In dieser Folge von Rhebos OT Security Made Simple erklärt Matthias Maier vom SIEM-System-Hersteller Splunk, warum eine OT-Sicherheitsstrategie auf Managementlevel unumgänglich ist, um bei der Tool-Auswahl die richtigen Investment-Entscheidungen zu treffen. Er erläutert die einzelnen Schritte und verdeutlicht noch einmal die Verantwortung des Managements bei der Cybersicherheit der OT, insbesondere mit Blick auf NIS2 und Co.
Hören Sie uns auf:
Transkript
Klaus Mochalski
Hallo und herzlich willkommen zu einer neuen Episode des Podcasts OT Security Made Simple. Ich freue mich heute über meinen Gast Matthias Maier von Splunk [Anm.: das Unternehmen entwickelt und betreibt unter anderem das Security Information & Event Management (SIEM) System Splunk]. Matthias, stell dich doch einmal unseren Gästen kurz selbst vor.
Matthias Maier
Hallo Klaus, Hallo an alle Zuhörer:innen. Mein Name ist Matthias Maier. Ich bin seit über zehn Jahren bei der Firma Splunk, bin Market Advisor für Cybersicherheit, darf oft mit Top Cyber Security Teams in Europa zusammenarbeiten. Super spannend. Bin selber Certified Ethical Hacker, das heißt, ich liebe die Kommandozeile, Ich liebe das Kaputtmachen, aber bin auch CISM [Anm.: Certified Information Security Manager] zum Beispiel. Das heißt auch das Thema Risiko-Akzeptierung macht mir Spaß.
Klaus Mochalski
Splunk hat eine durchaus spezifische Sicht auf den Markt aufgrund der Produkte, die ihr anbietet. Wir haben im Vorfeld darüber gesprochen – und das ist ja, so wie ich das verstanden habe, auch für euch ein zunehmend wichtiges Thema –, welche [OT-]Themen ihr bei den Kunden bearbeitet.
Wir beobachten das ja auch bei Rhebo seit Jahren, dass die Kunden dort natürlich reifer werden und gezielter bei der Auswahl der Tools vorgehen und das Ganze auch stärker in die Gesamtunternehmensstrategie einbetten. Was ist denn aus deiner Sicht im Moment ein wichtiger Aspekt, den ihr bei dem Engagement mit euren Kunden häufig beobachtet?
Matthias Maier
Also wir haben in den letzten Jahren leider auch häufig, wo wir erst hinterher reingerufen wurden, fehlgeschlagene Projekte gesehen oder wo Outsourcing-Security-Projekte eben fehlgeschlagen sind oder einfach dieser Security Benefit nicht zur Geltung gekommen ist. Und was wir aktuell wirklich massiv sehen ist, dass Unternehmen, bevor sie loslegen mit irgendwelchen Tools oder mit irgendwelchen Security-Betriebsthemen, sich eine Security-Monitoring-Strategie ausarbeiten und diese dann auch vom Management abzeichnen lassen.
Klaus Mochalski
Das klingt ja wie ein interessantes Schlagwort: Security-Monitoring-Strategy. Also das ist das, was die Unternehmen brauchen. Erkläre doch mal kurz, was das bedeutet. Das klingt jetzt erstmal eingängig. Natürlich, man braucht eine Strategie. Es geht um Security Monitoring. Aber was verbirgt sich aus eurer Sicht dahinter?
Matthias Maier
Die Security-Monitoring-Strategie, ist die Brücke von diesen Technikern - technisch hochkomplexe Netzwerke, komplexe Architekturen - zum Management. [Letzteren] zu erklären, warum wir etwas brauchen und das Management das auch abzeichnen zu lassen. Oder auch die Auswahl zu lassen, wie viel IT-Sicherheit ist gut genug für uns? Und ist das auch in unserem Budgetrahmen drin? Das ist eben die IT-Security-Monitoring-Strategie, wo das auf das Unternehmen angepasst ist.
Was brauchen wir? Daraus ergibt sich dann alles Weitere. Daraus ergibt sich dann die IT-Strategie für den IT -Sicherheitsbetrieb. Das heißt, mein SOC [Anm.: Security Operation Center] brauche ich 24 mal sieben oder eben nicht. Ja, was ist mein Risikoappetit?
Daraus ergibt sich wiederum eine Security-Direktionsstrategie. Sprich, welche Daten, welche Systeme überwache ich? Welche Tools brauche ich vielleicht auch von Rhebo im OT Bereich, um das dann hoch zu korrelieren?
Aber es geht los mit der Security-Monitoring-Strategie, die ein bisschen High Level ist und eben dieses Mission Statement für den Sicherheitsbetrieb, für den SOC-Betrieb, für den Ort, für das Monitoring setzt.
Klaus Mochalski
Das klingt erst mal sehr vernünftig und eingängig. Ich glaube, das ist häufig ein Fehler, den viele machen. Erst mal auf Tools zu schauen und dort ein scheinbar mächtiges, vielleicht auch schön aussehendes Tool einzusetzen - in der Hoffnung, dass man dort schnell zu diesen ersten Ergebnissen kommt, ohne dann aber ein klares Bild zu haben, wie sich das in die Gesamtstrategie, wie du das erklärst, einbettet. Und auch, wie man dort langfristig den Betrieb sichert und dann natürlich auch den Wert herausholt. Dass sich auch aus der Investition, die man tätigt, ein Return ergibt. Da wird ja auch viel darüber gesprochen. Return on Investment auch für Security-Werkzeuge.
Ich hatte in einer der vorigen Folgen einen Gast, wo wir lange darüber gesprochen haben, wie sich bei Unternehmen, die in ihrer strategischen Planung in diesem Bereich reifer werden, wie dort insbesondere der OT Security Teil immer mehr eingebettet wird in die Gesamtunternehmensstrategie. Wie der in der Vergangenheit häufig anzutreffende Bottom-Up-Ansatz, wenn man sich jetzt die Unternehmenshierarchie anschaut - also dass häufig die Fachabteilung, die Entscheidungen getroffen oder getrieben haben - stärker zu einer Top-Down-Strategie, die aber durch Informationen aus den Fachabteilungen unterfüttert wird, angetrieben wird. So dass tatsächlich, wenn man es mal an einer Rolle festmacht, der Unternehmens-CISO für die Gesamtstrategie, für alle Risiken im Unternehmen verantwortlich ist und eben insbesondere auch für die OT-Risiken. Ist es das, was ihr bei Splunk auch mit einer Monitoring-Strategie meint?
Matthias Maier
Also für alle Risiken ist der CISO in der Regel nicht zuständig, nur für die Cyberrisiken. Eben zum Thema Cyberangriffe und dort auch meistens für Cyberangriffe von externen Aktoren. Also Insiderthreats usw. sind dann ein bisschen andere Themen, oder auch Fraud.Erkennung, also Betrugserkennung.
Aber was wir immer häufiger sehen ist, dass der CISO organisatorisch beim Chief Finance Officer aufgehangen ist und das dann quasi ein Geldthema, eine Risikoabschätzung wird. Und der CFO trägt dann schlussendlich dieses Risiko. Allerdings ist mit NIS2-Compliance mit mehr und mehr Compliance-Regularien jetzt natürlich auch das Management teilweise persönlich haftbar oder kann sogar von vom Staat herausgenommen werden im Zweifel. Es sind also nicht nur Geldstrafen.
Und da kommt jetzt dieser Top-Down-Ansatz mit rein. Und natürlich, wenn man eine bestimmte Schwelle an Investitionen für die Cybersicherheit oder im Monitoringbetrieb überschreitet in der Tool-Investitionen, Security-Investitionen oder auch, wo Unternehmensprozesse angepasst werden müssen, kommt das natürlich auch ziemlich schnell ins Board of Directors mit rein. S odass das eben auch ein absolutes Managementthema ist und nicht nur für den CISO. Sondern dieser ist nur noch beratend und schaut dann eben: Okay, das ist unser Risikoappetit. Das ist ein Risiko, das muss man akzeptieren. Das ist ein Risiko, dass man auf keinen Fall akzeptieren kann.
Klaus Mochalski
Ja, was ich da sagen wollte, war, dass der CISO für die Information Security im erweiterten Sinne eben auch für die OT verantwortlich ist. Da aber auch keine Silo-Entscheidungen trifft, sondern das Ganze im Gesamtrisiko-Korsett des Unternehmens betrachtet und am Ende auch Invest-Entscheidungen von Risikobetrachtungen getrieben werden. Was ist sozusagen das Risiko für meinen Geschäftsbetrieb.
Und so wird jede einzelne Invest-Entscheidung, jedes Investment in allen Bereichen betrachtet, unabhängig davon, ob es IT ist, ob es OT ist oder ob es ein ganz anderer Geschäftsbereich ist. Und da kommt eben dem CISO eine ganz zentrale Rolle zu. Und da ist auch dieser Bereich ein wichtiger, vielleicht auch in vielen Bereichen neuer Verantwortungsbereich.
Was gehört dann aus deiner Sicht zu einer guten und ausgewogenen OT-Monitoringstrategie? Was sind so die wesentlichen Elemente, die man dort unbedingt beachten und abbilden muss?
Matthias Maier
Genau. Also ich würde mit einer OT-Security-Monitoring-Strategy auf High Level starten. Das geht noch nicht in die Tools rein, sondern [erörtert die Fragen], was müssen wir schützen und vor was müssen wir uns schützen. Dass man das wirklich definiert. Und dann auch, warum schützen wir uns vor dem Ganzen und was passiert, wenn wir das Ganze nicht machen? Welche Compliance-Regeln müssen wir erfüllen, beachten, oder vielleicht sogar für regelmäßige Audits entsprechende Nachweise erbringen? Und mit diesen Fragen, wenn man die beantwortet - ganz fundamental -, ergeben sich eben Investment-Entscheidungen, von denen man sich dann das Ganze, wie man es implementiert, ableiten kann.
Und da hilft es zum Beispiel, dass man sich anschaut: Welche OT- oder IT-Policies gibt es? Wo sind “acceptable use” und “unacceptable use”-Themen, zum Beispiel auch im OT Bereich. Wie wird das Thema Change Management vorangetrieben? Gibt es ein Ticket, wenn ein Servicetechniker von der Siemens Steuerungsanlage kommt, einen USB-Stick ansteckt und irgendein Firmware-Update macht an der Maschine. Das können wir mit einem Monitoring ja erkennen. Aber gibt es da einen Prozess? Gibt es ein Support-Ticket? Gibt es ein Change-Ticket, mit dem man das vielleicht korrelieren kann, das man dann keinen False Positive [Anm.: eine Benachrichtigung zu einem Vorfall, der jedoch legitim und nicht sicherheitsrelevant ist] bekommt?Und im OT-Bereich ist es ja ein wunderbarer Use Case, den man immer super einfach implementieren kann und die super effektiv ist, weil das, sobald es eine Änderung gibt in so einem OT-Bereich ohne Change-Ticket, es Cyberangreifenden super schwer macht.
All diese Themen, da sind wir schon wieder technisch tief drin. Aber das muss ja erstmal prozesstechnisch festgelegt werden. Wenn man das einmal hat, ist dieses Monitoring und die Umsetzung - dass ich die Daten über ein OT-Security-Monitoring-Tool bekomme, wenn da jemand was ansteckt; Entscheidungen, wie ich zu diesen Daten komme oder was dort meine Standards sind, also was normal [in meiner OT-Kommunikation] ist - viel einfacher. Und zwar, weil es eher eine rein technische Implementierung ist, anstelle [der grundlegenden Frage], was wir denn überhaupt erreichen wollen?
Dieser Zwischenschritt fehlt oft. Und da passt eben so eine Security-Monitoring-Strategie wunderbar rein. Da kann man eben hinterher die Detektion mit reinnehmen, wie zum Beispiel für unerlaubte Änderungen ohne Change-Ticket.
Klaus Mochalski
Wie gehe ich denn als Unternehmen vor? Wenn ich jetzt damit starten möchte, eine solche Strategie als Teil meiner Gesamt-Security-Strategie zu definieren. Orientiere ich mich da sehr stark an Standards? Helfen mir die Standard Security Frameworks, wie im Industriebereich die IEC 62443? Muss ich mir anschauen, was die Forderungen der NIS2 sind? Kann ich mir mein Lieblings-Security-Framework herauspicken oder ist das noch mal etwas ganz anderes, was wir betrachten müssen? Geht das über das hinaus, was in diesen Standard Frameworks gefordert und auch vorgegeben wird?
Matthias Maier
Ich glaube, das ist ein Reifegrad. Da gibt es unterschiedlichste Ansätze. Ich glaube, dass jetzt so was wie zum Beispiel mit Malware-Tech schon zu technisch, zu detailliert ist. Das sehe ich eben eher auf der Direktionsebene. Ja, dann kommt die Betriebsebene mit Security-Monitoring-Betrieb und ganz oben die Security-Monitoring-Strategie. Was sehr gut reinpasst ist zum Beispiel die NIS2. Da wird ganz klar definiert:
Was ist der Scope, welche Umgebung?
Was sind die Zeiten, die Investigationszeiten, die Meldezeiten?
Was sind die Konsequenzen, wenn ich nichts mache?
Was sind die die Anforderungen, also proaktives Security-Monitoring anstelle von nur reaktivem? Reaktiv ist eher so End-Point-Protection mit Standardsignaturen usw. Proaktiv ist zum Beispiel sowas wie Change Management überwachen.
Das ich eben sowas eben implementiere. Da stehen auch die regulären Audits drin, die passieren müssen. Entweder als Selbstaudit oder von einer externen Firma oder dass jemand reinkommt alle zwei Jahre oder je nach Zyklus entsprechend die Auditierung macht. Diese Person will natürlich diese ganzen Themen abprüfen. Da gibt es auch beim BSI wunderbare Prüfprotokolle, die sowohl in der IT wie auch in der OT funktionieren und dann entsprechend herangezogen werden.
Klaus Mochalski
Mache ich das am besten selbst oder sollte ich das gerade nicht selbst tun und mir externe Hilfe in Form einer Beratung oder eines Dienstleisters besorgen, damit ich vielleicht nicht zu sehr meinen Blick verstellt habe von all dem Wissen, das ich von meiner eigenen Infrastruktur habe? Was ist der bessere Ansatz aus deiner Sicht?
Matthias Maier
Da habe ich leider keine Musterlösung. Ich bin der Meinung, wenn man sich selber einliest und diese 20-Stunden-Regel einhält - wenn man sich 20 Stunden mit etwas fokussiert beschäftigt - kann man alles lernen. Vielleicht nicht perfekt. Oder man holt sich vielleicht fürs Management externe Unterstützung, weil Beratungsfirmen, wenn die ihren Stempel auf so ein Konzept setzen, ja mit Sicherheit auch Erfahrung mitbringen und das sehr, sehr häufig machen. Das hilft natürlich zusätzlich. Auch wenn man dann von extern, vielleicht von Behörden irgendwie kritisiert wird. Kommt natürlich darauf an, in welcher Stellung man in der Wirtschaft und als Unternehmen ist. Dann kann das auch helfen, dass man sagt: Okay, beim Incident Response Verfahren wird das auch häufig auf technischer Ebene gemacht, dass es heißt, externe Experten wurden involviert, dann hilft es mit Sicherheit, diese Strategie mit denen abzuarbeiten.
Aber schlussendlich können [die externen Beratungsunternehmen] das nicht [vollständig] für einen machen, denn das muss auf das Unternehmen - ähnlich wie bei einer ISO-27001-Zertifizierung - angepasst werden. Der eigene Risikoappetit muss da mit reinspielen. Die eigenen finanziellen Mittel, auch für Investitionen zur Umsetzung, spielen eine Rolle. Wie viel Prozent von meinem IT-Budget will ich für Security-Monitoring ausgeben? Aktuell rechnen wir - Achtung! Spoileralarm - mit 5-6% des IT-Budgets für Cybersicherheit. 5% der IT-Mitarbeitenden arbeiten im Schnitt in Cyber Security. Also wenn man 100 Mitarbeitende hat in der IT-Abteilung, sollten fünf Cyber Security machen, als Benchmark. Es gibt aber immer wieder neue Zahlen, und das muss natürlich in der richtigen Größe zusammenpassen. Und deswegen gerne externe Unterstützung nutzen, ja. Aber die Illusion, dass die das alles für einen komplett machen, wird nicht funktionieren.
Klaus Mochalski
Ja, da bin ich voll bei dir. Also spannende Zahlen, die du nennst. Ich habe vor einer Weile für einen Vortrag recherchiert, was so das empfohlene Budget für Cyber Security ist. Und da bewegt man sich immer in dem Rahmen zwischen 5 und bis zu 10 %, je nachdem, in welchem Sektor das ist. Wenn das jetzt ein hochkritischer Sektor ist oder im Bankenbereich, da geht es, glaube ich, fast in Richtung 10 %. Aber es sollte nicht deutlich unter 5 % fallen.
Und wenn man sich selbst im Unternehmen kritisch hinterfragt, ist man, glaube ich, auch gerade in dem relativ neuen oder vielleicht neuen OT-Security-Bereich immer noch unterbesetzt. Das heißt, man sollte schon auf die eigenen Fähigkeiten und die Expertise inhouse schauen. Und dann ist es sinnvoll, auch von Anfang an seine eigene Infrastruktur soweit verstehen zu wollen. Und ich glaube, da können dann diese Security Frameworks - im ersten Schritt vielleicht eine ISO 27001, dann spezifischer die Industrie-basierte IEC62443 oder auch die NIS2-Direktive - helfen. Selbst wenn man die im ersten Schritt auch erst mal nur als Checkliste verwendet, um sicherzustellen, dass man alle Aspekte betrachtet und nichts vergisst. Denn wenn man jetzt selbst anfängt und überlegt, was denn jetzt das Risiko in meiner OT-Infrastruktur ist, wird man mit Sicherheit etwas vergessen. Wenn man aber diese Listen durchgeht, diese Anforderungen, ist man mit hoher Wahrscheinlichkeit vollständig und wird nichts vergessen. Es gibt sicher Bereiche [in den Security Frameworks], wo man sagt, das ist für uns jetzt nicht relevant. Aber so kann man auf jeden Fall sicherstellen, dass man nichts vergisst.
Deswegen aus unserer Sicht auch immer die Empfehlung: Soweit Ihr die Ressourcen habt, macht euch dort selbst schlau, macht euch damit vertraut, sucht euch ein Security Framework. In vielen Bereichen wird man in Zukunft mit NIS2 gar nicht mehr die Wahl haben. Da hat man auch die Vorgabe, womit man starten sollte. Und dann ist es, glaube ich, eine sehr gute Idee.
Zusammenfassend kann man noch mal sagen: Eine OT-Security-Strategie ist einfach eine wichtige Voraussetzung, um die Umsetzung von Maßnahmen inklusive der Auswahl der Tools zu planen. Ein Detection & Monitoring Tool wie [das von Rhebo], aber auch ein SIEM System wie [das von Splunk].
Ich möchte am Ende trotzdem noch mal eine vielleicht ein bisschen religiös-technische Frage stellen. Ich hatte in den letzten zwei, drei Jahren viele, viele Diskussionen, die immer mal in die eine und die andere Richtung pendelten, wie man ein zentrales Security-Dashboard etablieren sollte. Angenommen, ich habe ein SIEM-System - und man kann ja im weitesten Sinne Splunk auch als SIEM-System betrachten -, und ich habe im IT-Bereich ein SIEM System im Einsatz. Ich habe dort ein Security Operations Center, welches das erfolgreich betreibt und dort auch Erfahrung hat. Und jetzt möchte ich das Ganze auch im OT-Bereich, zum Beispiel in meiner Fertigungsanlage oder als Energieversorger in meinen Kraftwerksbereichen, also in technischen Bereichen, einführen. Sollte ich versuchen, ein konsolidiertes IT/OT SOC mit einem darunterliegenden konsolidierten IT/OT SIEM-System aufbauen. Oder sollte ich die bewusst trennen? Oder ist es vielleicht auch ein schrittweiser Prozess? Ich habe da auch nicht die richtige Antwort. Ich habe dort viele Meinungen gehört und viele gute Argumente in die eine oder andere Richtung. Was ist denn dort deine persönliche Meinung? Oder gibt es vielleicht so etwas wie die offizielle Splunk-Meinung?
Matthias Maier
Die offizielle Meinung ist: Wir sind flexibel. Was auch immer am meisten Sinn macht für den Kunden in der organisatorischen Trennung. Was der Kunde möchte. Das ist das Schöne. Ich habe alles gesehen. Also generell ist das im Cyber-Security-Bereich so.
Zum Beispiel gab es in den USA Cyberangriffe auf Tankstellen-Netze. Das Tankstellennetz hat noch funktioniert, aber sie konnten keine Rechnungen mehr ausstellen. Jetzt ist die Frage wo endet digitale Resilienz? Wenn ich keine Rechnungen mehr stellen kann oder keine Lieferscheine mehr schreiben kann, will ich natürlich keine Ware mehr liefern. Und plötzlich kommt der Unternehmensfluss zum Stillstand, auch wenn es keine OT Umgebung ist.
Das heißt, da muss man wirklich genau hinschauen. Organisatorisch, was wir jetzt gerade sehen, zum Beispiel bei BMW, die haben in den letzten Jahren massiv in Cybersicherheit investiert und aufgebaut. Dort gibt es ein IT SOC, das heißt ein zentrales SOC. Und darunter gibt es welche, die für die Produktions-OT zuständig sind. Welche, die sind für Fahrzeug-IT und deren Systeme - die quasi Fahrzeug aufsperren, die mobile App usw. betreuen. ganz viele Cloud Applikationen - zuständig. Und dann welche, die für die IT zuständig sind. Weil das eben auch unterschiedlichste Expertise ist, von den Technologie-Stacks her. Und dann natürlich, welche Angriffsvektoren oder wie Cyberangreifende unterwegs sind. Und auch der Risikoappetit könnte ein ganz anderer sein, je nach Bereich. Und da sind wir bei so einem Modell.
Bei kleineren Firmen, glaube ich, kann man dort die Effizienz nutzen und das konsolidieren und zusammenfassen. Bei so Energieanbietern, zum Beispiel Übertragungsnetzbetreibern, sehen wir, dass [IT und OT] einfach zusammengefasst werden, weil eben diese Masse nicht da ist, teilweise auch der Überblick noch ein bisschen einfacher ist.
Was ich aber glaube, was mit Sicherheit kommen wird - und da sind wir in Europa vielleicht noch zehn Jahre hinten dran, in Israel gibt es das schon lange - und zwar Sektor-CERTs [Anm.: sektorenspezifischer Computer Emergency Response Teams]. Heute mit NIS2 reportet jeder seine Cyberangriffe ans BSI. Ich glaube, in Zukunft wird es so sein, dass wir wirklich in fünf oder in zehn Jahren sektorbasierte CERTs haben, die dann auch Telemetriedaten in Echtzeit bekommen. Das heißt, dass die Logdaten auch hingeschickt werden. In Israel gibt es das schon, da gibt es ein Energie-CERT - auch ein guter Kunde von uns. Dort fällt jeder, der über eine bestimmten Menge an Energie im Jahr produziert, unter diese Richtlinie und muss dann seine VPN-Zugriffe auf dieses OT-Netzwerk, alle administrativen Aktivitäten, Traffic im OT-Netzwerk, alles wirklich, diese Logs zu diesem zentralen Ort schicken. Und die machen dann Anomalieerkennung, dieses Change-Thema mit den Tickets. Wenn ein VPN-Zugriff kein Change-Ticket bekommt, bekommt der CISO des Standorts oder des Anbieters eine Nachricht, was da los ist.
Und dann können die auch beantworten: Sehen wir einen Cyberangriff auf unseren Energiesektor, ja oder nein? Denn das kann selbst mit NIS2 das BSI erst, wenn die irgendwie was melden oder einen Indikator für einen Compromise rausgeben. Und dann dauert es wahrscheinlich eine Woche, bis alle wieder eine Rückmeldung geben: Sehen wir, sehen wir nicht in dem Sektor. Die haben kein Lagebild. Und deswegen glaube ich, in fünf bis zehn Jahren werden [Sektor-CERTs] dann als nächster Schritt kommen.
Klaus Mochalski
Ein sehr spannendes Thema. Da kann man dann auch diesen Netzwerkeffekt nutzen, dass man eben den Angriff, der an einer Stelle gesehen wird, die Signaturen, potenziell verwendet, um eben diese Angriffsszenarien gleich zu detektieren und dort schon einen Schritt voraus zu sein.
Es gibt tatsächlich schon Ansätze in Europa. In Dänemark weiß ich, da gibt es ein CERT im Energiebereich [Anm.: SektorCERT], wo alle Verteilnetzbetreiber angeschlossen sind oder die größten Verteilnetzbetreiber des Landes und wo tatsächlich eine zentrale Stelle den kompletten Energiemarkt, also den kompletten Verteilnetzmarkt des Landes, überwacht. In so einem kleinen Land wie Dänemark ist das sicher einfacher umsetzbar. Aber das ist ein sehr, sehr mächtiges Werkzeug. Sehr spannendes Thema und ich glaube, das können wir durchaus in einer zukünftigen Folge noch mal tiefer beleuchten für heute. Vielen Dank für die spannende Diskussion, auch für den kurzen Ausblick am Ende. Das war sehr hilfreich, und es hat mich gefreut, dich hier im Podcast zu haben.
Matthias Maier
Vielen Dank, Klaus.
Klaus Mochalski
Sehr gerne. Tschüss Matthias.