Intro
Engel: Ja, kommen wir nämlich jetzt zu
einem Vortrag, der mir selber am Herzen
liegt, weil einige meiner besten Freunde
haben KRITIS. Und es ist halt so eine
Krankheit, wie so eine Pandemie, da muss
man einfach sagen, muss man erst mal mit
umgehen lernen. Darum freut es mich umso
mehr, dass wir jetzt hier bei uns im Saal
oder wie auch immer man das hier so nennt,
den HonkHase oder mit bürgerlichem Namen
Manuel Atug haben. Honk ist sozusagen
einer der Mitgründer von der KRITIS AG.
Gleichzeitig macht ja auch so was mit
Security, wenn man sich bei ihm also den
Track Record ansieht. Irgendwie 23 Jahre
Informationssicherheit und im Endeffekt
muss man sagen, er ist halt wirklich ein
alter Hase in der Szene und auch in
anderen Szenen. Und da muss man einfach
sagen: Wow, für deine ganzen Experience
Points, die du jetzt sozusagen mit
einbringst, hier in diesem Vortrag. Und an
der Stelle, ja, welcher Vortrag wird das
überhaupt? Ja richtig, Kritische
Infrastrukturen in Pandemie Zeiten. Und
ja, jeder der sozusagen das Glück hat in
Firmen zu arbeiten, die auch unter KRITIS
fallen, ja die werden glaube ich ein Lied
davon singen können und werden jetzt
besonders aufmerksam auch zuhören, ob man
hier auch noch mal was lernen können. Und
an der Stelle würde ich einfach sagen:
Applaus, Applaus, Applaus, vorab. Wasser
Marsch. Honk, the Stage is yours.
HonkHase: Ja danke Pupe. Ich hatte ja
schon einen anderen Vortrag gehalten:
Erfahrungen eines KRITIS-Prüfers, haben
ein bisschen erzählt, wie man da so lebt,
leidet, aber auch, wie kreativ sozusagen
die Vorhaltung der kritischen
Infrastrukturen oder besser gesagt der
Versorgungsleistungen, so bewerkstelligt
wird. Und heute zeige ich euch mal so ein
paar Themenabschnitte wie kritische
Infrastrukturen eben in so einer
pandemischen Zeit eigentlich im
Hintergrund, die ganze Sachlage stemmen
sozusagen. Ja Pupe hat schon gesagt, ich
habe quasi KRITIS im Endstadium. Über 23
Jahre bin ich in all dem Ganzen aktiv.
Meine Kernthemen sind eben kritische
Infrastrukturen aus Leidenschaft Hackback,
weil es eben auch kritische
Infrastrukturen bedroht. Ethik,
Cyberresilienz, also wie wird man
resilient gegen das ganze, Cyber-Gedöns,
Stern Punkt Stern und eben der
Bevölkerungsschutz, weil am Ende ja wollen
wir eigentlich morgen noch kraftvoll in
die Tastatur hacken und dazu brauchen wir
Strom, Wasser, Hund, Katze, Maus und wie
das sichergestellt wird, das erzähle ich
euch dann mal jetzt ein bisschen. Aber
bevor wir da reingehen, werde ich euch
noch mal ein bisschen zu den kritischen
Definitionen erzählen, denn die
rechtlichen Definitionen sind alles andere
als trivial oder komplett geklärt und
geregelt. Und deswegen machen wir da auch
noch mal einen Durchblick oder Überblick,
damit ihr anschließend den Durchblick
habt, was das eigentlich so rein rechtlich
und gesetzlich bedeutet. Warum das einfach
oder komplex ist. Und dann kommen wir zu
sechs Fallbeispielen, die ich euch einfach
mal mitgebracht habe und im Detail
aufdröseln. Ja, rechtliche Definitionen
was ist ein KRITIS-Betreiber? Gucken wir
mal von oben nach unten herab auf auf die
einzelnen Ebenen. Die Europäische Union
hat das in der NIS-Richtlinie definiert.
Die NIS 1.0, die 2er ist gerade in Arbeit,
Grusel Grusel. Aber da sind im
Wesentlichen oder es sind Betreiber
wesentlicher Dienste definiert. Das sind
dann sieben Stück an der Zahl. Und das
Ziel ist eben zu sagen Festlegung von
Maßnahmen zum Erreichen des gemeinsamen
europäischen Sicherheitsniveaus von Netz-
und Informationssystem. Soweit, so cool.
Klingt sinnvoll, ist aber gar nicht so
trivial umzusetzen. Aus dieser NIS-
Richtlinie hat sich dann später eben das
IT-Sicherheitsgesetz abgeleitet. Komme ich
gleich zu. Erst mal so ganz allgemein
Bundesrepublik Deutschland hat eine
einheitliche Definition. Kritische
Infrastrukturen auf Bundes und Landesebene
heißt, ja: "KRITIS sind Organisationen
oder Einrichtungen mit wichtiger Bedeutung
für das staatliche Gemeinwesen, bei deren
Ausfall oder Beeinträchtigung nachhaltig
wirkende Versorgungsengpässe, erhebliche
Störung der öffentlichen Sicherheit oder
andere dramatische Folgen eintreten
würden". Klingt jetzt nach Drama-Queen,
ist es aber auch, weil die Sektoren, die
da definiert sind, Energie, Wasser, IT und
TK, Gesundheit, gerade Gesundheit, sehen
wir jetz in der Pandemie, wenn die nicht
funktionieren, haben wir ganz schnell
dramatische Folgen, nämlich Krisen, wie
beispielsweise auch die Pandemie eine
querstellt. Und zusätzlich zu diesen
7 Sektoren kommen noch zwei dazu, die
sind ein bisschen besonders in
Deutschland, nämlich Staat und Verwaltung
und Medien und Kultur, denn Staat und
Verwaltung kann natürlich nicht auf auf
BSI-Ebene, sag ich mal, Bundesamt für
Sicherheit in der Informationstechnik,
geregelt werden. Genauso Medien und
Kultur, denn Medien werden zum Beispiel in
den Landesmediengesetzen geregelt. Da darf
natürlich nicht der Bund ins Land rein
grätschen. Das ist so ganz generell mal
der Stand. Dann habe ich gerade schon
erwähnt IT-Sicherheitsgesetz 1.0 leitet
sich also aus der NIS-Richtlinie der EU
ab. Das Gesetz zur Erhöhung der Sicherheit
informationstechnischer Systeme 2015 in
Deutschland irgendwie aktiv geworden und
deckt im Endeffekt genau das ab als
Zielsetzung, was wir gerade schon hatten
Absicherung der IT-Systeme und der
digitalen Infrastruktur, Verbesserung der
IT-Sicherheit von Unternehmen der
Bundesverwaltung. Ja gut, ist noch room
for improvement. Schutz der Bürgerinnen
und Bürger im Internet. Ja, das ist noch
ganz viel room for improvement. Die
Sektoren sind im wesentlichen dieselben,
die die EU definiert hat. Ist ja die
Pflicht die EU Sicht in die Landessicht
sozusagen umzumünzen und das IT-SiG 2.0
ist ja demzufolge auch in Arbeit, genauso
wie die NIS 2 Richtlinie. Aber genau da so
ebenfalls Grusel. Ja, aus dem IT-
Sicherheitsgesetz 1 leitet sich ab Dinge
fürs BSI Gesetz, die da zu berücksichtigen
sind, ist ganz generisch erstmal.
Festlegung der Aufgaben und Befugnisse des
BSI und eben weitergehende Befugnisse als
Reaktion auf neue Bedrohung zunehmender
Bedeutung der Informations und
Kommunikationstechnologie. Da haben wir
jetzt die sieben kritische Infrastruktur
Sektoren der EU und sozusagen
deutschlandweit ohne die zwei
Sonderlöckchen, die dann in dem BSI Gesetz
geregelt sind, wie der Ablauf ist, welche
hoheitlichen Aufgaben und welche
Befugnisse, aber auch Rechte und Pflichten
das BSI hat oder eben auch die einzelnen
kritischen Infrastruktur-Dienstleister und
daran anhängend ist noch mal, weil wir
sind ja noch nicht fertig mit der
Rechtslage, muss ja immer noch einer
draufgelegt werden, ein habe ich noch: die
BSI-KRITIS-Verordnung, die ihr seht, da
drin wird der Schwellenwert der
Leistungsfähigkeit, IT Sektor zum
Beispiel, definiert und die genaue
Anlagenkategorie. Heißt
Frischwassergewinnungwerk,
Abwasserentsorgung, das sind zwei Anlagen-
Kategorien. Ich betreibe solche Anlagen
oder ein Frischwassergewinnungswerkbrunnen
wäre dann eben ein Brunnen zur
Frischwasserentnahme, den ein Wasserwerk
nutzt, um Wasser zu produzieren. Und der
Schwellenwert ist das, ab wann eigentlich
ein Dienstleister oder Leistungserbringer
in diesem Sektor dann als kritische
Infrastruktur gilt. Und aktuell ist es
relativ einfach. Die Schwellenwerte sind
bei allen sieben Sektoren pauschal immer
500.000 Personen in der Versorgung,
umgerechnet auf die Versorgungsleistungen.
Heißt 22 Millionen Kubikmeter Frischwasser
pro Jahr beispielsweise, dann bin ich
KRITIS. Mache ich weniger, dann bin ich
zwar in dem Sektor, aber diese ganzen
Gesetzeslagen sind irrelevant. Trotz allem
ist es kritische Infrastruktur. Jetzt habe
ich aber noch einen, weil er einfach, wenn
wir bis hierhin gekommen sind und die
Länder vergessen, landesspezifische
Vorgaben gibt es natürlich dann auch noch
mal. NRW habe ich jetzt die vom April 2020
Coronabetriebsverordnung rausgepickt. Die
ist inzwischen auch schon aktualisiert
worden. Da ist teilweise auch die
Definition übrigens schon wieder
rausgefallen. Dieser Paragraph 5
CoronaBetrVO gibt's gar nicht mehr. Aber
zu dem Zeitpunkt haben die auch versucht
zu sagen: Hey, wir müssen hier irgendwie
den Schutz vor Neuinfizierungen regeln im
Rahmen der BetreuungsInfrastruktur oder im
Rahmen der ja wichtigen Dienste oder
systemkritische Dienste, systemrelevante
Systeme. Da wurden in jeder Verordnung
wird es anders genannt. Jedes Land hat ja
eine. Und hier war es so, dass eben die
sieben Klassischen benannt wurden:
staatliche Verwaltung auf sozusagen
landesspezifischer Ebene, die Medien, ja,
weil die natürlich landesweit sind, aber
da wurden eben auch beispielsweise
Schulen, Kinder- und Jugendhilfe und
Behindertenhilfe gelistet als sozusagen
Sektoren kritischer Infrastruktur, bei der
man irgendwie auch den Schutz vor
Neuinfizierung regeln muss. Ja, die
Bundesländer generell Grusel, Grusel, das
war ja auch immer alles ein Hin und Her
und dieses Hin und Her haben wir jetzt
noch nicht ausgestanden. Aber das war der
Schnellüberblick über die gesetzlichen
Regelungen, damit war auch ein bisschen
mehr Zeit haben, über die sechs
Fallbeispiele, die ich mitgebracht habe,
zu reden. Ja, wie sieht kritischer
Infrastruktur in Pandemiezeiten aus? So.
Eine Herausforderung, die so Anfang
letztes Jahr teilweise bei großen
kritische Infrastruktur-Dienstleistern
schon im Januar längst adressiert wurden,
da wart ihr wahrscheinlich noch gar nicht
im ersten, ja, ich nenne es jetzt einfach
mal Lockdown oder im Homeoffice oder zu
Hause, wie auch immer. Die hatten also
teilweise schon im Januar ihre
Pandemiekonzept ausgegraben und gesagt: Oh
shit, wir müssen reagieren. Nachzügler im
Februar und diejenigen, die so nicht
richtig davon mitbekommen haben, dann so
März, April. Aber das Wichtigste wurde
eigentlich zeitnah realisiert. Es gab kaum
bekannt gewordene wesentliche Ausfälle,
aber die Herausforderung war zum Beispiel
Ausfall systemrelevanten Personals zum
Betrieb der kritischen Anlagen Kategorie,
damit die Versorgungsleistungen bei der
Bevölkerung ankommt. Ich kann kein
Frischwassergewinnungswerk betreiben, also
ein riesengroßen Pumpensteuerungsanlagen,
Labore, um den Wasserreinheitsgehalt
aufrechtzuerhalten. Trinkwasser hat eine
sehr sehr hohe Anforderungen an die
Trinkwasserqualität. Die ist deutlich
höher als bei in Flaschen abgefülltem
Zeugs beispielsweise. Und die Szenarien
sind also, was war zu dem Zeitpunkt so das
Szenario? Anreise der Mitarbeitenden vom
privaten Wohnsitz. Wie kriegen wir das
geregelt? Da waren ja teilweise Busse und
Bahnen außer Betrieb oder durfte kaum
jemand fahren. Wie auch immer. Ja, wenn
die Fahrgemeinschaften machen war auch
wieder eine Infektionsrisiko. Kontakt zu
anderen Personen. Die gehen nach Hause und
haben dann Kontakt mit Familie, Verkäufer
etc. pp. Und die Exposition gegenüber
einer Infektion mit COVID-19 war natürlich
jederzeit gegeben. Kriegen wir das
geregelt? Und die Auswirkungen dieser
Szenarien und Herausforderungen war dann
eben Ausfall der Mitarbeitenden aufgrund
einer Infektion und eben erhöhtes
Ansteckungsrisiko innerhalb der
Belegschaft. Da war also die Frage wie
können wir da gegensteuern? Die haben
natürlich Pandemiekonzepte. Manche wurden
auch noch mal spontan überarbeitet oder,
ups, wir müssen noch mal den Staub
wegwischen und mal aktualisieren. Aber
viele hatten schon laufende Konstrukte.
Muss man fairerweise auch sagen. So
schlimm sieht es nicht aus. Aber die
Herausforderung war auf jeden Fall
gegeben. Wie sahen die Lösungen aus? Wenn
du zum Beispiel so ein Leitstand in einem
Kraftwerk hast oder ein Leitstand in 'nem
Wasserwerk, muss du eben schauen, dass du
das systemrelevante Betriebsteam isoliert.
Das heißt du nimmst Leute, die den
Leitstand besetzen, aber auch zum Beispiel
nen Elektriker. Wenn mal 'ne Kleinigkeit
ist, muss er das schrauben und machen und
tun. Und den hast du natürlich mit vor Ort
im Team. Und ja, die brauchen natürlich
Bereitstellung von Unterkünften am
Arbeitsplatz, weil die wurden isoliert.
Isoliert heißt wirklich abgetrennt. Die
haben also am Arbeitsplatz
Schlafmöglichkeiten und Aufenthaltsräume
bereitgestellt oder eben aktiviert. So wie
das Pandemiekonzept das vorsieht.
Teilweise haben die die dann, also nicht
teilweise, die allermeisten haben sie
eigentlich freiwillig gefragt. Hier habt
ihr da Lust, Zeit und Nerv zu? Wollt ihr
euch freiwillig sechs Wochen oder vier
Wochen oder wie der Zyklus bei denen eben
ist, in eine Isolation begeben? Ihr kriegt
dann extra für und die Bevölkerung wird
euch lieben. Ihr dürft natürlich auch
Kontakt zu der Familie halten etc. Aber
nur remote wird alles aufgeschaltet. Kein
Thema. Aber eben auch wir stellen euch
Schlafmöglichkeiten, Aufenthaltsräume
bereit. Was man noch berücksichtigen
musste waren dann Dinge des täglichen
Bedarfs: Waschmaschine aufstellen,
Waschmittel, jede Menge Nahrungsmittel
verpacktes wie auch, und natürlich bis zu
einem gewissen Grad, frisches über eine
Sicherheitsschleuse sozusagen
Vereinzelungsschleusern der Form, dass man
Nachschub sozusagen da rein stellt, eine
Weile wartet und versucht das ummantelt zu
haben, desinfizieren und dann eben ziehen
die das da rein, packen alles aus,
versuchen auch noch mal zu warten und
alles zu desinfizieren und dann eben die
Sachen einzubringen. Und da wurde dann
beispielsweise eben auch Trinkwasser
reingebracht, wenn man nicht fließend
Wasser da sowieso hatte. Ja auch so was
wie Tee oder Kaffee, Kaffee, schwarz, heiß
und schön lecker Junge, wird also alles,
was man im täglichen Bedarf braucht, in
der Isolation eben vorbereitet und über
die Schleuse dann die Weiterversorgung
sichergestellt. Und, was sie auch
sicherstellen mussten, psychologische
Fürsorge durch Beschäftigungsmöglichkeiten
und psychologische Betreuung. Denn
Isolation, so vier oder sechs Wochen immer
dieselben Leute, ist natürlich auch hart.
Draußen ist die Familie in dieser unklaren
Situation. Wir denken mal zurück. März,
April, Mai, letztes Jahr. Keiner wusste so
richtig, was passiert. Was wird. Es kamen
fast täglich neue Studien. Die
Wissenschaftler haben neue Erkenntnisse
gehabt. Die Politik hat gesagt hü, hott,
nein, ja, doch, vielleicht, wir schauen
mal, dinge aus Gründen. In der Situation
dann zu sagen Ich lass meine Familie im
Stich und gehe jetzt sozusagen die
Bevölkerung retten ist natürlich auch
psychologisch sehr viel Druck und da gab
es dann entsprechend auch Fürsorge, bei
denen wo es notwendig war oder die wurde
generell bereitgestellt. Es gibt natürlich
auch immer Einzelfälle, wo das vergessen
wurde oder nicht ordentlich betrachtet
wurde. Es gibt auch viele Einzelfälle,
wenn man jetzt mal in die Krankenhäuser
und Pflegeheime schaut. Der Sektor
Gesundheit, da hat ja die Politik nicht
gerade mit Glanz und Ruhm gehandelt. Wir
erinnern uns noch an 20 Uhr gehen wir
auf'n Balkon und klatschen mal 'ne Runde.
Aber wenn Tarifverhandlungen waren, hat
das Bundesgesundheitsministerium gesagt:
Nö, Tarifeupgrade gibt's nicht, es gibt
eine Einmalzahlung, aber mehr Geld? Nö.
Ist natürlich auch psychologischer Druck,
der nicht unbedingt dafür sorgt, dass man
sagt: Hey, ich hab diesen Beruf aus Herzen
gewählt und jetzt mach ich das auch. Also
all das kommt zusammen. Es ist
systemrelevant, das Personal, es wurden
Maßnahmen getroffen, damit man eben den
Ausfall kompensiert. Teilweise haben es
ganz große Betreiber, jetzt Atomkraftwerk,
Leitstand oder so auch durchaus so
geregelt, dass sie gesagt haben, wir haben
ein Betriebsteam vor Ort. Wir haben ein
weiteres unabhängig isoliert an einer
anderen Station oder in separaten
Räumlichkeiten, sodass also wenn dieses
Betriebsteam warum auch immer eine COVID-
Infektion eingeschleust bekommt und wir
das nicht verhindern konnten, kann es ja
sein, dass sie alle komplett ausfallen und
dann müssen wir eben ein zweites Team
ready haben und manche hatten sogar ein
drittes Team hot-spare, also das wirklich
dann im Worst Case zwei komplette
systemrelevante Betriebsteams ausfallen
konnten und ein Drittes noch da war, um
den Betrieb sicherzustellen. Und das alles
ist weitestgehend transparent im
Hintergrund passiert und kaum in den
Medien oder in der Presse gewesen. Hier
und da mal so ein bisschen, Stadtwerke in
Wien oder so hatten da mal ein Bericht zu
gemacht. Also man kann da ein bisschen zu
recherchieren, aber im Wesentlichen machen
die schon seit vielen Jahren immer ihren
Dienst im Hintergrund und das fällt dann
auch nicht so auf. Deswegen hier noch mal
ein dickes, fettes Danke an alle
systemrelevanten Personen, die sich in
Isolation begeben haben, die trotz dieser
Krisenlage permanent ihren Schichtdienst
aufrecht halten und kümmern und machen und
tun. Das ist wirklich ein dickes, fettes
Dankeschön wert. Und ich verneige mich und
geb mein Respekt an all diese Personen.
Joa, zweite Herausforderung, wat hab wer
denn noch? Wir haben ja gerade schon
gesagt Frischwasser, wat frisch reinkommt,
muss auch hässlich wieder weg. Alles
Kacke, ne? Abwasserentsorgung, so. Wat ham
wir gehabt? Wir haben die Herausforderung
gehabt, die Leute hamstern
Toilettenpapier. Es gibt temporär Mangel
an Toilettenpapier. Die Endverbraucher-
Toilettenpapier waren dann sozusagen nicht
mehr da, aber die Industrieprodukte waren
da. Das heißt, wenn ich so große Rollen
habe, die ich in der Industrie fertige und
dann auch in den Produktionshallen habe,
aber so kleine Rollen, die für zu Hause
sind sozusagen, und sich plötzlich alles
von Industrie und Produktion und
Wirtschaft in Richtung Homeoffice
verschiebt, oder Lockdown anfangs, dann
kann ich natürlich nicht Produkt A mit
Produkt B mal eben austauschen, weil die
Produktionsstraßen und die Fertigung eine
ganz andere sind. Und das hat dann
tatsächlich zu diesem, inklusive dem
Hamstern dazu geführt, dass es einen
Engpass gab, temporär. Und ja, auch die
Logistik war natürlich eine
Herausforderung, weil die großen Rollen
anders verpackt in viel größeren, also
palettenweise normalerweise wie ein
Produkt, das ist halt 'ne Palette mit
einzeln abgepackten, so Achter- oder
Sechserpacks oder 10er Packs. Und so war
also auch das eine Herausforderung, wie
man das logistisch meistert. Die
Verwendung von Alternativen wurde dann
teilweise als Herausforderung angegangen.
Dann nehm ich halt Küchentücher,
Taschentücher, Feuchttücher. Kann aber
auch eine Herausforderung werden, denn die
Dinger sind reißfest im Gegenzug zu
Toilettenpapier, was sich auflöst. Das
heißt, wir reden von Fremdkörper im
Abwasser und das beeinträchtigt dann eben
das Klärwerk durch verstopfte Pumpen,
teilweise, oder eben durch eine höhere
Frequenz der Rechenreinigung. Und wenn du
die Rechenreinigung mit einer höheren
Frequenz versehen muss, muss auch die
Abfallentsorgung mit einer höheren
Frequenz versehen. In einem Zeitraum, wo
selbst die LKW-Fahrer, die dann den
Abtransport regeln oder auch die
Müllkippen sozusagen dann teilweise im
Lockdown waren, oder in Notdienst
sozusagen. Ja, wie sah die Lösung? Für den
Teil Hamstern von Toilettenpapier und
Mangel gab es so eine Art Eigenregulierung
durch den Einzelhandel und die Produktion.
Ganz spannend. Es gab so Begrenzung der
Vergabe von Toilettenpapier, um die
breitere Masse zu versorgen und
Selbstregulierung durch die Umstellung der
Produktion. War also teilweise so Dinge
gegeben wie jeder darf nur ein
Toilettenpapierset kaufen oder das erste
kostet 3 99, jedes weitere 15 Euro, wenn
man halt mehrere kauft, damit die Leute
einfach sagen Okay, ich bin jetzt, ich
hamster nicht, sondern geh mal freundlich
mit allen anderen um. Ja, Verwendung von
Alternativen oder Beeinträchtigung der
Klärwerke war eben das Problem, dass diese
Alternativen wie gesagt alles verstopfen
können. Die Alternativen, die so von den
Klärwerkbetreibern kommuniziert wurden,
waren dann sowas wie Bidets, mobile
Bidets, gibt es auch, so kleine Spritz-
Drück-Pumpen sozusagen quasi. Waschlappen
oder Duschen, so dass man da also auch
versucht hat, die Leute davon abzubringen,
Feststoffe in die Kanalisation
einzuführen. Das ist wahrscheinlich
weitestgehend intransparent für euch
geschehen, denn wenige von euch haben
wahrscheinlich diese Aufrufe gehört. Ich
habe es auch versucht zu fördern mit den
Abwasser- und Klärwerk-Anlagenbetreiber.
Wie so viele in diesen Bereichen. Aber das
ist natürlich keine große Ausstrahlung.
Dann haben wir so Herausforderung gehabt
wie wenn du dein Rechenzentrum im
Quarantänegebiet betreibst und das
Rechenzentrum dann aufgrund landesweiter
Ausgangsbeschränkungen nicht so wirklich
sinnvoll erreichen kannst, tja, wie kommen
dann die systemrelevanten Mitarbeiter
dahin? Man muss also erst mal klären,
Kontaktaufnahme mit dem zuständigen
Gesundheitsamt zur Aufstellung von
Ausnahmegenehmigungen. Das muss vorher
geklärt werden. Man muss wissen, welches
Gesundheitsamt zuständig ist. Zu dem
Zeitpunkt war denen auch noch nicht ganz
klar, wofür die wann wie zuständig sind
und wie man die Ausnahmegenehmigungen
ausstellt etc. Ich beispielsweise habe von
meinem Arbeitgeber eine
Ausnahmegenehmigung erhalten, weil ich
eben Dienstleistungen für den Betrieb
kritischer Infrastrukturen sicherstelle,
sodass also wenn ich zu einem Kunden oder
ins Büro musste, was übrigens sehr, sehr
selten war. Seit Anfang Februar habe ich
dann trotzdem die Möglichkeit gehabt,
diesen Beleg mit meinem Personalausweis im
Portemonnaie gehabt und hätte das
vorzeigen können. Das war also das eine.
Das andere ist halt eine Implementierung
Journal-basierte asynchroner Replikation
über weite Entfernungen, so dass man also
eine redundante Datenhalde in einer nicht
Quarantänezone hat, idealerweise. Aber
wenn halt weltweite Pandemie ist, dann ist
das auch kein Garant, dass nicht alle
redundanten Bereiche vielleicht einer
Ausgangsbeschränkung unterliegen. Also es
war auch manchmal eine Herausforderung, da
von den Gesundheitsämtern irgendwie die
Hilfe zu bekommen, aber in der Regel ging
es relativ fluffig. Ansonsten konnten eben
diverse Leute wie ich oder alle Kollegen,
die ganzen anderen Mitbewerber auch
durchaus unter die Arme greifen und sagen
Leute ihr müsst da und da hin, kümmert
euch um den und den Beleg, hier ist ein
Template. Das ist der Text, machen, ja
machen. Zeit ist irgendwie kritisch. Ja,
dann haben wir noch gehabt,
Einschränkungen im Einzelhandel. Wir haben
ja jetzt schon das Klopapier besprochen.
Jetzt kommen wir mal zu den Nudels.
Logistik. Lagerkapazitäten und die
Produktion der Ware waren gewährleistet,
sind dann aber in Verzögerung gekommen,
weil natürlich diese Supply Chain und das
Just in Time Delivery nicht mehr so ganz
funktioniert hat und dann sind die
Lagerkapazitäten auch bedroht gewesen
dadurch, dass es Grenzkontrollen gab für
den Warentransport. Es gab ja teilweise
Berichte, wo an der Grenze Polen nach
Deutschland 60 km LKW-Stau war und die
Leute tagelang da festhingen und versorgt
werden mussten, damit sie nach Deutschland
reinkommen. Quelle vie an der Stelle, LKW-
Fahrer, die dann eingereist sind mussten
teilweise eine Zeit lang 14 Tage in
Quarantäne sitzen, um dann wieder ins
Ausland zurück zu fahren oder sind sogar
hier erkrankt und umgekehrt, sind ins
Ausland gefahren, mussten da 14 Tage in
Quarantäne bleiben oder sind da erkrankt.
Heißt, es gab natürlich auch da
schwerwiegende ernste Fälle, aber es gab
eben auch die 14-tägige Frist, so dass die
natürlich nicht den Umschlag ruckzuck
machen konnten, und zack haste ein Defizit
an Fahrern und damit auch nicht mehr die
passende Lagerkapazität, weil einfach der
Transport nicht sichergestellt werden
konnte. Ja, die haben Hamsterkäufe haben
natürlich den Warenbedarf erhöht.
Temporärer Mangel wurde damit entsprechend
gefördert. Wie hat man dem gegengesteuert?
Beispielsweise hat Aldi die damals gesagt:
So, dieses Nudeldefizit geht ja mal gar
nicht. Wir müssen den Warentransport
irgendwie umschlagen auf Schienenverkehr
und haben mit DB Schenker kurzfristig,
kann man auf 'nem Bericht irgendwo lesen,
haben die gesagt Okay, dann machen wir
jetzt nicht mehr LKW-Fahrerei, sondern
holen uns über DB Schenker, so 60 Tonnen
oder wie viel auch immer Nudeln aus
Italien hier rein und dann gibt es auch
kein Defizit mehr. Das hat dann natürlich
eine Weile gedauert. Wenn man das mal eben
umstellt. Man braucht regulatorische
Abkommen zwischen diesen jeweiligen
Handelspartnern. Man muss die bestehenden
Verträge außer Kraft setzen, neue Verträge
kurzfristig machen. Die Bereitschaft von
DB Schenker und die Kapazität muss da
sein. Man musste dann auch gucken, jetzt
hat man nicht die übliche Anlieferung an
den Lagerraum, sondern über den
Schienenverkehr bis zu einem bestimmten
Schienenendpunkt und von da aus musste man
logistisch noch weiter ziehen etc. pp. So
also einen Riesenaufwand, der einen
Rattenschwanz daherkommt, um dieses Supply
Chain aufrechtzuerhalten. Aber am Ende hat
es funktioniert. Wir konnten alle wieder
Klopapier und Nudeln sozusagen benutzen
und verwenden und Essen und Trallala. Also
der Güterfluss wurde sozusagen über diese
Ebenen dann auch wieder zügig etabliert.
Ja, dann hatten wir noch Einschränkungen
der Siedlungsabfallentsorgung. Ich habe ja
gerade schon erwähnt, Klärwerke hatten
Defizite bei der Abfallentsorgung, aber
Siedlungsabfallentsorgung natürlich auch.
Also alles was wir so privat an Müll
generieren. Wichtig an der Stelle
Siedlungsabfallentsorgung ist derzeit
keine kritische Infrastruktur im Sinne des
BSI Gesetzes, IT-Sicherheitsgesetzes, aber
der Ausfall hat weitreichende Folgen für
Gesundheit und Umwelt. Also Umweltschäden
als auch Gesundheitliches. Es kann sogar
eine Pandemie fördern. Herausforderung
war: Es gab eine Einstellung des Betriebs
von Wertstoffhöfen inklusive der Sammlung
von Sonderabfällen. Aber es gab eben auch
eine verringerte Abholfrequenz, weil die
natürlich aufgrund eingeschränkter
Verfügbarkeit der Mitarbeiterinnen auch
ein Defizit hatten zu sagen Okay, wir
kennen den Regelzyklus nicht einhalten.
Wie kriegen wir das jetzt bewerkstelligt?
Dafür gab es halt auch ein paar
Lösungsideen. Das BMI hat langfristig zum
Beispiel vorgeschlagen,
Siedlungsabfallentsorgung als kritische
Infrastruktur aufzunehmen. Das heißt, im
Entwurf des IT-Sicherheitsgesetz 2.0 wurde
Siedlungsabfallentsorgung sozusagen dann
jetzt als KRITIS mit aufgenommen. Und die
Lösung zum Umgang mit den Abfällen war
auch so, man hat natürlich auch erheblich
Gefahr, dass man Kontakt mit dem
Coronavirus hat, das heißt die Entsorgung
von Abfällen und die Kontakt mit dem
Coronavirus hatten nur in die
Restmülltonne, weil das ganze wird mit
einer höheren Verbrennungtemperatur
vernichtet und Deklaration von Abfällen
aus Krankenhäusern, die Coronafälle
behandeln, als gefährlicher Abfall. Heißt
Erfordernis von reisfesten,
feuchtigkeitsbeständigen und dichten
Behältnissen, damit natürlich keine
Gefahrengüter sozusagen da irgendwie
auslaufen oder so, und die Mitarbeiter
infizieren, und Transport nach dem
Gefahrgutrecht. Also das alles ist sehr
aufwendig und teuer, aber sowas hat man
beispielsweise auch in der
Abfallentsorgung bei der
Siedlungsabfallentsorgung in Teilen auch
gemacht. Man hat die Bevölkerung dazu
aufgerufen, muss aber ehrlich sein, nicht
viele, oder viele haben es nicht
mitbekommen oder gesagt, na ja, ich
sortiere immer noch meinen Abfall
ordentlich und mach jetzt nicht alles, was
vielleicht Kontakt gehabt haben könnte in
die Restmülltonne. Wenn man Vorfall in der
Familie hat, denkt man erst mal an die
Familienmitglieder logischerweise und
nicht daran, ob ich den Abfall richtig
sortiere. Aber trotzdem ein wichtiger
Punkt. Ja, und IT-Systeme von
Krankenhäusern, Ransomware-Angriffe auf
Krankenhäuser gab es beispielsweise und
gibt es immer noch, auch aktuell. Vielen
Dank noch mal an die Kollegen der Incident
Response und Forensik, die gerade alle im
Einsatz sind in der Osterzeit, um
Krankenhäuser, Arztpraxen, Dialysezentren,
Pflegeheime und sonst was alles aufrecht
zu erhalten, die gerade kompromittiert
wurden und erpresst werden. Es gibt
dadurch aber eingeschränkte
Netzwerkkommunikation,
Systemverschlüsselungen und eben
Integritätverlust der Daten und das
bedeutet erhebliche Einschränkungen im
Krankenhausbetrieb. Wir haben über Coruna
sowieso schon eine Verschiebung von
Operationen oder das Verlegen von
Patienten bei einer Ransomwareattacke
teilweise dann auch. Es gibt fehlende
Informationen zu Patienten und es gibt
Einschränkungen der Laborkapazitäten. Also
das alles ist auch noch mal ein
Problemverstärker und die World Health
Organization oder eben auch Coronavirus
Testzentrum in Tschechien beispielsweise
wurden erfolgreich angegriffen letztes
Jahr. Das alles ist also auch noch mal die
Herausforderung, sozusagen eine Krise in
der Krise. Ja, wir haben die Krise,
Pandemie und dann kommt noch eine
Ransomware als Krise dazu. Also wenn eine
Krise schon scheiße ist. Ganz ehrlich,
eine Krise in der Krise ist so richtig
übel. Wie geht man da vor? Konsequente
Umsetzung der IT-Sicherheit. Orientieren
am B3S, am branchenspezifischen
Sicherheitsstandard für die
Gesundheitsversorgung im Krankenhaus. Das
gibt's, kann man umsetzen. Es gibt nen
OZG, ne, KZG, Krankenhauszukunftsgesetz,
wo auch Gelder für IT-Sicherheit endlich
bereitstellen, die bereitgestellt wurden,
die jahrelang verzögert und aufgestaut
wurden. Man kann sich natürlich all die
Sicherheitsfirmen als Unterstützung dazu
holen, nämlich Incident Response Forensik.
Teilweise haben die auch auch
Dienstleister, weil sie eine
Cyberversicherung haben und diesen waren
ausgerückt und machen da die Bekämpfung
der sich als Sicherheitsvorfälle und die
Inbetriebnahme wieder dieser ja manchmal
skurrilen Infrastruktur mit Windows 95
oder mit proprietären Klartextprotokollen
etc. pp. Ja, sie brauchen natürlich einen
Notfall- und Krisenmanagement, was die
Gleichzeitigkeit von Krisenereignissen
auch entsprechend managt und behandelt,
was was eben dann auch noch mal zu
berücksichtigen ist. Das sind alles
Punkte, die ja zur Lösung helfen können,
dass man eben nicht durch Ransomware
angegriffen wird. So, damit bin ich im
Wesentlichen durch. Noch mal
Schleichwerbung für den vorhin erwähnten
von der DiVOC ppt im September letztes
Jahr Vortrag. Wer da nochmal reinhören
will, die Erlebnisse eines KRITIS-Prüfers,
unabhängig von einer Pandemie, der sei auf
diesen Link oder auf diesen Vortrag
verwiesen. Da habe ich noch mal ein
bisschen zusammen erklärt, wie kreativ die
eigentlich umgehen, um seriös und
dauerhaft sicherzustellen, dass die
Versorgungsleistung kein Engpass und
keinen Ausfall hat. Ja, und damit würde
ich sagen vielen lieben Dank. Und kommen
wir zurück zu Pupe. Noch hör ich nix.
Engel: Ja, das ist dieser Taste, die ist
manchmal KRITIS. Gerade in Telkos.
HonkHase: Ja, manchmal ist mein Ohr auch
KRITIS, deswegen passt schon.
Engel: Ja dann Applaus. Applaus, Applaus.
Vorhin hast du es vielleicht nur gesehen.
Herzlichen Dank für den Vortrag. So
langsam sind's ja immer so ein Modul nach
dem nächsten und ich bin dann gespannt,
was dein nächster Vortrag zu dem Thema
sein wird. Vielleicht ist das ja dann
irgendwann mal so eine Lehrreihe,
irgendwie alles über media.ccc.de nutzbar
und das wird dann vielleicht auch noch
irgendwann richtig schön gefördert. Aber
erst mal kommen wir zu den Fragen und den
Kommentaren, welche mich über das Pad
erreicht haben. Der Link zum Pad ist ja
sozusagen im Programm zu finden und da
könnt ihr sogar jetzt noch in Echtzeit
Dinge reinschreiben. Ich sehe die dann
sozusagen direkt. Ja und während ich das
sage, kommt hier sogar 'ne neue Frage.
F: Was ist mit der Heizungsinfrastruktur?
Gehört die nicht zu KRITIS?
A: Also Fernwärmeversorgung ja die
Fernwärmerohrleitungen, aber die
Heizungsinfrastruktur ich würde jetzt mal
interpretieren, dass das die vom Gebäude
ist oder so, das ist der Endnutzer selbst
und der Endnutzer oder Einzelkomponenten
sind nie KRITIS. Es geht immer nur um die
zentralen Komponenten, die sozusagen
Massenausfall bewirken, sprich die
Kraftwerke, die Übertragungsnetzbetreiber
um den Strom zu liefern, das
Fernwärmenetz, die Tanklager für Heizöl
und Diesel, die Raffinerien, die das
erzeugen und so weiter und so fort. Das
Heizungsnetz in einem Hochhaus oder in
einem Haus ist ja sozusagen die
Einzelversorgung und die ist da sozusagen
nicht relevant, denn wenn einer ausfällt,
dann kann ich im Notfall zum Nachbarn oder
rufen 'nen Reparaturdienst oder was auch
immer. Wenn aber die zentrale Fernwärme
ausfällt, dann habe ich ja viele 100.000
Leute, die bedroht sind und das haben wir
ja beispielsweise in Texas gesehen von vor
wenigen Wochen noch. Texas hat einen
kompletten Blackout. Es gibt in den USA
drei Netze Ost, West, Texas. Texas ist
schlau und hat gesagt wir verzichten auf
alle anderen. Wir betreiben ein eigenes
Netz und dieses eigene Netz ist
zusammengebrochen als Blackout. Und in
Texas gab es dann eben keine Heizung, kein
laufend Wasser, weil ohne Strom gibt es
irgendwann auch keine Wasserpumpen mehr.
Und das war zu einer Zeit, wo es sehr sehr
kalt ist, war. Und ja, dann sind auch die
Wasserrohre und die Heizungsrohre
eingefroren, aufgeplatzt. Und als es dann
abgetaut ist oder auch Strom wieder da
war, sind die ganzen aufgeplatzten Rohre
dann ausgelaufen und man hat überall
Wasserschäden und immer noch keinen Strom
und Wasser. Also so mies kann's laufen
aber das war dann sozusagen das Stromnetz,
was ausgefallen ist, und das ist dann
KRITIS, aber nicht das Einzelnetz.
Engel: Ja, also, da kann man amerikanische
Podcast hören von Leuten, die in Texas
lebten. Also, das war, ja, ein Drama.
Jetzt kommt noch eine ergänzende Frage
sozusagen dahinter. Ich denke mal auch
wieder.
F: Was ist mit Handwerkern und Großhandel?
A: Also Handwerker, ja ein Handwerker
müsste dann mehr als 500.000 Personen
versorgen in einer Anlagenkategorie, die
kritisch ist, wüsste ich jetzt spontan
keinen. Ja, kann ich nicht, wüsste ich
nicht. Großhandel ja, also wenn du jetzt
so, keine Ahnung, beliebige, hier, Metro-
Ketten oder so wat, so 'ne Kette ist so
groß, dass sie Einzelhandel bei der
Versorgung mit Ernährung, also KRITIS-
Sektor Ernährung mit der Versorgung
sicherstellen. Und die sind kritische
Infrastruktur, wenn Sie mehr als 500.000
Personen versorgen, und da gibt es im
Handel tatsächlich einige, die darunter
fallen. Auch beispielsweise nicht nur
Handel, sondern auch Molkereien. Ja, die
sind ja auch im Ernährungssektor tätig.
Engel: Also lösen das unter KRITIS
fallende Firmen eigentlich dadurch, dass
sie zum Beispiel Zulieferer, irgendwie,
die können es nicht vererben, aber es wird
dann einfach mit in die Verträge
reingeschrieben. Oder wie macht man das?
Wie stellt man das sicher?
A: Also wenn ich KRITIS-Betreiber bin,
muss ich natürlich diese Anlage, die ich
betreibe, sicherstellen. Das heißt, wenn
ich ein Zulieferer hab, der irgendwie
Wartung oder Betrieb dieser Komponenten
macht und es geht immer um den IT-Teil,
laut IT-Sicherheitsgesetz oder BSI-Gesetz.
Wenn ich also die IT-Wartung oder den
Betrieb der Produktion macht der OT der
SCADA-Komponenten, der Prozessleittechnik
oder so, dann muss ich da sicherstellen,
dass auch die Zulieferer, die diese
Komponenten für mich austauschen, warten,
Fernzugriff machen, ja, Fernwartung und
Fernzugriff ist so ein Albtraum für sich,
habe ich übrigens in dem Vortrag Erfahrung
eines KRITIS-Prüfers ...
Engel: ... ich weiß ...
A: da habe ich den Fernwartungarchäologen
ins Leben gerufen und gesagt, ey immer
wenn ich dieses Wort höre, kriege ich
Bauchschmerzen, das ist einfach so. Aber
das alles muss man dann vertraglich mit
diesen Zulieferern regeln. Was nicht
geregelt werden muss, ist sozusagen die
grundsätzliche Supply Chain, also Wasser
oder Strom, weil das ist sozusagen
grundsätzliche Zulieferung oder
beispielsweise bei einer Molkerei, dass
die Tanklaster Milch vorbeifahren können.
Das hat dann nichts mehr mit IT zu tun.
Und Kühe produzieren immer. Ob das dann
ankommt, ist eine andere Frage.
Engel: Bis sie ein OT-Ship haben. So, dann
geht's weiter im Fragenkatalog.
F: Wie viel ist KRITIS / IT und wie viel
ist im Allgemeinen Katastrophenvorsorge?
A: Dat kann man nicht nach wie viel
beurteilen. Es gibt ca. 2.000, nicht ganz
2.000 kritische Infrastrukturen in
Deutschland, die so geschätzt sind. Ich
glaube beim BSI sind aktuell registriert
1.600 Anlagenkategorien oder so. Die mehr
als 500.000 Personen versorgen. Im
Allgemeinen Notversorgung, das umschließt
ja noch viel mehr. Also da geht ja auch
hier Krisenmanagement der Länder, der
Kommunen, Bundesregierung alles mögliche
rein. Auch die ganzen Deutsche Rote Kreuz
und sonstigen ehrenamtlichen Helfer,
selbst THW, Freiwillige Feuerwehr, das
wird alles unter Katastrophenhelfer
gezählt und sogar Bundeswehr, die ja im
äußersten Notfall auch hilft. Der
äußersten Notfall ist jetzt schon seit
einem Jahr etablierter Standard. Ist
eigentlich auch Fail by Design. So was
nutzt man nur im äußersten Notfall und
guckt auch ganz schnell, dass man wieder
von diesem äußersten Notfall wegkommt.
Weil wenn ich dann noch mal eine Krise
obendrauf krieg, dann ist Game Over und
dann haben wir wirklich Holland in Not und
Deutschland noch dazu und alles andere.
Aber, ja, kann ich jetzt. Ich wüsste
nicht, ob das da irgendwo Zahlen gibt,
außer das, was so veröffentlicht wird. THW
hat 85.000 Mitglieder, ungefähr 80.000
davon sind beispielsweise dann
ehrenamtlich, aber kann man jetzt nicht
alle einzeln oder gesamt aufdröseln.
Wüsste ich nicht.
F: Dann geht es weiter. Was ist deine
Einschätzung zum Sektor Zahlungsverkehr?
Zum Beispiel Haspa, Geldautomatenausfall,
Einführung starke Ausführ-PSD II, kein
Login ohne 2F2, also 2-Faktor-
Authentifizierung.
A: Ja, also, man muss sagen, der Sektor
Finanz- und Versicherungswesen ist, und
wenn man da nur den Bankenteil betrachtet,
nicht die Börsen und die Versicherungen,
die haben zwar Altlasten und uralte
Systeme, teilweise auch im Einsatz, und
echt komplexe Infrastrukturen. Die
Deutsche Bank hatte vor, ich weiß nicht
mehr, 2 Jahren oder so, hatten die ja mal
gesagt wir haben hier insgesamt 7.000
verschiedene Anwendungen und
Kernkomponenten und eine Anwendung kann
beliebig komplex werden und viele Systeme
haben, aber man muss fairerweise auch
sagen, sie sind sehr reguliert, ja, eine
Bank wenn die einen Vorfall hat, dann muss
die beispielsweise melden an, vielleicht
an die EZB, also an die Europäische
Zentralbank, an die Bundesbank, an 'ne
Cyberversicherung, wenn sie eine hat und
die meisten haben eine. Du musst melden an
die BaFin, du musst ans BSI melden. Also
wirklich Kreuch und Fleuch an jeder
Stelle, du wirst überreguliert und wenn du
dann noch eine Anmeldung für Finanzamt in
den USA hast, dann muss du irgendwie an
New York irgendwie da auch noch eine
spezielle Meldung machen. Wenn du in
Singapur irgendwie ein Büro hast, Singapur
verlangt, dass du ein lokales Office haben
musst, und wenn du unter den offiziellen
Regularien in Singapur bist, muss du da
auch noch mal eine separate Meldung
machen, wenn du an, naja gut Börse haben
wir gerade ausgeklammert, aber wenn wir
beispielsweise jetzt eMoney-Lizenz an der
Börse in UK haben, dann muss man da noch
mal melden. Also du kannst dich tot melden
und du kannst auch so konfiguriert werden
mit irgendwelchen Complianceregularien,
die oft genug im Widerspruch stehen. Das
macht es dann auch nicht trivial mal eine
Kernanwendung wo Millionen von Leute drauf
tagtäglich rund um die Uhr arbeiten und
auch erwarten, dass mein Geld aus dem
Automaten plöpt oder so, mache ich mal
kurz eine Anpassung. Also ist gut wie
schlecht. Ist es gut überreguliert und
auch gut abgehangen, aber andererseits
schlecht, weil diese Überregulierung das
auch extrem marode und Never change a
running system und wenn du es anfasst
explodiert eh alles und du bist fällig.
Keiner will es anfassen. Also alle - und
das übrigens Sneak Preview, IT-
Sicherheitsgesetz 2.0 wird genau so was
einbringen für die kritischen
Infrastrukturen. Es wird komplexer, es
wird sinnloser, es wird sinnfreier.
Deswegen grusel ich mich jetzt schon davor
alle sechs Sachverständigen im Bundestag,
ich war einer davon, haben dagegen
gemault, selbst die von der CDU. Und es
hat das BMI völlig nicht interessiert. Die
laufen immer noch rum und sagen Yeah, wir
sind die Besten, tolles Gesetz, alle nur
positiv.
Engel: Lustigerweise musste ich gerade an
diese Anhörung denken, weil in der
Anhörung hast du auch so viel gesprochen
und bist nie zum Ende gekommen.
HonkHase: 'tschuldigung
Engel: Und es werden zunehmend mehr
Fragen. Nein, ich freue ja aber
HonkHase: dann mich ich's kürzer jetzt
Engel: Während wir reden kommen immer neue
Fragen rein. Ist total spannend, was noch
alles kommt. So.
F: Warum ist dann die Logistik noch kein
KRITIS? Ohne Logistik funktioniert auch
keine Infrastruktur so wirklich, oder?
A: Das ist einfach. KRITIS-Sektor
Transport und Verkehr. Logistik über
500.000 Personen ist abgedeckt. Nächste
Frage.
Engel: Volle Punktzahl.
F: Inwieweit achtet ihr eigentlich auf
Paketversionen bei Dependencies, wenn ihr
mit Kunden arbeitet? Mir scheint, als
wären bei vielen Zertifizierungen unter
anderem nur geprüft wird, ob von Lib X die
neueste Version genutzt wird. Worauf
scheinbar nicht geachtet wird ist, wie
alt, veraltet, verbuggt, ist diese neueste
Version.
A: Also eine KRITIS-Prüfung ist nur eine
Prüfung und keine Zertifizierung. Man
kriegt also kein Bapperl danach, sondern
lediglich eine Einhaltung der
Gesetzesvorlage als Empfehlung und die
Einhaltung sprechen dann BSI teilweise im
Benehmen oder Einvernehmen mit der
Aufsichtsbehörde aus. Aber das Problem bei
Zertifizierung kenne ich. Ich kenn nämlich
auch so den einen oder anderen
Zertifizierer. Das sind dann, wie soll ich
sagen, Ahnungslose oder Blinde unter den
Einäugigen. Wenn die natürlich nicht
wissen, was es bedeutet, ja, Secure
Software Development Life Cycle,
Anpassungen, Updates oder Upgrades in der
Form, dass da auch die Dependencies
berücksichtigst, aber nicht jede, nämlich
nicht jede, die ein Feature beinhaltet,
was dich nicht interessiert, aber jede die
ein Security Update hat, oder wenn eine
Dependency out of maintenance ist, machen
aber tatsächlich viele nicht, weil sie so
tief gar nicht prüfen, was eigentlich
schade ist, weil ja, es ist eine der
großen Lücken, die oft genug vorkommen.
F: Ja, dann gab es neue Erkenntnisse zur
Kritikalität von nicht als KRITIS
eingestuften Infrastrukturen. Stichwort
Pharmaproduktion, Altenheim, Supply Chain,
Europäische Cloud Rechenzentren.
A: Jein. Also für mich ja, für die AG
KRITIS auch ja, für diverse kritische
Infrastrukturbetreiber oder die
Mitarbeiter ja, für manche
Wirtschaftsverbände nicht mehr so ja, für
die Länder und die Bundesregierung eher
nicht so ja, und das BMI ey tschakka,
alles cool. Wir packen jetzt die
Siedlungsabfallentsorgung dazu und dann
diese UNBÖFI, Unternehmen im besonderen
öffentlichen Interesse, und dann noch
diese komischen, hier und da noch so ein
bisschen, und dann ist schick. Also,
meiner Meinung nach, meiner ganz
persönlichen Meinung nach, komplettes Fail
und Versagen, weil die echten Bedarfe
wurden nicht adressiert, sondern wieder
irgendwelche kaschierten Düdeldüs. Ja, so
sieht es aus
F Jetzt eine sehr spannende Frage. Wird
bei der Lebensmittelindustrie
unterschieden, ob zum Beispiel
Molkereiprodukte versus Bonbon-Fabrik?
A: Nein. Wenn du eine Versorgung über
500.000 Personen sicherstellen musst, dann
bist du KRITIS. Es gibt aber verschiedene
Anlagenkategorien. Also Herstellung,
Vertrieb von Lebensmitteln etc.. Und diese
einzelnen Kategorien. Wenn ich in einer
dieser Kategorien über 500.000 bin, dann
fällt es weg. Kleines Beispiel was außen
vor ist: Alkohol. Weil es steht drin, dass
beispielsweise bei Wasser eben es nur um
Wasser geht und nicht um Alkoholisches.
Insofern sind alkoholische Getränke zum
Beispiel komplett ausgeklammert.
F: Ja, dann was is, oh, jetzt kommt die
letzte Frage, das ist natürlich doof. Was
ist nach deiner Einschätzung nach der
brüchigste Sektor, also der mit der
größten Ausfallrisiko?
A: Strom. Weil Strom sozusagen die Basis
für alles ist, wenn Strom wegfällt, fällt
kurz danach Telekommunikation weg und
danach bricht alles andere zusammen. Wer
das mal genauer eruieren will, kann sich
gerne Blackout von Marc Elsberg mal
durchlesen. Das ist schon recht nah an der
Realität. Es gibt vom TAB Bundestag, TA
Bundestag eine Blackoutstudie von, 2012
glaube ich war's, die hat auch, ich glaub
250 Seiten oder so, die schreibt ganz
genau wissenschaftlich erforscht auf, was
nach 'nem Blackout so wie in welcher
Reihenfolge passiert. Wer dann noch nicht
genug hat, kann sich vielleicht noch 42
Grad durchlesen. Das ist auch ein Buch,
was sozusagen das ganze aus Wassersicht
beschreibt. Aber Strom ist definitiv die
Basis für alles und das ist am
kritischsten. Danach kommt IT und TK, weil
ohne Kommunikation funktioniert auch nicht
viel.
Engel: Ja dann wäre ich an der Stelle
erstmal nochmal Danke, Danke, Danke für
den Vortrag, für die Antworten. Die drei
Fragen, die noch drinstehen, da werden die
Antworten hinterher reingeschrieben,
bestimmt von HonkHase, kann dort
vielleicht die Sachen noch mal
kommentieren. Ansonsten könnt ihr Feedback
da auch immer reinschreiben. Und an der
Stelle würde ich einfach noch so virtuell.
Applaus, Applaus, Applaus sagen. Und ja,
dann gehen wir sozusagen glaub ich wieder
zurück ins Main-Programm und ja, dann
freue ich mich, dass es hier gleich
weitergeht.
Outro
Untertitel erstellt von c3subtitles.de
im Jahr 2022. Mach mit und hilf uns!