059: Warum ist Cyber Security Chefsache, Nico Werner (All-in Digital & CloudCommand)?
Shownotes
Wir beginnen unsere Unterhaltung mit dem Thema OT, also Operation Technology. Ich frage Nico nach seiner Meinung zu diesem Thema und er erklärt, dass in der OT-Branche die Verfügbarkeit von Systemen höchste Priorität hat. Unternehmen sind stets darum bemüht, dass die Produktion nicht beeinträchtigt wird. Wir diskutieren auch die verschiedenen Sicherheitsstandards in verschiedenen Branchen, wie zum Beispiel die TISAX-Zertifizierung in der Automobilbranche.
Ein weiteres Thema unserer Diskussion ist der Unterschied zwischen Hersteller- und Händlersoftware. Ich erkläre, dass halb ausgereifte Software in Händlerbetrieben oft zu Problemen führt und regelmäßige Updates erforderlich sind. Dies wirft Fragen zur Zuverlässigkeit auf und wirft auch Fragen des Vertrauens auf, insbesondere im Zusammenhang mit der Elektronik in Fahrzeugen. Es ist wichtig, die Infrastruktur für die Digitalisierung sicher zu machen und das Thema Sicherheit ernst zu nehmen.
In unserer Diskussion über Sicherheitsmaßnahmen betonen wir die Bedeutung von Cyber Security auf höchster Managementebene. Es ist wichtig, dass das Management ein Commitment für Cybersecurity zeigt und die nötigen Ressourcen bereitstellt. Es geht nicht nur darum, Schaden zu verhindern oder Strafen zu vermeiden, sondern auch darum, dass Sicherheit und Datenschutz den Unternehmen helfen, ihre Möglichkeiten zu erweitern und angemessen auf verschiedene Situationen zu reagieren. Wir brauchen klare Vorgaben und Unterstützung von der Politik. Ein Beispiel dafür ist das IT-Sicherheitsgesetz 2.0, das trotz der Bedenken von Experten verabschiedet wurde.
Ein weiterer Teil unserer Unterhaltung dreht sich um die Sicherheit von OT-Systemen und die Herausforderungen beim Schutz solcher Systeme. Wir betonen, dass Verfügbarkeit im OT-Bereich das höchste Gut ist und dass es oft keine angemessene Dokumentation und Reglementierung bezüglich des Zugriffs auf die Anlagen gibt. Um die Kommunikation zwischen IT und OT einzuschränken, diskutieren wir Möglichkeiten wie Mikrosegmentierung und Datendioden. Wir erwähnen auch verschiedene Tools zur Angriffserkennung und diskutieren den Unterschied zwischen Angriffen und fehlerhaften Manipulationen. Der Impact von Angriffen im OT-Bereich wird als völlig anders als im IT-Bereich beschrieben, da hier oft wirtschaftliche und menschliche Schäden das Ziel sind.
Shownotes:
Nico´s Podcast: https://cybersecurity-ist-chefsache.letscast.fm/
Nico auf LinkedIn: https://www.linkedin.com/in/nicowerner/
Hier geht es zu unserem YouTube-Kanal: https://www.youtube.com/channel/UCkPnYr1V6hbAXjVnLf1_8tg
Über die folgenden Wege könnt ihr euch mit Alex vernetzen:
E-Mail: a.karls@pegasus-gmbh.de
LinkedIn: https://www.linkedin.com/in/alexander-karls-931685139/
Xing: https://www.xing.com/profile/Alexander_Karls/
Ihr habt eine Frage oder benötigt Unterstützung? Dann bucht Alex doch am besten gleich direkt für eine kostenlose Erst-Beratung: https://outlook.office365.com/owa/calendar/pegasusGmbH@pegasus-gmbh.de/bookings/s/JNgw3gpy60qxL3GTo69SvA2
Folgt uns auch auf unseren anderen Social Media Profilen: https://www.pegasus-gmbh.de/social-media/
Transkript anzeigen
00:00:03: Blue Screen, der Tech-Podcast. Ja, hi und herzlich willkommen zur letzten Interview-Folge,
00:00:09: dieses Jahr von Blue Screen.
00:00:11: Und nachdem wir letztes Jahr ja auch mit einem besonderen Gast und mit einem
00:00:16: tollen Interview geschlossen haben, habe ich mir gedacht, Mensch,
00:00:18: das könnten wir dieses Jahr gleich nochmal machen und habe mir den Nico Werner
00:00:23: heute eingeladen. Hi Nico.
00:00:26: Moin. Hi, der Niko Werner ist selber auch Podcaster, hat einen ganz fantastischen
00:00:31: Podcast, Cyber Security ist Chefsache, den ihr euch bitte nach dieser Folge
00:00:34: erst anhört, jetzt nicht direkt rüberspringen.
00:00:37: Könnt ihr auch unten in den Shownotes dann sehen. Und ja, der Niko macht aber
00:00:41: nicht nur Podcasts, sondern die Themen bei ihm beschäftigen sich natürlich,
00:00:46: wie auch bei mir, mit IT, aber auch mit OT und Industrie 4.0 und solchen Geschichten.
00:00:50: Und da ich das selber super spannend finde, mich da aber nicht wirklich auskenne,
00:00:54: habe ich mir gedacht, Das wäre doch nochmal ein tolles Thema zum Jahresende.
00:00:58: Und deswegen, ja Nico, stell dich doch mal kurz vielleicht selber vor und erzähl
00:01:02: uns mal, was du da so genau alles machst.
00:01:05: Ja, das mache ich sehr gerne. Erstmal vielen Dank, dass ich hier bei deinem
00:01:08: Podcast mit dabei sein darf.
00:01:10: Ich bin seit über zehn Jahren in dem Bereich Cyber Security aktiv,
00:01:16: habe mal angefangen, klassisch mit einer Ausbildung als Fachinformatiker,
00:01:20: bin dann ziemlich schnell in das Thema Produktionssicherheit gekommen durch die Audi AG,
00:01:26: wo ich eben halt schon das Thema auf den Tisch bekommen habe,
00:01:29: wie kann ich denn Legacy Systeme absichern,
00:01:33: denn wenn wir von OT sprechen, reden wir meistens von Systeme,
00:01:37: die 20, 30, 40 oder 50 Jahre in einem Unternehmen sein müssen,
00:01:42: weil sie eben halt auch eine Million oder zwei Millionen Anschaffung kosten
00:01:45: und das ist eben halt im Verhältnis zu IT ein ganz anderes Thema,
00:01:51: auch wie man damit umgeht und so ist eben hat meine Geschichte angefangen über die Audi AG,
00:01:58: dann über verschiedene andere Firmen, habe auch ein paar Startups in dem Bereich
00:02:02: mit aufgebaut und fühle mich deswegen ganz gut in diesem Thema IT vs.
00:02:08: OT in Verbindung mit dem Management oder wie ich dazu immer nett sage,
00:02:14: ich muss erst mal Kindergärtner spielen zwischen IT, OT und dem Management,
00:02:19: um die eben halt in Anführungsstrichen auf eine Ebene zu bringen.
00:02:24: Ja, danke. Da sind wir tatsächlich direkt schon im Thema drin.
00:02:28: Also ich meine OT ist natürlich für uns auch ein Begriff, aber wir sind halt
00:02:33: da so ähnlich wie auch unsere Kunden in vielen Bereichen aufgestellt.
00:02:37: Wir verstehen, was Clientsysteme sind, wir verstehen auch Server,
00:02:41: wir verstehen Netzwerke, aber wir haben natürlich auch Kunden, die Produktion haben.
00:02:46: Und es gibt ja da verschiedene Mittel und Wege jetzt auch zum Beispiel,
00:02:51: muss ich sagen, aus unserem Portfolio mit Microsoft, mit dem Defender for IoT,
00:02:55: den wir da jetzt auch schon ein paar mal ausgebracht haben, aber die Schwierigkeit
00:02:59: ist, selbst wenn dir eine Lösung sagt, Mensch in deinem OT-Netzwerk sind Dinge,
00:03:05: wir können ja nur den Kunden darüber informieren, oder der Kunde sieht es dann
00:03:09: selber, wenn er das selbst managt, aber wirklich lösen ist natürlich dann noch
00:03:13: mal eine ganz andere Geschichte.
00:03:14: Wenn jetzt da irgendwelche SCADA-Systeme oder sonst irgendwas ist,
00:03:18: keine Ahnung, eine Steuereinheit meldet hier verdächtigen Datentraffic oder
00:03:24: Logins zu ungewöhnlichen Uhrzeiten, ist für uns natürlich eine absolute Blackbox.
00:03:28: Wie gehst du denn damit um?
00:03:31: Ich glaube, einen Grundsatz muss man so ein bisschen aus der OT verstehen.
00:03:36: In der OT heißt ist don't touch a running system.
00:03:41: Das bedeutet, dass für einen Betreiber, sagen wir ein Kraftwerk oder ein Automobilhersteller
00:03:49: zählt die Verfügbarkeit als höchstes Gut.
00:03:53: Er muss Autos produzieren oder er muss Strom produzieren, er muss Strom weiterleiten.
00:03:58: Das heißt solche Unternehmen müssen immer gucken, wenn ich jetzt entsprechend
00:04:03: zum Beispiel einen Angriff habe, wie meine Sachen sind zum Beispiel verschlüsselt,
00:04:09: hat das einen Impact auf meine Produktionen.
00:04:13: Und deswegen sind die Herausforderungen gerade im OT-Bereich nicht immer,
00:04:18: wie gehe ich mit dem Thema um, sondern wie kann ich die Produktion gewährleisten.
00:04:24: Ich gebe dazu mal ein ganz simples Beispiel, wo jetzt alle den Kopf in Anführungsstrichen
00:04:29: gegen eine Wand schlagen würden.
00:04:31: Es gibt einen Automobilhersteller in Deutschland, der kämpft heute noch mit WonderQui. Warum?
00:04:37: Weil für den Automobilhersteller ist es günstiger, ein Team zu haben, was 24-7.
00:04:44: Durch den Konzern läuft und eben halt WannaCry hinterher läuft und das entsprechend wieder bearbeitet,
00:04:50: dass die Systeme funktionieren, anstatt einmal jetzt Cut zu machen und zu sagen,
00:04:55: pass auf, wir machen jetzt alles neu oder wir schauen mal, wie wir es eindämmen können,
00:05:00: lassen die die Produktion beiseite, das geht eben halt nicht.
00:05:04: Und deswegen bedeutet, wenn wir über Security sprechen bei OT,
00:05:08: dass wir wegkommen müssen von diesen Gedanken Security as a Function,
00:05:13: also sprich, wir haben eben halt in irgendeiner Form ein Device,
00:05:16: eine Firewall, was auch immer, was mir Security bietet, hin zu Security by Design.
00:05:22: Also wie können wir, wenn wir ein System kaufen, schon bei der Implementierung
00:05:27: darauf achten, wie können wir es sicher gestalten? Ja, ich gebe dir da recht.
00:05:32: Ich meine, ich habe in meiner beruflichen Vergangenheit auch mit Automotive
00:05:35: zu tun gehabt, allerdings eher dann am Outlet.
00:05:38: Und ich finde es halt immer interessant, wenn man mal sieht,
00:05:42: wie viel unterschiedlichem Maß hier gemessen wird.
00:05:45: Auf der einen Seite, wir haben Kunden, die sind TSACs zertifiziert oder auf dem Weg dorthin.
00:05:50: Das heißt, die werden wirklich richtig in diese ganze SMS-Kiste reingepresst.
00:05:54: Vom Hersteller, für den sie liefern, aber auf der Abflussseite hinten raus beim
00:06:00: Händler, da sieht die Welt komplett anders aus.
00:06:03: Also du wirst halt im Prinzip tagtäglich mit halb ausgereifter Software dann
00:06:07: auch bedient, da wird dann auch ganz viel gejammert, das funktionieren dann Sachen nicht.
00:06:14: Dazwischen ist dann noch der Hersteller selbst, der dann sowas tut,
00:06:17: wie du es gerade beschrieben hast.
00:06:19: Anstatt es einmal richtig zu machen, einfach aus Rentabilitätsgründen zu sagen,
00:06:24: ich leiste mir lieber ein Team, was permanent rumpatcht, weil das ist billiger,
00:06:29: als wenn ich es einmal richtig mache.
00:06:31: Führt natürlich aber auch zu der Frage des Vertrauens, weil,
00:06:35: seien wir mal ehrlich, die Autos sind ja heute weitaus mehr als ein Motor und
00:06:41: eine Achse und Reifen und Blech, sondern da steckt ja auch eine Menge Elektronik drin.
00:06:46: Und ich sage mal, gerade da ist es natürlich dann auch interessant.
00:06:48: Ich will ja eigentlich sicherstellen, auch mal aus Sicht des Lieferkettengesetzes,
00:06:53: dass das, was am Ende beim Kunden ankommt, dann auch sicher ist.
00:06:57: Wenn ich aber bei meinem eigenen Fahrzeug schon sehe, wie oft,
00:07:00: wenn irgendwas nicht geht, in die Werkstatt gefahren wird, dann staunen alle den Laptop an.
00:07:04: Dann gibt es vielleicht noch eine geführte Fehlersuche von irgendjemandem,
00:07:08: der irgendwo remote dann beim Hersteller sitzt und am Ende wird ein Update installiert
00:07:12: mit der Hoffnung, dass es dann vielleicht, hoffentlich jetzt geht.
00:07:16: Also das ist natürlich echt ein schwieriges, schwierige Konstellation.
00:07:20: Ja und ich glaube, wo wir ein Auge drauf haben müssen, ist diese Vermischung der beiden Welten.
00:07:26: Ich meine, wir reden jetzt gerade über OT.
00:07:29: Das, was du gerade gesagt hast, ist eher so IOT oder IIOT.
00:07:34: So gibt es ja viele schöne Best Words, die das
00:07:37: ganze beschreiben und ich glaube auch
00:07:40: das ist das was meinen job in den letzten jahren so
00:07:43: anspruchsvoll gemacht hat weil wir wegkommen von
00:07:47: klassischen it welten oder klassischen ot welten hin zu mix infrastrukturen
00:07:53: und gerade in dieser mix infrastruktur muss ich eben halt schauen dass ich sowohl
00:08:00: natürlich die schutzziele aus der it aber auch die schutzziele aus der zusammenbringe.
00:08:06: Und ich glaube da ist auch aktuell so das riesen Problem auf dem Markt in Anführungsstrichen,
00:08:12: weil wir wollen die Digitalisierung, wir wollen Industrie 4.0, wir wollen Vernetzung.
00:08:18: Allem drum dran, mit allem was da funktioniert.
00:08:22: Gibt so einen schönen Satz von unserer damaligen Bundeskanzlerin,
00:08:26: die gesagt hat, alles was digitalisiert wird, muss auch digitalisiert werden
00:08:31: und damit meint sie wirklich alles.
00:08:33: Ich sage da ganz klar, wir müssen erstmal in Anführungsstrichen eine Infrastruktur
00:08:38: schaffen, um eine Digitalisierung hinzubekommen.
00:08:41: Man darf es abgesehen, aber es bedeutet natürlich auch in Bezug auf die Security,
00:08:46: dass wir ganz anders denken müssen.
00:08:48: Wir müssen eben halt schauen, wie können wir solche Systeme auch in 20,
00:08:53: 30 Jahren noch sicher gestalten.
00:08:56: Absolut. Sieht man jetzt ja auch bei dem aktuellen Hype rund um KI.
00:09:01: Also jetzt ist mittlerweile jedes Produkt, schreibt irgendwie der Hersteller
00:09:05: jetzt auch KI unterstützt drauf, egal was das ist, weil es halt gerade im Moment
00:09:09: einfach ein absolutes Trendthema ist.
00:09:12: Auf der anderen Seite sehe ich aber tagtäglich die Meldungen,
00:09:15: wen es wieder erwischt hat und auch vor allem, warum es denjenigen dann erwischt
00:09:19: hat. Das sind halt alles solche Low-Level-Themen eigentlich.
00:09:23: Die ganz anders hätten angegangen werden sollen.
00:09:26: Und ich denk mir dann immer, auf der einen Seite wollen wir zum Mars fliegen,
00:09:29: aber wir kriegen's ja nicht mal hin, unser Auto aus der Garage zu fahren.
00:09:32: Also das ist wirklich ein absolut großer Gap.
00:09:35: Und ich glaub, das wird auch in den nächsten Jahren mit Sicherheit nicht besser.
00:09:40: Ja, und ich glaube, dazu gehört auch noch so ein bisschen dieses Thema,
00:09:44: wir alle reden über Privacy, ne? Keiner will irgendwie das Thema hier sehen bzw.
00:09:51: Meckert über Facebook, Whatsapp, was auch immer. Aber an sich müssen wir eben
00:09:56: halt schauen, wenn wir Digitalisierung wollen, müssen wir ein Stück weit Transparenz werden.
00:10:02: Und ich glaube, das ist auch so ein Problem, was ich immer wieder auch bei den Kunden habe.
00:10:08: Du willst das eine, aber willst nicht auf das andere verzichten.
00:10:11: Und das ist so diese waage zwischen usability
00:10:15: und security die ganz häufig falsch so läuft
00:10:18: weil Dann passiert so was jemand wird
00:10:21: gehackt oder in anführungsstrichen es gibt einen
00:10:24: schaden Und dann heißt es immer so großmögliche sicherheit aber man vergisst
00:10:29: dann eben halt die usability weil es muss auch leute geben die das anwenden
00:10:32: Und das ist dann so ein bisschen das was man im markt auch sieht da passieren
00:10:38: die meisten fehler denn wenn ich hochmögliche.
00:10:42: Sicherheitsmechanismen habe,
00:10:44: keine Ahnung, 15 Passwörter, zwei Faktor und hast du nicht gesehen,
00:10:49: dann überlegt sich eben halt der Mitarbeiter, wie kann ich das Ganze umgehen?
00:10:53: Und das ist eben halt dann nicht mehr für Security.
00:10:58: Und ich glaube, wir müssen eben halt, du hast auch angesprochen mit dem Thema,
00:11:03: wir müssen mal das Basement schaffen oder das Fundament dafür schaffen.
00:11:08: Und wenn ich immer wieder sehe, dass die nächste Kommune angegriffen worden
00:11:14: ist, die nächste Gemeinde,
00:11:16: dann muss ich einfach sagen als Experte, da muss eben halt auch mal was passieren,
00:11:20: dass man sieht, was für ein Impact das haben kann, wenn wieder die nächste Kommune
00:11:26: oder die nächste Gemeinde angegriffen wird.
00:11:28: Und wie, in Anführungsstrichen, hilflos die auch sind.
00:11:32: Weil eins kann ich euch sagen, das was viele denken, dass das BSI im Hintergrund
00:11:37: steht oder wer auch immer und in Anführungsstrichen das Schild dahin stellt
00:11:42: und sagt, ihr seid jetzt sicher und wir helfen euch.
00:11:46: Tut mir leid, das ist eher Glaube und da müssen wir eben halt gucken,
00:11:52: wie wir gerade an diesen Themen einfach besser werden.
00:11:56: Absolut, ja. Ich habe es mir auch gedacht, jetzt gab es ja diesen Podcast vom MDR, You Are Fucked,
00:12:03: und wenn man sich das mal anhört, was da in Anhalt Bitterfeld damals passiert
00:12:06: ist, denkt man, naja gut, ist
00:12:09: jetzt aufbereitet worden, sollte ja jetzt eigentlich nicht mehr passieren.
00:12:12: Puff, jetzt erst im November oder fast im Oktober schon, Südwestfalen IT, ja.
00:12:18: Ist natürlich interessant, wenn man dann auf einmal auch liest,
00:12:21: dass manche Gemeinden nicht mehr in der Lage sind, irgendwie ihre eigenen Rechnungen
00:12:27: zu bezahlen, weil sie gerade im Moment keine Gewerbesteuer einfordern können.
00:12:30: Das heißt, mit so einem Kleinigkeitsangriff eigentlich, da kommt so ein unglaubliches
00:12:36: Kartenhaus auf einmal in Bewegung.
00:12:38: Auf der anderen Seite, ja, wir versuchen natürlich durch so Sachen wie NIST
00:12:44: 2, auch jetzt international, ja, also die USA fangen jetzt an Unternehmen zu
00:12:48: verklagen, dann geht irgendwie der CISO vielleicht in den Knast,
00:12:51: Australien macht das gleiche jetzt auch nach,
00:12:53: aber das ändert ja immer noch nichts daran.
00:12:56: Es gibt Unternehmen, die können und wollen nicht investieren,
00:12:59: wir haben einen unglaublichen Fachkräftemangel.
00:13:02: Und ja, dann kommt noch das dazu, was wir jetzt gerade gesagt haben.
00:13:05: Wie kann man das denn vernünftig lösen? Was wäre denn ein Lösungsvorschlag?
00:13:11: Also ich glaube, der wichtigste Lösungsvorschlag an der ganzen Thema ist mein
00:13:16: Hauptmotto, Cyber Security ist Chefsache.
00:13:19: Es muss einfach von oben herab kommen. Es darf nicht von unten herab sein.
00:13:24: Dein IT-Leiter, dein Sicherheitsverantwortlicher, der braucht deinen Management-Commitment.
00:13:30: Der muss die Möglichkeiten bekommen, die entsprechenden Ressourcen bekommen,
00:13:36: auch was umsetzen zu können.
00:13:38: Und nicht nur, weil wenn ich jetzt nicht was umsetze, dass ich jetzt der Nächste
00:13:43: bin und so und so viele Millionen Schaden haben, sondern die Leute müssen lernen,
00:13:47: dass Security oder Informationssicherheit, Datenschutz, das Ganze,
00:13:51: was dazu gehört, nicht nur dafür da ist, um euch zu gängeln,
00:13:55: damit ihr nicht angegriffen werdet oder die nächste Strafzahlung bekommt,
00:13:59: sondern dass das Ganze euch auch hilft.
00:14:02: Ihr habt damit mehr Möglichkeiten, ihr habt mehr Qualitätsmanagement,
00:14:06: ihr habt mehr Möglichkeiten auch entsprechend auf Dinge zu reagieren.
00:14:10: Das heißt, für mich ist ganz wichtig, dieses Statement, das muss kommen.
00:14:16: Und dann, ganz klar, brauchen wir eben halt auch Vorgaben, die wirklich in Anführungsstrichen
00:14:22: umsetzbar beziehungsweise sinnvoll sind.
00:14:25: Ich gebe da nur das Beispiel Anhörung IT-Sicherheitsgesetz 2.0 hier in Deutschland.
00:14:31: Ich habe mich als Security-Mensch geschämt. Da sitzen Fachleute,
00:14:37: Experten, die schreiben Briefe, wirklich richtig viel Aufwand ist da rein geflossen,
00:14:43: der Politik zu erklären, dass das so nicht funktioniert,
00:14:47: dass es so auch nicht umsetzbar ist.
00:14:49: Und am Ende stellt sich da ein gewisser Herr hin, dessen Namen ich jetzt nicht
00:14:53: erwähnen möchte, und sagt, wir sind auf einem guten Weg.
00:14:57: Ich habe gemerkt, wir haben so eine gute Diskussion gehabt, aber am Ende sind
00:15:00: wir, glaube ich, auf dem richtigen Weg. Und was passiert?
00:15:03: Das Gesetz kommt eins zu eins, wie es da besprochen worden ist.
00:15:07: Und da muss ich mir ganz ehrlich sagen, dann fehlt es mir einfach schon an Relevanz von der Politik heraus.
00:15:14: Und gerade wenn wir auf Gemeinden und Kommunen schauen, sage ich schon seit
00:15:18: Jahren, wir müssen wegkommen von diesem dezentralen Ansatz.
00:15:23: Jedes Bundesland macht das für sich selber oder jede Kommune macht das für sich
00:15:27: selber. eine Kommune ist kritische Infrastruktur, dann muss da auch entsprechend
00:15:34: was von oben kommen und es müssen auch Gelder bereitgestellt werden.
00:15:38: Das meine ich eben halt mit Ressourcen.
00:15:40: Ein Unternehmen muss Ressourcen zur Verfügung gestellt bekommen,
00:15:44: genauso muss das aber auch eine Gemeinde und Kommune.
00:15:47: Ich habe das hier zum Beispiel, ich unterstütze ehrenamtlich ein,
00:15:51: zwei Kommunen hier im Umkreis und die haben mir gesagt, pass auf Nico,
00:15:55: ich kriege kein Geld dafür.
00:15:57: Ich kriege Geld in Hardware, sei es eine Firewall oder eben halt ein Antivirus-System.
00:16:03: Aber in Ausbildung, in Weiterentwicklung, in Schulung, da ist kein Budget dafür da.
00:16:11: Und oh Wunder, die Schwachstelle ist nicht immer die Technik,
00:16:17: sondern Schwachstelle ist eine Kommunikation aus Technik, Menschen und die Prozesse drumherum.
00:16:25: Ja das stimmt auf jeden fall so, das schwierige ist halt auch und ich habe auch
00:16:30: die ein oder andere Verwaltung bei uns in der Kundschaft, wenn du dann halt auch hörst so,
00:16:35: naja ihr kriegt halt kein Personal weil ihr nicht marktgerecht bezahlt und dann
00:16:40: sage ich ja wieso könnt ihr denn nicht marktgerecht bezahlen,
00:16:42: dann sagt er wenn ich jetzt dich einstellen und ich gebe dir das,
00:16:46: was der normale freie Markt halt hergibt,
00:16:49: dann habe ich sofort eine Riesendiskussion, weil vielleicht eine eine Person,
00:16:53: die jetzt schon seit 20 Jahren im Passamt arbeitet,
00:16:56: natürlich nicht so viel kriegt, weil man da halt einfach nach einem Tarifvertrag
00:17:00: bezahlen muss und dann hast du sofort eine Riesendiskussion.
00:17:04: Das heißt, die Leute, die du vielleicht kriegen könntest, wenn du sie bezahlst,
00:17:07: die kannst du gar nicht einstellen.
00:17:09: Also, Konsequenz, werden Firmen gegründet und da gehen dann die Mitarbeiter
00:17:13: hin, damit man aus diesem Thema rauskommt. Das ist mal das erste Problem.
00:17:16: Geht aber dann weiter, ich gebe dir komplett recht, zentrale Verwaltung.
00:17:19: Es kann nicht sein, dass dieses Security- Thema oder IT allgemein,
00:17:23: egal ob das jetzt eine Gemeinde oder eine Stadtverwaltung ist,
00:17:26: immer Aufgabe dieser Stadt ist. Warum muss jeder das Rad neu erfinden?
00:17:30: Warum kann man das nicht auf Länder- oder Bundesebene einfach zentral halten.
00:17:35: Und das ist, glaube ich, auch das größte Problem.
00:17:38: Aber wir sind jetzt so ein bisschen abgeschweift. Wir wollten eigentlich ja
00:17:41: grundsätzlich über OT uns unterhalten.
00:17:45: Und da, glaube ich, müsste man vielleicht den ein oder anderen Zuhörer oder
00:17:50: Zuhörerin noch mal vielleicht abholen an der Stelle.
00:17:54: Wo ist denn der große Unterschied? Was ist bei IT anders als bei Das kann man ganz einfach sagen.
00:18:01: IT ist das, was wir jetzt hier gerade haben.
00:18:04: Wir haben einen Rechner, wir haben in irgendeiner Form ein Klein,
00:18:09: das kann ein Notebook sein, ein Rechner, wir haben eine Serverinfrastruktur,
00:18:13: wir haben vielleicht einen E-Mail-Server.
00:18:16: Alles das, was Bürokommunikation ist, das ist IT.
00:18:21: OT sind Systeme, die prozessorganisiert arbeiten, das heißt ein Kraftwerk zum Beispiel.
00:18:29: Was ein System hat, um eben halt den Strom zu lenken, beziehungsweise zu transportieren,
00:18:36: das gibt es eben halt gewisse Komponenten, man sagt dazu immer messen,
00:18:42: steuern, regeln, das sind so die Hauptbegriffe, die man da kennt,
00:18:47: alles was da drunter fällt, gehört eben halt in den OT Bereich rein.
00:18:51: Das heißt OT sind Produktionsanlagen, Anlagen die einen Prozess beinhalten,
00:18:58: zum Beispiel Stromherstellung,
00:19:00: Wasser, Pumpen werden angesteuert, der Gasdruck wird geregelt,
00:19:05: das sind so klassische Beispiele,
00:19:07: aber auch Leittechnik.
00:19:09: Also wenn ich jetzt zum Beispiel für die Autobahn in der Leitstelle sitze,
00:19:15: wo dann zum Beispiel diese Schildertafeln, die über den Autobahn hängen,
00:19:19: gesteuert werden, ist das auch OT, weil das sind Systeme, dahinter liegt ein Prozess,
00:19:25: dahinter liegt in irgendeiner Form eine Schnittstelle, die dann auf die Systeme
00:19:30: zugreift und die können dann eben halt gesteuert werden.
00:19:33: Und im Verhältnis zur IT und OT kann man ganz klar sagen, dass die Schutzziele
00:19:40: eine ganz andere Geschichte sind.
00:19:43: Weil bei der IT geht es dir nicht um Verfügbarkeit. Wenn jetzt mal dein Rechner
00:19:48: nicht funktioniert oder deine E-Mail nicht funktioniert, dann ist das so.
00:19:51: Aber wenn ich jetzt mal zum Beispiel in einem Kraftwerk keinen Strom produzieren
00:19:55: kann oder auch im Wasserkraftwerk entsprechend keine Pumpen funktionieren,
00:19:59: dann habe ich einen riesen Impact. Das heißt, OT kann man sich merken,
00:20:03: Verfügbarkeit ist das höchste Gut.
00:20:05: Ich hatte es schon am Beispiel gebracht, dass du in vielen Unternehmen im OT-Bereich,
00:20:11: lieber eine Schwachstellen oder einen Angriff lässt, damit dein System funktioniert,
00:20:19: anstatt es eben halt abzuschalten.
00:20:22: Während du in der IT erstmal alles runterfahren würdest, sichern würdest und
00:20:26: eben halt gucken würdest, wie gehst du damit um.
00:20:28: Und der andere Punkt ist bei OT, du hast eben halt Systeme, wie jetzt zum Beispiel
00:20:34: so ein Roboter, der von KUKA kommt, der ein Auto zusammenschweißt oder hält.
00:20:40: Das kostet eben halt auch mal eine Million oder zwei Millionen oder fünf Millionen.
00:20:45: Das heißt, diese Systeme sind aufgrund der,
00:20:49: Kostenstrukturen für 20, 30, 40, 50 Jahre im Einsatz und müssen natürlich dann
00:20:55: auch 20, 30, 40, 50 Jahre auch sicher sein und das ist immer die große Herausforderung im OT-Bereich.
00:21:04: Da wirft sich bei mir die Frage auf, 30, 40, 50 Jahre.
00:21:10: Ist denn das in irgendeiner Form sichergestellt von den Herstellern,
00:21:14: dass dann auch noch jemand das betreuen kann, weil der Kunde wird es ja kaum selber können?
00:21:19: Ja, das ist ein Riesenthema im OT-Bereich, wo wir auch immer bei den Kunden
00:21:24: in Anführungsstrichen sensibilisieren und sagen, das ist ein wichtiges Thema.
00:21:30: Das Thema Dokumentation im OT-Bereich ist ein Riesenthema.
00:21:35: Es gibt meistens Leute, die die Anlage bedienen können.
00:21:38: Das heißt, sie können das System drumherum, zum Beispiel eine Siemens SPS,
00:21:43: können die ganz einfach programmieren, bedienen, aber das können die nur.
00:21:47: Die sind nicht wie ITler, in Anführungsstrichen, die das große Ganze kennen,
00:21:52: die ein Netzwerkverständnis haben, die ein Securityverständnis haben und so
00:21:56: weiter und so fort, sondern die haben nur das Verständnis für die Anlage.
00:22:00: Und wenn diese Person wegfällt und es auch keinen entsprechenden Nachwuchs gibt
00:22:05: oder das Wissen weitergegeben wird, haben wir häufig Firmen,
00:22:08: die genau an diesen Punkt ins Schlingern gekommen.
00:22:10: Ja, das muss man, glaube ich, heute mehr denn je mit allen Produkten,
00:22:15: die man einführt, immer wieder auf dem Schirm haben, auch diese Exit-Strategie zu haben.
00:22:21: Was ist, wenn das irgendwann mal nicht mehr geht? Ich kenne es aus dem Telefonanlagen-Bereich,
00:22:25: vor allem, gerade ältere Systeme, hier noch diese Siemens HiPath zum Beispiel.
00:22:30: Da wurde damals das ganze Team wegverkauft, die diese Sachen programmieren können.
00:22:37: Wenn man Glück hat, kennt man ein Systemhaus, die das noch können,
00:22:40: weil sie die Leute damals übernommen haben.
00:22:42: Aber ansonsten, wenn du eine HypeHeart stehen hast, dann steht die halt irgendwann,
00:22:46: weil du kannst nichts mehr dazu bauen.
00:22:47: Es gibt auch keine Lizenzen mehr und du findest auch keinen,
00:22:49: der dir das Ding mehr programmieren kann.
00:22:51: Und das ist natürlich gerade in Richtung Investitionsschutz schon auch ein Thema,
00:22:56: weil die Sachen kosten ja alle Geld. Bin ich komplett bei dir.
00:22:59: Das, was uns schon jetzt ein paar Mal aufgefallen ist, es gibt Leute,
00:23:04: die ein bisschen mehr wissen in der Produktion ganz häufig, so diese Shopfloor-Heroes.
00:23:09: Und die kümmern sich halt um die Anlage weitestgehend.
00:23:15: Aber in vielen Firmen gibt es dann auch einen permanenten Remote-Zugang für,
00:23:20: den Hersteller, der sich dann hoffentlich um das System kümmert.
00:23:25: Was mir aber da ganz oft auffällt, das ist dann halt entweder irgendwie ein
00:23:27: LTE-gestütztes System oder 5G-gestützt, das heißt komplett unabhängig von meinem
00:23:32: Internetzugang oder das hängt halt einfach gepatcht irgendwie im Netzwerk und
00:23:37: unterhält sich nach außen.
00:23:38: Da guckt aber normalerweise halt kein Mensch drauf.
00:23:41: Ich denke, das wird wahrscheinlich auch ein ziemliches Schadens- und Risikopotenzial haben, oder?
00:23:47: Ja und du sprichst eigentlich genau den Wundenpunkt an.
00:23:51: Es gibt kaum Dokumentation außerhalb der Anlage.
00:23:54: Das heißt, wenn jetzt ein Hersteller einen Remote-Zugriff zu einer Anlage hat,
00:23:59: dann ist das meistens schlecht dokumentiert, gar nicht dokumentiert.
00:24:03: Auch der Zugriff auf die Anlage ist überhaupt nicht reglementiert,
00:24:08: weil wenn der in Anführungsstrichen ein Problem mit der Anlage hat,
00:24:11: Dann sagt er ihm halt in seinem Center bezeite in
00:24:14: seinem Callcenter Bescheid hier geht mal auf die Anlage drauf
00:24:17: und dann ist das so Und das ist ein
00:24:20: Riesenproblem gerade weil Eine Lüge möchte ich auch mal aufklären es gibt keine
00:24:28: getrennten Netze Es ist immer so dieser Irrglaube in vielen Köpfen IT und OT
00:24:34: sind getrennt gibt es nicht also jeder der euch erzählen will es gibt getrennte Netze,
00:24:40: Ich habe in meinem Leben noch nie ein richtig physikalisches getrenntes Netz gesehen.
00:24:47: Es gibt Techniken, wo man das entsprechend machen kann, zum Beispiel mit Datendioden,
00:24:52: die nur zu einer Seite kommunizieren können oder eben halt auch durch eine Mikrosegmentierung.
00:24:59: Aber in der Regel ist es so, dass eine OT-Anlage.
00:25:03: Immer in irgendeiner Form mit einer Komponente aus dem IT zusammenarbeitet,
00:25:08: sei es ein Management System, sei es eine Datenbank, sei es eine Oberfläche, wie auch immer.
00:25:14: Und was auch dazu kommt, dass du natürlich auch in irgendeiner Form,
00:25:19: wenn wir von Digitalisierung sprechen, auch mit den Daten aus einer OT,
00:25:24: also aus einer Anlage, etwas machen möchtest.
00:25:27: Und deswegen ist eine Trennung eigentlich fast unmöglich.
00:25:31: Was wir aber auch sehen,
00:25:33: Ist so ein bisschen eine eigenheit aktuell im ot
00:25:36: bereich dass viele firmen anfangen Parallel
00:25:40: infrastrukturen aufzubauen das heißt ein Klassischen
00:25:44: active directory server wo ich sozusagen eine benutzerverwaltung habe gab es
00:25:49: vor fünf jahren im oti bereich überhaupt nicht Das ändert sich aber gerade also
00:25:53: wir sehen den trend in den unternehmen
00:25:56: einfach parallel Infrastrukturen aufzubauen ich habe also eine it,
00:26:01: Ich habe jetzt eine OT-Domäne.
00:26:03: Ich habe einen OT-Datenbank-Server und so weiter und so fort,
00:26:07: um eben halt diese Trennung noch besser hinzubekommen.
00:26:10: Hat aber natürlich auch einen riesen Nachteil. Ich schaffe mir eben halt auch
00:26:14: mehr Infrastruktur, die ich überwachen bzw. steuern muss.
00:26:18: Ja, was uns auch schon ein paar Mal untergekommen ist, ist dann,
00:26:22: gerade wenn wir zum Beispiel eben Defender for IoT platzieren mit einem Sensor,
00:26:26: dass wir ganz häufig dann auch auf Zertifikate stoßen,
00:26:31: die halt zum einen viel zu kurz
00:26:34: sind und vor allem viel zu alt oder eine Laufzeit haben von 30 Jahren.
00:26:38: Das ist natürlich auch noch mal eine Riesennummer, weil man vielleicht vor 10
00:26:43: oder 20 Jahren, als man das eingeführt hat, noch überhaupt keinen Gedanken daran verschwendet hat,
00:26:48: dass so ein Zertifikat auf der einen Seite irgendwann mal zum Problem wird und
00:26:51: vor allem hat damals noch niemand über Quantencomputing gesprochen.
00:26:55: Es gab ja jetzt letztens den Fall, angeblich ein Professor aus den USA hatte das gepostet.
00:27:02: Es ging auch über LinkedIn und überall ist das mal kurz hochgekommen.
00:27:05: Hat übrigens, glaube ich, auch das BSI dazu veranlasst, diesen Bericht jetzt
00:27:09: zu veröffentlichen, der sich auch mit Quantencomputing beschäftigt.
00:27:13: Weil angeblich haben die es ja geschafft, einen RSA-2048-Bit-langen,
00:27:19: Schlüssel,
00:27:19: zu
00:27:20: Dekodieren. Und wenn das stimmen würde, Und bis jetzt habe ich noch keinen Beweis
00:27:24: dafür gesehen, dass das wirklich so ist.
00:27:26: Aber wenn das stimmen würde, dann wären halt auch jede Menge Systeme,
00:27:30: die direkt am Internet hängen, wie Webserver und so weiter, halt einfach sofort
00:27:34: mehr oder weniger einfach extrem gefährdet.
00:27:38: Auf der anderen Seite, was halt auch der Trend mittlerweile ist,
00:27:41: jetzt das Zertifikat nehmen und irgendwann entschlüsseln, weil es hat ja eine
00:27:45: Laufzeit von 30 Jahren, so lange ist es gültig.
00:27:47: Also save now, decrypt later und das ist, glaube ich, ja auch gerade in diesem
00:27:52: OT-Bereich ein wahnsinniges Problem.
00:27:55: Absolut, vor allen Dingen, du hast schon angesprochen, im OT-Bereich ist immer,
00:28:01: noch die Verfügbarkeit das höchste Gut, das heißt, wir arbeiten mit proprietären Protokollen.
00:28:08: Das bedeutet, das sind Protokollen wie zum Beispiel das ICE 105, 103,
00:28:14: ModBoot und eben halt TASA 2, ICMP und was es da alles gibt,
00:28:20: das sind alles Protokolle, die sind darauf getrimmt, Verfügbarkeit zu haben.
00:28:24: Die sind aber nicht auf Security getrimmt.
00:28:28: Das heißt, wenn du solche Systeme betreibst, musst du erst mal entsprechend
00:28:34: mit diesen Protokollen arbeiten.
00:28:36: Die sind teilweise unsicher, unverschlüsselt.
00:28:40: Das ist der eine Punkt. Und der andere Punkt ist eben halt,
00:28:44: dass du auch darauf achten musst, dass du keine in Anführungsstrichen strukturierte
00:28:49: Daten hast, Wie du es vielleicht in der it hast das heißt,
00:28:54: Was bei der ot auch immer so ein riesen thema ist nicht nur der angriff sondern die manipulation,
00:29:00: Also als angreifer will ich im ot bereich nicht immer so wie in der it Mich
00:29:06: möglichst erkenntlich zeigen und sagen hier bin ich Sondern im ot bereich kann
00:29:11: es auch dazu führen dass ich sage ich bleibe die ganze zeit im stillen kämmerlein Änder mal zwei,
00:29:16: drei Werte oder zwei Alarmwerte,
00:29:19: sodass du eben halt nicht drüber informiert wirst.
00:29:21: Und ich glaube, das ist auch ein wichtiger Punkt zu verstehen zwischen IT und OT.
00:29:27: Diese Systeme sind jetzt in Anführungsstrichen Fokus auf die Verfügbarkeit.
00:29:35: Und jetzt muss eben halt entsprechend, aber auch in 20 Jahren nicht nur die
00:29:39: Verfügbarkeit stimmen, sondern die Sicherheit. Und da ist es eben halt so,
00:29:44: dass wir gerade auch durch die Gesetzesgebung gemerkt haben, da muss was passieren.
00:29:49: Wir müssen ja jetzt zum Beispiel das Thema Angriffserkennung angehen.
00:29:53: Das ist eben halt auch ein Thema. Du musst ja erstmal verstehen,
00:29:57: was da für ein System ist und auch die Protokolle verstehen.
00:30:02: Das heißt auch dein Tool, in Anführungsstrichen, was du einsetzt für Angriffserkennung,
00:30:07: musst dasselbe verstehen. Es kann ja kein Spanisch verstehen, aber du redest Deutsch.
00:30:13: Also das ist auch so eine Herausforderung. Und natürlich auch das Thema,
00:30:17: wie du schon angesprochen hast,
00:30:20: dieses, in Anführungsstrichen, dieser Transformationsprozess,
00:30:25: der in Anführungsstrichen in der IT sehr simpel und einfach ist.
00:30:29: Weil wenn nach fünf Jahren mein Notebook nicht mehr aktuell ist,
00:30:32: dann tauscht sich einfach.
00:30:33: Kann ich eben halt im OT-Bereich nicht machen, weil Zusammenhänge zwischen Software
00:30:38: oder auch zwischen Hardware einfach nicht so einfach möglich sind.
00:30:43: Kommen wir auch direkt Richtung Tooling. Das würde mich jetzt auch mal interessieren.
00:30:46: Mit welchen Werkzeugen arbeitet ihr denn da?
00:30:49: Also klassisch, wenn wir von Angriffserkennung sprechen, ist es zum Beispiel
00:30:53: so, dass es da sehr gute deutsche Hersteller gibt inzwischen.
00:30:58: Zum Beispiel eine Rebo aus Leipzig, die macht das sehr, sehr erfolgreich.
00:31:02: Eine Achtwerk aus Bremen zum Beispiel, die macht das auch erfolgreich.
00:31:06: Eine Fortinet mit Fortinet IDR zum Beispiel.
00:31:09: Das sind alles Tools, die a, das Protokollverständnis haben,
00:31:14: die Verständnis von der OT haben, von den Anlagen Und die eben halt auch in
00:31:20: der Lage sind, in Anführungsstrichen nicht nur einen Angriff zu erkennen,
00:31:24: sondern auch Fehlmanipulation, ne?
00:31:27: Also, weil im OT-Bereich ist es so, diese Angriffe, die man klassisch aus dem IT-Bereich kennt, ne?
00:31:33: Ransomware, ein DDoS-Angriff oder eben halt auch in irgendeiner Form ein Hack.
00:31:39: Im OT-Bereich ist es eher was anderes. Du willst im OT-Bereich entweder die
00:31:43: Produktion verhindern.
00:31:45: Du willst einen Schaden, einen Schaden in dem Sinne,
00:31:50: dass du einen wirtschaftlichen Schaden hast oder aber auch einen menschlichen Schaden,
00:31:54: gebe ich gleich noch mal ein Beispiel dazu und du willst eben halt auch vielleicht
00:31:59: das Kraftwerk in die Luft setzen oder eben halt die Bahn gegeneinander fahren,
00:32:06: das heißt der Impact im OT-Bereich ist ein ganz anderer Impact wie im IT-Bereich.
00:32:11: Ja, welches Beispiel wolltest du dazu geben, menschlich? Ja,
00:32:15: wir haben zum Beispiel ein Projekt gemacht, damals zusammen mit Sophos, das war Honeytrain.
00:32:20: Und Honeytrain war ein Projekt, wir haben entsprechend eine Bahninfrastruktur nachgestellt.
00:32:27: Das heißt, ganz klassisch so eine Modellbahn mit eben halt aber auch ein Ticketsystem,
00:32:34: Überwachungskameras und so weiter und so fort.
00:32:37: Und haben das online gestellt, um zu gucken, wer greift auf sowas zu und wie
00:32:42: tief geht dieses Wissen und Know-how.
00:32:45: Und ich selber bin Familienvater und finde eben halt das Erschreckende,
00:32:50: dass es wirklich Menschen gegeben hat, die den sprichwörtlichen Knopf gedrückt haben.
00:32:55: Das darf man sich jetzt nicht als Knopf vorstellen.
00:32:58: Es ist schon sehr kompliziert, das zu machen,
00:33:01: aber der hat entsprechend das System so weit manipuliert,
00:33:06: dass zwei züge gegeneinander gefahren sind und
00:33:09: das bedeutet der angreifer der wusste ja gar
00:33:12: nicht dass das eine demo umgebung ist der hat wissentlich
00:33:15: in kauf genommen dass menschen sterben und das
00:33:18: ist so ein thema was man Im ot bereich noch ganz groß oben drauf setzen muss
00:33:24: beim ot bereich reden wir ganz häufig von Menschenleben die gefährdet sind sei
00:33:30: es eine bahn die gegeneinander fährt ein kraftwerk was zur explosion gebracht
00:33:34: wird oder eben halt der Strom ausfällt,
00:33:37: sodass das keine OP mehr durchgeführt werden kann,
00:33:40: also die Sensibilisierung für das Thema ist viel, viel größer.
00:33:43: Bedeutet aber auch, das Interesse am Angriff der kritischen Infrastruktur für
00:33:49: jemanden, der uns schaden will, ist enorm hoch.
00:33:52: Und da kann ich so das Beispiel geben, wir haben zum Beispiel auch viel mit
00:33:56: Firmen aus Israel zu tun gehabt und bei denen ist es ja so, dass die keine Verbündete haben.
00:34:03: Das heißt, die haben auf der einen Seite den Terror, auf den anderen Seiten
00:34:07: den Terror, man sieht es jetzt leider ja auch aktuell in den Medien und ich
00:34:12: fand das so erschreckend.
00:34:13: Ich war dann bei dem im nationalen Cyberabwehrzentrum und die hatten oben eine
00:34:18: Nummer gehabt, eine millionenstellige Nummer und ich habe die dann gefragt,
00:34:22: ist das eure Statistik aufs Jahr gesehen, wo ihr angegriffen wird oder wie ihr
00:34:27: angegriffen wird und die Dame sagte mir, nein, das waren die letzten zehn Minuten.
00:34:31: Und dann sind wir so in die Diskussion geführt oder haben die Diskussion geführt
00:34:37: und dann hat man ziemlich schnell rausgefunden,
00:34:39: wenn du Israel schaden willst, dann greifst du deren Infrastruktur an und das
00:34:44: hat Israel sehr schnell erkannt und hat eben halt massiv in Ausbildung von Cyber Security investiert.
00:34:51: Nicht umsonst kommen viele gute Firmen, auch nicht gute Firmen,
00:34:55: wenn man so Beispiel Pegasus nimmt, aus Israel, weil die von Anfang an...
00:35:01: Stopp, drauf hinweisen, wir reden nicht von der Firma Pegasus,
00:35:04: wir reden von dem Trojaner.
00:35:06: Genau, richtig, ja, von dem Pegasus-Trojaner, absolut richtig.
00:35:11: Ich weiß gar nicht, wie die Firma heißt.
00:35:14: Aber was ich damit sagen wollte, die haben von Anfang an verstanden,
00:35:19: dass Cyber Security der wichtigste Bestandteil ist, um unser Land zu sichern
00:35:24: und investieren massiv in Ausbildung.
00:35:28: Und das sehen wir eben halt hier in Deutschland, wo wir eben halt dasselbe Thema haben.
00:35:35: Wir haben auch kritische Infrastruktur, die angegriffen wird.
00:35:37: Wir haben aber im Verhältnis nicht diese massive Ausbildung,
00:35:41: wie es jetzt beispielsweise in Israel ist.
00:35:45: Ja, absolut richtig. Habe ich auch schon ein paar Mal jetzt festgestellt,
00:35:49: eben bei uns in der Microsoft-Bubble.
00:35:51: Die haben ja auch CyberX übernommen mehr oder weniger oder dazu gekauft und
00:35:55: diese ganzen Defender-Themen oder viele davon kommen eben ja auch aus diesem
00:35:59: Microsoft-Standort in Israel.
00:36:00: Also da ist ein unglaubliches Know-how vorhanden. Das ist wirklich spannend.
00:36:06: Ja, es ist erschreckend, was da so mittlerweile möglich ist.
00:36:10: Jetzt gibt es aber so Plattformen zum Beispiel eben auch wie Shodan.
00:36:15: Bist du der Meinung, dass Shodan eher ein Werkzeug ist, um selber zu gucken,
00:36:19: ob man vielleicht irgendwie nach außen aus versehen Systeme freigemacht hat
00:36:24: oder animiert das eher die Angreifer dazu,
00:36:27: diesen zentralen Anlaufpunkt, also dieses.
00:36:33: Schadsoftware, Google für OT-Systeme halt auszunutzen, dass ich halt noch schneller
00:36:38: an den Punkt komme, ein System zu finden, was verwundbar ist.
00:36:41: Also ich muss sagen, zum Glück hat sich Shodan in eine gute Richtung entwickelt.
00:36:47: Am Anfang war es wirklich so für mich, oh scheiße, da kriegst du einfach so
00:36:52: viele Informationen von so vielen Firmen, die einfach das gar nicht wussten.
00:36:58: Inzwischen ist Shodan voll mit entsprechenden Honeypots.
00:37:02: Das heißt, 90 Prozent der Anzeigen, die du da in Shodan findest, sind Honeypots.
00:37:07: Um von Firmen, wir selber haben da auch Handipods, um mit Analysen zu fahren.
00:37:13: Aber am Anfang war es wirklich so, dass du erschreckenderweise sehen konntest,
00:37:18: wie viele Systeme einfach online ohne Sicherheitsmechanismen waren.
00:37:23: Und das Erschreckende dabei ist, ich habe das dann immer gerne in Live-Hackings,
00:37:27: gemacht oder auch zwischendurch mal durchgegangen und geguckt,
00:37:32: findet man Unternehmen, in dem man einfach mal helfen kann.
00:37:36: Rate mal, was passiert, wenn du so ein Unternehmen findest. Ich habe zum Beispiel
00:37:40: mal eine Kommune gefunden, die haben ein neues Heizkraftwerk gehabt.
00:37:44: Das war online, ich konnte alles einstellen.
00:37:47: Was war die Reaktion von der Kommune, als ich da angerufen habe und gesagt habe,
00:37:50: pass auf, ich habe euer System online gefunden?
00:37:52: Ich kenne diese Reaktion, weil die bei uns auch öfters mal vorkommt,
00:37:55: wenn wir aktiv mal bei unseren Kunden gucken.
00:37:58: Was fällt ihnen ein und warum haben sie das gemacht? Und ich zeige sie an.
00:38:02: Absolut richtig. Ist doch absolut gestört.
00:38:07: Die Kommune hat mich angezeigt. Ich hab ne Anzeige bekommen,
00:38:11: auch ein Ermittlungsverfahren, das natürlich eingestellt worden ist.
00:38:15: Aber auch da war es spaßig, mit der Polizistin drüber zu sprechen,
00:38:19: was Schodan ist und wie Schodan funktioniert usw.
00:38:22: Aber anstatt diese Hilfe anzunehmen, ich hab ja auch gesagt,
00:38:27: hey, pass auf, ich will mich jetzt hier nicht vermarkten, ich will euch helfen,
00:38:30: ich sehe hier ein Riesenproblem.
00:38:31: Es interessiert die Leute nicht, im Gegenteil, man muss erst mal sagen,
00:38:37: du hast jetzt was gemacht, erst mal muss ich dich jetzt verklagen und am Ende
00:38:42: ist mir das wichtiger als alles andere.
00:38:45: Und die spannende Frage, glaubst du, diese Kommune ist immer noch online oder
00:38:49: haben sie inzwischen sich offline genommen? Nee, die sind natürlich immer noch da.
00:38:54: Absolut und das ist eben halt so dieses Thema, wo ich ganz klar sage,
00:39:00: gerade im OT-Bereich, viele sehen dieses Security-Thema einfach nicht auf ihrem Schirm.
00:39:06: Ich kann das auch sagen aus meiner Erfahrung heraus, vor 5, 6 Jahren war dieses
00:39:11: Thema Cyber Security oder generell OT Security hier in Deutschland kein Thema,
00:39:17: wo wir drüber sprechen mussten.
00:39:18: Da war es dann immer so, wir sind abgeschottet, wir haben ein getrenntes Netzwerk,
00:39:23: wir brauchen das nicht hin und her und du hast hier in Deutschland damit nichts machen können.
00:39:28: Im Ausland, in Amerika und Co, ist das schon seit Jahren aktiv und auch ein sehr wichtiges Thema.
00:39:35: Aber in Deutschland hast du hier kein Pokal gewinnen können damit.
00:39:40: Was wäre denn dann deiner Meinung nach so rückblickend auf die letzten Jahre,
00:39:45: eigentlich so seit Corona, so 2019, 2020,
00:39:50: die Lesson Learned, die du für dich oder für deine Kunden am am meisten hervorheben würdest?
00:39:58: Also die Lessons learned, die ich mitnehmen würde, ist, dass man aus dieser
00:40:03: Bubble, wir sind ein getrenntes Netzwerk und in Anführungsstrichen sicher,
00:40:10: da sind alle raus inzwischen.
00:40:12: Es gibt auch nicht mehr die Bubble, in Anführungsstrichen, dass OT-Systeme aus,
00:40:18: dem Homeoffice betrieben werden können.
00:40:20: Also das war auch so ein spannendes Thema, gerade in der Corona-Zeit,
00:40:23: dass viele Unternehmen dann angefangen haben, ihre Leitstelle oder wichtige
00:40:28: Mitarbeiter ins Homeoffice zu schicken.
00:40:29: Und das ist natürlich auch eine nächste Angriffsgeschichte.
00:40:34: Was ich aber damit sagen kann, ist, dass gerade auch im OT-Bereich,
00:40:38: sicherlich kannst du es auch bestätigen bei IT-Bereich, dass wir andere Herausforderungen
00:40:43: haben, wie vor fünf Jahren, was Angriffe angeht.
00:40:46: Es geht eben halt nicht mehr darum, dass die große Hackergruppe uns angreift,
00:40:51: sondern Ich kann ein anderes Beispiel geben, wie ein Kunde, der entsprechend sehr viele.
00:40:59: Netze betreut und auch für Verteilung von Strom zuständig ist,
00:41:05: hat mich mal angerufen und hat gesagt, pass auf, Nico,
00:41:08: abends haben wir immer das Problem, dass unsere Leitstelle nicht arbeiten kann,
00:41:12: wir vermuten eine Ransomware, weil der Rechner so stark unter Last ist und wir
00:41:18: haben einfach nicht gefunden, woran das liegt, kannst du dir das mal anschauen.
00:41:22: Dann bin ich zu der Firma hingefahren und hab dann festgestellt,
00:41:25: dass der Mitarbeiter, der da in der Leitstelle sitzt,
00:41:28: abends Ist jemand auch langweilig Der
00:41:32: hat dann einfach gedacht naja das ist so ein leitstellenrechner der
00:41:35: hat power Dann mache ich doch einfach mal ein
00:41:38: bitcoin meiner drauf und als wir
00:41:41: den dann zur rede gestellt haben und gesagt
00:41:44: haben pass auf Ist das vielleicht nicht so eine gute idee
00:41:47: so ein bitcoin meiner auf den leitschellenrechner drauf zu installieren Hat
00:41:50: er mich nur komisch angeguckt und hat gesagt ja ist doch nicht schlimm ich habe
00:41:54: doch nur die rechenleistung genutzt Aber dass in dem Moment das Unternehmen
00:41:58: 20 Prozent ihrer Produktivität verloren hat, das war dem gar nicht bewusst.
00:42:04: Und das ist auch das Thema, was ich sagen würde als Lessons Learned.
00:42:08: Wir müssen aufpassen, dass wir nicht immer nur den bösen Hacker in Russland sehen,
00:42:13: sondern es gibt einfach so viele Möglichkeiten für Mitarbeiter,
00:42:18: die keine Gehaltserhöhung bekommen haben Oder die den chef 1 auswischen wollen
00:42:22: durch videos auf youtube oder auch im darknet an wissen Ranz zu kommen dass
00:42:28: du eben halt nicht diese hecker brauchst
00:42:30: Das wird häufig unterschätzt, dass die die Leute nicht selber auch auf die Idee
00:42:35: kommen würden und ich habe es letztens auch in einem anderen Interview gesagt,
00:42:38: wenn man den Leuten die Anforderung stellt, ihr müsst jetzt Digitalisierung
00:42:43: machen, ihr müsst jetzt mit dem und dem Programm arbeiten, da gibt es einen
00:42:46: unglaublichen Widerstand.
00:42:48: Wenn ich den Leuten aber das Surfen z.B.
00:42:52: Aufgrund von einem Proxy verbiete, du wirst nicht glauben, oder na klar,
00:42:56: du glaubst es schon, weil du selber weißt, wie kreativ die Leute auf einmal
00:43:00: werden und dann wird auf einmal Google benutzt.
00:43:02: Man kann auf einmal auch richtig googeln und rausfinden, welche Registry Key
00:43:06: ist jetzt verantwortlich, um diese WPAT-Datei da rauszunehmen usw.
00:43:11: Also es ist, aber das, was du gerade erzählt hast, das haben wir auch bei einem
00:43:14: anderen Fall schon gehabt, wo auch dann tatsächlich die Internet-Performance,
00:43:17: nachts vor allem in dieser Firma komplett katastrophal war.
00:43:21: Ähnliches Beispiel hat sich herausgestellt, der Sicherheitsdienst,
00:43:25: der da vor Ort ist, der surft und streamt halt wie ein Großer und hat dann dazu
00:43:30: geführt, dass halt auf einmal Überwachungskamera-Bilder einfach gepixelt haben,
00:43:34: weil halt die Bandbreite nicht mehr da war.
00:43:37: Ja, ist sich aber vielleicht dann in dem Moment die Person gar nicht im Klaren
00:43:40: darüber, weil ja es geht ja, mein Netflix funktioniert Und was soll schon passieren,
00:43:44: dass sich natürlich die anderen Systeme auch diese Leitung teilen,
00:43:47: die er gerade komplett zumacht mit seinem Streaming.
00:43:50: Ja, das hat er halt nicht auf dem Schirm.
00:43:53: Wie wird denn das weitergehen, Nico? Was glaubst du, wie entwickeln wir uns
00:43:57: in dem ganzen Security-Bereich.
00:43:59: Oder auch in dem allgemeinen Entwicklung, in der wir uns gerade so befinden,
00:44:04: weiter? Was passiert die nächsten Jahre?
00:44:07: Also ich glaube, wir werden vor einer Welle stehen von vielen KI-basierten Dingen.
00:44:12: Also man sieht es ja jetzt schon, gefühlt, Chat-GPT, andere Systeme werden ja
00:44:18: für solche Dinge zweckempfremdet.
00:44:21: Und jeder Security-Hersteller schreibt auf seinem Produkt KI,
00:44:25: obwohl das eigentlich schon seit Jahren auch ohne KI funktioniert und es auch keine richtige KI ist.
00:44:31: Also dieser Trend KI wird weiterhin groß werden.
00:44:35: Und ich glaube auch, dass der Trend gerade im OT-Bereich auch weiterhin so werden wird,
00:44:41: weg von einer getrennten Welt hin zu einer Mixstruktur zwischen IT und OT,
00:44:47: eben halt IOT oder IIOT, wie man es auch mal nennen möchte.
00:44:52: Und das hat dann natürlich die Herausforderung, diese beiden Welten auch in
00:44:57: Bezug auf Security zusammenzubringen, weil die haben eben halt grundlegende
00:45:03: Ansätze, die anders sind.
00:45:06: Und du kannst viel von der IT lernen, aber auch viel von der OT lernen.
00:45:12: Und ich glaube, dass was da am wichtigsten ist, die menschliche Komponente nicht zu vergessen.
00:45:19: Also, ich sage es immer wieder in Firmen, die so eine Transformation starten
00:45:24: oder jetzt loslegen, vergiss die Menschen nicht.
00:45:27: Da gibt es so ein auch so simples Beispiel. Großer, in Anführungsstrichen.
00:45:33: Lebensmittelhändler hat mal auf SAP umgestellt für mehrere Millionen und drei
00:45:38: Wochen später hat er dann wieder zurück migriert auf sein IT-System,
00:45:42: weil die Mitarbeiter nicht mitgegangen sind.
00:45:44: Er hat zwar Schulungen angeboten und so weiter und so fort, aber die Mitarbeiter
00:45:48: sind einfach überrumpelt geworden und für den Hersteller war es dann günstiger
00:45:51: für mehrere Millionen wieder zurückzugehen, anstatt zu sagen,
00:45:55: wir ziehen das jetzt durch.
00:45:56: Und das ist so ein Thema, was ich immer wieder im OT-Bereich sehe,
00:46:00: das sind eben Leute, die arbeiten jahrelang mit dem System,
00:46:04: jahrelang mit ihrer Technik und in Anführungsstrichen können sie das aus dem
00:46:09: FF und müssen jetzt aber in dieser Digitalisierungsbubble zusammen mit der IT an einem Strang ziehen.
00:46:16: Und das funktioniert nur, wenn man die abholt und gemeinsam an einer Lösung
00:46:21: arbeitet und nicht gegeneinander.
00:46:24: Ja, das glaube ich auch. Und das haben wir auch selbst gesehen,
00:46:27: gerade durch Corona, viele Dinge mit der heißen Nadel irgendwie eingeführt.
00:46:32: Jetzt wird damit halt weitergearbeitet. Vielleicht hat man auch seine Lücken
00:46:36: geschlossen, so ein bisschen.
00:46:38: Aber ich erlebe immer wieder, gerade jetzt so in dem normalen Office-Alltag.
00:46:43: Die Leute wissen gar nicht, was die Sachen alle können.
00:46:46: Und dann guckst du dir das an und sagst, ja, mach doch das so und so.
00:46:50: Ach so, das geht? dann sage ich, ja, aber ihr zahlt ja schon seit drei Jahren für das System.
00:46:55: Ja, das hat uns noch keiner gesagt. Das ist genau, wie du richtig jetzt gerade
00:46:58: das gesagt hast, das große Problem.
00:47:01: Die Transformation muss auch bei Menschen ankommen, weil ansonsten ist es eigentlich
00:47:05: auch wieder Geldverschwendung aus Sicht des Unternehmens.
00:47:09: Absolut und was ich dazu auch noch
00:47:11: sagen kann wir müssen diese scheuklappen ablegen zu sagen der eine macht nur
00:47:18: das der andere macht nur das was ich immer zu den kunden sage am ende habt ihr
00:47:23: ein gemeinsames ziel ihr wollt schaden vom unternehmen abwehren ihr wollt gemeinsam profitabel,
00:47:29: euer Business erweitern oder auch generell wachsen.
00:47:34: Der eine will das auf diesem Weg, der andere will das auf diesem Weg.
00:47:38: Aber diese Wege sind nicht in Anführungsstrichen unmöglich zusammen zu verbinden.
00:47:43: Nur der eine muss verstehen, was der eine möchte und der andere muss verstehen, was der andere möchte.
00:47:49: Und wenn man das geschafft hat, diese Welten auf einen Nenner zu bringen,
00:47:54: Nämlich der gemeinsame nenner wir wollen gemeinsam spaß haben gemeinsam größer
00:47:59: werden schaden vom unternehmen abwenden,
00:48:02: Dann funktioniert das genauso bin ich auch.
00:48:05: Kein fan mit angst zu drohen Dieses klassische thema was viele beratungshäuser
00:48:11: machen zu sagen hey wenn du jetzt nichts machst hast du morgen so und so viel
00:48:15: millionen euro schulen oder schaden Das bin ich nicht.
00:48:19: Ich sage immer zu meinen Kunden, ihr müsst das aus eigener Überzeugung machen
00:48:23: und nicht aus der Überzeugung, dass ihr so und so einen Schaden habt.
00:48:27: Natürlich gibt es auch Gesetze, die das entsprechend auch befürworten,
00:48:32: beziehungsweise auch verpflichtend machen.
00:48:34: Aber weg von diesem Thema. Ich mache das nur, weil ich Angst habe.
00:48:40: Der berühmte goldene USB-Stick auf dem Parkplatz, der innerhalb von einer Minute alles kaputt macht.
00:48:45: Ich hasse es auch. Ich hasse es absolut. Dieses Selling by Fear geht mir so richtig auf den Nerv.
00:48:50: Und das ist aber leider mittlerweile doch üblich geworden in unserer Branche,
00:48:55: dass das halt manche Unternehmen so tun.
00:48:57: Ich denke, so wie du auch und so wie viele andere aus unserer Bubble,
00:49:01: weil wir haben einen ähnlichen Bubble-Kreis, zumindest auf LinkedIn,
00:49:05: wir wollen ja eigentlich die Leute nur informieren.
00:49:07: Und das ist der Grund für unseren Podcast hier, für Blue Screen.
00:49:11: Das ist auch mit Sicherheit der Grund, warum Cyber Security Chefsache als Podcast gibt.
00:49:15: Wir wollen ja die Leute einfach nur informieren, weil du kommst halt nicht mehr
00:49:19: hinterher bei diesen ganzen Meldungen und es selber aufzubereiten,
00:49:22: macht mittlerweile, glaube ich, so viel Arbeit für jemanden,
00:49:25: der das nicht tagtäglich beruflich macht.
00:49:28: Und deswegen, ja, fand ich das jetzt auf jeden Fall mit Blick auf die Uhr eine
00:49:34: sehr schöne, fast etwas mehr als Dreiviertelstunde.
00:49:38: Ich könnte mich mit dir jetzt noch bestimmt zwei weitere Stunden unterhalten,
00:49:41: aber ich will es nicht überstrapazieren für unseren Hörerkreis,
00:49:47: wobei die Generation TikTok, die ist schon seit 40 Minuten weg und die Doom-Scrawler seit 20.
00:49:54: Nico, hast du denn vielleicht noch abschließend noch eine Botschaft für unser
00:49:59: Publikum, was du denen mitgeben möchtest?
00:50:01: Nicht vergessen, wir gehen auf Weihnachten zu, es ist jetzt dann bald Weihnachten,
00:50:06: irgendwie, vielleicht noch irgendeine Message.
00:50:09: Also du hast gerade schon gesagt,
00:50:12: achtet darauf, wie ihr entsprechend mit diesen ganzen Themen umgeht.
00:50:17: Seid offen dafür und lasst euch nicht verängstigen.
00:50:21: Das ganze Thema hat so viele Potenziale, die auch positiv sind und nicht immer alle negativ sind.
00:50:28: Und von daraus kann ich sagen, ich wünsche euch eine schöne Adventszeit.
00:50:32: Das ist sowieso das Allerwichtigste, Familie drumherum, das ist superschön.
00:50:37: Und das ist auch viel, viel wichtiger, als sich immer nur über das Security-Thema unterhalten.
00:50:43: Also von daher, ich wünsche einen eine schöne Adventszeit. Danke dir.
00:50:48: Das wünsche ich euch ebenfalls.
00:50:50: Wie gesagt, war die letzte Folge Blue Screen für dieses Jahr.
00:50:54: Habt wundervolle Weihnachtsferien.
00:50:56: Schaltet auch mal ab vielleicht und hört auf, euch dauernd den Kopf zu zerbrechen darüber.
00:51:01: Aber guckt trotzdem mal ein bisschen genauer hin, wenn ihr jetzt doch irgendwie
00:51:04: Mails lest. gerade die Weihnachtszeit, die Feiertage sind ein gefundenes Fressen
00:51:09: für jeden, der jetzt irgendwelche Mails noch durch die Gegend schickt,
00:51:13: wo vielleicht Shardcode dranhängt.
00:51:15: Also seid trotzdem weiterhin wachsam und dann würde ich sagen,
00:51:19: hören wir uns im Januar wieder.
00:51:21: Da erzähle ich euch dann, was wir in 2024 für euch so alles geplant haben.
00:51:26: Nico, es war mir ein Volksfest, mit dir dieses Interview zu haben und ich hoffe,
00:51:29: das war auch nicht das letzte Mal, dass wir jetzt bei uns gesprochen haben.
00:51:33: Und ja, auch dir dann. Genau, eine schöne Weihnachtszeit und bis zum nächsten Mal. Danke, bis dann.
00:51:41: Music.
Neuer Kommentar