So richtig erwachsen ist „OT-Security“, Security für die Automatisierungstechnik, noch nicht. Die Methoden sind nicht ausgereift, Modelle und Diagramme nicht standardisiert, die Fachliteratur spärlich, in den Universitäts-Curricula ist das Thema kaum vorhanden – und in der Praxis fehlt es oft an Lösungen für grundlegende, in der IT-Security vermeintlich längst gelöste, Probleme. Ein Symptom dafür ist auch der fehlende Ort, an dem OT-Security stattfindet. Sie ist entweder ein Randthema auf Automatisierungstechnik-Kongressen oder ein Randthema auf IT-Security-Kongressen. So oder so: Ein Randthema. Niemand kommt an diese Orte für die OT-Security. Ab 2023 wird es einen neuen Kongress geben: „Security unter Kontrolle“.

Call for Contributions gestartet

Exemplarische Themenfelder für Beiträge sind:

• Aus dem Feld und der Leitwarte
  • Lernen aus der Realität: Welche Probleme gibt es? Welche Lösungen haben funktioniert? Welche nicht?
• Aktenstaub trifft Anlagenstaub
  • Was kommt aus der Welt der Behörden auf uns zu?
• Werkzeugkoffer
  • OT-Security-Methoden – und wie sie in der Anwendung tatsächlich funktionieren
• Kapuzenpulli trifft Schutzhelm
  • Was können Security-Fachleute und Automatisierungs-Fachleute voneinander lernen?
• Pionierarbeit
  • Was bedeuten neue Technologien, Digitalisierung und Integration der Unternehmensprozesse für die Security in der Anlage?
• Security for Sustainability
  • Welche Rolle spielt OT-Security in der Energiewende?

Automatisierer sollen Security selbst in die Hand nehmen können

Ein ein rund 20-köpfiger, ehrenamtlich tätiger Programmbeirat wählt die Beiträge aus und hilft bei Bedarf, Themen zu präzisieren. Es ist außerdem möglich, die Vorträge aufzuzeichnen und/oder einen Beitrag unter Automatisierungsingenieuren renommierten atp magazin zu veröffentlichen. Das geht als redaktioneller Beitrag oder sogar als begutachteter (Peer Review) Hauptbeitrag.

„Security unter Kontrolle“ soll ein Ort sein, zu dem Menschen nur für OT-Security kommen; ein Ort, an dem Automatisierer ihren Fingerabdruck auf dem Thema Security hinterlassen. Veranstalter des Kongresses ist der Vulkan-Verlag, der unter anderem das atp magazin verlegt. Die inhaltlichen Ziele hat im vergangenen der Programmbeirat unter Leitung der admeritia GmbH ausführlich diskutiert und festgelegt. Genau diese Menschen werden mit der Auswahl der Kongressbeiträge auch dafür einstehen, dass der Kongress seine inhaltlichen Ziele erreicht:

• • OT-Security bedeutet nicht, die Security neu zu erfinden, aber man kann auch nicht einfach die Security-Prinzipien aus der IT der Automatisierung überstülpen wie eine Käseglocke („alles verschlüsseln!“). Idealerweise wird Security für Automatisierungssysteme von denen gemacht, die auch die Systeme machen. Automatisierer müssen die Security nicht neu erfinden, aber sie müssen ihren eigenen Fingerabdruck auf dem Thema Security hinterlassen – und das geht nur, indem sie das Thema selbst in die Hand nehmen. Wir wollen Automatisierer und OT-Praktiker befähigen, das Thema Security selbst in die Hand zu nehmen.
• Wer etwas in die Hand nehmen will, darf sich nicht von Problemen paralysieren lassen. Leider ist Security darin aber gut, indem sie Panik vor Schwachstellen sät („Triton!“) und die Rolle des ewigen Mahners und Spielverderbers einnimmt, wenn es um neue Technologien geht („Cloud? Teufelszeug!“). Wir wollen einen Raum für lösungsorientierte und pragmatische Security schaffen, die technischen Fortschritt ermöglicht, statt im Weg herumzustehen.
• A propos Lösungen: In der OT-Security ist noch so viel zu tun! Irgendwie haben alle dieselben Probleme („mehr Schwachstellen als Zeit…“) und allen fehlen dieselben grundlegenden Lösungen („pflegbares Assetinventar!“). Wer über den (deutschen) Tellerrand blickt, findet ein viel breiteres Ideenspektrum – und sogar Community-Projekte, um gemeinsame Probleme auch gemeinsam zu lösen (Beispiel: Top 20 Secure PLC Coding Practices). Nur Fragmente dieser Ideen und Projektergebnisse schwappen in den deutschsprachigen Raum. Wir wollen weltweite Ideen nach Deutschland bringen und eine Keimzelle für Projekte und Ideen im deutschsprachigen Raum schaffen.
• Egal ob BSI-Gesetz, IT-Sicherheitskatalog oder Störfall-Verordnung: Security wird oft von der Regulierung getrieben. Regulierer klagen über zu wenig Engagement und Rückmeldung aus der Praxis, Praktiker über zu wenig Einblicke in die Hintergründe und Ziele der Regulierung – und natürlich über deren Realitätsferne. Das einzige, was hilft: Zusammen an einen Ort kommen. Wir wollen Praktiker und Regulierer von OT-Security an einen Tisch bringen.

Security? Bekommen wir gemeinsam unter Kontrolle!

Weiterführende Informationen finden Sie auf der Kongress-Website, wo auch weitere Details zum Call for Contributions bereitstehen. Alle aktuellen Infos zu “Security unter Kontrolle” gibt es außerdem auf LinkedIn und Twitter.

Bei Rückfragen wenden Sie sich gern an info@security-unter-kontrolle.de.