Viele Bereiche unserer IT und Security wirken vertraut, doch in fast jedem dieser Bereiche entstehen blinde Flecken – technisch, organisatorisch und menschlich. Sie entstehen nicht, weil wir die Ebenen nicht kennen, sondern weil unsere Wahrnehmung dort aus verschiedenen Gründen aussetzt. Der Vortrag zeigt, wie solche blinden Flecken entstehen, warum wir sie oft übersehen und weshalb Angreifer genau diese Lücken ausnutzen. Gleichzeitig geht es darum, wie man trotz unvermeidbarer Unsichtbarkeit ein stabiles und belastbares Sicherheitsniveau erreicht, indem man die relevanten Ebenen schärft und versteht, wo die eigene Sicht bricht.

Wenn Angreifer schon ihren Weg ins Netz finden, dann merken wir das wenigstens schnell: Das ist das Versprecen von Security-Monitoring-Systemen. Aber um aus der Datenflut solcher Systeme schlau zu werden, braucht es Kontext, Kontext, Anlagenkontext. Müssten Leitsysteme den nicht liefern können?

Markus Woehl hat das in der Wasserwirtschaft mehrfach ausprobiert und erklärt anhand eines Beipiels eines mittelgroßer Wasserverband mit mehreren Pumpwerken, einem Wasserwerk und einer Kläranlage, wie man Security-Monitoring neu denken kann: Pumpenlaufzeiten, Energieverbrauch oder Druckschwankungen wurden mit Netzwerkereignissen verknüpft. So wird Sicherheit wird nicht nur an Ports und Paketen gemessen, sondern im Zusammenspiel mit dem tatsächlichen Betrieb. Das Betriebspersonal konnte Security-Ereignisse plötzlich im eigenen Kontext verstehen, weil es um „ihre“ Anlagen ging – und es entstand ein Frühwarnsystem, das klassische IT-Security-Tools gar nicht leisten könnten. 

Schritt für Schritt erklärt Markus Woehl, wie man Prozessdaten und Security-Events umsetzen kann und welche Stolpersteine es dabei zu vermeiden gilt.

Wie starte ich mit Bedrohungsmodellierung, wenn die Lage unübersichtlich ist und praktisch niemand mehr weiß, wer hier eigentlich was steuert?

Die Baubranche ist dafür ein prima Beispiel: Subunternehmen und Baugeräte wechseln im Laufe des Bauprojektgeschehens mit hoher Dynamik. Der Bagger, als traditionelles Baugerät, wird plötzlich von Fernost remote gesteuert oder arbeitet gänzlich autonom.

Unter solchen Bedingungen stoßen klassische Bedrohungsmodellierungsmethoden schnell an ihre Grenzen. Der Vortrag begleitet die Reise von Industrie 4.0 zum späteren Übergang in die Bauumgebung 4.0, zeigt den Vergleich zu anderen Industrien und erklärt, warum gerade die Baubranche in Sachen Security so besonders ist.

Firewalls zählen zweifellos zu den häufigsten, ältesten und bewährtesten OT-Cybersecurity Maßnahmen. „Wir sind sicher. Denn: Wir haben eine Firewall“ ist - immer noch – eine häufige Antwort auf die Frage nach Schutzmaßnahmen für den OT-Bereich. Firewalls sind also auserzählt – oder? Erwin Kruschitz findet: Dafür, dass Firewalls so grundlegend sind, sprechen wir viel zu wenig über ihren optimalen Betrieb.

Was können Firewalls – und wofür sind andere Werkzeuge besser? Welche Rolle spielen sie für das Zones & Conduits-Konzept der IEC 62443? Bleiben sie – einmal konfiguriert – eigentlich auch über längere Zeit wirksam? Welche Firewall-Regeln sind wie kritisch, wie oft muss man das Regelwerk überprüfen, und wie macht man das am besten? Haben Firewalls auch zukünftig noch ihren Platz im Sicherheitskonzept? Sind „NextGen“-Firewalls wirklich besser? Und was sollten wir uns von Firewalls der übernächsten Generation wünschen?

All diese Fragen beantwortet Erwin Kruschitz in seinem „Firewall-Vortrag für Profis“.

Wie können sich Personen an Feldgeräten autorisieren? Air-Gap, eingeschränkte Rechenleistung und heterogene Herstellerlandschaft sorgen dafür, dass die herkömmlichen Lösungen nicht funktionieren.

Die NAMUR NE201 bietet eine Lösung – aber funktioniert die auch in der Praxis? Das wurde in einem Gemeinschaftsprojekt mit Endanwendern (u. a. BASF, Cargill, Lanxess), Geräteherstellern (VEGA, ABB, Emerson, Endress+Hauser) und Experten aus Forschung und IT-Security ausprobiert. Die Lösung: Kryptographisch signierte Zugriffstoken werden auf mobilen Endgeräten vorab angefragt und später offline (z. B. per Bluetooth Low Energy) an OT-Geräte übertragen – inklusive sicherer Verifikation, rollenbasierter Zugriffskontrolle und Integritätsschutz.

Philipp Ketterer erklärt, wie die Lösung auf realer Hardware umgesetzt werden kann – ohne Gerätepasswörter, mit minimalem Integrationsaufwand und so einfach, dass sogar ein spontaner „Griff ins Publikum“ genügt.

Die Migration des Leitsystems in die Cloud ist kein Selbstzweck. Aber häufig ist sie gerade für kleinere Betreiber ein Weg heraus aus einem aufgrund fehlender Ressourcen eher dürftig administrierten selbst betriebenen Leitsystem in historisch gewachsenen Strukturen – ohne Netzsegmentierung und Backups, dafür mir improvisierter Fernwartung und Alarm-E-Mails über private Postfächer.

Vincent Simon zeigt, wie die Migration in die Cloud in solchen Szenarien Mehrwert schafft, ohne Verfügbarkeit oder quasi-Echtzeitfähigkeit zu gefährden. Er vergleicht typische On-Premise-Szenarien kleiner Anlagen mit hybriden und vollständig cloudbasierten Ansätzen unter den Aspekten der Segmentierung und Verschlüsselung, Alarmierung und Bereitschaft, Fernzugriff, Latenz und Netzstabilität.

Sein Ziel ist, die Angst vor Kontrollverlust durch Migration in die Cloud abzubauen und zu demonstrieren, dass die Umsetzung auf deutscher Infrastruktur auch ohne die großen Hyperscaler möglich ist.

Wer macht eigentlich die besseren Cybersecurity-Risikobewertungen: Menschen oder KI? Während menschliche Fachpersonen durch Erfahrung und gemeinsame Diskussion zu robusten Einschätzungen gelangen, zeigen KI-Systeme zunehmend Potenzial, komplexe Zusammenhänge zu erkennen.

Mathias Pfister lässt in seinem Vortrag Mensch und Maschine um die „bessere“ Risikoanalyse ringen: Er vergleicht IEC-62443-Risikoanalysen für ein fiktives Automatisierungssystem, die von Menschen oder von einer KI erstellt wurden. Untersucht werden Konsistenz, Kontextverständnis und Ergänzungspotenzial.

Die Teilnehmenden erhalten eine fundierte Einschätzung, welche Aufgaben KI heute schon sinnvoll unterstützt und wo weiterhin die unverzichtbare menschliche Expertise gefragt ist – denn das Ziel ist nicht die Ablösung, sondern die sinnvolle Kombination beider Ansätze.

Open Source Software (OSS) macht bis zu 90 % moderner Anwendungen aus. Gerade im Kontext der digitalen Souveränität ist sie relevanter denn je. Doch Schwachstellen und Lieferkettenangriffe sorgen für Unsicherheit. Wie behalten Betreiber und Hersteller die Kontrolle, ohne Flexibilität zu verlieren?  Was bedeutet der Cyber Resilience Act für den OSS-Einsatz und wie reagiert die OSS-Community?

Frédéric Noppe erklärt, wie sich OSS sicher und CRA-konform nutzen und vor allem managen lässt: mit DevSecOps-Praktiken, automatisierten OSS-Security-Tools und sogar einer eigenen Norm, der ISO/IEC 18974. Er gibt praktische Lösungsansätze für Entwickler, Betreiber und Entscheider:innen – damit sie die Vorteile, die OSS mit sich bringt, sicher und zukunftsfähig einsetzen können.

In der OT-Welt schützt oft nur der Schaltschrank wichtige Daten — dabei können die Speicherbausteine in OT-Komponenten selbst zur Verteidigung werden. Flash-Controller können mächtige, aber oft unbekannte Security-Funktionen mitbringen, wie schreib-/lesegeschützte Bereiche, PIN-basierte Freigaben, an Host-Bedingungen geknüpfte Zugriffe, integrierte Verschlüsselung und Echtheitscheck des Speichermediums.

Roland Marx zeigt in diesem Vortrag, wie sich solche Mechanismen als Nachrüstung für ältere Steuerungen und Industrial PCs nutzen lassen. Konkretes Beispiel: Die Nachrüstung eines Integritätsschutzes für das System (Secure Boot) und eines Vertraulichkeitsschutzes für externe Speicher.

Die Monetarisierung unfreiwillig verschlüsselter (und exfiltrierter) Daten ist ein Geschäftszweig mit großen Profiten und niedrigen Einstiegshürden. Allerdings: Damit das Geschäft wirklich läuft, muss es richtig aufgesetzt sein, das Geschäftsmodell muss passen und verstanden sein!

In diesem Vortrag gibt Laurentius Lockerbit, Managementberater der Laurentius Lockerbit Consulting LLC, eine Einführung in die richtige Erarbeitung des Business Model des eigenen Ransomware Geschäfts. Nach einer kurzen Vorstellung des Werkzeugs „Business Model Canvas“ geht es direkt in die Erarbeitung des Geschäftsmodells. Die richtigen Kunden, die passende Kundenbeziehung, der richtige Preis, das passende Kundenbedürfnis (der Kunde soll ja bereitwillig für die gelieferte Leistung bezahlen) werden genauso erarbeitet, wie die eigenen nötigen Prozesse und Ressourcen. Und natürlich werden Kosten und Einnahmen gegenüber gestellt, das Geschäftsmodell soll sich ja rechnen!

Je nach Bedarf der Teilnehmer werden im zweiten Teil auch Wege aus der „See der Vergleichbarkeit (aka Tal des Todes)“ gesucht, also die Spezialisierung für Kosten- und Nutzenführer. Alternativ können auch weitere Optimierungen des Geschäftsmodells mit Hilfe der künstlichen Intelligenz erörtert und erarbeitet werden. Die Möglichkeiten hier reichen von leichten Vereinfachungen zum Wohle des Kunden und der eigenen Profite bis hin zu Spezialisierungen, die das Geschäftsmodell revolutionieren und den Ransomware-Unternehmer in neue blaue Ozeane aufbrechen lassen.