Problem connecting to Twitter. Please try again.

#DiVOC R2R - Kritische Infrastrukturen in Pandemie-Zeiten

Edit subtitles

0:00 - 0:14

Intro
0:14 - 0:22

Engel: Ja, kommen wir nämlich jetzt zu
einem Vortrag, der mir selber am Herzen
0:22 - 0:26

liegt, weil einige meiner besten Freunde
haben KRITIS. Und es ist halt so eine
0:26 - 0:29

Krankheit, wie so eine Pandemie, da muss
man einfach sagen, muss man erst mal mit
0:29 - 0:35

umgehen lernen. Darum freut es mich umso
mehr, dass wir jetzt hier bei uns im Saal
0:35 - 0:40

oder wie auch immer man das hier so nennt,
den HonkHase oder mit bürgerlichem Namen
0:40 - 0:48

Manuel Atug haben. Honk ist sozusagen
einer der Mitgründer von der KRITIS AG.
0:48 - 0:51

Gleichzeitig macht ja auch so was mit
Security, wenn man sich bei ihm also den
0:51 - 0:56

Track Record ansieht. Irgendwie 23 Jahre
Informationssicherheit und im Endeffekt
0:56 - 1:01

muss man sagen, er ist halt wirklich ein
alter Hase in der Szene und auch in
1:01 - 1:04

anderen Szenen. Und da muss man einfach
sagen: Wow, für deine ganzen Experience
1:04 - 1:10

Points, die du jetzt sozusagen mit
einbringst, hier in diesem Vortrag. Und an
1:10 - 1:13

der Stelle, ja, welcher Vortrag wird das
überhaupt? Ja richtig, Kritische
1:13 - 1:19

Infrastrukturen in Pandemie Zeiten. Und
ja, jeder der sozusagen das Glück hat in
1:19 - 1:24

Firmen zu arbeiten, die auch unter KRITIS
fallen, ja die werden glaube ich ein Lied
1:24 - 1:27

davon singen können und werden jetzt
besonders aufmerksam auch zuhören, ob man
1:27 - 1:31

hier auch noch mal was lernen können. Und
an der Stelle würde ich einfach sagen:
1:31 - 1:39

Applaus, Applaus, Applaus, vorab. Wasser
Marsch. Honk, the Stage is yours.
1:39 - 1:44

HonkHase: Ja danke Pupe. Ich hatte ja
schon einen anderen Vortrag gehalten:
1:44 - 1:46

Erfahrungen eines KRITIS-Prüfers, haben
ein bisschen erzählt, wie man da so lebt,
1:46 - 1:51

leidet, aber auch, wie kreativ sozusagen
die Vorhaltung der kritischen
1:51 - 1:56

Infrastrukturen oder besser gesagt der
Versorgungsleistungen, so bewerkstelligt
1:56 - 2:02

wird. Und heute zeige ich euch mal so ein
paar Themenabschnitte wie kritische
2:02 - 2:04

Infrastrukturen eben in so einer
pandemischen Zeit eigentlich im
2:04 - 2:11

Hintergrund, die ganze Sachlage stemmen
sozusagen. Ja Pupe hat schon gesagt, ich
2:11 - 2:17

habe quasi KRITIS im Endstadium. Über 23
Jahre bin ich in all dem Ganzen aktiv.
2:17 - 2:22

Meine Kernthemen sind eben kritische
Infrastrukturen aus Leidenschaft Hackback,
2:22 - 2:26

weil es eben auch kritische
Infrastrukturen bedroht. Ethik,
2:26 - 2:30

Cyberresilienz, also wie wird man
resilient gegen das ganze, Cyber-Gedöns,
2:30 - 2:35

Stern Punkt Stern und eben der
Bevölkerungsschutz, weil am Ende ja wollen
2:35 - 2:39

wir eigentlich morgen noch kraftvoll in
die Tastatur hacken und dazu brauchen wir
2:39 - 2:44

Strom, Wasser, Hund, Katze, Maus und wie
das sichergestellt wird, das erzähle ich
2:44 - 2:49

euch dann mal jetzt ein bisschen. Aber
bevor wir da reingehen, werde ich euch
2:49 - 2:53

noch mal ein bisschen zu den kritischen
Definitionen erzählen, denn die
2:53 - 2:57

rechtlichen Definitionen sind alles andere
als trivial oder komplett geklärt und
2:57 - 3:01

geregelt. Und deswegen machen wir da auch
noch mal einen Durchblick oder Überblick,
3:01 - 3:06

damit ihr anschließend den Durchblick
habt, was das eigentlich so rein rechtlich
3:06 - 3:10

und gesetzlich bedeutet. Warum das einfach
oder komplex ist. Und dann kommen wir zu
3:10 - 3:13

sechs Fallbeispielen, die ich euch einfach
mal mitgebracht habe und im Detail
3:13 - 3:21

aufdröseln. Ja, rechtliche Definitionen
was ist ein KRITIS-Betreiber? Gucken wir
3:21 - 3:27

mal von oben nach unten herab auf auf die
einzelnen Ebenen. Die Europäische Union
3:27 - 3:33

hat das in der NIS-Richtlinie definiert.
Die NIS 1.0, die 2er ist gerade in Arbeit,
3:33 - 3:40

Grusel Grusel. Aber da sind im
Wesentlichen oder es sind Betreiber
3:40 - 3:45

wesentlicher Dienste definiert. Das sind
dann sieben Stück an der Zahl. Und das
3:45 - 3:48

Ziel ist eben zu sagen Festlegung von
Maßnahmen zum Erreichen des gemeinsamen
3:48 - 3:53

europäischen Sicherheitsniveaus von Netz-
und Informationssystem. Soweit, so cool.
3:53 - 3:57

Klingt sinnvoll, ist aber gar nicht so
trivial umzusetzen. Aus dieser NIS-
3:57 - 4:03

Richtlinie hat sich dann später eben das
IT-Sicherheitsgesetz abgeleitet. Komme ich
4:03 - 4:07

gleich zu. Erst mal so ganz allgemein
Bundesrepublik Deutschland hat eine
4:07 - 4:10

einheitliche Definition. Kritische
Infrastrukturen auf Bundes und Landesebene
4:10 - 4:14

heißt, ja: "KRITIS sind Organisationen
oder Einrichtungen mit wichtiger Bedeutung
4:14 - 4:20

für das staatliche Gemeinwesen, bei deren
Ausfall oder Beeinträchtigung nachhaltig
4:20 - 4:24

wirkende Versorgungsengpässe, erhebliche
Störung der öffentlichen Sicherheit oder
4:24 - 4:28

andere dramatische Folgen eintreten
würden". Klingt jetzt nach Drama-Queen,
4:28 - 4:33

ist es aber auch, weil die Sektoren, die
da definiert sind, Energie, Wasser, IT und
4:33 - 4:37

TK, Gesundheit, gerade Gesundheit, sehen
wir jetz in der Pandemie, wenn die nicht
4:37 - 4:41

funktionieren, haben wir ganz schnell
dramatische Folgen, nämlich Krisen, wie
4:41 - 4:46

beispielsweise auch die Pandemie eine
querstellt. Und zusätzlich zu diesen
4:46 - 4:50

7 Sektoren kommen noch zwei dazu, die
sind ein bisschen besonders in
4:50 - 4:54

Deutschland, nämlich Staat und Verwaltung
und Medien und Kultur, denn Staat und
4:54 - 4:59

Verwaltung kann natürlich nicht auf auf
BSI-Ebene, sag ich mal, Bundesamt für
4:59 - 5:03

Sicherheit in der Informationstechnik,
geregelt werden. Genauso Medien und
5:03 - 5:08

Kultur, denn Medien werden zum Beispiel in
den Landesmediengesetzen geregelt. Da darf
5:08 - 5:14

natürlich nicht der Bund ins Land rein
grätschen. Das ist so ganz generell mal
5:14 - 5:19

der Stand. Dann habe ich gerade schon
erwähnt IT-Sicherheitsgesetz 1.0 leitet
5:19 - 5:25

sich also aus der NIS-Richtlinie der EU
ab. Das Gesetz zur Erhöhung der Sicherheit
5:25 - 5:31

informationstechnischer Systeme 2015 in
Deutschland irgendwie aktiv geworden und
5:31 - 5:36

deckt im Endeffekt genau das ab als
Zielsetzung, was wir gerade schon hatten
5:36 - 5:39

Absicherung der IT-Systeme und der
digitalen Infrastruktur, Verbesserung der
5:39 - 5:44

IT-Sicherheit von Unternehmen der
Bundesverwaltung. Ja gut, ist noch room
5:44 - 5:47

for improvement. Schutz der Bürgerinnen
und Bürger im Internet. Ja, das ist noch
5:47 - 5:52

ganz viel room for improvement. Die
Sektoren sind im wesentlichen dieselben,
5:52 - 5:59

die die EU definiert hat. Ist ja die
Pflicht die EU Sicht in die Landessicht
5:59 - 6:05

sozusagen umzumünzen und das IT-SiG 2.0
ist ja demzufolge auch in Arbeit, genauso
6:05 - 6:12

wie die NIS 2 Richtlinie. Aber genau da so
ebenfalls Grusel. Ja, aus dem IT-
6:12 - 6:19

Sicherheitsgesetz 1 leitet sich ab Dinge
fürs BSI Gesetz, die da zu berücksichtigen
6:19 - 6:23

sind, ist ganz generisch erstmal.
Festlegung der Aufgaben und Befugnisse des
6:23 - 6:28

BSI und eben weitergehende Befugnisse als
Reaktion auf neue Bedrohung zunehmender
6:28 - 6:31

Bedeutung der Informations und
Kommunikationstechnologie. Da haben wir
6:31 - 6:37

jetzt die sieben kritische Infrastruktur
Sektoren der EU und sozusagen
6:37 - 6:43

deutschlandweit ohne die zwei
Sonderlöckchen, die dann in dem BSI Gesetz
6:43 - 6:47

geregelt sind, wie der Ablauf ist, welche
hoheitlichen Aufgaben und welche
6:47 - 6:51

Befugnisse, aber auch Rechte und Pflichten
das BSI hat oder eben auch die einzelnen
6:51 - 6:56

kritischen Infrastruktur-Dienstleister und
daran anhängend ist noch mal, weil wir
6:56 - 6:59

sind ja noch nicht fertig mit der
Rechtslage, muss ja immer noch einer
6:59 - 7:04

draufgelegt werden, ein habe ich noch: die
BSI-KRITIS-Verordnung, die ihr seht, da
7:04 - 7:08

drin wird der Schwellenwert der
Leistungsfähigkeit, IT Sektor zum
7:08 - 7:11

Beispiel, definiert und die genaue
Anlagenkategorie. Heißt
7:11 - 7:16

Frischwassergewinnungwerk,
Abwasserentsorgung, das sind zwei Anlagen-
7:16 - 7:20

Kategorien. Ich betreibe solche Anlagen
oder ein Frischwassergewinnungswerkbrunnen
7:20 - 7:25

wäre dann eben ein Brunnen zur
Frischwasserentnahme, den ein Wasserwerk
7:25 - 7:30

nutzt, um Wasser zu produzieren. Und der
Schwellenwert ist das, ab wann eigentlich
7:30 - 7:36

ein Dienstleister oder Leistungserbringer
in diesem Sektor dann als kritische
7:36 - 7:41

Infrastruktur gilt. Und aktuell ist es
relativ einfach. Die Schwellenwerte sind
7:41 - 7:46

bei allen sieben Sektoren pauschal immer
500.000 Personen in der Versorgung,
7:46 - 7:51

umgerechnet auf die Versorgungsleistungen.
Heißt 22 Millionen Kubikmeter Frischwasser
7:51 - 7:56

pro Jahr beispielsweise, dann bin ich
KRITIS. Mache ich weniger, dann bin ich
7:56 - 8:01

zwar in dem Sektor, aber diese ganzen
Gesetzeslagen sind irrelevant. Trotz allem
8:01 - 8:06

ist es kritische Infrastruktur. Jetzt habe
ich aber noch einen, weil er einfach, wenn
8:06 - 8:10

wir bis hierhin gekommen sind und die
Länder vergessen, landesspezifische
8:10 - 8:14

Vorgaben gibt es natürlich dann auch noch
mal. NRW habe ich jetzt die vom April 2020
8:14 - 8:20

Coronabetriebsverordnung rausgepickt. Die
ist inzwischen auch schon aktualisiert
8:20 - 8:23

worden. Da ist teilweise auch die
Definition übrigens schon wieder
8:23 - 8:28

rausgefallen. Dieser Paragraph 5
CoronaBetrVO gibt's gar nicht mehr. Aber
8:28 - 8:32

zu dem Zeitpunkt haben die auch versucht
zu sagen: Hey, wir müssen hier irgendwie
8:32 - 8:37

den Schutz vor Neuinfizierungen regeln im
Rahmen der BetreuungsInfrastruktur oder im
8:37 - 8:43

Rahmen der ja wichtigen Dienste oder
systemkritische Dienste, systemrelevante
8:43 - 8:48

Systeme. Da wurden in jeder Verordnung
wird es anders genannt. Jedes Land hat ja
8:48 - 8:51

eine. Und hier war es so, dass eben die
sieben Klassischen benannt wurden:
8:51 - 8:57

staatliche Verwaltung auf sozusagen
landesspezifischer Ebene, die Medien, ja,
8:57 - 9:00

weil die natürlich landesweit sind, aber
da wurden eben auch beispielsweise
9:00 - 9:05

Schulen, Kinder- und Jugendhilfe und
Behindertenhilfe gelistet als sozusagen
9:05 - 9:09

Sektoren kritischer Infrastruktur, bei der
man irgendwie auch den Schutz vor
9:09 - 9:14

Neuinfizierung regeln muss. Ja, die
Bundesländer generell Grusel, Grusel, das
9:14 - 9:17

war ja auch immer alles ein Hin und Her
und dieses Hin und Her haben wir jetzt
9:17 - 9:22

noch nicht ausgestanden. Aber das war der
Schnellüberblick über die gesetzlichen
9:22 - 9:25

Regelungen, damit war auch ein bisschen
mehr Zeit haben, über die sechs
9:25 - 9:28

Fallbeispiele, die ich mitgebracht habe,
zu reden. Ja, wie sieht kritischer
9:28 - 9:35

Infrastruktur in Pandemiezeiten aus? So.
Eine Herausforderung, die so Anfang
9:35 - 9:40

letztes Jahr teilweise bei großen
kritische Infrastruktur-Dienstleistern
9:40 - 9:44

schon im Januar längst adressiert wurden,
da wart ihr wahrscheinlich noch gar nicht
9:44 - 9:49

im ersten, ja, ich nenne es jetzt einfach
mal Lockdown oder im Homeoffice oder zu
9:49 - 9:53

Hause, wie auch immer. Die hatten also
teilweise schon im Januar ihre
9:53 - 9:57

Pandemiekonzept ausgegraben und gesagt: Oh
shit, wir müssen reagieren. Nachzügler im
9:57 - 10:02

Februar und diejenigen, die so nicht
richtig davon mitbekommen haben, dann so
10:02 - 10:06

März, April. Aber das Wichtigste wurde
eigentlich zeitnah realisiert. Es gab kaum
10:06 - 10:11

bekannt gewordene wesentliche Ausfälle,
aber die Herausforderung war zum Beispiel
10:11 - 10:16

Ausfall systemrelevanten Personals zum
Betrieb der kritischen Anlagen Kategorie,
10:16 - 10:20

damit die Versorgungsleistungen bei der
Bevölkerung ankommt. Ich kann kein
10:20 - 10:27

Frischwassergewinnungswerk betreiben, also
ein riesengroßen Pumpensteuerungsanlagen,
10:27 - 10:32

Labore, um den Wasserreinheitsgehalt
aufrechtzuerhalten. Trinkwasser hat eine
10:32 - 10:37

sehr sehr hohe Anforderungen an die
Trinkwasserqualität. Die ist deutlich
10:37 - 10:42

höher als bei in Flaschen abgefülltem
Zeugs beispielsweise. Und die Szenarien
10:42 - 10:48

sind also, was war zu dem Zeitpunkt so das
Szenario? Anreise der Mitarbeitenden vom
10:48 - 10:52

privaten Wohnsitz. Wie kriegen wir das
geregelt? Da waren ja teilweise Busse und
10:52 - 10:57

Bahnen außer Betrieb oder durfte kaum
jemand fahren. Wie auch immer. Ja, wenn
10:57 - 11:01

die Fahrgemeinschaften machen war auch
wieder eine Infektionsrisiko. Kontakt zu
11:01 - 11:05

anderen Personen. Die gehen nach Hause und
haben dann Kontakt mit Familie, Verkäufer
11:05 - 11:12

etc. pp. Und die Exposition gegenüber
einer Infektion mit COVID-19 war natürlich
11:12 - 11:17

jederzeit gegeben. Kriegen wir das
geregelt? Und die Auswirkungen dieser
11:17 - 11:21

Szenarien und Herausforderungen war dann
eben Ausfall der Mitarbeitenden aufgrund
11:21 - 11:24

einer Infektion und eben erhöhtes
Ansteckungsrisiko innerhalb der
11:24 - 11:29

Belegschaft. Da war also die Frage wie
können wir da gegensteuern? Die haben
11:29 - 11:34

natürlich Pandemiekonzepte. Manche wurden
auch noch mal spontan überarbeitet oder,
11:34 - 11:38

ups, wir müssen noch mal den Staub
wegwischen und mal aktualisieren. Aber
11:38 - 11:42

viele hatten schon laufende Konstrukte.
Muss man fairerweise auch sagen. So
11:42 - 11:45

schlimm sieht es nicht aus. Aber die
Herausforderung war auf jeden Fall
11:45 - 11:50

gegeben. Wie sahen die Lösungen aus? Wenn
du zum Beispiel so ein Leitstand in einem
11:50 - 11:55

Kraftwerk hast oder ein Leitstand in 'nem
Wasserwerk, muss du eben schauen, dass du
11:55 - 12:00

das systemrelevante Betriebsteam isoliert.
Das heißt du nimmst Leute, die den
12:00 - 12:04

Leitstand besetzen, aber auch zum Beispiel
nen Elektriker. Wenn mal 'ne Kleinigkeit
12:04 - 12:07

ist, muss er das schrauben und machen und
tun. Und den hast du natürlich mit vor Ort
12:07 - 12:13

im Team. Und ja, die brauchen natürlich
Bereitstellung von Unterkünften am
12:13 - 12:18

Arbeitsplatz, weil die wurden isoliert.
Isoliert heißt wirklich abgetrennt. Die
12:18 - 12:23

haben also am Arbeitsplatz
Schlafmöglichkeiten und Aufenthaltsräume
12:23 - 12:27

bereitgestellt oder eben aktiviert. So wie
das Pandemiekonzept das vorsieht.
12:27 - 12:32

Teilweise haben die die dann, also nicht
teilweise, die allermeisten haben sie
12:32 - 12:36

eigentlich freiwillig gefragt. Hier habt
ihr da Lust, Zeit und Nerv zu? Wollt ihr
12:36 - 12:40

euch freiwillig sechs Wochen oder vier
Wochen oder wie der Zyklus bei denen eben
12:40 - 12:46

ist, in eine Isolation begeben? Ihr kriegt
dann extra für und die Bevölkerung wird
12:46 - 12:51

euch lieben. Ihr dürft natürlich auch
Kontakt zu der Familie halten etc. Aber
12:51 - 12:56

nur remote wird alles aufgeschaltet. Kein
Thema. Aber eben auch wir stellen euch
12:56 - 12:59

Schlafmöglichkeiten, Aufenthaltsräume
bereit. Was man noch berücksichtigen
12:59 - 13:03

musste waren dann Dinge des täglichen
Bedarfs: Waschmaschine aufstellen,
13:03 - 13:08

Waschmittel, jede Menge Nahrungsmittel
verpacktes wie auch, und natürlich bis zu
13:08 - 13:13

einem gewissen Grad, frisches über eine
Sicherheitsschleuse sozusagen
13:13 - 13:19

Vereinzelungsschleusern der Form, dass man
Nachschub sozusagen da rein stellt, eine
13:19 - 13:23

Weile wartet und versucht das ummantelt zu
haben, desinfizieren und dann eben ziehen
13:23 - 13:27

die das da rein, packen alles aus,
versuchen auch noch mal zu warten und
13:27 - 13:32

alles zu desinfizieren und dann eben die
Sachen einzubringen. Und da wurde dann
13:32 - 13:36

beispielsweise eben auch Trinkwasser
reingebracht, wenn man nicht fließend
13:36 - 13:42

Wasser da sowieso hatte. Ja auch so was
wie Tee oder Kaffee, Kaffee, schwarz, heiß
13:42 - 13:48

und schön lecker Junge, wird also alles,
was man im täglichen Bedarf braucht, in
13:48 - 13:52

der Isolation eben vorbereitet und über
die Schleuse dann die Weiterversorgung
13:52 - 13:56

sichergestellt. Und, was sie auch
sicherstellen mussten, psychologische
13:56 - 14:01

Fürsorge durch Beschäftigungsmöglichkeiten
und psychologische Betreuung. Denn
14:01 - 14:07

Isolation, so vier oder sechs Wochen immer
dieselben Leute, ist natürlich auch hart.
14:07 - 14:13

Draußen ist die Familie in dieser unklaren
Situation. Wir denken mal zurück. März,
14:13 - 14:18

April, Mai, letztes Jahr. Keiner wusste so
richtig, was passiert. Was wird. Es kamen
14:18 - 14:21

fast täglich neue Studien. Die
Wissenschaftler haben neue Erkenntnisse
14:21 - 14:25

gehabt. Die Politik hat gesagt hü, hott,
nein, ja, doch, vielleicht, wir schauen
14:25 - 14:30

mal, dinge aus Gründen. In der Situation
dann zu sagen Ich lass meine Familie im
14:30 - 14:34

Stich und gehe jetzt sozusagen die
Bevölkerung retten ist natürlich auch
14:34 - 14:38

psychologisch sehr viel Druck und da gab
es dann entsprechend auch Fürsorge, bei
14:38 - 14:43

denen wo es notwendig war oder die wurde
generell bereitgestellt. Es gibt natürlich
14:43 - 14:48

auch immer Einzelfälle, wo das vergessen
wurde oder nicht ordentlich betrachtet
14:48 - 14:53

wurde. Es gibt auch viele Einzelfälle,
wenn man jetzt mal in die Krankenhäuser
14:53 - 14:58

und Pflegeheime schaut. Der Sektor
Gesundheit, da hat ja die Politik nicht
14:58 - 15:04

gerade mit Glanz und Ruhm gehandelt. Wir
erinnern uns noch an 20 Uhr gehen wir
15:04 - 15:08

auf'n Balkon und klatschen mal 'ne Runde.
Aber wenn Tarifverhandlungen waren, hat
15:08 - 15:13

das Bundesgesundheitsministerium gesagt:
Nö, Tarifeupgrade gibt's nicht, es gibt
15:13 - 15:18

eine Einmalzahlung, aber mehr Geld? Nö.
Ist natürlich auch psychologischer Druck,
15:18 - 15:23

der nicht unbedingt dafür sorgt, dass man
sagt: Hey, ich hab diesen Beruf aus Herzen
15:23 - 15:29

gewählt und jetzt mach ich das auch. Also
all das kommt zusammen. Es ist
15:29 - 15:33

systemrelevant, das Personal, es wurden
Maßnahmen getroffen, damit man eben den
15:33 - 15:36

Ausfall kompensiert. Teilweise haben es
ganz große
15:36 - 15:40

Betreiber, jetzt Atomkraftwerk,
Leitstand oder so auch
15:40 - 15:42

durchaus so geregelt, dass
sie gesagt haben, wir haben
15:42 - 15:49

ein Betriebsteam vor Ort. Wir haben ein
weiteres unabhängig isoliert an einer
15:49 - 15:55

anderen Station oder in separaten
Räumlichkeiten, sodass also wenn dieses
15:55 - 15:59

Betriebsteam warum auch immer eine COVID-
Infektion eingeschleust bekommt und wir
15:59 - 16:04

das nicht verhindern konnten, kann es ja
sein, dass sie alle komplett ausfallen und
16:04 - 16:08

dann müssen wir eben ein zweites Team
ready haben und manche hatten sogar ein
16:08 - 16:13

drittes Team hot-spare, also das wirklich
dann im Worst Case zwei komplette
16:13 - 16:17

systemrelevante Betriebsteams ausfallen
konnten und ein Drittes noch da war, um
16:17 - 16:22

den Betrieb sicherzustellen. Und das alles
ist weitestgehend transparent im
16:22 - 16:25

Hintergrund passiert und kaum in den
Medien oder in der Presse gewesen. Hier
16:25 - 16:29

und da mal so ein bisschen, Stadtwerke in
Wien oder so hatten da mal ein Bericht zu
16:29 - 16:34

gemacht. Also man kann da ein bisschen zu
recherchieren, aber im Wesentlichen machen
16:34 - 16:36

die schon seit vielen Jahren immer ihren
16:36 - 16:40

Dienst im Hintergrund und das fällt
dann auch nicht so auf.
16:40 - 16:43

Deswegen hier noch mal
ein dickes, fettes Danke an alle
16:43 - 16:48

systemrelevanten Personen, die sich in
Isolation begeben haben, die trotz dieser
16:48 - 16:52

Krisenlage permanent ihren Schichtdienst
aufrecht halten und kümmern und machen und
16:52 - 16:59

tun. Das ist wirklich ein dickes, fettes
Dankeschön wert. Und ich verneige mich und
16:59 - 17:05

geb mein Respekt an all diese Personen.
Joa, zweite Herausforderung, wat hab wer
17:05 - 17:08

denn noch? Wir haben ja gerade schon
gesagt Frischwasser, wat frisch reinkommt,
17:08 - 17:13

muss auch hässlich wieder weg. Alles
Kacke, ne? Abwasserentsorgung, so. Wat ham
17:13 - 17:15

wir gehabt? Wir haben die
Herausforderung gehabt,
17:15 - 17:17

die Leute hamstern Toilettenpapier
auch nicht so auf.
17:17 - 17:22

Es gibt temporär Mangel
an Toilettenpapier. Die Endverbraucher-
17:22 - 17:26

Toilettenpapier waren dann sozusagen nicht
mehr da, aber die Industrieprodukte waren
17:26 - 17:31

da. Das heißt, wenn ich so große Rollen
habe, die ich in der Industrie fertige und
17:31 - 17:36

dann auch in den Produktionshallen habe,
aber so kleine Rollen, die für zu Hause
17:36 - 17:40

sind sozusagen, und sich plötzlich alles
von Industrie und Produktion und
17:40 - 17:46

Wirtschaft in Richtung Homeoffice
verschiebt, oder Lockdown anfangs, dann
17:46 - 17:50

kann ich natürlich nicht Produkt A mit
Produkt B mal eben austauschen, weil die
17:50 - 17:55

Produktionsstraßen und die Fertigung eine
ganz andere sind. Und das hat dann
17:55 - 17:59

tatsächlich zu diesem, inklusive dem
Hamstern dazu geführt, dass es einen
17:59 - 18:03

Engpass gab, temporär. Und ja, auch die
Logistik war natürlich eine
18:03 - 18:08

Herausforderung, weil die großen Rollen
anders verpackt in viel größeren, also
18:08 - 18:11

palettenweise normalerweise wie ein
Produkt, das ist halt 'ne Palette mit
18:11 - 18:17

einzeln abgepackten, so Achter- oder
Sechserpacks oder 10er Packs. Und so war
18:17 - 18:21

also auch das eine Herausforderung, wie
man das logistisch meistert. Die
18:21 - 18:25

Verwendung von Alternativen wurde dann
teilweise als Herausforderung angegangen.
18:25 - 18:32

Dann nehm ich halt Küchentücher,
Taschentücher, Feuchttücher. Kann aber
18:32 - 18:36

auch eine Herausforderung werden, denn die
Dinger sind reißfest im Gegenzug zu
18:36 - 18:42

Toilettenpapier, was sich auflöst. Das
heißt, wir reden von Fremdkörpern im
18:42 - 18:48

Abwasser und das beeinträchtigt dann eben
das Klärwerk durch verstopfte Pumpen,
18:48 - 18:49

teilweise, oder eben durch eine
höhere
18:49 - 18:52

Frequenz der Rechenreinigung.
Wenn du die Rechenreinigung
18:52 - 18:55

mit einer höheren Frequenz
versehen muss, muss auch die
18:55 - 18:58

Abfallentsorgung mit einer höheren
Frequenz versehen. In einem Zeitraum, wo
18:58 - 19:04

selbst die LKW-Fahrer, die dann den
Abtransport regeln oder auch die
19:04 - 19:09

Müllkippen sozusagen dann teilweise im
Lockdown waren, oder in Notdienst
19:09 - 19:14

sozusagen. Ja, wie sah die Lösung aus?
Für den Teil Hamstern von
19:14 - 19:18

Toilettenpapier und Mangel gab
es so eine Art Eigenregulierung
19:18 - 19:20

durch den Einzelhandel und die Produktion.
19:20 - 19:23

Ganz spannend. Es gab so Begrenzung der
Vergabe von Toilettenpapier, um die
19:23 - 19:26

breitere Masse zu versorgen und
Selbstregulierung durch die Umstellung der
19:26 - 19:31

Produktion. War also teilweise so
Dinge gegeben wie jeder darf nur ein
19:31 - 19:37

Toilettenpapierset kaufen oder das erste
kostet 3.99, jedes weitere 15 Euro, wenn
19:37 - 19:41

man halt mehrere kauft, damit die Leute
einfach sagen Okay, ich bin jetzt, ich
19:41 - 19:47

hamster nicht, sondern geh mal freundlich
mit allen anderen um. Ja, Verwendung von
19:47 - 19:51

Alternativen oder Beeinträchtigung der
Klärwerke war eben das Problem, dass diese
19:51 - 19:56

Alternativen wie gesagt alles verstopfen
können. Die Alternativen, die so von den
19:56 - 19:59

Klärwerkbetreibern kommuniziert wurden,
waren dann sowas wie Bidets, mobile
19:59 - 20:05

Bidets, gibt es auch, so kleine Spritz-
Drück-Pumpen sozusagen quasi. Waschlappen
20:05 - 20:10

oder Duschen, so dass man da also auch
versucht hat, die Leute davon abzubringen,
20:10 - 20:16

Feststoffe in die Kanalisation
einzuführen. Das ist wahrscheinlich
20:16 - 20:20

weitestgehend intransparent für euch
geschehen, denn wenige von euch haben
20:20 - 20:23

wahrscheinlich diese Aufrufe gehört. Ich
habe es auch versucht zu fördern mit den
20:23 - 20:29

Abwasser- und Klärwerk-Anlagenbetreiber.
Wie so viele in diesen Bereichen. Aber das
20:29 - 20:34

ist natürlich keine große Ausstrahlung.
Dann haben wir so Herausforderung gehabt
20:34 - 20:38

wie wenn du dein Rechenzentrum im
Quarantänegebiet betreibst und das
20:38 - 20:42

Rechenzentrum dann aufgrund landesweiter
Ausgangsbeschränkungen nicht so wirklich
20:42 - 20:46

sinnvoll erreichen kannst, tja, wie kommen
dann die systemrelevanten Mitarbeiter
20:46 - 20:50

dahin? Man muss also erst mal klären,
Kontaktaufnahme mit dem zuständigen
20:50 - 20:54

Gesundheitsamt zur Aufstellung von
Ausnahmegenehmigungen. Das muss vorher
20:54 - 20:58

geklärt werden. Man muss wissen, welches
Gesundheitsamt zuständig ist. Zu dem
20:58 - 21:02

Zeitpunkt war denen auch noch nicht ganz
klar, wofür die wann wie zuständig sind
21:02 - 21:09

und wie man die Ausnahmegenehmigungen
ausstellt etc. Ich beispielsweise habe von
21:09 - 21:13

meinem Arbeitgeber eine
Ausnahmegenehmigung erhalten, weil ich
21:13 - 21:17

eben Dienstleistungen für den Betrieb
kritischer Infrastrukturen sicherstelle,
21:17 - 21:22

sodass also wenn ich zu einem Kunden oder
ins Büro musste, was übrigens sehr, sehr
21:22 - 21:28

selten war. Seit Anfang Februar habe ich
dann trotzdem die Möglichkeit gehabt,
21:28 - 21:31

diesen Beleg mit meinem Personalausweis im
Portemonnaie gehabt und hätte das
21:31 - 21:36

vorzeigen können. Das war also das eine.
Das andere ist halt eine Implementierung
21:36 - 21:40

Journal-basierte asynchroner Replikation
über weite Entfernungen, so dass man also
21:40 - 21:46

eine redundante Datenhalde in einer nicht
Quarantänezone hat, idealerweise. Aber
21:46 - 21:50

wenn halt weltweite Pandemie ist, dann ist
das auch kein Garant, dass nicht alle
21:50 - 21:54

redundanten Bereiche vielleicht einer
Ausgangsbeschränkung unterliegen. Also es
21:54 - 21:58

war auch manchmal eine Herausforderung, da
von den Gesundheitsämtern irgendwie die
21:58 - 22:04

Hilfe zu bekommen, aber in der Regel ging
es relativ fluffig. Ansonsten konnten eben
22:04 - 22:10

diverse Leute wie ich oder alle Kollegen,
die ganzen anderen Mitbewerber auch
22:10 - 22:13

durchaus unter die Arme greifen und sagen
Leute ihr müsst da und da hin, kümmert
22:13 - 22:17

euch um den und den Beleg, hier ist ein
Template. Das ist der Text, machen, ja
22:17 - 22:22

machen. Zeit ist irgendwie kritisch. Ja,
dann haben wir noch gehabt,
22:22 - 22:27

Einschränkungen im Einzelhandel. Wir haben
ja jetzt schon das Klopapier besprochen.
22:27 - 22:33

Jetzt kommen wir mal zu den Nudels.
Logistik. Lagerkapazitäten und die
22:33 - 22:38

Produktion der Ware waren gewährleistet,
sind dann aber in Verzögerung gekommen,
22:38 - 22:44

weil natürlich diese Supply Chain und das
Just in Time Delivery nicht mehr so ganz
22:44 - 22:47

funktioniert hat und dann sind die
Lagerkapazitäten auch bedroht gewesen
22:47 - 22:53

dadurch, dass es Grenzkontrollen gab für
den Warentransport. Es gab ja teilweise
22:53 - 22:59

Berichte, wo an der Grenze Polen nach
Deutschland 60 km LKW-Stau war und die
22:59 - 23:03

Leute tagelang da festhingen und versorgt
werden mussten, damit sie nach Deutschland
23:03 - 23:09

reinkommen. Quelle vie an der Stelle, LKW-
Fahrer, die dann eingereist sind mussten
23:09 - 23:14

teilweise eine Zeit lang 14 Tage in
Quarantäne sitzen, um dann wieder ins
23:14 - 23:18

Ausland zurück zu fahren oder sind sogar
hier erkrankt und umgekehrt, sind ins
23:18 - 23:22

Ausland gefahren, mussten da 14 Tage in
Quarantäne bleiben oder sind da erkrankt.
23:22 - 23:26

Heißt, es gab natürlich auch da
schwerwiegende ernste Fälle, aber es gab
23:26 - 23:31

eben auch die 14-tägige Frist, so dass die
natürlich nicht den Umschlag ruckzuck
23:31 - 23:36

machen konnten, und zack haste ein Defizit
an Fahrern und damit auch nicht mehr die
23:36 - 23:41

passende Lagerkapazität, weil einfach der
Transport nicht sichergestellt werden
23:41 - 23:48

konnte. Ja, die haben Hamsterkäufe haben
natürlich den Warenbedarf erhöht.
23:48 - 23:53

Temporärer Mangel wurde damit entsprechend
gefördert. Wie hat man dem gegengesteuert?
23:53 - 23:58

Beispielsweise hat Aldi die damals gesagt:
So, dieses Nudeldefizit geht ja mal gar
23:58 - 24:05

nicht. Wir müssen den Warentransport
irgendwie umschlagen auf Schienenverkehr
24:05 - 24:09

und haben mit DB Schenker kurzfristig,
kann man auf 'nem Bericht irgendwo lesen,
24:09 - 24:14

haben die gesagt Okay, dann machen wir
jetzt nicht mehr LKW-Fahrerei, sondern
24:14 - 24:19

holen uns über DB Schenker, so 60 Tonnen
oder wie viel auch immer Nudeln aus
24:19 - 24:23

Italien hier rein und dann gibt es auch
kein Defizit mehr. Das hat dann natürlich
24:23 - 24:27

eine Weile gedauert. Wenn man das mal eben
umstellt. Man braucht regulatorische
24:27 - 24:31

Abkommen zwischen diesen jeweiligen
Handelspartnern. Man muss die bestehenden
24:31 - 24:35

Verträge außer Kraft setzen, neue Verträge
kurzfristig machen. Die Bereitschaft von
24:35 - 24:41

DB Schenker und die Kapazität muss da
sein. Man musste dann auch gucken, jetzt
24:41 - 24:45

hat man nicht die übliche Anlieferung an
den Lagerraum, sondern über den
24:45 - 24:49

Schienenverkehr bis zu einem bestimmten
Schienenendpunkt und von da aus musste man
24:49 - 24:52

logistisch noch weiter ziehen etc. pp. So
also einen Riesenaufwand, der einen
24:52 - 24:57

Rattenschwanz daherkommt, um dieses Supply
Chain aufrechtzuerhalten. Aber am Ende hat
24:57 - 25:01

es funktioniert. Wir konnten alle wieder
Klopapier und Nudeln sozusagen benutzen
25:01 - 25:07

und verwenden und Essen und Trallala. Also
der Güterfluss wurde sozusagen über diese
25:07 - 25:13

Ebenen dann auch wieder zügig etabliert.
Ja, dann hatten wir noch Einschränkungen
25:13 - 25:17

der Siedlungsabfallentsorgung. Ich habe ja
gerade schon erwähnt, Klärwerke hatten
25:17 - 25:22

Defizite bei der Abfallentsorgung, aber
Siedlungsabfallentsorgung natürlich auch.
25:22 - 25:26

Also alles was wir so privat an Müll
generieren. Wichtig an der Stelle
25:26 - 25:31

Siedlungsabfallentsorgung ist derzeit
keine kritische Infrastruktur im Sinne des
25:31 - 25:36

BSI Gesetzes, IT-Sicherheitsgesetzes, aber
der Ausfall hat weitreichende Folgen für
25:36 - 25:41

Gesundheit und Umwelt. Also Umweltschäden
als auch Gesundheitliches. Es kann sogar
25:41 - 25:46

eine Pandemie fördern. Herausforderung
war: Es gab eine Einstellung des Betriebs
25:46 - 25:51

von Wertstoffhöfen inklusive der Sammlung
von Sonderabfällen. Aber es gab eben auch
25:51 - 25:54

eine verringerte Abholfrequenz, weil die
natürlich aufgrund eingeschränkter
25:54 - 25:58

Verfügbarkeit der Mitarbeiterinnen auch
ein Defizit hatten zu sagen Okay, wir
25:58 - 26:04

kennen den Regelzyklus nicht einhalten.
Wie kriegen wir das jetzt bewerkstelligt?
26:04 - 26:08

Dafür gab es halt auch ein paar
Lösungsideen. Das BMI hat langfristig zum
26:08 - 26:10

Beispiel vorgeschlagen,
Siedlungsabfallentsorgung als kritische
26:10 - 26:15

Infrastruktur aufzunehmen. Das heißt, im
Entwurf des IT-Sicherheitsgesetz 2.0 wurde
26:15 - 26:24

Siedlungsabfallentsorgung sozusagen dann
jetzt als KRITIS mit aufgenommen. Und die
26:24 - 26:29

Lösung zum Umgang mit den Abfällen war
auch so, man hat natürlich auch erheblich
26:29 - 26:34

Gefahr, dass man Kontakt mit dem
Coronavirus hat, das heißt die Entsorgung
26:34 - 26:38

von Abfällen und die Kontakt mit dem
Coronavirus hatten nur in die
26:38 - 26:42

Restmülltonne, weil das ganze wird mit
einer höheren Verbrennungtemperatur
26:42 - 26:47

vernichtet und Deklaration von Abfällen
aus Krankenhäusern, die Coronafälle
26:47 - 26:51

behandeln, als gefährlicher Abfall. Heißt
Erfordernis von reisfesten,
26:51 - 26:55

feuchtigkeitsbeständigen und dichten
Behältnissen, damit natürlich keine
26:55 - 27:00

Gefahrengüter sozusagen da irgendwie
auslaufen oder so, und die Mitarbeiter
27:00 - 27:04

infizieren, und Transport nach dem
Gefahrgutrecht. Also das alles ist sehr
27:04 - 27:09

aufwendig und teuer, aber sowas hat man
beispielsweise auch in der
27:09 - 27:11

Abfallentsorgung bei der
Siedlungsabfallentsorgung in Teilen auch
27:11 - 27:16

gemacht. Man hat die Bevölkerung dazu
aufgerufen, muss aber ehrlich sein, nicht
27:16 - 27:20

viele, oder viele haben es nicht
mitbekommen oder gesagt, na ja, ich
27:20 - 27:22

sortiere immer noch meinen Abfall
ordentlich und mach jetzt nicht alles, was
27:22 - 27:26

vielleicht Kontakt gehabt haben könnte in
die Restmülltonne. Wenn man Vorfall in der
27:26 - 27:29

Familie hat, denkt man erst mal an die
Familienmitglieder logischerweise und
27:29 - 27:33

nicht daran, ob ich den Abfall richtig
sortiere. Aber trotzdem ein wichtiger
27:33 - 27:40

Punkt. Ja, und IT-Systeme von
Krankenhäusern, Ransomware-Angriffe auf
27:40 - 27:44

Krankenhäuser gab es beispielsweise und
gibt es immer noch, auch aktuell. Vielen
27:44 - 27:50

Dank noch mal an die Kollegen der Incident
Response und Forensik, die gerade alle im
27:50 - 27:55

Einsatz sind in der Osterzeit, um
Krankenhäuser, Arztpraxen, Dialysezentren,
27:55 - 27:59

Pflegeheime und sonst was alles aufrecht
zu erhalten, die gerade kompromittiert
27:59 - 28:02

wurden und erpresst werden. Es gibt
dadurch aber eingeschränkte
28:02 - 28:06

Netzwerkkommunikation,
Systemverschlüsselungen und eben
28:06 - 28:08

Integritätsverlust der Daten
und das bedeutet
28:08 - 28:10

erhebliche Einschränkungen
im Krankenhausbetrieb.
28:10 - 28:13

Wir haben über Corona
sowieso schon eine Verschiebung von
28:13 - 28:18

Operationen oder das Verlegen von
Patienten bei einer Ransomwareattacke
28:18 - 28:22

teilweise dann auch. Es gibt fehlende
Informationen zu Patienten und es gibt
28:22 - 28:26

Einschränkungen der Laborkapazitäten. Also
das alles ist auch noch mal ein
28:26 - 28:31

Problemverstärker und die World Health
Organization oder eben auch Coronavirus
28:31 - 28:35

Testzentrum in Tschechien beispielsweise
wurden erfolgreich angegriffen letztes
28:35 - 28:40

Jahr. Das alles ist also auch noch mal die
Herausforderung, sozusagen eine Krise in
28:40 - 28:44

der Krise. Ja, wir haben die Krise,
Pandemie und dann kommt noch eine
28:44 - 28:48

Ransomware als Krise dazu. Also wenn eine
Krise schon scheiße ist. Ganz ehrlich,
28:48 - 28:54

eine Krise in der Krise ist so richtig
übel. Wie geht man da vor? Konsequente
28:54 - 28:59

Umsetzung der IT-Sicherheit. Orientieren
am B3S, am branchenspezifischen
28:59 - 29:03

Sicherheitsstandard für die
Gesundheitsversorgung im Krankenhaus. Das
29:03 - 29:10

gibt's, kann man umsetzen. Es gibt nen
OZG, ne, KZG, Krankenhauszukunftsgesetz,
29:10 - 29:16

wo auch Gelder für IT-Sicherheit endlich
bereitstellen, die bereitgestellt wurden,
29:16 - 29:21

die jahrelang verzögert und aufgestaut
wurden. Man kann sich natürlich all die
29:21 - 29:26

Sicherheitsfirmen als Unterstützung dazu
holen, nämlich Incident Response Forensik.
29:26 - 29:29

Teilweise haben die auch auch
Dienstleister, weil sie eine
29:29 - 29:33

Cyberversicherung haben und diesen waren
ausgerückt und machen da die Bekämpfung
29:33 - 29:38

der sich als Sicherheitsvorfälle und die
Inbetriebnahme wieder dieser ja manchmal
29:38 - 29:44

skurrilen Infrastruktur mit Windows 95
oder mit proprietären Klartextprotokollen
29:44 - 29:50

etc. pp. Ja, sie brauchen natürlich einen
Notfall- und Krisenmanagement, was die
29:50 - 29:55

Gleichzeitigkeit von Krisenereignissen
auch entsprechend managt und behandelt,
29:55 - 29:58

was was eben dann auch noch mal zu
berücksichtigen ist. Das sind alles
29:58 - 30:04

Punkte, die ja zur Lösung helfen können,
dass man eben nicht durch Ransomware
30:04 - 30:09

angegriffen wird. So, damit bin ich im
Wesentlichen durch. Noch mal
30:09 - 30:15

Schleichwerbung für den vorhin erwähnten
von der DiVOC ppt im September letztes
30:15 - 30:20

Jahr Vortrag. Wer da nochmal reinhören
will, die Erlebnisse eines KRITIS-Prüfers,
30:20 - 30:25

unabhängig von einer Pandemie, der sei auf
diesen Link oder auf diesen Vortrag
30:25 - 30:29

verwiesen. Da habe ich noch mal ein
bisschen zusammen erklärt, wie kreativ die
30:29 - 30:35

eigentlich umgehen, um seriös und
dauerhaft sicherzustellen, dass die
30:35 - 30:41

Versorgungsleistung kein Engpass und
keinen Ausfall hat. Ja, und damit würde
30:41 - 30:55

ich sagen vielen lieben Dank. Und kommen
wir zurück zu Pupe. Noch hör ich nix.
30:55 - 31:03

Engel: Ja, das ist dieser Taste, die ist
manchmal KRITIS. Gerade in Telkos. lachen
31:03 - 31:07

HonkHase: Ja, manchmal ist mein Ohr auch
KRITIS, deswegen passt schon.
31:07 - 31:11

Engel: Ja dann Applaus. Applaus, Applaus.
Vorhin hast du es vielleicht nur gesehen.
31:11 - 31:16

Herzlichen Dank für den Vortrag. So
langsam sind's ja immer so ein Modul nach
31:16 - 31:19

dem nächsten und ich bin dann gespannt,
was dein nächster Vortrag zu dem Thema
31:19 - 31:22

sein wird. Vielleicht ist das ja dann
irgendwann mal so eine Lehrreihe,
31:22 - 31:26

irgendwie alles über media.ccc.de nutzbar
und das wird dann vielleicht auch noch
31:26 - 31:31

irgendwann richtig schön gefördert. Aber
erst mal kommen wir zu den Fragen und den
31:31 - 31:35

Kommentaren, welche mich über das Pad
erreicht haben. Der Link zum Pad ist ja
31:35 - 31:39

sozusagen im Programm zu finden und da
könnt ihr sogar jetzt noch in Echtzeit
31:39 - 31:44

Dinge reinschreiben. Ich sehe die dann
sozusagen direkt. Ja und während ich das
31:44 - 31:49

sage, kommt hier sogar 'ne neue Frage.
F: Was ist mit der Heizungsinfrastruktur?
31:49 - 31:56

Gehört die nicht zu KRITIS?
A: Also Fernwärmeversorgung ja die
31:56 - 32:01

Fernwärmerohrleitungen, aber die
Heizungsinfrastruktur ich würde jetzt mal
32:01 - 32:06

interpretieren, dass das die vom Gebäude
ist oder so, das ist der Endnutzer selbst
32:06 - 32:09

und der Endnutzer oder Einzelkomponenten
sind nie KRITIS. Es geht immer nur um die
32:09 - 32:14

zentralen Komponenten, die sozusagen
Massenausfall bewirken, sprich die
32:14 - 32:20

Kraftwerke, die Übertragungsnetzbetreiber
um den Strom zu liefern, das
32:20 - 32:26

Fernwärmenetz, die Tanklager für Heizöl
und Diesel, die Raffinerien, die das
32:26 - 32:32

erzeugen und so weiter und so fort. Das
Heizungsnetz in einem Hochhaus oder in
32:32 - 32:36

einem Haus ist ja sozusagen die
Einzelversorgung und die ist da sozusagen
32:36 - 32:40

nicht relevant, denn wenn einer ausfällt,
dann kann ich im Notfall zum Nachbarn oder
32:40 - 32:45

rufen 'nen Reparaturdienst oder was auch
immer. Wenn aber die zentrale Fernwärme
32:45 - 32:49

ausfällt, dann habe ich ja viele 100.000
Leute, die bedroht sind und das haben wir
32:49 - 32:56

ja beispielsweise in Texas gesehen von vor
wenigen Wochen noch. Texas hat einen
32:56 - 33:01

kompletten Blackout. Es gibt in den USA
drei Netze Ost, West, Texas. Texas ist
33:01 - 33:04

schlau und hat gesagt wir verzichten auf
alle anderen. Wir betreiben ein eigenes
33:04 - 33:08

Netz und dieses eigene Netz ist
zusammengebrochen als Blackout. Und in
33:08 - 33:14

Texas gab es dann eben keine Heizung, kein
laufend Wasser, weil ohne Strom gibt es
33:14 - 33:18

irgendwann auch keine Wasserpumpen mehr.
Und das war zu einer Zeit, wo es sehr sehr
33:18 - 33:23

kalt ist, war. Und ja, dann sind auch die
Wasserrohre und die Heizungsrohre
33:23 - 33:27

eingefroren, aufgeplatzt. Und als es dann
abgetaut ist oder auch Strom wieder da
33:27 - 33:31

war, sind die ganzen aufgeplatzten Rohre
dann ausgelaufen und man hat überall
33:31 - 33:35

Wasserschäden und immer noch keinen Strom
und Wasser. Also so mies kann's laufen
33:35 - 33:40

aber das war dann sozusagen das Stromnetz,
was ausgefallen ist, und das ist dann
33:40 - 33:46

KRITIS, aber nicht das Einzelnetz.
Engel: Ja, also, da kann man amerikanische
33:46 - 33:51

Podcast hören von Leuten, die in Texas
lebten. Also, das war, ja, ein Drama.
33:51 - 33:55

Jetzt kommt noch eine ergänzende Frage
sozusagen dahinter. Ich denke mal auch
33:55 - 33:58

wieder.
F: Was ist mit Handwerkern und Großhandel?
33:58 - 34:05

A: Also Handwerker, ja ein Handwerker
müsste dann mehr als 500.000 Personen
34:05 - 34:09

versorgen in einer Anlagenkategorie, die
kritisch ist, wüsste ich jetzt spontan
34:09 - 34:14

keinen. Ja, kann ich nicht, wüsste ich
nicht. Großhandel ja, also wenn du jetzt
34:14 - 34:20

so, keine Ahnung, beliebige, hier, Metro-
Ketten oder so wat, so 'ne Kette ist so
34:20 - 34:26

groß, dass sie Einzelhandel bei der
Versorgung mit Ernährung, also KRITIS-
34:26 - 34:30

Sektor Ernährung mit der Versorgung
sicherstellen. Und die sind kritische
34:30 - 34:35

Infrastruktur, wenn Sie mehr als 500.000
Personen versorgen, und da gibt es im
34:35 - 34:39

Handel tatsächlich einige, die darunter
fallen. Auch beispielsweise nicht nur
34:39 - 34:44

Handel, sondern auch Molkereien. Ja, die
sind ja auch im Ernährungssektor tätig.
34:44 - 34:49

Engel: Also lösen das unter KRITIS
fallende Firmen eigentlich dadurch, dass
34:49 - 34:52

sie zum Beispiel Zulieferer, irgendwie,
die können es nicht vererben, aber es wird
34:52 - 34:56

dann einfach mit in die Verträge
reingeschrieben. Oder wie macht man das?
34:56 - 35:00

Wie stellt man das sicher?
A: Also wenn ich KRITIS-Betreiber bin,
35:00 - 35:04

muss ich natürlich diese Anlage, die ich
betreibe, sicherstellen. Das heißt, wenn
35:04 - 35:08

ich ein Zulieferer hab, der irgendwie
Wartung oder Betrieb dieser Komponenten
35:08 - 35:13

macht und es geht immer um den IT-Teil,
laut IT-Sicherheitsgesetz oder BSI-Gesetz.
35:13 - 35:18

Wenn ich also die IT-Wartung oder den
Betrieb der Produktion macht der OT der
35:18 - 35:24

SCADA-Komponenten, der Prozessleittechnik
oder so, dann muss ich da sicherstellen,
35:24 - 35:28

dass auch die Zulieferer, die diese
Komponenten für mich austauschen, warten,
35:28 - 35:33

Fernzugriff machen, ja, Fernwartung und
Fernzugriff ist so ein Albtraum für sich,
35:33 - 35:36

habe ich übrigens in dem Vortrag Erfahrung
eines KRITIS-Prüfers ...
35:36 - 35:41

Engel: ... ich weiß ... lächelt
A: da habe ich den Fernwartungarchäologen
35:41 - 35:44

ins Leben gerufen und gesagt, ey immer
wenn ich dieses Wort höre, kriege ich
35:44 - 35:48

Bauchschmerzen, das ist einfach so. Aber
das alles muss man dann vertraglich mit
35:48 - 35:52

diesen Zulieferern regeln. Was nicht
geregelt werden muss, ist sozusagen die
35:52 - 35:57

grundsätzliche Supply Chain, also Wasser
oder Strom, weil das ist sozusagen
35:57 - 36:01

grundsätzliche Zulieferung oder
beispielsweise bei einer Molkerei, dass
36:01 - 36:09

die Tanklaster Milch vorbeifahren können.
Das hat dann nichts mehr mit IT zu tun.
36:09 - 36:14

Und Kühe produzieren immer. Ob das dann
ankommt, ist eine andere Frage.
36:14 - 36:18

Engel: Bis sie ein OT-Ship haben. So, dann
geht es weiter im Fragenkatalog.
36:18 - 36:26

F: Wie viel ist KRITIS / IT und wie viel
ist im Allgemeinen Katastrophenvorsorge?
36:26 - 36:34

A: Dat kann man nicht nach wie viel
beurteilen. Es gibt ca. 2.000, nicht ganz
36:34 - 36:40

2.000 kritische Infrastrukturen in
Deutschland, die so geschätzt sind. Ich
36:40 - 36:48

glaube beim BSI sind aktuell registriert
1.600 Anlagenkategorien oder so. Die mehr
36:48 - 36:56

als 500.000 Personen versorgen. Im
Allgemeinen Notversorgung, das umschließt
36:56 - 37:02

ja noch viel mehr. Also da geht ja auch
hier Krisenmanagement der Länder, der
37:02 - 37:07

Kommunen, Bundesregierung alles mögliche
rein. Auch die ganzen Deutsche Rote Kreuz
37:07 - 37:12

und sonstigen ehrenamtlichen Helfer,
selbst THW, Freiwillige Feuerwehr, das
37:12 - 37:16

wird alles unter Katastrophenhelfer
gezählt und sogar Bundeswehr, die ja im
37:16 - 37:20

äußersten Notfall auch hilft. Der
äußersten Notfall ist jetzt schon seit
37:20 - 37:25

einem Jahr etablierter Standard. Ist
eigentlich auch Fail by Design. So was
37:25 - 37:28

nutzt man nur im äußersten Notfall und
guckt auch ganz schnell, dass man wieder
37:28 - 37:32

von diesem äußersten Notfall wegkommt.
Weil wenn ich dann noch mal eine Krise
37:32 - 37:36

obendrauf krieg, dann ist Game Over und
dann haben wir wirklich Holland in Not und
37:36 - 37:41

Deutschland noch dazu und alles andere.
Aber, ja, kann ich jetzt. Ich wüsste
37:41 - 37:46

nicht, ob das da irgendwo Zahlen gibt,
außer das, was so veröffentlicht wird. THW
37:46 - 37:53

hat 85.000 Mitglieder, ungefähr 80.000
davon sind beispielsweise dann
37:53 - 37:58

ehrenamtlich, aber kann man jetzt nicht
alle einzeln oder gesamt aufdröseln.
37:58 - 38:03

Wüsste ich nicht.
F: Dann geht es weiter. Was ist deine
38:03 - 38:10

Einschätzung zum Sektor Zahlungsverkehr?
Zum Beispiel Haspa, Geldautomatenausfall,
38:10 - 38:16

Einführung starke Ausführ-PSD II, kein
Login ohne 2F2, also 2-Faktor-
38:16 - 38:26

Authentifizierung.
A: Ja, also, man muss sagen, der Sektor
38:26 - 38:30

Finanz- und Versicherungswesen ist, und
wenn man da nur den Bankenteil betrachtet,
38:30 - 38:36

nicht die Börsen und die Versicherungen,
die haben zwar Altlasten und uralte
38:36 - 38:39

Systeme, teilweise auch im Einsatz, und
echt komplexe Infrastrukturen. Die
38:39 - 38:43

Deutsche Bank hatte vor, ich weiß nicht
mehr, 2 Jahren oder so, hatten die ja mal
38:43 - 38:47

gesagt wir haben hier insgesamt 7.000
verschiedene Anwendungen und
38:47 - 38:52

Kernkomponenten und eine Anwendung kann
beliebig komplex werden und viele Systeme
38:52 - 38:58

haben, aber man muss fairerweise auch
sagen, sie sind sehr reguliert, ja, eine
38:58 - 39:02

Bank wenn die einen Vorfall hat, dann muss
die beispielsweise melden an, vielleicht
39:02 - 39:08

an die EZB, also an die Europäische
Zentralbank, an die Bundesbank, an 'ne
39:08 - 39:12

Cyberversicherung, wenn sie eine hat und
die meisten haben eine. Du musst melden an
39:12 - 39:17

die BaFin, du musst ans BSI melden. Also
wirklich Kreuch und Fleuch an jeder
39:17 - 39:22

Stelle, du wirst überreguliert und wenn du
dann noch eine Anmeldung für Finanzamt in
39:22 - 39:27

den USA hast, dann muss du irgendwie an
New York irgendwie da auch noch eine
39:27 - 39:30

spezielle Meldung machen. Wenn du in
Singapur irgendwie ein Büro hast, Singapur
39:30 - 39:34

verlangt, dass du ein lokales Office haben
musst, und wenn du unter den offiziellen
39:34 - 39:37

Regularien in Singapur bist, muss du da
auch noch mal eine separate Meldung
39:37 - 39:42

machen, wenn du an, naja gut Börse haben
wir gerade ausgeklammert, aber wenn wir
39:42 - 39:48

beispielsweise jetzt eMoney-Lizenz an der
Börse in UK haben, dann muss man da noch
39:48 - 39:51

mal melden. Also du kannst dich tot melden
und du kannst auch so konfiguriert werden
39:51 - 39:55

mit irgendwelchen Complianceregularien,
die oft genug im Widerspruch stehen. Das
39:55 - 39:59

macht es dann auch nicht trivial mal eine
Kernanwendung wo Millionen von Leute drauf
39:59 - 40:03

tagtäglich rund um die Uhr arbeiten und
auch erwarten, dass mein Geld aus dem
40:03 - 40:09

Automaten plöpt oder so, mache ich mal
kurz eine Anpassung. Also ist gut wie
40:09 - 40:14

schlecht. Ist es gut überreguliert und
auch gut abgehangen, aber andererseits
40:14 - 40:17

schlecht, weil diese Überregulierung das
auch extrem marode und Never change a
40:17 - 40:22

running system und wenn du es anfasst
explodiert eh alles und du bist fällig.
40:22 - 40:27

Keiner will es anfassen. Also alle - und
das übrigens Sneak Preview, IT-
40:27 - 40:30

Sicherheitsgesetz 2.0 wird genau so was
einbringen für die kritischen
40:30 - 40:33

Infrastrukturen. Es wird komplexer, es
wird sinnloser, es wird sinnfreier.
40:33 - 40:40

Deswegen grusel ich mich jetzt schon davor
alle 6 Sachverständigen im Bundestag,
40:40 - 40:43

ich war einer davon, haben dagegen
gemault, selbst die von der CDU. Und es
40:43 - 40:46

hat das BMI völlig nicht interessiert. Die
laufen immer noch rum und sagen
40:46 - 40:49

Yeah, wir sind die Besten, tolles
Gesetz, alle nur positiv.
40:49 - 40:54

Engel: Lustigerweise musste ich gerade an
diese Anhörung denken, weil in der
40:54 - 40:58

Anhörung hast du auch so viel gesprochen
und bist nie zum Ende gekommen.
40:58 - 41:00

HonkHase: 'tschuldigung
Engel: Und es werden zunehmend mehr
41:00 - 41:03

Fragen. Nein, ich freue ja aber
HonkHase: dann mich ich's kürzer jetzt
41:03 - 41:07

Engel: Während wir reden kommen immer neue
Fragen rein. Ist total spannend, was noch
41:07 - 41:10

alles kommt. So.
F: Warum ist dann die Logistik noch kein
41:10 - 41:15

KRITIS? Ohne Logistik funktioniert auch
keine Infrastruktur so wirklich, oder?
41:15 - 41:19

A: Das ist einfach. KRITIS-Sektor
Transport und Verkehr. Logistik über
41:19 - 41:22

500.000 Personen ist abgedeckt.
Nächste Frage.
41:22 - 41:27

Engel: Volle Punktzahl.
F: Inwieweit achtet ihr eigentlich auf
41:27 - 41:33

Paketversionen bei Dependencies, wenn ihr
mit Kunden arbeitet? Mir scheint, als
41:33 - 41:40

wären bei vielen Zertifizierungen unter
anderem nur geprüft wird, ob von Lib X die
41:40 - 41:44

neueste Version genutzt wird. Worauf
scheinbar nicht geachtet wird ist, wie
41:44 - 41:47

alt, veraltet, verbuggt, ist diese neueste
Version.
41:47 - 41:54

A: Also eine KRITIS-Prüfung ist nur eine
Prüfung und keine Zertifizierung. Man
41:54 - 41:58

kriegt also kein Bapperl danach, sondern
lediglich eine Einhaltung der
41:58 - 42:03

Gesetzesvorlage als Empfehlung und die
Einhaltung sprechen dann BSI teilweise im
42:03 - 42:07

Benehmen oder Einvernehmen mit der
Aufsichtsbehörde aus. Aber das Problem bei
42:07 - 42:11

Zertifizierung kenne ich. Ich kenn nämlich
auch so den einen oder anderen
42:11 - 42:15

Zertifizierer. Das sind dann, wie soll ich
sagen, Ahnungslose oder Blinde unter den
42:15 - 42:19

Einäugigen. Wenn die natürlich nicht
wissen, was es bedeutet, ja, Secure
42:19 - 42:23

Software Development Life Cycle,
Anpassungen, Updates oder Upgrades in der
42:23 - 42:27

Form, dass da auch die Dependencies
berücksichtigst, aber nicht jede, nämlich
42:27 - 42:31

nicht jede, die ein Feature beinhaltet,
was dich nicht interessiert, aber jede die
42:31 - 42:35

ein Security Update hat, oder wenn eine
Dependency out of maintenance ist, machen
42:35 - 42:40

aber tatsächlich viele nicht, weil sie so
tief gar nicht prüfen, was eigentlich
42:40 - 42:44

schade ist, weil ja, es ist eine der
großen Lücken, die oft genug vorkommen.
42:44 - 42:52

F: Ja, dann gab es neue Erkenntnisse zur
Kritikalität von nicht als KRITIS
42:52 - 42:58

eingestuften Infrastrukturen. Stichwort
Pharmaproduktion, Altenheim, Supply Chain,
42:58 - 43:05

Europäische Cloud Rechenzentren.
A: Jein. Also für mich ja, für die AG
43:05 - 43:10

KRITIS auch ja, für diverse kritische
Infrastrukturbetreiber oder die
43:10 - 43:15

Mitarbeiter ja, für manche
Wirtschaftsverbände nicht mehr so ja, für
43:15 - 43:22

die Länder und die Bundesregierung eher
nicht so ja, und das BMI ey tschakka,
43:22 - 43:25

alles cool. Wir packen jetzt die
Siedlungsabfallentsorgung dazu und dann
43:25 - 43:29

diese UNBÖFI, Unternehmen im besonderen
öffentlichen Interesse, und dann noch
43:29 - 43:34

diese komischen, hier und da noch so ein
bisschen, und dann ist schick. Also,
43:34 - 43:37

meiner Meinung nach, meiner ganz
persönlichen Meinung nach, komplettes Fail
43:37 - 43:41

und Versagen, weil die echten Bedarfe
wurden nicht adressiert, sondern wieder
43:41 - 43:46

irgendwelche kaschierten Düdeldüs. Ja, so
sieht es aus
43:46 - 43:51

F Jetzt eine sehr spannende Frage. Wird
bei der Lebensmittelindustrie
43:51 - 43:57

unterschieden, ob zum Beispiel
Molkereiprodukte versus Bonbon-Fabrik?
43:57 - 44:04

A: Nein. Wenn du eine Versorgung über
500.000 Personen sicherstellen musst, dann
44:04 - 44:09

bist du KRITIS. Es gibt aber verschiedene
Anlagenkategorien. Also Herstellung,
44:09 - 44:15

Vertrieb von Lebensmitteln etc.. Und diese
einzelnen Kategorien. Wenn ich in einer
44:15 - 44:20

dieser Kategorien über 500.000 bin, dann
fällt es weg. Kleines Beispiel was außen
44:20 - 44:26

vor ist: Alkohol. Weil es steht drin, dass
beispielsweise bei Wasser eben es nur um
44:26 - 44:29

Wasser geht und nicht um Alkoholisches.
Insofern sind alkoholische Getränke zum
44:29 - 44:34

Beispiel komplett ausgeklammert.
F: Ja, dann was is, oh, jetzt kommt die
44:34 - 44:39

letzte Frage, das ist natürlich doof. Was
ist nach deiner Einschätzung nach der
44:39 - 44:44

brüchigste Sektor, also der mit der
größten Ausfallrisiko?
44:44 - 44:51

A: Strom. Weil Strom sozusagen die Basis
für alles ist, wenn Strom wegfällt, fällt
44:51 - 44:56

kurz danach Telekommunikation weg und
danach bricht alles andere zusammen. Wer
44:56 - 45:01

das mal genauer eruieren will, kann sich
gerne Blackout von Marc Elsberg mal
45:01 - 45:08

durchlesen. Das ist schon recht nah an der
Realität. Es gibt vom TAB Bundestag, TA
45:08 - 45:18

Bundestag eine Blackoutstudie von, 2012
glaube ich war's, die hat auch, ich glaub
45:18 - 45:23

250 Seiten oder so, die schreibt ganz
genau wissenschaftlich erforscht auf, was
45:23 - 45:28

nach 'nem Blackout so wie in welcher
Reihenfolge passiert. Wer dann noch nicht
45:28 - 45:33

genug hat, kann sich vielleicht noch 42
Grad durchlesen. Das ist auch ein Buch,
45:33 - 45:38

was sozusagen das ganze aus Wassersicht
beschreibt. Aber Strom ist definitiv die
45:38 - 45:42

Basis für alles und das ist am
kritischsten. Danach kommt IT und TK, weil
45:42 - 45:45

ohne Kommunikation funktioniert
auch nicht viel.
45:45 - 45:50

Engel: Ja dann wäre ich an der Stelle
erstmal nochmal Danke, Danke, Danke für
45:50 - 45:56

den Vortrag, für die Antworten. Die drei
Fragen, die noch drinstehen, da werden die
45:56 - 46:00

Antworten hinterher reingeschrieben,
bestimmt von HonkHase, kann dort
46:00 - 46:03

vielleicht die Sachen noch mal
kommentieren. Ansonsten könnt ihr Feedback
46:03 - 46:07

da auch immer reinschreiben. Und an der
Stelle würde ich einfach noch so virtuell.
46:07 - 46:11

Applaus, Applaus, Applaus sagen. Und ja,
dann gehen wir sozusagen glaub ich wieder
46:11 - 46:17

zurück ins Main-Programm und ja, dann
freue ich mich, dass es hier gleich
46:17 - 46:20

weitergeht.
46:20 - 46:23

Outro
46:23 - 46:30

Untertitel erstellt von c3subtitles.de
im Jahr 2022. Mach mit und hilf uns!

Title:: #DiVOC R2R - Kritische Infrastrukturen in Pandemie-Zeiten
Description:: more » « less
Video Language:: German
Duration:: 46:30

	alcuna edited German subtitles for #DiVOC R2R - Kritische Infrastrukturen in Pandemie-Zeiten	Jan 16, 2024, 7:38 PM
	alcuna edited German subtitles for #DiVOC R2R - Kritische Infrastrukturen in Pandemie-Zeiten	Jan 16, 2024, 7:01 PM
	alcuna edited German subtitles for #DiVOC R2R - Kritische Infrastrukturen in Pandemie-Zeiten	Jan 16, 2024, 6:28 PM
	alcuna edited German subtitles for #DiVOC R2R - Kritische Infrastrukturen in Pandemie-Zeiten	Jan 15, 2024, 9:03 PM
	alcuna edited German subtitles for #DiVOC R2R - Kritische Infrastrukturen in Pandemie-Zeiten	Jan 15, 2024, 8:31 PM
	C3Subtitles edited German subtitles for #DiVOC R2R - Kritische Infrastrukturen in Pandemie-Zeiten	Feb 6, 2022, 4:19 PM
	C3Subtitles edited German subtitles for #DiVOC R2R - Kritische Infrastrukturen in Pandemie-Zeiten	Feb 6, 2022, 4:18 PM
	C3Subtitles edited German subtitles for #DiVOC R2R - Kritische Infrastrukturen in Pandemie-Zeiten	Jan 30, 2022, 5:26 PM

German subtitles

Revisions

Revision 8 Edited

alcuna Jan 16, 2024, 7:38 PM

#DiVOC R2R - Kritische Infrastrukturen in Pandemie-Zeiten

Revisions

Our website uses cookies

Operating cookies (Required)