Über das Thema „IT-Sicherheit in der Normung“ referierte Christian Seipel. Er ist Projektmanager für Core Safety & Information Technologies bei der DKE (Deutsche Kommission Elektrotechnik Elektronik Informationstechnik) in Frankfurt. Die DKE ist die in Deutschland zuständige nationale Organisation für die Erarbeitung von Normen und Sicherheitsbestimmungen in dem Bereich der Elektrotechnik, Elektronik und Informationstechnik. Sie ist eine Zusammenarbeit von VDE und DIN und in die Normungsarbeit in der EU aber auch in die internationale Normung eingebunden. Sie leistet dabei einen wichtigen Beitrag für die Standardisierung im technischen und nicht-technischen Bereich unseres täglichen Lebens. Normen und Standards helfen, einheitliche Anforderungen und Lösungsansätze für sichere Produkte und Systeme zu beschreiben. Die DKE hat es sich auch für die Cyber Security zur Aufgabe gemacht, eine Übersicht über existierende sicherheitsrelevante Normen und Gesetze zu schaffen. Mit der Einhaltung von Normen und Standards kann gezeigt werden, dass alles Sinnvolle getan wurde, um ein Produkt oder System sicher zu machen, dies ist dokumentiert und kann ggf. auch danach zertifiziert werden. Ziel der Normung ist es, Leitplanken und Hilfestellungen für sichere Produkte und System zu geben. Christian Seipel gab auch einen Überblick über die vom DKE erarbeiteten Normen nach ihrem Zielanwenderkreisen.
Unter dem Titel „Phänomene der Cyberkriminalität“ informierten zwei Mitarbeiter der Zentralen Ansprechstelle Cybercrime – ZAC“ im Bayerischen Landeskriminalamt aus München die Zuhörer. Die Zentrale Ansprechstelle Cybercrime im Bayerischen LKA ist in Sachen Cybercrime der „Single Point of Contact“ der Bayerischen Polizei für alle Verbände, Unternehmen, Behörden und sonstigen Institutionen. Dabei gingen die Referenten auf die häufigsten Ursachen und Straftatbestände für Cyberangriffe ein und gaben konkrete Empfehlungen zum Schutz vor Cybercrime. Mitarbeiter von Unternehmen sollten immer ein gesundes Misstrauen walten lassen, wenn unbekannte Dritte Anfragen zur Herausgabe von Informationen stellen. Sie zeigten auf, wie Betroffene nach einer solche Straftat vorgehen können. Strafrechtlich relevante Vorfälle sollten bei der Polizei angezeigt werden, denn nur durch einen Schulterschluss von Polizei und Wirtschaft können Täter ermittelt, verurteilt und so Cybercrime nachhaltig bekämpft werden.
Einen „Hackerangriff life“ zeigte Marcel Busch über einen Angriff auf einen Internet-Browser. Busch ist Mitglied des FAU Security Teams (FAUST) der Friedrich-Alexander-Universität in Erlangen. Dieser Hacking-Angriff ist möglich, wenn man sich mit einem nicht aktuellen Browser zu einer Webseite verbindet, die für einen entsprechenden Angriff vorbereitet und manipuliert wurde. Die Lücke erlaubt es einem Angreifer, Dateien vom Dateisystem des Opfers zu sich selbst zu übertragen.
Die erforderliche „Risikoanalyse und Risikobewertung“ stellte Daniel Angermeier vom Fraunhofer Institut für Angewandte und Integrierte Sicherheit (AISEC) in München vor. Angermeier erläuterte in seinem Vortrag, dass die Risikobewertung vernetzter Systeme aufgrund der Komplexität frühzeitig erforderlich ist. Aus diesem Grund hat das Fraunhofer AISEC das Verfahren MoRA (Modular Risk Assessment) entwickelt. Die modular aufgebaute Risikobewertungsmethode beginnt bereits bei der Initiierung und führt werkzeugunterstützt über die Definition der Anforderungen, dem Design und die Spezifikation, sowie den zugehörigen Tests zu einem nachvollziehbaren, sicheren System. Die Methode ist auch auf bestehende Systeme anwendbar. Ein wesentlicher Bestandteil zur Aufrechterhaltung der Sicherheit über den gesamten Lebenszyklus eines Produktes oder Systems hinweg ist die Durchführung von Bedrohungs- und Risikoanalysen.
Die „Unterstützung und Erfassung von Sicherheitsvorfällen und Schwachstellen“ hat Christian Link vom VDE in Frankfurt vorgestellt. Kleinen und mittleren Unternehmen (KMU) fehlen zumeist die Ressourcen, um Cyber-Angriffen mit spezialisierten Teams zu begegnen (Computer Emergency Response Teams – CERT). Deshalb hat der VDE eine IT-Sicherheitsplattform für industrielle KMU initiiert, die erste in Deutschland. Diese Sicherheitsplattform ermöglicht einen herstellerübergreifenden Austausch auf einer neutralen, vertrauenswürdigen und sicheren Plattform – natürlich unter Wahrung der Anonymität. Ehemals isolierte Informationen werden im CERT@VDE zentral gebündelt, strukturiert und verteilt, sodass verschiedenste Industrieteilnehmer stets über den gleichen und aktuellen Wissensstand im Hinblick auf Sicherheitsstandards und -gefahren verfügen.
CERT@VDE bietet Herstellern, Integratoren, Anlagenbauern und Betreibern aus dem Bereich Industrieautomation die Möglichkeit zum intensiven und vertrauensvollen Informationsaustausch und konkrete Unterstützung beim Thema Cyber-Security.