Cyber Security für Gründer, Unternehmen und private Nutzer

Der VDE Nordbayern leistete mit der Veranstaltung „Cyber-Security für Gründer, Unternehmen und private Nutzer“ einen weiteren Beitrag zur Weiterbildung der Öffentlichkeit im Bereich der Informationstechnologie – speziell zum Thema Cyber-Security. Viele Besucher folgten der Einladung des VDE und hörten facettenreiche Vorträge der hochkarätigen Referenten. Die Zuhörer nahmen viele interessante und relevante Informationen aus den Vorträgen mit.

Der Stellvertretende Vorsitzende, Gerald Winzer begrüßte die Gäste mit dem Hinweis, dass sich der VDE seit seiner Gründung von über 125 Jahren immer auch für die Sicherheit engagierte. Sicherheit für die Menschen durch die Gefährdung durch elektrischen Strom, für elektrische Anlagen und jetzt auch für die Sicherheit der Informations- und Kommunikationstechnik.

Zum Auftakt berichtete Lutz J. Schmid über „Erkannte Gefahren der IT-Sicherheit“ und verschiedene Sicherheitsvorfälle, die in der letzten Zeit bekannt wurden. Des Weiteren wies er auf die Unsicherheit vieler Geräte hin, die unter den Begriff Internet of Things (IoT) fallen. Missbrauch wird andererseits aber auch über die sozialen Netzwerke betrieben. Als Maßnahmen zur Absicherung der eigenen Systeme wurden die Notwendigkeit der Installation von Updates, die korrekte Umsetzung eines Identitäts- und Rechte-Managements und im Unternehmensumfeld die Implementierung einer Netzwerk-Segmentierung genannt.

Dr. Dennis-Kenji Kipker sprach das Thema „Rechtliche Regulierungen der IT- Sicherheit“ aus Sicht verschiedener globaler Regionen an. Dr. Kipker ist wissenschaftlicher Geschäftsführer an der Universität Bremen sowie Projektmanager im VDE Kompetenzzentrum Informationssicherheit + CERT@VDE beim VDE. Seine Forschungsschwerpunkte liegen an der Schnittstelle zwischen Recht und Technik mit dem nationalen und internationalen IT-Sicherheits- sowie dem Polizei- und Nachrichtendienstrecht. Der Vortrag gab einen wesentlichen Überblick über Systematik und Anforderungen der deutschen, europäischen und internationalen IT- Sicherheitsregulierungen, und stellt darüber hinaus Bezüge auch zum internationalen Recht her. Dr. Kipker erläuterte folgende Regulierungen:

• Deutsche Gesetzeslage (IT-Sicherheitsgesetz, deutsche KRITIS -Verordnung)
• Europäische Gesetzeslage (NIS-Direktive, europäische KRITIS-Verordnung, EU Cybersecurity-Verordnung, EU-Verordnung für ein Kompetenzzentrum zur Cybersicherheit)
• Regulierung der Cybersicherheit in Russland, in China (Chinese Cybersecurity Law), in den USA (Cybersecurity and Infrastructure Security Agency Act) und in Israel (Memorandum on Cyber Protection and the national Cyber Directorate Act).

Über das Thema „IT-Sicherheit in der Normung“ referierte Christian Seipel. Er ist Projektmanager für Core Safety & Information Technologies bei der DKE (Deutsche Kommission Elektrotechnik Elektronik Informationstechnik) in Frankfurt. Die DKE ist die in Deutschland zuständige nationale Organisation für die Erarbeitung von Normen und Sicherheitsbestimmungen in dem Bereich der Elektrotechnik, Elektronik und Informationstechnik. Sie ist eine Zusammenarbeit von VDE und DIN und in die Normungsarbeit in der EU aber auch in die internationale Normung eingebunden. Sie leistet dabei einen wichtigen Beitrag für die Standardisierung im technischen und nicht-technischen Bereich unseres täglichen Lebens. Normen und Standards helfen, einheitliche Anforderungen und Lösungsansätze für sichere Produkte und Systeme zu beschreiben. Die DKE hat es sich auch für die Cyber Security zur Aufgabe gemacht, eine Übersicht über existierende sicherheitsrelevante Normen und Gesetze zu schaffen. Mit der Einhaltung von Normen und Standards kann gezeigt werden, dass alles Sinnvolle getan wurde, um ein Produkt oder System sicher zu machen, dies ist dokumentiert und kann ggf. auch danach zertifiziert werden. Ziel der Normung ist es, Leitplanken und Hilfestellungen für sichere Produkte und System zu geben. Christian Seipel gab auch einen Überblick über die vom DKE erarbeiteten Normen nach ihrem Zielanwenderkreisen.

Unter dem Titel „Phänomene der Cyberkriminalität“ informierten zwei Mitarbeiter der Zentralen Ansprechstelle Cybercrime – ZAC“ im Bayerischen Landeskriminalamt aus München die Zuhörer. Die Zentrale Ansprechstelle Cybercrime im Bayerischen LKA ist in Sachen Cybercrime der „Single Point of Contact“ der Bayerischen Polizei für alle Verbände, Unternehmen, Behörden und sonstigen Institutionen. Dabei gingen die Referenten auf die häufigsten Ursachen und Straftatbestände für Cyberangriffe ein und gaben konkrete Empfehlungen zum Schutz vor Cybercrime. Mitarbeiter von Unternehmen sollten immer ein gesundes Misstrauen walten lassen, wenn unbekannte Dritte Anfragen zur Herausgabe von Informationen stellen. Sie zeigten auf, wie Betroffene nach einer solche Straftat vorgehen können. Strafrechtlich relevante Vorfälle sollten bei der Polizei angezeigt werden, denn nur durch einen Schulterschluss von Polizei und Wirtschaft können Täter ermittelt, verurteilt und so Cybercrime nachhaltig bekämpft werden.

Einen „Hackerangriff life“ zeigte Marcel Busch über einen Angriff auf einen Internet-Browser. Busch ist Mitglied des FAU Security Teams (FAUST) der Friedrich-Alexander-Universität in Erlangen. Dieser Hacking-Angriff ist möglich, wenn man sich mit einem nicht aktuellen Browser zu einer Webseite verbindet, die für einen entsprechenden Angriff vorbereitet und manipuliert wurde. Die Lücke erlaubt es einem Angreifer, Dateien vom Dateisystem des Opfers zu sich selbst zu übertragen.

Die erforderliche „Risikoanalyse und Risikobewertung“ stellte Daniel Angermeier vom Fraunhofer Institut für Angewandte und Integrierte Sicherheit (AISEC) in München vor. Angermeier erläuterte in seinem Vortrag, dass die Risikobewertung vernetzter Systeme aufgrund der Komplexität frühzeitig erforderlich ist. Aus diesem Grund hat das Fraunhofer AISEC das Verfahren MoRA (Modular Risk Assessment) entwickelt. Die modular aufgebaute Risikobewertungsmethode beginnt bereits bei der Initiierung und führt werkzeugunterstützt über die Definition der Anforderungen, dem Design und die Spezifikation, sowie den zugehörigen Tests zu einem nachvollziehbaren, sicheren System. Die Methode ist auch auf bestehende Systeme anwendbar. Ein wesentlicher Bestandteil zur Aufrechterhaltung der Sicherheit über den gesamten Lebenszyklus eines Produktes oder Systems hinweg ist die Durchführung von Bedrohungs- und Risikoanalysen.

Die „Unterstützung und Erfassung von Sicherheitsvorfällen und Schwachstellen“ hat  Christian Link vom VDE in Frankfurt vorgestellt. Kleinen und mittleren Unternehmen (KMU) fehlen zumeist die Ressourcen, um Cyber-Angriffen mit spezialisierten Teams zu begegnen (Computer Emergency Response Teams – CERT). Deshalb hat der VDE eine IT-Sicherheitsplattform für industrielle KMU initiiert, die erste in Deutschland. Diese Sicherheitsplattform ermöglicht einen herstellerübergreifenden Austausch auf einer neutralen, vertrauenswürdigen und sicheren Plattform – natürlich unter Wahrung der Anonymität. Ehemals isolierte Informationen werden im CERT@VDE zentral gebündelt, strukturiert und verteilt, sodass verschiedenste Industrieteilnehmer stets über den gleichen und aktuellen Wissensstand im Hinblick auf Sicherheitsstandards und -gefahren verfügen.
CERT@VDE bietet Herstellern, Integratoren, Anlagenbauern und Betreibern aus dem Bereich Industrieautomation die Möglichkeit zum intensiven und vertrauensvollen Informationsaustausch und konkrete Unterstützung beim Thema Cyber-Security.

In der abschließenden Diskussionsrunde wurde unter anderem die Frage angegangen, wie die Abhängigkeit von funktionierender Informationstechnologie durch eine Verbesserung der allgemeinen IT-Sicherheit egalisiert werden kann. Eine absolute Sicherheit wird es nicht geben. Durch geeignete Maßnahmen des Entwicklers und des Nutzers kann diese jedoch wesentlich erhöht werden.
Die Pause und das Get-together nach der Veranstaltung nutzten die Gäste für intensiven Austausch mit den Referenten und untereinander.

Wir danken den Rednern für die informativen Vorträge.