OT-Security: Worüber müssen wir mehr sprechen?

Notizen zum Call for Contributions für “Security unter Kontrolle”

Wir haben ein Datum und einen Ort: Am 10. und 11. Mai 2023 wird erstmals der deutschsprachige OT-Security-Kongress “Security unter Kontrolle” stattfinden. “Security unter Kontrolle” richtet sich an alle, die sich mit Cybersecurity in der Industrie beschäftigen (müssen).

Wir wollen der deutschsprachige OT-Security und ihren Menschen einen Ort der Inspiration und des Austauschs geben: Wie machen es andere in meiner Branche? Was für neue Werkzeuge, Methoden und Diskussionen gibt es in Deutschland und anderswo in der Welt (in der OT-Security kommen viele Neuerungen noch immer aus den USA)?

Security unter Kontrolle soll ein Ort sein, an dem Automatisierer ihre Fingerabdrücke auf dem Thema Security hinterlassen — und mit dem guten Gefühl nach Hause gehen: Security? Bekommen wir unter Kontrolle!

Das “Warum” zum Kongress, die Kongressphilosophie und die inhaltlichen Kriterien für Beiträge hat ein rund 20-köpfiger Programmbeirat aus Industrie, Forschung und Behörden erarbeitet. Der Beirat wählt auch die Kongressbeiträge aus. Der Call for Contributions (CfC) ist offen bist 10. August 2022.

Da mich viele Fragen dazu erreicht haben, soll es hier darum gehen, was für Beiträge wir für “Security unter Kontrolle” suchen. Wir als Programmbeirat haben uns ein paar Themenfelder überlegt, die als Denkanstöße dienen können. Drei wichtige Bemerkungen vorab:

1. Diese Themenfelder sind sicher nicht vollständig. Wenn Sie eine gute Idee haben, die auf die Bühne von “Security unter Kontrolle” gehört, aber sich in keinem der Themenfelder wiederfindet — bitte unbedingt trotzdem einreichen.
2. Don’t make it perfect, just get it done. Die Beteiligung am CfC ist einfach und formlos. Wir haben einen engagierten Beirat, der im Zweifel auch gern hilft, Themen noch zu schärfen.
3. Sie sind kein “Techie”? Macht nichts! Beiträge, die über den Tellerrand blicken und OT-Security aus einem ganz anderen Blickwinkel betrachten oder in einen neuen Kontext einordnen, sind hochwillkommen.

Nun zu unseren Themenfeldern. Es sind die Themenfelder, die uns auf existierenden Konferenzen fehlen. Die Themenfelder, die Praktiker sich wünschen, weil sie ihnen im Security-Alltag helfen würden. Kurz: Wir glauben, über diese Themen müssen wir in der OT-Security im deutschsprachigen Raum sprechen.

„Aus dem Feld und der Leitwarte“

Das ist die Kategorie für das Lernen aus der Realität und die Frage “wie machen es denn andere?”. Wir wollen hören, was es für Probleme gibt. Was es für Lösungen gibt. Was erfahrungsgemäß funktioniert — und vor allem auch: Was überhaupt nicht funktioniert. Auch “Lagerfeuergeschichten” sind gern genommen: Anekdoten, Fehler, kleine und große Security-Vorfälle und was Sie daraus gelernt haben. Und natürlich geht es auch hier um die menschliche Komponente, denn Security in der Industrie muss von Mitarbeitenden gemacht werden, die oft keine Security-Experten sind. Haben Sie ein Erfolgsrezept, wie Sie aus Ihren Mitarbeitende Security-Experten gemacht haben? Das wollen wir hören!

Da wir wissen, dass all diese Informationen potentiell sensibel sind und nicht gern gesehen auf großen Bühnen, können alle Fallbeispiele natürlich hinreichend anonymisiert werden.

„Werkzeugkoffer“

Der Werkzeugkoffer ist das Themenfeld für alle, die mit Security angefangen haben und dann festgestellt: Mir fehlt hier Werkzeug. Es kann doch nicht sein, dass alle das so unsystematisch machen! Das muss besser gehen!

Haben Sie empfehlenswerte Methoden, egal wie klein und unscheinbar, die in der OT-Security-Community viel zu unbekannt sind? Haben Sie (gute oder schlechte) Erfahrungen mit bekannten Methoden? Haben Sie gar etwas ganz Neues entwickelt, weil es schlicht keine Methode gab, die für Ihr Problem passend war?

Wichtig hier ist: Wenn wir über Methoden sprechen, dann idealerweise solche, die schon mal “nass” geworden sind, die also in der Anwendung tatsächlich funktionieren oder an deren Entwicklung zumindest Menschen beteiligt sind, die die Probleme, die die Methode lösen soll, wirklich im übertragenen Sinne am eigenen Leib erfahren. Was wir nicht brauchen: Die hundertfünfundneunzigste (theoretische) Erklärung der ISA/IEC 62443, bei der sich der Vortragende allein dadurch vom Publikum abhebt, dass er den Standard gelesen hat.

„Aktenstaub trifft Anlagenstaub“

Egal, ob wir das toll finden oder nicht: Security ist geprägt von Regulierung und Regulierung treibt die Security maßgeblich voran. Ein wichtiger Grundsatz von “Security unter Kontrolle” ist es, Berufsgruppen in einen Raum zu bringen, die sonst lieber aus der Ferne übereinander fluchen.

Wenn Sie also an Politik, Gesetzgebung, Gesetzesauslegung, Gesetzesanwendung, Standardisierung, Prüfung, Behördenarbeit oder sonst einem eher mit Akten- als mit Anlagenstaub assoziierten Gebiet beteiligt sind: “Security unter Kontrolle” braucht sie! Wir müssen wissen, was aus der Welt der Behörden auf uns zu kommt— und warum das wichtig ist. Wir müssen wissen, wie Standards oder Regulierungen in der Praxis funktionieren können und vor allem was zur Hölle sich die “Schreiberlinge” dabei nur gedacht haben. Und vielleicht ist es auch spannend zu sehen, warum ein Gesetz oder Standard in Deutschland, Österreich oder der Schweiz so aussieht und in anderen Ländern anders?

„Kapuzenpulli trifft Schutzhelm“

Wahrscheinlich werden Sie im Kongresspublikum eher weniger schwarze Hoodies und stickerbepflasterte Laptops entdecken. Unser Zielpublikum sind nicht unbedingt Security-Nerds. Zumindest nicht die Sorte, die lieber unter sich bleibt und für Außenstehende 3twa$ unv3r$tändl1ch kommuniziert. Unser Zielpublikum wird wahrscheinlich eher unbeeindruckt sein von Vorträgen, die in die Bits und Bytes neuartiger Schwachstellen abtauchen. Und bitte verschonen Sie uns mit Livehacks! Wir wissen, OT-Systeme sind angreifbar. Spannend wir es nur dann, wenn das tatsächlich Auswirkunge auf unsere automatisierten Anlagen hat — und wenn uns jemand sagt, was wir dagegen tun können (nein, unsere Systeme alle auf die neueste Windows-Version upgraden ist keine Option).

Außerdem ist alles spannend, was bei der Übersetzung zwischen Kapuzenpulliträgern und Schutzhelmträgern hilft. Warum reden in der Security-Bubble alle über Vorfall X / Schwachstelle Y / Buzzword Z –
und was bedeutet das für die OT?

Und, das gilt für Vortragende aus beiden Bubbles: Was können Security-Fachleute und Automatisierungs-Fachleute voneinander lernen?

„Pionierarbeit“

Das hier ist die Kategorie für “Security-Grundlagenforschung”. Was steht noch irgendwo gaaanz weit vor der Tür? Was sind Trends und Konzepte, über die die Elfenbeinturm-Fraktion duskutiert? Auch hier ist wieder die Übersetzerfunktion wichtig, denn wir wollen wissen, was passieren muss, damit diese Visionen aus der Forschung unseren Anlagenalltag wirklich verändern. Was bedeuten neue Technologien, Digitalisierung und Integration der Unternehmensprozesse für die Security in der Anlage?

Die “Pionierarbeit” ist auch eine wunderbare Chance für die eingangs erwähnten Vorträge, die über den Tellerrand schauen. Wie ordnet sich Security ein in Digitalisierung, in die Energiewende, in die geopolitische Lage, in die Anlagensicherheit, in die Mobilitätswende, in ….?

„Security for Sustainability“

Nachhaltigkeit ist eines der Über-den-Tellerrand-Themen, das wir aufgrund seiner Prominenz in der Industrie etwas hervorgehoben haben. Sie können es stellvertretend für andere Megatrends nehmen. Was uns dabei immer interessiert: Welche Rolle spielt OT-Security für diesen Megatrend — zum Beispiel Nachhaltigkeit? Wie beeinflusst Nachhaltigkeit OT-Security, welche neuen Anforderungen ergeben sich für die Security? Und, auch wieder die Menschen: Was müssen Security-Experten und Automatisierer noch lernen, um “fit für die Zukunft” zu werden?

Alle Fragen geklärt? Denken Sie es nicht tot, kommen Sie auf die “Security unter Kontrolle”-Bühne im Alten Kesselhaus / Areal Böhler in Düsseldorf. Unser Call for Contributions ist offen bis 10. August 2022. Security? Wäre doch gelacht, wenn wir die nicht gemeinsam unter Kontrolle bekämen!

Disclaimer: Der Veranstalter von “Security unter Kontrolle” ist der Vulkan Verlag, der unter anderem das renommierte atp magazin herausgibt. Mein Arbeitgeber admeritia ist nicht Veranstalter des Kongresses “Security unter Kontrolle” und übrigens auch nicht am Gewinn beteiligt. Ich selbst koordiniere lediglich unentgeltlich die Arbeit des Programmbeirats. Sponsoring-Anfragen richten Sie daher bitte an den Vulkan Verlag.