Nachricht

< Kooperation für die Beschleunigung des Breitbandausbaus
02.06.2021 09:52 Alter: 3 yrs

Digitale Leitungsauskunft – aber (IT-)sicher!

Für eine digitale und rechtssichere Leitungsauskunft ist neben der Einhaltung der Regelwerke auch die Erfüllung branchenspezifischer Sicherheitsstandards (B3S) für IT-Anwendungen vom Gesetzgeber gefordert. Das Softwarehaus cosymap, Leipzig und die Trovent Security, Bochum haben jetzt eine Kooperation aufgelegt, um speziell kleinere und mittlere Betreiber kritischer Infrastrukturen, wie Stadtwerke oder Wasserzweckverbände in diesen Fragen zu unterstützen. Im Gespräch mit THEMEN!magazin informieren Thomas Schamal, CTO bei cosymap und Alexander Caswell, Geschäftsführer der Trovent Security über die Vorteile der Kooperation für eine IT-sichere Leitungsauskunft


Thomas Schamal, CTO, cosymap Foto: cosymap

Zum operativen Geschäft von Ver- und Entsorgungsunternehmen gehört die Leitungsund Planauskunft. Moderne Formen der Datenerfassung, -verarbeitung und -weitergabe stehen auch bei der Leitungsdokumentation immer mehr im Fokus. Dies bringt aber auch neue Haftungsrisiken mit sich. Im Mittelpunkt steht hier die Frage nach der rechtlichen Sicherheit beim Austausch der Daten und dem Datenmissbrauch.

Herr Schamal, als Software-Hersteller für GIS-Lösungen bieten sie eine standardisierte Anwendung für die automatisierte Leitungsauskunft an. Was macht ihr Softwareangebot aus?

Die Bereitstellung von Plänen und zugehörigen Informationen zu unterirdisch verlegten Leitungen an Firmen, die im Versorgungsgebiet Baumaßnahmen planen, ist bei den meisten Leitungsnetzbetreibern ein fester Bestandteil ihres Serviceangebotes. Unser Ziel war, diesen meist kostenlosen Service, deutlich einfacher, schneller und effizienter zu gestalten. Mit Hilfe einer Standard-Software, die den gesamten Auskunftsprozess voll automatisiert. Die von uns entwickelte cosymap® Leitungsauskunft begleitet den Auskunftssuchenden durch eine stringente und intuitive Menüführung, mit deren Hilfe er sein Bauvorhaben spezifizieren kann. Damit führt der Leitungsnetzbetreiber einen eigenen Standard zur Erstellung einer lückenlosen Bauanfrage ein und erreicht eine rechtssichere Netzauskunft für Bauunternehmen, Planungsbüros und andere Vertragspartner – schnell, einfach und immer aktuell.

Worin unterscheidet sich die Lösung von den herkömmlichen Applikationen zur Leitungsauskunft?

Mit unserer Branchenlösung konzentrieren wir uns verstärkt auf kleinere und mittlere Versorgungsunternehmen. Gerade bei kleineren Stadtwerken sind die Ressourcen in der IT oftmals begrenzt. Die Vorgaben des Gesetzgebers sowie novellierte Regelwerke der Branchenverbände erzeugen einen hohen Modernisierungsdruck in den Unternehmen, dem diese nur mit hohem Zeit- und Ressourcenaufwand nachkommen können. Die cosymapLösung als Standard-Software für Leitungsauskunft schlägt hier „zwei Fliegen mit einer Klappe“: Zum einen basiert sie auf der aktuellen Rechtsprechung und ist somit rechts- und revisionssicher. Zum anderen ermöglicht die kurze Implementierungsphase sowie der einfache und intuitive Umgang mit der Lösung einen schnellen Return-on-Investment.

Und welchen Stellenwert hat hierbei die IT-Sicherheit?

Gerade für Netzbetreiber kritischer Infrastrukturen, wie z. B. Energie- und Wasserversorger muss sichergestellt werden, dass die Versorgung jederzeit gewährleistet ist. Das heißt, die Leitungsnetze müssen sowohl vor Beschädigungen durch Fremdeinwirkung Dritter, zum Beispiel bei Bau- und Reparaturarbeiten geschützt werden. Auch die dahinter liegende IT-Infrastruktur muss möglichen Angriffen von außen standhalten. Das betrifft vor allem auch das Ausspähen von geschützten Leitungsdaten. Diese Herausforderung veranlasste uns, nach einem Unternehmen zu suchen, der als unser Partner die Leitungsauskunftssoftware auf Sicherheitslücken im Betrieb prüft. Die Option, die Software im Anwendungsumfeld mittels Penetrationstest zu überprüfen, ist für die Entscheider ein zusätzlicher und wichtiger Aspekt in puncto Betriebssicherheit.

Herr Caswell, wie erleben Sie momentan das Thema IT-Sicherheit?

Das IT-Sicherheitsumfeld zeichnet sich durch ein großes, jedoch gleichzeitig abstraktes Gefahrenpotential aus. Es existiert ein vielfältiges, teilweise unübersichtliches Dickicht aus Regulierungen und technischen Standards. Und wir erleben einen rasanten technischen Wandel. Aktuelle Statistiken zeigen, dass Cyber-Angriffe, insbesondere auf Unternehmen und öffentliche Einrichtungen, im vergangenen Jahr in Deutschland einen Höchststand erreicht haben.

Auch deswegen hat das Bundeskabinett die Novellierung des IT-Sicherheitsgesetzes 2.0 im Dezember 2020 beschlossen. Es enthält für Betreiber kritischer Infrastrukturen deutliche Verschärfungen. Vorrangige Aufgabe ist es die Cyber-Sicherheit zu steigern bevor der Krisenfall eintritt sowie IT-Risiken und Angriffsfläche nachhaltig zu verringern. Und dies trifft ohne Frage auch auf die Leitungsauskunft zu. Deshalb tragen regelmäßig durchgeführte Penetrationstests neben anderen technischen und organisatorischen Maßnahmen dazu bei, dass die erhöhten Anforderungen des Gesetzgebers durch KRITIS Unternehmen erfüllt werden können.

Herr Schamal, welche Szenarien werden mit dem Penetrationstest der cosymap Applikation durchgespielt?

Beim Pentest konzentrieren wir uns auf unsere Webapplikation und deren Schnittstellen in der Anwendungsumgebung. Wir implementieren die bereits auf Sicherheit und Schwachstellen überprüfte cosymap Software beim Kunden und überprüfen dann diese nochmals in der Betriebsumgebung auf einwandfreie und sichere Funktion. Dabei werden die Server- sowie Netzwerkinfrastruktur genau beleuchtet, um eventuell vorhandene Schwachstellen aufzudecken und zu beheben, mit dem Ziel Manipulationsmöglichkeiten präventiv zu verhindern. Hierbei zeigen sich die Vorteile unserer Kooperation, denn Trovent Security arbeitet nach anerkannten Standards. Hierzu zählen unter anderem der Penetration Testing Execution Standard (PTES), der OWASP Web Security Testing Guide sowie das Durchführungskonzept für Penetrationstests des BSI

Herr Caswell, wie läuft der Pentest konkret ab?

Zunächst werden mit dem Kunden die Zielsetzung und die Rahmenbedingungen für die Überprüfung festgelegt. Hierbei stehen Fragen, welche die Art und die Vorgehensweise bei dem bevorstehenden Penetrationstest betreffen, im Vordergrund. Beispielsweise, welche Informationen werden dem Penetrationstester im Vorfeld über das Zielsystem zur Verfügung gestellt und wie aggressiv soll und darf bei der Überprüfung vorgegangen werden. Es werden Zielsysteme festgelegt, neben der cosymap Leitungsauskunft können dies auch die angeschlossenen Datenbankserver sein.

Unsere Penetrationstester führen danach die Überprüfung durch und greifen das Zielsystem mit den gleichen Mitteln an, die auch böswillige Angreifer anwenden, um mögliche Schwachstellen und IT-Sicherheitsrisiken aufzudecken. Werden im Zuge der Testarbeiten Schwachstellen identifiziert, werden diese ausführlich dokumentiert und Verbesserungsvorschläge bzw. -maßnahmen erarbeitet. Für einen vollständigen Penetrationstest muss man mit etwa fünf Arbeitstagen rechnen. Natürlich werden die Ergebnisse der erfolgten Maßnahmen zur Erhöhung des IT-Sicherheitsniveaus in Folgetests verifiziert und auch Releases der Software entsprechend überprüft.

Herr Schamal, abschließend die Frage, was bringt die Kooperation für die Leitungsauskunft in Sachen IT-Sicherheit?

In Gesprächen mit Unternehmen aus der Branche haben wir festgestellt, dass die eingesetzten Webapplikationen oftmals nicht mehr den aktuellen IT-Sicherheitsanforderungen genügen. Unsere Kooperation mit Trovent Security als unabhängigem IT-Sicherheitspartner ermöglicht es uns, den Kunden aus der Energie-, Wasser- und Telekommunikationswirtschaft einen zuverlässigen Nachweis darüber zu liefern, dass unsere Lösung zur Leitungsauskunft hinsichtlich der IT-Sicherheit dem aktuellen „Stand der Technik“ entspricht. Der vergleichsweise überschaubare Aufwand für das Testverfahren im Zuge der Software-Implementierung zahlt maßgeblich in die Vertrauensbildung des Netzbetreibers und auch des Anwenders ein. Vor allem aber dient er über eine höhere Qualität der Leitungsauskunft unbedingt der Sicherheit unserer Netzinfrastruktur in Deutschland.

[cosymap]

Grafik: cosymap

Die Infrastruktur der Leitungsnetze ist in Deutschland besonders komplex. Mit Hilfe der kostengünstigen und auf IT-Sicherheit überprüften Software ermöglicht cosymap eine rechts- und revisionssichere Leitungsauskunft für Netzbetreiber. Gemeinsam mit der Trovent Security GmbH aus Bochum wird die Webapplikation vor der Inbetriebnahme beim Kunden auf Sicherheitslücken geprüft.

Danke für das Gespräch.

www.cosymap.de; www.trovent.io