¶ Intro Thomas und CyberDanube
Moin und herzlich willkommen zur Folge 74 von einfach komplex, fast so eine Art Bonusfolge. Ja, Burkhard hat es angekündigt, der ist im Weihnachtsurlaub im wohlverdienten, aber ich habe den Thomas von Cyber Danube für ein Gespräch über OT Infrastruktur beziehungsweise das Pan Testing von OT Infrastruktur gewinnen können und dafür schon mal vorweg vielen herzlichen dank Thomas und willkommen zu einfach komplex. Gerne. Also Thomas. Fangen wir doch mal so an.
Wer bist du und was macht deine Firma Cybertanube? Mein Name ist Thomas Weber und ich bin IT Security Spezialist in Richtung OT IOT, Embedded Pantasting und unsere Firma Cybertanube führt PENETRATIONSTESTS auf OT beziehungsweise kritische Infrastruktur in.
Allen möglichen, allen möglichen Betrieben beziehungsweise Kraftwerken durch und wir schauen uns auch einzelne Embedded Devices an, sprich industriesteuerungen, Wechselrichter, smartmeter und alle möglichen anderen Geräte die Halt so verwendet werden in der OT beziehungsweise in der kritischen Infrastruktur und im Betrieb aufrecht zu erhalten und die Funktionalität von den Einzelnen von den einzelnen Prozessen und von den von den Einzelnen.
Komponenten eines Kraftwerks oder eines produzierenden Betriebs zu gewährleisten. Klasse Thomas, Wo sitzt ihr? Man hört so ein bisschen, aber vielleicht kannst du es noch einmal sagen. Genau. Wir sind ansässig in Wien, also im Norden von Wien, im 19 Bezirk, und wir haben sehr viele Kunden in Österreich natürlich eh klar, aber auch in Deutschland beziehungsweise haben wir auch ein 2. Kunden außerhalb. Von von Europa also einen in Asien und einen in Nordamerika.
Ja, also wir sind, wir sind eigentlich vorwiegend in Europa tätig, beispielsweise auch in Kroatien, dort gibt es gibt es, gibt es auch einen Kunden von uns, mit dem wir schon einige Tests gemacht hatten, aber ja, sehr viel passiert halt in Österreich bei uns. Okay cool, ich sag's so, weil wir haben natürlich auch Hörer und Hörerinnen in Österreich.
Ich glaube so ungefähr 6%. Insgesamt ja, ist natürlich auch noch mal schön, dass wir den Podcast vielleicht noch mal in Österreich n bisschen vergrößern können. Also cool, Thomas, Dankeschön, dass du dir die Zeit heute nimmst. Wir müssen dazu sagen, es ist der 27.12. Wir haben Weihnachten gerade hinter uns, wahrscheinlich noch volle Bräuche, aber auch ganz
entspannt. Es ist nicht so viel los im Büro wie normalerweise und Thomas, Lass uns mal so anfangen, dass wir noch mal ganz kurz die OT, Die Operational Technology definieren, sag uns noch mal, was du jetzt genau darunter verstehst. Du hast gerade schon kritische Infrastruktur. Mit genannt zu OT. Wir haben auch schon ein 2. Mal über OT hier im Podcast gesprochen, aber wie definiert sich das denn eigentlich aus deiner Sicht? Was ist denn die OT und was ist
das Besondere daran? Ja, die Operational Technology
¶ Besonderheiten der OT
unterscheidet sich natürlich ganz stark von der IT dort. Dort sind also in der IT sind große Datenmengen und sehr, ja, sagen wir jetzt mal. Mittelmäßige bis hohe bis niedrige Geschwindigkeit von Nöten, also große Datenmengen im Sinne von wenn ich Videos herunterlade, muss nicht immer in Echtzeit passieren, aber ja, sollte natürlich schon halbwegs schnell sein in der in der OT ist es halt einfach so. Dort ist es nicht so wichtig wie in der IT, dass große Datenmengen transportiert werden.
Dort ist halt eher so, es muss halt alles in Echtzeit passieren, weil wenn das Signal nicht ankommt von Steuerung A an Steuerung b was geschickt wird, dann ist vielleicht gar nicht mehr notwendig, dass das, dass es überhaupt noch ausgeführt wird, weil es einfach zu spät ist. Also es ist sehr echtzeitkritisch.
Und die beispielsweise die Rechenleistungen sind bei der OT ganz anders als bei der IT. Bei der IT gibt es massig Rechenleistung und wird halt mit Consumer Elektronik sehr günstig realisiert und ist auch immer sehr sehr sehr sehr gut verfügbar, allerdings eben auch nur zu manchmal 99% oder manchmal nur zu 98% über das Jahr verteilt. Bei der OT ist Verfügbarkeit sehr wichtig und Rechenleistung
ist meistens auch nicht so hoch. Also dort gibt es oft Komponenten, eben beispielsweise Steuerungen oder hm is, also die Machine Interfaces, wo man auf den Displays herum klickt oder herum drückt, die haben gar nicht so viel rechnerleistung, aber die müssen halt sehr hoch verfügbar sein und die müssen auch sehr wie schon gesagt von den Reaktionszeiten her einfach sehr schnell sein, das ist halt der große Unterschied zwischen IT und OT und bei der OT ist es auch so.
Es gibt verschiedene Größen, also wir hatten. Verschiedene verschiedene technische Sessments auf auf Kraftwerke von so ziemlich allen Größen schon. Also das kann wirklich ein kleines Heizkraftwerk sein, bis zu einem großen Öl oder oder oder Gaskraftwerk und da gibt es halt echt alle Größen, also von den Prozessen her, ob das jetzt nur eine Handvoll Steuerungen sind mit ein Paar eben kesseln,
heizkesseln oder was auch immer. Das ist auch schon OT, obwohl es vielleicht nur aus ganz wenigen Komponenten besteht, also unter 20 Komponenten. Zumindest aus Netzwerksicht kann aber auch sein, dass es, dass es das 10 oder dass das 50 oder 100 fache ist, je nachdem und das fällt alles unter OT, aber dort ist eben der Unterschied echtzeitkritische echtzeitkritische Prozesse, die halt die halt einfach wo einfach die Signale ankommen müssen in der Zeit, oder?
Datenübertragung it, Videos streamen oder zum Beispiel diesen Podcast streamen oder oder was auch immer. Das ist halt alles it. Das ist halt dann schon ein ziemlich ziemlich krasser Unterschied. Finde ich ganz spannend wie du es erklärst, von der ja der Aufgaben her. Also häufig wenn von OT und IT gesprochen wird, wird erstmal in Organisationsstrukturen geredet.
Die IT ist zuständig für Laptops und und alles was Bediener Software angeht während OT. Die Produktion zum Beispiel aufrechterhält oder oder dafür sorgt, dass produziert werden kann, was auch immer ja, Energie oder weiß ich nicht, Autos oder sonst was, aber du hast es vielleicht so erklärt, OK, es geht eigentlich primär darum, die Signale müssen in Echtzeit ankommen, während in der ITSA ja darum geht, große Datenmengen zu
¶ Was ist Pentesting?
verarbeiten und die Verfügbarkeit jetzt nicht die allerhöchste Priorität hat natürlich ne hohe Priorität, aber nicht so wie ne OT. So, das ist die eine Grundlage für das Thema heute ne OT, die andere ist pantasting erzähl doch noch mal kurz was pantasting ist und wo das herkommt, bevor wir es dann im nächsten Schritt zusammenführen.
Pantasting für die OT. Genau also panetration Testing, um es um es komplett auszuformulieren, ist im Prinzip das Testen eines Systems, kommt es doch an, ob man jetzt reinschauen kann in das System, da gibt es auch unterschiedliche Begrifflichkeiten oder ob man es wirklich komplex aus der komplett aus der auch Außenansicht testet, wo man im Prinzip schaut kann man das System. Auf irgendeine Art und Weise dazu bringen, Dinge zu tun, für
die es nicht vorgesehen ist. Und das ist im Prinzip grob umrissen. Pantasting wenn es, wenn es sich um eine Website handelt, bedeutet das nichts anderes, als dass man versucht, auf Daten oder auf Funktionen zuzugreifen. Auf der Website, die nicht für den Benutzer zugänglich sein sollten oder halt nicht für den Benutzer mit den Berechtigungen, die man hat zugänglich sein sollten, und man versucht halt
herauszufinden. Schritt für Schritt, als mehr und mehr Information zu kommen, was jetzt das System betrifft, was für Komponenten verwendet werden. Also jetzt bei einer Website, kann aber auch immer eine Industriesteuerung sein, welche Softwarekomponenten verwendet werden oder auch welche Hardwarekomponenten verwendet werden, manchmal dann versucht man halt auf Basis von diesen Informationen immer halt weiterzukommen.
Zu schauen gibt es gibt es irgendwelche Backup Dateien, gibt es irgendwelche Schwachstellen in der Programmierung, gibt es auch schwerere Schwachstellen in der Programmierung, wenn Datenbanken zum Beispiel verwendet werden. Das kann jetzt auch so Escal Injections und sowas betreffen, also man versucht hier hier Daten rauszukriegen aus der Datenbank, beispielsweise über eine Website, kann aber eben auch eine USV sein, hatten wir auch schon, ist das und.
Eine unterbrechungsfreie Spannungsverfolgung oder Stromversorgung, je nachdem dort war also in der Vergangenheit. Wir haben auch ein Security Advisory auf unserer Website dazu veröffentlicht, wo eine eine Datenbank tatsächlich auf eine USV drauf war, wo man eben log Daten beispielsweise auslesen hat können oder einspielen hat können die vorhin nicht dauern, was natürlich dann im Prinzip die Daten verfälscht oder verändert, also die Integrität angreift.
Und somit zum Beispiel Probleme nicht korrekt nachvollzogen werden können oder nicht bestehende Probleme hinzugefügt werden können. Bei der Datenbank beispielsweise. Genau das war jetzt eh schon ein bisschen ausgeführt in in die Richtung was wir, was wir so machen Pentasting ist im Prinzip, man versucht halt Schwachstellen zu finden, Schwachstellen auszunutzen auf Basis von Informationen, die man vorher gesammelt hat, also das geht immer Schritt für Schritt mit Informationssammlung mit.
Ableiten, welche Schwachstellen bestehen könnten oder oder welche Probleme bestehen könnten.
Bei den ganzen Systemen. Und dann wird versucht, genau eben basierend auch auf der auf der Erfahrung, die wir halt schon gesammelt hatten in der Vergangenheit versuchen halt verschiedene Schwachstellen auszunützen, ob sie ob sie existieren oder nicht, das ist halt immer die Herausforderung beim Pentesting, dass man das herausfindet manchmal, und das ist eben der Unterschied zwischen Blackbox, Pentesting von Systemen oder Whitebox Pentesting von Systemen.
Manchmal hat man natürlich auch den Quellcode zur Verfügung. Von den Programmen, von den Steuerungen, von den ganzen Diensten, die hier drauf programmiert worden sind beziehungsweise halt kompiliert worden sind und dann kann man auch in den Quellcode reinschauen und sich hier auf die Suche begeben und schauen, ob man hier irgendwelche Schwachstellen identifizieren kann, die man dann eben auf der anderen Seite auf dem Echtgerät ausnutzen könnte.
Und ja, dann gibt es natürlich noch was dazwischen, das wäre so Greybox. Pantasting Man hat Informationen, man hat nicht alle Informationen, aber man bekommt ein bisschen was Zugänge. Ich sage jetzt mal Pläne, also architekturdiagramme und sowas, aber nicht den kompletten Quellcode, das ist eher so dazwischen, aber ist halt dann so so das Greybox pantasting was wir halt auch oft machen, weil manchmal werden wir halt von von Betrieben oder von von Betreibern.
Kritische Infrastruktur oder eben von produzierenden Betrieben engagiert, die uns halt ihre Systeme testen lassen, selbst aber nicht die ganze Information haben. Also sie kaufen selbst natürlich die ganzen Maschinen, die ganzen Steuerungen und so weiter zu und haben halt nur begrenzt wissen über das ganze und wir bekommen halt meistens dann alles, was eben unser Kunde hat und der lässt es uns dann testen. Hin und wieder ist es auch so, dass uns Hersteller beauftragen.
Ihre Produkte zu testen, das ist dann meistens eben keine Infrastruktur, sondern halt wirklich nur ein Produkt, was
wir auch machen. Und dort bekommen wir meistens dann schon mehr Informationen, weil umso mehr Informationen der Tester der Pen Tester im Vorfeld bekommt, umso schneller kann er dann Ergebnisse liefern beziehungsweise umso genauere Ergebnisse kann er liefern, wenn wir alles ohne ohne Hintergrundwissen durchführen, also den ganzen penetrition Test, dann könnten wir natürlich ganz viel übersehen, das wissen
wir nicht. Manchmal ist es einfach so, dass das System im Hintergrund so komplex ist, dass wir ohne Information im Prinzip sehr, sehr lange brauchen würden, um solche Schwachstellen, solche Fehler zu identifizieren. Es wäre möglich, aber es ist halt einfach ja, der Angreifer hat natürlich viel Zeit, wir haben halt nur die Zeit, die wir bekommen von dem von dem Kunden, und das ist halt der große Unterschied, also im Prinzip der der Zeitvorsprung, der Halt eben
der Angreifer hat. Also das heißt, wenn. Das heißt, es gibt grundsätzlich das Blackbox Pantasting. Du kriegst keine zusätzlichen Informationen über ein System und versuchst es anzugreifen, einzudringen oder mit dem Dinge zu tun, für die es nicht vorgesehen ist. So hattest du es, glaube ich ausgedrückt.
Whitebox pantasting du bekommst den Quellcode zur Verfügung gestellt, um ein eine Infrastruktur oder ein Gerät zu pantasting oder irgendwas dazwischen greybox also ein Betreiber von Anlagen übergibt alles was er an Infos hat. Damit ihr oder wer auch immer die Pentester testen können, OK, spannend das ist das finde ich mal gut, dann das Pentesting scheint etwas zu sein was geplant und beauftragt ist.
Also ist jetzt nicht so, dass das passiert, ohne dass der Betreiber der Infrastruktur darüber Bescheid wüsste. Ja genau, also das, das ist ist im Prinzip ein Service, so wie wenn ich jetzt einen einen Safety Check mach oder halt einfach einen einen einen jährlichen Test.
Also es gibt ja, gibt ja sowas. Beim Fehlerstromschutzschalter im Haus, wenn man auf die Testtaste drückt, sollte man einmal im Jahr machen, machen nicht so viele, aber sollte man drückt man drauf und wenn der wenn der Fehlerstromschutzschalter fällt, also wenn der Strom weg ist, dann weiß man ok hat funktioniert. Mein Fehlerstromschutzschalter funktioniert wenn ich irgendein defektes Gerät habe was mir sonst einen Stromschlag
versetzen würde. Dann wird es der Fehlerstromschutzschalter abfangen und genauso verhält sich es im Prinzip beim Pentest. Wir schauen halt wirklich ob ob die Systeme, ich sag jetzt mal nicht fehlerfrei, aber zumindest zu dem Zeitpunkt, zu dem wir es testen, keine groben Fehler haben und man sollte halt solche solche Pentests natürlich.
Einmal im Jahr oder je nachdem, was für eine, was für einen Anwendungsfall man verfolgt, wenn man irgendein DATENCENTER hat, was höchste Sicherheit garantieren sollte, dann sollte man es vielleicht öfters machen als nur einmal im Jahr, aber kommt halt eben auf den Anwendungsfall an.
Wir testen die Systeme und natürlich gibt es immer wieder neue Schwachstellen die die Aufkommen, die entdeckt werden, die Schwachstellen werden ja nicht eingebaut von irgendwelchen Security researchern die sich die Systeme anschauen. Sondern die werden halt einfach
entdeckt. Also die sind schon drin und die werden halt im Prinzip nur gefunden und die bekommen dann auch eine cvi Nummer, also einen Vulnerability Score, den man auch online nachverfolgen kann, also wo man sich anschauen kann, wie ist der Status zu der Schwachstelle, ist sie behoben, gibt es einen Patch, gibt es keinen Patch, gibt es einen Workaround was auch immer und solche solche öffentlichen Schwachstellen schauen wir uns im Zuge solcher Tests natürlich
auch an. Und wir identifizieren auch immer wieder neue Schwachstellen, sogenannte Zero Days, also dem Hersteller nicht bekannte Schwachstellen. Also Tag 0 halt, und die melden wir dann, die melden wir dann ja im Zuge des Pen Tests oft in Absprache mit unserem Kunden dann ein und die werden dann natürlich vom Hersteller zumeist, aber nicht immer leider behoben und danach gibt es einen Patch und den kann der Kunde dann einspielen.
Klingt nach einem langen Prozess, gerade in der Industrie, bis da wahrscheinlich so ein Patch dann da ist und released und dann noch eingespielt eingespielt wurde, vergeht vermutlich ein bisschen Zeit, ne. Genau also das hat auch einen Namen, das ist Coordinated Women reability disclosure Prozess, also gibt es bei mehreren, also im Prinzip bei fast allen pandasting Firmen. Also ich wüsste jetzt glaube ich gar keiner die die sowas nicht hat. Aber es wird halt eingemeldet.
Gibt es auch einen Standort hierzu? Ich weiß, dass der Standort nicht auswendig ist, aber ein ISO Standard und ja, normalerweise geben die die Tester oder die vuldernability Researcher ebenso wie ich, so wie meine Kollegen dem Hersteller dann so um die 90 Tage Zeit. Es gibt auch welche mit 60 Tagen, 45 Tagen oder 100 120 Tagen, also verschiedene verschiedene Prozesse die definiert sind, aber das wird dann dem Hersteller auch immer zugesandt.
Gemeinsam mit mit dem mit der Schwachstelle, die entdeckt wurde und der weiß dann auch Bescheid, dass er so und so lange Zeit hat, dass er einen Patch rausbringt. Üblicherweise ist es genug Zeit, um einen Patch zu veröffentlichen, aber oft scheitert es an internen Prozessen, eben vom Hersteller, von der Entwicklung, es ist irgendwer im Urlaub, irgendwer ist krank, es verschiebt sich aus irgendeinem Grund und oft ist es dann so, dass.
Dass die, dass die Patches dann ein bisschen später erst veröffentlicht werden, als der Hersteller es selbst gerne möchte. Aber wir machen das normalerweise immer in Absprache mit dem Hersteller, dass es hier keine Alleingänge gibt. Also wir veröffentlichen normalerweise nur unsere Advisory, wenn der Hersteller entweder den Patch schon draußen hat oder wenn der Hersteller sagt, er behebt es einfach nicht, weil es ist ihm egal. Also das gibt es auch. Leider.
Du hast jetzt noch eine weitere Unterscheidung gemacht, eigentlich zwischen den Herstellern von Geräten, die Pen Tests beauftragen um um um Geräte auf Schwachstellen zu überprüfen und die Unterscheidung noch mal von den Betreibern der Geräte, die ihre Infrastruktur überprüft haben wollen. Und vielleicht kannst du auf diesen Unterschied noch mal eingehen und gleichzeitig auch darauf oder vielleicht im Anschluss, wie typisch jetzt OT
¶ OT Pentesting im Detail
Pen Tests eigentlich sind also. Wer macht das? Gibt es dazu Verpflichtungen, vielleicht gesetzlicher Natur oder ab welchem Punkt lohnt es sich dann auch für einen Betreiber von OT Infrastruktur so etwas zu tun? Also erster Punkt Geräte und Infrastruktur, also Hersteller und Betreiber und zweiter Punkt ja Betreiber, ab wann mache ich das? Sagen wir es mal so. Wir haben sehr viele, sehr viele Kunden, die im Prinzip ihre Infrastruktur überprüfen lassen, also wirklich Netzwerke.
Wirklich das OT Netz hierzu gibt es auch ein Architekturdiagramm, was halt oft umgesetzt wird. Das nennt sich Persia Model, das ist halt unterteilt in verschiedene Ebenen, wo die einzelnen ich würde jetzt mal sagen nicht nicht Komponenten aber zumindest die Einzelnen, die einzelnen Anwendungsschichten sich befinden. Also es gibt hier prozessebene, leitebene.
Bis bis runter eben zu den einzelnen Sensoren und Aktuatoren. Und wenn wir sowas überprüfen sollen, ist die Herangehensweise natürlich immer ein bisschen anders, als wenn wir uns ein Gerät anschauen, was wir vielleicht von einem Hersteller bekommen, aber bei einer kompletten Infrastruktur müssen wir halt immer ein bisschen vorsichtiger sein, wenn es. Wenn wir es im Betrieb testen, weil es gibt es auch hier noch mal die Unterscheidung zwischen
Testen im Betrieb und testen in einem Wartungsfenster.
Wir bevorzugen natürlich das Wartungsfenster, was einmal jährlich oder einmal in 2 Jahren gemacht wird, wo ein 2 Wochen alle Maschinen stehen oder vielleicht alle Prozesse stehen, kommt aber natürlich auch auf den Betreiber der Infrastruktur an, also hin und wieder werden auch nur Teile abgeschaltet, Teile gewartet, andere Teile dann später gewartet von dem kompletten kompletten Betrieb. Und wenn wir sowas testen, müssen wir halt immer vorsichtig sein, weil wenn wir hier Scans
machen in den Netzwerken, kann es natürlich passieren, dass Komponenten ausfallen, natürlich unbeabsichtigt, wir wissen halt schon bei vielen Herstellern, also bei Siemens Steuerungen oder von von WAGO oder was auch immer, es gibt ja verschiedene Hersteller von solchen Komponenten, welche Steuerungen hier ausfallen oder eher ausfallen bei Scans und welche Steuerungen ja. Einfach weiterlaufen und wo
einfach nichts passiert. Das zeigt sich natürlich dann mit der Erfahrung bei solchen Tests testen wir die einzelnen Komponenten zwar auch relativ genau, aber es ist schon ein noch mal ein komplett großer Schritt zu testen von wirklich einer einzelnen Komponente, die wir dann auch zerlegen und im Detail analysieren. Das können wir natürlich nicht machen bei einem Infrastrukturtest. Weil dann müssten wir natürlich eine Komponente hier rausnehmen
und zerstören. Wäre natürlich nicht Sinn der Übung, aber bei einem Test von einer kompletten Infostruktur bekommen unsere Kunden dann immer einen ziemlich guten Überblick, wo sie wo sie noch viel zu tun haben, also in der Security, in der OT Security und natürlich auch was sie tun können. Also wir geben hier natürlich auch Handlungsempfehlungen ab, die die im Prinzip entweder zur
Abschwächung der. Der Schwachstelle führen oder im Idealfall also normalerweise schreiben wir immer die Komplettlösung auch dazu, wie es gemacht werden sollte, was aber nicht immer möglich ist. Leider, das ist eben der Punkt, oder wie sie halt wirklich die Sicherheit halt komplett herstellen können, ist aber eben ein komplett großer Schritt und in den meisten Proteinfrastrukturen nicht nicht sofort umsetzbar und halt nicht sofort möglich.
Genau uns Komponenten, also wenn wir wirklich einzelne Komponenten uns von Herstellern anschauen, dann. Ist es meistens so, dass wir eine Entwicklungsversion
bekommen? Das ist ja auch noch mal die Unterscheidung zwischen, wir schreiben eine Advisory, wenn wir in einer in einem OT Infrastrukturtest etwas gefunden hatten und uns der Hersteller halt nicht direkt beauftragt, dann sind wir nicht vom Hersteller direkt beauftragt und können natürlich hier auch was oft was publizieren, das kommt natürlich dann auch darauf an, wie es in Absprache mit dem Kunden dann möglich ist, wenn wir uns ein Einzelgerät
anschauen, dann ist es sehr oft so, dass wir uns. Eine Entwicklungsversion anschauen, von den Herstellern öfters infrastrukturtests und nicht so oft einzelne Geräte. Das ist so ein bisschen würde ich jetzt mal sagen, die Aufteilung, die du vorhin angesprochen hattest. Dann haben wir halt oft auch Zugriff, eben wenn es White Box
ist. Auf den Quellcode hier ist es manchmal ein bisschen schwierig, wir bekommen manchmal nur Quellcode auf Anfrage. In dem Projekt bei dem Hersteller, weil sie wollen halt nicht alles aus der Hand geben, weil es natürlich geistiges Eigentum des Herstellers ist und natürlich immer die Angst mitschwingt, dass wir hier irgendwas auf irgendwelchen Kanälen liegen würden, was halt natürlich nicht öffentlich sein soll.
Aber dann testen wir natürlich hier auch die Software und die Hardware von dem Gerät, also wir zerlegen manchmal das komplette Gerät auch und schauen uns an, sind Speicherverschlüsselt, sind Debugports von den von den einzelnen Systemen am Chip. Also von der CPUS im Prinzip deaktiviert.
Deaktiviert ist alles richtig gemacht ist, ist Secure Boot richtig implementiert und so weiter also hier geht's dann nicht nur um die Software, hier geht's dann auch um den kompletten Prozess, der Halt mit der Hardware zusammenspielen muss. Unterm Strich ist das alles irgendwie Software, Firmware oder was auch immer, aber.
Natürlich gibt es ja auch Komponenten, die hier die hier reinspielen und da schauen wir uns natürlich alle Interfaces an. Also oft gibt es hier Webinterfaces für die Konfiguration von den Steuerungen, es gibt aber auch irgendwelche proprietären Interfaces oft, die verwendet werden, um um halt andere Steuerungen anzusprechen oder um Sensoren und Aktuatoren anzusprechen. Lass uns zurückkommen zur Infrastruktur. Darüber sollst du heute primär
gehen, noch mal ganz konkret. Wer, wer macht das? Welche Unternehmen beauftragen tatsächlich Pentask für Ihre, für ihre Infrastruktur? In der OT ist es ist es sehr verbreitet oder lohnt es sich ab bestimmten Produktionsgrößen gibt es gesetzliche Vorgaben, kannst du dazu noch was sagen? Also genau es. Es gibt es nicht Gesetz, also das ist im Prinzip die gesetzliche Vorgabe, die in der Europäischen Union im Prinzip umgesetzt werden.
Soll. Manche Länder sind da ein bisschen schneller, andere Länder brauchen da noch ein bisschen, bis sie das Gesetz dann ja, weil sich selbst halt dann auch tatsächlich verabschieden, eben die die neue Version natürlich auch. Und ja, es gibt die betreiberkritische Infrastruktur, die es natürlich als Erstes trifft unter Anführungsstrichen, dass sie das Gesetz einhalten müssen, einhalten sollen und die beauftragen natürlich panelstar, dass ihre Infrastrukturen
überprüft werden und. Das ist so mal sozusagen die größte Gruppe an Betreibern, also an Betreibern von Infrastruktur, die halt, die halt hier natürlich dann die Tests vergeben beziehungsweise halt Tests anfordern an Betreiber von von Infrastrukturen für einfach nur produzierende Betriebe also die Halt irgendwas herstellen, die sind da noch nicht ganz so weit, aber die größeren, also die halt so. Global verschiedene Werke haben, die sind da schon, ich würde sagen, schon schon sehr, sehr
weit, was eben die meisten zumindest, was eben die Security in der OT Infrastruktur angeht. Also dort gibt es auch einen Security Officer der nur für OT zum Beispiel zuständig ist und dort gibt es auch Leute in den in den lokalen Werken in den lokalen Niederlassungen, die sich auch nur um die Security kümmern, also die sind normalerweise ganz gut
aufgestellt. Das hätte ich selten gesehen, dass das eine größere Firma, also in der OT, die halt global auch agiert, dass die, dass die hier schlecht aufgestellt werden, die können sich das auch gar nicht leisten, weil es ist, es ist halt so. Es gibt natürlich auch diese ganzen Ransomware Angriffe, die natürlich die ganze it lahmlegen, was man halt so kennt und. Trifft aber natürlich auch die OT Infrastruktur, weil bei OT Infrastruktur natürlich auch Windows verwendet wird.
Es ist dasselbe Windows im Prinzip was verwendet wird für IT. Es wird aber in der OT eingesetzt und das das ist eben die Definition von von Komponenten. Manche Komponenten sind OT, Manche Komponenten sind IT, also es werden viele Daten übertragen, es werden weniger Daten übertragen, aber manchmal ist die Technologie trotzdem dieselbe und.
Natürlich können jetzt Ransomware Angriffe dann auch eben produzierende Betriebe betreffen und die, die würden natürlich dann auch stehen und eben größere, größere Firmen können sich das einfach nicht leisten, dass sie, dass sie im Prinzip hier, dass sie im Prinzip hier verwundbar sind und eben Angriffen ausgesetzt werden, sodass eben die komplette Produktion steht, das geht, geht einfach nicht und.
Und wir haben jetzt auch schon mehr Aufträge bekommen, auch schon von produzierenden Betrieben. Dort geht's aber oft auch so ein bisschen um die um die Konzeption, wie baue ich die Netzwerke schon sicher auf, wenn ich einen eine neue Niederlassung einfach einfach, ja, also wenn ich so was, wenn ich so was eröffne bei der kritischen Infrastruktur, ist ja oft so. Wasserkraftwerke, Kohlekraftwerke oder Gaskraftwerke, die existieren ja schon seit seit Jahrzehnten,
oder? Ja, also schon schon längere Zeit, die werden halt umgerüstet, dort wird halt dort wird das Netzwerk meistens, es wächst, historisch wird es immer wieder überprüft und dort ist halt ja die Konzeption dort ist meistens ist meistens dann eher schon zu spät, dort wird dann eher dort angesetzt, dass man halt Dinge umbaut und.
¶ Typische Schwachstellen der OT
Ja, und Dinge überprüft und jetzt von Anfang an zu konzeptionieren, das geht halt wirklich nur, wenn ein neues Kraftwerk gebaut wird. Und ja. Ja, OK, wir wollen ja heute auch über Pentests sprechen, von der passt. Was sind denn typische Schwachstellen, die ihr aufdeckt oder die man grundsätzlich aufdecken kann in so einem Pentest?
Was kommt immer wieder vor, was sind so die Evergreens in Anführungsstrichen und was lässt sich daraus dann logischerweise auch ableiten, also was sind eigentlich die? Ja, wie man so schön sagt, Low Hanging Shoots, wo denn jeder was direkt tun kann mit wenig Aufwand. Was findet ihr erstens wieder und wie kann man das natürlich beheben? Dadurch, dass dass eben Netzwerke historisch wachsen und dadurch, dass eben diese im Prinzip dieses dieses purgeo Model auch als Empfehlung gibt,
schon schon recht lange. Eigentlich sind. Halt so, sind halt so die Probleme, dass einfach die Netzwerksegmentierung oft nicht vorhanden ist oder oder fast nicht existiert. Und wir schauen uns halt immer immer an, in welchem, in welchem Segment, in welchem Level befinden befinden wir uns eben bei dem bei dem Purchae Model, wo sollten die Komponenten eigentlich angesiedelt sein?
Und oft fällt uns dann auf, dass das Halt einfach gar nicht zutrifft, weil es einfach aus jedem Netzwerk erreichbar ist. Und es hat schon seinen Sinn, dass man, dass man diese, diese diese Grenzen zieht, eben bei dem bei dem Purchae Model und.
Dass man hier nicht direkt aus der DMZ beziehungsweise eben von den Clients, mit denen man zum Beispiel einfach nur den den Prozess überwacht, direkt auf die Steuerung auch zugreifen kann, das ist eben sowas, was wir, was wir oft sehen, was geht, was aber nicht gehen sollte.
Und es hat auch schon seinen Sinn, wenn ich mir hier irgendeine eine Schadsoftware einfange und an dem Punkt, also ganz ganz oben in der Architektur angesiedelt, dann könnte das direkt durchschlagen auf meinen Prozess und könnt mir ja. Unter Umständen die, die die komplette Produktion oder die komplette Produktion von irgendwelchen Komponenten oder natürlich eben auch von Strom
lahmlegen. Also den Punkt ganz kurz, es geht drum, die Netzwerke sind nicht segmentiert und voneinander getrennt und deswegen kann von einem Punkt ganz oben vielleicht ganz tief auf ne Steuerung zugegriffen werden mit irgendwelchen Befehlen oder wie auch immer oder von Schadsoftware und durch ne Netzwerk Segmentierung an der Stelle wäre es. Ja genau, also wären wären. Das ist halt. Oft bei also wie gesagt bei kritisch Infrastruktur sind die sind die Betreiber schon ein
bisschen weiter vorne. Das passiert eher selten, dass dass dort wirklich irgendwelche groben Schnitzer in Richtung Netzwerksegmentierung drin sind, aber nebenbei produzieren betrieben ist sowas halt schon, fällt sowas halt schon öfters auf und da sieht man halt schon oft, dass dass das einfach nur ein großes Netzwerk ist und. Sonst nichts.
Also da gibt es einfach keine Segmentierung, was noch, was noch so ein, was noch so ein Punkt ist, beispielsweise veraltete Betriebssysteme oder veraltete Software, das finden wir auch immer wieder, wo man sich denken sollte, das sollte eigentlich nicht geben, weil gibt es ja Patches, gibt es ja Updates, ist ja alles kein Problem heutzutage, ist halt leider nicht so. Weil bei bei Operational Technology oft irgendwelche Systeme verkauft werden.
Es werden nicht Komponenten verkauft, es werden Systeme verkauft, es wird beispielsweise eine ein ein Prozessleitsystem verkauft, das hat einem einfach einen gewissen Softwarestand, dort gibt's 2030 Server drin 300 Clients. 200 Steuerungen und dann noch 1000, Sensoren, Sensoren und Aktuatoren.
Und die müssen alle miteinander kompatibel sein und die brauchen natürlich einen gewissen Softwarestand im Sinne von der Software, die auf den Betriebssystemen auf den Betriebssystemen läuft eigentlich, und das heißt, ich kann nicht eine Komponente hier einfach updaten, einfach einfach so geht nicht, würde ich das tun, wird der ganze Prozess nicht mehr funktionieren, unter Umständen muss nicht sein, kann
sein. Allerdings dadurch, dass eben die die kompletten Prozesse, also die die kompletten Systeme hier verkauft werden kann hier der Betreiber nicht einfach sagen, ich greife jetzt ein, aktualisiere das Ding, weil dann verliert er vielleicht einfach seinen Support oder seine Garantie vom Hersteller und somit ist er eigentlich
gefangen. Er hat ein Vendor Login, wenn man es, wenn man es so ausdrücken möchte, allerdings geht es gar nicht anders, weil ganze Prozesse als Systeme selbst zusammen zusammenbauen, das wäre halt. Das würde halt einfach nicht gehen.
Das könnte der Betreiber nicht nicht einfach machen, weil es würde halt immens viel Kosten und wäre auch nicht rentabel und würde auch einfach keinen Sinn machen, weil die zum Beispiel ja eben Siemens wäre, zum Beispiel so ein Lieferant von Prozessorsystemen, die kennen sich halt einfach viel besser aus mit den ganzen Systemen und die sollten das natürlich auch tun und warten und und und und und oft ist es so, dass wir zum Beispiel. Bei einem OT Infrastrukturtest
hinkommen und dass einfach der Support ausgelaufen ist. Das heißt das Prozessessystem, das wird halt nicht mehr aktualisiert. Das wurde ohne Support eingekauft, weil halt nicht daran gedacht wurde was passiert in der Zukunft und so ähnlich verhält sich das halt natürlich ist es ist es oft so, dass dass es Verwartungsverträge gibt, wenn wir kommen und. Und CNH Prozessor System hat einen Wartungsvertrag und wird auch immer wieder aktualisiert.
Allerdings dauert das auch immer recht lang, weil man muss sich das so vorstellen. Man kann hier ein System, was zum Beispiel für eine Kläranlage zuständig ist, da kann man nicht, da kann man nicht einfach in betrieb Dinge testen, also ich kann hier nicht einfach Dinge aktualisieren und dann schauen, ja geht's oder geht's nicht, weil dann wird
vielleicht. Ja, die ganze Kläranlage nicht mehr funktioniert für ein paar Tage wäre natürlich eine Katastrophe, jetzt muss das alles irgendwo getestet werden, der Hersteller, wie eben beispielsweise die Siemens, muss das Testen bei sich, ob dann die ganzen Prozesse noch funktionieren, ob dann die ganzen Steuerungen noch gehen, ob die Ganzen, die ganzen Komponenten, die ganzen PC s noch zugreifen können und die Server, ob hier ob hier keine
Abweichungen dann bestehen, das dauert natürlich auch seine Zeit, also alles was bei der OT dann ankommt an Patches, das kommt halt einfach später dann das ist halt einfach. Ja, das liegt halt einfach daran, dass viel getestet werden
muss, bevor es ausgerollt wird. Und ja, natürlich, wenn man von dem von dem Zeitpunkt, wo eine Schwachstelle bekannt wird, in einem eben beispielsweise Windows System dauert es natürlich dann viel viel länger bis das hier ankommt bei der OT, das kann das kann Tage also im besten Fall Tage bis Monate dauern, bis das dann wirklich ankommt und bis es dann beim Kunden ist, kann es dann natürlich noch länger dauern
bis. Weil die beispielsweise sagen, Wartungsvertrag gut und schön, aber nur im Wartungsfenster, soll also aktualisiert werden, das heißt einmal im Jahr, also man muss sich halt vorstellen, dort gibt es halt dann Schwachstellen, die Halt vielleicht schon seit Monaten kursieren, die dann dort aufpoppen und man denkt sich dann okay ja eigentlich schon längst bekannt, gibt es schon einen Patch. Aber man muss sich halt, man muss sich halt immer überlegen, was läuft da im Hintergrund
alles ab und warum dauert das eigentlich so lange, bis das bis das dann tatsächlich dort ankommt und für die Zwischenzeit gibt es natürlich dann immer Maßnahmen, die man setzen kann, wie beispielsweise, dass man gewisse Ports Halt blockiert auf eine längere Zeit im Netzwerk oder Überwachungen besser konfiguriert und so weiter dass man hier natürlich immer die Augen offen hält, ob hier irgendwas passieren könnte oder ob hier irgendwer versucht. Eine Komponente, ein ein System,
was auch immer anzugreifen. Also das ist halt immer so ein bisschen, ja, ist nicht so einfach, muss man halt einfach sagen. Das war der zweite Punkt, also erster Punkt waren quasi die nicht segmentierten Netzwerke, der zweite war veraltete, Ungepatchte Software stände und ich hab mich gerade noch gefragt, was ist denn mit dem Faktor Mensch, der spielt ja gerade in der IT häufig ne Rolle. Ja diese schlechten Passwörter ich klicke auf ne Mail. Wo mein Passwort?
Wie heißt das Gepisht oder Gepisht wird oder sowas. So eine pishing Mail und solche Sachen also spielt ja Faktor Mensch auch eine Rolle in der in der OT Security und beim Pantasting. Ja, also das mit den Passwörtern ist halt leider so ein ja, das ist halt einfach überall ein Problem. Also wir wir, wir hatten schon Tests in Gaskraftwerken relativ großen. Wo halt wirklich die banalsten Passwörter eingesetzt wurden.
Ich kann halt nicht viel dazu sagen, außer man sollte halt eine Passwort police implementieren und das ist halt einfach ein, das ist halt einfach ein organisatorisches Thema. Also natürlich kann man es nicht forcen, also man kann es natürlich erzwingen, indem man Passwörter halt nur zulässt, wenn sie eine gewisse Länge und eine gewisse Komplexität besitzen, aber es ist halt ja das mit den mit den zyklischen Änderungen, die dann jedes Jahr
eingefordert werden. Das ist halt dann auch nicht optimal. Ich glaube, das ist eh schon länger und breiter diskutiert worden in der Security Industrie. Dadurch zählen die Leute dann einfach ihre Passwörter hoch, wenn sie halt dann mit einer Zahl am Schluss beginnen 0 und zählen halt hoch bis 9 und jedes Jahr wird die wird die Zahl dann um 1 höher.
Also ich ich habe schon einen. It Dienstleister also, der mit uns schon viele Pentasts auch begleitet hat in verschiedenen Werken. Ich habe mit dem geredet und er hat gesagt, er konnte die Passwörter dann schon erraten, jedes Jahr von den Leuten, wenn er bei Ihren PC s eingestiegen ist und halt irgendwelche Aktualisierungen vorgenommen hat, weil normalerweise haben die haben die dem einfach die Passwörter kurz durchgesagt am Telefon.
Weil der halt keinen direkten Zugriff hatte auf die auf die auf die ganzen Systeminternos beziehungsweise auf die auf die Domäne selbst. Aber er musste halt die Wartung vornehmen und er hat sie dann irgendwann nicht mehr anrufen müssen, weil er hat gewusst okay diese Zahl wird einfach nur 1
höher. Also man kann sagen Passwörter Faktor Mensch Organisation vielleicht als Oberbegriff ist auch in der OT. Ja, Thema genau das gleiche Problem wie in der IT. Manchmal vielleicht sogar noch ein größeres, weil die Systeme nicht ganz so wie schon gesagt, nicht ganz so aktuell beziehungsweise nicht ganz so auf dem Stand der Technik sind, dass sie vielleicht auch eben Policies nicht erzwingen oder noch nicht erzwingen.
Oder dass es vielleicht auch nicht so so restriktiv konfiguriert wird, weil man mehr Angst hat, Funktionalitäten, die man braucht, um um den Prozess oder um die Prozesse aufrechtzuerhalten, zu blockieren. Und deswegen werden Dinge vielleicht nicht ganz so. Unter Anführungsstrichen Security Affin eingestellt, das
gibt's auch. Wir haben beispielsweise in der Vergangenheit auch viele Managementprotokolle gesehen, also Managementprotokoll im Prinzip SNP, also das simple Network Management Protokoll, was aktiviert war auf den ganzen Steuerungen auf den ganzen Industrie PCS, wo man im Prinzip mit mit einem kleinen Scan der. Recht minimal.
Invasiver sehr sehr sehr viel Information aus dem Netzwerk schon beziehen hat können und das war nicht nur lesend, sondern zum Teil auch schreibend möglich und man hat natürlich hier dann auch Host names und irgendwelche IP Adressen verstellen können und konnte natürlich auch das komplette System dann einfach mal ausnocken. Also das war halt war halt nicht schön, aber so Dinge wären auch oft von den von den Anlagenbauern zum Beispiel.
Die auch Teile vom System liefern, nicht unbedingt das prozessel System, auch vielleicht einzeln erschienen wie Turbinen oder so, die Denken auch das nicht, also für die ist das Halt kein, die denken nur daran, dass das System hoch verfügbar ist. Das ist wichtig, aber Security spielt für die je eine untergeordnete Rolle, weil um Security kümmern sich eh die Leute im Netzwerk und was auch immer. Die verkaufen dann oft schon Maschinen mit einem gewissen Betriebssystem.
Windows 7 zum Beispiel. Oder gibt es irgendwelche Maschinen, die werden so verkauft und die Kosten dann irgendwie 10000000€ und ja, das bleibt dann stehen, sehr lange kann nicht aktualisiert werden, weil die Software nicht für für die nächste Windows Version geschrieben ist beziehungsweise nicht kompatibel ist. Zumindest nicht offiziell, zumindest nicht vom Support her und so weiter.
Und man kann nicht aktualisieren, man hat Schwachstellen drin, die sind sehr viele Jahre alt, man kann nicht aktualisieren, das ist halt auch oft oft sein Problem, das ist dann nicht nur nicht nur wie bei den Prozesselsystemen auf ein paar Monate oder vielleicht auf ein Jahr, sondern das kann halt dann einfach Jahre zurückliegen, dass hier, dass hier wirklich sehr, sehr viele kritische Schwachstellen drin sind, die gar nicht gepatcht werden können, und bei sowas
empfiehlt sich dann oft, dass man entweder das ganze System direkt an eine Firewall anbindet und dort halt alles blockiert, was nicht gebraucht wird, oder und das ist auch in größeren Netzwerken wird es wird es hin und wieder oft eingesetzt.
Es gibt sowas wie datendioden ich mein es sind keine Datendioden, aber es heißt so im Prinzip eine ja eine kleine kleine Appliance, also von der Größe eines, eines, eines Tisch, eines Switches. Die man halt verwenden kann, um wirklich Daten zu filtern, aktiv zu filtern und um zu schauen, dass wirklich nur ein 23 Ports hier ja in eine Richtung
zugreifen können. Also also Datenfluss in eine Richtung möglich ist und in die andere Richtung nicht und dann kann natürlich weniger passieren, wenn sowas gekapselt wird und das ist halt, das wird auch oft verwendet. Okay also. Bewusster Umgang mit den Schwachstellen, die da sind, die man nicht vermeiden kann, aber dann eben ja, ich würde nicht sagen Workaround schaffen, aber so eine Art sichere Umgebung, in der die dann trotzdem betrieben werden können. Genau.
Okay die Legacy Systeme, die man fast in jedem Routine Netzwerk hat, ja. Das kenne ich wohl auch ganz gut, die wird man auch nicht so einfach los, so Thomas prima.
¶ Services & Kontakt CyberDanube
Ich habe gar nicht mehr so viel auf meiner Agenda, ich würde sagen. Also tatsächlich habe ich gar keine weiteren Fragen mehr und würde dir noch mal dir das Wort übergeben. Haben wir noch irgendwas zum Thema Pantasting von OT Infrastruktur was wir noch was wir noch nennen sollten, was du noch loswerden? Möchtest ja wie hier beziehungsweise das das war Teil meiner Masterarbeit. Wir entwickeln ein Firmware Emulationssystem und Firmware ist hier etwas was auf den
Steuerungen was auf den. Den Embedded PC S auf den Switches Routern, die eben für die Industrie eingesetzt werden und auch in Access Points verwendet wird, und die Firmware ist, ist oft sehr komplex, also was was hier drin ist bei Smartmietern oder Wechselrichtern oder was auch immer für für Geräte eingesetzt werden, eben für die Industrie und natürlich auch für die Consumer Elektronik.
Die kann wirklich sehr, sehr viel und hat oft auch ein eigenes Betriebssystem drauf und oft auch oft auch ein Webinterface oder irgendwelche FTP oder was auch immer. Andere Protokolle, die in der IT und aber auch in der OT eingesetzt werden. Und wir haben hier ein Firmware emulationssystem in Entwicklung beziehungsweise. Verkaufen wir auch für den Zweck, dass man eben Penetration
Testing damit durchführen kann? Das heißt, ich nehme das Firmware Update, was ich normalerweise von der Herstellerseite beziehen kann und lade es hier hoch. Das Simulationssystem heißt Medusa steht für Multiple Emulation, Dynamic Utilization System Analysis, das ist sehr einfach zu merken und ja, das vertreiben wir unter unter unserem Namen und. Das verwenden wir oft zum Testen, eben von von solchen Embedded Komponenten.
Wie schon vorhin angesprochen, wir stehen ja oft mit den Betreibern vor einem greatbox Test. Kann natürlich aber auch ein Blackbox Test sein von einzelnen Komponenten, wenn sie, wenn Sie sowas testen lassen möchten, gibt ja nicht nur Hersteller die sowas testen lassen möchten, sondern es gibt auch Betreiber die einzelne Komponenten testen lassen möchten und dabei hilft uns dieses System dadurch, dass wir hier die Firmware hochladen können und.
Hier uns dann genau anschauen können, was für was für Dinge im Hintergrund laufen, weil es entpackt, nämlich die Firmware von dem Gerät, was wir untersuchen möchten rekursiv und schaut sich dann wirklich die einzelnen Komponenten an, sammelt die wieder ein, Macht ein lauffähiges System draus und dieses lauffähige System kann man dann verwenden und hier zum Beispiel das Wave Builderface testen, von dem.
Industrie Router, Switch von der Steuerung was auch immer und kann so einen einen Blackbox Test in einen Grey oder whitebox Test sogar verwandeln. Das ist so ein bisschen die Besonderheit an unserer Firma. Prima, da hast du schon eine Vorlage gegeben zu dem zu dem letzten Punkt natürlich, den wir
immer haben. Ich wollte noch sagen, für was darf man euch kontaktieren, jetzt habe ich verstanden auf jeden Fall auch das Firmware pantasting was das Blackbox pantasting auch mal verwandelt in das Whitebox Greybox wie auch immer, auf jeden Fall könnt ihr mehr rausfinden als man vielleicht sonst könnte, wenn. Was habt ihr sonst für Services und wie kann man euch erreichen? Vielleicht gibt es sonst noch mal eine kurze Zusammenfassung und dann haben.
Wir es für heute sonst wie gesagt, schauen wir uns ganze ut Infrastrukturen an, gerne in natürlich sehr gerne in Österreich, aber auch in Deutschland beziehungsweise nächstes Jahr sind wir mal auch schon kurz geplant in der in der Schweiz unterwegs und ja, wir liefern im Prinzip in unseren Reports immer komplette Anleitungen wie man die ganzen Schwachstellen auch rauskriegt und wie man hier.
Möglichst sicher wird in seinem Ot Netzwerk erreichen kann man unter uns unter dem weblinkcybertandube.com bzw die die Software zum emulieren von Firmware, die man auch natürlich Standard Lone beziehen kann, findet sich unter dem unter der URL Metusor RA für Reverse Engineering und ja. Ich glaub sonst meine meine Kontaktdaten schreibst du dann eh auch noch auf. Die Beschreibung so klar ich verlinke alles logischerweise prima.
Thomas dann vielen herzlichen Dank, dass du uns das Thema nah gebracht hast und dir die Zeit genommen hast, jetzt hier zwischen den. Feiertagen also vielen herzlichen Dank. Ich wünsche dir einen guten Start schon mal ins neue Jahr und auch unseren Hörerinnen und Hörern ein ein gutes Jahr 2025 dann, wenn ihr das jetzt so hört, ist Silvester nehme ich mal an. Ja, also danke fürs zuhören, danke Dir Thomas, dann macht es gut. Danke dir.
Mach's gut einfach. Komplex wird präsentiert und produziert von Heiseware. Wir freuen uns auf deine Fragen und deinfeedbackanpodcast@heiseware.com vielen Dank fürs Hören dieser Erfolge bis Dienstag in 2 Wochen und Tschüss aus Hamburg.