sematicon AG auf der DeepSec In-Depth Security Conference 2024: Drei wegweisende Vorträge zur Zukunft der industriellen Cybersicherheit

Die sematicon AG wird auf der diesjährigen DeepSec In-Depth Security Konferenz vom 19. bis 22. November 2024 in Wien erneut vertreten sein. Die DeepSec gilt als eine der renommiertesten Plattformen für Informations-, Netzwerk- und Applikationssicherheit. Die Konferenz, die zwei Tage praxisnahes Training und zwei Tage intensiven Wissensaustausch bietet, bringt jährlich Sicherheitsexperten, Entwicklerinnen, Administratoren und Entscheidungsträger aus aller Welt zusammen, um sich über die neuesten Entwicklungen und Herausforderungen in der digitalen Sicherheit auszutauschen.

Als ein innovativer Akteur in der IT- und Industriesicherheit wird die sematicon AG gleich mit drei spannenden Vorträgen auf der DeepSec vertreten sein:

1.„Warum die NIS2-Umsetzung in der industriellen Praxis oft scheitert“

Warum scheitern die meisten Vorhaben zur Vorbereitung auf NIS2 in der Praxis? Viele Betroffene Unternehmen klagen über die Anforderungen der EU-Richtlinie 2022/2555. Diese sei zu unspezifisch und technisch schwer umzusetzen. Überforderung macht sich breit. Auch die Tatsache das im Gegensatz zu einer ISO-Sicherheitszertifizierung (z.B. ISO27001/ISO62443) neben dem ISMS auch die tatsächliche Implementierung abgenommen wird, sorgt für Verunsicherung. Trotz teils massiven Kosten- und Personaleinsatzes sind die Ergebnisse oft unbefriedigend.

Eine Excel-Tabelle oder eine Visio-Zeichnung selbst ändert eben wenig an der Resilienz von KRITIS- bzw. Industrieanlagen gegen Cyber-Angriffe. Mit dem Fokus auf Industrie-Kunden und deren OT-Infrastruktur zeigen wir Anhand von anonymisierten, echten Beispielen, die Herausforderungen in der Praxis und geben Lösungsbeispiele, um schon gemachte Fehler zu vermeiden. Die ersten Schritte müssen nicht viel Geld kosten oder große Personalressourcen binden. Ein wenig Kreativität und Kenntnis über die eigenen Prozesse reichen oft aus, um die größten Hürden zu überwinden und das Schutzlevel enorm zu erhöhen.

2. „EU-CRA – Behalten Sie die Kontrolle und nicht nur die Haftung für Ihre Produkte“

Die neue EU-Richtlinie EU 2019/1020 auch als „Cyber Resilience Act“ kurz CRA legt neue Regeln fest für Hersteller von Hard- und Software mit „digitalen Elementen“. Für Gerätehersteller aus der Medizin, Industrie und Unterhaltungsbranche heißt es jetzt Handeln. Sicherheitsupdates, Schwachstellen und ein erweiterte Sorgfaltsflicht für den Lebenszyklus stehen in Raum. Doch besonders bei Hardwareproduktion wie beispielsweise IoT Geräten ergeben sich interessante Herausforderungen.

Was viele nicht wissen: Viele Schwachstellen sind der der Physik geschuldet und keine „Bugs“ im herkömmlichen Sinne. Im Rahmen der „DeepSec Secure Coding“ Reihe stellen wir hier die Herausforderungen bei der Entwicklung sicherer Hardware ins Rampenlicht und zeigen die Schwachstellen anhand der Beispielhaften Implementierung eines Bootloaders für Embedded Systeme. Wie behält man die Kontrolle über Updates? Was ist „Secure Boot“ und warum arbeitet der Compiler gegen den Entwickler?

3. „Industrielle Anlagen: IP-Schutz in einem zunehmend (de)globalisierten Wirtschaftssystem“

Zölle und Handelsbeschränkungen stellen Unternehmen immer mehr vor logistische Herausforderungen. Der Weg geht in eine Richtung, Produktionskapazitäten in die entsprechenden Länder vor Ort zu verlagern, um nahe am Kunden zu sein. Doch wie kann eine Industrieanlage gefahrlos ins Ausland gebracht werden, ohne den Verlust des eigenen IP (Intellectual Property) zu befürchten? Wir zeigen anhand eines praktischen Beispiels, wie u.a. eine handelsübliche Simatic S7 1500 SPS, durch die Implementierung von starker Kryptographie, in die Lage versetzt werden kann, über das in der Steuerung gespeicherte SPS-Programm sowie dessen Parameter die Kontrolle zu behalten. Die Herausforderung hierbei ist, dass das Gerät über keine dafür notwendige Funktionalität verfügt. Wie kann trotzdem sichergestellt werden, dass sich die Produktion nicht verselbstständigt (Secure Manufacturing)? Das Beispiel ist der Praxis entnommen und wird tatsächlich seit Jahren erfolgreich in der Industrie eingesetzt, und zwar unabhängig von der eigenesetzten Steuerung. Erfahrung mit der Programmierung von SPS-Steuerungen ist nicht erforderlich.

Die Teilnahme der sematicon AG an der DeepSec unterstreicht ihr Engagement, aktuelle Sicherheitsthemen im industriellen Sektor aktiv zu gestalten. Die DeepSec-Konferenz ist dabei die ideale Plattform, um im Austausch mit internationalen Experten Innovationen voranzutreiben und zukunftssichere Lösungen für die industrielle IT-Sicherheit zu entwickeln.

Über die DeepSec

Hier treffen sich die weltweit renommiertesten Sicherheitsexperten aus Wissenschaft, Regierung, Industrie und der Underground-Hacking-Community.

Die DeepSec IDSC ist eine jährliche zweitägige europäische Konferenz über Computer-, Netzwerk- und Anwendungssicherheit. Die DeepSec IDSC 2024 wird vom 19. bis 22. November 2024 im Konferenzhotel in Wien stattfinden und hat zum Ziel, die führenden Sicherheitsexperten aus der ganzen Welt zusammenzubringen. DeepSec IDSC ist eine produkt- und herstellerneutrale Konferenzveranstaltung. Das Unser Ziel ist es, die besten Forschungsergebnisse und Erfahrungen der führenden Experten auf diesem Gebiet zu präsentieren.

Vorgesehenes Zielpublikum: Sicherheitsbeauftragte, Sicherheitsexperten und Produktanbieter, IT-Entscheidungsträger, politische Entscheidungsträger, Sicherheits-/Netzwerk-/Firewall-Administratoren, Hacker und Softwareentwickler.

In der Vergangenheit wurde diese Konferenz besucht von: Ericsson, Commerzbank, Philips, RBT, GRZ IT, IERN Sierra Leone, SAP AG, Improware, Telekom Austria, Microsoft, BAWAG P.S.K., T-Systems, Iphos, Sektion Eins, T-Mobile, Red Hat, SWITCH, Österreichische Nationalbank, Daimler AG, Sentrigo, Universität Wien, SEC Consult, Tech Data, S21Sec, DHL, Bearing Point, Cygnos, wecon, YCO, Rolex SA, IronPort Systems, Microsoft, Cisco Systems, Oracle Corporation, Northrop Grumman, Sourcefire, und viele andere.

Über die sematicon AG

Die sematicon AG ist ein Münchner Unternehmen, das sich auf digitale Lösungen für die Anlagenverwaltung und -überwachung spezialisiert hat. Die sematicon AG verbindet jahrelange Erfahrung im IT-Sicherheits- und Industrieumfeld und schließt die Lücke zwischen IT und OT (Industrie). Sie hat dabei einfach zu implementierenden und technologisch richtungsweisenden Lösungen zum Schutz von unternehmenskritischen Prozessen und Zugriffen. Gesetzliche Vorgaben und Richtlinien wie z.B. NIS 2, IT-Sicherheitsgesetz 2.0, KRITIS, BSI-Empfehlungen, Vorgaben des Arbeitsschutzes, IEC 62443 etc. können in ihren Teilbereichen mit Lösungen der sematicon AG ebenfalls erfüllt werden.