Schleppende NIS2-Umsetzung als Sicherheitsrisiko
DeepSec Konferenz stellt Abhilfe gegen die Schockstarre bei Unternehmen vor
 |
Weg durch das Labyrinth (Bild: Florian Stocker) |
Wien (pts014/31.10.2024/09:05)
Die Richtlinie (EU) 2022/2555, abgekürzt als NIS-2-Richtlinie, soll die Resistenz gegen digitale Angriffe pontentieller Ziele in der Europäischen Union stärken. Umsetzungspflichtig sind bestimmte Unternehmen einer gewissen Größe in festgelegten Sektoren. Die Richtlinien zielt bei der Auswahl auf kritische und wichtige Unternehmen ab. Die diesjährige DeepSec Konferenz stellt zusammen mit der Firma sematicon AG einen praktischen Ansatz zur Umsetzung vor.
Checklisten und Metriken reichen nicht
Die Umsetzung von Sicherheitsmaßnahmen erfordert immer einer gewissen Vorbereitung. Viele scheitern schon bei dieser ersten Hürde, denn die genaue Kenntnis des eigenen Netzwerks und aller darin befindlichen Geräte kann je nach Zählweise variieren. Ist ein Steuerungs- oder Messgerät nur ein Gerät oder ein voller Computer mit Betriebssystemen? Die Klassifizierung entscheidet über sehr viele Konsequenzen bei der Absicherung solcher Geräte. Verbucht man diese korrekter Weise Betriebssystem und als Computer, dann finden sich plötzlich sehr viele Arbeitsgeräte im Inventar, auch wenn sie nur Maschinen oder Anzeigen bedienen. Ehrlichkeit ist bei der Erfassung Trumpf, denn falsche Klassifikationen führen unweigerlich zu falschen Sicherheitsmaßnahmen.
Netzwerke sind wegen der vielen märchenhaft beworbenen Produkte in diesem Bereich nicht immer klar dokumentiert und übersichtlich. Die Etiketten "Next Generation", "Smart", "Cloud" oder "AI" können oft durch beliebige Produkte ersetzt werden, die angemessene Netzwerkprotokolle und -standards unterstützen. Es geht letztlich immer um die Segmentierung der eigenen Netzwerke und dem Steuern und protokollieren der transportierten Daten. Wer kunstgerechte Netzwerktopologien zeichnet, aber nicht weiß was in den Netzwerken vorgeht, hat keine brauchbare Dokumentation für die Absicherung. Als Magie angepriesene Produkte oder Aussagen wie "Ja, OT können wir natürlich auch" entsprechen meist nicht den Erwartungen. Hier gilt eher: Nur echtes Fachwissen zählt! Das gilt für alle Netzwerkarchitekturen, unabhängig von der eingesetzten Technologie.
Anomalien voraus - Reihenfolge beachten!
Oft verlaufen ambitionierte Sicherheitsprojekte im Sand, weil man die letzten Schritte zuerst umsetzen möchte. Zentrale Überwachungssysteme, die Anomalien erkennen und Sicherheitsereignisse administrieren können, sind zwar teilweise Vorgaben, aber sie stehen am Schluss bei der Implementierung von Sicherheitsmaßnahmen. Anomalien lassen sich nur erkennen, wenn der Normalzustand bekannt ist. Selbst lernfähige Algorithmen können ohne die Randbedingungen und Vergleichsdaten vom Normalzustand nichts lernen.
Auch die Hersteller wissen nicht was für Kundensysteme normal oder verdächtig ist. Das Wissen muss intern vorhanden sein oder erarbeitet werden. Dasselbe gilt für den Begriff Sicherheitsvorfall. Wenn plötzlich die Bestandsdaten verschlüsselt sind, dann ist das Kriterium klar. Sendet hingegen ein internes System über Monate hinweg ab und zu nur wenige Kilobyte ins Internet, dann muss man dieses Verhalten erst einmal finden. Angreifende, die wenig Spuren hinterlassen, fallen erst nach einem halben Jahr oder später auf.
Die Sicherheitsüberwachung und Anomalie-Erkennung ist immer das Ende eines Sicherheitsprojekts. Zur Vorbereitung zählt ebenso das Sammeln und Abführen aller relevanten Logdaten. Was sind relevante Logs, und wo sind diese zu finden? Das ist leider auch ein hochaktuelles Problem in vielen Unternehmen.
Industrie 4.0 mit Sicherheit
Die DeepSec Konferenz hat mit dem Unternehmen sematicon gemeinsam eine Anlaufstelle für Secure Design und Secure Coding im Bereich der Softwareentwicklung geschaffen. Code wird nicht von alleine sicher. Sicherer Code lässt sich in vielen bestehenden Programmiersprachen umsetzen. Die Voraussetzung dabei ist, ganz genau wie bei der IT Infrastruktur, die genaue Kenntnis der von Stärken und Schwächen der jeweils eingesetzten Sprache. Auf der DeepSec Konferenz stellen sich DeepSec und sematicon mit Vorträgen zu Secure Coding dem Publikum und geben einen Einblick wie moderne Software entsteht. Die Präsentationen finden im Third Track der Konferenz statt, der Raum für Diskussionen ohne Aufzeichnungen bietet.
Sicherer Source Code entscheidet die Zukunft
Die DeepSec Konferenz hat mit dem Unternehmen sematicon gemeinsam eine Anlaufstelle für Secure Design und Secure Coding im Bereich der Softwareentwicklung geschaffen. Code wird nicht von alleine sicher. Sicherer Code lässt sich in vielen bestehenden Programmiersprachen umsetzen. Die Voraussetzung dabei ist, ganz genau wie bei der IT-Infrastruktur, die genaue Kenntnis der von Stärken und Schwächen der jeweils eingesetzten Sprache. Auf der DeepSec Konferenz stellen sich DeepSec und sematicon mit Vorträgen zu Secure Coding dem Publikum und geben einen Einblick wie moderne Software entsteht. Die Präsentationen finden im Third Track der Konferenz statt, der Raum für Diskussionen ohne Aufzeichnungen bietet.
Programme und Buchung
Die DeepSec-2024-Konferenztage sind am 21. und 22. November. Die DeepSec-Trainings finden an den zwei vorangehenden Tagen, dem 19. und 20. November statt. Alle Trainings (bis auf angekündigte Ausnahmen) und Vorträge sind als Präsenzveranstaltung gedacht, können aber im Bedarfsfall teilweise oder komplett virtuell stattfinden. Für registrierte Teilnehmer und Teilnehmerinnen wird es einen Stream der Vorträge auf unserer Internetplattform geben.
Die DeepINTEL Security Intelligence Konferenz findet am 20. November statt. Da es sich um eine geschlossene Veranstaltung handelt, bitten wir um direkte Anfragen zum Programm an unsere Kontaktadressen. Wir stellen dafür starke Ende-zu-Ende Verschlüsselung bei Kommunikation zur Verfügung: https://deepsec.net/contact.html
Tickets für die DeepSec Konferenz und die Trainings können Sie jederzeit online unter dem Link https://deepsec.net/register.html bestellen. Ermäßigungscodes von Sponsoren stehen Ihnen zur Verfügung. Bei Interesse melden Sie sich bitte unter deepsec@deepsec.net. Bitte beachten Sie, dass wir wegen der Planungssicherheit auf rechtzeitige Ticketbestellungen angewiesen sind.
(Ende)| Aussender: | DeepSec GmbH |
| Ansprechpartner: | René Pfeiffer |
| Tel.: | +43 676 56 26 390 |
| E-Mail: | deepsec@deepsec.net |
| Website: | deepsec.net/ |
