KRITIS
Rückblick auf den ICS Summit 2024 in München
Am Sonntag den 12. Mai 2024 veranstaltete das SANS Institute seinen Summit zum Thema Industrial Control Systems (ICS). Mehr als 70 Experten aus aller Welt folgten dem Ruf nach München und nahmen unter anderem an den zwei Podiumsdiskussionen um die Auswirkungen der NIS2 für die ICS-Security sowie die Situation nach zwei Jahren Cyberwar in der Ukraine rege teil. Weitere 10 Fachvorträge aus Theorie und Praxis rundeten die Veranstaltung ab.
Angesichts der weltweiten Zunahme von erfolgreichen Cyberangriffen auf KRITIS-Betreiber führte SANS Instructor Kai Thomsen in seinem Vortrag „Breaking the Loop of Uncertainty: How To Get Back to Normal After an OT Incident“ durch den Ablauf eines Incident Response Plans. Ein solcher Plan braucht Struktur, Kommunikation und Situationsbewusstsein. Sie sind der Schlüssel für ein effektives Krisen- und Störfallmanagement. Gleichwohl hängt eine wirksame Struktur und Kommunikation stark von der Sicherheitskultur einer Organisation ab. Darüber hinaus erfordern sie Transparenz, Offenheit und Vertrauen. Aus technischer Sicht ist die Sichtbarkeit auf der Ebene des OT-Netzes entscheidend, um schnell Situationsbewusstsein zu erlangen und zu erhalten. All dies erfordert häufige Schulungen und Übungen und eine regelmäßige Überprüfung und Analyse dieser Verfahren.
„OT-Sicherheitsvorfälle erfordern oft eine sofortige Reaktion, da die Ausfallzeiten in industriellen Umgebungen zu erheblichen finanziellen Verlusten führen oder sogar die öffentliche Sicherheit gefährden und Menschenleben kosten können. Daher erfordert die OT-Sicherheit eine andere Strategie als die IT-Sicherheit, um die jeweiligen industriellen Systeme wirksam zu schützen und Sicherheitsvorfälle zu verhindern oder zu minimieren. Der beste Weg, kritische Infrastrukturen vor erheblichen finanziellen Verlusten oder sogar vor dem Verlust von Menschenleben zu schützen, besteht darin, in das Wissen der eigenen Mitarbeiter zu investieren,“ erklärt Ihbo Ziegler, Business Development Manager für DACH beim SANS Institute .
Besonders intensiv wurde über die NIS-2-Directive und deren Umsetzung diskutiert. Erstmals soll mit der Implementierung der Netz- und Informationssicherheits-Richtlinie 2 in nationales Recht bis Oktober 2024 Strafen für mangelnde IT-Sicherheit verhängt werden. 2027 will die EU Kommission dann die Wirksamkeit überprüfen. Die Teilnehmer diskutierten und verglichen die Situation zwischen den USA und der EU, so dass sich durchaus die Frage stellt, ob die NIS2 in der aktuellen Form ausreicht, um wirklich für mehr IT-Sicherheit bei KRITIS-Betreibern zu sorgen.
Aktuell wird hierzu auch eine Umfrage durchgeführt.
Das SANS Institute wird auch im nächsten Jahr wieder einen ICS Summit veranstalten, weitere Informationen über die zurückliegende Veranstaltung erhalten Sie hier: https://www.sans.org/cyber-security-training-events/ics-europe-2024/