cosymap und Trovent Security sind eine Kooperation eingegangen, in deren Rahmen die Unternehmen die cosymap-Leitungsauskunft auf Sicherheitslücken im Betrieb überprüfen.
Im Jahr 2019 musste jeder deutsche Verbraucher nach Angaben der Bundesnetzagentur eine durchschnittliche Unterbrechung der Stromversorgung von 12,2 Minuten hinnehmen. Einen ähnlich niedrigen Wert gab es mit 12,28 Minuten lediglich im Jahr 2014. Die Zahlen belegen: Die Versorgungssicherheit in Deutschland ist ein hohes Gut. Da die Infrastruktur der Leitungsnetze hier zudem besonders komplex ist, ist deren Digitalisierung eine zentrale Aufgabe der Volkswirtschaft. Ein Aspekt dabei: eine digitale und rechtssichere Leitungsauskunft. Dafür fordert der Gesetzgeber neben der Einhaltung der Regelwerke auch die Erfüllung der Anforderungen des IT-Sicherheitsgesetzes sowie der an diesem Gesetz anknüpfenden branchenspezifischen Sicherheitsstandards (B3S) für informationstechnische Systeme. In diesem Zusammenhang stehen insbesondere kleinere und mittlere Betreiber kritischer Infrastrukturen, wie Stadtwerke oder Wasserzweckverbände, aktuell vor der Herausforderung, ihre Systeme zu modernisieren.
Um diese Herausforderungen zu meistern, bietet das Leipziger Unternehmen cosymap eine Softwarelösung für eine rechts- und revisionssichere Leitungsauskunft für Netzbetreiber. Gemeinsam mit der Trovent Security GmbH aus Bochum wird die Webapplikation dabei bereits vor Inbetriebnahme beim Kunden auf Sicherheitslücken geprüft.
Schwerpunkt: IT-Sicherheit
„Das zentrale Thema unserer Kunden ist die Daseinsvorsorge und Versorgungssicherheit“, sagt Thomas Schamal, CTO bei cosymap. „Gerade für Netzbetreiber kritischer Infrastrukturen, wie beispielsweise Energie- und Wasserversorger, muss sichergestellt werden, dass die Versorgungssicherheit jederzeit gewährleistet ist.“ Die Leitungsnetze müssen dafür einerseits vor Beschädigungen durch Fremdeinwirkung Dritter – etwa durch Bauarbeiten – geschützt werden, andererseits muss auch die dahinter liegende IT-Infrastruktur möglichen Angriffen von außen standhalten. „Das betrifft vor allem auch das Ausspähen von geschützten Leitungsdaten“, so Schamal.
In eine ähnliche Kerbe schlägt Trovent Security-Geschäftsführer Alexander Caswell: „Aktuelle Statistiken zeigen, dass Cyber-Angriffe, insbesondere auf Unternehmen und öffentliche Einrichtungen, im vergangenen Jahr in Deutschland einen Höchststand erreicht haben. Auch deswegen hat das Bundeskabinett die Novellierung des IT-Sicherheitsgesetzes 2.0 im Dezember 2020 beschlossen.“ Dieses enthält für Betreiber kritischer Infrastrukturen deutliche Verschärfungen. „Regelmäßig durchgeführte Penetrationstests tragen neben anderen technischen und organisatorischen Maßnahmen dazu bei, dass die erhöhten Anforderungen des Gesetzgebers durch KRITIS-Unternehmen erfüllt werden.“
Manipulationen präventiv verhindern
Dabei konzentriert sich die cosymap-Lösung insbesondere auf kleinere und mittlere Versorgungsunternehmen. „Gerade bei kleineren Stadtwerken sind die Ressourcen in der IT oftmals begrenzt“, berichtet Schamal. Die cosymap-Lösung zur Leitungsauskunft schlage hier „zwei Fliegen mit einer Klappe: Zum einen basiert sie auf der aktuellen Rechtsprechung und ist somit rechts- und revisionssicher. Zum anderen ermöglicht die kurze Implementierungsphase sowie der einfache und intuitive Umgang mit der Lösung einen schnellen Return-on-Investment (ROI).“
Beim Penetrationstest konzentriert sich cosymap auf die Webapplikation sowie deren Schnittstellen in der Anwendungsumgebung. „Wir implementieren die bereits auf Sicherheit und Schwachstellen überprüfte Software beim Kunden und überprüfen diese dann nochmals in der Betriebsumgebung auf einwandfreie und sichere Funktion“, so Schamal. Dabei werden die Server- sowie Netzinfrastruktur genau beleuchtet, um eventuell vorhandene Schwachstellen aufzudecken und zu beheben. „Ziel ist es, Manipulationsmöglichkeiten präventiv zu verhindern“, sagt Caswell. „Trovent Security arbeitet hierbei nach anerkannten Standards. Hierzu zählen unter anderem der Penetration Testing Execution Standard (PTES), der OWASP Web Security Testing Guide sowie das Durchführungskonzept für Penetrationstests des BSI.“
Wie laufen Penetrationstests ab?
„Zunächst werden mit dem Kunden die Zielsetzung und die Rahmenbedingungen für die Überprüfung festgelegt“, berichtet Caswell. Dabei stehen Fragen, welche die Art und die Vorgehensweise bei dem bevorstehenden Test betreffen, im Vordergrund – beispielsweise, welche Informationen werden dem Penetrationstester im Vorfeld über das Zielsystem zur Verfügung gestellt und wie aggressiv soll und darf bei der Überprüfung vorgegangen werden. „Zudem werden Zielsysteme festgelegt. Neben der cosymap-Leitungsauskunft können das auch die angeschlossenen Datenbankserver sein. Unsere Penetrationstester führen danach die Überprüfung durch und greifen das Zielsystem mit den gleichen Mitteln an, die auch böswillige Angreifer anwenden, um mögliche Schwachstellen und IT-Sicherheitsrisiken aufzudecken“, so Caswell. Werden im Zuge der Testungen Schwachstellen identifiziert, werden diese ausführlich dokumentiert und Verbesserungsvorschläge bzw. -maßnahmen erarbeitet. „Insgesamt ist der Aufwand überschaubar, da ein vollständiger Penetrationstest nur in etwa fünf Arbeitstage erfordert“, resümiert Schamal. (jr)