DIGITAL POWER mit der Verbund AG

00:00:00: "Expanding Utilities" der IT und OT Podcast für die Energiewirtschaft von Everdon.

00:00:08: Herzlich willkommen zu einer weiteren Episode von "Expanding Utilities".

00:00:13: Das Thema heute ist Digital Power und zwar Aspekte der OT-Sicherheit in der Leittechnik.

00:00:19: Und ich habe zwei Gäste bei mir.

00:00:21: Einmal den Thomas Zapf und den Wolfgang Baumgartner.

00:00:25: Und wir haben uns geeinigt am Anfang darüber, dass wir Eingangs uns selber vorstellen.

00:00:29: Deswegen, Thomas, darf ich dich bitten, dich kurz vorzustellen?

00:00:32: Ja, danke dir, Thomas.

00:00:34: Thomas Zapf, seit sechs Jahren bei Verbund eines der größten Energieerzeugungsunternehmens in Österreich.

00:00:41: Ich habe eine langjährige Historie in der Automobilindustrie, sprich wörtlich groß geworden,

00:00:46: dann Industrieanlagenbau, sieben Jahre Medien und jetzt seit sechs Jahren bei Verbund für die Thema Digitalisierung,

00:00:53: Information-Sicherheit, IT und Telekommunikation zuständig.

00:00:57: Vielen Dank.

00:00:58: Wolfgang.

00:00:59: Ja, Wolfgang Baumgartner.

00:01:01: Ich bin Globaler Head von Evidenz und Thema Cyber Security Consulting.

00:01:06: Ich bin jetzt seit 20 Jahren im Sicherheitsbereich unterwegs,

00:01:10: habe am Anfang sehr stark mit dem IT-Thema beschäftigt,

00:01:13: mittlerweile zunehmend auch mit dem OT-Thema.

00:01:17: Ja, herzlich willkommen nochmal.

00:01:18: Also wir reden heute über das Thema OT in der Leittechnik bzw. OT-Sicherheit in der Leittechnik

00:01:25: und vielleicht steigen wir einfach mal mit dem Thema erstmal ein

00:01:29: und der Frage, welche Relevanz hat eigentlich OT innerhalb der Energiewirtschaft

00:01:34: und welchen Stellenwert hat das Ganze?

00:01:36: Ja, vielleicht beginne ich gleich.

00:01:38: Es ist aus meiner Perspektive eines der größten Herausforderungen auch für die Zukunft.

00:01:43: Wir steuern immer mehr, wir zentralisieren immer mehr

00:01:46: und das läuft alles über Leittechnik-Komponenten oder über Operational Technology,

00:01:51: wie so das neue Zauberwort oder die zwei Zauberworte heißen.

00:01:55: Es ist hier einfach ein Trendthema, man sieht es auch hier an der Messe,

00:02:01: also es wurdelt und natürlich wurdelt es auch in der Leittechnik mit vielen, vielen Themen,

00:02:06: mit vielen Herstellern, mit vielen Komponenten und natürlich mit vielen Herausforderungen

00:02:11: und gerade im Bereich Secure sehe ich hier einige Themen auf uns zukommen.

00:02:16: Jetzt ist es ja so, dass die Digitalisierung der Netze und du bist in deinem Unternehmen

00:02:20: beim Verbund natürlich auch für die Digitalisierung zuständig.

00:02:24: Die Digitalisierung bringt immer mit sich, dass es eben auch neue Einfallstouren gibt.

00:02:28: Wo siehst du denn im Wesentlichen den Unterschied oder auch den Schwerpunkt

00:02:32: zwischen IT-Security und OT-Security?

00:02:35: Der große Unterschied ist aus meiner Perspektive einfach auch das Thema,

00:02:40: dass wenn es in Leittechnik oder produzierenden oder erzeugenden Unternehmen

00:02:45: in der kritischen Infrastruktur zu Stillständen kommt, aufgrund von Security vorfällt,

00:02:49: dass es noch stärker sprichwörtlich in den Finanzcash-Out geht,

00:02:54: im Sinne des finanziellen Schadens im Vergleich zum klassischen IT-Thema.

00:02:58: Wobei natürlich die IT-Thematik mit Security viel länger schon ein Thema ist,

00:03:06: also über 20 Jahre mittlerweile, wo die ersten Viren aktuell worden sind.

00:03:11: Das heißt, wir haben viel, viel mehr Erfahrung in der IT, in der klassischen IT,

00:03:15: mit Security Herausforderungen,

00:03:16: also wie wir es jetzt jetzt sukzessive in der Leittechnik sehen.

00:03:20: Wolfgang, du begleitest mit deinem Team auch viele energiewirtschaftliche Projekte,

00:03:24: insbesondere in der OT-Security.

00:03:26: Inwiefern hat OT-Security an Stellenwert jetzt gerade Bedeutung gewonnen?

00:03:31: Also ich glaube, die Bedeutung hat massiv zugenommen

00:03:34: und auch wenn man sich hier auf der Messe umschaut, wahnsinnig viele Hersteller.

00:03:39: Und ich glaube, der Ausgangspunkt ist die Digitalisierung.

00:03:42: Digitalisierung heißt immer Vernetzung.

00:03:44: Und das heißt, indem die beiden Systeme, die OT und die IT vernetzt werden, zunehmen,

00:03:50: steigt natürlich der Bedarf.

00:03:52: Das ist die eine Seite der Versette und der andere ist natürlich auch durch die politische Situation in Europa.

00:03:59: Das sind natürlich kritische Infrastrukturen, das ist jetzt gleich, ob das jetzt Züge sind oder Kraftwerke, on-risk sind.

00:04:07: Man versucht die von außen Land zu legen und das hat massiv zugenommen.

00:04:10: Jetzt ist typischerweise in der Energiewirtschaft sowohl in Österreich als auch in Deutschland

00:04:15: sind die Prozessdatenverarbeitung, also die OT und die IT eigentlich ja relativ,

00:04:21: die betriebswirtschaftliche IT voneinander getrennt.

00:04:23: Man betrachtet das eigentlich relativ weit auseinander.

00:04:27: Ist es notwendig, dass diese beiden Sagen jetzt zusammenkommen?

00:04:30: Und vielleicht die Frage vorab, haben wir denn überhaupt eine Notwendigkeit?

00:04:34: Sind denn die OT-Systeme heute in der Energiewirtschaft nicht bereits sicher?

00:04:38: Die Hersteller behaupten, dass sie sicher sind.

00:04:40: Aber wie wir wissen, aus den Erfahrungen auch der letzten Jahre, es gibt immer ein offenes Tor oder ein offenes Türchen.

00:04:47: Wenn man was öffnen will und genügend auch Ressourcen investiert, dann schafft man den Einbruch.

00:04:55: Das ist so.

00:04:56: Zu deiner Frage jetzt noch einmal, die Verbindung zwischen IT und OT.

00:05:01: Natürlich ist alles segmentiert, alles getrennt über diverse Sicherheitsmechanismen

00:05:06: und auch abgehärtet.

00:05:08: Aber es ist schon so, dass immer mehr natürlich auch der Durchgriff passieren muss.

00:05:12: Sei es jetzt da im Sinne der Aussteuerung, dass ich OT-Daten IT verarbeitbar habe oder auch mache.

00:05:19: Ritiktivmente nennt sich so ein großes Thema.

00:05:22: Das heißt, in dem Umfeld muss sich Sensordaten oder Themen aus der Leittechnik abfragen, muss entsprechend sammeln.

00:05:29: Natürlich kann ich sehr, sehr viel über Architekturkonzepte machen.

00:05:32: Aber es wächst wieder stärker zusammen.

00:05:34: Und diese Separation, wie wir es früher in der Vergangenheit hatten, auch in der Energiewirtschaft,

00:05:38: dass das sehr stark getrennt war und auch eine eigene Insel war, diese Insel öffnet sich.

00:05:44: Es werden die Inseln immer mehr verbunden.

00:05:46: Und ich kann es jetzt nicht mehr in diesem Härtegrad abhärten nach außen, wie wir es in der Vergangenheit gemacht haben.

00:05:52: Das heißt, die Vernetzung, wie es auch der Wolfgang angesprochen hat, die wird immer stärker zunehmend.

00:05:57: Und zusätzlich kommt auch das Thema dazu, dass natürlich auch die Hersteller selber immer mehr und mehr IT-Komponenten verwenden.

00:06:04: Virtualisieren ist jetzt ein starkes Thema.

00:06:06: Also die großen Hersteller in dem energienahen Bereich hatten früher mal eigene Komponenten

00:06:12: und gehen jetzt aber auch immer stärker in Richtung virtualisierte Umgebungen, weil es auch günstig ist.

00:06:17: Aber damit nehmen wir auch die Risken zu.

00:06:19: Du hast die Sensorik angesprochen.

00:06:21: Wolfgang, wir nehmen auch in Deutschland und Österreich eine Zunahme von Sensorik in den Netzen wahr.

00:06:26: Und damit natürlich auch Einfallstore zum Thema Security.

00:06:31: Wie scharf würdest du es einschätzen?

00:06:33: Also was bringt die Digitalisierung sozusagen an Bedarf jetzt noch mit?

00:06:36: Brauchst du jetzt keine Zahl zu nennen?

00:06:37: Aber inwiefern schätzt du, ist das eine lineare Entwicklung oder sind wir tatsächlich vor einer Art von Explosion von Anforderungen, die uns da begegnen?

00:06:46: Also ich glaube, wir sind nicht linear unterwegs.

00:06:50: Weil aus der Vergangenheit heraus, ich meine, wir haben jetzt 20 Jahre plus an der IT-Security gearbeitet.

00:06:56: Das war viel Arbeit.

00:06:58: Und wir können jetzt nicht in zwei Jahren die Security alles weit machen.

00:07:03: Das heißt, der Demand aus meiner Sicht ist groß.

00:07:06: Immer nicht explosionsartig, aber der Demand ist groß.

00:07:11: Und insofern ist es wirklich wichtig, dass die Unternehmen jetzt wirklich konzentriert daran arbeiten.

00:07:16: Aber das Risiko ist für IT und OT ist dasselbe.

00:07:19: Aber die Infrastruktur und die Vorbereitung ist nicht dasselbe.

00:07:23: Die Herausforderungen haben ein hohes Spektrum.

00:07:24: Auf jeden Fall, das haben wir gesehen.

00:07:26: Und wir kommen gleich vielleicht nochmal auch zu einzelnen Punkten dabei.

00:07:29: Ihr habt euch bei Verbund sozusagen diesen Herausforderungen jetzt gestellt.

00:07:34: Und ihr habt eine Organisationseinheit gebaut, die Digital Power, die sich sozusagen diesen Herausforderungen stellt.

00:07:41: Und eben auch die Bedarfe an dem Thema OT Security abdecken möchte.

00:07:45: Vielleicht kannst du uns ein bisschen Einblick in die Konstrukte von Digital Power geben.

00:07:49: Warum habt ihr es gemacht?

00:07:50: Und wo steht ihr gerade?

00:07:52: Sehr gerne.

00:07:54: Hauptthema war,

00:07:54: wir haben die letzten sechs Jahre sehr intensiv in den Bereich Security investiert.

00:07:59: Sehr, sehr viele Projekte gemacht.

00:08:00: Der eigene Masterpläne und Technologiemasterplan und diverse Roadmaps.

00:08:04: Ob es jetzt Digitalisierung ist oder auch in der Security hier entsprechend hochgezogen.

00:08:10: Und aufgrund der holistischen Sicht auf die gesamte Thematik und auch die Herausforderungen,

00:08:16: das wir gesagt haben, es gibt keine Digitalisierung ohne Security und umgekehrt,

00:08:20: haben wir uns entschlossen hier wirklich die Kräfte zu bündeln.

00:08:24: Eine eigene Technologieeinheit entsprechend zu entwickeln, Bereiche zusammenzulegen,

00:08:30: anders zu strukturieren, um halt auch den Wettbewerb und auch unser Wachstum entsprechend

00:08:35: oder für das Wachstum auch entsprechend gewappnet zu sein.

00:08:38: Wir haben sehr viel investiert in den Bereich Business Engagement.

00:08:40: Im Sinne auch hier auch die Bedarfe natürlich zu erkennen,

00:08:46: was brauchen unsere Fachbereiche, was braucht die Industrie.

00:08:50: Hier sehr viel in Richtung Verständnis und Business Verständnis,

00:08:54: damit wir wirklich die richtigen Kolleginnen an Bord haben,

00:08:57: die einfach auf Augenhöhe auch mit dem Kern Business oder mit dem Business auch sprechen können.

00:09:02: Der zweite große Bereich, also wir hatten stark getrennt den Digitalisierungsrahmen,

00:09:08: wo wir sehr intensiv Digitalprojekte vorangetrieben haben

00:09:11: und damit aber auch die IT etwas vor uns herbewegt haben.

00:09:16: Natürlich war klassische Legacy IT.

00:09:18: Da sind wir jetzt so weit gegangen, dass wir den Bereich jetzt verschmolzen haben,

00:09:22: also die digitalen Kolleginnen plus die IT-Kolleginnen in einem Bereich,

00:09:26: wo wir Gavarnens drinnen haben, wo wir Planen bauen und betreiben,

00:09:29: im Endeffekt drinnen haben, auf allen Ebernen von applikatorischer Seite,

00:09:33: sei es von klassischen Applikationen, die wir halt in der Anwendung haben

00:09:38: und wir sprechen bei uns doch von 3 bis 400 Applikationen, die wir betreiben.

00:09:43: Dann haben wir einen sehr großen Arm Telekommunikation,

00:09:46: das heißt Telekommunikationsinfrastruktur natürlich aufgrund der Vernetzung,

00:09:50: wie wir es vorher auch schon angesprochen haben,

00:09:52: aber auch mit vielen, vielen in den Zimmern 0 und 1 Themen,

00:09:56: auch in den Gebäuden, in den Kraftwerken, ob das jetzt Brandschutz,

00:10:00: Brandmeldeanlagen, Video, Zutrittssysteme und, und, und,

00:10:03: also aufgrund der physischen Sicherheit diese Herausforderungen,

00:10:07: plus auch der digitale Betriebsfunk,

00:10:09: der ist auch im Zuge der Pandemie- und Resilienzthemen wieder extrem wichtig geworden.

00:10:15: Das Service war da, aber war unbenutzt im Endeffekt.

00:10:19: Und jetzt aufgrund der Simulationen, die wir gefahren sind,

00:10:23: haben wir erkannt, dass dieses Service auch wieder an Wichtigkeit gewonnen hat.

00:10:27: Und dann ist man auch draufgekommen, dass der digitale Betriebsfunk doch nicht

00:10:29: vielleicht überall so funktioniert, wo er funktionieren sollte,

00:10:32: weil wenn das Handy nicht funktioniert, im Krisenfall,

00:10:35: dann sollte zumindest der Betriebsfunk funktionieren.

00:10:37: Der dritte große Teil ist die Security.

00:10:39: Das haben wir so gelassen, da haben wir über die letzten Jahre

00:10:42: eine sehr, sehr starke Organisation zentralisiert aufgebaut

00:10:45: und die haben wir halt auch in die verbundete Digital Power jetzt entsprechend integriert.

00:10:50: Und dort haben wir halt zwei Segmenten,

00:10:51: eine ist ganz stark Richtung IT und das zweite Segment in Richtung Leitechnik.

00:10:56: Mit allen Nebengeräuschen, auch der Compliance-Riskthemen,

00:10:59: das normalen klassischen Information-Sicherheitsmanagement-Systems und, und, und.

00:11:04: Jetzt habt ihr das Ganze in der Digital Power gebündelt.

00:11:07: Reicht das aus oder was muss noch passieren?

00:11:09: Also aus meiner Sicht, also wir sind stark dran oder ich bin stark dran,

00:11:13: dass wir uns doch noch erweitern, im Sinne auch von mehr Kollaboration,

00:11:17: auch zusammenarbeit mit Partnern, also wie wir es auch mit der IWID machen.

00:11:22: Aber auch haben wir auch die Idee, dass wir uns auch entsprechend beteiligen,

00:11:26: damit wir einfach mehr Grip auch am Boden bekommen,

00:11:29: um hier einfach mehr Technologie noch auch in den Konzern zu bringen.

00:11:33: Jetzt haben wir ein Vorgespräch schon geführt

00:11:36: und ich darf vielleicht ein Aspekt unseres Vorgespräches mal nehmen, nämlich

00:11:39: ihr habt beide bemerkt, dass ihr gesagt, okay, man kann tatsächlich jetzt natürlich

00:11:43: als Energie-Provider oder auch als IT-Provider sich entsprechend aufstellen.

00:11:48: Aber es bedarf einer gewissen Awareness, es bedarf einer gewissen Awareness im Markt.

00:11:53: Ist aus eurer Sicht die Awareness im Markt sowohl bei den Energieversorgern

00:11:56: als auch bei den Partnern und Lieferanten ausreichend oder was bedarf es dann noch?

00:12:02: Also ich glaube, das Thema Awareness ist jetzt vor allem auf der Seite,

00:12:05: die Otisecurity noch nicht dort, wo sie hin muss.

00:12:09: Und ich glaube, jedes Mal zum Thema Security mittlerweile, wie gesagt, jeder glaubt,

00:12:14: das hat einen Griff, aber das Otisecurity-Capitel ist ein neues.

00:12:18: Und ich glaube schon, dass sowohl im Management, aber bis hin zu den Usern,

00:12:23: da mehr Awareness noch notwendig ist, auch Ausbildung notwendig ist,

00:12:26: damit man überhaupt versteht, welches Problem wir eigentlich haben.

00:12:31: Das sehe ich ähnlich.

00:12:33: Es ist einfach, das fällt so groß und es ist mittlerweile da,

00:12:38: auch die großen Hersteller haben sich jetzt auf das Feld gesetzt,

00:12:41: weil auch einiges schon passiert ist.

00:12:44: Aber gefühlt ist es noch zu wenig und es wird dort,

00:12:47: ich nenn es einmal, dieser Hype-Seikel sicher noch kommen und der muss auch kommen,

00:12:51: damit wir unsere Infrastrukturen in Europa entsprechend absichern.

00:12:55: Brauchen wir daneben den technischen Erneuerungen und den neuen Konzepten und Innovationen

00:13:00: auch eine Art mentale Wende in der Energiewirtschaft

00:13:02: oder bei den Providern?

00:13:05: Auf der Provider-Seite sicher auch das Thema noch mehr mit den Bedarfen der Kunden

00:13:11: oder der Anwenderschaft, sich auseinanderzusetzen, auch das Geschäft zu verstehen.

00:13:15: Also so wie es wir jetzt als interner Technologieabend versuchen,

00:13:18: besser natürlich die Bedürfnisse zu verstehen,

00:13:20: ist auch meine Erwartungshaltung, dass die Partnerlandschaft auch

00:13:23: unsere Herausforderungen besser versteht.

00:13:25: Klingt einfach, ist es nicht, wie wir alle wissen,

00:13:28: aber das ist schon etwas, wo man sich wirklich damit auseinandersetzen muss

00:13:32: und generell natürlich die Erwärmung auf der Security-Seite im Leittechnikbereich

00:13:37: ist etwas, es ist angekommen, aber halt noch aus meiner Sicht schon noch in den Kinderschuhen.

00:13:43: Darf ich das zuspitzen?

00:13:44: Also ist dann aus deiner Sicht die Awareness für die Notwendigkeit von OT Security

00:13:50: bei den kritischen Infrastrukturen wie zum Beispiel in Netzen noch nicht ausreichend?

00:13:54: Nein, dies auf jeden Fall, also ich sage mal jetzt in unserer Branche ist sie ausreichend,

00:13:58: weil wir stehen für sichere Versorgung und das ist so,

00:14:03: das heißt also da spreche ich nicht von unserer Branche,

00:14:05: sondern generell auf klassische Industrie, in unserer Branche ist es angekommen

00:14:10: und wir investieren auch sehr viel, also das ist auch das Thema,

00:14:14: weil einfach das Risiko zu groß ist, dass hier Ausfälle produziert werden würden.

00:14:19: Evident Atoes und Verwund arbeiten ja auch als Partner zusammen.

00:14:23: Ich habe den Eindruck, vielleicht Wolfgang, kannst du das bestätigen oder dementieren?

00:14:28: Ich habe den Eindruck, dass es hier wirklich um Partnerschaften geht,

00:14:31: also dass man auch sagen muss, man muss auch eine Community bilden

00:14:35: und gemeinschaftlich die Probleme erkennen und auch angehen

00:14:38: und es geht weniger um Konkurrenzverhalten.

00:14:41: Also das sehe ich absolut so, ja auch in unserer Zusammenarbeit, wo wir seit vielen Jahren

00:14:46: zusammenarbeiten. Ich glaube, das Thema ist, wir versuchen auch internationale Expertise

00:14:50: mit einzubringen und dann ist es natürlich auch immer ein Thema der Kapazität. Also,

00:14:56: wenn man jetzt in den Unternehmen schaut und sieht, wie viele OT-Sekurte die Leute vorhanden

00:15:01: sind, dann sieht man sofort, dass ein Riesendiskrepanz zwischen IT und OT ist und so leicht ist

00:15:07: das nicht. Dort Partner zu haben, glaube ich, ist der ganz wesentlicher Punkt, um auch in

00:15:12: deinem Umsetzen zu können.

00:15:14: Darf ich kurz rein, wenn du über internationale Erfahrungen sprichst, also Projektion aus internationalen

00:15:18: Projekten und auch wahrscheinlich Branchen?

00:15:21: Absolut.

00:15:22: Absolut.

00:15:23: Kannst du dein Beispiel sagen?

00:15:25: Also, ein Beispiel ist, dass wir dieselben Diskussionen, die wir mit dem Verbundenen in

00:15:30: Nordamerika mit den Energieerzeugern natürlich führen, wobei die Infrastruktur jetzt nicht

00:15:34: ident ist, aber die Probleme sind sehr ident. Oder auch, wenn man jetzt Analogie voneinander

00:15:39: in die Industrie nimmt, der im Hellskirrbereich die Infrastruktur wahnsinnig heterogen, sehr

00:15:46: kompliziert und auch zu wenig Experten vorhanden in der Industrie. Also, da sehe ich Analogien,

00:15:54: wo man quasi Erfahrungen mitnehmen kann und transorieren kann.

00:15:57: Wir haben schon relativ früh, also ist schon jetzt fast vor sechs Jahren auch ein OT-Leb

00:16:02: hochgezogen, wo wir Hardware-Komponenten und natürlich auch Software in einem abgeschlossenen

00:16:07: Bereich sehr intensiv testen, penetrieren. Und das sind wir natürlich auch, wir haben

00:16:13: sehr viele eigene Expertinnen natürlich, aber es sind auf die Partnerlandschaft natürlich

00:16:17: auch angewiesen. Also, da haben wir einige Produkte mit euch gemeinsam, also mit ihr

00:16:21: wir haben gemeinsam getestet, durchbenetriert. Und in diesem Lab setzen wir ganz stark auf

00:16:27: Kooperationen, auf Weiterentwicklungen mit den Partnern, Herstellern in unserem branschenladen

00:16:32: Bereich und das entwickelt sich gut, es sind alle dabei, weil wir halt auch die Leittechnik

00:16:38: sicherer machen wollen in Österreich. Wenn wir über Kooperation sprechen und auch über

00:16:42: Erfahrungen aus anderen Branchen, inwiefern schaust du Thomas oder schaut der Verbund

00:16:47: aus Erfahrung von anderen kritischen Infrastrukturen? Ich denke an die Polizei, Feuerwehr aus

00:16:52: Erfahrungen. Gibt es da Austausche? Wir haben sehr, sehr viel Austausche natürlich

00:16:56: mit vielen Bereichen, ganz stark auch mit den militärischen Einrichtungen, weil wir natürlich

00:17:03: auch im Krisenfall hier eine Superkooperation brauchen, damit genau und richtig auch zusammengearbeitet

00:17:09: wird in einem Krisenfall. Wir versuchen uns auch international stärker jetzt auszutauschen,

00:17:15: auch in Europa, auch überregional, also Italien, Deutschland, Schweiz. Es ist ein kleiner Nucleus,

00:17:22: aber der muss größer werden. Das haben wir schon als Thema drauf. Wir bilden uns ein,

00:17:27: dass wir in der Security in Österreich schon im Energiebereich eine Leuchtturmfunktion

00:17:31: haben und wir müssen halt diese Leuchtturmfunktion halt auch noch entsprechend weiter ausbreiten.

00:17:36: Deswegen sind wir da intensiv dran. Dann darf ich eine kleine Erfahrung aus

00:17:40: meinem eigenen Wirkungskreis hier bei Erwin Arthaus sagen. Ich habe gelernt oder durfte

00:17:45: auch mitwirken in Projekten, wo man die Erfahrungen aus den Polizeileitsystemen, insbesondere

00:17:51: die Geografische Informationssysteme, für mich auf die Leutechnik bei den Verteilendetzbetreibern

00:17:59: projiziert. Man sieht, dass dieser Austausch extrem notwendig ist und auch der offene

00:18:05: Austausch. Letztendlich haben wir ja alle ein Ziel. Die Versorgungssicherheit, daran hängen wir alle.

00:18:10: Es ist ja sinnvoll, dass die Community dann auch gemeinschaftlich mit den jeweiligen Experten

00:18:15: und Wolfgang, du hast es mehrfach gesagt, wir haben nicht so viele Experte auf dem Markt. Das ist

00:18:19: sicherlich eine der Herausforderungen, von denen natürlich eine Erwin Arthaus insofern profitiert,

00:18:25: als dass wir die Experten zur Verfügung stellen. Aber das ist natürlich auch eine Herausforderung

00:18:29: für uns, weil wir suchen sie auch. Also absolut, weil man natürlich jetzt diese

00:18:34: OT-Technologie jetzt auch nicht zu homogen ist. Also die Infrastruktur jetzt von einem Verbund

00:18:39: um ein Kraftwerk zu steuern, ist jetzt nicht dieselbe die gleiche Infrastruktur, die jetzt

00:18:44: ein deutscher Automobil erzeuger für seine Fabriken verwendet und nicht dasselbe, was im

00:18:48: Gesundheitsbereich verwendet wird. Also wir reden von einer hohen Komplexität. Und wie gesagt, im

00:18:55: IT-Bereich sind wir seit 20 Jahren plus dran. Im OT-Bereich jetzt wenige Jahre die Besten und

00:19:03: das ist einfach viel zu tun. Und beide Beide betrifft auch die Lieferanten in diese Industrie. Die

00:19:10: Baunkomponenten, die war vor, ich sage jetzt mal, fünf Jahren, war das eine Securite, die immer

00:19:14: kein großes. Mittlerweile ist es ein Must-Half. Und die tun sich auch schwer. Und ich nehme kein

00:19:22: großes deutsches Logo aus. Also es ist nicht so einfach, wie es klingt. Berenicht von drei Wochen.

00:19:28: Also Verbund hat sich jetzt durch die Digital Power konzentriert auf diesen Aufgabenbereiche,

00:19:35: hat sozusagen, wenn ich das so sagen darf, hat die Herausforderungen genommen und sie in einer

00:19:39: Einheit gepackt, damit sie da gebündelt ist. Damit seid ihr jetzt ganz gut aufgestellt. Was,

00:19:44: Thomas, ist denn deine Perspektive auf die Zukunft und Innovationen? Also was habt ihr noch vor und

00:19:48: was wünscht du dir? Was haben wir noch vor? Also aktuell sind wir gerade intensiv dran, eine Leittechnik

00:19:55: Cyber Range hochzuziehen, damit wir erstens unsere Technikerinnen entsprechend ausbilden und

00:19:59: für den Krisenfall vorbereiten. Wie muss ich reagieren, wenn was passiert? Wir harmonisieren

00:20:05: unsere Leitzentralen und damit wird auch das Risiko natürlich größer. Und hier gehen wir intensiv

00:20:10: rein, um hier ein übergreifendes Ausbildungsprogramm einfach zu haben und so eine Art Feuerwehrübung

00:20:15: auch zu simulieren. Also wirklich Unterrauch sozusagen, also wo man schwer Luft kriegt,

00:20:20: damit einfach auch der Stress getestet wird und hier auch die richtigen Entscheidungen getroffen

00:20:24: werden. Da erwarte ich mir sehr viel davon. Das ist ein super spannendes Projekt, wo wir uns dann

00:20:30: auch öffnen möchten, auch für den Markt, wo wir sagen, ja wir stellen das auch zur Verfügung. Da gibt

00:20:34: es nicht so viel in Europa, die solche Simulationen machen oder überhaupt machen können. Sehr stark

00:20:39: natürlich auch virtualisiert, aber auch in einem normalen physikalischen Rahmen mit den Equipments,

00:20:46: die halt im ersten Schritt stark natürlich in der Energiebranche eingesetzt werden. Aber wir

00:20:50: wollen uns dort auch öffnen und halt andere Komponenten dann auch mit reinnehmen. Erwartungshaltungen,

00:20:55: weil du das angesprochen hast, hier schon, also ich möchte es noch einmal überstrapazieren, auch

00:21:01: auf der Herstellerseite natürlich die Bedürfnisse zu erkennen und nicht an Bedarf vorbeizuarbeiten.

00:21:09: Das haben wir auch immer wieder gesehen, auch in der IT oft gesehen. Nicht jeden, ich sage mal,

00:21:15: jeden halb Nachspringen. Und natürlich was für mich ein großes Spannendes Thema ist, wie wird

00:21:20: sich auch die künstliche Intelligenz, sagen wir mal, im ersten Schritt in der IT-Security verbreiten

00:21:25: und uns helfen, besser zu werden, effizienter zu werden. Und wie wird auch dieses Thema auch irgendwann

00:21:30: einmal in die Leittechnik dann einziehen? Es wird sicher kommen, aber da werden noch ein paar Jahre

00:21:35: vergehen. Darf ich aufgreifen? Da bin ich skeptisch. Wenn du sagst, wird ein paar Jahre vergehen. Wir

00:21:41: sehen jetzt gerade in der KI und auch in der Leittechnik einen relativen Boost. Also wir hatten

00:21:46: heute in den Folgen besprochen, dass es einen exponentiellen Ansatz gibt, auch gerade bei KI,

00:21:51: Sensorik. Du sagst, nein, das dauert noch. Also du siehst diese Entwicklung von KI in kritischen

00:21:57: Infrastrukturen eher gemäßigt? Ja, muss ich sehen, weil einfach die Entscheidungen und die,

00:22:02: ich nenn es einmal, das Halluzinieren in dem Umfeld natürlich anders wird. Nicht jetzt dabei den

00:22:08: Predictive-Themen etc., wo wir das ja schon seit Jahren so betreiben. Also dort nicht, aber alles,

00:22:13: was in Richtung, sage ich mal, selbstheilende Themen wird, dort wird es noch dauern. Auf der

00:22:19: Netzwerksseite passiert schon einiges, dass die Administrationsthemen leichter werden,

00:22:23: effizienter werden durch intelligente Systeme, dass ich nicht mehr das tiefe Technikerinnen noch

00:22:28: hau brauche, sondern einfach der KI sage, bitte schau dir mir 17-Borts frei. Das wird passieren,

00:22:33: aber das ist schon da. Aber alles, was in Richtung wirklich jetzt harter klassischer Aussteuerung,

00:22:39: wo Leib und Seele betroffen ist, sozusagen, da wird es noch dauern. Wolfgang, könnten in diesem Fall

00:22:46: vielleicht digitaler Zwillinge unterstützen? Also ich glaube, dass diese Digital Twins, dass das eine

00:22:54: gute Methode ist, ja, weil ich glaube, was wir auch gelernt haben in unseren Überprüfungen,

00:23:00: ich kann jetzt nicht einfach ein Kraftwerkband testen und damit außer Betrieb nehmen. Das ist

00:23:07: in der IT kein Problem. Wenn die Applikation noch mehr dauern ist, dann starte sie wieder. Beim

00:23:11: Kraftwerk und beim Nates, wo möglich auch noch ist, ist es ein Wahnsinn. Also ich glaube, da wird es

00:23:17: ein Standard, eine Standardmöglichkeit sein, wie man quasi die Echtumgebung simuliert und dort eben

00:23:25: dann Schulungen macht, Attacken macht und so weiter. Also ich glaube, das für mich ist ein Must-Have.

00:23:29: Sehe ich ähnlich. Wir haben viel probiert in dem Umfeld und sind zur Kenntnis gekommen, dass

00:23:35: wir bei den neueren Kraftwerken den Zwilling bauen. Bei den Älteren ist es einfach schwierig, ist

00:23:42: einfach der Aufwand unverhältnismäßig, bis ich den digitalen Zwilling soweit habe,

00:23:47: dass ich komplett durchsteuern kann. Das heißt, bei den neueren Anlagen passiert es. Bei den alten

00:23:52: haben wir die Entscheidung getroffen, dass wir das nicht nach Tunen oder Nachpflegen entsprechend.

00:23:57: Noch mal den Aspekt zum Thema Zusammenarbeit und Sicherheitsaspekte. Evident und verbund,

00:24:02: Arthos und Verbund sind ja schon relativ lange zusammen. Also wir arbeiten schon auf einer sehr,

00:24:07: sehr großen Ebene und vielen Jahren zusammen. Wie, Wolfgang, würdest du die Zusammenarbeit beschreiben?

00:24:13: Ja, ich glaube, das ist warum das so lange ist. Es hat eine Sicherheitsunternehmen in Österreich

00:24:20: gegeben, die Säkkonzult, die auf das Thema Bandtesting und Überprüfung spezialisiert war.

00:24:26: Die hat schon begonnen, mit dem Verbund zusammenzuarbeiten. Also dieses OT Lab,

00:24:31: was Thomas erwähnt, haben wir gemeinsam gemacht. Die Säkkonzult wurde dann von Arthos Elveden

00:24:36: übernommen und wir haben die Zusammenarbeit fortgeführt und sind jetzt auch möglich,

00:24:42: sozusagen einen breitere Band anzubieten. Und zu sagen, okay, wir können nicht nur überprüfen,

00:24:50: sondern wir können zum Thema OT-Secure und IT-Secure, die auch Lösungen anbieten,

00:24:55: bis hin zu einem Perimeter Schutz. So hat sich das ergeben, glaube ich.

00:24:59: So eine Perspektive?

00:25:01: Und für mich, ich kenne die Säk auch schon seit Anfang der 2000er im Endeffekt,

00:25:06: also ich glaube seit Gründungsjahren. Sie haben mich sehr intensiv begleitet immer wieder.

00:25:11: Und es ist halt ein Vertrauensthema auch auf der Partnerseite. Das ist eines der wichtigsten

00:25:16: Punkte. Ich muss mich auf jeden Fall verlassen können, gerade im Secure die Bereich muss

00:25:20: hohes Vertrauen herrschen, damit die Informationen richtig und entsprechend auch verteilt werden,

00:25:26: damit man auch die richtigen Dinge tut. Und ich habe schon oft auch erlebt natürlich,

00:25:30: dass auch sehr viel, ich nenne es jetzt einmal Scharlatannerie, auch in unserer Branche oft

00:25:35: unterwegs war. Ich sage mir in unserer Branche IT und so, also wo viel am Hochglanz-Pospekt

00:25:39: über noch hau gesprochen wurde und dann doch nicht da war. Und da habe ich mich immer darauf

00:25:43: verlassen können, dass das recht gut funktioniert.

00:25:45: Wenn wir zum Abschluss nochmal das ganze Ausmaß von OT-Secure, die Autierelevanz und Leitechnik

00:25:51: sehen, dann haben wir, glaube ich, hier sehr deutlich dargestellt. Ihr Beine habt sehr deutlich

00:25:55: dargestellt, dass es eine sehr, sehr große Relevanz hat, die Relevanz immer weiter wächst

00:26:01: durch die Sensorik in den Netz überall, dass wir wirklich mehr Aufmerksamkeit auf OT-Security

00:26:07: setzen müssen. Ihr habt euch darauf vorbereitet und letztendlich ist es wichtig hier eine

00:26:12: Community zu schaffen, ein Netzwerk zu schaffen, um den Herausforderungen entsprechend zu begegnen.

00:26:17: Möchte mich recht herzlich bedanken. Vielleicht Thomas, du darfst nochmal die Perspektive auf

00:26:22: die Zukunft sehen und eine Wünsche nochmal zu dem Thema OT-Security in der Leitechnik

00:26:27: hier sagen.

00:26:28: Meine großen Wünsche in dem Umfeld sind, dass wir auf der Herstellerseite auch diese

00:26:33: Evernes haben. Wobei, ich muss fairerweise sagen, hier hat sich sehr, sehr viel entwickelt

00:26:38: über die letzten Jahre. Wirklich bei den Herstellern, bei den Produktherstellern ist das Thema

00:26:43: angekommen und wird auch vehement verfolgt. Das zweite große Thema ist natürlich auch

00:26:48: das Bewusstseinsschärfen bei den Leitechnikverantwortlichen. Dort ist oft die, ich nenne es einmal so, das Thema,

00:26:56: was wir in der IT schon gesehen haben, wird oft nicht erstens so erkannt und auch etwas

00:27:01: noch abgetan, weil natürlich die OT-Umgebungen immer in einem geschützten Rahmen waren.

00:27:07: Und diese weitere Vernetzung wird größer und damit wird auch das Risiko natürlich größer,

00:27:13: wie wir heute schon diskutiert haben. Also hier wirklich für Evernes sorgen, entsprechend

00:27:18: die Mitarbeiterinnen ausbilden in dem Umfeld auch diese Offenheit zu haben, auch zuzugeben,

00:27:25: dass ich vielleicht in vielen Bereichen doch noch nicht so fit bin. Das ist schon etwas,

00:27:29: was wir auch gesehen haben, wo wir versuchen zu investieren, aber wo es aber nicht so einfach

00:27:34: ist, auch die Kolleginnen und die Menschen auch zu bewegen. So sagen, okay, ich möchte

00:27:38: mit dort weiterbilden, ich möchte dort weiterkommen und möchte einfach mehr wissen als

00:27:43: das, was an der Oberfläche oder was auch das Hochglanz-Pospekt der Hersteller sagt.

00:27:47: Und wie gesagt, wir haben mit unserem Lab versucht hier nicht alles zu glauben, was am

00:27:52: Prospekt steht und haben sehr, sehr viele Dinge gefunden, wo ich mir oft gedacht habe,

00:27:56: ja, kann ja nicht sein, dass das in der heutigen Zeit doch noch so ist und da werden wir noch

00:28:01: viele, viele Themen haben in den nächsten Jahren in dem Umfeld.

00:28:04: Wolfgang, evident Arthaus entwickelt sich auch weiter, wie ist deine Perspektive auf die

00:28:09: Zukunft?

00:28:10: Ja, also ich glaube, wenn ich jetzt das "O" die Security-Thema nehme, ja, wie gesagt aus

00:28:15: meiner Sicht ist noch viel zu tun, ja, und ich glaube, man kann jetzt von der "I" die

00:28:21: Security viel lernen, aber ich glaube, es ist keine Kopie, ja, also es ist kein Kopie

00:28:25: und Best, es ist eine andere Welt, ja, schon allein, wenn man sich die Protokolle anschaut

00:28:30: und wie gesagt, unsere Intention ist es gemeinsam mit unseren Kunden, diese "Tschöne" zu gehen,

00:28:36: diese Reise zu gehen, ja, und sie möglichst breit unterstützen zu können und natürlich

00:28:41: auch davon zu profitieren, dass man dann in verschiedenen Industrien natürlich auch andere

00:28:45: Themen mitnimmt und lernt, ja.

00:28:47: Aber wie gesagt, keiner weiß alles, auch wir nicht, natürlich auch wir haben nicht alle

00:28:51: Experten, aber wenn wir uns gemeinsam auf die Reise begeben, glaube ich, dann wird das

00:28:56: funktionieren.

00:28:57: Thomas Zapf und Wolfgang Baumgartner waren heute zu Gast in dem Podcast "Expanding Utilities"

00:29:02: von Eviden.

00:29:03: Ich darf mich recht herzlich bedanken, dass wir zusammen Aspekte der OT-Sicherheit in

00:29:07: der Leittechnik durchleuchten durften.

00:29:08: Das war eine sehr spannende Episode, ich darf mich herzlich bedanken.

00:29:12: Ja, und wünsche euch noch eine schöne Messe und einen schönen Tag und auch viel Erfolg

00:29:16: bei den Projekten jetzt.

00:29:17: Thomas, vielen Dank, ja.

00:29:18: Vielen Dank.

00:29:19: Danke dir.

00:29:20: Danke.