Light up the ALPS 2025
Save the Date
Berichte
Wenn die IT nicht funktioniert und 300 Konstrukteur*innen in einem Werk nicht arbeiten können, hat das eine große Auswirkung, leitete Heinz Mayer, Geschäftsführer der Joanneum Research, den 115. Digitaldialog ein. Wer kennt den Unterschied zwischen IT und OT? OT, die Betriebstechnologie (operational technology) steuert Geräte und IT, die Informationstechnologie, steuert die Daten. Die IT kommuniziert mit der OT, OT-Systeme sind mitunter weltweit verknüpft. IT stellt die Vertraulichkeit sowie die Integrität und Verfügbarkeit von Systemen und Daten sicher. Matthias Rüther, Direktor vom Institut DIGITAL, moderierte den Abend.
Im ersten Vortrag von Christian Koch (Senior Vice President Cybersecurity – IoT/OT, NTT DATA) ging es um die Herausforderung in der OT-Security. Alte Anlagen, die heute noch laufen, wie z. B. eine Maschine aus dem Jahr 1925 in einer papierverarbeitenden Industrie, müssen auch abgesichert werden. Anschaulich zeigte Koch die aktuell drei größten Wirtschaftsmächte die USA, China und mittlerweile das Cybercrime auf. Koch wies darauf hin, dass es den Angreifern meist nur ums Geldverdienen ginge, einige Unternehmen rutschten nach den Angriffen in die Insolvenz. Koch unterschied drei Arten von Angriffen: Extortion via Ransomware or DDOS, theft of intellectual property (Unternehmensgeheimnisse, Patente) und Sabotage/Erpressung (z.B. der Automatisierung im Automobilsektor, Rückrufe, sehr teuer). Social Engineering wird häufig angewendet, um zu vertraulichen Informationen zu gelangen. Laut Statistik klicken 99% auf einen Link oder Anhang, wenn es sich um einen bekannten E-Mail Absender handelt. Die Angreifer nützen AI massiv um ihre Systeme zu optimieren, sie können mit AI-Unterstützung immer schneller angreifen und bereiten sich akribisch vor. Koch warnte: „Was ich kenne, kann ich schützen“, und weiter „Compliance macht uns nicht sicherer, kann aber die Hürde für Angreifer höher legen.
Im zweiten Vortrag sprach Michael Gebetsroither (CEO, mgIT GmbH) über price of safety und cost of security als Knackpunkt. Aus Angreifersicht: Wie viel Aufwand ist es wert zu investieren? Durch automatisch ablaufende Malware, Ransomware und dergleichen können 80 % Nutzen mit 20 % Aufwand herausgeholt werden. Gebetsroither betonte, dass die Angreifer oft die Systeme besser kennen würden als die Anwender, und sie sich teils über Jahre akribisch vorbereiten und dann ohne große Sichtbarkeit angreifen würden. Er zeigte das Dreieck zwischen Safety, Availability und Security auf, wobei die Security oft das Nachsehen hätte. Auch er plädierte: „Kenne deine Infrastruktur! Ein Klick eines Mitarbeitenden auf eine E-Mail darf nicht die Firma ruinieren, sondern Security muss im Unternehmen kontrolliert werden.“
Dominik Ziegler (Factory Automation & Technical Standardization, Siemens AG) erläutert in seinem Vortrag, dass es ihre Aufgabe als Hersteller sei, Geräte zu produzieren, die sicher kommunizieren und so umgesetzt sind, dass es so in Unternehmen ankommt. Er ging auf die Produktion ein, und wies darauf hin, dass in der Werkshalle (Shopfloor) die Verbindungen der unterschiedlichen Komponenten, also die Kommunikation und Konnektivität, Risiken bergen. Viele Kunden glauben nicht, dass es so einfach wäre, aber Angreifer haben mehr Know-how und Zeit und können Remotezugriffe für sich ausnützen. „Das Thema des allgegenwärtigen Internets wird es bei OT nicht immer geben.“ Der Experte ist überzeugt: „In Zukunft werden wir mit Angriffen leben müssen. Es steckt viel Geld dahinter. Die IT-Security ist nicht automatisch für OT einsetzbar. Jeder Mitarbeitende muss Security Know-how haben, um Angriffe reduzieren zu können.“ Als Lösungen für eine vernetzte Fabrik (connected factory) nennt er: Security by Design, d.h. Security im Geräte-Entwicklungsprozess mitzudenken, Zero Trust Security also strenge Authentication- und Authorization Policies und Trainings sowie Achtsamkeit der Mitarbeitenden.
David Bidner (Senior Principal Security Evaluator, SGS Brightsight) präsentierte in seinem Vortrag die wichtigsten Zertifizierungen, Normen und den Evaluierungsprozess von Produkten. „Es gibt unterschiedliche Standards, die von unterschiedlichen Stakeholdern verwendet werden.“ Es sei wichtig, die richtigen Fragen zu stellen, wie beispielsweise was schützenswert am Produkt sei, und diese im Lifecycle der Produktentwicklung mitzudenken.
Fotos: © JOANNEUM RESEARCH/Kubista