Generic filters
Exact matches only
Search in title
Search in excerpt
Search in content
FS Logoi

SECURITY UNTER KONTROLLE 2024: Was wollen wir eigentlich von Security?

Genau diese Frage stand in diesem Jahr bei SECURITY UNTER KONTROLLE im Areal Böhler in Düsseldorf im Fokus. Der OT-Security-Kongress zeigte dabei an zwei Tagen eindrucksvoll, warum die Cybersicherheit der Produktion so wichtig ist und wie Unternehmen am besten vorgehen.

von | 12.09.24

Manuel Atug fokussierte sich in seinem Vortrag am ersten Kongresstag auf die NIS-2-Richtlinie.

Genau diese Frage stand in diesem Jahr bei SECURITY UNTER KONTROLLE im Areal Böhler in Düsseldorf im Fokus. Der OT-Security-Kongress zeigte dabei an zwei Tagen eindrucksvoll, warum die Cybersicherheit der Produktion so wichtig ist und wie Unternehmen am besten vorgehen.

Besonders der erste Kongresstag lieferte dabei viele Erkenntnisse. Der Erfolg der Security-Bemühungen hängt vor allem von der Motivation der Unternehmen ab. Ein Referent formulierte es treffend: „Reicht es, die geltenden Regularien blind zu erfüllen und mit Auditoren zu kämpfen? Oder wollen wir uns wirklich vor Angriffen schützen?“

Natürlich ist damit nicht gemeint, dass die geltenden Gesetze und Regularien ignoriert werden sollen. Aber wer Security nur angeht, um Behörden zu gefallen, wird damit nicht weit kommen, so das Credo der Vortragenden. „Security muss man für sich selbst machen!“, wurde es in der Podiumsdiskussion des ersten Tages treffend auf den Punkt gebracht.

Unternehmen überschätzen ihre Security-Skills

Was geschehen kann, wenn Hacker dann doch erfolgreich angreifen, zeigte eine Keynote von Robert Klaffus. Der CEO von PSI berichtete von einem Krypto-Trojaner-Angriff auf sein Unternehmen. Dabei zeigte er durchaus ehrlich auf, warum Unternehmen ihre Security-Fähigkeiten in der Regel überschätzen und was zu tun ist, wenn der Ernstfall eintritt.

Security selbst in die Hand zu nehmen und für sie selbst zu gestalten ist zwar sicherlich keine bahnbrechend neue Erkenntnis, aber vor diesem Hintergrund dennoch eine sehr wichtige, gerade mit Blick auf das „Superregulierungsjahr“ 2024, in dem die produzierende Industrie mit der NIS-2-Richtlinie (NIS2) und dem Cyber Resilience Act (CRA) wohl gleich zwei dicke Bretter bohren muss.

NIS2, CRA & Co.

Welche Hürden mit diesen beiden EU-Gesetzen auf die Branche zukommen, zeigten die ersten beiden Vorträge eindrucksvoll. Fest steht: beide Regulierungen sind bürokratische Ungetüme, die sowohl für betroffene Unternehmen aber ebenso die Behörden noch allerhand Herausforderungen bereithalten.

Doch auch die darüber hinaus schon geltenden Regulierungen wie etwa das Energiewirtschaftsgesetz (EnWG), das BSI-Gesetz (KRITIS-Verordnung), KAS-51 oder in der Safety (TRBS 1115-1) enthalten Anforderungen an die Cybersecurity. Das Problem: all diese Regularien kommen von verschiedenen Behörden mit unterschiedlichen Ansprechpartnern. Wie kriegen Sie die alle nun unter einen Hut? Indem Security zur Konzern-Aufgabe und Querschnittsfunktion wird, die nicht jede einzelne Business Unit selbst übernimmt.

Von giftigen Christstollen und Internet auf Luxusyachten

Gleich im Anschluss wurde die bis dahin doch recht hohe Flughöhe deutlich reduziert und es ging konkreter um die Cybersicherheit der OT. Aber auch um giftige Christstollen, die oft bittere Mandeln enthalten, eine eigentlich hochgiftige Zutat, die unter kontrollierten Bedingungen aber super Geschmack liefern und in der Zutatenliste enthalten sind. Übertragen auf die Security bedeutet das, eine reine Software Bill of Materials (SBOM), also eine Software-Zutatenliste, ist zwar sehr gut, bringt aber ohne die richtige Handhabung (in diesem Fall Security Advisories) nur wenig. Wichtig dabei auch: es braucht schon während des Entwicklungsprozesses ein aktives Schwachstellenmanagement.

Große Schwachstellen lassen sich auch auf Luxusyachten finden, die im Grunde nichts anderes sind als OT-Systeme auf hoher See. Die auf den Schiffen verbaute und mit dem Internet verbundenen Geräte lassen sich über entsprechende Websites recht einfach nicht nur finden, sondern auch aus der Ferne parametrieren. Denn es fehlen notwendige Patches der Systeme und die verwendeten Passwörter sind im sehr einfach zugänglichen Code oft direkt enthalten. Die genauen Positionsdaten der teilweise mehr als 100 Meter langen Yachten gibt es als Bonus gleich noch dazu.

Warum ist Security für Betreiber eigentlich so nervig?

Mit dieser Einstiegsfrage startete die spannende Podiumsdiskussion zum Abschluss des ersten Kongresstags. Fünf Diskutanten, vier davon Betreiber und ein Hersteller, sprachen über die größten Stolpersteine und Aha-Momente in Bezug auf ihre Security-Programme. Die wesentlichen Erkenntnisse:

  • Es kommt auf das Zusammenspiel von Betreiber, Integrator und Hersteller an. Die Qualität der Security bestimmt das schwächste Glied in der Kette.
  • Es braucht mehr Security-Champions in den Unternehmen. Dabei gilt: klare Verantwortlichkeiten schaffen und Personen wählen, die für das Thema wirklich brennen.
  • Der Unterschied zwischen IT- und OT-Security an sich ist nicht unbedingt sehr groß. Erst die Produktionsanwendungen steigern die Komplexität immens.
  • Die aktuellen regulatorischen Anforderungen sind ein gutes Argument, das C-Level in Unternehmen von der Priorität von Security-Investitionen zu überzeugen.

Die Aufmerksamkeit ist da, jetzt braucht es Umsetzung

An beiden Kongresstagen wurde auch in diesem Jahr mehr als deutlich, dass es nicht mehr unbedingt an der Wahrnehmung der Security hapert. Die steigenden Angriffszahlen und erfolgreichen Hackerattacken tun hier ihr Übriges. Viel mehr liegt die Herausforderung in der konkreten Umsetzung im Feld.

Wie Ihnen dies gelingt, zeigten die Vorträge von SECURITY UNTER KONTROLLE vor allem für Hersteller, Integratoren und Betreiber. Wer mehr über die diesjährige Ausgabe erfahren möchte, sollte dem Kongress auf LinkedIn und Youtube folgen. In den kommenden Tagen und Wochen werden dort weiteres Material, inklusive der Aufzeichnungen der Vorträge, veröffentlicht.

Weitere Informationen gibt es auf der Website von SECURITY UNTER KONTROLLE.

Das war SECURITY UNTER KONTROLLE 2024

Jetzt Newsletter abonnieren

Brennstoff für Ihr Wissen, jede Woche in Ihrem Postfach.

Hier anmelden

KI: Neues Forschungsprojekt will Stromnetze KI-basiert optimieren
KI: Neues Forschungsprojekt will Stromnetze KI-basiert optimieren

Angesichts des steigenden Anteils an erneuerbaren Energien in Deutschland stehen die Stromnetzbetreiber vor neuen Herausforderungen. Erzeugung und Nachfrage unterliegen zunehmenden Schwankungen, da die durch erneuerbare Quellen wie Wind und Sonne gewonnene Strommenge variiert und gleichzeitig immer mehr Haushalte dezentral Strom ins Netz einspeisen. Die Betreiber müssen daher eine Vielzahl an Variablen ausbalancieren, um eine konstante und zuverlässige Versorgung zu gewährleisten.

mehr lesen
Die Corona-Pandemie trieb die Digitalisierung laut ZEW-Studie nicht voran
Die Corona-Pandemie trieb die Digitalisierung laut ZEW-Studie nicht voran

Entgegen der öffentlichen Wahrnehmung half die Covid-19-Pandemie nicht, die Digitalisierung in Deutschland voranzubringen, wie das ZEW – Leibniz-Zentrum für Europäische Wirtschaftsforschung GmbH Mannheim in einer Befragung herausgefunden hat. Zwar gaben Unternehmen mehr Geld für Technik aus, die Homeoffice und virtuelle Zusammenarbeit ermöglicht. Gleichzeitig gingen jedoch Investitionen in modernste Produktionsmittel ebenso zurück wie solche in modernste Analyse- und Planungstechnologien sowie digital gestütztes Kundenmanagement. Vor allem größere Vorhaben wurden verschoben oder ganz aufgegeben.

mehr lesen
ZVEI bemängelt zu hohe Bürokratielast in Deutschland
ZVEI bemängelt zu hohe Bürokratielast in Deutschland

Angesichts des heute veröffentlichten Berichts des Nationalen Normenkontrollrats (NKR) bemängelt auch der ZVEI die deutlich zu hohe Bürokratielast in Deutschland. „Es ist zu viel – der Bericht des Nationalen Normenkontrollrats hat heute bestätigt, was viele Unternehmen auch in der Elektro- und Digitalindustrie bereits selbst erleben: Die Belastung durch die bürokratischen Anforderungen ist zu hoch“, erklärte der Vorsitzende der ZVEI-Geschäftsführung, Wolfgang Weber, in einer Pressemeldung.

mehr lesen
HIMA ernennt neue General Manager für China und Ostasien
HIMA ernennt neue General Manager für China und Ostasien

HIMA hat neue General Manager für die Regionen China sowie Nord- und Südostasien ernannt. Yao Zhou wird ab Oktober 2024 neue General Managerin der Region China, Luis Hernando Torres ist verantwortlich für Nord- und Südostasien, wie das Unternehmen in einer Pressemeldung erklärte.

mehr lesen

atp weekly

Der Newsletter der Branche

Ihr kostenfreier E-Mail-Newsletter für alle Belange der Automatiserung.

Sie möchten das atp magazin testen

Bestellen Sie Ihr kostenloses Probeheft

Überzeugen Sie sich selbst: Gerne senden wir Ihnen das atp magazin kostenlos und unverbindlich zur Probe!

Finance Illustration 03
Datenschutz
atpinfo.de, Inhaber: Vulkan-Verlag GmbH (Firmensitz: Deutschland), würde gerne mit externen Diensten personenbezogene Daten verarbeiten. Dies ist für die Nutzung der Website nicht notwendig, ermöglicht aber eine noch engere Interaktion mit Ihnen. Falls gewünscht, treffen Sie bitte eine Auswahl:
Datenschutz
atpinfo.de, Inhaber: Vulkan-Verlag GmbH (Firmensitz: Deutschland), würde gerne mit externen Diensten personenbezogene Daten verarbeiten. Dies ist für die Nutzung der Website nicht notwendig, ermöglicht aber eine noch engere Interaktion mit Ihnen. Falls gewünscht, treffen Sie bitte eine Auswahl: