
Klaus Mochalski hat dieses Mal Sascha Zinke vom Pentest-Dienstleister Splone zu Gast. Sascha gibt Einblicke in seine Erfahrungen mit Stadtwerken und Energieversorgungsunternehmen, skizziert die Herausforderungen und diskutiert mit Klaus Möglichkeiten, mit ruhigem Puls OT-Sicherheit in den eigenen Netzwerken zu etablieren.
Hören Sie uns auf:
Transkript
Klaus Mochalski
Hallo und herzlich willkommen zu einer neuen Episode des OT Security Made Simple Podcast. Ich bin Klaus Mochalski, Gründer von Rhebo. Mein Gast in der heutigen Episode ist Sascha Zinke. Sascha ist Security Researcher und Consultant bei Splone aus Berlin. Er wird uns gleich noch genauer sagen, was er dort tut. Wir – also Splone und Rhebo – kennen uns schon viele, viele Jahre. Ein Themengebiet, das da besonders spannend ist und was wir heute im Detail besprechen wollen und wo wir auch immer wieder auf die Expertise von Splone, Sascha und seinem Team zurückgreifen, ist das Thema Pentesting.
Nun ist Penetration-Testing als Konzept alles andere als neu. Das gibt es schon sehr, sehr lange. Aber wir reden ja hier über OT Security und Penetration-Testing im OT Security Bereich. Also wenn es um Operational Technology geht – das heißt echte Produktionsanlagen, Anlagen der kritischen Infrastruktur –, da ist es tatsächlich noch ein relativ neues Themengebiet. Wenn wir mit Kunden sprechen, merken wir immer wieder, dass es hier noch viele Fragen und Unsicherheiten gibt. Und deswegen wollten wir das Thema einfach mal genau beleuchten. Und deswegen ist Sascha heute in der Show. Sascha, stell dich doch mal selbst bitte kurz vor und erzähl unseren Hörern, was Splone tut, was du tust, was dein Hintergrund ist. Und dann können wir gleich in das Thema einsteigen.
Sascha Zinke
Ja, vielen Dank, Klaus, für die Einführung. Ja, was macht Splone und was ist meine Geschichte? Der spannende Teil geht los 2010. Da hatte ich an der FU Berlin das Glück, eine Forschungsgruppe mit zu gründen. Und als wir uns überlegt haben, was wir uns schwerpunktmäßig anschauen, war das Thema “Mobile Security” relativ prominent. Das iPhone kam 2007 raus. Was auch rauskam, aber tatsächlich ein bisschen nischen-mäßig Betrachtung fand, war diese ganze Thematik Darknet. Und ja, da hat natürlich dann die ganze Arbeitsgruppe und die Forschungsgruppe ein bisschen Geld in die Hand genommen und sich diese ganzen Gerätschaften, die es da heutzutage und auch damals schon gab, gekauft. Man musste viele Bücher lesen, weil das Ganze ja mehr so eine Ingenieurswissenschaft statt eine Informatikwissenschaft war. Und da haben wir viel, viel dran geforscht.
Und aus dieser ganzen Forschungsarbeit ist dann nicht nur das eine oder andere Ergebnis geworden, sondern auch am Ende Splone. Wir versuchen, genau dieses Wissen aus diesen ganzen Industrie-Sicherheitsaspekten, die wir da uns erarbeitet haben, so ein bisschen auch in die Unternehmen selbst zu tragen. Und da gibt es natürlich verschiedene Ansätze oder Herangehensweisen. Das eine ist ja so ein bisschen das produktorientierte, was Rhebo macht und das andere ist mehr so dieses dienstleistungsorientierte, was wir als Splone damals gemacht haben und auch heute noch machen. Das ist also genau dieses ganze Thema “Pentesting”. Also Red Teaming [Anm.: Im Cybersicherheitstraining nimmt das Red Team die Rolle der Angreifenden ein, während die abwehrende Partei das Blue Team stellt], die sozusagen die Grenzen aufzeigen von dem, was aktuell an Sicherheit in den Unternehmen da ist oder eben noch sein wird – im Idealfall.
Klaus Mochalski
Die Unterscheidung Produkt und Service ist, glaube ich, gerade in dem Markt, in dem wir uns bewegen – in dem OT Security Markt – ganz spannend. Da passiert gerade sehr viel. Wir haben auch im Vorfeld darüber gesprochen, welche Rolle Service spielt. Bevor wir aber darauf eingehen, erzähl doch unseren Hörern noch mal ganz kurz, was Pentesting macht, insbesondere im Bereich OT. Also wenn zum Beispiel ein Energieversorger, also ein Unternehmen der kritischen Infrastruktur, euch beauftragt, was hat der Kunde zu erwarten?
Sascha Zinke
Ja, es gibt im Grunde zwei Herangehensweisen, wenn man sowas macht. Und diese unterscheiden sich ein bisschen darüber, worüber sie eine Aussage suchen oder was die Frage ist, auf die man versucht zu antworten
Ein Pentest, wie man ihn so ganz klassisch kennt, stellt meistens die Frage: Ist das Netzwerk, das ich habe – oder die Webanwendung, die ich gebaut habe, oder das Produkt, das ich verkaufe – ein sicheres Produkt? Und das kann ich halt rauskriegen, indem ich den gesamten Quellcode lese. Das kann ich herausfinden, indem ich mich mit der Organisation beschäftige, die das Produkt gebaut hat. Und ich kann das relativ geradlinig technisch überprüfen. Das ist dann eben ein Penetration Test.
Die zweite Frage, die damit einhergeht, ist: Ist mein Unternehmen sicher? Und das ist tatsächlich etwas, das viele KRITIS-Unternehmen wirklich beschäftigt, weil sie ja gar nichts produzieren. Sie interessieren sich sicherlich auch dafür, ob einzelne Teile ihrer Infrastruktur sicher sind. Aber sie interessieren sich natürlich im Großen und Ganzen, ob sie zuverlässig Strom liefern oder Wasserversorgung gewährleisten können, auch wenn eben Cyberangriffe stattfinden.
Und das ist dann das Thema “Red Teaming”, wo wir versuchen rauszukriegen, ist das Unternehmen sicher aufgestellt und kann es seine Assets adäquat schützen. Und das versuchen wir dann ganz praktisch eigentlich. Also wir gehen wirklich geradlinig vor. Je nachdem wie viel Informationen wir haben, suchen wir [nach Lücken]. Gibt es öffentliche Informationen? Wer sind die Mitarbeiter? Welche exponierten Systeme gibt es in einem Netzwerk? Wenn wir über KRITIS reden, dann reden wir oft auch über Pumpenhäuser oder Trafo-Stationen oder überhaupt exponierte Systeme, die nicht mal unbedingt intuitiv internetfähig sind, sondern eben mehr vielleicht irgendwo vergraben sind oder so. Und dann ist für uns immer die Frage, na ja, können wir irgendwie am Ende zum Beispiel ein Prozessleitsystem oder die Office-Infrastruktur nutzen, um dort Assets zu entwenden oder abzulesen oder zu manipulieren. Und am Ende wollen wir natürlich den Kunden vor allem den Ratschlag geben, wie sie verhindern können, dass das, was wir getan haben, jemand anderes tut.
Klaus Mochalski
Also am Ende sind es die ganz üblichen Pentesting-Themen, die man eigentlich aus dem klassischen IT-Bereich schon kennt. Im OT Bereich – ich kann mich erinnern – gab es vor einigen Jahren diesen publizierten Fall der Stadtwerke Ettlingen. Da gab es so einen kleinen Aufschrei in der Community, weil die sich zum ersten Mal gewagt haben, einen Pentest durchzuführen auf Anlagen, von denen bis dahin sich keiner so recht getraut hat, so etwas zu tun. Weil man natürlich auch die Sorge hatte, dass dadurch Dinge passieren und ausgelöst werden, die man dann vielleicht nicht mehr unter Kontrolle hat.
Wie hat sich das in den Jahren seit diesem, ich sage mal, denkwürdigen Pentest entwickelt? Ihr seid ja in diesem Markt aktiv. Ist das jetzt mehr an der Tagesordnung? Habt ihr dort Kunden, die das regelmäßig durchführen? Wie würdest du die Marktlage dort insgesamt einschätzen? Macht das die Mehrzahl aller Energieversorger? Machen das die KRITIS-regulierten Energieversorger? Oder sind es immer noch die Ausnahmefälle, die so etwas regelmäßig tun?
Sascha Zinke
Ja, Ettlingen ist tatsächlich ein gutes Beispiel. Tatsächlich hatte ich das Glück, da auch ein bisschen mitzuwirken oder mitwirken zu dürfen. Und die Geschäftsführung damals von Ettlingen war da sehr selbstkritisch und ist heute glaube ich einer der größten Botschafter für dieses ganze Thema und hat auch vorbildlich ihre Schlüsse gezogen und tatsächlich sehr, sehr viel Werbung gemacht für das Thema insgesamt.
Nun ist das Problem so natürlich sehr schwierig anzufassen, weil ja auch Stadtwerke oder das Thema Sicherheit sowieso ein recht abstraktes Phänomen sind. Und die Gesetze tun sicherlich ihr Übriges, das Ganze ein bisschen zu verschärfen. Für uns ist natürlich als Dienstleister immer die Schwierigkeit, dass Unternehmen tendenziell versuchen, eine Gesetzeskonformität herzustellen. Und in dem Kontext nehmen sie in Kauf, dass sie natürlich dann auch IT-Sicherheit umsetzen müssen. Aber wir wollen natürlich nicht IT-Sicherheit umsetzen, um die Gesetzeskonformität zu erfüllen, sondern sichere Systeme zu haben. Und das ist manchmal etwas, da agieren wir natürlich sehr auf der zwischenmenschlichen Ebene oder versuchen natürlich rauszukriegen, wie jedes Stadtwerk einzeln als Beispiel funktioniert.
Denn der eine oder andere Kollege will tatsächlich konform sein. Der hat vielleicht sogar schon einen Dienstleister, der versucht, eben besser zu werden, um diese Gesetzesanforderungen umzusetzen. Und ein Dritter hat vielleicht eine wirklich große Leidenschaft für das Thema und hat auch das Management dazu bewegen können, Geld auszugeben und möchte ein bisschen ganzheitlicher das ganze Thema denken.
Um die Frage mal ein bisschen zu beantworten. So gleich alles ist [Anm.: die Anforderungen an Energieversorgungsunternehmen], so unterschiedlich ist jedes Mal das Gespräch. Von daher wünschte ich, ich könnte sagen, es ist fundamental besser geworden. Aber das wäre tatsächlich gelogen. Also, es wird besser. Aber ich glaube, hinter vielen Dingen, die einen Schritt nach vorne bedeuten, steckt auch eine Zeit lang der Versuch, das [Thema OT-Sicherheit] zu ignorieren. Und ja, im Lichte von Kriegen wird das Thema Cybersicherheit jetzt auch noch mal prominenter. Das heißt, heutzutage existiert viel mehr Angst [bei den KRITIS-Unternehmen], dass man irgendwie angegriffen wird, weil der politische Gegner ein Interesse hat, dass ein Stadtwerk oder eine Infrastruktur oder dergleichen Probleme macht. Aber ja, bisher zumindest kann ich sagen, dass es im Verlaufe der letzten Dekaden besser geworden ist. Aber mühsam ernährt sich das Eichhörnchen, nicht wahr!?
Klaus Mochalski
Das heißt, gemessen daran, wie viel Zeit ins Land geflossen ist seit diesem Pentest der Stadtwerke Ettlingen, hat sich tatsächlich weniger getan, als man damals hätte hoffen können. Was auch so ein bisschen schade ist, wenn die Stadtwerke Ettlingen da so als Botschafter aufgetreten sind. Und ich kann mich erinnern, wir hatten eine Podcast Episode, da haben wir mit Alexander Harsch von der Cyberrange-e, die ja vom E.ON-Konzern betrieben wird, gesprochen. Die bieten ja aus einer anderen Perspektive aber etwas Ähnliches an. Wo es auch darum geht, die Menschen mitzunehmen, die Angriffsszenarien und Abwehrprozesse in einem Trainingszentrum zu üben. Und das ist ja durchaus sehr, sehr ähnlich. Das heißt, es gibt hier viele Bestrebungen von vielen Seiten.
Und trotzdem ist die Entwicklung noch erstaunlich zurückhaltend. Und ich glaube, eine Herausforderung mit der Regulierung besteht auch darin, dass häufig die Regulierung dazu einlädt, den Gesetzestext zu erfüllen und dort die Häkchen dran zu bekommen, statt wirklich für sichere Systeme zu sorgen. Und das ist, glaube ich, das, wofür wir täglich kämpfen. Ihr, wir, die Cyberrange-e und viele andere. Und das ist, glaube ich, was man nie genug betonen kann: dass es am Ende nicht die Tools sind, nicht die Systeme, sondern es sind die Menschen und die Prozesse. Und man muss dort mit Selbstkritik auch sich selbst analysieren und eben offen sein für solche Ansätze, am Ende für ein höheres Sicherheitsniveau zu sorgen.
Sascha Zinke
Ja, ich will mal eine Lanze brechen oder zwei vielleicht. Denn der Nachteil, den, glaube ich, ein Stadtwerk – und auch viele KRITIS-Infrastrukturen – oft hat, ist, dass sich Dinge dort sehr langsam verändern. Also die Krankenhaus-IT ist nicht unbedingt im 21. Jahrhundert angekommen und auch die Stadtwerke sind nicht immer Vorreiter für die neueste IT. Und gerade wenn wir über diese Industriesicherheit reden, also die steuerprogrammierbaren Einheiten [SPS] und diese ganzen Client Computer, die sind ja 10, 15, 20 Jahre dort. Und getreu diesem Motto "Never change a running system" – gerade bei Systemen, die 24/7 laufen – gibt es natürlich eine große Zurückhaltung, da irgendwie was zu machen.
Und das kann ich auch verstehen. Das ist erstmal sehr intuitiv. Das ist natürlich ein bisschen die Herausforderung, weil gerade die Dinge, die statisch sind, natürlich einer Umwelt ausgesetzt sind, die sich massiv verändert hat. Also das Szenario, dass ich zum Beispiel Angriffe auf Infrastrukturen – gerade kritische Infrastrukturen – heute natürlich viel leichter machen kann als vor 20 Jahren.
Früher war es halt so: In der Arbeitsgruppe haben wir uns damals für Tausende von Euro diese kleinsten Anlagen gekauft. Heute kann man sich ganze Frameworks relativ problemlos aus dem Internet laden. Und die Digitalisierung ist ja an vielen Stellen sogar so, dass man nicht mal mehr wissen muss, wo die Dinger am Ende stehen, weil sie im Internet sind. Dafür habe ich auch Verständnis. Wir bei Splone sind ja in der Regel die Angreifer und wir haben diesen charmanten Vorteil. Wir brauchen gar nicht viele Sicherheitslücken, um am Ende einen imposanten Schaden anzurichten. Und wenn man einen Burggraben baut und dann aber an einer Stelle irgendwie eine Sandbank entsteht, dann reicht das am Ende, diesen Graben zu überbrücken. Aber ja, so ist das. Wie gesagt, ich habe da großes Verständnis, Klaus. Es gibt Dinge, da kann man auf jeden Fall mehr machen. Und am Ende ist man dem allem ja auch nicht ausgeliefert. Es ist ja nicht so, dass man gar nichts machen könnte. Und da spielt ja auch das Produkt rein.
Klaus Mochalski
Spannender Aspekt, was du gerade sagst, dieses Burg-Szenario, wenn man das mal zu Ende denkt. Ich kann jetzt beliebig viel Aufwand treiben – wie du das beschreibst – und meine Burg perfekt und sicher machen und dort natürlich auch sehr, sehr viel Geld investieren in Tools und in Maßnahmen. Und am Ende gibt es eben diesen einen Zugang, den ich vergessen habe, und mehr braucht der Angreifer nicht.
Das heißt, eigentlich müsste es doch so sein, dass ich die verschiedenen Maßnahmen, die für Sicherheit sorgen – eben jenseits des Burggraben-Aushebens und des Höherbauens der Burgmauern – dass ich diese anderen Maßnahmen im gleichen Maße mit betreibe, mit befeuere und zum Beispiel in eine regelmäßige Überprüfung der Sicherheitsmaßnahmen investiere. Und das bringt mich zurück zu einer Frage an dich. Wie häufig habt ihr Kunden, die wiederkommen und die sagen: “Das fanden wir überzeugend, das hat uns geholfen, besser zu werden. Wir wissen aber, dass das Besserwerden nicht eine einmalige Angelegenheit ist, sondern ein kontinuierlicher Prozess. Deswegen möchten wir jetzt gerne regelmäßig diese Überprüfung durchführen.” Im Vergleich zu Kunden, die sagen: “Das war super, das reparieren wir jetzt alles und dann fühlen wir uns gut.” Das ist ja in der Vergangenheit häufig das Problem gewesen, dass es so punktuelle Investitionen gab. Wie ist der Anteil der Kunden, die tatsächlich regelmäßig solche Sicherheitsanalysen durchführen?
Sascha Zinke
Ja, tatsächlich sehr hoch. Die meisten unserer Kunden sind Stammkunden. Die kommen also regelmäßig wieder. Und es ist ein bisschen unterschiedlich von Kunde zu Kunde. Wir haben Kunden, die kommen jedes Jahr und wir haben Kunden, die kommen alle zwei Jahre. Und es ist nicht immer gleich, weil natürlich auch jeder von den Kunden unterschiedliche Anforderungen oder Voraussetzungen hat. Also ein großes Thema ist ja auch in KRITIS-Unternehmen, dass die IT sich verändert. Immer mehr Infrastruktur wird in die Cloud verlagert. Microsoft Dienste werden vielleicht benutzt, wo vorher noch On-Premises-Server waren. Und wenn sich diese Dinge ändern, dann kommt der Kunde und sagt “Okay, wir haben hier wieder Sachen angepasst und wir müssen da noch mal drüber reden. Wir brauchen noch mal eine neue Perspektive darauf.”
Und dann drehen wir tatsächlich noch mal alles auf links. Also das ist ein relativ glücklicher Umstand, dass die Kunden eigentlich in der Regel wiederkommen. Und das hilft natürlich, weil wir mit dem Wissen und dem Kunden schon Prozesse aufgebaut haben. Und am Ende wird die Qualität besser, zumal auch – das muss man auch dazu sagen – IT-Sicherheit ist ja nichts, was viele Kunden aus dem Ärmel schütteln. Also weder vom [zeitlichen] Aufwand her, noch von den finanziellen Aufwendungen.
Und für uns ist es dann auch immer gut, diese Dinge in Teilen auch abarbeiten zu können. Also man guckt sozusagen erst mal auf die exponierten Systeme, die wichtigen Dinge und fängt dann an, in regelmäßigen Schritten vielleicht andere Systeme noch mal speziell in den Fokus zu nehmen. Und dann kann man wieder von vorne anfangen und dann schafft man es, die Kosten so zu strecken – über ein Jahr oder zwei Jahre – und muss nicht mit einmal gigantische Summen an Budget verfügbar machen.
Klaus Mochalski
Das ist ja zumindest mal sehr ermutigend, dass die meisten eurer Kunden erkennen, dass es einer Regelmäßigkeit bedarf. Das ist übrigens etwas, was ich unseren Kunden auch immer sage. Welche Aktivität auch immer ihr betrachtet, es ist wichtig, dass ihr das Ganze regelmäßig durchführt. Da kommt es am Anfang gar nicht so auf die Frequenz an. Also natürlich ist es perfekt, wenn man ein Security Dashboard hat und wenn man das permanent überwacht. Wir wissen aber alle, dass die reale Welt da draußen anders aussieht. Dass häufig die Ressourcen fehlen, die Expertise fehlt, das Budget fehlt, vielleicht die Tools fehlen, die das auch auf einfache Art ermöglichen.
Und deswegen ist es besser, mit etwas zu starten und zu sagen: „Ich schaue hier einmal pro Woche drauf. Ich mache einmal im Jahr einen Pentest oder ich mache den auch alle zwei Jahre. Das ist immer noch besser, als den einmalig zu machen und sich dann gut zu fühlen. Diese Regelmäßigkeit ist ja tatsächlich ein sehr großer Schritt nach vorn. Das heißt, gefühlt passiert doch etwas in dem Bewusstsein der Kunden, was es bedarf.
Sascha Zinke
Ja, und ich glaube, dass es auch wichtig ist, dass man das berücksichtigt. Ich meine, wir haben gefühlt zwölf Millionen Stadtwerke in diesem Land und nicht alle sitzen in Berlin und Hamburg und München. Und es ist natürlich genau, was du ansprichst: Wenn du zwei Administratoren in deinem Stadtwerk hast, in – weiß ich nicht – irgendwo ein bisschen außerhalb, dann haben die gut zu tun in der Regel. Und denen jetzt noch aufzubürden, dass sie BSI-konform oder gesetzeskonform Angriffserkennung machen und Logs überwachen, ist natürlich eine ziemliche Aufgabe. Also da tun die Kollegen schon gut daran, ihren normalen Job zu machen, dass die IT funktioniert. Und dann ist es natürlich schwer – da habe großes Verständnis für – dass das eine wirkliche Herausforderung ist.
Klaus Mochalski
Das ist eine Situation, die wir auch sehr, sehr gut kennen. Je kleiner die Kunden werden, desto häufiger werden wir mit diesen Problemen konfrontiert. Und da haben wir auch die Erfahrung gemacht, dass es ganz häufig an den Ressourcen, an Personal fehlt, um unser [OT-Angriffserkennungssystem] – quasi dieses Security Dashboard, von dem ich gesprochen habe – zu betreuen. Und das Ganze bringt aber nur etwas, wenn ich es auch betreibe. Und dazu brauche ich eben genau diese Ressourcen.
Und deswegen haben wir in den letzten Jahren festgestellt, dass Dienstleistung um ein Produkt herum immer wichtiger wird. Dass also ein Produkt alleine, so gut es sein mag, nie die Lösung aus Sicht des Kunden ist. Außer bei den ganz großen Kunden, die das dann wirklich in ihre bestehenden Betriebskonzepte einbetten können und dort auch die Spezialistenteams haben. Aber bei den kleineren Kunden braucht es diese Dienstleistungskomponente. Wie hat sich das bei euch entwickelt? Pentesting ist ja nun per se eher eine Dienstleistung und kein Produkt. Welche Dienstleistung bietet ihr drumherum an und inwieweit seht ihr, dass dann Nachfolgeaufwände entstehen? Ich meine, ihr produziert ja potentiell Hausaufgaben für eure Kunden, die auch wieder bearbeitet werden sollen. Wie gehen eure Kunden damit um, und wie helft ihr damit?
Sascha Zinke
Ja, das ist sehr unterschiedlich. Also die Kollegen, die bei uns arbeiten, hinterlassen manchmal ganz schön verbrannte Erde. Das stimmt. Und das sorgt auch je nach Kunde manchmal für ein bisschen – Staunen ist der falsche Begriff. Aber es ist sehr unterschiedlich. Wir haben Kunden, die natürlich mit diesen Dingen direkt zu ihrem Dienstleister gehen. Dann gibt es quasi diesen Report, es wird weitergegangen, und in der Regel versuchen ja alle, kooperativ zusammenzuarbeiten. Wir haben auch schon Kunden gehabt, die festgestellt haben, dass es auch an der Stelle des Dienstleisters selbst Missverständnisse bestehen. Also welche Anforderung stelle ich an den Dienstleister? Und was hat der Dienstleister verstanden?
Unser Service [um den Pentest] ist natürlich, dass wir unsere Kunden in erster Linie nicht alleine lassen wollen. Wir geben nicht einfach den Report ab und sagen “nach uns die Sintflut und auf Wiedersehen”. Sondern wir gucken, dass der Report verstanden wird. Wir gucken, dass der Report idealerweise seine Zielgruppe findet, also einen Dienstleister, einen Entwickler oder das Management. Und dann hängt es natürlich davon ab, was der Kunde im Einzelfall wirklich für eine Situation vorfindet. Die meisten, mit denen wir zu tun haben, die haben ja Entwickler, die haben ja Administratoren, die haben auch gute Leute, die diese Dinge oft schaffen, zu beheben. Und für uns als Unternehmen ist es natürlich wichtig, am Ball zu bleiben und auch Rückfragen zur Verfügung zu stellen.
Das heißt, Kommunikation ist ein ganz wesentlicher Auftrag, der immer so damit einhergeht. Auch wenn es manchmal natürlich ein bisschen viel ist – in dem Sinne, dass wir merken, dass eine IT-Sicherheitsschwachstelle wirklich verstanden werden muss. Dann muss das Beheben ja finanziert werden. Der Kollege, der das macht, der muss die Zeit dafür bekommen. Und das heißt, das Management muss sagen: “Ja, dann machen wir eine andere Aufgabe später oder wir stellen einen anderen Kollegen ein.” Also wir haben da oft auch eine kommunikative Aufgabe, die damit einhergeht. Sonst können wir das Thema tatsächlich nicht gut umsetzen. Sonst bleibt es halt bei so einem trockenen Papier. Und im schlechtesten Fall würde das dann gar nicht mehr [vom Kunden] bearbeitet werden.
Klaus Mochalski
Ich kann mir sehr gut vorstellen, dass es gerade bei kleineren Kunden, denen die eigenen Ressourcen fehlen, in dem Spannungsverhältnis mit dem Dienstleister durchaus immer Herausforderungen gibt. Zu klären, wer denn jetzt verantwortlich dafür ist. Und dass man da sehr sensibel vorgehen muss, damit es nicht in reines Fingerzeigen ausartet. Und es geht ja nicht darum, wer den Fehler gemacht hat, sondern wie man am besten für mehr Sicherheit sorgen kann.
Sascha Zinke
Ja, und ich glaube, ein wichtiger Punkt ist auch… Wir diskutieren ja viel. Ich weiß nicht, wie das bei euch ist, aber wir haben ja viel dieses Jahr diskutiert, dass es keine hundertprozentige Sicherheit gibt. Aber das ist natürlich immer ein bisschen anstrengend, denn am Ende schnallen die Leute sich im Auto auch an und wissen dennoch, dass sie irgendwie tödlich verunglücken könnten. Es geht ja gar nicht darum, hundertprozentige Sicherheit zu haben. Es geht am Ende darum, dass man das einfach gut macht und das man irgendwie die Möglichkeiten, die man hat, nutzt.
Das heißt, für uns ist es oft in dem Report so, dass wir auf der einen Seite versuchen, das Problem rüberzubringen und auf der anderen Seite natürlich auch, wie du damit umgehen kannst. Und manchen Dinge – da gibt es aber nur sehr wenige – begegnet man kaufmännisch. Da sagt man, okay, das Risiko nehme ich in Kauf. Aber die meisten Sachen kann man tatsächlich beheben. Oder man kann denen so begegnen, dass man sagt, wenn ich das konkrete Problem nicht fixen kann, na ja, dann kann ich aber eine Alternative anbieten oder woanders sozusagen nochmal dem begegnen. Und das ist halt alles, was dann manchmal wirklich auch im Anschluss Aufwand macht.
Klaus Mochalski
Kann ich mir sehr gut vorstellen. Wir haben jetzt viel vor allem über kleinere Kunden und die Herausforderungen speziell kleinerer Betreiber von kritischen Infrastrukturen gesprochen. Und man vergisst das häufig. Wir reden immer von KRITIS-Unternehmen und denken dabei an die ganz Großen. Aber deswegen ist ja die Infrastruktur von einem kleinen Stadtwerk nicht weniger kritisch. Die ist halt häufig nicht reguliert.
Jetzt wird in letzter Zeit immer häufiger über die demnächst kommende oder in deutsches Gesetz umgesetzte NIS2-Direktive gesprochen. Seht ihr, dass das für eure Kunden Auswirkungen haben wird? Da werden ja auf jeden Fall viel, viel mehr Bereiche und viel viel mehr Kunden auch in Abhängigkeit von der Größe reguliert werden. Das heißt, am Ende kann sich fast niemand mehr entziehen, Sicherheitsmaßnahmen entsprechend dieses Standards umzusetzen.
Sascha Zinke
Ja, ich glaube, das ist auch der größte Punkt. Also bis jetzt ist ja die Wahrnehmung: “Okay, wir haben halt nicht 350.000 – oder ich weiß nicht, wie viele Haushalte es sind –, sondern wir haben nur 245.000 Haushalte oder so, die wir versorgen. Wir sind knapp unter diesen Grenzwerten, deswegen können wir uns erlauben, zwei, drei, vier Jahre länger zu warten mit den Umsetzungen.”
Und was NIS2 macht, ist, diese Grenze ein bisschen härter ziehen oder ein bisschen deutlicher machen, dass eigentlich alle darunter fallen. Also es gibt diese Ausrede nicht mehr, wie du es ja auch angesprochen hast. Und ich sehe da schon für unsere Kunden – überhaupt auch für viele dieser kleinen Stadtwerke und Wasserversorger und Krankenhäuser – Verpflichtungen auf sie zukommen. Und ich bin selbst auch sehr gespannt.
Am Ende kommen ja die Kunden nicht mal allein deswegen, sondern immer mit einer Latenz. Also wir haben ja oft das Problem: NIS2 wird verabschiedet, dann wird das erst mal in nationales Gesetz gegossen und dann ist das… Ich weiß nicht, bei mir in der Schule war das auch immer so. Ich habe auch immer versucht, die Aufgaben bis zum Schluss zu schieben und habe dann noch, wenn es soweit war, versucht, ein bisschen zu verhandeln. Und ich habe das Gefühl, so wird das heute auch gemacht. Dass man irgendwie versucht, dass Dinge bis zum letzten Moment aufgeschoben werden. Und deswegen glaube ich, dass NIS2 jetzt so ganz kurzfristig, auch wenn es jetzt recht prominent ja ist, nicht wirklich was verändert. Aber das ist, wenn wir über die nächsten fünf Jahre reden, auf jeden Fall ein Problem für viele Kunden.
Klaus Mochalski
Oder eine Herausforderung. Das wird viele Denkprozesse anstoßen. Und es wird für viele zumindest in einer mittelfristigen Perspektive die Notwendigkeit von Handlungen verändern und durchaus auch befeuern. Nun ist ja Marketing – speziell im Cybersecurity-Bereich – häufig davon geprägt, dass einem Angst gemacht wird. Dass einem erzählt wird, wie viele Angriffe es da draußen gibt, wie schlimm die Auswirkungen sind, was alles passieren kann, wenn ich tatsächlich von so einem Angriff betroffen bin. Das wollen wir hier nicht tun. Wenn jetzt ein Unternehmen, das noch relativ wenig in Sicherheit – speziell in OT Security – investiert hat, vielleicht auch in Hinblick auf die NIS2 Direktive, anfängt, sich Gedanken zu machen, was sollten sie tun? Was wäre deine Empfehlung für die ersten Schritte und was würde dann daraus folgen?
Sascha Zinke
Du sprichst einen guten Punkt an. Ich glaube, viele sollten mal tief Luft holen. Gerade auch bei der Frage: Was ist ein Angriff? Ich merke das immer wieder. Ganz viele Unternehmen sind ganz aufgeregt und sehen zum Beispiel den Versuch von einer Passworteingabe schon als Angriff. Und dann sind sie kritische Infrastruktur und müssen das gleich melden.
Ich glaube, das Wichtige ist, dass man die Ruhe bewahrt und sich mal überlegt: “Okay, wo bin ich? Was ist für mich als Unternehmen überhaupt ein unternehmensrelevantes Asset? Was ist wichtig? Was zeichnet uns aus?” Und das ist etwas, was mal ganz grundsätzlich in diesen organisatorischen Bereich fällt, wo man eben Grundstrukturen und Ideen legt, die dann am Ende für uns als Dienstleister dafür sorgen, dass wir konkret technische Systeme überprüfen können oder bei euch dann natürlich am Ende das richtige Produkt für seinen konkreten Einsatz suchen.
Weil gerade diese Angstmache und auch diese unglaublich komplizierte technologische Verquickung mit modernen Technologien und Werbung macht es für Leute, die das nicht im Detail studiert haben, sehr, sehr schwer zu verstehen. “Ist das Produkt jetzt für mich ein Gewinn? Ist es vielleicht sogar ein Nachteil, weil ich ein System habe, das hochkomplex ist, wo ich – wie du gesagt hast – Know-How brauche, das zu bedienen?” Und im Zweifel habe ich jemanden da sitzen, der das Ganze sogar falsch bedient. Also ich habe mir ein sicheres Produkt gekauft oder ein gutes Produkt, was mir helfen kann und ich habe die falsche Kompetenz da sitzen. Also es geht sozusagen kurzfristig darum, tief zu atmen und zu gucken, wo stehen wir? Und dann würde ich mich ganz, ganz sukzessive, aber zielstrebig und bestimmt fortbewegen und sagen “Okay, das sind die für mich die wichtigen Systeme und die kann ich so und so schützen."
Klaus Mochalski
Da kann man doch sagen, das empfehle ich auch vielen, vielen unserer Kunden. Dass man am Ende Feuerübungen durchführen sollte. Das heißt, man überlässt es nicht der Überraschung in dem Moment, wenn es dann passiert. Denn dann wird wild durcheinander gerannt, Stattdessen die unausweichliche Auto-Analogie in Deutschland zu bringen: Wenn ich schon drei Mal mit meinem Auto die Vollbremsung geübt habe, dann weiß ich, wie das geht. Und wenn ich es dann irgendwann in einer Notsituation machen muss, dann bin ich nicht überrascht. Und hier trifft das Gleiche zu.
Das heißt, wenn ein Kunde zum Beispiel mit euch schon mal durch so ein Penetration-Testing-Szenario durchlaufen hat, dann weiß er, was ein ernst zu nehmender Angriff ist und was Dinge sind, die regelmäßig passieren und wo ich – wie du sagst – einfach noch mal tief Luft holen muss und genau schauen, was hat das jetzt – wenn überhaupt – für Konsequenzen für mich? Und das sieht man, glaube ich, in ganz vielen Bereichen, nicht nur im Pentesting-Bereich. Diese Art von Routine ist für alle Bereiche notwendig und wichtig. Und das ist, glaube ich, das, was man als erste oder als grundlegende Empfehlung für allererste Schritte immer machen kann. Üben, sich die Probleme mit ein bisschen Abstand und Perspektive anschauen, um dann tatsächlich auch ein besseres Gefühl für das eigene Risikoprofil zu bekommen. Und auch einschätzen zu können, wie man denn reagieren muss in bestimmten Situationen.
Damit kann ich natürlich niemals alles abdecken. Es gibt eben keine 100% Sicherheit. Ich werde auch nicht alle Situationen üben können, aber ich gehe auf jeden Fall mit deutlich niedrigerem Puls in so einen Ernstfall rein, als wenn ich das vorher nicht investieren würde.
Sascha Zinke
Ja, absolut. Und ich glaube, die große Schwierigkeit ist, dass das ja heutzutage bei diesen immer mehr verzahnten Systemen gar nicht so leicht ist. Also, wir haben immer wieder das große Thema, dass Dienstleister ihre Technologie beim Kunden einbinden. Ein Beispiel: Ein Stadtwerk hat zum einen die Aufgabe, Strom zu produzieren. Zum anderen muss es aber auch Strom in Rechnung stellen. Dafür stellt ein Dienstleister seine Systeme dort ein. Dann muss ich natürlich überlegen, was kann passieren, wenn es dem Dienstleister schlecht geht? Nicht nur jetzt, was das Fortbestehen der Software vielleicht angeht. Sondern auch: was ist, wenn der mit Ransomware kompromittiert ist? Wo kann sozusagen der Schaden beim Dienstleister zu meinem Schaden werden? Das ist nicht immer ganz transparent und nicht unbedingt ersichtlich.
Aber wenn man sich ein bisschen Zeit nimmt und eine gewisse Zielstrebigkeit hat, dann kann man das auch gut erfassen und durchgehen. Und dann ist das auch gar keine Zauberei. Und dann kommt man tatsächlich relativ nah an sichere Systeme. Ich habe dann zwar immer noch das Risiko, dass der Admin oder die Administratorin quasi mit der Axt durch die Server läuft und Festplatten klauen kann. Aber ich kann schon deutlich besser die Risiken einschränken. Und am Ende kann man sich gut auf Cyberangriffe vorbereiten. Die Abläufe sind wenig überraschend, oft gleichläufig. Und man kann gut was machen. Dem ist man nicht ausgeliefert.
Klaus Mochalski
Das ist ein sehr schönes Schlusswort. Keine Angst zu schüren, sondern zu beruhigen und unseren Kunden auch so ein bisschen die Neugier darauf zu geben, den ersten Schritt zu gehen, insofern sie das noch nicht getan haben. Und tatsächlich dann auch mit Dienstleistern wie euch oder uns zusammenzuarbeiten, um eben eine Perspektive auf ihre Herausforderungen zu bekommen und dann auch diese Sicherheit zu entwickeln, was im Ernstfall getan werden muss.
Sascha, vielen Dank für diese sehr spannende Diskussion. Ich fand, es war ein sehr interessanter Einblick in dieses Thema Penetration-Testing im OT-Security-Bereich. Wir können das sehr gerne noch mal in einem Folgetermin vertiefen. Ich glaube, hier gibt es noch viele Dinge, die man im Detail diskutieren könnte. Ich denke, wir konnten heute unseren Hörern einen sehr spannenden Einblick insbesondere in die Absicherung kritischer Infrastruktur geben. Vielen Dank, dass du hier warst.
Sascha Zinke
Ich danke dir für die Einladung, Klaus.
Klaus Mochalski
Sehr gerne. Tschüss, Sascha.
Sascha Zinke
Mach's gut.