In dieser Episode von OT Security Made Simple begrüßen wir Rainer Stecken vom Deutschen Verein des Gas- und Wasserfaches. Rainer zeigt die Herausforderungen im Wassersektor auf und stellt das Konzept eines Sektor-SOCs vor, das seit Anfang 2024 die Cybersicherheit mehrerer Wasserunternehmen zusammenführt.
Hören Sie uns auf:
Transkript
Klaus Mochalski
Hallo und herzlich willkommen zu einer neuen Episode von OT Security Made Simple. Ich bin Klaus Mochalski, Gründer von Rhebo, und freue mich, dass ich heute seit langem wieder einmal aus meiner Lieblingslocation, dem Rhebo Büro in Leipzig, podcasten kann. Mein Gast heute ist Rainer Stecken. Rainer ist Berater für Informationssicherheit bei der DVGW Service und Consulting. Und was er da genau macht, erzählst du uns am besten gleich mal selbst, Rainer.
Rainer Stecken
Ja, Guten Morgen Klaus. Ich bin Beauftragter für Informationssicherheit [kurz: ISB] beim Deutschen Verein des Gas und Wasserfachs. Das ist der Zusammenschluss aus Stadtwerken, aus Einzelpersonen, aus Behörden, insgesamt rund 14.000 Mitglieder, die sich also um unsere Gasversorgung und um unsere Wasserversorgung kümmern. Und da ist Sicherheit natürlich ein großes Thema. Versorgungssicherheit auf der einen Seite, aber IT-Sicherheit auf der anderen Seite. Als Berater bin ich unterwegs in Stadtwerken, das heißt, ich habe da eine Doppelfunktion. Einmal ISB für den Verein selbst, aber auch ISB für ein Stadtwerk, wo ich diese Funktion auch habe und berate eben andere gerade jetzt im Zusammenhang mit der Umsetzung der neuen gesetzgeberischen Aktivitäten. NIS2 ist das Stichwort, und was sie denn möglichst schnell tun sollten [die große Frage].
Klaus Mochalski
Da sind wir genau beim Thema. Es geht ja bei uns immer um OT Security, das heißt um den Teil der IT Security, bei dem es um technische Anlagen geht. Davon, das kann sich, glaube ich, jeder gut vorstellen, gibt es in wasserwirtschaftlichen Anlagen eine ganze Menge. Und du hast es schon angesprochen. Es geht hier um Versorgungssicherheit und am Ende ist da die Cyber Security, also die OT Security, ein Teil der Versorgungssicherheit, der betrachtet werden muss. Insofern passt das sehr gut in das allgemeine Risikomanagement, ist aber trotzdem für viele ein neues Thema.
Wir hatten ja im Vorfeld schon darüber gesprochen - und das war auch ein Thema in einigen vorherigen Episoden dieses Podcasts gewesen - dass es eine relativ begrenzte Anzahl von echten Vorfällen, von echten Angriffen auf technische Anlagen im Bereich der Kritischen Infrastrukturen gibt. Gleichzeitig wissen wir, dass die Gefahrenlage durchaus hoch ist und dass die Anlagen auch anfällig für Angriffe sind. Das heißt, da gibt es eine gewisse Diskrepanz. Wie sieht es denn aus deiner Sicht und von dem, was du an konkreten Erfahrungen gemacht hast, in der Wasserwirtschaft aus? Welche Vorfälle beobachtest du da oder hast du da in den letzten zwei, drei Jahren beobachtet? Wie sehen die aus? Wie viele sind das und was ist das für qualitativ? Welche Arten von Bedrohungen sehen wir dort?
Rainer Stecken
Also glücklicherweise sind es nur vereinzelte Vorfälle. Oder ich würde jetzt mal sagen, vereinzelte Vorfälle, die aus den letzten zwei, drei Jahren zu sehen sind. Da waren einmal einige Vorfälle im Ausland. In den USA sind ein paar Fälle nachgewiesen. Hier bei uns gab es den größten Vorfall am 12. Juni 2022. Da ist ein Dienstleister der Darmstädter und Mainzer Stadtwerke entsprechend betroffen gewesen und das hat dann natürlich für einigen Wellenschlag gesorgt. Übrigens, der DVGW wurde an demselben Tag Opfer eines Cybersicherheitsangriffs, allerdings nur in begrenztem Umfang. Wir waren auf der einen Seite gut vorbereitet, hatten auf der anderen Seite Glück. Es gibt gelegentlich Meldungen von kleineren Wasserversorgungsunternehmen. Ein Beispiel wäre Hochsauerlandwasser, die da betroffen waren, glücklicherweise aber bislang eigentlich nie im Steuerungsumfeld.
Klaus Mochalski
Erzähl uns von diesem einen größeren Vorfall, den es gegeben hat. Also war das eine Ransomware-Attacke gegen die IT-Infrastruktur, oder was genau ist da passiert?
Rainer Stecken
Das war eine Ransomware-Attacke gegen die IT-Infrastruktur. Es war ein entsprechender Cloud Provider, wo also die Dienstleistungen der Stadtwerke Mainz bzw. Darmstadt bzw. Abfallentsorgung Frankfurt lagen. Alle fallen mir jetzt auf die Schnelle nicht ein, die diesen Dienstleister genutzt haben. Dessen Infrastruktur war massiv betroffen. Es sind auch Daten ausgeleitet worden, das heißt, es gab nachher tatsächlich Kontaktversuche zu Kunden der entsprechenden Unternehmen. War also schon relativ heftig.
Wie gesagt, die Kritische Infrastruktur selbst, die eigentliche Versorgungsdienstleistung, war glücklicherweise nicht betroffen, weil das in aller Regel getrennt ist. Dass man also sagt okay, alles, was Office angeht, was wir mit Abrechnungen zu tun haben, mit Kundenkontakten zu tun haben, machen wir auf der einen Seite, und den Rest lassen wir nach Möglichkeit komplett getrennt laufen. In aller Regel gibt es natürlich einen Datenaustausch. Klar, weil ich zu Abrechnungszwecken oder Messzwecken immer Daten austauschen muss, die mich dann auch in der IT interessieren. Aber bislang ist das eben nicht übergeschlagen im Sinne von, dass ein Angriff umgesetzt wurde in Richtung Steuerung. Ransomware war die Attacke bei uns übrigens auch.
Klaus Mochalski
Ja, das heißt, dieses Beispiel zeigt eigentlich oder bestätigt auch wieder, was die Statistiken zeigen, dass die meisten Angriffe auch bei Betreibern Kritischer Infrastruktur nicht gezielt in die Infrastruktur gehen, sondern dass die in die IT Infrastruktur gehen und dass OT dann eher Beifang ist, dass es dann durch schlechte interne Konfiguration zu so Überschwappen des Angriffes kommt, was in diesem Falle scheinbar auch nicht passiert ist. Glücklicherweise.
Rainer Stecken
Ja, so ist es, ja.
Klaus Mochalski
Und die anderen kleineren Attacken? Ich hatte dich unterbrochen. Was ist da noch dabei? Gibt es da Auffälligkeiten, die du beobachten kannst oder sind das ähnliche Vorfälle?
Rainer Stecken
Das waren eigentlich ähnliche Vorfälle. Also mir ist jetzt Hochsauerlandwasser in Erinnerung geblieben, wo eben auch die IT-Dienstleistung, die gemeinsam mit einem anderen Stadtwerk betrieben wurde, betroffen war. Die Steuerungstechnik an sich aber nicht. Und häufig ist ja die Steuerungstechnik, wenn es in die Fläche geht, sogar noch getrennt voneinander. Das heißt, die haben da keine Zentrale, wo die Daten entsprechend irgendwo auflaufen, sondern das ist dann das Wasserwerk da und das Wasserwerk dort. Und die können teilweise getrennt betrieben werden - und werden teilweise sogar noch getrennt betrieben. Insofern ist das Security by Design sozusagen. Einfach deswegen, weil es eigentlich noch nicht dem aktuellen Stand der Steuerungstechnik entspricht.
Klaus Mochalski
Da schützt uns also so ein bisschen die noch hinterher hinkende Digitalisierung in diesem Bereich. Leider Gott sei Dank. Das heißt aber auch, dass Bedrohungsszenarien, also die Bedrohungen, da sind. Die passieren auch, und man muss sich dagegen wappnen. Solche Vorfälle, die jetzt nicht direkt zu einem Schaden im IT-Bereich führen, sind ja auch immer eine gute Möglichkeit, um die eigenen Fähigkeiten zu überprüfen, zu testen und zu sehen, wie gut man vorbereitet ist.
Wie ist es denn dort, was kann man denn über diesen Stand der Vorbereitung in diesem Bereich sagen? Sind die Leute gut trainiert? Ist klar, wer welche Aufgaben hat? Die Zusammenarbeit zwischen Dienstleister, den du angesprochen hattest, und intern dem eigenen Personal? Auch die Zusammenarbeit zwischen den OT, also den Steuerungs-, den Anlagenverantwortlichen und der IT? Was hat denn funktioniert und was hat denn vielleicht nicht gut funktioniert? Woran muss gearbeitet werden?
Rainer Stecken
Also gefühlt sind die Leute besser trainiert, den Bereich IT unter Kontrolle zu halten. Das hängt einfach auch damit zusammen, dass häufiger mit dem Finger drauf gezeigt wird. Ich denke da jetzt zum Beispiel an die Lageberichte, die das BSI regelmäßig verschickt, die ja gefühlt zu 98 % IT-Meldungen enthalten. Hier und da kommt mal eine Meldung rüber. Die werden relativ regelmäßig ausgewertet und die werden dann auch relativ regelmäßig befolgt. In aller Regel sind es ja Hinweise, dass sie da etwas tun sollen. Das hat eine Weile gedauert, und es ist auch noch nicht überall angekommen, dass man sich wirklich täglich mit diesem Thema beschäftigen muss. Ich denke aber, dass das im IT-Umfeld eine Frage der Zeit ist.
Im OT-Umfeld kann man das ja häufig gar nicht so zeitnah machen. Auf der einen Seite, weil viele von diesen Steuerungen einfach steinalt sind. Die laufen 30 Jahre und never change a winning team. Bleibt das so laufen, wie es läuft? Auf der anderen Seite ist die Notwendigkeit einfach noch nicht da oder die Not selber noch nicht groß genug, dass sich tatsächlich immer zeitnah die Systeme angeschaut werden. Da fehlt aus meiner Sicht auch ein bisschen das Verständnis dafür, welche Werkzeuge denn zur Verfügung stehen. Also wenn man da sagt, es gibt Advisories und die kann ich mir regelmäßig von den Herstellern holen oder bekomme sie zur Verfügung gestellt oder bekomme sie aus öffentlichen Quellen und sollte die dann automatisiert prüfen gegen das, was ich in meinem Asset Inventory stehen habe… Das passiert einfach noch nicht in der Art und Weise, wie wir das gerne hätten.
Da ist ein dickes Brett zu bohren, da muss man den einen oder anderen auch noch aus seiner Komfortzone holen. Und wir müssen einfach auch verstehen, dass die Menschen, die auf diesen Anlagen arbeiten, ja eigentlich ein anderes Arbeitsziel verfolgen, nämlich qualitativ hochwertiges Trinkwasser zu erzeugen oder das Abwasser entsprechend sauber zu bekommen, die Grenzwerte da einzuhalten. Das sind Leute, die sich mit OT und auch IT eigentlich im Kern nie beschäftigen.
Klaus Mochalski
Da gibt es ja sofort die Frage: Wie bereiten wir uns gut vor in diesen Bereichen? Was müssen die Betreiber zum Beispiel in der Wasserwirtschaft tun? Der Reflex könnte ja jetzt sein, dass auf der einen Seite alles ganz gut funktioniert. Das ist, wie du beschrieben hast, nicht überraschend, weil wir das seit Jahren üben und weil es da natürlich auch Standards gibt, wie man das tut. Das ist also eigentlich etabliertes Wissen. Das ist nur eine Frage der Umsetzung und vielleicht manchmal auch eine Frage der Kosten.
Übertragen wir das jetzt einfach auf die OT? Wenn man sich das mal überlegt, ist das vermutlich nicht der richtige Ansatz, denn wir reden über relativ wenige Vorfälle. Wir reden über eine Kombination aus Know-how. Du hast schon die sehr alten Steuerungen angesprochen, wo ich natürlich die Leute brauche, die das auch verstehen. Gleichzeitig braucht es aber auch das Wissen von IT-Angriffen, weil, wie du sagtest, die meisten Angriffe auch in OT-Infrastrukturen klassische IT-Angriffe sind. Das heißt, ich brauche dieses Verständnis und ich brauche das Verständnis der Anlagen, was zum Teil 20 Jahre zurückgeht. Das zusammenzuführen ist alleine schon eine Herausforderung. Und dann das Personal zu bekommen, was im Falle eines Falles dann weiß, was zu tun ist, an welchen Anlagen ich welche Knöpfe drücken muss, was ich abschalten muss, was ich nicht abschalten darf. Das ist verdammt schwierig.
Und da stellt sich die Frage. Wenn jetzt jeder kleine Betreiber - und wir wissen ja auch, wie kleinteilig der Markt in diesem Bereich in Deutschland ist, wir haben um die 1.000 Stadtwerke, wir haben ganz viele Betreiber in allen möglichen Einrichtungen - eine:n OT-Security-Expert:in einstellt… So viel gibt es einfach gar nicht in Deutschland. Das heißt, wir müssen das Problem anders lösen. Ich weiß, wir haben darüber gesprochen, dass ihr euch im Bereich Wasserwirtschaft Gedanken gemacht habt, wie man das macht. Was ist denn aus deiner Sicht ein Ansatz, um dieses qualitative Problem - wie kriege ich die die Leute trainiert - aber auch das quantitative Problem - wie kriege ich zur richtigen Zeit die richtigen Leute an die richtige Stelle - zu lösen?
Rainer Stecken
Sichtbarkeit ist ja genau der Punkt, über den wir gerade sprechen. Nämlich: Wie merke ich sehr zeitnah, dass irgendetwas vorgeht auf meiner Anlage, was ich mir nicht wünsche? Üblicherweise ziehen sich die Leute bisher darauf zurück, dass sie sagen: Okay, ich kann das Ganze von Hand steuern. Ich nehme es dann sozusagen komplett aus dem Netz und stelle überall jemanden hin, der dann die Steuerung vor Ort durchführt. Das ist natürlich Selbstbetrug. Das geht einen Tag oder zwei, aber das geht nicht wochenlang. Insofern muss man einfach sehen, dass man schneller sieht, wenn man angegriffen wird.
Und da gab es einen Ansatz in Nordrhein-Westfalen letztes Jahr, wo wir ein Security Operating Center [kurz: SOC] für die Wasserwirtschaft aufgesetzt haben. Die Idee dabei ist, dass es tatsächlich ein qualifiziertes SOC gibt mit qualifizierten Mitarbeitern. Im Moment ist das ein Dutzend, die die einzelnen Nachrichten von den Anlagen aus den Logs oder aus dem Netz mit entsprechenden Geräten sammeln, in diese SOC eingeben, und das SOC ist dann in der Lage zu erkennen, ob es sich um einen Angriff handeln könnte oder nicht. Und das gibt dann eine entsprechende Meldung zurück an die Anlagenbetreiber, die dann in der Lage sind zu reagieren.
Damit löse ich das Problem, dass ich das Know-how darüber, was denn ein Angriff sein kann, nicht vor Ort haben muss, sondern ich habe das dann eben in meinem SOC mit spezialisierten Leuten, die allerdings tatsächlich auf den einzelnen Anlagen vorher sich umgetan haben müssen. Im Moment ist es also so, dass die Mitarbeiter tatsächlich eine Woche bei den entsprechenden Anlagenbetreibern mitgearbeitet haben, um eine Vorstellung darüber zu bekommen: Was sind das eigentlich für Signale, die da kommen können? Und was heißt das dann auf der Anlage vor Ort? Es ist also auch da nicht einfach, dass ich sage, ich habe einen SOC und das löst dann meine Probleme. Aber es ist natürlich ein Schritt in die richtige Richtung.
Diese SOC läuft jetzt seit Ende letzten Jahres, ist von einigen großen Betreibern hier in Nordrhein-Westfalen unterstützt und zieht natürlich zunächst mal die Großen der Branche an - also aus Berlin, aus Hamburg, vom Bodensee - die sich dafür interessieren, sich da entsprechend aufzuschalten oder mal zu schauen, welche Möglichkeiten über das hinaus, was sie selbst schon realisiert haben, dieses SOC bietet.
Das ist für mich der eine Ansatz. Der zweite Ansatz, darüber müssen wir noch sprechen, ist eben das entsprechende Training. Was tue ich denn dann eigentlich, wenn es geknallt hat? Dass man also einen entsprechenden Plan in der Schublade hat und in den Köpfen eben auch hinterlegt hat, was sie denn machen sollen.
Klaus Mochalski
Lass uns doch mal kurz bei dem ersten Thema bleiben. Zu dem Thema Training können wir auch noch mal kurz sprechen. Aber das Thema SOC ist sehr spannend, weil das klingt ja erstmal wie der logische Ansatz. Ist ja auch keine neue Einrichtung. Das gibt es als Einrichtung schon sehr, sehr lange. Aber die Idee ist ja hier, dass man nicht als Betreiber sein eigenes SOC betreibt, sondern dass man das quasi outsourced. Aber nicht an einen Dienstleister, der auch jetzt meine speziellen Anforderungen nicht kennt. Sondern dass man sich in diesem speziellen Industriesektor - jetzt in dem Fall in der Wasserwirtschaft - organisiert und ein SOC mit entsprechend fachspezifischem Know-how aufbaut.
Und dort können sich dann die einzelnen Betriebe anschließen, die Daten liefern, die dann diese Sichtbarkeit, die du ansprachst - die man unbedingt braucht - liefern. Und dann hat man vor Ort das geschulte Personal. Und so hat man nach der neudeutschen Idee eine Sharing Community. Man teilt sich dieses Problem auf und macht es sozusagen auch ökonomisch abhandelbar. Und das ist, glaube ich, ein sehr spannender Ansatz.
Da interessiert mich natürlich, wie das dann mittelfristig funktioniert. Ob dann auch so die kleineren Verbände sich dort angesprochen fühlen und sich dort gut aufgehoben fühlen oder ob es für die vielleicht noch eine andere Lösung braucht. ich hätte jetzt eher gedacht, dass die Großen das vielleicht selbst und intern machen und dass es da vielleicht auch so einen gewissen Vorbehalt gibt, seine Daten an so eine externe Stelle zu geben, was ja immer noch unsicher ist. Und das es eher was für die kleineren Verbände ist. Deswegen finde ich es spannend, dass eher die Größeren mitgemacht haben. Was ist denn für dich der Grund, warum die Großen dort auf so eine externe Lösung aufgesprungen sind und warum die Kleinen noch zögerlich sind?
Rainer Stecken
Weil “groß” relativ ist. Ein Wasserversorgungsunternehmen, das, für sich betrachtet, groß ist, ist ja eigentlich ein mittelständisches Unternehmen. Und insgesamt sind dann vielleicht im Bereich IT, OT, Konfiguration und Überwachung vielleicht 50 Personen tätig. Wenn man sich überlegt, auf was die dann spezialisiert sein müssen, dann reicht es immer noch nicht aus, einen entsprechenden [SOC]-Betrieb auf die Füße zu stellen, der ja dann auch tatsächlich 24/7 gewährleistet bleiben muss.
Das heißt, ich bräuchte theoretisch mindestens zwölf Personen alleine für diesen Zweck. Und die selbst in einer mittelständischen Organisation aufzubauen, ist eigentlich finanziell kaum darstellbar. Deswegen macht es auch für die [großen Unternehmen] Sinn, mal zu überlegen: Können wir das gemeinsam vielleicht besser lösen?
Klaus Mochalski
Was könnte die Hürde sein für die Kleineren, da mitzumachen?
Rainer Stecken
Ja, eigentlich sehe ich für die Kleineren da keine Hürde, die höher wäre als für die größeren Unternehmen. Sie sind vielleicht gedanklich einfach noch weiter davon weg, weil die Großen haben natürlich schon gesehen in der Vergangenheit, dass diese Anforderung besteht [Anm.: seit Mai 2023 müssen kritische Infrastrukturen in Deutschland ein System zur Angriffserkennung nachweislich betreiben].
Wir haben das verglichen, beispielsweise wie sind die wasserwirtschaftlichen Unternehmen in den Niederlanden aufgestellt? Die haben Organisationsgrößen von mindestens 200 Personen. Da gibt es immer spezialisierte IT-Sicherheitsleute. Das gibt es bei uns eben nicht. Und dann war eben die Überlegung: Okay, dann lass uns das mal entsprechend zusammenlegen.
Die Kleineren sollten aus meiner Sicht die Gelegenheit nutzen, wenn sie sich denn bietet, da drauf zu schauen und sich bei der Gelegenheit eben auch beraten zu lassen, wie man denn vorgehen muss in Sachen OT-Sicherheit, weil sie das im Moment nicht wirklich gut beurteilen können. Aber ich bin schon mal froh, wenn es mit den Großen anfängt, dass wir sozusagen einmal ein Initialisierungskern haben, an dem es losläuft. Ich denke, das ist langfristig tatsächlich ein großer Gewinn für die Wasserwirtschaft. Wir haben 6.000 Wasserversorger in Deutschland. Das heißt, die meisten sind so klein, dass sie es auf gar keinen Fall selbst leisten können. Und die sollten sich da aufschalten.
Klaus Mochalski
Ja. Das heißt, ihr habt durchaus Interesse, oder? Wenn jetzt ein Betreiber, ein wasserwirtschaftlicher Betreiber zuhört, kann dieser sich durchaus an euch wenden. Und wo müsste er Interesse bekunden, um dort teilzunehmen, um sich aufzuschalten?
Rainer Stecken
Das kann er beim Kompetenzzentrum Digitale Wasserwirtschaft KDW. Die sitzen in Essen, und da betreiben sie auch das SOC. Wenn er sich da meldet, kriegt er Informationen darüber, was er tun muss, um sich da entsprechend anzuschließen.
Klaus Mochalski
Das klingt doch gut. Wir sind zwar kein Werbepodcast, aber vielleicht lohnt es sich, dafür mal Werbung zu machen. Und dass wir in den Shownotes diesen Link einblenden [https://kdw-nrw.de/]. Und vielleicht sorgt das ja für etwas mehr Zulauf. Aber so wie ich es verstehe, gibt es eigentlich keinen Grund, warum auch kleinere Betriebe dort nicht mitmachen sollten.
Rainer Stecken
Ganz genau. Und apropos “Werbepodcast”: Das ist im Moment ein Betrieb, der im Wesentlichen vom Umweltministerium des Landes Nordrhein-Westfalen betrieben wird. Das heißt, wir haben da auch die behördliche Rückendeckung, die notwendig ist, und die sorgen im Moment dafür, dass der Anschub auch gelingt.
Klaus Mochalski
Ist es dann im Moment auf Nordrhein-Westfalen beschränkt oder könnte sich auch jemand aus Bayern melden?
Rainer Stecken
Es kann sich auch jemand aus Bayern melden.
Klaus Mochalski
Okay. Gut. Das ist gut zu wissen. Dass so eine Art von SOC in einem bestimmten Industriesektor betrieben wird, was vielleicht durch den entsprechenden Industrieverband organisiert wird. Ist das für dich nach der Erfahrung, die ihr bis jetzt schon gesammelt habt, ein Betreibermodell, was auch in anderen Industriebereichen funktionieren könnte, zum Beispiel in der Stromwirtschaft, in der Energieversorgung oder in der Abfallwirtschaft? Oder auch in ganz anderen [Sektoren wie] der Fertigungsindustrie. Wir brauchen dieses sektorspezifische Know-how in so einem SOC. Gibt es irgendwas, was dagegen spricht, dass dieses Modell auch in anderen Industriesektoren funktionieren könnte?
Rainer Stecken
Aus meiner Sicht nicht. Das könnte auch in anderen Industriesektoren funktionieren. Die Stromwirtschaft ist einfach von den finanziellen Möglichkeiten her deutlich größer und betreibt natürlich selber [SOCs] seit etlichen Jahren. Das heißt, die sind da nicht unbedingt darauf angewiesen, das zu teilen, was man braucht.
Klaus Mochalski
Nur die großen Betreiber. Und da haben wir, glaube ich noch eher das Problem, dass die vermutlich nicht an so einem Sektor-SOC mitmachen würden. Und dann stehen die kleineren Betreiber so ein bisschen im Regen, weil die haben ja das gleiche Problem, was wir besprochen haben. Die sind zu klein, sich selbst zu organisieren, also ein eigenes SOC zu betreiben. Und wo sollen die jetzt hin? Und für die wäre es sehr wichtig, dass es dann so ein Parallelmodell gibt.
Rainer Stecken
Das könnte dann den gleichen Weg gehen. Durchaus.
Klaus Mochalski
Okay, okay. Was sind die größten Herausforderungen beim Aufsetzen so eines SOC noch?
Rainer Stecken
Einmal das Verständnis zu wecken, dass ein SOC tatsächlich nur dann sinnvoll arbeiten kann, wenn ich - flapsig gesprochen - die Hosen runter lasse, sprich: alle Daten zur Verfügung stelle, die man zur Beurteilung einer Angriffslage unbedingt braucht.
Wir haben anfangs gesehen, dass man gesagt hat: Na ja, wir geben euch mal einen Teil der Daten aus dem Teil des Steuerungsumfeldes. Das ist wenig zielführend, sondern im Zweifel braucht man ja eine Sicht auf das Gesamtunternehmen, sogar auch auf die IT des Gesamtunternehmens, um beurteilen zu können, gibt es da einen Angriff oder gibt es ihn eben entsprechend nicht? Das heißt, insofern ist auch ein Sektor-SOC vielleicht sehr hilfreich, als dass Vertrauen da leichter aufzubauen ist zwischen dem Nachfragenden und dem entsprechenden Anbieter, weil der ja so ein bisschen Stallgeruch hat der Anbieter.
Klaus Mochalski
Ja. Das ist noch ein weiterer Grund, Neben den fachspezifischen Kenntnissen, dem Know-how, das ich aufbauen muss, um da für Akzeptanz zu sorgen. Das ist nachvollziehbar. Das, was du sagst, - dass ich dort natürlich sehr detaillierte Daten über meine Infrastruktur herausgebe - bedeutet ja automatisch auch, dass es ein Thema ist, das über alle Ebenen organisiert werden muss. Das ist bei weitem nicht nur ein IT-Thema, sondern das ist ganz klar ein Thema des Managements und der Geschäftsleitung. Die müssen involviert sein, die müssen das Ganze unterstützen, die müssen es vermutlich sogar treiben.
Wir haben in einigen unserer letzten Podcasts auch darüber gesprochen, wie das Thema OT-Security am besten zu organisieren ist. Und der Trend, der sich da in den - ich sag mal - größeren Organisationen und - was OT-Security angeht - weiterentwickelten Bereichen herauskristallisiert, ist, dass es immer mehr ein Thema ist, was an zentraler Stelle beim CISO, das heißt nah an der Geschäftsleitung, landet. Dort wird das letzten Endes Teil der normalen Risikobetrachtung für den Betrieb des Unternehmens und dann geht das sozusagen nach unten. Durch die Organisation und durch die einzelnen Fachbereiche. Ist das in dem Bereich der Kritischen Infrastruktur, speziell bei der Wasserwirtschaft genauso oder siehst du dort noch andere Organisationsmodelle?
Rainer Stecken
Das ist durchaus genauso. Was wir sehen, ist, dass auf der obersten Managementebene die Manager eigentlich tatsächlich dafür sind, solche Modelle zu verwenden, weil ihnen völlig klar ist, dass sie von der Organisationsgröße her, von den finanziellen Rahmenbedingungen, die sie zu erfüllen haben, nicht in der Lage sind, das selbst und eigenständig zu leisten. Manchmal braucht es auch noch etwas Überzeugungskraft auf den Ebenen darunter, sich einem SOC wirklich zu öffnen. Das ist die Erfahrung.
Das heißt, man hat sozusagen das Plazet von ganz oben. Macht das. Macht das offen. Teilt die Daten. Betreibt es so, wie es sinnvoll ist, es zu betreiben. Und darunter wird es ein bisschen schwierig, tatsächlich an alles zu kommen, was ich an Daten brauche, um Angriffsbeurteilung durchführen zu können. Aber insgesamt vom Modell her ist das, wie du sagst, Wenn das von oben angenommen wird, dann sollte es sich auch sinnvoll umsetzen lassen.
Klaus Mochalski
Ja, das klingt doch gut. Zusammenfassend kann man sagen, man braucht die Unterstützung der Geschäftsleitung, Man braucht die Unterstützung der technischen Ebene durch alle Hierarchien. Das ist vermutlich sowohl eine interne Herausforderung als auch eine externe. Das heißt, auch als Betreiber muss man alle Ebenen mit entsprechenden Informationen versorgen. Warum das Datenteilen sicher ist, was der Mehrwert ist. Und das muss man einmal technisch, aber auch natürlich betriebswirtschaftlich begründen können. Man muss also alle Ebenen mitnehmen.
Und dann ist, glaube ich, ganz klar die Empfehlung an die Betreiber, keine Angst davor zu haben, die Hosen runter zu lassen. Wie du sagtest, man ist da im Zweifel in guter Gesellschaft und am Ende kann man nur gewinnen. Deswegen, deine Empfehlung finde ich sehr gut. Den ersten Schritt zu gehen, sich gern in dem Bereich der Wasserwirtschaft an diese Sektor-SOC, was hier schon existiert, wenden und als Empfehlung in die anderen Bereiche, doch mal zu überlegen, ob das nicht ein gutes Betreibermodell ist, was auch übertragbar ist.
Rainer Stecken
Ja, ich meine, man kann sich mal überlegen, es gibt ja andere Branchen, wo dieses Modell seit Jahrzehnten gelebt wird. Telekommunikation zum Beispiel. Das Internet ist Kritische Infrastruktur, die nicht außerhalb des Internets betrieben werden kann. Trotzdem schaffen die es einigermaßen vernünftig, sicher zu betreiben. Wie machen Sie das eigentlich? Mit genau solchen Modellen!
Klaus Mochalski
Das klingt doch sehr gut. Das heißt, das Problem, das ist durchaus ein schwieriges Problem. Also, wir wissen gemeinsam, wie dieses Problem zu lösen ist. Das ist kein unbekanntes, unlösbares Problem. Es ist nicht mehr Rocket Science. Man muss eben nur die ersten Schritte tun. Und hier kann man sich ganz klar an so einen Betreiber wenden und kann auch den Empfehlungen entsprechend der Erfahrung und auch der Sicherheitsframeworks - die es ja gibt in vielen Bereichen, zum Teil auch sektorspezifisch - entlanghangeln und dort eben zu einer graduellen Verbesserung der Sicherheit auch im OT-Bereich kommen.
Rainer Stecken
Ja, ganz genau.
Klaus Mochalski
Super. Dann haben wir, glaube ich, das Thema gut beleuchtet. Ach so, wir wollten noch einmal über die Ausbildung der Experten sprechen. Ich weiß gar nicht, ob wir hier noch sehr in die Tiefe gehen können. Aber du hattest noch gesagt, es ist natürlich wichtig, die Expertise aufzubauen. Was sind da die Herausforderungen und wie sollte man das tun?
Rainer Stecken
Also es gibt ja verschiedene Ansätze, wie wir einfach schneller werden können, was Patches angeht, wie wir mehr Wissen in die Organisation bekommen können, aus welchen Einzelkomponenten ihre Software sich zusammensetzt. Ich denke da jetzt an das BSI. Die haben unterschiedliche Initiativen gestartet zu sagen:
Wir müssen die Advisory Informationen schneller in die Unternehmen bekommen.
Wir müssen die automatisiert abgleichen können mit den entsprechenden Assetlisten.
Wir müssen natürlich auch Software Build of Material [SBoM] Listen haben, wo wir wirklich sehen können, aus was setzt sich die Software zusammen, damit es transparent wird.
Wenn ich irgendwo Schwachstellen habe in meiner Software, dass ich das überhaupt auch merke und darauf reagieren kann. Das ist der eine Punkt.
Und der zweite Punkt, der mir durch den Kopf geht, das ist die Cyber-Range, die es innerhalb des E.ON Konzerns gibt [Anm.: die Cyber-Range ist ein Cybersicherheits-Trainingszentrum für den deutschen Energiesektor]. Die damals angekündigt wurden als öffentlich zugänglich. Das heißt, jeder kann den Ernstfall da entsprechend trainieren. Die haben aber so viele Anfragen aus ihrer eigenen Firma, dass sie das inzwischen eigentlich nur noch intern anbieten können. Sowas würde ich mir gerne allgemein für die Versorgungswirtschaft wünschen. Denn nur was man übt, beherrscht man im Zweifelsfall, wenn denn der Fall eintritt, tatsächlich auch aus dem FF. Wenn sich wirklich schon mal der Druck darstellt, den man hat, wenn ein Angriff erfolgreich ist.
Klaus Mochalski
Interessant, dass du das sagst. Wir haben ja auch schon eine Podcast-Episode mit dem Cyber-Range gemacht, wo wir auch seit Jahren auch schon als Anbieter eines Angriffserkennungssystem teilnehmen und auch das Training mitgestalten. Und da haben wir auch viel gelernt. Natürlich. Und was du sagst, ist interessant, dass es dort also scheinbar eine Nachfrage gibt, die aktuell nicht bedient werden kann. Und da ist ja auch wieder die Frage, wie man das organisiert. Macht man das ähnlich wie mit dem SOC, dass man das sektorspezifisch, wie das auch in der Stromwirtschaft jetzt angefangen hat, organisiert? Aber auch das bedeutet natürlich, dass man da Organisationen, Teams und am Ende auch Finanzmittel braucht, um so etwas zu realisieren.
Rainer Stecken
Also, für mich ist das jetzt das Ziel, was als nächstes zu entwickeln ist. Im Anschluss an diese SOC, dass wir tatsächlich in der Lage sind, die Menschen auch zu trainieren.
Klaus Mochalski
Das klingt doch spannend. Das klingt so, als ob ihr damit erfolgreich seid, Wenn die nächsten Schritte gegangen seid, sollten wir eine weitere Episode machen und schauen, wie die Cyber-Range in der Wasserwirtschaft funktioniert und was dort vielleicht anders umgesetzt wird, als im Elektrizitätsbereich. Das klingt auf jeden Fall nach einem sehr spannenden Thema.
Rainer Stecken
Gerne.
Klaus Mochalski
Rainer, es hat mich gefreut. Es war eine spannende Diskussion. Ich hoffe, dass es auch unseren Hörern Einblicke gebracht hat. Ich glaube, speziell im Bereich der Wasserwirtschaft sind das doch einige gute Anstöße gewesen und ich freue mich auf die Folgeepisode. Dann zum Thema Cyber-Range in der Wasserwirtschaft.
Rainer Stecken
Vielen Dank und ich freue mich ebenso auf diese Episode. Mal sehen, wann die denn tatsächlich entsteht.
Klaus Mochalski
Ich bin gespannt.
Rainer Stecken
Ich auch. Danke.