#21: Strom aus, Produktion steht

Lisa Froehlich: Lisa Froehlich Hallo und herzlich willkommen zu einer neuen Folge von Follow the White Rabbit, dem Link11 IT Security Podcast. Mein Name ist Lisa Fröhlich und ich bin Unternehmenssprecherin bei Link11. Ich freue mich, dass ihr auch heute wieder dabei seid, mit mir in den Kaninchenbau Cybersecurity steigt. Mit meinem heutigen Gast, Rudolf Preuß von Actemium, schaue ich mir das Thema OT -Sicherheit an. Zu Beginn des Podcast will ich eine kurze Einführung in das Thema bzw. eine kurze Vorstellung von Operational Technology, kurz OT, Im Grunde ist die Betriebstechnologie überall. Sie ist zum Beispiel verantwortlich dafür, dass das Wasser aus dem Hahn kommt, der Strom aus der Steckdose und dass unsere Läden mit Waren gefüllt sind, im Großen und Ganzen. Reduziert auf die wesentlichen Merkmale können wir sagen, dass die Operational Technology auf Deutsch eben die Betriebstechnologie Geräte steuert, während es bei Informationstechnologie IT vornehmlich die Daten und Systeme geht. Bei der IT geht es vor allen Dingen die Gewährleistung von Vertraulichkeit und Integrität und Verfügbarkeit von Daten und Systemen. wenn wir uns jetzt die Sicherheitsbrille aufziehen und auf die OT gucken, dann bedeutet OT -Security in der Regel, dass eben die industriellen Systeme vor Angriffen oder Ausfällen geschützt werden. Es warten auf jeden Fall viele spannende Fragen auf euch, wie zum Beispiel OT-Security in der Praxis aussieht oder wie sich Zuverlässigkeitsanforderungen von OT von denjenigen in der IT unterscheiden. Außerdem wird Rudolf unseren Hörerinnen und Hörern einen Einblick in die Praxis geben und ich freue mich Rudolf, dass du heute mein Gast bist. Von dir stammt das schöne Zitat, OT-Sicherheit ist IT -Sicherheit mit Helm. Stell dich doch bitte kurz unseren Hörerinnen und Hörern vor und vielleicht kannst du schon mal erklären, was eigentlich der Unterschied zwischen IT - und OT -Sicherheit ist?

Rudolf Preuß Actemium: Rudolf Preuß Actemium Ja, mein Name ist Rudolf Preuß. Ich bin Beauftragter für ITOT bei der Firma Actemium. Wir sind ein Systemintegrator für die Industrie. Das heißt, wir sind eigentlich Bestandteile eines sehr großen Konzerns und sind hochdezentral aufgebaut. Ich betreue in Deutschland 84 Business Units von so 50 bis 100 Mitarbeitern und wir sorgen dafür, dass die Industrie funktioniert und Maschinen und Anlagen laufen.

Lisa Froehlich: Lisa Froehlich Und wie kommt es, dass du jetzt quasi sozusagen an einer Schnittstelle unterwegs bist, wo es einmal die Prozesse und die Sicherung der Prozesse oder Sicherung der Prozessketten geht und auf der anderen Seite aber trotzdem noch einen IT-Hut aufhast?

Rudolf Preuß Actemium: Rudolf Preuß Actemium Na, das hat ein bisschen was damit zu tun, dass die Welt der Produktion mit der Welt der IT immer stärker zusammenwächst. Das Schlagwort lautete mal seit zehn Jahren Industrie 4 .0. Eigentlich ist das schon viel, viel älter, aber man hat lange Zeit gedacht, dass man bei der Produktion, bei der Operational Technology, auf der Insel der Glückseligen wäre, dass man getrennt wäre von dem Rest dessen, was in der IT stattfindet, auch an den Gefährdungen. Und man stellt in zunehmendem Maße fest, dass das nicht der Fall ist, sondern dass man Datenverbindungen hat zwischen der IT und der OT. Und wenn das nur die Anbindung von dem SAP -System ist und Bestellvorgänge und Qualitätsdaten auszutauschen, all das findet statt. im gesellschaftspolitischen, weltpolitischen Rahmen treten da Gefährdungen auf, die immer bewusster werden. Jetzt müssen wir

Lisa Froehlich: Lisa Froehlich Also das heißt im Grunde, du hast den Rahmen ja jetzt schon gesteckt sozusagen, es geht eben darum und jetzt wollen wir uns ein bisschen tiefer in dieses Thema eingraben, OT -Systeme finden sich ja in quasi nahezu allen Industriebereichen und der Prozessindustrie wieder. Also das ist ja wirklich im Grunde Energieversorgung, Öl und Gasindustrie, Wassermanagement, Fertigung, Transport. Also wenn ich so an quasi die Industrie denke und das produziere mit Gewerbe, dann fallen mir zig verschiedene Beispiele ein, wo auch ich schon SAP-Steuerungen oder SPS-Steuerungen an Maschinen gesehen habe. Mein Mann hat lange Zeit für mittelständischen Maschinenbauer gearbeitet. Da hatten diese Steuerungen der Maschinen fast alle, bei allen Kunden weltweit, Remote -Fernzugriff. Das war der erste Moment, wo ich dachte, aha. Hier haben wir ja definitiv eine solche Brücke von der IT in die OT -Welt, weil ja natürlich jeder Fernzuggriff remote über irgendein Netz, also über das Internet läuft und hier lauern doch die einen oder anderen größeren Gefahren. Und das ist ja in der Prozessindustrie schon auch ein bisschen anders als jetzt nur auf die IT bezogen. Da geht es ja im schlimmsten Fall tatsächlich, wenn irgendwas ausfällt, Menschenleben. Die sind direkt gefährdet. Also die Prozesse beispielsweise in der Energieversorgung, wenn da irgendwelche OT -Systeme ausfallen, dann kann es entweder zu Stromausfällen kommen, aber es kommt ja auch immer wieder mal in irgendwelchen Chemiewerken beispielsweise zu Lackagen oder gefährlichen Vorfällen mit Explosionen etc. pp. Und natürlich steht da im Vordergrund, dass diese Systeme einfach sicher und vor allem sehr zuverlässig laufen. Kannst du uns kurz beschreiben, wie du sozusagen die OT -Sicherheit in der Praxis erlebst? Worauf kommt es denn da am stärksten an?

Rudolf Preuß Actemium: Rudolf Preuß Actemium Nein, du hast den Finger schon in die richtige Wunde gelegt. Das fängt mit dem Remote- Zugriff auf eine Maschine an. Ich habe vorhin gesagt von der Insel der Glückseligen, auch in jeder Produktionsanlage ist IT-Technik verbaut. Die hat eine Komponente, die ist ein bisschen anders. In der Industrie haben wir Investitionszyklen, die können auch mal gerne 10, 20, 30 Jahre werden, während in der IT das viel, viel schneller geht. Aber trotz alledem ist IT-Technik drinne verbaut. Wir sind immer davon ausgegangen, dass man die weder updaten müsse noch sonst was, weil ja und jetzt bist du dabei Leib und Leben zu sichern. Wir haben nicht nur die Cyber Security in der OT, sondern auch die Functional Safety. Das heißt, eine Maschine muss auch in einer gewissen Form die Menschen schützen, dass sie nicht durch die Maschinen gefährdet werden, keine Unfälle passieren, dass auch keine Umweltbelastung stattfinden. Und das heißt eben auch, wir haben

Lisa Froehlich: Lisa Froehlich Hmm. Hmm.

Rudolf Preuß Actemium: Rudolf Preuß Actemium Begriff, das nennt man Functional Safety, der ist ganz klar reguliert. Da muss man auch nachweisen, was man dort getan hat. Es gibt Risiko Bewertungen. Und wenn ich jetzt hingehe und sage, ich verändere Dinge an der IT, hat das auch immer Auswirkungen darauf, dass die Risiko Bewertung und die Anlagenzustände geändert werden. Und diese Verhältnisse, diese Abhängigkeiten, die muss man diskutieren. Insofern sind viele Methoden, die man in der normalen IT Cybersecurity verwendet, nur mit gewissen Umwegen und mit gewissen Abstrichen in der OT umsetzbar.

Lisa Froehlich: Lisa Froehlich Aber im Grunde sind doch die OT-Systeme, die in irgendeiner Form, sag ich jetzt mal an Netzwerke, dann noch mit dem großen, weiten Internet, was ja nicht wirklich auf Sicherheit konzipiert oder mit Sicherheitsaspekten konzipiert wurde, verbunden sind. Im Grunde sind doch OT -Systeme faktisch fast den gleichen Cyber-Sicherheitsbedrohungen ausgesetzt wie IT-Systeme oder irre ich mich da?

Rudolf Preuß Actemium: Rudolf Preuß Actemium Nein, hast du vollkommen recht. sind genauso gefährdet und sitzen genauso im Netzwerk wie die IT. Jetzt muss man sagen zwei Dinge dazu. Erstens vernünftigerweise, auch wenn das nicht überall umgesetzt ist, versucht man die Netzwerke zwischen der IT und der OT in einer gewissen Form zu trennen. Da macht man Firewalls, demilitarisierte Zonen dazwischen. Das heißt eine Northbound Firewall dazwischen.

Lisa Froehlich: Lisa Froehlich Hmm?

Rudolf Preuß Actemium: Rudolf Preuß Actemium Gelände und eine Southbound Firewall. Da gibt es lauter Technologien, die man anwenden kann. Das muss man tun. Da muss man aber auch sagen, die Reife unserer Industrie, das umzusetzen, ist nicht unbedingt die am weitest fortgeschrittene. Das ist in manchen Punkten sehr erstaunlich, weil in der Produktion findet die Wertschöpfung statt. Dort wird das Geld verdient, wofür man dann auch anschließend seine Verwaltung braucht, das Geld umzusetzen, die Steuerung und all das. Das wird in der Produktion verdient. Aber die Perspektiven sind eben andere. Die Investitionszyklen sind andere und auch die technologischen

Lisa Froehlich: Lisa Froehlich Mmh.

Lisa Froehlich: Lisa Froehlich Ja, ich habe Anfang des Jahres 2024 habe ich in Essen auf der e-Energy einen Vortrag gehalten zum Thema Cybersicherheit in der Energiebranche. in meinem Vortrag habe ich auch so ein schönes Schaubild gehabt, einfach mal aufzuzeigen, wo quasi wie so eine Energieversorgungslinie aussieht, weil dann habe ich verschiedene sozusagen Strom erzeugende Quellen, es ist egal, ob das die Kraftwerke sind oder meine Windräder offshore oder meine Sonnenkollektoren, bis aber sozusagen der Strom ja bei mir zu Hause privat aus der Steckdose kommt, sind ja unfassbar viele Zwischenschritte, unfassbar viele OT-Systeme sozusagen eingebunden, sei es jetzt bei der Umwandlung von den Hochtrassen, wo der Strom erstmal wieder in eine Volt -Ladung oder in eine Ampere -Ladung gewandelt werden muss, die aus meiner Steckdose kommen kann und nicht irgendwie gefährlich ist. Also das sind ja alles Dinge, die sozusagen ja auch, wie du schon sagtest, auf eine ganz andere Lebensdauer sozusagen programmiert oder geplant sind. Wir sprechen jetzt nicht hier von irgendwelchen sozusagen Software, sage ich jetzt mal Software-Updates, die alle naselang notwendig sind, eben bestimmte Software abzudaten, sondern diese Systeme sind, ich will jetzt nicht sagen, gemacht für die Ewigkeit, aber die haben ja doch auch eine ganz andere Lebenszyklusdauer und auch eine ganz andere Dimension. Da ist es so, dass ich da auch darauf eingegangen bin, dass eben verschiedene Systeme voneinander eben separiert werden, einfach die Sicherheit zu erhöhen. Und je separater ein System ist, desto weniger angreifbar kann es von außen sein. Aber nichtsdestotrotz gab es eben unfassbar viele Beispiele, die ich jetzt im Vorfeld dieses Vortrags für meine Recherche gefunden habe, die gezeigt haben, wie leicht, in Anführungsstrichen, es doch Hackern oder Cyberkriminellen gelingt, diese Systeme reinzukommen. Ein Beispiel, ein großes, sage ich jetzt mal, das die Prozessindustrie getroffen hat, ist ja der sogenannte Colonial Pipeline Hack in den USA. Das ist so eines der klassischen Beispiele, die mir sofort, wenn ich an OT -Systeme denke, sozusagen einfällt, weil einfach da auch tatsächlich die gefährdet gewesen ist oder zumindest hat dieser Vorfall zu einem größeren Impact geführt und glücklicherweise ist niemand zu Schaden gekommen. welche Anforderungen und Herausforderungen gibt es denn sozusagen im Bereich der Zuverlässigkeitsanforderungen für OT und wie beißt sich das vielleicht auch mit den IT oder mit der Sicherheit oder den Vorfällen?

Rudolf Preuß Actemium: Rudolf Preuß Actemium Okay.

Rudolf Preuß Actemium: Rudolf Preuß Actemium Ich will jetzt kein Blame Game anfangen. nein, doch, doch, doch, doch. Wir machen das mal an zwei Stellen fest. An der ersten Geschichte, wenn wir über Energienetze reden in Deutschland und auch in Europa, da sind wir schon seit vielen Jahren daran, die Kritisverordnung und ähnliches intensive Maßnahmen zu machen, unsere OT zu schützen. Und NIS 2, so.

Lisa Froehlich: Lisa Froehlich Nein, Gottes Willen, es geht nicht ums Blamen.

Lisa Froehlich: Lisa Froehlich Mhm.

Lisa Froehlich: Lisa Froehlich Ja, an das NIS2 kommt, da kommen ja noch ganz andere Dinge.

Rudolf Preuß Actemium: Rudolf Preuß Actemium Gerade das ist ein Beispiel, wo wir auch alle gelernt haben, wie wir das immer besser machen können. Traurige Ausnahme war jetzt gewesen zu Beginn oder im Rahmen des Ukraine Konflikt ist die Angriffe auf das ukrainische Netzwerk. Da kann man dann schon mit der Fehleranalyse sagen, was da passiert ist. Aber wir haben eigentlich eher die Geschichte von erfolgreichen Abwehrmaßnahmen. Ein Beispiel dazu war gewesen der Angriff auf das dänische sehr dezentrale Energienetz

Lisa Froehlich: Lisa Froehlich Mhm.

Lisa Froehlich: Lisa Froehlich Mhm.

Lisa Froehlich: Lisa Froehlich Mhm. Mhm.

Rudolf Preuß Actemium: Rudolf Preuß Actemium glaube ich, Herbst letzten Jahres, Anfang diesen Jahres. Dort hat man sehr gute Angriffe auf Firewalls machen können, aber die sind sofort erkannt worden. Da haben die Leute in den Zerts ja sehr vier vier anstrengende Wochen gehabt, sich zu wehren. Ihre Haut. Sie haben es erfolgreich gemacht. Es gab keine Stromunterbrechung. Die Kunden haben nichts gemerkt. Und bei der Colonial Pipeline in den USA gibt es einen witzigen Zusammenhang. Die Firma Colonial Pipeline ist per

Lisa Froehlich: Lisa Froehlich Ja, ja.

Lisa Froehlich: Lisa Froehlich Mhm.

Rudolf Preuß Actemium: Rudolf Preuß Actemium Ransom-Software-Angriff in ihrer IT angegriffen worden und die betrieben die Pipelines an der amerikanischen Ostküste und die hatten so einen digitalen Schalter. Nur wenn die Rechnung bezahlt, es läuft die Pumpe weiter. Das ist einfach zur Absicherung des OT-Prozesses. Und weil jetzt keine Bezahlt Rechnung Meldung mehr kam, haben die Pumpen einfach aufgehört zu arbeiten. Und dann wurde der Sprit an den Tankstellen

Lisa Froehlich: Lisa Froehlich Mhm.

Rudolf Preuß Actemium: Rudolf Preuß Actemium Und dann könnte ich auch wieder mit breiter Brust sagen, aha, die OT hat schon ihre Sicherheiten gehabt. Da kann man dann hinterfragen, ist das vernünftig redundant? Aber da merkt man, der Dialog zwischen IT und OT ist notwendig, zum Beispiel aus solch einem Fehler, der da dummerweise aufgetreten ist, abzufangen und darüber zu reden. Und vielleicht, ich muss da ein bisschen ausholen, die OT denkt immer sehr ingenieursmäßig über ihre Sicherheit nach.

Lisa Froehlich: Lisa Froehlich Mhm.

Lisa Froehlich: Lisa Froehlich Mhm.

Rudolf Preuß Actemium: Rudolf Preuß Actemium Und IT ist nicht die einzige Sicherheit. Nehmen wir das klassische Beispiel, du würdest einem IT-ler den Auftrag geben, mach doch mal eine Steuerung für einen Druckkessel mit einem Kompressor. Dann würde der viel Mühe sich darauf geben, dass dieser Prozess nicht fehlen läuft, würde Sicherheitsmechanismen einbauen und Sonstiges. Der Ingenieur baut oben drüber noch ein Überdruckventil. Vollkommen unabhängig von dem System oder ein Beispiel der Braunkohle -Tagebaubagger. Das größte, was passieren kann, im schlimmsten Fall kippt der Bagger

Lisa Froehlich: Lisa Froehlich Mhm.

Rudolf Preuß Actemium: Rudolf Preuß Actemium Und wenn die Steuerung jetzt, also ich sag mal, die die Nivellierteile da ausschalten würde, dann gibt es in so einem Bagger immer noch Abreißschalter, die verhindern, dass das Ganze umkippt und die Motoren stilllegen, schlicht und ergreifend, wenn das Ding zu schief steht. Und das sind Maßnahmen, die unterscheiden die IT von der OT. Aber da gibt es noch eine ganze Menge mehr. Und natürlich, die OT hat ihre Hausaufgaben nicht in Vollständigkeit gemacht. Wenn wir in die Unternehmen reingucken, gerade auch in Bestandsindustrien, dann sind viele Dinge, die müssen noch getan werden. Da gibt es ganz viele Low Hanging Fruits und mit denen müssen wir agieren. Das wäre das Wichtigste, dass wir mal solche Dinge auch rangehen.

Lisa Froehlich: Lisa Froehlich Hmm.

Lisa Froehlich: Lisa Froehlich Ja, ich glaube, du hast einen guten Punkt angesprochen, nämlich die Kommunikation oder ja, sozusagen das Zusammenwachsen von IT und OT und was ja gerade unter Sicherheitsaspekten unheimlich wichtig ist. Wie ist es denn eigentlich, wer trägt denn in der Regel die Verantwortung für die OT-Security? Ist es ein CSO? Ist es der Geschäftsführer? Sind es die Ingenieure in dem Unternehmen? Wie nimmst das in der Praxis wahr? Weil ich könnte mir vorstellen, dass es für diesen Dialog, der ja dringend notwendig ist, einfach sozusagen diese beiden Bereiche bestmöglich in einem Prozess, industriellen Betrieb abzusichern, dass da halt einfach an den richtigen Stellschrauben auch entsprechende Maßnahmen implementiert wird. Wer trägt da deiner Meinung nach oder wer sollte deiner Meinung nach da die Verantwortung tragen?

Rudolf Preuß Actemium: Rudolf Preuß Actemium Ich gebe dir da zwei Antworten. NIS-2 setzt den verantwortlichen Hut des juristisch Verantwortlichen der Geschäftsleitung auf und die versucht das natürlich zu delegieren. Und dann kommen wir zu der Herausforderung, die in vielen Unternehmen stattfindet, dass die Produktionsverantwortlichen und die von der IT ein bisschen unabhängig voneinander sind und einander vorbeireden. Und dann muss man die zum Sprechen bringen und miteinander reden. Und der

Lisa Froehlich: Lisa Froehlich Mhm. Mhm.

Rudolf Preuß Actemium: Rudolf Preuß Actemium wie bei normalen Menschen üblich, hilft, Konflikte aus dem Weg zu räumen und produktive Lösungen zu finden. Ich mache das an unserem eigenen Großunternehmen fest. Wir haben ein Schwesterunternehmen, die Firma Axians, die macht ICT-Dienstleistungen und wir machen halt eben die Produktionsanlagen. Und wir haben im Sommer einen Hackathon gemacht und haben gemischte Teams aufgemacht und die die Aufgaben gestellt, unsere eigene kleine Demonstrationsfabrik mal

Lisa Froehlich: Lisa Froehlich Mhm.

Rudolf Preuß Actemium: Rudolf Preuß Actemium Cybersecurity technisch auf den Stand zu bringen, mal zu gucken, was denn ist und was man denn alles besser machen könnte. Und wir haben 48 Stunden intensiv zusammengearbeitet, diskutiert und es kamen überraschende und spannende Ergebnisse auch für mich da raus. ein Beispiel, wo ich was gelernt habe. Man geht in der IT von der CIA-Triade aus Confidential, Integrity, Availability.

Lisa Froehlich: Lisa Froehlich Mhm.

Rudolf Preuß Actemium: Rudolf Preuß Actemium Und das ist schon in der OT umgedreht. Das heißt, es ist Verfügbarkeit, das Maß der Dinge, erst dann die Integrität der Daten und danach halt eben auch die Vertraulichkeit. Und dann haben beide Seiten gesagt, ja, aber die Identität, dessen, Steuerbefehle gibt, also diese, das wäre eine ganz wichtige weitere Geschichte. Und das haben die alle jeweils als vierten Punkt gesagt und haben gesagt, dieses Identitätsmanagement.

Lisa Froehlich: Lisa Froehlich Mhm.

Lisa Froehlich: Lisa Froehlich Mhm.

Rudolf Preuß Actemium: Rudolf Preuß Actemium Das ist was ganz, ganz Wichtiges. Da war ich überrascht. Ja, also das habe ich nicht so erwartet. Das hatte ich auch gar nicht auf dem Schirm gehabt. Das Zweite, was ich im Dialog, wir haben auch da nicht nur interne, sondern auch externe Systemlieferanten gehabt, die großen Industrieautomatisierungsunternehmen Schneider Electric, B &R, Siemens waren dort vor Ort gewesen und dann haben wir in offener Runde darüber diskutiert, was ist unser Ziel? Und unabhängig voneinander haben die Teams des Hackathons gesagt, wir würden gerne den Security Level 3 erreichen, das heißt ab, wir bis hin zu professionellen Angreifern und stellten dann fest, ohje, die Realität ist aber die, es gibt vermutlich kaum eine Anlage, die schon den Security Level 1 bisher in Vollständigkeit erreicht. Und das heißt der Anspruch und die Realität klaffen noch weit auseinander. Und wir haben noch eine ganze Menge Weg zu gehen, aber bin da optimistisch, dass wir das schon hinbekommen.

Lisa Froehlich: Lisa Froehlich Ja, ich finde das total spannend, weil ich glaube, das sind so sehr gute Maßnahmen. Einfach sozusagen erstmal auch eine Verbindung irgendwie zwischen den richtigen Menschen aufzubauen, weil bevor ich irgendwie sozusagen über Konflikte reden kann, brauche ich eine Verbindung mit jemandem. Sobald ich irgendwie eine Beziehung habe, kann ich auch ganz anders über bestimmte Themen sprechen. Das ist ja jetzt ja mal eigentlich die die Basis. Von daher finde ich das klasse, dass ihr das im Hackathon gemacht habt und dass da auch für dich noch überraschende Ergebnisse dabei waren. Jetzt stelle ich mir das in der Praxis, nochmal auf den mittelständischen Maschinenbauer zurückzukommen. Also ich weiß, dass die Maschinen in der Regel weltweit bei fleischverarbeitenden Betrieben stehen. Die Maschinen sind in der Regel fast 24 -7 am Laufen. Jetzt ist es ja in so einem 3-Schicht 7-Tage -Schicht-Prinzip -Modell nicht unbedingt, sag ich jetzt mal, einfach, wenn, ich sag mal, pro Schicht eine Person da arbeitet, also 3 Personen am Tag an der Maschine dran. Wenn ich jetzt irgendwie, sag ich jetzt mal, 6, 8 Leute hab, die in der Woche diese Maschinen bedienen. Da sind ja die meisten Passwörter, und du hast es genannt, Identitätsmanagement ist sozusagen großes Stichwort. Und meine Erfahrung oder das, was mir so widergespiegelt wurde, war eigentlich, dass die Maschinen A entweder gesteuert wurden über gar kein Passwort oder sie wurden gesteuert über ein voreingestelltes Passwort oder sie hatten ein Passwort, was quasi allen bekannt war. Da rollen sich ja sozusagen dem einen oder anderen ITler, der sich mit Sicherheit beschäftigt, die Fußnägel nach oben, wenn er hört, es gibt vor eingestellte Passwörter oder die werden nicht regelmäßig gewechselt. Aber ich sag mal, für diesen laufenden Produktionsprozess ist das ja auch eine Frage von Verfügbarkeit. Also die Maschine, die muss halt einfach laufen.

Lisa Froehlich: Lisa Froehlich Weil wenn die Maschine nicht läuft, wird das vielleicht nicht verarbeitet. Wenn das vielleicht nicht verarbeitet wird, kommt hinten kein Produkt raus. Wenn hinten kein Produkt rauskommt, verdient die Firma kein Geld. Und an was sind die Leute interessiert? Weil diese Maschinen, die da stehen, die zahlen die Maschinen, also die zahlen die Unternehmen ja auch nicht aus der Portokasse, sondern das sind ja auch hohe Investitionskosten und so eine Maschine muss ja vielleicht erst mal fünf Jahre laufen oder vielleicht auch nur ein Jahr im Idealfall, bis tatsächlich das Geld, was damit verdient wird, auch sozusagen als Gewinn und nicht nur als Umsatz wieder in das Unternehmen zurückfließt. Und ich glaube, da gibt es natürlich auch immer, oder so stelle ich mir das zumindest vor, dass es in dieser Stelle ja auch immer Reibungspunkte gibt zwischen dem, wie nutzbar sind die Dinge und wie sicher müssen sie am Ende des Tages sein. Wie erlebst du das in der Praxis?

Rudolf Preuß Actemium: Rudolf Preuß Actemium die die die Praxis und die Realität heißt, wenn wir ein erfolgreiches System haben wollen, dann haben wir eine Technologie. Wir haben Organisationen, wir haben Menschen, in diesem System richtig und gebildet handeln. Und wir machen das mal über das Thema Assess Management Zugangskontrolle. Das wird vollkommen witzlos. Man fängt an an der Maschine oder auch auf einem Leitstand. Ich muss permanent ein L langes Passwort

Lisa Froehlich: Lisa Froehlich Mhm.

Rudolf Preuß Actemium: Rudolf Preuß Actemium Das ist nicht praktikabel. Das ist auch zum Teil ganz, ganz gefährlich, weil wir müssen ja schnell reagieren können auf Situationen, auch über einen Terminal. Ja, so. Also müssen müssen wir uns alternative Lösungen suchen, weil wir wollen erstens immer wissen, wer hat denn was gemacht? Logging und zweitens wir müssen sicherstellen, dass dir Zugang gegeben ist. Dann nehme ich mal so richtig praktische Lösungen. Wie wäre es denn mit einem R-Fit

Lisa Froehlich: Lisa Froehlich Mhm. Ja, und Maschinen gegebenenfalls ja auch schnell abstellen können, also mit Not aus.

Lisa Froehlich: Lisa Froehlich Mhm.

Rudolf Preuß Actemium: Rudolf Preuß Actemium und einem Air-Fit-Tech, den man zum Beispiel an einem Handgelenk trägt und damit verriegelt man die Tastaturen in Zugang zu einer Steuerung. Dann hat man ein Identitätsmanagement, man hat eine zweite Absicherung und man kann das Ganze mitloggen. Dann hat man eine schöne Lösung gefunden. Das kann man jetzt im Einzelfall hoch individuell auslegen und da liegt die Verantwortung bei den verschiedenen Akteuren. Das heißt, wir haben einen Produkthersteller, wir haben einen Integrator in der Rolle.

Lisa Froehlich: Lisa Froehlich Mhm.

Rudolf Preuß Actemium: Rudolf Preuß Actemium empfinden wir uns und wir haben einen Anlagenbetreiber, der sich schon darüber Gedanken machen muss, wie betreibe ich denn meine Anlage, wie mache ich das sicher? Da kann man ihn beraten, aber ich kann ihm die Verantwortung nicht abnehmen. Ich kann ihm aber Hilfestellungen geben. Und das ist die Aufgabenstellung, die ich jetzt als Systemintegrator für mich sehe. Ich bringe die Technologie mit dem Anwender zusammen und wir finden gemeinsam Lösungen, die für alle Beteiligten nutzbar sind.

Lisa Froehlich: Lisa Froehlich Mhm.

Lisa Froehlich: Lisa Froehlich Mhm.

Rudolf Preuß Actemium: Rudolf Preuß Actemium Es nützt nichts, Sicherheitsmechanismen einzubauen, die umgangen werden, weil die Ergonomie nicht stimmt. Also das ist ein wichtiger Begriff. Ergonomie in der Cybersecurity, sollte man ab und an auch mal verstehen, dass nicht alles, was technisch machbar ist, auch wirklich menschlich umgesetzt werden kann.

Lisa Froehlich: Lisa Froehlich Mhm.

Lisa Froehlich: Lisa Froehlich Gibt es denn sozusagen jetzt, wenn du auf deine berufliche Laufbahn blickst, gibt es ein Beispiel aus der Prozessindustrie, wo du sagst, da lässt sich das gut verdeutlichen oder wo du sagst, hier zeigt sich in der Praxis ein besonders gutes Beispiel, was du kurz schildern kannst?

Rudolf Preuß Actemium: Rudolf Preuß Actemium Ja, ich muss das ein bisschen anonymisieren, aber nehmen wir ein Praxisbeispiel mit dieser Identifikation. Es gibt einen großen Chemie -Park und da sind eigentlich alle Leitstände in abgesicherten Räumen. Das heißt, hat einen separaten Zugang. Da wird kontrolliert, wie man reinkommt und dort finden die Steuerungen statt. Meistens sind da immer zwei Mann vor Ort. Das heißt, vier Augen Prinzip, all das. Aber irgendwo auf dem Campus steht auch eine große Zentrifuge. Und da ist ein HMI dran, wo man die Drehzahlen einstellen kann. Das ist öffentlich zugänglich. Zugang zu dem Gelände ist halt eben, wenn man einmal eine Fahrt nach vorbei ist, ist man auf dem Gelände drauf. Und da ging es genau die Fragestellung, was passiert, denn wenn so eine Zentrifuge mal aus der Wucht gerät, dann muss man die Drehzahl verstellen. Das muss man schnell machen. Wenn ich da jetzt ein ellenlanges Passwort draufsetze, das funktioniert nicht. Andererseits kommt irgendjemand vorbei und macht so eine Manipulation.

Lisa Froehlich: Lisa Froehlich Hmm.

Rudolf Preuß Actemium: Rudolf Preuß Actemium drückt irgendein Knöpfchen, ist das auch nicht gut. Und dann ist genau diese Lösung Erfit Chip und ich bin der Autorisierte, der immer darauf zu achten hat und kann nicht reagieren. ist ein wunderbares Beispiel, wo Organisationsfragen, wo ganz spezielle Situationen zusammenkommen und wir trotzdem eine vernünftige Lösung finden können. Und das ist, finde ich, sehr positives Beispiel, wie man das hinkriegen kann. Da haben mehr als einer darüber nachgedacht, wie man das am Ende praktisch macht. Wir haben über Organisationsfragen geredet, wir haben über Technik geredet und wir haben über die Gegebenheiten

Lisa Froehlich: Lisa Froehlich Jetzt ist es ja so, und da würde ich gerne zum Ende unserer Folge noch mal bisschen drauf einsteigen, in der IT wird ja sozusagen, erleben wir gerade einen unfassbar großen Hype rund künstliche Intelligenz. Diese Technologie ist sicherlich, was bestimmte IT-Prozesse angeht, bahnbrechend und vor allem, ich habe für einen Professor gearbeitet, TU Darmstadt, der hat immer gesagt, KI ist die Goldmine für Cybersecurity. Jetzt ist natürlich die Frage, und das hatten wir in unserem Vorgespräch ja so schön diskutiert, es gibt ja mit Sicherheit in der OT noch Bereiche, in denen der Mensch unersetzlich ist. Also ich kann mir vorstellen, dass im Bereich der IT, Künstliche Intelligenz, deutlich mehr Prozesse übernehmen wird in Zukunft, als es in der OT möglich ist. Und da kann man vielleicht zum Abschluss einfach auch noch mal so eine Analogie zu der zu dem Sicherheitsaspekt geben. Wir hatten glaube ich das Beispiel von einer Gummidichtung in einem Auto diskutiert, dass es quasi keine Maschine gibt, so exakt oder war das nicht das Tesla Beispiel? Willst du das hier gerade noch mal schildern? Das fand ich sehr, sehr anschaulich.

Rudolf Preuß Actemium: Rudolf Preuß Actemium Ja, also ich erinnere mich daran, dass der Elon Musk ja ganz am Anfang mal gesagt hat, er wollte eine Maschine, die Maschinen produziert und eine vollautomatische Fabrik haben und der Automatisierungsgrad bei Tesla ist schon sehr beeindruckend. Aber so wie ich das mitbekommen habe, war es zum Beispiel das Problem, so eine Gummidichtung reinzudrücken mit einem Roboter. Also dieses Was ist mehr, was ist weniger ist eine ganz große Herausforderung. Natürlich kann man das irgendwann erreichen, aber es gibt so ganz manuelle Vorgänge, die nur sehr schwer nachzuvollziehen sind zuerst mal. Das entlässt uns nicht aus der Verpflichtung heraus, weiterhin zu automatisieren, weil Arbeitskräfte knapp werden und weil auch die Belastungen reduziert werden müssen. Aber es gibt mit Sicherheit ganz viele Tätigkeiten, wo man auf den Menschen nicht verzichten kann und manchmal auch nicht soll oder will, muss man so einschränkend sagen. Ich bin begeistert von dem, was heute schon machbar ist. Das ist noch viel mehr, als ich viele Leute vorstellen können. Aber man muss das Ganze mit Bedacht

Lisa Froehlich: Lisa Froehlich So jetzt hätte ich, also wie gesagt, wir sind jetzt gar nicht mal darauf eingegangen, dass ja OT -Systeme auch, wie gesagt, wir haben von den langen Lebenszyklen dieser Systeme gesprochen und ja, da laufen zum Teil auch eben veraltete Hardware und Software-Geschichten drauf. Es gibt immer noch viele unsichere Kommunikationsprotokolle. Wir hatten den Remote, die Remote-Verbindung sozusagen angesprochen. Es gibt natürlich fehlende Verschlüsselungen, die du in dem schönen Beispiel mit dem Chip oder dem Zugangschip erklärt hast, wie man die lösen kann. Was sind denn jetzt sozusagen als Abschluss unserer Folge, was sind denn deine Empfehlungen für Unternehmen, die ihre OT -Sicherheit verbessern möchten? Oder hast du so eine Handvoll Tipps, wo du sagst, das ist das, worum man auch im Hinblick auf die Regulierung unter NIS 2 beispielsweise in Zukunft gar nicht mehr drum herum kommt?

Rudolf Preuß Actemium: Rudolf Preuß Actemium Die 10 Punkte, die die NIS -2 -Regelung von vielen Unternehmen verlangt, die nacheinander abzuarbeiten. Das ist a, eine kräftige Herausforderung, aber b, da steht ja nichts drin, was nicht im hohen Eigeninteresse eines jeden Unternehmens ist, das zu machen. Und das gilt auch für die OT. Und ich sage immer, fangt mit den ersten Schritten an, macht die Low Hanging Fruits, schließt mal die Tür von eurem Verteilerschrank ab. So banal das klingt. Tauscht mal die Standardpasswörter gegen komplexere Passwörter. Das sind Dinge, die sind so schnell gemacht, die kosten erst mal kein Geld. Und wenn ich mir danach so ein bisschen Überblick über das verschaffe, was ich, ich sag das mal Asset-Register nenne, was mit einer Risikobewertung einhergeht, das wird immer eine Reise sein. Also das ist nicht ein Projekt Cybersecurity, weder in der IT noch in der OT, sondern das ist ein Prozess, der gehört einfach mit dazu. Und ich sag immer, fangt mit den einfachen Dingen an.

Lisa Froehlich: Lisa Froehlich Mhm.

Rudolf Preuß Actemium: Rudolf Preuß Actemium Unterwegs kriegt er immer mehr Kraft und es macht wie beim Joggen immer mehr Spaß.

Lisa Froehlich: Lisa Froehlich Ja, spannend. Ja, vielen Dank. Dem habe ich persönlich eigentlich gar nichts mehr hinzuzufügen. Ich fand's war ein spannender Einblick mal so in komplett anderen Bereich der OT -Systeme und der Betriebstechnologie, weil das ja nochmal eine ganz andere Komponente hat als sozusagen das Thema IT im klassischen Sinne und auch die IT -Sicherheit und Ich glaube, wir brauchen wie in so vielen Bereichen einfach eine viel engere Vernetzung zwischen denjenigen, die sich am Ende des Tages mit OT oder IT -Sicherheit beschäftigen. Ein Hackathon kann ein super, super Tool sein, einfach in größeren Gruppen und auch in größeren Unternehmen und Konzernen, die vielleicht auch weltweit agieren und mehrere Standorte haben, da mal sozusagen 48 Stunden in Medias res zu gehen und den einen oder anderen Heureka-Moment zu erleben. Das kann ja auch für ein Team oder für ein Unternehmen ein unheimlicher Boost sein. Also ich glaube, das ist einfach was, was wir uns immer hinter die Fahne schreiben können oder immer sozusagen auf eine Zielvision gehört, dass man eben mehr kommuniziert, offener miteinander redet und erstmal die richtigen Menschen zusammenbringt. Ja, ich hoffe, das ist mir hier heute mit dieser Folge auch gelungen. Ich freue mich, dass du da warst. Vielen, vielen Dank, Rudolf, dass du mein Gast warst heute und ich hoffe, euch hat die Folge gefallen. Wenn dem so ist, dann lasst gerne ein Like da oder kommentiert. Empfehlt die Folge weiter und am besten abonniert ihr sie, damit ihr keine weitere Folge verpasst. An dieser Stelle wünsche ich Rudolf noch einen schönen Tag und bis demnächst. Und für euch bleibt übrig Keep Calm and Get Protected. Danke, bis dann. Tschüss.

Rudolf Preuß Actemium: Rudolf Preuß Actemium Vielen Dank. Tschüss Lisa.