Aus dem Tagebuch eines OT-Pentesters

Klaus Mochalski

Hallo und herzlich willkommen zu einer neuen Folge von OT Security Made Simple. Ich bin Klaus Mochalski, Gründer von Rhebo. Mein Gast heute ist Patrick Latus. Patrick hat seit vielen Jahren Erfahrung nicht nur der IT, sondern auch in der OT Security. Er hat dort Pentesting gemacht, hat Incident Response gemacht. Aber Patrick, erzähl uns doch einfach mal [...] was du in den letzten Jahren gemacht hast und wie lange du dich mit dem Thema schon beschäftigst.

Patrick Latus

Ja, Hi Klaus, vielen Dank. Mein Name ist Patrick Latus. Ich bin jetzt seit etwas über 20 Jahren in der OT speziell unterwegs, habe knapp 20 Jahre lang bei einem Systemintegrator gearbeitet für ABB und Siemens Leitsysteme. Hauptsächlich war ich viel in der Energie und Chemie unterwegs, in der Pharma, Erdöl, Gas und so weiter und bin jetzt seit etwas über vier Jahren selbstständig in dem Bereich unterwegs. Und ja, ich mache viel. Purple Teaming, heißt Red und Blue, heißt integrieren von Härtungsmaßnahmen. Und ja, Angriffe auch auf OT-Systeme.

Klaus Mochalski

Klingt sehr spannend. Auf jeden Fall genau der Bereich, der uns hier interessiert. Erzähl uns doch mal, du bist seit 20 Jahren unterwegs. Das ist ja wirklich eine lange Zeit für. Ich glaube, für viele existiert OT und OT Security als Feld noch gar nicht so lang. Natürlich gab es schon immer solche Systeme, aber ich glaube, die Begrifflichkeiten hier sind neuer.

Wenn du jetzt mal auf die Entwicklung dieser Zeit zurückblickst, was hat sich denn insbesondere in den letzten Jahren geändert? Gibt es da Muster? Werden die Unternehmen reifer? Werden die Infrastrukturen sicherer? Werden die Systeme moderner und besser gepatcht? Also was sind die Trends, die du beobachtest?

Patrick Latus

Das sind ganz, ganz viele Punkte auf einmal, auf die ich gerne eingehen würde. Aber das wird schwierig. Das Wort gibt es ja erst seit ein paar Jahren. Das ist so ein bisschen zum Modewort verkommen, wie auch Industrie 4.0. Das Problem ist, dass das die Systeme schon sehr, sehr lange gibt. Da sind viele Systeme auch heute noch dabei, die aus den 1990er stammen, die einfach auch ein Lifecycle haben von 20, 30 Jahren. Das war früher völlig normal.

Was seit vielen, vielen Jahren aber jetzt auch immer verstärkt dazukommt, ist die Interkonnektivität, also Interoperabilität. Da muss alles miteinander verbunden werden. Da müssen Werte rausgezogen werden. Da werden KPIs gebildet. Und diese Systeme, die einen Lifecycle von 20, 30 Jahren haben, sind einfach nicht darauf ausgelegt gewesen, auch secure zu sein. Das waren über Jahre Inseln. Und dann hat einer gesagt: Oh, guck mal, da ist ein Netzwerkstecker, lass uns die mal anstecken. Ja, und übrigens Management muss da auch drauf. Und Remote wäre ja eigentlich auch ganz cool.

Und ja, so hängen dann letztendlich die Systeme teilweise direkt am Internet, die eigentlich nicht dahin gehören. Die ganzen OT’ler, die jahrelang dafür verantwortlich waren, dass die Maschinen gelaufen sind – weil am Ende des Tages müssen die produzieren – müssen jetzt auf einmal Cybersecurity mitmachen. Die ganzen IT'ler, die sich um die IT-Systeme obendrüber kümmern, haben immer gesagt: IT-Systeme ja, OT-Systeme packen wir nicht an. Wenn wir da was patchen, dann fällt direkt was aus. Ja, und so herrscht da irgendwie so ein schwarzer Bereich und da gilt es eigentlich, deutlich mehr reinzuspringen und Probleme zu lösen, Dinge zu tun, die offen sind. Da kommt jetzt gesetzlicher Druck dahinter. Was auf der einen Seite gut ist, auf der anderen Seite sehe ich da das Problem, dass einfach die Leute fehlen. Wie überall anders auch.

Klaus Mochalski

Also, was du hier ansprichst, sind alles auch Probleme, die glaube ich in dem Kreis der OT Security Community häufig diskutiert werden. Gibt es denn hier Veränderungen, vielleicht auch positive Veränderungen? Nachrichten sind ja meistens negativ. Aber gibt es denn positive Veränderungen, die du jetzt konkret beobachten kannst? Es ist ja immer schwierig, das Gute bei dem zu sehen, wenn man mit solchen Dingen, wie du es gerade beschreibst, beschäftigt ist. Aber es muss ja da was geben.

Patrick Latus

Das Gute ist auf jeden Fall, dass sich die Leute jetzt mehr dafür interessieren. Das hat natürlich auch wieder eine schlechte Seite. Diese Themen kommen inzwischen auch beim Management an. Ich habe viele Kunden, die ich über die Jahre betreut habe, wo dann immer gesagt worden ist: Na ja, es läuft doch alles. Das kann ja gar nicht so schlimm sein, wie ihr da unten immer sagt. Durch diese ganzen Nachrichten, die jetzt verstärkt aufkommen, ist erst einmal natürlich große Welle.

Stuxnet. Da sind dann auch einige hellhörig geworden. War zwar natürlich ein super abgefahrener Angriff, hat auch viele Mittel und alles benötigt, aber es ist dann so ein bisschen in den Fokus gerückt. Grundsätzlich hat das Ganze dann auch ein bisschen Fahrt aufgenommen und tut es auch immer noch. Tatsächlich. Aber die Leute, die fehlen so ein bisschen. Es fehlen die richtigen Ausbildungsberufe, Studiengänge, Leute, die sich aus der IT raus auch mal dann in die OT rein trauen, sich mal ein paar Sicherheitsschuhe anziehen, den Helm und mal wirklich runter in die Produktion gehen und so.

Das Thema rückt in den Fokus. Das ist positiv. Allerdings tut es das nicht nur bei den Leuten, die damit arbeiten, sondern auch bei den, die es angreifen wollen. Also ein zweischneidiges Schwert.

Klaus Mochalski

Ja, okay, also das ist noch mal der Aufruf. Tatsächlich auch an die jungen Leute, die nach Ausbildungen suchen, sich in die Richtung zu orientieren. [...] Ich bin jetzt auch seit zehn Jahren in diesem Feld tätig, vorher in der klassischen IT Security. Und die OT Security hat sich, muss ich sagen, zu einem sehr interessanten Arbeitsgebiet entwickelt. Und ist es auch heute noch, es ist noch viel Neuland. Das heißt, es gibt hier wenig verkrustete Strukturen, es gibt noch echte Herausforderungen.

Das, was du beschreibst, nämlich genau die Kombination aus IT-Security-Wissen, da muss man schon in die Tiefe gehen, um da wirklich gut vorbereitet zu sein. Und das glaube ich auch ein Hauptproblem bei der Qualifikation der Fachkräfte heute. Und das in Kombination mit dem Wissen über die Systeme, die es zu schützen gilt. Und die sind halt eben ganz andere Systeme. Das ist nicht einfach nur ein Computer. Und man kann ja sagen, Computer ist am Ende immer das Gleiche – ob es ein Smartphone ist, ein Laptop oder ein Server. Das sind Computer mit einem Betriebssystem.

Aber hier reden wir von Maschinensteuerung. Wir haben Sensoren und Aktoren. Wir haben komplexe Netzwerke von solchen Systemen mit Eingriff in die physische Welt. Und das ist, glaube ich, diese Kombination, die es ebenso spannend macht.

Patrick Latus

Es ist richtig, richtig cool und ich kann auch nur alle ermutigen: Springe in den Bereich rein, macht es mit ein bisschen bedacht, hängt euch an jemanden ran, der sich auch ein bisschen damit auskennt.

Ja, das ist richtig. Die Systeme kann man nicht einfach mal so patchen, da kann man nicht einfach mal sowas ausrollen. Aber wir brauchen Menschen, die einfach Bock haben zu sehen, wo Medikamente hergestellt werden, in der Produktion, wo Stahl gegossen wird, wo Energie produziert wird, die wir ganz selbstverständlich aus der Steckdose ziehen. Aber da wirklich an der Basis zu arbeiten, sich wirklich runter in den Betrieb zu geben, da wo es stinkt, da wo es auch mal laut ist. Ja, das ist einfach herrlich, und ich mache das super gerne. Ich brenne dafür. Ich freue mich immer, wenn sich auch jemand dafür interessiert und kann auch nur ermutigen, da wirklich einen Schritt in die Richtung zu gehen. Wie gesagt, hängt euch an jemanden ran, der da auch ein bisschen Ahnung von hat, der euch da mitnimmt.

Hilfe ist immer gerne willkommen. Bitte nicht mit der Axt irgendwo rein. Ich sehe es auch inzwischen bei Kunden teilweise, dass dann IT Security Experten kommen, mit so einem Nessus [Anm.: Netzwerk- und Vulnerability Scanner Software] dann irgendwelche Controller oder sensiblen Sensoren weg scannen. Dann steht die Produktion, da ist keiner glücklich. Das dauert teilweise tagelang, bis das wieder anfährt. Seid vorsichtig, seid motiviert und interessiert, aber auch vorsichtig mit.

Klaus Mochalski

Ist doch ein sehr schöner, sehr schöner Aufruf. Das finde ich gut und ich möchte auch noch eine Lanze für den Industriezweig brechen. Also wir reden ja gerade in Deutschland [viel über] kritische Infrastruktur. Und auch wir bei Rhebo haben viel mit diesem Sektor als Kundschaft [zu tun]. Man denkt immer, das sind kommunale Unternehmen, die sind sehr behäbig. Es sind also entweder kommunale Unternehmen oder es sind große Konzerne, die sehr behäbig agieren [... so denkt man].

Aber jetzt gerade in den aktuellen Nachrichten – und da muss ich mal eine dicke Lanze brechen – kam die Nachricht, dass Deutschland die Klimaschutzziele erreicht hat. Das fand ich total überraschend. Und wenn man sich das anschaut, warum wir das erreicht haben, ist es, weil die Energieunternehmen Deutschlands sozusagen die Energiewende vorangetrieben haben und nicht etwa die Bereiche, die hinterherhinken: Gebäude und Verkehr. Und da sehen wir eben, was wirklich der Innovationstreiber in Deutschland geworden ist, mittlerweile. Das heißt, das ist durchaus auch ein spannendes Einsatzfeld, unabhängig von der rein fachlichen Qualifikation.

Insofern Aufruf an alle: Geht in dieses Gebiet. Das ist auf jeden Fall spannend und zukunftssicher. Um dem Nachwuchs hier noch mehr Lust auf diesen Bereich zu machen.

Erzähl uns doch mal über einen konkreten Fall, den du persönlich in den letzten Monaten, 18 Monaten, zwei Jahren bearbeitet hast, der besonders spannend war, der vielleicht ganz typisch war oder ganz untypisch. Und erzähl uns einfach mal, wie das aussieht, wenn du bei Kunden aufschlägst. Wenn die dich anrufen und wie du dabei vorgehst und was du vielleicht in einem konkreten Fall dann auch herausgefunden hast.

Patrick Latus

Also gerade der Bereich, wo ich mich bewege, ist super vielfältig, megaspannend. Ich unterstütze Kunden aktuell dabei, Lastenheft zu schreiben, das heißt technische Details in Dokumente mit reinzupacken, damit das, was der Kunde haben möchte, auch wirklich geliefert wird. Ich bin bei FATs und SATs dabei, das heißt bei Abnahmen, dass Dienstleister oder eine große Firma wie eine ABB, eine Siemens, eine Yokogawa – wie sie alle heißen – auch wirklich das liefern, was benötigt wird. Da lernt man immer super coole Leute kennen. Ich werde zu den Tests gerufen, wo der Kunde sagt: Hier, kannst du mal bitte vorbeikommen.

Wir haben zum Beispiel jetzt aktuell vor ein paar Monaten eine Kopplung gehabt bei einem Kraftwerk und die haben gesagt: Wir haben eine Kopplung an die Strombörse, haben ABB und Siemens Leitsystem miteinander verknüpft.

Da sage ich: Was heißt verknüpft?

[Als Antwort kam]: Na ja, da ist eine OPC-Kopplung in Betrieb genommen worden. Für die, die das nicht kennen, das ist ein Protokoll, womit bis in die SPS, runter in die CPU [kommuniziert werden kann].

Ich habe gesagt: Wie sieht es aus? Ja, wer war da?

[Sie antworten:] Ja, es waren zwei Dienstleister da, die beide Systeme jeweils betreuen und haben das in Betrieb genommen.

Dann sage ich: Ja, wie lange waren die denn da?

[Der Kunde:] Ja, also einen Tag. Und dann ist das gelaufen.

Und ich denke mir so: Ein Tag ist definitiv nicht genug. Könnt ihr mir mal die Doku rüberschicken? Netzwerkpläne oder so?

[Und der Kunde antwortet:] Ja, da warten wir noch drauf. Aber es läuft schon alles.

Und ich denke mir so: Oh oh.

Wir sind dann hingefahren, haben uns das angesehen und ja, es ist schwierig. Netzwerkkabel so gezogen, dass es passt. IP-Adressen eingerichtet, aber nichts dokumentiert. [Wir haben dann die Kennwörter] relativ schnell rausgefunden, wo man dann bis in die SPS runter Werte schreiben konnte. Ist natürlich gruselig. Ja, passiert aber ganz oft. Die Netze sind super komplex, da muss man Verständnis für haben, was wie funktioniert, wo welche Rollen in so einem Leitsystem drin sind.

Klaus Mochalski

Das ist ja verrückt, dass es so was noch gibt. Das hätte ich nicht gedacht. Also ich verstehe ja, dass es gewachsene Infrastrukturen gibt, die sich schwer schützen lassen. Aber dass man sozusagen bei so einer Modernisierungsaktion – und das war es ja letzten Endes – einen Dienstleister ruft und sagt, bringt das mal zum Laufen.

Und das ist ja ein altes Problem in der OT Security, dass sozusagen Verfügbarkeit oder Operations First immer galt. Das heißt, die Anlage muss laufen und im Zweifel geht es auf Kosten der Security. Das kann man sich ja häufig gut begründen. Aber in so einem Fall wäre es ja wirklich einfach, mal einen Schritt zurückzugehen, erst mal eine Bestandsaufnahme zu machen und zu sagen okay, was sind denn Security Best Practices in diesem Umfeld?

Und das ist ja jetzt auch kein besonders ungewöhnliches, ein komplexes Szenario, was du beschreibst. OPC ist ja mitnichten ein modernes Protokoll. Das war es vielleicht vor zehn Jahren und mittlerweile ist das ja auch STANDARD. Das heißt, auch hier weiß man mittlerweile, wie man so etwas sicher macht, auch wenn es bei dem Protokoll konkret bestimmte Limitierungen gibt, das wirklich sicher umzusetzen. Aber mittlerweile weiß man ja, wie das geht.

Und dann ist es aber verrückt, dass trotzdem noch Aufträge erteilt werden an Dienstleister: Bringt das mal zum Laufen.  

Patrick Latus

Ja, das passiert aber, weil der Kunde – der einkauft – selber teilweise nicht das technische Verständnis hat, oder er hat sich das dann auch wünscht. Das wird dann teilweise nicht schriftlich fixiert. Dann kommt der Dienstleister, nimmt das in Betrieb. Das sind aber ganz oft Engineering Leute, die programmieren die Funktionen, schreiben dann für die SPS. Das sind keine Security Experten. OPC-UA kannst du auf drei verschiedene Möglichkeiten absichern:

a) Ohne Passwort – geht am schnellsten, funktioniert.  

b) dann mit einem Passwort und das natürlich gefühlt immer super kurz, damit man das auch einfach austauschen kann, ja. Klassiker natürlich auch ein Passwort, was für andere Konten benutzt wird. Wie so ein Domainadmin oder so, habe ich auch schon gesehen. Ja.

Oder c), du sicherst so ein OPC-UA mit einem richtigen Zertifikat ab. Ja selbstsignierte – besser als gar nichts.

Aber jemanden zu finden, der eine richtige PKI [Anm.: Public Key Infrastructure] ausrollt in der IT und unten in der OT, mit Sperrlisten und alles... Es gibt nicht viele, die das wirklich ordentlich können Und dann auch noch unten in der OT, wo es teilweise schwierig ist, in uralte Geräte noch Zertifikate oder sowas zu hinterlegen. Das ist schwierig und da ist es halt am einfachsten, Netzwerkkabel zu ziehen, kein Passwort oder ein super einfaches Passwort [zu hinterlegen], und dann klatschen alle in die Hände und sagen: Guck mal, es funktioniert und dann war's das.

Ja, also wir brauchen Leute, die wirklich, wie du eben gesagt hast, tiefes technisches Verständnis haben, gerne aus der IT Security, ist gar kein Problem. Da muss man wie gesagt sich die paar Besonderheiten aus der OT dann auch aneignen, was auch keine Raketenwissenschaft ist.

Für viele bedeutet [OT-Sicherheit] ja immer noch ein super-komplexes Thema, irgendwelche hochtrabenden Dinge. Aber das sind kleine Steuerungen, die im Prinzip einfachste Dinge machen, wie Motoren ein- und ausschalten und so. Die haben auch Schutzfunktionen, die gibt es auch, ja. Aber wenn ich jetzt so ein aktuelles Siemens-Portal nehme und ein S7 runter lade, das erste Mal, dann fragt er mich in dem Dialog: Möchtest du mit Verschlüsselung oder ohne Verschlüsselung laden? Und das Feld mit dem einem Häkchen kann man auch noch abwählen. Und ich denke mir so: Macht das doch bitte hardkodiert rein.  

Ja, wir sind dran. Das dauert aber noch, weil Technologie muss kommen, die Leute müssen fit werden. Und wie gesagt, wir haben auch viel zu wenig Leute, was das angeht. Ich sehe das sehr, sehr oft, dass Engineering-Leute dann auch die Systeme installieren. Und wenn man jetzt in der Siemens-Welt sagt: Hier Simatic Shell mit verschlüsseln... Die müssen ihre eigene Doku lesen, und das kann man denen auch gar nicht ankreiden. Das sind Engineering-Leute, System-Leute die wirklich superfit sind. Gibt es leider viel zu selten. Das ist so.

Klaus Mochalski

Aber das kann ich nur bestätigen, dass es keine Raketenwissenschaft ist, sich so eine Steuerung anzuschauen und die zu verstehen. Das haben wir auch gemacht, als wir vor zehn Jahren bei Rhebo angefangen haben, unsere Software zu entwickeln. Da haben wir uns auch Steuerungen besorgt. Und dann haben wirklich Leute, die aus der klassischen IT Security kommen und eben noch nicht wussten, was OPC und was Modbus sind, die haben die Dinger auf den Schreibtisch bekommen. Und da haben wir auch gedacht, mal schauen, wie lange das dauert. Und nach einem Tag hatten die das Ding aber vollständig verstanden und waren überrascht, was für einfache Systeme das sind.

Aber am Ende nicht überraschend, wenn man sich mal überlegt, wie die aussehen, was da drin steckt, wie alt die zum Teil sind und was die tun. Das sind halt sehr einfache Dinge und die kann man relativ leicht verstehen. Das heißt, der eigentliche, der größere Teil der Expertise, die man braucht, kommt tatsächlich aus der klassischen IT und OT Security. Das ist wirklich der Hauptaufwand.

Patrck Latus

Wenn man die paar Industrieprotokolle verstanden hat, wie so ein Modbus oder den Modbus TCP, der Nachfolger für Netzwerk... Wenn man da sieht okay, kann man auch ein Netzwerk drauflegen. Aber dann soll man sich auch damit beschäftigen. Was ist ein VLAN? Was ist ein MAC-Filter? Die Netze einfach isolieren!

Es gibt auch Möglichkeiten solche Protokolle wie Modbus TCP, was standardmäßig überhaupt keine Authentifizierung hat, auch sicher zu machen und sicher in Betrieb zu nehmen. Das geht. Da muss man sich, wie gesagt, mit den Dingen beschäftigen, sich auseinandersetzen. Wenn man nicht weiterkommt, auch bitte jemanden mit dazu nehmen, der sich da ein bisschen auskennt.  

Auf Webseiten wie Shodan, Censys oder sowas, was da noch Geräte am Internet hängen mit einem S7, mit einem Modbus TCP, das ist Wahnsinn. Also wenn man da auf die Idee kommt, mal ganz kurz zum Testen was ins Internet zu hängen oder so: Bitte macht das nicht! Innerhalb von zwei Stunden ist das auf der ganzen Welt verfügbar, und dann prasselt es auf euch ein.

Klaus Mochalski

Kann man nicht genug aufpassen.  

Ich will noch mal darauf zurückkommen, was du gesagt hast. Was bei dem Kunden, den du jetzt beschrieben hast, der Auslöser war. Du beschreibst das als fehlende Expertise auf Seiten des Kunden, vielleicht auch auf Seiten des Einkaufs, vielleicht auch fehlendes Bewusstsein.

In der OT Security Community gibt es gerade so eine Debatte: Reden wir zu viel über die Probleme und können die Leute das mittlerweile nicht mehr hören? Und dem gegenüber stehen relativ wenige große Vorfälle, die auch publiziert werden. Und da sagen viele, da gibt es eine Diskrepanz, und wir sollen hier mal nicht das Treiben verrückt machen. Jetzt sagst du mir aber, dass eben dort dieses Bewusstsein, dass man hier sich um Sicherheit kümmern muss, noch gar nicht da ist. Was ist es denn nun aus deiner Sicht?

Reden wir zu wenig oder zu viel über OT Security.

Patrick Latus

Im Management-Bereich ist es definitiv da, in der OT teilweise nicht. Was wie gesagt daran liegt, dass in der OT halt auch viele Leute oder die meisten jahrelang dafür verantwortlich waren, dass die Maschinen laufen. Jetzt kommt einer und sagt: Ihr müsst noch Cybersecurity machen. Und die sagen: Ja, was sollen wir machen? Die Maschine läuft doch!

Jetzt jemandem, der jahrelang eine Maschine gewartet, bedient, auch programmiert hat zu sagen, er soll jetzt Verschlüsselung hochziehen, er soll seine ganzen Kennwörter ändern, er soll prüfen, wer sich da jetzt über Remote überhaupt einwählt... Wenn ich letztes Jahr auf der it-sa mir ein paar Messestände ansehe, da gibt es immer noch Lösungen, die per AnyDesk Teamviewer direkt bis in den Bus runter eine Remote-Verbindung ermöglichen. Da wird nichts gemonitort, da gibt es kein 2FA. Nichts. Ja. Wenn ich dann mit den Leuten oder mit den Entwicklern spreche, sagen die: Ja, das ist super bequem, da kommt man direkt rein – Remote Support. Das ist Wahnsinn, dass es so Produkte noch gibt und verkauft werden.

Bei meinen Kunden versuchen wir jetzt, zentrale Remote-Lösungen zu etablieren, die einer ISO entsprechen – mit Monitoring, Sitzungsaufzeichnung, Notfalltrennungen und alles. Aber bis das wirklich unten ankommt, das dauert halt wirklich noch.

Es ist auf dem richtigen Weg. Und es gibt auch viele, die sagen, da müssen Prozesse etabliert werden, dies und das. Ja, aber am Ende des Tages muss doch noch einer rausfahren und auch die entsprechenden Häkchen setzen und auch unterstützen, wenn irgendwas nicht funktioniert.

Und da ist es wie bei Herstellern und den Dienstleistern halt noch ein langer Weg. Also in der OT dauert immer alles ein bisschen. Könnte aber ein bisschen mehr Tempo bekommen.

Und ja, dass viele Vorfälle nicht gemeldet werden, liegt auch einfach daran, dass sie nicht gesehen werden. Die technischen Mittel fehlen teilweise. Dann Angst natürlich vor Anzeige und Bloßstellung.

Wer sich von dem BSI auch den Report zur Lage der Sicherheit ansieht: Jedes Jahr, sind auch seit vielen, vielen Jahren Industrieanlagen dabei. Es gibt auch eine deutlich höhere Dunkelziffer an Anlagen, die Vorfälle eigentlich melden sollten, die aber einfach nicht die Infrastruktur haben, weder technisch noch prozessual, um solche Vorfälle einfach zu melden.

Und da müssen wir ein bisschen offener damit umgehen. Denn wenn sowas gemeldet wird, können wir auch besser voneinander lernen und uns besser schützen. Leute ausbilden. Auch dafür motivieren, das in dem Bereich mit zu unterstützen. Weil es ist, wie gesagt, ein super cooler Bereich, und ich kann das nur jedem ans Herz legen. Ja.

Klaus Mochalski

Finde ich sehr spannend, sehr spannend, was du erzählst. In dem Podcast habe ich auch viel, wie du eben schon meintest, über Prozesse gesprochen. Welche Rolle das Management spielt, welche Rolle der CISO spielt, wie ich es da schaffe, das Knowhow vor allem in größeren Organisationen zu nutzen – weil das gibt es ja in größeren Organisationen zwangsläufig. In kleineren Organisationen ist das potenziell schwierig. Da gibt es dann vielleicht null oder eine Person, die sich in dem Bereich etwas auskennen.

Patrick Latus

Den einen IT-Leiter, genau.

Klaus Mochalski

Insofern finde ich das interessant, diese andere Perspektive, dass wir wirklich ein Fachkräfteproblem und auch ein Expertise-Problem haben bei den Dienstleistern, bei den Leuten vor Ort. Und das müssen wir kompensieren. Und da verstehe ich schon, dass natürlich nur gute Prozesse – eine ISO 27001 oder IEC 62443, die ich darüber ziehe – da komme ich nicht sehr weit, wenn ich nicht die Leute vor Ort habe. Da kann ich mir zwar die Dienstleister holen, die mir vielleicht den Stempel geben. Aber auch die würden das ja erkennen und würden dann sagen: Hierfür gibt es keine Zertifizierung.

Patrick Latus

Sollten sie eigentlich. Ja! Aber ich habe jetzt Kunden, die sind KRITIS [Anm.: Kritische Infrastruktur]. Da schlägt ein Auditor auf und der sagt: Jungs, ich bin ganz offen. Ich bin Physikprofessor. Das hatte ich jetzt bei einem.

[Der Kunde] hat gesagt: Wir hatten einen Physikprofessor hier, der hat direkt in der ersten halben Stunde gesagt, der ist Physikprofessor. Er hat eine zusätzliche Prüfung gemacht, ist jetzt ISO-Auditor und er hat sich die ganzen Prozesse angesehen, hat aber nichts Technisches überprüft.

Wo der Kunde sagt: Na ja, ist jetzt schwierig. Auf der einen Seite sind wir froh, dass wir durch sind. Auf der anderen Seite sind wir überhaupt nicht froh, weil er hätte eigentlich was finden müssen, weil da hätten wir dem Management gegenüber auch argumentieren können, dass wir da noch richtig offene Flanken haben. Also superspannend. Es ist superspannend, ja.

Klaus Mochalski

Sehr schön. Das ist auf jeden Fall eine sehr interessante Perspektive, die du hier einbringst, Patrick. So ein bisschen komplementär zu dem, was in der Vergangenheit oft besprochen wurde hier im Podcast. Nicht nur Standardisierung, Prozesse, Management, Aufmerksamkeit ist notwendig, sondern eben auch Expertise auf der Arbeitsebene. Und das ist das, was wir brauchen.

Und ich glaube, das ist ein sehr schönes Fazit und Schlusswort für diese Episode heute. Ich danke dir, Patrick, dass du da warst und freue mich dann auch gerne noch mal einen Folgeepisode mit dir zu machen, wo wir vielleicht auch noch mal tiefer in das technische Thema reinschauen können.

Patrick Latus

Sehr gerne! Vielen Dank! War sehr spannend, wie gesagt. Grüße an alle Hörer da draußen. Traut euch! Macht richtig Laune, auch wirklich an der Basis zu arbeiten, da wo unsere alltäglichen Produkte auch herkommen. Und ja, ist superspannend. Kann euch nur ermuntern und ja. Vielen Dank, dass ich hier sein durfte und bis hoffentlich zum nächsten Mal. Super.

‍