1
00:00:00,000 --> 00:00:14,330
Intro
2
00:00:14,330 --> 00:00:21,779
Engel: Ja, kommen wir nämlich jetzt zu
einem Vortrag, der mir selber am Herzen
3
00:00:21,779 --> 00:00:26,259
liegt, weil einige meiner besten Freunde
haben KRITIS. Und es ist halt so eine
4
00:00:26,259 --> 00:00:29,259
Krankheit, wie so eine Pandemie, da muss
man einfach sagen, muss man erst mal mit
5
00:00:29,259 --> 00:00:35,050
umgehen lernen. Darum freut es mich umso
mehr, dass wir jetzt hier bei uns im Saal
6
00:00:35,050 --> 00:00:40,499
oder wie auch immer man das hier so nennt,
den HonkHase oder mit bürgerlichem Namen
7
00:00:40,499 --> 00:00:47,789
Manuel Atug haben. Honk ist sozusagen
einer der Mitgründer von der KRITIS AG.
8
00:00:47,789 --> 00:00:51,320
Gleichzeitig macht ja auch so was mit
Security, wenn man sich bei ihm also den
9
00:00:51,320 --> 00:00:56,070
Track Record ansieht. Irgendwie 23 Jahre
Informationssicherheit und im Endeffekt
10
00:00:56,070 --> 00:01:00,540
muss man sagen, er ist halt wirklich ein
alter Hase in der Szene und auch in
11
00:01:00,540 --> 00:01:04,400
anderen Szenen. Und da muss man einfach
sagen: Wow, für deine ganzen Experience
12
00:01:04,400 --> 00:01:09,790
Points, die du jetzt sozusagen mit
einbringst, hier in diesem Vortrag. Und an
13
00:01:09,790 --> 00:01:12,750
der Stelle, ja, welcher Vortrag wird das
überhaupt? Ja richtig, Kritische
14
00:01:12,750 --> 00:01:18,730
Infrastrukturen in Pandemie Zeiten. Und
ja, jeder der sozusagen das Glück hat in
15
00:01:18,730 --> 00:01:23,640
Firmen zu arbeiten, die auch unter KRITIS
fallen, ja die werden glaube ich ein Lied
16
00:01:23,640 --> 00:01:27,282
davon singen können und werden jetzt
besonders aufmerksam auch zuhören, ob man
17
00:01:27,282 --> 00:01:30,790
hier auch noch mal was lernen können. Und
an der Stelle würde ich einfach sagen:
18
00:01:30,790 --> 00:01:38,750
Applaus, Applaus, Applaus, vorab. Wasser
Marsch. Honk, the Stage is yours.
19
00:01:38,750 --> 00:01:43,550
HonkHase: Ja danke Pupe. Ich hatte ja
schon einen anderen Vortrag gehalten:
20
00:01:43,550 --> 00:01:46,400
Erfahrungen eines KRITIS-Prüfers, haben
ein bisschen erzählt, wie man da so lebt,
21
00:01:46,400 --> 00:01:51,420
leidet, aber auch, wie kreativ sozusagen
die Vorhaltung der kritischen
22
00:01:51,420 --> 00:01:55,740
Infrastrukturen oder besser gesagt der
Versorgungsleistungen, so bewerkstelligt
23
00:01:55,740 --> 00:02:01,790
wird. Und heute zeige ich euch mal so ein
paar Themenabschnitte wie kritische
24
00:02:01,790 --> 00:02:04,250
Infrastrukturen eben in so einer
pandemischen Zeit eigentlich im
25
00:02:04,250 --> 00:02:10,522
Hintergrund, die ganze Sachlage stemmen
sozusagen. Ja Pupe hat schon gesagt, ich
26
00:02:10,522 --> 00:02:17,259
habe quasi KRITIS im Endstadium. Über 23
Jahre bin ich in all dem Ganzen aktiv.
27
00:02:17,259 --> 00:02:22,340
Meine Kernthemen sind eben kritische
Infrastrukturen aus Leidenschaft Hackback,
28
00:02:22,340 --> 00:02:25,540
weil es eben auch kritische
Infrastrukturen bedroht. Ethik,
29
00:02:25,540 --> 00:02:30,000
Cyberresilienz, also wie wird man
resilient gegen das ganze, Cyber-Gedöns,
30
00:02:30,000 --> 00:02:34,760
Stern Punkt Stern und eben der
Bevölkerungsschutz, weil am Ende ja wollen
31
00:02:34,760 --> 00:02:38,760
wir eigentlich morgen noch kraftvoll in
die Tastatur hacken und dazu brauchen wir
32
00:02:38,760 --> 00:02:43,819
Strom, Wasser, Hund, Katze, Maus und wie
das sichergestellt wird, das erzähle ich
33
00:02:43,819 --> 00:02:48,629
euch dann mal jetzt ein bisschen. Aber
bevor wir da reingehen, werde ich euch
34
00:02:48,629 --> 00:02:52,720
noch mal ein bisschen zu den kritischen
Definitionen erzählen, denn die
35
00:02:52,720 --> 00:02:57,250
rechtlichen Definitionen sind alles andere
als trivial oder komplett geklärt und
36
00:02:57,250 --> 00:03:01,150
geregelt. Und deswegen machen wir da auch
noch mal einen Durchblick oder Überblick,
37
00:03:01,150 --> 00:03:05,829
damit ihr anschließend den Durchblick
habt, was das eigentlich so rein rechtlich
38
00:03:05,829 --> 00:03:09,959
und gesetzlich bedeutet. Warum das einfach
oder komplex ist. Und dann kommen wir zu
39
00:03:09,959 --> 00:03:12,790
sechs Fallbeispielen, die ich euch einfach
mal mitgebracht habe und im Detail
40
00:03:12,790 --> 00:03:20,870
aufdröseln. Ja, rechtliche Definitionen
was ist ein KRITIS-Betreiber? Gucken wir
41
00:03:20,870 --> 00:03:26,799
mal von oben nach unten herab auf auf die
einzelnen Ebenen. Die Europäische Union
42
00:03:26,799 --> 00:03:33,259
hat das in der NIS-Richtlinie definiert.
Die NIS 1.0, die 2er ist gerade in Arbeit,
43
00:03:33,259 --> 00:03:39,529
Grusel Grusel. Aber da sind im
Wesentlichen oder es sind Betreiber
44
00:03:39,529 --> 00:03:44,570
wesentlicher Dienste definiert. Das sind
dann sieben Stück an der Zahl. Und das
45
00:03:44,570 --> 00:03:48,420
Ziel ist eben zu sagen Festlegung von
Maßnahmen zum Erreichen des gemeinsamen
46
00:03:48,420 --> 00:03:52,779
europäischen Sicherheitsniveaus von Netz-
und Informationssystem. Soweit, so cool.
47
00:03:52,779 --> 00:03:57,029
Klingt sinnvoll, ist aber gar nicht so
trivial umzusetzen. Aus dieser NIS-
48
00:03:57,029 --> 00:04:02,780
Richtlinie hat sich dann später eben das
IT-Sicherheitsgesetz abgeleitet. Komme ich
49
00:04:02,780 --> 00:04:06,810
gleich zu. Erst mal so ganz allgemein
Bundesrepublik Deutschland hat eine
50
00:04:06,810 --> 00:04:10,239
einheitliche Definition. Kritische
Infrastrukturen auf Bundes und Landesebene
51
00:04:10,239 --> 00:04:14,299
heißt, ja: "KRITIS sind Organisationen
oder Einrichtungen mit wichtiger Bedeutung
52
00:04:14,299 --> 00:04:19,890
für das staatliche Gemeinwesen, bei deren
Ausfall oder Beeinträchtigung nachhaltig
53
00:04:19,890 --> 00:04:23,850
wirkende Versorgungsengpässe, erhebliche
Störung der öffentlichen Sicherheit oder
54
00:04:23,850 --> 00:04:27,600
andere dramatische Folgen eintreten
würden". Klingt jetzt nach Drama-Queen,
55
00:04:27,600 --> 00:04:32,600
ist es aber auch, weil die Sektoren, die
da definiert sind, Energie, Wasser, IT und
56
00:04:32,600 --> 00:04:36,640
TK, Gesundheit, gerade Gesundheit, sehen
wir jetz in der Pandemie, wenn die nicht
57
00:04:36,640 --> 00:04:41,481
funktionieren, haben wir ganz schnell
dramatische Folgen, nämlich Krisen, wie
58
00:04:41,481 --> 00:04:46,260
beispielsweise auch die Pandemie eine
querstellt. Und zusätzlich zu diesen
59
00:04:46,260 --> 00:04:49,780
7 Sektoren kommen noch zwei dazu, die
sind ein bisschen besonders in
60
00:04:49,780 --> 00:04:54,160
Deutschland, nämlich Staat und Verwaltung
und Medien und Kultur, denn Staat und
61
00:04:54,160 --> 00:04:59,280
Verwaltung kann natürlich nicht auf auf
BSI-Ebene, sag ich mal, Bundesamt für
62
00:04:59,280 --> 00:05:03,250
Sicherheit in der Informationstechnik,
geregelt werden. Genauso Medien und
63
00:05:03,250 --> 00:05:08,430
Kultur, denn Medien werden zum Beispiel in
den Landesmediengesetzen geregelt. Da darf
64
00:05:08,430 --> 00:05:13,840
natürlich nicht der Bund ins Land rein
grätschen. Das ist so ganz generell mal
65
00:05:13,840 --> 00:05:18,700
der Stand. Dann habe ich gerade schon
erwähnt IT-Sicherheitsgesetz 1.0 leitet
66
00:05:18,700 --> 00:05:25,030
sich also aus der NIS-Richtlinie der EU
ab. Das Gesetz zur Erhöhung der Sicherheit
67
00:05:25,030 --> 00:05:31,040
informationstechnischer Systeme 2015 in
Deutschland irgendwie aktiv geworden und
68
00:05:31,040 --> 00:05:35,800
deckt im Endeffekt genau das ab als
Zielsetzung, was wir gerade schon hatten
69
00:05:35,800 --> 00:05:39,460
Absicherung der IT-Systeme und der
digitalen Infrastruktur, Verbesserung der
70
00:05:39,460 --> 00:05:43,910
IT-Sicherheit von Unternehmen der
Bundesverwaltung. Ja gut, ist noch room
71
00:05:43,910 --> 00:05:47,370
for improvement. Schutz der Bürgerinnen
und Bürger im Internet. Ja, das ist noch
72
00:05:47,370 --> 00:05:52,020
ganz viel room for improvement. Die
Sektoren sind im wesentlichen dieselben,
73
00:05:52,020 --> 00:05:59,070
die die EU definiert hat. Ist ja die
Pflicht die EU Sicht in die Landessicht
74
00:05:59,070 --> 00:06:05,210
sozusagen umzumünzen und das IT-SiG 2.0
ist ja demzufolge auch in Arbeit, genauso
75
00:06:05,210 --> 00:06:12,270
wie die NIS 2 Richtlinie. Aber genau da so
ebenfalls Grusel. Ja, aus dem IT-
76
00:06:12,270 --> 00:06:18,800
Sicherheitsgesetz 1 leitet sich ab Dinge
fürs BSI Gesetz, die da zu berücksichtigen
77
00:06:18,800 --> 00:06:22,860
sind, ist ganz generisch erstmal.
Festlegung der Aufgaben und Befugnisse des
78
00:06:22,860 --> 00:06:27,540
BSI und eben weitergehende Befugnisse als
Reaktion auf neue Bedrohung zunehmender
79
00:06:27,540 --> 00:06:31,190
Bedeutung der Informations und
Kommunikationstechnologie. Da haben wir
80
00:06:31,190 --> 00:06:36,700
jetzt die sieben kritische Infrastruktur
Sektoren der EU und sozusagen
81
00:06:36,700 --> 00:06:43,360
deutschlandweit ohne die zwei
Sonderlöckchen, die dann in dem BSI Gesetz
82
00:06:43,360 --> 00:06:46,840
geregelt sind, wie der Ablauf ist, welche
hoheitlichen Aufgaben und welche
83
00:06:46,840 --> 00:06:51,040
Befugnisse, aber auch Rechte und Pflichten
das BSI hat oder eben auch die einzelnen
84
00:06:51,040 --> 00:06:55,810
kritischen Infrastruktur-Dienstleister und
daran anhängend ist noch mal, weil wir
85
00:06:55,810 --> 00:06:58,680
sind ja noch nicht fertig mit der
Rechtslage, muss ja immer noch einer
86
00:06:58,680 --> 00:07:03,540
draufgelegt werden, ein habe ich noch: die
BSI-KRITIS-Verordnung, die ihr seht, da
87
00:07:03,540 --> 00:07:07,550
drin wird der Schwellenwert der
Leistungsfähigkeit, IT Sektor zum
88
00:07:07,550 --> 00:07:10,770
Beispiel, definiert und die genaue
Anlagenkategorie. Heißt
89
00:07:10,770 --> 00:07:15,540
Frischwassergewinnungwerk,
Abwasserentsorgung, das sind zwei Anlagen-
90
00:07:15,540 --> 00:07:20,110
Kategorien. Ich betreibe solche Anlagen
oder ein Frischwassergewinnungswerkbrunnen
91
00:07:20,110 --> 00:07:24,530
wäre dann eben ein Brunnen zur
Frischwasserentnahme, den ein Wasserwerk
92
00:07:24,530 --> 00:07:29,720
nutzt, um Wasser zu produzieren. Und der
Schwellenwert ist das, ab wann eigentlich
93
00:07:29,720 --> 00:07:36,110
ein Dienstleister oder Leistungserbringer
in diesem Sektor dann als kritische
94
00:07:36,110 --> 00:07:40,530
Infrastruktur gilt. Und aktuell ist es
relativ einfach. Die Schwellenwerte sind
95
00:07:40,530 --> 00:07:45,900
bei allen sieben Sektoren pauschal immer
500.000 Personen in der Versorgung,
96
00:07:45,900 --> 00:07:51,490
umgerechnet auf die Versorgungsleistungen.
Heißt 22 Millionen Kubikmeter Frischwasser
97
00:07:51,490 --> 00:07:55,880
pro Jahr beispielsweise, dann bin ich
KRITIS. Mache ich weniger, dann bin ich
98
00:07:55,880 --> 00:08:00,520
zwar in dem Sektor, aber diese ganzen
Gesetzeslagen sind irrelevant. Trotz allem
99
00:08:00,520 --> 00:08:06,400
ist es kritische Infrastruktur. Jetzt habe
ich aber noch einen, weil er einfach, wenn
100
00:08:06,400 --> 00:08:09,810
wir bis hierhin gekommen sind und die
Länder vergessen, landesspezifische
101
00:08:09,810 --> 00:08:14,260
Vorgaben gibt es natürlich dann auch noch
mal. NRW habe ich jetzt die vom April 2020
102
00:08:14,260 --> 00:08:20,220
Coronabetriebsverordnung rausgepickt. Die
ist inzwischen auch schon aktualisiert
103
00:08:20,220 --> 00:08:22,980
worden. Da ist teilweise auch die
Definition übrigens schon wieder
104
00:08:22,980 --> 00:08:28,207
rausgefallen. Dieser Paragraph 5
CoronaBetrVO gibt's gar nicht mehr. Aber
105
00:08:28,207 --> 00:08:32,010
zu dem Zeitpunkt haben die auch versucht
zu sagen: Hey, wir müssen hier irgendwie
106
00:08:32,010 --> 00:08:37,079
den Schutz vor Neuinfizierungen regeln im
Rahmen der BetreuungsInfrastruktur oder im
107
00:08:37,079 --> 00:08:43,479
Rahmen der ja wichtigen Dienste oder
systemkritische Dienste, systemrelevante
108
00:08:43,479 --> 00:08:47,689
Systeme. Da wurden in jeder Verordnung
wird es anders genannt. Jedes Land hat ja
109
00:08:47,689 --> 00:08:51,379
eine. Und hier war es so, dass eben die
sieben Klassischen benannt wurden:
110
00:08:51,379 --> 00:08:56,600
staatliche Verwaltung auf sozusagen
landesspezifischer Ebene, die Medien, ja,
111
00:08:56,600 --> 00:08:59,730
weil die natürlich landesweit sind, aber
da wurden eben auch beispielsweise
112
00:08:59,730 --> 00:09:04,600
Schulen, Kinder- und Jugendhilfe und
Behindertenhilfe gelistet als sozusagen
113
00:09:04,600 --> 00:09:08,780
Sektoren kritischer Infrastruktur, bei der
man irgendwie auch den Schutz vor
114
00:09:08,780 --> 00:09:14,110
Neuinfizierung regeln muss. Ja, die
Bundesländer generell Grusel, Grusel, das
115
00:09:14,110 --> 00:09:16,779
war ja auch immer alles ein Hin und Her
und dieses Hin und Her haben wir jetzt
116
00:09:16,779 --> 00:09:21,740
noch nicht ausgestanden. Aber das war der
Schnellüberblick über die gesetzlichen
117
00:09:21,740 --> 00:09:24,639
Regelungen, damit war auch ein bisschen
mehr Zeit haben, über die sechs
118
00:09:24,639 --> 00:09:28,050
Fallbeispiele, die ich mitgebracht habe,
zu reden. Ja, wie sieht kritischer
119
00:09:28,050 --> 00:09:35,269
Infrastruktur in Pandemiezeiten aus? So.
Eine Herausforderung, die so Anfang
120
00:09:35,269 --> 00:09:40,319
letztes Jahr teilweise bei großen
kritische Infrastruktur-Dienstleistern
121
00:09:40,319 --> 00:09:44,259
schon im Januar längst adressiert wurden,
da wart ihr wahrscheinlich noch gar nicht
122
00:09:44,259 --> 00:09:49,160
im ersten, ja, ich nenne es jetzt einfach
mal Lockdown oder im Homeoffice oder zu
123
00:09:49,160 --> 00:09:52,529
Hause, wie auch immer. Die hatten also
teilweise schon im Januar ihre
124
00:09:52,529 --> 00:09:57,470
Pandemiekonzept ausgegraben und gesagt: Oh
shit, wir müssen reagieren. Nachzügler im
125
00:09:57,470 --> 00:10:01,520
Februar und diejenigen, die so nicht
richtig davon mitbekommen haben, dann so
126
00:10:01,520 --> 00:10:06,339
März, April. Aber das Wichtigste wurde
eigentlich zeitnah realisiert. Es gab kaum
127
00:10:06,339 --> 00:10:10,990
bekannt gewordene wesentliche Ausfälle,
aber die Herausforderung war zum Beispiel
128
00:10:10,990 --> 00:10:15,870
Ausfall systemrelevanten Personals zum
Betrieb der kritischen Anlagen Kategorie,
129
00:10:15,870 --> 00:10:20,160
damit die Versorgungsleistungen bei der
Bevölkerung ankommt. Ich kann kein
130
00:10:20,160 --> 00:10:26,740
Frischwassergewinnungswerk betreiben, also
ein riesengroßen Pumpensteuerungsanlagen,
131
00:10:26,740 --> 00:10:32,110
Labore, um den Wasserreinheitsgehalt
aufrechtzuerhalten. Trinkwasser hat eine
132
00:10:32,110 --> 00:10:36,770
sehr sehr hohe Anforderungen an die
Trinkwasserqualität. Die ist deutlich
133
00:10:36,770 --> 00:10:41,589
höher als bei in Flaschen abgefülltem
Zeugs beispielsweise. Und die Szenarien
134
00:10:41,589 --> 00:10:47,519
sind also, was war zu dem Zeitpunkt so das
Szenario? Anreise der Mitarbeitenden vom
135
00:10:47,519 --> 00:10:52,291
privaten Wohnsitz. Wie kriegen wir das
geregelt? Da waren ja teilweise Busse und
136
00:10:52,291 --> 00:10:56,529
Bahnen außer Betrieb oder durfte kaum
jemand fahren. Wie auch immer. Ja, wenn
137
00:10:56,529 --> 00:11:00,689
die Fahrgemeinschaften machen war auch
wieder eine Infektionsrisiko. Kontakt zu
138
00:11:00,689 --> 00:11:04,730
anderen Personen. Die gehen nach Hause und
haben dann Kontakt mit Familie, Verkäufer
139
00:11:04,730 --> 00:11:11,550
etc. pp. Und die Exposition gegenüber
einer Infektion mit COVID-19 war natürlich
140
00:11:11,550 --> 00:11:16,779
jederzeit gegeben. Kriegen wir das
geregelt? Und die Auswirkungen dieser
141
00:11:16,779 --> 00:11:20,529
Szenarien und Herausforderungen war dann
eben Ausfall der Mitarbeitenden aufgrund
142
00:11:20,529 --> 00:11:23,660
einer Infektion und eben erhöhtes
Ansteckungsrisiko innerhalb der
143
00:11:23,660 --> 00:11:28,760
Belegschaft. Da war also die Frage wie
können wir da gegensteuern? Die haben
144
00:11:28,760 --> 00:11:33,769
natürlich Pandemiekonzepte. Manche wurden
auch noch mal spontan überarbeitet oder,
145
00:11:33,769 --> 00:11:38,420
ups, wir müssen noch mal den Staub
wegwischen und mal aktualisieren. Aber
146
00:11:38,420 --> 00:11:42,910
viele hatten schon laufende Konstrukte.
Muss man fairerweise auch sagen. So
147
00:11:42,910 --> 00:11:45,170
schlimm sieht es nicht aus. Aber die
Herausforderung war auf jeden Fall
148
00:11:45,170 --> 00:11:50,389
gegeben. Wie sahen die Lösungen aus? Wenn
du zum Beispiel so ein Leitstand in einem
149
00:11:50,389 --> 00:11:54,619
Kraftwerk hast oder ein Leitstand in 'nem
Wasserwerk, muss du eben schauen, dass du
150
00:11:54,619 --> 00:11:59,769
das systemrelevante Betriebsteam isoliert.
Das heißt du nimmst Leute, die den
151
00:11:59,769 --> 00:12:03,879
Leitstand besetzen, aber auch zum Beispiel
nen Elektriker. Wenn mal 'ne Kleinigkeit
152
00:12:03,879 --> 00:12:07,990
ist, muss er das schrauben und machen und
tun. Und den hast du natürlich mit vor Ort
153
00:12:07,990 --> 00:12:13,110
im Team. Und ja, die brauchen natürlich
Bereitstellung von Unterkünften am
154
00:12:13,110 --> 00:12:18,050
Arbeitsplatz, weil die wurden isoliert.
Isoliert heißt wirklich abgetrennt. Die
155
00:12:18,050 --> 00:12:23,279
haben also am Arbeitsplatz
Schlafmöglichkeiten und Aufenthaltsräume
156
00:12:23,279 --> 00:12:27,230
bereitgestellt oder eben aktiviert. So wie
das Pandemiekonzept das vorsieht.
157
00:12:27,230 --> 00:12:32,430
Teilweise haben die die dann, also nicht
teilweise, die allermeisten haben sie
158
00:12:32,430 --> 00:12:36,459
eigentlich freiwillig gefragt. Hier habt
ihr da Lust, Zeit und Nerv zu? Wollt ihr
159
00:12:36,459 --> 00:12:39,649
euch freiwillig sechs Wochen oder vier
Wochen oder wie der Zyklus bei denen eben
160
00:12:39,649 --> 00:12:45,639
ist, in eine Isolation begeben? Ihr kriegt
dann extra für und die Bevölkerung wird
161
00:12:45,639 --> 00:12:51,029
euch lieben. Ihr dürft natürlich auch
Kontakt zu der Familie halten etc. Aber
162
00:12:51,029 --> 00:12:56,019
nur remote wird alles aufgeschaltet. Kein
Thema. Aber eben auch wir stellen euch
163
00:12:56,019 --> 00:12:58,680
Schlafmöglichkeiten, Aufenthaltsräume
bereit. Was man noch berücksichtigen
164
00:12:58,680 --> 00:13:02,850
musste waren dann Dinge des täglichen
Bedarfs: Waschmaschine aufstellen,
165
00:13:02,850 --> 00:13:07,829
Waschmittel, jede Menge Nahrungsmittel
verpacktes wie auch, und natürlich bis zu
166
00:13:07,829 --> 00:13:12,769
einem gewissen Grad, frisches über eine
Sicherheitsschleuse sozusagen
167
00:13:12,769 --> 00:13:18,689
Vereinzelungsschleusern der Form, dass man
Nachschub sozusagen da rein stellt, eine
168
00:13:18,689 --> 00:13:23,110
Weile wartet und versucht das ummantelt zu
haben, desinfizieren und dann eben ziehen
169
00:13:23,110 --> 00:13:27,180
die das da rein, packen alles aus,
versuchen auch noch mal zu warten und
170
00:13:27,180 --> 00:13:31,809
alles zu desinfizieren und dann eben die
Sachen einzubringen. Und da wurde dann
171
00:13:31,809 --> 00:13:35,930
beispielsweise eben auch Trinkwasser
reingebracht, wenn man nicht fließend
172
00:13:35,930 --> 00:13:42,249
Wasser da sowieso hatte. Ja auch so was
wie Tee oder Kaffee, Kaffee, schwarz, heiß
173
00:13:42,249 --> 00:13:47,559
und schön lecker Junge, wird also alles,
was man im täglichen Bedarf braucht, in
174
00:13:47,559 --> 00:13:51,990
der Isolation eben vorbereitet und über
die Schleuse dann die Weiterversorgung
175
00:13:51,990 --> 00:13:56,410
sichergestellt. Und, was sie auch
sicherstellen mussten, psychologische
176
00:13:56,410 --> 00:14:01,399
Fürsorge durch Beschäftigungsmöglichkeiten
und psychologische Betreuung. Denn
177
00:14:01,399 --> 00:14:06,699
Isolation, so vier oder sechs Wochen immer
dieselben Leute, ist natürlich auch hart.
178
00:14:06,699 --> 00:14:13,509
Draußen ist die Familie in dieser unklaren
Situation. Wir denken mal zurück. März,
179
00:14:13,509 --> 00:14:18,679
April, Mai, letztes Jahr. Keiner wusste so
richtig, was passiert. Was wird. Es kamen
180
00:14:18,679 --> 00:14:21,019
fast täglich neue Studien. Die
Wissenschaftler haben neue Erkenntnisse
181
00:14:21,019 --> 00:14:25,129
gehabt. Die Politik hat gesagt hü, hott,
nein, ja, doch, vielleicht, wir schauen
182
00:14:25,129 --> 00:14:29,929
mal, dinge aus Gründen. In der Situation
dann zu sagen Ich lass meine Familie im
183
00:14:29,929 --> 00:14:33,560
Stich und gehe jetzt sozusagen die
Bevölkerung retten ist natürlich auch
184
00:14:33,560 --> 00:14:37,779
psychologisch sehr viel Druck und da gab
es dann entsprechend auch Fürsorge, bei
185
00:14:37,779 --> 00:14:42,999
denen wo es notwendig war oder die wurde
generell bereitgestellt. Es gibt natürlich
186
00:14:42,999 --> 00:14:48,129
auch immer Einzelfälle, wo das vergessen
wurde oder nicht ordentlich betrachtet
187
00:14:48,129 --> 00:14:52,970
wurde. Es gibt auch viele Einzelfälle,
wenn man jetzt mal in die Krankenhäuser
188
00:14:52,970 --> 00:14:57,649
und Pflegeheime schaut. Der Sektor
Gesundheit, da hat ja die Politik nicht
189
00:14:57,649 --> 00:15:03,509
gerade mit Glanz und Ruhm gehandelt. Wir
erinnern uns noch an 20 Uhr gehen wir
190
00:15:03,509 --> 00:15:08,370
auf'n Balkon und klatschen mal 'ne Runde.
Aber wenn Tarifverhandlungen waren, hat
191
00:15:08,370 --> 00:15:12,809
das Bundesgesundheitsministerium gesagt:
Nö, Tarifeupgrade gibt's nicht, es gibt
192
00:15:12,809 --> 00:15:18,319
eine Einmalzahlung, aber mehr Geld? Nö.
Ist natürlich auch psychologischer Druck,
193
00:15:18,319 --> 00:15:23,059
der nicht unbedingt dafür sorgt, dass man
sagt: Hey, ich hab diesen Beruf aus Herzen
194
00:15:23,059 --> 00:15:28,810
gewählt und jetzt mach ich das auch. Also
all das kommt zusammen. Es ist
195
00:15:28,810 --> 00:15:33,639
systemrelevant, das Personal, es wurden
Maßnahmen getroffen, damit man eben den
196
00:15:33,639 --> 00:15:38,429
Ausfall kompensiert. Teilweise haben es
ganz große Betreiber, jetzt Atomkraftwerk,
197
00:15:38,429 --> 00:15:41,809
Leitstand oder so auch durchaus so
geregelt, dass sie gesagt haben, wir haben
198
00:15:41,809 --> 00:15:49,119
ein Betriebsteam vor Ort. Wir haben ein
weiteres unabhängig isoliert an einer
199
00:15:49,119 --> 00:15:54,559
anderen Station oder in separaten
Räumlichkeiten, sodass also wenn dieses
200
00:15:54,559 --> 00:15:58,759
Betriebsteam warum auch immer eine COVID-
Infektion eingeschleust bekommt und wir
201
00:15:58,759 --> 00:16:04,389
das nicht verhindern konnten, kann es ja
sein, dass sie alle komplett ausfallen und
202
00:16:04,389 --> 00:16:08,410
dann müssen wir eben ein zweites Team
ready haben und manche hatten sogar ein
203
00:16:08,410 --> 00:16:13,110
drittes Team hot-spare, also das wirklich
dann im Worst Case zwei komplette
204
00:16:13,110 --> 00:16:17,239
systemrelevante Betriebsteams ausfallen
konnten und ein Drittes noch da war, um
205
00:16:17,239 --> 00:16:21,610
den Betrieb sicherzustellen. Und das alles
ist weitestgehend transparent im
206
00:16:21,610 --> 00:16:26,019
Hintergrund passiert und kaum in den
Medien oder in der Presse gewesen. Hier
207
00:16:26,019 --> 00:16:29,420
und da mal so ein bisschen, Stadtwerke in
Wien oder so hatten da mal ein Bericht zu
208
00:16:29,420 --> 00:16:34,649
gemacht. Also man kann da ein bisschen zu
recherchieren, aber im Wesentlichen machen
209
00:16:34,649 --> 00:16:38,069
die schon seit vielen Jahren immer ihren
Dienst im Hintergrund und das fällt dann
210
00:16:38,069 --> 00:16:43,120
auch nicht so auf. Deswegen hier noch mal
ein dickes, fettes Danke an alle
211
00:16:43,120 --> 00:16:47,670
systemrelevanten Personen, die sich in
Isolation begeben haben, die trotz dieser
212
00:16:47,670 --> 00:16:51,990
Krisenlage permanent ihren Schichtdienst
aufrecht halten und kümmern und machen und
213
00:16:51,990 --> 00:16:58,509
tun. Das ist wirklich ein dickes, fettes
Dankeschön wert. Und ich verneige mich und
214
00:16:58,509 --> 00:17:04,970
geb mein Respekt an all diese Personen.
Joa, zweite Herausforderung, wat hab wer
215
00:17:04,970 --> 00:17:08,179
denn noch? Wir haben ja gerade schon
gesagt Frischwasser, wat frisch reinkommt,
216
00:17:08,179 --> 00:17:13,029
muss auch hässlich wieder weg. Alles
Kacke, ne? Abwasserentsorgung, so. Wat ham
217
00:17:13,029 --> 00:17:16,179
wir gehabt? Wir haben die Herausforderung
gehabt, die Leute hamstern
218
00:17:16,179 --> 00:17:22,949
Toilettenpapier. Es gibt temporär Mangel
an Toilettenpapier. Die Endverbraucher-
219
00:17:22,949 --> 00:17:26,500
Toilettenpapier waren dann sozusagen nicht
mehr da, aber die Industrieprodukte waren
220
00:17:26,500 --> 00:17:30,779
da. Das heißt, wenn ich so große Rollen
habe, die ich in der Industrie fertige und
221
00:17:30,779 --> 00:17:35,870
dann auch in den Produktionshallen habe,
aber so kleine Rollen, die für zu Hause
222
00:17:35,870 --> 00:17:40,390
sind sozusagen, und sich plötzlich alles
von Industrie und Produktion und
223
00:17:40,390 --> 00:17:46,080
Wirtschaft in Richtung Homeoffice
verschiebt, oder Lockdown anfangs, dann
224
00:17:46,080 --> 00:17:50,820
kann ich natürlich nicht Produkt A mit
Produkt B mal eben austauschen, weil die
225
00:17:50,820 --> 00:17:54,549
Produktionsstraßen und die Fertigung eine
ganz andere sind. Und das hat dann
226
00:17:54,549 --> 00:17:59,200
tatsächlich zu diesem, inklusive dem
Hamstern dazu geführt, dass es einen
227
00:17:59,200 --> 00:18:03,610
Engpass gab, temporär. Und ja, auch die
Logistik war natürlich eine
228
00:18:03,610 --> 00:18:08,120
Herausforderung, weil die großen Rollen
anders verpackt in viel größeren, also
229
00:18:08,120 --> 00:18:11,350
palettenweise normalerweise wie ein
Produkt, das ist halt 'ne Palette mit
230
00:18:11,350 --> 00:18:16,861
einzeln abgepackten, so Achter- oder
Sechserpacks oder 10er Packs. Und so war
231
00:18:16,861 --> 00:18:21,460
also auch das eine Herausforderung, wie
man das logistisch meistert. Die
232
00:18:21,460 --> 00:18:25,180
Verwendung von Alternativen wurde dann
teilweise als Herausforderung angegangen.
233
00:18:25,180 --> 00:18:31,610
Dann nehm ich halt Küchentücher,
Taschentücher, Feuchttücher. Kann aber
234
00:18:31,610 --> 00:18:36,390
auch eine Herausforderung werden, denn die
Dinger sind reißfest im Gegenzug zu
235
00:18:36,390 --> 00:18:42,309
Toilettenpapier, was sich auflöst. Das
heißt, wir reden von Fremdkörper im
236
00:18:42,309 --> 00:18:47,760
Abwasser und das beeinträchtigt dann eben
das Klärwerk durch verstopfte Pumpen,
237
00:18:47,760 --> 00:18:52,480
teilweise, oder eben durch eine höhere
Frequenz der Rechenreinigung. Und wenn du
238
00:18:52,480 --> 00:18:55,240
die Rechenreinigung mit einer höheren
Frequenz versehen muss, muss auch die
239
00:18:55,240 --> 00:18:57,980
Abfallentsorgung mit einer höheren
Frequenz versehen. In einem Zeitraum, wo
240
00:18:57,980 --> 00:19:03,640
selbst die LKW-Fahrer, die dann den
Abtransport regeln oder auch die
241
00:19:03,640 --> 00:19:09,360
Müllkippen sozusagen dann teilweise im
Lockdown waren, oder in Notdienst
242
00:19:09,360 --> 00:19:15,590
sozusagen. Ja, wie sah die Lösung? Für den
Teil Hamstern von Toilettenpapier und
243
00:19:15,590 --> 00:19:19,529
Mangel gab es so eine Art Eigenregulierung
durch den Einzelhandel und die Produktion.
244
00:19:19,529 --> 00:19:22,760
Ganz spannend. Es gab so Begrenzung der
Vergabe von Toilettenpapier, um die
245
00:19:22,760 --> 00:19:26,029
breitere Masse zu versorgen und
Selbstregulierung durch die Umstellung der
246
00:19:26,029 --> 00:19:31,279
Produktion. War also teilweise so Dinge
gegeben wie jeder darf nur ein
247
00:19:31,279 --> 00:19:37,100
Toilettenpapierset kaufen oder das erste
kostet 3 99, jedes weitere 15 Euro, wenn
248
00:19:37,100 --> 00:19:41,140
man halt mehrere kauft, damit die Leute
einfach sagen Okay, ich bin jetzt, ich
249
00:19:41,140 --> 00:19:47,279
hamster nicht, sondern geh mal freundlich
mit allen anderen um. Ja, Verwendung von
250
00:19:47,279 --> 00:19:50,890
Alternativen oder Beeinträchtigung der
Klärwerke war eben das Problem, dass diese
251
00:19:50,890 --> 00:19:55,549
Alternativen wie gesagt alles verstopfen
können. Die Alternativen, die so von den
252
00:19:55,549 --> 00:19:59,820
Klärwerkbetreibern kommuniziert wurden,
waren dann sowas wie Bidets, mobile
253
00:19:59,820 --> 00:20:05,140
Bidets, gibt es auch, so kleine Spritz-
Drück-Pumpen sozusagen quasi. Waschlappen
254
00:20:05,140 --> 00:20:10,100
oder Duschen, so dass man da also auch
versucht hat, die Leute davon abzubringen,
255
00:20:10,100 --> 00:20:16,000
Feststoffe in die Kanalisation
einzuführen. Das ist wahrscheinlich
256
00:20:16,000 --> 00:20:19,580
weitestgehend intransparent für euch
geschehen, denn wenige von euch haben
257
00:20:19,580 --> 00:20:23,260
wahrscheinlich diese Aufrufe gehört. Ich
habe es auch versucht zu fördern mit den
258
00:20:23,260 --> 00:20:29,460
Abwasser- und Klärwerk-Anlagenbetreiber.
Wie so viele in diesen Bereichen. Aber das
259
00:20:29,460 --> 00:20:33,621
ist natürlich keine große Ausstrahlung.
Dann haben wir so Herausforderung gehabt
260
00:20:33,621 --> 00:20:38,460
wie wenn du dein Rechenzentrum im
Quarantänegebiet betreibst und das
261
00:20:38,460 --> 00:20:41,520
Rechenzentrum dann aufgrund landesweiter
Ausgangsbeschränkungen nicht so wirklich
262
00:20:41,520 --> 00:20:45,559
sinnvoll erreichen kannst, tja, wie kommen
dann die systemrelevanten Mitarbeiter
263
00:20:45,559 --> 00:20:50,169
dahin? Man muss also erst mal klären,
Kontaktaufnahme mit dem zuständigen
264
00:20:50,169 --> 00:20:54,139
Gesundheitsamt zur Aufstellung von
Ausnahmegenehmigungen. Das muss vorher
265
00:20:54,139 --> 00:20:58,510
geklärt werden. Man muss wissen, welches
Gesundheitsamt zuständig ist. Zu dem
266
00:20:58,510 --> 00:21:02,029
Zeitpunkt war denen auch noch nicht ganz
klar, wofür die wann wie zuständig sind
267
00:21:02,029 --> 00:21:08,519
und wie man die Ausnahmegenehmigungen
ausstellt etc. Ich beispielsweise habe von
268
00:21:08,519 --> 00:21:12,799
meinem Arbeitgeber eine
Ausnahmegenehmigung erhalten, weil ich
269
00:21:12,799 --> 00:21:17,100
eben Dienstleistungen für den Betrieb
kritischer Infrastrukturen sicherstelle,
270
00:21:17,100 --> 00:21:21,850
sodass also wenn ich zu einem Kunden oder
ins Büro musste, was übrigens sehr, sehr
271
00:21:21,850 --> 00:21:27,929
selten war. Seit Anfang Februar habe ich
dann trotzdem die Möglichkeit gehabt,
272
00:21:27,929 --> 00:21:31,130
diesen Beleg mit meinem Personalausweis im
Portemonnaie gehabt und hätte das
273
00:21:31,130 --> 00:21:35,899
vorzeigen können. Das war also das eine.
Das andere ist halt eine Implementierung
274
00:21:35,899 --> 00:21:39,990
Journal-basierte asynchroner Replikation
über weite Entfernungen, so dass man also
275
00:21:39,990 --> 00:21:46,350
eine redundante Datenhalde in einer nicht
Quarantänezone hat, idealerweise. Aber
276
00:21:46,350 --> 00:21:49,970
wenn halt weltweite Pandemie ist, dann ist
das auch kein Garant, dass nicht alle
277
00:21:49,970 --> 00:21:53,730
redundanten Bereiche vielleicht einer
Ausgangsbeschränkung unterliegen. Also es
278
00:21:53,730 --> 00:21:57,860
war auch manchmal eine Herausforderung, da
von den Gesundheitsämtern irgendwie die
279
00:21:57,860 --> 00:22:03,980
Hilfe zu bekommen, aber in der Regel ging
es relativ fluffig. Ansonsten konnten eben
280
00:22:03,980 --> 00:22:09,540
diverse Leute wie ich oder alle Kollegen,
die ganzen anderen Mitbewerber auch
281
00:22:09,540 --> 00:22:12,720
durchaus unter die Arme greifen und sagen
Leute ihr müsst da und da hin, kümmert
282
00:22:12,720 --> 00:22:17,121
euch um den und den Beleg, hier ist ein
Template. Das ist der Text, machen, ja
283
00:22:17,121 --> 00:22:22,429
machen. Zeit ist irgendwie kritisch. Ja,
dann haben wir noch gehabt,
284
00:22:22,429 --> 00:22:26,940
Einschränkungen im Einzelhandel. Wir haben
ja jetzt schon das Klopapier besprochen.
285
00:22:26,940 --> 00:22:33,000
Jetzt kommen wir mal zu den Nudels.
Logistik. Lagerkapazitäten und die
286
00:22:33,000 --> 00:22:38,120
Produktion der Ware waren gewährleistet,
sind dann aber in Verzögerung gekommen,
287
00:22:38,120 --> 00:22:43,530
weil natürlich diese Supply Chain und das
Just in Time Delivery nicht mehr so ganz
288
00:22:43,530 --> 00:22:47,410
funktioniert hat und dann sind die
Lagerkapazitäten auch bedroht gewesen
289
00:22:47,410 --> 00:22:53,049
dadurch, dass es Grenzkontrollen gab für
den Warentransport. Es gab ja teilweise
290
00:22:53,049 --> 00:22:59,070
Berichte, wo an der Grenze Polen nach
Deutschland 60 km LKW-Stau war und die
291
00:22:59,070 --> 00:23:02,549
Leute tagelang da festhingen und versorgt
werden mussten, damit sie nach Deutschland
292
00:23:02,549 --> 00:23:09,309
reinkommen. Quelle vie an der Stelle, LKW-
Fahrer, die dann eingereist sind mussten
293
00:23:09,309 --> 00:23:13,710
teilweise eine Zeit lang 14 Tage in
Quarantäne sitzen, um dann wieder ins
294
00:23:13,710 --> 00:23:17,932
Ausland zurück zu fahren oder sind sogar
hier erkrankt und umgekehrt, sind ins
295
00:23:17,932 --> 00:23:22,399
Ausland gefahren, mussten da 14 Tage in
Quarantäne bleiben oder sind da erkrankt.
296
00:23:22,399 --> 00:23:26,380
Heißt, es gab natürlich auch da
schwerwiegende ernste Fälle, aber es gab
297
00:23:26,380 --> 00:23:31,429
eben auch die 14-tägige Frist, so dass die
natürlich nicht den Umschlag ruckzuck
298
00:23:31,429 --> 00:23:36,169
machen konnten, und zack haste ein Defizit
an Fahrern und damit auch nicht mehr die
299
00:23:36,169 --> 00:23:40,600
passende Lagerkapazität, weil einfach der
Transport nicht sichergestellt werden
300
00:23:40,600 --> 00:23:47,650
konnte. Ja, die haben Hamsterkäufe haben
natürlich den Warenbedarf erhöht.
301
00:23:47,650 --> 00:23:52,759
Temporärer Mangel wurde damit entsprechend
gefördert. Wie hat man dem gegengesteuert?
302
00:23:52,759 --> 00:23:58,330
Beispielsweise hat Aldi die damals gesagt:
So, dieses Nudeldefizit geht ja mal gar
303
00:23:58,330 --> 00:24:04,559
nicht. Wir müssen den Warentransport
irgendwie umschlagen auf Schienenverkehr
304
00:24:04,559 --> 00:24:08,890
und haben mit DB Schenker kurzfristig,
kann man auf 'nem Bericht irgendwo lesen,
305
00:24:08,890 --> 00:24:14,029
haben die gesagt Okay, dann machen wir
jetzt nicht mehr LKW-Fahrerei, sondern
306
00:24:14,029 --> 00:24:19,159
holen uns über DB Schenker, so 60 Tonnen
oder wie viel auch immer Nudeln aus
307
00:24:19,159 --> 00:24:22,919
Italien hier rein und dann gibt es auch
kein Defizit mehr. Das hat dann natürlich
308
00:24:22,919 --> 00:24:27,300
eine Weile gedauert. Wenn man das mal eben
umstellt. Man braucht regulatorische
309
00:24:27,300 --> 00:24:31,259
Abkommen zwischen diesen jeweiligen
Handelspartnern. Man muss die bestehenden
310
00:24:31,259 --> 00:24:35,389
Verträge außer Kraft setzen, neue Verträge
kurzfristig machen. Die Bereitschaft von
311
00:24:35,389 --> 00:24:40,570
DB Schenker und die Kapazität muss da
sein. Man musste dann auch gucken, jetzt
312
00:24:40,570 --> 00:24:44,880
hat man nicht die übliche Anlieferung an
den Lagerraum, sondern über den
313
00:24:44,880 --> 00:24:48,690
Schienenverkehr bis zu einem bestimmten
Schienenendpunkt und von da aus musste man
314
00:24:48,690 --> 00:24:52,299
logistisch noch weiter ziehen etc. pp. So
also einen Riesenaufwand, der einen
315
00:24:52,299 --> 00:24:57,120
Rattenschwanz daherkommt, um dieses Supply
Chain aufrechtzuerhalten. Aber am Ende hat
316
00:24:57,120 --> 00:25:00,889
es funktioniert. Wir konnten alle wieder
Klopapier und Nudeln sozusagen benutzen
317
00:25:00,889 --> 00:25:07,230
und verwenden und Essen und Trallala. Also
der Güterfluss wurde sozusagen über diese
318
00:25:07,230 --> 00:25:13,240
Ebenen dann auch wieder zügig etabliert.
Ja, dann hatten wir noch Einschränkungen
319
00:25:13,240 --> 00:25:16,980
der Siedlungsabfallentsorgung. Ich habe ja
gerade schon erwähnt, Klärwerke hatten
320
00:25:16,980 --> 00:25:21,630
Defizite bei der Abfallentsorgung, aber
Siedlungsabfallentsorgung natürlich auch.
321
00:25:21,630 --> 00:25:26,510
Also alles was wir so privat an Müll
generieren. Wichtig an der Stelle
322
00:25:26,510 --> 00:25:30,880
Siedlungsabfallentsorgung ist derzeit
keine kritische Infrastruktur im Sinne des
323
00:25:30,880 --> 00:25:36,139
BSI Gesetzes, IT-Sicherheitsgesetzes, aber
der Ausfall hat weitreichende Folgen für
324
00:25:36,139 --> 00:25:41,580
Gesundheit und Umwelt. Also Umweltschäden
als auch Gesundheitliches. Es kann sogar
325
00:25:41,580 --> 00:25:46,370
eine Pandemie fördern. Herausforderung
war: Es gab eine Einstellung des Betriebs
326
00:25:46,370 --> 00:25:51,070
von Wertstoffhöfen inklusive der Sammlung
von Sonderabfällen. Aber es gab eben auch
327
00:25:51,070 --> 00:25:54,330
eine verringerte Abholfrequenz, weil die
natürlich aufgrund eingeschränkter
328
00:25:54,330 --> 00:25:58,090
Verfügbarkeit der Mitarbeiterinnen auch
ein Defizit hatten zu sagen Okay, wir
329
00:25:58,090 --> 00:26:03,590
kennen den Regelzyklus nicht einhalten.
Wie kriegen wir das jetzt bewerkstelligt?
330
00:26:03,590 --> 00:26:07,630
Dafür gab es halt auch ein paar
Lösungsideen. Das BMI hat langfristig zum
331
00:26:07,630 --> 00:26:09,840
Beispiel vorgeschlagen,
Siedlungsabfallentsorgung als kritische
332
00:26:09,840 --> 00:26:15,410
Infrastruktur aufzunehmen. Das heißt, im
Entwurf des IT-Sicherheitsgesetz 2.0 wurde
333
00:26:15,410 --> 00:26:24,010
Siedlungsabfallentsorgung sozusagen dann
jetzt als KRITIS mit aufgenommen. Und die
334
00:26:24,010 --> 00:26:29,440
Lösung zum Umgang mit den Abfällen war
auch so, man hat natürlich auch erheblich
335
00:26:29,440 --> 00:26:34,059
Gefahr, dass man Kontakt mit dem
Coronavirus hat, das heißt die Entsorgung
336
00:26:34,059 --> 00:26:38,370
von Abfällen und die Kontakt mit dem
Coronavirus hatten nur in die
337
00:26:38,370 --> 00:26:42,470
Restmülltonne, weil das ganze wird mit
einer höheren Verbrennungtemperatur
338
00:26:42,470 --> 00:26:46,539
vernichtet und Deklaration von Abfällen
aus Krankenhäusern, die Coronafälle
339
00:26:46,539 --> 00:26:51,450
behandeln, als gefährlicher Abfall. Heißt
Erfordernis von reisfesten,
340
00:26:51,450 --> 00:26:55,149
feuchtigkeitsbeständigen und dichten
Behältnissen, damit natürlich keine
341
00:26:55,149 --> 00:26:59,539
Gefahrengüter sozusagen da irgendwie
auslaufen oder so, und die Mitarbeiter
342
00:26:59,539 --> 00:27:04,240
infizieren, und Transport nach dem
Gefahrgutrecht. Also das alles ist sehr
343
00:27:04,240 --> 00:27:08,830
aufwendig und teuer, aber sowas hat man
beispielsweise auch in der
344
00:27:08,830 --> 00:27:10,780
Abfallentsorgung bei der
Siedlungsabfallentsorgung in Teilen auch
345
00:27:10,780 --> 00:27:15,539
gemacht. Man hat die Bevölkerung dazu
aufgerufen, muss aber ehrlich sein, nicht
346
00:27:15,539 --> 00:27:19,530
viele, oder viele haben es nicht
mitbekommen oder gesagt, na ja, ich
347
00:27:19,530 --> 00:27:22,289
sortiere immer noch meinen Abfall
ordentlich und mach jetzt nicht alles, was
348
00:27:22,289 --> 00:27:26,480
vielleicht Kontakt gehabt haben könnte in
die Restmülltonne. Wenn man Vorfall in der
349
00:27:26,480 --> 00:27:29,450
Familie hat, denkt man erst mal an die
Familienmitglieder logischerweise und
350
00:27:29,450 --> 00:27:33,279
nicht daran, ob ich den Abfall richtig
sortiere. Aber trotzdem ein wichtiger
351
00:27:33,279 --> 00:27:39,970
Punkt. Ja, und IT-Systeme von
Krankenhäusern, Ransomware-Angriffe auf
352
00:27:39,970 --> 00:27:45,059
Krankenhäuser gab es beispielsweise und
gibt es immer noch, auch aktuell. Vielen
353
00:27:45,059 --> 00:27:49,519
Dank noch mal an die Kollegen der Incident
Response und Forensik, die gerade alle im
354
00:27:49,519 --> 00:27:54,880
Einsatz sind in der Osterzeit, um
Krankenhäuser, Arztpraxen, Dialysezentren,
355
00:27:54,880 --> 00:27:58,700
Pflegeheime und sonst was alles aufrecht
zu erhalten, die gerade kompromittiert
356
00:27:58,700 --> 00:28:02,380
wurden und erpresst werden. Es gibt
dadurch aber eingeschränkte
357
00:28:02,380 --> 00:28:05,760
Netzwerkkommunikation,
Systemverschlüsselungen und eben
358
00:28:05,760 --> 00:28:09,269
Integritätverlust der Daten und das
bedeutet erhebliche Einschränkungen im
359
00:28:09,269 --> 00:28:12,779
Krankenhausbetrieb. Wir haben über Coruna
sowieso schon eine Verschiebung von
360
00:28:12,779 --> 00:28:17,620
Operationen oder das Verlegen von
Patienten bei einer Ransomwareattacke
361
00:28:17,620 --> 00:28:21,840
teilweise dann auch. Es gibt fehlende
Informationen zu Patienten und es gibt
362
00:28:21,840 --> 00:28:26,090
Einschränkungen der Laborkapazitäten. Also
das alles ist auch noch mal ein
363
00:28:26,090 --> 00:28:30,970
Problemverstärker und die World Health
Organization oder eben auch Coronavirus
364
00:28:30,970 --> 00:28:34,769
Testzentrum in Tschechien beispielsweise
wurden erfolgreich angegriffen letztes
365
00:28:34,769 --> 00:28:40,520
Jahr. Das alles ist also auch noch mal die
Herausforderung, sozusagen eine Krise in
366
00:28:40,520 --> 00:28:43,750
der Krise. Ja, wir haben die Krise,
Pandemie und dann kommt noch eine
367
00:28:43,750 --> 00:28:48,200
Ransomware als Krise dazu. Also wenn eine
Krise schon scheiße ist. Ganz ehrlich,
368
00:28:48,200 --> 00:28:54,700
eine Krise in der Krise ist so richtig
übel. Wie geht man da vor? Konsequente
369
00:28:54,700 --> 00:28:59,320
Umsetzung der IT-Sicherheit. Orientieren
am B3S, am branchenspezifischen
370
00:28:59,320 --> 00:29:02,780
Sicherheitsstandard für die
Gesundheitsversorgung im Krankenhaus. Das
371
00:29:02,780 --> 00:29:09,799
gibt's, kann man umsetzen. Es gibt nen
OZG, ne, KZG, Krankenhauszukunftsgesetz,
372
00:29:09,799 --> 00:29:16,330
wo auch Gelder für IT-Sicherheit endlich
bereitstellen, die bereitgestellt wurden,
373
00:29:16,330 --> 00:29:20,659
die jahrelang verzögert und aufgestaut
wurden. Man kann sich natürlich all die
374
00:29:20,659 --> 00:29:26,139
Sicherheitsfirmen als Unterstützung dazu
holen, nämlich Incident Response Forensik.
375
00:29:26,139 --> 00:29:29,629
Teilweise haben die auch auch
Dienstleister, weil sie eine
376
00:29:29,629 --> 00:29:33,450
Cyberversicherung haben und diesen waren
ausgerückt und machen da die Bekämpfung
377
00:29:33,450 --> 00:29:38,610
der sich als Sicherheitsvorfälle und die
Inbetriebnahme wieder dieser ja manchmal
378
00:29:38,610 --> 00:29:43,580
skurrilen Infrastruktur mit Windows 95
oder mit proprietären Klartextprotokollen
379
00:29:43,580 --> 00:29:49,570
etc. pp. Ja, sie brauchen natürlich einen
Notfall- und Krisenmanagement, was die
380
00:29:49,570 --> 00:29:54,889
Gleichzeitigkeit von Krisenereignissen
auch entsprechend managt und behandelt,
381
00:29:54,889 --> 00:29:58,440
was was eben dann auch noch mal zu
berücksichtigen ist. Das sind alles
382
00:29:58,440 --> 00:30:04,250
Punkte, die ja zur Lösung helfen können,
dass man eben nicht durch Ransomware
383
00:30:04,250 --> 00:30:10,059
angegriffen wird. So, damit bin ich im
Wesentlichen durch. Noch mal
384
00:30:10,059 --> 00:30:15,379
Schleichwerbung für den vorhin erwähnten
von der DiVOC ppt im September letztes
385
00:30:15,379 --> 00:30:19,960
Jahr Vortrag. Wer da nochmal reinhören
will, die Erlebnisse eines KRITIS-Prüfers,
386
00:30:19,960 --> 00:30:24,519
unabhängig von einer Pandemie, der sei auf
diesen Link oder auf diesen Vortrag
387
00:30:24,519 --> 00:30:29,159
verwiesen. Da habe ich noch mal ein
bisschen zusammen erklärt, wie kreativ die
388
00:30:29,159 --> 00:30:35,570
eigentlich umgehen, um seriös und
dauerhaft sicherzustellen, dass die
389
00:30:35,570 --> 00:30:40,570
Versorgungsleistung kein Engpass und
keinen Ausfall hat. Ja, und damit würde
390
00:30:40,570 --> 00:30:55,289
ich sagen vielen lieben Dank. Und kommen
wir zurück zu Pupe. Noch hör ich nix.
391
00:30:55,289 --> 00:31:03,059
Engel: Ja, das ist dieser Taste, die ist
manchmal KRITIS. Gerade in Telkos.
392
00:31:03,059 --> 00:31:06,820
HonkHase: Ja, manchmal ist mein Ohr auch
KRITIS, deswegen passt schon.
393
00:31:06,820 --> 00:31:11,080
Engel: Ja dann Applaus. Applaus, Applaus.
Vorhin hast du es vielleicht nur gesehen.
394
00:31:11,080 --> 00:31:15,809
Herzlichen Dank für den Vortrag. So
langsam sind's ja immer so ein Modul nach
395
00:31:15,809 --> 00:31:18,789
dem nächsten und ich bin dann gespannt,
was dein nächster Vortrag zu dem Thema
396
00:31:18,789 --> 00:31:22,039
sein wird. Vielleicht ist das ja dann
irgendwann mal so eine Lehrreihe,
397
00:31:22,039 --> 00:31:26,330
irgendwie alles über media.ccc.de nutzbar
und das wird dann vielleicht auch noch
398
00:31:26,330 --> 00:31:31,139
irgendwann richtig schön gefördert. Aber
erst mal kommen wir zu den Fragen und den
399
00:31:31,139 --> 00:31:34,910
Kommentaren, welche mich über das Pad
erreicht haben. Der Link zum Pad ist ja
400
00:31:34,910 --> 00:31:38,870
sozusagen im Programm zu finden und da
könnt ihr sogar jetzt noch in Echtzeit
401
00:31:38,870 --> 00:31:43,620
Dinge reinschreiben. Ich sehe die dann
sozusagen direkt. Ja und während ich das
402
00:31:43,620 --> 00:31:49,190
sage, kommt hier sogar 'ne neue Frage.
F: Was ist mit der Heizungsinfrastruktur?
403
00:31:49,190 --> 00:31:55,809
Gehört die nicht zu KRITIS?
A: Also Fernwärmeversorgung ja die
404
00:31:55,809 --> 00:32:00,559
Fernwärmerohrleitungen, aber die
Heizungsinfrastruktur ich würde jetzt mal
405
00:32:00,559 --> 00:32:06,039
interpretieren, dass das die vom Gebäude
ist oder so, das ist der Endnutzer selbst
406
00:32:06,039 --> 00:32:09,211
und der Endnutzer oder Einzelkomponenten
sind nie KRITIS. Es geht immer nur um die
407
00:32:09,211 --> 00:32:14,460
zentralen Komponenten, die sozusagen
Massenausfall bewirken, sprich die
408
00:32:14,460 --> 00:32:20,320
Kraftwerke, die Übertragungsnetzbetreiber
um den Strom zu liefern, das
409
00:32:20,320 --> 00:32:25,592
Fernwärmenetz, die Tanklager für Heizöl
und Diesel, die Raffinerien, die das
410
00:32:25,592 --> 00:32:32,159
erzeugen und so weiter und so fort. Das
Heizungsnetz in einem Hochhaus oder in
411
00:32:32,159 --> 00:32:36,040
einem Haus ist ja sozusagen die
Einzelversorgung und die ist da sozusagen
412
00:32:36,040 --> 00:32:40,170
nicht relevant, denn wenn einer ausfällt,
dann kann ich im Notfall zum Nachbarn oder
413
00:32:40,170 --> 00:32:44,789
rufen 'nen Reparaturdienst oder was auch
immer. Wenn aber die zentrale Fernwärme
414
00:32:44,789 --> 00:32:49,529
ausfällt, dann habe ich ja viele 100.000
Leute, die bedroht sind und das haben wir
415
00:32:49,529 --> 00:32:55,559
ja beispielsweise in Texas gesehen von vor
wenigen Wochen noch. Texas hat einen
416
00:32:55,559 --> 00:33:01,450
kompletten Blackout. Es gibt in den USA
drei Netze Ost, West, Texas. Texas ist
417
00:33:01,450 --> 00:33:04,240
schlau und hat gesagt wir verzichten auf
alle anderen. Wir betreiben ein eigenes
418
00:33:04,240 --> 00:33:08,379
Netz und dieses eigene Netz ist
zusammengebrochen als Blackout. Und in
419
00:33:08,379 --> 00:33:13,950
Texas gab es dann eben keine Heizung, kein
laufend Wasser, weil ohne Strom gibt es
420
00:33:13,950 --> 00:33:17,651
irgendwann auch keine Wasserpumpen mehr.
Und das war zu einer Zeit, wo es sehr sehr
421
00:33:17,651 --> 00:33:22,850
kalt ist, war. Und ja, dann sind auch die
Wasserrohre und die Heizungsrohre
422
00:33:22,850 --> 00:33:27,090
eingefroren, aufgeplatzt. Und als es dann
abgetaut ist oder auch Strom wieder da
423
00:33:27,090 --> 00:33:30,840
war, sind die ganzen aufgeplatzten Rohre
dann ausgelaufen und man hat überall
424
00:33:30,840 --> 00:33:34,940
Wasserschäden und immer noch keinen Strom
und Wasser. Also so mies kann's laufen
425
00:33:34,940 --> 00:33:40,679
aber das war dann sozusagen das Stromnetz,
was ausgefallen ist, und das ist dann
426
00:33:40,679 --> 00:33:45,980
KRITIS, aber nicht das Einzelnetz.
Engel: Ja, also, da kann man amerikanische
427
00:33:45,980 --> 00:33:50,659
Podcast hören von Leuten, die in Texas
lebten. Also, das war, ja, ein Drama.
428
00:33:50,659 --> 00:33:55,159
Jetzt kommt noch eine ergänzende Frage
sozusagen dahinter. Ich denke mal auch
429
00:33:55,159 --> 00:33:58,320
wieder.
F: Was ist mit Handwerkern und Großhandel?
430
00:33:58,320 --> 00:34:05,320
A: Also Handwerker, ja ein Handwerker
müsste dann mehr als 500.000 Personen
431
00:34:05,320 --> 00:34:09,270
versorgen in einer Anlagenkategorie, die
kritisch ist, wüsste ich jetzt spontan
432
00:34:09,270 --> 00:34:14,200
keinen. Ja, kann ich nicht, wüsste ich
nicht. Großhandel ja, also wenn du jetzt
433
00:34:14,200 --> 00:34:20,089
so, keine Ahnung, beliebige, hier, Metro-
Ketten oder so wat, so 'ne Kette ist so
434
00:34:20,089 --> 00:34:26,510
groß, dass sie Einzelhandel bei der
Versorgung mit Ernährung, also KRITIS-
435
00:34:26,510 --> 00:34:29,809
Sektor Ernährung mit der Versorgung
sicherstellen. Und die sind kritische
436
00:34:29,809 --> 00:34:35,020
Infrastruktur, wenn Sie mehr als 500.000
Personen versorgen, und da gibt es im
437
00:34:35,020 --> 00:34:38,950
Handel tatsächlich einige, die darunter
fallen. Auch beispielsweise nicht nur
438
00:34:38,950 --> 00:34:43,559
Handel, sondern auch Molkereien. Ja, die
sind ja auch im Ernährungssektor tätig.
439
00:34:43,559 --> 00:34:48,811
Engel: Also lösen das unter KRITIS
fallende Firmen eigentlich dadurch, dass
440
00:34:48,811 --> 00:34:52,210
sie zum Beispiel Zulieferer, irgendwie,
die können es nicht vererben, aber es wird
441
00:34:52,210 --> 00:34:55,990
dann einfach mit in die Verträge
reingeschrieben. Oder wie macht man das?
442
00:34:55,990 --> 00:35:00,150
Wie stellt man das sicher?
A: Also wenn ich KRITIS-Betreiber bin,
443
00:35:00,150 --> 00:35:03,640
muss ich natürlich diese Anlage, die ich
betreibe, sicherstellen. Das heißt, wenn
444
00:35:03,640 --> 00:35:07,920
ich ein Zulieferer hab, der irgendwie
Wartung oder Betrieb dieser Komponenten
445
00:35:07,920 --> 00:35:13,210
macht und es geht immer um den IT-Teil,
laut IT-Sicherheitsgesetz oder BSI-Gesetz.
446
00:35:13,210 --> 00:35:18,391
Wenn ich also die IT-Wartung oder den
Betrieb der Produktion macht der OT der
447
00:35:18,391 --> 00:35:23,800
SCADA-Komponenten, der Prozessleittechnik
oder so, dann muss ich da sicherstellen,
448
00:35:23,800 --> 00:35:28,300
dass auch die Zulieferer, die diese
Komponenten für mich austauschen, warten,
449
00:35:28,300 --> 00:35:32,900
Fernzugriff machen, ja, Fernwartung und
Fernzugriff ist so ein Albtraum für sich,
450
00:35:32,900 --> 00:35:36,240
habe ich übrigens in dem Vortrag Erfahrung
eines KRITIS-Prüfers ...
451
00:35:36,240 --> 00:35:40,510
Engel: ... ich weiß ...
A: da habe ich den Fernwartungarchäologen
452
00:35:40,510 --> 00:35:43,540
ins Leben gerufen und gesagt, ey immer
wenn ich dieses Wort höre, kriege ich
453
00:35:43,540 --> 00:35:47,710
Bauchschmerzen, das ist einfach so. Aber
das alles muss man dann vertraglich mit
454
00:35:47,710 --> 00:35:51,660
diesen Zulieferern regeln. Was nicht
geregelt werden muss, ist sozusagen die
455
00:35:51,660 --> 00:35:56,630
grundsätzliche Supply Chain, also Wasser
oder Strom, weil das ist sozusagen
456
00:35:56,630 --> 00:36:01,329
grundsätzliche Zulieferung oder
beispielsweise bei einer Molkerei, dass
457
00:36:01,329 --> 00:36:08,700
die Tanklaster Milch vorbeifahren können.
Das hat dann nichts mehr mit IT zu tun.
458
00:36:08,700 --> 00:36:13,770
Und Kühe produzieren immer. Ob das dann
ankommt, ist eine andere Frage.
459
00:36:13,770 --> 00:36:17,830
Engel: Bis sie ein OT-Ship haben. So, dann
geht's weiter im Fragenkatalog.
460
00:36:17,830 --> 00:36:25,690
F: Wie viel ist KRITIS / IT und wie viel
ist im Allgemeinen Katastrophenvorsorge?
461
00:36:25,690 --> 00:36:34,390
A: Dat kann man nicht nach wie viel
beurteilen. Es gibt ca. 2.000, nicht ganz
462
00:36:34,390 --> 00:36:40,790
2.000 kritische Infrastrukturen in
Deutschland, die so geschätzt sind. Ich
463
00:36:40,790 --> 00:36:47,711
glaube beim BSI sind aktuell registriert
1.600 Anlagenkategorien oder so. Die mehr
464
00:36:47,711 --> 00:36:56,130
als 500.000 Personen versorgen. Im
Allgemeinen Notversorgung, das umschließt
465
00:36:56,130 --> 00:37:01,980
ja noch viel mehr. Also da geht ja auch
hier Krisenmanagement der Länder, der
466
00:37:01,980 --> 00:37:07,270
Kommunen, Bundesregierung alles mögliche
rein. Auch die ganzen Deutsche Rote Kreuz
467
00:37:07,270 --> 00:37:11,630
und sonstigen ehrenamtlichen Helfer,
selbst THW, Freiwillige Feuerwehr, das
468
00:37:11,630 --> 00:37:16,451
wird alles unter Katastrophenhelfer
gezählt und sogar Bundeswehr, die ja im
469
00:37:16,451 --> 00:37:20,240
äußersten Notfall auch hilft. Der
äußersten Notfall ist jetzt schon seit
470
00:37:20,240 --> 00:37:25,290
einem Jahr etablierter Standard. Ist
eigentlich auch Fail by Design. So was
471
00:37:25,290 --> 00:37:28,420
nutzt man nur im äußersten Notfall und
guckt auch ganz schnell, dass man wieder
472
00:37:28,420 --> 00:37:31,771
von diesem äußersten Notfall wegkommt.
Weil wenn ich dann noch mal eine Krise
473
00:37:31,771 --> 00:37:36,120
obendrauf krieg, dann ist Game Over und
dann haben wir wirklich Holland in Not und
474
00:37:36,120 --> 00:37:41,119
Deutschland noch dazu und alles andere.
Aber, ja, kann ich jetzt. Ich wüsste
475
00:37:41,119 --> 00:37:46,540
nicht, ob das da irgendwo Zahlen gibt,
außer das, was so veröffentlicht wird. THW
476
00:37:46,540 --> 00:37:52,510
hat 85.000 Mitglieder, ungefähr 80.000
davon sind beispielsweise dann
477
00:37:52,510 --> 00:37:58,140
ehrenamtlich, aber kann man jetzt nicht
alle einzeln oder gesamt aufdröseln.
478
00:37:58,140 --> 00:38:02,650
Wüsste ich nicht.
F: Dann geht es weiter. Was ist deine
479
00:38:02,650 --> 00:38:09,640
Einschätzung zum Sektor Zahlungsverkehr?
Zum Beispiel Haspa, Geldautomatenausfall,
480
00:38:09,640 --> 00:38:17,410
Einführung starke Ausführ-PSD II, kein
Login ohne 2F2, also 2-Faktor-
481
00:38:17,410 --> 00:38:24,809
Authentifizierung.
A: Ja, also, man muss sagen, der Sektor
482
00:38:24,809 --> 00:38:30,470
Finanz- und Versicherungswesen ist, und
wenn man da nur den Bankenteil betrachtet,
483
00:38:30,470 --> 00:38:36,210
nicht die Börsen und die Versicherungen,
die haben zwar Altlasten und uralte
484
00:38:36,210 --> 00:38:39,750
Systeme, teilweise auch im Einsatz, und
echt komplexe Infrastrukturen. Die
485
00:38:39,750 --> 00:38:42,540
Deutsche Bank hatte vor, ich weiß nicht
mehr, 2 Jahren oder so, hatten die ja mal
486
00:38:42,540 --> 00:38:47,030
gesagt wir haben hier insgesamt 7.000
verschiedene Anwendungen und
487
00:38:47,030 --> 00:38:51,970
Kernkomponenten und eine Anwendung kann
beliebig komplex werden und viele Systeme
488
00:38:51,970 --> 00:38:57,990
haben, aber man muss fairerweise auch
sagen, sie sind sehr reguliert, ja, eine
489
00:38:57,990 --> 00:39:01,981
Bank wenn die einen Vorfall hat, dann muss
die beispielsweise melden an, vielleicht
490
00:39:01,981 --> 00:39:07,670
an die EZB, also an die Europäische
Zentralbank, an die Bundesbank, an 'ne
491
00:39:07,670 --> 00:39:12,030
Cyberversicherung, wenn sie eine hat und
die meisten haben eine. Du musst melden an
492
00:39:12,030 --> 00:39:16,790
die BaFin, du musst ans BSI melden. Also
wirklich Kreuch und Fleuch an jeder
493
00:39:16,790 --> 00:39:22,030
Stelle, du wirst überreguliert und wenn du
dann noch eine Anmeldung für Finanzamt in
494
00:39:22,030 --> 00:39:26,619
den USA hast, dann muss du irgendwie an
New York irgendwie da auch noch eine
495
00:39:26,619 --> 00:39:30,290
spezielle Meldung machen. Wenn du in
Singapur irgendwie ein Büro hast, Singapur
496
00:39:30,290 --> 00:39:34,310
verlangt, dass du ein lokales Office haben
musst, und wenn du unter den offiziellen
497
00:39:34,310 --> 00:39:37,200
Regularien in Singapur bist, muss du da
auch noch mal eine separate Meldung
498
00:39:37,200 --> 00:39:42,030
machen, wenn du an, naja gut Börse haben
wir gerade ausgeklammert, aber wenn wir
499
00:39:42,030 --> 00:39:47,550
beispielsweise jetzt eMoney-Lizenz an der
Börse in UK haben, dann muss man da noch
500
00:39:47,550 --> 00:39:50,859
mal melden. Also du kannst dich tot melden
und du kannst auch so konfiguriert werden
501
00:39:50,859 --> 00:39:55,190
mit irgendwelchen Complianceregularien,
die oft genug im Widerspruch stehen. Das
502
00:39:55,190 --> 00:39:58,920
macht es dann auch nicht trivial mal eine
Kernanwendung wo Millionen von Leute drauf
503
00:39:58,920 --> 00:40:03,210
tagtäglich rund um die Uhr arbeiten und
auch erwarten, dass mein Geld aus dem
504
00:40:03,210 --> 00:40:08,770
Automaten plöpt oder so, mache ich mal
kurz eine Anpassung. Also ist gut wie
505
00:40:08,770 --> 00:40:13,500
schlecht. Ist es gut überreguliert und
auch gut abgehangen, aber andererseits
506
00:40:13,500 --> 00:40:16,890
schlecht, weil diese Überregulierung das
auch extrem marode und Never change a
507
00:40:16,890 --> 00:40:22,280
running system und wenn du es anfasst
explodiert eh alles und du bist fällig.
508
00:40:22,280 --> 00:40:27,319
Keiner will es anfassen. Also alle - und
das übrigens Sneak Preview, IT-
509
00:40:27,319 --> 00:40:30,060
Sicherheitsgesetz 2.0 wird genau so was
einbringen für die kritischen
510
00:40:30,060 --> 00:40:33,349
Infrastrukturen. Es wird komplexer, es
wird sinnloser, es wird sinnfreier.
511
00:40:33,349 --> 00:40:39,540
Deswegen grusel ich mich jetzt schon davor
alle sechs Sachverständigen im Bundestag,
512
00:40:39,540 --> 00:40:43,609
ich war einer davon, haben dagegen
gemault, selbst die von der CDU. Und es
513
00:40:43,609 --> 00:40:46,869
hat das BMI völlig nicht interessiert. Die
laufen immer noch rum und sagen Yeah, wir
514
00:40:46,869 --> 00:40:49,160
sind die Besten, tolles Gesetz, alle nur
positiv.
515
00:40:49,160 --> 00:40:54,299
Engel: Lustigerweise musste ich gerade an
diese Anhörung denken, weil in der
516
00:40:54,299 --> 00:40:57,809
Anhörung hast du auch so viel gesprochen
und bist nie zum Ende gekommen.
517
00:40:57,809 --> 00:40:59,540
HonkHase: 'tschuldigung
Engel: Und es werden zunehmend mehr
518
00:40:59,540 --> 00:41:02,710
Fragen. Nein, ich freue ja aber
HonkHase: dann mich ich's kürzer jetzt
519
00:41:02,710 --> 00:41:06,660
Engel: Während wir reden kommen immer neue
Fragen rein. Ist total spannend, was noch
520
00:41:06,660 --> 00:41:10,100
alles kommt. So.
F: Warum ist dann die Logistik noch kein
521
00:41:10,100 --> 00:41:14,559
KRITIS? Ohne Logistik funktioniert auch
keine Infrastruktur so wirklich, oder?
522
00:41:14,559 --> 00:41:18,940
A: Das ist einfach. KRITIS-Sektor
Transport und Verkehr. Logistik über
523
00:41:18,940 --> 00:41:21,920
500.000 Personen ist abgedeckt. Nächste
Frage.
524
00:41:21,920 --> 00:41:27,440
Engel: Volle Punktzahl.
F: Inwieweit achtet ihr eigentlich auf
525
00:41:27,440 --> 00:41:33,220
Paketversionen bei Dependencies, wenn ihr
mit Kunden arbeitet? Mir scheint, als
526
00:41:33,220 --> 00:41:40,190
wären bei vielen Zertifizierungen unter
anderem nur geprüft wird, ob von Lib X die
527
00:41:40,190 --> 00:41:44,320
neueste Version genutzt wird. Worauf
scheinbar nicht geachtet wird ist, wie
528
00:41:44,320 --> 00:41:47,250
alt, veraltet, verbuggt, ist diese neueste
Version.
529
00:41:47,250 --> 00:41:54,180
A: Also eine KRITIS-Prüfung ist nur eine
Prüfung und keine Zertifizierung. Man
530
00:41:54,180 --> 00:41:57,700
kriegt also kein Bapperl danach, sondern
lediglich eine Einhaltung der
531
00:41:57,700 --> 00:42:03,140
Gesetzesvorlage als Empfehlung und die
Einhaltung sprechen dann BSI teilweise im
532
00:42:03,140 --> 00:42:07,609
Benehmen oder Einvernehmen mit der
Aufsichtsbehörde aus. Aber das Problem bei
533
00:42:07,609 --> 00:42:11,470
Zertifizierung kenne ich. Ich kenn nämlich
auch so den einen oder anderen
534
00:42:11,470 --> 00:42:15,430
Zertifizierer. Das sind dann, wie soll ich
sagen, Ahnungslose oder Blinde unter den
535
00:42:15,430 --> 00:42:19,510
Einäugigen. Wenn die natürlich nicht
wissen, was es bedeutet, ja, Secure
536
00:42:19,510 --> 00:42:23,470
Software Development Life Cycle,
Anpassungen, Updates oder Upgrades in der
537
00:42:23,470 --> 00:42:27,430
Form, dass da auch die Dependencies
berücksichtigst, aber nicht jede, nämlich
538
00:42:27,430 --> 00:42:30,510
nicht jede, die ein Feature beinhaltet,
was dich nicht interessiert, aber jede die
539
00:42:30,510 --> 00:42:34,651
ein Security Update hat, oder wenn eine
Dependency out of maintenance ist, machen
540
00:42:34,651 --> 00:42:39,750
aber tatsächlich viele nicht, weil sie so
tief gar nicht prüfen, was eigentlich
541
00:42:39,750 --> 00:42:44,490
schade ist, weil ja, es ist eine der
großen Lücken, die oft genug vorkommen.
542
00:42:44,490 --> 00:42:52,339
F: Ja, dann gab es neue Erkenntnisse zur
Kritikalität von nicht als KRITIS
543
00:42:52,339 --> 00:42:58,490
eingestuften Infrastrukturen. Stichwort
Pharmaproduktion, Altenheim, Supply Chain,
544
00:42:58,490 --> 00:43:05,230
Europäische Cloud Rechenzentren.
A: Jein. Also für mich ja, für die AG
545
00:43:05,230 --> 00:43:09,630
KRITIS auch ja, für diverse kritische
Infrastrukturbetreiber oder die
546
00:43:09,630 --> 00:43:15,510
Mitarbeiter ja, für manche
Wirtschaftsverbände nicht mehr so ja, für
547
00:43:15,510 --> 00:43:21,569
die Länder und die Bundesregierung eher
nicht so ja, und das BMI ey tschakka,
548
00:43:21,569 --> 00:43:25,040
alles cool. Wir packen jetzt die
Siedlungsabfallentsorgung dazu und dann
549
00:43:25,040 --> 00:43:28,780
diese UNBÖFI, Unternehmen im besonderen
öffentlichen Interesse, und dann noch
550
00:43:28,780 --> 00:43:34,130
diese komischen, hier und da noch so ein
bisschen, und dann ist schick. Also,
551
00:43:34,130 --> 00:43:37,430
meiner Meinung nach, meiner ganz
persönlichen Meinung nach, komplettes Fail
552
00:43:37,430 --> 00:43:40,960
und Versagen, weil die echten Bedarfe
wurden nicht adressiert, sondern wieder
553
00:43:40,960 --> 00:43:45,970
irgendwelche kaschierten Düdeldüs. Ja, so
sieht es aus
554
00:43:45,970 --> 00:43:50,869
F Jetzt eine sehr spannende Frage. Wird
bei der Lebensmittelindustrie
555
00:43:50,869 --> 00:43:57,190
unterschieden, ob zum Beispiel
Molkereiprodukte versus Bonbon-Fabrik?
556
00:43:57,190 --> 00:44:03,829
A: Nein. Wenn du eine Versorgung über
500.000 Personen sicherstellen musst, dann
557
00:44:03,829 --> 00:44:08,720
bist du KRITIS. Es gibt aber verschiedene
Anlagenkategorien. Also Herstellung,
558
00:44:08,720 --> 00:44:15,410
Vertrieb von Lebensmitteln etc.. Und diese
einzelnen Kategorien. Wenn ich in einer
559
00:44:15,410 --> 00:44:19,700
dieser Kategorien über 500.000 bin, dann
fällt es weg. Kleines Beispiel was außen
560
00:44:19,700 --> 00:44:25,869
vor ist: Alkohol. Weil es steht drin, dass
beispielsweise bei Wasser eben es nur um
561
00:44:25,869 --> 00:44:29,380
Wasser geht und nicht um Alkoholisches.
Insofern sind alkoholische Getränke zum
562
00:44:29,380 --> 00:44:34,480
Beispiel komplett ausgeklammert.
F: Ja, dann was is, oh, jetzt kommt die
563
00:44:34,480 --> 00:44:38,960
letzte Frage, das ist natürlich doof. Was
ist nach deiner Einschätzung nach der
564
00:44:38,960 --> 00:44:43,579
brüchigste Sektor, also der mit der
größten Ausfallrisiko?
565
00:44:43,579 --> 00:44:51,329
A: Strom. Weil Strom sozusagen die Basis
für alles ist, wenn Strom wegfällt, fällt
566
00:44:51,329 --> 00:44:57,210
kurz danach Telekommunikation weg und
danach bricht alles andere zusammen. Wer
567
00:44:57,210 --> 00:45:00,599
das mal genauer eruieren will, kann sich
gerne Blackout von Marc Elsberg mal
568
00:45:00,599 --> 00:45:07,550
durchlesen. Das ist schon recht nah an der
Realität. Es gibt vom TAB Bundestag, TA
569
00:45:07,550 --> 00:45:17,829
Bundestag eine Blackoutstudie von, 2012
glaube ich war's, die hat auch, ich glaub
570
00:45:17,829 --> 00:45:22,609
250 Seiten oder so, die schreibt ganz
genau wissenschaftlich erforscht auf, was
571
00:45:22,609 --> 00:45:27,910
nach 'nem Blackout so wie in welcher
Reihenfolge passiert. Wer dann noch nicht
572
00:45:27,910 --> 00:45:33,450
genug hat, kann sich vielleicht noch 42
Grad durchlesen. Das ist auch ein Buch,
573
00:45:33,450 --> 00:45:38,440
was sozusagen das ganze aus Wassersicht
beschreibt. Aber Strom ist definitiv die
574
00:45:38,440 --> 00:45:42,349
Basis für alles und das ist am
kritischsten. Danach kommt IT und TK, weil
575
00:45:42,349 --> 00:45:44,730
ohne Kommunikation funktioniert auch nicht
viel.
576
00:45:44,730 --> 00:45:49,710
Engel: Ja dann wäre ich an der Stelle
erstmal nochmal Danke, Danke, Danke für
577
00:45:49,710 --> 00:45:55,940
den Vortrag, für die Antworten. Die drei
Fragen, die noch drinstehen, da werden die
578
00:45:55,940 --> 00:45:59,849
Antworten hinterher reingeschrieben,
bestimmt von HonkHase, kann dort
579
00:45:59,849 --> 00:46:02,910
vielleicht die Sachen noch mal
kommentieren. Ansonsten könnt ihr Feedback
580
00:46:02,910 --> 00:46:07,260
da auch immer reinschreiben. Und an der
Stelle würde ich einfach noch so virtuell.
581
00:46:07,260 --> 00:46:11,470
Applaus, Applaus, Applaus sagen. Und ja,
dann gehen wir sozusagen glaub ich wieder
582
00:46:11,470 --> 00:46:16,960
zurück ins Main-Programm und ja, dann
freue ich mich, dass es hier gleich
583
00:46:16,960 --> 00:46:19,710
weitergeht.
584
00:46:19,710 --> 00:46:22,530
Outro
585
00:46:22,530 --> 00:46:30,000
Untertitel erstellt von c3subtitles.de
im Jahr 2022. Mach mit und hilf uns!