OT-Security in der Praxis: So schützen KMU ihre Produktionsanlagen

00:00:00: Herzlich willkommen zu einer neuen Folge Industrie, vier Punkt Null der Experten Talk für den Mittelstand.

00:00:05: Ihr wisst, wir sprechen hier ganz viel über Digitalisierung, Automatisierung, aber auch Vernetzung von Maschinen und Co.

00:00:11: Und das sind natürlich alles ganz wichtige Themen für den industriellen Mittelstand.

00:00:16: Gerade auch die Vernetzung bietet unheimlich viele Möglichkeiten.

00:00:19: Daten zu erfassen, auch zum Beispiel für Predictive Maintenance und so weiter.

00:00:23: Also alles, was angebunden ist, alles, was Daten liefert, damit kann man wieder irgendwas machen im Kontext der Digitalisierung.

00:00:29: Das ist immer spannend und interessant, natürlich auch viel Arbeit, viel Aufwand.

00:00:34: Aber dafür habt ihr ja schon ganz, ganz viel bei uns erfahren.

00:00:37: Gleichzeitig birgt aber so eine Vernetzung und eine Anbindung ans Internet auch immer neue Risiken.

00:00:41: Und was das eigentlich genau bedeutet, vor allem für die Anbindung im industriellen Kontext, von den ganzen produzierenden Bereichen Maschinen in der Industrie und so weiter.

00:00:53: Das schauen wir uns heute genauer an.

00:00:54: Es geht konkret um das Thema Operational Technology Security, also OT-Sicherheit, um das mal so halb auf Deutsch zu sagen.

00:01:02: Und dafür haben wir uns einen spannenden Gast eingeladen.

00:01:04: Bei mir ist heute Patrick Scholl, er ist Director OT.

00:01:08: Competence Center bei der InfinityGate Deutschland.

00:01:10: Schön, dass du heute da bist.

00:01:11: Vielen herzlichen Dank, Andrea, für die Einladung.

00:01:13: Freut mich, sehr heute da zu sein.

00:01:14: Sehr

00:01:15: gerne.

00:01:15: Ich freue mich auf unser Gespräch.

00:01:17: Wie immer, an der Stelle für euch nochmal kurz der Hinweis.

00:01:19: Auch die Folge gibt es wieder als Video bei YouTube zu sehen.

00:01:22: Schaut da auch gerne mal vorbei und lasst uns einen Daumen nach oben da.

00:01:25: Genau Patrick, ich habe dich jetzt so ganz kurz mal angeteasert.

00:01:28: Was genau machst du?

00:01:30: Was macht die InfiniGate?

00:01:31: Vielleicht magst du uns mal kurz ein bisschen was über dich erzählen.

00:01:33: Sehr gerne.

00:01:34: Also die InfiniGate Deutschland ist einer der führenden Value-At-Distributoren für IT-Security.

00:01:42: Vielleicht in der Zukunft, muss man sagen, für Security.

00:01:45: Aber darauf komme ich später noch mal zurück.

00:01:47: Aber wir haben uns auf die Fahne geschrieben, natürlich den Mehrwert zu bieten.

00:01:53: Unsere Partner, die hauptsächlich aus Indikatoren, Systemhäuser im IT-Umfeld bestehen, natürlich mit Value-Ads zu versorgen, also mit zusätzlichen Services Know-How, als auch Themen aufzuschlauen und ihnen dabei helfen, erfolgreicher zu sein am Markt.

00:02:11: Was genau ist deine Rolle in dem Ganzen?

00:02:13: Und meine Rolle ist tatsächlich begonnen vor rund zwei Jahren bei der InfiniGate, dass man sich dem Thema OT was in der Vergangenheit schon immer ein Thema war, auch gerade durch unsere Vendoren, die wir im Portfolio haben, für die es natürlich auch ein Thema ist, die natürlich aus der IT-Security kommen und auch zunehmend schon seit Jahrzehnten einen starken Fuß in der OT-Security-Tür haben.

00:02:37: Und wir auch als Distributor uns das zum Ziel gesetzt haben, entsprechendes Wissen und Know-how bezüglich OT-Security an den Markt an unsere Partner zu übergeben, eben um für sie das richtige Geschäftsmodell entsprechend zu generieren.

00:02:55: Dann ist ja gut, dass du heute da bist und wir quasi den Gegenpart, nämlich diejenigen, die es brauchen, vielleicht heute hier rüber auch gut adressieren können.

00:03:01: Ja, das hoffe ich doch, weil natürlich das Thema OT-Security ist jetzt kein... kein Einzelsport, sondern das ist tatsächlich ein Teamsport.

00:03:10: Das heißt, das spielen so viele Stakeholder mittlerweile in den Entscheidungsprozess rein, weil wir haben es natürlich nicht mehr nur mit der IT zu tun oder gar mit der Produktion.

00:03:20: Da kommen natürlich, wenn wir über Vernetzung reden, über unterschiedliche Prozesse, da haben wir auf einmal vom Einkauf.

00:03:26: über das QS bis hin auch zur Entstandhaltung die unterschiedlichsten Abteilungen am Tisch sitzen unter diesem Kontext Security, was erst mal überhaupt keinen interessiert von den jeweiligen, die ich gerade genannt habe.

00:03:39: Und trotzdem ist es ein massives Thema, was die Arbeit oder die grundsätzliche Absicherung ihrer Arbeit unterstützen soll.

00:03:46: Das heißt, es bringt eigentlich Menschen zusammen das Thema.

00:03:48: Erst mal ja.

00:03:49: Sehr schön.

00:03:50: Und das ist auch das Schöne.

00:03:51: Ich glaube, das ist das Thema.

00:03:53: Es ist neu.

00:03:54: Was heißt neu?

00:03:54: Nein, da muss ich, da lüge ich jetzt gerade.

00:03:57: Also das Thema OT Security gibt es eigentlich, seitdem wir ein Netzwerk haben.

00:04:01: Das heißt, grundsätzliche Überlegungen, wie wir entsprechend ein Netzwerk resistender resilienter machen gegen übereinwirkungen und das spreche jetzt erstmal gar nicht so sehr von diesem bösen hacker mit dem hoodie der da sitzt und zweifelsohne sicherlich ein stück weil die wertschöpfungskette stören möchte von unternehmen.

00:04:21: aber prinzipiell haben wir es ja erst mal mit der übergabe von information von daten zu tun die praktisch von a nach b gelangen sollen ohne unterbrechung ohne störung und das gilt es im grunde genommen erst mal abzusichern.

00:04:36: Dann schauen wir uns das gleich noch mal ganz genau an.

00:04:38: Du hast jetzt gerade eben schon so ein bisschen erzählt.

00:04:41: Security allgemein ist ein Thema.

00:04:43: Es gibt IT-Security, es gibt OT-Security.

00:04:46: Vielleicht kannst du uns einmal kurz ein bisschen Überblick geben.

00:04:48: Wie hängt das zusammen?

00:04:49: Hängt das überhaupt zusammen?

00:04:51: Und was ist der Unterschied auch?

00:04:52: Ja, ich glaube, das ist genau das Problem gerade, dass die beiden Themen unabhängig voneinander noch betrachtet werden.

00:05:00: Man sagt, das gibt hier die IT-Security, schützt die Office-Umgebung und damit, wie man dem Namen schon ableiten kann, IT-Schutz von Informationen, sehr stark getrieben auch durch, natürlich auf der einen Seite durch die DSGVO, also eher datenschutzgetriebene Gesetzgebungen.

00:05:17: Und wir haben auf der anderen Seite einen sehr Doch sehr neues Geschäftsfeld, auch wenn das Thema OT Security sicherlich schon Jahrzehnten kontinuierlich durch die kontinuierliche Anbindung von Anlagen und Maschinen ans Netzwerk auch in Fokus rückt.

00:05:33: Jetzt haben wir es aber mit einer aufkommenden Gesetzgebung zu tun.

00:05:36: Es sind mehrere Gesetzgebungen, die jetzt hier auf dieses, ich nenne es jetzt mal OT Security Konto einzahlen und sicherlich in vieler vieler Munde und hoffentlich auch bei allen Podcasts, Zuschauern, Zuhörern bekannt ist die NIST zwei.

00:05:52: Die, die Fokussierung auf die Stärkung der Cyberresilienz von Unternehmen im Fokus hat.

00:05:59: Die, sagen wir mal, das Ganze, was mit dem Thema Cybercrime zu tun hat.

00:06:03: Mittlerweile drittgrößte Volkswirtschaft der Welt.

00:06:06: Wir reden hier über mehrere Billionen Bruttosozialprodukt eines fiktiven Staates, der kein Land hat.

00:06:14: Also ganz spannend.

00:06:15: Nein, aber man sieht einfach, Wir können es nicht mehr wegdiskutieren, das ist ein Thema.

00:06:20: Das ist auf EU-Ebene angekommen, wird natürlich jetzt oder hätte sollen schon umgesetzt werden bis Oktober.

00:06:30: Also des letzten Jahres umgesetzt von einer europäischen Gesetzgebung in eine nationale Gesetzgebung.

00:06:37: Da hinken wir ein bisschen hinterher, hatte auch den Grund, wir haben eine neue Regierung, die musste natürlich die voranschreiende Gesetzgebung noch mal praktisch neu starten lassen.

00:06:50: Aber jetzt ist es klar, es wird sehr zeitnah kommen.

00:06:54: Man redet hier von Anfang.

00:06:56: Zwei tausend sechsundzwanzig spätestens, dass diese Gesetzgebung auch für deutsche Unternehmen in Kraft reden soll.

00:07:03: Und jetzt komme ich auf den Punkt, warum für mich das Thema IT-Security und OT-Security zwangsläufig zusammengehören.

00:07:10: Weil wir reden hier von Security.

00:07:14: Bezüglich cyberrelevanten Assets.

00:07:18: Also alles was irgendwo eine IP-Adresse hat, die gehört in der Zukunft geschützt.

00:07:24: Und wir unterscheiden per Gesetzgebung gar nicht mehr so sehr zwischen IT und OT, sondern um grundsätzliche, wie ich es gesagt habe, cyberrelevante Assets, die entsprechend mit mit einer Struktur, die es auch schon seit Jahren gibt, die man findet in gängigen Normen, wie der ISO-Siebenzwanzigtausend oder für die OT-Security spezialisiert, die IEC, six-zwei-vier-vier-drei.

00:07:48: Da stehen eigentlich all diese Themen schon drin und man referenziert in dieser neuen deutschen Gesetzgebung auch auf Stand der Technik und damit auf diese bestehenden Normen, die es da schon gibt.

00:08:00: Und deswegen wird zwangsläufig IT-Security und OT-Security zusammen.

00:08:05: wachsen.

00:08:06: Und wenn man jetzt gerade in den Mittelstand hineinschaut, dann macht es insofern Sinn, als dass dieses Thema Security, egal ob IT oder OT, zwangsläufig... Es gibt

00:08:15: ja immer Daten, also auch Maschinen erfassen ja Daten.

00:08:17: Auch Daten, genau.

00:08:18: Mit denen will ich was machen, ja.

00:08:19: Richtig,

00:08:19: auch Daten.

00:08:21: Aber zwangsläufig bei der Organisationsform aufgehängt werden, die eigentlich schon maßgeblich mit diesem Thema zu tun hatte.

00:08:28: Und das ist die IT-Abteilung.

00:08:30: Und die sind gerüstet dafür?

00:08:36: Ich würde sagen, da ist noch Luft nach oben.

00:08:39: Okay.

00:08:39: Definitiv.

00:08:40: Dann schauen wir uns doch dieses ganze Thema vielleicht Sicherheitsrisiken, Schwachstellen in dem ganzen OT-Bereich mal ein bisschen genauer an.

00:08:47: Also was gibt's da so zu beachten?

00:08:50: Wo gibt's Punkte, wo man, oder neuralgische Punkte sag ich mal, an denen man vielleicht als erstes ansetzen kann?

00:08:56: Sind das am Ende tatsächlich die Maschinen selbst oder die Anbindungsart der Maschinen?

00:09:00: Oder ist es wirklich eigentlich erst mal ein Know-How-Schulen der Mitarbeitenden, dass die überhaupt die Awareness dafür haben, dass es da Themen gibt?

00:09:07: Wo fange ich da an?

00:09:09: wenn ich mich mit dem Thema beschäftigen möchte oder jetzt auch muss, wenn es gesetzlichen Thema wird.

00:09:13: Also da beziehe ich mich mal ganz ehrlich auf die, da beziehe ich mich jetzt erstmal auf die Norm, weil die uns im Grunde genommen alles vorgibt.

00:09:24: Und ich glaube, der Kern und das sagt auch die Gesetzgebung in der Zukunft wird die Geschäftsführung sein.

00:09:32: Die Geschäftsführung muss verstehen, dass das Thema der Cyber Resilienz heute zu sehen ist wie der Sicherheitsgurt im Auto.

00:09:43: Ja, er ist da.

00:09:44: Keiner stellt mir die Frage, ob ich ein Sicherheitsgurt anlege oder nicht.

00:09:47: Das ist eher sogar so, dass mich das Auto sehr intensiv darauf hinweist, wenn ich ihn nicht angelegt habe.

00:09:55: Oder auch natürlich R-Bags.

00:09:57: Also ob ich jetzt natürlich habe, ich R-Bags im Auto.

00:10:00: Und das schafft für mich einen Grundvertrauen in den Prozess des Autofahrens, dass ich auch mal schneller fahren kann oder auch wenn es eine Gefahrensituation gibt, dass dort die Systeme eingreifen.

00:10:12: So, das kostet natürlich extra, natürlich zahlt der Kunde das im Stück weit auch extra.

00:10:19: Aber keiner wird jetzt sich aussuchen wollen, habe ich ein Sicherheitsgurt oder eben nicht.

00:10:27: Es bedeutet auch jetzt für mich als Geschäftsführer ist es ein Thema, was ich natürlich zur Verfügung haben muss, um auch meine Wertschöpfungsprozesse entsprechend abzusichern.

00:10:40: Und da entsteht ja im Grunde genommen das Ganze.

00:10:42: Das heißt, ich muss mir, wenn die als Geschäftsführung, das sagt auch die Gesetzgebung, muss ich entsprechende Ressourcen dafür freigeben.

00:10:50: So, jetzt geben wir mal die Prozesskater weiter durch.

00:10:54: Die IT-Abteilung, die das Thema IT-Security heute schon tut, kriegt die Aufgabe der OT-Security entsprechend einzuführen.

00:11:01: Die wird sagen, okay, Dann gehe ich doch mal auf die Produktion zu und frage mal, welche cyberrelevanten Assets denn da so verbaut sind, welche Betriebssysteme dort heute eingesetzt werden.

00:11:14: Und das ist, glaube ich, schon diese erste große Hürde, das im Grunde genommen dadurch, dass Security nie entsprechend ein Bestandteil der Prozesse war.

00:11:27: Dort hat es wie eine komplett heterogene Landschaft haben.

00:11:33: Da haben wir Betriebssysteme, da würde ich sogar Windows XP noch als modernes System einschätzen.

00:11:41: Wir haben es teilweise auch mit Windows bzw.

00:11:49: mit älteren Betriebssystemen zu tun und die gilt es einfach in Grunde mal abzusichern.

00:11:54: Also erstmal zu erkennen, zu erfassen und auch die Frage zu stellen, wie gehen wir damit um?

00:12:00: Also sind dort, wo wir diese Schwachstellen finden, sind die ein Teil der Wertschöpfungsprozesse in meinem Unternehmen.

00:12:08: Und was passiert denn, wenn ich diese Prozesse entsprechend störe?

00:12:13: Und wenn ich jetzt einfach mal so die letzten Minuten, was ich gesagt habe, mal wieder so zusammenfasse und wo das eigentliche Problem liegt, dann tatsächlich Wer bringt jetzt dieses Know-how?

00:12:26: Wie geht man diese ersten Schritte von der Geschäftsführung, von der OT-Organisation oder der OT-Security-Organisation bis hin zur Asset-Aufnahme?

00:12:36: durch.

00:12:37: Und wie gelingt uns das schnellstmöglich so?

00:12:39: Und all dieser Assess-Prozess, der benötigt einfach schon Know-how.

00:12:44: Und dieses Know-how ist, das versuchen wir auch als InfiniGate weiter aufzubauen durch unsere neue Positionierung als Kompetenzzentrum, weil das ist ganz wichtig, um überhaupt später dann die entsprechenden Lösungen ableiten zu können, zielgerichtet.

00:12:58: Und es ist, würde ich sagen, so die erste große Herausforderung, wo wenn ich den Zahlen glauben mag, so etwa sechzig Prozent aller Unternehmen heute noch stecken.

00:13:10: Wir haben noch nichts gemacht bis hin zu, wir sollten auch mal diese Asset-Aufnahme starten und dann entsprechend eine Risikoanalyse durchzuführen, die dann als Abschluss dieser Prozessphase dazu dient, entsprechende Requirement Specifications entsprechend abzuleiten.

00:13:28: Also ganz konkret, was tun wir jetzt auch technologisch?

00:13:32: Kurze Unterbrechungen eigener Sache.

00:13:33: Wenn euch die Themen, die wir hier im Podcast besprechen, gefallen, dann habe ich noch einen heißen Tipp für euch.

00:13:38: Schaut mal auf unserer Website lmobile.com slash interaktiv vorbei, dort findet ihr noch spannende White Paper, unsere Live-Events oder auch Software-Demos und alles könnt ihr euch jederzeit kostenlos anschauen.

00:13:48: Rund um das Thema Industrievier.nul bleibt ihr so, also absolut auf dem Laufenden.

00:13:52: Ich freue mich, wenn ihr vorbei schaut.

00:13:54: Ist ja auch erst mal wahrscheinlich sogar noch die Frage... Sind denn meine Maschinen schon am Netz heute?

00:13:59: Also bin ich sogar schon soweit, dass es überhaupt ein Thema ist, die OT-Sicherheit.

00:14:03: Zumindest jetzt mal für produzierende Unternehmen.

00:14:05: Oder plane ich das vielleicht in Zukunft und muss jetzt schon den ganzen Prozess, der dann noch zusammenhängt in der Security mitdenken.

00:14:12: Oder sagst du, nee, die meisten sind da eigentlich schon soweit, dass eh schon immer irgendwas am Netz ist und es geht jetzt wirklich darum, den Prozess zu gestalten.

00:14:19: Ich glaube, es ist sogar nicht mal die Frage, was ist schon am Netz, sondern ist sich die Organisation?

00:14:27: Andersrum ist sich auch die Abteilung, die das Thema Security innehat, weiß die das.

00:14:35: Und ich glaube, das ist der ganz große Punkt.

00:14:38: Heutmals haben wir es mit einer Blackbox in der Produktion zu tun, wo eigentlich noch nicht ganz klar ist, was denn eigentlich am Netz ist.

00:14:46: Sprech ich oftmals nicht nur von Anlagen, sondern von der Siri, von der Kamera und sonstige Gerätschaften, die einfach halt mal historisch einfach ans Netz rangekommen sind, die aber natürlich eine riesengefahren Potenzial bieten.

00:15:04: Auf der einen Seite ja, Thema Security als Angriff-Vektor von außen oder beziehungsweise die Angriffsoberfläche erhöhen, aber natürlich auch entsprechend Gefahrenpotenzial innehaben, hier ein Netzwerk gelahmt zu legen.

00:15:20: Und damit wiederum den Wertschöpfungsprozess über das Netzwerk zu stören.

00:15:26: Was würdest du sagen, ist der Hauptmotivator von mittelständischen Unternehmen aktuell vielleicht?

00:15:31: Um sich mit dem Thema zu befassen, sind das tendenziell eher Unternehmen, die jetzt einen Angriff erlebt haben oder die irgendwie Schwierigkeiten in welcher Form auch immer ein Netzwerkausfälle oder sonst was hatten und deswegen auf die Idee kommen?

00:15:42: oder sind das Unternehmen, die sich jetzt eben mit der Gesetzgebung beschäftigen?

00:15:45: und welche würdest du dir wünschen?

00:15:48: Also, ich beobachte aus der Praxis heraus, dass diese Unternehmen, die bereits getroffen wurden, auf einmal über Nacht sehr viel Budget zur Verfügung stellen.

00:16:01: Das erinnert mich oft mal so ein bisschen an unser Gesundheitssystem, was eigentlich kein Gesundheitssystem ist, sondern ein Krankheitssystem.

00:16:07: Das heißt, wir investieren erst dann, wenn es zu spät ist.

00:16:13: Und was ich mir wünschen würde, auch unter gesetzlichen Gesichtspunkten, dass Unternehmen das, was ich gerade auch geäußert habe, die SS-Phase jetzt beginnen.

00:16:23: Weil diese SS-Phase hat auch einen ganz massiven Impact.

00:16:28: Sie kostet erst mal wenig Geld.

00:16:31: Sie braucht definitiv know how und sie schafft die Grundlagen dafür, die richtigen Entscheidungen zu treffen, was ich denn tue.

00:16:38: Also nicht mit Kanonkugeln auf Spatzen zu schießen, wenn es vielleicht schon zu spät ist und man jetzt alles Mögliche tut, dass so etwas nicht mehr vorkommt, sondern dass man im Grunde genommen die kleinen Schritte sehr schnell geht und dosiert die richtigen Ressourcen entsprechend investiert, sowohl auf der menschlichen Seite, schrägstrich know how.

00:16:59: Aufbau oder Ausbau und auf der anderen Seite natürlich auch finanzielle Ressourcen, hier im Kleinen die richtigen Dinge zu tun, die richtige Netzwerkinfrastruktur bereits aufzubauen.

00:17:11: Auch da sind wir, wenn wir diese SS-Phase abgeschlossen haben und dann eigentlich genau hinschauen, was braucht jetzt ein Netzwerk, dann sind wir auch sehr schnell mit dem Stichwort Segmentierung.

00:17:26: auf dem richtigen Weg.

00:17:27: Das bedeutet, dass wir uns in dem Sinne, wie du es voraus schon gesagt hast, neuralgische Punkte anschauen und da entsprechend die richtigen Maßnahmen durchführen.

00:17:38: Entsprechend auch wieder aufbauend auf der Risikoanalyse.

00:17:42: Also das, was besonders vulnerabel ist in meiner Wertschöpfungskette, hier auch besonders gesondert zu schützen.

00:17:49: Die Maßnahmen schauen wir uns auf jeden Fall auch gleich an, was man denn so alles tun kann.

00:17:52: Was mich noch interessieren würde, bei der IT-Security ist ja oft ein Thema, dass die Angriffe von außen ja sind doof, sag ich jetzt mal, sind dabei meistens gar nicht das größte Problem, sondern eher das Unbedarft halten von innen heraus, Daten nach außen fließen lassen.

00:18:07: Also dann gibt es irgendeine E-Mail, wo es dann steht, ja, geben Sie mal hier Ihr Passwort ein oder sonst irgendwas, die gut gemacht ist und irgendein Mitarbeiter.

00:18:15: checkt nicht, was er da tut und gibt eigentlich die Daten raus.

00:18:17: Das heißt, es gibt keinen direkten Angriff in dem Sinne von außen, sondern es ist eher ein Versuch und die Mitarbeiter sind unbedarft oder im Stress merken es nicht.

00:18:24: Wie auch immer gibt es ja hundert Gründe und geben Daten raus.

00:18:28: Ist es in der OT Security auch ein Thema, also diese Schwachstellen von innen betrachtet oder ist das da eher wirklich ein Thema von außen?

00:18:37: oder das ganze Ding von außen so zu schützt, dass da niemand reinkommt.

00:18:40: Ja,

00:18:40: also das ist genau, es ist ein sehr guter Punkt, den du da adressierst.

00:18:46: Warum ist das Thema Security Security auf einmal so relevant?

00:18:51: Weil wir doch über die letzten Jahrzehnten sukzessive die Anlagen ans Netz gebracht haben, gerade durch das Thema der Digitalisierung.

00:19:00: Ich habe vor dreizehn Jahren angefangen, mich mit dem Thema Industrievier Null auseinanderzusetzen.

00:19:05: Mittlerweile haben wir auch Technologiesprünge gerade durch das Thema KI.

00:19:10: Du hattest vorher schon genannt, predictive Maintenance.

00:19:14: Wir haben natürlich... zwangsläufig durch hohe Energiekosten müssen wir doch das Thema als Mittelständesunternehmen gerade in energieintensiver Prozesse Energie uns genauer anschauen.

00:19:25: Spitzenlasten wegnehmen die unheimlich teuer sind.

00:19:30: Du hast das genannt das Thema predictive maintenance.

00:19:33: also zu schauen auch wo schaffe ich es?

00:19:38: durch Analysen der Daten.

00:19:40: auch wieder getrieben durch das Thema KI, entsprechend Kosten zu minimieren, effektiver und effizienter zu produzieren.

00:19:49: Und das ist über die letzten Jahrzehnte gewachsen, weil natürlich auch die Maschinen abgeschrieben sind.

00:19:56: mittlerweile, es gibt Technologiesprünge, man widmet sich zu Recht diesen Thema, auch gerade in mittelständischen Unternehmen.

00:20:05: Aus meiner Sicht gerade der Mittelstand ist hier gezwungen sich immer wieder neu zu erfinden in diesen Themen und kann eben diese KI und Digitalisierung und Technologie nutzen, um weiterhin Wettbewerbsfähig zu bleiben.

00:20:19: Und genau das ist dann auch wiederum der Punkt, den ich ansprechen möchte.

00:20:22: Das heißt, wir haben hier sehr viel Innovationen bei mittelständischen Unternehmen.

00:20:28: Bedeutet zwangsläufig die Die Anlagen sind modernisiert, sind am Netzwerk entsprechend dran.

00:20:35: Das Netzwerk ist meistens sehr flach.

00:20:39: Man hat sich dem Thema Security in diesem Anbinden von Anlagen bisher noch nicht so richtig gewidmet oder nur bei wenigen Unternehmen, wenn man den Zahlen auch so glauben schenken mag.

00:20:49: Und die kann ich so ein bisschen tatsächlich bestätigen durch meine Beobachtung auch aus der Praxis heraus.

00:20:56: haben wir es mit sehr flachen Netzen zu tun.

00:20:58: Das bedeutet jeder Impact über die IT.

00:21:02: Insbesondere, das sieht man ja, der Angriffe oder der Übergriffe auf die OT kommen halt aus der IT.

00:21:12: Und da mag ich so ein bisschen auch die User in Schutz nehmen, weil natürlich kann man sehr viel mit Aufklärung und Schulungen tun.

00:21:22: Aber diese Angriffe, insbesondere diese Pishing-Mail-Angriffe, die werden immer ausgefeilt, werden noch gewürzt mit Social Engineering.

00:21:31: Gleichzeitig wird die Arbeitsbelastung für Menschen nicht geringer.

00:21:36: Das bedeutet, so was geht einfach unter.

00:21:40: Dann mag ich ein bisschen den Menschen Schutz nehmen und da wieder ein bisschen die Technologie vorschieben und sagen, da muss schon die Technologie ein Stück weit uns Menschen schützen.

00:21:49: Nebst natürlich der Aufklärung.

00:21:51: Aber letztendlich jeder Impact auf die IT schlägt.

00:21:56: Wenn ich mich nicht segmentiere, schläge das entsprechend auch auf die OT durch.

00:22:03: Und ich habe jetzt ein Stichwort genannt, die Segmentierung von

00:22:06: Netzen.

00:22:07: Was meinst du mit Segmentierung?

00:22:09: Aber das ist im Grunde auch wiederum nur ein Bestandteil dessen, was wir im Grunde in der SS-Phase aufnehmen.

00:22:16: Also wie gehen wir hier jetzt mit unserem Netzwerk vor?

00:22:19: Was tun wir jetzt konkret?

00:22:20: Aber tatsächlich, der erste große Schritt ist in dem Sinne.

00:22:25: führt mich wieder so ein bisschen zu einem Beispiel zur Corona Zeit auch zurück, was wir dort gemacht haben.

00:22:31: Wir haben also das, was wir für schützenswert gehalten haben, haben wir segmentiert und haben den Traffic im Grunde genommen limitiert oder beziehungsweise haben uns auch den Traffic angeschaut.

00:22:44: Und genau das, wenn wir es heute wieder zu tun haben mit entsprechenden, also praktisch Schutz vor Verwulnerablen Wertschöpfungsprozessen, Strich-Anlagenmaschinen.

00:22:56: Ja, dann müssen wir uns im Grunde genommen angucken, wie wir diese Risiken durch Schwachstellen entsprechend segmentieren.

00:23:04: Dann schauen wir uns vielleicht noch das ganze Thema Maßnahmen mal genauer an.

00:23:08: Du hast jetzt immer schon wieder so gesagt, Praxisbeispiel und so.

00:23:10: Ich glaube, das wäre ein ganz cooler Punkt, um zu sagen, vielleicht kannst du uns mal anhand eines Kunden von euch oder von dir mitnehmen und sagen, okay, was waren deren Themen?

00:23:19: Was habt ihr rausgefunden in der Assessphase?

00:23:21: und dann auch zu sagen, was habt ihr dann abgeleitet?

00:23:23: Welche Maßnahmen habt ihr konkret ergriffen und wie sieht es heute bei denen aus?

00:23:26: Vielleicht kannst du uns da mal so eine Kette mitnehmen, das wäre glaube ich ganz spannend an der Stelle.

00:23:30: Also wie ich es immer gesagt habe, wenn Unternehmen oder wenn man in dem Sinn in die Risikoanalyse hineingeht, wird man sehr schnell feststellen, wo habe ich denn so gewisse Schwachstellen, wo sie die Gefahrenpunkte bedrohen.

00:23:48: Und in der Produktion habe ich es ja meistens damit zu tun, dass dort Services durchgeführt werden an Anlagenmaschinen.

00:23:56: Seit auch, was ich schon gesagt habe, seit der Corona-Zeit, nicht nur seit, aber gerade durch die Corona-Zeit hatten wir es auch sehr viel mit der Zunahme von Fernzugriffslösungen zu tun.

00:24:07: Und prinzipiell haben wir Wenn man das Thema Security in der Produktion betrachtet, ist das ja ein ganz komplett neuer Betrachtungswinkel.

00:24:16: Das heißt, früher waren von den Protokollen angefangen bis über die Fernzugriffslösungen Security nie ein Betrachtungsfeld.

00:24:27: Bisherige Konzepte wurden nie auf Security hindesigned.

00:24:32: Das ändert sich jetzt auch durch eine weitere Gesetzgebung.

00:24:35: Nebsterness II gibt es den sogenannten Cyber Resilience Act, der die Hersteller von digitalen Elementen dazu zwingt, auch per Gesetz.

00:24:44: Und auch das wird in den Kraftreden.

00:24:48: Entsprechend diese digitale Elemente gegenüber Cyber-Angriffen abzuschirmen, also schützen.

00:24:55: Und zwar auch sehr frühzeitig angefangen von den Entwicklungsprozessen, über entsprechend das Produkt selbst bis hin auch zum Life-Cycle-Prozess.

00:25:04: Also ich muss in dem Sinne proaktiv meine Abnehmer darüber informieren.

00:25:11: Wenn es hier entsprechende Zero Day Exploits Schwachstellen gibt und muss auch gleichzeitig diese Patches zur Verfügung stellen.

00:25:18: Wenn ich das jetzt ganz nochmal ausweide, den Cyber Resilience Eck, dann nehme ich noch die Maschinenverordnung dazu.

00:25:23: Und das bedeutet gerade für den Anlagenmaschinenbau in Deutschland, dass er sich auch Richtung Cyber Security komplett neu erfinden muss, weil es wird.

00:25:33: wie der Autobauer auch einen Zwang für ihn sein, Sicherheitssysteme entsprechend mitzuliefern.

00:25:40: Von vornherein mitzudenken und mitzubringen.

00:25:42: Richtig,

00:25:43: genau.

00:25:43: Also ich kann mich als Automobilista nicht hinstellen und sagen, ah!

00:25:48: Ich lief jetzt hier kein Sicherheitsgurt mit oder kein Airbag.

00:25:52: Weil, kostet mich ja und damit kann ich das Auto günstiger produzieren.

00:25:55: Nein, es ist per Gesetz vorgegeben, dass ein Anlagenmaschinenbauer entsprechend hier Security-Maßnahmen mitliefert.

00:26:03: Sie praktisch schon mit hineindesignt in das Produkt.

00:26:06: In seiner Anlage in seine Maschine und entsprechend auch hier die die diese die die Schwachstellen hier an seiner Abnehmer entsprechend weiter kommuniziert und auch die Möglichkeit bietet dieses Schwachstellen zu beheben.

00:26:23: stichwort Patch Management.

00:26:25: Ja, so und genau das ist der Punkt, wo wir, wo wir im Grunde genommen auch gestartet sind.

00:26:31: Also was tue ich, ich tue analysieren.

00:26:33: Ich finde entsprechend heraus, wo liegen meine Schwachstellen im System?

00:26:38: Wir haben die, ich bin gekommen über die Fernwartung, also siehe ich.

00:26:41: Wenn wir wieder auf der Norm zurückspringt, gibt es im Grunde nochmal fünf Kriterien, die ich mir prinzipiell überlege, entsprechend auch zu segmentieren und zu beleuchten bzw.

00:26:51: einzuteilen, auch in Zonen.

00:26:53: Dazu gehört erstmal.

00:26:54: grundsätzlich die Trennung von der IT zur OT.

00:26:57: Das bedeutet, der gesamte Datenstrom aus der Produktion in die IT, in die Office-Welt, entsprechend zu regulieren.

00:27:05: Da habe ich schon zwei wesentliche Bereiche voneinander getrennt.

00:27:10: Des Weiteren geht es darum, gerade in safety-relevanten Umgebungen in Prozessen, auch entsprechend diese Safety-Systeme, die geschützt sind, um Leib und Leben und Umwelt zu schützen, auch entsprechend zu segmentieren, gesondert zu schützen.

00:27:27: Als drittes habe ich natürlich, und das ist natürlich auch wieder sehr relevant für, was ich vorher gesagt habe, das Thema Fernzugriffe.

00:27:34: Ja, das sind wir schon beim dritten.

00:27:35: Da bin ich sehr schnell eingestiegen.

00:27:38: Aber auch hier die Fernzugriffe entsprechend zu segmentieren, gesondert zu behandeln, weil sie ja doch einen Zugriff von außen entsprechend darstellen.

00:27:47: Und wenn ich gerade als Unternehmen sehr stark aus IT-Security-Sicht ... Versuche, alles zu reglementieren, die Zuggriffe von außen zu kontrollieren, ist es natürlich fahrlässig, wenn ich auf der anderen Seite Zuggriffe von außen zulasse, die an als Schatten IT, möchte ich schon fast sagen, an der IT und der IT Security vorbeidesigend wurden.

00:28:10: Also das ganze Thema Fernzugriff.

00:28:12: Als vierter Punkt.

00:28:14: Was ich mir auch noch mal als Schwachstelle per se mal anschauen muss, ist das Ganze, was wir heute auch noch immer vorfinden, den typischen USB-Stick oder auch der Laptop.

00:28:24: Also alles, was mit Wechselmedien zu tun hat, was mal schnell an einer Anlagemaschine durch den Servicetechniker angestöpselt wird und sich auch dort entsprechende Gefahrenpotenziale darauf finden lassen.

00:28:35: Und Last but not least natürlich alles, was mit dem Thema von kabelloser Kommunikation, also WLAN, Accesspoints in Produktion.

00:28:43: zu tun hat.

00:28:43: Also das sind die fünf Bereiche, die ich mir eigentlich anschaue, wie ich da entsprechende Zonen schaffe.

00:28:49: Und dann entsprechend auch wieder Gegenfahrer.

00:28:51: Was habe ich für Assets?

00:28:52: Was habe ich für Anlagen?

00:28:53: Was habe ich für Maschinen?

00:28:54: Welche Betriebssysteme laufen darauf?

00:28:56: Sind die patchbar oder nicht?

00:29:00: Also sind die überhaupt?

00:29:01: gibt es dafür noch Sicherheitsupdates?

00:29:02: Also der Klassiker Windows XP?

00:29:07: Oder noch älter?

00:29:08: werden überhaupt von Microsoft überhaupt keine Sicherheits Updates mehr zur Verfügung gestellt.

00:29:12: Ja, das bedeutet, die sind seit Jahren Jahrzehnten dann entsprechend.

00:29:17: offen und die Schwachstellen können jederzeit ausgenutzt werden.

00:29:21: So.

00:29:22: Und jetzt habe ich schon so viel gesprochen, was im Grunde genommen auch wir bei vielen Unternehmen gemacht haben, uns im Grunde genommen diese, dass den Aufbau, also den Sicherheitsrelevanten, den Security-relevanten Aufbau von Netzwerken uns genauer betrachtet und daran betracht dessen, dass es ja gewachsene Strukturen sind und entsprechend, das war ein Einflusspunkt.

00:29:44: und der zweite Einflusspunkt natürlich, ganz wichtige Frage, die man sich am Anfang schon stellen muss, wer betreibt denn das Ganze?

00:29:52: Ja, weil also natürlich, was ich gesagt habe, patchbar, ja, also es muss sichergestellt sein, dass diese Systeme auch beherrschbar sind und entsprechend ihrer Konfiguration auch bestmöglich konfiguriert sind, bedeutet.

00:30:07: Die beste Technologie bringt halt auch nichts, wenn ich sie nicht beherrsche und entsprechend konfigurieren.

00:30:13: Also dessen alles wiederum Fragestellungen, die ganz am Anfang geklärt gehören, entsprechend im Netzwerksdesign und Konzept.

00:30:22: Und so haben wir, kurz zu machen, um dann auf das Ergebnis zu kommen, auch bei einigen Unternehmen schon wirklich smarte Lösungen entsprechend implementiert, noch in meiner Vorrolle, bevor ich zur InfiniGate gekommen bin, als ich noch auf der... Integrationsseite gesessen bin für Unternehmen, deren zwingendes Problem oder das größte Problem war, ein transparentes Netzwerk zu schaffen mit entsprechenden Security-Lösungen, möglichst mit wenig Herstellern.

00:30:56: die es möglich machen, sehr einfach diese Fernwartungen freizuschalten auf einzelne Anlagen und Maschinen.

00:31:03: Und sehr einfach, und jetzt wird es ein bisschen suffisant, ist, dass wir auf der einen Seite digitale Technologie nutzen.

00:31:12: Um wie in diesem konkreten Fall haben wir dann eine Fernzugriffslösung auf Basis eines Schlüsselschalters.

00:31:20: entwickelt.

00:31:21: Also ein Gesamtkonzept, was sehr einfach zu bedienen war, dass der Anlagenführer hier über ein Schlüsselschalter entsprechend den VPN Zugang über das Gesamtnetzwerk freischalten konnte und in der IT-Leitwade genau gesehen wurde, wo besteht jetzt hier ein entsprechender Fernzugriff, den man auf der IT-Leitwade entweder selber auch freischalten können, also unabhängig vom Schlüsselschalter, als auch selber wieder unter.

00:31:49: binden konnte.

00:31:49: Weil auch das Thema Fernzugriffe, da gibt es auch viele, viele Stilblüten, die ich in der Praxis kennengelernt habe, dass eben nicht sichere Lösungen eingesetzt wurden oder die Fernwartung eigentlich vierundzwanzig sieben offen war.

00:32:03: Also permanent,

00:32:06: richtig

00:32:06: genau.

00:32:06: Also permanent Fuß nach außen war und damit ein permanentes Risiko im Grunde mal bestanden hat.

00:32:13: Okay, also das heißt, da kann man auf jeden Fall viel machen.

00:32:16: Ich würde auch gerne tatsächlich noch weiter drüber sprechen, aber so ein bisschen in Anbetracht der Zeit machen wir an der Stelle erst mal einen Punkt.

00:32:22: Wir wissen ja jetzt, wen man anrufen kann, wenn man da mal ein paar mehr Infos auf jeden Fall noch braucht.

00:32:27: Und ich würde mich gerne mal noch mit dir unterhalten, was ganz viel erzählt noch über das Thema Gesetzgebung, dass sich da in den nächsten ein, zwei Jahren vieles ändern wird, was auch wieder Maschinenanlagenbauer oder generell den Mittelstand auch betreffen wird und wo sie sich eben mit dem Thema beschäftigen müssen.

00:32:40: Gibt es denn noch andere Trends oder Entwicklungen, die du im Bereich OT-Sicherheit siehst, abgesehen vielleicht von der gesetzlichen Seite, technologisch zum Beispiel, die du uns noch mitgeben kannst heute?

00:32:52: Wo du sagst, da geht so technologisch vielleicht in den nächsten Jahren noch hin.

00:32:56: Also ich glaube, dass wir auf der einen Seite schon technologisch über die letzten sicherlich zehn Jahre schon sehr weit sind.

00:33:07: Wir haben uns deswegen auch neu aufgestellt, dadurch, dass wir es erst mal gar nicht so sehr mit Technologie-Herausforderungen zu tun haben, sondern eher mit Know-how-Themen.

00:33:18: Also wie schaffen wir es wie heute zum Beispiel auch die richtigen Informationen an die Personen heranzubringen, die jetzt aktuell gerade eine Herausforderung haben, die im Grunde mal den Wald voller Bäumen nicht mehr sehen und auch dort zu adressieren, dass das ganze Thema erstmal nichts mit Technologie zu tun hat.

00:33:38: Auf der anderen Seite.

00:33:40: ändert sich trotzdem die Technologie.

00:33:43: So wie ich es sehe, sie wird, sie wird anwendbarer, einfacher.

00:33:48: Sie wird intelligenter, auch durch das Thema künstlich Intelligenz.

00:33:53: Das ist sicherlich so dieser Technologie Drift.

00:33:55: Auf der anderen Seite haben wir diese Gesetzgebung, die sagt, wir können Security nicht mehr wegdiskutieren.

00:34:01: Wir haben keine

00:34:02: Option mehr, sondern

00:34:03: es ist sondern eine Verpflichtung, weil wir auch als als europäische und deutsche Volkswirtschaft nicht mehr akzeptieren können, dass Milliarden, Billionen von Euros in Länder fließen, die wir eigentlich so nicht bedienen wollen.

00:34:21: Also nicht nur staatliche Akteure.

00:34:23: oder auf der anderen Seite, dass dieses Geld an, ja, an, an, an, an, in diese gesamte, ich nenne es schon, hacking Volkswirtschaft übertragen wird, was uns eigentlich fehlt, um... die eigenen Wertschöpfungen und die eigenen Wertschöpfungen zu investieren.

00:34:40: Also das heißt, wir haben technologisch bestehende Strukturen.

00:34:43: Wir haben auf der anderen Seite das Thema Gesetz.

00:34:46: Das sind die Haupttreiber aktuell.

00:34:48: Und klar, natürlich, jetzt haben wir das Thema KI, was grundsätzlich auch die produktiven Wertschöpfungsprozessen weiter anheizt.

00:35:00: Auch hier ganz neue Möglichkeiten und Chancen bietet.

00:35:03: Und wenn ich das alles so in einen Topf kippe, dann habe ich eine deutliche Zunahme der Digitalisierung.

00:35:09: Und Digitalisierung geht leider, leider, leider, leider nicht einher, ohne das Thema Security auch als Rahmenbedingungen zu betrachten.

00:35:19: Ja, und auch die Komplexität, die da durch Digitalisierung, Automatisierung und Co.

00:35:23: und jetzt auch, wie du sagst, KI in die Systeme dann noch dazukommt.

00:35:26: Also es ist jetzt quasi nicht nur die Anlage an sich, sondern auch was bringt sie schon mit, was dock ich vielleicht noch an, an Sensorik zum Beispiel oder wie auch immer, um dann wieder Daten erfassen zu können und so weiter.

00:35:35: Also diese Komplexität steigt ja auch durch diese ganzen Industrie-Digitalisierungsprozesse, nenne ich es jetzt mal.

00:35:42: Und ich glaube, das ist auch der größte Showstopper gerade, diese Komplexität.

00:35:46: Komplexität auch... Komplexität in ihrer Gesamtheit, aber auch die Komplexität in der Gesamtheit, die dann wieder auf einzelne Bereiche, Abteilungen einströmt, die dann auch so viele Optionen und Entscheidungen treffen müssen, dass Der Umkehrschluss daraus ist, dass eben keine Entscheidung getroffen wird, weil man Angst hat, die falsche zu treffen.

00:36:16: Überwältig.

00:36:16: Genau.

00:36:17: Und genau da liegt eigentlich auch der Schlüssel zur Lösung.

00:36:23: Auch nach dem Motto Stop-Start-Finishing, dass man im Grunde genommen sehr schnell die richtigen Wege geht.

00:36:31: Und da helfen viele Externe, die sich auskennen, die hoffentlich in der Zukunft auch noch ... Hoffentlich durch uns, durch die Infinigate da ein Stück weit, oder auch durch die L-Mobile, da entsprechend einfach Know-how gewinnen und sich diesem Thema annähern.

00:36:48: Und ich glaube, es ist ganz, ganz wichtig, dass man die kleinen Schritte wie so oft auf dieser großen Reise sehr schnell geht und entsprechend beim Gehen lernt.

00:36:57: Und so wird dann auch ein Schuh draus.

00:36:59: Und das ist auch so ein bisschen das, was wo der Erfolg lag bei diesem Projekt, was ich gerade ein bisschen beschrieben habe, auch mit diesem Case, dass man einfach das Hauptproblemthema der Fernwartung und der Security Transparenz in der Abteilung einfach haben wollte, dass man das sehr schnell begonnen hat mit den richtigen Schritten, mit den ersten Assessments, mit der Ableitung daraus aus den nächsten Schritten, aus Budgetierungssicht und so, dass man hatte man innerhalb tatsächlich von ein Stück weit einem Jahr bereits ein Konstrukt, was entsprechend Transparenz und Security geschaffen hat.

00:37:36: und Ich würde sogar sagen, das Projekt war jetzt auch schon ein bisschen länger her, also jetzt auch schon kurz durchrechnen.

00:37:43: Das war jetzt sicherlich auch schon seit fünf Jahren am Laufen.

00:37:49: Ist der Umkehrschluss jetzt gerade jetzt, wo die Gesetzgebung aufkommt, hat man hier schon den Nachweis, dass man hier entsprechende Risiken identifiziert hat, Maßnahmen abgeleitet hat und auch im Sinne der Gesetzgebung ist man hier schon deutlich besser aufgestellt als halt diese Unternehmen, die jetzt im Hauruckverfahren sehr schnell in die Pötte kommen muss.

00:38:11: Aber ich glaube auch, dass viele Unternehmen schon gute Dinge tun, vereinzelter und die im Grunde genommen jetzt auch einfach mal zusammentragen müssen.

00:38:23: Einfach mal zusammentragen.

00:38:25: Ganz einfach, alles gar nicht so schlimm, wie ihr seht.

00:38:27: Wir haben heute ganz, ganz viel erfahren über das Thema OT, OT Security, welche Relevanz die denn für euch als kleine und mittelständische Unternehmen eigentlich tatsächlich hat.

00:38:37: Was es auch für Risiken gibt, wenn ihr da nicht gut aufgestellt seid, worauf ihr achten könnt, welche Maßnahmen es dazu ergreifen gilt, haben euch da zumindest mal einen kleinen Einblick geben können.

00:38:47: und auch vielleicht ein bisschen Einblick darüber bekommen von Patrick, warum IT und OT eigentlich ein Dream Team sind und wie die zusammenarbeiten sollten.

00:38:56: Vielen, vielen Dank für deine Zeit.

00:38:57: Es war sehr spannend.

00:38:58: Ich glaube, wir könnten da noch paar Folgen mehr draus machen.

00:39:01: Wenn euch das da draußen interessiert oder ihr noch weitere Fragen habt, dann lasst uns das gerne wissen.

00:39:05: In den Kommentaren schickt uns Nachrichten, E-Mails oder über LinkedIn kommt gerne auf mich oder auch auf den Patrick direkt zu.

00:39:11: Lasst uns das wissen, dann machen wir entweder noch mal eine neue Folge ergänzend oder wir schreiben euch zurück und geben euch Input.

00:39:17: oder was bei uns ankommt, geben wir natürlich auch gerne an dich weiter.

00:39:20: für den Austausch.

00:39:22: Wenn euch die Folge gefallen hat, dann lasst uns gerne einen Daumen nach oben bei YouTube oder eine Bewertung bei Apple Podcast oder Spotify da.

00:39:27: Da freuen wir uns sehr.

00:39:28: Das hilft uns, damit wir auch weiter gesehen werden und uns andere KMUs auch weiterhin finden können und ja, von den tollen Inputs lernen können, die wir hier jedes Mal wieder liefern dürfen.

00:39:39: Vielen Dank für deine Zeit.

00:39:41: Das hoffe ich doch.

00:39:41: Vielen herzlichen Dank für die Einladung.

00:39:43: War wirklich sehr kurzweilig.

00:39:44: Hat Spaß gemacht.

00:39:45: Und dann sage ich, bis zum nächsten

00:39:46: Mal.

00:39:46: Bis zum nächsten Mal.

00:39:48: Macht's gut.

00:39:48: Ciao.