ANGACOM-2403.05-rotation

Donnerstag, 28. März 2024

Interview:
Schwachstellen aufspüren


[29.6.2021] Die Unternehmen cosymap und Trovent Security wollen auch kleineren Netzbetreibern eine rechtssichere Leitungsauskunft ermöglichen. Im Interview mit stadt+werk stellen cosymap-CTO Thomas Schamal und Alexander Caswell, Geschäftsführer der Trovent Security, ihre Lösung vor.

Thomas Schamal ist Gründungsmitglied und CTO der cosymap GmbH. Er ist ausgewiesener Digital-Experte in der Versorgungs- und Telekommunikationsbranche. Herr Schamal, Herr Caswell, die GIS-Gesamtlösung von cosymap, die eine standardisierte Anwendung für die Leitungsauskunft beinhaltet, ist insbesondere für kleine und mittlere Stadtwerke geeignet. Gemeinsam mit der Trovent Security aus Bochum wird die Web-Applikation vor der Inbetriebnahme beim Kunden auf Sicherheitslücken geprüft. Warum legen Sie mit Ihrer Kooperation den Schwerpunkt gerade auf das Thema IT-Sicherheit?

Thomas Schamal: Das zentrale Thema unserer Kunden ist die Daseinsvorsorge und Versorgungssicherheit. Gerade für Netzbetreiber kritischer Infrastrukturen, wie Energie- und Wasserversorger, muss sichergestellt werden, dass diese jederzeit gewährleistet ist. Das heißt, die Leitungsnetze müssen vor Beschädigungen durch Fremdeinwirkung Dritter, etwa Bautätige, geschützt werden, zudem muss die dahinterliegende IT-Infrastruktur Angriffen von außen standhalten. Das betrifft auch das Ausspähen von geschützten Leitungsdaten.

Alexander Caswell: Aktuelle Statistiken zeigen, dass Cyber-Angriffe, insbesondere auf Unternehmen und öffentliche Einrichtungen, im vergangenen Jahr in Deutschland einen Höchststand erreicht haben. Auch aus diesem Grund hat das Bundeskabinett im Dezember 2020 die Novellierung des IT-Sicherheitsgesetzes 2.0 beschlossen. Es enthält für Betreiber kritischer Infrastrukturen deutliche Verschärfungen. Regelmäßig durchgeführte Penetrationstests tragen neben anderen technischen und organisatorischen Maßnahmen dazu bei, dass die erhöhten Anforderungen des Gesetzgebers erfüllt werden können.

„Unser Ziel ist es, Manipulationsmöglichkeiten präventiv zu verhindern.“

Worin unterscheidet sich die cosy­map Lösung von herkömmlichen Applikationen zur Leitungsauskunft?

Schamal: Mit unserer Branchenlösung konzentrieren wir uns verstärkt auf kleinere und mittlere Versorgungsunternehmen. Gerade bei kleineren Stadtwerken sind die Ressourcen in der IT oftmals begrenzt. Die Vorgaben des Gesetzgebers und novellierte Regelwerke der Branchenverbände erzeugen einen hohen Modernisierungsdruck, dem die Unternehmen nur mit hohem Zeit- und Ressourcenaufwand nachkommen können. Die cosy­map-Lösung als Standard-Software für Leitungsauskunft schlägt hier sozusagen zwei Fliegen mit einer Klappe: Zum einen basiert sie auf der aktuellen Rechtsprechung und ist somit rechts- und revisionssicher, zum anderen ermöglichen die kurze Implementierungsphase sowie der einfache und intuitive Umgang mit der Lösung einen schnellen Return-on-Investment. Die Option, die Software im Anwendungsumfeld mittels Penetrationstest zu überprüfen, ist für die Entscheider ein zusätzlicher und wichtiger Aspekt in puncto Betriebssicherheit.

An welchen Stellen sind die Systeme der Netzbetreiber besonders angreifbar und welche Szenarien werden mit dem Penetrationstest der cosy­map-­Applikation durchgespielt?

Schamal: Bei dem Test konzentrieren wir uns auf unsere Web-Applikation und deren Schnittstellen in der Anwendungsumgebung. Wir implementieren die bereits auf Sicherheit und Schwachstellen überprüfte cosymap-Software beim Kunden und überprüfen sie in der Betriebsumgebung dann nochmals auf einwandfreie und sichere Funktion. Dabei werden die Server- und Netzwerk­infrastruktur genau beleuchtet, um eventuell vorhandene Schwachstellen aufzudecken und zu beheben. Unser Ziel ist es, Manipulationsmöglichkeiten präventiv zu verhindern.

Caswell: Trovent Security arbeitet hierbei nach anerkannten Standards. Dazu zählen unter anderem der Penetration Testing Execution Standard (PTES), der OWASP Web Security Testing Guide sowie das Durchführungskonzept für Pene­tra­tionstests des Bundesamts für Sicherheit in der Informationstechnik (BSI).

Wie läuft der Test im Stadtwerk konkret ab und mit welchem zeitlichen Rahmen muss der Kunde rechnen?

Alexander Caswell ist Gründer und Geschäftsführer der Trovent Security GmbH. Caswell: Zunächst werden gemeinsam mit dem Kunden Zielsetzung und Rahmenbedingungen für die Überprüfung festgelegt. Hierbei stehen Fragen im Vordergrund, welche die Art und die Vorgehensweise bei dem bevorstehenden Test betreffen. Dazu gehört beispielsweise, welche Informationen im Vorfeld über das Zielsystem zur Verfügung gestellt werden und wie aggressiv bei der Überprüfung vorgegangen werden soll und darf. Darüber hinaus werden die Zielsysteme für den Test festgelegt. Neben der cosymap-Leitungsauskunft können das auch die angeschlossenen Datenbank-Server sein. Unsere Tester führen danach die Überprüfung durch und greifen das Zielsystem mit den gleichen Mitteln an, die auch böswillige Angreifer anwenden, um mögliche IT-Sicherheitsrisiken aufzudecken. Werden im Zuge dessen Schwachstellen identifiziert, werden diese ausführlich dokumentiert und Verbesserungsvorschläge erarbeitet. Für einen vollständigen Penetrationstest ist mit etwa fünf Arbeitstagen zu rechnen.

Schamal: Natürlich werden die Ergebnisse der erfolgten Maßnahmen zur erhöhten IT-Sicherheit in Folge­tests verifiziert und auch Releases der Software entsprechend überprüft.

Was bedeutet Ihr Vorstoß bei der Leitungsauskunft im Bereich der IT-Sicherheit für die Branche?

Schamal: In Gesprächen mit Unternehmen aus der Branche haben wir festgestellt, dass die eingesetzten Web-Applikationen oft nicht mehr den aktuellen IT-Sicherheitsanforderungen genügen. Die Kooperation mit Trovent Security ermöglicht es uns, unseren Kunden einen zuverlässigen Nachweis zu liefern, dass unsere Lösung zur Leitungsauskunft hinsichtlich der IT-Sicherheit dem aktuellen Stand der Technik entspricht. Der vergleichsweise überschaubare Aufwand für das Testverfahren im Zuge der Software-Implementierung zahlt maßgeblich in die Vertrauensbildung des Netzbetreibers ein. Vor allem aber dient er der Sicherheit der Netzinfrastruktur in Deutschland.

Caswell: Im Übrigen gilt das nicht nur für die Versorgungsbranche, wobei gerade die Betreiber kritischer Infrastrukturen eine hohe Verantwortung für das Gemeinwohl tragen.

Interview: Bettina Schömig

Im Interview, Thomas Schamal und Alexander Caswell
Thomas Schamal ist Gründungsmitglied und CTO der cosymap GmbH. Er ist ausgewiesener Digital-Experte in der Versorgungs- und Telekommunikationsbranche. Alexander Caswell ist Gründer und Geschäftsführer der Trovent Security GmbH. Er hat über 15 Jahre Erfahrung in Führungsrollen innerhalb der IT und Telekommunikation, insbesondere in den Bereichen Cyber- und Kommunikationssicherheit sowie öffentliche Sicherheit.

https://www.cosymap.de
https://trovent.io
Dieser Beitrag ist im Sonderheft Juni 2021 von stadt+werk zur Infrastruktur für die Smart City erschienen. Hier können Sie ein Exemplar bestellen oder die Zeitschrift abonnieren. (Deep Link)

Stichwörter: Informationstechnik, cosymap, Trovent Security GmbH, IT-Sicherheit, Penetrationstest

Bildquelle v.o.n.u.: cosymap GmbH, Trovent Security GmbH

Druckversion    PDF     Link mailen


 Anzeige

Weitere Meldungen und Beiträge aus dem Bereich Informationstechnik

Interview: Gemeinsam über den Tellerrand blicken Interview
[22.3.2024] Die Plattform KommunalDigital hat sich zu einem führenden Netzwerk für die kommunale Wirtschaft entwickelt. stadt+werk sprach mit Jarno Wittig, Geschäftsführer der VKU Service, über das Erfolgsrezept. mehr...
Jarno Wittig
Bitkom-Umfrage: Für die Digitalisierung der Energiewende
[19.3.2024] Eine neue Umfrage zeigt, dass die Akzeptanz für digitale Technologien wie Smart Meter und intelligente Heizungssteuerung stark gestiegen ist. Die Mehrheit der Deutschen setzt auf Digitalisierung zur Unterstützung der Energiewende. mehr...
Software-Lösung: Automatisierung mit Ampero
[19.3.2024] Eine Software der BayWa r.e.-Tochter Ampero vereinfacht das Management von Erneuerbare-Energien-Anlagen. Die Lösung nutzt dabei neueste KI-Funktionen. mehr...
Arvato: AS4-Start für Thüga-Kunden
[13.3.2024] Die AS4-Marktkommunikation von Arvato Systems steht den Kunden der Thüga SmartService planmäßig zur Verfügung. mehr...
Kunden der Thüga SmartService können ab sofort die AS4-Marktkommunikation von Arvato nutzen.
Energy Software Holding: Neue Marke „Kraftwerk“
[26.2.2024] Mehrere IT-Unternehmen haben sich zur Energy Software Holding (ESH) zusammengeschlossen. Unter der Führung von Elvaston Capital Management will die Gruppe die Transformation der Branche durch innovative Software beschleunigen. mehr...

Suchen...

 Anzeige

Aboverwaltung


Abbonement kuendigen

Abbonement kuendigen
Ausgewählte Anbieter aus dem Bereich Informationstechnik:
GIS Consult GmbH
45721 Haltern am See
GIS Consult GmbH
ITC AG
01067 Dresden
ITC AG
VOLTARIS GmbH
67133 Maxdorf
VOLTARIS GmbH
A/V/E GmbH
06112 Halle (Saale)
A/V/E GmbH

Aktuelle Meldungen