OT Security mit Max Weidele von sichere-industrie.de (1 von 2) #26

Moin zufolge 26 von einfach komplex. Heute zum Thema OT Security. Wir haben natürlich den Burkhard wieder da und Burkhard Moin und das dritte Mal jetzt in der Historie von einfach komplex einen Gast einen Experten zum Thema OT Security und Industrial Security und das ist der Max der Max Waidele von der sichere Industrie GMBH auch Betreiber des Portalssichere-industrie.de Max heißt. Zusammen magst du dich einmal kurz für alle Zuhörenden vorstellen, bevor ich dann vielleicht die Agenda.

Einmal durch die Waren vorgenommen, haben wir heute. Ja, sehr gerne. Also ich bin ja Max Weidele, bin Gründer und Geschäftsführer der sicheren Industrie GMBH und des gleichnamigen Online Wissens Portals.

Ja sichereindustrie.de auf der einen Seite sind wir ein klassisches Ingenieurbüro, das heißt, WIR machen OT Security Automation, Security, Industrial Security Projekte, wirklich im Feld, sind dort in der klassischen produzierenden Industrie ganz oft unterwegs und wir haben uns ein bisschen zur Aufgabe gemacht, unser Wissen halt auch draußen für andere

mitzuteilen. Das heißt, wir veröffentlichen regelmäßig Fachartikel, führen ebenfalls Interviews, laden Gast Experten ein und haben, glaube ich, aktuell den meisten deutschsprachigen Content zum Thema OT Security im Web. Genau. Und sind dabei, noch mehr Content zu schaffen heute absolut, wie lange, wie lange macht ihr das schon oder wie lange gibt es die sichere Industrie? Mehr. Also die mit einer kurzen Umfirmierung Geschichte

dazwischen. Aber die Plattform haben wir Anfang 2018 initiiert und im Prinzip kann man sagen, wir haben unsere GMBH 2017 gegründet und ich sag immer ganz gerne, entweder hat man hoffen, Marketing, Budget oder man überlegt sich einen anderen cooleren weg halt auch sich

selber halt. Publik zu machen, wir hatten kein riesiges Marketing Budget und haben gedacht, wir gründen halt einfach eine online Plattform und laden auch einfach schlichtweg alle ein die wir kennen und haben angefangen so eigentlich ne Content Basis zu schaffen und darüber auch eine gewisse Reputation bekommen und genau so ist es glaub ich so ja zustande gekommen 2018 die online Plattform und ich meine 2020 die Umfirmierung von der damals noch bluesnap GMBH als

Ingenieurbüro in die sichere Industrie GMBH. Cool, schön, dass du da bist. Wir freuen uns richtig auf das Gespräch. Und ja, wir haben uns eine Menge vorgenommen, die Agenda. Nächstes Mal haben wir uns hier zusammen überlegt und ich würde einmal kurz durchgehen, bevor

wir einsteigen müssen. Alle wissen, auf was sie sich hier einlassen, von 2 wollen wir natürlich Einführung machen, nochmal das Thema OT einfach wiederholen, unter anderem auch auf das IT Sicherheitsgesetz dabei eingehen, dann uns typische Bedrohungen und Herausforderungen im OT Umfeld ansehen im Produktions Umfeld du insbesondere du wirst uns ein paar Best Practices und das Fundament mitgeben.

Auch gucken, wie wir das ganze Jahr zielgerichtet umsetzen kann und gegen Ende dann noch mal die Zukunftstrends ansehen und würden dann am Ende vielleicht auch mal das zusammenfassen.

Ich kündige schon mal an, ja, aufgrund der breiten Themen, die wir heute vor uns haben, vielleicht machen wir noch 2 folgen, das lassen wir mal offen, genau, dann lass uns doch starten, und zwar mit dem Thema OT, Was ist OT ich glaub und ich habe eine gemacht I versus OT und haben da schon philosophiert und und auch wissen kundgetan was wir darunter verstehen. Wie ist es denn aus deiner Perspektive, Max? Was ist die OT und was macht sie so besonders?

Also ich glaube ganz spannend ist erstmal zu zu verstehen, der Begriff OT wird da draußen zwar von allen verwendet, ich meine sogar r wurde von Gartner initiiert vor einigen Jahren, weil die nichts Besseres eingefallen ist. Und sie sagten ja, wir nennen das OT Operational Technology und Ich glaube, so ist der Begriff halt damals entstanden. Wichtig ist Halt glaube ich immer, es gibt keine rein reine Definition von OT. Das ist erst mal ganz spannend.

Man nennt es halt Operational Technology. Wir sagen immer, sag mal sowas in die Ecke Produktionsnahe ITIT Systeme, die die Produktion unterstützen, die da irgendwie drauf einzahlen muss, müssen aber auch nicht immer Systeme sein können auch Anwendungen sein, also auch Oti Anwendungen letztendlich. Und ich glaube, so kann man so in die Ecke Operational Technology gucken, also OT.

Dazu gehören dann schnell so Themen wie Steuerungen, aber besser, also noch tiefer, wie zum Beispiel auch Sensoren, kann man dazu zählen und je weiter man nach sage ich mal nach oben in Richtung zentral Systeme halt kommt, hab ich vielleicht auch irgendwann einen ja einen Produktions relevantes Active Directory sogar da drin. Ich habe Software Hardware von Siemens vielleicht dabei, also alles was irgendwie erforderlich ist. Damit hat die Produktion läuft.

Ich glaube, das ist so n so ne ganz gute ganz gute Ecke und vielleicht da gleich so ein bisschen auch ein bisschen was aus der aus der Praxis es ganz spannend immer zu beobachten auch alle unsere Kunden oder auch Leser sprechen immer sehr selbstverständlich verständlich sag ich mal von von OT und wenn man dann in die Projekte startet, in Gespräche startet merkt man erst mal ganz schnell, dass die, die haben das nie für

sich definiert. Die reden aber ganz normal über das Thema OT und wenn man mal nachfragt, zum Beispiel eine Frage stellt und sagt, Na ja gut, was ist denn mit den Systemen in der Logistik oder was ist mit den Systemen der Gebäude Automation, dann fällt ganz schnell etwas oben, da haben wir uns gar keine Gedanken dazu gemacht und das wäre vielleicht so direkt ein ein kleiner Tipp, weil du quasi gefragt hat, das Thema ITOT jedes Unternehmen muss für sich

selbst seine Definition von OT im eigenen Unternehmen finden, so, und diesen Job machen. Sagen wir mal 9 von 10 Unternehmen machen das nicht. Das ist der Hintergrund, um einfach die Zuständigkeiten dann klar zu haben.

Absolut genau. Also gerade wenn ich dann interne Gespräche gehen möchte, da sind wir wieder beim Thema ITOT wer macht denn nachher nun was, wer soll was machen, was gehört dazu, was gehört nicht dazu, brauche ich eine klare Definition was OB bei uns halt im eigenen Unternehmen ist. Was ist ein OT Asset, das heißt auch wenn ich später vielleicht Asset Management oder ähnliches einführen möchte, ich brauche ja eine Grundlage, auf der das alles fußt.

Ähm, und genau diese Grundlage schaffen die Unternehmen meistens nicht. Und das merkt man dann recht schnell bei der sag ich mal diese. Die eigene Wahrnehmung zum Thema OTI bröckelt dann sehr schnell, wenn man halt sag ich mal 23 fragen halt nachschiebt und dann merkt man nämlich, dass zum Beispiel die über die Logistik nie nachgedacht worden ist oder dass auch die Gebäude Automation nie ein Thema Halt gewesen ist. Ne? Ist ja meistens total externe Gebäudeautomations.

Ich glaube manche haben überhaupt nicht auf dem Zettel, installieren externe Firma irgendwie so ein Wächter und Klimaanlage und das sind völlig autarke Systeme.

Ich meine im besten Falle oder im schlechtesten Fall eher gesagt auch gar nicht selber auf dem Zettel hatte und dann merkt man eine Produktionshalle eigentlich stabile Temperatur vielleicht herrscht oder irgendwas und ich würde es gerne eigentlich in diesen automatisierungs Prozess die Klimaanlage mit einbinden absolut ich guck erstmal Bücher, wir hatten überhaupt installiert welche Firma und wenn auf der Schaltkasten so. Ja, absolut. Also gerade beim Thema Gebäude ne.

Also das heißt du also ich meine du kaufst halt ein Gebäude, du. Heißt das hinstellen und dann ist das Ding fertig. Also da, da ist kein, also es geht ins Facility Management über und damit ist das Gebäude da und und läuft halt ne und und ich sage mal im Produktions Kontext hast du es ganz oft im Rahmen von den sogenannten Nebenanlagen, also hier Warmwasser, rückgewinnung, Heizung und Co. Und da wird sich dann ganz oft so wenig einfach darum

gekümmert. Wobei man auch sagen muss, fairerweise, mittlerweile ist es so, dass das Thema hier.

Secure Smart Buildings oder einfach ja Schutz der Gebäude Automation kein Thema per SE ist bei den Unternehmen, das heißt also ich gehe jetzt nicht aktiv auf die Suche und suche mir jemanden, der meine Gebäude Automation absichert, das machen die wenigsten, es ist eher so, dass die EU Werners der Security Bereiche, die verantwortlich sind für die Produktion automatisch damit reinguckt, das heißt wenn ich mir die Produktionslinie angucke auch Security, dann gucke ich mir

immer auch das Drumherum an, also die neben Anlagen wie die Warmwasser rückgewinnung. Und damit guck ich dann auch

rein in die Gebäude Automation, und das ist üblicherweise so, die so die Vorgehensweise, ich würde sagen, da will ich sagen, also es tippt niemand in die Google Suche ein, wie schütze ich meine Gebäude, Automation oder vielleicht einer von 10 gefühlt die meisten kommen halt eigentlich über die über die andere Ecke, ne. Da habt ihr ja richtige Insights letzten Endes mit n bisschen Portal oder wie die Leute auf eure Seite kommen und und was da die Begriffe sind.

Ja, schon. Also das ist auch ganz spannend zu beobachten, dass wenn man nämlich sich den, also der der OT Security. Der Markt ist immer noch sehr frisch und wenn man jetzt mal einige Jahre zurück springt, dann reden wir darüber. Wir sind in den ersten 2030% von der, also von der Marktkapazität, die überhaupt

ein Mensch am Entstehen ist. Und wir haben das Problem, dass viele Begrifflichkeiten. Schlichtweg noch gar nicht etabliert sind da, wo ich in einer also Thema Suchmaschinenoptimierung. Also auf welche Keywords

optimiere ich meine Webseite? Dann sage ich in der OT können wir auf gar nichts optimieren, also wir haben vielleicht noch kritisch, vielleicht noch IT sicherheitsgesetz, vielleicht noch die EC 62 43 als sehr gängige Industrie Normen SETS AT mehr Keywords sind da nicht, die ansatzweise tragbar sind und und das ist ne, das ist eine echte Challenge. Und man merkt das auch daran, dass die. Wenn man mit den Unternehmen spricht zum Thema Oti.

Viele, viele Rollen sind nicht definiert, viele Funktionsbeschreibungen sind nicht definiert. Es ist nicht klar, wer was macht.

Wir sagen also, ich sage ganz oft den den den Spruch, Ich weiß, was du tust, aber nicht, wie du heißt und was damit, meine ich, ich weiß sehr wohl, welcher Mann in der entstand Haltung die gesamte gesamten Switche in der in der OT da unten Managed auf Basis seines funktions Profils würde ich ihnen im Unternehmen niemals finden, der heißt nämlich Instandhalter und in seinem Job Profil steht seit 20 Jahren

nichts von switchen. Und das sind so Situationen, die merkt man dann auch nachher in der Suchmaschinenoptimierung, weil. Uns fehlen die Schlüsselwörter und es gibt noch nicht mal die finalen, sage ich mal, stellen, Titel und vielleicht noch eine Anekdote.

Wenn man bei linkedin, sagen wir mal, passende Kampagnen spielen möchte für eine bestimmte Zielgruppe, wo ich sag, wir suchen beispielsweise suchen einen neuen Mitarbeiter, der vielleicht ein OT Security Spezialist ist, dann kann ich bei linkedin beispielsweise nur aus dem bestehenden Job title Katalog wählen. Und die stehen da alle nicht

drin. Ne also, und das ist so ein bisschen die Situation im gesamten Otti Umfeld, das ist nicht definiert, das ist nicht offiziell in den Standards drin, das ist eine Entwicklung. Es gibt einen ganz guten Eindruck über die aktuelle Situation. Ist so ein paar Herausforderungen angerissen, die auch in der Organisation, so wie es klingt, irgendwie anfangen, wo wir nachher nochmal drauf zugehen wollen. Aber jetzt würde ich noch mal den Begriff Security oder

Sicherheit reinbringen. Ne, Wir haben jetzt OT mal nochmal definiert oder zumindest eine eigene Definition abgegeben, aber wir wollen das ja absichern und dafür seid ihr auch die Experten. Das kommt zustande weil ich die OT oder weil ich die Produktionsanlagen und meine Assets zur Erbringung der Produktion plötzlich mit dem Internet. Verbinden möchte oder zumindest neuen Gefahren aussetze. Oder was ist der Hintergrund,

warum OT Security jetzt so großes Thema ist? Also ich glaube, man kann ganz gut sagen, dass die. Die gesamte Automations wählt die letzten Jahre, Jahrzehnte einfach eine Transformation durchlaufen ist.

Man hört natürlich das jetzt seit einigen Jahren zum Thema Industrie, 40 und Digitalisierung, das ist aber sagen wir mal, das ist schon das Resultat, in dem wir jetzt unterwegs sind, also die letzten Jahre davor, wir haben größere Netzwerke bekommen, wir haben immer mehr Anlagen und Maschinen miteinander vernetzt, wir haben einfach so ne gesamte schleichende Vernetzung Halt bekommen und im Zuge dessen wurden nicht nur die Anlagen miteinander vernetzt, sondern

man hat sich halt auch überlegt, nehmen wir das Thema Fernwartung. Naja, macht vielleicht Sinn, dass mein Dienstleister hat sich Remote Aufschalten auf meine Anlage, anstatt dass der halt immer für teuer Geld halt zu mir fliegt und ich stelle mir dann immer so vor keine Ahnung 15 Jahren kam halt dann irgendwie die OT der entstand Halter kam zur IT und hat gesagt hier Jungs ich brauch dringend mal Internet ich hab hier einen Kollegen aus n Lieferanten der muss bei mir

remote halt irgendwie auf meine Maschine und er musste halt zur IT laufen weil die IT sitzt hat auf dem Internet Anschluss und so kamen die Gespräche zwischen ITOT hat vielleicht zustande und die IT hat angefangen hinter das Werkstor zu gucken und hat. Ich sag mal, den ist alles aus dem Gesicht gefallen, weil alles alles, was sie in dieser IT Welt schon seit Jahren Jahrzehnten

losgeworden sind, war da noch. Wir haben noch alte Windows XP Systeme, wir haben also schlichtweg einfach alles was es ansagen wir mal Betriebssystem, Vielfalt und Systemvielfalt gibt und das ist eigentlich genau die Challenge auf deine Frage zurückzukommen. Wir haben in der Produktion ganz oft System Welten, wie soll ich sagen eine Anlage wird eingekauft um zu bleiben, eine Anlage wird eingekauft um 30

Jahre zu oder mehr zu laufen. Wir haben Gewährleistungs Verträge, das heißt, ein Lieferant sagt du diese Anlage, die du heute von mir bekommst und die nächsten Jahre, Jahrzehnte betreiben wirst, die muss genauso bleiben, weil sonst, wenn du daran irgendetwas ändert, ein Betriebssystem tauscht, eine Software austauscht, irgendetwas änderst, dann erlischt die Garantie, die Gewährleistung und ich helfe dir

nicht mehr. Aber es ist nicht ein total krasses Paradoxon. Also ich meine das, also wie kann ich denn sagen, wenn irgendwas mit der Software trägt, das ist 30 Jahre unverändert irgendwie in der Kiste bleibt so, ja, also das führt ja nur dazu, dass die Probleme gibt es ja irgendwie gibt, denn wir wissen ja selber, es entsteht ja drum herum um die.

Um die etablierten alten Betriebssysteme ganz viel neues und ganz viele neue Angriffe, Vektoren und so weiter die ganzen also nicht umsonst Daten wir den ganzen Tag selber die Software ab. So. Ja, also wenn man sich das anguckt. Ne Anlage war halt früher schlichtweg nicht vernetzt, es gab keine. Der in der Black Box ist sehe ich das so ne aber natürlich jetzt so wie Gott sagt irgendwie die IT anklopfen sagt hier Internet, dann wird es natürlich an der Stelle richtig kompliziert.

Absolut. Und wir haben schlichtweg diese Option, Halt nicht dort. Zu oft sag ich mal Patches zu fahren. Beispielsweise wir brauchen teilweise eine TÜV Abnahme. Jetzt reden wir vielleicht mal Medical Devices, das heißt da sind ganze Zertifizierungsprozesse dahinter, nur wegen einem Patch kann ich jetzt nicht diesen ganzen Zertifizierungsprozess wieder neu anstoßen und das ist so ein bisschen das Dilemma, in dem man da in der OT unterwegs ist.

Wir haben einen Kunden, der hat glaube ich 22 alte Workstations getauscht für ich glaube 900000€ so und warum 900000€ für 33 P cs na ja weil da 3 neue P CS hin mussten n halbes Prozessleitsystem. Neu programmiert werden musste und noch 2 Anlagen Bauteile gleich mit ausgetauscht werden mussten, damit die wieder mit der Software funktionieren. Ne und und auf einmal hast du halt riesige Geldbeträge halt auf den Tisch um um sich damit auseinanderzusetzen.

Bevor du kannst du ein Lied singen oder von gewachsenen Technik Welten gewachsenen, ja OT Strukturen und sowas ja aus deiner Vergangenheit auch. Ja, auf jeden Fall. Also ich ich hatte auch schon erzählt von euch Professor der alten Anlage hatte, die muss halt so sein und da musst du halt irgendwie ständig wurden die alten Floppy Disks nochmal kopiert und es gab so ein extra Laufwerk. Ich hoffe, dass ich konnte es nicht mehr so, aber das will ich

gar nicht sagen. Ich meinte ich hab jetzt ne Frage, jetzt aufkommt Max. Was sagst du denn also auf der einen Seite verstehen wir und unsere wahrscheinlich auch, dass es so sein muss, dass im Operation context halt.

Wenn nicht, so einfach ständig alle Software updaten können und so weiter aus dem gesagten Gründen, weil halt alles Mögliche da dran hängt und die Zertifikate haben, das ist ja auch richtig so, ist ja, wir wollen ja nicht bei Medizin Produkten oder Farmer oder Irgendsowas willenlos andauernd die Software updaten und dann rutscht dann rein und so verstehen wir schon was sagst du dann Max das ist auch gut so und jetzt müssen wir die Sicherheit so machen, dass wir sagen, OK

das ist akzeptierter Standard, ist halt irgendwie ein altes Windows XP so und jetzt müssen wir drumherum irgendwie so ein Käfig bauen oder sagst du? Das ist eine Katastrophe.

Wir müssen. An dieser Gesamtstrategie arbeiten und sehen, dass da kein Windows XP mehr ist und vielleicht irgendwie politisch irgendwie was bewegen, dass diese Zertifizierungs und die Kosten und die Integration dieser veralteten Schnittstellen das doch irgendwie über die Zeit irgendwie modernisiert werden und dann, dass wir quasi langfristig dahin kommen, dass wir auch so ein bisschen wie in der IT auch in der OT so ne Art Patching haben und ein relativ

regelmäßiges Update von Software um die Sicherheitsstandards zu erfüllen, ist eine grundsätzliche Frage, ja oder will man da gar nicht hin, kann man das gar nicht leisten und versucht man irgendeinen Ansatz, ich ich weiß, dass es hier nicht sicher. Und wird auch erstmal nicht gedatet. Aus 1000 gründen.

Also mache ich irgendwie eine Zwiebel Schale drum herum und gehen einen Schritt weiter nach hinten und versuche es dann abzusichern, ne. Also ich glaube, dass das Entscheidende ist halt, wie man, wie man diesen Sachverhalt sieht und und es wird immer alt Systeme geben so, und das muss man erst mal für sich akzeptieren, das. Heißt natürlich auch so genau, das heißt aus.

Absolut nicht und und es geht eher darum, sich das Thema Lifecycle Management anzugucken in der in der OT und zu sagen wir werden immer einen sehr breiten Strauß an an Zeug einfach haben, weil die modernisierungs Zyklen einfach schlichtweg länger sind. Das mag sein, dass wir jetzt über das XP Rausgetreten bekommen.

Ja gut, dann ist es halt nächstes Jahr nur noch das Windows 10. Das Ding läuft auch jetzt in Kürze außen Support oder ist ja schon draußen und dann haben wir gleich die nächsten Probleme und es geht eher darum wie wie also wie Sorge ich dafür, dass das was ich neu bekomme immer nach dem letzten möglichen Stand halt einfach. In Betrieb genommen wird. Wie Sorge ich dafür, dass ich vielleicht bestimmte Themen, bestimmte Systeme modernisiert bekomme und was mache ich mit den Dingern?

Wo ich das nicht tun kann, das heißt, ich brauche immer Alternativen. Ich rede immer von meinen dokumentierten Sonderlösungen in der Schublade, wo ich im Prinzip meine Checkliste durchgehen und sage, kann ich es tauschen.

Nein, OK, gut kann ich NN antivirenschutz drauf bringen, kann ich nur White Listing spielen, kann Netzwerk Schutz spielen, kann ich irgendwas anderes machen und ja, am Ende des Tages geht es in der Security mittlerweile sag ich mal da wo wo es früher darum ging bloß keinen Angreifer ins Netz zu lassen, geht es heutzutage darum zu sagen, Hey,

ganz klar, dass irgendwann. Irgendwas in unserem Netz hoch geht aber idealerweise nicht im gesamten Netz und darum geht es eigentlich nicht um eine widerstandsfähige Firmen, Infrastruktur, Kultur. Die damit klarkommen, dass uns gerade da hinten rechts eine Produktions Zelle im schlimmsten Fall hochgeht, weil dort gerade jemand irgendwie Ransomware reingebracht hat. Aber es geht nur die eine hoch und es geht nicht die anderen 147 hoch und das ist eher so ne

so ne umgangsform. Es geht eher darum zu sagen auch zu akzeptieren, wir sind damit nie fertig. Ja, das ist so die Krux. Und das ist, glaube ich so das Thema, diesen, diesen ganzheitlichen Blick darauf zu bekommen und das Thema Widerstandsfähigkeit in einfach

im Netz halt herzustellen. Und da wird es keinen, kein richtig oder falsch geben und wir werden Anlagen auch in Zukunft, wenn ich für 100000000 eine Linie dahin stelle, dann kaufe ich die nicht jedes Jahr neu am vielleicht noch so Thema Marktinsider natürlich passiert ist, dass wir auch im OT Sektor immer mehr Komponenten und Herangehensweisen bekommen, wir im IT Sektor, das heißt auch eine.

Sagen wir mal, eine Siemens setzt sich damit auseinander, um zu gucken, wie können sie ihre Steuerungen, vereinfacht gesagt

Live Patch bar machen. Funktioniert ein antiviren Schutz mittlerweile hat auf einer Steuerung funktioniert, der hat auf anderen Systemen, also dieses so wie wir es aus der IT Welt einfach auch kennen dieses Thema ein dynamischer Umgang mit den Themen selbst die die Betreiber der Infrastrukturen geben immer mehr Anforderungen, Anforderungen an ihre Lieferanten Halt raus und sagen lieber Lieferant wenn du bei uns was liefern möchtest, mach bitte ABCD und somit kommt

auch wieder mehr mit rein. Da ist ordentlich Bewegung halt auch einfach drinnen und da wird sich noch eine ganze Menge, ja eine ganze Menge tun. OK, ich habe das Gefühl, wir sind schon ein bisschen weiter gesprungen und in unserer Agenda. Das ist gar kein Problem. Ich versuche nochmal diese Einführung auch abzuschließen, und zwar mit dem IT Sicherheitsgesetz Max.

Vielleicht gibt es da einen Überblick was dieses Sicherheits Gesetz besagt, welchen Einfluss auf die OT hat und was sich da ja in Zukunft auch verändern wird. Also ich glaube, ganz spannend ist erst einmal nochmal

hinzugucken, wo wo es eigentlich herkommt. Wir hatten vereinfacht gesagt keine bis 2015 keine.

Ja, it sicherheitsgesetzes Lage vorsichtig ausgedrückt und ich sage immer ganz gern, dass das B und der Staat waren, ist müde, den Unternehmen permanent zu sagen, Hey Leute, ihr habt wichtige Infrastruktur, macht bitte was und schützt euch so und weil das halt ne was ich nicht unbedingt machen muss, das tue ich auch nicht und dann kam das hat man gesagt, gut wir bringen das IT sicherheitsgesetz als sag ich mal tritt vors Schienbein mit der gesetzlichen Verpflichtung.

Jetzt was zu tun und was ist das It Sicherheitsgesetz mittlerweile ja schon, ich glaube fast in Auflage 3 jetzt draußen und worum worum geht es da ich betitel bestimmte Infrastrukturen, bestimmte Unternehmen, bestimmte Sektoren als kritische Infrastruktur, das heißt nehmen wir mal einen Lebensmittel Versorger der eine bestimmte Größe hat einen bestimmten Umschlag an Material hat an waren und damit einen Versorgungsgrad, einen nicht unerheblichen Versorgungsgrad

für die deutsche Bevölkerung sicherstellt so und der wird auf Basis von Schwellwerten wird. Ein Unternehmen dann 1. Also erstmal wird ein Unternehmen in einem Sektor zugeordnet und basierend auf dem Schwellwert, der dahinter hängt, wird dann gesagt, du machst mehr als x 100 Tonnen Umschlag.

Deshalb bist du kritische Infrastruktur und du musst das IT Sicherheitsgesetz einhalten und du musst einen Stand der Technik einhalten, nämlich ein bestimmtes Mindestmaß an Schutz bieten und so ist das im Prinzip für verschiedene Sektoren, unter anderem Lebensmittel, Transport, Energie ist das sagen wir mal gestartet und dann wurden in den Revisionen, in denen wir auch. Nach wie vor unterwegs sind diese Sektoren mittlerweile erweitert, sodass auch jetzt eine Abfallwirtschaft

beispielsweise reinfällt. Oder aber auch, und das ist das Spannende eigentlich. Die Schwellwerte gesenkt. Und das ist ein Trend, wo man sagt, Nein, gut, jetzt gucken wir nach 2015. Vereinfacht gesagt ist damals nur da der große Energieversorger vielleicht

kritische Infrastruktur gewesen. In der Neuauflage sind auch die kleinen Stadtwerke, das heißt, durch das Herabsenken der Schwellwerte findet so eine Durchseuchung im Markt, nenne ich das jetzt mal mal statt, und wenn man nochmal ein bisschen weiter guckt, jetzt bin ich vielleicht kritische Infrastruktur als großer Betreiber, als großer Lebensmittelkonzern, und ich bin angehalten, das IT

Sicherheitsgesetz einzuhalten. Jetzt hab ich aber jetzt, also jetzt mach ich ja den Betrieb meiner Standorte ja gar nicht alleine, sondern ich habe vielleicht einen riesigen Generalunternehmer, der den Betrieb meiner meiner Anlagen

sicherstellt. Der ist aber gar nicht kritischer Infrastruktur, das heißt ich als Betreiber, weil ich vom Gesetz hafte, Rolle jetzt meine Anforderungen an den an meinen Generalunternehmer aus, der Generalunternehmer sagt, Oh Gott, Oh Gott, oh Gott, jetzt gebe ich das an alle meine sub dienstleister ne und dann sag ich immer ketzerisch und auf einmal ist ein kleines Ingenieurbüro aus Hamburg Süd.

Mit 3 Mann kritis beziehungsweise angehalten die Anforderungen aus dem IT Sicherheitsgesetz umzusetzen und weil sie in der vierten Charge einzahlen auf irgendein Lebensmittelkonzern und, und das ist das was gerade so passiert

übers IT sicherheitsgesetz. Wir kriegen aber auch, das muss man auch wissen, auf der EU Ebene über die NS 2 Regelung ebenfalls über die EU Vorgaben, die wir in nationales Recht umsetzen müssen, wo im Prinzip gesagt wird, dass wir, da kommt eine EU Regelung und unsere Antwort darauf ist das IT sicherheitsgesetz mit sage ich mal dem entsprechenden Verschärfungen Grad. Und da munkelt man auch und man sagt, wenn man sich dann näher anguckt, im Prinzip werden sehr,

sehr viele Unternehmen unter das IT SICHERHEITSGESETZ in Zukunft fallen. Viele Unternehmen, wo man jetzt gerade sagt eigentlich gerade nicht ne, aber da passiert gerade eine ganze Menge, ja. Ist nur weil die dann in 2.3. Oder jetzt in dem Beispiel 4. Reihe in seiner Lieferkette stehen oder weil dann auch ganz neue Branchen plötzlich dazu kommen. Also was du jetzt nicht erwähnt hast, genau das Automobil zum Beispiel oder oder Metallbau oder sowas. Genau das.

Aber es geht um, also im Prinzip der der Pool, der in erster Linie betroffenen Unternehmen. Wird größer, entweder weil die Schwellwerte für bestimmte Sektoren gesenkt werden oder weil die Sektoren, um um weitere Sektoren halt erweitert werden. Und dadurch fällt einfach eine viel breitere Kategorie Halt

rein. Ich sag mal vereinfacht gesagt kann da drin stehen, alle Unternehmen mit mindestens 50 Mitarbeitern und mit 10000000 Umsatz so und das ist dann das ist dann die Richtlinie, nach der geprüft wird. Und das ist auf einmal ein viel größerer Filter als das, wie es halt vorher gewesen ist. Und das ist ist gerade das, was uns halt über die EU nichtregelung halt jetzt in nationales Recht hart treffen wird. Und das wird noch mal für ganz andere Notwendigkeiten im Rahmen

der Cyber Security sorgen. Genau, Max. Wie kann man sich das vorstellen? Ich hab das verstanden, wie das Gesetz jetzt quasi formuliert ist und dass die Firmware entsprechenden Kategorien und bei gewissen Umschlägen da hinein fallen und wie wird das jetzt exekutiv irgendwie betrieben?

Also die Legislatur ist klar. Man muss sich, irgendwie ist das Auditing oder wie kann man sich vorstellen, kommen Experten in die Firma, dann O haben wir gerade besprochen, hat irgendwie mit Hardware und Sensoren in der Halle irgendwas zu tun, dann muss es ja krasse Experten geben, die so ein bisschen wie beim Tüv stell ich mir grad vor mein Auto irgendwie zum TÜV und da ist ja auch ein ziemlicher Experte, der guckt dann irgendwie alles an so und dann sagt er, nee hey irgendwie, das

ist hier irgendwie keine Ahnung wovon selber gar nichts gehört irgendwie oder so kommt nicht durch den TÜV. Sowas muss ich irgendwie in der dann auch passieren. Im auf dem Shop Floor. Du bist natürlich einer von diesen Experten, das heißt, gehst du dann tatsächlich auch rein in die Firmen und öffnest dann mal hier und da irgendwie ne Haube und guckst mal irgendwie ist das Mainboard da in Ordnung und ich hab mich da mit USB Stick dran oder was?

Also immer so ganz pragmatisch gesprochen, wie kann man sich das vorstellen, also dass das umgesetzt wird quasi. Üblicherweise gibt es in in den Unternehmen dann einen kritis Audit, also out of Thema kritische Infrastruktur für bestimmte Rahmen, Rahmen, Bereiche.

Und dann wird sich dort angeguckt inwieweit sagen wir mal der der Stand der Technik oder das was dort sein sollte halt nicht eingehalten wird da ist das auch erst einmal gar nicht so weit Weg also ein kritis Audit unterscheidet sich jetzt nicht so so wahnsinnig großartig zwischen einem Security einem guten Security Audit den man vor 516 Jahren e schon mal gemacht hat ne das ist n bisschen ne andere ne andere View das ist ein paar andere Wörter paar andere

Formulierungen aber es geht im Kern um dieselben Themen und das heißt ich lass mich als Unternehmen prüfen. Weil ich ja irgendwie ja da wissen möchte, was ich jetzt tun soll. Das heißt, ich bekomme dann meinen Prüfbericht und in dem Prüfbericht steht dann drin keine Netzwerk Segmentierung beispielsweise kein Passwort, Schutz auf Endgeräten also. Eigentlich die ganzen Klassiker, die auch in Anführungszeichen jeder weiß.

Und in dem Zuge dessen geht es dann bekomme ich dann mein mein Empfehlungsschreiben vom Kritis Auditor und habe eine gewisse Zeit das umzusetzen für den Re Audit. So und üblicherweise ist das auch die Ecke, wo wir dann zum

Beispiel ins Spiel kommen. Das heißt, wir entwickeln die Konzepte und die Lösungen, wie diese ganzen Problemstellungen jetzt abgestellt werden können, und da ist auch immer ganz wichtig, derjenige, der Auditiert ist ja nicht derjenige, der das ganze ja auch dann, sagen wir mal, umsetzt, ich prüfe ja nicht meine eigene Arbeit, und so kommt man dann eigentlich in die in die Umsetzung, und dann kommt noch zum Beispiel 2 Jahren der D Audit und oder nach einem Jahr

glaube ich mittlerweile und dann wird da einmal der. Die Ecke nochmal neu geprüft und geguckt wie weit ist man.

Jetzt mal ganz provokative Frage bei dem ganzen Fachkräftemangel und so weiter ich finde es schön, dass das so passiert, dass genau es verschärft und es wird irgendwie immer mehr kritische Infrastruktur, da brauchen wir extrem krasse Leute, die das Audit durchziehen, so ja die überhaupt das sehen und feststellen muss ja ziemlich wissen, die dann in zahlreiche Unternehmen reingucken müssen, ist ja mega aufwendig, ja total komplexer Task auch das sind ja auch

Meetings, da musst du ja auch mit den entsprechenden Kompetenzen zusammen am Tisch sitzen, so und dir was zeigen lassen, kann ich mir gar nicht vorstellen, dass das irgendwie. Das irgendwie geschmeidig. Funktioniert so ja, also es ist furchtbar, es ist, gelinde gesagt wirklich furchtbar und ich weiß auch noch nicht, wie wie wie die sich das da alle vorstellen, weil es ist ja letztendlich genauso wie du sagst, wir haben einen enormen Fachkräftemangel.

Und Cybersecurity mal außen vorhaben.

Die meisten Cybersecurity Baustellen sind ja nicht Cybersecurity Baustellen per se. Also das heißt ich habe einen ich muss eine Netzwerk Segmentierung einführen, ja cool, da schreibe ich aus Security Sicht meine Anforderungen was die daran was die bitte machen sollen umsetzen wollen ja gut aber dann brauch ich n Network engineer ich brauche also wirklich gute IT Leute an der Ecke die das in der Lage sind umzusetzen und selbst die sind ja schon nicht da, wir

merken das ja auch in bestimmten Projekten. Wir reden halt. Also die Firmen versuchen. Sagen wir mal intern eine Person anzusetzen und 10 externe Dazuzuholen. Ja, das funktioniert auch nicht. Am liebsten würden die gar keinen Internet dazu setzen, weil sie haben auch ganz oft niemanden und ich hab also ich weiß nicht wie man sich das in breiter Masse vorstellt, weil es kann nur schiefgehen, also es kann nur nicht erfüllt werden. Ein Geld Problem ist ganz oft nicht.

Das ist auch ganz witzig, also gerade im großen Mittelstand, da ist, da sind Budgets auf jeden Fall verfügbar. Das Problem sind Ressourcen, es ist keiner da. Der sich genau weil du brauchst extrem extrem, ja geschulte Leute, die das irgendwie durchziehen können, ne. Und vielleicht noch einmal kurz auf das Thema Kritis Audit

gesprochen. Ganz ehrlich, jedes Unternehmen hat doch aus den letzten 10 Jahren irgendeinen Risiko outet irgendeinen Cybersecurity Audit da liegen und wenn man mal Hand aufs Herz da reinguckt und sich fragt was man davon umgesetzt hat, dann wird das erstaunlich wenig sein und das ist ein wir haben wir haben glaube ich kein identifikations Problem, Wir haben ein umsetzungsproblem Markt, ein ganz großes Umsetzungsproblem und wenn man sich die Player auch anguckt,

also die Projekte anguckt, die wir halt regelmäßig machen. Wir machen Asset Management Projekte, also das ist ja auch so ne so ne Krux eigentlich. Jeder Predigt seit Jahrzehnten, dass man nur das schützen kann, was man hat und sagt. Ihr braucht ein Asset Management und Jahrzehnte später haben 9 von 10 Unternehmen das immer noch nicht verstanden und dann Asset Management eingeführt, sondern kümmern sich um um Shiny Object Projekte und stellen halt erschreckend.

Fast hätten wir einfach nur das Asset Management gemacht, hätten wir ganz viel anderes Zeug gewonnen, also man man ignoriert die Basics. Und springt direkt halt irgendwie zur so so hippen Zeug. Ne Anomalie Detection im Netzwerk. Willkommen noch auf diese Best Practices und das Fundament. Ich kann mir vorstellen, dass es auch nicht so leicht ist für die Unternehmen, also gerade auch da ist ja Fachkräftemangel oder fehlendes Wissen irgendwie in ein Thema, Ich glaube stand heute 100 knapp

hundertvierzigtausend offene IT stellen allein in Deutschland die die nicht besetzt werden können oder nur schwer besetzt werden können und dann gibt es eine ganze Menge Lösungen.

Ich bin jetzt auch kein Experte, aber wenn man sich umguckt für für. Security it security Markt, da gibts 4. Ja und wo starte ich jetzt?

Im Moment fange ich an, das erzählst du uns später, lass uns doch noch mal kurz auf die Bedrohungen und größten Herausforderungen eingehen, dies dann typischerweise in der OT Umgebung gibt ne Wir haben jetzt einmal festgestellt was ist OT, warum ist die schützenswert einmal die Gesetzgebung aber natürlich auch ganz praktisch ja ich will keine Produktionsausfälle logischerweise ja das ist wahrscheinlich der Hauptgrund ne auch keine negative Publicity

ist vielleicht auch ein Grund es Hand in Hand geht mit Produktionsausfällen und und und Angriffen et cetera.

Ich habe dazu einfach so ein bisschen aus der Praxis, die üblicherweise hab ich als Unternehmen ein sehr hohes Eigeninteresse daran, dass meine Produktion läuft und vielleicht um das Thema Produktion noch mal so ein bisschen für einige auch Hörer da zu zu veranschaulichen, wenn eine der größten Molkereien nicht in der Lage ist, einen bestimmten Zeitraum die Milch anzunehmen, dann gehen in kürzester Zeit die ersten Kühe beim Bauern auf die Schlacht Bank, so so, welche

Abhängigkeiten hat man, wenn ein Container Terminal am Hamburger Hafen nicht in der Lage ist, einer gewissen Zeit die Container. Von den Zügen zu nehmen, dann kriegen wir Güter, Güter, Rückstau bis nach München innerhalb von 24 Stunden und alle Gleis betten sind dicht.

Wir haben da Abhängigkeiten in die in sag ich mal das tägliche Leben ganz oft, wir haben n Verpackungshersteller wenn bei dem die Anlage 20 Minuten steht, dann härtet der Kunststoff in den Rohren aus und die können die gesamte Linie abreißen. Ja, da ist nichts mehr mit nachträglich aufmachen.

Ne, wir haben wir haben Themen die wenn die Anlage steht, wir reden von reinigungs, Zyklen von Wiederanlauf Plänen, wir reden davon, dass Material umgeleitet werden muss im schlimmsten Fall und wir reden vor allem darüber, dass in dem Moment kein Geld verdient wird, das heißt, wir reden ganz schnell dann auch, dass Mitarbeiter ganze Schichten in Kurzarbeit geschickt werden, und zwar Instant, um dieses Geld zu sparen, das heißt, da hängt

einfach an der Produktion, an der Fertigung hängt, das deckt das gesamte, die gesamte Existenz des Unternehmens dran. Und das ist der große Unterschied zu IT.

Wenn der IT was nicht läuft, wenn der Server der e Mail Server gerade keine Emails entgegennimmt oder so, ist das nett und auch ärgerlich, aber wenn unsere Produktion steht, dann ist da richtig Alarm. Wenn ein forsch, also wie soll ich mal sagen, wenn ein Vorstand 6 Wochen produktionsstillstand hinter sich hat, dann hat der ziemlich durchgescheuert Hosenboden. Also vor allem, wenn es um so ein Ransomware Angriff halt geht, wo man dann echt 6 Wochen

am Stück versucht irgendwie die Produktion wieder gang bar zu kriegen und das ist glaube ich so die die die Challenge da draußen. Ist ja auch Inhalt von von von dem einen oder anderen Film, so wo es dann auch mal Kaba genau auf diese Angriffe zieht. Genau diese Systeme irgendwie zu, aber wie würdest du denn sagen, Max gibt es denn?

Also ich versteh schon das Thema Security da sein muss und jetzt gibt es vielleicht 2 Gründe also oder vielleicht bringt dich gleich gibt es. Security gegen Dummheit ist das N auch Security oder ist das was anderes oder sprechen wir immer von kriminellem Einsatz den Ich ausüben möchte?

Wenn wir, wenn wir für Security sprechen, ja oder sprechen wir, sprechen wir auch so eine Art Katastrophe, so was weiß ich irgendwie Glasfaserkabel im Meer durch und irgendwas ist komisch oder irgendwas also ich sag mal so jetzt nicht kriminell aber vielleicht auch irgendwelche ja eine kann ja nochmal wartungs Plan nicht eingehalten werden oder sowas in der Art in dem Beispiel ja und das ist ja auch die perfekte Überleitung glaube ich jetzt zu den zu den eigentlichen Drogen.

Ja, also wir haben immer die gesamte Bandbreite, die Bandbreite da ein. Ein ein Techniker von einer Fremdfirma kommt, nimmt sein eigenes Notebook mit, schließt das interne Netz, war vorher bei 16 anderen Fremdfirmen unterwegs und bringt halt seinen seinen Virus sag ich mal gleich mit.

Wir haben den den Instandhalter sein Android Telefon per USB an der Anlage direkt auflädt, wir haben genauso ne professionell organisierte ja kriminelle Organisationen da draußen die sagt gut welches Unternehmen hat gerade besonders gute Zahlen

geschrieben? Spielt die sage ich mal regelrecht aus, packt die sich auf ihre, auf ihre sag ich mal wunschliste und setzt dann beispielsweise genau den einen Lebensmittelkonzern auf ihre Wish List und fokussiert sich darauf, diesen Lebensmittelkonzern Bewusstheit zum Beispiel mit Ransomware und sagen wir mal einer verschlüsselten Produktion, wie auch immer später dann erpressen

zu können. Also du sagst, dass tatsächlich die Viren, die wir so vom IT kennen und wo hatten wir auch schon Erfolge, Gerrit, wo wir auch schon gewundert, wie schnell irgendwie ganze IT. Verschlüsselt.

Dann wirst du erpresst. Du sagst, dass das tatsächlich auch passiert, jetzt schon im OT und das Viren reingebracht werden auf Steuerungen die die alte Windows Systeme bedienen oder kann ich mir da mussten, weil das ist ja immer so korrekt ist schwierig, also so krass wie die alten ist ja auch fast wie ein Security Feature, weil ich sag mal die moderne Hacker, die können ja schon wieder nicht mit dem alten Windows umgehen und so weiter müssen erstmal selber haben und so also.

Ist gut, dass du das nämlich jetzt so bringst, auch genauso formuliert, weil wir sind nämlich genau jetzt eigentlich beim Start unseres Interviews. Nämlich was ist eigentlich OT so und in die Range dort ist sehr sehr breit, wir haben halt einfach noch, wie soll ich sagen die gesamten alt Systeme dort Steuerung jetzt mal außen vor erstmal wir reden jetzt mal von Windows basierten Altsystemen, das heißt erst einmal alles was sich irgendwie in meinem. Wie Viren Koffer seit 20 Jahren

habe, funktioniert da noch. Erstmal cool, cool unsere. Ich hab direkt ich nochmal dazwischen du sagst es Windows passiert, dass du auch mein Stand der Dinge ist. Die deutsche Industrie ist Windows Lastig, richtig bis zu 90% oder man könnte auch Linux nehmen und ich finde ja sowieso, dass das irgendwie das schnellere und schlankere und schnellere System ist. Für gerade die Hardware nahen Sachen, aber. Man muss jetzt unterstützen. Also man muss jetzt ein bisschen unterscheiden.

Also wir haben grundsätzlich in den Industrien, wir haben alles von bis vom selbst geklöppelt n Betriebssystem bis hinzu irgendwelchen Windows Varianten bis zu irgendwelchen Linux Derivaten alles da. Wir reden jetzt erst einmal von, sagen wir mal, auf der auf der Computer Ebene. Das heißt, irgendein Endgerät, irgendein HI Panel was da sitzt, wo man drauf umtauschen kann, damit halt irgendwie Produktion

was tut. Und da ist erst einmal alles da, und da funktioniert das alte Zeug halt immer noch.

Ne, das heißt auch mein mein alter Virus findet er immer noch ein schönes Zuhause, muss eigentlich nur mein altes Zeug halt irgendwie reinwerfen was ich vor 20 Jahren vielleicht schon verwendet habe, als Angreifer kann ich davon ausgehen, dass das funktioniert, ja, also von sagen wir mal Preis Leistungsverhältnis also Arbeitsvertrag funktioniert sehr gut und wenn man dann so ein bisschen die die System Welt ein bisschen außen vor lässt und Richtung Steuerungen.

Geht, dann habe ich ja noch mal ne andere Welt und das ist auch genau das, wo man jetzt auch bei Thema BHOT Security oder Angriffen gegen Produktionsanlagen und so weiter wo man unterscheiden muss. Der Standard ist. Es geht darum, dass Altfälle, platt gesagt, das alte Windows Systeme, das alte Betriebssysteme auf der

Systemebene angegriffen werden. OK, darum geht es und klar gibt es auch die Möglichkeit Steuerungen zu manipulieren und es gibt auch die Möglichkeit Safety Systeme zu manipulieren, aber die Frage ist ja immer, was ist der also was ist der der Grund und der meiste Grund ist Geld verdienen so ich möchte so schnell wie möglich so effizient wie möglich Geld verdienen womit verdiene ich am einfachsten? Na ja, ich verschlüsselt der Arm Firma X einfach ihre ganzen Windows XP Systeme und Erpresse.

Das geht am schnellsten was ist sehr sehr aufwendig na ja ich guck mir an was produzieren die mit welchen Steuerung arbeiten

die? Ich baue mir einen Test Lab zu Hause hin, ich Kauf bei deren Hardware Lieferanten die gleichen Steuerungen ein und und und überlege mir wie der Produktionsprozess ist und fange dann an zu überlegen welches bitte ich wohin und her schubse damit die vielleicht statt keine Ahnung statt Bier auf einmal Cola halt rauslassen also ganz anderer also und was ist mein mein Mehrwert? Und da verschlüssel ich doch lieber eine Produktion nach der

anderen. Das alte Zeug, was da ist und Erpresser halt dort hat einfach das das Geld. Darf ich ganz naive Frage stellen? Ja, ich versuche hier, bin ja Laie, was macht denn so ein alter Windows Rechner in so einer Produktion, also bei einer Steuerung bei der SP ist mir ist völlig klar, ja die ist in die hat ne Steuerung die Maschine aber was hat der Windows Rechner

eigentlich? Das beantworten bitte ich hab auch nicht so ich habe 2 Beispiele also ich hab gesehen dass zum Beispiel CNC Maschinen die haben ja das sind hochkomplexe Dinge. Also steht in einer Box und da ist halt nen Desktop typischerweise Computer dran, da läuft ein altes Windows XP oder Irgendsowas und da dran steckt auch ein Monitor und dann hast du quasi so NHI, also Human Machine Interface, wo direkt irgendwie deine Deine CNC

Programme einladen kann Tour laden kannst und so weiter und sofort und dann startest du das ja und dann fängt das Ding an seine Arbeit aufzunehmen und wenn dieses Biest, dieser Desktop Rechner eigentlich wahrscheinlich dicht neben dem neben der CNC FRÄSE steht und der hat n Internetverbindungen hat sie meistens haben weil die wollen dann irgendwie anfangen n bisschen irgendwie vielleicht C Programme oder wenigstens die Daten ne wie lange das läuft denn so.

Rausziehen, Dashboard oder irgendwas von Web so, dann geht

es schon los. Ja dann hast du nämlich deinen, dann hast du deinen XP Rechner am Netz so ja zweites Beispiel was ich immer so krass finde, ich weiß nicht ob ihr schon mal gesehen habe ich schon mal gesehen wie sich ein Geldautomat aufgehängt hat, neu gestartet hat, da kam schon der Blue Screen ich dachte kennst du doch ja ich nicht privat weil ich selber Linux benutze und dann startete Windows XP neu ja noch gar nicht lange her vom halben Jahr oder irgendwas ja also ich

bin mir relativ sicher, dass unsere Geldautomaten, die ja das ist ja auch über die kritische Infrastruktur, jedenfalls für mich ja auch irgendwie XP haben. Und man fragt sich, wie kann das

sicher sein? So, ja, und jetzt kommst du wahrscheinlich, dass du jetzt die das erste dicke Brett dann ist Netzwerk Infrastruktur, ich kann halt quasi wenn ich jetzt mal sagen wir mal die an den x nichts mehr machen kann dann bisschen Netzwerk machen ich glaube das zuhören, denn es ist ein Unterschied ob ich irgendwas direkt mit der Leitung Internet hänge oder ob ich nochmal quasi subnetze Aufbau und so weiter aber vielleicht kannst du uns ganz bisschen hell umgeben, das

machen wir gleich bei den bei den Best practices. Ja Entschuldigung ich bin schon wieder vorgehabt. Ja gut, gute 2 Beispiele, aber gerad auf deine Frage. Nochmal von mir. Aber also was machen die XP Dorts? Na ja, ich kauf eine, also ich kauf eine Anlage als Investitionsgut mit all all dem Gelumpe was dazugehört. Dann kaufe ich die ein, dann bekomme ich die und dann steht da so und in der Wahrnehmung ist das ein Investitionsgut, das wurde beschafft, genauso wie es

halt bestellt worden ist. Und jetzt ist da und wird jetzt läuft das, also da gibt es in der in der Denke, in der Wahrnehmung, es gibt keinen Grund. An dieses System ranzugehen, warum also? Weil das XP, also was zu dem damaligen Zeitpunkt aktuell war, das tut seinen Job immer noch genauso geil wie damals, ne, also es gibt es gibt ganz oft keinen Grund da großartig was

dran zu ändern und. Ich würde gerne noch in ne bisschen andere Ecke noch mal kurz gehen und zwar wir gucken immer aus der Ecke Cybersecurity und wir sagen immer, es gibt eigentlich gibt es 2 Strömungen der Motivation jetzt sich mit dem Thema zu beschäftigen und die eine Strömung ist das Thema natürlich Schutz vor Cyber Security, also vor Cyber Security for fällen Erfüllung des IT sicherheitsgesetzes ich sage immer retten des Altbestandes. Oder oder auch. Und es geht in die Ecke.

Wie bekomme ich meine Infrastruktur, IT Landschaft in meinem Produktionen auf einen Level gehoben, mit dem ich

coolen neuen Scheiß machen kann. So und dann sind wir in die Ecke nach vorne denken Industrie 40 und und das ist auch genau das wo wir regelmäßig halt unterwegs sind, die Frage ist ja was auch für einen Geschäftsführer, für den ist das ein notwendiges Übel jetzt in den also den Altbestand noch in den Griff zu bekommen im Kontext der sagen wir mal der der Sicherung vor einem Schadens

Fall, das bringt den. Aber auf seiner Gesamtstrecke nicht nach vorne ne, sondern da geht es erstmal nur darum, dass nochmal abzusichern was er schon hat. Da geht es nicht um Zukunft so und und das ist erstmal doof ne und ich möchte als Unternehmen in die Zukunft und wenn wir uns nämlich viele Maßnahmen angucken. Dann zahlen die nämlich nicht nur auf die Security ein, sondern die Zahlen auch auf ganz andere Themen.

Halt ein ne der. Indem wir das Thema Netzwerk, da sind wir so n bisschen vielleicht da auf der Ecke ein Netzwerk macht ja mehr als nur irgendwie Security zu bieten, ein cooles Netzwerk Design sorgt dafür, dass ich meinen ganzen meine großen Datenmengen, die ich jetzt brauche, weil ich irgendwie mehr Sensoren anschließen möchte und und und, dass ich das auch gelöst bekomme, und deshalb sage ich auch ganz oft, wir als unternehmen, wir machen gar keine, wir machen gar keine Security.

Wir machen nämlich folgendes. Wir professionalisieren den IT Betrieb in der Produktion. Und das ist das, was da draußen gerade stattfinden muss. Die Produktionsunternehmen, die Fertigungsunternehmen, alle, die Automation haben, müssen ihre OT, ihre OT professionalisieren. Genauso wie eine I das die

letzten 20 Jahre gemacht hat. Und ja da sind Security Themen dabei, aber die große Masse, die große Masse sind klassische IT Infrastruktur Themen Halt im Kontext der Produktion, andere Anforderungen, andere Rahmen Parameter, aber im Kern ist das der gleiche Bums den wir die letzten 20 Jahre in der IT Welt genauso machen mussten, ja. Fit for Future und als Nebenprodukt das Ganze noch mit sicher, oder? Ja, ich weiß die höhere Sicherheit auf.

Ja, Vorstand sagte zu mir, Herr Weidele, Ich möchte Datentransparenz, das ist, das ist seine Mission. Wer möchte Daten Transparenz im gesamten Unternehmen erreichen und er will das im EP haben? Und wahrscheinlich Tracking noch nicht. Genau. Und jetzt und jetzt ist die. Das ist danach, wonach er das

misst. Und jetzt ist die Frage, wie kann ich alle Maßnahmen, die irgendwie mit Cybersecurity oder mit dem Netzwerk oder oder oder zu tun haben, darauf einzahlen, dass wir für den da oben das schaffen, Daten, Transparenz herzustellen und alles, was damit allein wird, wird üblicherweise dann ja auch als umsetzungs Projekt dann dann umgesetzte. Prima, dann würd ich doch an dieser Stelle, sorry, ich wollte dich nicht abwürgen.

Dieser jetzt übergeben an die an die Herausforderung und nee schuldigung an dieser Stelle die Herausforderung erstmal abschließen können, natürlich immer wieder aufgreifen, aber mal übergehen in die Best practices. Das war Teil 1 des Gesprächs mit Max Weidele von der sichere Industrie GmbH. Nächste Woche gehts weiter, bleibt gespannt und danke fürs Zuhören.