Mehr Ergebnisse...

Generic filters
FS Logoi


Safety & Security

SECURITY UNTER KONTROLLE 2024: Wie nehmen wir Security in Betrieb?

Jonas Völker, Redaktionsleiter des atp magazins, meldet sich live von SECURITY UNTER KONTROLLE 2024 und berichtet über die wichtigsten Highlights.

von | 05.09.24

Das Moderatoren-Team Reinhold Nawroth und Sarah Fluchs begrüßten die Teilnehmenden gestern Morgen im Alten Kesselhaus im Areal Böhler in Düsseldorf.
Kolumne

Jonas Völker, Redaktionsleiter des atp magazins, meldet sich live von SECURITY UNTER KONTROLLE 2024 und berichtet über die wichtigsten Highlights.

Was wollen wir eigentlich von Security?

Genau diese Frage stand am ersten Kongresstag von SECURITY UNTER KONTROLLE 2024 am vergangenen Mittwoch in Düsseldorf im Fokus. Reicht es, die geltenden Regularien blind zu erfüllen und wie es ein Referent treffend formulierte „mit Auditoren zu kämpfen“? Oder wollen wir uns wirklich vor Angriffen schützen?

Natürlich ist damit nicht gemeint, dass die geltenden Gesetze und Regularien ignoriert werden sollen, sondern eher die Motivation der umsetzenden Unternehmen. Wer Security nur angeht, um Behörden zu gefallen, wird damit nicht weit kommen, so das Credo der Vortragenden. Security muss man für sich selbst machen!“, wurde es in der Podiumsdiskussion des ersten Tages treffend auf den Punkt gebracht.

Sicherlich keine bahnbrechend neue Erkenntnis, aber dennoch eine sehr wichtige, gerade mit Blick auf das „Superregulierungsjahr“ 2024, in dem die produzierende Industrie mit der NIS-2-Richtlinie (NIS2) und dem Cyber Resilience Act (CRA) wohl gleich zwei dicke Bretter bohren muss.

NIS2, CRA & Co. im Fokus bei SECURITY UNTER KONTROLLE 2024

Welche Hürden mit diesen beiden EU-Gesetzen auf die Branche zukommen, zeigten die ersten beiden Vorträge eindrucksvoll. Fest steht: beide Regulierungen sind bürokratische Ungetüme, die sowohl für betroffene Unternehmen aber ebenso die Behörden noch allerhand Herausforderungen bereithalten.

Doch auch die darüber hinaus schon geltenden Regulierungen wie etwa das Energiewirtschaftsgesetz (EnWG), das BSI-Gesetz (KRITIS-Verordnung), KAS-51 oder in der Safety (TRBS 1115-1) enthalten Anforderungen an die Cybersecurity. Das Problem: all diese Regularien kommen von verschiedenen Behörden mit unterschiedlichen Ansprechpartnern. Wie kriegen Sie die alle nun unter einen Hut? Indem Security zur Konzern-Aufgabe und Querschnittsfunktion wird, die nicht jede einzelne Business Unit selbst übernimmt.

Von giftigen Christstollen und Internet auf Luxusyachten

Gleich im Anschluss wurde die bis dahin doch recht hohe Flughöhe deutlich reduziert und es ging konkreter um die Cybersicherheit der OT. Aber auch um giftige Christstollen, die oft bittere Mandeln enthalten, eine eigentlich hochgiftige Zutat, die unter kontrollierten Bedingungen aber super Geschmack liefern und in der Zutatenliste enthalten sind. Übertragen auf die Security bedeutet das, eine reine Software Bill of Materials (SBOM), also eine Software-Zutatenliste, ist zwar sehr gut, bringt aber ohne die richtige Handhabung (in diesem Fall Security Advisories) nur wenig. Wichtig dabei auch: es braucht schon während des Entwicklungsprozesses ein aktives Schwachstellenmanagement.

Große Schwachstellen lassen sich auch auf Luxusyachten finden, die im Grunde nichts anderes sind als OT-Systeme auf hoher See. Deren verbaute und mit dem Internet verbundenen Geräte lassen sich über entsprechende Websites recht einfach nicht nur finden, sondern auch aus der Ferne parametrieren. Denn es fehlen notwendige Patches der Systeme und die verwendeten Passwörter sind im sehr einfach zugänglichen Code oft direkt enthalten. Die genauen Positionsdaten der teilweise mehr als 100 Meter langen Yachten gibt es als Bonus gleich noch dazu.

Warum ist Security für Betreiber eigentlich so nervig?

Mit dieser Einstiegsfrage startete die spannende Podiumsdiskussion zum Abschluss des ersten Kongresstags. Fünf Diskutanten, vier davon Betreiber und ein Hersteller, sprachen über die größten Stolpersteine und Aha-Momente in Bezug auf ihre Security-Programme. Die wesentlichen Erkenntnisse:

  • Es kommt auf das Zusammenspiel von Betreiber, Integrator und Hersteller an. Die Qualität der Security bestimmt das schwächste Glied in der Kette.
  • Es braucht mehr Security-Champions in den Unternehmen. Dabei gilt: klare Verantwortlichkeiten schaffen und Personen wählen, die für das Thema wirklich brennen.
  • Der Unterschied zwischen IT- und OT-Security an sich ist nicht unbedingt sehr groß. Erst die Produktionsanwendungen steigern die Komplexität immens.
  • Die aktuellen regulatorischen Anforderungen sind ein gutes Argument, das C-Level in Unternehmen von der Priorität von Security-Investitionen zu überzeugen.

SECURITY UNTER KONTROLLE 2024 macht aufmerksam, jetzt braucht es Umsetzung

Schon am ersten Kongresstag wurde deutlich, dass es nicht mehr unbedingt an der Wahrnehmung der Security hapert. Die steigenden Angriffszahlen tun hier ihr Übriges. Viel mehr liegt die Herausforderung in der konkreten Umsetzung im Feld.

Wie Ihnen dies gelingt, zeigte SECURITY UNTER KONTROLLE in diesem Jahr wieder einmal eindrucksvoll. Wer mehr über die diesjährige Ausgabe erfahren möchte, sollte dem Kongress auf LinkedIn und Youtube  folgen. In den kommenden Tagen und Wochen werden dort weiteres Material, inklusive der Aufzeichnungen der Vorträge, veröffentlicht.

Jonas Völker
Redaktionsleiter atp magazin
j.voelker@vulkan-verlag.de

Bildquelle, falls nicht im Bild oben angegeben:

Jetzt Newsletter abonnieren

Brennstoff für Ihr Wissen, jede Woche in Ihrem Postfach.

Hier anmelden

KI-Fortbildungen: Es gibt (Er-)Klärungsbedarf
KI-Fortbildungen: Es gibt (Er-)Klärungsbedarf

Mit KI die Mail formulieren, eine Hintergrundrecherche starten oder aus Gesprächsnotizen ein Protokoll erstellen – Künstliche Intelligenz kann im Job unterstützen, wenn man weiß wie. Ein Fünftel (20 Prozent) der Berufstätigen wurde deshalb von ihrem Arbeitgeber bereits im KI-Einsatz geschult. Bei weiteren 6 Prozent gibt es zwar entsprechende Fortbildungen, sie haben sie aber noch nicht wahrgenommen.

mehr lesen
Ethernet-APL bewährt sich
Ethernet-APL bewährt sich

Ethernet-APL soll nicht mehr nur einsatzbereit sein. Der Messgerätehersteller Endress+Hauser hat eine weitere Reihe von Lasttests eines realistischen Profinet over Ethernet-APL-Aufbaus erfolgreich durchgeführt. Zwei Jahre nach den letzten erfolgreichen Multi-Vendor-Tests hat die Technologie erneut ihre Stärken in einer realistischen Simulation bewiesen.

mehr lesen
Radar-Füllstandsensoren für Prozessautomatisierung
Radar-Füllstandsensoren für Prozessautomatisierung

Die seit 2020 erhältliche BASIC-Serie der VEGAPULS-Radarsensoren von VEGA wurde entwickelt, um kompakte, wirtschaftliche und robuste Füllstandmesslösungen anzubieten. Die Sensoren finden in der Prozessautomatisierung Anwendung und sollen sich durch einfache Installation und Bedienung auszeichnen.

mehr lesen
26. VDI-Kongress AUTOMATION diskutiert Technologie-Trends
26. VDI-Kongress AUTOMATION diskutiert Technologie-Trends

Erkenntnisse, die im vergangenen Monat noch aktuell waren, sind heute bereits wieder überholt: Die Geschwindigkeit, mit der Generative Künstliche Intelligenz sich weiterentwickelt und Prozesse verändert, beeindruckt auch die Fachwelt der Mess- und Automatisierungstechnik. Auf dem 26. VDI-Kongress AUTOMATION am 1. und 2. Juli in Baden-Baden diskutierte die Community über Technologie-Trends, Transformationen und Perspektiven einer „Human-centric Automation“.

mehr lesen

atp weekly

Der Newsletter der Branche

Ihr kostenfreier E-Mail-Newsletter für alle Belange der Automatiserung.
Jetzt anmelden

Sie möchten das atp magazin testen

Bestellen Sie Ihr kostenloses Probeheft

Überzeugen Sie sich selbst: Gerne senden wir Ihnen das atp magazin kostenlos und unverbindlich zur Probe!

Jetzt bestellen
Finance Illustration 03
Datenschutz
Impressum | Datenschutzhinweise
atpinfo.de, Inhaber: Vulkan-Verlag GmbH (Firmensitz: Deutschland), würde gerne mit externen Diensten personenbezogene Daten verarbeiten. Dies ist für die Nutzung der Website nicht notwendig, ermöglicht aber eine noch engere Interaktion mit Ihnen. Falls gewünscht, treffen Sie bitte eine Auswahl:
Datenschutz
Impressum | Datenschutzhinweise
atpinfo.de, Inhaber: Vulkan-Verlag GmbH (Firmensitz: Deutschland), würde gerne mit externen Diensten personenbezogene Daten verarbeiten. Dies ist für die Nutzung der Website nicht notwendig, ermöglicht aber eine noch engere Interaktion mit Ihnen. Falls gewünscht, treffen Sie bitte eine Auswahl:
Analyse / Statistik (1 Dienst)
Anonyme Auswertung zur Fehlerbehebung und Weiterentwicklung
Google Analytics
Google LLC, USA
ⓘ Alle Details
ⓘ Alle Details
Notwendige Dienste (1 Dienst)
Unbedingte technisch notwendige Dienste. Keine Einwilligung erforderlich.
WP Statistics
VeronaLabs, Neuseeland
ⓘ Alle Details
ⓘ Alle Details