

SECURITY UNTER KONTROLLE
Das Programm steht fest
Auf dieser Seite finden Sie nachfolgend das vorläufige Programm von SECURITY UNTER KONTROLLE. Bitte beachten Sie, dass sich noch kurzfristige Änderdungen ergeben können.
Der Beirat und das Organisationsteam bedanken sich für die zahlreichen Einreichungen.
Mittwoch, 10. Mai 2023
11:00 - 11:20
Begrüßung
Offizielle Begrüßung der Teilnehmenden und Einführung in die Veranstaltung.
Eröffnungs-Keynote
11:20 - 12:00
Was wissen wir wirklich über Cyberangriffe auf die Industrie in Deutschland und Europa? (Hakan Tanriverdi, paper trail media)
Man könnte das Gefühl haben, die großen Cybersecurity-Vorfälle passieren nur anderswo - nicht in Europa (und schon gar nicht in Deutschland). Es trifft gefühlt immer die anderen. Doch die letzten Jahre haben gezeigt, wie gezielt Hacker in Firmennetze eindringen und versuchen, an sensible Informationen zu kommen. Nur hier spricht niemand drüber.
Hakan Tanriverdi arbeitet als Reporter mit dem Schwerpunkt Cybersicherheit und beobachtet seit Jahren, wie genau die Hacker vorgehen – und für welchen Staat bzw. welchen Geheimdienst sie arbeiten. In seiner Keynote zeigt er, wie solche Angriffe ablaufen, warum Unternehmen in den meisten Fällen lieber schweigen und warum das ein Problem sein könnte – für alle, vor allem die Gesellschaft.
Wie organisieren wir Security?
12:00 - 12:30
OT-Security für weltweite Produktionsanlagen: Zentrale OT-Security-Services (Peter Exo, Evonik)
Wie viele global tätige Unternehmen hat Evonik die erste Stufe seines OT-Security-Programms hinter sich mit den üblichen Verdächtigen: Aufbau einer OT Security Organisation, Ausgestaltung des Security-Rahmenwerkes, Ausrollen des OT Security Management Systems und die Aufnahme des Status Quo. Und dann?
Nach dem ersten Programm geht es um die Umsetzung der identifizierten Security-Maßnahmen und um mehr Transparenz zum Security-Zustand in den Produktionsanlagen. Dabei wird es schwieriger, ein zentrales „one size fits all“-Programm auszurollen.
Peter Exo berichtet, wie Evonik dieses Problem mit seinem Programm „EMPOS“ angeht. Die Kernidee ist ein OT Security Service Portfolio nach dem Baukastenprinzip: Services wie OT Asset Management, Risk Management, Patchen, Network Monitoring und SIEM sollen zukünftig auf einer gemeinsamen Plattform angeboten werden, die die OT zukünftig gemeinsam mit der Konzern-IT betreiben wird. Exo gibt einen Überblick über die geplante Tool-Landschaft und teilt seine Key-Learnings aus der Evaluierung und Umsetzung, sodass andere Betreiber von Evoniks Erfahrungen lernen können.
12:30 - 13:00
Was wir von der Feuerwehr über Security Incident Response lernen können (Stephan Gerling, Freiwillige Feuerwehr)
Wenn ein Unternehmen Opfer zum Beispiel eines Ransomware-Angriffs wird, beginnt das Vorfallsmanagement (Incident Response). Wer das einmal miterlebt hat, weiß um die Chaosphase am Anfang: Niemand weiß, was genau passiert ist, was die Auswirkungen sein werden und was nun zu tun ist. Das Team gleicht einem aufgescheuchten Hühnerhaufen.
Stephan Gerling ist seit 35 Jahren der Freiwilligen Feuerwehr mit weit mehr als 1000 Einsätzen. Er hat Einsätze von der Katze im Baum bis hin zur Explosion eines Tankschiffes miterlebt und Erfahrung mit der Führung von einem Trupp (2 Personen), über einen Zug (32 Personen) bis hin zu Verbänden (mehrere Züge).
Aus dieser Erfahrung schöpft er für seinen Vortrag und erzählt, wie Security-Notfallteams von der Feuerwehr lernen können: Wöchentliche Trainings, Standardisierung von Team und Technik, Auswahlkriterien für die Notfall-Führungskräfte und wie man Entscheidungen innerhalb weniger Minuten trifft.
13:00 - 14:15
Street-Food-Meile
Angriffserkennung für OT maßschneidern
14:15 - 14:45
Angriffserkennung, die sich in der Prozessleittechnik auskennt (Dr. Ragnar Schierholz, ABB)
Systeme zur Angriffserkennung sind seit dem IT-Sicherheitsgesetz 2.0 Pflicht für viele Anlagenbetreiber. Ein solches System muss „wissen“, in welchem Kontext es eingesetzt ist, um nur bei wirklich relevanten Ereignissen zu warnen.
Beispiel: Jedes Prozessleitsystem hat eine Alarmierungsfunktion, um kritische Anlagenzustände – zu hoher Druck, zu hohe Temperatur, zu niedrige Durchflussrate – zu melden. Manipulationen an der Priorisierung dieser Alarme können dazu führen, dass Operator kritische Zustände zu spät erkennen. Andererseits sind solche Änderungen während des Engineerings durchaus üblich. Wann ist eine Änderung an der Alarmpriorisierung nun ein Angriff und wann nur gewöhnliches Engineering?
Ragnar Schierholz erklärt, wie wir mit Wissen über die Konfiguration des eingesetzten Leitsystems, den zu steuernden Prozess und das Betriebskonzept der Anlage Systeme zur Angriffserkennung bauen können, die das Leitsystemumfeld kennen und berücksichtigen.
14:45 - 15:15
Wie schreibt man gute SIEM-Regeln für OT? (Nicolas Coppik, ABB Forschungszentrum Ladenburg)
SIEM-Systeme (Security Information and Event Management) erkennen bösartige Aktivitäten auf Basis von vordefinierten Regeln. Jedes SIEM ist nur so gut wie die Regeln, mit denen es arbeitet, und die aus der klassischen Informationstechnologie (IT) gewonnenen Erkenntnisse sind in der OT nicht immer anwendbar.
Bei SIEM-Regeln gibt es einen Trade-Off: Einerseits ist das Schreiben und Aktualisieren von SIEM-Regeln aufwendig – je allgemeingültiger SIEM-Regeln also sind, desto wartungsfreundlicher. Andererseits ist jedes OT-System individuell und nimmt einzigartige Betriebszustände an, die nicht als Angriff gewertet werden sollten. Je individueller die SIEM-Regeln, desto praktikabler sind sie, um wirkliche Angriffe zu erkennen.
Marco Gärtler berichtet anhand eines OpenSource-Stacks (ElasticSearch als Datenspeicher und SIEM-light-System, SIGMA als Regelspezifikationssoftware) und praktischen Beispielen, wie datengetriebene Werkzeuge für das Testen, Analysieren und Anpassen von Regeln in der OT helfen.
15:15 - 16:00
Street-Food-Meile
Schwachstellenmanagement –
können wir das nicht wegautomatisieren?
16:00 - 16:30
CSAF: Revolution des Schwachstellenmanagements (Dr. Dina Truxius, Bundesamt für Sicherheit in der Informationstechnik)
Schwachstellenmanagement in der OT ist aufwendig: Suchen von Schwachstellenmeldungen (Security Advisories) der Hersteller und Abgleich mit den eigenen Systemen. Weil dafür niemand Zeit hat, werden Patches und Updates nur sporadisch auf ihre Anwendbarkeit überprüft.
Die Lösung aus der Misere sind maschinenlesbare Security Advisories in einem standardisierten Format, das möglichst viele nutzen. Das BSI hat den offenen OASIS Standard „Common Security Advisory Framework“ (CSAF) zur Anwendungsreife geführt. Dr. Dina Truxius zeigt, wie einfach eine Risikobetrachtung für Patches und Updates mit CSAF werden kann und wer den Standard bereits nutzt.
16:30 - 17:00
Automatisiertes Schwachstellenmanagement im Stromnetz (Andreas Klien, OMICRON electronics)
Fragt ein Informationssicherheitsbeauftragter den zuständigen Schutz- und Leittechniker: "Sind wir von der Sicherheitslücke in der Firmware-Version V7.5 der ACME-Schutzrelais-Familie A63xx betroffen?" Antwortet der Techniker nach zwei Tagen Bedenkzeit: "Kommt drauf an."
Andreas Klien erklärt am Beispiel Stromnetz, warum Schwachstellenmanagement in der OT so schwierig ist – und wie man das Problem unter anderem mit maschinenlesbaren Security Advisories auf Basis des Common Security Advisory Framework (CSAF) lösen kann.
17:00 - 18:15
Networkingpause
18:30 - 22:00
Abendveranstaltung mit Buffet
Donnerstag, 11. Mai 2023
Sichere Produktentwicklung und sichere Lieferketten: Security für Hersteller und Integratoren
8:30 - 9:00
Wie kommt Zug in die IEC 62443 und die IEC 62443 in den Zug? (David Fuhr, intcube)
Die Umsetzung der IEC 62443 ist kein leichtes Unterfangen. Herausforderungen liegen in der Nutzung einer gemeinsamen Sprache („Security Level“), der Auswahl des Standardteils (-3-3? -4-2? -4-1? ...) und der Interpretation (Wie viel ist unser physisches Schloss wert?).
Einige Branchen haben daher begonnen, sich Interpretationshilfen zu entwickeln, so z. B. der deutsche Maschinen- und Anlagenbau – oder auch der europäische Railway-Sektor mit der CENELEC TS 50701 („Railway applications –Cybersecurity“).
David Fuhr berichtet von Irrwegen, Fallstricken und Erfolgen in einem über ein Jahr lang dauernden Prozess mit dem Ziel, auf Basis dieses Bahn-Standards Teile der IEC 62443 „organisch“ in die Entwicklungsprozesse eines Integrators im Railway-Sektor einzubauen, sodass die richtigen Menschen zu den richtigen Zeitpunkten auf die richtige Art und Weise daran vorbeikommen.
9:00 - 9:30
SBOM: Endlich Transparenz in der Supply-Chain von OT-Herstellern? (Florian Lukavsky, ONEKEY)
Risiken der Lieferkette (Supply-Chain) sind ein Riesenproblem für Hersteller von Automatisierungstechnik. Wissen Sie, welche Software, Protokollstacks und Bibliotheken in Ihren OT-Systemen enthalten sind? Und – noch unangenehmer – welche Schwachstellen dort vielleicht schlummern?
Florian Lukavsky nähert sich dem Thema aus zwei Richtungen: Zuerst beleuchtet er, welche Anforderungen „die IEC 62443 für Hersteller“ (IEC 62443-4-1) an die Supply-Chain-Security stellt und wie Hersteller diese Anforderungen erfüllen können. Dann wird es praktisch: Wie erstellt man eigentlich eine Software Bill of Materials (SBOM)? Welche verschiedenen SBOM-Strategien gibt es? Und, noch wichtiger: Wie nutzt man eine SBOM gewinnbringend?
9:30 - 10:00
Street-Food-Meile
Gegen was muss ich mich eigentlich schützen?
Risiken systematischer finden
10:00 - 10:30
STPA: Security-Bedrohungsszenarien ableiten mit Systemtheorie (Florian Wagner, Stefan Suchi und Borislav Nikolov, msg Plaut Austria)
Bedrohungsszenarien für OT-Systeme entstammen oft vorgefertigten Katalogen und haben wenig mit den individuell zu schützenden Assets zu tun. Eine formale Vorgehensweise zur Auswahl und Begründung von Bedrohungsszenarien fehlt.
Eine Möglichkeit das Problem zu lösen ist STPA, STPA ist die Abkürzung für System-theoretic Process Analysis und wurde am MIT entwickelt. Es ist eine neue auf der Systemtheorie basierende Analysemethode für sicherheitskritische Systeme.
Florian Wagner, Stefan Suchi und Borislav Nikolov erklären, wie STPA für OT-Security angewandt werden kann: Schadensszenarien werden als ein Kontrollproblem gesehen, wenn Security-Randbedingungen nicht eingehalten werden. Eine unsichere Kontroll-Aktion („Ein Ventil wird nicht geöffnet, wenn der Druck im Kessel zu hoch ist“) gilt es zu verhindern, um Schadensszenarien zu vermeiden. Anschließend wird der Frage nachgegangen, wie diese unsicheren Kontroll-Aktionen durch Manipulation des Systems hervorgerufen werden könnten. Daraus werden die schützenswerten Assets identifiziert. Im Ergebnis erhält man eine schlüssige und rückverfolgbare Argumentation zwischen Schadenszenarien und Assets.
10:30 - 11:00
Methoden für OT-Pentests am Beispiel der Gebäudeleittechnik (Moritz Gruber, AWARE7)
Für das Pentesting von Webanwendungen gibt es allseits anerkannte Standards wie die OWASP Top 10 oder den Web Application Testing Guide. Ähnliches gilt auch für mobile Applikationen, Desktop Apps und Programmierschnittstellen (APIs). Aber für OT finden sich wenig generische Methoden, nach denen man einen systematischen Pentest durchführen könnte.
Moritz Gruber präsentiert eine beispielhafte Lab-Umgebung für die Untersuchung von vernetzter Gebäudetechnik und zeigt, wie man diese testen kann und was typische Schwachstellen sind. Auf Basis dieser Beispiele leitet er Methoden ab, die für OT-Pentests über Gebäudeleittechnik hinaus verwendet werden können.
11:00 - 11:20
Street-Food-Meile
Der Teufel steckt in der Implementierung:
Digitale Identitäten
11:20 - 11:50
TLS und PKI für ein Feldgerät: Praktische Herausforderungen (Peter Wazinski, Sushil Siddesh, Endress+Hauser)
Es sagt sich so leicht: Die Remote-Kommunikation zwischen Feldgeräten und Leitsystem sollte verschlüsselt sein. Und wie verschlüsselt man? Klar, mit TLS (Transport Layer Security), dem wohl am häufigsten genutzten Protokoll für Verschlüsselung und gegenseitige Authentifizierung, das jeder aus dem Browser kennt, wenn er „https“ eintippt.
Sushil Siddesh berichtet anhand der Implementierung für den Endress+Hauser-Durchflussmesser Promag 800, dass der Teufel der TLS-Umsetzung im Detail steckt. Nicht zuletzt, weil für die Authentifizierung mit Zertifikaten eine PKI (Public Key Infrastructure) aufgebaut und betrieben werden muss, was in einer industriellen Automatisierungsumgebung eine besondere Herausforderung darstellt.
11:50 - 12:20
Digitale Identitäten für Maschinen – wie geht das? (Florian Handke, Campus Schwarzwald)
Digitale Maschinenidentitäten legen das Fundament für viele Security-Lösungen wie Authentisierung und Verschlüsselung. Kein Wunder, dass sie überall gefordert oder sogar vorausgesetzt werden: In der IEC 62443, dem IT-Grundschutz oder ICS-Security-Kompendium des Bundesamts für Sicherheit in der Informationstechnik (BSI) oder der OPC-Spezifikation, um nur einige Beispiele zu nennen.
Obwohl das Thema so grundlegend ist, ist seine Implementierung vor allem in der OT weder einfach noch selbstverständlich. Es gibt viele Stolpersteine: Wie können Zertifikate über den Lebenszyklus verwaltet werden? Wie schafft man einen Zugang zum Thema Identitäten, ohne PKI-Spezialist zu sein? Wie sieht es mit Legacy-Hardware aus? Wie fügen sich digitale Identitäten in die Verwaltungsschale ein?
Florian Handke zeigt praktische Herausforderungen und mögliche Lösungen rund um das Thema digitale Identitäten in der OT.
12:20 - 13:00
Street-Food-Meile
Let’s not fight the future: Security für neue Technologien
13:00 - 13:30
Dynamische Systemmodelle austauschen mit FMI – aber sicher! (Miriam Schleipen und Christian Wolf, EKS InTec)
Functional Mockup Units (FMUs) sind dynamische Systemmodelle, die mit dem offenen Standard FMI (Functional Mockup Interface) erstellt wurden. Damit können sie leichter zwischen verschiedenen Organisationen ausgetauscht und wiederverwendet werden. FMUs werden derzeit in der Industrie z. B. für die Verhaltenssimulation von Produktionskomponenten verwendet. Ihr Gebrauch könnte aber auch auf Energieverbrauch, Lebenszyklusbewertung oder 3D-Informationen ausgedehnt werden.
So viele Möglichkeiten der einfache Austausch der dynamischen Modelle bietet: Ihre Integrität ist bislang nicht geschützt. In FMUs ist lauffähiger Programmcode enthalten, der „blind“ ausgeführt wird. Wenn dort Schadcode enthalten ist oder der Inhalt auf dem Übertragungsweg manipuliert wurde, kann dies heute nicht überprüft werden. Außerdem integrieren FMU-Ersteller (z. B. Komponentenhersteller) sensible Informationen über das interne Verhalten ihrer Komponenten im ausführbaren Teil der FMU.
Für diese Security-Probleme stellen Miriam Schleipen und Christian Wolf Lösungsstrategien vor, damit die neue Technologie ohne Security-Bauschmerzen genutzt werden kann.
13:30 - 14:00
IIoT und Ethernet APL: Was bedeutet Digitalisierung für Security? (Andreas Schüller, YNCORIS)
Neue Technologien für die Digitalisierung sorgen bei Automatisierern für Begeisterung – zurecht: Durch Ethernet APL wird ein Feldgerät via Ethernet erreichbar, ohne Medienbruch zu Feldbussen, Strom- oder Spannungssignal. IIOT-Geräte erleichtern Maintenance oder Optimierung, indem sie Anlagendaten direkt an ihren Hersteller übermitteln.
Aus Security-Sicht ermöglichen diese Technologien vor allem reibungslosere und weitreichendere Kommunikation, und das leider auch für potenzielle Angreifer. Andreas Schüller diskutiert in seinem Vortrag Security-Herausforderungen und Lösungsideen für solche digitalisierten Technologien. Dabei hat er besonders Störfallbetriebe im Blick, die im Rahmen der KAS-51 Security-Maßnahmen umsetzen müssen – Digitalisierung hin oder her.
14:00 - 14:30
Closing Words und offizielles Ende der Veranstaltung
Themenschwerpunkte:
Wie organisieren wir Security?
Für Security braucht man “People, Processes und Technology” – aber zu oft reden wir nur über Technology. In diesem Vortragsblock geht es auch um Menschen und Prozesse. Von den beiden Speakern können wir lernen: Über die Organisation eines OT-Security-Programms für einen globalen Konzern und über die Organisation eines Security Incident Response Teams.
Angriffserkennung für OT maßschneidern
Systeme zur Angriffserkennung sind in aller Munde, seit das IT-Sicherheitsgesetz 2.0 sie vorschreibt. Na, dann nimmt man eben irgendeines der zahlreichen IDS/IPS-Systeme aus der IT, oder? In diesem Vortragsblock geht es darum, wie ein System zur Angriffserkennung die Stärken der OT nutzen kann – denn wer kennt die zu schützende Anlage besser als ihr Leitsystem?
Schwachstellenmanagement – können wir das nicht wegautomatisieren?
Wenn man das Wort „Schwachstellenmanagement“ nur hört, wird man sofort müde. Kein Wunder: Hunderte, Tausende von Schwachstellen, ähnlich viele Updates und Patches, nichts davon passt zusammen und was in den eigenen Systemen verbaut ist, weiß man auch nicht so genau. Doch nun schüren maschinenlesbare Formate die Hoffnungen, dass wir das lästige Thema vielleicht endlich so beseitigen können, wie wir Automatisierer es mögen: Wegautomatisieren.
Sichere Produktentwicklung und sichere Lieferketten: Security für Hersteller und Integratoren
Hersteller und Integratoren müssen ihre Produkte möglichst „by design“ so sicher wie möglich machen – brauchen also einen sicheren Entwicklungsprozess, wie der erste Vortrag dieses Blocks zeigt. Der zweite Vortrag beleuchtet dann den blinden Fleck, der Herstellern trotz Security by Design zu schaffen macht: Was bringt es, wenn ich selbst sicher entwickle – aber die Hersteller meiner zugekauften Komponenten nicht? Der erste Schritt zur Lösung des Problems ist die Transparenz darüber, was in zugekaufte Komponenten eigentlich drin ist – die Software Bill of Materials (SBOM).
Gegen was muss ich mich eigentlich schützen? Risiken systematischer finden
Es ist die Gretchenfrage bei der Auswahl von Security-Maßnahmen: Gegen welche Risikoszenarien sollen die Maßnahmen eigentlich schützen? Womit muss ich wirklich rechnen? Solange wir Security-Risiken noch aus nicht enden wollenden Bedrohungskatalogen oder Schwachstellenlisten abschreiben, haben wir methodisch Luft nach oben. Den Vorträgen in diesem Block ist gemein, dass sie die Suche nach Risiken systematischer angehen.
Der Teufel steckt in der Implementierung:
Digitale Identitäten
Verschlüsselung und Authentifizierung gehören zum Standardrepertoire der Security-Anforderungen. So grundlegend, dass es dafür bestimmte längst Standardlösungen gibt, oder? Denkste: Für OT und besonders, je näher es Richtung Feld geht, gibt es in der Umsetzung noch große Probleme. Die beiden Vorträge in diesem Block machen Mut, indem Sie erzählen, wie die Implementierung gelingen kann.
Let’s not fight the future: Security für neue Technologien
Es ist allzu leicht, als Security-Verantwortlicher neuen Technologien grundsätzlich mit angehobenen Augenbrauen zu begegnen. Brauchen wir nicht, wollen wir nicht, erhöht nur die Angriffsfläche. Es ist auch leicht, „hab ichs doch gesagt“ zu seufzen, wenn dann etwas schief geht. Es ist viel schwieriger (und viel nützlicher), wenn die Security bei der Einführung neuer Technologien vorne mit dabei ist und auslotet, wie man den Fortschritt mitnehmen kann, ohne einen Security-Rückschritt in Kauf zu nehmen.
Kongress-Redaktion
Jonas Völker
Redaktionsleiter atp magazin
+49 201 82002-50
j.voelker@vulkan-verlag.de
Sponsoring
Daniela Brown
Media Sales Veranstaltungen
+49 201 82002-58
d.brown@vulkan-verlag.de
Anmeldung und Teilnehmerfragen
Jan-Magnus Kook
Leitung Content Marketing
+49 201 82002-44
j.kook@vulkan-verlag.de
SECURITY UNTER KONTROLLE wird veranstaltet von:


Sponsoren
Medienpartner