In dieser Episode von OT Security Made Simple sprechen wir mit Gerald Krebs von TÜVIT über den Stand der NIS2-Umsetzung in Unternehmen. Gerald erläutert, warum Unternehmen Cybersicherheit gerade auf die lange Bank schieben und wie das Aussitzen schnell ein paar Millionen Euro kosten kann (nicht nur wegen der Strafen!). Viel wichtiger aber: Gerald gibt Tipps, wie Unternehmen die ersten Schritte nehmen können, ohne sich selbst zu überlasten.
Hören Sie uns auf:
Transkript
Klaus Mochalski
Hallo und herzlich willkommen zu einer neuen Episode von OT Security Made Simple. Ich bin Klaus Mochalski, Gründer von Rhebo. Mein Gast heute ist Gerald Krebs von der TÜV Informationstechnik. Aber Gerald stellt dich unseren Hörern doch gleich mal selbst vor, bitte.
Gerald Krebs
Genau wie Klaus schon sagte, mein Name ist Gerald Krebs von der TÜV für Informationstechnik. Ich bin verantwortlich im Bereich TÜVIT für das Thema Cyber Security Services. Dazu gehören zum Beispiel Penetrationstests, Produktzertifizierung, Prozesszertifizierung. Also es geht da in den Bereich ISMS [Anm.: Informationssicherheitsmanagementsystem, i.d.R. nach ISO 27001] rein und noch vieles mehr.
Klaus Mochalski
Erzähl mal, was dich in letzter Zeit bei euren Kunden so am meisten umtreibt. Wir versuchen ja immer, relativ tagesaktuelle Themen zu betrachten und im Vorfeld hatten wir so ein bisschen darüber gesprochen. Was sind denn so die Dinge, die du bei euren Kunden gerade beobachtest?
Gerald Krebs
Also, was man ja feststellt ist, dass es seitens der Europäischen Union eine Menge Direktiven gibt, die aufkommen. Also ich glaube, es sind in dem Bereich über 40 Direktiven, die jetzt quasi auf die Unternehmen einprasseln. Die gehen in den Bereich Prozesse, sichere Infrastruktur, Produkte usw. und so fort. Und einer der Schwerpunkte ist beispielsweise das anstehende NIS2-Umsetzungsgesetz, das jetzt auch in Deutschland in Kraft tritt. Grundsätzlich soll es im europäischen Rechtsraum im Oktober in Kraft treten.
Klaus Mochalski
Ja, genau. NIS2 ist ein Thema, über das in dem Bereich sehr viel gesprochen wurde in den letzten Monaten und länger. Und das nicht ohne Grund. Tatsächlich sind von NIS2 ja sehr viele Unternehmen betroffen, die bisher von ähnlicher Regulierung so noch nicht betroffen waren. Dieses Umsetzungsgesetz, das du erwähnt hast, das tritt im Oktober dieses Jahr in Kraft. Jetzt sind wir hier bei der Aufzeichnung dieser Episode Ende September. Das heißt, wir haben nicht mehr viel Zeit. Was ist denn deine Beobachtung bei euren Kunden? Sieht das mit der Umsetzung gut aus? Sind alle gut vorbereitet? Oder gibt es Nachholbedarf?
Gerald Krebs
Also, vielleicht mal eine Korrektur. Und die ist auch relativ neu für mich: Das NIS2-Umsetzungsgesetz soll erst im März 2025 in Kraft treten. Man hat das jetzt verschoben, jetzt am 27. [September 2024] Ich war selber mal in der Tabelle schauen. Am 7. und 20. September findet erst der erste Durchgang im Bundesrat statt. Das heißt, auch die Politik hat das Thema jetzt ein bisschen nach hinten verschoben, um wieder auf die Unternehmen zu sprechen zu kommen.
Klaus Mochalski
Das ist ja spannend. Ist das gerade erst passiert, oder wann ist das passiert?
Gerald Krebs
Die Information habe ich vor circa einer Woche bekommen. Ja, das ist jetzt neu. Man kann da auch relativ schnell googeln und war jetzt auch für mich sehr überraschend. Ich dachte, man wäre jetzt, ich will mal sagen, im europäischen Rechtsraum grundsätzlich zu dem Schluss gekommen, dass es eingesetzt wird, eingesetzt werden muss. Wir wissen ja, es gibt sehr viele Angriffe. Aber da gibt es scheinbar viele Formalien, die berücksichtigt werden müssen. Es gab auch sehr viel Feedback, wo man eventuell noch mal nachschärfen muss. Wie auch immer, ich stecke nicht bis zum letzten Bit in dieser ganzen Gesetzesfindung und was da geändert werden muss drin. Fakt ist, es wird um circa ein halbes Jahr verschoben. Das ist der eine Punkt.
Aber auch noch mal zu deiner Frage. Die ging ja in Richtung Unternehmen. Was wir feststellen ist, dass Unternehmen aus vielfältigen Gründen momentan nicht so weit sind. Die versuchen auch teilweise, ich würde sagen, Themen auszusitzen. Aber wir wissen ja, wie es ist. Man wartet erst mal auf die finale Fassung des NIS2-Gesetzes, damit ich weiß: Aha, wie muss ich denn jetzt mein Unternehmen ausrichten? Nicht, dass ich jetzt in eine falsche Richtung loslaufe. Und zum Schluss habe ich viel Energie in irgendwas, will ich mal sagen, versemmelt. Und das wäre nicht zielgerichtet, weil wir wissen ja auch, wie Unternehmen sind. Die haben einen gewissen wirtschaftlichen Druck. Das ist unter anderem ein Thema, also wirtschaftlicher Druck. Man versucht jetzt wirklich, sein Geld möglichst effizient einzusetzen.
Das zweite Thema sind auch die Ressourcensituation. Das ist ein dramatisches Thema, weil es einfach nicht genug Ressourcen zur Umsetzung all dieser europäischen Gesetzgebungsverfahren gibt. Die zielen ja in viele Richtungen ab, sei es Prozesse, sei es Produkte. Da stellt sich die Frage: Wer soll das alles prüfen, nachvollziehen, zertifizieren usw. und so fort. Und wir haben ja auch beim TÜV schon Probleme, entsprechende Experten zu finden. Bei den Unternehmen sieht es natürlich nicht anders aus.
Klaus Mochalski
Werden jetzt diese sechs Monate Aufschub bei diesen Problemen helfen? Weil wenn ich zuerst mal an das Problem denke, was du angerissen hast, dass viele Unternehmen oder einige Unternehmen, ich kenne jetzt die Anzahl nicht genau, dieses Thema aussitzen. Das heißt erst mal, warten, was da kommt. Löst sich das Problem jetzt für die so ein bisschen mit diesem Sechs-Monats-Aufschub? Ich würde mal vermuten, wer das bis jetzt ausgesessen hat, wird es vermutlich weiter aussitzen und diese sechs Monate nicht nutzen, um sich vorzubereiten.
Gerald Krebs
Das ist richtig. Also wenn wir über Quantitäten sprechen, man geht ja von 30.000 bis 40.000 [Unternehmen] alleine in Deutschland aus, die von NIS2 betroffen sind. Und jetzt zum Thema: Wie lange dauert es, eine entsprechende Compliance herzustellen? Dazu muss man wissen, NIS2 bedeutet ja Managerhaftung, bedeutet teilweise auch – je nachdem, wo ich unterwegs bin – dass ich Produkte zertifizieren muss, also entsprechend der Kritikalität von Produkten und so weiter und so fort. Da kommt ein riesiger Bauchladen auf einen zu, was man alles machen muss.
Viele kennen ja das Thema ISO 27001. Wie lange dauert es alleine diesen Prozess umzusetzen, was ja in Richtung Organisatorischer Sicherheit geht. Das dauert auch mindestens ein Jahr. Und da sind wir erst auf Prozessebene unterwegs. Und wenn ich sage: Okay, ich möchte auch eine sichere IT-Infrastruktur haben – und ich spreche da nicht nur von einem Produkt, ich spreche ja meinetwegen von Leitsystemen oder Infrastrukturen usw. und dass ich auch entsprechende sichere Produkte einsetze. Und die sicheren Produkte sind ja auch nicht per Fingerschnipp da. Das braucht alles eine Menge Zeit, bis die Produkte auch tatsächlich einen Stand erreicht haben, dass man sagen kann: Okay, sie sind tatsächlich auch sicher. Ja, da sprechen wir über viele Jahre.
Ich komme von großen Herstellern und von Einführung des Prozesses bis das Produkt tatsächlich sicher war, dass man sagt, die Features sind auch alle tatsächlich an Bord, das war ein iteratives Verfahren. Und das ist halt über sehr viele Jahre gelaufen, weil es sagt keiner: Ich stelle jetzt dem Produkt plötzlich 100 % meiner Ressourcen zur Verfügung. Das wird keiner tun, der wird sagen, dass es priorisiert wird. Also erstmal, welche Assets habe ich? Dann wird priorisiert in entsprechend der Kritikalität, und dann versucht man, diese Gaps alle zu fixen und das braucht einfach eine Menge Zeit.
Klaus Mochalski
Das heißt, wir reden hier über deutlich länger als für eine ISO 27001 [-Zertifizierung]. Wer Erfahrung damit hat, der kann das also vergleichen und weiß, dass er sich definitiv auf einen längeren Prozess einlassen muss, weil es eben auch viele ganz praktische Änderungen nach sich zieht. Zum Beispiel diesen von dir angesprochenen Upgrade oder Austausch von einzelnen Systemkomponenten, der ja potenziell gar nicht schnell machbar ist, weil die Komponenten vielleicht gar nicht in sicherer Variante verfügbar sind. Und insofern muss man sich hier auf einen langen Weg einrichten.
Das heißt, umso wichtiger ist natürlich auch, dass ich frühzeitig starte. Jetzt hattest du über diese Ausweichbewegung gesprochen. Das heißt, Unternehmen warten erst einmal, was im Gesetz drin steht, bevor sie mit ihrer Reise starten. Das klingt ja erst mal aus unternehmerischer Sicht gar nicht so dumm. Ist das der richtige Ansatz? Reicht das dann hinten heraus. Es gibt ja immer noch Fristen, bis wann man tatsächlich die Regularien in dem Gesetz umgesetzt haben muss. Ist das aus deiner Sicht ein guter und valider Ansatz?
Gerald Krebs
Ist es nicht. Sagen wir mal so: Man kennt ja das Thema schon bereits aus der IT-Infrastruktur oder Telekommunikationsinfrastruktur, wo man mit den gleichen oder mit sehr ähnlichen Problemen zu kämpfen hat. So, die Frage ist, wie bekomme ich meine Netze sicher? Weil wir wissen, die Netze werden angegriffen. Es sagt kein Betreiber: Ich warte jetzt erstmal auf die Gesetze. Oder sollte er nicht machen. Sondern dass man sagt, ich kenne Best Practice Ansätze – die IEC 62443 beispielsweise ist hier eine sehr gute Norm, an der man sich orientieren kann – und überlege, wie bekomme ich das hin? Weil ich weiß ja, wie die Best Practice aussieht. Wie bekomme ich bereits jetzt wesentliche Teile von dieser Norm [umgesetzt]?
Es geht nicht um Zertifizierungsverfahren, sondern erstmal darum, wie ich wesentliche Ansätze oder Best Practice Ansätze bereits jetzt implementiere. Das sind alles so no-brainer nach dem Motto: Was weiß ich? Was muss ich tun, um einen sicheren Betrieb darzustellen? Dass ich zum Beispiel etablierte Mitarbeiter habe. Dass ich nicht jeden Mitarbeiter, der lesen und schreiben kann im Betrieb, reinstecke und sage: Du kümmerst dich jetzt mal um um das Thema Sicherheit. Sondern dass ich vorher meine Mitarbeiter ausbilde und sie dann, will ich mal sagen, in den Betrieb einführe. Das sind alles so wesentliche Themen, die werden sehr häufig ignoriert, leider. Aber von daher kann ich jedem nur die IEC 62443 beispielsweise ans Herz legen.
Klaus Mochalski
Was sind denn mögliche Konsequenzen für Unternehmen oder auch die Geschäftsleitung beim Aussitzen? Gibt es da laut Gesetz Konsequenzen? Ab wann muss man damit rechnen und wie sehen die potenziell aus?
Gerald Krebs
Genau. Also es ist so: die NIS2 tritt ja irgendwann in Kraft. Status quo heute wäre es dann März 2025. Dann gibt es sicherlich noch mal eine Art Übergangsfrist, bis tatsächlich scharf geschossen wird. Es gibt hier keinen definierten Zeitrahmen.
Worst Case ist, dass sofort scharf geschossen wird, weil was passiert, wenn das Gesetz in Kraft getreten ist. Irgendeinem Unternehmen fällt irgendwie was runter. Die komplette Produktion steht und dem Geschäftsführer wird nachgewiesen: Hier, du hast NIS2!. Du hast nichts dafür gemacht! Du hast 0 € investierst! Du hast keine Mitarbeiter dafür! Dann ist es ja so, nach NIS2 kann der Geschäftsführer dann persönlich haftbar gemacht werden. Das ist Thema eins.
Und Thema zwei ist: Es gibt zwei Kategorien von Verwaltungsstrafen. Da gibt es eine niedrige Kategorie, bedeutet bis 7 Millionen € oder 1,4% des weltweiten Umsatzes. Und da gibt es eine höhere Kategorie, die sagt bis 10 Millionen € oder 2% des weltweiten Umsatzes. Wann das dann tatsächlich kommen wird? Ja, ich will mal sagen, man spielt da Russisches Roulette, wenn man versucht, das irgendwie möglichst lange auszusitzen.
Klaus Mochalski
Wer tritt denn da potenziell als Kläger auf? Ist das das BSI?
Gerald Krebs
Ich gehe davon aus, dass es das BSI sein wird, weil man hat ja eine gewisse Pflicht, auch wenn es Sicherheitsvorfälle gibt usw. und so fort, dass in Richtung BSI zu kommunizieren. Und von daher gehe ich mal davon aus, dass das BSI eigentlich der Taktschläger ist.
Klaus Mochalski
Okay, aus der Erfahrung, die wir oder die Unternehmen in der Zusammenarbeit mit dem BSI im Rahmen der KRITIS-Gesetzgebung in der Vergangenheit schon gezogen haben, erwarte ich hier, dass das BSI mit Fingerspitzengefühl vorgehen wird. Das heißt, es wird vermutlich nicht am Tag der Scharfschaltung die große Keule rausziehen und mit solchen Instrumenten kommen. Das heißt, es wird sicher eine Übergangsfrist geben. Die Frage ist, wie lange die ist. Das kann man nicht genau sagen. Formal muss man ab dem Termin compliant sein.
Gerald Krebs
Richtig. Das eine ist formal. Wir müssen uns aber auch überlegen, dass sehr viele Unternehmen betroffen sind. Man spricht von 30.000 bis 40.000 Unternehmen, die aber auch wiederum Zulieferer haben usw. und so fort. Das ist aus meiner Sicht ein Rattenschwanz ohne Ende. So, und dann ist halt die Frage, wie viel Kapazität hat das BSI selber, all diese Unternehmen selber zu managen. Da brauche ich halt eine gewisse Manpower und ich glaube, alleine schon daran wird es etwas scheitern, dass man nicht gleich sagt, ich schieße jetzt sofort scharf.
Klaus Mochalski
Das ist glaube ich auch ein Grund, warum sich viele Unternehmen sicher fühlen, weil sie einfach wissen, das BSI wird es nicht schaffen. Deswegen die zweite Frage: Droht denn hier auch Gefahr für mich als betroffenes Unternehmen von zum Beispiel Lieferanten oder Kunden, die mich, weil sie es wissen, dass ich es nicht implementiert habe, vielleicht verklagen und dort Schadensersatzforderungen haben?
Gerald Krebs
Ja,sicherlich. Angenommen, ich biete Managed Service an oder ein Produkt oder eine Lösung oder was auch immer. Und ich habe z.B. einen großen Kunden. Nehmen wir mal das Worst Case Szenario: Dort fällt irgendwie was aus. Ich hatte schon mal einen ähnlich gelagerten Fall, wo eine große Anlage ausgefallen ist. War im Bereich Telekommunikation. Plötzlich war der komplette Frankfurter Flughafen komplett unten. Da ging zum Beispiel bei einem gewissen Betreiber kein Telefonat mehr raus. Das hat zu enormen Schadensforderungen geführt, weil der Betreiber wird dann sagen: Du hast mich nicht mit einem Patch versorgt, du hast ja nicht mal einen angeboten. Ich kann dir nachweisen, dass du hier eine hochkritische Schwachstelle offen gelassen hast. Du hast mich nicht informiert, Du hast keinen Patch zur Verfügung gestellt. Es gibt immer noch keinen Patch. Ich wurde jetzt angegriffen. Meiner Anlage entstehen 6 Millionen € Schaden.
Dann habe ich durchaus die Möglichkeit, zu dem entsprechenden Hersteller oder was auch immer zu gehen und zu sagen, für den Schaden kann ich dich nach NIS2 haftbar machen, weil du hast ja eklatant gegen die NIS2 verstoßen. Das ist zum Beispiel eine Möglichkeit.
Oder auch, wie sieht es aus mit Versicherungspolicen? Man kann ja heute auch entsprechende Schäden versichern lassen. Nur welche Versicherung versichert einen, wenn ich nicht nachweisen kann, ich habe hier gewisse Best Practices umgesetzt, eine ISO 27001 Zertifizierung oder einen sicheren Produktentwicklungsprozess oder einen CERT-Prozess, oder oder oder. Weil wenn ich nichts habe, dann kann ich mir überlegen: Entweder bezahle ich sehr viel für die Versicherungspolice, oder ich bekomme schon gar keine.
Klaus Mochalski
Das heißt, man sollte sich hier als betroffenes Unternehmen, selbst wenn man sich für Aussitzen entscheidet, erstmal seine Lieferkette ganz genau anschauen. Also in beide Richtungen. Ob es dort Kandidaten gibt, die, wenn es doch zu einem Vorfall kommt, im schlimmsten Fall dann vielleicht mit Schadenersatzforderungen legitimerweise auch auf mich als betroffenes Unternehmen zukommen können. Das heißt, das wäre ein Risiko, was man im ersten Schritt natürlich bewerten muss und schauen, ob sich da nicht doch Maßnahmen ergeben, die man schneller angehen muss.
Gerald Krebs
Genau, das ist auch zum Beispiel eine Best Practice Maßnahme, dass ich sage, wenn ich mir schon Supplier anschaue – weil die meisten Produkte bestehen ja aus 3rd-Party-Komponenten, es baut ja keiner sein Produkt komplett selber, sondern 80 bzw. 90 % bestehen aus 3rd-Partys – dass, wenn ich mir zum Beispiel Software-Komponenten aussuche, diese nicht schon morgen wieder auf End-of-Life oder End-of-Maintenance gehen. Sondern dass ich mir für die definierte Lebenszeit meines Produktes auch entsprechende Produkte aussuche, wo ich weiß, dass die security-technisch up-to-date sind. Dass Maintenance unterstützt wird.
Klaus Mochalski
Dann lass uns doch mal positiv darauf schauen, was so die Top-Maßnahmen sind, die ich als betroffenes Unternehmen zuerst durchführen sollte. Auch wenn ich jetzt nicht auf die volle Compliance bis März schiele und weiß, ich werde es nicht mehr schaffen. Trotzdem, jeder Schritt bringt eine Verbesserung. Und für jemanden, der sich mit dem Thema noch gar nicht inhaltlich beschäftigt hat, was wären denn deine Empfehlungen für die ersten 2 bis 4 Maßnahmen, die man auf jeden Fall in Betracht ziehen sollte und potenziell auch umsetzen sollte.
Gerald Krebs
Also erstmal sollte man sich überlegen, welche Assets hat man, oder dass man überhaupt erstmal so eine Art Status-Quo-Analyse macht. Was sind überhaupt meine schützenswerten Assets? Ich muss erstmal wissen, was will ich denn schützen, bevor ich irgendwelche Maßnahmen einleite? Identifikation der Assets.
Dann: Was ist meine Rolle? Bin ich Integrator, Betreiber oder Hersteller? Um zu schauen, in welche Kategorie muss ich denn jetzt gehen? ISO 27001 beispielsweise wird einem Hersteller nicht sonderlich helfen, sondern der ist eher daran interessiert, wie bekomme ich einen sicheren Herstellungsprozess gewährleistet?
Und da kann ich nur allen wirklich die Empfehlung geben, sich die IEC [62443] mal konkret anzuschauen. Die ist getrennt in unterschiedliche Rollen.
Da gibt es ja diverse Normen-Teile, je nachdem welche Rolle ich habe, bin ich Betreiber, bin ich Integrator oder bin ich Hersteller? Das heißt, da kann man Cherry Picking machen. Und dann kann man sich die entsprechenden Prozesse oder auch Product Requirements Lösungs-Requirements, Betreiber-Requirements runterziehen und schauen, dass ich mir entsprechend die wesentlichen Anforderungen schon mal heraushole. Man kann sicherlich nicht alle auf einen Schlag umsetzen, sondern versuchen, sukzessive diese Themen umzusetzen.
Klaus Mochalski
Das ist tatsächlich eine Empfehlung, die ich seit Jahren auch unseren Kunden immer gebe. Viele Kunden gerade im Bereich der Kritischen Infrastruktur und im Industriebereich schielen auf die IEC 62443. Die kann einen jetzt natürlich erschlagen, allein mit dem Umfang. Zum anderen aber auch damit, dass sie eben noch ein Dokument im Gedeihen ist. Das heißt, da kommen ja immer noch Teile hinzu.
Ich habe dann unseren Kunden immer empfohlen: Schaut euch doch erst mal das Inhaltsverzeichnis an und nehmt das als Checkliste. Schaut sozusagen, was sind die Punkte, die für euch, für euren konkreten Fall rot aufleuchten? Das passiert automatisch, weil ich schaue mir das an, das ist tatsächlich relativ praktisch das Inhaltsverzeichnis und dann hat man relativ schnell ein Gefühl dafür, an welchen Stellen ich denn betroffen bin. Und dann schaut man einfach an diesen Stellen in die Tiefe.
Gerald Krebs
Ja, richtig, genau. Und aus meiner Sicht sind für die IEC 62443 eigentlich die wesentlichen Normteile bereits alle freigegeben. Ja, das ist im Moment schon bereits vollkommen ausreichend, dass man sagt, ich mache Cherry Picking und – zum Beispiel als Betreiber – suche ich mir entweder den Normteil 2-1 oder 2-4 aus.
Da können wir sicherlich den einzelnen wieder helfen [bei der Entscheidung]. Was ist hier der der sinnvollere Teil? Aber das ist alles in Anlehnung an die ISO 27001, halt nur für industrielle Anwendungen oder Zwecke. Und das macht auf alle Fälle Sinn.
Also, wie gesagt, ich komme von großen Herstellern und habe in Richtung eines großen Betreibers gearbeitet. Von daher weiß ich, wovon ich spreche. Es ist auf alle Fälle hilfreich. Ist es nicht schon wieder irgendeine Norm, die man umsetzen muss, sondern sie hat Hand und Fuß. Und das wird auch jeder erkennen, der sie sich einfach mal zu Gemüte führt. Es gibt auch entsprechende Webinare im Markt, die einem da weiterhelfen und zumindest mal einen Einstieg bieten. Wir als TÜVIT beispielsweise bieten auch entsprechende Webinare an.
Klaus Mochalski
Ja, ich denke, an guten Inhalten – zumindest sowohl NIS2 als auch zu IEC 62443 – fehlt es tatsächlich nicht. Das heißt noch mal zusammenfassend:
- Eine ganz klare Empfehlung ist, mit der Risikoanalyse starten, die Bereiche im eigenen Unternehmen mit dem höchsten Risiko zu identifizieren und dort dann reinzuschauen.
- Was leiten wir daraus für individuelle Maßnahmen für das Unternehmen ab?
- Und bei Bedarf sich Hilfe holen vom Dienstleister seines Vertrauens. Der TÜV steht da, glaube ich, gerne hilfreich zur Verfügung.
Da gibt es, glaube ich, sehr, sehr viele, die sich in letzter Zeit damit beschäftigt haben. Das heißt, da ganz klar die Empfehlung, das auch nicht alleine zu tun, sondern sich dort Expertise mit rein zu holen, weil viele Dienstleister – oder ich sage mal, alle Dienstleister – die in diesem Bereich aktiv sind, sind mit diesem Thema vermutlich nicht nur seit Monaten, sondern auch schon länger befasst. Das heißt, die Expertise ist hoch, die Ressourcen vermutlich nicht so, das heißt, da muss man auch noch schauen, wie schnell man dann tatsächlich jemanden bekommt.
Gerald Krebs
Ja, das ist richtig.
Klaus Mochalski
Okay, super. Vielen Dank, Gerald. Das war, eine sehr gute Übersicht mit dem kleinen Überraschungseffekt, dass sich die NIS2 tatsächlich nochmal um sechs Monate verschoben hat. Vielleicht machen wir dann in sechs Monaten einfach noch einmal eine Folge-Episode und schauen uns an, wie es dann aussieht, ob sich was am Status Quo der Umsetzung der Compliance geändert hat. Für heute erstmal vielen Dank für deine Mitwirkung. Es hat sehr Spaß gemacht und ich glaube, das waren interessante Einblicke für unsere Hörer.
Gerald Krebs
Ja, bitte sehr.