6. VDI-Fachkonferenz Industrial IT Security 2018

Registrierung

Gemeinsame Eröffnung: 6. VDI-Fachkonferenz Industrial IT Security 2018 & VDI-Fachtagung IT-Sicherheit für Kritische Infrastrukturen 2018

Begrüßung und Eröffnung

Frank Winning, Produktmanager, VDI Wissensforum GmbH
Prof. Dr. rer. nat. Michael Waidner, Leiter, Fraunhofer-Institut für Sichere Informationstechnologie SIT, Leiter Sicherheit in der Informationstechnik an der TU Darmstadt, Sprecher des Center for Research in Security and Privacy (CRISP)

Plenarvorträge

Moderne Cyber Defense Services

• Digitalisierung und Cyber Attacken – Crime follows Business
• Strategie Prevent/Detect/Respond
• Ausrichtung der Cyber Defense in der Telekom Security
• erprobte Kooperationsmodelle

Dr. Rüdiger Peusquens, Vice President Cyber Defense Response, Telekom Security, Bonn

Die Sicherheit Kritischer Infrastrukturen – Forschung, Praxis und der Weg in die Zukunft

• Zahlen, Daten, Fakten aus den Studien „Monitor IT-Sicherheit für Kritische Infrastrukturen“ 1.0 und 2.0
• Effektivität und Effizienz – IT-Sicherheit implementieren – Ergebnisse der Fallstudienserie
• Ein Rahmenwerk zu State of the Art Technologien der IT-Sicherheit
• Implikationen für die Innovationsfähigkeit

Prof. Dr. Ulrike Lechner, Professur für Wirtschaftsinformatik, Fakultät für Informatik, Universität der Bundeswehr München

Kaffeepause mit Besuch der Fachausstellung

IT-Sicherheit im Spannungsfeld von Industrie 4.0

Industrie 4.0 Chancen und IT-Security Risiken der Digitalisierung

• Technologiefelder im Mittelpunkt der vernetzten Automatisierung
• Status Quo + die Welt im Wandel – Normen, Verbände und Gesetzgebung
• Lösungsvorschläge aus der Sicht eines Sensorherstellers

Andreas Teuscher, Chief Industrial Security Officer, SICK AG, Waldkirch

Industrie 4.0 ausprobieren – Aber sicher!

• Konzeption, Entwicklung und Aufbau von vernetzten Sensorknoten zur Datenerfassung für kundenspezifische Anwendungen
• Sichere Vernetzung von eingebetteten Systemen, wie Sensorknoten und Steuergeräte, durch drahtlose und leitungsgebundene Kommunikationssysteme
• Aufbau von sicheren Cloud-basierten Daten- und Steuerungslösungen
• Test von Konformität, Performance und Security in dedizierten Testumgebungen und Kundenszenarien

Dr. rer. nat. Daniela Pöhn, Projektleiterin Leistungszentrum Sichere Vernetzte Systeme, Fraunhofer AISEC, Garching bei München

Mittagsessen mit Besuch der Fachausstellung

Entwicklung sicherer Produkte, was ist zu tun? – Nötige Anpassungen in Entwicklungsprozessen

• Nötige Analysen zur Identifikation geeigneter Schutzmaßnahmen
• Angemessene Dokumentation von Schutzkonzepten
• Ergänzende Vorgehensweise im Bereich Testing
• Maßnahmen zum Umgang mit Sicherheitsvorfällen

Dipl.-Inf. Paul Arndt, Leiter Center of Excellence Cyber Security, INVENSITY GmbH, Wiesbaden

Remote- & Fernwartsysteme sicher machen

Remote-Systeme und IoT-Security – Herausforderungen und Lösungsansätze

• Paradigmenwechsel: Den Wandel erkennen und adressieren
• Die Brennpunkte im Überblick: Anbindung – Daten – Übertragung – Speicherung.
• So geht’s: Ein Blick in die Praxis
• Blue Print: Checkliste und Handlungsempfehlung

Dr. Christian J. Pereira, Geschäftsführer, Q-loud GmbH, Köln

Sichere Netzanbindung kritischer Infrastrukturen nach ISA 62443

• Vorstellung konzeptioneller Lösungsansätze zur sicheren Remotesteuerung industrieller Automatisierungssysteme
• Absicherung von Funktionalitäten wie Dateitransfer und VPN, die anwendungsbedingt sowohl kritische als auch unkritische Netze übergreifen
• Risikoanalyse der Teil- Gesamtsysteme mittels systematischer Bewertung relevanter Bedrohungsszenarien hinsichtlich Kritikalität und Häufigkeit anhand ISA 62443
• Ableitung und Umsetzung von Security Anforderungen im Rahmen von Secure Software Engineering konform zu ISA 62443

Dr. Falk Lindner, Senior Security Engineer, Alexander Winnicki, M.Sc., Security Engineer, Dipl.-Ing. Heiko Fimpel, Team Manager Communication Systems, Silver Atena Electronic Systems Engineering GmbH, Hamburg

Kaffeepause mit Besuch der Fachausstellung

Von Null auf quantensicher – Unser Weg zu Standard und Referenzimplementierung Quantencomputer-resistenter Krypto-Signaturen

• Software-Updates mit sicheren Post-Quantum-Signaturen nach dem XMSS(^MT)-Verfahren
• Motivation der Themabearbeitung – der Weg des Forschungsprojekts
• Mögliche Alternativen zum gewählten Verfahren innerhalb der Code-, Gitter- oder Hash-basierten und weiterer Ansätze
• Ergebnisse des Forschungsprojektes zum Thema PQC-Signaturen: Referenzimplementation, IETF RFC und praktische Umsetzung

Stefan-Lukas Gazdag, M. Sc., Research Engineer/Firewall Developer, genua GmbH, Kirchheim bei München

Rollout von IT Sicherheit – Wie geht man voran?

Integriertes Vorgehensmodell zur Planung und Umsetzung eines Informationssicherheitsmanagementsystems am Beispiel der Pharmaproduktion

• Umsetzung eines Informationssicherheitsmanagementsystem (ISMS) für KRITIS Infrastrukturen im pharmazeutischen Produktionsumfeld
• Risikomanagement und Risikobehandlung für Industrial Control Systems (ICS) im GMP-Umfeld
• Integration von Sicherheitsnormen, IT Standards und Best Security Practices Ansätze
• Beispiele und Szenarien unter Anwendung eines computergestützten Prozessmodells

Holger Mettler, Leiter Computer System Validation (CSV), M+W Central Europe GmbH, Stuttgart

Sicherheitskonzeption und Zonierung mithilfe der Vorgehensweise aus der IEC 62443-Standardfamilie

• Kurzer Überblick über die Standardfamilie IEC 62443
• Übersicht von allgemeinen Konzepten
• Ableiten eines Zonenkonzepts am praktischen Beispiel unter Berücksichtigung von ISA 62443-3-2 (Preview)
• Sicherheitskonzeption mit der IEC 62443-3 unter Anwendung von Sicherheitsanforderungen nach Security Level

Andreas Salm, Principal Consultant & Product Manager ICS-Security, HiSolutions AG, Berlin

Get-together

Zum Ausklang des ersten Veranstaltungstages lädt Sie das VDI Wissensforum zu einem Get-together ein. Nutzen Sie die entspannte Atmosphäre, um Ihr Netzwerk zu erweitern und mit anderen Teilnehmern und Referenten vertiefende Gespräche zu führen.

Round Tables – Zukunftsdesigner im Dialog

Tisch 1 Veranstaltungsfeedback – Anmerkungen, Wünsche und Verbesserungen

Moderation: Frank Winning, Produktmanager, VDI Wissensforum GmbH, Düsseldorf

Tisch 2 Sensibilisierung von IT-Sicherheit von Mitarbeitern im Unternehmen – Wie nehme ich meine Mitarbeiter mit?

Moderation: Dr. Thomas Lapp, Rechtsanwalt, Fachanwalt für IT-Recht, Vorsitzender NIFIS, Nationale Initiative für Informations- und Internetsicherheit, IT-Kanzlei dr-lapp.de GbR, Frankfurt am Main

Tisch 3 Monitoring und Reaktion auf Anomalien in der Steuerkommunikation

Moderation: Dr. Frank Stummer, Mitgründer & Business Development, Rhebo GmbH, Leipzig

Tisch 4 ISO 27001 - Zertifizierung mit Aussagekraft oder nur Stempel für die Reputation?

Moderation: Hannes Hartung, CEO & IT-Sicherheitsspezialist, TÜV-SÜD zertifizierter Information Security Officer according to ISO/IEC 27000 series, INCREASE YOUR SKILLS, Leipzig

Kaffeepause mit Besuch der Fachausstellung

IT-Sicherheit im industriellen Netzwerk

Absicherung von IoT-Netzwerken durch vertrauenswürdige Geräteidentitäten

• Sichere Prozesse für die Selbstorganisation ermöglichen
• Vertrauenswürdige Identitäten für Maschinen und Geräte kostengünstig erstellen
• Manipulationssicherheit auf Netzwerkebene garantieren mit IOTA Blockchain
• Übergeordnete Kommunikation über https-basiertes OPC UA

Sebastian Rohr, Chief Technology Officer, accessec GmbH, Groß-Bieberau

Architektur zum sicheren Zugriff auf Profinet-Produktionsnetze

• Praxisbeispiel zur Umsetzung von Fernzugriffen aus Intranet und Internet
• Separation auf allen Protokollebenen durch Kombination von Desktop-Sharing und VPN-Technologien
• Vereinfachtes Anwendermanagement durch Server-basierte Access Control
• Erfahrungen aus Pilotierung und Rollout

Dr.-Ing. Matthias Kabatnik, Entwicklung Digitalisierung und Security, Festo Didactic SE, Denkendorf

RiskViz: Risikolagebild der industriellen IT-Sicherheit in Deutschland

• Suchmaschine, die industrielle Systeme findet und Informationen zu ihnen und ihrer Bedrohungslage sammelt
• Internetweite Suche zum Aufspüren von ungeschützten Anlagen
• Einsatz im Firmennetzwerk ohne dabei den Betrieb dieser zu stören
• Rechtliche Fragestellungen und Cyber Versicherungen

Matthias Niedermaier, M.Sc., IT-Sicherheitsforscher, Hochschule Augsburg

Mittagsessen mit Besuch der Fachausstellung

Kosten und Nutzen – Was kostet IT-Sicherheit? Was bringt es an Nutzen?

Der Preis der IT-Sicherheit und der Unsicherheit

• Wie stehen Kosten und Nutzen für Security im Verhältnis?
• Lässt sich ein Return on Investment ermitteln?
• Prevent – Detect – Response: warum es besser ist, in Vorbeugung zu investieren als in Reaktion
• Gibt es Tools und Techniken in der Zukunft, die für höhere Effizienz sorgen?

Dr. Jürgen Kohr, Chief Operating Officer Central Europe, Fujitsu Technology Solutions GmbH, Düsseldorf

Notwendigkeit, Kosten und Nutzen von IT-Sicherheit

• Mit welchen Kosten rechnen Unternehmen in der Zukunft?
  Was bringt es an Nutzen?
• Mit welchen Risiken ist in Unternehmen zu rechnen?
• Inwieweit besteht eine persönliche Haftung von Vorständen/
  Geschäftsführern und Mitarbeitern für Schäden?
• Können Versicherungen oder Rechtsformen wie GmbH die
  persönliche Haftung verhindern?

Dr. Thomas Lapp, Rechtsanwalt, Fachanwalt für IT-Recht, Vorsitzender NIFIS, Nationale Initiative für Informations- und Internetsicherheit, IT-Kanzlei dr-lapp.de GbR, Frankfurt am Main

Die Frage ist nicht ob man angegriffen wird, sondern was es kosten wird!

• Cyber Sicherheit ist defacto „Cost-of-Business“ – Bedrohungslage früher und heute
• Bedeutung der Business Resilienz im Kontext Industrie 4.0 und die Auswirkung auf die Produktionstechnologie
• Priorisierung von Security Maßnahmen – wie findet man die Balance zwischen Grundschutz und Fort Knox
• Cyber Security als permanente Übung – wie man sie nachhaltig im Produktionsumfeld verankert

Daniel Rüth, Senior Manager OT Cyber Security and Strategy GSA, Ernst & Young GmbH Wirtschaftsprüfungsgesellschaft, München

Zusammenfassung der Konferenz

Ende der Veranstaltung