OT-Security Strategie: Wie Energieversorger ihre Infrastruktur schützen

Shownotes

In dieser Episode sprechen wir über OT-Security in der Energiewirtschaft und kritischen Infrastrukturen. Wir zeigen, warum nur ein ganzheitlichen Ansatzes das Thema angemessen umfasst und bieten Unterstützung für Unternehmen zur Verbesserung ihrer Sicherheitsmaßnahmen an.

Transkript anzeigen

00:00:00: Expanding Utilities, der IT und OT Podcast für die Energiewirtschaft von Everdon.

00:00:08: Hi Laura.

00:00:10: Hi Paul.

00:00:11: Na, wie geht's?

00:00:12: Sehr gut, sehr gut.

00:00:13: Und selbst?

00:00:14: Auch.

00:00:15: Ich bin gespannt, was jetzt die nächsten Minuten auf mich zukommt.

00:00:19: Freu mich sehr über diese spannende Podcastfolge.

00:00:21: Laura, kannst du dir vorstellen, warum wir heute sprechen?

00:00:24: Noch nicht ganz, aber ich könnte mir vorstellen, es geht ums Thema Security.

00:00:29: Damit liegst du schon mal richtig.

00:00:31: Wir sprechen zum Thema "Autisecurity" ein natürlich hochrelevantes Thema, gerade in

00:00:36: einem IT-Podcast für die Energiewirtschaft, stichwort "kritische Infrastrukturen".

00:00:42: Und bevor wir rein starten, Laura, magst du dich ganz kurz vorstellen, dann tue ich

00:00:46: sie gleich.

00:00:47: Ja klar, gerne.

00:00:48: Und danke, dass du mich heute eingeladen hast, hier entsprechend mit dir die nächsten

00:00:53: Minuten zu verbringen und einmal über das Thema zu reden.

00:00:57: Ich selber, genau mein Name ist Laura Quaschning, bin auch in der Evidend angestellt, und zwar

00:01:02: in dem Bereich Cyber Security Services innerhalb von Deutschland.

00:01:06: Ich verantworte bei uns den Bereich für "Autisecurity" im Teil Business Development

00:01:11: innerhalb von Deutschland und auf der globalen und beziehungsweise weltweiten Ebene

00:01:16: gesamtheitlich.

00:01:17: Das heißt, heute geht es ums Thema "Autisecurity" und ja, ich freue mich da mit den Praxisbeispielen

00:01:25: und unseren Ansätzen entsprechend auch einzugehen.

00:01:28: Super, Laura, ich bin sehr froh, dich heute dabei zu haben.

00:01:31: Du sprichst täglich mit deinen Kundinnen und Kunden über ihre Sicherheitsanforderungen

00:01:35: im IT-Bereich, aber auch in der OT.

00:01:38: Begriffserklärung, holen wir gleich noch nach.

00:01:41: Kurz zu mir, mein Name ist Paul Kunz, ich bin Account Manager für Energie- und Versorgungskunden

00:01:46: bei Evidend und darf uns beide, Laura, heute hier durch das Gespräch führen.

00:01:50: Für mich ist es natürlich aus Kundenperspektive immer interessant zu wissen, wo stehen

00:01:54: unsere Kunden, wie können wir sie digitalisieren, wie können wir sie aber vor allem eben auch

00:01:59: absichern, insbesondere in Zeiten von erhöhten Angriffsvektoren und Angriffen, die auf unsere

00:02:05: Kunden zukommen.

00:02:06: Ich glaube, es ist klar, wer seine IT und OT nicht schützt, der riskiert auf jeden Fall

00:02:10: existenzbedrohende Produktionsausfälle, zumindest für die Industrie und in der Versorgungswirtschaft

00:02:17: noch viel relevanter reale Blackout-Szenarien.

00:02:21: Ich glaube, darüber wurde insbesondere beim Anfang des Ukraine-Rusland-Konflikts sehr

00:02:28: viel gesprochen, nach wie vor extrem relevant und die Angriffe nehmen zu.

00:02:33: Von daher immer relevant hat das Thema.

00:02:35: Ich glaube, den meisten unserer Zuhörenden ist es klar.

00:02:38: Trotzdem, lasst uns die Hausaufgabe kurz machen und sagen, was ist eigentlich OT und wie

00:02:43: unterscheidet sie sich von der traditionellen IT?

00:02:46: Ja, da steigen wir doch am besten mit dem Begriff OT selber mal ein.

00:02:50: OT steht für Operational Technology.

00:02:52: Wir arbeiten hier auch, denke ich, durchgehend im Podcast mit der Abkürzung.

00:02:56: Die Operational Technology bezieht sich eben auf die Technologie, die in industriellen

00:03:03: Prozessen und operativen Umgebungen eingesetzt wird.

00:03:06: Also nicht das, was wir klassisch aus dem Büro-Netzwerk der IT kennen, sondern eben alles im industriellen

00:03:13: Umfeld.

00:03:14: Und da geht es eben überwiegend darum, physische Prozesse zu steuern und zu überwachen.

00:03:19: Ich meine, heute ist der Teil der Energiewirtschaft für uns relevant.

00:03:24: Und den schauen wir uns ja heute im Detail an.

00:03:26: Deswegen wofündet man in diesem Feld das ganze Thema OT.

00:03:30: Das sind dann eben die Branchen wie Energieerzeugung, Fertigung, Transport und eben anderen kritischen

00:03:38: Infrastrukturen.

00:03:39: Die nächste Frage, die du wahrscheinlich hast, weil häufig, wenn ich über das Thema OT spreche,

00:03:44: dann ist das Thema Begrößerklärung ja wichtig, aber eben auch dann der Vergleich zur herkömmlichen

00:03:50: IT, also wovren liegen jetzt wirklich die Unterschiede, ist eben tatsächlich der Faktor, wie Informationen

00:03:57: verarbeitet werden.

00:03:58: Also darauf liegt der Fokus eben in der IT.

00:04:01: In der OT geht es eher um das ganze Thema Steuerung von physischen Prozessen und Anlagen.

00:04:06: Im Bereich der OT geht es tatsächlich mehr darum, sich auf das Thema Verfügbarkeit zu

00:04:11: konzentrieren.

00:04:12: Also dass eben die Prozesse weiterlaufen und die Anlagen.

00:04:18: Und im Bereich IT ist das Thema Verfügbarkeit nicht ganz so relevant, sondern da sind die

00:04:24: Aspekte von Integrität und Vertraulichkeit deutlich mehr im Fokus.

00:04:30: Spannend.

00:04:31: Das heißt, das sind zwei Disziplinen, die wir zwingend zu unterscheiden haben.

00:04:35: Einmal natürlich, weil die Aufgaben, die dort in den Bereichen anfallen, sich unterscheiden,

00:04:40: aber auch, wie ich höre, Laura, weil die Zielsetzungen auseinandergehen.

00:04:45: Wir sind nicht beim Thema IT auf Datensicherheit, auf Datenintegrität, Datenverlust.

00:04:51: Schaue, habe ich bei der OT vor allem das Thema Verfügbarkeit.

00:04:55: Jetzt für unsere Zuhörer vielleicht ganz interessant, um die Relevanz von OT hervorzuheben.

00:05:01: Wir haben circa 45 Prozent der Angriffe, die aktuell auf die OT stattfinden.

00:05:09: Im Gegensatz zu 56 Prozent im IT-Bereich.

00:05:12: Das heißt, relativ ausgewogen.

00:05:14: Laura, kannst du dir vorstellen, woran das liegt, dass wir mittlerweile OT und IT so ein bisschen im Gleichgewicht haben,

00:05:20: was zumindest die Angriffswahrscheinlichkeit angeht?

00:05:23: Naja, auf jeden Fall.

00:05:25: Denn OT ist absolut relevant für den Bereich der kritischen Infrastrukturen.

00:05:30: Die kritischen Infrastrukturen bei uns in Deutschland sind eben so definiert,

00:05:35: dass sie im Falle eines Ausfalls oder einer Beeinträchtigung erhebliche Auswirkungen auf unsere nationale Sicherheit haben

00:05:44: oder auch auf die Wirtschaft und eben auch auf das öffentliche Wohlbefinden.

00:05:48: Dort ist auch entsprechend der Geltungsbereich für die OT, um das vielleicht mal als Beispiel hier anzuführen,

00:05:54: damit das noch ein bisschen deutlicher wird, dazu zählen Stromnetze, das ganze Thema Wasserversorgung,

00:05:59: Telekommunikation, Transportwesen, eben auch Gesundheitseinrichtungen.

00:06:04: Das sind alles kritische Infrastrukturen.

00:06:06: Und wenn wir uns jetzt die Energiewirtschaft nehmen, dann ist es eben so,

00:06:10: dass die OT-Systeme in der Energiewirtschaft relevant dafür sind, um die Stromerzeugung zu steuern und zu überwachen

00:06:17: und eben nicht nur die Erzeugung, sondern natürlich auch die Übertragung und Verteilung.

00:06:22: Von daher ist OT absolut relevant und ist eben ein kritischer Prozess in dem Bereich der Energiewirtschaft.

00:06:31: Okay, und insbesondere sehen wir ja in der Energiewirtschaft, Laura, das werdet ihr mit eurem Team auch beobachten,

00:06:37: dass die Energiewirtschaft deutlich digitaler, intelligenter wird.

00:06:42: Wir haben mehr Sensorik an den Netzen, wir haben andere Steuerungsmechanismen,

00:06:48: wir haben sehr viel Intelligenz, die dazu kommt.

00:06:51: Das sind vermutlich auch alles Angriffsvektoren, die es zu schützen gilt, richtig?

00:06:57: Wie fange ich denn da an?

00:06:59: Ja, das erste wichtige Thema ist eigentlich immer der Bereich der Sichtbarkeit,

00:07:03: also tatsächlich sich einen Überblick über seine Assets zu verschaffen,

00:07:08: aber auch nicht nur die Assets selber, sondern natürlich auch das ganze Thema

00:07:12: Kommunikationsbeziehungen zwischen den Assets und natürlich auch der Teil rund um das Thema Prozessen.

00:07:20: Also wie sind heute Prozesse aktuell aufgesetzt?

00:07:22: Ja, wenn man darüber sich eine Sichtbarkeit verschafft hat, geht natürlich die entsprechende Auswertung

00:07:28: mit ein Her und da sind wir relativ schnell auch im Bereich des Risikomanagements.

00:07:34: Also welche Assets haben welchen Wert bei mir und welche potenziellen Risiken bedrohen meine Assets.

00:07:42: Dies dann eben zusammenzubringen ist wichtig, um zu wissen, welche Assets haben welchen Schutzbedarf,

00:07:49: wie passt das in meine gesamte Organisation und in meinem Prozess Setup.

00:07:54: Also Schritt ein, Sichtbarkeit über Assets und dann das ganze Thema Risikomanagement,

00:08:00: Asset-Klassifizierung.

00:08:02: Wenn man die beiden Teile sich angeschaut hat und da entsprechend für sich auch die Transparenz erreicht hat,

00:08:10: dann ist es sehr zu empfehlen, sich eine ganzheitliche Autisekuitisch-Strategie zu überlegen.

00:08:16: Die setzen nämlich auf diesen ersten beiden Punkten auf und zwar geht es dann tatsächlich mehr in die Richtung

00:08:21: die Risiken, die ich jetzt entsprechend identifiziert habe, wie kann ich diese mitigieren oder mindern

00:08:28: und um das eben zu tun, muss man das Ganze natürlich auch priorisieren.

00:08:33: Wie möchte ich, welches Risiko angehen, um wie viel Prozent plan ich das Risiko entsprechend zu reduzieren

00:08:41: und das kostet mich das Ganze entsprechend.

00:08:44: Und in diesem Bereich der Kosten sind wir natürlich dann auch wieder in dem Bereich,

00:08:48: wo man sich überlegt, welche Maßnahmen sind umzusetzen.

00:08:52: Das sind ja nicht nur technische Maßnahmen, das sind auch organisatorische und personelle.

00:08:56: Und das dann eben auf einen Zeitplan zu legen, sollte Teil einer Autisekuitisch-Strategie sein.

00:09:02: Okay, das heißt, ich habe jetzt gerade viele Elemente, die man vielleicht zum Beispiel aus einem NIST Framework kennt,

00:09:08: Identify, Protect, Detect, Respond und Recover hatten wir jetzt gerade noch nicht.

00:09:14: Aber diese Elemente habe ich jetzt gerade schon wiedergefunden, quasi als Einstiegspunkt

00:09:19: und auch schon als erste zentrale Punkt in meiner Autisecuitisch-Strategie.

00:09:24: Wenn ich jetzt Entscheidungsträger in der Energiewirtschaft bin

00:09:28: und ich möchte meine Autisecuitisch-Strategie entweder initial aufsetzen

00:09:33: oder ich möchte vielleicht meine bestehende Autisecuitisch-Strategie prüfen auf ihre Maturität,

00:09:39: was sind die Phasen, die ich in meiner Autisecuitisch-Strategie durchlaufe?

00:09:44: Kannst du das noch einmal zusammenfassen, weil du hast jetzt relativ viel dazu gesagt?

00:09:49: In dem Bereich der Autisecuitisch-Strategie-Erarbeitung, wie eben gesagt,

00:09:53: das erste Thema Sichtbarkeit erreichen, asset discovery,

00:09:57: der zweite Bereich dann das ganze Thema Risikomanagement,

00:10:01: der dritte Bereich dann auf jeden Fall das ganze Thema Autisecuitisch-Strategie überhaupt erstmal erarbeiten

00:10:07: und dann geht das in die konkreten Umsetzungsphasen.

00:10:10: Das wäre dann in einem Fall das ganze Thema Mitigation.

00:10:14: Da zählt zum Beispiel das Thema Netzwerkssegmentierung rein,

00:10:18: das Thema Secure Mode Access, aber eben auch schon diese detektiven Elemente.

00:10:24: Du hast es gerade das NIST Framework erwähnt, wie zum Beispiel das Thema Sweat Detection.

00:10:29: Und dann natürlich haben wir auch die Phase des Betriebs.

00:10:32: Eben wenn die Lösung dann implementiert sind sie auch entsprechend zu betreiben,

00:10:35: denn wir kennen das ja nur eine Lösung zu implementieren, wird nicht reichen,

00:10:39: irgendjemand muss auch entsprechend drauf schauen.

00:10:41: Das heißt, ich spreche mal dann über sowas wie Incident Response

00:10:44: oder kontinuierliches Vulnerability Assessment

00:10:46: oder auch das ganz klassische Thema ein Security Operations Center für den Bereich OOT.

00:10:52: Gut, jetzt sind wir die Phasen einmal durch.

00:10:55: Danke Laura, dass du das noch einmal zusammengefasst hast.

00:10:57: Du hast es gerade unter anderem auch das Thema Sock schon erwähnt, Security Operations Center

00:11:02: als quasi eines meiner zentralen Organisationseinheiten,

00:11:07: die auf potenzielle Bedrohung auf Alert schauen und entsprechend reagieren.

00:11:12: Das ist ja auch Teil, ich meine ich erinnere mich an Systeme zur Angriffserkennung,

00:11:16: IT-Sicherheitsgesetz 2.0.

00:11:18: Ich meine, da taucht ja solche Systeme zur Angriffserkennung auf.

00:11:22: Ist das Sock Teil davon?

00:11:24: Ja, absolut Paul.

00:11:26: Das Sock ist auf jeden Fall Teil von diesem IT-Sicherheitsgesetz 2.0.

00:11:31: Aber ja, vielleicht macht es Sinn, das tatsächlich auch noch mal im Detail zu beleuchten.

00:11:35: Und mal gerade für die Energiewirtschaft ist es ja auf jeden Fall relevant.

00:11:38: Also das IT-Sicherheitsgesetz 2.0 ist seit Mai diesen Jahres im Kraft

00:11:43: und dort gibt es ganz, ganz viele verschiedene Pflichten,

00:11:46: eben nicht nur den Einsatz von System zur Angriffserkennung,

00:11:49: sondern eben auch noch andere Pflichten, die wir schon aus den Vorgängergesetzen kennen,

00:11:54: sowas wie Meldepflichten oder das Durchführen von regelmäßigen Audits.

00:11:57: Aber auch eben ja die Formulierung, die wir auch schon häufiger hatten,

00:12:02: dass eben Systeme nach dem aktuellen Stand der Technik abgesichert sind.

00:12:05: Also um einfach nur mal aufzuzeigen, dass das Gesetz ein wenig umfassender ist,

00:12:11: als nur der Einsatz von System zur Angriffserkennung.

00:12:14: Und wie du sagst, das SOC ist üblicherweise ein Teil davon,

00:12:19: weil diese Systeme zur Angriffserkennung eben immer ein Zusammenschluss

00:12:23: von Personalprozessen und Technologie sind.

00:12:26: Und so ist es ja im Security Operations Center auch.

00:12:29: Das heißt, das System zur Angriffserkennung ist idealerweise

00:12:34: eben tatsächlich eine konkrete Technologie, die auch ausgerollt wird,

00:12:38: um die ganzen Events und Alarme aus den Infrastrukturen zu sammeln.

00:12:43: Und dann eben als zentrale Monitoring Plattform weiterzuleiten.

00:12:49: Irgendjemand muss natürlich auch diese ganzen Informationen entsprechend verarbeiten und bewerten.

00:12:53: Und da gibt es zum Beispiel die Möglichkeit,

00:12:56: entsprechend ein Security Operations Center zu nutzen.

00:12:59: Das können eigene Leute sein, das kann man auch von externen natürlich einkaufen.

00:13:03: Die diese Events und Alarme entsprechend überwachen

00:13:07: und im Falle eines Falles auch reagieren.

00:13:09: Und hier sind wir eigentlich wieder in einem schönen Beispiel.

00:13:13: Ich hatte ja eingangs gesagt, IT und OT sind schon sehr verschieden.

00:13:16: Und das ist auch in diesem Bereich, dass Security Operations Centers

00:13:19: wieder ganz gut ersichtlich, weil vielleicht in der klassischen IT,

00:13:23: wenn jetzt dort einen Vorfall entsprechend beobachtet wird,

00:13:26: dann ist das ein Teil, das wir jetzt auch in der Angriffserkennung

00:13:30: kann man vielleicht einen ganz einfachen Workplace auch mal in Quarantäne versetzen und einfach vom Netz nehmen.

00:13:35: Und in Zweifel passiert nicht viel, der User meldet sich vielleicht beim Service Desk etc.

00:13:41: Und in der OT kann man sowas nicht einfach machen, dass man Systeme vom Netz nimmt, in Quarantäne setzt oder abschaltet,

00:13:48: weil im Zweifel eben auch immer direkte Auswirkungen auf die Umgebung zu erwarten sind.

00:13:55: Und deswegen eben ganz wichtig, Systeme zur Angriffserkennung heißt nicht gleich technische Technologie,

00:14:01: sondern es ist eben immer ein Zusammenschluss von Personalprozessen und Technologie.

00:14:04: Und in diesem Bereich eben ganz wichtig der Teil der Prozesse.

00:14:08: Also wenn jetzt mein System etwas erkannt hat und das Sock entsprechend auch das bestätigt, dass es tatsächlich ein Alarm ist,

00:14:16: dann ist eben sehr, sehr wichtig, der Prozester hinter, wie wird jetzt entsprechend agiert, wer wird eingebunden, wie wird weiter fortgefahren.

00:14:25: Okay, und wenn wir auf diese letzten Phasen sozusagen schauen, dann auf "Respond, Recover", da hattest du schon quasi angeschnitten,

00:14:35: dass die Prozesse stimmen sollen. Jetzt sehen wir trotzdem immer wieder, dass es zu wesentlichen Schäden kommt durch Angriffe auf die IT,

00:14:43: aber eben auch auf die OT.

00:14:44: Fehlt es hier vielleicht in den letzten Phasen an der entsprechenden Regulatorik oder was kann ich als Energieunternehmen tun?

00:14:52: Bin ich hier auf mich allein gestellt?

00:14:54: Ja, es fehlt auf jeden Fall, denke ich, nicht an der entsprechenden Regulatorik.

00:14:58: Wenn man sich mal die Regulatorik in Deutschland oder auf der europäischen Ebene oder auch auf internationalen Ebene anschaut,

00:15:05: dann ist dort auf jeden Fall in den letzten Jahren einiges dazugekommen.

00:15:09: Und man sieht jetzt ja auch, dass immer mehr tatsächlich auf der Roadmap ist.

00:15:13: Also für nächstes Jahr beispielsweise wird das Thema Nes 2, die Nes 2-direktive relevant zum Oktober.

00:15:20: Und auch dort finden sich wieder technische Maßnahmen beschrieben.

00:15:25: Deswegen, ich würde nie sagen, wenn man jetzt komplett ist zu entsprechenden Direktiven oder Gesetzen,

00:15:32: ist man soweit geschützt, sondern es geht natürlich, wie eben auch gesagt, immer darum,

00:15:38: das Ganze als Komplettzusammenschluss zu sehen zwischen Personalprozessen und Technologie.

00:15:43: Heißt, wenn man jetzt ein System ausgerollt hat und keiner drauf schaut, dann ist es natürlich auch sinnlos.

00:15:48: Wenn man jetzt wieder eine Netzwerksigmentierung eingeführt hat, dann hat man ja wirklich auch schon aktiv eine Maßnahme umgesetzt.

00:15:54: Wenn man aber bei dem Teil der Netzwerksigmentierung nicht an seinen Außengrenzen gedacht hat,

00:15:58: also das Stichwort Fernwartungslösung, dann wirkt das natürlich auch ein Risiko.

00:16:03: Deswegen auch hier der Ansatz, die Fans in Dev, also wirklich sich die komplette Kette anschauen für die OT,

00:16:10: Thema physische Sicherheit, Thema Netzwerkssicherheit, Anwendungen, Benutzer und natürlich das ganze Thema Überwachung und Reaktionen.

00:16:18: Und Last but not least natürlich auch irgendwie das Thema Awareness für die Mitarbeiter,

00:16:23: die hier natürlich auch möglicherweise ein Einfalls-Tor bieten.

00:16:26: Und du hattest Recover angeboten, natürlich auch das Thema Notfallpläne, weil man nie irgendetwas ausschließen kann.

00:16:33: Das heißt, man muss auch für den Ernstfall und Krisenfall vorbereitet sein.

00:16:36: Das heißt, ich fasse nochmal zusammen. Es fehlt nicht an Regulierung, denn durch das neue IT-Sicherheitsgesetz 2.0

00:16:42: und auch die neue NIST-Regulierung, die bald in Kraft treten wird,

00:16:45: die entsprechende Regulierung allerdings auf einer relativ hohen Ebene,

00:16:49: wie ich das als Energieversorger umsetze, in welcher Qualität, wie man Risikomanagement aussieht und so weiter.

00:16:55: Das ist natürlich dann im Endeffekt meine eigene Verantwortung.

00:17:00: Und ich verstehe auch, Laura, es gibt nicht die eine Maßnahme, die ich umsetzen kann, damit ihr als Dienstleister im Pentesting,

00:17:08: aber natürlich auch eben Hacker, die real draußen im Feld versuchen, mich anzugreifen, nicht erfolgreich sind.

00:17:15: Das ist richtig. - Das ist korrekt, ja. - Okay, spannend.

00:17:17: Dann ergibt sich für mich noch die letzte Frage.

00:17:21: Ich meine, das sind ja ganz, ganz viele Fragestellungen, ganz, ganz viele Domänen, die ich im Kopf haben muss.

00:17:26: Ja, das scheint erstmal ziemlich überfordernd. Ich habe viele IT-Assets, ich habe viele OT-Assets, die alle zu schützen sind.

00:17:33: Ich habe viele Maßnahmen, in die ich umzusetzen habe, um mich zu schützen, aber auch um den regulatorischen Anforderungen gerecht zu werden.

00:17:39: Laura, als Dienstleister, wenn jemand auf dich zukommt, ein Energieversorgungsunternehmen,

00:17:44: was ist typischerweise die Roadmap, wie geht ihr davor?

00:17:48: Da würde ich wieder auf diesen OT-Security-Journey, den ich eingangs auch so ein bisschen dargelegt hatte, noch mal eingehen.

00:17:55: Weil wir uns auch daran orientieren. Es ist immer wichtig, da zu starten, wo tatsächlich auch das Unternehmen steht,

00:18:03: was unsere Hilfe gerne in Anspruch nehmen möchte.

00:18:06: Deswegen, wenn man da in die einzelnen Phasen reinschaut, haben wir natürlich zuerst im Bereich der Sichtbarkeit und des Risikomanagements

00:18:15: einen starken Consulting-Anteil.

00:18:17: Und das ist auch das, wo wir dann eben erstmal reingehen, starten mit unseren OT-Security-Experten,

00:18:24: dass wir eben den Unternehmen dabei helfen, diese Sichtbarkeit, die sie vielleicht zu dem Zeitpunkt noch nicht komplett haben,

00:18:31: da helfen, diese Sichtbarkeit zu erreichen. Für diese ist Aufnahme.

00:18:36: Und basierend darauf folgen dann idealerweise natürlich die weiteren Phasen, also eben Sichtbarkeit Nummer eins,

00:18:43: aber auch, wie kommunizieren die Assets untereinander und wie ist auch aktuell die Organisation aufgesetzt, die Prozesse

00:18:52: und welche weiteren technischen Maßnahmen gibt es.

00:18:55: Also, man kann das beliebig aufbauen, je nach Reifegrad des Unternehmens und je nachdem, wo man sich in dieser Phase befindet

00:19:01: und das Ganze machen wir eben mit unseren Beratern.

00:19:04: Da gibt es natürlich auch noch Möglichkeiten, das nicht nur rein papierbasiert orientiert an Frameworks abzuarbeiten,

00:19:12: sondern da gibt es natürlich auch die Möglichkeit, entsprechend mit Tools zu unterstützen,

00:19:17: um vielleicht einfach mal an so einem Pilotstandort die Sichtbarkeit zu erreichen.

00:19:22: Wir sehen solche Tools aus, das ist vielleicht für unsere Zuhörer auch ganz interessant.

00:19:25: Ja, da gibt es verschiedenste Wege und Möglichkeiten.

00:19:29: Ich skizziere jetzt mal das, wo wir auch gerne darauf zurückgreifen.

00:19:32: Und zwar hat sich in den letzten Jahren das ganze Thema OT-IDS-System, also,

00:19:37: IDS-System steht für Intrusion Detection System,

00:19:42: gibt es mittlerweile eine breite Herstellerpalette im Markt

00:19:47: und viele von diesen Tools haben eben den Vorteil, dass sie passiv sind und rückwirkungsfrei.

00:19:55: Das heißt, man würde ein solches System einfach an einem Pilotstandort beim Kunden, beim Unternehmen platzieren,

00:20:03: für einen gewissen Zeitraum, zwei bis vier Wochen, kommt auf die Größe drauf an und die Komplexität

00:20:09: und würde dann relativ schnell und auch in gut aufbereiteter Form sehr viel an Daten bekommen.

00:20:17: Welche Asset sind in meinem Netzwerk, ich sprich, von Kommunikationsbeziehung

00:20:21: und kann das dann entsprechend mit dem klassischen Assessmentanteil auch ergänzen.

00:20:27: Okay, das heißt, ich würde jetzt nochmal festhalten, es gibt nicht die eine Maßnahme,

00:20:32: die ich umsetzen kann, damit meine OT geschützt ist,

00:20:36: sondern es ist ein Zusammenspiel aus ganz vielen verschiedenen Maßnahmen, die ich auf mein Unternehmen anpassen muss.

00:20:44: Es gibt aber auch nicht das eine Vorgehen, was ihr jetzt als Evident habt oder wir als Evident haben,

00:20:50: um mit unseren Kunden auf das richtige Schutzniveau zu kommen,

00:20:54: sondern es ist immer eine Individualbetrachtung, die Kunden kommen zu dir, zu deinem Team

00:20:59: und dann wird eben geschaut, welche Maßnahmen werden wir zusammen angehen,

00:21:03: wie hoch ist der Bedarf nachzujustieren.

00:21:07: Lass uns vielleicht nochmal einen kleinen Zukunftsausblick wagen.

00:21:10: Nicht nur die OT unserer Kunden wird besser geschützt,

00:21:13: sondern auch die Bedrohungsszenarien entwickeln sich weiter und die Komplexität nimmt zu.

00:21:20: Wie betrachtest du das ganze Thema, wie wird sich das Thema "Otty Security" in den nächsten Jahren entwickeln?

00:21:27: Was wir auf jeden Fall als Allererstes haben und sehen und das auch schon stand heute,

00:21:33: es wird nur einfach weiter zunehmen, ist das ganze Thema Integration von IT und OT.

00:21:38: Das Stichwort ist hier IT OT Convergence, also dass eben moderne OT-Strukturen

00:21:46: immer mehr auch mit IT-Elementen integriert werden müssen,

00:21:50: dass eben mit dem Ziel der Datenanalyse des Datenaustausches dazu kommt,

00:21:57: noch das Thema Skalierbarkeit und Flexibilität.

00:22:00: In den letzten Jahren, Jahrzehnten war die OT eher stark abgekapselt

00:22:06: und durch die Öffnung zunehmend nach außen bzw. zunehmend mehr IT in der OT

00:22:15: treten dadurch natürlich auch andere Angriffswektoren auf.

00:22:18: Ich denke, ein wichtiger Punkt ist da auch das ganze Thema Supply Chain, also Lieferketten.

00:22:24: Insbesondere wenn wir uns zum Kraftwerk anschauen, gibt es da ja doch sehr, sehr viele Lieferanten,

00:22:31: die entsprechend Systeme in so ein Kraftwerk reinliefern.

00:22:35: Und da, klar, jetzt haben wir über Fernwartungszugriff gesprochen,

00:22:39: wann wird welches System, wie gepatched oder gewartet, aber das ist ja nur ein Teilaspekt.

00:22:45: Potenziell ist das eben ein Einfallstor und auch das wird immer wichtiger.

00:22:51: Spannend, da gibt es ja auch öffentlich bekannte Fälle mittlerweile,

00:22:55: in denen nicht nur die Abhängigkeit zwischen IT und OT relevant ist,

00:23:00: sondern eben auch, du hattest das Stichwort genannt, Lieferketten.

00:23:05: Ich denke jetzt zurück an den SolarWinds-Angriff von 2020.

00:23:11: Also vielleicht magst du uns nochmal ganz kurz abholen, worum es da ging.

00:23:14: Ich meine, das veranschautlicht ja diese Abhängigkeit in der Lieferkette auch nochmal ganz gut.

00:23:19: Ja, der SolarWinds-Angriff ist eigentlich kein spezifischer OT-Angriff,

00:23:25: weil initial hat es eben auf die IT-Systeme von SolarWinds abgezielt,

00:23:31: also es wurde eine Schwachstelle im Update-System ausgenutzt und dadurch konnten Hacker eindringen.

00:23:38: Aber warum es doch so ein bisschen in diesem Bereich der OT Security reinfällt,

00:23:42: ist eben, dass SolarWinds auch im Bereich der OT eingesetzt wird,

00:23:47: insbesondere in Branchen wie Energie oder auch Verteidigung.

00:23:52: Und dadurch, dass eben dort die Software eingesetzt worden ist,

00:23:55: hatte das natürlich immense Auswirkungen.

00:23:58: Ich glaube irgendwie, ich weiß nicht mehr genauer,

00:24:00: ich glaube mehr als 15.000 Kunden waren irgendwie davon mal einträchtigt.

00:24:04: 18.000?

00:24:05: Genau, und wir haben in Deutschland auch einiges davon mitbekommen.

00:24:09: Ja, das ist halt das Thema Lieferkette.

00:24:12: Man kann das nicht komplett ausschließen, es wird auch zunehmend immer wichtiger.

00:24:17: Man kann sich nur überlegen, okay, wie kann ich die Architektur in meinem Kraftwerk

00:24:23: von meiner Anlage entsprechend zukunftsfähig ausrichten,

00:24:28: um eben auch solche Fälle abzudecken.

00:24:30: Da sind so Basswörter wie Serotrasmodelle oder Mikrosegmentierung häufig aufgeführt,

00:24:37: die eben immer das Ziel haben, solche Vorfälle, die immer wieder kommen können

00:24:42: und auch passieren werden, die sich nie komplett ausschließen lassen,

00:24:46: um da einfach sicherzustellen, dass der Zugriff auf die OT-Systeme dann beschränkt ist,

00:24:52: um somit auch das Risiko zu minimieren.

00:24:55: Wir haben viel über die Strategie gesprochen.

00:24:57: Jetzt gibt es natürlich noch viel, viel mehr zu sagen

00:24:59: und vor allem individuell auf die Kundensituation einzugehen.

00:25:02: Von daher möchte ich gerne auch in deinem Namen, Laura,

00:25:05: ich hoffe, dass es in Ordnung unsere Kunden dazu einladen,

00:25:08: mit uns in das Gespräch zu gehen

00:25:10: und individuell auf die bestehende Strategie, aber auf das Erstellen einer Strategie einzugehen.

00:25:18: Laura, du bist zu erreichen?

00:25:20: Ich bin zu erreichen.

00:25:21: Ich freue mich über jeden Anruf und über jede Nachricht

00:25:24: und auf den spannenden Austausch zum Thema OT-Security

00:25:28: und wie eben auch gesagt, eigentlich fast mittlerweile schon eher das Thema IT/OT-Converting.

00:25:34: Jetzt haben wir noch eine letzte, wichtige Herausforderung.

00:25:38: Eigentlich das wichtigste dieser Episode, Laura.

00:25:41: Wir haben, das habe ich dir im Vorgespräch noch gar nicht erzählt,

00:25:45: jedem Podcast-Gast die Aufgabe gestellt.

00:25:49: Was ist denn ein gutes Schlusswort für diesen Podcast?

00:25:52: Weil wir brauchen ein bisschen Wiedererkennungswert.

00:25:54: Laura, hast du da Ideen mitgebracht?

00:25:56: Ich wurde am Anfang gefragt, was ich nicht bin.

00:26:00: Ich glaube, spontan zieht er zu.

00:26:02: Aber vielleicht finden wir etwas Gemeinsames.

00:26:06: Wenn es um Security geht.

00:26:08: Vielleicht was mit Sicherheit.

00:26:09: Es muss auf jeden Fall Security auftauchen.

00:26:12: Also, better stay safe.

00:26:15: Better safe than sorry.

00:26:17: Für sicher ist es cool.

00:26:18: Better safe than sorry, Laura.

00:26:20: Stay secure, Paul.

00:26:23: Ich glaube, die Ideen werden nicht besser.

00:26:25: Wir reichen das nach.

00:26:26: Wir reichen das nach.

00:26:28: An der Stelle vielen Dank fürs Zuhören.

00:26:30: Ich hoffe, es hat euch genauso viel Spaß gemacht wie uns.

00:26:33: Laura, danke, dass du zu unserer Gast warst.

00:26:35: Gerne.

00:26:36: Ich freue mich auf den nächsten gemeinsam Podcast, Paul.

00:26:39: Danke dir.

00:26:40: Bis dann.

00:26:41: Stay safe.

00:26:42: Stay secure.

00:26:43: [Musik]