059: Warum ist Cyber Security Chefsache, Nico Werner (All-in Digital & CloudCommand)?

00:00:03: Blue Screen, der Tech-Podcast. Ja, hi und herzlich willkommen zur letzten Interview-Folge,

00:00:09: dieses Jahr von Blue Screen.

00:00:11: Und nachdem wir letztes Jahr ja auch mit einem besonderen Gast und mit einem

00:00:16: tollen Interview geschlossen haben, habe ich mir gedacht, Mensch,

00:00:18: das könnten wir dieses Jahr gleich nochmal machen und habe mir den Nico Werner

00:00:23: heute eingeladen. Hi Nico.

00:00:26: Moin. Hi, der Niko Werner ist selber auch Podcaster, hat einen ganz fantastischen

00:00:31: Podcast, Cyber Security ist Chefsache, den ihr euch bitte nach dieser Folge

00:00:34: erst anhört, jetzt nicht direkt rüberspringen.

00:00:37: Könnt ihr auch unten in den Shownotes dann sehen. Und ja, der Niko macht aber

00:00:41: nicht nur Podcasts, sondern die Themen bei ihm beschäftigen sich natürlich,

00:00:46: wie auch bei mir, mit IT, aber auch mit OT und Industrie 4.0 und solchen Geschichten.

00:00:50: Und da ich das selber super spannend finde, mich da aber nicht wirklich auskenne,

00:00:54: habe ich mir gedacht, Das wäre doch nochmal ein tolles Thema zum Jahresende.

00:00:58: Und deswegen, ja Nico, stell dich doch mal kurz vielleicht selber vor und erzähl

00:01:02: uns mal, was du da so genau alles machst.

00:01:05: Ja, das mache ich sehr gerne. Erstmal vielen Dank, dass ich hier bei deinem

00:01:08: Podcast mit dabei sein darf.

00:01:10: Ich bin seit über zehn Jahren in dem Bereich Cyber Security aktiv,

00:01:16: habe mal angefangen, klassisch mit einer Ausbildung als Fachinformatiker,

00:01:20: bin dann ziemlich schnell in das Thema Produktionssicherheit gekommen durch die Audi AG,

00:01:26: wo ich eben halt schon das Thema auf den Tisch bekommen habe,

00:01:29: wie kann ich denn Legacy Systeme absichern,

00:01:33: denn wenn wir von OT sprechen, reden wir meistens von Systeme,

00:01:37: die 20, 30, 40 oder 50 Jahre in einem Unternehmen sein müssen,

00:01:42: weil sie eben halt auch eine Million oder zwei Millionen Anschaffung kosten

00:01:45: und das ist eben halt im Verhältnis zu IT ein ganz anderes Thema,

00:01:51: auch wie man damit umgeht und so ist eben hat meine Geschichte angefangen über die Audi AG,

00:01:58: dann über verschiedene andere Firmen, habe auch ein paar Startups in dem Bereich

00:02:02: mit aufgebaut und fühle mich deswegen ganz gut in diesem Thema IT vs.

00:02:08: OT in Verbindung mit dem Management oder wie ich dazu immer nett sage,

00:02:14: ich muss erst mal Kindergärtner spielen zwischen IT, OT und dem Management,

00:02:19: um die eben halt in Anführungsstrichen auf eine Ebene zu bringen.

00:02:24: Ja, danke. Da sind wir tatsächlich direkt schon im Thema drin.

00:02:28: Also ich meine OT ist natürlich für uns auch ein Begriff, aber wir sind halt

00:02:33: da so ähnlich wie auch unsere Kunden in vielen Bereichen aufgestellt.

00:02:37: Wir verstehen, was Clientsysteme sind, wir verstehen auch Server,

00:02:41: wir verstehen Netzwerke, aber wir haben natürlich auch Kunden, die Produktion haben.

00:02:46: Und es gibt ja da verschiedene Mittel und Wege jetzt auch zum Beispiel,

00:02:51: muss ich sagen, aus unserem Portfolio mit Microsoft, mit dem Defender for IoT,

00:02:55: den wir da jetzt auch schon ein paar mal ausgebracht haben, aber die Schwierigkeit

00:02:59: ist, selbst wenn dir eine Lösung sagt, Mensch in deinem OT-Netzwerk sind Dinge,

00:03:05: wir können ja nur den Kunden darüber informieren, oder der Kunde sieht es dann

00:03:09: selber, wenn er das selbst managt, aber wirklich lösen ist natürlich dann noch

00:03:13: mal eine ganz andere Geschichte.

00:03:14: Wenn jetzt da irgendwelche SCADA-Systeme oder sonst irgendwas ist,

00:03:18: keine Ahnung, eine Steuereinheit meldet hier verdächtigen Datentraffic oder

00:03:24: Logins zu ungewöhnlichen Uhrzeiten, ist für uns natürlich eine absolute Blackbox.

00:03:28: Wie gehst du denn damit um?

00:03:31: Ich glaube, einen Grundsatz muss man so ein bisschen aus der OT verstehen.

00:03:36: In der OT heißt ist don't touch a running system.

00:03:41: Das bedeutet, dass für einen Betreiber, sagen wir ein Kraftwerk oder ein Automobilhersteller

00:03:49: zählt die Verfügbarkeit als höchstes Gut.

00:03:53: Er muss Autos produzieren oder er muss Strom produzieren, er muss Strom weiterleiten.

00:03:58: Das heißt solche Unternehmen müssen immer gucken, wenn ich jetzt entsprechend

00:04:03: zum Beispiel einen Angriff habe, wie meine Sachen sind zum Beispiel verschlüsselt,

00:04:09: hat das einen Impact auf meine Produktionen.

00:04:13: Und deswegen sind die Herausforderungen gerade im OT-Bereich nicht immer,

00:04:18: wie gehe ich mit dem Thema um, sondern wie kann ich die Produktion gewährleisten.

00:04:24: Ich gebe dazu mal ein ganz simples Beispiel, wo jetzt alle den Kopf in Anführungsstrichen

00:04:29: gegen eine Wand schlagen würden.

00:04:31: Es gibt einen Automobilhersteller in Deutschland, der kämpft heute noch mit WonderQui. Warum?

00:04:37: Weil für den Automobilhersteller ist es günstiger, ein Team zu haben, was 24-7.

00:04:44: Durch den Konzern läuft und eben halt WannaCry hinterher läuft und das entsprechend wieder bearbeitet,

00:04:50: dass die Systeme funktionieren, anstatt einmal jetzt Cut zu machen und zu sagen,

00:04:55: pass auf, wir machen jetzt alles neu oder wir schauen mal, wie wir es eindämmen können,

00:05:00: lassen die die Produktion beiseite, das geht eben halt nicht.

00:05:04: Und deswegen bedeutet, wenn wir über Security sprechen bei OT,

00:05:08: dass wir wegkommen müssen von diesen Gedanken Security as a Function,

00:05:13: also sprich, wir haben eben halt in irgendeiner Form ein Device,

00:05:16: eine Firewall, was auch immer, was mir Security bietet, hin zu Security by Design.

00:05:22: Also wie können wir, wenn wir ein System kaufen, schon bei der Implementierung

00:05:27: darauf achten, wie können wir es sicher gestalten? Ja, ich gebe dir da recht.

00:05:32: Ich meine, ich habe in meiner beruflichen Vergangenheit auch mit Automotive

00:05:35: zu tun gehabt, allerdings eher dann am Outlet.

00:05:38: Und ich finde es halt immer interessant, wenn man mal sieht,

00:05:42: wie viel unterschiedlichem Maß hier gemessen wird.

00:05:45: Auf der einen Seite, wir haben Kunden, die sind TSACs zertifiziert oder auf dem Weg dorthin.

00:05:50: Das heißt, die werden wirklich richtig in diese ganze SMS-Kiste reingepresst.

00:05:54: Vom Hersteller, für den sie liefern, aber auf der Abflussseite hinten raus beim

00:06:00: Händler, da sieht die Welt komplett anders aus.

00:06:03: Also du wirst halt im Prinzip tagtäglich mit halb ausgereifter Software dann

00:06:07: auch bedient, da wird dann auch ganz viel gejammert, das funktionieren dann Sachen nicht.

00:06:14: Dazwischen ist dann noch der Hersteller selbst, der dann sowas tut,

00:06:17: wie du es gerade beschrieben hast.

00:06:19: Anstatt es einmal richtig zu machen, einfach aus Rentabilitätsgründen zu sagen,

00:06:24: ich leiste mir lieber ein Team, was permanent rumpatcht, weil das ist billiger,

00:06:29: als wenn ich es einmal richtig mache.

00:06:31: Führt natürlich aber auch zu der Frage des Vertrauens, weil,

00:06:35: seien wir mal ehrlich, die Autos sind ja heute weitaus mehr als ein Motor und

00:06:41: eine Achse und Reifen und Blech, sondern da steckt ja auch eine Menge Elektronik drin.

00:06:46: Und ich sage mal, gerade da ist es natürlich dann auch interessant.

00:06:48: Ich will ja eigentlich sicherstellen, auch mal aus Sicht des Lieferkettengesetzes,

00:06:53: dass das, was am Ende beim Kunden ankommt, dann auch sicher ist.

00:06:57: Wenn ich aber bei meinem eigenen Fahrzeug schon sehe, wie oft,

00:07:00: wenn irgendwas nicht geht, in die Werkstatt gefahren wird, dann staunen alle den Laptop an.

00:07:04: Dann gibt es vielleicht noch eine geführte Fehlersuche von irgendjemandem,

00:07:08: der irgendwo remote dann beim Hersteller sitzt und am Ende wird ein Update installiert

00:07:12: mit der Hoffnung, dass es dann vielleicht, hoffentlich jetzt geht.

00:07:16: Also das ist natürlich echt ein schwieriges, schwierige Konstellation.

00:07:20: Ja und ich glaube, wo wir ein Auge drauf haben müssen, ist diese Vermischung der beiden Welten.

00:07:26: Ich meine, wir reden jetzt gerade über OT.

00:07:29: Das, was du gerade gesagt hast, ist eher so IOT oder IIOT.

00:07:34: So gibt es ja viele schöne Best Words, die das

00:07:37: ganze beschreiben und ich glaube auch

00:07:40: das ist das was meinen job in den letzten jahren so

00:07:43: anspruchsvoll gemacht hat weil wir wegkommen von

00:07:47: klassischen it welten oder klassischen ot welten hin zu mix infrastrukturen

00:07:53: und gerade in dieser mix infrastruktur muss ich eben halt schauen dass ich sowohl

00:08:00: natürlich die schutzziele aus der it aber auch die schutzziele aus der zusammenbringe.

00:08:06: Und ich glaube da ist auch aktuell so das riesen Problem auf dem Markt in Anführungsstrichen,

00:08:12: weil wir wollen die Digitalisierung, wir wollen Industrie 4.0, wir wollen Vernetzung.

00:08:18: Allem drum dran, mit allem was da funktioniert.

00:08:22: Gibt so einen schönen Satz von unserer damaligen Bundeskanzlerin,

00:08:26: die gesagt hat, alles was digitalisiert wird, muss auch digitalisiert werden

00:08:31: und damit meint sie wirklich alles.

00:08:33: Ich sage da ganz klar, wir müssen erstmal in Anführungsstrichen eine Infrastruktur

00:08:38: schaffen, um eine Digitalisierung hinzubekommen.

00:08:41: Man darf es abgesehen, aber es bedeutet natürlich auch in Bezug auf die Security,

00:08:46: dass wir ganz anders denken müssen.

00:08:48: Wir müssen eben halt schauen, wie können wir solche Systeme auch in 20,

00:08:53: 30 Jahren noch sicher gestalten.

00:08:56: Absolut. Sieht man jetzt ja auch bei dem aktuellen Hype rund um KI.

00:09:01: Also jetzt ist mittlerweile jedes Produkt, schreibt irgendwie der Hersteller

00:09:05: jetzt auch KI unterstützt drauf, egal was das ist, weil es halt gerade im Moment

00:09:09: einfach ein absolutes Trendthema ist.

00:09:12: Auf der anderen Seite sehe ich aber tagtäglich die Meldungen,

00:09:15: wen es wieder erwischt hat und auch vor allem, warum es denjenigen dann erwischt

00:09:19: hat. Das sind halt alles solche Low-Level-Themen eigentlich.

00:09:23: Die ganz anders hätten angegangen werden sollen.

00:09:26: Und ich denk mir dann immer, auf der einen Seite wollen wir zum Mars fliegen,

00:09:29: aber wir kriegen's ja nicht mal hin, unser Auto aus der Garage zu fahren.

00:09:32: Also das ist wirklich ein absolut großer Gap.

00:09:35: Und ich glaub, das wird auch in den nächsten Jahren mit Sicherheit nicht besser.

00:09:40: Ja, und ich glaube, dazu gehört auch noch so ein bisschen dieses Thema,

00:09:44: wir alle reden über Privacy, ne? Keiner will irgendwie das Thema hier sehen bzw.

00:09:51: Meckert über Facebook, Whatsapp, was auch immer. Aber an sich müssen wir eben

00:09:56: halt schauen, wenn wir Digitalisierung wollen, müssen wir ein Stück weit Transparenz werden.

00:10:02: Und ich glaube, das ist auch so ein Problem, was ich immer wieder auch bei den Kunden habe.

00:10:08: Du willst das eine, aber willst nicht auf das andere verzichten.

00:10:11: Und das ist so diese waage zwischen usability

00:10:15: und security die ganz häufig falsch so läuft

00:10:18: weil Dann passiert so was jemand wird

00:10:21: gehackt oder in anführungsstrichen es gibt einen

00:10:24: schaden Und dann heißt es immer so großmögliche sicherheit aber man vergisst

00:10:29: dann eben halt die usability weil es muss auch leute geben die das anwenden

00:10:32: Und das ist dann so ein bisschen das was man im markt auch sieht da passieren

00:10:38: die meisten fehler denn wenn ich hochmögliche.

00:10:42: Sicherheitsmechanismen habe,

00:10:44: keine Ahnung, 15 Passwörter, zwei Faktor und hast du nicht gesehen,

00:10:49: dann überlegt sich eben halt der Mitarbeiter, wie kann ich das Ganze umgehen?

00:10:53: Und das ist eben halt dann nicht mehr für Security.

00:10:58: Und ich glaube, wir müssen eben halt, du hast auch angesprochen mit dem Thema,

00:11:03: wir müssen mal das Basement schaffen oder das Fundament dafür schaffen.

00:11:08: Und wenn ich immer wieder sehe, dass die nächste Kommune angegriffen worden

00:11:14: ist, die nächste Gemeinde,

00:11:16: dann muss ich einfach sagen als Experte, da muss eben halt auch mal was passieren,

00:11:20: dass man sieht, was für ein Impact das haben kann, wenn wieder die nächste Kommune

00:11:26: oder die nächste Gemeinde angegriffen wird.

00:11:28: Und wie, in Anführungsstrichen, hilflos die auch sind.

00:11:32: Weil eins kann ich euch sagen, das was viele denken, dass das BSI im Hintergrund

00:11:37: steht oder wer auch immer und in Anführungsstrichen das Schild dahin stellt

00:11:42: und sagt, ihr seid jetzt sicher und wir helfen euch.

00:11:46: Tut mir leid, das ist eher Glaube und da müssen wir eben halt gucken,

00:11:52: wie wir gerade an diesen Themen einfach besser werden.

00:11:56: Absolut, ja. Ich habe es mir auch gedacht, jetzt gab es ja diesen Podcast vom MDR, You Are Fucked,

00:12:03: und wenn man sich das mal anhört, was da in Anhalt Bitterfeld damals passiert

00:12:06: ist, denkt man, naja gut, ist

00:12:09: jetzt aufbereitet worden, sollte ja jetzt eigentlich nicht mehr passieren.

00:12:12: Puff, jetzt erst im November oder fast im Oktober schon, Südwestfalen IT, ja.

00:12:18: Ist natürlich interessant, wenn man dann auf einmal auch liest,

00:12:21: dass manche Gemeinden nicht mehr in der Lage sind, irgendwie ihre eigenen Rechnungen

00:12:27: zu bezahlen, weil sie gerade im Moment keine Gewerbesteuer einfordern können.

00:12:30: Das heißt, mit so einem Kleinigkeitsangriff eigentlich, da kommt so ein unglaubliches

00:12:36: Kartenhaus auf einmal in Bewegung.

00:12:38: Auf der anderen Seite, ja, wir versuchen natürlich durch so Sachen wie NIST

00:12:44: 2, auch jetzt international, ja, also die USA fangen jetzt an Unternehmen zu

00:12:48: verklagen, dann geht irgendwie der CISO vielleicht in den Knast,

00:12:51: Australien macht das gleiche jetzt auch nach,

00:12:53: aber das ändert ja immer noch nichts daran.

00:12:56: Es gibt Unternehmen, die können und wollen nicht investieren,

00:12:59: wir haben einen unglaublichen Fachkräftemangel.

00:13:02: Und ja, dann kommt noch das dazu, was wir jetzt gerade gesagt haben.

00:13:05: Wie kann man das denn vernünftig lösen? Was wäre denn ein Lösungsvorschlag?

00:13:11: Also ich glaube, der wichtigste Lösungsvorschlag an der ganzen Thema ist mein

00:13:16: Hauptmotto, Cyber Security ist Chefsache.

00:13:19: Es muss einfach von oben herab kommen. Es darf nicht von unten herab sein.

00:13:24: Dein IT-Leiter, dein Sicherheitsverantwortlicher, der braucht deinen Management-Commitment.

00:13:30: Der muss die Möglichkeiten bekommen, die entsprechenden Ressourcen bekommen,

00:13:36: auch was umsetzen zu können.

00:13:38: Und nicht nur, weil wenn ich jetzt nicht was umsetze, dass ich jetzt der Nächste

00:13:43: bin und so und so viele Millionen Schaden haben, sondern die Leute müssen lernen,

00:13:47: dass Security oder Informationssicherheit, Datenschutz, das Ganze,

00:13:51: was dazu gehört, nicht nur dafür da ist, um euch zu gängeln,

00:13:55: damit ihr nicht angegriffen werdet oder die nächste Strafzahlung bekommt,

00:13:59: sondern dass das Ganze euch auch hilft.

00:14:02: Ihr habt damit mehr Möglichkeiten, ihr habt mehr Qualitätsmanagement,

00:14:06: ihr habt mehr Möglichkeiten auch entsprechend auf Dinge zu reagieren.

00:14:10: Das heißt, für mich ist ganz wichtig, dieses Statement, das muss kommen.

00:14:16: Und dann, ganz klar, brauchen wir eben halt auch Vorgaben, die wirklich in Anführungsstrichen

00:14:22: umsetzbar beziehungsweise sinnvoll sind.

00:14:25: Ich gebe da nur das Beispiel Anhörung IT-Sicherheitsgesetz 2.0 hier in Deutschland.

00:14:31: Ich habe mich als Security-Mensch geschämt. Da sitzen Fachleute,

00:14:37: Experten, die schreiben Briefe, wirklich richtig viel Aufwand ist da rein geflossen,

00:14:43: der Politik zu erklären, dass das so nicht funktioniert,

00:14:47: dass es so auch nicht umsetzbar ist.

00:14:49: Und am Ende stellt sich da ein gewisser Herr hin, dessen Namen ich jetzt nicht

00:14:53: erwähnen möchte, und sagt, wir sind auf einem guten Weg.

00:14:57: Ich habe gemerkt, wir haben so eine gute Diskussion gehabt, aber am Ende sind

00:15:00: wir, glaube ich, auf dem richtigen Weg. Und was passiert?

00:15:03: Das Gesetz kommt eins zu eins, wie es da besprochen worden ist.

00:15:07: Und da muss ich mir ganz ehrlich sagen, dann fehlt es mir einfach schon an Relevanz von der Politik heraus.

00:15:14: Und gerade wenn wir auf Gemeinden und Kommunen schauen, sage ich schon seit

00:15:18: Jahren, wir müssen wegkommen von diesem dezentralen Ansatz.

00:15:23: Jedes Bundesland macht das für sich selber oder jede Kommune macht das für sich

00:15:27: selber. eine Kommune ist kritische Infrastruktur, dann muss da auch entsprechend

00:15:34: was von oben kommen und es müssen auch Gelder bereitgestellt werden.

00:15:38: Das meine ich eben halt mit Ressourcen.

00:15:40: Ein Unternehmen muss Ressourcen zur Verfügung gestellt bekommen,

00:15:44: genauso muss das aber auch eine Gemeinde und Kommune.

00:15:47: Ich habe das hier zum Beispiel, ich unterstütze ehrenamtlich ein,

00:15:51: zwei Kommunen hier im Umkreis und die haben mir gesagt, pass auf Nico,

00:15:55: ich kriege kein Geld dafür.

00:15:57: Ich kriege Geld in Hardware, sei es eine Firewall oder eben halt ein Antivirus-System.

00:16:03: Aber in Ausbildung, in Weiterentwicklung, in Schulung, da ist kein Budget dafür da.

00:16:11: Und oh Wunder, die Schwachstelle ist nicht immer die Technik,

00:16:17: sondern Schwachstelle ist eine Kommunikation aus Technik, Menschen und die Prozesse drumherum.

00:16:25: Ja das stimmt auf jeden fall so, das schwierige ist halt auch und ich habe auch

00:16:30: die ein oder andere Verwaltung bei uns in der Kundschaft, wenn du dann halt auch hörst so,

00:16:35: naja ihr kriegt halt kein Personal weil ihr nicht marktgerecht bezahlt und dann

00:16:40: sage ich ja wieso könnt ihr denn nicht marktgerecht bezahlen,

00:16:42: dann sagt er wenn ich jetzt dich einstellen und ich gebe dir das,

00:16:46: was der normale freie Markt halt hergibt,

00:16:49: dann habe ich sofort eine Riesendiskussion, weil vielleicht eine eine Person,

00:16:53: die jetzt schon seit 20 Jahren im Passamt arbeitet,

00:16:56: natürlich nicht so viel kriegt, weil man da halt einfach nach einem Tarifvertrag

00:17:00: bezahlen muss und dann hast du sofort eine Riesendiskussion.

00:17:04: Das heißt, die Leute, die du vielleicht kriegen könntest, wenn du sie bezahlst,

00:17:07: die kannst du gar nicht einstellen.

00:17:09: Also, Konsequenz, werden Firmen gegründet und da gehen dann die Mitarbeiter

00:17:13: hin, damit man aus diesem Thema rauskommt. Das ist mal das erste Problem.

00:17:16: Geht aber dann weiter, ich gebe dir komplett recht, zentrale Verwaltung.

00:17:19: Es kann nicht sein, dass dieses Security- Thema oder IT allgemein,

00:17:23: egal ob das jetzt eine Gemeinde oder eine Stadtverwaltung ist,

00:17:26: immer Aufgabe dieser Stadt ist. Warum muss jeder das Rad neu erfinden?

00:17:30: Warum kann man das nicht auf Länder- oder Bundesebene einfach zentral halten.

00:17:35: Und das ist, glaube ich, auch das größte Problem.

00:17:38: Aber wir sind jetzt so ein bisschen abgeschweift. Wir wollten eigentlich ja

00:17:41: grundsätzlich über OT uns unterhalten.

00:17:45: Und da, glaube ich, müsste man vielleicht den ein oder anderen Zuhörer oder

00:17:50: Zuhörerin noch mal vielleicht abholen an der Stelle.

00:17:54: Wo ist denn der große Unterschied? Was ist bei IT anders als bei Das kann man ganz einfach sagen.

00:18:01: IT ist das, was wir jetzt hier gerade haben.

00:18:04: Wir haben einen Rechner, wir haben in irgendeiner Form ein Klein,

00:18:09: das kann ein Notebook sein, ein Rechner, wir haben eine Serverinfrastruktur,

00:18:13: wir haben vielleicht einen E-Mail-Server.

00:18:16: Alles das, was Bürokommunikation ist, das ist IT.

00:18:21: OT sind Systeme, die prozessorganisiert arbeiten, das heißt ein Kraftwerk zum Beispiel.

00:18:29: Was ein System hat, um eben halt den Strom zu lenken, beziehungsweise zu transportieren,

00:18:36: das gibt es eben halt gewisse Komponenten, man sagt dazu immer messen,

00:18:42: steuern, regeln, das sind so die Hauptbegriffe, die man da kennt,

00:18:47: alles was da drunter fällt, gehört eben halt in den OT Bereich rein.

00:18:51: Das heißt OT sind Produktionsanlagen, Anlagen die einen Prozess beinhalten,

00:18:58: zum Beispiel Stromherstellung,

00:19:00: Wasser, Pumpen werden angesteuert, der Gasdruck wird geregelt,

00:19:05: das sind so klassische Beispiele,

00:19:07: aber auch Leittechnik.

00:19:09: Also wenn ich jetzt zum Beispiel für die Autobahn in der Leitstelle sitze,

00:19:15: wo dann zum Beispiel diese Schildertafeln, die über den Autobahn hängen,

00:19:19: gesteuert werden, ist das auch OT, weil das sind Systeme, dahinter liegt ein Prozess,

00:19:25: dahinter liegt in irgendeiner Form eine Schnittstelle, die dann auf die Systeme

00:19:30: zugreift und die können dann eben halt gesteuert werden.

00:19:33: Und im Verhältnis zur IT und OT kann man ganz klar sagen, dass die Schutzziele

00:19:40: eine ganz andere Geschichte sind.

00:19:43: Weil bei der IT geht es dir nicht um Verfügbarkeit. Wenn jetzt mal dein Rechner

00:19:48: nicht funktioniert oder deine E-Mail nicht funktioniert, dann ist das so.

00:19:51: Aber wenn ich jetzt mal zum Beispiel in einem Kraftwerk keinen Strom produzieren

00:19:55: kann oder auch im Wasserkraftwerk entsprechend keine Pumpen funktionieren,

00:19:59: dann habe ich einen riesen Impact. Das heißt, OT kann man sich merken,

00:20:03: Verfügbarkeit ist das höchste Gut.

00:20:05: Ich hatte es schon am Beispiel gebracht, dass du in vielen Unternehmen im OT-Bereich,

00:20:11: lieber eine Schwachstellen oder einen Angriff lässt, damit dein System funktioniert,

00:20:19: anstatt es eben halt abzuschalten.

00:20:22: Während du in der IT erstmal alles runterfahren würdest, sichern würdest und

00:20:26: eben halt gucken würdest, wie gehst du damit um.

00:20:28: Und der andere Punkt ist bei OT, du hast eben halt Systeme, wie jetzt zum Beispiel

00:20:34: so ein Roboter, der von KUKA kommt, der ein Auto zusammenschweißt oder hält.

00:20:40: Das kostet eben halt auch mal eine Million oder zwei Millionen oder fünf Millionen.

00:20:45: Das heißt, diese Systeme sind aufgrund der,

00:20:49: Kostenstrukturen für 20, 30, 40, 50 Jahre im Einsatz und müssen natürlich dann

00:20:55: auch 20, 30, 40, 50 Jahre auch sicher sein und das ist immer die große Herausforderung im OT-Bereich.

00:21:04: Da wirft sich bei mir die Frage auf, 30, 40, 50 Jahre.

00:21:10: Ist denn das in irgendeiner Form sichergestellt von den Herstellern,

00:21:14: dass dann auch noch jemand das betreuen kann, weil der Kunde wird es ja kaum selber können?

00:21:19: Ja, das ist ein Riesenthema im OT-Bereich, wo wir auch immer bei den Kunden

00:21:24: in Anführungsstrichen sensibilisieren und sagen, das ist ein wichtiges Thema.

00:21:30: Das Thema Dokumentation im OT-Bereich ist ein Riesenthema.

00:21:35: Es gibt meistens Leute, die die Anlage bedienen können.

00:21:38: Das heißt, sie können das System drumherum, zum Beispiel eine Siemens SPS,

00:21:43: können die ganz einfach programmieren, bedienen, aber das können die nur.

00:21:47: Die sind nicht wie ITler, in Anführungsstrichen, die das große Ganze kennen,

00:21:52: die ein Netzwerkverständnis haben, die ein Securityverständnis haben und so

00:21:56: weiter und so fort, sondern die haben nur das Verständnis für die Anlage.

00:22:00: Und wenn diese Person wegfällt und es auch keinen entsprechenden Nachwuchs gibt

00:22:05: oder das Wissen weitergegeben wird, haben wir häufig Firmen,

00:22:08: die genau an diesen Punkt ins Schlingern gekommen.

00:22:10: Ja, das muss man, glaube ich, heute mehr denn je mit allen Produkten,

00:22:15: die man einführt, immer wieder auf dem Schirm haben, auch diese Exit-Strategie zu haben.

00:22:21: Was ist, wenn das irgendwann mal nicht mehr geht? Ich kenne es aus dem Telefonanlagen-Bereich,

00:22:25: vor allem, gerade ältere Systeme, hier noch diese Siemens HiPath zum Beispiel.

00:22:30: Da wurde damals das ganze Team wegverkauft, die diese Sachen programmieren können.

00:22:37: Wenn man Glück hat, kennt man ein Systemhaus, die das noch können,

00:22:40: weil sie die Leute damals übernommen haben.

00:22:42: Aber ansonsten, wenn du eine HypeHeart stehen hast, dann steht die halt irgendwann,

00:22:46: weil du kannst nichts mehr dazu bauen.

00:22:47: Es gibt auch keine Lizenzen mehr und du findest auch keinen,

00:22:49: der dir das Ding mehr programmieren kann.

00:22:51: Und das ist natürlich gerade in Richtung Investitionsschutz schon auch ein Thema,

00:22:56: weil die Sachen kosten ja alle Geld. Bin ich komplett bei dir.

00:22:59: Das, was uns schon jetzt ein paar Mal aufgefallen ist, es gibt Leute,

00:23:04: die ein bisschen mehr wissen in der Produktion ganz häufig, so diese Shopfloor-Heroes.

00:23:09: Und die kümmern sich halt um die Anlage weitestgehend.

00:23:15: Aber in vielen Firmen gibt es dann auch einen permanenten Remote-Zugang für,

00:23:20: den Hersteller, der sich dann hoffentlich um das System kümmert.

00:23:25: Was mir aber da ganz oft auffällt, das ist dann halt entweder irgendwie ein

00:23:27: LTE-gestütztes System oder 5G-gestützt, das heißt komplett unabhängig von meinem

00:23:32: Internetzugang oder das hängt halt einfach gepatcht irgendwie im Netzwerk und

00:23:37: unterhält sich nach außen.

00:23:38: Da guckt aber normalerweise halt kein Mensch drauf.

00:23:41: Ich denke, das wird wahrscheinlich auch ein ziemliches Schadens- und Risikopotenzial haben, oder?

00:23:47: Ja und du sprichst eigentlich genau den Wundenpunkt an.

00:23:51: Es gibt kaum Dokumentation außerhalb der Anlage.

00:23:54: Das heißt, wenn jetzt ein Hersteller einen Remote-Zugriff zu einer Anlage hat,

00:23:59: dann ist das meistens schlecht dokumentiert, gar nicht dokumentiert.

00:24:03: Auch der Zugriff auf die Anlage ist überhaupt nicht reglementiert,

00:24:08: weil wenn der in Anführungsstrichen ein Problem mit der Anlage hat,

00:24:11: Dann sagt er ihm halt in seinem Center bezeite in

00:24:14: seinem Callcenter Bescheid hier geht mal auf die Anlage drauf

00:24:17: und dann ist das so Und das ist ein

00:24:20: Riesenproblem gerade weil Eine Lüge möchte ich auch mal aufklären es gibt keine

00:24:28: getrennten Netze Es ist immer so dieser Irrglaube in vielen Köpfen IT und OT

00:24:34: sind getrennt gibt es nicht also jeder der euch erzählen will es gibt getrennte Netze,

00:24:40: Ich habe in meinem Leben noch nie ein richtig physikalisches getrenntes Netz gesehen.

00:24:47: Es gibt Techniken, wo man das entsprechend machen kann, zum Beispiel mit Datendioden,

00:24:52: die nur zu einer Seite kommunizieren können oder eben halt auch durch eine Mikrosegmentierung.

00:24:59: Aber in der Regel ist es so, dass eine OT-Anlage.

00:25:03: Immer in irgendeiner Form mit einer Komponente aus dem IT zusammenarbeitet,

00:25:08: sei es ein Management System, sei es eine Datenbank, sei es eine Oberfläche, wie auch immer.

00:25:14: Und was auch dazu kommt, dass du natürlich auch in irgendeiner Form,

00:25:19: wenn wir von Digitalisierung sprechen, auch mit den Daten aus einer OT,

00:25:24: also aus einer Anlage, etwas machen möchtest.

00:25:27: Und deswegen ist eine Trennung eigentlich fast unmöglich.

00:25:31: Was wir aber auch sehen,

00:25:33: Ist so ein bisschen eine eigenheit aktuell im ot

00:25:36: bereich dass viele firmen anfangen Parallel

00:25:40: infrastrukturen aufzubauen das heißt ein Klassischen

00:25:44: active directory server wo ich sozusagen eine benutzerverwaltung habe gab es

00:25:49: vor fünf jahren im oti bereich überhaupt nicht Das ändert sich aber gerade also

00:25:53: wir sehen den trend in den unternehmen

00:25:56: einfach parallel Infrastrukturen aufzubauen ich habe also eine it,

00:26:01: Ich habe jetzt eine OT-Domäne.

00:26:03: Ich habe einen OT-Datenbank-Server und so weiter und so fort,

00:26:07: um eben halt diese Trennung noch besser hinzubekommen.

00:26:10: Hat aber natürlich auch einen riesen Nachteil. Ich schaffe mir eben halt auch

00:26:14: mehr Infrastruktur, die ich überwachen bzw. steuern muss.

00:26:18: Ja, was uns auch schon ein paar Mal untergekommen ist, ist dann,

00:26:22: gerade wenn wir zum Beispiel eben Defender for IoT platzieren mit einem Sensor,

00:26:26: dass wir ganz häufig dann auch auf Zertifikate stoßen,

00:26:31: die halt zum einen viel zu kurz

00:26:34: sind und vor allem viel zu alt oder eine Laufzeit haben von 30 Jahren.

00:26:38: Das ist natürlich auch noch mal eine Riesennummer, weil man vielleicht vor 10

00:26:43: oder 20 Jahren, als man das eingeführt hat, noch überhaupt keinen Gedanken daran verschwendet hat,

00:26:48: dass so ein Zertifikat auf der einen Seite irgendwann mal zum Problem wird und

00:26:51: vor allem hat damals noch niemand über Quantencomputing gesprochen.

00:26:55: Es gab ja jetzt letztens den Fall, angeblich ein Professor aus den USA hatte das gepostet.

00:27:02: Es ging auch über LinkedIn und überall ist das mal kurz hochgekommen.

00:27:05: Hat übrigens, glaube ich, auch das BSI dazu veranlasst, diesen Bericht jetzt

00:27:09: zu veröffentlichen, der sich auch mit Quantencomputing beschäftigt.

00:27:13: Weil angeblich haben die es ja geschafft, einen RSA-2048-Bit-langen,

00:27:19: Schlüssel,

00:27:19: zu

00:27:20: Dekodieren. Und wenn das stimmen würde, Und bis jetzt habe ich noch keinen Beweis

00:27:24: dafür gesehen, dass das wirklich so ist.

00:27:26: Aber wenn das stimmen würde, dann wären halt auch jede Menge Systeme,

00:27:30: die direkt am Internet hängen, wie Webserver und so weiter, halt einfach sofort

00:27:34: mehr oder weniger einfach extrem gefährdet.

00:27:38: Auf der anderen Seite, was halt auch der Trend mittlerweile ist,

00:27:41: jetzt das Zertifikat nehmen und irgendwann entschlüsseln, weil es hat ja eine

00:27:45: Laufzeit von 30 Jahren, so lange ist es gültig.

00:27:47: Also save now, decrypt later und das ist, glaube ich, ja auch gerade in diesem

00:27:52: OT-Bereich ein wahnsinniges Problem.

00:27:55: Absolut, vor allen Dingen, du hast schon angesprochen, im OT-Bereich ist immer,

00:28:01: noch die Verfügbarkeit das höchste Gut, das heißt, wir arbeiten mit proprietären Protokollen.

00:28:08: Das bedeutet, das sind Protokollen wie zum Beispiel das ICE 105, 103,

00:28:14: ModBoot und eben halt TASA 2, ICMP und was es da alles gibt,

00:28:20: das sind alles Protokolle, die sind darauf getrimmt, Verfügbarkeit zu haben.

00:28:24: Die sind aber nicht auf Security getrimmt.

00:28:28: Das heißt, wenn du solche Systeme betreibst, musst du erst mal entsprechend

00:28:34: mit diesen Protokollen arbeiten.

00:28:36: Die sind teilweise unsicher, unverschlüsselt.

00:28:40: Das ist der eine Punkt. Und der andere Punkt ist eben halt,

00:28:44: dass du auch darauf achten musst, dass du keine in Anführungsstrichen strukturierte

00:28:49: Daten hast, Wie du es vielleicht in der it hast das heißt,

00:28:54: Was bei der ot auch immer so ein riesen thema ist nicht nur der angriff sondern die manipulation,

00:29:00: Also als angreifer will ich im ot bereich nicht immer so wie in der it Mich

00:29:06: möglichst erkenntlich zeigen und sagen hier bin ich Sondern im ot bereich kann

00:29:11: es auch dazu führen dass ich sage ich bleibe die ganze zeit im stillen kämmerlein Änder mal zwei,

00:29:16: drei Werte oder zwei Alarmwerte,

00:29:19: sodass du eben halt nicht drüber informiert wirst.

00:29:21: Und ich glaube, das ist auch ein wichtiger Punkt zu verstehen zwischen IT und OT.

00:29:27: Diese Systeme sind jetzt in Anführungsstrichen Fokus auf die Verfügbarkeit.

00:29:35: Und jetzt muss eben halt entsprechend, aber auch in 20 Jahren nicht nur die

00:29:39: Verfügbarkeit stimmen, sondern die Sicherheit. Und da ist es eben halt so,

00:29:44: dass wir gerade auch durch die Gesetzesgebung gemerkt haben, da muss was passieren.

00:29:49: Wir müssen ja jetzt zum Beispiel das Thema Angriffserkennung angehen.

00:29:53: Das ist eben halt auch ein Thema. Du musst ja erstmal verstehen,

00:29:57: was da für ein System ist und auch die Protokolle verstehen.

00:30:02: Das heißt auch dein Tool, in Anführungsstrichen, was du einsetzt für Angriffserkennung,

00:30:07: musst dasselbe verstehen. Es kann ja kein Spanisch verstehen, aber du redest Deutsch.

00:30:13: Also das ist auch so eine Herausforderung. Und natürlich auch das Thema,

00:30:17: wie du schon angesprochen hast,

00:30:20: dieses, in Anführungsstrichen, dieser Transformationsprozess,

00:30:25: der in Anführungsstrichen in der IT sehr simpel und einfach ist.

00:30:29: Weil wenn nach fünf Jahren mein Notebook nicht mehr aktuell ist,

00:30:32: dann tauscht sich einfach.

00:30:33: Kann ich eben halt im OT-Bereich nicht machen, weil Zusammenhänge zwischen Software

00:30:38: oder auch zwischen Hardware einfach nicht so einfach möglich sind.

00:30:43: Kommen wir auch direkt Richtung Tooling. Das würde mich jetzt auch mal interessieren.

00:30:46: Mit welchen Werkzeugen arbeitet ihr denn da?

00:30:49: Also klassisch, wenn wir von Angriffserkennung sprechen, ist es zum Beispiel

00:30:53: so, dass es da sehr gute deutsche Hersteller gibt inzwischen.

00:30:58: Zum Beispiel eine Rebo aus Leipzig, die macht das sehr, sehr erfolgreich.

00:31:02: Eine Achtwerk aus Bremen zum Beispiel, die macht das auch erfolgreich.

00:31:06: Eine Fortinet mit Fortinet IDR zum Beispiel.

00:31:09: Das sind alles Tools, die a, das Protokollverständnis haben,

00:31:14: die Verständnis von der OT haben, von den Anlagen Und die eben halt auch in

00:31:20: der Lage sind, in Anführungsstrichen nicht nur einen Angriff zu erkennen,

00:31:24: sondern auch Fehlmanipulation, ne?

00:31:27: Also, weil im OT-Bereich ist es so, diese Angriffe, die man klassisch aus dem IT-Bereich kennt, ne?

00:31:33: Ransomware, ein DDoS-Angriff oder eben halt auch in irgendeiner Form ein Hack.

00:31:39: Im OT-Bereich ist es eher was anderes. Du willst im OT-Bereich entweder die

00:31:43: Produktion verhindern.

00:31:45: Du willst einen Schaden, einen Schaden in dem Sinne,

00:31:50: dass du einen wirtschaftlichen Schaden hast oder aber auch einen menschlichen Schaden,

00:31:54: gebe ich gleich noch mal ein Beispiel dazu und du willst eben halt auch vielleicht

00:31:59: das Kraftwerk in die Luft setzen oder eben halt die Bahn gegeneinander fahren,

00:32:06: das heißt der Impact im OT-Bereich ist ein ganz anderer Impact wie im IT-Bereich.

00:32:11: Ja, welches Beispiel wolltest du dazu geben, menschlich? Ja,

00:32:15: wir haben zum Beispiel ein Projekt gemacht, damals zusammen mit Sophos, das war Honeytrain.

00:32:20: Und Honeytrain war ein Projekt, wir haben entsprechend eine Bahninfrastruktur nachgestellt.

00:32:27: Das heißt, ganz klassisch so eine Modellbahn mit eben halt aber auch ein Ticketsystem,

00:32:34: Überwachungskameras und so weiter und so fort.

00:32:37: Und haben das online gestellt, um zu gucken, wer greift auf sowas zu und wie

00:32:42: tief geht dieses Wissen und Know-how.

00:32:45: Und ich selber bin Familienvater und finde eben halt das Erschreckende,

00:32:50: dass es wirklich Menschen gegeben hat, die den sprichwörtlichen Knopf gedrückt haben.

00:32:55: Das darf man sich jetzt nicht als Knopf vorstellen.

00:32:58: Es ist schon sehr kompliziert, das zu machen,

00:33:01: aber der hat entsprechend das System so weit manipuliert,

00:33:06: dass zwei züge gegeneinander gefahren sind und

00:33:09: das bedeutet der angreifer der wusste ja gar

00:33:12: nicht dass das eine demo umgebung ist der hat wissentlich

00:33:15: in kauf genommen dass menschen sterben und das

00:33:18: ist so ein thema was man Im ot bereich noch ganz groß oben drauf setzen muss

00:33:24: beim ot bereich reden wir ganz häufig von Menschenleben die gefährdet sind sei

00:33:30: es eine bahn die gegeneinander fährt ein kraftwerk was zur explosion gebracht

00:33:34: wird oder eben halt der Strom ausfällt,

00:33:37: sodass das keine OP mehr durchgeführt werden kann,

00:33:40: also die Sensibilisierung für das Thema ist viel, viel größer.

00:33:43: Bedeutet aber auch, das Interesse am Angriff der kritischen Infrastruktur für

00:33:49: jemanden, der uns schaden will, ist enorm hoch.

00:33:52: Und da kann ich so das Beispiel geben, wir haben zum Beispiel auch viel mit

00:33:56: Firmen aus Israel zu tun gehabt und bei denen ist es ja so, dass die keine Verbündete haben.

00:34:03: Das heißt, die haben auf der einen Seite den Terror, auf den anderen Seiten

00:34:07: den Terror, man sieht es jetzt leider ja auch aktuell in den Medien und ich

00:34:12: fand das so erschreckend.

00:34:13: Ich war dann bei dem im nationalen Cyberabwehrzentrum und die hatten oben eine

00:34:18: Nummer gehabt, eine millionenstellige Nummer und ich habe die dann gefragt,

00:34:22: ist das eure Statistik aufs Jahr gesehen, wo ihr angegriffen wird oder wie ihr

00:34:27: angegriffen wird und die Dame sagte mir, nein, das waren die letzten zehn Minuten.

00:34:31: Und dann sind wir so in die Diskussion geführt oder haben die Diskussion geführt

00:34:37: und dann hat man ziemlich schnell rausgefunden,

00:34:39: wenn du Israel schaden willst, dann greifst du deren Infrastruktur an und das

00:34:44: hat Israel sehr schnell erkannt und hat eben halt massiv in Ausbildung von Cyber Security investiert.

00:34:51: Nicht umsonst kommen viele gute Firmen, auch nicht gute Firmen,

00:34:55: wenn man so Beispiel Pegasus nimmt, aus Israel, weil die von Anfang an...

00:35:01: Stopp, drauf hinweisen, wir reden nicht von der Firma Pegasus,

00:35:04: wir reden von dem Trojaner.

00:35:06: Genau, richtig, ja, von dem Pegasus-Trojaner, absolut richtig.

00:35:11: Ich weiß gar nicht, wie die Firma heißt.

00:35:14: Aber was ich damit sagen wollte, die haben von Anfang an verstanden,

00:35:19: dass Cyber Security der wichtigste Bestandteil ist, um unser Land zu sichern

00:35:24: und investieren massiv in Ausbildung.

00:35:28: Und das sehen wir eben halt hier in Deutschland, wo wir eben halt dasselbe Thema haben.

00:35:35: Wir haben auch kritische Infrastruktur, die angegriffen wird.

00:35:37: Wir haben aber im Verhältnis nicht diese massive Ausbildung,

00:35:41: wie es jetzt beispielsweise in Israel ist.

00:35:45: Ja, absolut richtig. Habe ich auch schon ein paar Mal jetzt festgestellt,

00:35:49: eben bei uns in der Microsoft-Bubble.

00:35:51: Die haben ja auch CyberX übernommen mehr oder weniger oder dazu gekauft und

00:35:55: diese ganzen Defender-Themen oder viele davon kommen eben ja auch aus diesem

00:35:59: Microsoft-Standort in Israel.

00:36:00: Also da ist ein unglaubliches Know-how vorhanden. Das ist wirklich spannend.

00:36:06: Ja, es ist erschreckend, was da so mittlerweile möglich ist.

00:36:10: Jetzt gibt es aber so Plattformen zum Beispiel eben auch wie Shodan.

00:36:15: Bist du der Meinung, dass Shodan eher ein Werkzeug ist, um selber zu gucken,

00:36:19: ob man vielleicht irgendwie nach außen aus versehen Systeme freigemacht hat

00:36:24: oder animiert das eher die Angreifer dazu,

00:36:27: diesen zentralen Anlaufpunkt, also dieses.

00:36:33: Schadsoftware, Google für OT-Systeme halt auszunutzen, dass ich halt noch schneller

00:36:38: an den Punkt komme, ein System zu finden, was verwundbar ist.

00:36:41: Also ich muss sagen, zum Glück hat sich Shodan in eine gute Richtung entwickelt.

00:36:47: Am Anfang war es wirklich so für mich, oh scheiße, da kriegst du einfach so

00:36:52: viele Informationen von so vielen Firmen, die einfach das gar nicht wussten.

00:36:58: Inzwischen ist Shodan voll mit entsprechenden Honeypots.

00:37:02: Das heißt, 90 Prozent der Anzeigen, die du da in Shodan findest, sind Honeypots.

00:37:07: Um von Firmen, wir selber haben da auch Handipods, um mit Analysen zu fahren.

00:37:13: Aber am Anfang war es wirklich so, dass du erschreckenderweise sehen konntest,

00:37:18: wie viele Systeme einfach online ohne Sicherheitsmechanismen waren.

00:37:23: Und das Erschreckende dabei ist, ich habe das dann immer gerne in Live-Hackings,

00:37:27: gemacht oder auch zwischendurch mal durchgegangen und geguckt,

00:37:32: findet man Unternehmen, in dem man einfach mal helfen kann.

00:37:36: Rate mal, was passiert, wenn du so ein Unternehmen findest. Ich habe zum Beispiel

00:37:40: mal eine Kommune gefunden, die haben ein neues Heizkraftwerk gehabt.

00:37:44: Das war online, ich konnte alles einstellen.

00:37:47: Was war die Reaktion von der Kommune, als ich da angerufen habe und gesagt habe,

00:37:50: pass auf, ich habe euer System online gefunden?

00:37:52: Ich kenne diese Reaktion, weil die bei uns auch öfters mal vorkommt,

00:37:55: wenn wir aktiv mal bei unseren Kunden gucken.

00:37:58: Was fällt ihnen ein und warum haben sie das gemacht? Und ich zeige sie an.

00:38:02: Absolut richtig. Ist doch absolut gestört.

00:38:07: Die Kommune hat mich angezeigt. Ich hab ne Anzeige bekommen,

00:38:11: auch ein Ermittlungsverfahren, das natürlich eingestellt worden ist.

00:38:15: Aber auch da war es spaßig, mit der Polizistin drüber zu sprechen,

00:38:19: was Schodan ist und wie Schodan funktioniert usw.

00:38:22: Aber anstatt diese Hilfe anzunehmen, ich hab ja auch gesagt,

00:38:27: hey, pass auf, ich will mich jetzt hier nicht vermarkten, ich will euch helfen,

00:38:30: ich sehe hier ein Riesenproblem.

00:38:31: Es interessiert die Leute nicht, im Gegenteil, man muss erst mal sagen,

00:38:37: du hast jetzt was gemacht, erst mal muss ich dich jetzt verklagen und am Ende

00:38:42: ist mir das wichtiger als alles andere.

00:38:45: Und die spannende Frage, glaubst du, diese Kommune ist immer noch online oder

00:38:49: haben sie inzwischen sich offline genommen? Nee, die sind natürlich immer noch da.

00:38:54: Absolut und das ist eben halt so dieses Thema, wo ich ganz klar sage,

00:39:00: gerade im OT-Bereich, viele sehen dieses Security-Thema einfach nicht auf ihrem Schirm.

00:39:06: Ich kann das auch sagen aus meiner Erfahrung heraus, vor 5, 6 Jahren war dieses

00:39:11: Thema Cyber Security oder generell OT Security hier in Deutschland kein Thema,

00:39:17: wo wir drüber sprechen mussten.

00:39:18: Da war es dann immer so, wir sind abgeschottet, wir haben ein getrenntes Netzwerk,

00:39:23: wir brauchen das nicht hin und her und du hast hier in Deutschland damit nichts machen können.

00:39:28: Im Ausland, in Amerika und Co, ist das schon seit Jahren aktiv und auch ein sehr wichtiges Thema.

00:39:35: Aber in Deutschland hast du hier kein Pokal gewinnen können damit.

00:39:40: Was wäre denn dann deiner Meinung nach so rückblickend auf die letzten Jahre,

00:39:45: eigentlich so seit Corona, so 2019, 2020,

00:39:50: die Lesson Learned, die du für dich oder für deine Kunden am am meisten hervorheben würdest?

00:39:58: Also die Lessons learned, die ich mitnehmen würde, ist, dass man aus dieser

00:40:03: Bubble, wir sind ein getrenntes Netzwerk und in Anführungsstrichen sicher,

00:40:10: da sind alle raus inzwischen.

00:40:12: Es gibt auch nicht mehr die Bubble, in Anführungsstrichen, dass OT-Systeme aus,

00:40:18: dem Homeoffice betrieben werden können.

00:40:20: Also das war auch so ein spannendes Thema, gerade in der Corona-Zeit,

00:40:23: dass viele Unternehmen dann angefangen haben, ihre Leitstelle oder wichtige

00:40:28: Mitarbeiter ins Homeoffice zu schicken.

00:40:29: Und das ist natürlich auch eine nächste Angriffsgeschichte.

00:40:34: Was ich aber damit sagen kann, ist, dass gerade auch im OT-Bereich,

00:40:38: sicherlich kannst du es auch bestätigen bei IT-Bereich, dass wir andere Herausforderungen

00:40:43: haben, wie vor fünf Jahren, was Angriffe angeht.

00:40:46: Es geht eben halt nicht mehr darum, dass die große Hackergruppe uns angreift,

00:40:51: sondern Ich kann ein anderes Beispiel geben, wie ein Kunde, der entsprechend sehr viele.

00:40:59: Netze betreut und auch für Verteilung von Strom zuständig ist,

00:41:05: hat mich mal angerufen und hat gesagt, pass auf, Nico,

00:41:08: abends haben wir immer das Problem, dass unsere Leitstelle nicht arbeiten kann,

00:41:12: wir vermuten eine Ransomware, weil der Rechner so stark unter Last ist und wir

00:41:18: haben einfach nicht gefunden, woran das liegt, kannst du dir das mal anschauen.

00:41:22: Dann bin ich zu der Firma hingefahren und hab dann festgestellt,

00:41:25: dass der Mitarbeiter, der da in der Leitstelle sitzt,

00:41:28: abends Ist jemand auch langweilig Der

00:41:32: hat dann einfach gedacht naja das ist so ein leitstellenrechner der

00:41:35: hat power Dann mache ich doch einfach mal ein

00:41:38: bitcoin meiner drauf und als wir

00:41:41: den dann zur rede gestellt haben und gesagt

00:41:44: haben pass auf Ist das vielleicht nicht so eine gute idee

00:41:47: so ein bitcoin meiner auf den leitschellenrechner drauf zu installieren Hat

00:41:50: er mich nur komisch angeguckt und hat gesagt ja ist doch nicht schlimm ich habe

00:41:54: doch nur die rechenleistung genutzt Aber dass in dem Moment das Unternehmen

00:41:58: 20 Prozent ihrer Produktivität verloren hat, das war dem gar nicht bewusst.

00:42:04: Und das ist auch das Thema, was ich sagen würde als Lessons Learned.

00:42:08: Wir müssen aufpassen, dass wir nicht immer nur den bösen Hacker in Russland sehen,

00:42:13: sondern es gibt einfach so viele Möglichkeiten für Mitarbeiter,

00:42:18: die keine Gehaltserhöhung bekommen haben Oder die den chef 1 auswischen wollen

00:42:22: durch videos auf youtube oder auch im darknet an wissen Ranz zu kommen dass

00:42:28: du eben halt nicht diese hecker brauchst

00:42:30: Das wird häufig unterschätzt, dass die die Leute nicht selber auch auf die Idee

00:42:35: kommen würden und ich habe es letztens auch in einem anderen Interview gesagt,

00:42:38: wenn man den Leuten die Anforderung stellt, ihr müsst jetzt Digitalisierung

00:42:43: machen, ihr müsst jetzt mit dem und dem Programm arbeiten, da gibt es einen

00:42:46: unglaublichen Widerstand.

00:42:48: Wenn ich den Leuten aber das Surfen z.B.

00:42:52: Aufgrund von einem Proxy verbiete, du wirst nicht glauben, oder na klar,

00:42:56: du glaubst es schon, weil du selber weißt, wie kreativ die Leute auf einmal

00:43:00: werden und dann wird auf einmal Google benutzt.

00:43:02: Man kann auf einmal auch richtig googeln und rausfinden, welche Registry Key

00:43:06: ist jetzt verantwortlich, um diese WPAT-Datei da rauszunehmen usw.

00:43:11: Also es ist, aber das, was du gerade erzählt hast, das haben wir auch bei einem

00:43:14: anderen Fall schon gehabt, wo auch dann tatsächlich die Internet-Performance,

00:43:17: nachts vor allem in dieser Firma komplett katastrophal war.

00:43:21: Ähnliches Beispiel hat sich herausgestellt, der Sicherheitsdienst,

00:43:25: der da vor Ort ist, der surft und streamt halt wie ein Großer und hat dann dazu

00:43:30: geführt, dass halt auf einmal Überwachungskamera-Bilder einfach gepixelt haben,

00:43:34: weil halt die Bandbreite nicht mehr da war.

00:43:37: Ja, ist sich aber vielleicht dann in dem Moment die Person gar nicht im Klaren

00:43:40: darüber, weil ja es geht ja, mein Netflix funktioniert Und was soll schon passieren,

00:43:44: dass sich natürlich die anderen Systeme auch diese Leitung teilen,

00:43:47: die er gerade komplett zumacht mit seinem Streaming.

00:43:50: Ja, das hat er halt nicht auf dem Schirm.

00:43:53: Wie wird denn das weitergehen, Nico? Was glaubst du, wie entwickeln wir uns

00:43:57: in dem ganzen Security-Bereich.

00:43:59: Oder auch in dem allgemeinen Entwicklung, in der wir uns gerade so befinden,

00:44:04: weiter? Was passiert die nächsten Jahre?

00:44:07: Also ich glaube, wir werden vor einer Welle stehen von vielen KI-basierten Dingen.

00:44:12: Also man sieht es ja jetzt schon, gefühlt, Chat-GPT, andere Systeme werden ja

00:44:18: für solche Dinge zweckempfremdet.

00:44:21: Und jeder Security-Hersteller schreibt auf seinem Produkt KI,

00:44:25: obwohl das eigentlich schon seit Jahren auch ohne KI funktioniert und es auch keine richtige KI ist.

00:44:31: Also dieser Trend KI wird weiterhin groß werden.

00:44:35: Und ich glaube auch, dass der Trend gerade im OT-Bereich auch weiterhin so werden wird,

00:44:41: weg von einer getrennten Welt hin zu einer Mixstruktur zwischen IT und OT,

00:44:47: eben halt IOT oder IIOT, wie man es auch mal nennen möchte.

00:44:52: Und das hat dann natürlich die Herausforderung, diese beiden Welten auch in

00:44:57: Bezug auf Security zusammenzubringen, weil die haben eben halt grundlegende

00:45:03: Ansätze, die anders sind.

00:45:06: Und du kannst viel von der IT lernen, aber auch viel von der OT lernen.

00:45:12: Und ich glaube, dass was da am wichtigsten ist, die menschliche Komponente nicht zu vergessen.

00:45:19: Also, ich sage es immer wieder in Firmen, die so eine Transformation starten

00:45:24: oder jetzt loslegen, vergiss die Menschen nicht.

00:45:27: Da gibt es so ein auch so simples Beispiel. Großer, in Anführungsstrichen.

00:45:33: Lebensmittelhändler hat mal auf SAP umgestellt für mehrere Millionen und drei

00:45:38: Wochen später hat er dann wieder zurück migriert auf sein IT-System,

00:45:42: weil die Mitarbeiter nicht mitgegangen sind.

00:45:44: Er hat zwar Schulungen angeboten und so weiter und so fort, aber die Mitarbeiter

00:45:48: sind einfach überrumpelt geworden und für den Hersteller war es dann günstiger

00:45:51: für mehrere Millionen wieder zurückzugehen, anstatt zu sagen,

00:45:55: wir ziehen das jetzt durch.

00:45:56: Und das ist so ein Thema, was ich immer wieder im OT-Bereich sehe,

00:46:00: das sind eben Leute, die arbeiten jahrelang mit dem System,

00:46:04: jahrelang mit ihrer Technik und in Anführungsstrichen können sie das aus dem

00:46:09: FF und müssen jetzt aber in dieser Digitalisierungsbubble zusammen mit der IT an einem Strang ziehen.

00:46:16: Und das funktioniert nur, wenn man die abholt und gemeinsam an einer Lösung

00:46:21: arbeitet und nicht gegeneinander.

00:46:24: Ja, das glaube ich auch. Und das haben wir auch selbst gesehen,

00:46:27: gerade durch Corona, viele Dinge mit der heißen Nadel irgendwie eingeführt.

00:46:32: Jetzt wird damit halt weitergearbeitet. Vielleicht hat man auch seine Lücken

00:46:36: geschlossen, so ein bisschen.

00:46:38: Aber ich erlebe immer wieder, gerade jetzt so in dem normalen Office-Alltag.

00:46:43: Die Leute wissen gar nicht, was die Sachen alle können.

00:46:46: Und dann guckst du dir das an und sagst, ja, mach doch das so und so.

00:46:50: Ach so, das geht? dann sage ich, ja, aber ihr zahlt ja schon seit drei Jahren für das System.

00:46:55: Ja, das hat uns noch keiner gesagt. Das ist genau, wie du richtig jetzt gerade

00:46:58: das gesagt hast, das große Problem.

00:47:01: Die Transformation muss auch bei Menschen ankommen, weil ansonsten ist es eigentlich

00:47:05: auch wieder Geldverschwendung aus Sicht des Unternehmens.

00:47:09: Absolut und was ich dazu auch noch

00:47:11: sagen kann wir müssen diese scheuklappen ablegen zu sagen der eine macht nur

00:47:18: das der andere macht nur das was ich immer zu den kunden sage am ende habt ihr

00:47:23: ein gemeinsames ziel ihr wollt schaden vom unternehmen abwehren ihr wollt gemeinsam profitabel,

00:47:29: euer Business erweitern oder auch generell wachsen.

00:47:34: Der eine will das auf diesem Weg, der andere will das auf diesem Weg.

00:47:38: Aber diese Wege sind nicht in Anführungsstrichen unmöglich zusammen zu verbinden.

00:47:43: Nur der eine muss verstehen, was der eine möchte und der andere muss verstehen, was der andere möchte.

00:47:49: Und wenn man das geschafft hat, diese Welten auf einen Nenner zu bringen,

00:47:54: Nämlich der gemeinsame nenner wir wollen gemeinsam spaß haben gemeinsam größer

00:47:59: werden schaden vom unternehmen abwenden,

00:48:02: Dann funktioniert das genauso bin ich auch.

00:48:05: Kein fan mit angst zu drohen Dieses klassische thema was viele beratungshäuser

00:48:11: machen zu sagen hey wenn du jetzt nichts machst hast du morgen so und so viel

00:48:15: millionen euro schulen oder schaden Das bin ich nicht.

00:48:19: Ich sage immer zu meinen Kunden, ihr müsst das aus eigener Überzeugung machen

00:48:23: und nicht aus der Überzeugung, dass ihr so und so einen Schaden habt.

00:48:27: Natürlich gibt es auch Gesetze, die das entsprechend auch befürworten,

00:48:32: beziehungsweise auch verpflichtend machen.

00:48:34: Aber weg von diesem Thema. Ich mache das nur, weil ich Angst habe.

00:48:40: Der berühmte goldene USB-Stick auf dem Parkplatz, der innerhalb von einer Minute alles kaputt macht.

00:48:45: Ich hasse es auch. Ich hasse es absolut. Dieses Selling by Fear geht mir so richtig auf den Nerv.

00:48:50: Und das ist aber leider mittlerweile doch üblich geworden in unserer Branche,

00:48:55: dass das halt manche Unternehmen so tun.

00:48:57: Ich denke, so wie du auch und so wie viele andere aus unserer Bubble,

00:49:01: weil wir haben einen ähnlichen Bubble-Kreis, zumindest auf LinkedIn,

00:49:05: wir wollen ja eigentlich die Leute nur informieren.

00:49:07: Und das ist der Grund für unseren Podcast hier, für Blue Screen.

00:49:11: Das ist auch mit Sicherheit der Grund, warum Cyber Security Chefsache als Podcast gibt.

00:49:15: Wir wollen ja die Leute einfach nur informieren, weil du kommst halt nicht mehr

00:49:19: hinterher bei diesen ganzen Meldungen und es selber aufzubereiten,

00:49:22: macht mittlerweile, glaube ich, so viel Arbeit für jemanden,

00:49:25: der das nicht tagtäglich beruflich macht.

00:49:28: Und deswegen, ja, fand ich das jetzt auf jeden Fall mit Blick auf die Uhr eine

00:49:34: sehr schöne, fast etwas mehr als Dreiviertelstunde.

00:49:38: Ich könnte mich mit dir jetzt noch bestimmt zwei weitere Stunden unterhalten,

00:49:41: aber ich will es nicht überstrapazieren für unseren Hörerkreis,

00:49:47: wobei die Generation TikTok, die ist schon seit 40 Minuten weg und die Doom-Scrawler seit 20.

00:49:54: Nico, hast du denn vielleicht noch abschließend noch eine Botschaft für unser

00:49:59: Publikum, was du denen mitgeben möchtest?

00:50:01: Nicht vergessen, wir gehen auf Weihnachten zu, es ist jetzt dann bald Weihnachten,

00:50:06: irgendwie, vielleicht noch irgendeine Message.

00:50:09: Also du hast gerade schon gesagt,

00:50:12: achtet darauf, wie ihr entsprechend mit diesen ganzen Themen umgeht.

00:50:17: Seid offen dafür und lasst euch nicht verängstigen.

00:50:21: Das ganze Thema hat so viele Potenziale, die auch positiv sind und nicht immer alle negativ sind.

00:50:28: Und von daraus kann ich sagen, ich wünsche euch eine schöne Adventszeit.

00:50:32: Das ist sowieso das Allerwichtigste, Familie drumherum, das ist superschön.

00:50:37: Und das ist auch viel, viel wichtiger, als sich immer nur über das Security-Thema unterhalten.

00:50:43: Also von daher, ich wünsche einen eine schöne Adventszeit. Danke dir.

00:50:48: Das wünsche ich euch ebenfalls.

00:50:50: Wie gesagt, war die letzte Folge Blue Screen für dieses Jahr.

00:50:54: Habt wundervolle Weihnachtsferien.

00:50:56: Schaltet auch mal ab vielleicht und hört auf, euch dauernd den Kopf zu zerbrechen darüber.

00:51:01: Aber guckt trotzdem mal ein bisschen genauer hin, wenn ihr jetzt doch irgendwie

00:51:04: Mails lest. gerade die Weihnachtszeit, die Feiertage sind ein gefundenes Fressen

00:51:09: für jeden, der jetzt irgendwelche Mails noch durch die Gegend schickt,

00:51:13: wo vielleicht Shardcode dranhängt.

00:51:15: Also seid trotzdem weiterhin wachsam und dann würde ich sagen,

00:51:19: hören wir uns im Januar wieder.

00:51:21: Da erzähle ich euch dann, was wir in 2024 für euch so alles geplant haben.

00:51:26: Nico, es war mir ein Volksfest, mit dir dieses Interview zu haben und ich hoffe,

00:51:29: das war auch nicht das letzte Mal, dass wir jetzt bei uns gesprochen haben.

00:51:33: Und ja, auch dir dann. Genau, eine schöne Weihnachtszeit und bis zum nächsten Mal. Danke, bis dann.

00:51:41: Music.