SPS Technology Talks 2024: Safety First

Vermittelt wurde in der ersten Ausgabe des Webinars der „SPS Technology Talks“ topaktuelles Wissen inklusive besonderem „Live-Act“, wie sich Unternehmen gegen Hackerangriffe schützen können. (Bild: Mesago Messe Frankfurt GmbH / bateau blanc GmbH & Co.KG)

„Das Vortragsprogramm der „SPS Technology Talks“ bietet als neue digitale Wissens- und Austauschplattform immer am vierten Donnerstag im Monat frische Impulse rund um Automatisierungsthemen und die SPS 2024“, erläuterte Gunnar Mey, Vice President Business Development & SPS New Business bei der Mesago Messe Frankfurt GmbH, in seiner Begrüßung: „Losgelöst vom Messezeitraum wird damit Ausstellern und Teilnehmern ein Rahmen geboten, um Wissensaustausch sowie Networking zu betreiben. Und die erste Ausgabe hat den Grundstein für weitere erfolgreiche Webinar-Sessions gelegt.“

Auftakt-Thema: Entscheidender Faktor für den Erfolg der Smart Factory

Vermittelt wurde in der ersten Ausgabe des Webinars der „SPS Technology Talks“ topaktuelles Wissen inklusive besonderen „Live-Act“, wie sich Unternehmen gegen Hacker-Angriffe schützen können. Denn diese treten immer häufiger auf: Über 200 Milliarden Euro – so hoch ist der jährliche Schaden, der der deutschen Wirtschaft durch digitale und analoge Industriespionage, Sabotage und Diebstahl entsteht, so eine Erhebung des Digitalverbands Bitkom vom September 2023. Mehr als 70 Prozent aller Unternehmen waren demnach in den zwölf Monaten vor der Erhebung von Angriffen betroffen. Bisher sind diese Attacken in den meisten Fällen auf die administrativen Bereiche beschränkt, mit denen von außen die Angriffe ausgeführt werden. Etwa über Webseiten, Bestell- oder E-Mail-Programme und das Ethernet-Backbone des Unternehmens. Sozusagen als Kollateralschaden ist hierbei die Produktionsebene dann ebenfalls lahmgelegt.

Laut der Studie steigt mit zunehmender Digitalisierung der Produktion und der Automatisierungsprozesse nun auch das Risiko entsprechender, gezielter Angriffe auf die industriellen Kernprozesse. Denn in der Vergangenheit waren IT und OT in der Industrie getrennte Bereiche: Während die Informationstechnologie (IT) für Datensysteme zuständig ist, umfasst Operational Technology (OT) die Hardware und Software zur Kontrolle und Steuerung von Systemen in der Fertigungs- und Prozessindustrie. Mit Industrie 4.0 wird aber nun die Durchgängigkeit vom Sensor bis zur Cloud angestrebt, die OT-Welt wächst mit der IT-Welt zusammen – und damit auch das Risiko entsprechender Angriffe direkt auf die industriellen Prozesse.

Erster Vortrag: Vorschlag des Perspektivwechsels bei der Cyberabwehr

Im ersten Vortrag informierte Mirko Ross, CEO der asvin GmbH, über neue Methoden für Risikomanagement in Operational Technology (OT)-Umgebungen. Zunehmend bedrohliche Sicherheitslagen in kritischer Infrastruktur könne nur mit einem Perspektivwechsel bei der Cyberabwehr begegnet werden, wirbt der Spezialist in Sachen Cybersicherheit. „Denn durch die zunehmende Digitalisierung werden die Technologien immer komplexer. Hatte man früher 145.000 Zeilen Zahlencode benötigt, um Menschen von der Erde zum Mond zu schicken, braucht man heute 100 Millionen Zeilen Code, um mit einem Auto von A nach B zu gelangen. Diese Steigerung an Komplexität ist zwangsläufig mit einer höheren Fehlerquote verbunden – bis zu 300.000 Fehler stecken beispielsweise in der Software eines Autos“, führt Mirko Ross aus und ergänzt, „die damit einhergehenden Risiken bleiben jedoch oft unerkannt.“ Doch es gebe Lösungen, um diese Risiken zu managen und zu kalkulieren: Spezielle Simulationssoftware helfe dabei zu entscheiden, an welcher Stelle in der Cybersicherheit das hierfür kalkulierte Budget am besten angelegt sei. Nicht nur eine höhere Sicherheit stehe dabei im Fokus, sondern vor allem auch die Vermeidung eines Shutdowns oder – im Falle einer Stilllegung – das schnelle Wieder-Hochfahren der betroffenen Elemente.

Zusammengefasst ist laut Mirko Ross eine kluge strategische Verteilung sowie die Diversifikation in den Maßnahmen hierfür der Schlüssel – anstatt sich auf einzelne Schwachstellen oder spezifische Produkte zu fokussieren. Dies führe zu einer wesentlich besseren Resilienz als zentrale Modelle. Die Industrie müsse beim Thema Security von “Reaktiv” auf “Prädiktiv” umstellen – und mit moderner Software für Risikovorhersage sei das heute definitiv machbar, setzt Cyberexperte Ross allen Automatisierern auf die Agenda.

Zweiter Vortrag: Cybersicherheit in der OT

Die zweite Session stand unter dem Thema „Cybersicherheit in der OT – Mission Impossible?“ und war ein gemeinsamer Forenbeitrag des IT-Security Unternehmens genua GmbH und der Hima Paul Hildebrandt GmbH, Anbieter von Automatisierungslösungen für funktionale Sicherheit, von der SPS 2023. Arnold Krille, Stratetic Sales Manager genua, und Thomas Königstein, Chief Information Security Officer der Hima, erläuterten anhand von realen Beispielen, wie Angriffe auf die IT auch immer öfter die OT treffen.

Denn für die gewünschte, zunehmende Datendurchgängigkeit müssten laut den beiden Experten Maschinen, Menschen, Steuerungen und Feldgeräte breiter – d. h. über mehrere Systeme hinweg – und tiefer – bis hin zu einzelnen Maschinenteilen einer Produktionsanlage – direkt miteinander kommunizieren. Hier treffen also immer häufiger Safety- und Security-Anforderungen aufeinander: „Ohne Security gibt es keine funktionale Sicherheit, denn Safety und Security sind untrennbar miteinander verbunden“, betonten Krille und Königstein. Technologisch müssten diese Bereiche jedoch strikt voneinander getrennt werden. Wie bringt man diese beiden wichtigen Funktionalitäten also dann unter einen Hut?

Die Lösung bestehe im Schließen von Kompromissen. Veranschaulicht wurde dies von den beiden Referenten anhand eines Beispiels: So öffnen Haustüren aus „Security-Gründen“ nach innen, damit die Scharniere kein leichtes Ziel für Einbrüche darstellen. Anders sieht das bei Notausgängen aus. Diese müssen aus „Safety-Gründen“ nach außen öffnen. Der Kompromiss könne nun folgendermaßen aussehen: Man lässt alle Türen nach außen öffnen, bis auf die Letzte, die schließlich effektiv vor Einbruch schützt. Anders ausgedrückt: „Eine gute und richtig integrierte Security treibt die Digitalisierung von Unternehmen voran, ohne die Safety zu behindern“, so die beiden Experten.

Dritter Vortrag als „Live-Hack“: Browser-Sperren in Sekunden umgehen

Den Abschluss des Webinars „Industrial Security“ bildete Sebastian Schreiber, Gründer und Geschäftsführer der Syss GmbH mit verschiedenen „Live-Hacking“-Demonstrationen. Der Security-Spezialist führt mit seinem IT-Sicherheitsunternehmen Hacker-Prüfungen bei Unternehmen durch und Penetrationstester Schreiber zeigte anhand von anschaulichen Beispielen, wie es Hacker schaffen über Alltagsgegenstände wie Thermostate, Fernbedienungen oder USB-Sticks eine Firewall zu überwinden. So demonstrierte Schreiber, wie er über ein Thermostat das Stromnetz hacken und einen angeschlossenen Föhn an- und ausschalten kann. Der Föhn steht dabei stellvertretend für jedes elektrische Gerät: Beispielsweise werden auch die Kühltürme eines AKW von Thermostaten gesteuert, was bei entsprechenden Angriffen zu einer nuklearen Katastrophe führen könnte – und der Demonstration eine starke Sicherheitsrelevanz verlieh.

Ein hochgesichertes Flash-Laufwerk und ein Fingerabdruck-Scan boten vor dem versierten Hacker ebenfalls nur sehr kurze Sicherheit, und das Umgehen einer Bezahlsperre im Browser war Sekundensache. Deshalb, so Berufs-Hacker Schreiber, sei es für Industrieunternehmen extrem wichtig, sich zu informieren, wie Hacking funktioniert, um entsprechende Vorsicht walten zu lassen: „Denn nur wer weiß, wovor er sich schützen muss, weiß dann auch, wie er sich schützen muss“, signalisiert Schreiber und ergänzt im Nachgang zum Webinar: „Bei meinem Live-Hack im Rahmen der SPS Technology Talks hat es mich besonders gefreut, per Live-Stream direkt mit dem Publikum verbunden zu sein. Denn die Angriffe in Echtzeit zu erleben, wirkt sich meist sehr positiv auf das IT-Sicherheitsbewusstsein aus.“

Die SPS „live“ erleben und weitere Branchen-Themen ganzjährig vertiefen

Entsprechende Informationen, Lösungen und Produkte zum Thema Industrial Security finden sich unter dem Themenschwerpunkt „Software & IT für die Fertigung“ auf der diesjährigen SPS vom 12. – 14.11.2024 in Nürnberg in den Hallen 5 und 6. Und der Gemeinschaftsstand „Automation meets IT“ in Halle 6 informiert zielgerichtet über Themen wie Security-Maßnahmen für die Fertigung, Cloud- und Edge-basierte Lösungen und Services, IoT- und KI-basierte Lösungen sowie IT-Management für die Automatisierung. Neben dem Bundesamt Sicherheit in der Informationstechnik werden hier unter anderem auch Unternehmen wie genua und Fortinet für einen Austausch zur Verfügung stehen.

Zur Vorbereitung auf die Gespräche kann man die einzelnen Beiträge des Webinars „Industrial Security“ in den Industry News der SPS nochmals verfolgen – wie auch Cybersicherheitsexperte Mirko Ross empfiehlt:

„Die neuen SPS Technology Talks sind aus unserer Sicht eine gute Plattform, um wichtige Branchen-Themen ganzjährig zu verfolgen und zu vertiefen. Themen wie Cyberresilienz sind viel zu wichtig, um sie nur während einer Messe zu erörtern. Daher ist es für Aussteller, Besucher und Medien sehr hilfreich, dass die Mesago dieses neue Informations- und Austauschformat anbietet.“

Nächste Session der SPS Technology Talks am 22.02.2024 zu „Recruiting“

Das Vortragsprogramm der „SPS Technology Talks“ findet jeden vierten Donnerstag eines Monats statt und wird am 22. Februar 2024 mit dem Thema „Recruiting“ fortgesetzt. Die Keynote wird von Thomas Sattelberger gehalten: der langjährige Vorstand von Lufthansa und Personalvorstand von Continental und Telekom ist der Erfinder der Frauenquote in deutschen Unternehmen.

Und auch die weiteren Beiträge versprechen viele interessante Einblicke, welche Maßnahmen Unternehmen ergreifen können, um dem drängenden Fachkräftemangel entgegenzuwirken.

Die monatlichen „SPS Technology Talks“ werden über die digitale „SPS on air“-Plattform gestreamt. Weitere Informationen und die Themenvorschau für das erste Halbjahr sind auf der Website zu finden.