Dienstag, 5. Juli 2022

Interview:
Schwachstellen aufspüren


[29.6.2021] Die Unternehmen cosymap und Trovent Security wollen auch kleineren Netzbetreibern eine rechtssichere Leitungsauskunft ermöglichen. Im Interview mit stadt+werk stellen cosymap-CTO Thomas Schamal und Alexander Caswell, Geschäftsführer der Trovent Security, ihre Lösung vor.

Thomas Schamal ist Gründungsmitglied und CTO der cosymap GmbH. Er ist ausgewiesener Digital-Experte in der Versorgungs- und Telekommunikationsbranche. Herr Schamal, Herr Caswell, die GIS-Gesamtlösung von cosymap, die eine standardisierte Anwendung für die Leitungsauskunft beinhaltet, ist insbesondere für kleine und mittlere Stadtwerke geeignet. Gemeinsam mit der Trovent Security aus Bochum wird die Web-Applikation vor der Inbetriebnahme beim Kunden auf Sicherheitslücken geprüft. Warum legen Sie mit Ihrer Kooperation den Schwerpunkt gerade auf das Thema IT-Sicherheit?

Thomas Schamal: Das zentrale Thema unserer Kunden ist die Daseinsvorsorge und Versorgungssicherheit. Gerade für Netzbetreiber kritischer Infrastrukturen, wie Energie- und Wasserversorger, muss sichergestellt werden, dass diese jederzeit gewährleistet ist. Das heißt, die Leitungsnetze müssen vor Beschädigungen durch Fremdeinwirkung Dritter, etwa Bautätige, geschützt werden, zudem muss die dahinterliegende IT-Infrastruktur Angriffen von außen standhalten. Das betrifft auch das Ausspähen von geschützten Leitungsdaten.

Alexander Caswell: Aktuelle Statistiken zeigen, dass Cyber-Angriffe, insbesondere auf Unternehmen und öffentliche Einrichtungen, im vergangenen Jahr in Deutschland einen Höchststand erreicht haben. Auch aus diesem Grund hat das Bundeskabinett im Dezember 2020 die Novellierung des IT-Sicherheitsgesetzes 2.0 beschlossen. Es enthält für Betreiber kritischer Infrastrukturen deutliche Verschärfungen. Regelmäßig durchgeführte Penetrationstests tragen neben anderen technischen und organisatorischen Maßnahmen dazu bei, dass die erhöhten Anforderungen des Gesetzgebers erfüllt werden können.

„Unser Ziel ist es, Manipulationsmöglichkeiten präventiv zu verhindern.“

Worin unterscheidet sich die cosy­map Lösung von herkömmlichen Applikationen zur Leitungsauskunft?

Schamal: Mit unserer Branchenlösung konzentrieren wir uns verstärkt auf kleinere und mittlere Versorgungsunternehmen. Gerade bei kleineren Stadtwerken sind die Ressourcen in der IT oftmals begrenzt. Die Vorgaben des Gesetzgebers und novellierte Regelwerke der Branchenverbände erzeugen einen hohen Modernisierungsdruck, dem die Unternehmen nur mit hohem Zeit- und Ressourcenaufwand nachkommen können. Die cosy­map-Lösung als Standard-Software für Leitungsauskunft schlägt hier sozusagen zwei Fliegen mit einer Klappe: Zum einen basiert sie auf der aktuellen Rechtsprechung und ist somit rechts- und revisionssicher, zum anderen ermöglichen die kurze Implementierungsphase sowie der einfache und intuitive Umgang mit der Lösung einen schnellen Return-on-Investment. Die Option, die Software im Anwendungsumfeld mittels Penetrationstest zu überprüfen, ist für die Entscheider ein zusätzlicher und wichtiger Aspekt in puncto Betriebssicherheit.

An welchen Stellen sind die Systeme der Netzbetreiber besonders angreifbar und welche Szenarien werden mit dem Penetrationstest der cosy­map-­Applikation durchgespielt?

Schamal: Bei dem Test konzentrieren wir uns auf unsere Web-Applikation und deren Schnittstellen in der Anwendungsumgebung. Wir implementieren die bereits auf Sicherheit und Schwachstellen überprüfte cosymap-Software beim Kunden und überprüfen sie in der Betriebsumgebung dann nochmals auf einwandfreie und sichere Funktion. Dabei werden die Server- und Netzwerk­infrastruktur genau beleuchtet, um eventuell vorhandene Schwachstellen aufzudecken und zu beheben. Unser Ziel ist es, Manipulationsmöglichkeiten präventiv zu verhindern.

Caswell: Trovent Security arbeitet hierbei nach anerkannten Standards. Dazu zählen unter anderem der Penetration Testing Execution Standard (PTES), der OWASP Web Security Testing Guide sowie das Durchführungskonzept für Pene­tra­tionstests des Bundesamts für Sicherheit in der Informationstechnik (BSI).

Wie läuft der Test im Stadtwerk konkret ab und mit welchem zeitlichen Rahmen muss der Kunde rechnen?

Alexander Caswell ist Gründer und Geschäftsführer der Trovent Security GmbH. Caswell: Zunächst werden gemeinsam mit dem Kunden Zielsetzung und Rahmenbedingungen für die Überprüfung festgelegt. Hierbei stehen Fragen im Vordergrund, welche die Art und die Vorgehensweise bei dem bevorstehenden Test betreffen. Dazu gehört beispielsweise, welche Informationen im Vorfeld über das Zielsystem zur Verfügung gestellt werden und wie aggressiv bei der Überprüfung vorgegangen werden soll und darf. Darüber hinaus werden die Zielsysteme für den Test festgelegt. Neben der cosymap-Leitungsauskunft können das auch die angeschlossenen Datenbank-Server sein. Unsere Tester führen danach die Überprüfung durch und greifen das Zielsystem mit den gleichen Mitteln an, die auch böswillige Angreifer anwenden, um mögliche IT-Sicherheitsrisiken aufzudecken. Werden im Zuge dessen Schwachstellen identifiziert, werden diese ausführlich dokumentiert und Verbesserungsvorschläge erarbeitet. Für einen vollständigen Penetrationstest ist mit etwa fünf Arbeitstagen zu rechnen.

Schamal: Natürlich werden die Ergebnisse der erfolgten Maßnahmen zur erhöhten IT-Sicherheit in Folge­tests verifiziert und auch Releases der Software entsprechend überprüft.

Was bedeutet Ihr Vorstoß bei der Leitungsauskunft im Bereich der IT-Sicherheit für die Branche?

Schamal: In Gesprächen mit Unternehmen aus der Branche haben wir festgestellt, dass die eingesetzten Web-Applikationen oft nicht mehr den aktuellen IT-Sicherheitsanforderungen genügen. Die Kooperation mit Trovent Security ermöglicht es uns, unseren Kunden einen zuverlässigen Nachweis zu liefern, dass unsere Lösung zur Leitungsauskunft hinsichtlich der IT-Sicherheit dem aktuellen Stand der Technik entspricht. Der vergleichsweise überschaubare Aufwand für das Testverfahren im Zuge der Software-Implementierung zahlt maßgeblich in die Vertrauensbildung des Netzbetreibers ein. Vor allem aber dient er der Sicherheit der Netzinfrastruktur in Deutschland.

Caswell: Im Übrigen gilt das nicht nur für die Versorgungsbranche, wobei gerade die Betreiber kritischer Infrastrukturen eine hohe Verantwortung für das Gemeinwohl tragen.

Interview: Bettina Schömig

Im Interview, Thomas Schamal und Alexander Caswell
Thomas Schamal ist Gründungsmitglied und CTO der cosymap GmbH. Er ist ausgewiesener Digital-Experte in der Versorgungs- und Telekommunikationsbranche. Alexander Caswell ist Gründer und Geschäftsführer der Trovent Security GmbH. Er hat über 15 Jahre Erfahrung in Führungsrollen innerhalb der IT und Telekommunikation, insbesondere in den Bereichen Cyber- und Kommunikationssicherheit sowie öffentliche Sicherheit.

https://www.cosymap.de
https://trovent.io
Dieser Beitrag ist im Sonderheft Juni 2021 von stadt+werk zur Infrastruktur für die Smart City erschienen. Hier können Sie ein Exemplar bestellen oder die Zeitschrift abonnieren. (Deep Link)

Stichwörter: Informationstechnik, cosymap, Trovent Security GmbH, IT-Sicherheit, Penetrationstest

Bildquelle v.o.n.u.: cosymap GmbH, Trovent Security GmbH

Druckversion    PDF     Link mailen


Weitere Meldungen und Beiträge aus dem Bereich Informationstechnik

eins+null/iS Software: Gesamtlösung für Energiebranche
[29.6.2022] eins+null und iS-Software bieten jetzt zusammen eine Gesamtlösung für Energieversorger an. Kleinere Stadtwerke erhalten so eine hochautomatisierte End-to-End-Lösung mit Minimalcustomizing. mehr...
Wilken ENER:GY: Mehr als eine Million Abrechnungen
[24.6.2022] In einer umfangreichen Praxissimulation hat Wilken gezeigt, dass die Branchenlösung ENER:GY hochskalierbar ist. In einem Performance-Test konnte die Grenze von einer Million Abrechnungen in 24 Stunden deutlich überschritten werden. mehr...
Mainova: IT-Services automatisiert
[21.6.2022] Zur Automatisierung ihrer IT-Services setzt Mainova auf Software aus dem Hause USU. Mainova erhält damit eine professionelle und integrierte Gesamtlösung für das IT Service Management (ITSM), die individuell konfigurierbar ist und als Software as a Service (SaaS) betrieben werden kann. mehr...
Stadtwerke Münster: IoT-Lösung CityLink im Einsatz
[15.6.2022] Die von den beiden Software-Unternehmen opwoco und items entwickelte App-basierte IoT-Software CityLink geht jetzt bei den Stadtwerken und Stadtnetzen Münster produktiv. mehr...
Um bei Problemen schnell eingreifen zu können, wird die Energieerzeugung in den dezentralen Blockheizkraftwerken mit CityLink überwacht
DIPKO/Schleupen SE: Zusammenarbeit intensiviert
[15.6.2022] Durch die Intensivierung ihrer Zusammenarbeit ermöglichen es Schleupen SE und die Digitale Plattform für kommunale Services (DIPKO) jetzt Stadtwerken, die Vielfalt ihrer Leistungen auf einer Plattform zu bündeln. mehr...
Durch die neue Plattform von DIPKO und Schleupen SE können Stromkunden jetzt auch verbilligte Parktickets angeboten werden.

Suchen...

 Anzeige



Aktuelle Information des Verlags


In Zeiten der Corona-Pandemie werden wir aktuelle Ausgaben von stadt+werk allen Interessierten bis auf weiteres kostenfrei digital zur Verfügung stellen. Weisen Sie bitte auch Ihre Kolleginnen und Kollegen im Homeoffice auf diese Möglichkeit hin.

Wenn Sie stadt+werk auch künftig regelmäßig als Print- und Digitalausgabe erhalten möchten, freuen wir uns über ein Abonnement.

stadt+werk, Ausgabe 5/6 2022
stadt+werk, Ausgabe 3/4 2022
stadt+werk, Ausgabe 1/2 2022
stadt+werk, Ausgabe 11/12 2021

Aboverwaltung


Abbonement kuendigen

Abbonement kuendigen
cosymap GmbH
04103 Leipzig
cosymap GmbH

Aktuelle Meldungen