#31: Trinkwasser in Gefahr? Hackerangriffe auf kritische Infrastrukturen

Lisa Fröhlich: Lisa Fröhlich Hallo und herzlich willkommen zu einer neuen Folge von Follow the White Rabbit, dem Link11 IT Security Podcast. Mein Name ist Lisa Fröhlich, bin Unternehmenssprecherin bei Link11 und ich freue mich natürlich, dass ihr heute wieder mit dabei seid und mit mir in den digitalen Kaninchenbau Cyber Security einsteigt. Im Großen und Ganzen geht es heute ein Thema, das uns alle betrifft, aber das im Weitesten ziemlich verborgen ist. Und zwar geht es die Sicherheit von kritischen Infrastrukturen wie Trinkwassersystemen, Energieversorgung, Produktionsanlagen. angesichts der zunehmenden Cyberangriffe wird auf diese Bereiche auch die sogenannte OT-Sicherheit, also die Besicherheit von Betriebstechnologien, wichtiger. Meine heutige Gästin ist Sarah Fluchs. Sie ist eine echte Expertin auf diesem Gebiet. Doktorarbeit hat den Titel Cybersecurity Decision Diagrams. Und Sarah hat sich in ihrer Dissertation intensiv mit der zunehmenden Komplexität unserer technologischen Systeme und deren Auswirkungen auf die Cybersecurity auseinandergesetzt. Inzwischen ist sie auch im Cyber Resilience Act Team der EU-Kommission und ich freue mich wahnsinnig, dass Sarah heute hier ist. Sarah, bevor wir in das Thema einsteigen, stell dich doch kurz vor.

Sarah: Sarah Ja, hast du ja eigentlich schon. Also danke dafür. Ja, ich bin von Haus aus Automatisierungstechnikerin, mal Automatisierungstechnik, eigentlich erst Maschinenbau und dann Automatisierungstechnik studiert, komme also aus der Ingenieurwelt. Und dementsprechend ist mein Einstieg in die Security auch einer über diese Ingenieurwelt gewesen, was ja eher unüblich ist. Aber dann war es nachliegend sich mit dem Thema OT-Security, wobei es den Begriff damals so noch gar nicht gab. Das war dann eher ICS Security, Industrial Control Systems, aber ist auch egal. Es meinte im Prinzip die Security von Systemen, die eben nicht nur Daten schubsen, sondern was real ist in der echten Welt steuern. Das war damals ein Thema, da bin ich dann direkt eingestiegen und mittlerweile bin ich CTO bei der Admirizia, die sich auch genau darauf spezialisieren. Das eine Beratungsfirma und ein Produkt launchen wir gerade. Mit dem Thema sind wir total treu geblieben.

Lisa Fröhlich: Lisa Fröhlich Mhm, mhm.

Lisa Fröhlich: Lisa Fröhlich Mhm.

Sarah: Sarah zur EU-Kommission, man muss kurz dazu sagen, ich bin im CRA-Expert-Team der EU-Kommission, also nicht in dem Team, das den CRA schreibt, sondern in so einem Experten-Kreis, wo die Kommission da noch mit bereit ist.

Lisa Fröhlich: Lisa Fröhlich Also du bist in beratender Tätigkeit für die EU-Kommission sozusagen tätig.

Sarah: Sarah Genau, allerdings in my personal capacity heißt das so schön, also unabhängig von meinem Arbeitgeber, sondern tatsächlich im Interesse der Allgemeinheit.

Lisa Fröhlich: Lisa Fröhlich Mhm. Ja, aber das ist doch toll. ich wie gesagt, ich verfolge ja deine Beiträge und deine Posts immer fleißig auf LinkedIn und ich finde das Thema OT-Sicherheit bzw. wie du es ja genannt hast, die ICS, also Industrial Control Systems Security, es ehemals betitelt wurde, ja auch total spannend, weil das ist ja tatsächlich was, worauf wir einfach immer vertrauen, dass es funktioniert, dass wir tagtäglich die Produkte, die wir nutzen, auch geliefert bekommen und dass natürlich auch, wenn wir den, sag ich mal, Wasserhahn aufmachen, dass da sauberes Wasser rauskommt, dass da nichts passiert und dass gerade diese ganze Betriebstechnologie spielt ja besonders in kritischen Infrastrukturen eine große Rolle. Also vielen, Dank, dass du dir heute die Zeit nimmst und mir sozusagen Rede und Antwort stehst. Ich habe im November 2020 gelesen, in dem es um die Trinkwasserversorgung in den USA In einer Untersuchung der US-Umweltbehörde zeigte sich, dass über 300 Trinkwassersysteme in den USA, die etwa 100 Millionen Menschen versorgen, was ja schon eine relativ große Anzahl ist, anfällig für Cyberangriffe sind. Die haben also analysiert, die Systeme haben, glaube ich, 75.000 IP-Adressen und 14.400 Domains untersucht, also auch die gesamte Infrastruktur für die Wassergewinnung, die Aufbereitung, die Speicherung und auch die Verteilung. Das ist vielleicht ein ganz gutes Beispiel, an dem du vielleicht mal erklären kannst, was OT-Sicherheit überhaupt bedeutet und warum sie so entscheidend ist, gerade in solchen kritischen Bereichen wie beispielsweise der Trinkwasserversorgung.

Sarah: Sarah Ich gehe gleich auf diesen Bericht kurz ein, aber um nicht eine eigentliche Message zu zerschießen, fangen wir erstmal an, damit was eigentlich OT ist. Also glaube, du hast es eigentlich super zusammengefasst. Auch das, ich mal spannend daran fand, das sind diese ganzen Systeme, die im Hintergrund laufen, die man gar nicht so richtig mitbekommt, dass sie da sind und die aber wirklich Grund, zumindest wenn es die OT ist, die kritischen Infrastrukturen eingesetzt, ist es wirklich Grundpfeiler unserer Gesellschaft.

Lisa Fröhlich: Lisa Fröhlich Hmm.

Sarah: Sarah sind also Stromversorgung, Energieversorgung und so weiter. OT ist, der Begriff kommt daher, also der Begriff OT, den gibt es eigentlich nur, ihn abgrenzen zu können von der normalen IT. Also IT Information Technology und OT Operational Technology, also alles, irgendwie dafür da ist, etwas, ich könnte kurz sagen, etwas im echten Leben, in der physischen Welt zu steuern. Also IT schubst virtuelle Daten durch die Welt, OT steuert wirklich physisch Prozesse.

Lisa Fröhlich: Lisa Fröhlich Mhm, mhm.

Sarah: Sarah Das kann sein, eben ein Klärwerk oder das kann sein, man pumpt Wasserversorgung durch die Gegend. Das können elektrische Relais sein für die Stromversorgung. Oder es müssen auch keine kritischen Infrastrukturen sein. Es kann auch schlicht und ergreifend Produktion sein. Also ein Roboter, der ein Auto zusammenbaut. Oder ein Ventil, das in der Chemieanlage dafür sorgt, die richtigen Chemikalien zu dosiert werden.

Lisa Fröhlich: Lisa Fröhlich Mhm, mhm. Mhm. Ja, ja.

Sarah: Sarah was etwas warm oder kalt macht, einen Heizstab oder sowas, gesteuert wird. Also Prinzip Steuerungen, die wirklich etwas mit Hilfe von Sensorik und Aktorik etwas im echten Leben bewegen. Und dann eben der ganze Kram, der da dranhängt. Das ist dann, das ist die, also Light-Systeme und so weiter. Da sind dann auch irgendwie den Grenzen zu IT fließend, weil auch Light-Systeme sind am Ende oft Windows-Server oder manchmal Linux oder irgendwas embedded.

Lisa Fröhlich: Lisa Fröhlich Hmm.

Sarah: Sarah Aber es ist natürlich auch eine Art von IT im weitesten Sinne, aber sie ist irgendwie anders. Und deswegen gibt es diesen Begriff, der Oti den, glaube ich, Gartner irgendwann mal eingeführt hat, sagen zu können, diese komische andere IT. das ist ganz grob das, was sich hinter OT versteckt.

Lisa Fröhlich: Lisa Fröhlich Mhm.

Lisa Fröhlich: Lisa Fröhlich Prima.

Sarah: Sarah Wo waren wir? denke, genau, der Artikel. Genau.

Lisa Fröhlich: Lisa Fröhlich Genau, ja, ich wollte wissen quasi, du hast jetzt wirklich sehr schön und sehr bildlich dargestellt, was OT-Sicherheit oder OT überhaupt bedeutet. Und das Beispiel, was ich aufgerufen habe, da ging es die Wasserversorgung, was ja wirklich essentiell ist. also zugegebenermaßen, wenn ich zu Hause den Wasserhahn aufmache, denke ich nicht unbedingt daran, dass mein Wasserversorger sozusagen auf dieser Ebene einen Cyber-Angriff, weil natürlich weiß ich, wer mein Wasserversorger ist und ich könnte mir durchaus vorstellen, dass der eben über Fishing-Kampagnen, CEO-Fraud und ich weiß nicht, wie die ganzen IT-Cyber-Angriffe sozusagen am Ende des Tages zutage gefördert werden bei einem Wasserversorger, aber zumindest würde ich vermuten, dass sie eher so im IT-Bereich liegen und nicht im OT-Bereich. Und es gibt aber ja natürlich, gerade in diesen Trinkwassersystemen, und das hat mir der Artikel so bisschen klargemacht, auch ganz viele Schnittstellen, wo eben die Infrastruktur OT-mäßig gesteuert wird und aber ganz, ganz arg gefährdet ist, dass da eben entsprechend bei der Wassergewinnung oder bei der Aufbereitung oder der Wasserspeicherung oder der Verteilung irgendwas schief laufen kann und dass eben Angreifer dies auf die kritische Infrastruktur abgesehen haben, weil sie eben für, du hast es gesagt, für die Gesellschaft ein tragendes Element darstellen, dass es da eben zu Gefahren kommt. Und das würde ich mir einfach gerne noch mal von dir erklären lassen.

Sarah: Sarah Ja, also das ist ganz interessant. gerade solche Reports zu der Studie, wie du jetzt auch genannt hast, die gibt es natürlich viele, in denen dann erst mal steht, das klingt erst mal schlimm. Also wir haben hier unsere OT-Systeme und da sind ganz viele Schwachstellen drin. Es muss man das ein bisschen differenzieren, weil diese Schwachstellen, nur weil so ein System eine Schwachstelle hat aus IT-Sicht, heißt es nicht, dass man damit was Schlimmes anstellen kann. Tatsächlich ist es so, dass die meisten

Lisa Fröhlich: Lisa Fröhlich Hmm.

Sarah: Sarah Angriffe auf OT-Systeme sind eher Kollateralschäden von Angriffen auf IT-Systeme. Das ist am Ende egal, weil wenn die Auswirkung da ist, ist sie da. Aber in den allermeisten Fällen, und das ist auch das, einen solchen Artikel, das muss man ein bisschen einordnen, passiert, nicht direkt was in der OT selbst. Also es gibt ganz, ganz viele Meldungen von, hier ist was passiert und da war was und es hätte ganz viel passieren können. Und der letzte Satz ist in der Regel, aber die Wasserversorgung war nicht betroffen.

Lisa Fröhlich: Lisa Fröhlich Mhm.

Lisa Fröhlich: Lisa Fröhlich Ja.

Sarah: Sarah Das ist ja erstmal eine gute Nachricht, weil es ist, die Ingenieure, sich diese Wasserversorgung kümmern, die Automatisierung machen, die haben jetzt auch nicht hinter dem Mond gelebt die letzten 30 Jahre. Und obwohl da, das ist manchmal bisschen schwer zu verstehen, obwohl aus IT-Perspektive die Systeme sind wirklich alt, da sind wirklich viele Schwachstellen drin, die erfüllen wirklich viele Security Best Practices nicht, da ist wirklich viel, was hypothetisch passieren könnte, aber de facto passiert nicht so viel, weil es dann eben doch so ist,

Lisa Fröhlich: Lisa Fröhlich Ja, okay. Ja, ja, ja.

Lisa Fröhlich: Lisa Fröhlich Mhm. Mhm. Mhm. Ja. Ja. Mhm. Ja.

Sarah: Sarah dass da eben schon viel zusammenkommen müssen, damit da jetzt wirklich mal so ein Worst-Case-Szenario eintreten würde. Wasserversorgung wäre ja der Worst-Case, okay, es kommt kein Wasser mehr aus dem Haar, das muss man erst mal hinkriegen, weil da muss man das Wasser ja wegkriegen, physikalisch. Aber der andere Worst-Case, über den viel gesprochen wird, ist zum Beispiel, da ist nämlich Chemikalien im Trinkwasser, da ist zu viel Chlor reindosiert worden, das ist vergiftet. Das ist nicht ganz unrealistisch, aber das ist natürlich etwas, das...

Lisa Fröhlich: Lisa Fröhlich Ja, ja, ja, ja, ja.

Lisa Fröhlich: Lisa Fröhlich Mhm. Ja, ja, ja. Mhm.

Sarah: Sarah Trinkwasserversorger sehr auf dem Schirm haben. sitzen Leute 24-7 in Leitwagen, gucken, wenn Werte rot werden, dann können die gegensteuern. Das ist auch in einem Wasser nicht so, dass sowas dann innerhalb von Sekunden passiert. Wenn ich jetzt eine Posier-Pumpe aufmache und da kommt eine Chemikalie rein, dann dauert das, bis der Wert über eine bestimmte Schwelle ist. Das ist so und das macht es alles, weil da eben diese realen physischen Prozesse dranhängen, auch nicht ganz einfach da einzugreifen.

Lisa Fröhlich: Lisa Fröhlich Ja, ja.

Sarah: Sarah Trotzdem, das kann ich verstehen, es ist natürlich irgendwie gruselig, man, und die Fälle gibt es auch, man sich per Team-Viewer oder sonst was auf diese Anlagen schalten kann und theoretisch etwas tun könnte. Bislang ist es toi, toi, toi meistens bei den theoretischen geblieben, weil es dann eben doch nicht so einfach ist, weil es dann doch auch Schutzmechanismen gibt und weil man oft viel Schabernack anstellen kann. Aber die wirklich harten Auswirkungen, die herbeizuführen, ist echt nicht so einfach.

Lisa Fröhlich: Lisa Fröhlich Mhm. Ja, ja. Ja.

Sarah: Sarah Das muss man erstmal auch bisschen zur Beruhigung sagen. Das heißt nicht, es ist nicht wichtig, das heißt auch nicht, die Schwachstellen sind nicht da, die sind alle da. es ist nicht so, als müssten wir jetzt, es wäre es total einfach und jedes Skriptkiddie könnte jetzt mal eben unsere Trinkwasserversorgung lahmlegen. Das ist nicht der Fall.

Lisa Fröhlich: Lisa Fröhlich Ja, ja.

Lisa Fröhlich: Lisa Fröhlich Ja, das glaube ich am Ende des Tages auch nicht. Also vor allen Dingen ist, glaube ich, wie du schon gesagt hast, es ist ja auch eine Herausforderung wirklich erstens in diese Bereiche reinzukommen und dann eben auch diese Bereiche so zu manipulieren, dass tatsächlich ein entsprechender Schaden entsteht. Und ich bin jetzt auch nicht so die Freundin, immer so mit der Angst der Menschen irgendwie zu spielen. Und das ist ja gerade auch im Bereich Cybersicherheit ist ja auch oft so dieses Thema, ja, manche Sachen werden groß gemacht, obwohl sie vielleicht gar nicht so groß sein müssten. ich finde es halt eben spannend, weil das ja im Grunde mitgedacht werden muss. Wenn ich jetzt beispielsweise mir die Unternehmenssicherheit bei dem einen oder anderen Unternehmen anschaue, dann muss ich eben auch in der Lage sein, nicht nur die Cybersicherheit mitzudenken, wenn ich jetzt beispielsweise an Risikomanagement denke oder an eben ein Sicherheitskonzept für ein Unternehmen, sondern dass eben auch nicht nur IT-Sicherheit, sondern eben auch OT-Sicherheit mitgedacht wird. Und zwar, wie du schon sagtest, OT ist oft auch ein Kollateralschaden von IT-Sicherheitsvorfällen und am Ende des Tages ist es ja egal, wer oder was dafür verantwortlich ist, dass im Grunde Dinge ausfallen, nicht funktionieren oder eben bestimmte Dinge lahmgelegt werden. Und ich finde das eben sehr, sehr spannend, weil das eben auch oft in der Erfahrung, die ich gemacht habe oder auch in den Gesprächen, die ich bisher geführt habe, ich hatte ja auch schon mal Rudolf Preuß hier bei mir im Podcast zu Gast, da haben wir auch über das Thema OT-Sicherheit gesprochen und wir haben uns auch darüber unterhalten, wie sozusagen wie wichtig es ist, dass halt eben auch die IT-Experten mit den OT-Experten sprechen, sich austauschen und gucken, okay, wie können wir das denn gemeinsam auf einen Nenner bringen? Wie können wir gemeinsam dafür sorgen, dass die Dinge sicherer werden? Und wie können wir gemeinsam dafür sorgen, dass eben eine sogenannte Cyberresilienz auf allen Ebenen entsteht?

Sarah: Sarah Ja, es ist vor allem auch hanebüchen ineffizient, das nicht zu tun, weil dadurch, dass die OT so nah an dieser echten Welt hat, echten Prozessen. Und ich hab gerade schon gesagt, da gibt es so bisschen alarmistische Meldungen, Hilfe, ganz viele Schwachstellen, und das stimmt ja auch, die sind alle da. Aber solange ich nicht über diese Auswirkungen der echten Welt spreche, sind die alle erst mal irrelevant. Also, beziehungsweise, ich kann die gar nicht einschätzen.

Lisa Fröhlich: Lisa Fröhlich Mhm.

Sarah: Sarah Und wirklich einschätzen zu können, was wirklich passieren kann und was davon wirklich schlimm ist oder nicht schlimm ist und was ich wirklich tun muss, die Systeme resilient zu bekommen, dafür brauche ich das Wissen über die Anlage, in dem Fall dann eben zum Beispiel das Wasserwerk oder die Pumpen oder das Klärwerk. Und ich brauche das Wissen über die Systeme, die das Ganze automatisieren, nämlich die OT. Wenn ich das nicht habe, kann ich eigentlich gar keine Risikoanalyse machen.

Lisa Fröhlich: Lisa Fröhlich Mhm. Mhm.

Sarah: Sarah ich kann eigentlich gar kein Risiko abschätzen, weil ich gar nicht weiß, was eigentlich die Auswirkungen sind. Und solange ich das nicht machen kann, ist meine einzige Möglichkeit, einfach alles zu machen, was man als Security-Best-Practice gibt und dafür hat kein Mensch die Ressourcen. Also das geht nicht. Das heißt, solange ich dieses Wissen der Ingenieure da nicht reinbringe, kann ich eigentlich nur vollkommen ineffizient mit der Gießkanal Security machen.

Lisa Fröhlich: Lisa Fröhlich Hmm.

Lisa Fröhlich: Lisa Fröhlich Ja, das stimmt. Das stimmt.

Lisa Fröhlich: Lisa Fröhlich Jetzt stelle ich mir ja immer so ein bisschen, wenn ich jetzt beispielsweise an die Trinkwasserversorgung denke und wenn ich mir so ein Worst-Case Science Fiction Mission Impossible Szenario vorstelle, dann könnte es ja auch durchaus sein, dass jemand beispielsweise, meines Wissens gibt es ja immer Sensoren, die auch so bisschen prüfen, wie ist die Qualität oder beziehungsweise welche gibt es Schadstoffe beispielsweise im Trinkwasser. Weil das Trinkwasser ist ja zumindest in Deutschland fast aus jeder Leitung genießbar und

Sarah: Sarah du würdest lachen, eine Art von solchen Sensoren sind Fische. Es gibt tatsächlich Klärwerke oder Trinkwasseraufarbeitungsanlagen, die haben an einer Stelle als Probe Fische da drin schwimmen, weil wenn die Kilo oben schwimmen, das der erste Indikator dafür, dass das nicht stimmt. das gibt es, ja. Gibt es, ja. Fische kann man auch nicht hacken, das ist super.

Lisa Fröhlich: Lisa Fröhlich Ja, das ist security as its best, würde ich sagen.

Lisa Fröhlich: Lisa Fröhlich Fische kann man auch nicht hacken. Ja, das stimmt. da werden ja solche Szenarien aufgemacht, dass irgendwer irgendein Mittel in dieses Wasser reinschüttet, das Wasser vergiftet, in Anführungsstrichen. Und dann müssen ja quasi die Sensoren dafür gehackt werden, damit sie eben nicht mehr in der Lage sind, das zu testen und so weiter und so fort. Also das ist ja ein relativ komplexes und aufwändiges Unterfangen. Gibt's denn, bevor wir jetzt noch mal zu einem anderen Thema in diesem Kontext kommen, würde ich gerne wissen, hast du in der Praxis schon mal irgendeinen Vorfall miterlebt oder hast du ein Beispiel, wo du sagst, ja, da wurde es mal kritischer als nur ein Bericht, der darüber spricht, wie schlimm es hätte werden können?

Sarah: Sarah Es gibt die Vorfälle. Ich habe durchaus auch schon ein paar Incident-Response-Einsätze hinter mir in solchen Fällen. 99 % der Incident-Response-Einsätze sind Ransomware. Das bedeutet, dass eine Verschlüsselungsmalware oder andere Software Daten verschlüsselt und man dann eben ein Erpresserschreiben bekommt. Und die richten sich natürlich meistens erstmal über das Internet, das heißt, es geht erstmal in die IT und wenn man Pech hat, schwappt das halt ins OT-Netzwerk über und dann ist da auch was verschlüsselt.

Lisa Fröhlich: Lisa Fröhlich Mhm.

Sarah: Sarah Dann ist eher die kritischen Fälle daran, dann oft eher gewesen, dass zum Beispiel, das ist ein paar Jahre her bei einem Maschinenbauer, das Problem eher darin lag, man gar nicht mal das alles verschlüsselt war, aber dass man sich nicht sagen konnte, was jetzt noch kontaminiert ist, was nicht, und man entscheiden musste, wie viel setze ich jetzt neu auf? Und es ist so, dass eigentlich so ein OT-System neu aufzusetzen,

Lisa Fröhlich: Lisa Fröhlich Mhm, okay. Ja. Mhm.

Sarah: Sarah die sind ja relativ statisch, die ändern sich nicht ständig. Das ist in der Theorie nicht so schlimm, aber da kommen auch sehr praktische Probleme rein. Genau, das praktische Problem ist dann, okay, aber der SPS-Code, die Logik dieser Steuerung, die liegt nun bei meinem Integrator, bei meinem Hersteller und den gibt es schon lange nicht mehr. Das heißt, einen eben neu aufsetzen, nicht so einfach, wie man sich das vorstellt. Und dann sind solche Dinge, sind dann eher die Probleme, das ist dann

Lisa Fröhlich: Lisa Fröhlich Mhm. Mhm. Die haben ja auch ganz andere Lebenszyklen.

Lisa Fröhlich: Lisa Fröhlich Mhm. Ja, ja.

Sarah: Sarah Ein Kollateralschaden aus Kollateralschaden, das ist wirklich ein Nebenebenebenebenebeneffekt, kann aber auch dazu führen, dass man eine Weile nicht produzieren kann, dass am Ende, das wird auch am Ende immer, ja, es gibt wirklich, wirklich, wirklich wenig Vorfälle, wo man wirklich direkt so einen Hackerangriff hat, wie man das aus dem Fernsehen kennt oder jetzt auch ein paar Mal gehört hat, dass da wirklich was lahmgelegt wird, gezielt von einem Hacker, der das so macht. Das sind da meistens wirklich in der Regel irgendwas, irgendwelche russischen Hackergruppen, es auf die Ukraine abgesehen haben.

Lisa Fröhlich: Lisa Fröhlich Mhm.

Sarah: Sarah Da gibt es so Fälle. Und natürlich Stuxnet, der berühmte Vorfall im Iran. Aber ansonsten ist es häufig so, dass das gar nicht der Fall ist, dass es eher so diese unspektakulären Dinge sind, wo die Leute versucht haben, einfach mal zu gucken, wo man am einfachsten reinkommt. Manchmal kommt man halt leider in den OT-Kram einfach rein und dass dann da was indirekt betroffen ist. Oder vor einem Jahr in Cononal, das ist wahrscheinlich schon länger her als ein Jahr, zwei Jahre, drei Jahre, egal, diese Cononal-Pipeline-Sache.

Lisa Fröhlich: Lisa Fröhlich Mhm. Ja.

Lisa Fröhlich: Lisa Fröhlich Ach, Colonial Pipeline. Ja, ja.

Sarah: Sarah in den USA, wo auch diese Bilder die Welt gingen von Menschen, in Plastiktüten Benzin abgefüllt haben und sowas war, ich, auch fake. Aber es ist egal. Es gab Benzinknappheit, eine wirkliche spürbare Auswirkung. Aber das war ja auch gar nicht deswegen, weil jetzt wirklich in ein OT-System gehackt worden wäre, sondern weil das Abrechnungssystem nicht mehr funktioniert hat und wenn nichts abgerechnet werden kann, man nichts aus, also ganz weit weg von OT, aber am Ende hat trotzdem das physische Auslieferung funktioniert. Und deswegen sage ich immer, es ist aber eigentlich egal.

Lisa Fröhlich: Lisa Fröhlich Mhm.

Sarah: Sarah Ist eigentlich wurscht, ob ich das... Klar, aus fachlicher Sicht interessiert mich das natürlich. Das ist auch spannend, wenn man direkt in die Systeme eingreift und das geht theoretisch auch. Aber das Unternehmen lahmzulegen, dafür gibt es meistens einfache Wege. Ein anderes gelagerte Fall ist das ganze Thema hybride Kriegsführung, wo man dann wirklich mit Staaten und so weiter zu tun hat, die ein Interesse daran haben, kritische Infrastruktur lahmzulegen, gewisse Stimmung in der Bevölkerung zu machen.

Lisa Fröhlich: Lisa Fröhlich Mhm. Ja.

Sarah: Sarah Klar, kein Strom mehr ist jetzt nicht unbedingt ein Stimmungsaufheller. Zum Beispiel.

Lisa Fröhlich: Lisa Fröhlich Nee, also wir haben hier bei uns in dem Stadtteil, in dem ich wohne, gab es im Winter oder jetzt kürzlich auch, hat der Oberbürgermeister sozusagen ein Hochhaus mit, ich weiß nicht, wie viele Parteien da drin wohnen, aber einen großen Wohnkomplex besucht und da ist wochenlang die Heizung ausgefallen. das ist, ja, und da ist

Sarah: Sarah Heizung ist noch fieser. ja, genau.

Lisa Fröhlich: Lisa Fröhlich auch eine ehemalige Kollegin von mir, die in Offenbach in einem großen Wohnkomplex wohnt, die hat auch gesagt, sie hatte im Winter vor Weihnachten drei Wochen keine Heizung. Und das ist natürlich für den einen oder anderen der noch einen alten Elektroradiator oder ein Heiß... so ein Heißluftgebläse irgendwo rumstehen hat, vielleicht jetzt nicht ganz so die Tragödie, dann halte ich mich lange auf der Arbeit auf, gehe dann noch in Sport, treffe dann noch meine Freunde, schwimme, lade mich bei Freunden ein und so. Also man findet ja schon Möglichkeiten, aber wie du gesagt hast, es wird ja dann kritisch für, wenn innerhalb der kritischen Infrastruktur Dinge passieren, die sich direkt auf uns auswirken.

Sarah: Sarah Schwimmbad, Schwimmbad hilft, ja genau.

Lisa Fröhlich: Lisa Fröhlich und sei es jetzt Benzin-Hamsterkäufe in den USA nach diesem Vorfall bei Kolonialpipeline, ist es natürlich auch ein Interesse von bestimmten staatlich unterstützten Hackergruppen, genau das auszulösen, weil das ist natürlich auch am Ende des Tages kann das ja vielleicht vor einer Wahl oder vor irgendeinem anderen Ereignis auch das Zünglein an der Waage sein. Und das ist ja hinreichend bekannt, wie diese Gruppen da unterwegs sind, wie lange die auch in Netzwerken, das sind genau, ja.

Sarah: Sarah Das sind erklärte Ziele. Also ganz klar erklärt, dass die sagen, dass auch einfach eiskalt so durchexerziert und sagen, dass die Vulkanfiles, die gelegt wurden vor letztes Jahr, vor letztes Jahr, wo man wirklich einfach mal so einen Einblick hatte, wie das auch einfach ingenieurmäßig geplant wird. Also das sind die Punkte, an denen könnte man was machen, da könnte man angreifen, das würde besonders stören. Und das sind gar nicht immer ganz die ganz großen Szenarien. Das sind ja immer diese kleinen Nadelstiche. Und man sagt, okay,

Lisa Fröhlich: Lisa Fröhlich Mhm, ich glaube ja.

Sarah: Sarah Und da ist jetzt wieder was, ähnlich wie es bei Terror auch ist, so kleine Nadelstiche, da ist wieder was passiert und man fühlt sich nicht sicher, man hat das Gefühl, das kann ausfallen, man schafft Unzufriedenheit und wenn man wirklich die harte Zerstörung will, das ist auch immer die Erkenntnis aus ganzen, Menschen, die sich viel mehr als ich zum Thema hybride Kriegsführung befassen, dann ist es immer noch einfacher, einfach physisch kaputt zu machen. Also dann ist immer noch, if you want a lot of black smoke, dann die Bombe ist immer noch das Beste.

Lisa Fröhlich: Lisa Fröhlich Ja, ja.

Sarah: Sarah Aber darum geht es halt nicht immer nur. Also in Zeiten von Fake News und Wahlbeeinflussung und so weiter sind eben diese kleinen Dinge durchaus auch welche, das heißt es muss gar nicht immer die Riesenauswirkungen sein, das große Blackout. So kleinere Dinge, die dann einfach erstmal doof sind, also Wasserversorgung, da ist es zum Beispiel auch total schwer großflächig was zu erreichen, weil wir sind genau kommunal organisiert, sehr abgegrenzte Bereiche, allein schon die Natur des Wassers.

Lisa Fröhlich: Lisa Fröhlich Ja.

Lisa Fröhlich: Lisa Fröhlich weil sie ja oft dezentral organisiert ist.

Sarah: Sarah in Abgrenzung zu Strom. Es ist nicht so, dass man es mal eben in Sekunden auf ganz viele Kilometer ausdehnen kann, wenn da was passiert. Das hat eine gewisse Fließgeschwindigkeit. Aber auch solche kleineren Vorfälle, die vielleicht erstmal nicht schlimm sind, die sind dann trotzdem erstmal destabilisierend.

Lisa Fröhlich: Lisa Fröhlich Mhm.

Lisa Fröhlich: Lisa Fröhlich Jetzt würde ich gerne nochmal, weil du ja eben auch quasi die EU-Kommission zu dem Thema berätst und da in der Cyber Resilience Expert-Gruppe mit Rat und Hart zur Seite steht, würde ich gerne nochmal zum Abschluss unserer Folge nochmal auf den Cyber Resilience Act einkommen. Also diese Regulierung hat ja für viele Unternehmen in Deutschland auch hinreichend folgen, würde ich mal sagen. Und was genau verbirgt sich denn dahinter? Und worauf müssen denn Unternehmen jetzt besonders achten, wenn sie sich mit dem Cyber Resilience Act beschäftigen? Und ein großes Stichwort im Rahmen dieser Regulierung ist ja auch das Konzept Cyber Security by Design. Das würde eine ganz eigene Podcast-Folge sozusagen hergeben. Vielleicht muss ich das mal planen, weil ich es total spannend finde. Wie kriegt man die ganzen, sage ich jetzt mal, günstigen IoT-Geräte herstelle, dazu Security by Design einzuführen. Aber das, wie gesagt, würde den Rahmen unserer Folge hier sprengen. Aber vielleicht kannst du uns einfach mal ein bisschen damit reinnehmen.

Sarah: Sarah Ja, genau, ja gerne. Der CRA bringt im Prinzip, was wir an Regulierung im Moment in Europa schon haben, auf eine nächste Stufe. Denn im Moment ist es so, dass das, worüber wir jetzt die ganze Zeit gesprochen haben, kritische Infrastrukturen, die sind ja als einziges, ein bisschen Ausnahmen, schon Security reguliert in der EU und auch in vielen anderen Ländern der Welt nachvollziehbarerweise, was man auch gesagt hat.

Lisa Fröhlich: Lisa Fröhlich Mmh.

Sarah: Sarah Die ganzen Fragen, die wir gerade besprochen haben, das ist wichtig, da müssen wir was gegen tun, ist auch staatliche Aufgabe. Deswegen gibt es diese Regulierung. Bei dieser bisherigen Regulierung ist immer eine bestimmte Dienstleistung im Fokus. Also das Wasser muss noch da sein, die Stromversorgung muss gewährleistet sein und so weiter. Und der CRA nimmt jetzt nicht diese Betreiber von kritischen Infrastrukturen in Fokus, sondern die Hersteller, die zum Beispiel diesen Betreibern Komponenten liefern.

Lisa Fröhlich: Lisa Fröhlich Hmm.

Sarah: Sarah Also zum Beispiel die Hersteller, die die Sensoren, die die Leitsysteme, die aber auch ganz normale Office IT, Steuerungen und so weiter liefern in den Fokus. Und zwar auch nicht nur für kritische Infrastrukturen, sondern einfach alle. Also ich glaube, das Spektakuläre am CRA ist Nummer eins, dass es wirklich das erste Mal ist, auch weltweit ziemlich einzigartig, dass Hersteller in den Fokus rücken. und dann eben das Thema Security by design. packt quasi

Lisa Fröhlich: Lisa Fröhlich die Steuerung etc.

Lisa Fröhlich: Lisa Fröhlich Mhm.

Sarah: Sarah ein Schritt früher an. Man sagt nicht nur, pass auf, am Ende muss die Dienstleistung dabei rauskommen, sondern auch die Komponenten, ihr dafür verwendet, die sollen inhärent schon möglichst sicher sein. Es ist ein Riesengeltungsbereich, im Prinzip alles, was irgendwie digital ist und irgendwie kommunizieren kann, das ist eigentlich alles. Also wenn man sich auf seinem Schreibtisch umschaut, ist das ungefähr alles, was da so draufsteht, fällt irgendwie da runter. Außer jetzt vielleicht der Stiftehalter, der nicht. Und das

Lisa Fröhlich: Lisa Fröhlich Mhm.

Sarah: Sarah was auch weltweit relativ einzigartig gemacht ist, dass es wirklich eine harte Markteintrittshürde ist. man hat es noch einem Hersteller gesagt, schön, it's revenue stream disrupting. Also du kannst wirklich das Produkt in der EU nicht mehr verkaufen, wenn du dich nicht dranhältst. Das ist hart. Also das ist tatsächlich auch etwas, was

Lisa Fröhlich: Lisa Fröhlich Mhm. Mhm.

Lisa Fröhlich: Lisa Fröhlich Mhm.

Lisa Fröhlich: Lisa Fröhlich Wow. Das ist hart. Aber es würde ja auch, also jetzt mal aus wirtschaftlicher Sicht gesehen, ist es ja auch eine Chance für europäische Unternehmen. Wenn sozusagen der fernöstliche IoT-Gerätehersteller einfach nicht mehr liefern kann, könnte diese Lücke ja ausgefüllt werden mit jemandem, der das in der EU produziert und sowieso schon quasi versucht, das Security by Design einzuführen.

Sarah: Sarah Genau, das ist gut, dass du sagst, ja.

Sarah: Sarah dass du es genauso sagst, weil ganz oft heißt es, jetzt kommt wieder EU-Bürokratie dazu und die EU schafft sich selbst ab und so alles, wir werden eigentlich nicht mehr wettbewerbsfähig. Ich das Wichtige ist halt, die EU ist ein großer Markt und das gilt aber für alle, die da verkaufen wollen. Also der IoT-Hersteller aus China muss sich genau so daranhalten, wie der IoT-Hersteller aus irgendwo Buxtehude in Deutschland. Also es ist total egal, alle, die in Europa produzieren, müssen das halt.

Lisa Fröhlich: Lisa Fröhlich Mhm.

Sarah: Sarah sich daran halten und dieses CE-Kennzeichen auf die Produkte bringen, das dann neuerdings auch für Security steht. Also kennt man vielleicht von so Sonnenbrillen oder Kinderspielzeug, da ist dieses CE-Kennzeichen drauf. Und so eins haben halt dann ab 27 alle digitalen Produkte. Die haben dann auch so ein CE-Kennzeichen mit bestimmten Nummernfolgen drunter, die dann sagt und das hier das Produkt erfüllt auch die Security-Forderung der EU.

Lisa Fröhlich: Lisa Fröhlich Mhm.

Lisa Fröhlich: Lisa Fröhlich Mhm. Ja. Mhm. Ja, ja.

Lisa Fröhlich: Lisa Fröhlich Mhm.

Lisa Fröhlich: Lisa Fröhlich Was ja im Grunde auch sinnvoll ist, Sicherheit in einen frühen Produktionsprozess einzubinden. Und nicht erst sozusagen ... Ich hab auch irgendwann kürzlich einen Artikel gelesen, ich weiß gar nicht, ob das ein koreanisches Unternehmen war, wo der CEO verhaftet worden ist, im Grunde im Gerät selbst per Default vom Hersteller ...dass eine Distributed oder eine Denial-of-Service-Attacke möglich gewesen wäre. Und diese Geräte per Default quasi für DDoS-Angriffe hätten genutzt werden können oder benutzt worden sind. Ich weiß es nicht henau. Also, ich müsste noch mal recherchieren und ich pack‘ den Link zu dem Artikel natürlich in unsere Show Notes, weil das fand ich auch sehr spannend.

Sarah: Sarah Das ist harte Beispiel für No Security, also Wohlnebel bei Design. Das wäre noch ganz hart.

Lisa Fröhlich: Lisa Fröhlich Wie kommt man auf die Idee, so was zu machen? Und warum glaubt man, dass das nicht rauskommt irgendwann? Aber das steht natürlich auch auf einem anderen Blatt. Und die Motivation, exakt. Ja, ob er das jetzt... Genau. Ja, ja.

Sarah: Sarah Die Motivation wäre interessant, was genau ihn dazu motiviert hat, zu machen. Kreative Geschäftsmodelle oder was genau das war. Aber es stimmt natürlich, ist natürlich erstmal total logisch zu sagen, es ist vielleicht klüger, die Produkte inhärent sicher zu machen, als zu versuchen, noch ganz viel drum herumzuflanschen, damit dann die unsicheren Produkte noch sicher werden. Das macht nie Spaß, das macht sie immer schlechter benutzbar und unbequemer und teurer und irgendwie, das will ja keiner.

Lisa Fröhlich: Lisa Fröhlich Mhm. Mhm.

Sarah: Sarah ein Produkt haben, wo ich noch drei Nebenprodukte benutzen muss, damit sicher genug ist und drei Workarounds und so weiter. Und da kommt es am Ende immer drauf raus. Und vor allem gerade beim Thema kritische Infrastrukturen und OT, wo ich ja noch mal viel unterwegs bin, haben die Betreiber, die ja schon lange diese Regulierung haben für die kritischen Infrastrukturen, auch einfach echt ein Problem, weil die sind halt sehr abhängig von den Herstellern, ihnen diese Automatisierungssysteme hin...

Lisa Fröhlich: Lisa Fröhlich Ja, ja.

Lisa Fröhlich: Lisa Fröhlich Mhm. Ja, ja.

Sarah: Sarah Es gibt auch eine sehr komplexe Kette. Es gibt Hersteller, die diese Komponenten wirklich herstellen, ein Leitsystem oder ein Sensor oder sowas. Es gibt Integratoren, die ein komplexes Gesamtsystem zu einer automatisierten Anlage machen. Es gibt Betreiber, die dann wirklich diese Anlage betreiben. Also dann meine Chemiefirma oder mein Wasserwerksbetreiber oder sowas. Und je nachdem, wo welcher Engineering-Anteil liegt zwischen diesen drei Parteien, kann es eben auch sein, hier das Beispiel, das wir gerade hatten mit o, mein

Lisa Fröhlich: Lisa Fröhlich Mhm. Mhm.

Lisa Fröhlich: Lisa Fröhlich Ja, ja, ja.

Sarah: Sarah SPS-Hersteller, Carti-Logik, aber der ist leider pleite, hat man dann eben auch bestimmte Komponenten, die da laufen bei einem Betrieb, mit dem man auch arbeiten muss. Man muss sicherstellen, man muss dafür garantieren, dass das alles sicher ist, man ist ja selber reguliert, damit da halt so Kuckuckseier drin liegen, in die man gar nicht reingucken kann. Nämlich diese Produkte von Herstellern und Integratoren, wo man einfach diese Transparenz nicht hat. Und deswegen ist es so wichtig, dass die eben auch ein Stück weit

Lisa Fröhlich: Lisa Fröhlich Ja.

Lisa Fröhlich: Lisa Fröhlich Ja klar.

Lisa Fröhlich: Lisa Fröhlich Mhm.

Sarah: Sarah dazu beitragen müssen, dass die Komponenten sicher werden und das ist für viele Betreiber ein großes Aufatmen, weil die immer die Probleme hatten zu sagen, wir haben die Informationen gar nicht, im Prinzip bin ich für was verantwortlich, wofür es auch schwer ist verantwortlich zu sein, weil ich den Einblick gar nicht habe, dass ich nichts selber mache.

Lisa Fröhlich: Lisa Fröhlich Mhm.

Lisa Fröhlich: Lisa Fröhlich Jaja klar und wenn wir jetzt uns wegbewegen, sozusagen raus aus dem Bereich der kritischen Infrastruktur und zum Schluss quasi will das gar nicht jetzt groß aufmachen, weil wir schon ziemlich am Ende unserer Folge sind, aber unter der NIS-2-Regulierung zum Beispiel ist ja auch die Geschäftsführung verantwortlich für die Sicherheitsimplementierung oder für die Sicherheitsstrategie. Wenn natürlich diejenigen eben, wie du gesagt hast, für Produkte die Verantwortung übernehmen, wo sie im Grunde gar nicht wissen, was steckt denn in dieser Blackbox am Ende des Tages, dann ist es natürlich eine Schwierigkeit, das im Grunde auch Risikomanagement-mäßig irgendwie so einzupreisen oder einzuplanen in eine Gesamtsicherheitsstrategie und ein Sicherheitskonzept, dass das am Ende des Tages auch wirklich funktioniert. Jetzt würde ich gerne von dir zum Abschluss ... noch mal so zusammenfassend wissen, was ... Was sind denn so deine drei wichtigsten Punkte, wenn du jetzt auf die OT-Sicherheit und den Cyber Resilience Act guckst? Glaubst du, dass es sich bis 2027 schon stark dahin entwickelt hat? Oder sehen wir da so einen ...ja, so ein Move wie bei der DSGVO zum Beispiel, hat sich bis zum Tag X quasi kaum einer damit beschäftigt und plötzlich rennen sie alle los und implementieren was? Oder wie ist da deine Einschätzung zum Abschluss unserer Folge?

Sarah: Sarah Der CRA ist ja mittlerweile in Kraft. Ich nehme sehr wahr, sich die Unternehmen sehr damit befassen und auch sagen, wie machen wir das jetzt, weil die Lebenszyklen sind lang und man muss früh genug damit anfangen. Das wissen die schon. Es wird immer noch ganz, ganz, ganz viele geben, vor allem kleinere.

Lisa Fröhlich: Lisa Fröhlich Mhm.

Lisa Fröhlich: Lisa Fröhlich Mhm.

Sarah: Sarah oder auch mit großen Rechtsabteilungen, die es gar nicht auf dem Schirm haben oder sehr elaboriert versuchen, drumherum zu kommen. Natürlich auch viele ungeklärte Fragen, ganz praktischer Natur. Aber grundsätzlich ist es schon so, dass da im Gegensatz zu DSGVO mehr passieren wird, weil es einfach eine Markteintrittshürde ist. Also DSGVO war ja mehr, wenn du dich nicht dranhältst, dann könntest du von jemandem abgemahnt werden und dann bekommst du eine Strafe, dass das lange nicht passiert und dementsprechend haben die Leute gesagt, ach so, war doch nicht so schlimm.

Lisa Fröhlich: Lisa Fröhlich Mhm. Mhm.

Lisa Fröhlich: Lisa Fröhlich Mhm. Ja, ja.

Lisa Fröhlich: Lisa Fröhlich Ja. Mhm. Ja, ja.

Sarah: Sarah Hier ist es ja wirklich so, ich darf das Produkt nicht mehr verkaufen.

Lisa Fröhlich: Lisa Fröhlich Ja, das ist eine ganz andere Motivation.

Sarah: Sarah Das ist eine ganz andere Motivation, dahintersteckt. Und viele der Firmen, mindestens im OT-Bereich, kennen auch dieses Konstrukt des CE-Kennzeichens schon. Weil sie zum Beispiel aus anderen Sicherheits-Safety-Gründen schon bestimmte Dinge einhalten müssen. Zum Beispiel elektronische Geräte verkaufen, gibt es ja auch schon Maschinen, Maschinen-Richtlinien, braucht man auch ein CE-Kennzeichen für mit eben anderen Arten von Anfang an. kennen sie schon, von daran ist das nicht ganz neu. Das ist auch eine Stärke des CRA.

Lisa Fröhlich: Lisa Fröhlich Mhm.

Lisa Fröhlich: Lisa Fröhlich Hmm.

Lisa Fröhlich: Lisa Fröhlich Mhm. Ja, ja.

Sarah: Sarah Insofern glaube ich schon, dass da viel passieren wird. Ich glaube aber auch gleichzeitig, dass ganz viel Praktisches erst mal noch hinzukommen muss, bis es so ist, dass wir damit alle halbwegs glücklich sind. es muss praktische Guidelines geben dafür, was eigentlich genau die Anforderungen sind, ich die umsetze. Es muss erst mal definiert werden, welche dieser Produkte von verschiedenen Produkttypen, was genau dazu gehörten, was nicht. Harmonisierte Standards sind in Arbeit. Die sind aber, das geht auch alles nicht so schnell.

Lisa Fröhlich: Lisa Fröhlich Mhm. Ja. Ja.

Sarah: Sarah diese ganz praktischen Fragen zu, was heißt denn, in Verkehr bringen? Jetzt habe ich plötzlich eine Software und keine Maschine. Was heißt denn da in Verkehr und für eine Software? Was ist ein Ersatzteil? Was sind wesentliche Änderungen? Ganz praktische Fragen, bei denen sich noch ganz viel einruckeln wird. Aber es ist so wichtig, einfach weil es das so komplettiert, wie du es gerade auch gesagt hast, es geht nicht, ohne dass die Hersteller auch ein Stück dazu beitragen, kriegen wir unsere Infrastruktur nicht sicher. Und deswegen ist wichtig, dass wir mit dem CLA, dass da jetzt der erste Schritt passiert ist.

Lisa Fröhlich: Lisa Fröhlich Ja, ja, ja.

Lisa Fröhlich: Lisa Fröhlich Hmm?

Lisa Fröhlich: Lisa Fröhlich Mhm.

Sarah: Sarah Bitte den ersten Schritt jetzt einfach mal gehen und der Rest muss halt on the road verbessert werden.

Lisa Fröhlich: Lisa Fröhlich Das finde ich ist ein guter Schlussappell, dass wir sozusagen in vielerlei Hinsicht auch im Punkt der Sicherheit einfach mal einen Schritt nach vorne gehen, bevor wir zu lange darüber nachdenken, was und wie wir denn gehen können und am Ende des Tages, ja.

Sarah: Sarah Ja, vor allem auch kein, das ist immer Legal Yoga, also kein Legal Yoga betreiben, versuchen Dinge rauszudefinieren. Manchmal ist es viel schneller als einfach zu tun und das macht auch viel mehr Spaß als zu versuchen etwas zu vermeiden. Am Ende landet man eh drin. Also den ersten Schritt machen und nicht so viel drüber nachdenken. Sehr gut.

Lisa Fröhlich: Lisa Fröhlich Ja, das glaube ich auch.

Lisa Fröhlich: Lisa Fröhlich Ja, da gibt es ja so eine schöne Edgar-Card. Machen ist wie wollen nur krasser. Also in diesem Sinne freue ich mich, dass wir heute unsere Podcast-Folge zusammen gemacht haben. Genau, das finde ich großartig. Sarah, vielen, vielen Dank, dass du mein Gast warst heute. Es ist wirklich super spannend. Ich könnte jetzt noch mindestens fünf weitere Fragen an dich stellen, aber das machen wir ja nicht mehr.

Sarah: Sarah Haben wir auch endlich gemacht und nicht nur gewollt und Termine verschoben. Sehr schön.

Lisa Fröhlich: Lisa Fröhlich bei anderer Gelegenheit und ja, da draußen wie immer bleibt mir an dieser Stelle nur zu sagen, vielen Dank, dass ihr heute wieder zugehört habt und wenn euch die Folge gefallen hat, dann empfehlt sie gerne weiter oder lasst ein Like da oder abonniert den Podcast. Wir freuen uns auf jeden Fall auch, wenn ihr mit uns in Kontakt tretet. Ihr findet mich auf LinkedIn, meldet euch, wenn ihr Fragen, Anregungen und Kommentare habt und ja, an dieser Stelle bleibt mir wie immer nur zu sagen, keep calm and get protected. Bis bald, macht's ciao!

Sarah: Sarah Tschüss, vielen Dank.