-
Intro
-
Engel: Ja, kommen wir nämlich jetzt zu
einem Vortrag, der mir selber am Herzen
-
liegt, weil einige meiner besten Freunde
haben KRITIS. Und es ist halt so eine
-
Krankheit, wie so eine Pandemie, da muss
man einfach sagen, muss man erst mal mit
-
umgehen lernen. Darum freut es mich umso
mehr, dass wir jetzt hier bei uns im Saal
-
oder wie auch immer man das hier so nennt,
den HonkHase oder mit bürgerlichem Namen
-
Manuel Atug haben. Honk ist sozusagen
einer der Mitgründer von der KRITIS AG.
-
Gleichzeitig macht ja auch so was mit
Security, wenn man sich bei ihm also den
-
Track Record ansieht. Irgendwie 23 Jahre
Informationssicherheit und im Endeffekt
-
muss man sagen, er ist halt wirklich ein
alter Hase in der Szene und auch in
-
anderen Szenen. Und da muss man einfach
sagen: Wow, für deine ganzen Experience
-
Points, die du jetzt sozusagen mit
einbringst, hier in diesem Vortrag. Und an
-
der Stelle, ja, welcher Vortrag wird das
überhaupt? Ja richtig, Kritische
-
Infrastrukturen in Pandemie Zeiten. Und
ja, jeder der sozusagen das Glück hat in
-
Firmen zu arbeiten, die auch unter KRITIS
fallen, ja die werden glaube ich ein Lied
-
davon singen können und werden jetzt
besonders aufmerksam auch zuhören, ob man
-
hier auch noch mal was lernen können. Und
an der Stelle würde ich einfach sagen:
-
Applaus, Applaus, Applaus, vorab. Wasser
Marsch. Honk, the Stage is yours.
-
HonkHase: Ja danke Pupe. Ich hatte ja
schon einen anderen Vortrag gehalten:
-
Erfahrungen eines KRITIS-Prüfers, haben
ein bisschen erzählt, wie man da so lebt,
-
leidet, aber auch, wie kreativ sozusagen
die Vorhaltung der kritischen
-
Infrastrukturen oder besser gesagt der
Versorgungsleistungen, so bewerkstelligt
-
wird. Und heute zeige ich euch mal so ein
paar Themenabschnitte wie kritische
-
Infrastrukturen eben in so einer
pandemischen Zeit eigentlich im
-
Hintergrund, die ganze Sachlage stemmen
sozusagen. Ja Pupe hat schon gesagt, ich
-
habe quasi KRITIS im Endstadium. Über 23
Jahre bin ich in all dem Ganzen aktiv.
-
Meine Kernthemen sind eben kritische
Infrastrukturen aus Leidenschaft Hackback,
-
weil es eben auch kritische
Infrastrukturen bedroht. Ethik,
-
Cyberresilienz, also wie wird man
resilient gegen das ganze, Cyber-Gedöns,
-
Stern Punkt Stern und eben der
Bevölkerungsschutz, weil am Ende ja wollen
-
wir eigentlich morgen noch kraftvoll in
die Tastatur hacken und dazu brauchen wir
-
Strom, Wasser, Hund, Katze, Maus und wie
das sichergestellt wird, das erzähle ich
-
euch dann mal jetzt ein bisschen. Aber
bevor wir da reingehen, werde ich euch
-
noch mal ein bisschen zu den kritischen
Definitionen erzählen, denn die
-
rechtlichen Definitionen sind alles andere
als trivial oder komplett geklärt und
-
geregelt. Und deswegen machen wir da auch
noch mal einen Durchblick oder Überblick,
-
damit ihr anschließend den Durchblick
habt, was das eigentlich so rein rechtlich
-
und gesetzlich bedeutet. Warum das einfach
oder komplex ist. Und dann kommen wir zu
-
sechs Fallbeispielen, die ich euch einfach
mal mitgebracht habe und im Detail
-
aufdröseln. Ja, rechtliche Definitionen
was ist ein KRITIS-Betreiber? Gucken wir
-
mal von oben nach unten herab auf auf die
einzelnen Ebenen. Die Europäische Union
-
hat das in der NIS-Richtlinie definiert.
Die NIS 1.0, die 2er ist gerade in Arbeit,
-
Grusel Grusel. Aber da sind im
Wesentlichen oder es sind Betreiber
-
wesentlicher Dienste definiert. Das sind
dann sieben Stück an der Zahl. Und das
-
Ziel ist eben zu sagen Festlegung von
Maßnahmen zum Erreichen des gemeinsamen
-
europäischen Sicherheitsniveaus von Netz-
und Informationssystem. Soweit, so cool.
-
Klingt sinnvoll, ist aber gar nicht so
trivial umzusetzen. Aus dieser NIS-
-
Richtlinie hat sich dann später eben das
IT-Sicherheitsgesetz abgeleitet. Komme ich
-
gleich zu. Erst mal so ganz allgemein
Bundesrepublik Deutschland hat eine
-
einheitliche Definition. Kritische
Infrastrukturen auf Bundes und Landesebene
-
heißt, ja: "KRITIS sind Organisationen
oder Einrichtungen mit wichtiger Bedeutung
-
für das staatliche Gemeinwesen, bei deren
Ausfall oder Beeinträchtigung nachhaltig
-
wirkende Versorgungsengpässe, erhebliche
Störung der öffentlichen Sicherheit oder
-
andere dramatische Folgen eintreten
würden". Klingt jetzt nach Drama-Queen,
-
ist es aber auch, weil die Sektoren, die
da definiert sind, Energie, Wasser, IT und
-
TK, Gesundheit, gerade Gesundheit, sehen
wir jetz in der Pandemie, wenn die nicht
-
funktionieren, haben wir ganz schnell
dramatische Folgen, nämlich Krisen, wie
-
beispielsweise auch die Pandemie eine
querstellt. Und zusätzlich zu diesen
-
7 Sektoren kommen noch zwei dazu, die
sind ein bisschen besonders in
-
Deutschland, nämlich Staat und Verwaltung
und Medien und Kultur, denn Staat und
-
Verwaltung kann natürlich nicht auf auf
BSI-Ebene, sag ich mal, Bundesamt für
-
Sicherheit in der Informationstechnik,
geregelt werden. Genauso Medien und
-
Kultur, denn Medien werden zum Beispiel in
den Landesmediengesetzen geregelt. Da darf
-
natürlich nicht der Bund ins Land rein
grätschen. Das ist so ganz generell mal
-
der Stand. Dann habe ich gerade schon
erwähnt IT-Sicherheitsgesetz 1.0 leitet
-
sich also aus der NIS-Richtlinie der EU
ab. Das Gesetz zur Erhöhung der Sicherheit
-
informationstechnischer Systeme 2015 in
Deutschland irgendwie aktiv geworden und
-
deckt im Endeffekt genau das ab als
Zielsetzung, was wir gerade schon hatten
-
Absicherung der IT-Systeme und der
digitalen Infrastruktur, Verbesserung der
-
IT-Sicherheit von Unternehmen der
Bundesverwaltung. Ja gut, ist noch room
-
for improvement. Schutz der Bürgerinnen
und Bürger im Internet. Ja, das ist noch
-
ganz viel room for improvement. Die
Sektoren sind im wesentlichen dieselben,
-
die die EU definiert hat. Ist ja die
Pflicht die EU Sicht in die Landessicht
-
sozusagen umzumünzen und das IT-SiG 2.0
ist ja demzufolge auch in Arbeit, genauso
-
wie die NIS 2 Richtlinie. Aber genau da so
ebenfalls Grusel. Ja, aus dem IT-
-
Sicherheitsgesetz 1 leitet sich ab Dinge
fürs BSI Gesetz, die da zu berücksichtigen
-
sind, ist ganz generisch erstmal.
Festlegung der Aufgaben und Befugnisse des
-
BSI und eben weitergehende Befugnisse als
Reaktion auf neue Bedrohung zunehmender
-
Bedeutung der Informations und
Kommunikationstechnologie. Da haben wir
-
jetzt die sieben kritische Infrastruktur
Sektoren der EU und sozusagen
-
deutschlandweit ohne die zwei
Sonderlöckchen, die dann in dem BSI Gesetz
-
geregelt sind, wie der Ablauf ist, welche
hoheitlichen Aufgaben und welche
-
Befugnisse, aber auch Rechte und Pflichten
das BSI hat oder eben auch die einzelnen
-
kritischen Infrastruktur-Dienstleister und
daran anhängend ist noch mal, weil wir
-
sind ja noch nicht fertig mit der
Rechtslage, muss ja immer noch einer
-
draufgelegt werden, ein habe ich noch: die
BSI-KRITIS-Verordnung, die ihr seht, da
-
drin wird der Schwellenwert der
Leistungsfähigkeit, IT Sektor zum
-
Beispiel, definiert und die genaue
Anlagenkategorie. Heißt
-
Frischwassergewinnungwerk,
Abwasserentsorgung, das sind zwei Anlagen-
-
Kategorien. Ich betreibe solche Anlagen
oder ein Frischwassergewinnungswerkbrunnen
-
wäre dann eben ein Brunnen zur
Frischwasserentnahme, den ein Wasserwerk
-
nutzt, um Wasser zu produzieren. Und der
Schwellenwert ist das, ab wann eigentlich
-
ein Dienstleister oder Leistungserbringer
in diesem Sektor dann als kritische
-
Infrastruktur gilt. Und aktuell ist es
relativ einfach. Die Schwellenwerte sind
-
bei allen sieben Sektoren pauschal immer
500.000 Personen in der Versorgung,
-
umgerechnet auf die Versorgungsleistungen.
Heißt 22 Millionen Kubikmeter Frischwasser
-
pro Jahr beispielsweise, dann bin ich
KRITIS. Mache ich weniger, dann bin ich
-
zwar in dem Sektor, aber diese ganzen
Gesetzeslagen sind irrelevant. Trotz allem
-
ist es kritische Infrastruktur. Jetzt habe
ich aber noch einen, weil er einfach, wenn
-
wir bis hierhin gekommen sind und die
Länder vergessen, landesspezifische
-
Vorgaben gibt es natürlich dann auch noch
mal. NRW habe ich jetzt die vom April 2020
-
Coronabetriebsverordnung rausgepickt. Die
ist inzwischen auch schon aktualisiert
-
worden. Da ist teilweise auch die
Definition übrigens schon wieder
-
rausgefallen. Dieser Paragraph 5
CoronaBetrVO gibt's gar nicht mehr. Aber
-
zu dem Zeitpunkt haben die auch versucht
zu sagen: Hey, wir müssen hier irgendwie
-
den Schutz vor Neuinfizierungen regeln im
Rahmen der BetreuungsInfrastruktur oder im
-
Rahmen der ja wichtigen Dienste oder
systemkritische Dienste, systemrelevante
-
Systeme. Da wurden in jeder Verordnung
wird es anders genannt. Jedes Land hat ja
-
eine. Und hier war es so, dass eben die
sieben Klassischen benannt wurden:
-
staatliche Verwaltung auf sozusagen
landesspezifischer Ebene, die Medien, ja,
-
weil die natürlich landesweit sind, aber
da wurden eben auch beispielsweise
-
Schulen, Kinder- und Jugendhilfe und
Behindertenhilfe gelistet als sozusagen
-
Sektoren kritischer Infrastruktur, bei der
man irgendwie auch den Schutz vor
-
Neuinfizierung regeln muss. Ja, die
Bundesländer generell Grusel, Grusel, das
-
war ja auch immer alles ein Hin und Her
und dieses Hin und Her haben wir jetzt
-
noch nicht ausgestanden. Aber das war der
Schnellüberblick über die gesetzlichen
-
Regelungen, damit war auch ein bisschen
mehr Zeit haben, über die sechs
-
Fallbeispiele, die ich mitgebracht habe,
zu reden. Ja, wie sieht kritischer
-
Infrastruktur in Pandemiezeiten aus? So.
Eine Herausforderung, die so Anfang
-
letztes Jahr teilweise bei großen
kritische Infrastruktur-Dienstleistern
-
schon im Januar längst adressiert wurden,
da wart ihr wahrscheinlich noch gar nicht
-
im ersten, ja, ich nenne es jetzt einfach
mal Lockdown oder im Homeoffice oder zu
-
Hause, wie auch immer. Die hatten also
teilweise schon im Januar ihre
-
Pandemiekonzept ausgegraben und gesagt: Oh
shit, wir müssen reagieren. Nachzügler im
-
Februar und diejenigen, die so nicht
richtig davon mitbekommen haben, dann so
-
März, April. Aber das Wichtigste wurde
eigentlich zeitnah realisiert. Es gab kaum
-
bekannt gewordene wesentliche Ausfälle,
aber die Herausforderung war zum Beispiel
-
Ausfall systemrelevanten Personals zum
Betrieb der kritischen Anlagen Kategorie,
-
damit die Versorgungsleistungen bei der
Bevölkerung ankommt. Ich kann kein
-
Frischwassergewinnungswerk betreiben, also
ein riesengroßen Pumpensteuerungsanlagen,
-
Labore, um den Wasserreinheitsgehalt
aufrechtzuerhalten. Trinkwasser hat eine
-
sehr sehr hohe Anforderungen an die
Trinkwasserqualität. Die ist deutlich
-
höher als bei in Flaschen abgefülltem
Zeugs beispielsweise. Und die Szenarien
-
sind also, was war zu dem Zeitpunkt so das
Szenario? Anreise der Mitarbeitenden vom
-
privaten Wohnsitz. Wie kriegen wir das
geregelt? Da waren ja teilweise Busse und
-
Bahnen außer Betrieb oder durfte kaum
jemand fahren. Wie auch immer. Ja, wenn
-
die Fahrgemeinschaften machen war auch
wieder eine Infektionsrisiko. Kontakt zu
-
anderen Personen. Die gehen nach Hause und
haben dann Kontakt mit Familie, Verkäufer
-
etc. pp. Und die Exposition gegenüber
einer Infektion mit COVID-19 war natürlich
-
jederzeit gegeben. Kriegen wir das
geregelt? Und die Auswirkungen dieser
-
Szenarien und Herausforderungen war dann
eben Ausfall der Mitarbeitenden aufgrund
-
einer Infektion und eben erhöhtes
Ansteckungsrisiko innerhalb der
-
Belegschaft. Da war also die Frage wie
können wir da gegensteuern? Die haben
-
natürlich Pandemiekonzepte. Manche wurden
auch noch mal spontan überarbeitet oder,
-
ups, wir müssen noch mal den Staub
wegwischen und mal aktualisieren. Aber
-
viele hatten schon laufende Konstrukte.
Muss man fairerweise auch sagen. So
-
schlimm sieht es nicht aus. Aber die
Herausforderung war auf jeden Fall
-
gegeben. Wie sahen die Lösungen aus? Wenn
du zum Beispiel so ein Leitstand in einem
-
Kraftwerk hast oder ein Leitstand in 'nem
Wasserwerk, muss du eben schauen, dass du
-
das systemrelevante Betriebsteam isoliert.
Das heißt du nimmst Leute, die den
-
Leitstand besetzen, aber auch zum Beispiel
nen Elektriker. Wenn mal 'ne Kleinigkeit
-
ist, muss er das schrauben und machen und
tun. Und den hast du natürlich mit vor Ort
-
im Team. Und ja, die brauchen natürlich
Bereitstellung von Unterkünften am
-
Arbeitsplatz, weil die wurden isoliert.
Isoliert heißt wirklich abgetrennt. Die
-
haben also am Arbeitsplatz
Schlafmöglichkeiten und Aufenthaltsräume
-
bereitgestellt oder eben aktiviert. So wie
das Pandemiekonzept das vorsieht.
-
Teilweise haben die die dann, also nicht
teilweise, die allermeisten haben sie
-
eigentlich freiwillig gefragt. Hier habt
ihr da Lust, Zeit und Nerv zu? Wollt ihr
-
euch freiwillig sechs Wochen oder vier
Wochen oder wie der Zyklus bei denen eben
-
ist, in eine Isolation begeben? Ihr kriegt
dann extra für und die Bevölkerung wird
-
euch lieben. Ihr dürft natürlich auch
Kontakt zu der Familie halten etc. Aber
-
nur remote wird alles aufgeschaltet. Kein
Thema. Aber eben auch wir stellen euch
-
Schlafmöglichkeiten, Aufenthaltsräume
bereit. Was man noch berücksichtigen
-
musste waren dann Dinge des täglichen
Bedarfs: Waschmaschine aufstellen,
-
Waschmittel, jede Menge Nahrungsmittel
verpacktes wie auch, und natürlich bis zu
-
einem gewissen Grad, frisches über eine
Sicherheitsschleuse sozusagen
-
Vereinzelungsschleusern der Form, dass man
Nachschub sozusagen da rein stellt, eine
-
Weile wartet und versucht das ummantelt zu
haben, desinfizieren und dann eben ziehen
-
die das da rein, packen alles aus,
versuchen auch noch mal zu warten und
-
alles zu desinfizieren und dann eben die
Sachen einzubringen. Und da wurde dann
-
beispielsweise eben auch Trinkwasser
reingebracht, wenn man nicht fließend
-
Wasser da sowieso hatte. Ja auch so was
wie Tee oder Kaffee, Kaffee, schwarz, heiß
-
und schön lecker Junge, wird also alles,
was man im täglichen Bedarf braucht, in
-
der Isolation eben vorbereitet und über
die Schleuse dann die Weiterversorgung
-
sichergestellt. Und, was sie auch
sicherstellen mussten, psychologische
-
Fürsorge durch Beschäftigungsmöglichkeiten
und psychologische Betreuung. Denn
-
Isolation, so vier oder sechs Wochen immer
dieselben Leute, ist natürlich auch hart.
-
Draußen ist die Familie in dieser unklaren
Situation. Wir denken mal zurück. März,
-
April, Mai, letztes Jahr. Keiner wusste so
richtig, was passiert. Was wird. Es kamen
-
fast täglich neue Studien. Die
Wissenschaftler haben neue Erkenntnisse
-
gehabt. Die Politik hat gesagt hü, hott,
nein, ja, doch, vielleicht, wir schauen
-
mal, dinge aus Gründen. In der Situation
dann zu sagen Ich lass meine Familie im
-
Stich und gehe jetzt sozusagen die
Bevölkerung retten ist natürlich auch
-
psychologisch sehr viel Druck und da gab
es dann entsprechend auch Fürsorge, bei
-
denen wo es notwendig war oder die wurde
generell bereitgestellt. Es gibt natürlich
-
auch immer Einzelfälle, wo das vergessen
wurde oder nicht ordentlich betrachtet
-
wurde. Es gibt auch viele Einzelfälle,
wenn man jetzt mal in die Krankenhäuser
-
und Pflegeheime schaut. Der Sektor
Gesundheit, da hat ja die Politik nicht
-
gerade mit Glanz und Ruhm gehandelt. Wir
erinnern uns noch an 20 Uhr gehen wir
-
auf'n Balkon und klatschen mal 'ne Runde.
Aber wenn Tarifverhandlungen waren, hat
-
das Bundesgesundheitsministerium gesagt:
Nö, Tarifeupgrade gibt's nicht, es gibt
-
eine Einmalzahlung, aber mehr Geld? Nö.
Ist natürlich auch psychologischer Druck,
-
der nicht unbedingt dafür sorgt, dass man
sagt: Hey, ich hab diesen Beruf aus Herzen
-
gewählt und jetzt mach ich das auch. Also
all das kommt zusammen. Es ist
-
systemrelevant, das Personal, es wurden
Maßnahmen getroffen, damit man eben den
-
Ausfall kompensiert. Teilweise haben es
ganz große
-
Betreiber, jetzt Atomkraftwerk,
Leitstand oder so auch
-
durchaus so geregelt, dass
sie gesagt haben, wir haben
-
ein Betriebsteam vor Ort. Wir haben ein
weiteres unabhängig isoliert an einer
-
anderen Station oder in separaten
Räumlichkeiten, sodass also wenn dieses
-
Betriebsteam warum auch immer eine COVID-
Infektion eingeschleust bekommt und wir
-
das nicht verhindern konnten, kann es ja
sein, dass sie alle komplett ausfallen und
-
dann müssen wir eben ein zweites Team
ready haben und manche hatten sogar ein
-
drittes Team hot-spare, also das wirklich
dann im Worst Case zwei komplette
-
systemrelevante Betriebsteams ausfallen
konnten und ein Drittes noch da war, um
-
den Betrieb sicherzustellen. Und das alles
ist weitestgehend transparent im
-
Hintergrund passiert und kaum in den
Medien oder in der Presse gewesen. Hier
-
und da mal so ein bisschen, Stadtwerke in
Wien oder so hatten da mal ein Bericht zu
-
gemacht. Also man kann da ein bisschen zu
recherchieren, aber im Wesentlichen machen
-
die schon seit vielen Jahren immer ihren
-
Dienst im Hintergrund und das fällt dann
auch nicht so auf.
-
Deswegen hier noch mal
ein dickes, fettes Danke an alle
-
systemrelevanten Personen, die sich in
Isolation begeben haben, die trotz dieser
-
Krisenlage permanent ihren Schichtdienst
aufrecht halten und kümmern und machen und
-
tun. Das ist wirklich ein dickes, fettes
Dankeschön wert. Und ich verneige mich und
-
geb mein Respekt an all diese Personen.
Joa, zweite Herausforderung, wat hab wer
-
denn noch? Wir haben ja gerade schon
gesagt Frischwasser, wat frisch reinkommt,
-
muss auch hässlich wieder weg. Alles
Kacke, ne? Abwasserentsorgung, so. Wat ham
-
wir gehabt? Wir haben die
Herausforderung gehabt,
-
die Leute hamstern Toilettenpapier
auch nicht so auf.
-
Es gibt temporär Mangel
an Toilettenpapier. Die Endverbraucher-
-
Toilettenpapier waren dann sozusagen nicht
mehr da, aber die Industrieprodukte waren
-
da. Das heißt, wenn ich so große Rollen
habe, die ich in der Industrie fertige und
-
dann auch in den Produktionshallen habe,
aber so kleine Rollen, die für zu Hause
-
sind sozusagen, und sich plötzlich alles
von Industrie und Produktion und
-
Wirtschaft in Richtung Homeoffice
verschiebt, oder Lockdown anfangs, dann
-
kann ich natürlich nicht Produkt A mit
Produkt B mal eben austauschen, weil die
-
Produktionsstraßen und die Fertigung eine
ganz andere sind. Und das hat dann
-
tatsächlich zu diesem, inklusive dem
Hamstern dazu geführt, dass es einen
-
Engpass gab, temporär. Und ja, auch die
Logistik war natürlich eine
-
Herausforderung, weil die großen Rollen
anders verpackt in viel größeren, also
-
palettenweise normalerweise wie ein
Produkt, das ist halt 'ne Palette mit
-
einzeln abgepackten, so Achter- oder
Sechserpacks oder 10er Packs. Und so war
-
also auch das eine Herausforderung, wie
man das logistisch meistert. Die
-
Verwendung von Alternativen wurde dann
teilweise als Herausforderung angegangen.
-
Dann nehm ich halt Küchentücher,
Taschentücher, Feuchttücher. Kann aber
-
auch eine Herausforderung werden, denn die
Dinger sind reißfest im Gegenzug zu
-
Toilettenpapier, was sich auflöst. Das
heißt, wir reden von Fremdkörper im
-
Abwasser und das beeinträchtigt dann eben
das Klärwerk durch verstopfte Pumpen,
-
teilweise, oder eben durch eine höhere
Frequenz der Rechenreinigung. Und wenn du
-
die Rechenreinigung mit einer höheren
Frequenz versehen muss, muss auch die
-
Abfallentsorgung mit einer höheren
Frequenz versehen. In einem Zeitraum, wo
-
selbst die LKW-Fahrer, die dann den
Abtransport regeln oder auch die
-
Müllkippen sozusagen dann teilweise im
Lockdown waren, oder in Notdienst
-
sozusagen. Ja, wie sah die Lösung? Für den
Teil Hamstern von Toilettenpapier und
-
Mangel gab es so eine Art Eigenregulierung
durch den Einzelhandel und die Produktion.
-
Ganz spannend. Es gab so Begrenzung der
Vergabe von Toilettenpapier, um die
-
breitere Masse zu versorgen und
Selbstregulierung durch die Umstellung der
-
Produktion. War also teilweise so Dinge
gegeben wie jeder darf nur ein
-
Toilettenpapierset kaufen oder das erste
kostet 3 99, jedes weitere 15 Euro, wenn
-
man halt mehrere kauft, damit die Leute
einfach sagen Okay, ich bin jetzt, ich
-
hamster nicht, sondern geh mal freundlich
mit allen anderen um. Ja, Verwendung von
-
Alternativen oder Beeinträchtigung der
Klärwerke war eben das Problem, dass diese
-
Alternativen wie gesagt alles verstopfen
können. Die Alternativen, die so von den
-
Klärwerkbetreibern kommuniziert wurden,
waren dann sowas wie Bidets, mobile
-
Bidets, gibt es auch, so kleine Spritz-
Drück-Pumpen sozusagen quasi. Waschlappen
-
oder Duschen, so dass man da also auch
versucht hat, die Leute davon abzubringen,
-
Feststoffe in die Kanalisation
einzuführen. Das ist wahrscheinlich
-
weitestgehend intransparent für euch
geschehen, denn wenige von euch haben
-
wahrscheinlich diese Aufrufe gehört. Ich
habe es auch versucht zu fördern mit den
-
Abwasser- und Klärwerk-Anlagenbetreiber.
Wie so viele in diesen Bereichen. Aber das
-
ist natürlich keine große Ausstrahlung.
Dann haben wir so Herausforderung gehabt
-
wie wenn du dein Rechenzentrum im
Quarantänegebiet betreibst und das
-
Rechenzentrum dann aufgrund landesweiter
Ausgangsbeschränkungen nicht so wirklich
-
sinnvoll erreichen kannst, tja, wie kommen
dann die systemrelevanten Mitarbeiter
-
dahin? Man muss also erst mal klären,
Kontaktaufnahme mit dem zuständigen
-
Gesundheitsamt zur Aufstellung von
Ausnahmegenehmigungen. Das muss vorher
-
geklärt werden. Man muss wissen, welches
Gesundheitsamt zuständig ist. Zu dem
-
Zeitpunkt war denen auch noch nicht ganz
klar, wofür die wann wie zuständig sind
-
und wie man die Ausnahmegenehmigungen
ausstellt etc. Ich beispielsweise habe von
-
meinem Arbeitgeber eine
Ausnahmegenehmigung erhalten, weil ich
-
eben Dienstleistungen für den Betrieb
kritischer Infrastrukturen sicherstelle,
-
sodass also wenn ich zu einem Kunden oder
ins Büro musste, was übrigens sehr, sehr
-
selten war. Seit Anfang Februar habe ich
dann trotzdem die Möglichkeit gehabt,
-
diesen Beleg mit meinem Personalausweis im
Portemonnaie gehabt und hätte das
-
vorzeigen können. Das war also das eine.
Das andere ist halt eine Implementierung
-
Journal-basierte asynchroner Replikation
über weite Entfernungen, so dass man also
-
eine redundante Datenhalde in einer nicht
Quarantänezone hat, idealerweise. Aber
-
wenn halt weltweite Pandemie ist, dann ist
das auch kein Garant, dass nicht alle
-
redundanten Bereiche vielleicht einer
Ausgangsbeschränkung unterliegen. Also es
-
war auch manchmal eine Herausforderung, da
von den Gesundheitsämtern irgendwie die
-
Hilfe zu bekommen, aber in der Regel ging
es relativ fluffig. Ansonsten konnten eben
-
diverse Leute wie ich oder alle Kollegen,
die ganzen anderen Mitbewerber auch
-
durchaus unter die Arme greifen und sagen
Leute ihr müsst da und da hin, kümmert
-
euch um den und den Beleg, hier ist ein
Template. Das ist der Text, machen, ja
-
machen. Zeit ist irgendwie kritisch. Ja,
dann haben wir noch gehabt,
-
Einschränkungen im Einzelhandel. Wir haben
ja jetzt schon das Klopapier besprochen.
-
Jetzt kommen wir mal zu den Nudels.
Logistik. Lagerkapazitäten und die
-
Produktion der Ware waren gewährleistet,
sind dann aber in Verzögerung gekommen,
-
weil natürlich diese Supply Chain und das
Just in Time Delivery nicht mehr so ganz
-
funktioniert hat und dann sind die
Lagerkapazitäten auch bedroht gewesen
-
dadurch, dass es Grenzkontrollen gab für
den Warentransport. Es gab ja teilweise
-
Berichte, wo an der Grenze Polen nach
Deutschland 60 km LKW-Stau war und die
-
Leute tagelang da festhingen und versorgt
werden mussten, damit sie nach Deutschland
-
reinkommen. Quelle vie an der Stelle, LKW-
Fahrer, die dann eingereist sind mussten
-
teilweise eine Zeit lang 14 Tage in
Quarantäne sitzen, um dann wieder ins
-
Ausland zurück zu fahren oder sind sogar
hier erkrankt und umgekehrt, sind ins
-
Ausland gefahren, mussten da 14 Tage in
Quarantäne bleiben oder sind da erkrankt.
-
Heißt, es gab natürlich auch da
schwerwiegende ernste Fälle, aber es gab
-
eben auch die 14-tägige Frist, so dass die
natürlich nicht den Umschlag ruckzuck
-
machen konnten, und zack haste ein Defizit
an Fahrern und damit auch nicht mehr die
-
passende Lagerkapazität, weil einfach der
Transport nicht sichergestellt werden
-
konnte. Ja, die haben Hamsterkäufe haben
natürlich den Warenbedarf erhöht.
-
Temporärer Mangel wurde damit entsprechend
gefördert. Wie hat man dem gegengesteuert?
-
Beispielsweise hat Aldi die damals gesagt:
So, dieses Nudeldefizit geht ja mal gar
-
nicht. Wir müssen den Warentransport
irgendwie umschlagen auf Schienenverkehr
-
und haben mit DB Schenker kurzfristig,
kann man auf 'nem Bericht irgendwo lesen,
-
haben die gesagt Okay, dann machen wir
jetzt nicht mehr LKW-Fahrerei, sondern
-
holen uns über DB Schenker, so 60 Tonnen
oder wie viel auch immer Nudeln aus
-
Italien hier rein und dann gibt es auch
kein Defizit mehr. Das hat dann natürlich
-
eine Weile gedauert. Wenn man das mal eben
umstellt. Man braucht regulatorische
-
Abkommen zwischen diesen jeweiligen
Handelspartnern. Man muss die bestehenden
-
Verträge außer Kraft setzen, neue Verträge
kurzfristig machen. Die Bereitschaft von
-
DB Schenker und die Kapazität muss da
sein. Man musste dann auch gucken, jetzt
-
hat man nicht die übliche Anlieferung an
den Lagerraum, sondern über den
-
Schienenverkehr bis zu einem bestimmten
Schienenendpunkt und von da aus musste man
-
logistisch noch weiter ziehen etc. pp. So
also einen Riesenaufwand, der einen
-
Rattenschwanz daherkommt, um dieses Supply
Chain aufrechtzuerhalten. Aber am Ende hat
-
es funktioniert. Wir konnten alle wieder
Klopapier und Nudeln sozusagen benutzen
-
und verwenden und Essen und Trallala. Also
der Güterfluss wurde sozusagen über diese
-
Ebenen dann auch wieder zügig etabliert.
Ja, dann hatten wir noch Einschränkungen
-
der Siedlungsabfallentsorgung. Ich habe ja
gerade schon erwähnt, Klärwerke hatten
-
Defizite bei der Abfallentsorgung, aber
Siedlungsabfallentsorgung natürlich auch.
-
Also alles was wir so privat an Müll
generieren. Wichtig an der Stelle
-
Siedlungsabfallentsorgung ist derzeit
keine kritische Infrastruktur im Sinne des
-
BSI Gesetzes, IT-Sicherheitsgesetzes, aber
der Ausfall hat weitreichende Folgen für
-
Gesundheit und Umwelt. Also Umweltschäden
als auch Gesundheitliches. Es kann sogar
-
eine Pandemie fördern. Herausforderung
war: Es gab eine Einstellung des Betriebs
-
von Wertstoffhöfen inklusive der Sammlung
von Sonderabfällen. Aber es gab eben auch
-
eine verringerte Abholfrequenz, weil die
natürlich aufgrund eingeschränkter
-
Verfügbarkeit der Mitarbeiterinnen auch
ein Defizit hatten zu sagen Okay, wir
-
kennen den Regelzyklus nicht einhalten.
Wie kriegen wir das jetzt bewerkstelligt?
-
Dafür gab es halt auch ein paar
Lösungsideen. Das BMI hat langfristig zum
-
Beispiel vorgeschlagen,
Siedlungsabfallentsorgung als kritische
-
Infrastruktur aufzunehmen. Das heißt, im
Entwurf des IT-Sicherheitsgesetz 2.0 wurde
-
Siedlungsabfallentsorgung sozusagen dann
jetzt als KRITIS mit aufgenommen. Und die
-
Lösung zum Umgang mit den Abfällen war
auch so, man hat natürlich auch erheblich
-
Gefahr, dass man Kontakt mit dem
Coronavirus hat, das heißt die Entsorgung
-
von Abfällen und die Kontakt mit dem
Coronavirus hatten nur in die
-
Restmülltonne, weil das ganze wird mit
einer höheren Verbrennungtemperatur
-
vernichtet und Deklaration von Abfällen
aus Krankenhäusern, die Coronafälle
-
behandeln, als gefährlicher Abfall. Heißt
Erfordernis von reisfesten,
-
feuchtigkeitsbeständigen und dichten
Behältnissen, damit natürlich keine
-
Gefahrengüter sozusagen da irgendwie
auslaufen oder so, und die Mitarbeiter
-
infizieren, und Transport nach dem
Gefahrgutrecht. Also das alles ist sehr
-
aufwendig und teuer, aber sowas hat man
beispielsweise auch in der
-
Abfallentsorgung bei der
Siedlungsabfallentsorgung in Teilen auch
-
gemacht. Man hat die Bevölkerung dazu
aufgerufen, muss aber ehrlich sein, nicht
-
viele, oder viele haben es nicht
mitbekommen oder gesagt, na ja, ich
-
sortiere immer noch meinen Abfall
ordentlich und mach jetzt nicht alles, was
-
vielleicht Kontakt gehabt haben könnte in
die Restmülltonne. Wenn man Vorfall in der
-
Familie hat, denkt man erst mal an die
Familienmitglieder logischerweise und
-
nicht daran, ob ich den Abfall richtig
sortiere. Aber trotzdem ein wichtiger
-
Punkt. Ja, und IT-Systeme von
Krankenhäusern, Ransomware-Angriffe auf
-
Krankenhäuser gab es beispielsweise und
gibt es immer noch, auch aktuell. Vielen
-
Dank noch mal an die Kollegen der Incident
Response und Forensik, die gerade alle im
-
Einsatz sind in der Osterzeit, um
Krankenhäuser, Arztpraxen, Dialysezentren,
-
Pflegeheime und sonst was alles aufrecht
zu erhalten, die gerade kompromittiert
-
wurden und erpresst werden. Es gibt
dadurch aber eingeschränkte
-
Netzwerkkommunikation,
Systemverschlüsselungen und eben
-
Integritätverlust der Daten und das
bedeutet erhebliche Einschränkungen im
-
Krankenhausbetrieb. Wir haben über Coruna
sowieso schon eine Verschiebung von
-
Operationen oder das Verlegen von
Patienten bei einer Ransomwareattacke
-
teilweise dann auch. Es gibt fehlende
Informationen zu Patienten und es gibt
-
Einschränkungen der Laborkapazitäten. Also
das alles ist auch noch mal ein
-
Problemverstärker und die World Health
Organization oder eben auch Coronavirus
-
Testzentrum in Tschechien beispielsweise
wurden erfolgreich angegriffen letztes
-
Jahr. Das alles ist also auch noch mal die
Herausforderung, sozusagen eine Krise in
-
der Krise. Ja, wir haben die Krise,
Pandemie und dann kommt noch eine
-
Ransomware als Krise dazu. Also wenn eine
Krise schon scheiße ist. Ganz ehrlich,
-
eine Krise in der Krise ist so richtig
übel. Wie geht man da vor? Konsequente
-
Umsetzung der IT-Sicherheit. Orientieren
am B3S, am branchenspezifischen
-
Sicherheitsstandard für die
Gesundheitsversorgung im Krankenhaus. Das
-
gibt's, kann man umsetzen. Es gibt nen
OZG, ne, KZG, Krankenhauszukunftsgesetz,
-
wo auch Gelder für IT-Sicherheit endlich
bereitstellen, die bereitgestellt wurden,
-
die jahrelang verzögert und aufgestaut
wurden. Man kann sich natürlich all die
-
Sicherheitsfirmen als Unterstützung dazu
holen, nämlich Incident Response Forensik.
-
Teilweise haben die auch auch
Dienstleister, weil sie eine
-
Cyberversicherung haben und diesen waren
ausgerückt und machen da die Bekämpfung
-
der sich als Sicherheitsvorfälle und die
Inbetriebnahme wieder dieser ja manchmal
-
skurrilen Infrastruktur mit Windows 95
oder mit proprietären Klartextprotokollen
-
etc. pp. Ja, sie brauchen natürlich einen
Notfall- und Krisenmanagement, was die
-
Gleichzeitigkeit von Krisenereignissen
auch entsprechend managt und behandelt,
-
was was eben dann auch noch mal zu
berücksichtigen ist. Das sind alles
-
Punkte, die ja zur Lösung helfen können,
dass man eben nicht durch Ransomware
-
angegriffen wird. So, damit bin ich im
Wesentlichen durch. Noch mal
-
Schleichwerbung für den vorhin erwähnten
von der DiVOC ppt im September letztes
-
Jahr Vortrag. Wer da nochmal reinhören
will, die Erlebnisse eines KRITIS-Prüfers,
-
unabhängig von einer Pandemie, der sei auf
diesen Link oder auf diesen Vortrag
-
verwiesen. Da habe ich noch mal ein
bisschen zusammen erklärt, wie kreativ die
-
eigentlich umgehen, um seriös und
dauerhaft sicherzustellen, dass die
-
Versorgungsleistung kein Engpass und
keinen Ausfall hat. Ja, und damit würde
-
ich sagen vielen lieben Dank. Und kommen
wir zurück zu Pupe. Noch hör ich nix.
-
Engel: Ja, das ist dieser Taste, die ist
manchmal KRITIS. Gerade in Telkos.
-
HonkHase: Ja, manchmal ist mein Ohr auch
KRITIS, deswegen passt schon.
-
Engel: Ja dann Applaus. Applaus, Applaus.
Vorhin hast du es vielleicht nur gesehen.
-
Herzlichen Dank für den Vortrag. So
langsam sind's ja immer so ein Modul nach
-
dem nächsten und ich bin dann gespannt,
was dein nächster Vortrag zu dem Thema
-
sein wird. Vielleicht ist das ja dann
irgendwann mal so eine Lehrreihe,
-
irgendwie alles über media.ccc.de nutzbar
und das wird dann vielleicht auch noch
-
irgendwann richtig schön gefördert. Aber
erst mal kommen wir zu den Fragen und den
-
Kommentaren, welche mich über das Pad
erreicht haben. Der Link zum Pad ist ja
-
sozusagen im Programm zu finden und da
könnt ihr sogar jetzt noch in Echtzeit
-
Dinge reinschreiben. Ich sehe die dann
sozusagen direkt. Ja und während ich das
-
sage, kommt hier sogar 'ne neue Frage.
F: Was ist mit der Heizungsinfrastruktur?
-
Gehört die nicht zu KRITIS?
A: Also Fernwärmeversorgung ja die
-
Fernwärmerohrleitungen, aber die
Heizungsinfrastruktur ich würde jetzt mal
-
interpretieren, dass das die vom Gebäude
ist oder so, das ist der Endnutzer selbst
-
und der Endnutzer oder Einzelkomponenten
sind nie KRITIS. Es geht immer nur um die
-
zentralen Komponenten, die sozusagen
Massenausfall bewirken, sprich die
-
Kraftwerke, die Übertragungsnetzbetreiber
um den Strom zu liefern, das
-
Fernwärmenetz, die Tanklager für Heizöl
und Diesel, die Raffinerien, die das
-
erzeugen und so weiter und so fort. Das
Heizungsnetz in einem Hochhaus oder in
-
einem Haus ist ja sozusagen die
Einzelversorgung und die ist da sozusagen
-
nicht relevant, denn wenn einer ausfällt,
dann kann ich im Notfall zum Nachbarn oder
-
rufen 'nen Reparaturdienst oder was auch
immer. Wenn aber die zentrale Fernwärme
-
ausfällt, dann habe ich ja viele 100.000
Leute, die bedroht sind und das haben wir
-
ja beispielsweise in Texas gesehen von vor
wenigen Wochen noch. Texas hat einen
-
kompletten Blackout. Es gibt in den USA
drei Netze Ost, West, Texas. Texas ist
-
schlau und hat gesagt wir verzichten auf
alle anderen. Wir betreiben ein eigenes
-
Netz und dieses eigene Netz ist
zusammengebrochen als Blackout. Und in
-
Texas gab es dann eben keine Heizung, kein
laufend Wasser, weil ohne Strom gibt es
-
irgendwann auch keine Wasserpumpen mehr.
Und das war zu einer Zeit, wo es sehr sehr
-
kalt ist, war. Und ja, dann sind auch die
Wasserrohre und die Heizungsrohre
-
eingefroren, aufgeplatzt. Und als es dann
abgetaut ist oder auch Strom wieder da
-
war, sind die ganzen aufgeplatzten Rohre
dann ausgelaufen und man hat überall
-
Wasserschäden und immer noch keinen Strom
und Wasser. Also so mies kann's laufen
-
aber das war dann sozusagen das Stromnetz,
was ausgefallen ist, und das ist dann
-
KRITIS, aber nicht das Einzelnetz.
Engel: Ja, also, da kann man amerikanische
-
Podcast hören von Leuten, die in Texas
lebten. Also, das war, ja, ein Drama.
-
Jetzt kommt noch eine ergänzende Frage
sozusagen dahinter. Ich denke mal auch
-
wieder.
F: Was ist mit Handwerkern und Großhandel?
-
A: Also Handwerker, ja ein Handwerker
müsste dann mehr als 500.000 Personen
-
versorgen in einer Anlagenkategorie, die
kritisch ist, wüsste ich jetzt spontan
-
keinen. Ja, kann ich nicht, wüsste ich
nicht. Großhandel ja, also wenn du jetzt
-
so, keine Ahnung, beliebige, hier, Metro-
Ketten oder so wat, so 'ne Kette ist so
-
groß, dass sie Einzelhandel bei der
Versorgung mit Ernährung, also KRITIS-
-
Sektor Ernährung mit der Versorgung
sicherstellen. Und die sind kritische
-
Infrastruktur, wenn Sie mehr als 500.000
Personen versorgen, und da gibt es im
-
Handel tatsächlich einige, die darunter
fallen. Auch beispielsweise nicht nur
-
Handel, sondern auch Molkereien. Ja, die
sind ja auch im Ernährungssektor tätig.
-
Engel: Also lösen das unter KRITIS
fallende Firmen eigentlich dadurch, dass
-
sie zum Beispiel Zulieferer, irgendwie,
die können es nicht vererben, aber es wird
-
dann einfach mit in die Verträge
reingeschrieben. Oder wie macht man das?
-
Wie stellt man das sicher?
A: Also wenn ich KRITIS-Betreiber bin,
-
muss ich natürlich diese Anlage, die ich
betreibe, sicherstellen. Das heißt, wenn
-
ich ein Zulieferer hab, der irgendwie
Wartung oder Betrieb dieser Komponenten
-
macht und es geht immer um den IT-Teil,
laut IT-Sicherheitsgesetz oder BSI-Gesetz.
-
Wenn ich also die IT-Wartung oder den
Betrieb der Produktion macht der OT der
-
SCADA-Komponenten, der Prozessleittechnik
oder so, dann muss ich da sicherstellen,
-
dass auch die Zulieferer, die diese
Komponenten für mich austauschen, warten,
-
Fernzugriff machen, ja, Fernwartung und
Fernzugriff ist so ein Albtraum für sich,
-
habe ich übrigens in dem Vortrag Erfahrung
eines KRITIS-Prüfers ...
-
Engel: ... ich weiß ...
A: da habe ich den Fernwartungarchäologen
-
ins Leben gerufen und gesagt, ey immer
wenn ich dieses Wort höre, kriege ich
-
Bauchschmerzen, das ist einfach so. Aber
das alles muss man dann vertraglich mit
-
diesen Zulieferern regeln. Was nicht
geregelt werden muss, ist sozusagen die
-
grundsätzliche Supply Chain, also Wasser
oder Strom, weil das ist sozusagen
-
grundsätzliche Zulieferung oder
beispielsweise bei einer Molkerei, dass
-
die Tanklaster Milch vorbeifahren können.
Das hat dann nichts mehr mit IT zu tun.
-
Und Kühe produzieren immer. Ob das dann
ankommt, ist eine andere Frage.
-
Engel: Bis sie ein OT-Ship haben. So, dann
geht's weiter im Fragenkatalog.
-
F: Wie viel ist KRITIS / IT und wie viel
ist im Allgemeinen Katastrophenvorsorge?
-
A: Dat kann man nicht nach wie viel
beurteilen. Es gibt ca. 2.000, nicht ganz
-
2.000 kritische Infrastrukturen in
Deutschland, die so geschätzt sind. Ich
-
glaube beim BSI sind aktuell registriert
1.600 Anlagenkategorien oder so. Die mehr
-
als 500.000 Personen versorgen. Im
Allgemeinen Notversorgung, das umschließt
-
ja noch viel mehr. Also da geht ja auch
hier Krisenmanagement der Länder, der
-
Kommunen, Bundesregierung alles mögliche
rein. Auch die ganzen Deutsche Rote Kreuz
-
und sonstigen ehrenamtlichen Helfer,
selbst THW, Freiwillige Feuerwehr, das
-
wird alles unter Katastrophenhelfer
gezählt und sogar Bundeswehr, die ja im
-
äußersten Notfall auch hilft. Der
äußersten Notfall ist jetzt schon seit
-
einem Jahr etablierter Standard. Ist
eigentlich auch Fail by Design. So was
-
nutzt man nur im äußersten Notfall und
guckt auch ganz schnell, dass man wieder
-
von diesem äußersten Notfall wegkommt.
Weil wenn ich dann noch mal eine Krise
-
obendrauf krieg, dann ist Game Over und
dann haben wir wirklich Holland in Not und
-
Deutschland noch dazu und alles andere.
Aber, ja, kann ich jetzt. Ich wüsste
-
nicht, ob das da irgendwo Zahlen gibt,
außer das, was so veröffentlicht wird. THW
-
hat 85.000 Mitglieder, ungefähr 80.000
davon sind beispielsweise dann
-
ehrenamtlich, aber kann man jetzt nicht
alle einzeln oder gesamt aufdröseln.
-
Wüsste ich nicht.
F: Dann geht es weiter. Was ist deine
-
Einschätzung zum Sektor Zahlungsverkehr?
Zum Beispiel Haspa, Geldautomatenausfall,
-
Einführung starke Ausführ-PSD II, kein
Login ohne 2F2, also 2-Faktor-
-
Authentifizierung.
A: Ja, also, man muss sagen, der Sektor
-
Finanz- und Versicherungswesen ist, und
wenn man da nur den Bankenteil betrachtet,
-
nicht die Börsen und die Versicherungen,
die haben zwar Altlasten und uralte
-
Systeme, teilweise auch im Einsatz, und
echt komplexe Infrastrukturen. Die
-
Deutsche Bank hatte vor, ich weiß nicht
mehr, 2 Jahren oder so, hatten die ja mal
-
gesagt wir haben hier insgesamt 7.000
verschiedene Anwendungen und
-
Kernkomponenten und eine Anwendung kann
beliebig komplex werden und viele Systeme
-
haben, aber man muss fairerweise auch
sagen, sie sind sehr reguliert, ja, eine
-
Bank wenn die einen Vorfall hat, dann muss
die beispielsweise melden an, vielleicht
-
an die EZB, also an die Europäische
Zentralbank, an die Bundesbank, an 'ne
-
Cyberversicherung, wenn sie eine hat und
die meisten haben eine. Du musst melden an
-
die BaFin, du musst ans BSI melden. Also
wirklich Kreuch und Fleuch an jeder
-
Stelle, du wirst überreguliert und wenn du
dann noch eine Anmeldung für Finanzamt in
-
den USA hast, dann muss du irgendwie an
New York irgendwie da auch noch eine
-
spezielle Meldung machen. Wenn du in
Singapur irgendwie ein Büro hast, Singapur
-
verlangt, dass du ein lokales Office haben
musst, und wenn du unter den offiziellen
-
Regularien in Singapur bist, muss du da
auch noch mal eine separate Meldung
-
machen, wenn du an, naja gut Börse haben
wir gerade ausgeklammert, aber wenn wir
-
beispielsweise jetzt eMoney-Lizenz an der
Börse in UK haben, dann muss man da noch
-
mal melden. Also du kannst dich tot melden
und du kannst auch so konfiguriert werden
-
mit irgendwelchen Complianceregularien,
die oft genug im Widerspruch stehen. Das
-
macht es dann auch nicht trivial mal eine
Kernanwendung wo Millionen von Leute drauf
-
tagtäglich rund um die Uhr arbeiten und
auch erwarten, dass mein Geld aus dem
-
Automaten plöpt oder so, mache ich mal
kurz eine Anpassung. Also ist gut wie
-
schlecht. Ist es gut überreguliert und
auch gut abgehangen, aber andererseits
-
schlecht, weil diese Überregulierung das
auch extrem marode und Never change a
-
running system und wenn du es anfasst
explodiert eh alles und du bist fällig.
-
Keiner will es anfassen. Also alle - und
das übrigens Sneak Preview, IT-
-
Sicherheitsgesetz 2.0 wird genau so was
einbringen für die kritischen
-
Infrastrukturen. Es wird komplexer, es
wird sinnloser, es wird sinnfreier.
-
Deswegen grusel ich mich jetzt schon davor
alle sechs Sachverständigen im Bundestag,
-
ich war einer davon, haben dagegen
gemault, selbst die von der CDU. Und es
-
hat das BMI völlig nicht interessiert. Die
laufen immer noch rum und sagen Yeah, wir
-
sind die Besten, tolles Gesetz, alle nur
positiv.
-
Engel: Lustigerweise musste ich gerade an
diese Anhörung denken, weil in der
-
Anhörung hast du auch so viel gesprochen
und bist nie zum Ende gekommen.
-
HonkHase: 'tschuldigung
Engel: Und es werden zunehmend mehr
-
Fragen. Nein, ich freue ja aber
HonkHase: dann mich ich's kürzer jetzt
-
Engel: Während wir reden kommen immer neue
Fragen rein. Ist total spannend, was noch
-
alles kommt. So.
F: Warum ist dann die Logistik noch kein
-
KRITIS? Ohne Logistik funktioniert auch
keine Infrastruktur so wirklich, oder?
-
A: Das ist einfach. KRITIS-Sektor
Transport und Verkehr. Logistik über
-
500.000 Personen ist abgedeckt. Nächste
Frage.
-
Engel: Volle Punktzahl.
F: Inwieweit achtet ihr eigentlich auf
-
Paketversionen bei Dependencies, wenn ihr
mit Kunden arbeitet? Mir scheint, als
-
wären bei vielen Zertifizierungen unter
anderem nur geprüft wird, ob von Lib X die
-
neueste Version genutzt wird. Worauf
scheinbar nicht geachtet wird ist, wie
-
alt, veraltet, verbuggt, ist diese neueste
Version.
-
A: Also eine KRITIS-Prüfung ist nur eine
Prüfung und keine Zertifizierung. Man
-
kriegt also kein Bapperl danach, sondern
lediglich eine Einhaltung der
-
Gesetzesvorlage als Empfehlung und die
Einhaltung sprechen dann BSI teilweise im
-
Benehmen oder Einvernehmen mit der
Aufsichtsbehörde aus. Aber das Problem bei
-
Zertifizierung kenne ich. Ich kenn nämlich
auch so den einen oder anderen
-
Zertifizierer. Das sind dann, wie soll ich
sagen, Ahnungslose oder Blinde unter den
-
Einäugigen. Wenn die natürlich nicht
wissen, was es bedeutet, ja, Secure
-
Software Development Life Cycle,
Anpassungen, Updates oder Upgrades in der
-
Form, dass da auch die Dependencies
berücksichtigst, aber nicht jede, nämlich
-
nicht jede, die ein Feature beinhaltet,
was dich nicht interessiert, aber jede die
-
ein Security Update hat, oder wenn eine
Dependency out of maintenance ist, machen
-
aber tatsächlich viele nicht, weil sie so
tief gar nicht prüfen, was eigentlich
-
schade ist, weil ja, es ist eine der
großen Lücken, die oft genug vorkommen.
-
F: Ja, dann gab es neue Erkenntnisse zur
Kritikalität von nicht als KRITIS
-
eingestuften Infrastrukturen. Stichwort
Pharmaproduktion, Altenheim, Supply Chain,
-
Europäische Cloud Rechenzentren.
A: Jein. Also für mich ja, für die AG
-
KRITIS auch ja, für diverse kritische
Infrastrukturbetreiber oder die
-
Mitarbeiter ja, für manche
Wirtschaftsverbände nicht mehr so ja, für
-
die Länder und die Bundesregierung eher
nicht so ja, und das BMI ey tschakka,
-
alles cool. Wir packen jetzt die
Siedlungsabfallentsorgung dazu und dann
-
diese UNBÖFI, Unternehmen im besonderen
öffentlichen Interesse, und dann noch
-
diese komischen, hier und da noch so ein
bisschen, und dann ist schick. Also,
-
meiner Meinung nach, meiner ganz
persönlichen Meinung nach, komplettes Fail
-
und Versagen, weil die echten Bedarfe
wurden nicht adressiert, sondern wieder
-
irgendwelche kaschierten Düdeldüs. Ja, so
sieht es aus
-
F Jetzt eine sehr spannende Frage. Wird
bei der Lebensmittelindustrie
-
unterschieden, ob zum Beispiel
Molkereiprodukte versus Bonbon-Fabrik?
-
A: Nein. Wenn du eine Versorgung über
500.000 Personen sicherstellen musst, dann
-
bist du KRITIS. Es gibt aber verschiedene
Anlagenkategorien. Also Herstellung,
-
Vertrieb von Lebensmitteln etc.. Und diese
einzelnen Kategorien. Wenn ich in einer
-
dieser Kategorien über 500.000 bin, dann
fällt es weg. Kleines Beispiel was außen
-
vor ist: Alkohol. Weil es steht drin, dass
beispielsweise bei Wasser eben es nur um
-
Wasser geht und nicht um Alkoholisches.
Insofern sind alkoholische Getränke zum
-
Beispiel komplett ausgeklammert.
F: Ja, dann was is, oh, jetzt kommt die
-
letzte Frage, das ist natürlich doof. Was
ist nach deiner Einschätzung nach der
-
brüchigste Sektor, also der mit der
größten Ausfallrisiko?
-
A: Strom. Weil Strom sozusagen die Basis
für alles ist, wenn Strom wegfällt, fällt
-
kurz danach Telekommunikation weg und
danach bricht alles andere zusammen. Wer
-
das mal genauer eruieren will, kann sich
gerne Blackout von Marc Elsberg mal
-
durchlesen. Das ist schon recht nah an der
Realität. Es gibt vom TAB Bundestag, TA
-
Bundestag eine Blackoutstudie von, 2012
glaube ich war's, die hat auch, ich glaub
-
250 Seiten oder so, die schreibt ganz
genau wissenschaftlich erforscht auf, was
-
nach 'nem Blackout so wie in welcher
Reihenfolge passiert. Wer dann noch nicht
-
genug hat, kann sich vielleicht noch 42
Grad durchlesen. Das ist auch ein Buch,
-
was sozusagen das ganze aus Wassersicht
beschreibt. Aber Strom ist definitiv die
-
Basis für alles und das ist am
kritischsten. Danach kommt IT und TK, weil
-
ohne Kommunikation funktioniert auch nicht
viel.
-
Engel: Ja dann wäre ich an der Stelle
erstmal nochmal Danke, Danke, Danke für
-
den Vortrag, für die Antworten. Die drei
Fragen, die noch drinstehen, da werden die
-
Antworten hinterher reingeschrieben,
bestimmt von HonkHase, kann dort
-
vielleicht die Sachen noch mal
kommentieren. Ansonsten könnt ihr Feedback
-
da auch immer reinschreiben. Und an der
Stelle würde ich einfach noch so virtuell.
-
Applaus, Applaus, Applaus sagen. Und ja,
dann gehen wir sozusagen glaub ich wieder
-
zurück ins Main-Programm und ja, dann
freue ich mich, dass es hier gleich
-
weitergeht.
-
Outro
-
Untertitel erstellt von c3subtitles.de
im Jahr 2022. Mach mit und hilf uns!
