OT Security - Wie schützt E.ON seine kritische Infrastruktur

00:00:00: Erzbarning Utilities, der IT und OT Podcast für die Energiewirtschaft von Everden.

00:00:08: Herzlich willkommen zu einer neuen Folge Expanding Utilities.

00:00:12: Heute mit zwei Gästen, einmal dem Alexander Haas, steht mir gegenüber von der EON und

00:00:20: dem Frederik Auburger, OT Security Consultant bei Everden.

00:00:25: Und vielleicht um ganz kurzen Bild zu malen, wo wir uns hier gerade befinden.

00:00:29: Wir sind in einem Podcaststudio auf der e-World, auf dem Branchentreffen der Energiewirtschaft.

00:00:34: Einmal im Jahr findet diese Messe statt hier in Essen und das ist ganz interessant.

00:00:40: Also ich persönlich habe noch nie ein Live-Podcast auf der e-World auf einer Messe generell

00:00:44: aufgenommen.

00:00:45: Ich weiß nicht, ob das hier in der Runde jemand schon mal gemacht hat.

00:00:47: Ja, ich habe das tatsächlich vor einem Jahr gemacht, aber ich muss sagen, nicht in einem

00:00:51: solchen geschlossenen Raum.

00:00:53: Und das ist wirklich sehr schön, sehr professionell und wir hören nur in selber und das ist angenehm.

00:00:58: Sehr schön, ja sehr schön, das freut mich.

00:01:00: Dann würde ich sagen, machen wir vielleicht eine kurze Vorstellungsrunde, bevor wir wirklich

00:01:05: ins Thema einsteigen.

00:01:06: Alexander Haas steht mir gegenüber von der EON.

00:01:10: Alexander, du bist Leiter der Abteilung Cyber Resilience bei EON.

00:01:14: Vielleicht beginnen wir mit dir ganz kurz, magst du zwei, drei Worte dazu sagen?

00:01:18: Ja, sehr gerne.

00:01:19: Vielen Dank.

00:01:20: Leiter Cyber Resilience, ich glaube der Name ist nicht selbstsprechend.

00:01:23: Tatsächlich, was ich dahinter verbirgt, ist eine Beratungsabteilung für Cyber Security

00:01:30: für Netzgesellschaften.

00:01:31: Und geben tut es uns seit 2016.

00:01:34: Das ist im Prinzip die Zeit des IT-Sicherheitsgesetzes und des IT-Sicherheitskatalogs und damit

00:01:40: halt natürlich ein ganz, ganz starker Wandel im Energiesektor mit auch einem riesigen Bedarf

00:01:45: an Expertise, an Unterstützung, an Consulting.

00:01:47: Und EON hat eben damals diesen Schritt getan, eine eigene Abteilung dafür aufgebaut und

00:01:53: seitdem nicht mehr natürlich mit dem Aufbau von ISMS, aber in jeglicher Fragestellung

00:01:57: rund um Cyber Security in der OT unterwegs bei inzwischen 16 Netzgesellschaften des EON

00:02:04: Künzens.

00:02:05: Das sind ja bereits ein paar Jahre und das heißt, ich gehe davon aus, dass uns die Gesprächsthemen

00:02:08: nicht ausgehen.

00:02:09: Neben mir steht noch der Frederik Auburger.

00:02:12: Frederik, du bist bei uns in EON für Security-Themen konsultend und magst vielleicht noch zwei,

00:02:19: drei Worte zu dir sagen.

00:02:20: Genau, sehr gerne.

00:02:21: Frederik Auburger, ich habe die Ehre bei EON das Thema OT-Security zu verantworten.

00:02:27: Das heißt, klassisch gestartet über die Konsultinglaufbahn in dem Bereich.

00:02:31: Erste Projekte durchgeführt, auch gerade mit starken Fokus im Energiesektor und jetzt

00:02:36: mittlerweile eben zum einen in Deutschland verantwortlich für die Delivery, unsere

00:02:41: OT-Security Abteilung und strategisch für den Dachraum.

00:02:45: Ich freue mich sehr, weil ich glaube, wir haben zwei ganz unterschiedliche Perspektiven.

00:02:49: Einmal die Marktperspektive mit der EON, einmal die Dienstleisterperspektive über uns, über

00:02:56: den Frederik.

00:02:57: Ich darf heute durch die Episode moderieren.

00:02:59: Mein Name ist Paul Kunz, ich bin Account Manager bei uns in der Energie- und Versorgungswirtschaft

00:03:03: und werde wahrscheinlich heute den geringsten Rederanteil haben.

00:03:07: Zumindest ist das meine Hoffnung und euch mit Fragen löchern.

00:03:09: Sehr schön.

00:03:10: Dann fangen wir doch mal an, OT-Security.

00:03:12: Das ist unser Thema.

00:03:13: Wir wollen gerne in der Marktperspektive der EON bekommen, erarbeiten und diskutieren.

00:03:18: Da stellt sich natürlich als erstes die Frage, welche Bedeutung hat den OT-Security für

00:03:23: eine EON, für EON als kritischen Infrastrukturbetreiber?

00:03:27: Alexander, ich glaube, da schaue ich vor allem dich an.

00:03:29: Ja, also OT ist eigentlich im Prinzip das, womit wir, ich denke, 80 oder 85 Prozent aller

00:03:36: Revenues generieren.

00:03:37: Also es ist natürlich eine unheimlich wichtige Komponente von allen Dienstleistungen, die

00:03:42: wir erbringen.

00:03:43: Und neben dem, was das Kerngeschäft ist, ist es eben den Betrieb einer kritischen Infrastruktur.

00:03:49: Was bedeutet, wir reden hier nicht über kommerzielle Aspekte ausschließlich, sondern eben ganz

00:03:55: besonders davon, wofür wir das benötigen.

00:03:58: Was vor allem bedeutet der Nichtverfügbarkeit dieses Wervests?

00:04:01: Und das ist auch, was die Kritikalität an einem Ende des Ausmacht nicht verfügbarkeit,

00:04:07: führt zu immensen Schaden, zu Gefahr für Leib und Leben und ist eigentlich im Prinzip

00:04:12: die Sache, die auf gar keinen Fall eintreten kann.

00:04:14: Ja, darf man das vielleicht nochmal abstrahieren und sagen, OT-Security, die Rolle der OT-Security

00:04:22: führt in Summe die Versorgungswirtschaft ja jetzt von einer EON vielleicht eine Abstraktions-Ebene

00:04:28: drüber?

00:04:29: Und wie ist es denn, wenn es Angriffe auf die OT gibt jetzt bei einer EON als Beispiel?

00:04:34: Also man kann sich den ganzen eben sehr politisch und wissenschaftlich nähern.

00:04:38: Es gibt Weißbücher, das Ministerium des Inneren nähen eben drin steht, was passiert.

00:04:43: Auch diese ganzen Co-Abhängigkeiten, die wir haben, zum Beispiel mit der Telefonie, die

00:04:46: immer mehr verzerrend ist, kein Strom, keine Telefonie, kein Strom.

00:04:52: Viele Einzelpersonen betroffen aufgrund der Tatsache, dass Energie benötigt wird.

00:04:57: Eine ganze Reihe weitere Investories, die da auch mit dranhängen, bis hin zu Dingen,

00:05:02: die man gar nicht so nah sehen würde, Tankstellen werden mit Strom betrieben.

00:05:06: Das heißt, die Logistik wird relativ zeitnah beeinträchtigt durch die Nichtverfügbarkeit

00:05:10: von Strom.

00:05:11: Wasser wird zunächst einmal in entsprechend Turmen hochgepumpt mit elektrischer Energie

00:05:18: und hier gibt es natürlich immer Vorkehrungen, dass diese Dienstleistung auch ohne uns besteht

00:05:22: für eine Zeit lang.

00:05:23: Aber die Zeiträume sind immer schaubar.

00:05:26: Eine Regel irgendwo bei vier Stunden gesetzlich angesiedelt und danach wird eben sehr schnell

00:05:32: sehr wichtige Sachen für unsere Gesellschaft nicht verfügbar sein.

00:05:35: Ja, das Tankstellen-Beispiel gibt natürlich auch schon mal eine Überleitung.

00:05:38: OT ist ja nicht nur eine Energiewirtschaft interessant, sondern auch natürlich in anderen

00:05:42: Industrien.

00:05:43: Frederik, du hast natürlich da einen relativ breiten Einblick.

00:05:48: Einmal in die Märkte, die Rolle der Energiewirtschaft.

00:05:51: Auf der anderen Seite IT, OT, wo sind die Unterschiede in den Sicherheitsstrategien?

00:05:56: Magst du da die OT in der Energiewirtschaft einmal quasi einordnen mit einer kleineren

00:06:02: Gesamtperspektive?

00:06:03: Ja, gerne.

00:06:04: Ich glaube generell ist es so, wenn wir von OT sprechen, haben wir immer ein sehr, sehr

00:06:12: breites Feld.

00:06:13: Sei es jetzt über die verschiedenen Märkte hinweg, aber dann auch nur was dieses zum

00:06:18: einen immer das businesskritische angeht und zum anderen was eben Alexander das angesprochen

00:06:25: auch Gefahr für Leib und Leben angeht.

00:06:27: Also gerade wenn wir Richtung kritischer Infrastruktur schauen, klar, da haben wir auf

00:06:32: jeden Fall schnell einen Impact auf den Revenue, ein Business Impact, aber wir haben eben auch

00:06:38: indirekt, aber auch direkt natürlich eine Gefahr für Leib und Leben, wenn dort Angriffe

00:06:44: auch erfolgreich vonstatten gehen.

00:06:46: Das haben wir jetzt in anderen Bereichen, wenn wir wegschauen von der kritischen Infrastruktur

00:06:51: eher auf der einen Seite.

00:06:53: Wir haben natürlich, wenn Roboterarmen auf einer Produktionsstraße wild ausschwenkt, natürlich

00:06:57: auch eine Gefahr für Leib und Leben, aber eine sehr direkte, diese indirekte dadurch,

00:07:01: dass wir keine Stromzufuhr mehr haben, wie es Alexander gerade beschrieben hat, die

00:07:06: fällt da weg, sondern wir haben da oftmals einen sehr, sehr starken Fokus in der Strategie

00:07:11: auch auf das Thema Business Impact.

00:07:13: Das heißt, Beispiel was ich immer bringe.

00:07:16: Da hatten einen Kunden im Farmerbereich, das kritischste Asset, was er hatte, war eigentlich

00:07:22: der Drucker ganz am Schluss von der Produktionsstraße, von einer Business Perspektive, weil so

00:07:26: bald er nicht mehr die Integrität dieses Druckers gewährleisten konnte, musste die

00:07:31: ganze Charge weggeschmissen werden.

00:07:32: Das ist kein klassisches Autie, aber für den Business Impact und wie man dort die Strategie

00:07:37: hinsichtlich der Autisecurity implementiert, natürlich ein ganz, ganz entscheidendes,

00:07:42: wie ich versuche, möglichst diesen gesamten Produktionsprozess, sei es jetzt Tabletten,

00:07:47: sei es aber auch eben den Strom, eben zu gewährleisten und sicherzustellen, dass dort

00:07:52: die Integrität aber eben auch der Schutz der Systeme gewährleistet werden kann.

00:07:56: Jetzt sind es in der Energiewirtschaft ja nicht unbedingt Produktionsarme, wie du gesagt

00:08:01: hast, und auch nicht der Drucker am Ende.

00:08:04: Alexander, vielleicht magst du uns mal zwei, drei Beispiele geben.

00:08:07: Was sind dann die schützenswerten Assets in der Energiewirtschaft, insbesondere jetzt

00:08:12: bei euch, bei EON und euren Tochtergesellschaften?

00:08:14: Zunächst mal, wenn wir über OT sprechen, dann gibt es dann schon wieder auch diese Klammern,

00:08:18: wo ich sage, ich habe hier eine Vergleichbarkeit zu dem, was du in einer Automobilindustrie

00:08:21: siehst.

00:08:22: Wir haben diesen Trend zur Verschmelzung von OT, IT.

00:08:26: Wenn ich jetzt Fahrzeuge herstelle, dann ist es eben, dass mein komplettes Warnwirtschaft

00:08:30: noch angedockt ist und es bedeutet neue Schnittstellen, es bedeutet mehr Komplexität und eine erhöhte

00:08:35: Merkservice, mehr Exponiert für unterschiedliche Anwerfe.

00:08:38: Das ist es, was wir durchaus auch gemein haben mit der Keksfabrik oder dem Automobilhersteller.

00:08:44: Es gibt aber trotzdem noch mal eine ganze Reihe von Dingen, die jetzt noch mal bei uns ganz

00:08:49: anders sind, einfach aufgrund der Tatsache, dass wir ein Verteilnetzbetreiber sind und

00:08:52: lassen zum Beispiel räumliche Distanzen betreiben, Umspannanlagen von hoch auf mittelspannung,

00:08:58: von mittelspannung, Niederspannung und die sind räumlich verteilt, stark verteilt, die

00:09:04: sind teilweise auch gar nicht in Städten, sondern vielleicht mitten irgendwo auf dem

00:09:09: Land, wo es vielleicht auch eine schlechte Reichbarkeit gibt, über Telefonie, wo es

00:09:13: aber auch niemanden gibt, der das jetzt ständig sieht.

00:09:16: Das bedeutet hier eine physische Sicherheit herzustellen, ist sehr schwierig.

00:09:20: Natürlich gibt es Vorgaben, Interne und regulatorische, wie hoch muss der Zaun sein und wo brauche

00:09:25: ich CCTV, aber all das bringt Komplikation mit sich, CCTV, mit Eichhörnchen und Mitarbeitüberwachung

00:09:32: eines überall ganz viele herausfohren und sich aufgrund dieser räumlichen Verteilung

00:09:36: ergeben.

00:09:37: Reichen die Maßnahmen?

00:09:38: Oder reichen die Richtlinien, so gefragt, wenn wir jetzt über Richtlinien für zum Beispiel

00:09:43: Zaunhöhe sprechen, es gibt ja mittlerweile auch zum Beispiel die Direktion der EU und

00:09:48: das NIST Framework, es gibt die deutsche Bersetzung, die sich als Gesetz 2.0, also jetzt würde

00:09:53: mich natürlich interessieren, diese Vorgaben, die es gibt, reichen die?

00:09:57: Ja, also Vorgaben gibt es reichlich, aber man muss natürlich auch dazu sagen, wir haben

00:10:02: ja den IT-Sicherheitskatalog und der schreibt uns jetzt erstmal vor, ein ISMS aufzuspannen,

00:10:07: der eine bestimmte Anzahl von Assets von Komponenten sich erstrecken muss.

00:10:13: Und der Gesetzgeber hat sich da natürlich schon mal auch überlegt dabei, es gibt eben

00:10:16: ein Legacy, es gibt eine Zeit, in der Security nicht primär im Fokus gestanden ist, insbesondere

00:10:21: wenn man in den 90er zurückdenkt und diese Komponenten haben ein Lebenszyklus von 20,

00:10:26: 30 Jahren, das bedeutet, sie sind da draußen halt auch noch.

00:10:29: Man hat halt auch niemals jemand gesagt, die Kommunikation muss verschlüsselt sein

00:10:32: und die Protokolle müssen die und jene Eigenschaften haben, aber sie sind noch da draußen.

00:10:36: Das bedeutet, wir sind gesetzlich dazu verpflichtet, die Informations-Iheit kontinuierlich weiterzu

00:10:42: entwickeln, verbessen und EON tut das sehr engagiert.

00:10:48: Gut, jetzt würde ich natürlich auch gerne nachfragen, wie EON das tut, kommen wir wahrscheinlich

00:10:52: gleich noch zu.

00:10:53: Patrick, dieses Szenario, das ist die operative Technologie seit Jahren im Einsatz ist, dass

00:10:59: sie vielleicht auch anders gepatched wird, dass sie anders behandelt werden muss.

00:11:03: Beobachtest du das auch?

00:11:04: Ja, selbstverständlich.

00:11:05: Ich glaube, das ist auf jeden Fall was, das finden wir in jedem Projekt, egal wo wir

00:11:12: unterwegs sind, diese Diversität.

00:11:14: Aber ich glaube gerade auch nochmal in der Energiewirtschaft, wenn man sich jetzt den großen Konzern auch

00:11:18: EON einmal vorstellt.

00:11:20: Auch da haben wir innerhalb in der OT natürlich eine riesige Diversität, aber auch für den

00:11:26: Gesamtkonzern.

00:11:27: Wir haben erneuerbare Energien, die anders funktionieren.

00:11:30: Wir haben konventionelle Kraftwerke, wir haben die Netzbetreiber etc.

00:11:34: Und auch da ist es oftmals so, also wenn wir Richtung Offshore Windparks, die neu gebaut

00:11:39: werden, auch gucken, ist es so, jedes Einzelteil der Zulieferer kommt mit ihrem eigenen Vorstellungen,

00:11:46: wie Security zu funktionieren hat.

00:11:48: Und es ist eine sehr, sehr schwierige und große Aufgabe, dann auch wirklich daraus ein Gesamtkonzept

00:11:56: zu machen und das auf diese Sicherheitskataloge dann eben auch zu mapen und für sich die

00:12:00: Learnings und diese stetige Verbesserung auch wirklich ableiten zu können.

00:12:04: Also wenn wir beim Offshore Windpark Fundament, die Gondel etc.

00:12:08: pp.

00:12:09: Das sind meistens verschiedenste Zulieferer, alles einzelne Konzepte, aber das wirklich

00:12:14: in ein Gesamtkonstrukt für diesen einzelnen Windpark zu kriegen, dann in den Gesamtkonstrukt

00:12:20: von allen Windparks und das dann nochmal in den Gesamtkonzernkonstrukt, auch da ist

00:12:24: einfach eine wahnsinnige Diversität dort.

00:12:26: Und das macht das auch nochmal hinsichtlich der Strategie, wie eine solche implementiert

00:12:33: werden soll natürlich herausfordernd.

00:12:35: Das heißt, solche Maßnahmenkataloge wird ja wahrscheinlich jeder Player in der Energiewirtschaft

00:12:42: entwickelt haben, wird sie irgendwie für sich abgeleitet haben, vielleicht aus den

00:12:45: regulatorischen Maßnahmen, vielleicht aber auch individuell aus den Bedrohungsszenarien,

00:12:49: die man als Unternehmen sieht.

00:12:50: Ich weiß nicht, Alexander, kannst du uns einen kleinen Einblick geben, was sind denn so

00:12:53: Maßnahmen, typische OT-Maßnahmen, die Neon einsetzt?

00:12:57: Wahrscheinlich wirst du da auch so ein bisschen auf die Bedrohungsszenarien eingehen müssen.

00:13:01: Maßnahmen leiten sich in der Regel aus Risiken ab, die ich identifiziere und das können

00:13:09: wir im Prinzip sehr viele kleine Themen sein, die auch wirklich ganz unterschiedlich in

00:13:13: der Heterogen sind, von ich habe irgendwelche Systeme, die nicht gepatched werden können,

00:13:16: von irgendwelchen Übertragungswegen, wo ich keine Verschlüsselung habe aktuell und

00:13:21: das gerne aber haben möchte, weil ich das Risiko nicht akzeptieren möchte.

00:13:24: Die sind so divers, wie man sich das nur vorstellt.

00:13:28: und sicherlich gar nicht heraustechen gegenüber der IT. Aber wenn ich jetzt mal sage, was sind

00:13:34: die großen Leuchttürme, die wir haben bei EON und die neuen Bedrohungen, die wir haben, sind

00:13:41: aufgrund der Notwendigkeit der Energiewende. Und die Energiewende bedeutet für uns ganz klar,

00:13:47: ganz viel Austausch von Informationen mit Komponenten im Feld, mit Fotobaltalkanlagen,

00:13:53: mit Erzeugern jeglicher Art, mit Konsumenten jeglicher Art, Ladesstationen, die auf einmal

00:13:59: ganz relevant werden, Redispatching. Das heißt, was macht der Verteilnetzbetreiber neben mir,

00:14:03: was macht der Übertragungsnetzbetreiber über mir, ganz viele neue Kommunikationsplattformen,

00:14:08: Notwendigkeiten, Daten zu verifizieren, Integrität zu prüfen, validieren zu übersetzen. Was mache

00:14:15: ich denn eigentlich mit diesen Daten und was ist netzdienlich für mich als Verteilnetzbetreiber und

00:14:19: für das Gesamtnetz? Und das sind natürlich neue Prozesse, die edipläiert werden müssen,

00:14:24: wo ein erhebliches Risiko auch mit schwingt. Und hier spreche ich jetzt nicht über eine

00:14:28: Maßnahme umzusetzen bis September 24. Und hier geht es wirklich um Entwicklung von

00:14:33: Architekturen, von Systemen, von Rechenzentren über die nächsten 5, 6, 7, 8 Jahre.

00:14:40: Ja, ich glaube, das ist ein ganz wichtiger Punkt, dass es immer bestimmte Treiber gibt. Jetzt die

00:14:46: Energiewende hat das so als Beispiel genannt. Ich weiß, dass das Thema Autisecurity auch aufgrund

00:14:51: des Ukraine-Rusland-Konflikts in den Medien sehr, sehr präsent war. In den letzten Jahren hat sich

00:14:57: dafür getan. Das ist ganz interessant. Was sind denn so die größten Maßnahmen, die größten Projekte?

00:15:03: Kannst du uns einen kleinen Einblick geben? Jetzt vielleicht nicht nur auf die System- und

00:15:07: technologische Ebene, sondern Autisecurity hat ja viel auch mit Menschen zu tun und mit Prozessen.

00:15:12: Also ich denke, ein ganz wesentlicher Treiber bei uns organikatorisch gesehen ist einfach, dass die

00:15:18: Vielzahl von Endungen. Also man kann eigentlich im Prinzip sagen, dass wir jedes Jahr mehr Notwendigkeit

00:15:23: haben für die Einführung neuer Systeme und so weiter als früher vielleicht in fünf oder

00:15:28: zehn Jahren. Und das bedeutet, wenn wir das eine gleichbleibende Qualität machen,

00:15:32: bräuchten wir entweder viel mehr Personal oder aber eben wir erzeugen die Synergie über die

00:15:36: Verteilnetzbetreiber. Und das waren eben über viele, viele Jahre einzelne Inseln gewesen. Und da haben

00:15:43: wir einfach die geschäftlichen Notwendigkeit zu sagen, nee, wir finden das nicht 16 Mal,

00:15:46: sondern wir müssten hier irgendwie zusammenkommen. Und das bedeutet, Leute arbeiten das erste Mal

00:15:51: zusammen in Panels, die es davor nicht gegeben hat, gegebenenfalls auch noch in unterschiedlichen

00:15:55: Sprachen. Und das ist ein riesiger kultureller Wandel. Ich bin gerade bei uns im Ehrenstand

00:15:59: vorbeigelaufen das erste Mal, dass alle Ehrenmitarbeiter in Rot sind. Davor hat mir immer das

00:16:05: Produkt von der Westnetz und das Produkt von den Bayernwerken heute haben wir nur noch eher. Und

00:16:09: das ist auch das, wo wir hingehen. Und das ist tatsächlich eine dieser ganz großen

00:16:13: Transformationsprojekte, wir sind eins, wir müssen zusammenarbeiten. Und das ist natürlich eine

00:16:17: Sache, wo wir uns wirklich sehr glücklich schätzen können, dass wir das tun können. Wie das jetzt

00:16:22: ein Stadtwerk schafft, all diese Anforderungen umzusetzen, ist mehr gerätselhaft. Also ich weiß

00:16:28: das einfach nicht, wie das möglich ist. Wie schafft dein Stadtwerk aus, Frederick? Hast du da aus

00:16:34: deinen Gesprächen jetzt mit Stadtwerken nicht nur bezogen auf Stadtwerke, sondern vielleicht auch

00:16:38: eben bestimmte größere Konzerne in der Energiewirtschaft, aber vor allem die Ebene, wo man

00:16:43: individuell vorgeht, wo vielleicht mittelständische Energiewirtschaftsunternehmen gerade vor den

00:16:48: Herausforderungen stehen, ihre OTI abzusichern. Hast du da ein paar Einblicke, wie man dort typischerweise

00:16:53: vorgehen würde jetzt vielleicht mit einem Beratungsansatz, vielleicht aber auch aus dem

00:16:58: Unternehmen selbst? Ja, also Ziel ist es immer, kleinen, groß, Mittel eigentlich wegzukommen,

00:17:04: von der reinen reaktiven OTI Security hin zu einer proaktiven. Und da gibt es verschiedene

00:17:09: Schritte auf dieser Reise, die man exemplarisch durchgehen kann, also über die Beratung erst

00:17:14: mal, sich wirklich einen Überblick zu verschaffen. Was sind denn eigentlich meine Risiken? Und da

00:17:19: gehört dazu, dass ich auch wirklich einmal wissen muss, was für Assets habe ich denn überhaupt

00:17:24: in meinem Netzwerk? Wie ich hier Protokolle spreche, wie ist der aktuelle Patchstand etc. Also

00:17:30: wirklich mal damit anzufangen, ein gutes Aussage kräftiges Assetmanagement mit aufzubauen,

00:17:35: um dann daraus ableiten zu können, wo sind jetzt wirklich meine Risiken, die ich in meinem Netz

00:17:42: habe und dann eben anschließend auch sagen zu können, aufgrund der Kritikalität, aufgrund des

00:17:50: Business Impact möchte ich jetzt folgende Mitigationen dann auch durchführen. Und da gibt es dann

00:17:55: verschiedene Technologien natürlich, die einem dabei helfen, frühzeitig auch Angriffe oder

00:18:00: unnormales Verhalten im Netzwerk zu detektieren. Und das ist aber immer ein Komklomerat aus

00:18:05: Technologie, Prozess und Personal. Das heißt, wir müssen dort wirklich von Anfang an schauen,

00:18:11: dass auch wirklich innerhalb der Kultur die Prozesse auch geschafft werden und gelebt werden,

00:18:17: weil die sind oftmals einfach noch nicht existent. Da gibt es oftmals Prozesse, die sind für die

00:18:22: IT geminzt, aber wenn jetzt wirklich ein Vorfall in der Audi passiert, ist oft noch das Fragezeichen,

00:18:27: okay, wie würde denn so ein Prozess jetzt auch wirklich aussehen? Und das ist schon was,

00:18:32: wo wir sagen, diese Awareness muss erst mal geschaffen werden, dort auch im nächsten Schritt

00:18:37: dann eben verschiedene Safeguards zu implementieren und die Attack Surface möglichst zu verringern.

00:18:44: Aber dafür muss auch immer erst mal so ein gewisser Wandel stattfinden. Wir haben das schon

00:18:48: auch oft, wenn wir Kunden Situationen unterwegs sind. Da kriegt jetzt ein Ingenieur, der seit 20

00:18:54: Jahren die Leitstelle betreut auf einmal den zweiten Hut auf, du kümmerst dich jetzt auch um die

00:18:58: Security und das dauert. Das ist ein Prozess, da muss man viel Stakeholdermanagement betreiben,

00:19:03: viel miteinander sprechen, Verständnis schaffen, damit das dann eben auch gelebt werden kann.

00:19:09: Und das ist, glaube ich, sehr, sehr essentiell, dass das das ist nichts, wo wir hinkommen,

00:19:13: eine Technologie reinschrauben und sagen, so super, jetzt seid ihr geschützt, sondern viel eben in

00:19:18: diesen Komklomeratechnologie hilft uns dabei, aber eben auch viel Personal und Prozesse, die

00:19:23: geschaffen werden müssen. Das bedeutet Personal, Prozesse, Technologien. Könntest du uns da vielleicht

00:19:28: mal zwei, drei Beispiele geben über wesentliche Bestandteile, die bei euch quasi eingesetzt

00:19:35: werden, die du zum Beispiel Kunden empfehlen würdest, abgeleitet aus dem IT-Sicherheitsgesetz

00:19:40: 2.0 zum Beispiel, aber auch aus der Bedrohungslage, die du siehst? Ja, zum einen der Gesetzgeber zum

00:19:47: IT-Sicherheitsgesetz 2.0 sieht auch ähnlich, da sieht das Systeme zur Angriffserkennung auch als

00:19:54: Komklomerat aus Technologieprozessen und Personal. Das heißt, dort gibt es verschiedene Technologien,

00:20:00: wie ein Intrusion Detection System beispielsweise, was uns dabei unterstützt, um eine Sichtbarkeit

00:20:05: zu erzeugen innerhalb der Netze, aber zum anderen eben auch Anomalien zu erkennen,

00:20:11: ein unnormales Verhalten im Netzwerk zu erkennen. Und das muss dann gepaart werden, aber eben mit

00:20:16: auch wirklich Awareness, also wo beispielsweise Wargames, die man einfach durchführt, um einfach

00:20:22: mal zu gucken, hey, wir haben jetzt hier ein fiktives Beispiel, wie so ein Angriff ablaufen würde. Der

00:20:26: ist jetzt da, der fiktive Angriff. Was passiert denn jetzt? Und dann wirklich zu gucken, wie kann

00:20:33: innerhalb des Unternehmens ein solcher Vorfall auch behoben werden, wie wird reagiert, wer fällt

00:20:39: Entscheidungen, obwohl er die vielleicht gar nicht treffen darf, wer übergeht, wen etc. Und das

00:20:44: einfach wirklich mal ein praktischen Beispiel zu durchleben und dann zu unterstützen, natürlich

00:20:48: solche Prozedure noch aufzubauen. Genau, aber da schaue ich mal quer rüber auch zum Alexander.

00:20:54: Ihr habt da ja auch was sehr, sehr Interessantes, ich glaube auch im deutschsprachigen Raum ja,

00:20:58: was einmaliges. Vielleicht magst du uns dann nochmal ein bisschen, ja, sehr gerne. Also genau die

00:21:02: Frage stellen, du angerissen hast, ist ja, ich habe meine Systeme implementiert, ich habe mein

00:21:07: Cert, wir haben ein Monitoring, wir haben alles in der Preparation Phase getan, wir kennen die

00:21:12: Prozesse, alles ist im geschult. Dann stellt sich am Ende die Frage natürlich schon, würde das denn

00:21:18: im realen Leben funktionieren? Und wer alles leben, bedeutet ja dann, ich habe kein Tabletop,

00:21:23: kein Paperpen, sondern das passieren eben wirklich Dinge und ich schicke Leute raus und die Umsetzung

00:21:28: klappt vielleicht nicht oder ich habe eine ungewissheitende Frage, ich nicht beantworten kann. Leute,

00:21:32: kommen mir und eine Lage schildern und ich kann die nicht nachvollziehen, weil ich eine andere

00:21:37: Expertise habe oder aus einem anderen Bereich komme und da sind wir eben auch der Meinung,

00:21:42: sowas wirklich real zu überprüfen, können wir das aber auch natürlich zu trainieren. Das geht

00:21:48: eben nur durch den Doing und da haben wir eben den Aufwandbetrieben einmal im Prinzip ein kleines

00:21:52: abbildend digitalen Zwilling eines Verteilnetbetreibers herzustellen, wo dann unsere 16 Verteilnetbetreiber

00:22:00: eben auch kommen, typischweise im Zykler von ein oder zwei Jahren, sich dann eben an diese

00:22:05: Infrastruktur setzen und dann von einem Hacker-Team angegriffen werden. Das sind immer interdisziplinäre

00:22:11: Teams, wir sagen eben immer, wenn ein Vorfall dieser Art einpräten würde, wen bräuchte die da

00:22:16: eigentlich und somit ist das dann typischweise Krisenstab, Cert-Mitarbeiter, Institution Response

00:22:22: Koordinatoren, aber natürlich auch die Leute aus den Fachbereichen, Stationstechniker,

00:22:27: Skada, Ingenieure, Netzführer, Fireball-Administratoren, Windows, Linux, Spezialisten, Gruppen von

00:22:34: 10 bis 15 Leuten sind das und wir versuchen herauszuarbeiten, in welches Learning soll denn

00:22:42: eigentlich aus diesem Angriff hervorherausgenommen werden und typischweise werden Leute getrieben

00:22:48: von dieser Angst, die könnte eben angegriffen werden analog zu den Angriffen auf die Ukraine,

00:22:53: wo wir 2015/2016 Black Energy-Industrier hatten, auch letztes Jahr wieder ein Vorfall, also ganz viel

00:22:59: mit Spearpishing, Lateral Movement, Sprung von IT in die OT rein, dann eben die Suche nach dem Punkt,

00:23:05: wo ich Impact generieren kann. Wir denken, es gibt auch andere Wege, dass es tun effizientere Wege,

00:23:12: das heißt, wir überlegen es durchaus auch mit Durchsprache der Ingenieure, wie würdest du

00:23:18: einen massiven Schaden oder eine Unterbrechung des Netzbetriebes herbeiführen können und dann

00:23:23: simulieren wir. Das klappt das, wenn es klappt, wie wird es detektiert, wie wird reagiert und

00:23:27: hinterher folgt dann eben Lessons Learn. Wie haben wir das gehandelt, was hätten wir besser

00:23:32: machen müssen, brauchen wir noch zusätzlich Controls, brauchen wir eine andere Art und Weise,

00:23:36: in dieser Krisenteam zu koordinieren. Das ist dann natürlich eine Hausaufgabe, die der Verteilungsbetreiber

00:23:41: mitnimmt und dann auch in Maßnahmen überführen kann und natürlich heilen muss.

00:23:47: Ja, das klingt für mich nach so einem klassischen Red Teaming, Blue Teaming,

00:23:51: was man aus der IT schon kennt. Ist das so oder geht es vielleicht sogar darüber hinaus?

00:23:55: Nee, ich würde sagen, so ein Red Team, Blue Team Trainingsansatz ist heute Commodity, 2016 war

00:24:01: das eben so, da war das ein ganz neuer Ansatz, heute ist das nicht. Ich denke, das einzige,

00:24:05: was bei uns noch mal konsequenter durchkonzeptioniert ist in der Trainingsmethodik ist, dass eben

00:24:10: diesen kompletten Stromnetzbetrieb haben. Also ich habe Umspannenlagen, ich habe einen Skada-System

00:24:16: und das bedeutet, es ist kein virtuelles Thema. Wenn der Techniker der Meinung ist,

00:24:20: er muss den PLC-Wert im Hammer kaputt schlagen und das stoppt den Angriff, dann kann er das auch

00:24:24: im Training tun. Er kann Kabel rausreißen, alles, was er im realen Leben eben auch tun könnte.

00:24:29: Und wenn er ne Fireball blockt und der Pod klackert trotzdem, dann wissen sie eben,

00:24:34: haben wir halt nicht richtig gemacht. Ja, das klingt schon wahnsinnig aufwendig,

00:24:39: also mit den Prozessen, die dahinter hängen, da hat es gerade auch die Skada-Systeme erwähnt.

00:24:43: Die gesamte Prozesskette, die quasi dort abgebildet wird, alle Teams, die mit involviert

00:24:47: werden, ist das denn notwendig in dem Ausmaß, in dem wir es jetzt aufgebaut haben?

00:24:53: Also ich kann jetzt sagen, ich bin völlig überzeugt von

00:24:58: unserem Mission, das ist natürlich klar, aber wenn ich jetzt versuche, das ein bisschen

00:25:02: zu objektivieren, also nach einem jeden Training machen wir eine Mitarbeiter- oder Teilnehmerbefragen,

00:25:08: die hat immer folgende drei oder im Prinzip zwei Fragen, war das sinnvoll für dich? Hat

00:25:13: dir das wirklich was gebracht und würdest du das Training weiter empfehlen? Und wir haben jetzt

00:25:16: fünf Jahre, also wahrscheinlich irgendwie 50, 60 Trainings stattfinden lassen und

00:25:22: wahrscheinlich über vielen hundert Teilnehmern, man hat noch niemals jemand gesagt,

00:25:27: er würde das Training nicht weiter empfehlen oder hätte kein Mehrwert raus mitgenommen.

00:25:31: Ganz im Gegenteil, wir haben jetzt auch wieder eine Warteliste von über anderthalb Jahren,

00:25:35: wenn man sich für so ein Training interessiert, also diese Notwendigkeit und der Nutzen,

00:25:39: der wird auch schon von deutschen konservativen Technikern erkannt.

00:25:43: Das klingt sehr, sehr beeindruckend. Ich habe es tatsächlich von anderen Marktbesleitern

00:25:49: jetzt in dem Ausmaß und auch mit der Skalierung, dass hier quasi weitere Gesellschaften dazu

00:25:57: nehmen, die mit trainiert, mit einbindet, verschiedene Fachbereiche, die ganze Prozesskette,

00:26:01: so habe ich es noch nicht gehört und deswegen, ich finde das wahnsinnig spannend.

00:26:06: Gut, ich glaube, dass wir uns so langsam, ich gucke gerade Richtung Aufnahme,

00:26:11: ich würde gerne noch viel, viel mehr erfahren oder das machen wir vielleicht dann drüben

00:26:15: am Messestand für die Aufnahme. Bedanke ich mich erstmal sehr, sehr herzlich bei euch beinahe.

00:26:20: Also ich habe viel gelernt. Ich glaube, ihr werdet wahrscheinlich jetzt auch noch den

00:26:24: einen oder anderen Termin hier auf ein Messer verbringen. Was ist da noch euer Highlight zum

00:26:27: Abschluss? Ja, also ich finde den Ehrenstand hier wirklich ganz bemerklich. Wir sind ja Nachbarn

00:26:32: in Halle 3, ja? Sehr schön. Dann, genau, vielen Dank. Alexander Haasch, vielen Dank, Friedrich

00:26:37: Auberger. Genau, ich glaube dann, wenn wir die Gespräche gleich am Kaffee stand,

00:26:41: vorsitzend, ich freue mich darauf. Danke sehr, hat viel Spaß gemacht. Danke schön.

00:26:45: [Musik]