2. IFIT-Roundtable „IT-Sicherheit in Industrienetzen“ in Bremen
Am 30. Mai lud das Freie Institut für IT-Sicherheit (IFIT) ein zweites Mal zum Round Table ein, um das Thema „IT-Sicherheit in Industrienetzen“ weiter zu diskutieren. Der Workshop wurde diesmal in Bremen bei der HEC GmbH im Schuppen Eins in der Überseestadt organisiert und war gut besucht. Wie beim ersten Treffen gab es verschiedene Impulsvorträge, um im Anschluss die jeweiligen Themen genauer zu spezifizieren und zu diskutieren. Als aktives IFIT-Mitglied nahm auch die DECOIT® GmbH daran teil.
Auf der Agenda stand an erster Stelle, den Status Quo zum „Stand der Technik“ wiederzugeben. Dies war als Wunsch beim ersten Treffen geäußert worden und wurde durch die Firma Achtwerk moderiert. Hierzu wird derzeit ein sog. Security Day für Planer im Oktober organisiert, der für mehr Sensibilisierung des Themas IT-Sicherheit sorgen soll und die Mehrwerte einer IFIT-Mitgliedschaft aufzeigen soll. Die Planung hat erst kürzlich begonnen, weshalb diverse Themen sehr kontrovers angesprochen wurden. So wurde darüber gesprochen, dass eine Cyber-Versicherung sich noch in der Definitionsphase befindet, weil bisher niemand das Risiko einschätzen kann. Auf der anderen Seite arbeite man in der Automatisierung stark nach Normen, während man sich im IT-Umfeld weitestgehend an Standards orientiert. Neue Normen kommen gerade auf den Markt (z.B. IEC 62443), die noch nicht zu Ende definiert wurden oder gar überprüft werden könnten. Zusätzlich werden sog. Trusted Signets ausgestellt (z.B. für Online-Shops), die nur Selbstverpflichtung beinhalten. Um Angriffe begreifbarer zu machen, wurde die Idee geäußert, Honeypots aufzusetzen. Dadurch ließen sich Vorfälle sichtbar machen.
Das Thema „Awareness“ wurde von der HEC selbst initiiert und vorgetragen. Wichtig ist hierbei, eine aktive Haltung zum Thema IT-Sicherheit bei Mitarbeitern zu schaffen. Sicherheit wird heute allerdings nicht als integraler Prozess gesehen, sondern immer noch nur als Kostenfaktor. Sensibilisierung kann dabei durch verschiedene Maßnahmen, wie Flyer, E-Mails, Live-Hacking, geschehen. Planspiele sind ein interessantes neues Medium in diesem Umfeld. Auch bieten Anti-Viren-Hersteller immer öfter Baukästen an, durch die Fake-Viren nach einer Mitarbeiter-Schulung intern verschickt werden. Dies kann aber rechtlich problematisch sein, bzw. durch Betriebsräte ausgehebelt werden. Alle waren sich einig, dass IT-Themen einfacher und praxisnäher präsentiert werden müssen, um alle Mitarbeiter abzuholen. Eine Idee wäre der IT-Führerschein für IT-Sicherheit. Ähnliches gibt es bisher in anderen Bereichen in der Automatisierung. Aber wie kann man im Anschluss Awareness messen? Hinzu kommt, dass heute viele Industrie-Anlagen von verschiedenen Dienstleistern mit unterschiedlichem Sicherheitswissen gewartet werden.
Abschließend referierte die Hochschule Bremen über Forschungs- und Entwicklungsmöglichkeiten mit der Industrie. Sie selbst hat Interesse an Kooperationsprojekten mit Industrieunternehmen. Durch verschiedene Calls bei BMBF oder BMWi könnten gemeinsame Forschungsprojekte gewonnen werden. Auch die DECOIT® wickelte schon diverse Projekte mit der Hochschule Bremen erfolgreich ab, weshalb über die Erfahrung kurz referiert wurde. In studentischen Projekten bereitete die Hochschule Bremen das Thema Hacking auf, indem selbst Viren geschrieben wurden, die von AV-Systemen nicht erkannt werden konnten. Dies war relativ einfach möglich, was angesichts der aktuellen Medienberichte nicht verwundert. Zielsetzung der Hochschule ist es, Informationssicherheit allgemein in die Anwendung zu bringen. Das ist auch Ziel der Forschungsprojekte.
Das Round-Table-Treffen war wieder sehr gut besucht und brachte interessante neue Diskussionen zutage. Daher einigten sich die Teilnehmer bereits auf einen Nachfolgetermin. Die DECOIT® GmbH wird auch weiter an den Diskussionen teilnehmen, da sie ebenfalls in hohem Maße an einer Sensibilisierung für das Thema IT-Sicherheit interessiert ist. Wir werden Sie weiterhin auf dem Laufenden halten!