IoT und Cybersecurity in Barcelona

Barcelona, die bezaubernde Stadt am Mittelmeer, verführt nicht nur mit ihrer historischen Pracht, wie der Sagrada Família und den lebendigen Ramblas, sondern auch mit ihrem modernen Flair und technologischen Fortschritt. Als Produktmanagerin für Digitalisierung bei Kontron AIS war ich gespannt auf die diesjährige kombinierte Veranstaltung des IoT Solutions World Congress (IOTSWC) und des Barcelona Cybersecurity Congress (BCC). Die Konferenz versprach tiefgehende Einblicke in die neuesten Entwicklungen und Herausforderungen im Bereich IoT und Cybersicherheit. Mit vielen Fragen und einem Notizbuch im Gepäck machte ich mich auf den Weg zum Messegelände, bereit, in die Welt der Cybersecurity einzutauchen.

Der IOTSWC ist eine der weltweit führenden Veranstaltungen für innovative Technologielösungen und digitale Transformation. Im Mittelpunkt stehen Technologien, die die Branche revolutionieren, wie künstliche Intelligenz, das Internet der Dinge, robotergestützte Automatisierung sowie Augmented und Virtual Reality. Im Jahr 2023 nahmen 330 Aussteller aus über 100 Ländern und 15.600 Besucher teil. 

Gleichzeitig geht’s beim BCC in seiner vierten Runde um Cybersicherheitsthemen, die für die vernetzte und digitalisierte Industrie wichtig sind. Beide Kongresse bieten Möglichkeiten zum Networking mit Branchenexpert*innen, Präsentationen der neuesten technologischen Lösungen und Diskussionen über die Auswirkungen neuer Technologien auf verschiedene Industriesektoren. Sie sind wichtige Plattformen für Unternehmen, um ihre Produkte einem globalen Publikum vorzustellen und unverzichtbare Treffpunkte für Fachleute, die an der Spitze der technologischen Innovation und des industriellen Wandels stehen wollen.

Warum der IOTSWC und BCC ein Muss sind

Die Teilnahme am ISC und BCC ist für mich ein absolutes Muss, denn auch für uns als Softwareunternehmen ist es wichtig, am Puls der Zeit zu bleiben, um den wachsenden Bedrohungen durch Cyberangriffe effektiv begegnen zu können. Die Kombination aus topaktuellen Vorträgen, praxisnahen Workshops und der Möglichkeit, sich mit Expert*innen aus den Bereichen IoT, Cybersecurity und Compliance auszutauschen, macht diese Konferenz zu einer wertvollen Plattform. Hier werden nicht nur die neuesten Sicherheitsstrategien und -technologien vorgestellt, sondern auch wichtige Diskussionen über zukünftige Herausforderungen und Lösungsansätze geführt.

Für uns als Anbieter der Digitalisierungslösung EquipmentCloud® sowie der Device-Management-Lösung KontronGrid mit dem sicheren Betriebssystem KontronOS steht die Sicherheit unserer Kunden an erster Stelle. Wir können hier richtig viel mitnehmen und lernen, wie wir unsere Lösungen noch besser machen und auf dem neuesten Stand der Technik halten können.Wir können direkt von den Besten der Branche lernen und unsere eigenen Sicherheitsstrategien anpassen, um unseren Kunden die sichersten und effizientesten Lösungen zu bieten. Durch den direkten Austausch mit Expert*innen und den Gewinn wertvoller Erkenntnisse stellen wir sicher, dass unsere Produkte stets den höchsten Sicherheitsstandards entsprechen und gleichzeitig innovative Funktionen bieten, die den Anforderungen der modernen Industrie gerecht werden.

3 Tage voller spannender Vorträge, Ausstellungen, Live-Demos, Networking-Events und Workshops: Es gab viele Gelegenheiten, sich umfassend über die neuesten Trends in den Bereichen IoT und Cybersicherheit zu informieren. Das waren meine persönlichen Highlights:

Adversaries are Getting Smarter in the Cloud – Joan García Sánchez, CrowdStrike

Der Vortrag von Joan García Sánchez behandelte die wachsende Bedrohung durch cloudbasierte Angriffe. García Sánchez berichtete, dass die durchschnittliche Breakout-Zeit eines Angriffes nur 62 Minuten beträgt, wobei die schnellste Zeit nur 2 Minuten beträgt. Geschwindigkeit, Automatisierung und Präzision sind entscheidend, um solche Angriffe abzuwehren. Die Zusammenarbeit zwischen Cloud- und IT-Sicherheitsteams ist hier also unerlässlich, da der Schutz einzelner Endpunkte nicht mehr ausreicht. Besonders beunruhigend ist die Vielfalt der Angriffspunkte: Endpunkte, Cloud-Dienste und Identitäten bieten Cyberkriminellen viele Möglichkeiten. Der Einsatz von Malware nimmt ab, während cloudbasierte Angriffstechniken zunehmen. Weltweit gibt es 235 aktive Angreifergruppen, darunter Scattered Spider, die sich mit Cloud-Technologien und generativer KI (Künstliche Intelligenz) auskennen. Diese Gruppen nutzen Silos und nicht kommunizierende Systeme aus. Auch serverlose Anwendungen müssen geschützt werden. Dieser Vortrag verdeutlichte die Dringlichkeit, Sicherheitsprozesse zu beschleunigen und zu automatisieren. Für uns bei Kontron AIS bedeutet das, unsere Lösungen wie EquipmentCloud® und KontronGrid ständig weiterzuentwickeln, um höchste Sicherheitsstandards zu gewährleisten. Besondere Bedeutung kommt dabei dem Betriebssystem KontronOS zu, dessen Entwicklungs- und Deployment-Prozess Sicherheit von Anfang berücksichtigt, um unseren Kunden als Grundlage für Ihre Anwendungen optimalen Schutz zu bietet.

NIS2-Compliance: Schlüssel zur Cybersicherheit der Zukunft

Die Einhaltung der NIS2-Richtlinie war ein zentrales und auch für mich wichtiges Thema. Zwei Vorträge beleuchteten die Herausforderungen und Anforderungen, die diese neue Richtlinie mit sich bringt. Der erste Vortrag "Keep Operations Running with OT Security Native Technologies: NIS2 Compliance" betonte die Notwendigkeit, veraltete OT-Systeme (Operational Technology) mit modernen IT-Lösungen zu integrieren. Da viele OT-Geräte isoliert und nicht immer auf dem neuesten Stand sind, entstehen Sicherheitslücken. Die Referenten, darunter Rafael Saorín Adán von Naturgy Renewables und Joan Saltó Segura von Deloitte, betonten, dass Netzwerksicherheit in kritischen Umgebungen entscheidend ist und ein Verständnis der laufenden Anwendungen erfordert. Sie machten deutlich, dass umfassende länderspezifische Cybersicherheitsstrategien für alle Standorte und Länder essenziell sind, um Sicherheit von Anfang an zu gewährleisten (Security-by-Design). Sie wiesen auch auf die neuen Risiken hin, die die OT-Cloud mit sich bringt, und betonten die Bedeutung lokaler Expert*innen (Cyber Security Champions) auf Unternehmensebene.

Im zweiten Vortrag "NIS2 Directive Panel: Network Information System" diskutierten Experten wie Emil Bisgaard und David Andres Hurtado die neue Ausrichtung der NIS2-Richtlinie, die CEOs und Führungskräfte stärker in die Verantwortung nimmt. CEOs müssen nun selbst ein tiefes Verständnis für Cybersicherheit entwickeln, da sie direkt zur Rechenschaft gezogen werden  können. Die Umsetzung von NIS2 wird idealerweise von CISOs  (Chief Information Security Officers) vorangetrieben, die für die Entwicklung und Umsetzung von Cybersicherheitsstrategien verantwortlich sind. Ein zentrales Thema war die Komplexität der nationalen Umsetzung und die damit verbundenen Kosten. Besonders wichtig ist die Einhaltung der Anforderungen des Supply Chain Risk Managements, da auch Lieferanten in die Sicherheitsstrategie eingebunden werden müssen. Die Vorträge machten deutlich, dass NIS2 als Meilenstein auf dem Weg zum Cyber Resilience Act gesehen werden kann, dessen Umsetzung bis 2027 geplant ist. Außerdem sprechen Asset Owner und Provider durch die NIS2 endlich eine Sprache, was als Chance zu sehen ist. Die Experten betonten, dass die physische Sicherheit die Grundlage für die Cybersicherheit bildet und eine lückenlose Dokumentation unerlässlich ist. Unternehmen müssen sicherstellen, dass ihre Projekte von Anfang an Sicherheitsaspekte berücksichtigen, um Kundenvertrauen zu schaffen und Business Continuity zu gewährleisten.

Data-driven Outcomes: How IoT Powers Generative AI Innovation – Yasser Alsaied, AWS

Yasser Alsaied von AWS präsentierte, wie IoT-Daten die Innovationskraft von Generative AI (Gen AI) fördern. Er betonte, dass Maschinen die Sprache nutzen, auf der unsere Kommunikation basiert, um effizient zu arbeiten. IoT-Daten liefern den entscheidenden Unterschied, da sie nicht nur das Unternehmen, sondern auch die Kunden kennen und so einen erheblichen Mehrwert schaffen. Amazon AWS setzt auf drei Ebenen der Sicherheit: Verschlüsselung, Integrität und Langzeitsicherheit. Die Lösungen müssen die Privatsphäre schützen und sowohl jetzt als auch in Zukunft sicher sein. Ein Beispiel für eine Gen AI Anwendung auf Basis von Multiple Modeling Learning ist der Einsatz von Sensoren in Bäumen, die deren Bedarf an Nährstoffen, Wasser und Sonnenlicht ermitteln und genaue Daten über den Sauerstoff- und CO2-Gehalt liefern. Zusammenhänge können dann per prompt abgefragt werden: Wie viel Sauerstoff ist aktuell vorhanden? Wie viel CO2 wurde durch die Photosynthese in den letzten x Monaten reduziert? Dies kann beliebig auf andere Anwendungsbereiche ausgeweitet werden und bietet auch die Möglichkeit, die Wartungskosten um 60 % zu senken, da GenAI nicht nur das Geschäft, sondern auch die Kunden kennt. Dies konnte erreicht werden, indem AWS durch langfristige Investitionen einen umfassenden KI-Stack aufgebaut hat. Alsaied betonte, dass nur 1 % der Öl- und Gasindustrie mit der Cloud verbunden sei, was neue Möglichkeiten eröffne. Er schloss mit einem Ausblick auf die Zukunft von Gen AI, die vielversprechende Entwicklungen an der Peripherie und mit Multi-Modell-Ansätzen zeige. Sicherheit bleibe der wichtigste Faktor, mit regelmäßigen Sicherheitsüberprüfungen auf verschiedenen Ebenen. Algorithmen erfassen Szenarien und isolieren Bedrohungen sofort.

Applying IEC 62443 – Panel Fortinet / Schneider Electric / Yogagawa / Eurocat

Das Panel zur Anwendung von IEC 62443 hat sich vor allem mit den verschiedenen Branchen wie Maschinen- und Anlagenbau, Schifffahrt und Transport beschäftigt. Dabei ist deutlich geworden, dass die Norm weitreichende Auswirkungen auf die Unternehmenskultur hat. Ebenfalls deutlich wurde die Notwendigkeit die gesamte Lieferkette in die Sicherheitsstrategien einzubeziehen. Der Mehrwert entsteht, wenn die Verfügbarkeit und der Schutz vor Cyber-Angriffen von Anfang an bei der Entwicklung elektrischer Systeme berücksichtigt werden. Nachträgliche Änderungen an fertigen Systemen sind weder nachhaltig noch im Sinne der IEC. Diese Anforderungen werden immer mehr auch an Lieferanten gestellt, ganz egal in welcher Branche sie tätig sind. Das Ziel ist, Risiken zu minimieren. Dabei müssen verschiedene Risikostufen berücksichtigt und die Maßnahmen an die jeweilige Branche angepasst werden. Hier sind das Incident Reporting und die Geschäftskontinuität wichtige Punkte. 

Die neuen Regeln sind nötig, weil viele Unternehmen die Cybersicherheit noch nicht richtig im Griff haben. Diese Standards sollen sicherstellen, dass alle die gleichen Voraussetzungen haben und sich an sie halten. Die Harmonisierung globaler Standards wird eine effizientere Zusammenarbeit ermöglichen. Dies betrifft sowohl Governance- als auch prozessorientierte und technische Anforderungen. Es wird erwartet, dass die Vielfalt der Richtlinien abnimmt, was zu mehr Klarheit und weniger Doppelarbeit führen sollte. Ein Kulturwandel ist notwendig, um den IEC 62443 Standard zu erfüllen und weitere Regulierungen zu erleichtern. Die IEC-Norm wird als Best Practice angesehen und eingebettete Sicherheitsfunktionalitäten sind unerlässlich.

Digitalization in Standards & Regulations – David Nix, Digital Transformation Officer, IEC

David Nix von der IEC stellte die Bedeutung der Digitalisierung in Normen und Vorschriften vor. Er betonte die Partnerschaft mit ISO und erläuterte, dass die Einführung neuer Standards in der Industrie einfacher sei, der Eintritt in neue Märkte jedoch oft schwierig. Ein zentrales Thema war der Einsatz von Anforderungssystemen, die Unternehmen bei der Einführung neuer Regularien unterstützen sollen. Nix stellte die Frage : „Was hält uns davon ab, diese neuen Regeln anzuwenden?“ Die Antwort liegt häufig in der Komplexität der Prozesse. LLM (Large Language Models) könnten zwar helfen, aber wir sind noch nicht in der Lage, sie effektiv zu nutzen. 

Der erste Schritt zur Umsetzung ist das Konzept der „Smart Standards“: Build, Consume, Tailor. Die Standards sollen über APIs und Apps zugänglich gemacht werden. Ein wichtiger Punkt ist, wie Nutzer*innen über Änderungen der Standards informiert werden, da diese sich ständig weiterentwickeln. Eine kontinuierliche Information würde es Anwender*innen erleichtern, mit den Standards zu arbeiten. Die Hauptziele sind die Effizienz zu steigern, die Leistung zu verbessern und einen Mehrwert zu schaffen. In der Vergangenheit lag der Schwerpunkt auf dem Schutz von Daten, jetzt sollte der Schwerpunkt auf der Wiederverwendung und Anwendung von Standards liegen – ein notwendiger Mindshift. Es gehe nicht darum, dass Standards existieren, sondern dass sie praktisch und nützlich sind. Nix stellte einen Zeitplan vor: Bis Ende 2024 sollen 50 % der Standards über Apps in Schweden und Norwegen verfügbar sein, ein Geschäftsmodell soll bis zum ersten Quartal 2025 folgen. Eine der aktuellen Herausforderungen ist die Sprache der Standards. Wird dies weiterhin Englisch sein oder eine andere Sprache der Zukunft? Und wie wird sich die Anwendung der Standards verändern, wenn der Konsument kein Mensch, sondern eine KI ist? Wir sind gespannt.  

Das nehme ich mit vom IoT Solutions World Congress und Cybersecurity Congress 2024

Der diesjährige Zusammenschluss des IoT Solutions World Congress und des Barcelona Cybersecurity Congress war eine bereichernde Plattform für den Austausch innovativer Ideen und technologischer Entwicklungen. Das sind meine wichtigsten Erkenntnisse und Highlights der Veranstaltung:

Innovationskraft durch KI und ML

Ein dominierendes Thema war die breite Anwendung von maschinellem Lernen (ML) und künstlicher Intelligenz. Diese Technologien, die bereits vor sechs bis zwölf Jahren in Produkte integriert wurden, haben die Grundlage für viele innovative Lösungen gelegt. Bemerkenswert war die Präsenz vieler neuer und unbekannter Unternehmen, die frische Ideen und Technologien präsentierten.

Geräte und Daten im Fokus

Die Diskussionen konzentrierten sich stark auf die verschiedenen Gerätetypen und die zugrunde liegenden Daten und weniger auf Marktplätze und Dashboards. Die vollständige Integration von IT und OT bleibt jedoch eine Herausforderung, der sich viele Unternehmen noch stellen müssen.

Regulatorische Anforderungen im Fokus

Mehr als 25 % der Präsentationen befassten sich mit regulatorischen Themen, insbesondere mit der NIS2-Richtlinie. Diese neuen Anforderungen werfen komplexe Rechtsfragen auf, die ohne juristische Beratung kaum zu lösen sind. Die Verantwortung für die Einhaltung dieser Vorschriften wird zunehmend entlang der Wertschöpfungskette weitergegeben, so dass Unternehmen, auch Lieferanten proaktiv handeln müssen, bevor sie gesetzlich dazu verpflichtet werden.

Sicherheit als Grundprinzip

Sicherheit wurde als wesentlicher Bestandteil jeder Funktion hervorgehoben, der von Anfang an und durchgängig berücksichtigt werden muss. Obwohl Cybersicherheit derzeit noch als Wettbewerbsvorteil angesehen wird, wird sie bald zur Normalität (New Normal) werden.