...und da beginnt schon die zweite Jahreshälfte. Der Sommer steht im Zeichen des Nachholens: Alle Präsenzveranstaltungen, die in den letzten zwei Jahren nicht stattfinden konnten, knubbeln sich nun in ein paar Wochen. Das merkt man auch unserem HardHats-Briefing für diesen Monat an, es ist etwas event-lastig. Damit das nicht Überhand nimmt, spare ich mir die Nachbereitung einer weiteren Juni-Konferenz - der EKA (Entwurf komplexer Automatisierungssysteme) in Magdeburg - für einen der kommenden Monate auf.

Für das Juli-Briefing schauen wir nun erst einmal nach Baden-Baden, dann geht's kurz nach Sibirien und nach Nordamerika, außerdem nach Singapur und zum Schluss nach Düsseldorf. Gute Reise:

In dieser E-Mail gibt es Neuigkeiten und Lesestoff zu folgenden Themen:

1. AUTOMATION 2022: Security by Design für automatisierte Anlagen
2. Gazprom-Brand: Wie Engineering-Dokumente Angreifern helfen
3. Wie gehen Hersteller und Integratoren mit SPS-Security um?
4. OT Cybersecurity Expert Panel Forum am 12./13. Juli
5. Themen, die die deutschsprachige OT-Security-Welt bewegen

1. AUTOMATION 2022: Security by Design für automatisierte Anlagen

Diese Woche war der AUTOMATION-Kongress (oder offizieller: der 23. Leitkongress Mess- und Automatisierungstechnik) in Baden-Baden. Erstmals nach Corona hat das "Klassentreffen" der Automatisierer wieder in Präsenz stattgefunden. Die Freude darüber konnte man bei jedem Gespräch, jedem Konferenzkaffee und natürlich auch der Abendveranstaltung spüren. Beim Dinner-Vortrag des COOs von Biontech konnte man gar das Gefühl bekommen, wir wären tatsächlich über den Berg in Sachen COVID-19.

Es gab bei der AUTOMATION zwei Sessions mit insgsamt fünf Vorträgen zu Security - plus eine weitere Session beim parallel stattfindenden Gebäudeautomations-Kongress. Nicht schlecht für unser Spielverderberthema!
Auch wir haben beim Kongress erste Ergebnisse unseres BMBF-Projekts "IDEAS" vorgestellt:

1. Das Konzept "Automation Security by Design Decisions" beschreibt erstmals, wie wir Security in den Automation-Engineering-Prozess integrieren wollen. Spoiler: Es gibt keinen neuen, integrierten Prozess und kein neues Phasenmodell. Für alle, die nicht in Baden-Baden waren, habe ich die Grundzüge des Konzepts noch einmal leicht verdaulich auf deutsch und englisch aufgeschrieben - siehe Lesestoff-Links 1 und 2.
2. Der erste Teil des AML-Modells, in dem die Security-Engineering-Informationen gespeichert werden, ist ebenfalls fertig. Das AML-Modell können Anwender idealerweise gar nicht sehen, aber es sorgt dafür, dass Sie beim Security-Engineering bequem mit generierten Diagrammen aus einer zentralen Datenbasis arbeiten können - und keine Sorge haben müssen, ein Security-Datensilo zu bauen.

Zu beiden Beiträgen gibt es auch ein wissenschaftliches Paper im Tagungsband der AUTOMATION. Da es dazu keinen frei verfügbaren Link gibt, melden Sie sich gern bei mir, wenn Sie Interesse an den Papern haben.

2. Gazprom-Brand: Wie Engineering-Dokumente Angreifern helfen

Sie haben es vielleicht als Randnotiz irgendwo im Russland-Ukraine-Nachrichtenstrom mitbekommen: In Sibirien hat eine Gasaufbereitungsanlage gebrannt. Dabei ist laut Berichten die Gasproduktion nicht beeinträchtigt worden.

Klingt soweit unspektakulär, aber gemäß Jeffrey Carr's Artikel (Lesestoff) gibt es aus Security-Sicht interessante Details, und das nicht nur, weil er annimmt, dass hinter der Explosion ein Hackerangriff steckt.
Die betroffene Gaspipeline war vor der Explosion nämlich in einen unsicheren Zustand gekommen - und zwar einen, der eigentlich hätte alarmiert werden sollen. Hätte - denn die Firma, die für die Installation zuständig war, hat die Alarme nie installiert, die Bezahlung aber trotzdem angenommen. Der Grund: Korruption.
Interessanter für uns: Sowohl die fehlenden Alarme als auch die genauen Tyoen der verbauten Komponenten waren in Engineering-Dokumenten dokumentiert. Damit bekam ein Angreifer aus der Engineering-Dokumentation wie auf dem Silbertablett präsentiert: Erstens ein Ereignis mit hohen Auswirkungen (Hervorrufen des Zustands, der eigentlich hätte alarmiert werden sollen) und zweitens Informationen, die ihm beim Finden eines Angriffspfads zum Hervorrufen dieses Ereignisses halfen (Hersteller und Typ der verbauten Komponenten, sodass nach bekannten Schwachstellen gesucht werden konnte).

Also, liebe Ingenieure: Wenn euch noch ein gutes Beispiel fehlte, was man mit eurer Engineering-Dokumentation Böswilliges anstellen kann - voilà!

3. Wie gehen Hersteller und Integratoren mit SPS-Security um?

Viele der Top 20 Secure PLC Coding Practices können nicht von Betreibern implementiert werden. Deshalb haben wir, das Top-20-Team, mit Integratoren und Anbietern zusammengearbeitet, damit sie in sogenannten "Application Notes" (Anwendungshinweisen) teilen, ob und wie sie die Top 20 umsetzen.

Dabei geht es nicht unbedingt darum, die Top 20 möglichst perfekt oder vollständig umzusetzen. Wir wissen, dass nicht alle Practices für jeden Anwendungsfall und jede SPS anwendbar sind. Interessant ist eine ehrliche Übersicht, was brauchbar und anwendbar ist und was nicht - oder vielleicht auch, was Sie anders oder zusätzlich umsetzen. Das hilft uns, die Secure Coding Practices besser zu machen, Herstellern und Integratoren, weil Sie auf einfache Weise transparent machen können, dass Sie sich um SPS-Sicherheit kümmern und Betreibern, weil sie wisen, welche Security-Einstellungen sie in den gekauften Steuerungen vorfinden und welche nicht.

Grantek ist der allererste Integrator, der seine Erfahrungen mit "den Top 20" teilt - anhand eines Use Cases aus der Pharma-Brance. Damit nimmt das Unternehmen eine Vorreiterrolle ein. Aus meiner Sicht ist das dicken Applaus wert!

Die "Application Notes" sind ein großer Meilenstein, auf den wir lang hingearbeitet haben. Es war und ist schwierig, Anbieter und Integratoren dazu zu bringen, sich an der Diskussion über SPS-Sicherheit zu beteiligen. Ich hoffe, dass viele andere dem Beispiel von Grantek folgen.

Die Application Notes von Grantek können auf der Secure-PLC-Website heruntergeladen werden (Lesestoff 1). Außerdem haben wir eine Word-Vorlage für Anwendungshinweise bereitgestellt, die jeder kostenlos nutzen kann (Lesestoff 2).

Also, liebe Hersteller und Integratoren: Es ist damit ganz einfach, einen eigenen Anwendungsfall zu erstellen. Laden Sie einfach die Vorlage herunter, füllen Sie sie aus, senden Sie sie an die E-Mail-Adresse des Secure PLC Coding-Projekts. Wir helfen bei Fragen und werden Ihre "Application Notes" so weit verbreiten, wie wir können. Und was noch wichtiger ist: Anlagenbetreiber - Ihre Kunden - werden Sie für Ihre Transparenz in Sachen SPS-Sicherheit lieben, versprochen!

4. OT Cybersecurity Expert Panel Forum am 12./13. Juli

Wer am 12. und 13. Juli (Singapur-Zeit) noch nichts vorhat, dem sei das OT Cybersecurity Expert Panel Forum ans Herz gelegt, organisiert von der staatlichen Cybersecurity Agency (CSA) in Singapur.
Man kann virtuell kostenfrei teilnehmen und auf der Agenda stehen Themen wie Pipedream, auswirkungsreduzierende Security-Maßnahmen, Incident Response für Embedded Systems, Security für SPS und Feldgeräte, und die Integration von Security ins Engineering mit Vorträgen von Robert M Lee, Dale Peterson, Joel Langill, Sharon Brizinov und meiner Wenigkeit.
Mit bislang etwa 1000 registrierten Teilnehmenden - 300 in Präsenz und weiteren bisher 700 virtuell - ist die Resonanz riesig.

5. Themen, die die deutschsprachige OT-Security-Welt bewegen

Auch das OTCEP Forum ist wieder auf englisch, wieder nicht in unserer Zeitzone, wieder virtuell. Dürstet es Sie auch nach einer OT-Security-Veranstaltung ordentlichen Kalibers, die zu mitteleuropäischer Zeit und auf deutsch stattfindet - und vielleicht sogar live und in Farbe? Seit Mai habe ich mit vielen von Ihnen gesprochen, die genau das geäußert haben.

Der Call for Contributions für unseren neuen Kongress "Security unter Kontrolle" läuft noch den ganzen Juli. Weil ich oft gefragt werde, was für Themen eingereicht werden sollen, habe ich dazu noch ein wenig mehr Details aufgeschrieben. Sie finden sie im Lesestoff-Link.

Stay secure!
Sarah Fluchs