OT-Security Strategie: Wie Energieversorger ihre Infrastruktur schützen
Shownotes
In dieser Episode sprechen wir über OT-Security in der Energiewirtschaft und kritischen Infrastrukturen. Wir zeigen, warum nur ein ganzheitlichen Ansatzes das Thema angemessen umfasst und bieten Unterstützung für Unternehmen zur Verbesserung ihrer Sicherheitsmaßnahmen an.
Transkript anzeigen
00:00:00: Expanding Utilities, der IT und OT Podcast für die Energiewirtschaft von Everdon.
00:00:08: Hi Laura.
00:00:10: Hi Paul.
00:00:11: Na, wie geht's?
00:00:12: Sehr gut, sehr gut.
00:00:13: Und selbst?
00:00:14: Auch.
00:00:15: Ich bin gespannt, was jetzt die nächsten Minuten auf mich zukommt.
00:00:19: Freu mich sehr über diese spannende Podcastfolge.
00:00:21: Laura, kannst du dir vorstellen, warum wir heute sprechen?
00:00:24: Noch nicht ganz, aber ich könnte mir vorstellen, es geht ums Thema Security.
00:00:29: Damit liegst du schon mal richtig.
00:00:31: Wir sprechen zum Thema "Autisecurity" ein natürlich hochrelevantes Thema, gerade in
00:00:36: einem IT-Podcast für die Energiewirtschaft, stichwort "kritische Infrastrukturen".
00:00:42: Und bevor wir rein starten, Laura, magst du dich ganz kurz vorstellen, dann tue ich
00:00:46: sie gleich.
00:00:47: Ja klar, gerne.
00:00:48: Und danke, dass du mich heute eingeladen hast, hier entsprechend mit dir die nächsten
00:00:53: Minuten zu verbringen und einmal über das Thema zu reden.
00:00:57: Ich selber, genau mein Name ist Laura Quaschning, bin auch in der Evidend angestellt, und zwar
00:01:02: in dem Bereich Cyber Security Services innerhalb von Deutschland.
00:01:06: Ich verantworte bei uns den Bereich für "Autisecurity" im Teil Business Development
00:01:11: innerhalb von Deutschland und auf der globalen und beziehungsweise weltweiten Ebene
00:01:16: gesamtheitlich.
00:01:17: Das heißt, heute geht es ums Thema "Autisecurity" und ja, ich freue mich da mit den Praxisbeispielen
00:01:25: und unseren Ansätzen entsprechend auch einzugehen.
00:01:28: Super, Laura, ich bin sehr froh, dich heute dabei zu haben.
00:01:31: Du sprichst täglich mit deinen Kundinnen und Kunden über ihre Sicherheitsanforderungen
00:01:35: im IT-Bereich, aber auch in der OT.
00:01:38: Begriffserklärung, holen wir gleich noch nach.
00:01:41: Kurz zu mir, mein Name ist Paul Kunz, ich bin Account Manager für Energie- und Versorgungskunden
00:01:46: bei Evidend und darf uns beide, Laura, heute hier durch das Gespräch führen.
00:01:50: Für mich ist es natürlich aus Kundenperspektive immer interessant zu wissen, wo stehen
00:01:54: unsere Kunden, wie können wir sie digitalisieren, wie können wir sie aber vor allem eben auch
00:01:59: absichern, insbesondere in Zeiten von erhöhten Angriffsvektoren und Angriffen, die auf unsere
00:02:05: Kunden zukommen.
00:02:06: Ich glaube, es ist klar, wer seine IT und OT nicht schützt, der riskiert auf jeden Fall
00:02:10: existenzbedrohende Produktionsausfälle, zumindest für die Industrie und in der Versorgungswirtschaft
00:02:17: noch viel relevanter reale Blackout-Szenarien.
00:02:21: Ich glaube, darüber wurde insbesondere beim Anfang des Ukraine-Rusland-Konflikts sehr
00:02:28: viel gesprochen, nach wie vor extrem relevant und die Angriffe nehmen zu.
00:02:33: Von daher immer relevant hat das Thema.
00:02:35: Ich glaube, den meisten unserer Zuhörenden ist es klar.
00:02:38: Trotzdem, lasst uns die Hausaufgabe kurz machen und sagen, was ist eigentlich OT und wie
00:02:43: unterscheidet sie sich von der traditionellen IT?
00:02:46: Ja, da steigen wir doch am besten mit dem Begriff OT selber mal ein.
00:02:50: OT steht für Operational Technology.
00:02:52: Wir arbeiten hier auch, denke ich, durchgehend im Podcast mit der Abkürzung.
00:02:56: Die Operational Technology bezieht sich eben auf die Technologie, die in industriellen
00:03:03: Prozessen und operativen Umgebungen eingesetzt wird.
00:03:06: Also nicht das, was wir klassisch aus dem Büro-Netzwerk der IT kennen, sondern eben alles im industriellen
00:03:13: Umfeld.
00:03:14: Und da geht es eben überwiegend darum, physische Prozesse zu steuern und zu überwachen.
00:03:19: Ich meine, heute ist der Teil der Energiewirtschaft für uns relevant.
00:03:24: Und den schauen wir uns ja heute im Detail an.
00:03:26: Deswegen wofündet man in diesem Feld das ganze Thema OT.
00:03:30: Das sind dann eben die Branchen wie Energieerzeugung, Fertigung, Transport und eben anderen kritischen
00:03:38: Infrastrukturen.
00:03:39: Die nächste Frage, die du wahrscheinlich hast, weil häufig, wenn ich über das Thema OT spreche,
00:03:44: dann ist das Thema Begrößerklärung ja wichtig, aber eben auch dann der Vergleich zur herkömmlichen
00:03:50: IT, also wovren liegen jetzt wirklich die Unterschiede, ist eben tatsächlich der Faktor, wie Informationen
00:03:57: verarbeitet werden.
00:03:58: Also darauf liegt der Fokus eben in der IT.
00:04:01: In der OT geht es eher um das ganze Thema Steuerung von physischen Prozessen und Anlagen.
00:04:06: Im Bereich der OT geht es tatsächlich mehr darum, sich auf das Thema Verfügbarkeit zu
00:04:11: konzentrieren.
00:04:12: Also dass eben die Prozesse weiterlaufen und die Anlagen.
00:04:18: Und im Bereich IT ist das Thema Verfügbarkeit nicht ganz so relevant, sondern da sind die
00:04:24: Aspekte von Integrität und Vertraulichkeit deutlich mehr im Fokus.
00:04:30: Spannend.
00:04:31: Das heißt, das sind zwei Disziplinen, die wir zwingend zu unterscheiden haben.
00:04:35: Einmal natürlich, weil die Aufgaben, die dort in den Bereichen anfallen, sich unterscheiden,
00:04:40: aber auch, wie ich höre, Laura, weil die Zielsetzungen auseinandergehen.
00:04:45: Wir sind nicht beim Thema IT auf Datensicherheit, auf Datenintegrität, Datenverlust.
00:04:51: Schaue, habe ich bei der OT vor allem das Thema Verfügbarkeit.
00:04:55: Jetzt für unsere Zuhörer vielleicht ganz interessant, um die Relevanz von OT hervorzuheben.
00:05:01: Wir haben circa 45 Prozent der Angriffe, die aktuell auf die OT stattfinden.
00:05:09: Im Gegensatz zu 56 Prozent im IT-Bereich.
00:05:12: Das heißt, relativ ausgewogen.
00:05:14: Laura, kannst du dir vorstellen, woran das liegt, dass wir mittlerweile OT und IT so ein bisschen im Gleichgewicht haben,
00:05:20: was zumindest die Angriffswahrscheinlichkeit angeht?
00:05:23: Naja, auf jeden Fall.
00:05:25: Denn OT ist absolut relevant für den Bereich der kritischen Infrastrukturen.
00:05:30: Die kritischen Infrastrukturen bei uns in Deutschland sind eben so definiert,
00:05:35: dass sie im Falle eines Ausfalls oder einer Beeinträchtigung erhebliche Auswirkungen auf unsere nationale Sicherheit haben
00:05:44: oder auch auf die Wirtschaft und eben auch auf das öffentliche Wohlbefinden.
00:05:48: Dort ist auch entsprechend der Geltungsbereich für die OT, um das vielleicht mal als Beispiel hier anzuführen,
00:05:54: damit das noch ein bisschen deutlicher wird, dazu zählen Stromnetze, das ganze Thema Wasserversorgung,
00:05:59: Telekommunikation, Transportwesen, eben auch Gesundheitseinrichtungen.
00:06:04: Das sind alles kritische Infrastrukturen.
00:06:06: Und wenn wir uns jetzt die Energiewirtschaft nehmen, dann ist es eben so,
00:06:10: dass die OT-Systeme in der Energiewirtschaft relevant dafür sind, um die Stromerzeugung zu steuern und zu überwachen
00:06:17: und eben nicht nur die Erzeugung, sondern natürlich auch die Übertragung und Verteilung.
00:06:22: Von daher ist OT absolut relevant und ist eben ein kritischer Prozess in dem Bereich der Energiewirtschaft.
00:06:31: Okay, und insbesondere sehen wir ja in der Energiewirtschaft, Laura, das werdet ihr mit eurem Team auch beobachten,
00:06:37: dass die Energiewirtschaft deutlich digitaler, intelligenter wird.
00:06:42: Wir haben mehr Sensorik an den Netzen, wir haben andere Steuerungsmechanismen,
00:06:48: wir haben sehr viel Intelligenz, die dazu kommt.
00:06:51: Das sind vermutlich auch alles Angriffsvektoren, die es zu schützen gilt, richtig?
00:06:57: Wie fange ich denn da an?
00:06:59: Ja, das erste wichtige Thema ist eigentlich immer der Bereich der Sichtbarkeit,
00:07:03: also tatsächlich sich einen Überblick über seine Assets zu verschaffen,
00:07:08: aber auch nicht nur die Assets selber, sondern natürlich auch das ganze Thema
00:07:12: Kommunikationsbeziehungen zwischen den Assets und natürlich auch der Teil rund um das Thema Prozessen.
00:07:20: Also wie sind heute Prozesse aktuell aufgesetzt?
00:07:22: Ja, wenn man darüber sich eine Sichtbarkeit verschafft hat, geht natürlich die entsprechende Auswertung
00:07:28: mit ein Her und da sind wir relativ schnell auch im Bereich des Risikomanagements.
00:07:34: Also welche Assets haben welchen Wert bei mir und welche potenziellen Risiken bedrohen meine Assets.
00:07:42: Dies dann eben zusammenzubringen ist wichtig, um zu wissen, welche Assets haben welchen Schutzbedarf,
00:07:49: wie passt das in meine gesamte Organisation und in meinem Prozess Setup.
00:07:54: Also Schritt ein, Sichtbarkeit über Assets und dann das ganze Thema Risikomanagement,
00:08:00: Asset-Klassifizierung.
00:08:02: Wenn man die beiden Teile sich angeschaut hat und da entsprechend für sich auch die Transparenz erreicht hat,
00:08:10: dann ist es sehr zu empfehlen, sich eine ganzheitliche Autisekuitisch-Strategie zu überlegen.
00:08:16: Die setzen nämlich auf diesen ersten beiden Punkten auf und zwar geht es dann tatsächlich mehr in die Richtung
00:08:21: die Risiken, die ich jetzt entsprechend identifiziert habe, wie kann ich diese mitigieren oder mindern
00:08:28: und um das eben zu tun, muss man das Ganze natürlich auch priorisieren.
00:08:33: Wie möchte ich, welches Risiko angehen, um wie viel Prozent plan ich das Risiko entsprechend zu reduzieren
00:08:41: und das kostet mich das Ganze entsprechend.
00:08:44: Und in diesem Bereich der Kosten sind wir natürlich dann auch wieder in dem Bereich,
00:08:48: wo man sich überlegt, welche Maßnahmen sind umzusetzen.
00:08:52: Das sind ja nicht nur technische Maßnahmen, das sind auch organisatorische und personelle.
00:08:56: Und das dann eben auf einen Zeitplan zu legen, sollte Teil einer Autisekuitisch-Strategie sein.
00:09:02: Okay, das heißt, ich habe jetzt gerade viele Elemente, die man vielleicht zum Beispiel aus einem NIST Framework kennt,
00:09:08: Identify, Protect, Detect, Respond und Recover hatten wir jetzt gerade noch nicht.
00:09:14: Aber diese Elemente habe ich jetzt gerade schon wiedergefunden, quasi als Einstiegspunkt
00:09:19: und auch schon als erste zentrale Punkt in meiner Autisecuitisch-Strategie.
00:09:24: Wenn ich jetzt Entscheidungsträger in der Energiewirtschaft bin
00:09:28: und ich möchte meine Autisecuitisch-Strategie entweder initial aufsetzen
00:09:33: oder ich möchte vielleicht meine bestehende Autisecuitisch-Strategie prüfen auf ihre Maturität,
00:09:39: was sind die Phasen, die ich in meiner Autisecuitisch-Strategie durchlaufe?
00:09:44: Kannst du das noch einmal zusammenfassen, weil du hast jetzt relativ viel dazu gesagt?
00:09:49: In dem Bereich der Autisecuitisch-Strategie-Erarbeitung, wie eben gesagt,
00:09:53: das erste Thema Sichtbarkeit erreichen, asset discovery,
00:09:57: der zweite Bereich dann das ganze Thema Risikomanagement,
00:10:01: der dritte Bereich dann auf jeden Fall das ganze Thema Autisecuitisch-Strategie überhaupt erstmal erarbeiten
00:10:07: und dann geht das in die konkreten Umsetzungsphasen.
00:10:10: Das wäre dann in einem Fall das ganze Thema Mitigation.
00:10:14: Da zählt zum Beispiel das Thema Netzwerkssegmentierung rein,
00:10:18: das Thema Secure Mode Access, aber eben auch schon diese detektiven Elemente.
00:10:24: Du hast es gerade das NIST Framework erwähnt, wie zum Beispiel das Thema Sweat Detection.
00:10:29: Und dann natürlich haben wir auch die Phase des Betriebs.
00:10:32: Eben wenn die Lösung dann implementiert sind sie auch entsprechend zu betreiben,
00:10:35: denn wir kennen das ja nur eine Lösung zu implementieren, wird nicht reichen,
00:10:39: irgendjemand muss auch entsprechend drauf schauen.
00:10:41: Das heißt, ich spreche mal dann über sowas wie Incident Response
00:10:44: oder kontinuierliches Vulnerability Assessment
00:10:46: oder auch das ganz klassische Thema ein Security Operations Center für den Bereich OOT.
00:10:52: Gut, jetzt sind wir die Phasen einmal durch.
00:10:55: Danke Laura, dass du das noch einmal zusammengefasst hast.
00:10:57: Du hast es gerade unter anderem auch das Thema Sock schon erwähnt, Security Operations Center
00:11:02: als quasi eines meiner zentralen Organisationseinheiten,
00:11:07: die auf potenzielle Bedrohung auf Alert schauen und entsprechend reagieren.
00:11:12: Das ist ja auch Teil, ich meine ich erinnere mich an Systeme zur Angriffserkennung,
00:11:16: IT-Sicherheitsgesetz 2.0.
00:11:18: Ich meine, da taucht ja solche Systeme zur Angriffserkennung auf.
00:11:22: Ist das Sock Teil davon?
00:11:24: Ja, absolut Paul.
00:11:26: Das Sock ist auf jeden Fall Teil von diesem IT-Sicherheitsgesetz 2.0.
00:11:31: Aber ja, vielleicht macht es Sinn, das tatsächlich auch noch mal im Detail zu beleuchten.
00:11:35: Und mal gerade für die Energiewirtschaft ist es ja auf jeden Fall relevant.
00:11:38: Also das IT-Sicherheitsgesetz 2.0 ist seit Mai diesen Jahres im Kraft
00:11:43: und dort gibt es ganz, ganz viele verschiedene Pflichten,
00:11:46: eben nicht nur den Einsatz von System zur Angriffserkennung,
00:11:49: sondern eben auch noch andere Pflichten, die wir schon aus den Vorgängergesetzen kennen,
00:11:54: sowas wie Meldepflichten oder das Durchführen von regelmäßigen Audits.
00:11:57: Aber auch eben ja die Formulierung, die wir auch schon häufiger hatten,
00:12:02: dass eben Systeme nach dem aktuellen Stand der Technik abgesichert sind.
00:12:05: Also um einfach nur mal aufzuzeigen, dass das Gesetz ein wenig umfassender ist,
00:12:11: als nur der Einsatz von System zur Angriffserkennung.
00:12:14: Und wie du sagst, das SOC ist üblicherweise ein Teil davon,
00:12:19: weil diese Systeme zur Angriffserkennung eben immer ein Zusammenschluss
00:12:23: von Personalprozessen und Technologie sind.
00:12:26: Und so ist es ja im Security Operations Center auch.
00:12:29: Das heißt, das System zur Angriffserkennung ist idealerweise
00:12:34: eben tatsächlich eine konkrete Technologie, die auch ausgerollt wird,
00:12:38: um die ganzen Events und Alarme aus den Infrastrukturen zu sammeln.
00:12:43: Und dann eben als zentrale Monitoring Plattform weiterzuleiten.
00:12:49: Irgendjemand muss natürlich auch diese ganzen Informationen entsprechend verarbeiten und bewerten.
00:12:53: Und da gibt es zum Beispiel die Möglichkeit,
00:12:56: entsprechend ein Security Operations Center zu nutzen.
00:12:59: Das können eigene Leute sein, das kann man auch von externen natürlich einkaufen.
00:13:03: Die diese Events und Alarme entsprechend überwachen
00:13:07: und im Falle eines Falles auch reagieren.
00:13:09: Und hier sind wir eigentlich wieder in einem schönen Beispiel.
00:13:13: Ich hatte ja eingangs gesagt, IT und OT sind schon sehr verschieden.
00:13:16: Und das ist auch in diesem Bereich, dass Security Operations Centers
00:13:19: wieder ganz gut ersichtlich, weil vielleicht in der klassischen IT,
00:13:23: wenn jetzt dort einen Vorfall entsprechend beobachtet wird,
00:13:26: dann ist das ein Teil, das wir jetzt auch in der Angriffserkennung
00:13:30: kann man vielleicht einen ganz einfachen Workplace auch mal in Quarantäne versetzen und einfach vom Netz nehmen.
00:13:35: Und in Zweifel passiert nicht viel, der User meldet sich vielleicht beim Service Desk etc.
00:13:41: Und in der OT kann man sowas nicht einfach machen, dass man Systeme vom Netz nimmt, in Quarantäne setzt oder abschaltet,
00:13:48: weil im Zweifel eben auch immer direkte Auswirkungen auf die Umgebung zu erwarten sind.
00:13:55: Und deswegen eben ganz wichtig, Systeme zur Angriffserkennung heißt nicht gleich technische Technologie,
00:14:01: sondern es ist eben immer ein Zusammenschluss von Personalprozessen und Technologie.
00:14:04: Und in diesem Bereich eben ganz wichtig der Teil der Prozesse.
00:14:08: Also wenn jetzt mein System etwas erkannt hat und das Sock entsprechend auch das bestätigt, dass es tatsächlich ein Alarm ist,
00:14:16: dann ist eben sehr, sehr wichtig, der Prozester hinter, wie wird jetzt entsprechend agiert, wer wird eingebunden, wie wird weiter fortgefahren.
00:14:25: Okay, und wenn wir auf diese letzten Phasen sozusagen schauen, dann auf "Respond, Recover", da hattest du schon quasi angeschnitten,
00:14:35: dass die Prozesse stimmen sollen. Jetzt sehen wir trotzdem immer wieder, dass es zu wesentlichen Schäden kommt durch Angriffe auf die IT,
00:14:43: aber eben auch auf die OT.
00:14:44: Fehlt es hier vielleicht in den letzten Phasen an der entsprechenden Regulatorik oder was kann ich als Energieunternehmen tun?
00:14:52: Bin ich hier auf mich allein gestellt?
00:14:54: Ja, es fehlt auf jeden Fall, denke ich, nicht an der entsprechenden Regulatorik.
00:14:58: Wenn man sich mal die Regulatorik in Deutschland oder auf der europäischen Ebene oder auch auf internationalen Ebene anschaut,
00:15:05: dann ist dort auf jeden Fall in den letzten Jahren einiges dazugekommen.
00:15:09: Und man sieht jetzt ja auch, dass immer mehr tatsächlich auf der Roadmap ist.
00:15:13: Also für nächstes Jahr beispielsweise wird das Thema Nes 2, die Nes 2-direktive relevant zum Oktober.
00:15:20: Und auch dort finden sich wieder technische Maßnahmen beschrieben.
00:15:25: Deswegen, ich würde nie sagen, wenn man jetzt komplett ist zu entsprechenden Direktiven oder Gesetzen,
00:15:32: ist man soweit geschützt, sondern es geht natürlich, wie eben auch gesagt, immer darum,
00:15:38: das Ganze als Komplettzusammenschluss zu sehen zwischen Personalprozessen und Technologie.
00:15:43: Heißt, wenn man jetzt ein System ausgerollt hat und keiner drauf schaut, dann ist es natürlich auch sinnlos.
00:15:48: Wenn man jetzt wieder eine Netzwerksigmentierung eingeführt hat, dann hat man ja wirklich auch schon aktiv eine Maßnahme umgesetzt.
00:15:54: Wenn man aber bei dem Teil der Netzwerksigmentierung nicht an seinen Außengrenzen gedacht hat,
00:15:58: also das Stichwort Fernwartungslösung, dann wirkt das natürlich auch ein Risiko.
00:16:03: Deswegen auch hier der Ansatz, die Fans in Dev, also wirklich sich die komplette Kette anschauen für die OT,
00:16:10: Thema physische Sicherheit, Thema Netzwerkssicherheit, Anwendungen, Benutzer und natürlich das ganze Thema Überwachung und Reaktionen.
00:16:18: Und Last but not least natürlich auch irgendwie das Thema Awareness für die Mitarbeiter,
00:16:23: die hier natürlich auch möglicherweise ein Einfalls-Tor bieten.
00:16:26: Und du hattest Recover angeboten, natürlich auch das Thema Notfallpläne, weil man nie irgendetwas ausschließen kann.
00:16:33: Das heißt, man muss auch für den Ernstfall und Krisenfall vorbereitet sein.
00:16:36: Das heißt, ich fasse nochmal zusammen. Es fehlt nicht an Regulierung, denn durch das neue IT-Sicherheitsgesetz 2.0
00:16:42: und auch die neue NIST-Regulierung, die bald in Kraft treten wird,
00:16:45: die entsprechende Regulierung allerdings auf einer relativ hohen Ebene,
00:16:49: wie ich das als Energieversorger umsetze, in welcher Qualität, wie man Risikomanagement aussieht und so weiter.
00:16:55: Das ist natürlich dann im Endeffekt meine eigene Verantwortung.
00:17:00: Und ich verstehe auch, Laura, es gibt nicht die eine Maßnahme, die ich umsetzen kann, damit ihr als Dienstleister im Pentesting,
00:17:08: aber natürlich auch eben Hacker, die real draußen im Feld versuchen, mich anzugreifen, nicht erfolgreich sind.
00:17:15: Das ist richtig. - Das ist korrekt, ja. - Okay, spannend.
00:17:17: Dann ergibt sich für mich noch die letzte Frage.
00:17:21: Ich meine, das sind ja ganz, ganz viele Fragestellungen, ganz, ganz viele Domänen, die ich im Kopf haben muss.
00:17:26: Ja, das scheint erstmal ziemlich überfordernd. Ich habe viele IT-Assets, ich habe viele OT-Assets, die alle zu schützen sind.
00:17:33: Ich habe viele Maßnahmen, in die ich umzusetzen habe, um mich zu schützen, aber auch um den regulatorischen Anforderungen gerecht zu werden.
00:17:39: Laura, als Dienstleister, wenn jemand auf dich zukommt, ein Energieversorgungsunternehmen,
00:17:44: was ist typischerweise die Roadmap, wie geht ihr davor?
00:17:48: Da würde ich wieder auf diesen OT-Security-Journey, den ich eingangs auch so ein bisschen dargelegt hatte, noch mal eingehen.
00:17:55: Weil wir uns auch daran orientieren. Es ist immer wichtig, da zu starten, wo tatsächlich auch das Unternehmen steht,
00:18:03: was unsere Hilfe gerne in Anspruch nehmen möchte.
00:18:06: Deswegen, wenn man da in die einzelnen Phasen reinschaut, haben wir natürlich zuerst im Bereich der Sichtbarkeit und des Risikomanagements
00:18:15: einen starken Consulting-Anteil.
00:18:17: Und das ist auch das, wo wir dann eben erstmal reingehen, starten mit unseren OT-Security-Experten,
00:18:24: dass wir eben den Unternehmen dabei helfen, diese Sichtbarkeit, die sie vielleicht zu dem Zeitpunkt noch nicht komplett haben,
00:18:31: da helfen, diese Sichtbarkeit zu erreichen. Für diese ist Aufnahme.
00:18:36: Und basierend darauf folgen dann idealerweise natürlich die weiteren Phasen, also eben Sichtbarkeit Nummer eins,
00:18:43: aber auch, wie kommunizieren die Assets untereinander und wie ist auch aktuell die Organisation aufgesetzt, die Prozesse
00:18:52: und welche weiteren technischen Maßnahmen gibt es.
00:18:55: Also, man kann das beliebig aufbauen, je nach Reifegrad des Unternehmens und je nachdem, wo man sich in dieser Phase befindet
00:19:01: und das Ganze machen wir eben mit unseren Beratern.
00:19:04: Da gibt es natürlich auch noch Möglichkeiten, das nicht nur rein papierbasiert orientiert an Frameworks abzuarbeiten,
00:19:12: sondern da gibt es natürlich auch die Möglichkeit, entsprechend mit Tools zu unterstützen,
00:19:17: um vielleicht einfach mal an so einem Pilotstandort die Sichtbarkeit zu erreichen.
00:19:22: Wir sehen solche Tools aus, das ist vielleicht für unsere Zuhörer auch ganz interessant.
00:19:25: Ja, da gibt es verschiedenste Wege und Möglichkeiten.
00:19:29: Ich skizziere jetzt mal das, wo wir auch gerne darauf zurückgreifen.
00:19:32: Und zwar hat sich in den letzten Jahren das ganze Thema OT-IDS-System, also,
00:19:37: IDS-System steht für Intrusion Detection System,
00:19:42: gibt es mittlerweile eine breite Herstellerpalette im Markt
00:19:47: und viele von diesen Tools haben eben den Vorteil, dass sie passiv sind und rückwirkungsfrei.
00:19:55: Das heißt, man würde ein solches System einfach an einem Pilotstandort beim Kunden, beim Unternehmen platzieren,
00:20:03: für einen gewissen Zeitraum, zwei bis vier Wochen, kommt auf die Größe drauf an und die Komplexität
00:20:09: und würde dann relativ schnell und auch in gut aufbereiteter Form sehr viel an Daten bekommen.
00:20:17: Welche Asset sind in meinem Netzwerk, ich sprich, von Kommunikationsbeziehung
00:20:21: und kann das dann entsprechend mit dem klassischen Assessmentanteil auch ergänzen.
00:20:27: Okay, das heißt, ich würde jetzt nochmal festhalten, es gibt nicht die eine Maßnahme,
00:20:32: die ich umsetzen kann, damit meine OT geschützt ist,
00:20:36: sondern es ist ein Zusammenspiel aus ganz vielen verschiedenen Maßnahmen, die ich auf mein Unternehmen anpassen muss.
00:20:44: Es gibt aber auch nicht das eine Vorgehen, was ihr jetzt als Evident habt oder wir als Evident haben,
00:20:50: um mit unseren Kunden auf das richtige Schutzniveau zu kommen,
00:20:54: sondern es ist immer eine Individualbetrachtung, die Kunden kommen zu dir, zu deinem Team
00:20:59: und dann wird eben geschaut, welche Maßnahmen werden wir zusammen angehen,
00:21:03: wie hoch ist der Bedarf nachzujustieren.
00:21:07: Lass uns vielleicht nochmal einen kleinen Zukunftsausblick wagen.
00:21:10: Nicht nur die OT unserer Kunden wird besser geschützt,
00:21:13: sondern auch die Bedrohungsszenarien entwickeln sich weiter und die Komplexität nimmt zu.
00:21:20: Wie betrachtest du das ganze Thema, wie wird sich das Thema "Otty Security" in den nächsten Jahren entwickeln?
00:21:27: Was wir auf jeden Fall als Allererstes haben und sehen und das auch schon stand heute,
00:21:33: es wird nur einfach weiter zunehmen, ist das ganze Thema Integration von IT und OT.
00:21:38: Das Stichwort ist hier IT OT Convergence, also dass eben moderne OT-Strukturen
00:21:46: immer mehr auch mit IT-Elementen integriert werden müssen,
00:21:50: dass eben mit dem Ziel der Datenanalyse des Datenaustausches dazu kommt,
00:21:57: noch das Thema Skalierbarkeit und Flexibilität.
00:22:00: In den letzten Jahren, Jahrzehnten war die OT eher stark abgekapselt
00:22:06: und durch die Öffnung zunehmend nach außen bzw. zunehmend mehr IT in der OT
00:22:15: treten dadurch natürlich auch andere Angriffswektoren auf.
00:22:18: Ich denke, ein wichtiger Punkt ist da auch das ganze Thema Supply Chain, also Lieferketten.
00:22:24: Insbesondere wenn wir uns zum Kraftwerk anschauen, gibt es da ja doch sehr, sehr viele Lieferanten,
00:22:31: die entsprechend Systeme in so ein Kraftwerk reinliefern.
00:22:35: Und da, klar, jetzt haben wir über Fernwartungszugriff gesprochen,
00:22:39: wann wird welches System, wie gepatched oder gewartet, aber das ist ja nur ein Teilaspekt.
00:22:45: Potenziell ist das eben ein Einfallstor und auch das wird immer wichtiger.
00:22:51: Spannend, da gibt es ja auch öffentlich bekannte Fälle mittlerweile,
00:22:55: in denen nicht nur die Abhängigkeit zwischen IT und OT relevant ist,
00:23:00: sondern eben auch, du hattest das Stichwort genannt, Lieferketten.
00:23:05: Ich denke jetzt zurück an den SolarWinds-Angriff von 2020.
00:23:11: Also vielleicht magst du uns nochmal ganz kurz abholen, worum es da ging.
00:23:14: Ich meine, das veranschautlicht ja diese Abhängigkeit in der Lieferkette auch nochmal ganz gut.
00:23:19: Ja, der SolarWinds-Angriff ist eigentlich kein spezifischer OT-Angriff,
00:23:25: weil initial hat es eben auf die IT-Systeme von SolarWinds abgezielt,
00:23:31: also es wurde eine Schwachstelle im Update-System ausgenutzt und dadurch konnten Hacker eindringen.
00:23:38: Aber warum es doch so ein bisschen in diesem Bereich der OT Security reinfällt,
00:23:42: ist eben, dass SolarWinds auch im Bereich der OT eingesetzt wird,
00:23:47: insbesondere in Branchen wie Energie oder auch Verteidigung.
00:23:52: Und dadurch, dass eben dort die Software eingesetzt worden ist,
00:23:55: hatte das natürlich immense Auswirkungen.
00:23:58: Ich glaube irgendwie, ich weiß nicht mehr genauer,
00:24:00: ich glaube mehr als 15.000 Kunden waren irgendwie davon mal einträchtigt.
00:24:04: 18.000?
00:24:05: Genau, und wir haben in Deutschland auch einiges davon mitbekommen.
00:24:09: Ja, das ist halt das Thema Lieferkette.
00:24:12: Man kann das nicht komplett ausschließen, es wird auch zunehmend immer wichtiger.
00:24:17: Man kann sich nur überlegen, okay, wie kann ich die Architektur in meinem Kraftwerk
00:24:23: von meiner Anlage entsprechend zukunftsfähig ausrichten,
00:24:28: um eben auch solche Fälle abzudecken.
00:24:30: Da sind so Basswörter wie Serotrasmodelle oder Mikrosegmentierung häufig aufgeführt,
00:24:37: die eben immer das Ziel haben, solche Vorfälle, die immer wieder kommen können
00:24:42: und auch passieren werden, die sich nie komplett ausschließen lassen,
00:24:46: um da einfach sicherzustellen, dass der Zugriff auf die OT-Systeme dann beschränkt ist,
00:24:52: um somit auch das Risiko zu minimieren.
00:24:55: Wir haben viel über die Strategie gesprochen.
00:24:57: Jetzt gibt es natürlich noch viel, viel mehr zu sagen
00:24:59: und vor allem individuell auf die Kundensituation einzugehen.
00:25:02: Von daher möchte ich gerne auch in deinem Namen, Laura,
00:25:05: ich hoffe, dass es in Ordnung unsere Kunden dazu einladen,
00:25:08: mit uns in das Gespräch zu gehen
00:25:10: und individuell auf die bestehende Strategie, aber auf das Erstellen einer Strategie einzugehen.
00:25:18: Laura, du bist zu erreichen?
00:25:20: Ich bin zu erreichen.
00:25:21: Ich freue mich über jeden Anruf und über jede Nachricht
00:25:24: und auf den spannenden Austausch zum Thema OT-Security
00:25:28: und wie eben auch gesagt, eigentlich fast mittlerweile schon eher das Thema IT/OT-Converting.
00:25:34: Jetzt haben wir noch eine letzte, wichtige Herausforderung.
00:25:38: Eigentlich das wichtigste dieser Episode, Laura.
00:25:41: Wir haben, das habe ich dir im Vorgespräch noch gar nicht erzählt,
00:25:45: jedem Podcast-Gast die Aufgabe gestellt.
00:25:49: Was ist denn ein gutes Schlusswort für diesen Podcast?
00:25:52: Weil wir brauchen ein bisschen Wiedererkennungswert.
00:25:54: Laura, hast du da Ideen mitgebracht?
00:25:56: Ich wurde am Anfang gefragt, was ich nicht bin.
00:26:00: Ich glaube, spontan zieht er zu.
00:26:02: Aber vielleicht finden wir etwas Gemeinsames.
00:26:06: Wenn es um Security geht.
00:26:08: Vielleicht was mit Sicherheit.
00:26:09: Es muss auf jeden Fall Security auftauchen.
00:26:12: Also, better stay safe.
00:26:15: Better safe than sorry.
00:26:17: Für sicher ist es cool.
00:26:18: Better safe than sorry, Laura.
00:26:20: Stay secure, Paul.
00:26:23: Ich glaube, die Ideen werden nicht besser.
00:26:25: Wir reichen das nach.
00:26:26: Wir reichen das nach.
00:26:28: An der Stelle vielen Dank fürs Zuhören.
00:26:30: Ich hoffe, es hat euch genauso viel Spaß gemacht wie uns.
00:26:33: Laura, danke, dass du zu unserer Gast warst.
00:26:35: Gerne.
00:26:36: Ich freue mich auf den nächsten gemeinsam Podcast, Paul.
00:26:39: Danke dir.
00:26:40: Bis dann.
00:26:41: Stay safe.
00:26:42: Stay secure.
00:26:43: [Musik]