Die Cybersecurity Conference 2024

22. Okt. 2024

Cybersecurity-Risiken sind im Zeitalter der digitalen Vernetzung allgegenwärtig. Die NIS-2-Richtlinie (im Folgenden: NIS-2) und der Cyber Resilience Act (CRA) sollen den europäischen Rechtsraum für den Umgang mit diesen Cyberrisiken ertüchtigen. Die Unternehmen stehen wiederum vor der Aufgabe, die neuen Regularien umzusetzen.

Die neunte Cybersecurity Conference widmete sich am 16. und 17. Oktober 2024 im Barockschloss Mannheim deshalb insbesondere dem Thema Security Compliance (also der Einhaltung von Standards und gesetzlichen Anforderungen): Wie werden NIS-2 und CRA die Organisationen beeinflussen? Welche Schritte sind für eine zukunftssichere Compliance-Strategie unerlässlich? Wie lässt sich die damit verbundene Komplexität bewältigen? Wie können die neuen Regeln dazu führen, dass sich Unternehmen proaktiv an sich wandelnde Sicherheitslagen anpassen können?

Ali Mabrouk (Geschäftsführer und CEO der SAMA PARTNERS Business Solutions GmbH; Vorsitzender ISSA Germany Chapter e.V.) verdeutlichte in seiner Begrüßung den Wert gesetzlicher Regelungen für die Stabilität und Resilienz der IT- und OT-Organisation. Die gesetzlichen Vorgaben böten Unternehmen eine gute Handlungsorientierung, um sich gegen Bedrohungen von außen zu schützen.

Thorsten Riehle (Bürgermeister für Wirtschaft, Arbeit, Soziales und Kultur, Stadt Mannheim) betonte in seinem Grußwort, dass Cybersecurity die Grundlage für das Vertrauen in die Digitalisierung sei und deshalb auch einen wichtigen Standort- und Wettbewerbsvorteil darstelle. Politik, Verwaltung und Wirtschaft seien gleichermaßen gefragt, durch Investitionen in die Infrastruktur, aber auch durch Ausbildung und Schulungen dafür zu sorgen, dass „Datenpakten“ ein „sicherer Hafen“ zur Verfügung stehe.

Die rund 20 Beiträge widmeten sich an zwei Tagen vier großen Themenkreisen: den rechtlichen Regulierungen, der Umsetzung der Regularien in Unternehmen und Behörden, der Sicherheitsorganisation ausgewählter Sektoren und dem Blick in die Zukunft.

Die folgenden Zusammenfassungen stellen eine repräsentative Auswahl der Vorträge dar. Das ausführliche Programm der Cybersecurity Conference ist hier als PDF einsehbar.

 

I. Rechtliche Regulierungen

 

Sachar Paulus (Studiengangsleiter Cyber Security, Hochschule Mannheim) verdeutlichte in seinem Beitrag die Genese der NIS-2. Die neue Regulierung sei eine Reaktion auf die veränderte Bedrohungslage: Statt durch „Script Kiddies“ und Einzeltäter würden die Angriffe seit ungefähr 2010 durch die organisierte Kriminalität und staatliche Akteure durchgeführt. Die Ziele der Angriffe verlagerten sich von der Suche nach Anerkennung, politischem Aktivismus und Bereicherung hin zu groß aufgezogener Erpressung, Informationsdiebstahl, Spionage und Sabotage. Entsprechend suchte die Staatengemeinschaft nach Mechanismen, um die Gesellschaft langfristig zu schützen: durch Steuerung der Informationssicherheit, durch Verbesserung der Prävention, der Detektion und – insbesondere mittels NIS-2 – der Reaktion. Mehr Sicherheit bedeute jedoch auch mehr Kosten. Die absehbaren Auswirkungen: Viele Business Cases im Mittelstand würden scheitern oder die Unternehmen müssten die Kosten weitergeben, die Lieferketten würden teurer, langsamer, schwieriger zu organisieren.

Torsten Seberg (Abteilung 5 Cybercrime / Digitale Spuren, Landeskriminalamt Baden-Württemberg) widmete sich in seinem Vortrag der NIS-2-Umsetzung aus polizeilicher Perspektive. Unternehmen seien heute vor allem durch digitale Erpressung und E-Mail-Betrug betroffen. Aus polizeilicher Sicht seien deshalb insbesondere die in § 30 des NIS-2-Umsetzungs- und Cybersicherheitsstärkungsgesetzes genannten Maßnahmen geeignet, um Vorfälle präventiv zu vermeiden und zu erkennen sowie ernste Lagen adäquat bewältigen zu können. Unter diese Maßnahmen fallen etwa die Verpflichtung zur Risikoanalyse und zur eingehenden Planung der Bewältigung von Sicherheitsvorfällen, zum Backup- und Krisen-Management und zum Management von Schwachstellen sowie die Verpflichtung zur Einführung von Verschlüsselungs- und Authentifizierungstechniken.

Doch wie steht es um die Akzeptanz der neuen Regeln bei den Unternehmen aus? Holger Pontow (Managing Consultant, SAMA PARTNERS Business Solutions GmbH) konnte gleich zu Beginn seines Vortrages „Cybersecurity Compliance: Fluch oder Segen?“ eine erste Antwort geben: Hätten Unternehmen bestimmte Sicherheitsnormen bereits etabliert, könnten neue Regularien auch einfacher umgesetzt werden. Schwierigkeiten sieht Pontow jedoch vor allem in drei Bereichen: Erstens seien die Regularien nicht leicht zugänglich, der Umgang mit und das Management der umfangreichen Rechtstexte eine große Herausforderung. Zweitens ließen sich die Anforderungen der EU nur mit qualifiziertem Personal und entsprechendem Budget erfüllen. Und drittens sei die Umsetzung der NIS-2-Richtlinie in Deutschland aktuell verzögert.

 

II. Umsetzung in Unternehmen und Behörden

 

Jürgen Blumenstiel (Manager IT Risk Management & Security Services, Pepperl+Fuchs SE) berichtete in seinem Beitrag über die Umsetzung der neuen Regularien bei Pepperl+Fuchs. Das Automatisierungs- und Sensorik-Unternehmen produziert mit fast 7.000 Mitarbeitenden in 15 Ländern circa 50.000 Produkte. Die zu überwindenden Schwierigkeiten seien zahlreich: Der NIS-2 betreffende Gesetzestext umfasse alleine in Deutschland über 200 Seiten mit zahlreichen unscharfen Formulierungen. Im europäischen Ausland verkompliziere sich die Lage nochmals: Die jeweilige nationale Umsetzung könne nicht nur von der EU-Richtlinie abweichen, auch in Bezug auf die – etwa für Registrierung und Störungsmeldung – verantwortlichen Stellen seien in 15 Ländern 15 verschiedene Besonderheiten zu berücksichtigen. Ein Vorteil für Pepperl+Fuchs: Mit der ISO-Norm 27001 seien bereits einige der Anforderung verwirklicht geworden.

Sven Milstein (Head of Cyber Security & Service Management, PHOENIX International Holdings GmbH) beantwortete bei der praktischen NIS-2-Umsetzung und der Etablierung eines effektiven Krisenmanagements drei grundlegende Fragen: Was stellt für PHOENIX eine Krise dar? Wie kann eine solche Krise ausgelöst werden? Und was soll mit einem Krisenmanagement erreicht werden? Als entscheidende Bausteine des IT-Krisenmanagements erwiesen sich Awareness-Schulungen, die Definition von Kriterien, Prozessen, Strukturen und Rollen sowie die Festlegung von Interfaces zu anderen Bereichen. Zentral sei die ständige Übung entsprechender Szenarien.

Julian Reichwald (Professor für Wirtschaftsinformatik, Dekan der Fakultät für Wirtschaftsingenieurwesen, Hochschule Mannheim) zeigte in seinem Vortrag, dass nicht nur Unternehmen, sondern auch Hochschulen vor größeren Herausforderungen stehen, den NIS-2-Regularien zu entsprechen. Eine erste Schwierigkeit bestehe in den erheblichen Größenunterschieden der Bildungseinrichtungen. Entsprechend seien manche Hochschulen besser, andere schlechter aufgestellt. Zweitens stelle jede Hochschule ein sehr komplexes System mit zwei eng vernetzten, sich in ihrer Funktionslogik jedoch diametral widersprechenden Organisationsformen dar: die rechtskonform durchorganisierte öffentliche Verwaltung und die ein Höchstmaß individueller Freiheitsgrade anstrebende Forschungsinstitution. Die Hochschulen und Forschungseinrichtungen müssten vor diesem Hintergrund ihre IT-Konzepte überdenken, etwa in Hinblick auf Standardisierung und Professionalisierung, Bedrohungsabwehr, Daten- und Forschungsdatenmanagement, Einhaltung der Meldepflichten und unterschiedliche Schutzniveaus by design. Die Vorteile der NIS-2-Regulierung seien jedoch nicht zu verachten: Hochschulen könnten bei einer Umsetzung der entsprechenden Regularien an Reputation und Wettbewerbsfähigkeit gewinnen und ihre Attraktivität für internationale Kooperationen steigern.

 

III. Organisation von Cybersecurity in ausgewählten Sektoren

 

Norbert Jäger (Oberstleutnant Kommando Cyber- und Informationsraum, Bundeswehr) präsentierte in seinem Vortrag die Informations-Sicherheitsorganisation der Bundeswehr und die Auswirkungen der NIS-2 auf die Streitkräfte. Die Aufbauorganisation habe sich mit der Veränderung der weltpolitischen Lage und der Verlagerung von Auslandseinsätzen zur Bündnis- und Landesverteidigung gewandelt. Nun stünden unter anderem die Sorge um die IT-Infrastruktur und die Absicherung der militärlogistischen „Drehscheibe Deutschland“ im Vordergrund. Der Informations-Sicherheitsorganisation kämen vor allem zwei Aufgaben zu: Der Schutz der Bundeswehr-IT und die Beteiligung an der gesamtstaatlichen Cyber-Sicherheitsarchitektur. Dort seien die Fähigkeiten der Bundeswehr etwa im Falle der IT-Forensik, der Incident Response und der Schwachstellenanalyse gefragt. NIS-2 sei bei der Bundeswehr kein größeres Thema – aufgrund des BSI-Gesetzes sei hier bereits faktisch alles verwirklicht, was die Verordnung fordere.

Uwe Geelhaar (Leiter EAM und Cyber Security, Flughafen München) stellte ein branchenspezifisches SOC (Security Operations Center) vor, das CybAirSOC. Das Cybersecurity- und das Enterprise-Architecture-Management (EAM) sei an Flughäfen eng verschränkt. Jeder Flughafen sei heute nämlich mehr als ein Ort von Starts und Landungen, er sei eine kleine Smart City mit umfangreichen Dienstleistungen. Deshalb liege die Idee nahe, im Rahmen der digitalen Transformation der Airports über ein CybAirSOC den besonderen Branchenbezug und die besonderen Business-Modelle im Flughafenbereich zu berücksichtigen. So sei etwa die Verfügbarkeit und die Integrität der Daten und Systeme für Flughäfen essenziell, damit die Customer Journey problemlos funktioniere – von der Anreise über den Check-in und die Versorgung bis zum Flug. Folglich müssten bei der Gestaltung von Infrastruktur und Geschäftsprozessen stets alle Aspekte der Informationssicherheit mitgedacht werden, mittels Monitoring, Detection und KI-unterstützter Threat Intelligence.

 

IV. Der Blick in die Zukunft

 

Maël Pégny (Data Scientist, SAMA PARTNERS Business Solutions GmbH) widmete sich in seinem Beitrag dem Themenkomplex KI, Cybersecurity und Ethik. Seine Eingangsthese: Nicht nur die KI-Technologie selbst, sondern gerade die Aspekte der KI-Sicherheit seien zu Objekten im geopolitischen Wettbewerb geworden. Da eine verbesserte Sicherheit der KI-Anwendungen ganz neue Marktperspektiven eröffne, könnten der Sicherheitskultur und den Sicherheitsprodukten strategischer Einfluss auf die KI-Entwicklung zukommen. Folglich strebten die maßgeblichen Player – USA, China, EU – jeweils KI-Normmodelle an, nach denen sich andere Länder ausrichten sollten. Die EU habe mit dem KI-Act einen risikobasierten Ansatz gewählt. Die Herausforderung bestehe jedoch darin, dass es keine einfachen technischen Lösungen gebe: Zum einen seien die KI-spezifischen Risiken noch neu und würden noch nicht vollständig verstanden. Zum anderen impliziere die riesige Angriffsoberfläche neuer KI-Systeme unvermeidbare Risiken. Umso wichtiger sei ein besseres wissenschaftliches Verständnis der Trade-offs zwischen ethischen Werten und technologischen Möglichkeiten sowie eine klare rechtliche Regulierung in Konfliktfällen.

Frederick Armknecht (Lehrstuhl Praktische Informatik IV: Dependable Systems Engineering, Universität Mannheim) beleuchtete neue Gefahren bei Cyberangriffen gegen Machine-Learning-Modelle. So könnten Täter zukünftig Trainingsdaten manipulieren, Modelle infiltrieren und Zugriff auf Klassifizierungsverfahren erlangen. Der Werkzeugkoffer liege mit Evasion-, Poisoning-, Extraction- und Inference-Attacks bereit. Das Risiko steige durch die Wechselwirkung zweier Faktoren: Der Einsatz von Machine-Learning-Modellen steige stark, obwohl die (Un)sicherheit der Modelle noch nicht ausreichend verstanden werde.

Christian Schmitz (Managing Director evolutionQ) betrachtete die neue und weitreichende Bedrohung durch Quantencomputer, die wohl in der Lage sein werden, bestehende Kryptografie-Methoden zu knacken. Da davon auszugehen sei, dass funktionsfähige Quantencomputer bereits in 10 bis 15 Jahren zur Verfügung stünden, gelte es, sich bereits heute Gedanken über die quantensichere Kryptografie von Daten zu machen und die entsprechende Datenmigration zu planen: Welche Kryptografiemethoden werden im Unternehmen gegenwärtig eingesetzt? Welche Frameworks lassen sich integrieren? Wie können Ausführung der Migration und Wartung der neuen Strukturen geplant werden?

Beschlossen wurde die Cybersecurity Conference durch die Verleihung des Akademischen Förderpreises und der „Capture the Flag“-Hacking-Challenge.

 

Quelle: Zeitenvogel

 

 

Beitragsbild: pixabay.com