Industrielle Kontrollsysteme auf dem Prüfstand
DeepSec Konferenz veranstaltet Forum zur Absicherung von Industrial Control Systems (ICS)
 |
Maschinenraum eines Schiffes (Foto: Rémi Kaupp, 2007) |
Wien (pts011/10.09.2020/09:15) Wer von Digitalisierung spricht, meint meistens vernetzte Steuerungs- und Messsysteme. Der damit verbundene Fachbegriff Industrial Control Systems (ICS) deckt einen weiten Bereich ab und reicht bis in die Industrie 4.0, in der die Informationssicherheit eine sehr große Rolle spielt. Das richtige Design und sicherer Code werden damit zu Teilen kritischer Infrastruktur. Die diesjährige DeepSec Sicherheitskonferenz bietet erstmals ein Forum - das ICS Village - an, in dem sich Entwicklerinnen und Sicherheitsexperten austauschen können, um Erfahrungen auszutauschen. Das erklärte Ziel ist es, Steuerungssysteme sicher zu gestalten, sie robust zu implementieren, richtig zu testen, und diese System angemessen zu schützen.
Dienstbare Geister der Infrastruktur
Kontrollsysteme und automatisierte Prozesssteuerung führen normalerweise ein unsichtbares Dasein. Fertigungsstraßen, Gebäudemanagement, Lichtsteuerung, Verkehrssysteme, Industrieanlagen oder Stromversorgung sind unverzichtbare Teile des operativen Geschäfts. Wenn alles funktioniert, dann sieht man nur den Produktionsbetrieb und die Ergebnisse. Erst wenn Fehlfunktionen auftreten, dann sieht man die tragende Rolle, die die Technologien einnehmen. Speziell die COVID-19 Pandemie hat gezeigt, dass Abläufe in Unternehmen und Organisationen selbst in Ausnahmesituationen funktionieren müssen. Da ICS aus tausenden von Komponenten bestehen kann, gibt es viele potentielle Fehlerquellen. Es gilt, da den Überblick zu behalten, sehr gut zu testen und Systeme zu entwickeln, die in Ausnahmesituationen zuverlässig Schaden verhindern müssen.
Die Digitalisierung hat in diesen Bereich schon lange Einzug gehalten. In Kontrollzentralen laufen schon lange alle Daten einer Anlage zentral sowie digital zusammen. Moderne Hardware und Software wird verwendet. Ohne Vernetzung geht es auch nicht. Allerdings lassen sich nicht beliebige Änderungen einführen, schnell anpassen oder bestehende Schnittstellen austauschen, da Systeme in diesem Bereich für den Betrieb über mehrere Dekaden ausgelegt sein müssen. Es gibt klare Standards für die interagierenden Systeme, um die Integration in klare Bahnen zu lenken.
OT - IT - Informationssicherheit
Operations Technology (OT) bezeichnet die Industriesteuerungsanlagen, die in der Produktion verwendet werden. Die darin verwendeten ICS-Komponenten kommen aufgrund der Entwicklungsgeschichte daher klassisch aus der nicht weltweit vernetzten Welt. Die moderne Informationstechnologie kommt hingegen kaum ohne das Internet aus. Verbindet man nun beide Welten, so kann man diese nicht einfach addieren.
Es bedarf eines sicheren Designs. Bestimmte Steuerungsanlagen wurden in der Vergangenheit mit Internetzugängen versehen und durch Filtersysteme abgesichert. Da zwecks Wartung Fernzugriffe nötig sein können, suchen Angreifende natürlich nach diesen - hoffentlich verschlossenen - Türen. Sicherheitsexperten haben in der Vergangenheit immer wieder Lücken im Fernzugriff gefunden. Beliebig Technologien kombinieren, kann also nicht der richtige Weg sein.
Das Rütteln an verschlossenen Türen ist aber nur der Anfang. Eingesetzter Code im ganzen Kontrollsystem, Verbindungen zu Messpunkten oder Kontrollsystemen, Netzwerkprotokolle, Speicherung von Daten, eingesetzte Hardware und vieles mehr sind ebenfalls potentielle Schwachstellen, die angegriffen werden können. Niemand rennt mit dem Kopf durch die Wand, was für Angriffe bedeutet, dass sie auch über Vertrauensverhältnisse und damit von innen kommen können. Es gilt also, Informationssicherheit gleich in das Design einzubauen. Hier setzt das ICS Village der DeepSec an, da es sich bei diesem Schritt um eine fachübergreifende Anstrengung handelt.
Interdisziplinäre Entwicklung
Im November werden Experten aus dem Bereich der Informationssicherheit, Forscherinnen und Unternehmen moderne Lösungsansätze für Industrial Control Systems während der DeepSec Konferenz vorstellen und diskutieren. Alle Anwendenden sind eingeladen, am ICS Village teilzunehmen und davon zu profitieren. Im Ausstellungsbereich finden sich Forschungsprojekte der FH Burgenland zur Verwaltung von IoT-Systemen. Darüber hinaus wird die Entwicklungsfirma sematicon AG vertreten sein, die einen starken Fokus auf Informationssicherheit und Kryptographie in Industrie, Elektronik sowie der IioT-Welt legt.
Vorgestellt wird unter anderem die Lösung se.MIS(TM) für die Wartungen von Industrieanlagen. Es handelt sich dabei um die Möglichkeit der kompletten Selbstverwaltung durch Anlagentechniker mit einem digitalen Wartungsbuch, welches sämtliche Änderungen und Zugriffe dokumentiert. Herkömmliche Fernzugriffsmethoden wie Virtual Private Networks (VPN) decken immer nur Teile der Anforderungen ab. se.MIS(TM) erlaubt den Betrieb mit eigener Datenhoheit, lückenloser Protokollierung für spätere Audits und sicherem Zugang.
Nutzen Sie die Gelegenheit. Lassen Sie sich mit Expertenwissen verbinden. Die DeepSec Konferenz hat eine lange Tradition, Themen der Informationssicherheit konstruktiv und mit Schwerpunkt auf Verteidigung und Verbesserung zu behandeln. Profitieren Sie davon.
Programme und Buchung
Die DeepSec 2020-Konferenztage sind am 19. und 20. November. Die DeepSec-Trainings finden an den zwei vorangehenden Tagen, dem 17. und 18. November, statt. Aufgrund der Beschränkungen für Anreise und eine stabilen Durchführung sind einiger der Trainings virtueller Natur (die Details entnehmen Sie bitte aus dem Programm bzw. fragen bei uns direkt nach). Die DeepINTEL Security Intelligence Konferenz findet am 18. November statt. Beide Veranstaltungen werden unter COVID-19 Gesundheitsmaßnahmen durchgeführt, die wir ständig aktualisiert unter diesem Link https://deepsec.net/docs/Counter_Covid-19.pdf publizieren.
Der Veranstaltungsort für die DeepSec und DeepINTEL Veranstaltung ist das Hotel The Imperial Riding School Vienna - A Renaissance Hotel, Ungargasse 60, 1030 Wien.
Tickets für die DeepSec Konferenz selbst und die Trainings können Sie jederzeit unter dem Link https://deepsec.net/register.html bestellen. Bitte beachten Sie, dass wir aufgrund der Planungssicherheit auf rechtzeitige Ticketbestellungen angewiesen sind.
(Ende)| Aussender: | DeepSec GmbH |
| Ansprechpartner: | René Pfeiffer |
| Tel.: | +43 676 5626390 |
| E-Mail: | deepsec@deepsec.net |
| Website: | deepsec.net/ |
