonders interessant ist hierbei die Möglichkeit, Anforderungen automatisiert auszuwerten und in digitale Compliance-Prozesse einzubinden.

Grundschutz++ als Grundlage moderner ISMS-Tools

Mit dem Grundschutz++ stellt das BSI erstmals ein digitales Regelwerk in maschinell verarbeitbarer Form bereit. Dadurch können Sicherheitsanforderungen einfacher in Anwendungen, ISMS-Plattformen und Governance-Werkzeuge integriert werden.

Das Grundschutz++-Tool bietet hierbei unter anderem:

verschiedene Filter- und Auswahlmöglichkeiten,
strukturierte Modellierungsfunktionen,
automatisierte Auswertungen,
sowie Reporting- und Dokumentationsfunktionen.

Das vom BSI veröffentlichte GitHub-Repository zum „Stand der Technik“ hat uns dazu veranlasst, einen ersten Entwurf eines eigenen ISMS-Tools für den BSI Grundschutz++ zu erstellen.

Das über GitHub bereitgestellte Repository ließ sich leicht in ein einfach strukturierten ISMS-tool übernehmen, welches die ersten Informationen enhält und testweise bereits bearbeitet werden kann. Hierbei können die Informationen in einer beliebigen Datenbank gespeichert werden und als JSON- bzw. CSV-File exportiert werden. Darüber hinaus kann die Anzeige zwischen hell und dunkel gewechselt werden.

Fazit

Der BSI Grundschutz++ stellt einen bedeutenden Schritt hin zu einem modernen, digitalen und stärker automatisierbaren Informationssicherheitsmanagement dar. Durch die Kombination aus Mindestanforderungen, flexibler Erweiterbarkeit und maschinenlesbaren Sicherheitsregeln entsteht eine praxisnahe Grundlage für moderne Cybersecurity- und Compliance-Prozesse.

Insbesondere Unternehmen mit regulatorischen Anforderungen, ISMS-Verantwortliche sowie IT-Security- und Compliance-Teams profitieren von der höheren Flexibilität und Automatisierbarkeit des neuen Ansatzes.

Jetzt Kontakt aufnehmen

Sie möchten eine erste Präsentation unseres ISMS Compliance Tools für den BSI Grundschutz++?

Dann nehmen Sie gerne mit uns Kontakt auf.

Audit nach BSI TR-03109-6 bei SMGW Admins

Veröffentlicht am7. März 201713. Dezember 2018AutorKarl-Josef Schiffhauer

Alle Energieversorger bzw. Dienstleister, die den Betrieb eines Smart-Meter-Gateway Admin’s planen, müssen sich nach der BSI TR-03109-6 zertifizieren lassen. Das entsprechende Audit ist durch einen vom BSI zugelassenen Auditor durchzuführen.

Anforderungen an ISO 27001 Auditoren im Bereich Energieversorgung

Veröffentlicht am22. September 20162. Oktober 2016AutorKarl-Josef Schiffhauer

ISO 27001 Audit’s nach dem IT-Sicherheitskatalog der Bundesnetzagentur gemäß § 11 Abs. 1a Energiewirtschaftsgesetz (EnWG) dürfen nur von Auditoren durchgeführt werden, die an einer von der Bundesnetzagentur anerkannten Schulung erfolgreich teilgenommen haben.

Anforderung an Auditoren gemäß IT-Sicherheitskatalog nach § 11 Abs. 1a EnWG

Nachweis der Teilnahme an einer ISO 27001 Auditoren Schulung im Bereich Energieversorgung Die grundlegenden Anforderungen an ISO 27001 Auditoren von Zertifizierungsstellen sind im Abschnitt 7.1 der ISO/IEC 27006:2015 geregelt. Zusätzlich zu diesen Anforderungen müssen die Auditoren im Bereich Energieversorgung bzw. Netzbetreiber eine von der Bundesnetzagentur anerkannte Schulung zu den Grundlagen der leitungsgebundenen Energieversorgung mit Strom und Gas erfolgreich absolvieren. Die erfolgreiche Teilnahme an der Schulung ist am Schulungsende im Rahmen einer Prüfung nachzuweisen.

Die Schulung muss einschließlich der Prüfung mindestens 6 Tage umfassen und die folgenden Themengebiete abdecken:

Rechtliche Rahmenbedingungen und Anforderungen in der Energiewirtschaft, insbesondere Unbundling
Technische Grundlagen der Strom- und Gasversorgung
Grundlagen für den Netzbetrieb
Netzsteuerung, Dispatching sowie
IT-Kritische Infrastrukturen für den Netzbetrieb und den Scope des ISMS nach dem IT-Sicherheitkatalog

Weitere Details können dem Konformitätsbewertungsprogramm zur Akkreditierung von Zertifizierungsstellen für den IT-Sicherheitskatalog gemäß § 11 Absatz 1a Energiewirtschaftsgesetz auf der Grundlage der ISO/IEC 27006, Stand: 13. April 2016, entnommen werden.

Unterstützung bei ISO 27001 Audit’s im Bereich Energieversorgung

SITACS verfügt über anerkannte ISO 27001 Auditoren mit der von der Bundesnetzagentur geforderten Qualifikation und arbeitet mit entsprechenden Zertifizierungsstellen zusammen. Gerne unterstützen wir Energieversorger bzw. Netzbetreiber bei der Zertifizierung nach ISO 27001 gemäß IT-Sicherheitskatalog nach Energiewirtschaftsgesetz und unterbreiten Ihnen gerne ein entsprechendes Angebot. Sprechen Sie uns an.

Datenanalyse-Software ACL Version 12 erschienen

Veröffentlicht am19. September 201619. September 2016AutorKarl-Josef Schiffhauer

ACL hat die neue Datenanalyse-Software ACL Version 12 kürzlich herausgebracht. Bei ACL handelt es sich um den weltweiten Marktführer im Bereich der sog. Global Risk und Compliance Software, kurz GRC Software, genannt. ACL wird zur Datenanalyse von großen Datenbeständen eingesetzt und kann sehr effizient dazu beitragen, Schwachstellen im internen Kontrollsystem (IKS) aufzudecken bzw. die Qualität von Datenbeständen zu verbessern.

Die neue ACL Version 12 liefert u.a. Verbesserungen in den folgenden Bereichen:

insgesamt 15 neue ACL Data Connectoren ermöglichen einen direkten Zugriff auf die verschiedensten Datenquellen, wie z.B.
- Zugriff auf Big Data Stores
- Anbindung an Cloud Anwendungen, wie z.B. Salesforce, Google BigQuery
- neue Schnittstellen zu verschiedenen Datenbanken, u.a. Microsoft SQL Server, Oracle, MongoDB
erweiterte graphische Darstellungen durch die Einbindung von Crystal Reports, Qlik, MicroStrategy, Excel und Tableau
direkte Integration der Programmiersprachen R und Python für erweiterte statistische Analysen sowie Unterstützung von native SQL

Die konkreten Details können der Release-Note der neuen ACL Version 12 entnommen werden. Alternativ liefert die ACL Präsentation einen Überblick über die neuen Funktionen. Eine Zusammenfassung der neuen ACL Funktionen ist ebenfalls verfügbar.

ACL bietet eine vielfältige Unterstützung für die nachfolgenden Unternehmensbereiche:

interne Revision
Compliance- und Rechtsabteilung
Buchhaltung und Finanzwesen
IT

SITACS unterstützt Unternehmen und Behörden bei der Einführung eines Audit-, Compliance- und Risiko-Managements und setzt ACL bei entsprechenden Projekten kostenlos ein. Sprechen Sie uns an.

IT-Sicherheitskatalog der BNetzA wird Pflicht für Netzbetreiber

Veröffentlicht am18. Februar 20169. August 2016AutorKarl-Josef Schiffhauer

IT-Sicherheitskatalog der Bundesnetzagentur Aufgrund von Änderungen im EnWG in Verbindung mit dem IT-Sicherheitskatalog der BNetzA (Bundesnetzagentur) wird die Informationssicherheit zur Pflicht für alle Gas- und Stromnetzbetreiber. Diese Netzbetreiber müssen sich bis zum 31. Januar 2018 nach der internationalen Norm ISO 27001 zertifizieren lassen. Grundlage hierfür ist der § 11 Abs. 1a des Energiewirtschaftsgesetztes (EnWG). Dieser Paragraph schreibt vor, dass die Energieversorger für einen angemessenen Schutz gegen Bedrohungen bei den von ihnen eingesetzten Telekommunikations- und elektronischen Datenverarbeitungssysteme zu sorgen haben.

Hierzu wurde der IT-Sicherheitskatalog der BNetzA, der gemeinsam mit dem Bundesamt für Sicherheit in der Informationstechnik (BSI) erstellt wurde, mit konkreten Hinweisen zu Sicherheitsanforderungen veröffentlicht. Gemäß diesem IT-Sicherheitskatalog der BNetzA muss zukünftig die Erfüllung der Sicherheitsanforderungen regelmäßig überprüft werden. Der Schutz des Betriebs eines Energieversorgungsnetzes gilt nur dann als erfüllt, wenn der Katalog der IT-Sicherheitsanforderungen der BNetzA eingehalten und darüber hinaus vom Netzbetreiber in Form einer ISO 27001 Zertifizierung nachgewiesen worden ist. Durch die ISO 27001 Zertifizierung wird die angemessene und sachgerechte Einführung eines Managementsystems für Informationssysteme bzw. eines Informations-Sicherheits-Management-Systems – kurz ISMS – nachgewiesen. Zusammen mit dem branchenspezifischen Leitfaden ISO/IEC TR 27019 für das Informationssicherheitsmanagement von Steuerungssystemen der Energieversorgung soll die Informationssicherheit der Netzbetreiber verbessert werden.

Die Einhaltung der Bestimmungen des IT-Sicherheitskatalogs kann von der Bundesnetzagentur in regelmäßigen Abständen überprüft werden.

Alle Netzbetreiber sind von dem IT-Sicherheitskatalog der BNetzA betroffen

Von diesen Regelungen sind grundsätzlich alle Netzbetreiber, unabhängig von der Größe oder der Anzahl der angeschlossenen Kunden betroffen, soweit diese über Systeme verfügen, die in den Anwendungsbereich des Sicherheitskataloges fallen. Grundsätzlich gilt, dass die eingesetzten Systeme dem aktuellen Stand der Technik genügen und die getroffenen Maßnahmen sowohl die Sicherheit der Anlagen, als auch die Sicherheit der Versorgung, gewährleisten müssen.

Aufgrund des kürzlich veröffentlichten Entwurfs der „Verordnung zur Bestimmung Kritischer Infrastrukturen nach dem BSI-Gesetz“ wurde die Pflicht zur Meldung von Sicherheitsvorfällen auf ein hohes Maß angehoben, so dass von dieser Meldepflicht kleine bis mittlere Netzbetreiber, unabhängig von ihrer Verpflichtung zur Einführung eines ISMS gemäß ISO 27001, verschont bleiben.

ISMS Einführung verursacht hohen personellen Aufwand

Gerade den kleinen und mittleren Energieversorgern fällt es schwer, die mit dem IT-Sicherheitskatalog der Bundesnetzagentur verbundenen Anforderungen an die Informationssicherheit zu erfüllen. Die IT-Systeme der Netzbetreiber waren in der Vergangenheit selten von Änderungen betroffen und wurden häufig von externen Dienstleistern betreut, so dass die Kenntnisse über die inzwischen eingezogenen IP-basierten Netzwerke in den Unternehmen häufig nicht vorhanden sind. Insbesondere aufgrund der Umstellung auf IP-basierte Netzwerke sind die Netzbetreiber, wie inzwischen so viele andere Unternehmen auch, verstärkt Cyber-Angriffen ausgesetzt, so dass es zu Störungen im Betrieb sowie in der Versorgung kommen kann. Beispiele hierfür sind fast täglich in der Presse sowie im Internet zu lesen.

Externe Unterstützung erforderlich

Zur Umsetzung der Anforderungen aus dem Sicherheitskatalog der Bundesnetzagentur unterstützen wir Sie bei dem Aufbau und Einführung eines Informations-Sicherheits-Management-Systems (ISMS). In diesem Zusammenhang nehmen wir gemeinsam mit den Mitarbeitern aus dem Netzbetrieb die bereits vorhandenen Regelungen auf und ergänzen diese bezüglich der ISO 27001 Anforderungen und führen Sie zur Zertifizierung. Insgesamt sollte durch die Einführung eines ISMS die Informationssicherheit in Ihrem Unternehmen kontinuierlich verbessert werden.

Sicherheitskatalog der BNetzA zeitnah umsetzen

Veröffentlicht am12. Februar 20168. August 2016AutorKarl-Josef Schiffhauer

Sicherheitskatalog der Bundesnetzagentur analysieren und umsetzen Viele kleine und mittelständische Gas- und Netzbetreiber stehen vor dem Problem, den im August 2015 erlassenen Sicherheitskatalog der BNetzA (Bundesnetzagentur) gemäß § 11 Absatz 1a Energiewirtschaftsgesetz angemessen und sachgerecht umzusetzen. Einerseits fehlt bei den entsprechenden Netzbetreibern die Erfahrung im Bereich der IT-Sicherheit im Netzbetrieb, andererseits wird noch auf weitere Informationen bezüglich der detaillierten Zertifizierungsanforderungen gewartet.

Hierzu hat bereits die Bundesnetzagentur in ihrer FAQ mitgeteilt, dass sie gemeinsam mit der Deutschen Akkreditierungsstelle (DAkks) ein eigenes Zertifikat erarbeiten wird, in dem im Wesentlichen auf dem bereits existierenden Zertifikat bzw. Zertifizierungsschema zur ISO 27001 aufgebaut und dieses um zusätzliche Anforderungen aus dem Sicherheitskatalog der BNetzA ergänzen wird. In diesem Zusammenhang soll der Anwendungsbereich (Scope) konkretisiert werden um sicherzustellen, dass die für einen sicheren Netzbetrieb notwendigen Telekommunikations- und elektronischen Datenverarbeitungssysteme von der Zertifizierung erfasst werden. Hierbei wird auch deutlich gemacht, dass bereits bestehende ISO/IEC 27001 Zertifizierungen auf Basis von IT-Grundschutz des BSI für nicht ausreichend erachtet werden, um die Anforderungen aus dem BNetzA Sicherheitskatalog zu erfüllen.

Dies ist verständlich, da neben der ISO/IEC 27001 mit den Anforderungen sowie der ISO/IEC 27002 mit den Maßnahmen auch noch die ISO/IEC 27019 mit den spezifischen Anforderungen an das Informationssicherheitsmanagement von Steuerungssystemen der Energieversorgung berücksichtigt werden müssen.

Auf jeden Fall steht bereits fest, dass auch kleine und mittlere Gas- und Netzbetreiber von der Umsetzung der Anforderungen aus dem BNetzA Sicherheitskatalog nicht befreit werden und somit bis zum 31. Januar 2018 eine ISO/IEC 27001 Zertifizierung erfolgreich abgeschlossen haben müssen.

Entwurf einer Verordnung zur Bestimmung Kritischer Infrastrukturen nach dem BSI-Gesetz
(BSI-Kritisverordnung – BSI-KritisV) vom 13.01.2016 18:45 Uhr

Daran hat auch der kürzlich veröffentlichte Entwurf der Rechtsverordnung des Bundesministeriums des Innern (BMI) keinen Zweifel gelassen. Abwohl in dieser Rechtsverordnung sehr hohe Schwellwerte angegeben wurden, die von kleinen und mittleren Netzbetreibern kaum erreicht bzw. überschritten werden, gilt jedoch nach wie vor der § 11 Abs. 1a EnWG mit dem Verweis auf den IT Sicherheitskatalog der Bundesnetzagentur und somit der Pflicht zur Zertifizierung bis zum 31. Januar 2018.

Vorbereitende Aktivitäten zur Umsetzung des Sicherheitskatalogs der BNetzA

Vor diesem Hintergrund sollten sich alle kleine und mittlere Netzbetreiber bereits heute mit der Thematik befassen und ein entsprechendes Projekt initiieren. Um mögliche zeitliche Engpässe zu vermeiden, sollte zeitnah mit den folgenden Aktivitäten begonnen werden:

ISO 27001, Anhang A, sichten und eine vorläufige Anwendbarkeitserklärung gemäß Muster erstellen. Hierbei kann insbesondere der Ist-Zustand in einem frühen Stadium erhoben und der Aufwand für die Erstellung fehlender Dokumentationen erkannt werden. Wir rechnen damit, das sich in diesem Bereich ein Bedarf an schriftlichen Regelungen im Umfang von ca. 50 Dokumenten ergibt.
Spezielle Anforderungen aus der ISO 27019 sollten den bereits vorhandenen Regelungen gegenübergestellt werden um somit den diesbezüglichen Handlungsbedarf erkennen zu können.
Die ISO 27001 erfordern in den Bereichen A.5 bis A.10 einen erheblichen Regelungsbedarf. Diesbezüglich sollte auch im Vorfeld untersucht werden, welche Regelungen diesbezüglich bereits vorhanden sind bzw. auf denen aufgebaut werden kann. Wir schätzen den Regelungsbedarf in diesem Bereich auf ca. 20 Dokumente.
Darüber hinaus sollte frühzeitig mit der Erstellung eines Netzstrukturplans begonnen werden und eine sinnvolle Abgrenzung zu den anderen Bereichen getroffen werden.
Für die betroffenen IT-Systeme und Prozesse des Netzbetreibers ist anschließend eine Risikoklassifizierung und Risikobehandlung unter besonderer Berücksichtigung der Anforderungen an die Vertraulichkeit, die Integrität und die Verfügbarkeit zu erstellen.

Umsetzungsaufwand für den Sicherheitskatalog der BNetzA

Wir schätzen den Aufwand für einen Netzbetreiber mit einer mittleren Größe auf ca. 200 Personentage (PT). Daher sollte die Umsetzung des IT-Sicherheitskatalogs – auch wenn noch nicht alle Fakten bekannt sind – nicht auf die lange Bank geschoben werden. Insbesondere auch deshalb nicht, da im Rahmen einer ISO 27001 Zertifizierung ein bereits gelebtes Informationssicherheitsmanagementsystem nachgewiesen werden muss.

Rechtsverordnung Kritische Infrastrukturen veröffentlicht

Veröffentlicht am11. Februar 20169. August 2016AutorKarl-Josef Schiffhauer

Die Rechtsverordnung Kritische Infrastrukturen wurde kürzlich vom Bundesministerium des Innern (BMI) als Entwurf zur Stellungnahme an die Länder und Verbände übermittelt und kann unter dem nachfolgenden Link abgerufen werden:

Entwurf einer Verordnung zur Bestimmung Kritischer Infrastrukturen nach dem BSI-Gesetz (BSI-Kritisverordnung – BSI-KritisV)

Von der Rechtsverordnung kritische Infrastrukturen betroffene Branchen

Betroffen von der Rechtsverordnung kritische Infrastrukturen sind die folgenden Branchen bzw. Sektoren:

Energie
Informationstechnik und Telekommunikation
Ernährung
Wasser

In dem veröffentlichten Entwurf der Rechtsverordnung Kritische Infrastrukturen des BMI wurden erstmals Schwellwerte für die relevanten Anlagenkategorien der Sektoren (Energie, Informationstechnik und Telekommunikation, Wasser und Ernährung) definiert, nach denen die Betreiber kritischer Infrastrukturen in den genannten Sektoren bestimmt werden können.

Es wird geschätzt, dass insgesamt 2.000 Unternehmen zu den eigentlichen Unternehmen mit kritischer Infrastruktur gehören.

IT-Sicherheitskatalog der BNetzA muss von den Netzbetreibern zusätzlich beachtet werden

Für die Strom- und Gasnetzbetreiber gilt jedoch nach wie vor das Energiewirtschaftsgesetz. Hier wurde im § 11 Abs. 1a festgelegt, dass diese den von der Bundesnetzagentur veröffentlichten IT-Sicherheitskatalog beachten und umsetzen müssen. In dem Entwurf der Rechtsverordnung Kritische Infrastrukturen wird im Wesentlichen nur bestimmt, wer die Meldepflichten gegenüber dem BSI zu beachten hat.

Daher bleibt erst einmal alles beim Alten und die Netzbetreiber müssen den IT-Sicherheitskatalog der Bundesnetzagentur umsetzen und bis zum 31. Januar 2018 in Form einer ISO/IEC 27001 Zertifizierung nachweisen.

Die Einführung eines Information Security Management Systems (ISMS) sollte nicht unterschätzt werden. Neben der Erstellung von umfangreichen Dokumentationsunterlagen ist der Aufwand für die Erstellung des geforderten Netzstrukturplans und dessen Abgrenzung sowie die Risikobehandlung nicht zu unterschätzen und sollte frühestmöglich in Angriff genommen werden.

DSAG Prüfleitfaden SAP ERP 6.0 Version 2.0

Veröffentlicht am16. Oktober 20158. August 2016AutorKarl-Josef Schiffhauer

Prüfung von SAP Der DSAG Prüfleitfaden zum SAP-System 6.0 wurde überarbeitet und ist in einer neuen Version 2.0 mit Stand vom April 2015 erschienen. Der DSAG Prüfleitfaden SAP ERP 6.0 in der Version 2.0 enthält Best Practice-Empfehlungen des DSAG Arbeitskreises Revision und Risikomanagement. Der Prüfleitfaden soll einen sachverständigen Revisior bei einem SAP Audit unterstützen und beinhaltet die wesentlichen Prüfaspekte der Ordnungsmäßigkeit und Sicherheit eines SAP Systems.

Der DSAG Prüfleitfaden berücksichtigt im Wesentlichen den SAP Releasestand ERP 6.0, EHP 7. Gegenüber der Version 1 beinhaltet die neue Version 2.0 u.a. Prüfungshinweise zu einem SAP Audit der GRC Suite sowie von SAP HANA. Jedoch behält auch noch die Version 1 bezüglich ihres Teils 2 – Applikationsebene – ihre Gültigkeit.

Mit Hilfe der Best Practice Empfehlungen unterstützt der DSAG Prüfleitfaden einen Auditor bzw. Revisor bei der Prüfung eines SAP ERP-Systems. Hierdurch wird die Prüfung, gerade für weniger erfahrene Prüfer, etwas erleichtert. Trotzdem wird auch bei der Prüfung mit Hilfe des Prüfleitfadens ein umfangreiches Wissen über SAP vorausgesetzt, damit die Fragen aus dem Prüfleitfaden entsprechend beurteilt und mögliche Risiken bei dem Einsatz von SAP für das betroffene Unternehmen adäquat beurteilt werden können. Bei einem SAP Audit sollte darüber hinaus der Revisor mit der Bedinung eines SAP Systems vertraut sein, da in dem DSAG Prüfleitfaden die Bedienung des SAP Systems nicht mehr erklärt wird und komplexe Abfragen in dem SAP System vorgenommen werden müssen.

Der DSAG Prüfleitfaden SAP ERP 6.0, Version 2.0, kann direkt auf der Webseite des DSAG eingesehen bzw. von dort bezogen werden.

Wesentlich effizienter und effektiver ist ein SAP Audit mit Hilfe unserer SAP Prüfsoftware. Diese beantwortet nicht nur die einzelnen Fragestellungen aus dem Prüfleitfaden, sondern geht auch noch darüber hinaus. Bitte sprechen Sie uns an.

Gerne unterbreiten wir Ihnen ein individuelles Angebot für ein SAP Audit auf der Grundlage des SAP Prüfleitfadens der DSAG, Version 2.0.

Sicherheitskatalog der Bundesnetzagentur veröffentlicht

Veröffentlicht am12. August 201526. August 2016AutorKarl-Josef Schiffhauer

Der Sicherheitskatalog der Bundesnetzagentur (BNetzA) wurde 12. August 2015 auf der Grundlage des § 11 Absatz 1a Energiewirtschaftsgesetz (EnWG) in seiner endgültigen Version veröffentlicht. In diesem IT Sicherheitskatalog hat die Bundesnetzagentur einzelne Sicherheitsanforderungen zum Schutz gegen Bedrohungen für Telekommunikations- und elektronische Datenverarbeitungssysteme, die der Netzsteuerung dienen, veröffentlicht. Ein angemessener Schutz liegt gemäß §11 Abs. 1 EnWG dann vor, wenn der Katalog der Sicherheitsanforderungen vom Betreiber eines Energieversorgungsnetzes umgesetzt wurde. Der IT Sicherheitskatalog definiert Mindestanforderungen und die Netzbetreiber haben insbesondere den allgemein anerkannten Stand der Technik zu beachten.

Der IT Sicherheitskatalog der Bundesnetzagentur verfolgt die folgenden Schutzziele

Sicherheitskatalog der Bundesnetzagentur definiert IT-Sicherheitsstandards für Netzbetreiber.

Ziel des Sicherheitstatalogs der Bundesnetzagentur ist es, einen angemessenen Schutz gegen Bedrohungen für Telekommunikations- und elektronische Datenverarbeitungssysteme, die für den sicheren Netzbetrieb notwendig sind, zu gewährleisten. Durch die Auswahl geeigneter, angemessener und dem allgemein anerkannter Stand der Technik entsprechender Maßnahmen sollen die folgenden Schutzziele erreicht werden:

die Sicherstellung der Verfügbarkeit der zu schützenden Systeme und Daten,
die Sicherstellung der Integrität der verarbeiteten Informationen und Systeme,
die Gewährleistung der Vertraulichkeit der mit den betrachteten Systemen verarbeiteten Informationen.

Aus dem IT Sicherheitskatalog der Bundesnetzagentur geht hervor, dass alle Strom- und Gasnetzbetreiber zur Umsetzung IT-sicherheitstechnischer Mindeststandards verpflichtet werden. Im Kern wird die Etablierung eines Informationssicherheits-Managementsystems, kurz ISMS genannt, gemäß der internationalen Norm ISO/IEC 27001 gefordert und dies mit einer Zertifizierung bis zum 31. Januar 2018 nachzuweisen. Darüber hinaus müssen alle Netzbetreiber bis zum 30. November 2015 einen Ansprechpartner IT-Sicherheit benennen. Dieser soll koordinierende und kommunikative Aufgaben gegenüber der BNetzA und weiterer Interessenten wahrnehmen. Das entsprechende Meldeformular zur Anmeldung eines Ansprechpartners IT-Sicherheit kann von der Webseite der Bundesnetzagentur bezogen werden.

Die SITACS ist seit vielen Jahren als Berater und Auditor bei verschiedenen Energieversorgungsunternehmen aus dem öffentlichen und privaten Bereich tätig. Wir beraten beispielsweise im Bereich der Einführung eines ISMS gemäß ISO 27001 oder führen ISO 27001 Zertifizierungen durch. Darüber hinaus sind wir bei verschiedenen Energieversorgern als IT-Revisor tätig. Bitte sprechen Sie uns an, wenn Sie Unterstützung in den genannten Bereichen benötigen.

Gerne beraten und unterstützen wir Sie bei der Umsetzung der Anforderungen gemäß dem Sicherheitskatalog der BNetzA gem. § 11 Abs. 1 a EnWG.

Sprechen Sie uns an.

Secure Data Room zum Datenaustausch

Veröffentlicht am6. August 201510. August 2016AutorKarl-Josef Schiffhauer

SITACS hat einen Secure Data Room zum Austausch von vertraulichen Daten mit seinen Kunden eingerichtet. Der Secure Data Room basiert auf Owncloud und wurde in einigen Bereichen an die eigenen Anforderungen angepasst.

Mit Hilfe eines SSL-Zertifikats von RapidSSL wird gewährleistet, dass die Informationen während der Übertragung stets sicher übermittelt werden. SITACS schützt somit Ihre vertraulichen digitalen Daten und Dokumente bei der Übertragung und ermöglicht die gemeinsame Bearbeitung. Darüber hinaus werden die übertragenen Daten auf dem Server verschlüsselt gespeichert, so dass diese Daten nicht von Dritten eingesehen werden können.

Der Secure Dataroom steht 24 Stunden weltweit zur Verfügung und kann mit jedem Desktop-Client unter Windows, Mac OS X und Linux sowie mittels Apps auf Apple iPhone, iPad, Blackberry oder Android benutzt werden.

BSI Auditor Testat Einstiegsstufe für Sächsische Aufbaubank

Veröffentlicht am10. Juli 20159. August 2016AutorKarl-Josef Schiffhauer

Ein Auditor Zertifikat der BSI Einstiegsstufe wurde der SAB, Dresden, erteilt. SITACS hat ein BSI Auditor Testat der Einstiegsstufe nach ISO 27001 auf der Basis von IT-Grundschutz der Sächsischen Aufbaubank – Förderbank (SAB), Dresden, erteilt.

Mit dem BSI Auditor Testat Einstiegsstufe wird durch die SITACS bestätigt, dass die unabdingbaren Standard-Sicherheitsmaßnahmen bei der SAB wirksam umgesetzt wurden.

Wir gratulieren der SAB für die erfolgreiche Umsetzung der A-Maßnahmen der relevanten BSI IT-Grundschutzbausteine.

BSI Auditor Testat

Wird eine ISO 27001 Zertifizierung auf Basis von IT-Grundschutz durch das Bundesamt für Informationssicherheit (BSI), Bonn, von einer Behörde oder einem Unternehmen angestrebt, dann kann dies auch in zeitlichen Abständen dokumentiert werden.

In einem ersten Schritt kann das Auditor Testat der „Einstiegsstufe“ angestrebt werden. Hierbei prüft der Auditor, ob alle unabdingbaren Standard-Sicherheitsmaßnahmen der BSI IT-Grundschutzkataloge der Stufe A umgesetzt wurden.

Im Rahmen der Erteilung eines Auditor Testats in der „Aufbaustufe“ müssen spätestens innerhalb von zwei Jahren alle Standard-Sicherheitsmaßnahmen der Stufe A und B aus den BSI IT-Grundschutzkatalogen umgesetzt worden sein.

Die BSI Auditor Testate können ausschließlich durch einen zertifizierten ISO 27001 Audit-Teamleiter des BSI vorgenommen werden.

Nach weiteren zwei Jahren muss die ISO 27001 Zertifizierung auf Basis von IT-Grundschutz des BSI vorgenommen worden sein, da ansonsten die BSI Auditor Testate ihre Gültigkeit verlieren.

Sinnvoll ist eine entsprechende Vorgehensweise dann, wenn eine Behörde oder ein Unternehmen sein Bestreben nach IT-Sicherheit dokumentieren möchte und aufgrund knapper Ressourcen keine schnellere Vorgehensweise möglich ist.

Sprechen Sie uns an, wenn Sie Interesse an einer entsprechenden Zertifizierung haben und beschränkte Personalkapazitäten einer direkten Zertifizierung nach ISO 27001 auf Basis von IT-Grundschutz im Wege stehen. Gerne sind wir auch bereit, Sie bei der reinen Umsetzung der Anforderungen aus der internationalen Norm ISO/IEC 27001, also ohne Berücksichtigung der BSI IT-Grundschutzkataloge, zu unterstützen.

Derzeit müssen die Betreiber von Gas- und Strom-Netzen eine ISO 27001 Zertifizierung bis Januar 2018 anstreben. Sprechen Sie uns an, wenn Sie auf der Suche nach qualifizierten ISO 27001 Beratern oder Zertifizieren sind. Wir helfen gerne.

ISO 27001 Audit nach BSI IT-Grundschutz durchgeführt

Veröffentlicht am8. April 201526. August 2016AutorKarl-Josef Schiffhauer

ISO 27001 Audit nach BSI IT-Grundschutz SITACS hat ein ISO 27001 Audit für die Zertifizierung nach BSI IT-Grundschutz bei der Lecos GmbH, Leipzig, durchgeführt. Die BSI Zertifizierungs-ID lautet: BSI-IGZ-0198. Gegenstand des Audits war der Betrieb des Rechenzentrums der Lecos GmbH in Leipzig.

IT-Sicherheitsgesetz für kritische Infrastrukturen

Veröffentlicht am19. August 201416. Februar 2020AutorKarl Josef Schiffhauer

IT-Sicherheitsgesetz zeitnah umsetzen. Das neue Gesetz zur Erhöhung der Sicherheit informationstechnischer Systeme – kurz IT-Sicherheitsgesetz genannt – ist am 25. Juli 2015 in Kraft getreten.

IT-Sicherheitsgesetz betrifft hauptsächlich kritische Infrastrukturen

Betroffen von dem neuen Gesetz sind Unternehmen aus den Bereichen Energie, Informationstechnik und Telekommunikation, Transport und Verkehr, Gesundheit, Wasser, Ernährung sowie aus dem Finanz- und Versicherungswesen. Diese gehören alle zur den Branchen mit kritischer Infrastruktur.

Bundesinnenminister Dr. Thomas de Maiziere schreibt hierzu in einem Beitrag der FAZ vom 18. August 2014, dass die Bundesregierung mit ihrem „Ersten IT-Sicherheitsgesetz“ branchenweit Standards für die IT-Sicherheit einführen werde. Lt. De Maiziere soll Deutschland IT-Vorreiter werden und die digitale Infrastrukturen sollen die sichersten der Welt werden.

Bundes- und Landesdatenschutzgesetze haben ausgedient

Ferner soll das bisherige deutsche Datenschutzgesetz ausgedient haben und die geltenden Regelungen würden der technischen Entwicklung nicht mehr gerecht werden. Daher sollen die künftige EU-Datenschutzverordnung das bisher geltende deutsche Recht komplett ersetzen.

Operation Windigo identifiziert Linux- und Unix-Server

Veröffentlicht am1. April 201419. September 2016AutorKarl Josef Schiffhauer

Kürzlich wurde bekannt, dass Kriminelle in den vergangenen Jahren zehntausende Linux- und Unix-Server von großen Unternehmen und Organisationen zu einem großen SPAM- und Exploid-Botnetz zusammengeschlossen haben. Details hierüber sind in dem Report Operation Windigo von Eset zu finden.

Mit dem Befehl

ssh -G 2>&1 | grep -e illegal -e unknown > /dev/null && echo „System clean“ || echo „System infected“

können Linux- bzw. Unix-Administratoren schnell herausfinden, ob ihr System davon betroffen ist.

Weitere Informationen zu Operation Windigo können unter „Operation Windigo: 25.000 Unix-Server als Virenschleuder missbraucht“ sowie „Operation Windigo – the vivisection of a large Linux server-side credential-stealing malware campaign“ entnommen werden.

Process Mining Camp 2013 in Eindhoven

Veröffentlicht am6. Mai 201327. Dezember 2018AutorKarl Josef Schiffhauer

Das diesjährige Process Mining Camp findet am 28. Mai 2013 von 10:00 bis 19:00 Uhr erneut in Eindhoven (Holland) statt. Hier kann man viel von Profis und Praktikern über Process Mining erfahren. Anerkannte Experten, insbesondere Anne Rozinat von Fluxicon und Professor Wil van der Aalst, halten die Keynotes und stehen für interessante Gespräche zur Verfügung.

ISO 27001 Zertifizierung durchgeführt

Veröffentlicht am6. Mai 20138. Februar 2016AutorKarl Josef Schiffhauer

SITACS hat ein Zertifizierungsaudit im Rahmen einer ISO 27001 Re-Zertifizierung auf Basis von IT-Grundschutz bei der neu-itec GmbH, Neubrandenburg, durchgeführt.

IT-Compliance Audits und Beratungen in der Informationstechnologie

Professionelle Sicherheitsanalyse für RACF-Umgebungen in IBM z/OS

Funktionen des RACF Analyse Tools

Analysebereiche

Vorteile für Unternehmen

Mehr Transparenz in RACF

Unterstützung von Audits und Revisionen

Schnellere Identifikation kritischer Risiken

Optimierung der Compliance

Zielgruppen

Technologische Basis

RACF Security Analyse vom Spezialisten

Jetzt Kontakt aufnehmen

Was ist der BSI Grundschutz++?

Prozessorientierter und digitaler Sicherheitsansatz

Anwenderkatalog und technische Anforderungen

Grundschutz++ als Grundlage moderner ISMS-Tools

Fazit

Jetzt Kontakt aufnehmen

Anforderung an Auditoren gemäß IT-Sicherheitskatalog nach § 11 Abs. 1a EnWG

Unterstützung bei ISO 27001 Audit’s im Bereich Energieversorgung

Alle Netzbetreiber sind von dem IT-Sicherheitskatalog der BNetzA betroffen

ISMS Einführung verursacht hohen personellen Aufwand

Externe Unterstützung erforderlich

Entwurf einer Verordnung zur Bestimmung Kritischer Infrastrukturen nach dem BSI-Gesetz (BSI-Kritisverordnung – BSI-KritisV) vom 13.01.2016 18:45 Uhr

Vorbereitende Aktivitäten zur Umsetzung des Sicherheitskatalogs der BNetzA

Umsetzungsaufwand für den Sicherheitskatalog der BNetzA

Von der Rechtsverordnung kritische Infrastrukturen betroffene Branchen

IT-Sicherheitskatalog der BNetzA muss von den Netzbetreibern zusätzlich beachtet werden

Der IT Sicherheitskatalog der Bundesnetzagentur verfolgt die folgenden Schutzziele

BSI Auditor Testat

IT-Sicherheitsgesetz betrifft hauptsächlich kritische Infrastrukturen

Bundes- und Landesdatenschutzgesetze haben ausgedient

Entwurf einer Verordnung zur Bestimmung Kritischer Infrastrukturen nach dem BSI-Gesetz
(BSI-Kritisverordnung – BSI-KritisV) vom 13.01.2016 18:45 Uhr