Die Bereitstellung von Plänen und zugehörigen Informationen zu unterirdisch verlegten Leitungen an Firmen, die im Versorgungsgebiet Baumaßnahmen planen, ist bei den meisten Leitungsnetzbetreibern ein fester Bestandteil ihres Serviceangebotes. Unser Ziel war, diesen meist kostenlosen Service, deutlich einfacher, schneller und effizienter zu gestalten. Mit Hilfe einer Standard-Software, die den gesamten Auskunftsprozess voll automatisiert. Die von uns entwickelte cosymap® Leitungsauskunft begleitet den Auskunftssuchenden durch eine stringente und intuitive Menüführung, mit deren Hilfe er sein Bauvorhaben spezifizieren kann. Damit führt der Leitungsnetzbetreiber einen eigenen Standard zur Erstellung einer lückenlosen Bauanfrage ein und erreicht eine rechtssichere Netzauskunft für Bauunternehmen, Planungsbüros und andere Vertragspartner – schnell, einfach und immer aktuell.

Mit unserer Branchenlösung konzentrieren wir uns verstärkt auf kleinere und mittlere Versorgungsunternehmen. Gerade bei kleineren Stadtwerken sind die Ressourcen in der IT oftmals begrenzt. Die Vorgaben des Gesetzgebers sowie novellierte Regelwerke der Branchenverbände erzeugen einen hohen Modernisierungsdruck in den Unternehmen, dem diese nur mit hohem Zeit- und Ressourcenaufwand nachkommen können. Die cosymapLösung als Standard-Software für Leitungsauskunft schlägt hier „zwei Fliegen mit einer Klappe“: Zum einen basiert sie auf der aktuellen Rechtsprechung und ist somit rechts- und revisionssicher. Zum anderen ermöglicht die kurze Implementierungsphase sowie der einfache und intuitive Umgang mit der Lösung einen schnellen Return-on-Investment.

Gerade für Netzbetreiber kritischer Infrastrukturen, wie z. B. Energie- und Wasserversorger muss sichergestellt werden, dass die Versorgung jederzeit gewährleistet ist. Das heißt, die Leitungsnetze müssen sowohl vor Beschädigungen durch Fremdeinwirkung Dritter, zum Beispiel bei Bau- und Reparaturarbeiten geschützt werden. Auch die dahinter liegende IT-Infrastruktur muss möglichen Angriffen von außen standhalten. Das betrifft vor allem auch das Ausspähen von geschützten Leitungsdaten. Diese Herausforderung veranlasste uns, nach einem Unternehmen zu suchen, der als unser Partner die Leitungsauskunftssoftware auf Sicherheitslücken im Betrieb prüft. Die Option, die Software im Anwendungsumfeld mittels Penetrationstest zu überprüfen, ist für die Entscheider ein zusätzlicher und wichtiger Aspekt in puncto Betriebssicherheit.

Das IT-Sicherheitsumfeld zeichnet sich durch ein großes, jedoch gleichzeitig abstraktes Gefahrenpotential aus. Es existiert ein vielfältiges, teilweise unübersichtliches Dickicht aus Regulierungen und technischen Standards. Und wir erleben einen rasanten technischen Wandel. Aktuelle Statistiken zeigen, dass Cyber-Angriffe, insbesondere auf Unternehmen und öffentliche Einrichtungen, im vergangenen Jahr in Deutschland einen Höchststand erreicht haben.

Auch deswegen hat das Bundeskabinett die Novellierung des IT-Sicherheitsgesetzes 2.0 im Dezember 2020 beschlossen. Es enthält für Betreiber kritischer Infrastrukturen deutliche Verschärfungen. Vorrangige Aufgabe ist es die Cyber-Sicherheit zu steigern bevor der Krisenfall eintritt sowie IT-Risiken und Angriffsfläche nachhaltig zu verringern. Und dies trifft ohne Frage auch auf die Leitungsauskunft zu. Deshalb tragen regelmäßig durchgeführte Penetrationstests neben anderen technischen und organisatorischen Maßnahmen dazu bei, dass die erhöhten Anforderungen des Gesetzgebers durch KRITIS Unternehmen erfüllt werden können.

Beim Pentest konzentrieren wir uns auf unsere Webapplikation und deren Schnittstellen in der Anwendungsumgebung. Wir implementieren die bereits auf Sicherheit und Schwachstellen überprüfte cosymap Software beim Kunden und überprüfen dann diese nochmals in der Betriebsumgebung auf einwandfreie und sichere Funktion. Dabei werden die Server- sowie Netzwerkinfrastruktur genau beleuchtet, um eventuell vorhandene Schwachstellen aufzudecken und zu beheben, mit dem Ziel Manipulationsmöglichkeiten präventiv zu verhindern. Hierbei zeigen sich die Vorteile unserer Kooperation, denn Trovent Security arbeitet nach anerkannten Standards. Hierzu zählen unter anderem der Penetration Testing Execution Standard (PTES), der OWASP Web Security Testing Guide sowie das Durchführungskonzept für Penetrationstests des BSI

Zunächst werden mit dem Kunden die Zielsetzung und die Rahmenbedingungen für die Überprüfung festgelegt. Hierbei stehen Fragen, welche die Art und die Vorgehensweise bei dem bevorstehenden Penetrationstest betreffen, im Vordergrund. Beispielsweise, welche Informationen werden dem Penetrationstester im Vorfeld über das Zielsystem zur Verfügung gestellt und wie aggressiv soll und darf bei der Überprüfung vorgegangen werden. Es werden Zielsysteme festgelegt, neben der cosymap Leitungsauskunft können dies auch die angeschlossenen Datenbankserver sein.

Unsere Penetrationstester führen danach die Überprüfung durch und greifen das Zielsystem mit den gleichen Mitteln an, die auch böswillige Angreifer anwenden, um mögliche Schwachstellen und IT-Sicherheitsrisiken aufzudecken. Werden im Zuge der Testarbeiten Schwachstellen identifiziert, werden diese ausführlich dokumentiert und Verbesserungsvorschläge bzw. -maßnahmen erarbeitet. Für einen vollständigen Penetrationstest muss man mit etwa fünf Arbeitstagen rechnen. Natürlich werden die Ergebnisse der erfolgten Maßnahmen zur Erhöhung des IT-Sicherheitsniveaus in Folgetests verifiziert und auch Releases der Software entsprechend überprüft.

In Gesprächen mit Unternehmen aus der Branche haben wir festgestellt, dass die eingesetzten Webapplikationen oftmals nicht mehr den aktuellen IT-Sicherheitsanforderungen genügen. Unsere Kooperation mit Trovent Security als unabhängigem IT-Sicherheitspartner ermöglicht es uns, den Kunden aus der Energie-, Wasser- und Telekommunikationswirtschaft einen zuverlässigen Nachweis darüber zu liefern, dass unsere Lösung zur Leitungsauskunft hinsichtlich der IT-Sicherheit dem aktuellen „Stand der Technik“ entspricht. Der vergleichsweise überschaubare Aufwand für das Testverfahren im Zuge der Software-Implementierung zahlt maßgeblich in die Vertrauensbildung des Netzbetreibers und auch des Anwenders ein. Vor allem aber dient er über eine höhere Qualität der Leitungsauskunft unbedingt der Sicherheit unserer Netzinfrastruktur in Deutschland.

www.cosymap.de; www.trovent.io