Die Sensibilisierung für IT-Sicherheit stellt einen grundlegender Bestandteil zur Absicherung von Automatisierungsanlagen dar. In diesem Tutorial lernt der Teilnehmer die Grundbegriffe der IT-Sicherheit, aktuelle Gegebenheiten, Vorschriften und Normen sowie die Unterschiede von Office- und
Automatisierungswelt kennen.
In einem weiteren Teil analysiert der Teilnehmer zusammen mit dem Referenten mehrere Automatisierungssysteme auf deren Schwachstellen hin. Im Teil „Angriffe und Hacking“ werden dem
Teilnehmer zahlreiche Spionagemöglichkeiten (Spyware, Social Engineering, etc.) aufgezeigt.
Anschließend wird anhand verschiedener Schadprogrammen (Exploits) in die Grundzüge der
Vorgehensweise von Angreifern eingewiesen. Eine Manipulation eines gehackten Leitsystems
rundet diesen Part ab.
Den Abschluss bildet die Vorstellung verschiedener Maßnahmen zur Risikominimierung.
Für die Teilnehmer besteht die Möglichkeit eigene Systemübersichten zur Analyse und
Diskussion einzubringen.
Diese sollten bis Anfang November an johannes.seidl@gendorf.de eingereicht werden.

Zielgruppe:
Das Tutorial richtet sich an Verantwortliche, Planer, Betreiber und Bediener komplexer Automatisierungssysteme und –anlagen.
 

 

08.05.2006 - Chemanager 10/2006

Artikel: Sicher ist Sicher; IT-Sicherheitskonzept für die Prozessautomatisierung

Link: http://www.presseecho.de/software/PB60308.htm

 

18.05.2006 - Achema 2006 Frankfurt

Vortag: IT-Security Concept of a Waste Water Treatment Plant in the Chemical Industry

Automation systems control nearly all processes in a production company. These systems are mostly seen as autarkic systems. However, the systems are connected with the office world which causes many problems, that is dangerous software or abuse. One method to secure these systems is, to implement a firewall between the LAN and the industrial network. However, to put only a firewall between, is not the whole solution. Furthermore it is important to initiate a complete security concept for this automation system.

This paper describes the security analysis and the evaluation of the danger potential of a Sewage Treatment Plant in the Chemical Industry.

 

 

28.04.2006 - Interkama (Hannovermesse) 2006 Hannover

Vortrag: IT-Sicherheitskonzept für eine Abwasserreinigungsanlage in der Chemischen Industrie

Der Vortrag schilderte die Durchführung eines IT-Sicherheitskonzeptes am Beispiel einer Abwasserreinigung eines Chemieparkes.

Dieses IT-Sicherheitskonzept orientierte sich am Grundschutzhandbuch (GSHB) des Bundesamtes für Sicherheit in der Informationstechnik (BSI). Es begann mit der Strukturanalyse aller Kommunikationsverbindungen, den IT-Systemen und Anwendungen sowie den Räumlichkeiten. Anschließend wurde die Schutzbedarfsermittlung und die Grundschutzanalyse durchgeführt. Da einige Systeme vom GSHB nicht abgedeckt sind, wurde ein zusätzlicher Schutz für diese Systeme eingeführt (Zonen Model) und andere Normen, Empfehlungen und Standards herangezogen (ANSI, NAMUR, IAONA, etc.).

Der daraus resultierende Basis-Sicherheitscheck mit Maßnahmenkatalog wurde im Anschluss mit dem Produktionsbetrieb bearbeitet und umgesetzt. Durch diesen kombinatorischen Ansatz wurden nicht nur offensichtliche Schwachpunkte, wie Passworte oder Zugangsschutz (Firewall) verbessert, sondern vielmehr wurde ein vollständiges, nachvollziehbares und zertifizierbares Konzept implementiert.