Dienste

Dienste und Leitlinien des CERT@VDE

Leitlinien und Compliance Regeln

Folgende Leitlinien bestimmen die Kooperation mit dem CERT@VDE:

  • Die Vertraulichkeit der Kundendaten hat höchste Priorität.
  • Die Kooperation ist freiwillig und kann jederzeit beendet werden.
  • Businessmodelle Einzelner dürfen unter den Aktivitäten des CERT@VDE nicht leiden.
  • Durch wechselseitige Beiträge und Informationen sollen die Arbeitsabläufe aller Mitglieder optimiert werden.
  • Informationen und Interessen anderer Mitglieder werden geschützt.
  • Die Arbeit und die Zusammenarbeit sollen ein Vorbild für andere CERTs in anderen Branchen darstellen.
  • Für alle Beteiligte am CERT@VDE erfolgt die Mitwirkung entsprechend den Compliance Regeln (Verhaltenskodex) des VDE . 
       Der Verhaltenskodex wendet sich unter anderem an alle Mitglieder von Organen und alle Teilnehmer von Gremiensitzungen und anderer Zusammenkünfte und Aktivitäten des VDE, auch wenn kein Dienstverhältnis zum VDE besteht. 
       Er wendet sich an die Experten in Normungs- und/ oder Standardisierungsverfahren sowie an die Experten im Bereich der technisch-wissenschaftlichen Aktivitäten

Die Dienste im Überblick

Kommunikation über Security-Schwach­stellen erfordert Vertrauen und Effizienz

CERT@VDE unterstützt KMU bei IT-Sicherheits­­vorfällen im Bereich der Automatisierungs­­­industrie über Organisations­­­grenzen hinweg, in der gleichen Zeit­zone und in deutscher Sprache.

CERT@VDE

  • ermöglicht einen hersteller­­übergreifenden Austausch auf einer neutralen, vertrauens­­würdigen und sicheren Plattform, unter Wahrung der Anonymität.
  • koordiniert die Unterstützung beim Schließen von Sicherheits­lücken.
  • regt den Austausch über geeignete Vorgehens­weisen an.
  • bereitet zielgruppen­orientierte Schwachstellen­­informationen aus diversen Quellen auf und macht diese verfügbar.
  • veranstaltet Workshops für die Automatisierungs­industrie.
  • erarbeitet gemeinsam mit seinen Partnern Best Practices.

FAQ

Was bedeutet „CERT“?

Was ist CERT@VDE?

Welche Vorteile habe ich durch die Mitgliedschaft im CERT@VDE?

Was bedeutet „CERT“?

Ein Computer Emergency Response Team (CERT), deutsch Computersicherheits-Ereignis- und Reaktionsteam, auch als Computer Security Incident Response Team (CSIRT) bezeichnet, ist eine Gruppe von EDV-Sicherheits­fachleuten, die bei der Lösung von konkreten IT-Sicherheits­vorfällen (z.B. Bekannt­werden neuer Sicherheits­lücken in bestimmten Anwendungen oder Betriebs­systemen, neuartige Virenverbreitung, bei Spam versendenden PCs oder gezielten Angriffen) als Koordinator mitwirkt bzw. sich ganz allgemein mit Computer­sicherheit befasst (manchmal auch branchen­spezifisch), Warnungen vor Sicherheits­lücken herausgibt und Lösungs­ansätze anbietet (engl.: "advisories", dt.: „Ratschläge“). [Quelle: Wikipedia]

Was ist CERT@VDE?

CERT@VDE ist die erste IT-Sicherheits­plattform in Deutschland für kleine und mittelständische Unternehmen der Industrie

Die digitale Transformation durch Industrie 4.0 eröffnet große Chancen und Wertschöpfungs­potenziale – gerade für den Wachstums­motor Mittelstand. Zugleich steigt mit der fortschreitenden Vernetzung von Produktions­systemen mittels moderner IKT-Systeme jedoch das Risiko von Sicherheits­vorfällen. Die Bedrohungen reichen von System- und Produktions­ausfällen über Fehlfunktionen mit Unfallfolgen bis hin zur Industrie­spionage und Sabotage.

Entsprechend schwerwiegend sind die möglichen Folgen:

  • finanzielle Verluste,
  • Know-how-Verlust und
  • Imageverlust.

Umso wichtiger ist es, IT-Sicherheit als kritischen Erfolgsfaktor für Industrie 4.0 und Digitalisierung zu stärken: zum einen durch eine verbesserte Prävention bei der System­entwicklung, zum anderen durch eine möglichst schnelle Reaktion bei Bekanntwerden neuer Sicherheits­lücken oder Angriffs­möglichkeiten.

Während große internationale Unternehmen und Institutionen meist über ein eigenes CERT bzw. CSIRT verfügen, sowie große Hersteller oft ein PSIRT betreiben, um den Umgang mit Schwach­stellen in den eigenen Produkten zu koordinieren und Produkt­sicherheits­informationen strukturiert bereitzustellen, fehlen KMU jedoch in der Regel die Ressourcen für spezialisierte Notfallteams. Selbst dort, wo diese bereits eingerichtet wurden, fehlt es noch an Strukturen zur vertrauens­vollen Zusammen­arbeit mit anderen Herstellern.

Hier setzt CERT@VDE an, die erste Plattform zur Koordination von IT-Security-Problemen speziell für KMU im Bereich Industrie­automation. Wir bieten Herstellern, Integratoren, Anlagenbauern und Betreibern die Möglichkeit zum intensiven und vertrauens­vollen Informations­austausch und konkrete Unterstützung beim Thema IT-Security. Effiziente und effektive Kooperations­strukturen für IT-Sicherheits- und Produktions­verantwortliche ermöglichen unseren Mitgliedern, gemeinsam an der Bewältigung des hohen Sicherheits­risikos zu arbeiten, das mit Industrie 4.0 zur zentralen Heraus­forderung geworden ist. Ehemals isolierte Informationen werden im CERT@VDE zentral gebündelt, strukturiert und verteilt, sodass verschiedenste Industrie­teilnehmer stets über den gleichen und aktuellsten Wissens­stand im Hinblick auf Produkt­sicherheits­standards und -gefahren verfügen.

CERT@VDE ist ein Bestandteil des VDE e.V. und verfolgt keine kommerziellen Interessen. Basis der Zusammenarbeit auf der IT-Sicherheits­plattform ist eine Vertraulichkeits­vereinbarung, die bei regelmäßigen Arbeits­treffen mit Leben erfüllt und um persönliches Vertrauen bereichert wird.

 

Welche Vorteile habe ich durch die Mitgliedschaft im CERT@VDE? 

CERT@VDE: Synergien für mehr Sicherheit

CERT@VDE ermöglicht seinen Teilnehmern einen direkten und offenen Austausch über die eingesetzte Technik, Tools, Methoden und Sicherheits­vorfälle. Die fachliche Diskussion über konkrete Frage­stellungen und Probleme wird angeregt, die Teilnehmer können wechsel­seitig aus dem Umgang ihrer Kooperations­partner mit ähnlichen Sicherheits­problemen profitieren. So entsteht nicht nur ein ganzheit­liches Bild der Heraus­forderungen, sondern es wächst auch das Instrumentarium zur Optimierung der IT-Sicherheit.

Einige Vorteile einer Mitgliedschaft sind:

  • Firmenübergreifender Austausch über Sicherheitsprobleme
  • Reduzierung von IT-Security-Vorfällen durch Wissensvorsprung und kundenspezifisches Lagebild
  • Vermeidung von Produktionsausfällen und Know-how-Abfluss
  • Schadensbegrenzung durch schnelle Einschätzungen und Aufzeigen von Eingriffsmöglichkeiten bei IT-Security-Vorfällen
  • Einfacher und kundenspezifischer Zugang zu relevanten Sicherheitsinformationen an einer Stelle (Cockpit-Ansatz und Single Point of Contact)
  • Reduzierung von Mehraufwand für IT-Security
  • Positives Firmenimage durch Mitarbeit und Mitgliedschaft im CERT@VDE
  • Mitgestaltung der CERT@VDE-Prozesse bei frühzeitiger Unterstützung und Teilnahme

Knowledgebase

In dieser Sektion finden Sie in Zukunft hilfreiche und weiterführende Informationen zum Thema

 


PSIRT-Training

CERT@VDE ist ein „koordinierendes PSIRT“…. und was ist ein PSIRT?

Diese und andere Fragen beantwortet ein Online-Kurs der international agierenden CERT Dachorganisation FIRST (Forum of Incident Response and Security Teams , www.first.org).

Basis der Lerninhalte ist der 2018 erschienene „PSIRT Guide“ (link), der von anerkannten Experten der FIRST-Gemeinschaft entwickelt wurde.

Der Kurs stellt die Schlüsselkonzepte zur Entwicklung eine PSIRT und die Basis-Servicebereiche für den Betrieb vor:

  • Was ist ein PSIRT?
  • PSIRT Organisationsstrukturen
  • Die Grundlagen für ein solides PSIRT
  • Stakeholder-Management im PSIRT
  • Schwachstellen-Handling
  • Patch-Management, Fehlerbehebung und Vorfallsbearbeitung
  • Informieren - Koordinieren – Veröffentlichen
  • Schulung und Gewährleistung effizienter Produktsicherheitsprozesse.

Die Online Schulung ist in englischer Sprache und kostenfrei unter diesem Link verfügbar. (Registrierung notwendig)