Pressemitteilungen Rhebo

News

Warum spielen Unternehmen bei der OT-Sicherheit noch immer mit dem Feuer?

In dieser Folge von OT Security Made Simple teilt Götz Schartner, Geschäftsführer des SOC-Dienstleisters 8com und Sachverständiger für Cyberversicherungen, seine Erfahrungen zu den häufigsten Angriffen. Er erklärt, warum OT-Sicherheit noch immer zu wenig Beachtung findet und weshalb das der größte Fehler eines Unternehmens sein könnte.

 

 

 

Hören Sie uns auf:

  

 

Transkript

Klaus Mochalski

Hallo und herzlich willkommen zu einer neuen Episode des Podcasts OT Security Made Simple. Mein Gast heute ist Götz Schartner. Ich übergebe gleich an dich, Götz, um dich einmal vorzustellen, weil das, was du uns gleich erzählen wirst, was ihr tut, leitet dann auch gleich das Thema ein, über das wir heute sprechen möchten. Deswegen zu dir.

Götz Schartner

Mein Name ist Götz Schartner, Gründer und Geschäftsführer der 8com und im Nebenberuf Sachverständiger für verschiedene Cyberversicherungen. Ich bin  Versicherungsmakler, um halt Sicherheitsvorfälle, die nachher zu Schadensersatzansprüchen führen, zu prüfen. 8com ist ein klassischer Betreiber eines Security Operations Center. Das Unternehmen gibt es seit 20 Jahren und wir haben halt auch täglich rein im Unternehmen sehr viel mit unterschiedlichsten Arten von Cyberangriffen zu tun.

Klaus Mochalski

Euer Geschäft besteht also darin, sich um Cyberangriffe bei euren Kunden zu kümmern. Das heißt, ihr betreibt auch Incident Response. Wenn es zu Vorfällen kommt, dann rufen eure Kunden euch an und erwarten dort eure Hilfe. Kann man das so sagen?

Götz Schartner

Ja, das ist natürlich ein bisschen abhängig davon, was das für ein Kunde ist. Unsere SOC-Kunden rufen uns nicht direkt an, sondern wir sehen selbst genau, was passiert. Dadurch können wir dann fast immer sehr, sehr zeitnah und rechtzeitig reagieren, den Kunden vor den Auswirkungen zumindest schützen, weil wir dann bereits beim Initial Access zugreifen. Und dann gibt es natürlich diese klassischen Incident Response Retainer Verträge. Das heißt, Kunden rufen an: Wir sind gehackt worden, bitte helft uns hier raus.

Klaus Mochalski

Das heißt, ihr seid sowohl in der reaktiven als auch in der proaktiven Rolle?

Götz Schartner

Ja, genau.

Klaus Mochalski

Ja, das ist, glaube ich, wichtig zu verstehen. Im Vorfeld hatten wir uns darüber unterhalten, dass wir mal so ein bisschen einordnen, welche Arten von Vorfällen ihr beobachtet. Schauen wir einfach mal die letzten zwölf Monate zurück. Kannst du ganz kurz zusammenfassen, was die häufigsten Vorfallsarten und Typen sind, die sowohl im proaktiven, also im SOC-Bereich, als auch im reaktiven Bereich, im Incident-Response-Bereich, in den letzten zwölf Monaten am häufigsten beobachtet wurden? Und da es in unserem Podcast um OT, Operational Technology, geht – das heißt der Teil der IT, den man in der Regel in Industrieanlagen findet, wo es um Messen, Steuern, Regeln geht – kannst du dann vielleicht auch einordnen, welchen Anteil ihr dort an reinen OT-Vorfällen seht?

Götz Schartner

Also die häufigsten Vorfälle, die jetzt aber im ersten Augenblick gar nicht mal so einen großen Impact auf die Organisationen, Unternehmen, Behörden oder sonstige Einrichtungen haben, sind natürlich viele Credential-Attacks. Also, das heißt häufig, dass Microsoft Cloud 365 falsch konfiguriert ist, z. B. nur mit Single Factor Authentication. Und da wird dann versucht, reinzugehen. Das ist so der 0815-Standard, der jeden Tag, ich kann gar nicht mal sagen, wie oft, vorkommt. 

Klaus Mochalski

Kurz vielleicht zu diesen Fällen. Behandelt ihr diese Fälle auch schon als Incident oder ist das eher eine Log-Nachricht?

Götz Schartner

Also wenn wir mitbekommen, dass bei einem Kunden ein voraussichtlich unberechtigter Zugriff erfolgt ist, ist das ein Incident – abhängig von der Gesamtstruktur des Kunden werten wir das auch potenziell kritisch. Das kann ja der Initial Access zu einem groß vorbereiteten Cyberangriff sein. Das kann also tatsächlich nur der erste Schritt sein, um weiter reinzugehen. Das heißt, da wird tatsächlich sehr, sehr schnell das komplette Incident Management hochgefahren, in der Regel innerhalb weniger Minuten, um darauf zu reagieren. Immer vorausgesetzt, dass die Kundenstruktur stimmt und passt, dass man das auch sehen kann, unterscheiden kann, erkennen kann, darauf reagieren kann. Denn wir brauchen dann ja auch Reaktionsmöglichkeiten.

Klaus Mochalski

Ja, das ist, glaube ich, wichtig zu verstehen, dass ihr auch solche Dinge schon durchaus ernst nehmt, auch wenn sie durchaus häufig auftreten können und vielleicht erst einmal gar keine Konsequenzen haben.

Götz Schartner

Ja, genau. Also das ist so der erste Schritt. Das, was den größten Impact hat, ist das, was auch danach kommen kann, also nach dem klassischen Potential Mail Login  – nennen wir es einfachhalber Ransomware-Attacke. Das ist halt das, was auch in den Medien präsent ist, wenn große Unternehmen  –  wie jetzt ein bekannter Batteriehersteller seine Produktion drosseln muss [Anm.: gemeint ist die VARTA AG, die Anfang 2024 Opfer eines erfolgreichen Angriffs wurde] –, teilweise herunterfahren, weil Daten verschlüsselt sind und vielleicht nachher das ganze Unternehmen nicht mehr fähig ist. Das ist auch etwas, was immer häufiger vorkommt.

Seltener zurzeit haben wir Finanzmanipulationen, aber auch die kommen vor. Der bekannteste Fall sind Payment Diversion Attacks, wo versucht wird, Bankverbindungsdaten zu verändern. Entweder durch Fake Nachrichten nach dem Motto:  Einer eurer Lieferanten meldet sich bei euch über eine legitime E-Mail-Adresse und sagt, er hat eine neue Bankverbindung. Vielleicht gibt es auch einen echten Teams-Call mit der richtigen Person dazu, die dann mit dem Einkauf oder mit der Finanzabteilung spricht. Man sieht ja den Unterschied heute nicht mehr. Das ist das Schlimmste.

Wir machen das auch in Vorträgen live. Das ist eigentlich ganz witzig, bis man die Auswirkung kennt. Da macht es keinen Spaß mehr. Da muss man unterscheiden. Und dann natürlich immer noch der klassische Fake President. Also, jemand ruft dich an und sagt: Ich bin der Boss, überweise mir Geld. Das funktioniert nach wie vor gut. Das sind Millionen-Schäden im Jahr.

Klaus Mochalski

Kann ich aus eigener Erfahrung auch berichten. Rhebo ist jetzt keine sehr große Firma. Aber selbst wir hatten das mittlerweile in den letzten fünf Jahren bestimmt ein bis zwei Mal im Jahr. Dass mich dann mein Finanzchef anrief und fragte: Hast du mir die E-Mail geschrieben mit der Überweisung? Und ja, wir sind da nicht betroffen gewesen. Gott sei Dank. Aber wir können das tatsächlich auch beobachten.

Nun sind gerade diese Angriffe mit dem konkreten finanziellen Hintergrund natürlich sehr spannend, auch für uns als Unternehmen. Es geht aber heute in unserem Podcast um OT Security. Habt ihr denn unter euren Kunden auch solche, die neben der klassischen IT-Infrastruktur im Büroumfeld auch OT-Infrastrukturen betreiben, das heißt Fertigungsanlagen mit automatisierten Steuerungssystem oder Energieversorgungsunternehmen, wo die Umspannwerke ferngesteuert werden? Und welchen Anteil nehmen die Kunden bei euch ein? Ganz grob.

Götz Schartner

Unser Anteil von Kunden, die auch OT im Einsatz haben, müsste bei etwas über 70 % liegen. Der klassische Kunde bei uns ist entweder ein Versorgungsunternehmen – Energie, Strom, alles was dazugehört, Wasser, Gas  – oder natürlich ein klassisches Industrieunternehmen mit Produktion. Es gibt ganz selten Kunden bei uns, die keine OT haben. Manchmal nur sekundäre OT, die relativ uninteressant ist, aber sehr viele mit relevanter OT. Direkte Angriffe darauf, das ist immer ganz interessant, haben wir unseres Wissens so noch nicht erlebt. Natürlich gibt es Beschädigungen, es gibt Beeinträchtigungen, weil einfach Angriffe überspringen. Das kommt vor. Also ein klassischer Kollateralschaden. Aber Stand heute erleben wir das so nicht.

Klaus Mochalski

Das bestätigt ja so ein bisschen das, was man auch an vielen verschiedenen Stellen hört, wenn man die Diskussion in Fachzirkeln verfolgt. Da werden immer wieder die Beispiele herausgezogen Stuxnet, Industroyer. Aber wenn man dann selbst praktisch unterwegs ist und Kunden betreut, auch in signifikanter Menge, so wie ihr das tut, dann gibt es statistisch relativ wenige reine OT-Angriffe. Das können wir auch bestätigen.

Das heißt, es gibt diese überschwappenden Angriffe, wo sozusagen die IT kompromittiert wird und dann durch schwache interne Netzwerksegmentierung vielleicht auch Bereiche der OT kompromittiert werden. Oder das einfach die IT nicht mehr verfügbar ist und dadurch eben die OT-Systeme nicht mehr auf bestimmte Datensysteme zugreifen können und deswegen Auswirkungen entstehen. Auch wir beobachten sehr, sehr selten reine OT-Angriffe.

Da stellt sich jetzt die Frage  – und wir spekulieren da auch sehr oft und sprechen da auch mit unseren Kunden und Partnern darüber – was denkst du, warum das so ist? Wir reden ja immer wieder darüber, dass OT-Systeme – Software, Hardware – angreifbar sind. Das beobachten wir auch täglich. In unseren Sicherheitsanalysen, die wir bei allen Neukunden durchführen, finden wir immer Dinge, die sich ausnutzen lassen. Das sind veraltete Firmware-Versionen, das sind schlechte Konfigurationen, das sind Systeme und Ports, die nach außen hin bis hin zum Internet geöffnet sind. Das heißt, diese Einfallstore sind definitiv da. Wieso beobachten wir trotz dessen so wenig gezielte Angriffe auf die OT-Infrastruktur, obwohl doch so viel darüber gesprochen wird?

Götz Schartner

Also das ist jetzt natürlich eine Spekulation. Es gibt ja Angriffe gezielt auf OT-Infrastrukturen und das passiert jeden Tag in der Ukraine, wo russische Hacker-Gruppen, das kann man auch ganz offen zu sagen, gezielt zerstören. Und das ist genau das, warum das bei uns nicht passiert. Wir befinden uns derzeit nicht in einem offenen Kriegszustand, denn davon reden wir dann ja. Also wenn jetzt eine andere Nation oder Hacker-Gruppen gezielt unsere Energieversorgung zerstören würde, spricht auch die NATO ganz offen  – da gibt es ja nun verschiedene Abkommen inzwischen zu – dass das ein kriegerischer Akt ist und auch entsprechend darauf reagiert wird. Das haben wir [bei uns in Deutschland] nicht.

Die Kriminalität mit der oder womit wir zu tun haben, ist in der Regel reine Kriminalität. Gruppierungen, die Geld verdienen möchten. Das heißt, sie dringen irgendwo ein, verschlüsseln Daten, geben aber immer noch diesen Exit zu sagen: Du zahlst Geld und dann entschlüsseln wir. Und wir sagen auch, wie wir reingekommen sind. Wir zeigen auf, wo die Backdoor ist. Es ist also ein reines Geschäft, nicht gerade ganz legal, aber darauf basiert das.

OT Security, das, was wir heute kennen, aus dem Fernen beobachten, weil wir das selber so noch nicht erlebt haben, ist in der Regel rein destruktiv. Kaputt machen, funktioniert sehr gut, sehr einfach, und wir sind heute – Gott sei Dank – anscheinend noch nicht da, dass das jemand bei uns macht. Das Arbeitsumfeld [von 8com] besteht ja primär Unternehmen und Organisationen innerhalb der EU und ein bisschen im nordamerikanischen Raum natürlich. Das ist unser Primärfokus. 

Aber…, und jetzt muss man bitte ganz, ganz vorsichtig sein. Ich habe das Unternehmen 8com vor 20 Jahren gegründet und damals Penetrationstests durchgeführt. Jetzt erkläre ich mal, was passiert ist. Wir haben Banken gehackt, haben gezeigt, wie wir reinkommen. Da war mir eigentlich klar, dass der Bankenvorstand sofort seine Geldkasse aufmachen und sagen würde: Hey, hier kriegst du richtig Geld, schütze uns. Aber: Die Reaktion war null. Dann haben wir gedacht: Gut, die haben's nicht verstanden. Dann haben wir [zu den Banken] gesagt: Dürfen wir einen Test durchführen, indem wir mal zeigen, wie wir eure Hauptkonten manipulieren? Aussage von denen war: Das geht nicht!

Da haben wir denen gezeigt, wie wir die Hauptkonten von außen manipulieren, so dass keiner sieht – weil ich habe ja nur eine Kontrolle auf dem Bildschirm – dass wir das manipuliert haben. [Ich dachte dann]: Jetzt aber gibt es richtig Geld für Sicherheitskonzepte. Kam aber überhaupt nicht. Sie waren zwar entsetzt [aber sonst nix]. Dann haben wir mal gezeigt, wie wir Geldautomaten leer machen. Und zwar digital. Nicht sprengen bitte oder irgendwie kaputt machen, sondern wieder in die Kassensysteme gehackt und dann das gesamte Kassensystem so manipuliert, dass wir einfach Geld rausbekommen haben. Da waren die zwar hochgradig nervös, das hat man dann schon gemerkt, Das ging Richtung Psyche, aber richtig viel getan hat sich auch nichts. Warum? Weil es zu dem Zeitpunkt keine echten Angriffe gab.

Das hat sich heute radikal geändert. Das gibt es nicht mehr so. Also, die Angriffe sind da. Hier reden wir von der Evolution in der Kriminalität. Nur weil es heute keine massiven Angriffe auf die OT bei uns in der Bundesrepublik, in der EU gibt, heißt das nicht, dass es morgen nicht losgeht. Und das wird irgendwann losgehen. Das ist eine reine Frage der Zeit, bis die klassischen IT-Angriffe monetär nicht mehr so relevant sind. Und dann wird die nächste Stufe beginnen. Wir wissen nur nicht, wann. Der [Fehler] ist nur, darauf zu warten. Früher ging das, weil sich über Nacht keine große kriminelle Subkultur gebildet hat. Die hat sich schrittweise gebildet. Das fing so ganz, ganz klein an mit Hackergruppen beim Onlinebanking-Betrug. Da hat man versucht, auf dem Privatrechner von dem Claus Weselsky [Anm.: derzeit Bundesvorsitzender der Gewerkschaft Deutscher Lokomitivführer] zum Beispiel irgendwann mal einen Trojaner zu installieren, dann PIN und TAN abzugreifen und dann mit seinen Zugangsdaten eine kleine Überweisung durchzuführen. Und so sind die langsam gewachsen, von kleinen, sehr primitiven Onlinebanking-Betrügereien zu immer besseren, bis heute diese ganzen hochgradigen Ransomeware-Gruppen entstanden sind. Das war ein Prozess über viele, viele Jahre.

Unser Problem ist heute, dass der Umstieg auf eine andere Technologie, auf ein anderes Angriffsziel  – ich übertreibe jetzt, aber  – letztendlich über Nacht erfolgen kann. Denn die Gruppen sind da, die Gelder sind da, das technologische Know-how ist da, die ganze Infrastruktur der Kriminellen ist ja auch da.

Das ist ja nicht nur, dass ich einen Coder brauche, der mir den Angriff baut. Ich brauche ja alles: Leute, die die Angriffe durchführen; Leute, die das überwachen und das Geschäftsmodell betreiben; den ganzen Paymentbereich, einen Finanzbereich, denn irgendwo muss sich das Ganze monetarisieren. Das ist heute alles vorhanden.

Und deswegen: Auch wenn wir das heute noch nicht so beobachten, dass jemand gezielt auf die OT geht, heißt das nicht, dass es morgen nicht so weit ist. Wenn ich dann nicht vorgesorgt habe, gute Nacht. Weil OT-Security ist auch mit [Rhebo] nicht über Nacht plötzlich flächendeckend realisierbar.

Klaus Mochalski

Na ja, ist ja nie. Es sind immer relativ komplexe Prozesse, die angepasst, etabliert, verbessert werden müssen. Man muss die richtigen Tools, die richtigen Dienstleister am Start haben, und das dauert eine ganze Weile. Das wissen wir ja aus der IT Security.

Das heißt noch mal zusammenfassend, was du gesagt hast: Es fehlt hier aktuell die zwingende Motivation auf Seiten der Täter. Staatliche Akteure, klar, die beobachten wir. Aber da geht es um Sabotage, Zerstörung und nicht um finanzielle Interessen. Das sehen wir in der Ukraine, wie du gesagt hast. Beim organisierten Verbrechen, bei der, bei der normalen Kriminalität, so möchte ich es mal nennen, da geht es darum, Geld zu verdienen. Und das ist im Moment noch einfach und auch in der Fläche in der IT möglich. Da gibt es ja viel, viel mehr Angriffsfläche als in der OT und außerdem sind die Verfahren dort sehr, sehr gut etabliert. Das sind ja Industriebereiche, das ist sehr professionalisiert. Das heißt, man kann dort komplette Dienstleistungspakete kaufen, wo auch bis hin zur Zahlung alles abgewickelt wird. Das hast du auch beschrieben, dass das schon fast in Richtung Consulting-Geschäft läuft. Und so lange das so lukrativ ist, gibt es wenig Motivation auf Seiten der Angreifenden sich um was Neues [wie die OT] zu kümmern.

Auch die technischen Mittel, die Angriffs-Toolkits, die [in der IT] verwendet werden, sind etabliert, die funktionieren. Da findet man auch die Expertise zu Hauf. Und wenn man sich jetzt gezielt auf die OT-Infrastruktur ausrichten möchte, bedeutet das viel neue Investition auf Seiten der Täter. Und wir wissen alle – das hast du auch bestätigt – das kann passieren, das ist heute schon möglich. Es passiert weniger, als man das erwarten würde. Aber das bedeutet eben nicht, dass man sich in Sicherheit wähnen kann und nichts tun muss.

Was wäre denn aus deiner Sicht die richtige Vorgehensweise? Wenn ich jetzt als Geschäftsführung eines mittelgroßen Industriebetriebes mit 500 bis 2000 Mitarbeitenden, mit einer relativ komplexen automatisierten Fertigung hier in Deutschland, wenn ich mich nicht über Nacht, aber in einem absehbaren Zeitraum gegen solche Angriffe absichern möchte. Was ist das Vorgehen, was du da deinen Kunden empfiehlst? Es ist ja sicher nicht einfach nur: Installiere dieses Tool, dann bist du sicher.

Götz Schartner

Nein, das funktioniert nicht. Also es fängt immer ganz weit vorne an, beim Risikomanagement. Ich brauche einen Management-Prozess dahinter. Ich muss die Risiken verstehen und bewerten. Das ist erstmal das A und O, und das muss sich nachher auch in Geld umrechnen. Was bedeutet das eigentlich, wenn Szenario A, B, C, D, E eintritt? Darauf hinaus – aufgrund dieser Risikobewertung – fängt man an, ein Konzept zu erstellen, zu sagen: Wie kann ich jetzt erstmal die Eintrittswahrscheinlichkeit verhindern oder zumindest reduzieren? Wie kann ich dann einen Angriff, wenn er anfängt, erkennen und dann tatsächlich auch aktiv dagegen vorgehen?

Das ist eigentlich immer dieses Standardverfahren. Als erstes muss das Risiko verstanden werden. Dazu [sind Geschäftsführungen] zum großen Teil übrigens auch gesetzlich verpflichtet, auch wenn das Stand heute in der Regel erst post mortem nach dem Schaden in die Haftung reingeht. Da haben wir ja auch im Laufe dieses Jahres sehr wahrscheinlich eine Novellierung, weil in der Regel wird ja diese Haftungsbedrohung für die Geschäftsführung gar nicht gezogen. Und wir gehen ja davon aus, dass diese EU-Richtlinie, die NIS 2, tatsächlich etwas massiv verändert, indem man tatsächlich die Enthaftung untersagt. Zu sagen: Die Geschäftsführung, der Vorstand muss in Haftung genommen werden! Denn die Angriffe sind ja verhinderbar, das darf man nicht vergessen. Das ist kein Hexenwerk. Das sind ganz normale, standardisierte Vorgehen von den Kriminellen. Das wenigste davon ist hochgradig innovativ. Und das ist deshalb tatsächlich so das Vorgehen für Unternehmen: 1. Risikomanagementbewertung, also Risiken verstehen. 2. Überlegen, wie man die Angriffsfläche reduzieren kann. Und dann 3., wie man Angriffe erkennen und dann darauf reagieren kann.

Klaus Mochalski

Vielen Dank dafür. Das ist perfekt. Genau diese Message möchte ich mal nennen, haben wir auch in diesem Podcast in verschiedenen vorigen Episoden immer wieder diskutiert. Dass dies das korrekte Vorgehen ist. In einer der letzten Episoden habe ich mit einem Gast darüber gesprochen, dass es gar nicht darum geht, das OT-Risiko separat zu bewerten, sondern es im Kontext meiner Organisation bewertet werden muss, wie jedes andere Risiko für mein Geschäft auch. Und ich es dann auch so behandeln muss.

Jetzt hast du die NIS2 angesprochen, also die Novellierung der Network & Information Security Directive, die [bis 17. Oktober 2024] in allen EU-Mitgliedsstaaten in geltendes Gesetz umgesetzt werden muss. Der Zeitplan ist definiert, die Uhr läuft. Aus deiner Sicht schießt das Ganze übers Ziel hinaus. Da läuft ja gerade eine sehr aktive Diskussion. Ist das genau das, was wir brauchen? Oder überfordert das die Unternehmen, wie viele ja auch behaupten?

Götz Schartner

Also es schießt überhaupt nicht über das Ziel hinaus. Wir müssen ja mal die Schäden sehen, die wir heute schon haben. Je nachdem, welchen Statistikersteller man fragt, reden wir in der deutschen Wirtschaft von dreistelligen Milliardenbeträgen oder vielleicht sogar mehr. Und das ist ja alles noch im Verhältnis moderat. Also, es kann noch viel schlimmer kommen. Sollten wir wirklich mal in einen Konflikt geraten, also jetzt gar nicht militärisch, und wir sind plötzlich völlig stromlos, wir können nicht mehr produzieren, wir können keine Lebensmittel mehr liefern, keine Pharmazieprodukte. Das werden wir so nicht überleben. Also es schießt nicht übers Ziel hinaus.

Das Problem ist schlicht und einfach: die Unternehmen machen in der Regel zu wenig. Also ich kann das jetzt mal als Sachverständiger ganz plump sagen. Fast in jedem Gutachten, das ich für meine Versicherung erstelle, gibt es immer so einen Beisatz, der einfach heißt – und jetzt kommen wir in eine Formulierung, die normalerweise nur Juristen zusteht, und ich bin kein Jurist, das ich möchte auch klarstellen: Dieser Schaden ist billigend in Kauf genommen worden. Denn dieses Wissen, dass es schiefgeht, ist jedem klar. Also jede:r ITler:in kennt im Großen und Ganzen die Probleme. Nur man reagiert nicht darauf. Man weiß, wenn wir zufällig Opfer werden, dann rumpelt es halt und dann sind wir plötzlich verschlüsselt, können nicht produzieren, haben einen Millionenschaden.

Und das sind einfach Sachen, wo wir sagen, das können wir in dieser Volkswirtschaft so auf Dauer nicht mehr überstehen. Wir müssen anfangen, etwas zu tun. Der Haken ist natürlich – jetzt kommen wir wieder zu unserem Modell – da sitzt vielleicht eine Geschäftsführung, ein Vorstand, dem das Unternehmen gar nicht selbst gehört. Sie sind nur Angestellte und werden nach ihrem Erfolg bezahlt. Erfolg bezahlt ist ja immer: Was habe ich letztendlich für einen Ertrag erwirtschaftet? Darum geht es im Großen und Ganzen.

Cybersicherheit kostet erstmal Geld, egal ob für IT oder OT. Im Schadensfall kann man den Schaden massiv reduzieren und das Unternehmen überlebensfähig halten. Aber in der kurzfristigen Denkweise, die wir heute haben – wie übrigens auch Börsensysteme funktionieren –, da geht es ja wirklich nur um den reinen Profit.

Und da muss der Gesetzgeber tatsächlich rein, weil wir das irgendwann nicht überleben. Im Augenblick –  auch wenn sich das so dramatisch anhört – ist alles in Ordnung. Das ist ja total auf einem gemütlichen Level. Jeden Tag gibt es ein paar Fälle. Wir in unserer [Cybersicherheits-] Branche freuen uns, denn jeder Fall bringt Geld, bringt neue Kunden. Aber das kann halt auch über Nacht ganz anders werden. Und dann haben wir ein echtes Existenzproblem in unserer Volkswirtschaft. Und deswegen muss der Gesetzgeber reagieren. Der Sachverstand funktioniert ja nicht, warum auch immer.

Klaus Mochalski

Vielen Dank für dieses Plädoyer. Das ist, glaube ich, auch ein sehr schönes Schlusswort. Das heißt auch aus deiner Sicht und das kann ich nur bestätigen: Die NIS2-Direktive kommt genau zur richtigen Zeit. Sie kommt auf jeden Fall nicht zu früh, und Unternehmen sollten das als Chance betrachten, ihre Risikoanalysen durchzuführen – und zwar ganzheitlich – und dann entsprechend Entscheidungen treffen. Und selbst wenn die Entscheidungen sind, in bestimmte Dinge nicht zu investieren, kann man trotzdem belegen, dass man dieses Risiko betrachtet hat. Und dann kommt man seiner Verantwortung als Geschäftsführung eines Unternehmens auch nach. Und das ist genau das, was wir brauchen.

Und deswegen unser großes Plädoyer: Wer es noch nicht getan hat, diese NIS2-Direktive ist neben vielen anderen Frameworks ein sehr guter Leitfaden, wie man IT und OT Security flächendeckend im Unternehmen umsetzen kann. Und daher können wir dort jeden nur ermutigen, sich das jetzt genau anzuschauen. Vielen Dank Götz, dass du hier im Podcast warst. Es war eine spannende Diskussion. Ich hoffe, unseren Hörern und Hörerinnen hat es gefallen, und lass uns das gern bei Gelegenheit vertiefen. Vielen Dank an Dich.

Götz Schartner

Herzlichen Dank!