WEBVTT
00:00:00.000 --> 00:00:14.330
Intro
00:00:14.330 --> 00:00:21.779
Engel: Ja, kommen wir nämlich jetzt zu
einem Vortrag, der mir selber am Herzen
00:00:21.779 --> 00:00:26.259
liegt, weil einige meiner besten Freunde
haben KRITIS. Und es ist halt so eine
00:00:26.259 --> 00:00:29.259
Krankheit, wie so eine Pandemie, da muss
man einfach sagen, muss man erst mal mit
00:00:29.259 --> 00:00:35.050
umgehen lernen. Darum freut es mich umso
mehr, dass wir jetzt hier bei uns im Saal
00:00:35.050 --> 00:00:40.499
oder wie auch immer man das hier so nennt,
den HonkHase oder mit bürgerlichem Namen
00:00:40.499 --> 00:00:47.789
Manuel Atug haben. Honk ist sozusagen
einer der Mitgründer von der KRITIS AG.
00:00:47.789 --> 00:00:51.320
Gleichzeitig macht ja auch so was mit
Security, wenn man sich bei ihm also den
00:00:51.320 --> 00:00:56.070
Track Record ansieht. Irgendwie 23 Jahre
Informationssicherheit und im Endeffekt
00:00:56.070 --> 00:01:00.540
muss man sagen, er ist halt wirklich ein
alter Hase in der Szene und auch in
00:01:00.540 --> 00:01:04.400
anderen Szenen. Und da muss man einfach
sagen: Wow, für deine ganzen Experience
00:01:04.400 --> 00:01:09.790
Points, die du jetzt sozusagen mit
einbringst, hier in diesem Vortrag. Und an
00:01:09.790 --> 00:01:12.750
der Stelle, ja, welcher Vortrag wird das
überhaupt? Ja richtig, Kritische
00:01:12.750 --> 00:01:18.730
Infrastrukturen in Pandemie Zeiten. Und
ja, jeder der sozusagen das Glück hat in
00:01:18.730 --> 00:01:23.640
Firmen zu arbeiten, die auch unter KRITIS
fallen, ja die werden glaube ich ein Lied
00:01:23.640 --> 00:01:27.282
davon singen können und werden jetzt
besonders aufmerksam auch zuhören, ob man
00:01:27.282 --> 00:01:30.790
hier auch noch mal was lernen können. Und
an der Stelle würde ich einfach sagen:
00:01:30.790 --> 00:01:38.750
Applaus, Applaus, Applaus, vorab. Wasser
Marsch. Honk, the Stage is yours.
00:01:38.750 --> 00:01:43.550
HonkHase: Ja danke Pupe. Ich hatte ja
schon einen anderen Vortrag gehalten:
00:01:43.550 --> 00:01:46.400
Erfahrungen eines KRITIS-Prüfers, haben
ein bisschen erzählt, wie man da so lebt,
00:01:46.400 --> 00:01:51.420
leidet, aber auch, wie kreativ sozusagen
die Vorhaltung der kritischen
00:01:51.420 --> 00:01:55.740
Infrastrukturen oder besser gesagt der
Versorgungsleistungen, so bewerkstelligt
00:01:55.740 --> 00:02:01.790
wird. Und heute zeige ich euch mal so ein
paar Themenabschnitte wie kritische
00:02:01.790 --> 00:02:04.250
Infrastrukturen eben in so einer
pandemischen Zeit eigentlich im
00:02:04.250 --> 00:02:10.522
Hintergrund, die ganze Sachlage stemmen
sozusagen. Ja Pupe hat schon gesagt, ich
00:02:10.522 --> 00:02:17.259
habe quasi KRITIS im Endstadium. Über 23
Jahre bin ich in all dem Ganzen aktiv.
00:02:17.259 --> 00:02:22.340
Meine Kernthemen sind eben kritische
Infrastrukturen aus Leidenschaft Hackback,
00:02:22.340 --> 00:02:25.540
weil es eben auch kritische
Infrastrukturen bedroht. Ethik,
00:02:25.540 --> 00:02:30.000
Cyberresilienz, also wie wird man
resilient gegen das ganze, Cyber-Gedöns,
00:02:30.000 --> 00:02:34.760
Stern Punkt Stern und eben der
Bevölkerungsschutz, weil am Ende ja wollen
00:02:34.760 --> 00:02:38.760
wir eigentlich morgen noch kraftvoll in
die Tastatur hacken und dazu brauchen wir
00:02:38.760 --> 00:02:43.819
Strom, Wasser, Hund, Katze, Maus und wie
das sichergestellt wird, das erzähle ich
00:02:43.819 --> 00:02:48.629
euch dann mal jetzt ein bisschen. Aber
bevor wir da reingehen, werde ich euch
00:02:48.629 --> 00:02:52.720
noch mal ein bisschen zu den kritischen
Definitionen erzählen, denn die
00:02:52.720 --> 00:02:57.250
rechtlichen Definitionen sind alles andere
als trivial oder komplett geklärt und
00:02:57.250 --> 00:03:01.150
geregelt. Und deswegen machen wir da auch
noch mal einen Durchblick oder Überblick,
00:03:01.150 --> 00:03:05.829
damit ihr anschließend den Durchblick
habt, was das eigentlich so rein rechtlich
00:03:05.829 --> 00:03:09.959
und gesetzlich bedeutet. Warum das einfach
oder komplex ist. Und dann kommen wir zu
00:03:09.959 --> 00:03:12.790
sechs Fallbeispielen, die ich euch einfach
mal mitgebracht habe und im Detail
00:03:12.790 --> 00:03:20.870
aufdröseln. Ja, rechtliche Definitionen
was ist ein KRITIS-Betreiber? Gucken wir
00:03:20.870 --> 00:03:26.799
mal von oben nach unten herab auf auf die
einzelnen Ebenen. Die Europäische Union
00:03:26.799 --> 00:03:33.259
hat das in der NIS-Richtlinie definiert.
Die NIS 1.0, die 2er ist gerade in Arbeit,
00:03:33.259 --> 00:03:39.529
Grusel Grusel. Aber da sind im
Wesentlichen oder es sind Betreiber
00:03:39.529 --> 00:03:44.570
wesentlicher Dienste definiert. Das sind
dann sieben Stück an der Zahl. Und das
00:03:44.570 --> 00:03:48.420
Ziel ist eben zu sagen Festlegung von
Maßnahmen zum Erreichen des gemeinsamen
00:03:48.420 --> 00:03:52.779
europäischen Sicherheitsniveaus von Netz-
und Informationssystem. Soweit, so cool.
00:03:52.779 --> 00:03:57.029
Klingt sinnvoll, ist aber gar nicht so
trivial umzusetzen. Aus dieser NIS-
00:03:57.029 --> 00:04:02.780
Richtlinie hat sich dann später eben das
IT-Sicherheitsgesetz abgeleitet. Komme ich
00:04:02.780 --> 00:04:06.810
gleich zu. Erst mal so ganz allgemein
Bundesrepublik Deutschland hat eine
00:04:06.810 --> 00:04:10.239
einheitliche Definition. Kritische
Infrastrukturen auf Bundes und Landesebene
00:04:10.239 --> 00:04:14.299
heißt, ja: "KRITIS sind Organisationen
oder Einrichtungen mit wichtiger Bedeutung
00:04:14.299 --> 00:04:19.890
für das staatliche Gemeinwesen, bei deren
Ausfall oder Beeinträchtigung nachhaltig
00:04:19.890 --> 00:04:23.850
wirkende Versorgungsengpässe, erhebliche
Störung der öffentlichen Sicherheit oder
00:04:23.850 --> 00:04:27.600
andere dramatische Folgen eintreten
würden". Klingt jetzt nach Drama-Queen,
00:04:27.600 --> 00:04:32.600
ist es aber auch, weil die Sektoren, die
da definiert sind, Energie, Wasser, IT und
00:04:32.600 --> 00:04:36.640
TK, Gesundheit, gerade Gesundheit, sehen
wir jetz in der Pandemie, wenn die nicht
00:04:36.640 --> 00:04:41.481
funktionieren, haben wir ganz schnell
dramatische Folgen, nämlich Krisen, wie
00:04:41.481 --> 00:04:46.260
beispielsweise auch die Pandemie eine
querstellt. Und zusätzlich zu diesen
00:04:46.260 --> 00:04:49.780
7 Sektoren kommen noch zwei dazu, die
sind ein bisschen besonders in
00:04:49.780 --> 00:04:54.160
Deutschland, nämlich Staat und Verwaltung
und Medien und Kultur, denn Staat und
00:04:54.160 --> 00:04:59.280
Verwaltung kann natürlich nicht auf auf
BSI-Ebene, sag ich mal, Bundesamt für
00:04:59.280 --> 00:05:03.250
Sicherheit in der Informationstechnik,
geregelt werden. Genauso Medien und
00:05:03.250 --> 00:05:08.430
Kultur, denn Medien werden zum Beispiel in
den Landesmediengesetzen geregelt. Da darf
00:05:08.430 --> 00:05:13.840
natürlich nicht der Bund ins Land rein
grätschen. Das ist so ganz generell mal
00:05:13.840 --> 00:05:18.700
der Stand. Dann habe ich gerade schon
erwähnt IT-Sicherheitsgesetz 1.0 leitet
00:05:18.700 --> 00:05:25.030
sich also aus der NIS-Richtlinie der EU
ab. Das Gesetz zur Erhöhung der Sicherheit
00:05:25.030 --> 00:05:31.040
informationstechnischer Systeme 2015 in
Deutschland irgendwie aktiv geworden und
00:05:31.040 --> 00:05:35.800
deckt im Endeffekt genau das ab als
Zielsetzung, was wir gerade schon hatten
00:05:35.800 --> 00:05:39.460
Absicherung der IT-Systeme und der
digitalen Infrastruktur, Verbesserung der
00:05:39.460 --> 00:05:43.910
IT-Sicherheit von Unternehmen der
Bundesverwaltung. Ja gut, ist noch room
00:05:43.910 --> 00:05:47.370
for improvement. Schutz der Bürgerinnen
und Bürger im Internet. Ja, das ist noch
00:05:47.370 --> 00:05:52.020
ganz viel room for improvement. Die
Sektoren sind im wesentlichen dieselben,
00:05:52.020 --> 00:05:59.070
die die EU definiert hat. Ist ja die
Pflicht die EU Sicht in die Landessicht
00:05:59.070 --> 00:06:05.210
sozusagen umzumünzen und das IT-SiG 2.0
ist ja demzufolge auch in Arbeit, genauso
00:06:05.210 --> 00:06:12.270
wie die NIS 2 Richtlinie. Aber genau da so
ebenfalls Grusel. Ja, aus dem IT-
00:06:12.270 --> 00:06:18.800
Sicherheitsgesetz 1 leitet sich ab Dinge
fürs BSI Gesetz, die da zu berücksichtigen
00:06:18.800 --> 00:06:22.860
sind, ist ganz generisch erstmal.
Festlegung der Aufgaben und Befugnisse des
00:06:22.860 --> 00:06:27.540
BSI und eben weitergehende Befugnisse als
Reaktion auf neue Bedrohung zunehmender
00:06:27.540 --> 00:06:31.190
Bedeutung der Informations und
Kommunikationstechnologie. Da haben wir
00:06:31.190 --> 00:06:36.700
jetzt die sieben kritische Infrastruktur
Sektoren der EU und sozusagen
00:06:36.700 --> 00:06:43.360
deutschlandweit ohne die zwei
Sonderlöckchen, die dann in dem BSI Gesetz
00:06:43.360 --> 00:06:46.840
geregelt sind, wie der Ablauf ist, welche
hoheitlichen Aufgaben und welche
00:06:46.840 --> 00:06:51.040
Befugnisse, aber auch Rechte und Pflichten
das BSI hat oder eben auch die einzelnen
00:06:51.040 --> 00:06:55.810
kritischen Infrastruktur-Dienstleister und
daran anhängend ist noch mal, weil wir
00:06:55.810 --> 00:06:58.680
sind ja noch nicht fertig mit der
Rechtslage, muss ja immer noch einer
00:06:58.680 --> 00:07:03.540
draufgelegt werden, ein habe ich noch: die
BSI-KRITIS-Verordnung, die ihr seht, da
00:07:03.540 --> 00:07:07.550
drin wird der Schwellenwert der
Leistungsfähigkeit, IT Sektor zum
00:07:07.550 --> 00:07:10.770
Beispiel, definiert und die genaue
Anlagenkategorie. Heißt
00:07:10.770 --> 00:07:15.540
Frischwassergewinnungwerk,
Abwasserentsorgung, das sind zwei Anlagen-
00:07:15.540 --> 00:07:20.110
Kategorien. Ich betreibe solche Anlagen
oder ein Frischwassergewinnungswerkbrunnen
00:07:20.110 --> 00:07:24.530
wäre dann eben ein Brunnen zur
Frischwasserentnahme, den ein Wasserwerk
00:07:24.530 --> 00:07:29.720
nutzt, um Wasser zu produzieren. Und der
Schwellenwert ist das, ab wann eigentlich
00:07:29.720 --> 00:07:36.110
ein Dienstleister oder Leistungserbringer
in diesem Sektor dann als kritische
00:07:36.110 --> 00:07:40.530
Infrastruktur gilt. Und aktuell ist es
relativ einfach. Die Schwellenwerte sind
00:07:40.530 --> 00:07:45.900
bei allen sieben Sektoren pauschal immer
500.000 Personen in der Versorgung,
00:07:45.900 --> 00:07:51.490
umgerechnet auf die Versorgungsleistungen.
Heißt 22 Millionen Kubikmeter Frischwasser
00:07:51.490 --> 00:07:55.880
pro Jahr beispielsweise, dann bin ich
KRITIS. Mache ich weniger, dann bin ich
00:07:55.880 --> 00:08:00.520
zwar in dem Sektor, aber diese ganzen
Gesetzeslagen sind irrelevant. Trotz allem
00:08:00.520 --> 00:08:06.400
ist es kritische Infrastruktur. Jetzt habe
ich aber noch einen, weil er einfach, wenn
00:08:06.400 --> 00:08:09.810
wir bis hierhin gekommen sind und die
Länder vergessen, landesspezifische
00:08:09.810 --> 00:08:14.260
Vorgaben gibt es natürlich dann auch noch
mal. NRW habe ich jetzt die vom April 2020
00:08:14.260 --> 00:08:20.220
Coronabetriebsverordnung rausgepickt. Die
ist inzwischen auch schon aktualisiert
00:08:20.220 --> 00:08:22.980
worden. Da ist teilweise auch die
Definition übrigens schon wieder
00:08:22.980 --> 00:08:28.207
rausgefallen. Dieser Paragraph 5
CoronaBetrVO gibt's gar nicht mehr. Aber
00:08:28.207 --> 00:08:32.010
zu dem Zeitpunkt haben die auch versucht
zu sagen: Hey, wir müssen hier irgendwie
00:08:32.010 --> 00:08:37.079
den Schutz vor Neuinfizierungen regeln im
Rahmen der BetreuungsInfrastruktur oder im
00:08:37.079 --> 00:08:43.479
Rahmen der ja wichtigen Dienste oder
systemkritische Dienste, systemrelevante
00:08:43.479 --> 00:08:47.689
Systeme. Da wurden in jeder Verordnung
wird es anders genannt. Jedes Land hat ja
00:08:47.689 --> 00:08:51.379
eine. Und hier war es so, dass eben die
sieben Klassischen benannt wurden:
00:08:51.379 --> 00:08:56.600
staatliche Verwaltung auf sozusagen
landesspezifischer Ebene, die Medien, ja,
00:08:56.600 --> 00:08:59.730
weil die natürlich landesweit sind, aber
da wurden eben auch beispielsweise
00:08:59.730 --> 00:09:04.600
Schulen, Kinder- und Jugendhilfe und
Behindertenhilfe gelistet als sozusagen
00:09:04.600 --> 00:09:08.780
Sektoren kritischer Infrastruktur, bei der
man irgendwie auch den Schutz vor
00:09:08.780 --> 00:09:14.110
Neuinfizierung regeln muss. Ja, die
Bundesländer generell Grusel, Grusel, das
00:09:14.110 --> 00:09:16.779
war ja auch immer alles ein Hin und Her
und dieses Hin und Her haben wir jetzt
00:09:16.779 --> 00:09:21.740
noch nicht ausgestanden. Aber das war der
Schnellüberblick über die gesetzlichen
00:09:21.740 --> 00:09:24.639
Regelungen, damit war auch ein bisschen
mehr Zeit haben, über die sechs
00:09:24.639 --> 00:09:28.050
Fallbeispiele, die ich mitgebracht habe,
zu reden. Ja, wie sieht kritischer
00:09:28.050 --> 00:09:35.269
Infrastruktur in Pandemiezeiten aus? So.
Eine Herausforderung, die so Anfang
00:09:35.269 --> 00:09:40.319
letztes Jahr teilweise bei großen
kritische Infrastruktur-Dienstleistern
00:09:40.319 --> 00:09:44.259
schon im Januar längst adressiert wurden,
da wart ihr wahrscheinlich noch gar nicht
00:09:44.259 --> 00:09:49.160
im ersten, ja, ich nenne es jetzt einfach
mal Lockdown oder im Homeoffice oder zu
00:09:49.160 --> 00:09:52.529
Hause, wie auch immer. Die hatten also
teilweise schon im Januar ihre
00:09:52.529 --> 00:09:57.470
Pandemiekonzept ausgegraben und gesagt: Oh
shit, wir müssen reagieren. Nachzügler im
00:09:57.470 --> 00:10:01.520
Februar und diejenigen, die so nicht
richtig davon mitbekommen haben, dann so
00:10:01.520 --> 00:10:06.339
März, April. Aber das Wichtigste wurde
eigentlich zeitnah realisiert. Es gab kaum
00:10:06.339 --> 00:10:10.990
bekannt gewordene wesentliche Ausfälle,
aber die Herausforderung war zum Beispiel
00:10:10.990 --> 00:10:15.870
Ausfall systemrelevanten Personals zum
Betrieb der kritischen Anlagen Kategorie,
00:10:15.870 --> 00:10:20.160
damit die Versorgungsleistungen bei der
Bevölkerung ankommt. Ich kann kein
00:10:20.160 --> 00:10:26.740
Frischwassergewinnungswerk betreiben, also
ein riesengroßen Pumpensteuerungsanlagen,
00:10:26.740 --> 00:10:32.110
Labore, um den Wasserreinheitsgehalt
aufrechtzuerhalten. Trinkwasser hat eine
00:10:32.110 --> 00:10:36.770
sehr sehr hohe Anforderungen an die
Trinkwasserqualität. Die ist deutlich
00:10:36.770 --> 00:10:41.589
höher als bei in Flaschen abgefülltem
Zeugs beispielsweise. Und die Szenarien
00:10:41.589 --> 00:10:47.519
sind also, was war zu dem Zeitpunkt so das
Szenario? Anreise der Mitarbeitenden vom
00:10:47.519 --> 00:10:52.291
privaten Wohnsitz. Wie kriegen wir das
geregelt? Da waren ja teilweise Busse und
00:10:52.291 --> 00:10:56.529
Bahnen außer Betrieb oder durfte kaum
jemand fahren. Wie auch immer. Ja, wenn
00:10:56.529 --> 00:11:00.689
die Fahrgemeinschaften machen war auch
wieder eine Infektionsrisiko. Kontakt zu
00:11:00.689 --> 00:11:04.730
anderen Personen. Die gehen nach Hause und
haben dann Kontakt mit Familie, Verkäufer
00:11:04.730 --> 00:11:11.550
etc. pp. Und die Exposition gegenüber
einer Infektion mit COVID-19 war natürlich
00:11:11.550 --> 00:11:16.779
jederzeit gegeben. Kriegen wir das
geregelt? Und die Auswirkungen dieser
00:11:16.779 --> 00:11:20.529
Szenarien und Herausforderungen war dann
eben Ausfall der Mitarbeitenden aufgrund
00:11:20.529 --> 00:11:23.660
einer Infektion und eben erhöhtes
Ansteckungsrisiko innerhalb der
00:11:23.660 --> 00:11:28.760
Belegschaft. Da war also die Frage wie
können wir da gegensteuern? Die haben
00:11:28.760 --> 00:11:33.769
natürlich Pandemiekonzepte. Manche wurden
auch noch mal spontan überarbeitet oder,
00:11:33.769 --> 00:11:38.240
ups, wir müssen noch mal den Staub
wegwischen und mal aktualisieren. Aber
00:11:38.240 --> 00:11:42.290
viele hatten schon laufende Konstrukte.
Muss man fairerweise auch sagen. So
00:11:42.290 --> 00:11:45.170
schlimm sieht es nicht aus. Aber die
Herausforderung war auf jeden Fall
00:11:45.170 --> 00:11:50.389
gegeben. Wie sahen die Lösungen aus? Wenn
du zum Beispiel so ein Leitstand in einem
00:11:50.389 --> 00:11:54.619
Kraftwerk hast oder ein Leitstand in 'nem
Wasserwerk, muss du eben schauen, dass du
00:11:54.619 --> 00:11:59.769
das systemrelevante Betriebsteam isoliert.
Das heißt du nimmst Leute, die den
00:11:59.769 --> 00:12:03.879
Leitstand besetzen, aber auch zum Beispiel
nen Elektriker. Wenn mal 'ne Kleinigkeit
00:12:03.879 --> 00:12:07.270
ist, muss er das schrauben und machen und
tun. Und den hast du natürlich mit vor Ort
00:12:07.270 --> 00:12:13.110
im Team. Und ja, die brauchen natürlich
Bereitstellung von Unterkünften am
00:12:13.110 --> 00:12:17.550
Arbeitsplatz, weil die wurden isoliert.
Isoliert heißt wirklich abgetrennt. Die
00:12:17.550 --> 00:12:22.769
haben also am Arbeitsplatz
Schlafmöglichkeiten und Aufenthaltsräume
00:12:22.769 --> 00:12:27.230
bereitgestellt oder eben aktiviert. So wie
das Pandemiekonzept das vorsieht.
00:12:27.230 --> 00:12:32.430
Teilweise haben die die dann, also nicht
teilweise, die allermeisten haben sie
00:12:32.430 --> 00:12:36.259
eigentlich freiwillig gefragt. Hier habt
ihr da Lust, Zeit und Nerv zu? Wollt ihr
00:12:36.259 --> 00:12:39.649
euch freiwillig sechs Wochen oder vier
Wochen oder wie der Zyklus bei denen eben
00:12:39.649 --> 00:12:45.639
ist, in eine Isolation begeben? Ihr kriegt
dann extra für und die Bevölkerung wird
00:12:45.639 --> 00:12:50.519
euch lieben. Ihr dürft natürlich auch
Kontakt zu der Familie halten etc. Aber
00:12:50.519 --> 00:12:56.019
nur remote wird alles aufgeschaltet. Kein
Thema. Aber eben auch wir stellen euch
00:12:56.019 --> 00:12:58.680
Schlafmöglichkeiten, Aufenthaltsräume
bereit. Was man noch berücksichtigen
00:12:58.680 --> 00:13:02.850
musste waren dann Dinge des täglichen
Bedarfs: Waschmaschine aufstellen,
00:13:02.850 --> 00:13:07.829
Waschmittel, jede Menge Nahrungsmittel
verpacktes wie auch, und natürlich bis zu
00:13:07.829 --> 00:13:12.769
einem gewissen Grad, frisches über eine
Sicherheitsschleuse sozusagen
00:13:12.769 --> 00:13:18.689
Vereinzelungsschleusern der Form, dass man
Nachschub sozusagen da rein stellt, eine
00:13:18.689 --> 00:13:23.110
Weile wartet und versucht das ummantelt zu
haben, desinfizieren und dann eben ziehen
00:13:23.110 --> 00:13:27.180
die das da rein, packen alles aus,
versuchen auch noch mal zu warten und
00:13:27.180 --> 00:13:31.809
alles zu desinfizieren und dann eben die
Sachen einzubringen. Und da wurde dann
00:13:31.809 --> 00:13:35.930
beispielsweise eben auch Trinkwasser
reingebracht, wenn man nicht fließend
00:13:35.930 --> 00:13:42.249
Wasser da sowieso hatte. Ja auch so was
wie Tee oder Kaffee, Kaffee, schwarz, heiß
00:13:42.249 --> 00:13:47.559
und schön lecker Junge, wird also alles,
was man im täglichen Bedarf braucht, in
00:13:47.559 --> 00:13:51.590
der Isolation eben vorbereitet und über
die Schleuse dann die Weiterversorgung
00:13:51.590 --> 00:13:56.250
sichergestellt. Und, was sie auch
sicherstellen mussten, psychologische
00:13:56.250 --> 00:14:01.399
Fürsorge durch Beschäftigungsmöglichkeiten
und psychologische Betreuung. Denn
00:14:01.399 --> 00:14:06.699
Isolation, so vier oder sechs Wochen immer
dieselben Leute, ist natürlich auch hart.
00:14:06.699 --> 00:14:12.759
Draußen ist die Familie in dieser unklaren
Situation. Wir denken mal zurück. März,
00:14:12.759 --> 00:14:18.499
April, Mai, letztes Jahr. Keiner wusste so
richtig, was passiert. Was wird. Es kamen
00:14:18.499 --> 00:14:21.019
fast täglich neue Studien. Die
Wissenschaftler haben neue Erkenntnisse
00:14:21.019 --> 00:14:25.129
gehabt. Die Politik hat gesagt hü, hott,
nein, ja, doch, vielleicht, wir schauen
00:14:25.129 --> 00:14:29.809
mal, dinge aus Gründen. In der Situation
dann zu sagen Ich lass meine Familie im
00:14:29.809 --> 00:14:33.560
Stich und gehe jetzt sozusagen die
Bevölkerung retten ist natürlich auch
00:14:33.560 --> 00:14:37.779
psychologisch sehr viel Druck und da gab
es dann entsprechend auch Fürsorge, bei
00:14:37.779 --> 00:14:42.999
denen wo es notwendig war oder die wurde
generell bereitgestellt. Es gibt natürlich
00:14:42.999 --> 00:14:48.129
auch immer Einzelfälle, wo das vergessen
wurde oder nicht ordentlich betrachtet
00:14:48.129 --> 00:14:52.970
wurde. Es gibt auch viele Einzelfälle,
wenn man jetzt mal in die Krankenhäuser
00:14:52.970 --> 00:14:57.649
und Pflegeheime schaut. Der Sektor
Gesundheit, da hat ja die Politik nicht
00:14:57.649 --> 00:15:03.509
gerade mit Glanz und Ruhm gehandelt. Wir
erinnern uns noch an 20 Uhr gehen wir
00:15:03.509 --> 00:15:08.370
auf'n Balkon und klatschen mal 'ne Runde.
Aber wenn Tarifverhandlungen waren, hat
00:15:08.370 --> 00:15:12.809
das Bundesgesundheitsministerium gesagt:
Nö, Tarifeupgrade gibt's nicht, es gibt
00:15:12.809 --> 00:15:18.319
eine Einmalzahlung, aber mehr Geld? Nö.
Ist natürlich auch psychologischer Druck,
00:15:18.319 --> 00:15:23.059
der nicht unbedingt dafür sorgt, dass man
sagt: Hey, ich hab diesen Beruf aus Herzen
00:15:23.059 --> 00:15:28.810
gewählt und jetzt mach ich das auch. Also
all das kommt zusammen. Es ist
00:15:28.810 --> 00:15:32.639
systemrelevant, das Personal, es wurden
Maßnahmen getroffen, damit man eben den
00:15:32.639 --> 00:15:36.499
Ausfall kompensiert. Teilweise haben es
ganz große
00:15:36.499 --> 00:15:39.729
Betreiber, jetzt Atomkraftwerk,
Leitstand oder so auch
00:15:39.729 --> 00:15:41.809
durchaus so geregelt, dass
sie gesagt haben, wir haben
00:15:41.809 --> 00:15:49.119
ein Betriebsteam vor Ort. Wir haben ein
weiteres unabhängig isoliert an einer
00:15:49.119 --> 00:15:54.559
anderen Station oder in separaten
Räumlichkeiten, sodass also wenn dieses
00:15:54.559 --> 00:15:58.759
Betriebsteam warum auch immer eine COVID-
Infektion eingeschleust bekommt und wir
00:15:58.759 --> 00:16:04.389
das nicht verhindern konnten, kann es ja
sein, dass sie alle komplett ausfallen und
00:16:04.389 --> 00:16:08.080
dann müssen wir eben ein zweites Team
ready haben und manche hatten sogar ein
00:16:08.080 --> 00:16:13.110
drittes Team hot-spare, also das wirklich
dann im Worst Case zwei komplette
00:16:13.110 --> 00:16:17.239
systemrelevante Betriebsteams ausfallen
konnten und ein Drittes noch da war, um
00:16:17.239 --> 00:16:21.610
den Betrieb sicherzustellen. Und das alles
ist weitestgehend transparent im
00:16:21.610 --> 00:16:25.039
Hintergrund passiert und kaum in den
Medien oder in der Presse gewesen. Hier
00:16:25.039 --> 00:16:29.420
und da mal so ein bisschen, Stadtwerke in
Wien oder so hatten da mal ein Bericht zu
00:16:29.420 --> 00:16:33.649
gemacht. Also man kann da ein bisschen zu
recherchieren, aber im Wesentlichen machen
00:16:33.649 --> 00:16:36.219
die schon seit vielen Jahren immer ihren
00:16:36.219 --> 00:16:40.259
Dienst im Hintergrund und das fällt
dann auch nicht so auf.
00:16:40.259 --> 00:16:43.390
Deswegen hier noch mal
ein dickes, fettes Danke an alle
00:16:43.390 --> 00:16:47.670
systemrelevanten Personen, die sich in
Isolation begeben haben, die trotz dieser
00:16:47.670 --> 00:16:51.990
Krisenlage permanent ihren Schichtdienst
aufrecht halten und kümmern und machen und
00:16:51.990 --> 00:16:58.509
tun. Das ist wirklich ein dickes, fettes
Dankeschön wert. Und ich verneige mich und
00:16:58.509 --> 00:17:04.540
geb mein Respekt an all diese Personen.
Joa, zweite Herausforderung, wat hab wer
00:17:04.540 --> 00:17:07.929
denn noch? Wir haben ja gerade schon
gesagt Frischwasser, wat frisch reinkommt,
00:17:07.929 --> 00:17:13.469
muss auch hässlich wieder weg. Alles
Kacke, ne? Abwasserentsorgung, so. Wat ham
00:17:13.469 --> 00:17:15.179
wir gehabt? Wir haben die
Herausforderung gehabt,
00:17:15.179 --> 00:17:16.854
die Leute hamstern Toilettenpapier
auch nicht so auf.
00:17:16.854 --> 00:17:22.259
Es gibt temporär Mangel
an Toilettenpapier. Die Endverbraucher-
00:17:22.259 --> 00:17:26.500
Toilettenpapier waren dann sozusagen nicht
mehr da, aber die Industrieprodukte waren
00:17:26.500 --> 00:17:30.779
da. Das heißt, wenn ich so große Rollen
habe, die ich in der Industrie fertige und
00:17:30.779 --> 00:17:35.870
dann auch in den Produktionshallen habe,
aber so kleine Rollen, die für zu Hause
00:17:35.870 --> 00:17:40.390
sind sozusagen, und sich plötzlich alles
von Industrie und Produktion und
00:17:40.390 --> 00:17:46.080
Wirtschaft in Richtung Homeoffice
verschiebt, oder Lockdown anfangs, dann
00:17:46.080 --> 00:17:50.500
kann ich natürlich nicht Produkt A mit
Produkt B mal eben austauschen, weil die
00:17:50.500 --> 00:17:54.549
Produktionsstraßen und die Fertigung eine
ganz andere sind. Und das hat dann
00:17:54.549 --> 00:17:58.530
tatsächlich zu diesem, inklusive dem
Hamstern dazu geführt, dass es einen
00:17:58.530 --> 00:18:03.290
Engpass gab, temporär. Und ja, auch die
Logistik war natürlich eine
00:18:03.290 --> 00:18:08.120
Herausforderung, weil die großen Rollen
anders verpackt in viel größeren, also
00:18:08.120 --> 00:18:11.350
palettenweise normalerweise wie ein
Produkt, das ist halt 'ne Palette mit
00:18:11.350 --> 00:18:16.861
einzeln abgepackten, so Achter- oder
Sechserpacks oder 10er Packs. Und so war
00:18:16.861 --> 00:18:21.460
also auch das eine Herausforderung, wie
man das logistisch meistert. Die
00:18:21.460 --> 00:18:25.180
Verwendung von Alternativen wurde dann
teilweise als Herausforderung angegangen.
00:18:25.180 --> 00:18:31.610
Dann nehm ich halt Küchentücher,
Taschentücher, Feuchttücher. Kann aber
00:18:31.610 --> 00:18:36.390
auch eine Herausforderung werden, denn die
Dinger sind reißfest im Gegenzug zu
00:18:36.390 --> 00:18:42.309
Toilettenpapier, was sich auflöst. Das
heißt, wir reden von Fremdkörpern im
00:18:42.309 --> 00:18:47.520
Abwasser und das beeinträchtigt dann eben
das Klärwerk durch verstopfte Pumpen,
00:18:47.520 --> 00:18:49.420
teilweise, oder eben durch eine
höhere
00:18:49.420 --> 00:18:51.790
Frequenz der Rechenreinigung.
Wenn du die Rechenreinigung
00:18:51.790 --> 00:18:54.580
mit einer höheren Frequenz
versehen muss, muss auch die
00:18:54.580 --> 00:18:57.980
Abfallentsorgung mit einer höheren
Frequenz versehen. In einem Zeitraum, wo
00:18:57.980 --> 00:19:03.640
selbst die LKW-Fahrer, die dann den
Abtransport regeln oder auch die
00:19:03.640 --> 00:19:09.360
Müllkippen sozusagen dann teilweise im
Lockdown waren, oder in Notdienst
00:19:09.360 --> 00:19:14.060
sozusagen. Ja, wie sah die Lösung aus?
Für den Teil Hamstern von
00:19:14.060 --> 00:19:17.560
Toilettenpapier und Mangel gab
es so eine Art Eigenregulierung
00:19:17.560 --> 00:19:19.529
durch den Einzelhandel und die Produktion.
00:19:19.529 --> 00:19:22.760
Ganz spannend. Es gab so Begrenzung der
Vergabe von Toilettenpapier, um die
00:19:22.760 --> 00:19:26.029
breitere Masse zu versorgen und
Selbstregulierung durch die Umstellung der
00:19:26.029 --> 00:19:30.599
Produktion. War also teilweise so
Dinge gegeben wie jeder darf nur ein
00:19:30.599 --> 00:19:37.100
Toilettenpapierset kaufen oder das erste
kostet 3.99, jedes weitere 15 Euro, wenn
00:19:37.100 --> 00:19:41.140
man halt mehrere kauft, damit die Leute
einfach sagen Okay, ich bin jetzt, ich
00:19:41.140 --> 00:19:46.769
hamster nicht, sondern geh mal freundlich
mit allen anderen um. Ja, Verwendung von
00:19:46.769 --> 00:19:50.890
Alternativen oder Beeinträchtigung der
Klärwerke war eben das Problem, dass diese
00:19:50.890 --> 00:19:55.549
Alternativen wie gesagt alles verstopfen
können. Die Alternativen, die so von den
00:19:55.549 --> 00:19:59.250
Klärwerkbetreibern kommuniziert wurden,
waren dann sowas wie Bidets, mobile
00:19:59.250 --> 00:20:04.980
Bidets, gibt es auch, so kleine Spritz-
Drück-Pumpen sozusagen quasi. Waschlappen
00:20:04.980 --> 00:20:10.100
oder Duschen, so dass man da also auch
versucht hat, die Leute davon abzubringen,
00:20:10.100 --> 00:20:16.000
Feststoffe in die Kanalisation
einzuführen. Das ist wahrscheinlich
00:20:16.000 --> 00:20:19.580
weitestgehend intransparent für euch
geschehen, denn wenige von euch haben
00:20:19.580 --> 00:20:23.260
wahrscheinlich diese Aufrufe gehört. Ich
habe es auch versucht zu fördern mit den
00:20:23.260 --> 00:20:29.460
Abwasser- und Klärwerk-Anlagenbetreiber.
Wie so viele in diesen Bereichen. Aber das
00:20:29.460 --> 00:20:33.621
ist natürlich keine große Ausstrahlung.
Dann haben wir so Herausforderung gehabt
00:20:33.621 --> 00:20:38.460
wie wenn du dein Rechenzentrum im
Quarantänegebiet betreibst und das
00:20:38.460 --> 00:20:41.520
Rechenzentrum dann aufgrund landesweiter
Ausgangsbeschränkungen nicht so wirklich
00:20:41.520 --> 00:20:45.559
sinnvoll erreichen kannst, tja, wie kommen
dann die systemrelevanten Mitarbeiter
00:20:45.559 --> 00:20:50.169
dahin? Man muss also erst mal klären,
Kontaktaufnahme mit dem zuständigen
00:20:50.169 --> 00:20:54.139
Gesundheitsamt zur Aufstellung von
Ausnahmegenehmigungen. Das muss vorher
00:20:54.139 --> 00:20:57.850
geklärt werden. Man muss wissen, welches
Gesundheitsamt zuständig ist. Zu dem
00:20:57.850 --> 00:21:02.029
Zeitpunkt war denen auch noch nicht ganz
klar, wofür die wann wie zuständig sind
00:21:02.029 --> 00:21:08.519
und wie man die Ausnahmegenehmigungen
ausstellt etc. Ich beispielsweise habe von
00:21:08.519 --> 00:21:12.799
meinem Arbeitgeber eine
Ausnahmegenehmigung erhalten, weil ich
00:21:12.799 --> 00:21:17.100
eben Dienstleistungen für den Betrieb
kritischer Infrastrukturen sicherstelle,
00:21:17.100 --> 00:21:21.850
sodass also wenn ich zu einem Kunden oder
ins Büro musste, was übrigens sehr, sehr
00:21:21.850 --> 00:21:27.929
selten war. Seit Anfang Februar habe ich
dann trotzdem die Möglichkeit gehabt,
00:21:27.929 --> 00:21:31.130
diesen Beleg mit meinem Personalausweis im
Portemonnaie gehabt und hätte das
00:21:31.130 --> 00:21:35.899
vorzeigen können. Das war also das eine.
Das andere ist halt eine Implementierung
00:21:35.899 --> 00:21:39.990
Journal-basierte asynchroner Replikation
über weite Entfernungen, so dass man also
00:21:39.990 --> 00:21:46.350
eine redundante Datenhalde in einer nicht
Quarantänezone hat, idealerweise. Aber
00:21:46.350 --> 00:21:49.970
wenn halt weltweite Pandemie ist, dann ist
das auch kein Garant, dass nicht alle
00:21:49.970 --> 00:21:53.730
redundanten Bereiche vielleicht einer
Ausgangsbeschränkung unterliegen. Also es
00:21:53.730 --> 00:21:57.860
war auch manchmal eine Herausforderung, da
von den Gesundheitsämtern irgendwie die
00:21:57.860 --> 00:22:03.980
Hilfe zu bekommen, aber in der Regel ging
es relativ fluffig. Ansonsten konnten eben
00:22:03.980 --> 00:22:09.540
diverse Leute wie ich oder alle Kollegen,
die ganzen anderen Mitbewerber auch
00:22:09.540 --> 00:22:12.720
durchaus unter die Arme greifen und sagen
Leute ihr müsst da und da hin, kümmert
00:22:12.720 --> 00:22:17.121
euch um den und den Beleg, hier ist ein
Template. Das ist der Text, machen, ja
00:22:17.121 --> 00:22:22.429
machen. Zeit ist irgendwie kritisch. Ja,
dann haben wir noch gehabt,
00:22:22.429 --> 00:22:26.510
Einschränkungen im Einzelhandel. Wir haben
ja jetzt schon das Klopapier besprochen.
00:22:26.510 --> 00:22:32.730
Jetzt kommen wir mal zu den Nudels.
Logistik. Lagerkapazitäten und die
00:22:32.730 --> 00:22:38.120
Produktion der Ware waren gewährleistet,
sind dann aber in Verzögerung gekommen,
00:22:38.120 --> 00:22:43.530
weil natürlich diese Supply Chain und das
Just in Time Delivery nicht mehr so ganz
00:22:43.530 --> 00:22:47.410
funktioniert hat und dann sind die
Lagerkapazitäten auch bedroht gewesen
00:22:47.410 --> 00:22:53.049
dadurch, dass es Grenzkontrollen gab für
den Warentransport. Es gab ja teilweise
00:22:53.049 --> 00:22:59.070
Berichte, wo an der Grenze Polen nach
Deutschland 60 km LKW-Stau war und die
00:22:59.070 --> 00:23:02.549
Leute tagelang da festhingen und versorgt
werden mussten, damit sie nach Deutschland
00:23:02.549 --> 00:23:09.309
reinkommen. Quelle vie an der Stelle, LKW-
Fahrer, die dann eingereist sind mussten
00:23:09.309 --> 00:23:13.710
teilweise eine Zeit lang 14 Tage in
Quarantäne sitzen, um dann wieder ins
00:23:13.710 --> 00:23:17.932
Ausland zurück zu fahren oder sind sogar
hier erkrankt und umgekehrt, sind ins
00:23:17.932 --> 00:23:22.399
Ausland gefahren, mussten da 14 Tage in
Quarantäne bleiben oder sind da erkrankt.
00:23:22.399 --> 00:23:26.380
Heißt, es gab natürlich auch da
schwerwiegende ernste Fälle, aber es gab
00:23:26.380 --> 00:23:31.429
eben auch die 14-tägige Frist, so dass die
natürlich nicht den Umschlag ruckzuck
00:23:31.429 --> 00:23:36.169
machen konnten, und zack haste ein Defizit
an Fahrern und damit auch nicht mehr die
00:23:36.169 --> 00:23:40.600
passende Lagerkapazität, weil einfach der
Transport nicht sichergestellt werden
00:23:40.600 --> 00:23:47.650
konnte. Ja, die haben Hamsterkäufe haben
natürlich den Warenbedarf erhöht.
00:23:47.650 --> 00:23:52.759
Temporärer Mangel wurde damit entsprechend
gefördert. Wie hat man dem gegengesteuert?
00:23:52.759 --> 00:23:58.330
Beispielsweise hat Aldi die damals gesagt:
So, dieses Nudeldefizit geht ja mal gar
00:23:58.330 --> 00:24:04.559
nicht. Wir müssen den Warentransport
irgendwie umschlagen auf Schienenverkehr
00:24:04.559 --> 00:24:08.890
und haben mit DB Schenker kurzfristig,
kann man auf 'nem Bericht irgendwo lesen,
00:24:08.890 --> 00:24:14.029
haben die gesagt Okay, dann machen wir
jetzt nicht mehr LKW-Fahrerei, sondern
00:24:14.029 --> 00:24:19.159
holen uns über DB Schenker, so 60 Tonnen
oder wie viel auch immer Nudeln aus
00:24:19.159 --> 00:24:22.919
Italien hier rein und dann gibt es auch
kein Defizit mehr. Das hat dann natürlich
00:24:22.919 --> 00:24:27.300
eine Weile gedauert. Wenn man das mal eben
umstellt. Man braucht regulatorische
00:24:27.300 --> 00:24:31.259
Abkommen zwischen diesen jeweiligen
Handelspartnern. Man muss die bestehenden
00:24:31.259 --> 00:24:35.389
Verträge außer Kraft setzen, neue Verträge
kurzfristig machen. Die Bereitschaft von
00:24:35.389 --> 00:24:40.570
DB Schenker und die Kapazität muss da
sein. Man musste dann auch gucken, jetzt
00:24:40.570 --> 00:24:44.880
hat man nicht die übliche Anlieferung an
den Lagerraum, sondern über den
00:24:44.880 --> 00:24:48.690
Schienenverkehr bis zu einem bestimmten
Schienenendpunkt und von da aus musste man
00:24:48.690 --> 00:24:52.299
logistisch noch weiter ziehen etc. pp. So
also einen Riesenaufwand, der einen
00:24:52.299 --> 00:24:57.120
Rattenschwanz daherkommt, um dieses Supply
Chain aufrechtzuerhalten. Aber am Ende hat
00:24:57.120 --> 00:25:00.889
es funktioniert. Wir konnten alle wieder
Klopapier und Nudeln sozusagen benutzen
00:25:00.889 --> 00:25:07.230
und verwenden und Essen und Trallala. Also
der Güterfluss wurde sozusagen über diese
00:25:07.230 --> 00:25:13.240
Ebenen dann auch wieder zügig etabliert.
Ja, dann hatten wir noch Einschränkungen
00:25:13.240 --> 00:25:16.980
der Siedlungsabfallentsorgung. Ich habe ja
gerade schon erwähnt, Klärwerke hatten
00:25:16.980 --> 00:25:21.630
Defizite bei der Abfallentsorgung, aber
Siedlungsabfallentsorgung natürlich auch.
00:25:21.630 --> 00:25:26.260
Also alles was wir so privat an Müll
generieren. Wichtig an der Stelle
00:25:26.260 --> 00:25:30.880
Siedlungsabfallentsorgung ist derzeit
keine kritische Infrastruktur im Sinne des
00:25:30.880 --> 00:25:36.139
BSI Gesetzes, IT-Sicherheitsgesetzes, aber
der Ausfall hat weitreichende Folgen für
00:25:36.139 --> 00:25:41.270
Gesundheit und Umwelt. Also Umweltschäden
als auch Gesundheitliches. Es kann sogar
00:25:41.270 --> 00:25:46.370
eine Pandemie fördern. Herausforderung
war: Es gab eine Einstellung des Betriebs
00:25:46.370 --> 00:25:51.070
von Wertstoffhöfen inklusive der Sammlung
von Sonderabfällen. Aber es gab eben auch
00:25:51.070 --> 00:25:54.330
eine verringerte Abholfrequenz, weil die
natürlich aufgrund eingeschränkter
00:25:54.330 --> 00:25:58.090
Verfügbarkeit der Mitarbeiterinnen auch
ein Defizit hatten zu sagen Okay, wir
00:25:58.090 --> 00:26:03.590
kennen den Regelzyklus nicht einhalten.
Wie kriegen wir das jetzt bewerkstelligt?
00:26:03.590 --> 00:26:07.630
Dafür gab es halt auch ein paar
Lösungsideen. Das BMI hat langfristig zum
00:26:07.630 --> 00:26:09.840
Beispiel vorgeschlagen,
Siedlungsabfallentsorgung als kritische
00:26:09.840 --> 00:26:14.520
Infrastruktur aufzunehmen. Das heißt, im
Entwurf des IT-Sicherheitsgesetz 2.0 wurde
00:26:14.520 --> 00:26:24.010
Siedlungsabfallentsorgung sozusagen dann
jetzt als KRITIS mit aufgenommen. Und die
00:26:24.010 --> 00:26:29.440
Lösung zum Umgang mit den Abfällen war
auch so, man hat natürlich auch erheblich
00:26:29.440 --> 00:26:34.059
Gefahr, dass man Kontakt mit dem
Coronavirus hat, das heißt die Entsorgung
00:26:34.059 --> 00:26:37.960
von Abfällen und die Kontakt mit dem
Coronavirus hatten nur in die
00:26:37.960 --> 00:26:42.470
Restmülltonne, weil das ganze wird mit
einer höheren Verbrennungtemperatur
00:26:42.470 --> 00:26:46.539
vernichtet und Deklaration von Abfällen
aus Krankenhäusern, die Coronafälle
00:26:46.539 --> 00:26:51.450
behandeln, als gefährlicher Abfall. Heißt
Erfordernis von reisfesten,
00:26:51.450 --> 00:26:55.149
feuchtigkeitsbeständigen und dichten
Behältnissen, damit natürlich keine
00:26:55.149 --> 00:26:59.539
Gefahrengüter sozusagen da irgendwie
auslaufen oder so, und die Mitarbeiter
00:26:59.539 --> 00:27:04.240
infizieren, und Transport nach dem
Gefahrgutrecht. Also das alles ist sehr
00:27:04.240 --> 00:27:08.830
aufwendig und teuer, aber sowas hat man
beispielsweise auch in der
00:27:08.830 --> 00:27:10.780
Abfallentsorgung bei der
Siedlungsabfallentsorgung in Teilen auch
00:27:10.780 --> 00:27:15.539
gemacht. Man hat die Bevölkerung dazu
aufgerufen, muss aber ehrlich sein, nicht
00:27:15.539 --> 00:27:19.530
viele, oder viele haben es nicht
mitbekommen oder gesagt, na ja, ich
00:27:19.530 --> 00:27:22.289
sortiere immer noch meinen Abfall
ordentlich und mach jetzt nicht alles, was
00:27:22.289 --> 00:27:26.270
vielleicht Kontakt gehabt haben könnte in
die Restmülltonne. Wenn man Vorfall in der
00:27:26.270 --> 00:27:29.450
Familie hat, denkt man erst mal an die
Familienmitglieder logischerweise und
00:27:29.450 --> 00:27:33.279
nicht daran, ob ich den Abfall richtig
sortiere. Aber trotzdem ein wichtiger
00:27:33.279 --> 00:27:39.970
Punkt. Ja, und IT-Systeme von
Krankenhäusern, Ransomware-Angriffe auf
00:27:39.970 --> 00:27:44.229
Krankenhäuser gab es beispielsweise und
gibt es immer noch, auch aktuell. Vielen
00:27:44.229 --> 00:27:49.519
Dank noch mal an die Kollegen der Incident
Response und Forensik, die gerade alle im
00:27:49.519 --> 00:27:54.880
Einsatz sind in der Osterzeit, um
Krankenhäuser, Arztpraxen, Dialysezentren,
00:27:54.880 --> 00:27:58.700
Pflegeheime und sonst was alles aufrecht
zu erhalten, die gerade kompromittiert
00:27:58.700 --> 00:28:02.380
wurden und erpresst werden. Es gibt
dadurch aber eingeschränkte
00:28:02.380 --> 00:28:05.760
Netzwerkkommunikation,
Systemverschlüsselungen und eben
00:28:05.760 --> 00:28:08.269
Integritätsverlust der Daten
und das bedeutet
00:28:08.269 --> 00:28:10.379
erhebliche Einschränkungen
im Krankenhausbetrieb.
00:28:10.379 --> 00:28:12.779
Wir haben über Corona
sowieso schon eine Verschiebung von
00:28:12.779 --> 00:28:17.620
Operationen oder das Verlegen von
Patienten bei einer Ransomwareattacke
00:28:17.620 --> 00:28:21.840
teilweise dann auch. Es gibt fehlende
Informationen zu Patienten und es gibt
00:28:21.840 --> 00:28:26.090
Einschränkungen der Laborkapazitäten. Also
das alles ist auch noch mal ein
00:28:26.090 --> 00:28:30.970
Problemverstärker und die World Health
Organization oder eben auch Coronavirus
00:28:30.970 --> 00:28:34.769
Testzentrum in Tschechien beispielsweise
wurden erfolgreich angegriffen letztes
00:28:34.769 --> 00:28:40.020
Jahr. Das alles ist also auch noch mal die
Herausforderung, sozusagen eine Krise in
00:28:40.020 --> 00:28:43.750
der Krise. Ja, wir haben die Krise,
Pandemie und dann kommt noch eine
00:28:43.750 --> 00:28:48.060
Ransomware als Krise dazu. Also wenn eine
Krise schon scheiße ist. Ganz ehrlich,
00:28:48.060 --> 00:28:54.260
eine Krise in der Krise ist so richtig
übel. Wie geht man da vor? Konsequente
00:28:54.260 --> 00:28:59.320
Umsetzung der IT-Sicherheit. Orientieren
am B3S, am branchenspezifischen
00:28:59.320 --> 00:29:02.708
Sicherheitsstandard für die
Gesundheitsversorgung im Krankenhaus. Das
00:29:02.708 --> 00:29:09.799
gibt's, kann man umsetzen. Es gibt nen
OZG, ne, KZG, Krankenhauszukunftsgesetz,
00:29:09.799 --> 00:29:16.330
wo auch Gelder für IT-Sicherheit endlich
bereitstellen, die bereitgestellt wurden,
00:29:16.330 --> 00:29:20.659
die jahrelang verzögert und aufgestaut
wurden. Man kann sich natürlich all die
00:29:20.659 --> 00:29:26.139
Sicherheitsfirmen als Unterstützung dazu
holen, nämlich Incident Response Forensik.
00:29:26.139 --> 00:29:29.299
Teilweise haben die auch auch
Dienstleister, weil sie eine
00:29:29.299 --> 00:29:33.450
Cyberversicherung haben und diesen waren
ausgerückt und machen da die Bekämpfung
00:29:33.450 --> 00:29:38.300
der sich als Sicherheitsvorfälle und die
Inbetriebnahme wieder dieser ja manchmal
00:29:38.300 --> 00:29:43.580
skurrilen Infrastruktur mit Windows 95
oder mit proprietären Klartextprotokollen
00:29:43.580 --> 00:29:49.570
etc. pp. Ja, sie brauchen natürlich einen
Notfall- und Krisenmanagement, was die
00:29:49.570 --> 00:29:54.889
Gleichzeitigkeit von Krisenereignissen
auch entsprechend managt und behandelt,
00:29:54.889 --> 00:29:58.440
was was eben dann auch noch mal zu
berücksichtigen ist. Das sind alles
00:29:58.440 --> 00:30:04.250
Punkte, die ja zur Lösung helfen können,
dass man eben nicht durch Ransomware
00:30:04.250 --> 00:30:09.499
angegriffen wird. So, damit bin ich im
Wesentlichen durch. Noch mal
00:30:09.499 --> 00:30:15.379
Schleichwerbung für den vorhin erwähnten
von der DiVOC ppt im September letztes
00:30:15.379 --> 00:30:19.960
Jahr Vortrag. Wer da nochmal reinhören
will, die Erlebnisse eines KRITIS-Prüfers,
00:30:19.960 --> 00:30:24.519
unabhängig von einer Pandemie, der sei auf
diesen Link oder auf diesen Vortrag
00:30:24.519 --> 00:30:29.159
verwiesen. Da habe ich noch mal ein
bisschen zusammen erklärt, wie kreativ die
00:30:29.159 --> 00:30:34.650
eigentlich umgehen, um seriös und
dauerhaft sicherzustellen, dass die
00:30:34.650 --> 00:30:40.570
Versorgungsleistung kein Engpass und
keinen Ausfall hat. Ja, und damit würde
00:30:40.570 --> 00:30:55.289
ich sagen vielen lieben Dank. Und kommen
wir zurück zu Pupe. Noch hör ich nix.
00:30:55.289 --> 00:31:03.059
Engel: Ja, das ist dieser Taste, die ist
manchmal KRITIS. Gerade in Telkos. lachen
00:31:03.059 --> 00:31:06.820
HonkHase: Ja, manchmal ist mein Ohr auch
KRITIS, deswegen passt schon.
00:31:06.820 --> 00:31:11.080
Engel: Ja dann Applaus. Applaus, Applaus.
Vorhin hast du es vielleicht nur gesehen.
00:31:11.080 --> 00:31:15.809
Herzlichen Dank für den Vortrag. So
langsam sind's ja immer so ein Modul nach
00:31:15.809 --> 00:31:18.789
dem nächsten und ich bin dann gespannt,
was dein nächster Vortrag zu dem Thema
00:31:18.789 --> 00:31:22.039
sein wird. Vielleicht ist das ja dann
irgendwann mal so eine Lehrreihe,
00:31:22.039 --> 00:31:26.330
irgendwie alles über media.ccc.de nutzbar
und das wird dann vielleicht auch noch
00:31:26.330 --> 00:31:30.619
irgendwann richtig schön gefördert. Aber
erst mal kommen wir zu den Fragen und den
00:31:30.619 --> 00:31:34.910
Kommentaren, welche mich über das Pad
erreicht haben. Der Link zum Pad ist ja
00:31:34.910 --> 00:31:38.870
sozusagen im Programm zu finden und da
könnt ihr sogar jetzt noch in Echtzeit
00:31:38.870 --> 00:31:43.620
Dinge reinschreiben. Ich sehe die dann
sozusagen direkt. Ja und während ich das
00:31:43.620 --> 00:31:49.190
sage, kommt hier sogar 'ne neue Frage.
F: Was ist mit der Heizungsinfrastruktur?
00:31:49.190 --> 00:31:55.809
Gehört die nicht zu KRITIS?
A: Also Fernwärmeversorgung ja die
00:31:55.809 --> 00:32:00.559
Fernwärmerohrleitungen, aber die
Heizungsinfrastruktur ich würde jetzt mal
00:32:00.559 --> 00:32:06.039
interpretieren, dass das die vom Gebäude
ist oder so, das ist der Endnutzer selbst
00:32:06.039 --> 00:32:09.211
und der Endnutzer oder Einzelkomponenten
sind nie KRITIS. Es geht immer nur um die
00:32:09.211 --> 00:32:14.460
zentralen Komponenten, die sozusagen
Massenausfall bewirken, sprich die
00:32:14.460 --> 00:32:20.320
Kraftwerke, die Übertragungsnetzbetreiber
um den Strom zu liefern, das
00:32:20.320 --> 00:32:25.592
Fernwärmenetz, die Tanklager für Heizöl
und Diesel, die Raffinerien, die das
00:32:25.592 --> 00:32:32.159
erzeugen und so weiter und so fort. Das
Heizungsnetz in einem Hochhaus oder in
00:32:32.159 --> 00:32:36.040
einem Haus ist ja sozusagen die
Einzelversorgung und die ist da sozusagen
00:32:36.040 --> 00:32:40.170
nicht relevant, denn wenn einer ausfällt,
dann kann ich im Notfall zum Nachbarn oder
00:32:40.170 --> 00:32:44.789
rufen 'nen Reparaturdienst oder was auch
immer. Wenn aber die zentrale Fernwärme
00:32:44.789 --> 00:32:49.259
ausfällt, dann habe ich ja viele 100.000
Leute, die bedroht sind und das haben wir
00:32:49.259 --> 00:32:55.559
ja beispielsweise in Texas gesehen von vor
wenigen Wochen noch. Texas hat einen
00:32:55.559 --> 00:33:00.750
kompletten Blackout. Es gibt in den USA
drei Netze Ost, West, Texas. Texas ist
00:33:00.750 --> 00:33:04.240
schlau und hat gesagt wir verzichten auf
alle anderen. Wir betreiben ein eigenes
00:33:04.240 --> 00:33:07.939
Netz und dieses eigene Netz ist
zusammengebrochen als Blackout. Und in
00:33:07.939 --> 00:33:13.950
Texas gab es dann eben keine Heizung, kein
laufend Wasser, weil ohne Strom gibt es
00:33:13.950 --> 00:33:17.651
irgendwann auch keine Wasserpumpen mehr.
Und das war zu einer Zeit, wo es sehr sehr
00:33:17.651 --> 00:33:22.850
kalt ist, war. Und ja, dann sind auch die
Wasserrohre und die Heizungsrohre
00:33:22.850 --> 00:33:27.090
eingefroren, aufgeplatzt. Und als es dann
abgetaut ist oder auch Strom wieder da
00:33:27.090 --> 00:33:30.840
war, sind die ganzen aufgeplatzten Rohre
dann ausgelaufen und man hat überall
00:33:30.840 --> 00:33:34.940
Wasserschäden und immer noch keinen Strom
und Wasser. Also so mies kann's laufen
00:33:34.940 --> 00:33:40.463
aber das war dann sozusagen das Stromnetz,
was ausgefallen ist, und das ist dann
00:33:40.463 --> 00:33:45.980
KRITIS, aber nicht das Einzelnetz.
Engel: Ja, also, da kann man amerikanische
00:33:45.980 --> 00:33:50.659
Podcast hören von Leuten, die in Texas
lebten. Also, das war, ja, ein Drama.
00:33:50.659 --> 00:33:55.159
Jetzt kommt noch eine ergänzende Frage
sozusagen dahinter. Ich denke mal auch
00:33:55.159 --> 00:33:58.320
wieder.
F: Was ist mit Handwerkern und Großhandel?
00:33:58.320 --> 00:34:04.580
A: Also Handwerker, ja ein Handwerker
müsste dann mehr als 500.000 Personen
00:34:04.580 --> 00:34:09.270
versorgen in einer Anlagenkategorie, die
kritisch ist, wüsste ich jetzt spontan
00:34:09.270 --> 00:34:14.200
keinen. Ja, kann ich nicht, wüsste ich
nicht. Großhandel ja, also wenn du jetzt
00:34:14.200 --> 00:34:19.789
so, keine Ahnung, beliebige, hier, Metro-
Ketten oder so wat, so 'ne Kette ist so
00:34:19.789 --> 00:34:26.120
groß, dass sie Einzelhandel bei der
Versorgung mit Ernährung, also KRITIS-
00:34:26.120 --> 00:34:29.809
Sektor Ernährung mit der Versorgung
sicherstellen. Und die sind kritische
00:34:29.809 --> 00:34:35.020
Infrastruktur, wenn Sie mehr als 500.000
Personen versorgen, und da gibt es im
00:34:35.020 --> 00:34:38.950
Handel tatsächlich einige, die darunter
fallen. Auch beispielsweise nicht nur
00:34:38.950 --> 00:34:43.559
Handel, sondern auch Molkereien. Ja, die
sind ja auch im Ernährungssektor tätig.
00:34:43.559 --> 00:34:48.811
Engel: Also lösen das unter KRITIS
fallende Firmen eigentlich dadurch, dass
00:34:48.811 --> 00:34:52.210
sie zum Beispiel Zulieferer, irgendwie,
die können es nicht vererben, aber es wird
00:34:52.210 --> 00:34:55.990
dann einfach mit in die Verträge
reingeschrieben. Oder wie macht man das?
00:34:55.990 --> 00:35:00.150
Wie stellt man das sicher?
A: Also wenn ich KRITIS-Betreiber bin,
00:35:00.150 --> 00:35:03.550
muss ich natürlich diese Anlage, die ich
betreibe, sicherstellen. Das heißt, wenn
00:35:03.550 --> 00:35:07.920
ich ein Zulieferer hab, der irgendwie
Wartung oder Betrieb dieser Komponenten
00:35:07.920 --> 00:35:13.210
macht und es geht immer um den IT-Teil,
laut IT-Sicherheitsgesetz oder BSI-Gesetz.
00:35:13.210 --> 00:35:17.901
Wenn ich also die IT-Wartung oder den
Betrieb der Produktion macht der OT der
00:35:17.901 --> 00:35:23.800
SCADA-Komponenten, der Prozessleittechnik
oder so, dann muss ich da sicherstellen,
00:35:23.800 --> 00:35:27.920
dass auch die Zulieferer, die diese
Komponenten für mich austauschen, warten,
00:35:27.920 --> 00:35:32.720
Fernzugriff machen, ja, Fernwartung und
Fernzugriff ist so ein Albtraum für sich,
00:35:32.720 --> 00:35:36.240
habe ich übrigens in dem Vortrag Erfahrung
eines KRITIS-Prüfers ...
00:35:36.240 --> 00:35:40.510
Engel: ... ich weiß ... lächelt
A: da habe ich den Fernwartungarchäologen
00:35:40.510 --> 00:35:43.540
ins Leben gerufen und gesagt, ey immer
wenn ich dieses Wort höre, kriege ich
00:35:43.540 --> 00:35:47.710
Bauchschmerzen, das ist einfach so. Aber
das alles muss man dann vertraglich mit
00:35:47.710 --> 00:35:51.660
diesen Zulieferern regeln. Was nicht
geregelt werden muss, ist sozusagen die
00:35:51.660 --> 00:35:56.630
grundsätzliche Supply Chain, also Wasser
oder Strom, weil das ist sozusagen
00:35:56.630 --> 00:36:01.329
grundsätzliche Zulieferung oder
beispielsweise bei einer Molkerei, dass
00:36:01.329 --> 00:36:08.700
die Tanklaster Milch vorbeifahren können.
Das hat dann nichts mehr mit IT zu tun.
00:36:08.700 --> 00:36:13.770
Und Kühe produzieren immer. Ob das dann
ankommt, ist eine andere Frage.
00:36:13.770 --> 00:36:17.830
Engel: Bis sie ein OT-Ship haben. So, dann
geht es weiter im Fragenkatalog.
00:36:17.830 --> 00:36:25.690
F: Wie viel ist KRITIS / IT und wie viel
ist im Allgemeinen Katastrophenvorsorge?
00:36:25.690 --> 00:36:34.390
A: Dat kann man nicht nach wie viel
beurteilen. Es gibt ca. 2.000, nicht ganz
00:36:34.390 --> 00:36:39.770
2.000 kritische Infrastrukturen in
Deutschland, die so geschätzt sind. Ich
00:36:39.770 --> 00:36:47.711
glaube beim BSI sind aktuell registriert
1.600 Anlagenkategorien oder so. Die mehr
00:36:47.711 --> 00:36:56.130
als 500.000 Personen versorgen. Im
Allgemeinen Notversorgung, das umschließt
00:36:56.130 --> 00:37:01.540
ja noch viel mehr. Also da geht ja auch
hier Krisenmanagement der Länder, der
00:37:01.540 --> 00:37:07.270
Kommunen, Bundesregierung alles mögliche
rein. Auch die ganzen Deutsche Rote Kreuz
00:37:07.270 --> 00:37:11.630
und sonstigen ehrenamtlichen Helfer,
selbst THW, Freiwillige Feuerwehr, das
00:37:11.630 --> 00:37:16.451
wird alles unter Katastrophenhelfer
gezählt und sogar Bundeswehr, die ja im
00:37:16.451 --> 00:37:20.240
äußersten Notfall auch hilft. Der
äußersten Notfall ist jetzt schon seit
00:37:20.240 --> 00:37:25.290
einem Jahr etablierter Standard. Ist
eigentlich auch Fail by Design. So was
00:37:25.290 --> 00:37:28.420
nutzt man nur im äußersten Notfall und
guckt auch ganz schnell, dass man wieder
00:37:28.420 --> 00:37:31.771
von diesem äußersten Notfall wegkommt.
Weil wenn ich dann noch mal eine Krise
00:37:31.771 --> 00:37:36.120
obendrauf krieg, dann ist Game Over und
dann haben wir wirklich Holland in Not und
00:37:36.120 --> 00:37:41.119
Deutschland noch dazu und alles andere.
Aber, ja, kann ich jetzt. Ich wüsste
00:37:41.119 --> 00:37:45.540
nicht, ob das da irgendwo Zahlen gibt,
außer das, was so veröffentlicht wird. THW
00:37:45.540 --> 00:37:52.510
hat 85.000 Mitglieder, ungefähr 80.000
davon sind beispielsweise dann
00:37:52.510 --> 00:37:58.140
ehrenamtlich, aber kann man jetzt nicht
alle einzeln oder gesamt aufdröseln.
00:37:58.140 --> 00:38:02.650
Wüsste ich nicht.
F: Dann geht es weiter. Was ist deine
00:38:02.650 --> 00:38:09.640
Einschätzung zum Sektor Zahlungsverkehr?
Zum Beispiel Haspa, Geldautomatenausfall,
00:38:09.640 --> 00:38:16.400
Einführung starke Ausführ-PSD II, kein
Login ohne 2F2, also 2-Faktor-
00:38:16.400 --> 00:38:25.649
Authentifizierung.
A: Ja, also, man muss sagen, der Sektor
00:38:25.649 --> 00:38:30.470
Finanz- und Versicherungswesen ist, und
wenn man da nur den Bankenteil betrachtet,
00:38:30.470 --> 00:38:35.980
nicht die Börsen und die Versicherungen,
die haben zwar Altlasten und uralte
00:38:35.980 --> 00:38:39.260
Systeme, teilweise auch im Einsatz, und
echt komplexe Infrastrukturen. Die
00:38:39.260 --> 00:38:42.540
Deutsche Bank hatte vor, ich weiß nicht
mehr, 2 Jahren oder so, hatten die ja mal
00:38:42.540 --> 00:38:47.030
gesagt wir haben hier insgesamt 7.000
verschiedene Anwendungen und
00:38:47.030 --> 00:38:51.560
Kernkomponenten und eine Anwendung kann
beliebig komplex werden und viele Systeme
00:38:51.560 --> 00:38:57.990
haben, aber man muss fairerweise auch
sagen, sie sind sehr reguliert, ja, eine
00:38:57.990 --> 00:39:01.981
Bank wenn die einen Vorfall hat, dann muss
die beispielsweise melden an, vielleicht
00:39:01.981 --> 00:39:07.500
an die EZB, also an die Europäische
Zentralbank, an die Bundesbank, an 'ne
00:39:07.500 --> 00:39:12.030
Cyberversicherung, wenn sie eine hat und
die meisten haben eine. Du musst melden an
00:39:12.030 --> 00:39:16.790
die BaFin, du musst ans BSI melden. Also
wirklich Kreuch und Fleuch an jeder
00:39:16.790 --> 00:39:22.030
Stelle, du wirst überreguliert und wenn du
dann noch eine Anmeldung für Finanzamt in
00:39:22.030 --> 00:39:26.619
den USA hast, dann muss du irgendwie an
New York irgendwie da auch noch eine
00:39:26.619 --> 00:39:30.290
spezielle Meldung machen. Wenn du in
Singapur irgendwie ein Büro hast, Singapur
00:39:30.290 --> 00:39:34.310
verlangt, dass du ein lokales Office haben
musst, und wenn du unter den offiziellen
00:39:34.310 --> 00:39:37.200
Regularien in Singapur bist, muss du da
auch noch mal eine separate Meldung
00:39:37.200 --> 00:39:42.030
machen, wenn du an, naja gut Börse haben
wir gerade ausgeklammert, aber wenn wir
00:39:42.030 --> 00:39:47.550
beispielsweise jetzt eMoney-Lizenz an der
Börse in UK haben, dann muss man da noch
00:39:47.550 --> 00:39:50.859
mal melden. Also du kannst dich tot melden
und du kannst auch so konfiguriert werden
00:39:50.859 --> 00:39:55.190
mit irgendwelchen Complianceregularien,
die oft genug im Widerspruch stehen. Das
00:39:55.190 --> 00:39:58.920
macht es dann auch nicht trivial mal eine
Kernanwendung wo Millionen von Leute drauf
00:39:58.920 --> 00:40:03.210
tagtäglich rund um die Uhr arbeiten und
auch erwarten, dass mein Geld aus dem
00:40:03.210 --> 00:40:08.770
Automaten plöpt oder so, mache ich mal
kurz eine Anpassung. Also ist gut wie
00:40:08.770 --> 00:40:13.500
schlecht. Ist es gut überreguliert und
auch gut abgehangen, aber andererseits
00:40:13.500 --> 00:40:16.890
schlecht, weil diese Überregulierung das
auch extrem marode und Never change a
00:40:16.890 --> 00:40:21.510
running system und wenn du es anfasst
explodiert eh alles und du bist fällig.
00:40:21.510 --> 00:40:27.319
Keiner will es anfassen. Also alle - und
das übrigens Sneak Preview, IT-
00:40:27.319 --> 00:40:30.060
Sicherheitsgesetz 2.0 wird genau so was
einbringen für die kritischen
00:40:30.060 --> 00:40:33.349
Infrastrukturen. Es wird komplexer, es
wird sinnloser, es wird sinnfreier.
00:40:33.349 --> 00:40:39.540
Deswegen grusel ich mich jetzt schon davor
alle 6 Sachverständigen im Bundestag,
00:40:39.540 --> 00:40:43.199
ich war einer davon, haben dagegen
gemault, selbst die von der CDU. Und es
00:40:43.199 --> 00:40:46.079
hat das BMI völlig nicht interessiert. Die
laufen immer noch rum und sagen
00:40:46.079 --> 00:40:49.160
Yeah, wir sind die Besten, tolles
Gesetz, alle nur positiv.
00:40:49.160 --> 00:40:53.979
Engel: Lustigerweise musste ich gerade an
diese Anhörung denken, weil in der
00:40:53.979 --> 00:40:57.809
Anhörung hast du auch so viel gesprochen
und bist nie zum Ende gekommen.
00:40:57.809 --> 00:40:59.540
HonkHase: 'tschuldigung
Engel: Und es werden zunehmend mehr
00:40:59.540 --> 00:41:02.710
Fragen. Nein, ich freue ja aber
HonkHase: dann mich ich's kürzer jetzt
00:41:02.710 --> 00:41:06.660
Engel: Während wir reden kommen immer neue
Fragen rein. Ist total spannend, was noch
00:41:06.660 --> 00:41:09.610
alles kommt. So.
F: Warum ist dann die Logistik noch kein
00:41:09.610 --> 00:41:14.559
KRITIS? Ohne Logistik funktioniert auch
keine Infrastruktur so wirklich, oder?
00:41:14.559 --> 00:41:18.940
A: Das ist einfach. KRITIS-Sektor
Transport und Verkehr. Logistik über
00:41:18.940 --> 00:41:21.920
500.000 Personen ist abgedeckt.
Nächste Frage.
00:41:21.920 --> 00:41:27.440
Engel: Volle Punktzahl.
F: Inwieweit achtet ihr eigentlich auf
00:41:27.440 --> 00:41:33.220
Paketversionen bei Dependencies, wenn ihr
mit Kunden arbeitet? Mir scheint, als
00:41:33.220 --> 00:41:39.550
wären bei vielen Zertifizierungen unter
anderem nur geprüft wird, ob von Lib X die
00:41:39.550 --> 00:41:44.240
neueste Version genutzt wird. Worauf
scheinbar nicht geachtet wird ist, wie
00:41:44.240 --> 00:41:47.250
alt, veraltet, verbuggt, ist diese neueste
Version.
00:41:47.250 --> 00:41:54.180
A: Also eine KRITIS-Prüfung ist nur eine
Prüfung und keine Zertifizierung. Man
00:41:54.180 --> 00:41:57.700
kriegt also kein Bapperl danach, sondern
lediglich eine Einhaltung der
00:41:57.700 --> 00:42:03.140
Gesetzesvorlage als Empfehlung und die
Einhaltung sprechen dann BSI teilweise im
00:42:03.140 --> 00:42:07.259
Benehmen oder Einvernehmen mit der
Aufsichtsbehörde aus. Aber das Problem bei
00:42:07.259 --> 00:42:11.470
Zertifizierung kenne ich. Ich kenn nämlich
auch so den einen oder anderen
00:42:11.470 --> 00:42:15.430
Zertifizierer. Das sind dann, wie soll ich
sagen, Ahnungslose oder Blinde unter den
00:42:15.430 --> 00:42:18.870
Einäugigen. Wenn die natürlich nicht
wissen, was es bedeutet, ja, Secure
00:42:18.870 --> 00:42:23.470
Software Development Life Cycle,
Anpassungen, Updates oder Upgrades in der
00:42:23.470 --> 00:42:27.430
Form, dass da auch die Dependencies
berücksichtigst, aber nicht jede, nämlich
00:42:27.430 --> 00:42:30.510
nicht jede, die ein Feature beinhaltet,
was dich nicht interessiert, aber jede die
00:42:30.510 --> 00:42:34.651
ein Security Update hat, oder wenn eine
Dependency out of maintenance ist, machen
00:42:34.651 --> 00:42:39.750
aber tatsächlich viele nicht, weil sie so
tief gar nicht prüfen, was eigentlich
00:42:39.750 --> 00:42:44.490
schade ist, weil ja, es ist eine der
großen Lücken, die oft genug vorkommen.
00:42:44.490 --> 00:42:51.929
F: Ja, dann gab es neue Erkenntnisse zur
Kritikalität von nicht als KRITIS
00:42:51.929 --> 00:42:58.030
eingestuften Infrastrukturen. Stichwort
Pharmaproduktion, Altenheim, Supply Chain,
00:42:58.030 --> 00:43:05.000
Europäische Cloud Rechenzentren.
A: Jein. Also für mich ja, für die AG
00:43:05.000 --> 00:43:09.630
KRITIS auch ja, für diverse kritische
Infrastrukturbetreiber oder die
00:43:09.630 --> 00:43:14.990
Mitarbeiter ja, für manche
Wirtschaftsverbände nicht mehr so ja, für
00:43:14.990 --> 00:43:21.569
die Länder und die Bundesregierung eher
nicht so ja, und das BMI ey tschakka,
00:43:21.569 --> 00:43:25.040
alles cool. Wir packen jetzt die
Siedlungsabfallentsorgung dazu und dann
00:43:25.040 --> 00:43:28.780
diese UNBÖFI, Unternehmen im besonderen
öffentlichen Interesse, und dann noch
00:43:28.780 --> 00:43:34.130
diese komischen, hier und da noch so ein
bisschen, und dann ist schick. Also,
00:43:34.130 --> 00:43:37.430
meiner Meinung nach, meiner ganz
persönlichen Meinung nach, komplettes Fail
00:43:37.430 --> 00:43:40.960
und Versagen, weil die echten Bedarfe
wurden nicht adressiert, sondern wieder
00:43:40.960 --> 00:43:45.970
irgendwelche kaschierten Düdeldüs. Ja, so
sieht es aus
00:43:45.970 --> 00:43:50.869
F Jetzt eine sehr spannende Frage. Wird
bei der Lebensmittelindustrie
00:43:50.869 --> 00:43:57.190
unterschieden, ob zum Beispiel
Molkereiprodukte versus Bonbon-Fabrik?
00:43:57.190 --> 00:44:03.829
A: Nein. Wenn du eine Versorgung über
500.000 Personen sicherstellen musst, dann
00:44:03.829 --> 00:44:08.720
bist du KRITIS. Es gibt aber verschiedene
Anlagenkategorien. Also Herstellung,
00:44:08.720 --> 00:44:14.770
Vertrieb von Lebensmitteln etc.. Und diese
einzelnen Kategorien. Wenn ich in einer
00:44:14.770 --> 00:44:19.700
dieser Kategorien über 500.000 bin, dann
fällt es weg. Kleines Beispiel was außen
00:44:19.700 --> 00:44:25.869
vor ist: Alkohol. Weil es steht drin, dass
beispielsweise bei Wasser eben es nur um
00:44:25.869 --> 00:44:29.380
Wasser geht und nicht um Alkoholisches.
Insofern sind alkoholische Getränke zum
00:44:29.380 --> 00:44:34.480
Beispiel komplett ausgeklammert.
F: Ja, dann was is, oh, jetzt kommt die
00:44:34.480 --> 00:44:38.960
letzte Frage, das ist natürlich doof. Was
ist nach deiner Einschätzung nach der
00:44:38.960 --> 00:44:43.579
brüchigste Sektor, also der mit der
größten Ausfallrisiko?
00:44:43.579 --> 00:44:50.859
A: Strom. Weil Strom sozusagen die Basis
für alles ist, wenn Strom wegfällt, fällt
00:44:50.859 --> 00:44:56.360
kurz danach Telekommunikation weg und
danach bricht alles andere zusammen. Wer
00:44:56.360 --> 00:45:00.599
das mal genauer eruieren will, kann sich
gerne Blackout von Marc Elsberg mal
00:45:00.599 --> 00:45:07.550
durchlesen. Das ist schon recht nah an der
Realität. Es gibt vom TAB Bundestag, TA
00:45:07.550 --> 00:45:17.829
Bundestag eine Blackoutstudie von, 2012
glaube ich war's, die hat auch, ich glaub
00:45:17.829 --> 00:45:22.609
250 Seiten oder so, die schreibt ganz
genau wissenschaftlich erforscht auf, was
00:45:22.609 --> 00:45:27.600
nach 'nem Blackout so wie in welcher
Reihenfolge passiert. Wer dann noch nicht
00:45:27.600 --> 00:45:33.450
genug hat, kann sich vielleicht noch 42
Grad durchlesen. Das ist auch ein Buch,
00:45:33.450 --> 00:45:38.440
was sozusagen das ganze aus Wassersicht
beschreibt. Aber Strom ist definitiv die
00:45:38.440 --> 00:45:42.349
Basis für alles und das ist am
kritischsten. Danach kommt IT und TK, weil
00:45:42.349 --> 00:45:44.730
ohne Kommunikation funktioniert
auch nicht viel.
00:45:44.730 --> 00:45:49.710
Engel: Ja dann wäre ich an der Stelle
erstmal nochmal Danke, Danke, Danke für
00:45:49.710 --> 00:45:55.940
den Vortrag, für die Antworten. Die drei
Fragen, die noch drinstehen, da werden die
00:45:55.940 --> 00:45:59.849
Antworten hinterher reingeschrieben,
bestimmt von HonkHase, kann dort
00:45:59.849 --> 00:46:02.910
vielleicht die Sachen noch mal
kommentieren. Ansonsten könnt ihr Feedback
00:46:02.910 --> 00:46:07.260
da auch immer reinschreiben. Und an der
Stelle würde ich einfach noch so virtuell.
00:46:07.260 --> 00:46:11.470
Applaus, Applaus, Applaus sagen. Und ja,
dann gehen wir sozusagen glaub ich wieder
00:46:11.470 --> 00:46:16.960
zurück ins Main-Programm und ja, dann
freue ich mich, dass es hier gleich
00:46:16.960 --> 00:46:19.710
weitergeht.
00:46:19.710 --> 00:46:22.530
Outro
00:46:22.530 --> 00:46:30.000
Untertitel erstellt von c3subtitles.de
im Jahr 2022. Mach mit und hilf uns!