Produktionsdaten, Maschinendaten, Fernwartung - immer mehr Maschinen und Anlagen werden mit Kommunikationsschnittstellen ins Internet ausgestattet. Neben dem großen Nutzen, entstehen so auch Schwachstellen, welche die Maschinen oder Anlagen angreifbar machen - für Datenklau oder sogar für Manipulationen der Steuerungen, welche im schlimmsten Fall die Gesundheit von Bedienern gefährden.  

Im 2-tägigen Praxisseminar erfahren die Teilnehmer, welche Aspekte der IT-Security bei der Konzeption und Planung von Maschinen und Anlagen besonders beachtet werden sollten, um den gesetzlich geforderten "Stand der Technik" auch im Bereich der Security von Maschinen und Anlagen gewährleisten zu können.  

Seminarprogramm

Grundlagen und Überblick

Rechtliche Grundlagen und regulatorische Anforderungen an Hersteller (z.B. aus Maschinenrichtlinie 2006/42/EG)

Welche Anforderungen von Betreibern an Hersteller gestellt werden müssen - z.B. aus dem IT-Sicherheitsgesetz

Überblick zu relevanten Standards, insb. zu:

• IEC 61508 - Funktionale Sicherheit sicherheitsbezogener elektrischer/elektronischer/programmierbarer elektronischer Systeme
• IEC 62443 - Industrielle Kommunikationsnetze - IT-Sicherheit für Netze und Systeme
• ISO/TR 22100-4 - Leitlinien für Maschinenhersteller zur Berücksichtigung der damit verbundenen IT-Sicherheitsaspekte (Cybersicherheit)

Warum zwischen IT (Informationstechnologie) und OT (Operational Technology) unterschieden wird 

Security Engineering

• Warum Security eine Herstelleraufgabe ist und nicht (nur) externen Beratern übergeben werden sollte.
• Welche Schritte der Security Engineering Prozess enthält.
• Welche Informationen werden für Security Engineering benötigt und wie werden diese dokumentiert?
• Modellierung von Anwendungsfällen und "Abhängigkeiten".
• Umsetzung der ermittelten Maßnahmen.
• Worauf Sie achten sollten, um Security Engineering effizient umzusetzen.

Security Risikoanalyse

• Wie Sie Security-Risikoanalysen optimal gestalten.
• Zusammenhänge zwischen Security Risikoanalysen und Safety Risikoanalysen entsprechend EN ISO 12100.
• Unterschiede zwischen Security- und Safety-Risiken.
• Einordnung in den Safety Lifecycle nach IEC 61508
• Wie Sie Risikometriken sinnvoll erstellen.
• Wie Sie Gefährdungsszenarien systematisch ermitteln. 
• Warum Entwickler und Konstrukteure am besten geeignet sind Security Risikoanalysen durchzuführen.

Security for Safety

• Warum Safety und Security nicht im Widerspruch stehen.
• Einordnung von Security for Safety in den Security Engineering-Prozess
• Wie die Safety-Risikoanalysen für die Security genutzt werden.
• Wie Hazardous Events (Safety) und Threat Events (Security) kombiniert werden.
• Kombinierte Risikoanalyse für Security for Safety - Welche Standards Hilfestellungen leisten.

Risikobehandlung und "Security by Design"

• Wie Sie aus den Risiken die richtigen Security-Anforderungen ableiten
• Welche Abhängigkeiten zu Lieferanten bestehen.
• Praxisübung: Modellierung von Security-Anforderungen im Denkmodell
• Was bedeutet "Security by Design"?
• Wie ein sicherer Produktentwicklungsprozess aussieht. 
• Unterschiede zwischen "Security by Design" und "Security by Default"
• Wie Sie das Änderungsmanagement effizient gestalten.

Maschinen und Anlagen im Betrieb - Pflichten für Hersteller und Betreiber

• Welche Schnittstellen zwischen dem Hersteller und dem Betreiber bestehen - auch nach der Lieferung und Inbetriebnahme.
• Was muss für eine "Security by Default" Integration beachtet werden?
• Prinzipien von Security-Architekturen in Systemen und Software
• Grundsätze für sichere Vernetzung von Systemen
• Warum Betreiber Schwachstellenanalysen von Herstellern einfordern.
• Wie Sie Fernzugriffe sicher gestalten.