Pressemitteilungen Rhebo

News

Die Herausforderung und Relevanz von OT-Sicherheit-Services

In diesem OT Security Made Simple Podcast spricht Thomas Menze, Sensior Consultant bei der ARC Advisory Group über den Gegensatz zwischen der hochdynamischen Entwicklung der Cyberrisiken und schleppender Fähigkeit der Unternehmen, darauf zu reagieren. Er diskutiert mit Klaus Mochalski die Problematik fehlender Sichtbarkeit in der OT bei steigender Zahl vernetzter Geräte und warum die wenigsten Unternehmen ohne OT-Sicherheit-Services auskommen werden.

 

 

 

Hören Sie uns auf:

  

 

Transkript

Klaus Mochalski

Hallo und herzlich willkommen zu einer neuen Folge des Rhebo-Podcasts. Ich bin Klaus Mochalski, Gründer von Rhebo. Mein heutiger Gast ist Thomas Menze. Er arbeitet bei der ARC Advisory Group und spricht heute mit mir über die Herausforderung von Services in der OT-Sicherheit. Aber bevor wir in dieses Thema einsteigen, ein paar Worte zu Ihrer Person Thomas.

Thomas Menze

Ja, natürlich. Vielen Dank, Klaus, für diesen herzlichen Empfang und es ist mir eine Ehre, hier zu sein. ARC Advisory Group steht also für Automation Research Corporation. Wir sind also ein Marktforschungsunternehmen, aber wir haben einen sehr starken Fokus auf Automatisierungsmärkte, -trends und -technologien und wir haben wirklich eine langjährige Erfahrung. Wir wurden 1990 in Nordamerika, in Boston, gegründet und haben jetzt 30 Jahre Einblick in die Automatisierungsindustrie, in die Umwälzungen. Und ich gehöre zum europäischen Team. Wir haben mehrere Büros in Europa, so dass wir hier Deutschland, Westeuropa, Osteuropa, Nordafrika und den Nahen Osten abdecken. Und wir sprechen gleichzeitig mit Automatisierungsanbietern und Endanwendern. Und ich denke, wir werden heute einige spezielle Aspekte der Cybersicherheit diskutieren. Und ich freue mich wirklich auf diese Art von Diskussion.

Klaus Mochalski

Ja, genau. Dieser Podcast trägt den Titel OT Security Made Simple. Welche Themen haben Sie bei Ihren Recherchen in letzter Zeit im Bereich der OT-Sicherheit berührt?

Thomas Menze

Okay, wir sehen seit Jahren einen ständigen Wandel in der OT-Sicherheit. Wirklich seit Jahren. Erinnern Sie sich, alles begann mit IT-Sicherheit, mit IT-Virenscanner-Software, mit IT-Patch-Management und so weiter. Und vor 20 bis 25 Jahren wurde die gesamte OT-Technologie so entwickelt und konzipiert, dass sie vom Internet abgeschottet war. Das bedeutet also, dass die Cybersicherheit in OT-Umgebungen nicht wirklich auf der Agenda der Entwickler stand. Aus diesem Grund war die Cybersicherheit in OT-Anwendungen recht gering. Das hat sich nun dramatisch geändert, denn in den letzten zehn Jahren haben die Angriffe auf OT-Umgebungen meiner Meinung nach stark zugenommen. Und das hat sich geändert. Alles, was sich geändert hat, ist das Verhalten der Endnutzer, z. B. der großen Chemieverbände in Westeuropa, die ihren Unternehmen und Partnern empfehlen, die Dinge anders zu machen, sicherer zu werden, insbesondere im Hinblick auf die Digitalisierung und die digitale Transformation. Und sogar das EU-Parlament in Brüssel empfiehlt jetzt der so genannten kritischen OT-Infrastruktur, die OT-Sicherheit anders zu gestalten. Ich würde also sagen, dass sich die gesamte Branche in einem ständigen Wandel befindet und alle Sicherheitsparameter definitiv ansteigen.

Klaus Mochalski

Das ist ein interessanter Punkt, den Sie angesprochen haben. Als Sie die Europäische Kommission in Brüssel erwähnten. Wie kam es zu dieser Veränderung? War es das gestiegene Bewusstsein, die Einsicht auf Seiten der Anlagenbesitzer? Oder war es die Gesetzgebung, die viele Betreiber kritischer Infrastrukturen dazu gezwungen hat, über dieses Thema ernsthafter nachzudenken und dann tatsächlich etwas zu unternehmen?

Thomas Menze

Ja, gute Frage, wirklich gute Frage. Ich würde sagen, alles kommt von schlechten Erfahrungen. Sagen wir also, viele, viele Endnutzer haben über eine erhöhte Anzahl von Angriffen und wirklich erhöhte Schäden berichtet. Und Schäden gehen Hand in Hand mit Kosten. Es kostet also eine Menge Geld, das Problem nach einem erfolgreichen Angriff zu lösen, und das wurde jetzt vom Europäischen Parlament in Brüssel wirklich erkannt. Und sie haben die Industrie in zwei große Sektoren aufgeteilt - die kritische Infrastruktur und die normale Infrastruktur, also nur den Industriesektor. Und aufgrund der zunehmenden Spannungen, die sich aus der geopolitischen Lage ergeben, sehen wir immer mehr Angriffe auf die kritischen Infrastrukturen. Und kritische Infrastrukturen sind, um es kurz zu machen. Das ist die Energieversorgung, das ist die Wasser- und Abfallwirtschaft, das ist vielleicht Öl und Gas. Es geht also um alles, was wichtig ist, um unsere, sagen wir mal, europäischen Länder am Laufen zu halten, die den Menschen, die hier leben, nachhaltige Dienstleistungen bieten. Und diese kritischen Infrastrukturen müssen besonders geschützt werden, denn wir haben Ransomware-Angriffe und Phishing-Attacken erlebt, die es vor allem auf diese Branche abgesehen haben. Und sie hatten zwei Ziele. Das eine Ziel war natürlich, Geld zu verdienen, Einnahmen aus einem erfolgreichen Angriff zu erzielen, aber das zweite Ziel war, den Betrieb zu stoppen.

Thomas Menze

Und jetzt stellen Sie sich vor, wir greifen eine Wasser- und Abwasseranwendung an und es gibt kein Frischwasser, kein Trinkwasser in den Großstädten, das endet in einer Katastrophe. Dasselbe gilt für die Energieversorgung und so weiter und so fort. Das Europäische Parlament hat also gesagt, hey, kritische Infrastrukturen brauchen einen besonderen Schutz, und deshalb haben sie diese neuen Gesetze erlassen.

Klaus Mochalski

Okay, Sie sprechen hier einige Punkte an. Das Risiko ist also vorhanden und nimmt potenziell zu. Über die Folgen sind wir uns alle einig. Es hat also ernste Folgen, wenn ein Versorgungsunternehmen bei der Wasserversorgung, der Abwasserentsorgung und auch der Stromversorgung versagt. Das hat also ernste Auswirkungen. Sie haben aber auch erwähnt, dass wir eine Zunahme von gezielten Angriffen auf diese Anbieter beobachten. Wenn ich mir unseren Kundenstamm anschaue, dann bedienen wir heute hauptsächlich Kunden aus dem Bereich der kritischen Infrastrukturen, und wir haben viele Energieunternehmen, Versorgungsunternehmen, Verteilernetzbetreiber, Transportnetzbetreiber als Kunden, und wir bieten eine Menge Dienstleistungen an, indem wir regelmäßig Cyber-Risikobewertungen für diese Kunden durchführen. Und das haben wir in den letzten fünf Jahren getan. So können wir auch die aktuelle Situation mit der der Vorjahre vergleichen. Und hier muss ich sagen, dass wir nicht wirklich einen signifikanten Anstieg der tatsächlichen Angriffsaktivitäten beobachten können, zugegebenermaßen auf der OT-Seite des Geschäfts. Wir sitzen also nur, sagen wir, in der elektrischen Umspannstation. Wir überwachen den Datenverkehr zum und vom Kontrollsystem. Also bei den sehr kritischen operativen Technologie-Instanzen, nicht so sehr auf der OT-Seite. Sie würden also nicht wirklich einen Ransomware-Angriff erwarten.

Und wir wissen, dass es hier eine Durchsuchung gegeben hat. Aber die gezielten Angriffe würden letztendlich hier auftauchen. Wir beobachten also eine Menge Schwachstellen, verdächtige Kommunikation und Aktivitäten im Internet, die es nicht geben sollte. Aber nur selten sehen wir gezielte Cyberangriffe in diesen geschützten Umgebungen. Was bedeutet das also aus Ihrer Sicht? Bedeutet es, dass all diese Unternehmen sehr gute Arbeit leisten, um diese Angriffe abzuwehren? Oder bedeutet es, dass wir die wirkliche Angriffswelle noch nicht sehen, die kommen könnte, wenn sich beispielsweise die von Ihnen erwähnte geologische Situation noch weiter verschlechtert als sie heute schon ist?

Thomas Menze

Ja, genau. Okay, viele Fragen hier. Lassen Sie uns am Anfang beginnen. Ich denke, zunächst einmal ist Ihre Beobachtung absolut richtig. Wir haben nicht allzu viele erfolgreiche Angriffe auf kritische Infrastrukturen erlebt, weil wir seit Jahren Cybersicherheitsanwendungen einsetzen. Cybersicherheit in kritischen OT-Infrastrukturen ist also seit, ich würde sagen, 15 Jahren Pflicht. Jeder nutzt sie also. Und nun zeichnete sich vor, sagen wir, zehn Jahren, ein neuer Trend ab, und zwar die erforderliche Effizienzsteigerung, denn die meisten Prozesse der kritischen OT-Infrastrukturen sind etwas veraltet. Sie sind zwar sehr zuverlässig, aber sie haben weniger digitale Technologie integriert. Und wir wissen aus anderen Branchen, z. B. der Automobilproduktion, dass wir mit digitalen Diensten die Effizienz enorm steigern können. Denken Sie nur an den cleveren Einsatz von Robotern in der Automobilproduktion. Und jetzt sagen natürlich die Prozessverantwortlichen in der kritischen Infrastruktur: Hey, wir brauchen etwas Ähnliches. Wir wollen die Digitalisierung nutzen, um mehr Effizienz in unseren Prozessen zu erreichen. Aber was bedeutet das? Wenn sie mehr Digitalisierung nutzen, verwenden sie mehr IoT-Geräte. Ein IoT-Gerät oder IoT steht für Internet der Dinge. Das bedeutet, dass kleine digitale Geräte am Rande des Betriebssystems eingebettet sind, um hier und da zu messen, Verbindungen herzustellen und Anleitungen zu geben, um wirklich datengestützte Entscheidungen zu treffen.

Ich denke, die Ära der erfahrenen Fachkräfte geht zu Ende, weil wir wissen, dass wir mehr oder weniger nicht genug wirklich erfahrene Arbeitskräfte haben. Sie werden zu alt, sie gehen in den Ruhestand und so weiter und so fort. Wir haben also neue Arbeitskräfte. Sie sind hoch motiviert, aber sie haben nicht das gleiche Maß an Erfahrung im Umgang mit der Digitalisierung. Wir können ihnen wirklich die Teilmenge an Daten liefern, auf deren Grundlage sie Entscheidungen treffen und die richtigen Entscheidungen zur Verbesserung der Prozesse treffen können. Aber, und das ist ein großes Aber. All diese kleinen IoT-Geräte sind auf Software und Firmware angewiesen. Und wir alle wissen, dass diese Software und Firmware nicht fehlerfrei ist. Wenn ich mich recht erinnere, gibt es eine Statistik des BSI, also des Bundesverbandes für IT-Sicherheit. Sie sehen jedes Jahr mehr und mehr Sicherheitslücken. Das heißt, es ist nur eine statistische Frage, wann der nächste erfolgreiche Cyberangriff stattfinden wird. Ihre Beobachtung ist also richtig. Im Moment ist das Verhältnis zwischen den eingesetzten Cybersicherheitsanwendungen und dem damit verbundenen Risiko in den kritischen Infrastrukturen ausgewogen. Das ist der Grund, warum es nicht zu viele dieser erfolgreichen Cyberangriffe gibt. Aber wenn wir in Zukunft mehr und mehr digitale Komponenten einsetzen, ist es wirklich nur eine Frage der Statistik, wann der nächste erfolgreiche Cyberangriff stattfindet.

Und denken Sie daran, dass wir im letzten Jahr etwas wirklich Schlimmes erlebt haben, nämlich die vollständige Stilllegung eines Pipelinesystems in den USA. Ich glaube, es handelte sich um die Colonial Pipeline. Und die war sieben Tage lang außer Betrieb. Und ich denke, dass niemand aus den USA etwas Ähnliches hier in Westeuropa erleben wird.

Klaus Mochalski

Aber auch in diesem Fall habe ich vor kurzem wieder eine Nachfolgestudie dazu gelesen, und der Angriff drang nicht wirklich in den OT-Bereich ein, sondern die Unternehmensleitung beschloss tatsächlich, den OT-Bereich als Vorsichtsmaßnahme abzuschalten, damit er nicht von dem laufenden Angriff auf die IT-Infrastruktur betroffen würde. Hätten wir also unser OT-Überwachungssystem im Einsatz gehabt, hätten wir den Angriff wahrscheinlich nicht bemerkt, weil er noch immer hauptsächlich auf der IT-Seite stattfand. 

Thomas Menze

Ja, aber es war eine Vorsichtsmaßnahme. Und Sie sagen, dass die UN-Sicherheit der Verwaltung in Bezug auf die Cybersicherheit, auch wenn sie nicht sehen, den Angriff direkt in das Automatisierungssystem, sie stoppen alles, weil niemand genau weiß, was passiert.

Klaus Mochalski

Und man kann nie wissen, was wirklich vor sich geht, auch wenn man nichts sieht.

Thomas Menze

Und um Ihre Frage zu beantworten, und das ist genau der Punkt, an dem die Europäische Union jetzt reagiert und ab Mai dieses Jahres aktive Angriffserkennungssysteme in OT-Umgebungen vorschreibt, die im Falle eines aktiven Angriffs einen Alarm auslösen, um die entsprechenden Maßnahmen zu ergreifen, um den Angriff zu stoppen oder vielleicht den Betrieb eines Teils der Anlage anzuhalten. Und ich denke, das ist genau die Antwort auf Ihre Frage. Sie ist also zum jetzigen Zeitpunkt richtig. Alle diese Cybersicherheitsmethoden, die wir einsetzen, sind ausgewogen. Aber aufgrund der starken Nutzung digitaler Kommunikation und digitaler Werkzeuge müssen wir mehr tun, um dieses Gleichgewicht auch in Zukunft zu erhalten.

Klaus Mochalski

Richtig! Es ist also nicht so, dass die Sicherheit auf einer dauerhaften Ebene schlechter wird, sondern wir haben einfach eine größere Anzahl von Systemen. Sie alle haben die Anzahl von Schwachstellen, die diese Systeme von Natur aus haben und in der Vergangenheit schon immer hatten. Und wir sehen einfach eine Zunahme von Schwachstellen, die natürlich von Angreifern genutzt werden können, um in diesen Infrastrukturen Fuß zu fassen.

Thomas Menze

Ganz genau. Und wenn man das mit dem BSI von 2010 bis 2024 diskutiert, wie ich es getan habe, auch die Vorhersage für das nächste Jahr, dann sieht man die Schwachstellen. Dieser Anstieg ist nicht linear, er ist exponentiell. Wir müssen also Maßnahmen ergreifen und können das nicht ignorieren.

Klaus Mochalski

Richtig, das ist natürlich etwas, das wir bei unseren Kunden feststellen. Viele unserer Kunden haben auf diese Frist hingearbeitet und OT-Überwachungssysteme mit dem Ziel eingesetzt, Cyberangriffe frühzeitig zu erkennen, um sie zu stoppen. Eine Herausforderung, die wir von unseren Kunden sehr oft hören, ist das Problem, genügend erfahrenes Personal zu finden. Der Fachkräftemangel, den die gesamte Branche weltweit hat, ist meiner Meinung nach ein weltweites Problem. Wir haben es hier in Europa, speziell in Deutschland, und das ist etwas, was wir alle wissen und anerkannt haben, dass es ein Problem gibt, aber leider gibt es auch keine einfache und keine schnelle Lösung dafür. Was wäre eine geeignete Gegenmaßnahme, um grundsätzlich etwas gegen diese Herausforderung zu tun? Welche Rolle kann speziell der Service in diesem Bereich spielen? Denn gerade bei kleineren Kunden, kleineren Unternehmen, haben wir in der Vergangenheit erlebt, dass sie einfach ihre IT-Abteilung gebeten haben, sich auch um die OT-Sicherheit zu kümmern. Wir haben gesehen, dass das nicht funktioniert. Wir glauben, dass das oft keine gute Idee ist. Man muss in die Ausbildung des IT-Personals im Hinblick auf die spezifischen OT-Anforderungen investieren.

Was denken Sie also, was beobachten Sie? Welche Rolle wird die Dienstleistung in der Vergangenheit spielen und wie wird sich die Entwicklung in den nächsten Jahren darstellen?

Thomas Menze

Ja, Ihre Beobachtung ist also durchaus richtig. Denn ich denke, wenn man sich mit IT beschäftigt, ist ein Teil des Studiums wirklich der Teil der Cybersicherheit. Und wie ich schon sagte, gab es vor 15 bis 20 Jahren in der OT keine Cybersicherheit, weil niemand darauf geachtet hat, die Systeme mit dem Internet zu verbinden oder zusätzliche Schnittstellen einzubauen. Aus diesem Grund leben die OT-Geräte in einer recht gesunden Umgebung, und in vielen Fällen übernimmt die IT-Abteilung großer Unternehmen die Kontrolle über die OT-Cybersicherheit. Es gab nicht allzu viel zu tun, Punkt. Das hat sich also geändert, und heute haben wir drei wirklich ausgereifte Dienste. Dabei handelt es sich um den Bewertungsdienst, mit dem beurteilt wird, ob die Cybersicherheitsmaßnahmen vorhanden sind und wie die Netzwerktopologie aussieht und so weiter und so fort. Als Ergebnis des Bewertungsdienstes können Sie dann Implementierungsdienste in Anspruch nehmen. Wenn also Korrekturmaßnahmen erforderlich sind, werden diese durch den Implementierungsdienst oder die Konfiguration von Firewalls, Netzwerksegmentierung und dergleichen umgesetzt. Und zu guter Letzt gibt es noch Managed Services. Bei den verwalteten Diensten können Sie Ihr Netzwerk wirklich nach den Kommunikationsreferenzen scannen, wer mit wem kommuniziert, Sie können Anomalien erkennen und sehen, welchen Patch-Level die Komponenten haben und so weiter.

Thomas Menze

Dies war also die traditionelle Dienstumgebung in der OT-Cybersicherheit. Und nun zeichnet sich am Horizont ein vierter Cyberdienstbereich ab. Ich würde sie als Cybersecurity as a Service bezeichnen. Vielleicht ist es auf die kritischen Infrastrukturen beschränkt, aber Sie müssen diese regulatorischen Anforderungen der Europäischen Union erfüllen. Und diese Cybersecurity-as-a-Service ist etwas, das Teil des verwalteten Dienstes ist, aber es ist nicht ein einzelner Dienst. Es handelt sich um einen Service über den gesamten Lebenszyklus der Anlage, bei dem Sie die Kritikalität der Anwendung und die eingesetzten Cybersicherheitsmaßnahmen ständig überwachen. Und Sie führen regelmäßig Scans zur Erkennung von Angriffen auf Tiere und dergleichen durch. Und Sie erstatten gleichzeitig Bericht an das BSI, an den Verband in Ihrem Land, der für die Entgegennahme dieser Cybersicherheitsberichte zuständig ist. Und ich glaube, dass diese Art von Dienstleistungen immer wichtiger werden. Denn die IT-Mitarbeiter wissen nicht genug über die Cybersicherheit im OT-Bereich, weil sie andere Protokolle verwenden und andere Ziele verfolgen als die IT-Mitarbeiter. Und die OT-Automatisierungsingenieure sind mit IT-Informationen ein wenig überfordert. Sie sind in der Lage, ihr Automatisierungssystem zu konfigurieren, sie können die Prozesse wirklich kontrollieren.

Aber jetzt müssen sie wirklich ausgeklügelte IT-Komponenten einsetzen, um Ursachen und Anomalien zu erkennen. Und das ist ein bisschen zu viel. Daher glaube ich, dass wir in Zukunft spezielle Anbieter von Cybersicherheitsdiensten sehen werden, die vor allem mit mittelgroßen und kleineren Unternehmen zusammenarbeiten, die nicht genug Ressourcen haben, um diese Art von Diensten selbst anzubieten. Vielleicht haben die globalen Giganten genug Ressourcen, um diese Art von Dienstleistungen selbst zu erbringen. Aber auch hier gilt: Mittelständische und kleinere Unternehmen müssen anders denken.

Klaus Mochalski

Das Problem ist also, dass es an neuen Erfahrungen mangelt. Es ist ziemlich komplex mit den spezifischen Herausforderungen der OT- und der IT-Seite und dann der Talentknappheit. Das bedeutet auch, dass wir hier Ressourcen teilen müssen, und hier wird der Service in gewissem Sinne auch zur gemeinsamen Nutzung von Ressourcen für kleinere Asset Owner, die immer noch das gleiche oder ein ähnliches Sicherheitsniveau wie ihre größeren Kollegen haben müssen, die sich eigene Teams leisten können.

Thomas Menze

Richtig. Denn man darf nicht vergessen, wenn man sagt, wir brauchen erfahrene Talente, ja, wenn sie kommen, wenn sie ihren Universitätsabschluss machen, ja, dann sind sie erfahren und gut ausgebildet. Aber auf der Seite der Angreifer, sagen wir mal, sie verbessern ständig ihr Know-How, sie verbessern ständig ihre Fähigkeiten für Cyberangriffe. Und das bedeutet, dass wir auch unsere heutigen Talente ständig weiterbilden müssen. Und das kostet eine Menge Geld. Ich halte es für sinnvoller, zumindest einen Anbieter von Cybersicherheitsdiensten in Betracht zu ziehen, denn er verfügt über die neueste Technologie, hat erfahrene Mitarbeiter und kann, sagen wir mal, die Angriffsanalyse aus verschiedenen Anwendungen weitergeben. Und vergessen Sie am Ende nicht, dass ein Anbieter kritischer Infrastrukturen eine Kernkompetenz hat, bleiben wir bei diesem Beispiel der Frischwasserversorgung. Die Kernkompetenz eines OT-Unternehmens ist tatsächlich die Versorgung mit Frischwasser. Ja, sie können einen angemessenen Grad an Automatisierung erreichen, um die Prozesse zu automatisieren. Aber es gibt keine Cybersecurity-Experten, vor allem keine Experten für ausgefeilte Cybersecurity-Routenanalysen.

Klaus Mochalski

Und sie sollten nicht zu Experten werden müssen. Aus Ihrer Sicht, als Ratschlag für unsere Zuhörer, vor allem für Anlagenbesitzer und kleinere Unternehmen, die Sicherheitslösungen einsetzen wollen, weiß ich aus eigener Erfahrung, dass sich der Auswahlprozess häufig auf die Auswahl der richtigen Tools konzentriert. Aber was ist aus Ihrer Sicht wichtiger, die Auswahl der richtigen Tools? Ist es wirklich nur eines? Wenn Sie also nur nach einer Klasse von Werkzeugen suchen, machen Sie wahrscheinlich schon einen Fehler. Was ist also wichtiger: die Auswahl der richtigen Tools für Ihren speziellen Anwendungsfall oder die Auswahl des richtigen Dienstes für den Betrieb dieser Tools?

Thomas Menze

Ich denke, dass Sie wirklich die richtigen Dienstleistungen auswählen und die Kritikalität Ihrer Anlage verstehen müssen. Sagen wir also, die Dienstleistung, die Sie auswählen, muss mit der Kritikalität Ihrer Anlage im Einklang stehen. Es ist definitiv ein Unterschied, ob Sie Betreiber eines Kernkraftwerks oder einer kommunalen Wasserversorgungsanlage sind. Aber in allen Fällen brauchen Sie wirklich Dienstleister, die Ihnen vielleicht einen unabhängigen Blick auf Ihre Kritikalität geben und dann eine Auswahlliste mit den besten Werkzeugen erstellen und warum, und am Ende sind Sie im Entscheidungsprozess und der Benutzer muss die richtigen Komponenten und Softwarewerkzeuge auswählen.

Klaus Mochalski

Okay, also ein klarer Rat an unsere Zuhörer: Sie sollten mindestens genauso viel Zeit für die Suche nach dem richtigen Dienstleister aufwenden wie für die Suche nach den richtigen Tools. Wenn Sie das nicht tun, verpassen Sie wahrscheinlich den bestmöglichen Schutz für Ihre Infrastruktur.

Thomas Menze

Ja, das ist eine gute Zusammenfassung. Ich stimme vollkommen zu.

Klaus Mochalski

Ja, genau. Okay, das wäre also ein schöner Abschluss. Aber es gab eine Beobachtung, die ich gemacht habe und die viele von uns in den letzten Wochen gemacht haben, die ich kurz mit Ihnen besprechen wollte. Es gab also eine beträchtliche Anzahl von Entlassungen in der IT-Branche allgemein. So gab es Google und einige der großen Unternehmen, aber es folgten auch Entlassungen bei IT-Sicherheitsunternehmen und in letzter Zeit auch bei einigen speziellen OT-Sicherheitsunternehmen. Was ist Ihre Meinung dazu? Ich meine, bisher waren die Nachrichten vor allem von gut finanzierten VC-gestützten nordamerikanischen Unternehmen geprägt. Ist dies ein allgemeiner Trend auf dem Markt oder ist es nur das normale Auf und Ab der Märkte? Was ist Ihre Meinung dazu?

Thomas Menze

Ich denke also, dass dies wirklich zu den regelmäßigen Aufs und Abs gehört. Das sind die finanziellen Auswirkungen. Im Moment haben wir all diese geopolitischen Probleme, und ein Ergebnis der geopolitischen Probleme, über die wir bereits gesprochen haben, ist die zunehmende Zahl von Cyberangriffen. Eine weitere Folge der geopolitischen Probleme, der globalen geopolitischen Probleme, ist, dass das Geschäft manchmal wirklich stagniert, und jetzt reagieren all diese Unternehmen. Und wenn die großen Unternehmen wie Microsoft oder Google reagieren, ist es für kleinere Dienstleister schwer, nicht zu reagieren und dies ihren Finanzinvestoren zu erklären. Ich denke, das Ergebnis könnte sein, dass, wenn jetzt mehr erfahrene Cybersecurity-Talente auf dem Markt sind, sie vielleicht ihre eigenen Dienstleistungsunternehmen gründen und zu Konkurrenten ihrer Mutterunternehmen werden. Aber das muss zum jetzigen Zeitpunkt noch beobachtet werden. Wenn ich sehe, dass es sich um ein normales Auf und Ab handelt, bedeutet das nicht, dass die Cyberangriffsaktivitäten im Moment geringer sind als in früheren Perioden oder Ähnliches. Ist dies wirklich ein normales Auf und Ab.

Klaus Mochalski

Es ist genau das Gegenteil. Es ist ein bisschen kontraintuitiv. Jeder redet über die aktuelle Situation, dass die geopolitische Lage schlimmer ist als je zuvor, und trotzdem werden Fachkräfte entlassen, und das ist ein interessanter Schritt. Ich denke also, dass wir als Sicherheitsbranche vielleicht mehr tun müssen als in der Vergangenheit. Sie haben erwähnt, dass dies eine Entscheidung sein könnte, die von Investoren getrieben wird, und sie schauen auf ihre Margen, auf die Rentabilität. Und wir alle glauben, dass wir Cybersicherheit betreiben, um diese Gewinnspannen zu schützen und langfristig Geld zu sparen, indem wir Ausfälle durch Cyberangriffe verhindern. Und vielleicht müssen wir insgesamt bessere Arbeit leisten, um nicht unseren unmittelbaren Kunden, sondern ihren Investoren zu erklären, warum das, was wir tun, ihnen auf lange Sicht tatsächlich hilft.

Thomas Menze

Ja, ich denke, wir müssen die Perspektive ändern, aber was Sie beschrieben haben, ist wirklich die kurzfristige Perspektive, wenn wir von Quartal zu Quartal schauen. Wir haben vorhin über den Lebenszyklus der Anlagen gesprochen, und der kann bei OT Cybersicherheit leicht 20 oder 30 Jahre betragen. Wir müssen also die von diesen Anlagen erwirtschafteten Gewinne wirklich über einen längeren Zeitraum als nur ein paar Quartale aufrechterhalten. Und das ist die Diskussion, die wir mit unseren Finanzinvestoren führen müssen, um zu erklären, warum Cybersicherheit entscheidend ist, um die Umwelt wirklich zu erhalten. Auch bei der digitalen Transformation gibt es keine kurzfristigen Gewinne, aber längerfristig steigern wir unsere Wettbewerbsfähigkeit, und das wird dann wirklich nachhaltige Gewinne in der Zukunft generieren.

Klaus Mochalski

Okay, ich denke, das ist ein schönes Schlusswort. Nicht nur für unsere Zuhörer, sondern auch für uns als Dienstleister sollten wir besser erklären, was wir tun, sondern auch, warum wir es tun. Und das wird allen helfen, denn dann wird die Sicherheit mit der Zeit einfach zunehmen.

Thomas Menze

Ja, ich stimme zu. Und es war wirklich eine Ehre für mich, hier zu sein, sogar an diesem sehr warmen Tag hier in Deutschland. 

Klaus Mochalski

Wir sind also alle froh, dass wir jetzt zum Ende kommen, denn es ist wirklich sehr heiß hier. Danke, Thomas, dass du hier bist. 

Thomas Menze

Klaus, vielen Dank für unser heutiges Gespräch.