Im Zeitalter von Industrie 4.0 ergeben sich aus der zunehmenden Digitalisierung neue Herausforderungen für die Cyber-Sicherheit der Industrie. Ebenso wie sich Effizienz und Reichweite der Produktion mit zunehmender Vernetzung vervielfältigen, nimmt auch die Verwundbarkeit der IT-Gesamtsysteme zu. Das hohe Risiko von gezielten Cyberangriffen und damit verbundenen Schäden und Produktionsausfällen verlangt nach neuen Konzepten im Umgang mit der Cyber-Sicherheit in der Automatisierungsindustrie. Insbesondere gilt es, effiziente Wege zur Minimierung des steigenden Risikos für die Unternehmen in dieser Session aufzuzeigen.
Session 1
Effiziente Risikominimierung durch CERT@VDE
Während große Unternehmen oftmals bereits über eigene Notfallteams (sog. Computer Emergency Response Teams, CERT) und spezialisierte Produktsicherheitsteams (Product Security Incident Response Teams, PSIRT) verfügen, sind diese bei kleinen und mittleren Unternehmen (KMU) meist nicht vorhanden oder verfügen nur über eingeschränkte Ressourcen. Zudem fehlt es dort oft an Routine im Umgang mit Schwachstellen, bei der Erstellung von Sicherheitswarnmeldungen (Advisories) und bei der Kommunikation, z.B. mit externen Sicherheitsforschern oder mit anderen CERTs, wie dem ICS-CERT in den USA. Zudem arbeiten bisher die meisten Hersteller allein an einer Lösung. Ein firmenübergreifender Austausch findet in der Regel nicht statt, obwohl eine Schwachstelle oftmals verschiedene Hersteller betrifft und durch Kooperation Synergieeffekte genutzt werden können. Im Falle einer schwerwiegenden Schwachstelle fehlen KMUs Erfahrung, Expertise und Informationen, um die akute Bedrohungslage souverän, koordiniert und umfassend zu meistern.
CERT@VDE ist die erste Plattform in Deutschland zur Koordination von IT-Security-Problemen speziell für KMU im Bereich Industrieautomation: Sie bietet Herstellern, Integratoren, Anlagenbauern und Betreibern aus dem Bereich Industrieautomation die Möglichkeit zum intensiven und vertrauensvollen Informationsaustausch und konkrete Unterstützung beim Thema Cybersecurity.
Referent
Andreas Harner, Abteilungsleiter CERT@VDE & Cybersecurity, VDE Verband der Elektrotechnik Elektronik Informationstechnik e. V.
Session 2
Verantwortlichkeit für IT-Produkte: Updatepflicht oder Updatekür?
IT-Sicherheit ist ein fortlaufender Prozess – das betrifft gerade auch Softwareupdates von Produkten, die die IT-Sicherheit betreffen. Welche rechtlichen Anforderungen gelten hier jetzt und zukünftig? In welchem Umfang muss ich Updates bereithalten, und eventuell sogar kostenfrei? Diese und weitere Fragen soll der praxisnah gestaltete Vortrag klären.
Referent
Dr. Dennis-Kenji Kipker, Legal Advisor, CERT@VDE
Session 3
Von 0days und Exploits – Verletzlichkeiten in Software und ihre Abhilfe
Es ist ziemlich viel von Schwachstellen in Software-Produkten zu lesen und hierbei werden oft einzelne Verletzlichkeiten im Detail beleuchtet. Die tatsächlichen Probleme unterscheiden sich allerdings gravierend sowohl in ihren Auswirkungen als auch in ihren Ursachen. Wir verschaffen uns einen Überblick über die verschiedenen Ausprägungen von Sicherheitslücken in Software, wie sie entstehen und wie sie in einem modernen, agilen Entwicklungsmodell verhindert werden können.
Referent
Jan Münther, Head of Digital Product Security, OSRAM GmbH
Das Webinar findet am 13. April 2021 von 10–13 Uhr statt und ist Teil der dreiteiligen Veranstaltungsreihe “Zwischen Recht und Technik – Cybersecurity in der Unternehmenspraxis” von reuschlaw Legal Consultants und dem VDE.
Tickets kosten 99,– € zzgl. Steuern und Gebühren und können bei Eventbrite erworben werden.
zurück