6 gute Gründe für ProLog:

  • maximiert Ihre IT-Sicherheit und IT-Verfügbarkeit

  • Umsetzung MaRisk BAIT ab Herbst 2017

  • Umsetzung der Vorgaben aus den BSI-Gesetz (KRITIS)

  • Beachtung des Mitarbeiterdaten- schutzes (BDSG und EU- DSGVO)

  • Standard Protokollierungs- und Auditierungskonzept mit fertigen Berichtspaketen

  • keine Investitionskosten, sondern Servicepauschale in €/Monat/ Mitarbeiter

Ihr Werkzeug  - IT@WORK ProLog -

Das Deutsche IT-Sicherheitsgesetz und die Verordnung zur Bestimmung Kritischer Infrastrukturen nach dem BSI-Gesetz (BSI-Kritisverordnung – BSI-KritisV) treffen die Energieversorger seit Mitte 2015 mit voller Wucht. Die Umsetzung gesetzlicher Vorgaben für Revision und Compliance wird ab 2018 mit der neuen europäischen EU-DSGVO (Datenschutzgrundverordnung) noch wichtiger.


Das Deutsche IT-Sicherheitsgesetz und die Verordnung zur Bestimmung Kritischer Infrastrukturen nach dem BSI-Gesetz (BSI-Kritisverordnung – BSI-KritisV) treffen die Energieversorger seit Mitte 2015 mit voller Wucht. Die Umsetzung gesetzlicher Vorgaben für Revision und Compliance wird ab 2018 mit der neuen europäischen EU-DSGVO (Datenschutzgrundverordnung)
noch wichtiger.

Neben den gesetzlichen gilt es aber auch eine Reihe unternehmensinterner Vorschriften zu beachten, wie zum Beispiel: Betriebs- und Handlungsanweisungen und Compliance Richtlinien. Neue Berichtspflichten werden die bisherige Praxis ablösen müssen.

Diese Anforderungen schaffen eine Fülle von organisatorischen Herausforderungen, die eine konzeptionelle Darstellung aller damit verbundenen Prozesse und Systeme zwingend erforderlich machen und klassischerweise in ein Protokollierungs- und Auditierungskonzept und in die Erklärung zur Anwendbarkeit (Abk. SoA – Statement of Applicability) des Energieversorgers einfließen.


Wichtige Inhalte des Konzeptes sind unter anderem:

  • Einhaltung der Gesetze des KWG, Telemediengesetz, BDSG und DSGVO
  • Umsetzung der Vorgaben aus der Verordnung zur Bestimmung Kritischer Infrastrukturen nach dem BSI-Gesetz (BSI-Kritisverordnung – BSI-KritisV)
  • Definition von Grundsätzen zur Protokollierung
  • Vorgaben der Erklärung zur Anwendbarkeit (Abk. SoA – Statement of Applicability)
  • Bestimmung der relevanten Systeme und Anwendungen
  • Erstellung einer Risikobetrachtung
  • Erarbeitung eines Umsetzungsleitfadens
  • Definition des N-Augen Prinzips zwecks Mitarbeiterdatenschutz
  • Datenmaskierung mit Pseudonymisierung

Rechtliche Herausforderungen

Die gesetzlichen Rahmenbedingungen für den Energiesektor sind im Folgenden detailliert beschrieben:

Fazit:

Alle diese gesetzlichen Vorgaben setzen das Vorhandensein eines Systems zum Erfassen und Auswerten von Ereignismeldungen voraus. Dies wiederum erfordert zwingend eine konzeptionelle Darstellung aller damit verbundenen Prozesse und Systeme in Form eines Protokollierungs- und Auditierungskonzeptes

Bundesdatenschutzgesetz

Das Bundesdatenschutzgesetz (BDSG) fordert von Unternehmen eine Reihe regulatorischer Richtlinien sicher zu beherrschen und anzuwenden. Dies sind u.a.:

  • Datenvermeidung und -Sparsamkeit
  • Pseudonymisierung aller persönlichen Informationen
  • Sicherstellung der Zulässigkeit der Datenerhebung
  • Diverse technische und organisatorische Maßnahmen


EU-Datenschutzgrundverordnung

Im Rahmen der Einführung der EU-DSGVO kommen ab Mai 2018 neue Anforderungen auf den IT- Betrieb zu. Dies betrifft vor allem den Schutz von personenbezogenen Daten welche besonders geschützt werden müssen.


Gesetz zur Kontrolle und Transparenz im Unternehmensbereich

Im Rahmen des KonTraG kam es 1998 zu einer Reihe von Anpassungen für Unternehmen. Es for- dert beispielsweise von Vorständen: „ein Überwachungssystem einzurichten, damit den Fortbestand der Gesellschaft gefährdende Entwicklungen früh erkannt werden“ können. Diese wichtige Anforderung an Unternehmen setzt für die IT neben Monitoring auch Protokollierung voraus.


Telemediengesetz

Die Verwendung von Kundendaten konfrontiert Unternehmen mit ähnlichen Anforderungen wie die Verwendung interner Ereignisinformationen. Das TMG fordert spezifizierte organisatorische und technische Maßnahmen im Umgang mit diesen Daten wie z.B.:

  •  „Eine Maßnahme [...] ist insbesondere die Anwendung eines als sicher anerkannten Verschlüsselungs- verfahrens.“
  • „Der Diensteanbieter darf [...] Nutzungsprofile bei Verwendung von Pseudonymen erstellen [...]“

Kreditwesengesetz

Unternehmen und Organisationen, die unter das KWG fallen, werden im Rahmen der Regelungen zu besonderen organisatorischen Pflichten angehalten. Diese sind in Bezug auf die IT und die Ver- wendung von Logdaten u.a.:

  • Ein Institut muss über eine ordnungsgemäße Geschäftsorganisation verfügen [...]“
  • „angemessene personelle, technische und organisatorische Ausstattung des Instituts“ 
  • „die Festlegung eines angemessenen Notfallkonzepts, insbesondere für IT-Systeme“.

MaRisk BA und MaGo

MaRisk BAIT ab Herbst 2017 und MaGo (ersetzt seit 1.1.2016 MaRisk VA) beschreiben übergreifend die aufsichtsrechtlichen Mindestanforderungen an die Geschäftsorganisation von Banken, Versicherungen und Leasinggesellschaften. Im Speziellen für das Log-Management bedeutet das:

  • Referenz auf BDSG (Datensparsamkeit, -vermeidung und Pseudonymisierung)
  • Protokollierung und Auswertung der Protokolle aus AT 7.2 MaRisk und §9 BDSG
  • MaRisk BAIT (Bankaufsichtliche Anforderungen an die IT)

IT-Sicherheitsgesetz (KRITIS)

Verpflichtet deutsche Unternehmen in „infrastrukturkritischen“ Bereichen zu ausführlichem Report- ing bei Angriffsfällen. Diese Bereiche umfassen:

  • Energie
  • Informationstechnik und Telekommunikation
  • Transport und Verkehr
  • Gesundheit
  • Wasser
  • Ernährung
  • Finanz- und Versicherungswesen

Die Verordnung zur Bestimmung Kritischer Infrastrukturen nach dem BSI-Gesetz (BSIKritisverordnung – BSI-KritisV) definiert in Ihrer Anlage 1 ab wann ein Energieversorger unter KRITIS fällt. Mittelfristig ist zu erwarten, dass dieser Schwellwert stetig gesenkt wird.

 

Unsere Lösung

IT@WORK ProLog® bietet für den Energiesektor eine etablierte und
standardisierte Lösung mit fertigen Berichtspaketen.

Alarmierungs– und Berichtspakete

Entwickelt in Zusammenarbeit mit den Kunden für die Kunden. Diese automatisierten Berichte wurden bereits in den verschiedensten Verbandsgebieten in Deutschland erfolgreich geprüft und sind sofort einsetzbar. Die Pakete werden ständig im Rahmen des Wartungsvertrages gepflegt und erweitert. Zum Umfang der Berichte gehören unter anderem die Auswertung von Ereignissen für Microsoft Server 2003-2016, Microsoft Files Server, Linux, VMware, Exchange, Lotus Notes, CISCO, ....

 Berichtspakete Entwickelt in Zusammenarbeit mit Banken für Banken. Diese automatisierten Berichte wurden be- reits in den verschiedensten Verbandsgebieten in Deutschland erfolgreich geprüft und sind sofort einsetzbar. Das Berichtspaket wird ständig im Rahmen des Wartungsvertrages gepflegt und erwei- tert. Zum Umfang der Berichte gehören unter anderem die Auswertung von Ereignissen für Micro- soft Server 2003-2016, Microsoft Files Server, Linux, VMware, CISCO und Lotus Notes. Abb. 1 zeigt einen Ausschnitt aus dem Management-Report der täglich vom SIEM-Administrator kontrolliert wird

Abb. 1 zeigt einen Ausschnitt aus dem Management-Report der täglich vom SIEM-Administrator kontrolliert wird.

Security made in Germany

Pseudonymisierung

ProLog pseudonymisiert nach diversen Kriterien den Benutzerbezug in einer Ereignismeldung. Hierbei werden die sensiblen Informationen technisch von der Ereignismeldung getrennt. ProLog bietet auch die Möglichkeit einen LDAP konformen Server (z.B. OpenLDAP, MS AD...) für die Pseudonymisierung anzubinden. Mit der logischen Trennung des Benutzerbezug vom Ereignis, kann man unterschiedliche Speicherfristen definieren.

Abb. 2 zeigt eine „Write Operation“ im Dashboard von ProLog FileAudit. Rot umrandet ist der pseu- donymisierte Benutzername.

Abb. 2 zeigt eine „Write Operation“ im Dashboard von ProLog FileAudit. Rot umrandet ist der pseudonymisierte Benutzername.

Lizenzierung

Aufgrund der intelligenten Angebotsform als Servicepauschale in €/Monat/MA (Anzahl Mitarbeiter) ist die Lösung für kleine und große Versorger höchst interessant. Mit der Kündigungsfrist von drei Monaten auf Quartalsende ist die Lösung ad hoc und temporär auch für Versorger anwendbar, die bereits planen selektives Outsourcing umzusetzen oder darüber nachdenken.

N-Augen-Prinzip

Die Mitarbeiter eines klassischen deutschen Mittelständlers (zirka 500+ IT-Anwender) erzeugen im Schnitt 2 Millionen Ereignismeldungen pro Tag. Dies ist de jure eine Massendatenerhebung mit personenbezogenen Daten und damit ein harter Verstoß gegen das BDSG und die kommende EU- DSGVO.

Das N-Augen Prinzip ist eine organisatorische Lösung, die prozesstechnisch in ProLog fest verankert ist. Ohne die Zustimmung Dritter kann kein IT-Administrator einen Personenbezug in der Darstellung der Ereignismeldungen im Dashboard oder in einem Bericht herstellen.
Dieses Prinzip stellt jeden Datenschutzbeauftragten, Betriebs– und Personalrat zufrieden.

Abb. 3 zeigt den jeweils zu definierenden N-Augen Prozess des Unternehmens

FileAudit

Unser FileAudit liefert mehr Sicherheitsinformationen als die Auditfunktion des Microsoft File Server. Mit FileAudit kann man gezielt einzelne wichtige Dateien und/oder Dateiverzeichnisse schützen.


IT-Monitoring und IT-Verfügbarkeit

Viele unserer Kunden nutzen unsere Lösung nicht nur für die Umsetzung und Überwachung der IT-Compliance sondern zusätzlich für das IT-Monitoring und IT-Verfügbarkeit.


Protokollierungs– und Auditierungskonzept

Aus der Erfahrung von vielen externen Audits ist ein Rahmen für ein Protokollierungs– und Auditierungskonzept entstanden, welcher im Zusammenspiel unserer Consultants und den Fachabteilungen des Kunden kundenspezifisch angepasst und gepflegt werden kann.


Services

Zusammen mit unseren Partnern bieten wir Ihnen IT@WORK ProLog® als „on Premise“ oder Cloud- Lösung an. Der Trend bei unseren Kunden geht eindeutig hin zur „Managed Security Service“ Lösung.
Unsere Mitarbeiter und Partner stehen Ihnen gerne persönlich zur Verfügung um mehr über die Lösungsmöglichkeiten mit IT@WORK ProLog® zu erfahren. Nutzen Sie unsere Informationsveranstaltungen, Webinare oder kontaktieren Sie uns einfach über Telefon oder E-Mail.