Foliensatz der VACE Systemtechnik GmbH über Cyber Security für die Industrie mit Aspekten aus dem ICS-Security-Kompendium des BSI, GDPR/EU-DSGVO, sowie Lessons Learned.
Dipl. Bw. (FH) Manfred Brandner (BIT-Group), Dr. Alexander Janda (Kuratorium ...Praxistage
Vom Stakeholder-Prozess zur operativen Unterstützung von Daten- und Informationssicherheit im Unternehmen. Eine Public-Private-Partnership zwischen BIT und KSÖ. - Dipl. Betriebsw. (FH) Manfred Brandner, MBA (BIT-Group), Dr. Alexander Janda (Kuratorium Sicheres Österreich)
Keynote: Wege aus der Krise für Österreichs Wirtschaft. Können Österreichs Unternehmen positiv in die Zukunft blicken? Mag.a Michaela Roither (Geschäftsführerin Industriellenvereinigung Niederösterreich)
Personendaten mit Garantie? Letzter Aufruf zur Nutzung des bereichsspezifischen Personenkennzeichens (bPK) gemäß § 9 E-GovG – Josef Weissinger (Soroban).
Das IT Sicherheitsgesetz heiß am brodelnTorben Haagh
Nun ist es soweit, das IT-Sicherheitsgesetz zum Schutz kritischer Infrastrukturen ist verabschiedet. Wissen Sie, was sich ändert, was Sie ändern müssen? Wie wasserdicht ist das Gesetz und was sagen die Experten dazu? Haben Sie Ihren One-point-of-contact bereits am Platz und die ISMS Zertifizierung realistisch in 2 Jahren umgesetzt? Lesen Sie hier, was die Experten sagen, was sich für EVU ändert und den kompletten Gesetzesentwurf:
http://bit.ly/Experts_Article
frisch aus der Presse: Der IT-Sicherheitskatalog ist veröffentlicht! Das bedeutet, dass es nun kein Warten und keine Entschuldigungen mehr gibt – der Startschuss ist gefallen! Bis zum 30.11.2015 müssen Netzbetreiber der Bundesnetzagentur per E-Mail einen Ansprechpartner IT-Sicherheit benennen. Ist Ihre Infrastruktur wirklich darauf vorbereitet?
Studieren Sie den Sicherheitskatalog und verpassen Sie nicht die Chance, sich noch im September mit anderen Experten auszutauschen – auf der IQPC IT-Sicherheitskatalog & ITSiG Konferenz! Mehr Infos hier:
http://bit.ly/IT_Sicherheit_Agenda
Dipl. Bw. (FH) Manfred Brandner (BIT-Group), Dr. Alexander Janda (Kuratorium ...Praxistage
Vom Stakeholder-Prozess zur operativen Unterstützung von Daten- und Informationssicherheit im Unternehmen. Eine Public-Private-Partnership zwischen BIT und KSÖ. - Dipl. Betriebsw. (FH) Manfred Brandner, MBA (BIT-Group), Dr. Alexander Janda (Kuratorium Sicheres Österreich)
Keynote: Wege aus der Krise für Österreichs Wirtschaft. Können Österreichs Unternehmen positiv in die Zukunft blicken? Mag.a Michaela Roither (Geschäftsführerin Industriellenvereinigung Niederösterreich)
Personendaten mit Garantie? Letzter Aufruf zur Nutzung des bereichsspezifischen Personenkennzeichens (bPK) gemäß § 9 E-GovG – Josef Weissinger (Soroban).
Das IT Sicherheitsgesetz heiß am brodelnTorben Haagh
Nun ist es soweit, das IT-Sicherheitsgesetz zum Schutz kritischer Infrastrukturen ist verabschiedet. Wissen Sie, was sich ändert, was Sie ändern müssen? Wie wasserdicht ist das Gesetz und was sagen die Experten dazu? Haben Sie Ihren One-point-of-contact bereits am Platz und die ISMS Zertifizierung realistisch in 2 Jahren umgesetzt? Lesen Sie hier, was die Experten sagen, was sich für EVU ändert und den kompletten Gesetzesentwurf:
http://bit.ly/Experts_Article
frisch aus der Presse: Der IT-Sicherheitskatalog ist veröffentlicht! Das bedeutet, dass es nun kein Warten und keine Entschuldigungen mehr gibt – der Startschuss ist gefallen! Bis zum 30.11.2015 müssen Netzbetreiber der Bundesnetzagentur per E-Mail einen Ansprechpartner IT-Sicherheit benennen. Ist Ihre Infrastruktur wirklich darauf vorbereitet?
Studieren Sie den Sicherheitskatalog und verpassen Sie nicht die Chance, sich noch im September mit anderen Experten auszutauschen – auf der IQPC IT-Sicherheitskatalog & ITSiG Konferenz! Mehr Infos hier:
http://bit.ly/IT_Sicherheit_Agenda
Digitalisierung der öffentlichen Verwaltung - Ziele, Chancen, Perspektiven, R...Matthias Stürmer
Vortrag an der 12. wissenschaftlichen Tagung der SVVOR (Schweizerische Vereinigung für Verwaltungsorganisationsrecht) am 19. Januar 2018 an der Universität Fribourg
Vortrag auf der 18. DSRI-Herbstakademie in Heidelberg. Der Vortrag diskutiert die wettbewerbsrechtlichen Bedingungen, unter denen ein Zugangsanspruch zu Daten in Betracht kommt und ausgestaltet werden kann.
Ing. Boris Werner, Ing. Reiner Reinbrech, MSc (BMVIT)Praxistage
Breitband Austria 2020: Die Rolle des Staates für ein ultraschnelles Internet in Österreichs Unternehmen. Ing. Boris Werner, Ing. Reiner Reinbrech, MSc (Bundesministerium für Verkehr, Innovation und Technologie).
Mag. Fjodor Gütermann (Breitbandbüro BMLRT)Praxistage
Breitband Austria 2030 - Österreichs Weg in die Gigabitgesellschaft. Mag. Fjodor Gütermann (Breitbandbüro - Bundesministerium für Landwirtschaft, Regionen und Tourismus)
Pforzheimer Schüler für IT-Sicherheit sensibilisierenbhoeck
Sicherheitsspezialist abtis öffnet Türen bei Sommerferienaktion „Offen für morgen“. Schülerinnen und Schüler können sich bei Unternehmensbesuch über IT-Ausbildungsberufe informieren und spannende Einblicke die Welt der IT-Security erhalten.
Cloud- und managed Services – Benutzerfreundlichkeit und Kostenoptimierung auf Kosten von Sicherheit und Geschwindigkeit? – Ing. Martin Krejca (UPC Business)
Die Wirtschaftskanzlei Dentons und die IT-Experten von Prevolution erläutern in ganzheitlichem Ansatz rechtliche Herausforderungen und technische Lösungskonzepte der EU-DSGVO in bundesweiter Veranstaltungsreihe.
INFORMATIK 2014 ist die Jahrestagung der Gesellschaft für Informatik (GI), des Berufs- verbands der Informatikerinnen und Informatiker in Deutschland mit 20.000 Mitgliedern. Regelmäßig sind bei der Jahrestagung mehr als 1.000 Teilnehmer registriert, um aktuelle Themen der Datenverarbeitung und zentrale Fragen der Informatik und der Informations- und Kommunikationstechnologie (IKT) zu diskutieren. Die Konferenz wird vom Informatik-Forum Stuttgart e.V. ausgerichtet und findet an der Universität Stuttgart unter der Schirmherrschaft der Bundesministerin für Bildung und Forschung Frau Prof. Dr. Wanka statt.
M-Files bietet spezielles Toolkit mit Vorlagen und Best-Practices zur Dokumentation und Prozesskontrolle in EU-DSGVO-Projekten basierend auf einer Kooperation mit IT Governance Ltd.
Internet of Things, Industrie 4.0, Big Data, Cloud, Vernetzung und so weiter und so fort. Die Digitalisierung schreitet voran und mit ihr kommen Trends und Buzzwords und gehen wieder. Eines bleibt jedoch: Die Sicherheitsanforderungen an die IT.
Wie können Unternehmen nur so naiv sein, alles blindlings zu vernetzen! Der Vortrag für die CeBIT2016 zeigt Risiken und Chancen in Sachen Internet of Things und Indsutrie 4.0 auf
Die besten Artikel der 7 IT-Insider-Portale auf 60 Seiten: Top-Infos für CIOs zum Thema Infrastruktur, Applikations-Entwicklung/Delivery und Digitalisierung – werbefrei.
Alle CIO-Briefings finden Sie hier: http://www.cloudcomputing-insider.de/cio
productronica's official daily features information about trends and topics directly from the world's leading trade fair for electronics manufacturing.
______________________________
Die offizielle Tageszeitung der productronica informiert über Themen und Trends direkt von der Weltleitmesse der Elektronikfertigung.
Digitalisierung der öffentlichen Verwaltung - Ziele, Chancen, Perspektiven, R...Matthias Stürmer
Vortrag an der 12. wissenschaftlichen Tagung der SVVOR (Schweizerische Vereinigung für Verwaltungsorganisationsrecht) am 19. Januar 2018 an der Universität Fribourg
Vortrag auf der 18. DSRI-Herbstakademie in Heidelberg. Der Vortrag diskutiert die wettbewerbsrechtlichen Bedingungen, unter denen ein Zugangsanspruch zu Daten in Betracht kommt und ausgestaltet werden kann.
Ing. Boris Werner, Ing. Reiner Reinbrech, MSc (BMVIT)Praxistage
Breitband Austria 2020: Die Rolle des Staates für ein ultraschnelles Internet in Österreichs Unternehmen. Ing. Boris Werner, Ing. Reiner Reinbrech, MSc (Bundesministerium für Verkehr, Innovation und Technologie).
Mag. Fjodor Gütermann (Breitbandbüro BMLRT)Praxistage
Breitband Austria 2030 - Österreichs Weg in die Gigabitgesellschaft. Mag. Fjodor Gütermann (Breitbandbüro - Bundesministerium für Landwirtschaft, Regionen und Tourismus)
Pforzheimer Schüler für IT-Sicherheit sensibilisierenbhoeck
Sicherheitsspezialist abtis öffnet Türen bei Sommerferienaktion „Offen für morgen“. Schülerinnen und Schüler können sich bei Unternehmensbesuch über IT-Ausbildungsberufe informieren und spannende Einblicke die Welt der IT-Security erhalten.
Cloud- und managed Services – Benutzerfreundlichkeit und Kostenoptimierung auf Kosten von Sicherheit und Geschwindigkeit? – Ing. Martin Krejca (UPC Business)
Die Wirtschaftskanzlei Dentons und die IT-Experten von Prevolution erläutern in ganzheitlichem Ansatz rechtliche Herausforderungen und technische Lösungskonzepte der EU-DSGVO in bundesweiter Veranstaltungsreihe.
INFORMATIK 2014 ist die Jahrestagung der Gesellschaft für Informatik (GI), des Berufs- verbands der Informatikerinnen und Informatiker in Deutschland mit 20.000 Mitgliedern. Regelmäßig sind bei der Jahrestagung mehr als 1.000 Teilnehmer registriert, um aktuelle Themen der Datenverarbeitung und zentrale Fragen der Informatik und der Informations- und Kommunikationstechnologie (IKT) zu diskutieren. Die Konferenz wird vom Informatik-Forum Stuttgart e.V. ausgerichtet und findet an der Universität Stuttgart unter der Schirmherrschaft der Bundesministerin für Bildung und Forschung Frau Prof. Dr. Wanka statt.
M-Files bietet spezielles Toolkit mit Vorlagen und Best-Practices zur Dokumentation und Prozesskontrolle in EU-DSGVO-Projekten basierend auf einer Kooperation mit IT Governance Ltd.
Internet of Things, Industrie 4.0, Big Data, Cloud, Vernetzung und so weiter und so fort. Die Digitalisierung schreitet voran und mit ihr kommen Trends und Buzzwords und gehen wieder. Eines bleibt jedoch: Die Sicherheitsanforderungen an die IT.
Wie können Unternehmen nur so naiv sein, alles blindlings zu vernetzen! Der Vortrag für die CeBIT2016 zeigt Risiken und Chancen in Sachen Internet of Things und Indsutrie 4.0 auf
Die besten Artikel der 7 IT-Insider-Portale auf 60 Seiten: Top-Infos für CIOs zum Thema Infrastruktur, Applikations-Entwicklung/Delivery und Digitalisierung – werbefrei.
Alle CIO-Briefings finden Sie hier: http://www.cloudcomputing-insider.de/cio
productronica's official daily features information about trends and topics directly from the world's leading trade fair for electronics manufacturing.
______________________________
Die offizielle Tageszeitung der productronica informiert über Themen und Trends direkt von der Weltleitmesse der Elektronikfertigung.
Informationen aus der IT-Sicherheitsforschung. Themen wie Cyber-Sicherheit, Industrie 4.0, Mobile Sicherheti und Produktschutz bzw. Schutz von eingebetteten Systemen.
Die hohe Kunst Tretminen in Ihrer Software zu versteckenteam-WIBU
Es gibt Anwendungsfälle, bei denen das Kryptographie-Lehrbuch standardmäßig verwendet werden kann. Ein gutes Beispiel dafür ist die Verschlüsselung von E-Mails. Im Software-Schutz gilt dies aber nicht. Warum ist dies so? Bei einer E-Mail hat der Anwender selber ein Interesse daran, die eigenen Daten geheim zu halten. Beim Software-Schutz möchte der Anwender einfach mit der Software arbeiten. Es ist ihm dabei egal, ob der Schutz intakt ist und bleibt. Dieser Einsatz in „Feindesland“ geht weit über das Standard-Lehrbuch hinaus. Hier gilt: Tricksen, Täuschen und Tarnen.
Eine sehr effektive Methode für diese Umgebung ist die Verwendung von Fallen, vor allem im Zusammenhang mit einer irreversiblen Sperre des kryptographischen Schlüssels. Ähnlich wie Geräte in Agentenfilmen, die sich nach dem Lesen selbst vernichten. Im Software-Schutz erfolgt die Zerstörung nur, wenn eine Falle ausgelöst wurde. Ein normaler Kunde verwendet die Software ohne Einschränkung und ohne etwas von diesen Fallen zu merken. Der Hacker löst sie aus und zerstört sich damit die Möglichkeit der weiteren Analyse.
Webinar anschauen: https://youtu.be/HCEMYzNw_K4
Beitrag von Frau Prof. Eckert zum Thema "Design for Security - Cyber-Sicherheit gestalten!" auf der Cybersecurity 2013 des Handelsblatt am 10. Juni 2013 in Berlin
„Cyber-Kriminalität wächst und ist auf dem 4.Platz aller kriminellen Taten. Cyber-Kriminalität ist nicht das Technologie Problem, es ist das Business- und das Strategie-Problem“. Quelle: PWC 2014 Crime-Survey
Wie sich Unternehmens– und Arbeitsprozesse durch die Cloud verändern werdeneBusiness-Lotse Potsdam
Vortrag von Bernd Becker, Vorsitzender von EuroCloud Deutschland e.V., auf der Veranstaltung "Cloud Computing - Impulse für die Wirtschaft" am 17. September 2013 in der IHK Potsdam
GAI NetConsult diskutiert auf Konferenz über Informationssicherheit in Energi...bhoeck
Experten tauschen sich auf der Fachtagung "IT-Sicherheit - Bedrohungen und Schutzmechanismen für elektrische Netze" über Lösungen für die Sicherheit in der Energiebranche aus.
CryptWare hat eine Smartphone-Schnittstelle für seine PreBoot-Technologie entwickelt, damit die Anwender sich mit ihrem Smartphone am BitLocker und gleichzeitig via Single SignOn am Windows-Betriebssystem sicher anmelden können. Die Anmeldung per Smartphone ist eine weitere Zwei-Faktor-Authentisierung neben der Chipkarte mit SmartCard Reader des IT-Security-Experten CryptWare.
Live Hacking – Wie (un)sicher sind Android, iPhone, Blackberry & Co.?Connected-Blog
M-Days 2012
Live Hacking – Wie (un)sicher sind Android, iPhone, Blackberry & Co.?
Marco Di Filippo, Compass Security AG
Das Blog der Messe Frankfurt zur Digitalisierung des Geschäftslebens:
http://connected.messefrankfurt.com/de/
Beim interaktiven Workshop "Be Smart" haben wir gemeinsam mit unseren Kunden individuelle Lösungsansätze für die Implementierung von Internet of Things Projekten erarbeitet.
Sicherheitsbetrachtung der Cloudifizierung von Smart- DevicesConnected-Blog
Voice + IP 2012
Sicherheitsbetrachtung der Cloudifizierung von Smart- Devices
Roger Klose, SHE Informationstechnologie AG
Das Blog der Messe Frankfurt zur Digitalisierung des Geschäftslebens:
http://connected.messefrankfurt.com/de/
Ähnlich wie Cyber Security für vernetzte Industrie (20)
2. www.vace-sec.at VACE-Security – member of the VACE Group
security@vace.at
Wer ist VACE? - Unternehmensüberblick
1981 Gründung der VACE
Die „Voest Alpine Consulting Engineering“ - kurz VACE - wird am Standort
Linz gegründet.
Eingliederung in die MCE
Im Zuge einer Umstrukturierung wird die VACE von der damaligen MCE
übernommen.
neue Eigentümerstruktur
Dreißig Jahre nach ihrer Gründung wird die VACE von der damaligen MCE
losgelöst.
Gründung der VACE GROUP
Neu aufgestellt präsentiert sich die VACE Group als spezialisierter
Industriedienstleister mit 8 Standorten in Österreich und Deutschland.
1990
2010
2014
3. www.vace-sec.at VACE-Security – member of the VACE Group
security@vace.at
Wer ist VACE? - Unternehmensüberblick
Geschäftsleitung Helmut Altreiter, Andreas Obermüller,
Franz Humer, Klaus Kremmair
VACE-Bereiche VACE Engineering, VACE Systemtechnik, VACE
IT Services, VACE Security, VACE Education & Training
Über 1.200 Mitarbeiter
Unsere Vorzüge
• ISO 9001:2008 zertifiziert
• Best Recruiters 2016/17 mit goldenem Siegel
• Kununu-Arbeitgeber-Ranking Platz 3
• Trend-Ranking – Top Arbeitgeber 2017
Andreas Obermüller Helmut Altreiter
Franz Humer Klaus Kremmair
4. www.vace-sec.at VACE-Security – member of the VACE Group
security@vace.at
Aktuelle Bedrohungen – Cyber Security betrifft
Whistleblower
Geheimdienste erspähen Kundendaten. Admins haben Zugriff auf fast alle Daten.
In Europa laufen mindestens dreimal so viele Daten über verschlüsselte
Verbindungen wie noch Anfang 2013.
WannaCry, Heartbleed, Glibc
Fehler in breit verwendeten, sicher geglaubten Technologien –
siehe WannaCry von 2017, glibc von 2016,
OpenSSL-Fehler von 2014.
KRITIS
Wir sind mehr denn je von technischen Systemen abhängig. Kritische Infrastrukturen
Strom, Trinkwasser, Informations- und Kommunikationstechnologie, Bankwesen, Treib- und
Brennstoff, Verkehr, …
Die NIS Richtlinie für „Netz- und Informations-Sicherheit“ tritt zeitgleich zur EU-DSGVO im
Mai 2018 in Kraft.
Öffentliche Einrichtungen
Cyberangriffe richten sich auch gegen öffentliche Einrichtungen.
Alle IT- Systeme können von Angriffen betroffen sein.
• Über 50% aller Unternehmen sind bereits betroffen
• Alle betroffenen Unternehmen nutzten Virenscanner, Firewalls sowie Passwortschutz
• Beliebteste Angriffsziele sind die Automobilindustrie, Chemie- und Pharma-Branche sowie Banken und Versicherungen
Quelle Bitkom.org 09.07.2015
Studie zu Wirtschaftsschutz und Cybercrime
52 % aktuelle oder
ehemalige Mitarbeiter
39 % Wettbewerber,
Lierferanten,
Dienstleister, Kunden
17% Hacker
11% organisierte
Bandenkriminalität
3% Geheimdienste
5. www.vace-sec.at VACE-Security – member of the VACE Group
security@vace.at
Aktuelle Vorfälle
Mai 2017: WannaCry infiziert über 230.000 Computer
Am 12. Mai 2017 wurde ein schwerwiegender Cyber-Angriff in 150 Ländern beobachtet. Unter den betroffenen Unternehmen befanden sich unter
anderem der französische Autokonzern Renault, der japanische Autohersteller Nissan, das US-Logistikunternehmen FedEx, die Deutsche Bahn mit der
Logistiktochter Schenker sowie Teile des britischen National Health Services (NHS). Der Angriff nutzte eine Sicherheitslücke aus, die dem US-
amerikanischen Auslandsgeheimdienst NSA mehr als 5 Jahr lang bekannt war.
März 2017: Wirtschaftsspionage bei Firma Bulmor Industries vereitelt
Laut Auskunft der Landespolizeidirektion und des Verfassungsschutzes wurde ein Fall von Industriespionage beim oberösterreichischen Unternehmen
Bulmor Industries erfolgreich verhindert. Die vermeintlichen Täter wollten die Technologie für einen neuen Supergabelstapler ins Ausland verkaufen –
für mehrere 100.000 Euro. Die Ermittlungen wurden gestartet, als sich ein ausländischer Mitbewerber beim Perger Unternehmen meldete.
Dezember 2016: Thyssenkrupp wird Opfer von massiven Hacker-Angriff
Die Abwehr eines erfolgreichen Angriffs dauerte beim deutschen Industriekonzern mehr als sechs Monate. Die Angreifer hätten versucht, von einem IT-
System, das bereits geknackt wurde, auf weitere Systeme einzudringen. Es wird vermutet, dass der Zugriff über Phishing-E-Mails erfolgt sein könnte. Das
IT-Sicherheitsteam konnte den Angriff letztendlich abwehren.
August 2016: Autozulieferer Leoni wird Betrugsopfer: 40 Millionen Euro
Der deutsche Autozulieferer Leonie wurde um etwa 40 Millionen Euro betrogen. Das Vorgehen der Täter entspricht der sogenannten „Fake-President-
Trick“, mit der Unbekannte bereits in den vorangegangenen Monaten andere Unternehmen um große Beträge erleichtert hatten.
7. www.vace-sec.at VACE-Security – member of the VACE Group
security@vace.at
Vernetzung - Entwicklungsstufen der Industrie
INDUSTRIE 1.0 –
Mechanisierung
durch Einführung
mechanischer
Produktionsanlagen mithilfe
von Wasser- und Dampfkraft
1784 Erster mechanischer
Webstuhl
INDUSTRIE 2.0 –
Elektrifizierung
durch Einführung
arbeitsteiliger
Massenproduktion mithilfe
von elektrischer Energie
1870 Erstes Fließband,
Schlachthöfe von Cincinnati
INDUSTRIE 3.0 –
Automatisierung
von Produktionsprozessen
durch Einsatz von Elektronik
und IT
1969 Erste speicher-
programmierbare Steuerung
(SPS), Modicon 084
INDUSTRIE 4.0 –
Vernetzung von
Menschen, Maschinen
(M2M) und Dingen
(Internet der Dinge)
auf Basis von cyber-
physischen Systemen
BEGINN20.JAHRHUNDERTENDE 18. JAHRHUNDERT BEGINNDER 70ERJAHRE HEUTE
8. www.vace-sec.at VACE-Security – member of the VACE Group
security@vace.at
Industrieunternehmen
Cloud
Supply Chain
Produktion USAProduktion CZ
Niederlassung FR
Hauptstandort Österreich
9. www.vace-sec.at VACE-Security – member of the VACE Group
security@vace.at
Nutzung von Cloud Computing in der EU
www.vace-sec.at VACE-Security – member of the VACE Group
security@vace.at
17% 21% 57%
Österreich EU-Durchschnitt Finnland
Quelle: Eurostat, Cloud computing use in EU enterprises 2016
10. www.vace-sec.at VACE-Security – member of the VACE Group
security@vace.at
Nutzung von Cloud Computing in Österreich
www.vace-sec.at VACE-Security – member of the VACE Group
security@vace.at
12% 20% 45%
Produzierende
Industrie
Dienstleistungen IKT-Sektor
Quelle: Statistik Austria, Unternehmen mit Nutzung von Cloud Services 2016
11. www.vace-sec.at VACE-Security – member of the VACE Group
security@vace.at
INDUSTRIAL
IoT
KNOW-HOW &
GEHEIMNISSCHUTZ
ABSICHERUNG
VON
PRODUKTIONS-
AUSFÄLLEN
PRODUKTHAFTUNG
PRODUKTBEOBACH-
TUNGSPFLICHTEN
DATENSCHUTZ
PRIVACY BY
DESIGN
IT-SICHERHEIT
Sicherheitsaspekte bei Industrial IoT
12. www.vace-sec.at VACE-Security – member of the VACE Group
security@vace.at
IndustRIal
IoT
Vorbeugende
Wartung
Digitale
Kooperation
Stabilere
Produktion
bei
geringeren
Kosten
Geister-
schichten
Disruptive
Geschäfts-
modelle
Digitaler
Zwilling
Chancen bei Industrial IoT
13. www.vace-sec.at VACE-Security – member of the VACE Group
security@vace.at
Top 10 ICS Bedrohungen des BSI (BSI-CS-005)
1. Social Engineering und Phishing
2. Einschleusen von Schadsoftware
über Wechseldatenträger und
externe Hardware
3. Infektion mit Schadsoftware
über Internet und Intranet
4. Einbruch über
Fernwartungszugänge
5. Menschliches Versagen und
Sabotage
6. Internet-verbundene
Steuerungskomponenten
7. Technisches Fehlverhalten und
höhere Gewalt
8. Kompromittierung von
Extranet und Cloud-
Komponenten
9. (D)DoS-Angriffe
10. Kompromittierung von
Smartphones im
Produktionsumfeld
Quelle: Bundesamt für Sicherheit in der Informationstechnik (Deutschland)
https://www.allianz-fuer-cybersicherheit.de/ACS/DE/_/downloads/BSI-CS_005.pdf?__blob=publicationFile
14. www.vace-sec.at VACE-Security – member of the VACE Group
security@vace.at
Beispiel: Einbruch über Fernwartungszugänge
VNC Keyhole ist ein Projekt
von Marco DiFilippo und
dient als Awareness-Tool.
Beschreibung
Das Projekt sucht nach offenen, und
ungeschützten Fernwartungszugängen
und stellt diese in Form von
Screenshots dar.
Zweck
Steigerung des Problembewusstseins
Website: http://vnckh.com
15. www.vace-sec.at VACE-Security – member of the VACE Group
security@vace.at
IoT Device Default Password Lookup
DefPass.com ist ein Projekt von
Marco DiFilippo und dient als
Awareness-Tool.
Beschreibung
Das Projekt stellt Standard-Zugangsdaten
für (Industrial) IoT-Geräte bereit.
Zweck
Steigerung des Problembewusstseins
Website: http://defpass.com
16. www.vace-sec.at VACE-Security – member of the VACE Group
security@vace.at
Internet-verbundene Steuerungskomponenten
Shodan ist eine
Computersuchmaschine von
John Matherly.
Beschreibung
Die 2009 veröffentlichte Plattform
durchsucht das Internet und stellt die
Informationen in einer einfachen, und
übersichtlichen Art dar. Neben
grafischen Auswertungen, und
einfachen Suchabfragen, gibt es auch
Programmierschnittstellen.
Zweck
Steigerung des Problembewusstseins
Website
https://www.shodan.io
18. www.vace-sec.at VACE-Security – member of the VACE Group
security@vace.at
(D)DoS durch ein IoT-Botnetz
Quelle: Twitter.com - https://twitter.com/olesovhcom/status/778019962036314112
19. www.vace-sec.at VACE-Security – member of the VACE Group
security@vace.at
(D)DoS durch ein IoT-Botnetz
Das Mirai-Botnet (japanisch für „Zukunft“)
infiziert zunehmend IoT-Geräte.
Beschreibung
Im September 2016 wurde auf „Krebs On
Security“ ein Angriff mit 620 Gbps
durchgeführt und auf den französischen
Cloud Dienstleister OVH, mit ca. 1 Tbps.
Der Quellcode ist inzwischen im Internet
verfügbar.
Quelle: Github.com – Leaded Mirai Botnet-
Quellcode:
https://github.com/jgamblin/Mirai-Source-Code
20. www.vace-sec.at VACE-Security – member of the VACE Group
security@vace.at
• Unterbrechung des Geschäftsbetriebes (inkl. Zusammenbruch der
Lieferantenkette)
• Sicherheitsvorfälle (Cyber Crime, Datenlecks, IT-Fehler)
• Reputationsverlust
• Diebstahl, Betrug, Korruption, Sabotage und Terrorismus
• Neue Technologien, Kollateralschäden
• Menschliche Fehler
• Blackouts
Auszug Global Business Risken für 2016
Quelle: Allianz Risk Barometer 2016 / in Anlehnung an Herbert Dirnberger (Cyber Security Austria)
http://www.agcs.allianz.com/assets/PDFs/Reports/AllianzRiskBarometer2016.pdf
21. www.vace-sec.at VACE-Security – member of the VACE Group
security@vace.at
Wenn Sie heute wüssten,…
…dass auch Ihrem Unternehmen demnächst ein Cyberangriff droht,…
…wäre es bereits zu spät!
Jedes zweite betroffene Unternehmen wurde erst nach einer Verweildauer von
durchschnittlich 150 Tagen im Kundennetzwerk durch externe Stellen auf die Attacke
aufmerksam gemacht!
22. www.vace-sec.at VACE-Security – member of the VACE Group
security@vace.atwww.vace-sec.at VACE Security – member of the VACE Group
security@vace.at
Sicherheit ist ein Prozess
SICHERHEITS
MANAGEMENT
PROZESS
TECHNISCHE
MAßNAHMEN
VALIDIERUNGUND
VERBESSERUNG
RISIKOANALYSE
RICHTLINIEN,
ORGANISATORISCHE
MAßNAHMEN
3
4
1
2
23. www.vace-sec.at VACE-Security – member of the VACE Group
security@vace.atwww.vace-sec.at
• Grundrecht für EU Bürger Die Europäische Union verankert den Schutz, natürlicher Personen betreffende,
personenbezogene Daten auf Grundrechtsebene
• EU-weites Datenschutzrecht Die Verordnung ist der Versuch alle 28 bestehende nationale Gesetz zu
vereinheitlichen – auf Grund der Öffnungsklauseln unzureichend
• Sanktionen
• bis 10 Mio. € bzw. 2% des weltweiten Vorjahresumsatzes
• Bei Verletzung technischer und organisatorischer Schutzmaßnahmen
• Fehlender Nachweis der Verarbeitungstätigkeit, Datenschutz-Folgenabschätzung
• bis 20 Mio. € bzw. 4% des weltweiten Vorjahresumsatzes
• Verletzung der Rechtmäßigkeit, mangelnde oder nicht vorhandene Einwilligung
• Verletzung der Rechte Betroffener
• Drittlandübermittlung
• Fehlende Zusammenarbeit mit der Aufsichtsbehörde
• Beweislastumkehr: der Verantwortliche muss die Rechtskonformität seiner Datenverarbeitung nachweisen.
• Meldepflicht bei Datenschutzvergehen, innerhalb von 72 Stunden an die Behörde und die Betroffenen.
• Handlungsbedarf – die Maßnahmen sollten bis zum 25. Mai 2018 bereits umgesetzt sein!
VACE Security – member of the VACE Group
security@vace.at
Datenschutz Grundverordnung EU-DSGVO
24. www.vace-sec.at VACE-Security – member of the VACE Group
security@vace.at
Überblick über Cyber Security Maßnahmen
VACE Security – member of the VACE Group
security@vace.at
Planung der Audits
Compliance Dashboard
Control Assessment
Übersicht der Controls
25. www.vace-sec.at VACE-Security – member of the VACE Group
security@vace.at
Diskussion zum Abschluss
Safety, Security, Resilienz und Privacy von Anfang an
Das deutsche Cybersicherheitsgesetz und die Europäische
Datenschutzgrundverordnung (EU-DSGVO) setzen die ersten Schritte
in diese Richtung.
Industrial IoT vs. IoT vs. IT vs. AT
Jeder Teilbereich bringt unterschiedliche Aspekte mit sich und es ist
daher umso entscheidender zu verstehen worin die Unterschiede und
die Gemeinsamkeiten von (Industrial) IoT, IT und AT liegen.
Chancen und Risiken erkennen
Durch eine zunehmende Vernetzung können Synergieeffekte genutzt
werden, allerdings müssen die Technologien sicher und beherrschbar
angewendet werden, denn sonst wird aus einer Chance ein Risiko.
Legacy von Stunde 0 weg
Ohne einer Risiko- und Technologie-Folgenabschätzung von Anfang
an, kann ein Digitalisierungs-Projekt in einem Legacy-Projekt enden.
www.vace-sec.at VACE-Security – member of the VACE Group
security@vace.at
26. www.vace-sec.at
VACE Systemtechnik GmbH
Linzer Straße 16e
A-4221 Steyregg
Das Angebot an Dienstleistern für Human Ressources, Engineering, Training und
Education, Netzwerk- und IT-Security-Dienstleister, ist groß,…
…aber wir vereinen all diese Kernkompetenzen
zum einzigartigen Nutzen für Sie!