
Es war ein bewegtes und erfolgreiches Jahr 2022. Wir vom Team Achtwerk bedanken uns bei allen Kunden, Partnern und Mitstreitern.
Es war ein bewegtes und erfolgreiches Jahr 2022. Wir vom Team Achtwerk bedanken uns bei allen Kunden, Partnern und Mitstreitern.
Sieht etwas komisch aus, ist aber richtig geschrieben: Kräftemängel!
05.12.2022 – aus der AUTLOOK 12.2022 — Lesezeit: ca. 2 Minuten
Was meine ich damit? Ich meine die quantitative und qualitative Verfügbarkeit von Menschen zur Unterstützung und Umsetzung der Projekte. Er ist da, der „Fach“-Kräftemangel. Es beginnt somit ganz banal mit der Anzahl von Menschen. Wo wir hinschauen werden Arbeitnehmer gesucht. Es fehlen die Leute! Es fehlen Arbeitnehmer, die Menschen, um eine bestimmte Arbeit zu erfüllen. Was sind die Gründe dafür?
Eine erste These ist, dass unsere Arbeit sich verändert. Das sich in vielen Branchen die Arbeit verändert. Vom Schweißer zum „Programmierer“ des Schweißroboters, vom Elektriker zum Netzwerkadministrator, vom Safety-Spezialisten zum Security-Fachmann. Es gibt noch viele weitere Beispiele. Mehr Wissen und Kopfarbeit sind von Nöten.
Die zweite These dazu ist, dass wir als Menschheit mehr und mehr Wissen erforscht haben. Dieses Wissen ist jedoch schwer in der gleichen Länge der Ausbildungszeit wie vor 50 Jahren zu vermitteln. Ausbildungen dauern länger – das Wissen wird auf viele Menschen verteilt und steht wiederum viel später dem Arbeitsmarkt zur Verfügung. Wir müssen uns auch von altem Wissen trennen: Ich sollte in einer meiner ersten Prüfungen noch einen Kabelbaum mit Garn flechten, doch im Betrieb nutzten wir ausschließlich Kabelbinder … ich denke fast jeder hat so ein Beispiel parat.
Wir leben in der Welt der stetigen Veränderung und des Lernens auf Lebenszeit. Das Dilemma ist, dass für mehr Arbeit weniger Menschen zu Verfügung stehen und so oft die Zeit zum notwendigen Lernen fehlt. Dazu kommt, dass der Stand der Ausbildungen sehr, sehr unterschiedlich ist. Und darum Mängel. Zusammen geführt ein Kräftemängel.
Nun, wir können nicht alles wissen, aber wir können immer aufmerksam fragen. Wir müssen effizienter werden. Effizienz an dieser Stelle bedeutet auch, sich die richtigen Werkzeuge zur Unterstützung zu suchen. Das ist auch die Aufgabe der Lieferanten. Und die Herausforderung ist, die wesentlichen Funktionen zu finden und nicht die bunten Darstellungen. Es geht nicht darum Daten anzuzeigen, sondern Informationen sichtbar zu machen. Das Ziel muss sein, eine Anforderung „bestmöglich vereinfacht und somit wertig“ zur Verfügung zu stellen.
In jeder Situation. In jedem Projekt. Mit all den Fachmenschen.
Achten Sie darauf – in der OT ist Automatisierungs- und Security Know How wesentlich!
Vielen Dank an Klaus für die gemeinsame Erstellung der Kolumne und die tolle Kooperation mit der AUTLOOK.
Dauer 10.00 – 16.00 h
Zielgruppe: IRMA® Interessenten und Anwender
Jeder Teilnehmer erhält ein Teilnahmezertifikat.
Hier geht erst Anmeldung und den weiteren Terminen (Durchgeführt von unserem Distributionspartner Videc data engineering GmbH
Ab dem 1. Mai 2023 besteht die Verpflichtung zum Einsatz von Systemen zur Angriffserkennung gemäß dem Gesetzeswortlaut. Konkretere Anforderungen für Betreiber kritischer Infrastrukturen werden zurzeit durch das BSI erarbeitet und in Form einer Orientierungshilfe veröffentlicht. Doch was bedeutet das alles konkret für die Unternehmen und wie können oder sollten sie sich schon jetzt vorbereiten?
Viele erinnern sich wahrscheinlich noch an die Ende 2021/2022 aufgetretenen kritischen Schwachstellen in Log4J (als CVE-2001-44228 dokumentiert). Durch sie konnten Angreifer ohne Authentifizierung auf Systeme zugreifen, die die Log4J-Bibliothek verwenden, um dort Schadcode auszuführen. Die richtige Lösung für Betreiber kritischer Infrastrukturen wäre damals (und ist es auch noch heute in gleich gelagerten Fällen) das Update aller im Unternehmen existierenden Log4J-Bibliotheken auf die aktuellste Version gewesen. Oftmals wissen die Unternehmen aber gar nicht, welche Applikationen die Bibliotheken nutzen, und ein einmaliges globales Java-Update der Log4J-Bibliothek über die Softwareverwaltung auf Betriebssystemebene reicht hier nicht aus. In der Regel können auch nur die Softwarehersteller, welche die Bibliotheken in die Programme eingebunden haben, das Update vornehmen. Um trotzdem Angriffe zu erkennen, hat das Bundesamt für Sicherheit in der Informationstechnik (BSI) das Arbeitspapier “Log4J: Detektion und Reaktion” zur Verfügung gestellt. Hier wurde allerdings die Anomalieerkennung auf Netzwerkebene als das nach diesseitiger Sicht eindeutig wirkungsvollste Tool vorgestellt. Sicherlich ist das umgehende Patchen noch besser. Aber manchmal ist die zweitbeste Lösung immer noch besser als gar keine Lösung.
Gemäß § 8a Abs. 1a BSI-Gesetz sind Betreiber kritischer Infrastrukturen ab dem 1. Mai 2023 auf den Einsatz von Systemen zur Angriffserkennung verpflichtet: “Die eingesetzten Systeme zur Angriffserkennung müssen geeignete Parameter und Merkmale aus dem laufenden Betrieb kontinuierlich und automatisch erfassen und auswerten. Sie sollten dazu in der Lage sein, fortwährend Bedrohung zu identifizieren und zu vermeiden sowie für eingetretene Störungen geeignete Beseitigungsmaßnahmen vorzusehen.”
Gerade aufgrund der oben geschilderten positiven Erfahrung des BSI mit Angriffserkennungssystemen ist es eher unwahrscheinlich, dass das BSI hier über die Frist hinwegsehen wird, zumal diese Frist nicht in einer Verordnung, sondern in einem Bundesgesetz festgehalten wurde. Für Betreiber kritischer Infrastrukturen im Energiesektor ist neben § 8a Abs. 1a BSIGesetz auch noch § 11 (1d) EnWG zwingend zu beachten.
Gemäß § 8a (3) BSI-Gesetz müssen die Betreiber kritischer Infrastrukturen entsprechende Nachweise gegenüber dem BSI vorlegen. Bereits heute hat das BSI darauf hingewiesen, dass ab dem 1. Mai 2023 auch die Ergebnisse der Systeme zur Angriffserkennung inklusive der aufgedeckten Sicherheitsmängel vorzulegen sind. Für die meisten Betreiber kritischer Infrastrukturen aus dem Energiesektor ist hierfür § 11 (1e) die entsprechende Gesetzesgrundlage zur Umsetzung.
Theoretisch existiert bereits ein sehr guter Ansatz durch das BSI-Dokument: “Mindeststandard des BSI zur Protokollierung und Detektion von Cyber-Angriffen nach § 8 (1) 1 BSI-Gesetz” (Version 1.0a vom 25. Februar 2021). Allerdings bezieht sich dieser 86 seitige Mindeststandard “nur” auf die Informationstechnik des Bundes. Um den Wünschen der Betreiber kritischer Infrastrukturen entgegen zu kommen, hat das BSI ein separates Arbeitsdokument im Entwurfsstadium zum 1. Juni 2022 zur Verfügung gestellt: “Orientierungshilfe zum Einsatz von Systemen zur Angriffserkennung (*) inklusive Formulare für den Nachweis zu § 8a (1a) BSIG und § 11 (1d) EnWG.” Selbst für den Fall, dass diese Orientierungshilfe nicht bis zum 1. Mai 2023 freigegeben sein sollte, wird dies die Betreiber kritischer Infrastrukturen nicht von ihrer Verpflichtung in Sachen Einsatz von Systemen zur Angriffserkennung entbinden. Diese Orientierungshilfe stellt im Übrigen keine verbindliche Vorgabe dar.
Auf jeden Fall zu beachten sind die BSI Bausteine:
In den Normenreihen der ISO/IEC 2700x sowie der IEC 62443 sind wichtige Anforderungen an Detektion und Reaktion formuliert. Gleichwohl reicht eine Zertifizierung nach einer dieser Normen (in der Regel) nicht aus, um einen entsprechenden Nachweis nach § 8a (1a) BSIG bzw. § 11 (1d) EnWG zu erbringen. Es empfiehlt sich hier stets eine zeitnahe Kontaktaufnahme zum BSI, die gerne bei Fragen weiterhelfen, was im Rahmen von bestehenden Zertifikaten “anerkannt” werden kann.
Unter Bezug auf § 2 (9) 1 BSIG sei darauf verwiesen, dass Systeme zur Angriffserkennung stets auch organisatorische Maßnahmen erfordern, welche bei der Planung der Ressourcenverteilung zu berücksichtigen sind.
Systeme zur Angriffserkennung beziehen sich sowohl auf die IT als auch auf die OT sowie auf weitere Bereiche, wie Rechenzentren oder Embedded-Systeme.
Für zukünftige Prüfungen im Rahmen der branchenspezifischen Sicherheitsstandards (B3S) sei auch darauf verwiesen, dass diese zukünftig Vorgaben für Systeme für Angriffserkennung abdecken müssen. Somit wird ab dem 1. Mai 2023 kein Weg mehr an Systemen zur Angriffserkennung vorbeiführen.
Allgemeine Anforderungen gemäß des Entwurfs der Orientierungshilfe (OH) sind:
Prinzipiell geht das BSI erst einmal davon aus, dass alle Basisanforderungen von OPS.1.1.5 erfüllt sein müssen. Darüber hinaus sieht es folgende Punkte als ein Muss an:
Beim letzten Punkt muss aus praktischer Sicht darauf verwiesen werden, dass der Begriff “eindeutige Qualifizierbarkeit eines sicherheitsrelevanten Ereignisses” unbedingt genauer zu definieren ist. In der Regel hinterlassen Cyber-Kriminelle weder eine Visitenkarte noch ein Manual.
Die Systeme zur Angriffserkennung sollen nach folgenden “Reifegradmodell” bewertet werden. Die Stufen des Reifegradmodells sind wie folgt definiert:
Zeitnah, das heißt vor dem 1. Mai 2023, wird das BSI ein entsprechendes Formular zur Verfügung stellen. Aller Voraussicht nach wird dieses in einer überarbeiteten Version der BSI Orientierungshilfe zu Nachweisen gemäß § 8a (3) BSIG zu finden sein.
Es ist davon auszugehen, dass ein Nachweis zu Angriffserkennungssystemen als vollständig erachtet werden wird, wenn die Ergebnisse der Prüfung der Systeme zur Angriffserkennung inklusive aufgedeckter Sicherheitsmängel inkludiert sind.
Dass am 1. Mai 2023 Systeme zur Angriffserkennung implementiert sein müssen, ist allen Beteiligten bekannt. Bis dato gab es jedoch noch Interpretationsspielräume, welche Anforderungen die Systeme zur Angriffserkennung erfüllen müssen. Durch den BSI-Entwurf im Rahmen der Orientierungshilfe zum Einsatz von Systemen der Angriffserkennung wurde Klarheit geschaffen. Es ist zu erwarten, dass dieser Entwurf bald finalisiert wird. Und auch wenn er nicht finalisiert wird, so ist dies zur Pflicht der Umsetzung kein Problem, da die Orientierungshilfe nicht 1:1 umzusetzen ist.
Den gesamten Artike finden Sie hier. (externer link zu unserem Distributionsparter Videc data engineering GmbH)
Verfasst durch: Prof. h. c. PhDr. Stefan Loubichi
IT-/OT-Sicherheitsexperte mit dem Branchenschwerpunkt Energiewirtschaft, zuletzt unter anderem als leitender Auditor für ISMS-Systeme, Fachautor für VGB und Cyber-Security- Verantwortlicher für diverse Unternehmen.
Aus open automation, Ausgabe 5/2022, VDE Verlag, S. 38-40
*) Zugriff nur für registrierte & eingeloggte Kunden unseres Distributionspartners
Wieder ein spannendes Webinar mit tiefen Details von Prof. h.c. PhDr. Stefan Loubichi bei unserem Partner Videc Data Engineering GmbH
Zertifizierungen und Normungen helfen sicherer zu werden. Auch hier gibt es Neuerungen. Unsere Gastreferent Prof. Stefan Loubichi gibt Auskunft über die Änderungen bei der Informationssicherheitsnorm und beleuchtet, welche Punkte speziell zu beachten sind.
Ihre Anmeldung erfolgt hier. (ext link zu unserem Distributionspartner Videc Data engineering GmbH)
15.11.2022 – Hauke Kästing und Jens Bußjäger geben einen Überblick zu den aktuellen und kommenden Anforderungen der Kunden und der Gesetzgeber. Einfache Umsetzung von Systemen zur Angriffserkennung und Abwehr, Stand der Technik, kontinuierliche Risikobetrachtungen, IEC 62443 und noch mehr erfahren Sie in diesem Beitrag!
Titel: Die Anforderungen der Kunden und der Gesetzgeber zur Cybersecurity sind konkret! ITSiG2.0, NIS2.0, KritisV, EU RCE Directive, Namur, und Weitere
Generell Informationen zum Forum:Technische Fortschritte, neue Technologien und geänderte Normen bringen es mit sich, dass die Elektro- und Informationstechnik ständig in Bewegung ist. Auch in diesem Jahr bieten wir für Sie als Elektroplaner oder Sachverständiger mit unserem Planerforum eine Möglichkeit sich direkt über verschiedenste aktuelle Themen zu Informieren und in einen direkten Austausch mit Ihren Fachkollegen zu treten.
Erleben Sie Referenten und Vorträge vom Deutschen Zentrum für Luft und Raumfahrt (DLR), Achtwerk GmbH, HANS THORMÄHLEN GmbH & Co. KG, Fraunhofer IOSB-INA, FlowChief GmbH sowie unseren Phoenix Contact Experten. Weitere Informationen finden Sie nachfolgend.
Das Planerforum findet wieder in einem hybriden Veranstaltungsformat statt. Das bedeutet, dass eine Teilnahme an der Veranstaltung digital über Internet und auch in Präsenz vor Ort möglich ist.
Die Teilnahme an der Veranstaltung ist für Sie kostenlos.
Für die Teilnehmer vor Ort sind eventuelle Kosten für Anreise und Übernachtung selbst zu tragen. Wir haben vom 14. bis 16. November 2022 ein Abrufkontingent im Steigenberger Hotel Bad Pyrmont für Sie reserviert, nähere Informationen finden Sie unten.
Seien Sie am 15. und 16. November mit dabei.
Ob Online oder in Präsenz: Wir freuen uns auf Sie!
So Einfach, So Sicher! Vortrag und Diskussion mit Stefan Menge am 10.11.2022, 13:00Uhr
die InfraSPREE in Potsdam ist der Fachkongress für Wasserwirtschaft und technische Infrastruktur in Berlin und Brandenburg. Wir sind mit unserem Partner VIDEC vor Ort:
IT / OT SECURITY: Erkennen von Cyberangriffen – einfach umgesetzt?!
Vortrag: 10.11.2022, Segment „Schutz kritischer Infrastruktur“, 13.00 – 14.30 h, Referent: Stefan Menge
Weiterer Austausch am Stand Nr. B04A direkt in der Schinkelhalle – ein Gespräch lohnt sich immer.
So einfach, so sicher! IRMA® auf der SPS Messe
Mit ihrem einzigartigen Konzept bildet die SPS das komplette Spektrum der smarten und digitalen Automation ab – vom einfachen Sensor bis hin zu intelligenten Lösungen, vom heute Machbaren bis hin zur Vision einer umfassend digitalisierten Industriewelt.
Im Fokus stehen dabei praxisnahe Lösungen für Ihren spezifischen Arbeitsbereich. Finden Sie vor Ort bei einem Austausch auf Augenhöhe die Antwort auf Ihr konkretes Anliegen sowie Lösungsansätze für die Herausforderungen von morgen.
Die Teilnahme hochqualifizierter Aussteller und Besucher ermöglicht einen Austausch auf Augenhöhe und garantiert eine erfolgreiche Messeteilnahme – vor Ort in Nürnberg sowie global über unsere ergänzende digitale Plattform.
Die SPS wird in diesem Jahr vom 08. – 10.11.2022 in Nürnberg ihre Tore öffnen und somit zwei Wochen früher als in den vergangenen Jahren stattfinden. Dies gibt der gesamten Branche in Zeiten der Pandemie eine entsprechende Planungssicherheit für die führende Fachmesse für smarte und digitale Automation.
…. die it-sa Expo&Congress in Nürnberg ist Europas führende Fachmesse für IT-Sicherheit und eine der bedeutendsten Plattformen für Lösungen rund um dieses Thema.
IRMA® ist bei unseren IT- / OT- Security Partnern auf gleich drei Ständen vertreten:
Gleichzeitig sind Ruben Bay und Tim Brexendorf von unserem Distributionspartner der Videc Data Engineering GmbH vor Ort und stehen allen Partnern als auch IHNEN gerne zu folgenden Themen zur Verfügung:
Erfahren Sie auf diesem Wege im direkten fachlichen Austausch wie Sie Ihre Produktionsanlage absichern können, welche Netzwerkstrukturen Sie idealerweise aufbauen sollten und wie die Orientierungshilfe zum Einsatz von Systemen zur Angriffserkennung des BSI Ihnen helfen kann, auf den Ernstfall vorbereitet zu sein bevor es zu spät ist.
Gastreferent Prof. Stefan Loubichi gibt eine Einordnung der neuen Orientierungshilfe. Im Anschluss erfahren Sie, wie Betreiber von kritischen Infrastrukturen (KRITIS) diesen Anforderungen gerecht werden können.
Der Entwurf der Orientierungshilfe für Systeme zur Angriffserkennung (OH-SzA) wurde im Juni 2022 veröffentlicht und konnte bis Anfang Juli kommentiert werden. Viele der KRITIS Betreiber hatten zuvor beim BSI nachgefragt, wie die Anforderung des ITSiG 2.0 konkret umzusetzen ist. Aktuell ist eine Vielzahl an Kommentaren beim BSi eingegangen. Das zeigt, wie bedeutend dieses Thema zur Erhöhung der Cybersicherheit ist. Dieses Webinar bringt Licht ins Dunkel. Der Referent lässt Sie an seinem jahrzehntelangen Erfahrungswissen für Informationssicherheitsprozessen in KRITIS als Experte zur Umsetzung gesetzlicher Anforderungen teilhaben.
Folgende Fragestellungen werden behandelt:
Erfahren Sie auch, warum „Signaturbasiertes“ Erkennen in der Produktionsanlage nicht wirklich hilft! Warum Netzwerk-Monitoring sehr viel mehr Potential zum Detektieren von sicherheitsrelevanten Ereignissen hat. Dass die Kosten für diese Systeme im Rahmen liegen können. Eine Inbetriebnahme keine Wochen dauern muss. Wie Sie von den Experten unseres Partners unterstützt werden.
Hier geht es zur Anmeldung: (Weiterleitung zu unserem Partner Videc data engineering GmbH)