Lade Events

  • Diese event hat bereits stattgefunden.

Security Trends – Cybersecurity – Threat Get – AI-Recht

Themenschwerpunkte: 

  • Aktuelle Security-Studie (angefragt)
  • Security und Artificial Intelligence
  • Security Testing in complex AI systems – a new challenge
  • Cyber Security by Design: wie Sie mit Threat Modeling+ Standards, Richtlinien und Normen erfüllen
  • AI all-überall – Übersicht über Standardisierungsaktivitäten für vertrauenswürdige, sichere KI-Systeme
  • Industrial Security Standard (IEC 62443) und ISO/SAE 214343 Road vehicles – Cybersecurity engineering
  • IT-Recht: Hinweisgeberschutzgesetz und NIS-2
  • Best Practices

Einreichung von Beiträgen unter: hainschink@conect.at

Zielgruppe:

Unternehmensleitung, Sicherheitsverantwortliche, IT-Vorstand, IT-Entscheider, IT-Verantwortliche sowie Vertreter von Medien und Wissenschaft.

Agenda




Peter Kieseberg

Durch die stetige Durchdringung vieler Lebensbereiche mit AI, aber auch aufgrund neuer Regularien wie dem AI Act, rückt das Thema der „Vertrauenswürdigen AI“ immer weiter in den Vordergrund. Sicherheit ist dabei ein wesentlicher Aspekt, der bisher allerdings etwas in den Hintergrund gerückt war. In diesem Vortrag beschäftigen wir uns damit, warum AI-basierte Systeme nicht einfach neue Programme sind, sondern neue, teils sehr komplizierte Anforderungen an das Thema IT-Sicherheit stellen.



Christoph Schmittner

Cyber Threats gehen auf 4 Problemfelder zurück. Die Komplexität von Systemen, wie sie die heutige Welt von IoT uns darstellt, sind offene, interagierende Systeme, die manuell nicht beherrschbar sind. Jede Software hat Fehler, was in der Folge alle Systeme eines Unternehmens vulnerabel macht. Bis diese Fehler erkannt werden, vergehen Tage, bis diese Lücken dann geschlossen sind, oft Wochen. Diese Schwachstellen im System erkennen Angreifer leider früher wie das Unternehmen, das Know-How von Angreifern und die Werkzeuge dazu sind heute frei verfügbar. Der Knackpunkt zeigt sich im Entwicklungsprozess von Systemen. Doch hier folgen Security-Überlegungen erst am Schluss, was zu einer unzureichenden Dokumentation führt.

Neue Spielregeln erfüllen mit Threat Modeling+

Diese unzureichende Dokumentation widerspricht branchenspezifischen Standards und Normen, die Unternehmen zu erfüllen haben. So ist zum Beispiel der Industrial Security Standard (IEC62443) zu erwähnen oder auch die ISO/SAE-214343, die Risikoanalyse und Systemdesign gleichermaßen verpflichtend vorsieht. Zukünftig wird durch den Cyber Resilience Act ein solcher Ansatz für alle digitalen Systeme vorgeschrieben.

Threat Modeling+: Digitalisierung der Lösungsfelder mit „Cyber Security by Design“.

Mit welchen Lösungen lassen sich diese vier skizierten Problemfelder gezielt lösen? Der Ansatz von „Cyber Security by Design“ mit seiner Umsetzung in Threat Modelling existiert schon länger.  Hier geht es darum, potenzielle Gefahren im Systemmodell auf Basis eines Gefahrenmodells zu erkennen. Das AIT Austrian Institute of Technology hat dieses Modellierungs-Verfahren mit Künstlicher Intelligenz und branchenspezifischen Gefahrenkatalogen unter den Namen „ThreatGet“ weiterentwickelt. Diese neu entwickelte „Threat Modeling+“ Methodik berücksichtigt zusätzlich das potenzielle Angreifer-Modell und zeigt in der Risikoanalyse auch den Angriffsweg auf einzelne Systemelemente auf. Gefahren werden also über das gesamte System evaluiert, das Entwickeln ganzheitlicher Abwehrmechanismen wird möglich. Für die Erfüllung von Standards, Normen und Richtlinien ist das Verfolgen dieses Prozesses und die damit verbundene Dokumentation verpflichtend. ThreatGet, wie es vom AIT entwickelt wurde, entdeckt nicht nur automatisiert diese Gefahren, sondern ermöglicht die Rückverfolgbarkeit und dokumentiert sie richtlinienkonform.



Erwin Schoitsch

  • AI ist ein „Hype“ – in fast allen Domänen wird KI eingesetzt und bilden sich Standardisierungsgruppen
  • Das Ende klassischer Safety und Security Betrachtungen – verallgemeinerter Vertrauenswürdigkeitsbegriff („Trustworthiness“)
  • Allgemeine AI Standardisierung in ISO/IEC JTC1 SC42, besonders in WG 03 „Trustworthiness“: Behandelte Aspekte im Überblick
  • Funktionale Sicherheit und AI – Ergebnis der Zusammenarbeit der IEC 61508-3 (Funktionale Sicherheit, Software) und ISO/IEC JTC1 SC42 (Artificial Intelligence)
  • Cybersecurity und AI: ETSI SAI Group (Secure AI) – Schutz von AI Systemen/Schutz durch AI
  • Domänen-spezifische Anwendungen:
    • Sicherheit von AI in Straßenfahrzeugen  (WG14, PAS 8800) und Automated Driving Systems (WG13, E06 AI/ML),
    • Smart Manufacturing und Cybersecurity


Michael Krausz

Die mit Ende 2024 gültig werdende NIS-2 Richtlinie erweitert den Kreis betroffener Unternehmen massiv. Umfasst sind künftig auch medizinische Labore, Hersteller von Medizinprodukten, Produktions- und Handelsbetriebe von chemischen Stoffen, Maschinenbauer, Automobilzulieferer, Forschungseinrichtungen, MSSP-Anbieter, Cloud-Anbieter, Rechenzentrumsdienstleister, sowie weitere. Da auch NIS-2 strafbewehrt ist, mit Strafen mit einem Höchstrahmen von mindestens 10 Millionen Euro oder 2% des weltweiten Umsatzes, ist es notwendig, sich jetzt bereits entsprechend vorzubereiten. Der Vortrag umfasst die Kernelemente von NIS-2 und deren Zusammenspiel mit einem bestehenden ISMS mit oder ohne ISO 27001.



Michael Krausz

Mit Ende dieses Jahres wird das Hinweisgeberschutzgesetz wirksam. Betrieb über 50 Mitarbeitern müssen zwingend ein Meldesystem einrichten. Im Vortrag erfahren Sie, wie sie dieses kostenoptimiert implementieren können.