Fachartikel vom 11/14/2016

Prosecurity 2016 Professionelle IT-Lösungen

Unter dem Motto „Protect your Identity“ hatte die zweite Prosecurity-Messe und Kongress am 8. und 9. November 2116 nach Fürstenfeldbruck geladen. Bei rund 60 Ausstellern und in zahlreichen Fachvorträgen konnten sich die Besucher über Lösungen für IT-Infrastruktur, IT-Sicherheit und Kommunikation informieren.

Bei rund 60 Ausstellern konnten die Teilnehmer der Prosecurity-Messe und Kongress IT-Sicherheit erleben. (Bild: Kalscheuer)

Der zur Prosecurity gehörende Kongress bot in diesem Jahr mehr als 30 Fachvorträge rund um Cyber-Security, das Internet der Dinge, Mobile Security, Zertifizierungen, ISO-Standards sowie Risiko-Management und ein Live-Hacking. Darüber hinaus bot die Firma Arosoft ein Secure Managed Services Forum unter anderem zum Thema Patchmanagement aus dem Cyber-Security-Blickwinkel und IOT-Bedrohungen an, während das Privcom-Forum einen Fokus auf Datenschutz und Informationssicherheit legte.

Den Keynote-Vortrag „Bullshit in IT-Security“ hielt Thomas Ramge im Forum Blau. (Bild: Kalscheuer)

Der Bullshit-Button

Gleich zu Beginn beschrieb Wirtschaftsjournalist Thomas Ramge in seinem Vortrag „Bullshit in IT-Security“, wie wichtig gerade im Bereich IT-Sicherheit – und im Arbeitsleben allgemein – eine klare Wortwahl und die Wertschätzung der Mitarbeiter ist. Auch Nachfragen und Unterbrechen (zum Beispiel mit einem Bullshit-Button in Meetings) seien legitim, um ausufernde Kommunikationsmissstände zu bannen. Er brachte das Glas zum Überlaufen – als Sinnbild für den als überflüssig bezeichneten Mitarbeiter – und gab den Besuchern mit auf den Weg, dass es in einem schlechten Unternehmen keine guten Jobs gibt.

Ein Themenblock befasste sich mit den Anforderungen und Problemen bei der Cyber-Security für kleine und mittlere Unternehmen. Im Mittelpunkt stand dabei neben der ISO 27001 und dem BSI-Grundschutz auch die Richtlinie VdS 3473. Dieses ganzheitliche Cyber-Security-Konzept gilt im Sinne einer Mindestanforderung an die Informationssicherheit für KMU und ist die Grundlage für eine Zertifizierung durch die VdS.

Mario Finkbeiner zeigte in seinem Vortrag im Obergeschoss, wie die Deutsche Bahn Multicopter für Sicherheitsbelange einsetzt. (Bild: Kalscheuer)

Multicopter und Bahn-Yeti

Mario Finkbeiner (Referent Multicopter der DB Sicherheit GmbH) stellte in seinem Vortrag zum Thema Industrie-4.0-Services den Einsatz von Multicoptern (und auch Drohnen) im Sicherheitsbereich der Industrie vor. So setzt die Deutsche Bahn unbemanntes Fluggerät unter anderem ein, um Unfall- und Gefährdungsanalysen zu erstellen und die Bundespolizei sowie Netzbetreiber zu unterstützen. Dazu zählt zum einen die Identifikation von Angriffspunkten zur Brandanschlagsprävention, aber auch das Erkennen von Vandalen (Sprayern) und ihren Trampelpfaden durch den Einsatz von Videoüberwachung und Wärmebildern aus der Luft.

Finkbeiner berichtete nicht nur über die Diebstahlgefährdung bei Auto-Transporten, bei denen der Schlüssel gerne im Handschuhfach deponiert wird, sondern auch über den Bahn-Yeti, der auf der Lauer nach Kupferdieben liegt, und die Probleme, die das Luftrecht mit sich bringt: „Nachtflüge sind mit Multicoptern aufgrund der aktuellen Rechtslage untersagt. Es gibt nur Ausnahmegenehmigungen, wenn der Copter hell wie ein Weihnachtsbaum beleuchtet ist, was für die Entdeckung von Kriminellen auf dem Bahngelände hinderlich ist.“ Die Steuerung der fliegenden Überwachungsgeräte, die auch zur Strecken- und Brückeninspektion eingesetzt werden, gehört allerdings nicht in die Hände von Laien, deshalb werde es bald einen einheitlichen Drohnenführerschein geben, so Finkbeiner. Die neuen Techniken wachsen, auch wenn vieles – beispielsweise die WLAN-Steuerung aus dem Hobby-Bereich und die Heizstation für Lithium-Akkus – noch „im Bastelmodus“ sei.

Zurück in die Zukunft: Der DeLorean (mit Marty McFlys Hoverboard auf dem Sitz) war ein Blickfang im Messebereich im Erdgeschoss. (Bild: Kalscheuer)

Kronjuwelen statt Gießkanne

Thomas Elsasser, Mitarbeiter beim Bayerischen Landesamt für Verfassungsschutz und Leiter des Cyber-Allianz-Zentrums Bayern, griff das Thema Risk-Management für Unternehmen auf, und zeigte, wie Know-how-Schutz in Zeiten moderner Wirtschaftsspionage aussehen kann – und sollte. „Datenverluste zählen heute zu einem der Top-Risiken für Unternehmen“, beschrieb Elsasser den Status quo. Zwar wissen viele Unternehmen nicht, dass sie angegriffen werden, aber selbst wenn ein Know-how-Abfluss entdeckt wird, sei die Angst vor Reputationsschäden durch Spionage oft so groß, dass Unternehmen diese verschweigen. So würden sie immer wieder Ziel eines Angriffs nach identischer Vorgehensweise. Hier könne man sich vertrauensvoll an das jeweilige Landesamt für Verfassungsschutz wenden, so Elsasser, denn hier wird Vertraulichkeit zugesichert und Hilfe angeboten.

Marco Thiel zeigte auf dem Außengelände, was der Sicher-vernichtet-LKW von Datenträgern wie Festplatten übrig lässt. (Bild: Kalscheuer)

Allerdings gibt es auch bei der Spionage moderne Entwicklungen: Know-how wird inzwischen über Manager oder Forscher zugekauft, über soziale Netzwerke lassen sich auch bei Sicherheitsexperten sensible Informationen generieren (die digitale Identität Robin Sage ) und Frankreich bietet sogar eine Ausbildung zum Wirtschaftsspion an. Hier steht auch das Social Engineering auf dem Lehrplan, bei dem die Hilfsbereitschaft, die Autoritätsgläubigkeit und der Zeitdruck der Mitarbeiter ausgenutzt wird, um per Telefon oder E-Mail Informationen abzuschöpfen. „Unternehmen sollten ihre Sicherheitsstrategie immer wieder an die aktuellen Anforderungen anpassen. Dabei ist der Faktor Mensch die beste Firewall“, erklärte Elsasser. Allerdings sei auch klar, dass man „nicht mit der Gießkanne“ schützend Sicherheit über alle Unternehmensdaten ausgießen könne. „Nur fünf Prozent sind die schützenswerten Kronjuwelen, Strategien oder Forschungsergebnisse, eines Unternehmens. Ob jemand Externes Zugriff auf den Kantinenplan hat oder nicht, ist hingegen nicht so relevant“, erläuterte Elsasser, warum Unternehmen genau definierten sollten, wie viel Sicherheit sie sich leisten können, wollen und müssen.

Autonome Entscheidung bei Maschinen

Wie das Thema Industrie 4.0 Einzug in eine Technologiefabrik erhält, stellte Eberhard Klotz von der Festo AG & Co. KG vor. Industrie 4.0 bezieht sich unter anderem auf die Vernetzung und Kombination von Datenquellen in der Produktion, die auch eine Produkt-Individualisierung in kleinen Stückzahlen bei der Hochgeschwindigkeitsfertigung zulässt. „Bei der durchgängig vernetzten Welt mit adaptiven, lernfähigen Produktionssystemen und modularen Maschinen, standardisierter Gerätekommunikation und Durchgängigkeit der Systeme ist proaktive Mitgestaltung nötig“, erklärte Klotz. Deshalb berät Festo zusammen mit Telekom, Siemens und SAP im Lenkungskreis „Plattform Industrie 4.0“ die Bundesregierung. Nicht nur die Mensch-Maschine-Interaktion ist dabei Teil des Wandels in der Produktion, auch autonome Entscheidungen durch Maschinen, wenn eine Komponente im Produktionsprozess ausfällt, und die Einbindung von älteren Maschinen (beispielsweise über OPC-UA-Schnittstellen) sind dabei zu beachten.

Moderiert vom Prosecurity-Veranstalter Eike Sommer (Magna Ingredi Events GmbH), wurden neben den Fachvorträgen auch in drei Podiumsdiskussionen aktuelle Herausforderungen aus der Welt der IT-Sicherheit erörtert. Am Dienstag griffen auf Initiative der Israeli Economic & Trade Mission internationale Experten das Thema „Cyber-Sicherheit – ein globale Herausforderung“ auf; eine weitere Panel Discussion gab es zum Thema „Das Internet der Dinge trifft Industrie 4.0 – Chancen und Risiken“. Am Mittwoch standen die Energienetze der Zukunft unter der Leitfrage „Wie Smart Grid, Smart Meter und IT-Sicherheit unsere Zukunft beeinflussen“ auf der Agenda. Die nächste Prosecurity ist für den 7. und 8. November 2017 geplant.

Britta Kalscheuer

Kontakt- und Firmen-Infos im Branchenverzeichnis