OT-Security Strategie: Wie Energieversorger ihre Infrastruktur schützen

00:00:00: Expanding Utilities, der IT und OT Podcast für die Energiewirtschaft von Everdon.

00:00:08: Hi Laura.

00:00:10: Hi Paul.

00:00:11: Na, wie geht's?

00:00:12: Sehr gut, sehr gut.

00:00:13: Und selbst?

00:00:14: Auch.

00:00:15: Ich bin gespannt, was jetzt die nächsten Minuten auf mich zukommt.

00:00:19: Freu mich sehr über diese spannende Podcastfolge.

00:00:21: Laura, kannst du dir vorstellen, warum wir heute sprechen?

00:00:24: Noch nicht ganz, aber ich könnte mir vorstellen, es geht ums Thema Security.

00:00:29: Damit liegst du schon mal richtig.

00:00:31: Wir sprechen zum Thema "Autisecurity" ein natürlich hochrelevantes Thema, gerade in

00:00:36: einem IT-Podcast für die Energiewirtschaft, stichwort "kritische Infrastrukturen".

00:00:42: Und bevor wir rein starten, Laura, magst du dich ganz kurz vorstellen, dann tue ich

00:00:46: sie gleich.

00:00:47: Ja klar, gerne.

00:00:48: Und danke, dass du mich heute eingeladen hast, hier entsprechend mit dir die nächsten

00:00:53: Minuten zu verbringen und einmal über das Thema zu reden.

00:00:57: Ich selber, genau mein Name ist Laura Quaschning, bin auch in der Evidend angestellt, und zwar

00:01:02: in dem Bereich Cyber Security Services innerhalb von Deutschland.

00:01:06: Ich verantworte bei uns den Bereich für "Autisecurity" im Teil Business Development

00:01:11: innerhalb von Deutschland und auf der globalen und beziehungsweise weltweiten Ebene

00:01:16: gesamtheitlich.

00:01:17: Das heißt, heute geht es ums Thema "Autisecurity" und ja, ich freue mich da mit den Praxisbeispielen

00:01:25: und unseren Ansätzen entsprechend auch einzugehen.

00:01:28: Super, Laura, ich bin sehr froh, dich heute dabei zu haben.

00:01:31: Du sprichst täglich mit deinen Kundinnen und Kunden über ihre Sicherheitsanforderungen

00:01:35: im IT-Bereich, aber auch in der OT.

00:01:38: Begriffserklärung, holen wir gleich noch nach.

00:01:41: Kurz zu mir, mein Name ist Paul Kunz, ich bin Account Manager für Energie- und Versorgungskunden

00:01:46: bei Evidend und darf uns beide, Laura, heute hier durch das Gespräch führen.

00:01:50: Für mich ist es natürlich aus Kundenperspektive immer interessant zu wissen, wo stehen

00:01:54: unsere Kunden, wie können wir sie digitalisieren, wie können wir sie aber vor allem eben auch

00:01:59: absichern, insbesondere in Zeiten von erhöhten Angriffsvektoren und Angriffen, die auf unsere

00:02:05: Kunden zukommen.

00:02:06: Ich glaube, es ist klar, wer seine IT und OT nicht schützt, der riskiert auf jeden Fall

00:02:10: existenzbedrohende Produktionsausfälle, zumindest für die Industrie und in der Versorgungswirtschaft

00:02:17: noch viel relevanter reale Blackout-Szenarien.

00:02:21: Ich glaube, darüber wurde insbesondere beim Anfang des Ukraine-Rusland-Konflikts sehr

00:02:28: viel gesprochen, nach wie vor extrem relevant und die Angriffe nehmen zu.

00:02:33: Von daher immer relevant hat das Thema.

00:02:35: Ich glaube, den meisten unserer Zuhörenden ist es klar.

00:02:38: Trotzdem, lasst uns die Hausaufgabe kurz machen und sagen, was ist eigentlich OT und wie

00:02:43: unterscheidet sie sich von der traditionellen IT?

00:02:46: Ja, da steigen wir doch am besten mit dem Begriff OT selber mal ein.

00:02:50: OT steht für Operational Technology.

00:02:52: Wir arbeiten hier auch, denke ich, durchgehend im Podcast mit der Abkürzung.

00:02:56: Die Operational Technology bezieht sich eben auf die Technologie, die in industriellen

00:03:03: Prozessen und operativen Umgebungen eingesetzt wird.

00:03:06: Also nicht das, was wir klassisch aus dem Büro-Netzwerk der IT kennen, sondern eben alles im industriellen

00:03:13: Umfeld.

00:03:14: Und da geht es eben überwiegend darum, physische Prozesse zu steuern und zu überwachen.

00:03:19: Ich meine, heute ist der Teil der Energiewirtschaft für uns relevant.

00:03:24: Und den schauen wir uns ja heute im Detail an.

00:03:26: Deswegen wofündet man in diesem Feld das ganze Thema OT.

00:03:30: Das sind dann eben die Branchen wie Energieerzeugung, Fertigung, Transport und eben anderen kritischen

00:03:38: Infrastrukturen.

00:03:39: Die nächste Frage, die du wahrscheinlich hast, weil häufig, wenn ich über das Thema OT spreche,

00:03:44: dann ist das Thema Begrößerklärung ja wichtig, aber eben auch dann der Vergleich zur herkömmlichen

00:03:50: IT, also wovren liegen jetzt wirklich die Unterschiede, ist eben tatsächlich der Faktor, wie Informationen

00:03:57: verarbeitet werden.

00:03:58: Also darauf liegt der Fokus eben in der IT.

00:04:01: In der OT geht es eher um das ganze Thema Steuerung von physischen Prozessen und Anlagen.

00:04:06: Im Bereich der OT geht es tatsächlich mehr darum, sich auf das Thema Verfügbarkeit zu

00:04:11: konzentrieren.

00:04:12: Also dass eben die Prozesse weiterlaufen und die Anlagen.

00:04:18: Und im Bereich IT ist das Thema Verfügbarkeit nicht ganz so relevant, sondern da sind die

00:04:24: Aspekte von Integrität und Vertraulichkeit deutlich mehr im Fokus.

00:04:30: Spannend.

00:04:31: Das heißt, das sind zwei Disziplinen, die wir zwingend zu unterscheiden haben.

00:04:35: Einmal natürlich, weil die Aufgaben, die dort in den Bereichen anfallen, sich unterscheiden,

00:04:40: aber auch, wie ich höre, Laura, weil die Zielsetzungen auseinandergehen.

00:04:45: Wir sind nicht beim Thema IT auf Datensicherheit, auf Datenintegrität, Datenverlust.

00:04:51: Schaue, habe ich bei der OT vor allem das Thema Verfügbarkeit.

00:04:55: Jetzt für unsere Zuhörer vielleicht ganz interessant, um die Relevanz von OT hervorzuheben.

00:05:01: Wir haben circa 45 Prozent der Angriffe, die aktuell auf die OT stattfinden.

00:05:09: Im Gegensatz zu 56 Prozent im IT-Bereich.

00:05:12: Das heißt, relativ ausgewogen.

00:05:14: Laura, kannst du dir vorstellen, woran das liegt, dass wir mittlerweile OT und IT so ein bisschen im Gleichgewicht haben,

00:05:20: was zumindest die Angriffswahrscheinlichkeit angeht?

00:05:23: Naja, auf jeden Fall.

00:05:25: Denn OT ist absolut relevant für den Bereich der kritischen Infrastrukturen.

00:05:30: Die kritischen Infrastrukturen bei uns in Deutschland sind eben so definiert,

00:05:35: dass sie im Falle eines Ausfalls oder einer Beeinträchtigung erhebliche Auswirkungen auf unsere nationale Sicherheit haben

00:05:44: oder auch auf die Wirtschaft und eben auch auf das öffentliche Wohlbefinden.

00:05:48: Dort ist auch entsprechend der Geltungsbereich für die OT, um das vielleicht mal als Beispiel hier anzuführen,

00:05:54: damit das noch ein bisschen deutlicher wird, dazu zählen Stromnetze, das ganze Thema Wasserversorgung,

00:05:59: Telekommunikation, Transportwesen, eben auch Gesundheitseinrichtungen.

00:06:04: Das sind alles kritische Infrastrukturen.

00:06:06: Und wenn wir uns jetzt die Energiewirtschaft nehmen, dann ist es eben so,

00:06:10: dass die OT-Systeme in der Energiewirtschaft relevant dafür sind, um die Stromerzeugung zu steuern und zu überwachen

00:06:17: und eben nicht nur die Erzeugung, sondern natürlich auch die Übertragung und Verteilung.

00:06:22: Von daher ist OT absolut relevant und ist eben ein kritischer Prozess in dem Bereich der Energiewirtschaft.

00:06:31: Okay, und insbesondere sehen wir ja in der Energiewirtschaft, Laura, das werdet ihr mit eurem Team auch beobachten,

00:06:37: dass die Energiewirtschaft deutlich digitaler, intelligenter wird.

00:06:42: Wir haben mehr Sensorik an den Netzen, wir haben andere Steuerungsmechanismen,

00:06:48: wir haben sehr viel Intelligenz, die dazu kommt.

00:06:51: Das sind vermutlich auch alles Angriffsvektoren, die es zu schützen gilt, richtig?

00:06:57: Wie fange ich denn da an?

00:06:59: Ja, das erste wichtige Thema ist eigentlich immer der Bereich der Sichtbarkeit,

00:07:03: also tatsächlich sich einen Überblick über seine Assets zu verschaffen,

00:07:08: aber auch nicht nur die Assets selber, sondern natürlich auch das ganze Thema

00:07:12: Kommunikationsbeziehungen zwischen den Assets und natürlich auch der Teil rund um das Thema Prozessen.

00:07:20: Also wie sind heute Prozesse aktuell aufgesetzt?

00:07:22: Ja, wenn man darüber sich eine Sichtbarkeit verschafft hat, geht natürlich die entsprechende Auswertung

00:07:28: mit ein Her und da sind wir relativ schnell auch im Bereich des Risikomanagements.

00:07:34: Also welche Assets haben welchen Wert bei mir und welche potenziellen Risiken bedrohen meine Assets.

00:07:42: Dies dann eben zusammenzubringen ist wichtig, um zu wissen, welche Assets haben welchen Schutzbedarf,

00:07:49: wie passt das in meine gesamte Organisation und in meinem Prozess Setup.

00:07:54: Also Schritt ein, Sichtbarkeit über Assets und dann das ganze Thema Risikomanagement,

00:08:00: Asset-Klassifizierung.

00:08:02: Wenn man die beiden Teile sich angeschaut hat und da entsprechend für sich auch die Transparenz erreicht hat,

00:08:10: dann ist es sehr zu empfehlen, sich eine ganzheitliche Autisekuitisch-Strategie zu überlegen.

00:08:16: Die setzen nämlich auf diesen ersten beiden Punkten auf und zwar geht es dann tatsächlich mehr in die Richtung

00:08:21: die Risiken, die ich jetzt entsprechend identifiziert habe, wie kann ich diese mitigieren oder mindern

00:08:28: und um das eben zu tun, muss man das Ganze natürlich auch priorisieren.

00:08:33: Wie möchte ich, welches Risiko angehen, um wie viel Prozent plan ich das Risiko entsprechend zu reduzieren

00:08:41: und das kostet mich das Ganze entsprechend.

00:08:44: Und in diesem Bereich der Kosten sind wir natürlich dann auch wieder in dem Bereich,

00:08:48: wo man sich überlegt, welche Maßnahmen sind umzusetzen.

00:08:52: Das sind ja nicht nur technische Maßnahmen, das sind auch organisatorische und personelle.

00:08:56: Und das dann eben auf einen Zeitplan zu legen, sollte Teil einer Autisekuitisch-Strategie sein.

00:09:02: Okay, das heißt, ich habe jetzt gerade viele Elemente, die man vielleicht zum Beispiel aus einem NIST Framework kennt,

00:09:08: Identify, Protect, Detect, Respond und Recover hatten wir jetzt gerade noch nicht.

00:09:14: Aber diese Elemente habe ich jetzt gerade schon wiedergefunden, quasi als Einstiegspunkt

00:09:19: und auch schon als erste zentrale Punkt in meiner Autisecuitisch-Strategie.

00:09:24: Wenn ich jetzt Entscheidungsträger in der Energiewirtschaft bin

00:09:28: und ich möchte meine Autisecuitisch-Strategie entweder initial aufsetzen

00:09:33: oder ich möchte vielleicht meine bestehende Autisecuitisch-Strategie prüfen auf ihre Maturität,

00:09:39: was sind die Phasen, die ich in meiner Autisecuitisch-Strategie durchlaufe?

00:09:44: Kannst du das noch einmal zusammenfassen, weil du hast jetzt relativ viel dazu gesagt?

00:09:49: In dem Bereich der Autisecuitisch-Strategie-Erarbeitung, wie eben gesagt,

00:09:53: das erste Thema Sichtbarkeit erreichen, asset discovery,

00:09:57: der zweite Bereich dann das ganze Thema Risikomanagement,

00:10:01: der dritte Bereich dann auf jeden Fall das ganze Thema Autisecuitisch-Strategie überhaupt erstmal erarbeiten

00:10:07: und dann geht das in die konkreten Umsetzungsphasen.

00:10:10: Das wäre dann in einem Fall das ganze Thema Mitigation.

00:10:14: Da zählt zum Beispiel das Thema Netzwerkssegmentierung rein,

00:10:18: das Thema Secure Mode Access, aber eben auch schon diese detektiven Elemente.

00:10:24: Du hast es gerade das NIST Framework erwähnt, wie zum Beispiel das Thema Sweat Detection.

00:10:29: Und dann natürlich haben wir auch die Phase des Betriebs.

00:10:32: Eben wenn die Lösung dann implementiert sind sie auch entsprechend zu betreiben,

00:10:35: denn wir kennen das ja nur eine Lösung zu implementieren, wird nicht reichen,

00:10:39: irgendjemand muss auch entsprechend drauf schauen.

00:10:41: Das heißt, ich spreche mal dann über sowas wie Incident Response

00:10:44: oder kontinuierliches Vulnerability Assessment

00:10:46: oder auch das ganz klassische Thema ein Security Operations Center für den Bereich OOT.

00:10:52: Gut, jetzt sind wir die Phasen einmal durch.

00:10:55: Danke Laura, dass du das noch einmal zusammengefasst hast.

00:10:57: Du hast es gerade unter anderem auch das Thema Sock schon erwähnt, Security Operations Center

00:11:02: als quasi eines meiner zentralen Organisationseinheiten,

00:11:07: die auf potenzielle Bedrohung auf Alert schauen und entsprechend reagieren.

00:11:12: Das ist ja auch Teil, ich meine ich erinnere mich an Systeme zur Angriffserkennung,

00:11:16: IT-Sicherheitsgesetz 2.0.

00:11:18: Ich meine, da taucht ja solche Systeme zur Angriffserkennung auf.

00:11:22: Ist das Sock Teil davon?

00:11:24: Ja, absolut Paul.

00:11:26: Das Sock ist auf jeden Fall Teil von diesem IT-Sicherheitsgesetz 2.0.

00:11:31: Aber ja, vielleicht macht es Sinn, das tatsächlich auch noch mal im Detail zu beleuchten.

00:11:35: Und mal gerade für die Energiewirtschaft ist es ja auf jeden Fall relevant.

00:11:38: Also das IT-Sicherheitsgesetz 2.0 ist seit Mai diesen Jahres im Kraft

00:11:43: und dort gibt es ganz, ganz viele verschiedene Pflichten,

00:11:46: eben nicht nur den Einsatz von System zur Angriffserkennung,

00:11:49: sondern eben auch noch andere Pflichten, die wir schon aus den Vorgängergesetzen kennen,

00:11:54: sowas wie Meldepflichten oder das Durchführen von regelmäßigen Audits.

00:11:57: Aber auch eben ja die Formulierung, die wir auch schon häufiger hatten,

00:12:02: dass eben Systeme nach dem aktuellen Stand der Technik abgesichert sind.

00:12:05: Also um einfach nur mal aufzuzeigen, dass das Gesetz ein wenig umfassender ist,

00:12:11: als nur der Einsatz von System zur Angriffserkennung.

00:12:14: Und wie du sagst, das SOC ist üblicherweise ein Teil davon,

00:12:19: weil diese Systeme zur Angriffserkennung eben immer ein Zusammenschluss

00:12:23: von Personalprozessen und Technologie sind.

00:12:26: Und so ist es ja im Security Operations Center auch.

00:12:29: Das heißt, das System zur Angriffserkennung ist idealerweise

00:12:34: eben tatsächlich eine konkrete Technologie, die auch ausgerollt wird,

00:12:38: um die ganzen Events und Alarme aus den Infrastrukturen zu sammeln.

00:12:43: Und dann eben als zentrale Monitoring Plattform weiterzuleiten.

00:12:49: Irgendjemand muss natürlich auch diese ganzen Informationen entsprechend verarbeiten und bewerten.

00:12:53: Und da gibt es zum Beispiel die Möglichkeit,

00:12:56: entsprechend ein Security Operations Center zu nutzen.

00:12:59: Das können eigene Leute sein, das kann man auch von externen natürlich einkaufen.

00:13:03: Die diese Events und Alarme entsprechend überwachen

00:13:07: und im Falle eines Falles auch reagieren.

00:13:09: Und hier sind wir eigentlich wieder in einem schönen Beispiel.

00:13:13: Ich hatte ja eingangs gesagt, IT und OT sind schon sehr verschieden.

00:13:16: Und das ist auch in diesem Bereich, dass Security Operations Centers

00:13:19: wieder ganz gut ersichtlich, weil vielleicht in der klassischen IT,

00:13:23: wenn jetzt dort einen Vorfall entsprechend beobachtet wird,

00:13:26: dann ist das ein Teil, das wir jetzt auch in der Angriffserkennung

00:13:30: kann man vielleicht einen ganz einfachen Workplace auch mal in Quarantäne versetzen und einfach vom Netz nehmen.

00:13:35: Und in Zweifel passiert nicht viel, der User meldet sich vielleicht beim Service Desk etc.

00:13:41: Und in der OT kann man sowas nicht einfach machen, dass man Systeme vom Netz nimmt, in Quarantäne setzt oder abschaltet,

00:13:48: weil im Zweifel eben auch immer direkte Auswirkungen auf die Umgebung zu erwarten sind.

00:13:55: Und deswegen eben ganz wichtig, Systeme zur Angriffserkennung heißt nicht gleich technische Technologie,

00:14:01: sondern es ist eben immer ein Zusammenschluss von Personalprozessen und Technologie.

00:14:04: Und in diesem Bereich eben ganz wichtig der Teil der Prozesse.

00:14:08: Also wenn jetzt mein System etwas erkannt hat und das Sock entsprechend auch das bestätigt, dass es tatsächlich ein Alarm ist,

00:14:16: dann ist eben sehr, sehr wichtig, der Prozester hinter, wie wird jetzt entsprechend agiert, wer wird eingebunden, wie wird weiter fortgefahren.

00:14:25: Okay, und wenn wir auf diese letzten Phasen sozusagen schauen, dann auf "Respond, Recover", da hattest du schon quasi angeschnitten,

00:14:35: dass die Prozesse stimmen sollen. Jetzt sehen wir trotzdem immer wieder, dass es zu wesentlichen Schäden kommt durch Angriffe auf die IT,

00:14:43: aber eben auch auf die OT.

00:14:44: Fehlt es hier vielleicht in den letzten Phasen an der entsprechenden Regulatorik oder was kann ich als Energieunternehmen tun?

00:14:52: Bin ich hier auf mich allein gestellt?

00:14:54: Ja, es fehlt auf jeden Fall, denke ich, nicht an der entsprechenden Regulatorik.

00:14:58: Wenn man sich mal die Regulatorik in Deutschland oder auf der europäischen Ebene oder auch auf internationalen Ebene anschaut,

00:15:05: dann ist dort auf jeden Fall in den letzten Jahren einiges dazugekommen.

00:15:09: Und man sieht jetzt ja auch, dass immer mehr tatsächlich auf der Roadmap ist.

00:15:13: Also für nächstes Jahr beispielsweise wird das Thema Nes 2, die Nes 2-direktive relevant zum Oktober.

00:15:20: Und auch dort finden sich wieder technische Maßnahmen beschrieben.

00:15:25: Deswegen, ich würde nie sagen, wenn man jetzt komplett ist zu entsprechenden Direktiven oder Gesetzen,

00:15:32: ist man soweit geschützt, sondern es geht natürlich, wie eben auch gesagt, immer darum,

00:15:38: das Ganze als Komplettzusammenschluss zu sehen zwischen Personalprozessen und Technologie.

00:15:43: Heißt, wenn man jetzt ein System ausgerollt hat und keiner drauf schaut, dann ist es natürlich auch sinnlos.

00:15:48: Wenn man jetzt wieder eine Netzwerksigmentierung eingeführt hat, dann hat man ja wirklich auch schon aktiv eine Maßnahme umgesetzt.

00:15:54: Wenn man aber bei dem Teil der Netzwerksigmentierung nicht an seinen Außengrenzen gedacht hat,

00:15:58: also das Stichwort Fernwartungslösung, dann wirkt das natürlich auch ein Risiko.

00:16:03: Deswegen auch hier der Ansatz, die Fans in Dev, also wirklich sich die komplette Kette anschauen für die OT,

00:16:10: Thema physische Sicherheit, Thema Netzwerkssicherheit, Anwendungen, Benutzer und natürlich das ganze Thema Überwachung und Reaktionen.

00:16:18: Und Last but not least natürlich auch irgendwie das Thema Awareness für die Mitarbeiter,

00:16:23: die hier natürlich auch möglicherweise ein Einfalls-Tor bieten.

00:16:26: Und du hattest Recover angeboten, natürlich auch das Thema Notfallpläne, weil man nie irgendetwas ausschließen kann.

00:16:33: Das heißt, man muss auch für den Ernstfall und Krisenfall vorbereitet sein.

00:16:36: Das heißt, ich fasse nochmal zusammen. Es fehlt nicht an Regulierung, denn durch das neue IT-Sicherheitsgesetz 2.0

00:16:42: und auch die neue NIST-Regulierung, die bald in Kraft treten wird,

00:16:45: die entsprechende Regulierung allerdings auf einer relativ hohen Ebene,

00:16:49: wie ich das als Energieversorger umsetze, in welcher Qualität, wie man Risikomanagement aussieht und so weiter.

00:16:55: Das ist natürlich dann im Endeffekt meine eigene Verantwortung.

00:17:00: Und ich verstehe auch, Laura, es gibt nicht die eine Maßnahme, die ich umsetzen kann, damit ihr als Dienstleister im Pentesting,

00:17:08: aber natürlich auch eben Hacker, die real draußen im Feld versuchen, mich anzugreifen, nicht erfolgreich sind.

00:17:15: Das ist richtig. - Das ist korrekt, ja. - Okay, spannend.

00:17:17: Dann ergibt sich für mich noch die letzte Frage.

00:17:21: Ich meine, das sind ja ganz, ganz viele Fragestellungen, ganz, ganz viele Domänen, die ich im Kopf haben muss.

00:17:26: Ja, das scheint erstmal ziemlich überfordernd. Ich habe viele IT-Assets, ich habe viele OT-Assets, die alle zu schützen sind.

00:17:33: Ich habe viele Maßnahmen, in die ich umzusetzen habe, um mich zu schützen, aber auch um den regulatorischen Anforderungen gerecht zu werden.

00:17:39: Laura, als Dienstleister, wenn jemand auf dich zukommt, ein Energieversorgungsunternehmen,

00:17:44: was ist typischerweise die Roadmap, wie geht ihr davor?

00:17:48: Da würde ich wieder auf diesen OT-Security-Journey, den ich eingangs auch so ein bisschen dargelegt hatte, noch mal eingehen.

00:17:55: Weil wir uns auch daran orientieren. Es ist immer wichtig, da zu starten, wo tatsächlich auch das Unternehmen steht,

00:18:03: was unsere Hilfe gerne in Anspruch nehmen möchte.

00:18:06: Deswegen, wenn man da in die einzelnen Phasen reinschaut, haben wir natürlich zuerst im Bereich der Sichtbarkeit und des Risikomanagements

00:18:15: einen starken Consulting-Anteil.

00:18:17: Und das ist auch das, wo wir dann eben erstmal reingehen, starten mit unseren OT-Security-Experten,

00:18:24: dass wir eben den Unternehmen dabei helfen, diese Sichtbarkeit, die sie vielleicht zu dem Zeitpunkt noch nicht komplett haben,

00:18:31: da helfen, diese Sichtbarkeit zu erreichen. Für diese ist Aufnahme.

00:18:36: Und basierend darauf folgen dann idealerweise natürlich die weiteren Phasen, also eben Sichtbarkeit Nummer eins,

00:18:43: aber auch, wie kommunizieren die Assets untereinander und wie ist auch aktuell die Organisation aufgesetzt, die Prozesse

00:18:52: und welche weiteren technischen Maßnahmen gibt es.

00:18:55: Also, man kann das beliebig aufbauen, je nach Reifegrad des Unternehmens und je nachdem, wo man sich in dieser Phase befindet

00:19:01: und das Ganze machen wir eben mit unseren Beratern.

00:19:04: Da gibt es natürlich auch noch Möglichkeiten, das nicht nur rein papierbasiert orientiert an Frameworks abzuarbeiten,

00:19:12: sondern da gibt es natürlich auch die Möglichkeit, entsprechend mit Tools zu unterstützen,

00:19:17: um vielleicht einfach mal an so einem Pilotstandort die Sichtbarkeit zu erreichen.

00:19:22: Wir sehen solche Tools aus, das ist vielleicht für unsere Zuhörer auch ganz interessant.

00:19:25: Ja, da gibt es verschiedenste Wege und Möglichkeiten.

00:19:29: Ich skizziere jetzt mal das, wo wir auch gerne darauf zurückgreifen.

00:19:32: Und zwar hat sich in den letzten Jahren das ganze Thema OT-IDS-System, also,

00:19:37: IDS-System steht für Intrusion Detection System,

00:19:42: gibt es mittlerweile eine breite Herstellerpalette im Markt

00:19:47: und viele von diesen Tools haben eben den Vorteil, dass sie passiv sind und rückwirkungsfrei.

00:19:55: Das heißt, man würde ein solches System einfach an einem Pilotstandort beim Kunden, beim Unternehmen platzieren,

00:20:03: für einen gewissen Zeitraum, zwei bis vier Wochen, kommt auf die Größe drauf an und die Komplexität

00:20:09: und würde dann relativ schnell und auch in gut aufbereiteter Form sehr viel an Daten bekommen.

00:20:17: Welche Asset sind in meinem Netzwerk, ich sprich, von Kommunikationsbeziehung

00:20:21: und kann das dann entsprechend mit dem klassischen Assessmentanteil auch ergänzen.

00:20:27: Okay, das heißt, ich würde jetzt nochmal festhalten, es gibt nicht die eine Maßnahme,

00:20:32: die ich umsetzen kann, damit meine OT geschützt ist,

00:20:36: sondern es ist ein Zusammenspiel aus ganz vielen verschiedenen Maßnahmen, die ich auf mein Unternehmen anpassen muss.

00:20:44: Es gibt aber auch nicht das eine Vorgehen, was ihr jetzt als Evident habt oder wir als Evident haben,

00:20:50: um mit unseren Kunden auf das richtige Schutzniveau zu kommen,

00:20:54: sondern es ist immer eine Individualbetrachtung, die Kunden kommen zu dir, zu deinem Team

00:20:59: und dann wird eben geschaut, welche Maßnahmen werden wir zusammen angehen,

00:21:03: wie hoch ist der Bedarf nachzujustieren.

00:21:07: Lass uns vielleicht nochmal einen kleinen Zukunftsausblick wagen.

00:21:10: Nicht nur die OT unserer Kunden wird besser geschützt,

00:21:13: sondern auch die Bedrohungsszenarien entwickeln sich weiter und die Komplexität nimmt zu.

00:21:20: Wie betrachtest du das ganze Thema, wie wird sich das Thema "Otty Security" in den nächsten Jahren entwickeln?

00:21:27: Was wir auf jeden Fall als Allererstes haben und sehen und das auch schon stand heute,

00:21:33: es wird nur einfach weiter zunehmen, ist das ganze Thema Integration von IT und OT.

00:21:38: Das Stichwort ist hier IT OT Convergence, also dass eben moderne OT-Strukturen

00:21:46: immer mehr auch mit IT-Elementen integriert werden müssen,

00:21:50: dass eben mit dem Ziel der Datenanalyse des Datenaustausches dazu kommt,

00:21:57: noch das Thema Skalierbarkeit und Flexibilität.

00:22:00: In den letzten Jahren, Jahrzehnten war die OT eher stark abgekapselt

00:22:06: und durch die Öffnung zunehmend nach außen bzw. zunehmend mehr IT in der OT

00:22:15: treten dadurch natürlich auch andere Angriffswektoren auf.

00:22:18: Ich denke, ein wichtiger Punkt ist da auch das ganze Thema Supply Chain, also Lieferketten.

00:22:24: Insbesondere wenn wir uns zum Kraftwerk anschauen, gibt es da ja doch sehr, sehr viele Lieferanten,

00:22:31: die entsprechend Systeme in so ein Kraftwerk reinliefern.

00:22:35: Und da, klar, jetzt haben wir über Fernwartungszugriff gesprochen,

00:22:39: wann wird welches System, wie gepatched oder gewartet, aber das ist ja nur ein Teilaspekt.

00:22:45: Potenziell ist das eben ein Einfallstor und auch das wird immer wichtiger.

00:22:51: Spannend, da gibt es ja auch öffentlich bekannte Fälle mittlerweile,

00:22:55: in denen nicht nur die Abhängigkeit zwischen IT und OT relevant ist,

00:23:00: sondern eben auch, du hattest das Stichwort genannt, Lieferketten.

00:23:05: Ich denke jetzt zurück an den SolarWinds-Angriff von 2020.

00:23:11: Also vielleicht magst du uns nochmal ganz kurz abholen, worum es da ging.

00:23:14: Ich meine, das veranschautlicht ja diese Abhängigkeit in der Lieferkette auch nochmal ganz gut.

00:23:19: Ja, der SolarWinds-Angriff ist eigentlich kein spezifischer OT-Angriff,

00:23:25: weil initial hat es eben auf die IT-Systeme von SolarWinds abgezielt,

00:23:31: also es wurde eine Schwachstelle im Update-System ausgenutzt und dadurch konnten Hacker eindringen.

00:23:38: Aber warum es doch so ein bisschen in diesem Bereich der OT Security reinfällt,

00:23:42: ist eben, dass SolarWinds auch im Bereich der OT eingesetzt wird,

00:23:47: insbesondere in Branchen wie Energie oder auch Verteidigung.

00:23:52: Und dadurch, dass eben dort die Software eingesetzt worden ist,

00:23:55: hatte das natürlich immense Auswirkungen.

00:23:58: Ich glaube irgendwie, ich weiß nicht mehr genauer,

00:24:00: ich glaube mehr als 15.000 Kunden waren irgendwie davon mal einträchtigt.

00:24:04: 18.000?

00:24:05: Genau, und wir haben in Deutschland auch einiges davon mitbekommen.

00:24:09: Ja, das ist halt das Thema Lieferkette.

00:24:12: Man kann das nicht komplett ausschließen, es wird auch zunehmend immer wichtiger.

00:24:17: Man kann sich nur überlegen, okay, wie kann ich die Architektur in meinem Kraftwerk

00:24:23: von meiner Anlage entsprechend zukunftsfähig ausrichten,

00:24:28: um eben auch solche Fälle abzudecken.

00:24:30: Da sind so Basswörter wie Serotrasmodelle oder Mikrosegmentierung häufig aufgeführt,

00:24:37: die eben immer das Ziel haben, solche Vorfälle, die immer wieder kommen können

00:24:42: und auch passieren werden, die sich nie komplett ausschließen lassen,

00:24:46: um da einfach sicherzustellen, dass der Zugriff auf die OT-Systeme dann beschränkt ist,

00:24:52: um somit auch das Risiko zu minimieren.

00:24:55: Wir haben viel über die Strategie gesprochen.

00:24:57: Jetzt gibt es natürlich noch viel, viel mehr zu sagen

00:24:59: und vor allem individuell auf die Kundensituation einzugehen.

00:25:02: Von daher möchte ich gerne auch in deinem Namen, Laura,

00:25:05: ich hoffe, dass es in Ordnung unsere Kunden dazu einladen,

00:25:08: mit uns in das Gespräch zu gehen

00:25:10: und individuell auf die bestehende Strategie, aber auf das Erstellen einer Strategie einzugehen.

00:25:18: Laura, du bist zu erreichen?

00:25:20: Ich bin zu erreichen.

00:25:21: Ich freue mich über jeden Anruf und über jede Nachricht

00:25:24: und auf den spannenden Austausch zum Thema OT-Security

00:25:28: und wie eben auch gesagt, eigentlich fast mittlerweile schon eher das Thema IT/OT-Converting.

00:25:34: Jetzt haben wir noch eine letzte, wichtige Herausforderung.

00:25:38: Eigentlich das wichtigste dieser Episode, Laura.

00:25:41: Wir haben, das habe ich dir im Vorgespräch noch gar nicht erzählt,

00:25:45: jedem Podcast-Gast die Aufgabe gestellt.

00:25:49: Was ist denn ein gutes Schlusswort für diesen Podcast?

00:25:52: Weil wir brauchen ein bisschen Wiedererkennungswert.

00:25:54: Laura, hast du da Ideen mitgebracht?

00:25:56: Ich wurde am Anfang gefragt, was ich nicht bin.

00:26:00: Ich glaube, spontan zieht er zu.

00:26:02: Aber vielleicht finden wir etwas Gemeinsames.

00:26:06: Wenn es um Security geht.

00:26:08: Vielleicht was mit Sicherheit.

00:26:09: Es muss auf jeden Fall Security auftauchen.

00:26:12: Also, better stay safe.

00:26:15: Better safe than sorry.

00:26:17: Für sicher ist es cool.

00:26:18: Better safe than sorry, Laura.

00:26:20: Stay secure, Paul.

00:26:23: Ich glaube, die Ideen werden nicht besser.

00:26:25: Wir reichen das nach.

00:26:26: Wir reichen das nach.

00:26:28: An der Stelle vielen Dank fürs Zuhören.

00:26:30: Ich hoffe, es hat euch genauso viel Spaß gemacht wie uns.

00:26:33: Laura, danke, dass du zu unserer Gast warst.

00:26:35: Gerne.

00:26:36: Ich freue mich auf den nächsten gemeinsam Podcast, Paul.

00:26:39: Danke dir.

00:26:40: Bis dann.

00:26:41: Stay safe.

00:26:42: Stay secure.

00:26:43: [Musik]