Am 27.01.2022 kamen über 50 Teilnehmende virtuell zur Veranstaltung „Vernetzte Produkte im IoT brauchen Security“ zusammen. Viele Unternehmen behandeln die Thematik Cybersecurity noch stiefmütterlich, obwohl der Schutz von Daten essentielle Bedeutung hat. Mit dieser Veranstaltung konnte hier Abhilfe geschaffen werden. Hochkarätige Referenten aus Forschung und Industrie sensibilisierten und informierten das Publikum über Cybersecurity.
Die Veranstaltung wurde im Rahmen des DIGIHUB Südbaden-Projekts durchgeführt, wobei Organisation und Durchführung unter Leitung von microTEC Südwest stand. Maßgebliches Ziel des Projektes besteht darin, kleinen- und mittelständischen Unternehmen beim Weg in die Digitalisierung zu helfen.

Vorträge rund um Cybersecurity 

Dr. Kai Borgwarth von der embeX GmbH startete die Vortragsreihe zu Cybersecurity mit einem Vortrag zum Thema „Wer schließt wie das Scheunentor? - Rollen und Aufgaben zur Herstellung und Bewahrung der Cybersicherheit im IoT“. Momentan sind bereits mehr als 13 Milliarden Geräte Teil des „Internet of Things (IoT)“ und damit potentiellen Hackerangriffen ausgesetzt. Dr. Kai Borgwarth erklärte unmissverständlich, dass das Eindringen in IT-Systeme ohne Erlaubnis der Hersteller und Betreiber eine schwere Straftat darstellt. Eine klassische Sicherheitslücke ist z.B. das Default-Passwort aus dem Handbuch. Gesetzliche Anforderungen werden durch das IT-Sicherheitsgesetz, das seit Juli 2015 in Kraft ist, beschrieben. Insgesamt ist das Ziel von Cybersecurity zwischen flexibler Nutzung und missbräuchlicher Nutzung des Produktes abzugrenzen. Cybersecurity beinhaltet eine sorgfältige Risikoanalyse und der Kenntnis der Werte sowie der Verweis auf Passwort- und Codierrichtlinien.

Als nächster Referent sprach Prof. Axel Sikora (HS Offenburg sowie Hahn-Schickard) zum Thema „Seamless Security bis zum Feldgerät“. Zu Anfang seines Vortrags definierte er den Begriff „Security“ als Zustand ohne Gefahren und Risiken oder mit einem ausreichenden Schutz gegenüber diesen Gefahren und Risiken. Dabei stellt allgemein der Begriff „Security“ die IT-Sicherheit dar. Der Begriff „Safety“ steht für die funktionale Sicherheit. Dabei sind „Safety“ und „Security“ voneinander abhängig. Der wesentliche Teil seines Vortrags bestand in der Vorstellung des BMWi-Projektes FieldPKI: Prozesse und Kommunikationsprotokolle für ein Security Lifecycle Management in industriellen Feldbusgeräten und –systemen.  Im Rahmen des Projektes werden Protokolle und Prozesse erarbeitet, die den sicheren Betrieb von industriellen Feldbusgeräten ermöglicht. Folgende Ebenen des Lifecycles werden abgedeckt: Hersteller, Bewirtschaftung und Anwendung.

Ein Beispiel aus der Praxis

Andreas Teuscher von der Sick AG stellte in seinem Vortrag mit dem Titel „Wie Cybersecurity die Digitalisierung erst möglich macht“ die Thematik aus Sicht eines großen Sensorherstellers dar. In der Industrie wird der Begriff der Cybersecurity für die operative Technologie (OT) verwendet. Operative Technologie wird als Oberbegriff für Hard- und Software verstanden, die durch die direkte Überwachung und/oder Steuerung von Industrieanlagen, Anlagen, Prozessen und Ereignissen Änderungen erkennt oder verursacht. Intensiv beschäftigte sich Herr Teuscher mit Cybersicherheitskonzepten für die OT. Ein sehr wichtiger Aspekt spielt hierbei die Normenfamilie IEC 62443. Sie hebt beispielsweise die Bedeutung der Einbeziehung aller Beteiligten beim Neubau, Umbau und Betrieb von Prozessanlagen hervor. Die Einzelnormen der IEC 62443 beschreiben ausführlich die Security-Anforderungen an die Beteiligten während allen Phasen des Anlagenlebenszyklus.

IoT-Sicherheit bei Energiespeichern

PD Dr.-Ing. Ingmar Baumgart vom Forschungszentrum Informatik präsentierte einen Vortrag mit dem Titel „Sicherheit von IoT-Produkten am Beispiel von Energiespeichern“. Herausforderungen der IoT-Sicherheit stellen u.a. die weltweite Vernetzung und der Kostendruck dar. Die zunehmende Vernetzung von eingebetteten Systemen über das Internet vergrößert die Angriffsfläche enorm. Bei günstigen IoT-Produkten stehen keine Mittel für IT-Sicherheit und Updates zur Verfügung.
Energiespeicher für Privathaushalte geben ihre Energie üblicherweise morgens und abends ab und sind meistens mit dem Internet verbunden, um z.B. Wartungen (Updates) durch den Hersteller zu ermöglichen. Im Projekt SafetyFirst wurden 10 Energiespeicher getestet, alle wiesen Sicherheitslücken auf. Mögliche Lösungsvorschläge zur Schließung der Sicherheitslücken wurden erarbeitet. Z.B. sollten Firmware-Updates über TLS und ggf. digital signiert werden. Außerdem sollten Passwörter vermieden werden.

Die Veranstaltung wurde mit einer „virtuellen Podiumsdiskussion“ abgerundet. Verschiedene Fragen der Teilnehmenden rund um Cybersecurity wurde durch die Experten ausführlich beantwortet.

Die Veranstaltung war ein großer Erfolg und konnte die Teilnehmenden für die Thematik Cybersecurity sensibilisieren und darüber hinaus konkrete Ansätze liefern.
Wir danken den Referenten und hoffen auf ein baldiges Wiedersehen!

Förderung

Das DIGIHUB Südbaden wird von der „Initiative Wirtschaft 4.0 BW“, „digital@bw“, sowie dem „Ministerium für Wirtschaft, Arbeit und Tourismus Baden-Württemberg“ gefördert.