Beschreibung
Die zunehmende Verbreitung und Vernetzung von IoT-Geräten führt zu neuen und größeren Herausforderungen für die Cyber Security, den Chief Information Security Officer (CISO) und angrenzende Abteilungen in Unternehmen und Organisationen. So werden in komplexen Lieferketten etwa die Prozesssteuerungsanlagen zahlreicher Hersteller von Einzelkomponenten oder Teilprodukten miteinander vernetzt. Sie tauschen z. B. Informationen mit dem Vertrieb oder sogar dem Endkunden des Unternehmens aus. Einige Informationen sind dabei aus Sicherheitssicht unkritisch, andere sind sehr sensibel.
Wir wollen in unserem Workshop das Themengebiet „IoT“ greifbarer machen und inhärente Sicherheitsanforderungen diskutieren. Dazu wollen wir konkrete Praxis-Erfahrungen austauschen und besprechen, worin die Herausforderungen bestehen, wie wir sie lösen können und welche Rolle der CISO dabei spielen kann.
Programm
Agenda (Stand 30.01.2018)
| 10:15 | Begrüßung & Vorstellung der Fachgruppe SECMGT (Kirsten Messer-Schmidt, Sprecherin der Fachgruppe) Vorstellung der Sponsoren DB Systel GmbH (Gastgeber) und TÜV TRUST IT GmbH (Getränke) |
| 10:40 | Andreas Fuchs, Fraunhofer SIT: Einführung in die IoT-Security - Ihre Facetten und Klassifizierung Mit dem Aufkommen des IoT werden die Erwartungen aber auch Risiken der vormals sogenannten "Mobilen Gesellschaft" tatsächlich Realität. Aus geschlossenen Räumlichkeiten und sicheren Kanälen entstehen heute hochverteilte und kooperative Anwendungen in offener Kommunikation. Mit dieser Entwicklung geht eine Veränderung der fundamentalen IKT-Architektur einher, die auch eine veränderte Herangehensweise im Sinne der IT-Security bedingt. Dieser Vortrag betrachtet diese neuen Facetten in Architektur und Anforderungen und versucht eine Klassifizierung der IT-Security-Lösungen im Sicherheitslebenszyklus einer IoT-Infrastruktur. |
| 11:25 | Kommunikationspause - Zeit zum Wissensaustausch |
| 11:40 | Sundeep Singh Kang, KPMG: Komfort oder Katastrophe – IoT-Security in der Welt von morgen Der Vortrag setzt sich mit den folgenden Fragen und Aspekten auseinander: - Warum wird die IoT-Sicherheit eine immer größere Rolle spielen? - Entwicklung der verbundenen IoT-Systeme bis 2020 und die daraus resultierende Gefährdungslage.
- Was sind die größten Herausforderungen bei der IoT-Sicherheit? - Etablierung von Rollen, Verantwortlichkeiten und Konzepte im gesamten Produktlebenszyklus.
- Was sind die meistgemachten Fehler in der Praxis? - Managementfehler und wie sich diese vermeiden lassen, typische technische Sicherheitsschwachstellen in IoT-Produkten.
- Lessons Learned: Wie sich sichere IoT-Produkte entwickeln lassen.
- Quick Wins: Wie man die PS auf die Straße bringt.
- Pragmatische Vorgehensweisen und Methoden für die bedarfsgerechte Umsetzung.
|
| 12:25 | Mittagspause – Zeit zum Wissensaustausch |
| 14:10 | Dr. Heinrich Seebauer, Swistec GmbH: IT-Sicherheitsanforderungen an Energieverteilnetze und Herausforderungen bei ihrer Realisierung (Praxisvortrag) Der Umstieg auf den überwiegenden Einsatz erneuerbarer Energien ist nur mit weit reichenden Veränderungen der (Strom-) Verteilnetze zu erreichen. Zentrale Versorgungsstrukturen werden dabei mehr und mehr durch verteilte Energieerzeugung ersetzt. Der Betrieb und die Absicherung der IT-Infrastrukturen für die "intelligenten" Verteilnetze bedeutet für die Betreiber und die mit Sicherheitsfragen befassten Personen tief greifende Änderungen bei Planung, Aufbau und Betrieb, Personalbeschaffung, Auftragsvergabe und Administration. Der Gesetzgeber hat weit reichende Vorschriften zur IT-Sicherheit erlassen, um die IT-Infrastrukturen der Verteilnetze gegen unbefugte Eingriffe zu schützen. Funktionsfähigkeit und Akzeptanz der zukünftigen Verteilnetze hängen entscheidend von der Realisierung dieser Vorgaben ab. |
| 14:55 | Kommunikationspause - Zeit zum Wissensaustausch |
15:10 | Werner Metterhausen, Von zur Mühlen'sche GmbH: ICS - Security: Wer macht's und was muss gemacht werden? Ein Praxisbericht zum Stand der Dinge aus der Sicht eines Herstellers und eines Betreibers. Die Sicherheit von ICS (Industrial Control Systems) stellt Hersteller und Betreiber vor Probleme. ICS sind Teil einer „Anlage“ (Haus, Schiff, Kraftwerk usw.). Wer Anlagen bauen kann, ist noch lange kein Experte für „Cyber-Security“. Der Betreiber der Anlage muss die Anlage abnehmen und anschließend im Betrieb die Risiken der Anlage beherrschen. Ist er genügend „Cyber-Security-Experte“? Der Vortrag ist ein Praxisbericht darüber, wie ein Anlagenbauer das Thema adressiert, wie zwei Betreiber mit ICS Sicherheit umgehen und wo Verbesserungsbedarf sichtbar wird. |
| 15:55 | Kommunikationspause - Zeit zum Wissensaustausch |
| 16:10 | Moderierte Diskussion/Erfahrungsaustausch
Erfahrungen der Teilnehmer mit der Rolle des CISO in IoT-gesteuerten Unternehmen |
| 16:45 | Ende der Veranstaltung |