Das Ingenieurbüro Reimann ist ein modernes Elektronikunternehmen und bietet Dienstleistungen für die Soft- und Hardwareentwicklung an. Das Unternehmen unterstützt seine Kunden bei Bedarf von der Definitionsphase über die notwendigen Entwicklungsarbeiten bis hin zur Einführung der Produkte. Entwicklungen von Hardware finden in den Bereichen Steuerungs- und Regelungstechnik, Prozessautomation, Messtechnik, Feldbustechnik, Produktautomation und Fernwirktechnik statt.

Entsprechend dem Leistungsportfolio des Ingenieurbüros Reimann spielen Fragen im Zusammenhang mit der IT-Sicherheit eine große Rolle. Insbesondere werden zunehmend Dienstleistungen durch einen internetbasierten Fernzugriff auf die Systeme und Anlagen der Kunden erbracht. Service, Wartung und Monitoring sind dafür nur einige Beispiele. Die Kunden wie z. B. die Unternehmen der Automobilindustrie arbeiten mit einem sehr hohen IT-Sicherheitsstandard und fordern dies auch von ihren Lieferanten bzw. Partnern ein. Auf Grund dieser Ausgangssituation möchte bzw. muss das Ingenieurbüro den Nachweis erbringen, dass das Unternehmen selbst ebenfalls ein hohes IT-Sicherheitsniveau aufweist.

Ziel des Projektes ist der Aufbau und die Gewährleistung eines dauerhaft ausreichenden IT-Sicherheitsniveaus. Dazu ist es zunächst notwendig, eine umfassende IT-Sicherheitsanalyse zur Feststellung des vorhandenen Niveaus durchzuführen und darauf aufbauend ggf. Maßnahmen zu definieren, um die IT-Sicherheit im Unternehmen zu verbessern und aufrechtzuerhalten.

In einem ersten Schritt muss zunächst das aktuelle IT-Sicherheitsniveau erfasst und analysiert werden. Anschließend wird ein Abgleich des festgestellten Ist-Zustandes mit dem Stand der Technik erfolgen. Gemeinsam mit einem IT-Dienstleister sollen bei Bedarf Maßnahmen definiert und umgesetzt werden, so dass im Ingenieurbüro Reimann die eigene IT-Sicherheit dem Stand der Technik bzw. einem hinreichenden Niveau entspricht. Für die Gewährleistung eines permanent guten IT-Sicherheitsniveaus ist es außerdem erforderlich, unter Festlegung entsprechender Verantwortlichkeiten Maßnahmen und Regelungen zu treffen. Außerdem muss die Wirksamkeit dieser kontinuierlich überprüft und ggf. angepasst werden. Im Detail sind folgende Arbeitsschritte geplant:

• Analyse des IT-Sicherheitsniveaus in den Bereichen Management, Verantwortlichkeiten, Richtlinien, Schulungen, IT-Systeme, Netzwerk, Datensicherung, mobile Endgeräte, Internet- und E-Mail-Nutzung, IT-Outsourcing, Wartungs- und Reparaturarbeiten und Datenschutz
  Die Analyse erfolgt u. a. mit
  • dem Sicherheitstool Mittelstand SiToM (www.sitom.de),
  • einem Fragenkatalog in Anlehnung an den IT-Grundschutz des BSI und
  • dem Demonstrator „CVE-Scanner“ zur Analyse der IT-Infrastruktur als Grundlage für die Dokumentation der Netzwerkstruktur und zur Erkennung evtl. vorhandener Schwachstellen.
• Auswertung der Analyseergebnisse und Risikobewertung
• Aufbereitung der Ergebnisse für die gemeinsame Auswertung mit einem ausgewählten IT-Dienstleister
• Definition von Maßnahmen zum Erreichen eines ausreichenden IT-Sicherheitsniveaus, gemeinsam mit dem IT-Dienstleister
• Umsetzung der definierten Maßnahmen ggf. mit einem IT-Dienstleister
• Festlegen von Verantwortlichkeiten und Maßnahmen zur Aufrechterhaltung des IT-Sicherheitsniveaus.