Managament , Fachartikel

Gefährliche Dinge(r) im Internet-of-Things?

Gefährliche Dinge(r) im Internet-of-Things?

Nachdem Unternehmen immer noch damit beschäftigt sind, die viel zu lange unterschätzten Probleme des Wildwuchses bei mobilen Geräten wie Notebooks und Smartphones in den Griff zu bekommen, droht bereits die nächste Technologiewelle über sie hinweg zu gehen. Intelligente „Dinge(r)“, die untereinander oder auch mit Anderen kommunizieren können, schicken sich an, das „Internet-of-Things“ zu bilden. Sind wir wirklich schon so weit, dass z.B. Sensoren oder Steuergeräten für kritische Prozesse rückhaltlos vertraut werden kann? Wie sicher werden solche Komponenten konzipiert, entwickelt und betrieben? Können sie externen Angriffen standhalten? Der nachfolgende Beitrag versucht Antworten hierauf zu geben.

Viele sprechen heute schon von der vierten industriellen Revolution (nach Erfindung der Dampfmaschine, der Einführung der Elektrizität und dem Beginn des Computerzeitalters) und meinen damit die bereits angelaufene Vernetzung im Internet-of-Things (IoT). Gartner geht in der Studie „Forecast: The Internet of Things, Worldwide“ von einem Anwachsen auf bis zu 26 Milliarden IP-fähiger  Geräte aus, andere Einschätzungen liegen noch weitaus höher.

               

Abbildung-1: Entwicklung zum Internet-of-Things. Quelle: [1]


Worum handelt es sich nun bei diesen ominösen „Dinge(r)n“ eigentlich?
Wenn man bisher von Internet-fähigen Systemen sprach, dann dachte man zumeist an PCs, Notebooks und zuletzt auch noch an Smartphones oder Tablets. Mit IoT hingegen bezeichnet man ein IP-fähiges Netzwerk von Computersystemen, die in Geräten, Anlagen und Maschinen eingebettet sind und spezielle Anwendungen ermöglichen. Solche eingebetteten Geräte („embedded devices“) sind heute bereits alltäglich, so finden sich mikro- und nanoelektronische Komponenten in Handys, Autos, Waschmaschinen, medizinischen Geräten, sind aber auch in elektronischen Pässen oder in Krankenkassenkarten unverzichtbar. In der Öffentlichkeit finden intelligente „Dinge“ wie Wearables (Computersysteme, die während der Anwendung am Körper des Benutzers befestigt sind) immer größere Beachtung. Damit können schlaue Brillen gemeint sein, die über ein integriertes Display Informationen einspiegeln, wie Googles Glasses zum Beispiel. Oder computerisierte Trainingsschuhe, die Schrittweite und Laufstrecke ermitteln. Die in diesem privaten Bereich zu erwartenden Probleme mit Datenschutz und -sicherheit sollen aber hier nicht betrachtet werden.


Der Einsatz von Embedded Devices schreitet aber auch im industriellen Bereich stark voran, dann spricht man zumeist von Internet 4.0 oder vom Industrial-Internet-of-Things (IIoT). Hier verspricht man sich von der Einführung des IoT eine flexiblere Fertigung, schnellere Prozesse und höhere Effizienz. Dies betrifft heute vorrangig die Bereiche Steuerung und Regelung von Produktionsprozessen, Energietransport, Medizintechnik, Automobilbau, Bahnwesen, Luft- und Raumfahrt. Geräte die dabei zum Einsatz kommen sind z.B. Sensoren in der automatischen Fertigung, Industrieroboter, Medizinische Geräte wie Operationswerkzeuge oder tragbare Sensoren, Point-of-Sales Kassen, Systeme zur Verkehrssteuerung und Sensoren in Automobilen.

Wesentliche Merkmale des Internet-of-Things

  • Eingebettete Software zur Kommunikation und Sensorik
  • Direkte oder indirekte Kommunikation mit dem Internet
  • Fähigkeit zur Maschine-Maschine-Kommunikation
  • Fähigkeit zur Sammlung und Weiterleitung von Daten
  • Kein direktes Nutzer-Interface
  • Verbindung (many-to-one) zu Master-Systemen

 

Durch den Einsatz von solchen IoT-Geräten sind aber Industrieanlagen und komplette Fertigungsstrecken denselben Risiken ausgesetzt, wie wir sie seit langem aus der Büro-IT kennen. Bislang blieben die Angriffe und ihre Folgen der Öffentlichkeit meist verborgen. Die Betroffenen reden nicht gerne über die erlittenen Schäden, dabei sollten sie sich besser intensiv um notwendige Sicherheitsvorkehrungen kümmern.

Sicherheitsprobleme im IoT

Embedded Devices, bei denen Hard- und Software aufs Engste miteinander verbunden sind und die gerade im industriellen Bereich oft an sensiblen Stellen eingesetzt werden, sollten eigentlich besondere Sicherheitsanforderungen erfüllen, wie sieht es aber in der Wirklichkeit aus? 

Eine durchaus vergleichbare Situation gab es bereits in den 90-er Jahren. Damals wurde dem Thema Sicherheit noch keine große Bedeutung bei der Entwicklung der Software beigemessen und mit dem aufkommenden Internet nahmen die Bedrohungen beängstigende Ausmaße an. Es gab Schwachstellen ohne Ende, keine vernünftigen Patchprozesse und die Hersteller hielten gefundene Schwachstellen lieber geheim, um keinen Imageschaden zu erleiden. Und wenn es dann mal Patches gab, dann waren die meisten Nutzer/Admins überfordert, dies überhaupt zu erfahren und dann auch zeitgerecht einzuspielen. Das alles hat sich glücklicherweise in den letzten 20 Jahren deutlich verbessert, Full Disclosure Politik der Hersteller und automatisierte Updates sorgen heute für deutlich mehr Sicherheit.

Aber in dem aufkommenden IoT sind die zu erwartenden Probleme absehbar deutlich gravierender. Die verwendeten Geräte sind mit dem Internet direkt oder indirekt verbunden, sind weitaus leistungsfähiger als die PCs der 90-er Jahre und finden sich in allen möglichen Einsatzszenarien wieder. Die Hersteller aber, die diese Geräte liefern, sind kaum willig und in der Lage, die damit verbunden Sicherheitsprobleme zu lösen. So mussten bei einem Hacker-Contest anlässlich der diesjährigen Defcon zehn Home-Router einen Sicherheitstest überstehen. Ergebnis: Die Hacker präsentierten 15 Lücken für eine Übernahme der Geräte, die Hälfte der bereit gestellten Router konnten damit kompromittiert werden. Ein erschreckendes Ergebnis, denn jeder kann sich wohl vorstellen, dass gerade Router als Verbindungssystem zum Internet einer besonderen Sicherung bedürfen. Es fiel auch auf, dass viele Router nicht gepatcht waren und somit lange bekannte Sicherheitslücken aufwiesen. Offensichtlich wurden Lücken häufig nur in Geräten geschlossen, die vorher von Sicherheitsexperten auditiert worden waren. Manche Hersteller hatten lange bekannte Sicherheitslücken erst gar nicht geschlossen. Dies war laut ihren Aussagen in einigen Fällen auch nicht möglich, weil die Fehler in den verwendeten Chipsets der Zulieferer lagen und für die fühlte man sich nicht verantwortlich.

<next>

 

Genau hier liegt eines der Hauptprobleme beim Einsatz von Embedded Devices. Der Markt der Hersteller ist stark zersplittert und unterliegt einem mörderischen Konkurrenzkampf. Herzstück solcher Embedded Devices sind hoch spezialisierte Computer Chips, die wegen der großen Konkurrenz äußerst billig hergestellt werden müssen. Neben dem Preis versuchen die Hersteller sich durch Funktionalität und verfügbare Bandbreite zu unterscheiden. Zumeist findet sich auf diesen Chips neben Linux als Betriebssystem noch eine ganze Reihe von Open Source Tools und einigen eigenentwickelten Komponenten. Dies alles wird schnellstmöglich zusammen gebaut und ausgeliefert, man kann sich vorstellen, dass auf die Themen Sicherheit und Wartungsfreundlichkeit eher weniger Wert gelegt wird. Zudem benötigt Sicherheit immer auch eine gewisse Rechenleistung und Speicherkapazität und die meisten „Dinge“ sind damit nicht gerade übermäßig ausgestattet. Aufsetzend auf diesen Chipsets bauen die Systemhersteller durch Hinzufügen von User-Interface und weiteren spezifischen Funktionen dann ihre Endprodukte auf.

Weiterhin ist zu beachten: nicht alle Geräte im IoT werden immer brandneu sein. Hersteller versehen auch ältere Geräte und Systeme gern mit IP-Konnektivität und zusätzlicher Funktionalität. Diese Altlasten sind einem deutlich höheren Risiko ausgesetzt als ein Gerät, das von Grund auf als IP-Endgerät entwickelt wurde. Aber selbst wenn es sich um neue Geräte handelt, dann ist nicht unbedingt mit neuer Software zu rechnen. Untersuchungen an verbreiteten Home-Routern haben z.B. ergeben, dass die verwendete Software ca. 5 Jahre älter war und eher selten über die später ausgelieferten Patches verfügte. Man kann sich vorstellen, dass solche veralteten Systeme für jeden Angreifer ein leichtes Ziel darstellen würden.

Um das Ganze noch schlimmer zu machen, oft ist es sogar unmöglich die Software zu patchen oder ein Upgrade der Geräte auf die neueste Version vorzunehmen. Nicht selten ist auch der Sourcecode nicht verfügbar. Das liegt weniger an dem verwendeten Linux oder anderen Open-Source Komponenten, sondern zumeist an den implementierten Treibern oder Kernel-Modulen, die die Hersteller zur Geheimniswahrung gern nur in Binärform ausliefern. Solche „binary blobs“ entziehen sich dann natürlich jeder Kontrolle und auch jedem Update, es sei denn der Hersteller wird hier selber tätig. Das ist leider nicht immer der Fall und verlangt dann nicht selten auch noch die Mitarbeit des Endnutzers durch Download und Installation. Wenn aber nicht einmal die Information über solche Updates verbreitet wird, kann man sich die geringe Nachfrage gut vorstellen. Resultat ist: im Internet gibt es heute hunderte Millionen Geräte, ungepatcht und unsicher, die die Angreifer geradezu einladen.

Das Schlimme an diesen Vorfällen ist jedoch, dass diese Angriffe immer auf den gleichen Probleme in den Embedded Devices oder den einbettenden Systemen basieren: schlechtes Gerätedesign, unsichere Standardeinstellungen, Nutzung von fest verdrahteten (permanenten) "Hintertüren“ und dem Mangel an Fachwissen bei vielen Administratoren/Usern. Die Hersteller verkaufen ihre Lösungen als „einfach zu bedienen“ und als „wartungsarm“. Das Problem besteht aber darin, dass die abgespeckten Systeme nicht über die richtige Mechanismen verfügen, um Sicherheitslücken beseitigen zu können. Wurde bereits beim Design des Geräts an der notwendigen Sicherheit gespart, gibt es nur wenige Optionen zur nachträglichen Absicherung der Komponente.

Aufbau sicherer IoT-Lösungen

Das Thema Sicherheit ist somit ein zentraler Bestandteil der IoT-Entwicklung, bloß wie ist diese auf den so verschiedenen Ebenen der Embedded Devices, der darum aufgebauten Systeme und der Netzwerkkommunikation zu realisieren? Es steht nicht zu erwarten, dass es einfache Lösungen für dieses Problem geben wird. Viele der gewohnten Sicherheitslösungen wie Firewall, Virenscanner, usw., die in den letzten 20 Jahren die Unternehmens-IT deutlich sicherer gemacht haben, scheiden zumindest im Bereich der Embedded Devices aus, da denen die nötigen Ressourcen dafür fehlt. Zudem erschwert die große Vielfalt der denkbaren IoT-Szenarien die Umsetzung einfacher, einheitlicher Sicherheitskonzepte. 

Eine zukunftsträchtige Lösung muss also an ganz anderer Stelle ansetzen, der gesamte Lifecycle von IoT-Geräten muss völlig neu gestaltet werden. Beginnend beim Grunddesign der Komponenten bis hin zur Betriebsumgebung muss ein Umdenken stattfinden. 

Sicherer Entwicklungsprozess

Auch wenn dies heute noch eher als Wunschtraum zu bezeichnen ist, so muss von den Herstellern zwingend die Umsetzung eines SDL (Security Development Lifecycle) im Entwicklungsprozess verlangt werden. Solch ein Konzept zur Entwicklung von sicherer Software richtet sich vor allem an Entwickler, die Software entwickeln, die böswilligen Angriffen standhalten muss. Hilfen hierzu, gerade für IoT-Entwicklungen, finden sich so langsam auch im Internet, z.B. bei der OWASP. 

 

Im industriellen Umfeld heißt das, dass sowohl die Komponenten am Ende der Steuerungs- und Überwachungsprozesse als auch die Industrieanlagen und Steuerungssysteme selber solchen Ansprüchen genügen müssen. Das ist aber heute beileibe noch nicht immer gegeben. Die auf den verwendeten Komponenten eingesetzte Software und auch die Kommunikationsprotokolle sind oft vom Design her schon unsicher. Meist wurden diese Systeme auch nicht für den vernetzten Betrieb konzipiert und lassen sich nicht mehr auf den neuesten Sicherheitsstandard aufrüsten. Hier hilft es nur, wenn die betroffenen Unternehmen massiv auf die Hersteller einwirken, zumindest die Versäumnisse der Vergangenheit zu beseitigen.

<next>

 

Update- und Patchmanagement

Auch bei Einhaltung des geforderten SDL wird es immer wieder neue Schwachstellen geben, dem Einfallsreichtum der Angreifer scheinen keine Grenzen gesetzt. Diese Lücken gilt es zu schließen. Hier muss man auch von Herstellern im IoT das einfordern, was an anderen Stellen heute gewohnter Standard ist: schnelle Reaktion auf bekannt gewordene Schwachstellen durch vorherige Information und (automatisierte) Auslieferung von Updates/Patches. Wie das aussehen könnte, zeigt die zugegeben restriktiv angelegte Apple-Welt mit ihren kontrollierten Updates direkt vom Hersteller zum Enduser. Gegenbeispiel hierzu ist die Android-Welt, in der zwar Patches zur Verfügung gestellt werden, diese aber durch die Zersplitterung des Marktes und die fehlende Koordinierung nicht selten auf dem Weg vom Hersteller zum Enduser irgendwo versickern. Zudem verwenden nach letzten Abfragen gerade einmal 18% der Enduser die letzte Androidversion, dem Rest fehlt deshalb schlichtweg der Schutz gegen aktuelle Angriffe. Dies erinnert sehr stark an die jetzige Situation im Bereich der IoT-Komponenten.  

Im industriellen Bereich stellt sich die Problematik noch weitaus gravierender dar. Anlagen zur Produktionssteuerung z.B. haben eine lange Lebensdauer (10 bis 20 Jahre) und die Lieferanten machen Wartungsverträge und Garantien abhängig vom unveränderten Zustand ihrer Produkte. So mal eben eine Schwachstelle zu patchen, ist also kaum möglich. Aber selbst wenn Abhilfe vom Hersteller vorliegt, dann können selbst wichtige Updates nur während Ruhepausen des Produktionsprozesses aufgespielt werden. Bei einem durchgängigen Betrieb sind die aber nur schwer zu finden und deshalb langfristig zu planen.

Sicherer Betrieb

Man muss davon ausgehen, dass sich das IoT mit seinen Komponenten schneller ausbreiten wird, als sich die Unternehmen darauf solide vorbereiten können. Deshalb kommt dem sicheren Betrieb der latent unsicheren Geräte eine besondere Bedeutung zu. Eine Situation, die wir aus dem Anfängen des Internets kennen, in denen man unsichere interne Systeme durch Firewalls vom „bösen“ Internet abschottete.

Zunächst muss man einschätzen können, wie groß die jeweilige Bedrohung ist. Um die Gefahren so minimal wie möglich zu halten, muss bei jedem Projekt mit IoT-Geräten eine Risikoanalyse durchgeführt werden. Es sind Sicherheitskontrollen einzusetzen und ein vorentwickeltes rollenbasiertes Sicherheitsmodell ist zu verwenden. IoT-Geräte verwenden nicht selten Hardware, Plattformen und Software, die ein Unternehmen vielleicht noch niemals zuvor im Einsatz hatte und mit deren Sicherheitslücken man bisher auch noch nie in Berührung gekommen ist. Deshalb müssen zusätzliche Schritte zur Härtung beziehungsweise zur Isolierung der gefährdeten Systeme unternommen werden. Allerdings wird es für die Unternehmen immer schwieriger sicherzustellen, dass die Systeme nicht über das Internet oder einem benachbarten Netz zugänglich sind.

Ebenso zu beachten ist, dass IoT-Geräte oft über Standardkonten und bekannte Passwörter für den Administrator verfügen. Hinzu kommt noch, dass diese Geräte möglicherweise einen eingebauten Webserver besitzen. Darüber können sich Administratoren anmelden und das Gerät verwalten. Das ist eine bekannte Schwachstelle, die Angreifer mit Sicherheit angehen würden. Aus diesem Grund muss das Unternehmen einen strikten Prozess für Inbetriebnahme und Abnahmetests definieren und dann auch einhalten. Weiterhin brauchen Unternehmen eine Testumgebung, worin sich die Konfigurationen der Geräte überprüfen und auf Schwachstellen untersuchen lassen. Hier sollten die Tester alle Probleme finden und bereinigen, bevor das Gerät in die produktive Umgebung entlassen wird.

Kann man Sicherheitsprobleme nicht ausschließen, dann sollte man proaktiv handeln und die IoT-Geräte so weit wie möglich isolieren, indem man sie in ein eigenes Netzwerksegment oder VLAN positioniert. Zusätzlich helfen Technologien wie Micro-Kernel oder Hypervisoren, um die Embedded Devices im Falle einer Sicherheitsverletzung zu isolieren.

Auditierung

Da nicht damit zu rechnen ist, dass über Nacht die professionelle Software-Entwicklung gemäß SDL einsetzt, müssen Unternehmen Vorkehrungen treffen neben den hoffentlich schon vorhandenen Sicherheitsüberprüfungen auch die eingesetzten IoT-Komponenten so gut wie möglich zu auditieren. Deren Schwachstellen lassen sich nicht oder nur sehr aufwändig durch klassische technische Auditierungen wie Vulnerability-Scans entdecken. Um auch versteckte Schwachstellen wie versehentlich nicht entfernte Entwickler- bzw. unzureichend geschützte Supportzugänge, die Verwendung unsicherer APIs und Programmiermethoden oder auch einfach übersehene Default-Nutzer in IoT-Geräten zu identifizieren, bietet sich die technische Auditierung der Firmware-Software an. Dabei wird die Firmware durch Audit-Experten aufbereitet und durch statische Disassemblierung und Debugging-Techniken im Rahmen eines Reverse Engineerings untersucht.

Die zu untersuchende Firmware wird zunächst auf verschiedene Faktoren hin analysiert. Das Dateisystem, die zugrundeliegende Rechnerarchitektur oder möglicherweise verwendete Kompressionsverfahren werden festgestellt und für das Audit aufbereitet. Das Audit selbst findet zum größten Teil in Form einer statischen Analyse statt. Das bedeutet, die Firmware wird nicht ausgeführt und nicht im laufenden Betrieb untersucht. Das wichtigste Werkzeug ist ein Disassembler, welcher genutzt wird, um die binär verfügbare Firmware in einem durch Menschen lesbaren Format anzuzeigen. Falls verfügbar, wird das auf diese Art erzeugte so genannte „Disassembly“ immer auch parallel mit dem Programmquelltext abgeglichen. In einigen Fällen wird die statische Analyse durch die so genannte dynamische Analyse ergänzt. Hier wird die Firmware oder Teile der Firmware auf dem Gerät oder ggf. auf einem Emulator ausgeführt und ermöglicht es, mit Hilfe eines Debuggers den Programmfluss zu steuern und zu überwachen.

Mit einer weiteren Prüfungsart kann mit verschiedenen spezialisierten Werkzeugen untersucht werden, ob beispielsweise Nutzernamen, Passwörter oder Kryptoinformationen ohne zusätzliche Verschleierung in der Firmware zu finden sind. Diese Informationen würden einem Angreifer seine Arbeit wesentlich erleichtern und möglicherweise ohne zusätzliche Hürden direkten Systemzugriff ermöglichen. Darüber hinaus wird die Firmware auf eine Reihe von Softwareschwachstellen untersucht, die auf die Verwendung von unsicheren Programmierschnittstellen zurückzuführen sind. Mit einem Test kann die Verwendung unsicherer Funktionen festgestellt werden. Aufgrund dieser Feststellung können möglicherweise bereits hier Änderungen am Programmcode durch den Auftraggeber vorgenommen werden.

Fazit

Es steht zu erwarten, dass das Internet-of-Things sich viel schneller entwickeln wird, als wir uns heute vorstellen können. Wenn man irgendetwas aus den letzten Jahrzehnten gelernt hat, dann müssen in den Unternehmen spätestens jetzt proaktive Planungen für den Umgang mit der Sicherheit im IoT gemacht und umgesetzt werden. Natürlich kann man sich nicht auf jede neue Schwachstelle gezielt vorbereiten, aber man muss verlangen, dass die Hersteller ihre nicht selten ziemlich zusammen geschusterten Geräte oder die Software nach einem sauberen Design entwickeln und vollständige Updates leicht ermöglichen. Anderenfalls drohen erhebliche Sicherheitsbedrohungen, dann aber eher in einem „Internet-of-Botnets“.

Detlef Weidenhammer, GAI NetConsult GmbH
www.gai-netconsult.de


Literatur
 [1] Future Internet Report, UK Future Internet Strategy Group, 2014
 [2] Securing the Internet of Things: Seven Questions to Get Started, https://www.mobileiron.com, 2014
 [3] OWASP Internet of Things Top Ten Project,  https://www.owasp.org , 2014 

Diesen Artikel empfehlen

Autor: Detlef Weidenhammer

Mehr Sicherheitslücken als je zuvor

Die IT-Sicherheitsexperten der IBM X-Force haben ihren jüngsten Vierteljahresbericht veröffentlicht – den IBM X-Force Threat Intelligence Quarterly: Laut diesem sind im Jahr 2014 mindestens eine Milliarde digitaler Datensätze mit persönlichen Informationen in falsche Hände geraten. Außerdem traten...

Netzwerke sicher virtualisieren mit Software-defined Networking (SDN)

Im Bereich der IT ist die Virtualisierungstechnik längst nicht mehr neu. Schon in den 60er Jahren experimentierten Hardwarehersteller wie IBM mit virtueller Speicherverwaltung zur Partitionierung von Ressourcen in deren Mainframes. Das ermöglichte ein quasi Multitasking und somit ein beinahe...

Sichere Systeme – Security beim Hardwaredesign

Als eines der kritischen Systeme ist unser Straßenverkehr zu sehen. Jeder kennt es: In dicht besiedelten und infrastrukturell gut ausgestatteten Regionen reicht ein Kfz mit Defekt, um große Teile des Straßenverkehrs zu stören oder gar zum Erliegen zu bringen. Dies, und vorrangig die...

Das Ende der Ära von SSLv3

Wer hätte das gedacht, dass ein Pudel (engl. poodle) die lange Amtszeit von SSLv3 so abrupt beenden würde? Immerhin hat es vor diesem Angriff viele andere Angriffe auf das Protokoll gegeben, wie zum Beispiel BEAST, CRIME oder auch BREACH, denen man namentlich eher den Sturz von SSLv3 zugetraut...

eHealth – Der „Neue Markt“ für Cyber-Kriminelle?

Hinweise auf bereits festgestellte oder befürchtete Datenschutzverletzungen im Gesundheitswesen ereilen uns nahezu täglich. Bei immer mehr elektronisch gespeicherten medizinischen Daten und zunehmendem Datenaustausch müssen wir wohl zukünftig mit noch mehr Alarmmeldungen wie den nachstehenden...

ICS-Schadsoftware Havex

Die Berichte in den Fachmedien über die Schadsoftware Havex werfen in der Regel mehr Fragen auf, als sie beantworten, und stellen zudem die Bedrohungslage sehr unterschiedlich dar. Dies ist insbesondere für namenhafte Antiviren-Hersteller festzustellen; ein Teil schenkt dem Thema kaum Beachtung,...

Out-Of-Band-Management mit eingebauten Sicherheitsproblemen

„Turnschuhadministration“ - dieser Begriff ist sicherlich ein Albtraum für jeden Administrator, der etwas von seinem Handwerk versteht oder dessen Server nicht gerade im Raum nebenan stehen. Damit nicht für jede Tätigkeit der Weg in den Serverraum angetreten werden muss, bedient man sich...

Neuer Entwurf des IT-Sicherheitsgesetzes veröffentlicht

Eine erste Durchsicht des Entwurfs brachte folgende wesentliche Punkte und Neuerungen gegenüber dem Entwurf der alten Legislaturperiode für Betreiber Kritischer Infrastrukturen zu Tage: • Die Definition Kritischer Infrastrukturen und damit die Abgrenzung des Geltungsbereiches des Gesetzes ist...

Auswirkungen der Änderungen von ISO 27001:2005 zu ISO 27001:2013

Die ISO - International Organization for Standardization - ist die internationale Vereinigung von Normungsorganisationen. Ihre Aufgabe ist das Erarbeiten internationaler Normen in allen Bereichen mit Ausnahme der Elektrik / Elektronik (IEC) und der Telekommunikation (ITU). Die ISO, IEC und ITU...

E-Government-Gesetz

Deutschland hat in dem Bereich der elektronischen Kommunikation im Behördenverkehr den Anschluss an die Spitze in Europa längst verloren, in den Niederlanden und in Skandinavien ist dies längst Standard.   Abbildung-1: E-Kommunikation im Behördenverkehr (Quelle: Eurostat) Das...