digital days 2019 · industry 4.0 smart grid ehealth finance information technology 19.11.2019....
Post on 19-Aug-2020
0 Views
Preview:
TRANSCRIPT
DIGITAL DAYS 2019Stellenwert von Fachkräften und Trainingsmaßnahmen
in der Cybersecurity
Dr. Lucie Langer
Security & Communication Technologies
Center for Digital Safety & Security
lucie.langer@ait.ac.at
• Angriffe aus dem Cyberraum nehmen zu
• Ziele: Unternehmen, Verwaltungen, Einzelpersonen
CYBER-SICHERHEIT GEHT UNS ALLE AN…
219.11.2019
Quelle: Allianz für Cybersicherheit, Cyber-Sicherheits-Umfrage 2018
Ransomware
Denial of Service
Data leak (DSGVO)
Fehlkonfiguration
• Cyber-Sicherheits-Umfrage des BSI 2018:
• In 53% der berichteten Angriffsfälle handelte
es sich um Malware-Infektionen,
bei denen Schadprogramme in betriebliche
IT-Systeme eindrangen
• 90% der Schadprogramme wurden als
Anhang oder Link in einer E-Mail verteilt
• Phishing E-Mails häufigste Angriffsart auf
Unternehmen (PwC Global State of Information
Security Survey 2017)
• Angreifer setzen auf das Vertrauen und die
Gutgläubigkeit der Mitarbeiter
FAKTOR MENSCH
319.11.2019
Quelle: Allianz für Cybersicherheit, Cyber-Sicherheits-Umfrage 2018
• Häufig anzutreffen bei kritischen Infrastrukturen (z.B. Energie, Transport)
• Integration von IT im Zuge der Digitalisierung
• neue Funktionalitäten, Effizienz, Kostenersparnis
• Folge: industrielle Steuerungssysteme (Operational Technology, OT)
ähnlich gefährdet wie „klassische“ IT
CYBER-PHYSICAL SYSTEMS
419.11.2019
• Awareness: Security in CPS bisher eher „Nebensache“
• Unterschiedliche, zum Teil konträre Anforderungen
• IT: 1. Vertraulichkeit, 2. Integrität, 3. Verfügbarkeit
• OT: genau andersherum
• Interdisziplinarität, unterschiedliche „Sprache“ in IT und OT
• Mangel an Experten (und Expertinnen!), die sich
in beiden Welten auskennen:
• „Cyber“: IT Security
• „Physical“: Industrieanlagen, (Fertigungs-) Prozesse
• Sicherheitsbewusstsein der gesamten Belegschaft schärfen
HERAUSFORDERUNGEN
519.11.2019
davon, was wir lesen
davon, was wir hören
davon, was wir sehen
davon, was wir hören + sehen
davon, was wir anderen erklären
davon, was wir anwenden
WIR MERKEN UNS…
619.11.2019
10%
20%
30%
50%
70%
90%
Trainings sollten…
• hypothetischen Situationen eine konkrete Form geben
• Praxisbeispiele und -erfahrungen einbringen
• interaktiv sein und die Teilnehmer engagieren
Ziele:
• Bewusstseinsbildung in der gesamten Belegschaft einer Organisation
durch anwendungsnahe Trainings
• v.a. bei kritischen Infrastrukturen!
WAS FOLGT DARAUS?
719.11.2019
Cyber Security Training,
Ethical Hacking
Cyber Security Planspiele und Übungen
Validierung von Prozessen und Notfallplänen
Validierung von Sicherheitstechnologien (Software und Hardware)
Forschung & Entwicklung
UNSERE AKTIVITÄTEN
8
Industry 4.0 Smart Grid eHealth Finance Information Technology
19.11.2019
Virtuelle Umgebung zur Simulation von IKT-Infrastrukturen
ermöglicht die Simulation großer und komplexer Netzwerke mit unterschiedlichen (flexiblen) Systemkomponenten, Netzwerken und Benutzern
für verschiedene Anwendungsdomänen (Informationstechnologie, Operational Technology, etc.)
eine sichere, realistische Umgebung zum Testen, Untersuchen und Analysieren von Incidents in verschiedenen, skalierbaren Bedrohungsszenarien
ohne Verwendung der eigentlichen Produktionssysteme
AIT CYBER RANGE
9
• Spielleitung und technische Einspielungen mit AIT Cyber Range
• Fokus auf industrielle Steuerungsanlagen
• 200 Teilnehmer, 6.-7. November 2017
• 10 Teams a 6-8 Personen, 24 Unternehmen
• Behörden, CERT.at, Austrian Energy CERT
KSÖ CYBERSECURITY PLANSPIEL 2017
1019.11.2019 https://youtu.be/-hDf6QFIQL8
Bedrohungsszenario
Trainieren der Bewältigung eines Szenarios
Erprobung von Strukturen und Prozessen
Analyse und Erkennung mit (IT-)technischen Werkzeugen
WAS IST EIN CYBER SECURITY PLANSPIEL /
EINE CYBER SECURITY ÜBUNG?
1119.11.2019
Schulung
Aufgaben mit Zeitlimit
Planspiel mit technischen Einspielungen
Technische Übung
Technischer Wettbewerb (z.B. CTF)
INTENSITÄT DER EINSPIELUNGEN
1219.11.2019
DANKE!
top related