Intro Engel: Ja, kommen wir nämlich jetzt zu einem Vortrag, der mir selber am Herzen liegt, weil einige meiner besten Freunde haben KRITIS. Und es ist halt so eine Krankheit, wie so eine Pandemie, da muss man einfach sagen, muss man erst mal mit umgehen lernen. Darum freut es mich umso mehr, dass wir jetzt hier bei uns im Saal oder wie auch immer man das hier so nennt, den HonkHase oder mit bürgerlichem Namen Manuel Atug haben. Honk ist sozusagen einer der Mitgründer von der KRITIS AG. Gleichzeitig macht ja auch so was mit Security, wenn man sich bei ihm also den Track Record ansieht. Irgendwie 23 Jahre Informationssicherheit und im Endeffekt muss man sagen, er ist halt wirklich ein alter Hase in der Szene und auch in anderen Szenen. Und da muss man einfach sagen: Wow, für deine ganzen Experience Points, die du jetzt sozusagen mit einbringst, hier in diesem Vortrag. Und an der Stelle, ja, welcher Vortrag wird das überhaupt? Ja richtig, Kritische Infrastrukturen in Pandemie Zeiten. Und ja, jeder der sozusagen das Glück hat in Firmen zu arbeiten, die auch unter KRITIS fallen, ja die werden glaube ich ein Lied davon singen können und werden jetzt besonders aufmerksam auch zuhören, ob man hier auch noch mal was lernen können. Und an der Stelle würde ich einfach sagen: Applaus, Applaus, Applaus, vorab. Wasser Marsch. Honk, the Stage is yours. HonkHase: Ja danke Pupe. Ich hatte ja schon einen anderen Vortrag gehalten: Erfahrungen eines KRITIS-Prüfers, haben ein bisschen erzählt, wie man da so lebt, leidet, aber auch, wie kreativ sozusagen die Vorhaltung der kritischen Infrastrukturen oder besser gesagt der Versorgungsleistungen, so bewerkstelligt wird. Und heute zeige ich euch mal so ein paar Themenabschnitte wie kritische Infrastrukturen eben in so einer pandemischen Zeit eigentlich im Hintergrund, die ganze Sachlage stemmen sozusagen. Ja Pupe hat schon gesagt, ich habe quasi KRITIS im Endstadium. Über 23 Jahre bin ich in all dem Ganzen aktiv. Meine Kernthemen sind eben kritische Infrastrukturen aus Leidenschaft Hackback, weil es eben auch kritische Infrastrukturen bedroht. Ethik, Cyberresilienz, also wie wird man resilient gegen das ganze, Cyber-Gedöns, Stern Punkt Stern und eben der Bevölkerungsschutz, weil am Ende ja wollen wir eigentlich morgen noch kraftvoll in die Tastatur hacken und dazu brauchen wir Strom, Wasser, Hund, Katze, Maus und wie das sichergestellt wird, das erzähle ich euch dann mal jetzt ein bisschen. Aber bevor wir da reingehen, werde ich euch noch mal ein bisschen zu den kritischen Definitionen erzählen, denn die rechtlichen Definitionen sind alles andere als trivial oder komplett geklärt und geregelt. Und deswegen machen wir da auch noch mal einen Durchblick oder Überblick, damit ihr anschließend den Durchblick habt, was das eigentlich so rein rechtlich und gesetzlich bedeutet. Warum das einfach oder komplex ist. Und dann kommen wir zu sechs Fallbeispielen, die ich euch einfach mal mitgebracht habe und im Detail aufdröseln. Ja, rechtliche Definitionen was ist ein KRITIS-Betreiber? Gucken wir mal von oben nach unten herab auf auf die einzelnen Ebenen. Die Europäische Union hat das in der NIS-Richtlinie definiert. Die NIS 1.0, die 2er ist gerade in Arbeit, Grusel Grusel. Aber da sind im Wesentlichen oder es sind Betreiber wesentlicher Dienste definiert. Das sind dann sieben Stück an der Zahl. Und das Ziel ist eben zu sagen Festlegung von Maßnahmen zum Erreichen des gemeinsamen europäischen Sicherheitsniveaus von Netz- und Informationssystem. Soweit, so cool. Klingt sinnvoll, ist aber gar nicht so trivial umzusetzen. Aus dieser NIS- Richtlinie hat sich dann später eben das IT-Sicherheitsgesetz abgeleitet. Komme ich gleich zu. Erst mal so ganz allgemein Bundesrepublik Deutschland hat eine einheitliche Definition. Kritische Infrastrukturen auf Bundes und Landesebene heißt, ja: "KRITIS sind Organisationen oder Einrichtungen mit wichtiger Bedeutung für das staatliche Gemeinwesen, bei deren Ausfall oder Beeinträchtigung nachhaltig wirkende Versorgungsengpässe, erhebliche Störung der öffentlichen Sicherheit oder andere dramatische Folgen eintreten würden". Klingt jetzt nach Drama-Queen, ist es aber auch, weil die Sektoren, die da definiert sind, Energie, Wasser, IT und TK, Gesundheit, gerade Gesundheit, sehen wir jetz in der Pandemie, wenn die nicht funktionieren, haben wir ganz schnell dramatische Folgen, nämlich Krisen, wie beispielsweise auch die Pandemie eine querstellt. Und zusätzlich zu diesen 7 Sektoren kommen noch zwei dazu, die sind ein bisschen besonders in Deutschland, nämlich Staat und Verwaltung und Medien und Kultur, denn Staat und Verwaltung kann natürlich nicht auf auf BSI-Ebene, sag ich mal, Bundesamt für Sicherheit in der Informationstechnik, geregelt werden. Genauso Medien und Kultur, denn Medien werden zum Beispiel in den Landesmediengesetzen geregelt. Da darf natürlich nicht der Bund ins Land rein grätschen. Das ist so ganz generell mal der Stand. Dann habe ich gerade schon erwähnt IT-Sicherheitsgesetz 1.0 leitet sich also aus der NIS-Richtlinie der EU ab. Das Gesetz zur Erhöhung der Sicherheit informationstechnischer Systeme 2015 in Deutschland irgendwie aktiv geworden und deckt im Endeffekt genau das ab als Zielsetzung, was wir gerade schon hatten Absicherung der IT-Systeme und der digitalen Infrastruktur, Verbesserung der IT-Sicherheit von Unternehmen der Bundesverwaltung. Ja gut, ist noch room for improvement. Schutz der Bürgerinnen und Bürger im Internet. Ja, das ist noch ganz viel room for improvement. Die Sektoren sind im wesentlichen dieselben, die die EU definiert hat. Ist ja die Pflicht die EU Sicht in die Landessicht sozusagen umzumünzen und das IT-SiG 2.0 ist ja demzufolge auch in Arbeit, genauso wie die NIS 2 Richtlinie. Aber genau da so ebenfalls Grusel. Ja, aus dem IT- Sicherheitsgesetz 1 leitet sich ab Dinge fürs BSI Gesetz, die da zu berücksichtigen sind, ist ganz generisch erstmal. Festlegung der Aufgaben und Befugnisse des BSI und eben weitergehende Befugnisse als Reaktion auf neue Bedrohung zunehmender Bedeutung der Informations und Kommunikationstechnologie. Da haben wir jetzt die sieben kritische Infrastruktur Sektoren der EU und sozusagen deutschlandweit ohne die zwei Sonderlöckchen, die dann in dem BSI Gesetz geregelt sind, wie der Ablauf ist, welche hoheitlichen Aufgaben und welche Befugnisse, aber auch Rechte und Pflichten das BSI hat oder eben auch die einzelnen kritischen Infrastruktur-Dienstleister und daran anhängend ist noch mal, weil wir sind ja noch nicht fertig mit der Rechtslage, muss ja immer noch einer draufgelegt werden, ein habe ich noch: die BSI-KRITIS-Verordnung, die ihr seht, da drin wird der Schwellenwert der Leistungsfähigkeit, IT Sektor zum Beispiel, definiert und die genaue Anlagenkategorie. Heißt Frischwassergewinnungwerk, Abwasserentsorgung, das sind zwei Anlagen- Kategorien. Ich betreibe solche Anlagen oder ein Frischwassergewinnungswerkbrunnen wäre dann eben ein Brunnen zur Frischwasserentnahme, den ein Wasserwerk nutzt, um Wasser zu produzieren. Und der Schwellenwert ist das, ab wann eigentlich ein Dienstleister oder Leistungserbringer in diesem Sektor dann als kritische Infrastruktur gilt. Und aktuell ist es relativ einfach. Die Schwellenwerte sind bei allen sieben Sektoren pauschal immer 500.000 Personen in der Versorgung, umgerechnet auf die Versorgungsleistungen. Heißt 22 Millionen Kubikmeter Frischwasser pro Jahr beispielsweise, dann bin ich KRITIS. Mache ich weniger, dann bin ich zwar in dem Sektor, aber diese ganzen Gesetzeslagen sind irrelevant. Trotz allem ist es kritische Infrastruktur. Jetzt habe ich aber noch einen, weil er einfach, wenn wir bis hierhin gekommen sind und die Länder vergessen, landesspezifische Vorgaben gibt es natürlich dann auch noch mal. NRW habe ich jetzt die vom April 2020 Coronabetriebsverordnung rausgepickt. Die ist inzwischen auch schon aktualisiert worden. Da ist teilweise auch die Definition übrigens schon wieder rausgefallen. Dieser Paragraph 5 CoronaBetrVO gibt's gar nicht mehr. Aber zu dem Zeitpunkt haben die auch versucht zu sagen: Hey, wir müssen hier irgendwie den Schutz vor Neuinfizierungen regeln im Rahmen der BetreuungsInfrastruktur oder im Rahmen der ja wichtigen Dienste oder systemkritische Dienste, systemrelevante Systeme. Da wurden in jeder Verordnung wird es anders genannt. Jedes Land hat ja eine. Und hier war es so, dass eben die sieben Klassischen benannt wurden: staatliche Verwaltung auf sozusagen landesspezifischer Ebene, die Medien, ja, weil die natürlich landesweit sind, aber da wurden eben auch beispielsweise Schulen, Kinder- und Jugendhilfe und Behindertenhilfe gelistet als sozusagen Sektoren kritischer Infrastruktur, bei der man irgendwie auch den Schutz vor Neuinfizierung regeln muss. Ja, die Bundesländer generell Grusel, Grusel, das war ja auch immer alles ein Hin und Her und dieses Hin und Her haben wir jetzt noch nicht ausgestanden. Aber das war der Schnellüberblick über die gesetzlichen Regelungen, damit war auch ein bisschen mehr Zeit haben, über die sechs Fallbeispiele, die ich mitgebracht habe, zu reden. Ja, wie sieht kritischer Infrastruktur in Pandemiezeiten aus? So. Eine Herausforderung, die so Anfang letztes Jahr teilweise bei großen kritische Infrastruktur-Dienstleistern schon im Januar längst adressiert wurden, da wart ihr wahrscheinlich noch gar nicht im ersten, ja, ich nenne es jetzt einfach mal Lockdown oder im Homeoffice oder zu Hause, wie auch immer. Die hatten also teilweise schon im Januar ihre Pandemiekonzept ausgegraben und gesagt: Oh shit, wir müssen reagieren. Nachzügler im Februar und diejenigen, die so nicht richtig davon mitbekommen haben, dann so März, April. Aber das Wichtigste wurde eigentlich zeitnah realisiert. Es gab kaum bekannt gewordene wesentliche Ausfälle, aber die Herausforderung war zum Beispiel Ausfall systemrelevanten Personals zum Betrieb der kritischen Anlagen Kategorie, damit die Versorgungsleistungen bei der Bevölkerung ankommt. Ich kann kein Frischwassergewinnungswerk betreiben, also ein riesengroßen Pumpensteuerungsanlagen, Labore, um den Wasserreinheitsgehalt aufrechtzuerhalten. Trinkwasser hat eine sehr sehr hohe Anforderungen an die Trinkwasserqualität. Die ist deutlich höher als bei in Flaschen abgefülltem Zeugs beispielsweise. Und die Szenarien sind also, was war zu dem Zeitpunkt so das Szenario? Anreise der Mitarbeitenden vom privaten Wohnsitz. Wie kriegen wir das geregelt? Da waren ja teilweise Busse und Bahnen außer Betrieb oder durfte kaum jemand fahren. Wie auch immer. Ja, wenn die Fahrgemeinschaften machen war auch wieder eine Infektionsrisiko. Kontakt zu anderen Personen. Die gehen nach Hause und haben dann Kontakt mit Familie, Verkäufer etc. pp. Und die Exposition gegenüber einer Infektion mit COVID-19 war natürlich jederzeit gegeben. Kriegen wir das geregelt? Und die Auswirkungen dieser Szenarien und Herausforderungen war dann eben Ausfall der Mitarbeitenden aufgrund einer Infektion und eben erhöhtes Ansteckungsrisiko innerhalb der Belegschaft. Da war also die Frage wie können wir da gegensteuern? Die haben natürlich Pandemiekonzepte. Manche wurden auch noch mal spontan überarbeitet oder, ups, wir müssen noch mal den Staub wegwischen und mal aktualisieren. Aber viele hatten schon laufende Konstrukte. Muss man fairerweise auch sagen. So schlimm sieht es nicht aus. Aber die Herausforderung war auf jeden Fall gegeben. Wie sahen die Lösungen aus? Wenn du zum Beispiel so ein Leitstand in einem Kraftwerk hast oder ein Leitstand in 'nem Wasserwerk, muss du eben schauen, dass du das systemrelevante Betriebsteam isoliert. Das heißt du nimmst Leute, die den Leitstand besetzen, aber auch zum Beispiel nen Elektriker. Wenn mal 'ne Kleinigkeit ist, muss er das schrauben und machen und tun. Und den hast du natürlich mit vor Ort im Team. Und ja, die brauchen natürlich Bereitstellung von Unterkünften am Arbeitsplatz, weil die wurden isoliert. Isoliert heißt wirklich abgetrennt. Die haben also am Arbeitsplatz Schlafmöglichkeiten und Aufenthaltsräume bereitgestellt oder eben aktiviert. So wie das Pandemiekonzept das vorsieht. Teilweise haben die die dann, also nicht teilweise, die allermeisten haben sie eigentlich freiwillig gefragt. Hier habt ihr da Lust, Zeit und Nerv zu? Wollt ihr euch freiwillig sechs Wochen oder vier Wochen oder wie der Zyklus bei denen eben ist, in eine Isolation begeben? Ihr kriegt dann extra für und die Bevölkerung wird euch lieben. Ihr dürft natürlich auch Kontakt zu der Familie halten etc. Aber nur remote wird alles aufgeschaltet. Kein Thema. Aber eben auch wir stellen euch Schlafmöglichkeiten, Aufenthaltsräume bereit. Was man noch berücksichtigen musste waren dann Dinge des täglichen Bedarfs: Waschmaschine aufstellen, Waschmittel, jede Menge Nahrungsmittel verpacktes wie auch, und natürlich bis zu einem gewissen Grad, frisches über eine Sicherheitsschleuse sozusagen Vereinzelungsschleusern der Form, dass man Nachschub sozusagen da rein stellt, eine Weile wartet und versucht das ummantelt zu haben, desinfizieren und dann eben ziehen die das da rein, packen alles aus, versuchen auch noch mal zu warten und alles zu desinfizieren und dann eben die Sachen einzubringen. Und da wurde dann beispielsweise eben auch Trinkwasser reingebracht, wenn man nicht fließend Wasser da sowieso hatte. Ja auch so was wie Tee oder Kaffee, Kaffee, schwarz, heiß und schön lecker Junge, wird also alles, was man im täglichen Bedarf braucht, in der Isolation eben vorbereitet und über die Schleuse dann die Weiterversorgung sichergestellt. Und, was sie auch sicherstellen mussten, psychologische Fürsorge durch Beschäftigungsmöglichkeiten und psychologische Betreuung. Denn Isolation, so vier oder sechs Wochen immer dieselben Leute, ist natürlich auch hart. Draußen ist die Familie in dieser unklaren Situation. Wir denken mal zurück. März, April, Mai, letztes Jahr. Keiner wusste so richtig, was passiert. Was wird. Es kamen fast täglich neue Studien. Die Wissenschaftler haben neue Erkenntnisse gehabt. Die Politik hat gesagt hü, hott, nein, ja, doch, vielleicht, wir schauen mal, dinge aus Gründen. In der Situation dann zu sagen Ich lass meine Familie im Stich und gehe jetzt sozusagen die Bevölkerung retten ist natürlich auch psychologisch sehr viel Druck und da gab es dann entsprechend auch Fürsorge, bei denen wo es notwendig war oder die wurde generell bereitgestellt. Es gibt natürlich auch immer Einzelfälle, wo das vergessen wurde oder nicht ordentlich betrachtet wurde. Es gibt auch viele Einzelfälle, wenn man jetzt mal in die Krankenhäuser und Pflegeheime schaut. Der Sektor Gesundheit, da hat ja die Politik nicht gerade mit Glanz und Ruhm gehandelt. Wir erinnern uns noch an 20 Uhr gehen wir auf'n Balkon und klatschen mal 'ne Runde. Aber wenn Tarifverhandlungen waren, hat das Bundesgesundheitsministerium gesagt: Nö, Tarifeupgrade gibt's nicht, es gibt eine Einmalzahlung, aber mehr Geld? Nö. Ist natürlich auch psychologischer Druck, der nicht unbedingt dafür sorgt, dass man sagt: Hey, ich hab diesen Beruf aus Herzen gewählt und jetzt mach ich das auch. Also all das kommt zusammen. Es ist systemrelevant, das Personal, es wurden Maßnahmen getroffen, damit man eben den Ausfall kompensiert. Teilweise haben es ganz große Betreiber, jetzt Atomkraftwerk, Leitstand oder so auch durchaus so geregelt, dass sie gesagt haben, wir haben ein Betriebsteam vor Ort. Wir haben ein weiteres unabhängig isoliert an einer anderen Station oder in separaten Räumlichkeiten, sodass also wenn dieses Betriebsteam warum auch immer eine COVID- Infektion eingeschleust bekommt und wir das nicht verhindern konnten, kann es ja sein, dass sie alle komplett ausfallen und dann müssen wir eben ein zweites Team ready haben und manche hatten sogar ein drittes Team hot-spare, also das wirklich dann im Worst Case zwei komplette systemrelevante Betriebsteams ausfallen konnten und ein Drittes noch da war, um den Betrieb sicherzustellen. Und das alles ist weitestgehend transparent im Hintergrund passiert und kaum in den Medien oder in der Presse gewesen. Hier und da mal so ein bisschen, Stadtwerke in Wien oder so hatten da mal ein Bericht zu gemacht. Also man kann da ein bisschen zu recherchieren, aber im Wesentlichen machen die schon seit vielen Jahren immer ihren Dienst im Hintergrund und das fällt dann auch nicht so auf. Deswegen hier noch mal ein dickes, fettes Danke an alle systemrelevanten Personen, die sich in Isolation begeben haben, die trotz dieser Krisenlage permanent ihren Schichtdienst aufrecht halten und kümmern und machen und tun. Das ist wirklich ein dickes, fettes Dankeschön wert. Und ich verneige mich und geb mein Respekt an all diese Personen. Joa, zweite Herausforderung, wat hab wer denn noch? Wir haben ja gerade schon gesagt Frischwasser, wat frisch reinkommt, muss auch hässlich wieder weg. Alles Kacke, ne? Abwasserentsorgung, so. Wat ham wir gehabt? Wir haben die Herausforderung gehabt, die Leute hamstern Toilettenpapier. Es gibt temporär Mangel an Toilettenpapier. Die Endverbraucher- Toilettenpapier waren dann sozusagen nicht mehr da, aber die Industrieprodukte waren da. Das heißt, wenn ich so große Rollen habe, die ich in der Industrie fertige und dann auch in den Produktionshallen habe, aber so kleine Rollen, die für zu Hause sind sozusagen, und sich plötzlich alles von Industrie und Produktion und Wirtschaft in Richtung Homeoffice verschiebt, oder Lockdown anfangs, dann kann ich natürlich nicht Produkt A mit Produkt B mal eben austauschen, weil die Produktionsstraßen und die Fertigung eine ganz andere sind. Und das hat dann tatsächlich zu diesem, inklusive dem Hamstern dazu geführt, dass es einen Engpass gab, temporär. Und ja, auch die Logistik war natürlich eine Herausforderung, weil die großen Rollen anders verpackt in viel größeren, also palettenweise normalerweise wie ein Produkt, das ist halt 'ne Palette mit einzeln abgepackten, so Achter- oder Sechserpacks oder 10er Packs. Und so war also auch das eine Herausforderung, wie man das logistisch meistert. Die Verwendung von Alternativen wurde dann teilweise als Herausforderung angegangen. Dann nehm ich halt Küchentücher, Taschentücher, Feuchttücher. Kann aber auch eine Herausforderung werden, denn die Dinger sind reißfest im Gegenzug zu Toilettenpapier, was sich auflöst. Das heißt, wir reden von Fremdkörper im Abwasser und das beeinträchtigt dann eben das Klärwerk durch verstopfte Pumpen, teilweise, oder eben durch eine höhere Frequenz der Rechenreinigung. Und wenn du die Rechenreinigung mit einer höheren Frequenz versehen muss, muss auch die Abfallentsorgung mit einer höheren Frequenz versehen. In einem Zeitraum, wo selbst die LKW-Fahrer, die dann den Abtransport regeln oder auch die Müllkippen sozusagen dann teilweise im Lockdown waren, oder in Notdienst sozusagen. Ja, wie sah die Lösung? Für den Teil Hamstern von Toilettenpapier und Mangel gab es so eine Art Eigenregulierung durch den Einzelhandel und die Produktion. Ganz spannend. Es gab so Begrenzung der Vergabe von Toilettenpapier, um die breitere Masse zu versorgen und Selbstregulierung durch die Umstellung der Produktion. War also teilweise so Dinge gegeben wie jeder darf nur ein Toilettenpapierset kaufen oder das erste kostet 3 99, jedes weitere 15 Euro, wenn man halt mehrere kauft, damit die Leute einfach sagen Okay, ich bin jetzt, ich hamster nicht, sondern geh mal freundlich mit allen anderen um. Ja, Verwendung von Alternativen oder Beeinträchtigung der Klärwerke war eben das Problem, dass diese Alternativen wie gesagt alles verstopfen können. Die Alternativen, die so von den Klärwerkbetreibern kommuniziert wurden, waren dann sowas wie Bidets, mobile Bidets, gibt es auch, so kleine Spritz- Drück-Pumpen sozusagen quasi. Waschlappen oder Duschen, so dass man da also auch versucht hat, die Leute davon abzubringen, Feststoffe in die Kanalisation einzuführen. Das ist wahrscheinlich weitestgehend intransparent für euch geschehen, denn wenige von euch haben wahrscheinlich diese Aufrufe gehört. Ich habe es auch versucht zu fördern mit den Abwasser- und Klärwerk-Anlagenbetreiber. Wie so viele in diesen Bereichen. Aber das ist natürlich keine große Ausstrahlung. Dann haben wir so Herausforderung gehabt wie wenn du dein Rechenzentrum im Quarantänegebiet betreibst und das Rechenzentrum dann aufgrund landesweiter Ausgangsbeschränkungen nicht so wirklich sinnvoll erreichen kannst, tja, wie kommen dann die systemrelevanten Mitarbeiter dahin? Man muss also erst mal klären, Kontaktaufnahme mit dem zuständigen Gesundheitsamt zur Aufstellung von Ausnahmegenehmigungen. Das muss vorher geklärt werden. Man muss wissen, welches Gesundheitsamt zuständig ist. Zu dem Zeitpunkt war denen auch noch nicht ganz klar, wofür die wann wie zuständig sind und wie man die Ausnahmegenehmigungen ausstellt etc. Ich beispielsweise habe von meinem Arbeitgeber eine Ausnahmegenehmigung erhalten, weil ich eben Dienstleistungen für den Betrieb kritischer Infrastrukturen sicherstelle, sodass also wenn ich zu einem Kunden oder ins Büro musste, was übrigens sehr, sehr selten war. Seit Anfang Februar habe ich dann trotzdem die Möglichkeit gehabt, diesen Beleg mit meinem Personalausweis im Portemonnaie gehabt und hätte das vorzeigen können. Das war also das eine. Das andere ist halt eine Implementierung Journal-basierte asynchroner Replikation über weite Entfernungen, so dass man also eine redundante Datenhalde in einer nicht Quarantänezone hat, idealerweise. Aber wenn halt weltweite Pandemie ist, dann ist das auch kein Garant, dass nicht alle redundanten Bereiche vielleicht einer Ausgangsbeschränkung unterliegen. Also es war auch manchmal eine Herausforderung, da von den Gesundheitsämtern irgendwie die Hilfe zu bekommen, aber in der Regel ging es relativ fluffig. Ansonsten konnten eben diverse Leute wie ich oder alle Kollegen, die ganzen anderen Mitbewerber auch durchaus unter die Arme greifen und sagen Leute ihr müsst da und da hin, kümmert euch um den und den Beleg, hier ist ein Template. Das ist der Text, machen, ja machen. Zeit ist irgendwie kritisch. Ja, dann haben wir noch gehabt, Einschränkungen im Einzelhandel. Wir haben ja jetzt schon das Klopapier besprochen. Jetzt kommen wir mal zu den Nudels. Logistik. Lagerkapazitäten und die Produktion der Ware waren gewährleistet, sind dann aber in Verzögerung gekommen, weil natürlich diese Supply Chain und das Just in Time Delivery nicht mehr so ganz funktioniert hat und dann sind die Lagerkapazitäten auch bedroht gewesen dadurch, dass es Grenzkontrollen gab für den Warentransport. Es gab ja teilweise Berichte, wo an der Grenze Polen nach Deutschland 60 km LKW-Stau war und die Leute tagelang da festhingen und versorgt werden mussten, damit sie nach Deutschland reinkommen. Quelle vie an der Stelle, LKW- Fahrer, die dann eingereist sind mussten teilweise eine Zeit lang 14 Tage in Quarantäne sitzen, um dann wieder ins Ausland zurück zu fahren oder sind sogar hier erkrankt und umgekehrt, sind ins Ausland gefahren, mussten da 14 Tage in Quarantäne bleiben oder sind da erkrankt. Heißt, es gab natürlich auch da schwerwiegende ernste Fälle, aber es gab eben auch die 14-tägige Frist, so dass die natürlich nicht den Umschlag ruckzuck machen konnten, und zack haste ein Defizit an Fahrern und damit auch nicht mehr die passende Lagerkapazität, weil einfach der Transport nicht sichergestellt werden konnte. Ja, die haben Hamsterkäufe haben natürlich den Warenbedarf erhöht. Temporärer Mangel wurde damit entsprechend gefördert. Wie hat man dem gegengesteuert? Beispielsweise hat Aldi die damals gesagt: So, dieses Nudeldefizit geht ja mal gar nicht. Wir müssen den Warentransport irgendwie umschlagen auf Schienenverkehr und haben mit DB Schenker kurzfristig, kann man auf 'nem Bericht irgendwo lesen, haben die gesagt Okay, dann machen wir jetzt nicht mehr LKW-Fahrerei, sondern holen uns über DB Schenker, so 60 Tonnen oder wie viel auch immer Nudeln aus Italien hier rein und dann gibt es auch kein Defizit mehr. Das hat dann natürlich eine Weile gedauert. Wenn man das mal eben umstellt. Man braucht regulatorische Abkommen zwischen diesen jeweiligen Handelspartnern. Man muss die bestehenden Verträge außer Kraft setzen, neue Verträge kurzfristig machen. Die Bereitschaft von DB Schenker und die Kapazität muss da sein. Man musste dann auch gucken, jetzt hat man nicht die übliche Anlieferung an den Lagerraum, sondern über den Schienenverkehr bis zu einem bestimmten Schienenendpunkt und von da aus musste man logistisch noch weiter ziehen etc. pp. So also einen Riesenaufwand, der einen Rattenschwanz daherkommt, um dieses Supply Chain aufrechtzuerhalten. Aber am Ende hat es funktioniert. Wir konnten alle wieder Klopapier und Nudeln sozusagen benutzen und verwenden und Essen und Trallala. Also der Güterfluss wurde sozusagen über diese Ebenen dann auch wieder zügig etabliert. Ja, dann hatten wir noch Einschränkungen der Siedlungsabfallentsorgung. Ich habe ja gerade schon erwähnt, Klärwerke hatten Defizite bei der Abfallentsorgung, aber Siedlungsabfallentsorgung natürlich auch. Also alles was wir so privat an Müll generieren. Wichtig an der Stelle Siedlungsabfallentsorgung ist derzeit keine kritische Infrastruktur im Sinne des BSI Gesetzes, IT-Sicherheitsgesetzes, aber der Ausfall hat weitreichende Folgen für Gesundheit und Umwelt. Also Umweltschäden als auch Gesundheitliches. Es kann sogar eine Pandemie fördern. Herausforderung war: Es gab eine Einstellung des Betriebs von Wertstoffhöfen inklusive der Sammlung von Sonderabfällen. Aber es gab eben auch eine verringerte Abholfrequenz, weil die natürlich aufgrund eingeschränkter Verfügbarkeit der Mitarbeiterinnen auch ein Defizit hatten zu sagen Okay, wir kennen den Regelzyklus nicht einhalten. Wie kriegen wir das jetzt bewerkstelligt? Dafür gab es halt auch ein paar Lösungsideen. Das BMI hat langfristig zum Beispiel vorgeschlagen, Siedlungsabfallentsorgung als kritische Infrastruktur aufzunehmen. Das heißt, im Entwurf des IT-Sicherheitsgesetz 2.0 wurde Siedlungsabfallentsorgung sozusagen dann jetzt als KRITIS mit aufgenommen. Und die Lösung zum Umgang mit den Abfällen war auch so, man hat natürlich auch erheblich Gefahr, dass man Kontakt mit dem Coronavirus hat, das heißt die Entsorgung von Abfällen und die Kontakt mit dem Coronavirus hatten nur in die Restmülltonne, weil das ganze wird mit einer höheren Verbrennungtemperatur vernichtet und Deklaration von Abfällen aus Krankenhäusern, die Coronafälle behandeln, als gefährlicher Abfall. Heißt Erfordernis von reisfesten, feuchtigkeitsbeständigen und dichten Behältnissen, damit natürlich keine Gefahrengüter sozusagen da irgendwie auslaufen oder so, und die Mitarbeiter infizieren, und Transport nach dem Gefahrgutrecht. Also das alles ist sehr aufwendig und teuer, aber sowas hat man beispielsweise auch in der Abfallentsorgung bei der Siedlungsabfallentsorgung in Teilen auch gemacht. Man hat die Bevölkerung dazu aufgerufen, muss aber ehrlich sein, nicht viele, oder viele haben es nicht mitbekommen oder gesagt, na ja, ich sortiere immer noch meinen Abfall ordentlich und mach jetzt nicht alles, was vielleicht Kontakt gehabt haben könnte in die Restmülltonne. Wenn man Vorfall in der Familie hat, denkt man erst mal an die Familienmitglieder logischerweise und nicht daran, ob ich den Abfall richtig sortiere. Aber trotzdem ein wichtiger Punkt. Ja, und IT-Systeme von Krankenhäusern, Ransomware-Angriffe auf Krankenhäuser gab es beispielsweise und gibt es immer noch, auch aktuell. Vielen Dank noch mal an die Kollegen der Incident Response und Forensik, die gerade alle im Einsatz sind in der Osterzeit, um Krankenhäuser, Arztpraxen, Dialysezentren, Pflegeheime und sonst was alles aufrecht zu erhalten, die gerade kompromittiert wurden und erpresst werden. Es gibt dadurch aber eingeschränkte Netzwerkkommunikation, Systemverschlüsselungen und eben Integritätverlust der Daten und das bedeutet erhebliche Einschränkungen im Krankenhausbetrieb. Wir haben über Coruna sowieso schon eine Verschiebung von Operationen oder das Verlegen von Patienten bei einer Ransomwareattacke teilweise dann auch. Es gibt fehlende Informationen zu Patienten und es gibt Einschränkungen der Laborkapazitäten. Also das alles ist auch noch mal ein Problemverstärker und die World Health Organization oder eben auch Coronavirus Testzentrum in Tschechien beispielsweise wurden erfolgreich angegriffen letztes Jahr. Das alles ist also auch noch mal die Herausforderung, sozusagen eine Krise in der Krise. Ja, wir haben die Krise, Pandemie und dann kommt noch eine Ransomware als Krise dazu. Also wenn eine Krise schon scheiße ist. Ganz ehrlich, eine Krise in der Krise ist so richtig übel. Wie geht man da vor? Konsequente Umsetzung der IT-Sicherheit. Orientieren am B3S, am branchenspezifischen Sicherheitsstandard für die Gesundheitsversorgung im Krankenhaus. Das gibt's, kann man umsetzen. Es gibt nen OZG, ne, KZG, Krankenhauszukunftsgesetz, wo auch Gelder für IT-Sicherheit endlich bereitstellen, die bereitgestellt wurden, die jahrelang verzögert und aufgestaut wurden. Man kann sich natürlich all die Sicherheitsfirmen als Unterstützung dazu holen, nämlich Incident Response Forensik. Teilweise haben die auch auch Dienstleister, weil sie eine Cyberversicherung haben und diesen waren ausgerückt und machen da die Bekämpfung der sich als Sicherheitsvorfälle und die Inbetriebnahme wieder dieser ja manchmal skurrilen Infrastruktur mit Windows 95 oder mit proprietären Klartextprotokollen etc. pp. Ja, sie brauchen natürlich einen Notfall- und Krisenmanagement, was die Gleichzeitigkeit von Krisenereignissen auch entsprechend managt und behandelt, was was eben dann auch noch mal zu berücksichtigen ist. Das sind alles Punkte, die ja zur Lösung helfen können, dass man eben nicht durch Ransomware angegriffen wird. So, damit bin ich im Wesentlichen durch. Noch mal Schleichwerbung für den vorhin erwähnten von der DiVOC ppt im September letztes Jahr Vortrag. Wer da nochmal reinhören will, die Erlebnisse eines KRITIS-Prüfers, unabhängig von einer Pandemie, der sei auf diesen Link oder auf diesen Vortrag verwiesen. Da habe ich noch mal ein bisschen zusammen erklärt, wie kreativ die eigentlich umgehen, um seriös und dauerhaft sicherzustellen, dass die Versorgungsleistung kein Engpass und keinen Ausfall hat. Ja, und damit würde ich sagen vielen lieben Dank. Und kommen wir zurück zu Pupe. Noch hör ich nix. Engel: Ja, das ist dieser Taste, die ist manchmal KRITIS. Gerade in Telkos. HonkHase: Ja, manchmal ist mein Ohr auch KRITIS, deswegen passt schon. Engel: Ja dann Applaus. Applaus, Applaus. Vorhin hast du es vielleicht nur gesehen. Herzlichen Dank für den Vortrag. So langsam sind's ja immer so ein Modul nach dem nächsten und ich bin dann gespannt, was dein nächster Vortrag zu dem Thema sein wird. Vielleicht ist das ja dann irgendwann mal so eine Lehrreihe, irgendwie alles über media.ccc.de nutzbar und das wird dann vielleicht auch noch irgendwann richtig schön gefördert. Aber erst mal kommen wir zu den Fragen und den Kommentaren, welche mich über das Pad erreicht haben. Der Link zum Pad ist ja sozusagen im Programm zu finden und da könnt ihr sogar jetzt noch in Echtzeit Dinge reinschreiben. Ich sehe die dann sozusagen direkt. Ja und während ich das sage, kommt hier sogar 'ne neue Frage. F: Was ist mit der Heizungsinfrastruktur? Gehört die nicht zu KRITIS? A: Also Fernwärmeversorgung ja die Fernwärmerohrleitungen, aber die Heizungsinfrastruktur ich würde jetzt mal interpretieren, dass das die vom Gebäude ist oder so, das ist der Endnutzer selbst und der Endnutzer oder Einzelkomponenten sind nie KRITIS. Es geht immer nur um die zentralen Komponenten, die sozusagen Massenausfall bewirken, sprich die Kraftwerke, die Übertragungsnetzbetreiber um den Strom zu liefern, das Fernwärmenetz, die Tanklager für Heizöl und Diesel, die Raffinerien, die das erzeugen und so weiter und so fort. Das Heizungsnetz in einem Hochhaus oder in einem Haus ist ja sozusagen die Einzelversorgung und die ist da sozusagen nicht relevant, denn wenn einer ausfällt, dann kann ich im Notfall zum Nachbarn oder rufen 'nen Reparaturdienst oder was auch immer. Wenn aber die zentrale Fernwärme ausfällt, dann habe ich ja viele 100.000 Leute, die bedroht sind und das haben wir ja beispielsweise in Texas gesehen von vor wenigen Wochen noch. Texas hat einen kompletten Blackout. Es gibt in den USA drei Netze Ost, West, Texas. Texas ist schlau und hat gesagt wir verzichten auf alle anderen. Wir betreiben ein eigenes Netz und dieses eigene Netz ist zusammengebrochen als Blackout. Und in Texas gab es dann eben keine Heizung, kein laufend Wasser, weil ohne Strom gibt es irgendwann auch keine Wasserpumpen mehr. Und das war zu einer Zeit, wo es sehr sehr kalt ist, war. Und ja, dann sind auch die Wasserrohre und die Heizungsrohre eingefroren, aufgeplatzt. Und als es dann abgetaut ist oder auch Strom wieder da war, sind die ganzen aufgeplatzten Rohre dann ausgelaufen und man hat überall Wasserschäden und immer noch keinen Strom und Wasser. Also so mies kann's laufen aber das war dann sozusagen das Stromnetz, was ausgefallen ist, und das ist dann KRITIS, aber nicht das Einzelnetz. Engel: Ja, also, da kann man amerikanische Podcast hören von Leuten, die in Texas lebten. Also, das war, ja, ein Drama. Jetzt kommt noch eine ergänzende Frage sozusagen dahinter. Ich denke mal auch wieder. F: Was ist mit Handwerkern und Großhandel? A: Also Handwerker, ja ein Handwerker müsste dann mehr als 500.000 Personen versorgen in einer Anlagenkategorie, die kritisch ist, wüsste ich jetzt spontan keinen. Ja, kann ich nicht, wüsste ich nicht. Großhandel ja, also wenn du jetzt so, keine Ahnung, beliebige, hier, Metro- Ketten oder so wat, so 'ne Kette ist so groß, dass sie Einzelhandel bei der Versorgung mit Ernährung, also KRITIS- Sektor Ernährung mit der Versorgung sicherstellen. Und die sind kritische Infrastruktur, wenn Sie mehr als 500.000 Personen versorgen, und da gibt es im Handel tatsächlich einige, die darunter fallen. Auch beispielsweise nicht nur Handel, sondern auch Molkereien. Ja, die sind ja auch im Ernährungssektor tätig. Engel: Also lösen das unter KRITIS fallende Firmen eigentlich dadurch, dass sie zum Beispiel Zulieferer, irgendwie, die können es nicht vererben, aber es wird dann einfach mit in die Verträge reingeschrieben. Oder wie macht man das? Wie stellt man das sicher? A: Also wenn ich KRITIS-Betreiber bin, muss ich natürlich diese Anlage, die ich betreibe, sicherstellen. Das heißt, wenn ich ein Zulieferer hab, der irgendwie Wartung oder Betrieb dieser Komponenten macht und es geht immer um den IT-Teil, laut IT-Sicherheitsgesetz oder BSI-Gesetz. Wenn ich also die IT-Wartung oder den Betrieb der Produktion macht der OT der SCADA-Komponenten, der Prozessleittechnik oder so, dann muss ich da sicherstellen, dass auch die Zulieferer, die diese Komponenten für mich austauschen, warten, Fernzugriff machen, ja, Fernwartung und Fernzugriff ist so ein Albtraum für sich, habe ich übrigens in dem Vortrag Erfahrung eines KRITIS-Prüfers ... Engel: ... ich weiß ... A: da habe ich den Fernwartungarchäologen ins Leben gerufen und gesagt, ey immer wenn ich dieses Wort höre, kriege ich Bauchschmerzen, das ist einfach so. Aber das alles muss man dann vertraglich mit diesen Zulieferern regeln. Was nicht geregelt werden muss, ist sozusagen die grundsätzliche Supply Chain, also Wasser oder Strom, weil das ist sozusagen grundsätzliche Zulieferung oder beispielsweise bei einer Molkerei, dass die Tanklaster Milch vorbeifahren können. Das hat dann nichts mehr mit IT zu tun. Und Kühe produzieren immer. Ob das dann ankommt, ist eine andere Frage. Engel: Bis sie ein OT-Ship haben. So, dann geht's weiter im Fragenkatalog. F: Wie viel ist KRITIS / IT und wie viel ist im Allgemeinen Katastrophenvorsorge? A: Dat kann man nicht nach wie viel beurteilen. Es gibt ca. 2.000, nicht ganz 2.000 kritische Infrastrukturen in Deutschland, die so geschätzt sind. Ich glaube beim BSI sind aktuell registriert 1.600 Anlagenkategorien oder so. Die mehr als 500.000 Personen versorgen. Im Allgemeinen Notversorgung, das umschließt ja noch viel mehr. Also da geht ja auch hier Krisenmanagement der Länder, der Kommunen, Bundesregierung alles mögliche rein. Auch die ganzen Deutsche Rote Kreuz und sonstigen ehrenamtlichen Helfer, selbst THW, Freiwillige Feuerwehr, das wird alles unter Katastrophenhelfer gezählt und sogar Bundeswehr, die ja im äußersten Notfall auch hilft. Der äußersten Notfall ist jetzt schon seit einem Jahr etablierter Standard. Ist eigentlich auch Fail by Design. So was nutzt man nur im äußersten Notfall und guckt auch ganz schnell, dass man wieder von diesem äußersten Notfall wegkommt. Weil wenn ich dann noch mal eine Krise obendrauf krieg, dann ist Game Over und dann haben wir wirklich Holland in Not und Deutschland noch dazu und alles andere. Aber, ja, kann ich jetzt. Ich wüsste nicht, ob das da irgendwo Zahlen gibt, außer das, was so veröffentlicht wird. THW hat 85.000 Mitglieder, ungefähr 80.000 davon sind beispielsweise dann ehrenamtlich, aber kann man jetzt nicht alle einzeln oder gesamt aufdröseln. Wüsste ich nicht. F: Dann geht es weiter. Was ist deine Einschätzung zum Sektor Zahlungsverkehr? Zum Beispiel Haspa, Geldautomatenausfall, Einführung starke Ausführ-PSD II, kein Login ohne 2F2, also 2-Faktor- Authentifizierung. A: Ja, also, man muss sagen, der Sektor Finanz- und Versicherungswesen ist, und wenn man da nur den Bankenteil betrachtet, nicht die Börsen und die Versicherungen, die haben zwar Altlasten und uralte Systeme, teilweise auch im Einsatz, und echt komplexe Infrastrukturen. Die Deutsche Bank hatte vor, ich weiß nicht mehr, 2 Jahren oder so, hatten die ja mal gesagt wir haben hier insgesamt 7.000 verschiedene Anwendungen und Kernkomponenten und eine Anwendung kann beliebig komplex werden und viele Systeme haben, aber man muss fairerweise auch sagen, sie sind sehr reguliert, ja, eine Bank wenn die einen Vorfall hat, dann muss die beispielsweise melden an, vielleicht an die EZB, also an die Europäische Zentralbank, an die Bundesbank, an 'ne Cyberversicherung, wenn sie eine hat und die meisten haben eine. Du musst melden an die BaFin, du musst ans BSI melden. Also wirklich Kreuch und Fleuch an jeder Stelle, du wirst überreguliert und wenn du dann noch eine Anmeldung für Finanzamt in den USA hast, dann muss du irgendwie an New York irgendwie da auch noch eine spezielle Meldung machen. Wenn du in Singapur irgendwie ein Büro hast, Singapur verlangt, dass du ein lokales Office haben musst, und wenn du unter den offiziellen Regularien in Singapur bist, muss du da auch noch mal eine separate Meldung machen, wenn du an, naja gut Börse haben wir gerade ausgeklammert, aber wenn wir beispielsweise jetzt eMoney-Lizenz an der Börse in UK haben, dann muss man da noch mal melden. Also du kannst dich tot melden und du kannst auch so konfiguriert werden mit irgendwelchen Complianceregularien, die oft genug im Widerspruch stehen. Das macht es dann auch nicht trivial mal eine Kernanwendung wo Millionen von Leute drauf tagtäglich rund um die Uhr arbeiten und auch erwarten, dass mein Geld aus dem Automaten plöpt oder so, mache ich mal kurz eine Anpassung. Also ist gut wie schlecht. Ist es gut überreguliert und auch gut abgehangen, aber andererseits schlecht, weil diese Überregulierung das auch extrem marode und Never change a running system und wenn du es anfasst explodiert eh alles und du bist fällig. Keiner will es anfassen. Also alle - und das übrigens Sneak Preview, IT- Sicherheitsgesetz 2.0 wird genau so was einbringen für die kritischen Infrastrukturen. Es wird komplexer, es wird sinnloser, es wird sinnfreier. Deswegen grusel ich mich jetzt schon davor alle sechs Sachverständigen im Bundestag, ich war einer davon, haben dagegen gemault, selbst die von der CDU. Und es hat das BMI völlig nicht interessiert. Die laufen immer noch rum und sagen Yeah, wir sind die Besten, tolles Gesetz, alle nur positiv. Engel: Lustigerweise musste ich gerade an diese Anhörung denken, weil in der Anhörung hast du auch so viel gesprochen und bist nie zum Ende gekommen. HonkHase: 'tschuldigung Engel: Und es werden zunehmend mehr Fragen. Nein, ich freue ja aber HonkHase: dann mich ich's kürzer jetzt Engel: Während wir reden kommen immer neue Fragen rein. Ist total spannend, was noch alles kommt. So. F: Warum ist dann die Logistik noch kein KRITIS? Ohne Logistik funktioniert auch keine Infrastruktur so wirklich, oder? A: Das ist einfach. KRITIS-Sektor Transport und Verkehr. Logistik über 500.000 Personen ist abgedeckt. Nächste Frage. Engel: Volle Punktzahl. F: Inwieweit achtet ihr eigentlich auf Paketversionen bei Dependencies, wenn ihr mit Kunden arbeitet? Mir scheint, als wären bei vielen Zertifizierungen unter anderem nur geprüft wird, ob von Lib X die neueste Version genutzt wird. Worauf scheinbar nicht geachtet wird ist, wie alt, veraltet, verbuggt, ist diese neueste Version. A: Also eine KRITIS-Prüfung ist nur eine Prüfung und keine Zertifizierung. Man kriegt also kein Bapperl danach, sondern lediglich eine Einhaltung der Gesetzesvorlage als Empfehlung und die Einhaltung sprechen dann BSI teilweise im Benehmen oder Einvernehmen mit der Aufsichtsbehörde aus. Aber das Problem bei Zertifizierung kenne ich. Ich kenn nämlich auch so den einen oder anderen Zertifizierer. Das sind dann, wie soll ich sagen, Ahnungslose oder Blinde unter den Einäugigen. Wenn die natürlich nicht wissen, was es bedeutet, ja, Secure Software Development Life Cycle, Anpassungen, Updates oder Upgrades in der Form, dass da auch die Dependencies berücksichtigst, aber nicht jede, nämlich nicht jede, die ein Feature beinhaltet, was dich nicht interessiert, aber jede die ein Security Update hat, oder wenn eine Dependency out of maintenance ist, machen aber tatsächlich viele nicht, weil sie so tief gar nicht prüfen, was eigentlich schade ist, weil ja, es ist eine der großen Lücken, die oft genug vorkommen. F: Ja, dann gab es neue Erkenntnisse zur Kritikalität von nicht als KRITIS eingestuften Infrastrukturen. Stichwort Pharmaproduktion, Altenheim, Supply Chain, Europäische Cloud Rechenzentren. A: Jein. Also für mich ja, für die AG KRITIS auch ja, für diverse kritische Infrastrukturbetreiber oder die Mitarbeiter ja, für manche Wirtschaftsverbände nicht mehr so ja, für die Länder und die Bundesregierung eher nicht so ja, und das BMI ey tschakka, alles cool. Wir packen jetzt die Siedlungsabfallentsorgung dazu und dann diese UNBÖFI, Unternehmen im besonderen öffentlichen Interesse, und dann noch diese komischen, hier und da noch so ein bisschen, und dann ist schick. Also, meiner Meinung nach, meiner ganz persönlichen Meinung nach, komplettes Fail und Versagen, weil die echten Bedarfe wurden nicht adressiert, sondern wieder irgendwelche kaschierten Düdeldüs. Ja, so sieht es aus F Jetzt eine sehr spannende Frage. Wird bei der Lebensmittelindustrie unterschieden, ob zum Beispiel Molkereiprodukte versus Bonbon-Fabrik? A: Nein. Wenn du eine Versorgung über 500.000 Personen sicherstellen musst, dann bist du KRITIS. Es gibt aber verschiedene Anlagenkategorien. Also Herstellung, Vertrieb von Lebensmitteln etc.. Und diese einzelnen Kategorien. Wenn ich in einer dieser Kategorien über 500.000 bin, dann fällt es weg. Kleines Beispiel was außen vor ist: Alkohol. Weil es steht drin, dass beispielsweise bei Wasser eben es nur um Wasser geht und nicht um Alkoholisches. Insofern sind alkoholische Getränke zum Beispiel komplett ausgeklammert. F: Ja, dann was is, oh, jetzt kommt die letzte Frage, das ist natürlich doof. Was ist nach deiner Einschätzung nach der brüchigste Sektor, also der mit der größten Ausfallrisiko? A: Strom. Weil Strom sozusagen die Basis für alles ist, wenn Strom wegfällt, fällt kurz danach Telekommunikation weg und danach bricht alles andere zusammen. Wer das mal genauer eruieren will, kann sich gerne Blackout von Marc Elsberg mal durchlesen. Das ist schon recht nah an der Realität. Es gibt vom TAB Bundestag, TA Bundestag eine Blackoutstudie von, 2012 glaube ich war's, die hat auch, ich glaub 250 Seiten oder so, die schreibt ganz genau wissenschaftlich erforscht auf, was nach 'nem Blackout so wie in welcher Reihenfolge passiert. Wer dann noch nicht genug hat, kann sich vielleicht noch 42 Grad durchlesen. Das ist auch ein Buch, was sozusagen das ganze aus Wassersicht beschreibt. Aber Strom ist definitiv die Basis für alles und das ist am kritischsten. Danach kommt IT und TK, weil ohne Kommunikation funktioniert auch nicht viel. Engel: Ja dann wäre ich an der Stelle erstmal nochmal Danke, Danke, Danke für den Vortrag, für die Antworten. Die drei Fragen, die noch drinstehen, da werden die Antworten hinterher reingeschrieben, bestimmt von HonkHase, kann dort vielleicht die Sachen noch mal kommentieren. Ansonsten könnt ihr Feedback da auch immer reinschreiben. Und an der Stelle würde ich einfach noch so virtuell. Applaus, Applaus, Applaus sagen. Und ja, dann gehen wir sozusagen glaub ich wieder zurück ins Main-Programm und ja, dann freue ich mich, dass es hier gleich weitergeht. Outro Untertitel erstellt von c3subtitles.de im Jahr 2022. Mach mit und hilf uns!