02KO704013 Industrial IT Security.indd

VDI Fachkonferenz
Industrial IT Security
IT-Sicherheit in Produktions- und Automations-Systemen
Die Themen der Fachkonferenz:
Bedrohungen und Schwachstellen
des eigenen Produktionsnetzwerkes
erkennen
Anhand der Richtlinien VDI/VDE 2182
die richtigen Tools auswählen und
IEC 62443 in die Praxis umsetzen
Mensch und Maschine gegen Angriffe
auf die Produktions-IT mit den
richtigen Technologien sichern
Updates, Patches und Echtzeitanforderungen unter Berücksichtigung
garantierter Antwortzeiten und
ununterbrochenem Betrieb
Wie eine tiefengestaffelte Sicherheitsarchitektur bei Fernwartung und
Cloud-Computing gelingt
© Falkenberg Team GmbH
Termin und Ort:
03. und 04. Juli 2013
Frankfurt
Fachliche Konferenzleitung:
Prof. Dr. Michael Waidner,
Leiter Fraunhofer-Institut für Sichere
Informationstechnologie SIT, Leiter Sicherheit in
der Informationstechnik an der TU Darmstadt,
Direktor CASED, Leiter EC SPRIDE
Mit Praxisbeiträgen von:
ABB Accessec Bayer Technology Services Daimler FESTO
HIMA Paul Hildebrandt Hirschmann Knick Elektronische Messgeräte
Innominate Security – Phoenix Contact 3S Smart Software Solutions
Siemens Sophos Symantec
Veranstaltung der VDI Wissensforum GmbH | www.vdi.de/IT-Security | Telefon +49 211 6214-201 | Telefax +49 211 6214-154
Mittwoch, 03. Juli 2013
09:00 Anmeldung
SICHERE INFORMATIONSSYSTEME IN DER INDUSTRIELLEN
PRODUKTION – EINE UTOPIE?
09:45 Begrüßung und Eröffnung durch den Konferenzleiter:
Professor Dr. Michael Waidner
10:10 Sicherheit im Wandel der Zeit
Was Sicherheit bislang bedeutete
Aktuelle Angriffe: Advanced Persistent Threats (APT)
und Sabotage von Produktionsanlagen
Ausblick: Die Herausforderungen von Morgen
Dirk Kollberg, Senior Threat Researcher, Sophos, Hamburg
10:50 Kaffeepause
IDENTIFIKATION WIRKUNGSVOLLER SCHUTZMASSNAHMEN FÜR
DIE INDUSTRIE
11:20 Defence-in-Death – warum Technologie Ihre Probleme
nicht lösen wird!
Eine Vielzahl Technologien für technische Lösungen
steht bereit
Welche Maßnahmen sind wirklich sinnvoll und
unterstützen strategisch?
Wo muss die Organisation angepasst werden?
Wie können Lieferanten und Dienstleister in den Kanon
eingebunden werden
Dipl.-Ing. Sebastian Rohr, CISA/CISM/CISSP,
Geschäftsführer, accesses GmbH, Groß-Bierberau
12:00 IT Security in der Automation – ein Missverständnis?
IT Netzwerk vs. Produktionsnetz
Schwachstelle oder Eigenschaft?
Schutzziele und Lösungen
Prof. Dr. Frithjof Klasen, Leiter des Instituts Automation &
Industrial IT (AIT) der FH Köln
16:00 Herausforderungen der IT Security für
(hoch-)automatisierte Montageanlagen
Mögliche Gegenmaßnahmen und Sicherheitskonzepte
gegen Angriffe
IT-Verantwortliche im Spannungsfeld zwischen Budget
und Sicherheit
Cloud-Computing unter Berücksichtigung von
Sicherheits- und Businessanforderungen
Dr. Wirt.-Inf. Lutz Seidenfaden, Leitung Information
Management Manufacturing, Festo AG & Co. KG, Esslingen
16:40 Shopfloor Security – Zellenschutz zur Risikoreduzierung in Profinet vernetzten Automatisierungsanlagen
Gefährdung der Produktionsprozesse durch extrem
gesteigerte Zugriffsmöglichkeiten
Möglichkeiten der Separierung und Trennung zur
Risikoreduktion
IT Prozesse zur Aufrechterhaltung der Systemstabilität
in den Instandhaltungsbereichen: Patching, AV-Schutz,
Incident Management, Asset Management, Vulnerability
Management
Anforderungen an Automatisierungskomponenten und
Tools, um Schwachstellen nachhaltig zu schließen
Dipl.-Ing. Alexander Rinker, CISM, Automation Security
Architect, Mercedes-Benz Werk Sindelfingen
17:20 Hardware-basierte Sicherheit für industrielle IT-Netze
Unterschiede zwischen Kommunikationsnetzen/
Firmennetzen und IT-Netzen in Produktion und
Automatisierung
Eindeutige und sichere Identifikation von Geräten in
industriellen IT-Netzen
Kontrolle von Software und Konfiguration.
Unbekannte Schadsoftware über Veränderungen
identifizieren.
Basis für verlässliches Security Monitoring
Dr. Carsten Rudolph, Leiter der Abteilung Secure
Engineering des Fraunhofer Institut SIT, Darmstadt
12:40 Mittagspause
ANFORDERUNGEN AN DIE SICHERHEIT VON
AUTOMATISIERUNGSLÖSUNGEN
14:10 Cyber-Angriffe auf Produktions-IT – die Fortführung
des Wettbewerbs mit technischen Mitteln
Darstellung IST-Sicherheit: Aktivitäten im Konzern rund
um das Thema
Wie gut sind wir gerüstet? Vorgehens-Plan für AnalyseMaßnahmen
Kostenaspekte und sonstige Widernisse im Visier
Dr. rer. nat. Walter Speth, Senior Project Manager
OSS-Manufacturing IT, Bayer Technology Services,
Leverkusen
18:00 Get-Together
Zum Ausklang des ersten Veranstaltungstages lädt Sie
das VDI Wissensforum zu einem Get-Together ein. Nutzen
Sie die entspannte Atmosphäre, um Ihr Netzwerk zu
erweitern und mit anderen Teilnehmern und Referenten
vertiefende Gespräche zu führen.
14:50 IT Security wird zur Pflicht – Welchen Beitrag leistet
die Normung
In der industriellen Automatisierung gewinnt die
IEC 62443 Serie enorm an Bedeutung, was ist deren
Zielsetzung?
Das Vorgehensmodell der VDI/VDE Richtlinie 2182
liefert einen entscheidenden Beitrag zur Gewährleistung
der IT Sicherheit, warum?
Können die beiden Themen IT Sicherheit und
funktionale Sicherheit im Einklang gebracht werden?
Heiko Adamczyk, Projekt Manager, Research &
Development, Knick Elektronische Messgeräte GmbH &
Ko KG, Berlin
15:30 Kaffeepause
Veranstaltung der VDI Wissensforum GmbH | www.vdi.de/IT-Security | Telefon +49 211 6214-201 | Telefax +49 211 6214-154
Donnerstag, 04. Juli 2013
PROZESSE UND TOOLS, UM SICHERHEITS-SCHWACHSTELLEN
SCHNELL UND NACHHALTIG ZU SCHLIESSEN
08:40 Security ist nicht eine Maßnahme allein –
die tiefengestaffelte Verteidigung
Defence-in-Depth: Physikalische, organisatorische,
technische Maßnahmen
Dreistufiges Security-Konzept für Hersteller von
Automatisierungskomponenten: Netzwerk, Endgeräte,
Leitsysteme
Dem Cyberangriff auf industrielle Anlagen
zuvorkommen – Lösungen zum Schutz
Dr. Anton Friedl, Director System Architecture & Platforms,
Siemens AG, Nürnberg
09:20 Fernwartung = Fernangriff? Zur Sicherheit von Remote
Services für Maschinen und Anlagen
Das Spannungsfeld Anbieter – Betreiber: Security
Policies in Theorie und Praxis
Risiken im Vergleich: ist Service vor Ort wirklich
sicherer als aus der Ferne?
Sicherheits- und vertrauensbildende Maßnahmen
Torsten Rössel, Chief Marketing Officer, Innominate
Security Technologies AG/Phoenix Contact, Berlin
10:00 Kaffeepause
10:30 Nach Project Basecamp. Wie hoch ist der Berg?
Securitytest mehrerer SPS Fabrikate deckt Lücken auf
Problemfelder im Design von embedded Geräten und
Netzwerkprotokollen
neue Konzepte, um die aufgedeckten Designproblemen
zu entschärfen
Fabian Koch, Cyber Security Manager im Bereich PLCs,
ABB Automation Products GmbH
11:10 Tatort: Industrie-Steuerung! Security-Unterstützung
im Programmiertool CODESYS
Bedrohungsszenarien für die SPS als dem Gehirn von
Fertigungsanlagen
Integrierte Funktionen zur Erreichung der
verschiedenen IEC 62443-Schutzlevel im Programmiersystem
„Security-Führererschein“ für Betreiber und Anwender
von IEC 61131-3 Tools
Dipl.-Inf. Dieter Hess, Gründer und Geschäftsführer,
3S-Smart Software Solutions, Kempten
14:00 Das Sicherheitsnetz – vom Bedrohungsvektor zum
Schutzschirm
Strategien für robuste Netze
Defence in Depth schützt Bestandssysteme
Neue Ansätze zum Patch-Management
Prof. Dr. Peter Fröhlich, Director Business Development,
Belden EMEA, Hirschmann Automation and Control GmbH,
Neckartenzlingen
14:40 Kaffeepause
FLEXIBILITÄT VON SCHUTZMASSNAHMEN FÜR SICH
ÄNDERNDE ANGRIFFSMOTIVATIONEN UND -SZENARIEN
15:10 Zuverlässigkeit von Software für kritische
Infrastrukturen im Safety-Security-Umfeld
Kritische Infrastrukturen und die Zuverlässigkeit
der sie kontrollierenden Software
Safety und Security Anforderungen an den
Softwareentwicklungsprozess
aktuelle Situation und Probleme und adäquate Optionen
Dr. Hubert B. Keller, Projekt-/Gruppenleiter, Institut für
Angewandte Informatik, KIT, Karlsruhe
15:50 Industrielle Anlagen im Fokus der Hacker
Analysieren der aktuellen Bedrohungslage
Welche Herausforderungen bringt die Planung und
Implementierung einer Industrie IT Sicherheitslösung
mit
Lösungen auf Basis der VDI 2182 Richtlinie
Olaf Mischkovsky, TSO Technical Specialist,
EMEA Central, Symantec, Ernstroda
16:30 Zusammenfassung
Prof. Dr. Michael Waidner
16:40 Ende der Konferenz
11:50 Mittagspause
STRATEGIEN FÜR MEHR INDUSTRIELLE IT-SICHERHEIT UND
STABILE PRODUKTIONSNETZE ZUM SCHUTZ VON MENSCH UND
MASCHINE
13:20 Safety und Security – 2 Seiten einer Medaille
Die besondere Verantwortung sicherer Steuerungssysteme
Aktuelle Normensituation
Relevanz für Mensch und Technik
Zukünftige Sicherheitsansätze für die komplexe
Bedrohungssituation
Stefan Ditting, Produktmanager, HIMA, Brühl
Veranstaltung der VDI Wissensforum GmbH | www.vdi.de/IT-Security | Telefon +49 211 6214-201 | Telefax +49 211 6214-154
© Falkenberg Team GmbH
Konferenzleiter
Fachausstellung/Sponsoring
Prof. Dr. Michael Waidner
Michael Waidner ist seit 2010 Leiter des Fraunhofer-Instituts für
Sichere Informationstechnologie (Fraunhofer SIT) und Inhaber des
Lehrstuhls für Sicherheit in der Informationstechnik an der Technischen Universität Darmstadt. Zudem ist er verantwortlich für die
Kompetenzzentren European Center for Security and Privacy by
Design (ECSPRIDE) und das LOEWE Center for Advanced Security
Research Darmstadt (CASED). Vorher war Waidner in New York als
IBM Distinguished Engineer und Chief Technology Officer for Security
verantwortlich für die technische Sicherheitsstrategie und -architektur der IBM Corporation. Von 1994 bis 2006 war er am IBM Zurich
Research Lab in Rüschlikon und leitete die Forschung im Bereich der
IT Sicherheit und des Datenschutzes und war einer der Initiatoren des
Zürich Information Security Centers (ZISC) an der ETH.
Sie möchten Kontakt zu den hochkarätigen Teilnehmern dieser VDIKonferenz aufnehmen und Ihre Produkte und Dienstleistungen einem
Fachpublikum Ihres Marktes ohne Streuverluste präsentieren? Vor,
während und nach der Veranstaltung bieten wir Ihnen vielfältige Möglichkeiten, rund um das Konferenzgeschehen „Flagge zu zeigen“ und
mit Ihren potenziellen Kunden ins Gespräch zu kommen.
Fünf gute Gründe, warum Sie die Konferenz
besuchen sollten:
Schätzen Sie die Risiken von Hackerangriffen auf Ihre Produktion
richtig ein
Informieren Sie sich über die maßgeblichen internationalen
Standards, Maßnahmenkataloge und Bewertungsrichtlinien zur
IT-Sicherheit
Lernen Sie, die Sicherheit Ihrer Industrie-Software korrekt zu
bewerten und weiter zu entwickeln
Erfahren Sie, wie Sie Sicherheitstechnologien und -dienste
integrieren können
Tauschen Sie sich mit anderen Unternehmen aus, wie Sie Ihre
Sicherheit optimal managen können
Informationen zu Ausstellungsmöglichkeiten und zu individuellen
Sponsoringangeboten erhalten Sie von:
Antonia Schlemmer
Projektreferentin Ausstellung & Sponsoring
Telefon: +49 211 6214-592
Telefax: +49 211 6214-167
E-Mail: [email protected]
Veranstaltungshinweise
Requirements Engineering nach IREB-Standard
VDI-Seminar am 19. und 20. Juni 2013
Gefährdungsbeurteilung für die Elektrotechnik
VDI-Seminar am 02. und 03. Juli 2013
Simulation elektrischer Schaltungen – Analyse
VDI-Seminar am 11. und 12. September 2013
Zuverlässigkeit der Elektronik
VDI-Seminar am 19. und 20. September 2013
Smart Systems Reliability 2013
VDI-Fachkonferenz am 25. und 26. September 2013
www.vdi-wissensforum.de
Veranstaltung der VDI Wissensforum GmbH | www.vdi.de/IT-Security | Telefon +49 211 6214-201 | Telefax +49 211 6214-154
Separ
at
buchb
ar!
Dienstag, 02. Juli 2013
Zusatztag: Management der Informationssicherheit
Produktion und Fertigung im Spannungsfeld von Datenschutz und Verfügbarkeit
Zielsetzung
Fünf gute Gründe, warum Sie das Seminar
besuchen sollten
Nach dem Seminar sind Sie in der Lage,
die relevanten Fragestellungen nach den Möglichkeiten,
wirtschaftlichen Schaden vom Unternehmen präventiv abzuwenden,
Unfälle zu vermeiden sowie
Datenschutz und -sicherheit im Auge zu behalten und dabei
Fertigungsziele einzuhalten und die Verfügbarkeit der Anlagen sicher
zu stellen, zu beantworten
das richtige Vorgehen zur Ermittlung kritischer Bedrohungen in der
Produktion anzuwenden und ganzheitliches Sicherheitsmanagement
inklusive der sicheren Integration externer Ressourcen im eigenen
Unternehmen umzusetzen
Informieren Sie sich über den aktuellen Stand der Sicherheitsbedrohungen für die Industrie!
Verschaffen Sie sich einen Überblick über die Methoden des
ganzheitlichen Sicherheitsmanagements!
Reduzieren Sie aktiv die kritischen IT-Risiken in Ihrem Produktionsnetz!
Vergleichen Sie Ihre Aktivitäten zum Sicherheitsmanagement mit
den Erkenntnissen von Gleichgesinnten!
Lernen Sie, wie Sie Office-IT und Shopfloor-IT trotz vorhandener
Gegensätze gemeinsam sicher managen!
Ihr Seminarleiter:
die Bedeutung des IT-Risikomanagements in Produktion und Fertigung
zu erschließen, die erlernten Methoden und Modelle anzuwenden
und eigene erste Bewertungen der eigenen Sicherheitssituation in der
Produktions-IT durchzuführen
gemeinsam die grundlegenden Bedrohungen und Probleme, denen
moderne vernetzte Kontroll- und Steuerungssysteme in der Industrie
ausgesetzt sind, von Integrität der Daten bis zum Schutz der Mitarbeiter, zu erarbeiten
Die Simulation eines Angriffs sowie möglicher Verteidigungsstrategien
geben einen Einblick in die Detailtiefe der Thematik. Anwendungsbeispiele und Übungen unterstützen die ganzheitlichen Analyse und
strategische Reduzierung von IT-Risiken.
Dipl.-Ing. oec. Sebastian Rohr, CISA/CISM/CISSP
Sebastian Rohr studierte Wirtschaftsingenieurwesen (Fachrichtung
Fertigungswirtschaft) an der TU Hamburg-Harburg. Während des
Studiums war er bei der Siemens AG in Hamburg als Service-Ingenieur
für die Sicherheit vernetzter Systeme zuständig. Über Stationen als
Doktorand beim Fraunhofer Institut SIT in Darmstadt und Berater für
Informationssicherheit bei CA (Computer Associates) kam er als Chief
Security Advisor zu Microsoft, bevor er die accessec GmbH gründete.
Heute berät Rohr mit seinem Team branchenübergreifend Unternehmen zu allen Themen der Informationssicherheit, insbesondere mit
dem Fokus auf die strategische Absicherung von Produktionsanlagen
und kritischen Infrastrukturen gegen Cyber-Attacken und Terrorismus
aus dem Internet. Seine Expertise liegt u.a. in den Bereichen Identity
Management, Netzwerksicherheit und Security Information & Event
Management sowie Konvergenz. In internationalen Projekten unterstützt er die Planung sicherer nationaler Ausweissysteme (eID) und
sicherer Produktionsanlagen im Ausland.
Seminarinhalt
10:00 – ca. 17:00 Uhr
Charakteristik der IT (Sicherheit) in der Produktion
Was bedeutet Sicherheit in der Produktion – für Mensch, Maschine
und Information?
Ähnlichkeiten mit und Abgrenzung von der Office-IT
Schwerpunkte und Reichweite von Produktionsnetzwerken
Ganzheitliches Risiko-Management als Prozess
Risiko-Kontext – Geschäftsrisiken, Bedrohungen und Schwachstellen
– analysieren
Security-Technologien wie Firewalls, Antivirus, Intrusion Detection
u.a. in übergreifendem Ansatz zusammenführen
Risiken der einzelnen Facetten der Unternehmens-IT ganzheitlich
bewältigen, kontrollieren und kontinuierlich anpassen
Risiken beherrschbar machen
Einstufung: Was ist wirklich relevant für die Produktion?
Weniger ist mehr – die neuen Probleme der Migration
Bus->Ethernet
Wissen ist Macht: warum Asset- und Netzmanagement Risiken
minimieren
Lösungen finden
IT-Sicherheit in der Produktion: best practices entwickeln
Lösungsansätze auf dem Prüfstand
Sicherheitsmanagement in der Produktion
Unterschiede zum klassischen Ansatz
Die CIA-Balance finden (Confidentiality – Integrity – Availability)
Verankerung der IT-Sicherheit in der Organisation – Zuständigkeiten finden oder festlegen
Veranstaltung der VDI Wissensforum GmbH | www.vdi.de/IT-Security | Telefon +49 211 6214-201 | Telefax +49 211 6214-154
Retten Sie Mensch und
Maschine vor
Hacker-Angriffen
Industrial IT Security
VDI Wissensforum GmbH, Postfach 10 11 39, 40002 Düsseldorf
ASP
VDI Wissensforum GmbH
Kundenzentrum
Postfach 10 11 39
40002 Düsseldorf
Telefon: +49 211 6214-201
Telefax: +49 211 6214-154
E-Mail: [email protected]
Internet: www.vdi.de/IT-Security
Ich nehme wie folgt teil:
Anmeldungen müssen schriftlich erfolgen. Anmeldebestätigung und Rechnung
werden zugesandt. Gebühr bitte erst nach Rechnungseingang unter Angabe der
Rechnungsnummer überweisen.
Bitte Preiskategorie wählen
Preis p./P.
zzgl. MwSt.
Teilnahmegebühr
persönliche
VDI-Mitglieder
Mitgliedsnummer
PS VDI-Konferenz VDI-Spezialtag Kombipreis
Konferenz +
03.–04.07.2013 02.07.2013
Seminar
(02KO704013) (02SE223001)
EUR 1.390,EUR 860,EUR 2.100,1
EUR 1.290,EUR 810,EUR 1.950,2
(Für die Preisstufe 2 ist die Angabe der VDI-Mitgliedsnummer erforderlich.)
Ich interessiere mich für Ausstellungs- und Sponsoringmöglichkeiten
Nachname
Vorname
Titel
Zimmerreservierung
Für Sie als Konferenzteilnehmer haben wir im genannten Hotel Zimmerkontingente reserviert. Bitte reservieren Sie bis zum 06.06.2013 unter dem Stichwort
„VDI“. Bitte nehmen Sie die Reservierung selber direkt im Hotel vor.
Weitere Hotels in der Nähe des Veranstaltungsortes
finden Sie auch über unseren kostenlosen Service von HRS,
www.vdi-wissensforum.de/hrs
Leistungen: Im Leistungsumfang der Konferenz (zweitägig) sind die Pausengetränke, das Mittagessen und der Abendimbiss am 03. Juli 2013 enthalten. Im
Leistungsumfang des Seminars sind die Pausengetränke und das Mittagessen
enthalten. Die Tagungsunterlagen werden den Teilnehmern vor der Veranstaltung via Download zur Verfügung gestellt.
Abteilung
Tätigkeitsbereich
Exklusiv-Angebot: Als Teilnehmer dieser Veranstaltung bieten wir Ihnen eine
3-monatige, kostenfreie VDI-Probemitgliedschaft an. (Dieses Angebot gilt ausschließlich bei Neuaufnahme)
Funktion
Geschäftsbedingungen: Mit der Anmeldung werden die Geschäftsbedingungen der
VDI Wissensforum GmbH verbindlich anerkannt. Abmeldungen müssen schriftlich
erfolgen. Bei Abmeldungen bis 14 Tage vor Veranstaltungsbeginn erheben wir
eine Bearbeitungsgebühr von € 50,– zzgl. MwSt. Nach dieser Frist ist die volle
Teilnahmegebühr gemäß Rechnung zu zahlen. Maßgebend ist der Posteingangsstempel. In diesem Fall senden wir die Veranstaltungsunterlagen auf Wunsch zu.
Es ist möglich, nach Absprache einen Ersatzteilnehmer zu benennen. Einzelne
Teile der Veranstaltung können nicht gebucht werden. Muss eine Veranstaltung aus
unvorhersehbaren Gründen abgesagt werden, erfolgt sofortige Benachrichtigung.
In diesem Fall besteht nur die Verpflichtung zur Rückerstattung der bereits
gezahlten Teilnahmegebühr. In Ausnahmefällen behalten wir uns den Wechsel
von Referenten und/oder Änderungen im Programmablauf vor. In jedem Fall
beschränkt sich die Haftung der VDI Wissensforum GmbH ausschließlich auf die
Teilnahmegebühr.
Firma/Institut
Straße/Postfach
PLZ, Ort, Land
Telefon
Telefax
E-Mail
Abweichende Rechnungsanschrift
Teilnehmer mit Rechnungsanschrift außerhalb von Deutschland, Österreich und
der Schweiz zahlen bitte mit Kreditkarte.
Visa
Mastercard
American Express
Datenschutz: Die VDI Wissensforum GmbH erhebt und verarbeitet Ihre Adressdaten für eigene Werbezwecke und ermöglicht namhaften Unternehmen und
Institutionen, Ihnen im Rahmen der werblichen Ansprache Informationen und
Angebote zukommen zu lassen. Bei der technischen Durchführung der Datenverarbeitung bedienen wir uns teilweise externer Dienstleister. Wenn Sie zukünftig
keine Informationen und Angebote mehr erhalten möchten, können Sie bei uns
der Verwendung Ihrer Daten durch uns oder Dritte für Werbezwecke jederzeit
widersprechen.
Nutzen Sie dazu die E-Mail Adresse: [email protected] oder eine andere oben
angegebene Kontaktmöglichkeit.
Karteninhaber
Kartennummer
Prüfziffer
Veranstaltungsort:
relexa hotel Frankfurt/Main
Lurgiallee 2
60439 Frankfurt
Telefon: +49 69 95778-0
Telefax: +49 69 95778-878
E-Mail: [email protected]
gültig bis (MM/JJ)
Datum
Unterschrift
X