Klaus Mochalski & Erwin Kruschitz (anapur AG) diskutieren den Wert von NIS2. Erfahren Sie, warum Angriffserkennung nicht der erste Schritt ist, wie Sie Compliance-Blindleistung vermeiden und weshalb OT-Security zwingend bei der Geschäftsführung beginnen muss.
Keywords
NAMUR-AK-Praxis Angriffserkennung nach IT-Sicherheitsgesetz 2.0 , OT-Cybersicherheit, Regulierung, Angriffserkennung, NIS 2, industrielle Sicherheit, OT-Risikomanagement, Cybersicherheitsvorschriften, Anomalieerkennung, Sicherheit in der Prozessindustrie, Geschäftsführung
Gut gesagt
Klaus Mochalski: „Provokative Frage: Gäbe es heute IT / OT Security inklusive der Anbieter des Marktes der Beratungsunternehmen, so wie wir es heute kennen, ohne Regulierung? “
Erwin Kruschitz : „Meine Antwort war jetzt ja, gäbe es. Es gab das ja auch vor den Gesetzen schon [...] häufig stelle ich fest, dass wir hier z.B. gefragt werden 'Könnt ihr nicht mal kommen und sagen, ob wir jetzt NIS2-konform sind?' [...] und diese Konformitätsfrage mündet dann häufig in Management-Systemen [...] Wenn es die Gesetze nicht gäbe und die Prüfungen, dann wäre die Arbeit möglicherweise mehr inhaltlicher Natur und mit weniger Papierkram, sagen wir es mal so. “
Klaus Mochalski : „Bezüglich Angriffserkennungssystem höre ich raus, dass auch eure Empfehlung hier ganz klar heißt, so ein Angriffserkennungssystem installiere ich in der Regel in Schritt 3 und niemals in Schritt 1. Und wenn ich mir als erstes Angriffserkennungssysteme anschaue, weil mir da gerade eine Broschüre untergekommen ist, dann mache ich was falsch. Die ersten Schritte sollten auf jeden Fall andere sein. “
Erwin Kruschitz : „Aus meiner Sicht ist ein guter Anfang, und da bin ich der NIS2 jetzt dankbar, die Schulung der Geschäftsführer, denn die finanziellen Mittel für OT-Security müssen bereitgestellt werden. Die frustrierten Ingenieure, die sagen: 'Ja, ich würde ja gern was machen, aber ich habe das Geld nicht.' Davon hatte ich relativ viele mir gegenübersitzen und deswegen denke ich, dass das eine gute erste Maßnahme ist. “
Erwin Kruschitz : „Ich muss ja nicht überall den maximalen Level an OT Security erreichen, sondern den setze ich setze dort den Hebel an, wo die Risiken zu Hause sind. [...] Und dort, wo ich es dann eingegrenzt habe, da setze ich dann Security Maßnahmen an und die eben zum einen Schritt für Schritt und zum anderen so, dass ich die dann auch betreiben kann. Also der schönste Ferrari nützt mir nichts, wenn ich nicht mal einen Führerschein habe."
Klaus Mochalski : „Ich hatte schon oft als Antwort, wir müssen die Risikoanalyse machen. Danach ergeben sich die Schritte eigentlich von selbst, aber dass du als ersten Schritt sagst, die Geschäftsführung zu schulen, das finde ich noch mal sehr spannend und das finde ich auch einen super Abschluss und ich glaube, das sollte sich jeder, der für Infrastruktur bei sich verantwortlich ist und das ist am Ende die Geschäftsführung, das ist die Geschäftsleitung, die sollten sich das wirklich auf die Fahnen schreiben und sehen, dass sie da auch Expertise anreichern und wissende Entscheidung treffen können. “
Kapitel
00:00 Einleitung und Vorstellung von Erwin Kruschitz
03:59 Regulierung als Motor für das Sicherheitsbewusstsein
07:43 Vorteile technischer Richtlinien wie NIS2 und IEC 62443
10:31 Erste Schritte für Unternehmen: Schulungen und Ressourcen
15:18 Kosten-Nutzen-Analyse von Systemen zur Erkennung von Angriffen
17:48 Standardisierung und Best Practices bei der Erkennung von Angriffen
18:49 Schrittweise Implementierung und Verwaltung
21:14 Fazit: Die Rolle des Managements bei der OT-Sicherheit
