 Kommen wir nämlich jetzt zu einem Vortrag, der mir selber am Herzen liegt, weil einige meiner besten Freunde haben Kritis. Und es ist halt so eine Krankheit wie so eine Pandemie, da muss man einfach sagen, muss man erstmal mit umgehen lernen. Darum freut es mich umso mehr, dass wir jetzt hier bei uns im Saal oder wie auch immer man das hier so nennt, den Honkhase oder mit bürgerlichen Namen Manuel Ahtuk haben. Honk ist sozusagen einer der Mitgründer von der Kritis AG. Gleichzeitig macht ja auch sowas mit Security, wenn man sich bei immer so den Track record ansieht. Wie 23 Jahre Informationssicherheit und im Endeffekt muss man sagen, er ist halt wirklich ein alter Hase in der Szene und auch in anderen Szenen. Und da muss man einfach sagen, wow, für deine ganzen Experience Points, die du jetzt sozusagen mit einbringst hier in diesen Vortrag. Und an der Stelle, ja, welcher Vortrag wird das überhaupt? Wie richtig? Kritische Infrastrukturen in Pandemiezeiten. Und ja, jeder, der sozusagen das Glück hat, in Firmen zu arbeiten, die auch unter Kritis fallen, ja, die werden, glaube ich, ahnenwiedervoll singen können und werden jetzt besonders aufmerksam auch zuhören, ob man hier auch noch mal was lernen können. Und an der Stelle würde ich einfach sagen, Applaus, Applaus, Applaus, Applaus vorab. Was am Arsch? Punk, the stage is yours. Ja, danke Puppe. Ich hatte ja schon einen anderen Vortrag gehalten, Erfahrungen eines Kritis Prüfers, habe ein bisschen erzählt, wie man da so lebt, leidet, aber auch wie kreativ sozusagen die Vorhaltung der kritischen Infrastrukturen oder besser gesagt der Versorgungsleistung so bewerkstelligt wird. Und heute zeige ich euch mal so ein paar Themen, Abschnitte wie kritische Infrastrukturen eben in so einer pandemischen Zeit eigentlich im Hintergrund die ganze, die ganze Sachlage stemmen sozusagen. Ja, Puppe hat schon gesagt, ich habe quasi Kritis im Endstadium. Über 23 Jahre bin ich in all dem Ganzen aktiv. Meine Kernthemen sind eben kritische Infrastrukturen aus Leidenschaft, Hackback, weil es eben auch kritische Infrastrukturen bedroht, Ethik, Cyberresilienz, also wie wird man resilient gegen das ganze Cybergedöns, Sternpunkt Stern und eben der Bevölkerungsschutz, weil am Ende ja wollen wir eigentlich morgen noch kraftvolle Nitastatur hacken und dazu Bauma, Stromwasser und Katzemaus. Und wie das sichergestellt wird, das erzähle ich euch dann mal jetzt ein bisschen, aber bevor wir da reingehen, werde ich euch noch mal ein bisschen zu den kritischen Definitionen erzählen, denn die rechtlichen Definitionen sind alles andere als trivial oder komplett geklärt und geregelt und deswegen machen wir da auch noch mal einen Durchblick oder Überblick damit ihr anschließend den Durchblick habt, was das eigentlich so rein rechtlich und gesetzlich bedeutet, warum das einfach oder komplex ist und dann kommen wir zu sechs Fallbeispielen, die ich euch einfach mal mitgebracht habe und im Detail aufdröseln. Ja, rechtliche Definitionen, was ist ein Kritisbetreiber? Gucken wir mal von oben nach unten herab auf die einzelnen Ebenen. Die Europäische Union hat das in der NES-Richtlinie definiert, die NES 1.0, die 2.0 ist gerade in Arbeit, grusel grusel, aber da sind im wesentlichen oder ist ein Betreiber wesentlicher Dienste definiert, das sind dann sieben Stück an der Zahl und das Ziel ist eben zu sagen, Festlegung von Maßnahmen zum Erreichen des gemeinsamen europäischen Sicherheitsniveaus von Netzern und Informationssystemen. Soweit so cool, klingt sinnvoll, ist aber gar nicht so trivial umzusetzen. Aus dieser NES-Richtlinie hat sich dann später eben das IT-Sicherheitsgesetz abgeleitet. Da komme ich gleich zu. Erstmal so ganz allgemein, Bundesrepublik Deutschland hat eine einheitliche Definition, kritische Infrastrukturen auf Bundes- und Landesebene heißt, ja, Kritis in Organisation oder Einrichtung mit wichtiger Bedeutung für das staatliche Gemeinwesen, bei deren Ausfall oder Einträchtigung nachhaltig wirkende Versorgungsengpässe, ebliche Störungen der öffentlichen Sicherheit oder andere dramatische Folgen eintreten würden. Klingt jetzt nach Drama Queen, ist es aber auch, weil die Sektoren, die da definiert sind, ja, Energie, Wasser, IT und TK, Gesundheit, gerade Gesundheit sehen wir jetzt in der Pandemie, wenn die nicht funktionieren, haben wir ganz schnell dramatische Folgen, nämlich Krisen, wie beispielsweise auch die Pandemie eine darstellt. Und zusätzlich zu diesen sieben Sektoren kommen noch zwei dazu, diesen bisschen besonderes in Deutschland, nämlich Staat und Verwaltung und Medien und Kultur. Denn Staat und Verwaltung kann natürlich nicht auf BSI, wenn das sage ich mal Bundesamt für Sicherheit in der Informationstechnik geregelt werden, genauso Medien und Kultur, denn Medien werden zum Beispiel in den Landesmedien gesetzen geregelt. Da darf natürlich nicht der Bund ins Land reingrätschen. Das ist so ganz generell mal der Stand. Dann habe ich gerade schon erwähnt, IT-Sicherheitsgesetz 1.0 leitet sich also aus der NES-Richtlinie der EU ab. Das Gesetz zur Erhöhung der Sicherheit Informationstechnik aus Systeme 2015 in Deutschland irgendwie aktiv geworden und deckt im Endeffekt genau das ab als Zielsetzung, was wir gerade schon hatten, Absicherung der IT-Systeme und der digitalen Infrastruktur, Verbesserung der IT-Sicherheit von Unternehmen in der Bundesverwaltung. Ist noch Room for Improvement, Schutz der Bürgerinnen und Bürger im Internet. Das ist noch ganz viel Room for Improvement. Die Sektoren sind im Wesentlichen dieselben, die die EU definiert habe, ist ja die Pflicht, die EU-Sicht in die Landessicht sozusagen umzumünzen und das IT-Sicht 2.0 ist ja demzufolge auch in Arbeit, genauso wie die NES-Zweirichtlinie, aber genau da so ebenfalls gebruselt. Aus dem IT-Sicherheitsgesetz 1 leitet sich ab, Dinge fürs BSI-Gesetz, die da zu berücksichtigen sind, da ist ganz generisch erstmal Festlegung der Aufgaben und Befugnisse des BSI und eben weitergegen der Befugnisse als Reaktion auf neue Bedrohungen, eine zunehmende Bedeutung der Informations- und Kommunikationstechnologie. Da haben wir jetzt die sieben kritische Infrastruktursektor an der EU und sozusagen Deutschland weit ohne die zwei Sonderlöckchen, die dann in dem BSI-Gesetz näher geregelt sind, wie der Ablauf ist, welcher heutlichen Aufgaben und welcher Befugnisse aber auch Rechte und Pflichten das BSI hat oder eben auch die einzelnen kritischen Infrastruktur-Dienstleister. Und daran anhängend ist noch mal, weil wir sind ja noch nicht fertig mit der Rechtslage, muss ja immer noch einer drauf gelegt werden, einen habe ich noch, die BSI-Kritis-Verordnung, die ihr seht, da drin wird der Schwellenwert der Leistungsfähigkeit die Sektor zum Beispiel definiert und die genaue Anlagenkategorie heißt, Frischwassergewinnungswerk, Abwasserentsorgung, das sind zwei Anlagenkategorien, ja ich betreibe solche Anlagen oder ein Frischwassergewinnungswerk Brunnen wäre dann eben ein Brunnen zur Frischwasserentnahme, den ein Wasserwerk nutzt, um Wasser zu produzieren. Und der Schwellenwert ist das ab wann eigentlich ein Dienstleister oder Leistungserbringer in diesem Sektor dann als kritisch Infrastruktur gilt. Und aktuell ist es relativ einfach, die Schwellenwerte sind bei allen sieben Sektoren pauschal immer 500.000 Personen in der Versorgung umgerechnet auf die Versorgungsleistung heißt 22 Millionen Kubikmeter Wasser, Frischwasser pro Jahr beispielsweise. Dann bin ich kritisch, mache ich weniger, dann bin ich zwar in dem Sektor, aber diese ganzen Gesetzeslagen sind irrelevant. Trotz allem ist es kritische Infrastruktur. Jetzt habe ich aber noch einen, weil wäre einfach, wenn wir bis hierhin gekommen sind und die Länder vergessen, landesspezifische Vorgaben gibt es natürlich dann auch noch mal NRW. Habe ich jetzt die vom April 2020 mal die Corona Betriebsverordnung rausgepickt, die ist inzwischen auch schon aktualisiert worden. Da ist teilweise auch die Definition übrigens schon wieder rausgefallen. Dieser Paragraf 5 Corona BetereVO gibt es gar nicht mehr. Aber zu dem Zeitpunkt haben die auch versucht zu sagen, wir müssen hier irgendwie den Schutz von Neuinfizierungen regeln im Rahmen der Betreuungsinfrastruktur oder im Rahmen der wichtigen Dienste oder systemkritische Dienste, systemrelevante Systeme. In jeder Verordnung wird das anders genannt. Jedes Land hat ja eine und hier war es so, dass eben die sieben klassischen benannt wurden, staatliche Verwaltung auf sozusagen landesspezifischer Ebene die Medien, weil die natürlich landeshoreit sind. Aber da wurden eben auch beispielsweise Schulen, Kinder und Jugendhilfe und Behindertenhilfe gelistet als sozusagen sektorankritischer Infrastruktur, bei der man irgendwie auch den Schutz von Neuinfizierungen regeln muss. Ja, die Bundesländer generell, grusel grusel, das war ja auch immer alles ein Hin und Her, dieses Hin und Her war jetzt noch nicht ausgestanden. Aber das war der Schnellüberblick über die gesetzlichen Regelungen, damit wir auch ein bisschen mehr Zeit haben über die sechs Fallbeispiele, die ich mitgebracht habe zu reden. Ja, wie sieht kritische Infrastruktur in Pandemiezeiten aus? So, eine Herausforderung, die so Anfang letztes Jahr teilweise bei großen kritische Infrastrukturdienstleistern schon im Januar längst adressiert wurden, da wart ihr wahrscheinlich noch gar nicht im ersten, ja ich nenn es jetzt einfach mal Lockdown oder im Homeoffice oder zu Hause, wie auch immer. Die hatten also teilweise schon im Januar ihre Pandemie Konzepte ausgegraben und gesagt, oh shit, wir müssen reagieren. Nachzüge im Februar und diejenigen, die so nicht richtig davon mitbekommen haben, dann so im März April, aber das Wichtigste wurde eigentlich zeitnah realisiert. Es gab kaum bekannt gewordene wesentliche Ausfälle, aber die Herausforderung war zum Beispiel Ausfallsysteme relevanten Personal zum Betrieb der kritischen Anlagenkategorie, damit die Versorgungsleistung bei der Bevölkerung ankommt. Ja, ich kann kein Frischwasser- Gewinnungswerk betreiben, also einen riesengroßen Pumpensteuerungsanlagen, Labore, um den Wasser Reinheitsgeld aufrecht zu halten. Trinkwasser hat eine sehr, sehr hohe Anforderung an die Trinkwasserqualität, die ist deutlich höher als bei flaschenabgefülltem Zeugs beispielsweise. Und die Szenarien sind also, was war zu dem Zeitpunkt so, das Szenarium Anreise der Mitarbeitenden vom privaten Wohnsitz. Wie kriegen wir das geregelt? Da waren ja teilweise Busse und Bahnen außer Betrieb oder durfte kaum jemand fahren, wie auch immer. Wenn die Fahrgemeinschaft machen, war auch wieder ein Infektionsrisiko. Kontakt zu anderen Personen, die gehen nach Hause und haben dann Kontakt mit Familie, Verkäufer etc. und die Exposition gegenüber einer Infektion mit Covid-19 war natürlich jederzeit gegeben. Kriegen wir das geregelt. Die Auswirkungen dieser Szenarien und Herausforderungen war dann eben Ausfall der Mitarbeitenden aufgrund einer Infektion und eben erhöhtes Ansteckungsrisiko innerhalb der Belegschaft. Da war also die Frage, wie können wir dagegen steuern? Die haben natürlich Pandemiekonzepte, manche wurden auch noch mal spontan überarbeitet oder ob sie, wir müssen nochmal den Staub wegwichen und mal aktualisieren, aber viele hatten schon laufende Konstrukte, muss man fairerweise auch sagen, so schlimm sieht es nicht aus, aber die Herausforderung war auf jeden Fall gegeben. Wie sahen die Lösungen aus, wenn du zum Beispiel so einen Leitstand in einem Kraftwerk hast oder einen Leitstand in einem Wasserwerk, musst du eben schauen, dass du das systemrelevante Betriebsteam isolierst. Das heißt, du nimmst Leute, die den Leitstand besetzen, aber auch zum Beispiel ein Elektriker. Wenn man eine Kleinigkeit ist, musst du da schrauben und machen und tun und den hast du natürlich mit vor Ort im Team. Die brauchten natürlich Bereitstellung von Unterkünften am Arbeitsplatz, weil die wurden isoliert. Isoliert heißt wirklich abgetrennt. Die haben also am Arbeitsplatz Schlafmöglichkeiten und Aufenthaltsräume bereitgestellt oder eben aktiviert, so wie das Pandemiekonzept es vorsieht. Teilweise haben die dann, also nicht teilweise, die allermeisten haben sie eigentlich freiwillig gefragt. Hier habt ihr da Lust, Zeit und Nerv zu. Wollt ihr euch freiwillig sechs Wochen oder vier Wochen oder wieder zyklus bei denen ihr nimmst, in eine Isolation begeben. Ihr kriegt dann extra für und die Bevölkerung wird euch lieben. Ihr dürft natürlich auch Kontakt zu der Familie halten, etc. Aber nur remote. Wird alles aufgeschaltet, kein Thema. Aber eben auch wir stellen euch Schlafmöglichkeiten auf Enthaltsräume bereit. Was man noch berücksichtigen musste, waren dann Dinge des täglichen Bedarfs. Waschmaschine aufstellen, Waschmittel jede Menge, Nahrungsmittel verpackt es wie auch natürlich bis zum gewissen Grad Friches über eine Sicherheitsschleuse sozusagen, ein Vereinslungsschleuse in der Form, dass man Nachschub sozusagen da reinstellt, eine Weile wartet, versucht es um Mantel zu haben, desinfizieren und dann eben ziehen die das da rein, packen alles aus, versuchen auch noch mal zu warten und alles zu desinfizieren und dann eben die Sachen einzubringen. Und da wurde dann beispielsweise eben auch Trinkwasser reingebracht, wenn man nicht fließend Wasser da sowieso hatte. Ja, auch sowas wie Tee oder Kaffee, Schwarz heiß und schön lecker, Junge. Wird also alles, was man im täglichen Bedarf braucht in der Isolation eben vorbereitet und über die Schleuse dann die Weiterversorgung sichergestellt. Und was wir auch sicherstellen mussten, psychologische Fürsorge durch Beschäftigungsmöglichkeiten und psychologische Betreuung. Denn Isolation, so vier oder sechs Wochen, immer dieselben Leute, ist natürlich auch hart. Draußen ist die Familie in dieser unklaren Situation, ja, wir denken mal zurück, März, April, Mai, letztes Jahr, keiner wusste so richtig, was passiert, was wird. Es kamen fast täglich neue Studien, die Wissenschaftler haben neue Erkenntnisse gehabt. Die Politik hat gesagt, nein, ja doch vielleicht, wir schauen mal, Ding ausgründen in der Situation dann zu sagen, ich lass meine Familie im Stich und gehe jetzt sozusagen die Bevölkerung retten, ist natürlich auch psychologisch sehr viel Druck und da gab es dann entsprechend auch Fürsorge bei denen, wo es notwendig war oder die wurde generell bereitgestellt. Es gibt natürlich auch immer Einzelfälle, wo das ja vergessen wurde oder nicht ordentlich betrachtet wurde. Es gibt auch ja viele Einzelfälle, wenn man jetzt mal in die Krankenhäuser und Pflegeheime schaut. Der Sektor Gesundheit hat ja, da hat ja die Politik nicht gerade mit Glanz und Rom gehandelt. Wir haben uns noch an 20 Uhr gehen, war auf einem Balkon und klatschen mal eine Runde. Aber wenn Tarifverhandlungen waren, hat das Bundesgesundheitsministerium gesagt, Tarif Upgrade gibt es nicht, es gibt eine Einmalzahlung, aber mehr Geld, nü. Es ist natürlich auch psychologischer Druck, der nicht unbedingt dafür sorgt, dass man sagt, hey, ich habe diesen Beruf aus Herzen gewählt und jetzt mache ich das auch. Also all das kommt zusammen, systemrelevantes Personal, es wurden Maßnahmen getroffen, damit man eben den Ausfall kompensiert. Teilweise haben es ganz große Betreiber, jetzt Atomkraftwerk, Leitstand oder so auch durch auch so geregelt, dass sie gesagt haben, wir haben ein Betriebsteam vor Ort und das macht, wir haben ein weiteres unabhängig isoliert an anderen Stationen oder in separaten Räumlichkeiten, so dass also wenn dieses Betriebsteam, warum auch immer eine Covid-Infektion eingeschläust bekommt und wir das nicht verhindern konnten, kann es ja sein, dass sie alle komplett ausfallen und dann müssen wir eben zweites Team ready haben und manche hatten sogar ein drittes Team Hotspair. Also das wirklich dann im Worstcase zwei komplette systemrelevante Betriebsteams ausfallen konnten und drittes noch da war, um den Betrieb sicherzustellen und das alles ist weitestgehend transparent im Hintergrund passiert und kaum in den Medien oder in der Presse gewesen, hier und da mal so ein bisschen Stadtwerke in Wien oder so, hatten auch mal einen Bericht zugemacht. Also man kann da ein bisschen zu recherchieren, aber im Wesentlichen macht die schon seit vielen Jahren immer ihren Dienst im Hintergrund und es fällt dann auch nicht so auf. Deswegen hier nochmal ein dickes fettes Dank an alle systemrelevanten Personen, die sich in Isolation begeben haben, die trotz dieser Krisenlage permanent ihren Schichtdienst aufrecht halten und kümmern und machen und tun, dass es wirklich ein dickes fettes Dankeschön wert und ich verneige mich und gebe meinen Respekt an all diese Personen. Ja, zweite Herausforderung. Was hat man denn noch? Wir haben ja gerade schon gesagt Frischwasser, was frisch reinkommt, muss auch hässlich wieder weg, alles kacke. Abwassernsorgung. So, was haben wir gehabt? Wir haben die Herausforderung gehabt, die Leute haben es dann Toilettenpapier. Es gibt temporären Mangel an Toilettenpapier. Die Endverbraucher Toilettenpapiere waren dann sozusagen nicht mehr da, aber die Industrieprodukte waren da. Das heißt, wenn ich so große Rollen habe, die ich in der Industrie fertige und dann auch in den Produktionzahlen habe, aber so kleine Rollen, die für zu Hause sind sozusagen und sich plötzlich alles von Industrie und Produktion und Wirtschaft in Richtung Homeoffice verschiebt oder Lockdown anfangs, dann kann ich natürlich nicht Produkt A mit Produkt B mal eben austauschen, weil die Produktionsstraßen und die Fertigung eine ganz andere sind. Und das hat dann tatsächlich zu diesem inklusive Hamstern dazu geführt, dass es einen Engpass gab, temporär. Und ja, auch die Logistik war natürlich eine Herausforderung, weil die großen Rollen anders verpackt, in viel größeren, also palettenweise, normalerweise, wie ein Produkt, das sind halt eine Palette mit Einzel abgepackt, so 8 oder 6er-Packs oder 10er-Packs. Und so war also das auch eine Herausforderung, wie man das Logistik meistert. Die Verwendung von Alternativen wurde dann teilweise als Herausforderung angegangen, dann nehme ich halt Küchentücher, Taschentücher, Feuchttücher, kann aber auch eine Herausforderung werden, denn die Dinger sind reisfest im Gegenzug zu Toilettenpapier, was sich auflöst. Das heißt, wir reden von Fremdkörpern im Abwasser. Und das beeinträchtigt dann eben das Klärwerk durch verstopfte Pumpen teilweise oder eben durch eine höhere Frequenz der Rechenreinigung. Und wenn du die Rechenreinigung mit einer höheren Frequenz versehen musst, musst du auch die Abfallentsorgung mit einer höheren Frequenz versehen, in einem Zeitraum, wo selbst die Lkw-Fahrer, die dann den Abtransportregeln oder auch die Müllkippen sozusagen dann teilweise im Lockdown waren oder in Notdienst sozusagen. Ja, wie sah die Lösung aus? Für den Teil Hamstern von Toilettenpapier und Mangel gab es so eine Art Eigenregulierung durch den Einzelhandel und die Produktion. Ganz spannend. Es gab so Begrenzung der Vergabe von Toilettenpapier um breitere Masse zu versorgen und Selbstregulierung durch die Umstellung der Produktion. Also teilweise so Dinge gegeben, wie jeder darf nur einen Toilettenpapier Set kaufen oder das erste kostet 99, jedes weitere 15 Euro, wenn man halt mehrere kauft, damit die Leute einfach sagen, okay, ich bin jetzt, ich hamstern nicht, sondern geh mal freundlich mit allen anderen um. Ja, Verwendung von alternativen oder Beeinträchtigungen der Klärwerke war eben das Problem, dass diese Alternativen, wie gesagt, alles verstopfen können. Die Alternativen, die so von den Klärwerkbetreibern kommuniziert wurden, waren dann so was wie BD, mobile BDs, gibt es auch, so kleine Spritzdrückpumpen quasi, Waschlappen oder Duschen, sodass man da also auch versucht hat, die Leute davon abzubringen, Feststoffe in die Kanalisation einzuführen. Das ist wahrscheinlich weitestgehend intransparent für euch geschehen, denn wenige von euch haben wahrscheinlich diese Aufrufe gehört. Ich hab's auch versucht zu fördern mit den Abwasser- und Klärwerksanlagenbetreibern, wie so viele in diesen Bereichen, aber das ist natürlich keine große Ausstrahlung. Dann haben wir so Herausforderungen gehabt, wie, ja, wenn du da einen Rechenzentrum im Quarantäne-Beat betreibst und das Rechenzentrum dann aufgrund langesweiter Ausgangsbeschränkungen nicht so wirklich sinnvoll erreichen kannst. Ja, wie kommt dann dieses systemrelevanten Mitarbeiter dahin? Das muss also erst mal klären. Kontaktaufnahme mit dem zuständigen Gesundheitsamt zur Ausstellung von Ausnahmegenehmigungen, das muss vorher geklärt werden, man muss wissen, welches Gesundheitsamt zuständig ist. Zu dem Zeitpunkt war denen auch noch nicht ganz klar, wofür die Wannen wie zuständig sind und wie man die Ausnahmeregengenehmigungen ausstellt, etc. Ich beispielsweise habe von meinem Arbeitgeber eine Ausnahmegenehmigung erhalten, weil ich eben Dienstleistung für den betriebkritischer Infrastruktur und Sicherstelle, sodass also wenn ich zu einem Kunden oder ins Büro musste, was übrigens sehr, sehr selten war seit Anfang Februar, habe ich dann trotzdem die Möglichkeit gehabt, diesen Beleg mit meinem Personalausweis im Portemonnaie gehabt und hätte das vorzeigen können. Ja, das war also das eine. Das andere ist halt eine Implementierung journalbasierter Asynchronereplikation über Weiterentfernung, sodass man also eine redundante Datenhalde in einer nicht karantäne Zone hat, idealerweise. Aber wenn halt weltweite Pandemie ist, dann ist es auch kein Garant, dass nicht alle redundanten Bereiche vielleicht eine Ausgangsschränkung unterliegen. Also es war auch manchmal eine Herausforderung, da von den Gesundheitsämtern da irgendwie die Hilfe zu bekommen. Aber in der Regel ging es relativ fluffig. Ansonsten konnten eben diverse Leute wie ich oder alle Kollegen, die ganzen anderen Mitbewerber auch durchaus unter die Arme greifen und sagen, Leute, ihr müsst da und dahin, kümmert euch um den und den Beleg, hier ist ein Template, das ist der Text machen. Machen, Zeit ist irgendwie kritisch. Ja, da haben wir noch gehabt, Einschränkung im Einzelhandel. Er hat schon dort Klopapier besprochen. Jetzt kommen wir mal zum zu den Nudels. Logistik. Lagerkapazitäten und die Produktion der Waren gewährleistet, sind dann aber in Verzögerung gekommen, weil natürlich dieses Supply Chain und das Just-in-Time-Delivery nicht mehr so ganz funktioniert hat und dann sind die Lagerkapazitäten auch bedroht gewesen, dadurch, dass GANS-Kontrollen gab für den Warentransport. Es gab ja teilweise Berichte, wo an der Grenze Polen nach Deutschland 60 Kilometer Lkw-Stau war, wenn die Leute tagelang da hipfest hingen und versorgt werden mussten, damit sie nach Deutschland reinkommen. Kevi, dann der Stelle, Lkw-Fahrer, die dann eingereist sind, mussten teilweise eine Zeit lang 14 Tage in Quarantäne sitzen, um dann wieder ins Ausland zurückzufahren oder sind sogar hier erkrankt und umgekehrt sind ins Ausland gefahren, mussten da 14 Tage in Quarantäne bleiben oder sind da erkrankt. Heißt, es gab natürlich auch da schwerwiegende ernste Fälle, aber es gab eben auch die 14-tägige Frist, so dass sie natürlich nicht den Umschlag ruckzuck machen konnten und zack, hast du einen Defizit an Fahrern und damit auch nicht mehr die passende Lagerkapazität, weil einfach der Transport nicht sicher gestellt werden konnte. Ja, die Hamsterkäufe haben natürlich den wahren Bedarf erhöht, temporärer Mangel wurde damit entsprechend gefördert. Wie hat man dem gegen gesteuert? Beispielsweise hat Aldi damals gesagt, so dieses Nudeldefizit geht ja mal gar nicht, wir müssen den Warentransport irgendwie umschlagen auf Schienenverkehr und haben mit DB Schenker kurzfristig, kann man auf einem Bericht irgendwo lesen, haben die gesagt, okay, dann machen wir jetzt nicht mehr Lkw-Fahrerei, sondern holen uns über DB Schenker so einen 60-tonnen oder wie viel auch immer Nudeln aus Italien hier rein und dann gibt es auch kein Defizit mehr. Das hat dann natürlich eine Weile gedauert, wenn man das mal eben umstellt. Man braucht regulatorisch Abkommen zwischen diesen jeweiligen Handelspartnern, man muss die bestehenden Verträge außer Kraft setzen, neue Verträge kurzfristig machen. Die Bereitschaft von DB Schenker und die die Kapazität muss da sein, man musste dann auch gucken, jetzt hat man nicht die übliche Anlieferung an den Lagerraum, sondern über den Schienenverkehr bis zum bestimmten Schienenendpunkt und von daraus musste man logistisch noch weiterziehen etc. Das ist also ein Riesenaufwand, der an Rattenschwanz daherkommt, um dieses Supply Chain aufrechtzuhalten. Aber am Ende hat es funktioniert, wir konnten alle wieder Klopapier und Nudeln sozusagen benutzen und verwenden und essen und tralalala. Also der Güterfluss wurde sozusagen über diese Ebenen dann auch wieder zügig etabliert. Ja, dann hatten wir noch Einschränkungen der Siedlungsabfallentsorgung. Ich habe ja gerade schon erwähnt, Klärwerker hatten Defizite bei der Abfallentsorgung, aber Siedlungsabfallentsorgung natürlich auch. Also alles, was wir so Privatanmüll generieren. Wichtig an der Stelle, Siedlungsabfallentsorgung ist derzeit keine kritische Infrastruktur im Sinne des BSI-Gesetzes, IT-Sicherheitsgesetzes. Aber der Ausfall hat weitreichende Folgen für Gesundheit und Umwelt. Also Umweltschäden als auch gesundheitliches, es kann sogar eine Pandemie fördern. Herausforderung war, es gab eine Einstellung des Betriebs von Wertstoffhöfen, inklusive der Sammlung von Sonderabfällen, aber es gab eben auch eine verringerte Abholfrequenz, weil die natürlich aufgrund eingeschränkter Verfügbarkeit der Mitarbeiterinnen auch ein Defiziter hatten, zu sagen, okay, wir können den Regelzyklus nicht einhalten. Wie kriegen wir das jetzt bewerkstelligt? Dafür gab es halt auch ein paar Lösungsideen, das beämiert langfristig, zum Beispiel vorgeschlagen Siedlungsabfallentsorgung als kritische Infrastruktur aufzunehmen. Das heißt im Entwurf des IT-Sicherheitsgesetzes 2.0 wurde Siedlungsabfallentsorgung sozusagen dann jetzt als Kritis mit aufgenommen. Und die Lösung zum Umgang mit den Abfällen war auch so, man hat natürlich auch erheblich Gefahr, dass man Kontakt mit dem Coronavirus hat, das heißt die Entsorgung von Abfällen, die Kontakt mit dem Coronavirus hatten nur in die Restmülltonne, weil das Ganze wird mit einer höheren Verbrennungstemperatur vernichtet und Deklaration von Abfällen aus Krankenhäusern, die Corona-Fälle behandeln als gefährlicher Abfall. Heißt Erfordernis von reisfesten Feuchtigkeitsbeständigen und dichten Behildnissen, damit natürlich keine Gefahrengüter sozusagen da irgendwie auslaufen oder so und die Mitarbeiter infizieren und Transport nach dem Gefahrgutrecht. Also das alles ist sehr aufwendig und teuer, aber so was hat man beispielsweise auch der Abfallentsorgung bei der Siedlungsabfallentsorgung in Teilen auch gemacht. Man hat die Bevölkerung dazu aufgerufen, muss aber ehrlich sein, nicht viele oder viele haben es nicht mitbekommen oder gesagt, naja, ich sortiere immer noch mein Abfall ordentlich und mache jetzt nicht alles, was vielleicht Kontakt gehabt haben könnte in die Restmülltonne. Wenn man Vorfall in der Familie hat, denkt man erst mal in die Familienmitglieder logischerweise und nicht daran, ob ich den Abfall richtig sortiere. Aber trotzdem ein wichtiger Punkt. Ja, und IT-Systeme von Krankenhäusern, Rens- und Währangriffe auf Krankenhäuser gab es beispielsweise und gibt es immer noch auch aktuell. Vielen Dank nochmal an die Kollegen der Insider-Response und Varensik, die gerade alle im Einsatz sind in der Usterzeit um Krankenhäuser, Arztpraxen, Dialysezentren, Pflegeheime und sonst was alles aufrecht zu halten, die gerade kompromittiert wurden und erpresst werden. Es gibt dadurch aber eingeschränkte Netzwerkkommunikation, Systemverschlüsselungen und eben Integritätsverlust der Daten und das bedeutet erhebliche Einschränkungen im Krankenhausbetrieb. Wir haben über Corona sowieso schon eine Verschiebung von Operationen oder das Verlegen von Patienten bei einer Rens- und Währ-Attacke teilweise dann auch. Es gibt fehlende Informationen zu Patienten und es gibt Einschränkungen der Laborkapazitäten. Also das alles ist auch nochmal ein Problemverstärker und die World Health Organization oder eben auch Corona-Virus-Test-Zentrum in Tschechien beispielsweise wurden erfolgreich angegriffen letztes Jahr. Das alles ist also auch nochmal die Herausforderung sozusagen eine Krise in der Krise. Wir haben die Krise Pandemie und dann kommt noch eine Rens- und Währ-Atz-Krise dazu. Also wenn eine Krise schon scheiße ist, ganz ehrlich, eine Krise in der Krise ist so richtig übel. Wie geht man davor? Konsequente Umsetzung der IT-Sicherheit. Orientieren am B3S, am broschenspezifischen Sicherheitsstandard für die Gesundheitsversorgung im Krankenhaus. Das gibt es, kann man umsetzen. Es gibt einen OZG, KZG, Krankenhaus-Zukunftsgesetz, KZG, wo auch Gelder für IT-Sicherheit endlich bereitgestellt wurden, die jahrelang verzögert und aufgestaut wurden. Man kann sich natürlich IT-Sicherheitsfirmen als Unterstützung dazu holen, nämlich Incident Response Forensic. Teilweise haben die auch Dienstleister, weil sie eine Cyberversicherung haben und diesen ausgerückt und machen die Bekämpfung der Sicherheitsvorfälle und die Inbetriebname wieder dieser manchmal skurrilen Infrastruktur mit Windows 95 oder mit proprietären Klartext-Protokollen etc. Sie brauchen natürlich ein Notfall- und Krisenmanagement, was die Gleichzeitigkeit von Krisenerreignissen auch entsprechend managt und behandelt, was eben dann auch noch mal zu berücksichtigen ist. Das sind alles Punkte, die zur Lösung helfen können, dass man eben nicht durch ransomware angegriffen wird. So, damit bin ich im Wesentlichen durch. Noch mal Schleichwerbung für den vorhin erwähnten von der Devok PPT im September letztes Jahr Vortrag. Wer da noch mal reinhören will, die Erlebnisse eines Kritisprüfers, unabhängig von einer Pandemie, der sei auf diesen Link oder auf diesen Vortrag verwiesen, da habe ich noch mal ein bisschen zusammen erklärt, wie kreativ die eigentlich umgehen, um seriös und dauerhaft sicherzustellen, dass die Versorgungsleistung kein Engpass und keinen Ausfall hat. Ja, und damit würde ich sagen, vielen lieben Dank. Und kommen wir zurück zu Puppe. Noch höre ich nichts. Ja, das ist diese Mute-Taste, die ist manchmal Kritis, gerade in Telcos. Ja, manchmal ist mein Ohr auch Kritis, deswegen fast schon. Ja, dann Applaus, Applaus, Applaus, wollen hast du es vielleicht nur gesehen. Herzlichen Dank für den Vortrag. Langsam sind es ja immer ein Modul nach dem nächsten und ich bin dann gespannt, was dein nächster Vortrag zu dem Thema sein wird. Vielleicht ist das dann irgendwann mal so eine Lehrreihe, irgendwie alles über media.ccc.de nutzbar und das wird dann vielleicht auch noch irgendwann richtig schön gefördert. Aber erst mal kommen wir zu den Fragen und den Kommentaren, welche mich über das Pet erreicht haben. Der Link zum Pet ist ja sozusagen im Programm zu finden und da könnt ihr sogar jetzt noch in Echtzeit Dinge reinschreiben. Ich sehe die dann sozusagen direkt. Ja, und wer sich das sage, kommt ihr sogar eine neue Frage? Nee, was ist mit der Heizungsinfrastruktur? Gehört die nicht zu Kritis? Also Fernwärmeversorgung, ja, die Fernwärme Rohrleitungen, aber die Heizungsinfrastruktur, ich würde jetzt mal interpretieren, dass das die vom Gebäude ist oder so. Das ist der Endnutzer selbst und der Endnutzer oder Einzelkomponenten sind nie kritis. Es geht immer nur um die zentralen Komponenten, die sozusagen Massenausfall bewirken, sprich die Kraftwerke, die die Übertragungsnetzbetreiber um den Strom zu zu liefern, das Fernwärmenetz, die Tanklager für Heizöl und Diesel, die Raffinerien, die das erzeugen und so weiter und so fort. Das, das Heizungsnetz in einem Hochhaus oder in einem Haus ist ja sozusagen die Einzelversorgung und die ist da sozusagen nicht relevant. Denn wenn eine ausfällt, dann kann ich im Notfall zum Nachbarn oder rufen Reparaturdienst, was auch immer. Wenn aber, dass die zentrale Fernwärme ausfällt, dann habe ich ja viele hunderttausend Leute, die bedroht sind und das haben wir ja beispielsweise in Texas gesehen, ja, von vor wenigen Wochen noch. Texas hatte einen kompletten Blackout. Es gibt in USA drei Netze, Ost, West, Texas. Texas ist schlau und hat gesagt, wir verzichten auf alle anderen. Wir betreiben eigenes Netz und diese eigene Netz ist zusammengebrochen als Blackout und in Texas gab es dann eben keine Heizung, kein laufend Wasser, weil ohne Strom gibt es irgendwann auch keine Wasserpumpen mehr und das war zu einer Zeit, wo es sehr, sehr kalt ist, war und ja, dann sind auch die Wasserrohre und die Heizungsrohre eingefroren, aufgeplatzt und als es dann abgetaut ist oder auch Strom wieder da war, sind die ganzen aufgeplatzten Rohre dann ausgelaufen und man hatte überall Wasserschäden und immer noch kein Strom und Wasser. Also so mies kann es laufen, aber das war dann sozusagen das Stromnetz, was ausgefallen ist und das ist dann Critis, aber nicht das Einzelnetz. Ja, also da kann man amerikanische Podcast hören von Leuten, die in Texas lebten. Also es war ja ein Drama. Jetzt kommt noch eine ergänzende Frage sozusagen dahinter. Ich denke mal auch wieder, was ist mit Handwerkern und Großhandel? Also Handwerker, ja, Handwerker müsste dann mehr als 500.000 Personen versorgen in einer Anlagenkategorie, die kritisch ist, wüsste ich jetzt spontan kein, ja, kann ich nicht, wüsste ich nicht. Großhandel, ja, also wenn die jetzt so, keine Ahnung, beliebige hier Metroketten oder so was, ne, so eine Kette ist so groß, dass sie Einzelhandel bei der Versorgung mit Ernährung, also Kritissektor Ernährung mit der Versorgung sicherstellen und die sind kritische Infrastruktur, wenn sie eben mehr als 500.000 Personen versorgen und da gibt es im Handel tatsächlich einige, die da drunter fallen, auch beispielsweise nicht nur Handel, sondern auch Molkereien, die sind ja auch im Ernährungssektor tätig. Also lösen das unter kritisch feilende Firmen eigentlich dadurch, dass sie zum Beispiel Zulieferer irgendwie, die können es nicht vererben, aber es wird dann einfach mit in die Verträge reingeschrieben oder wie macht man das, wie stellt man das sicher? Also wenn ich kritisch Betreiber bin, muss ich natürlich diese Anlage, die ich Betreibe sicherstellen. Das heißt, wenn ich einen Zulieferer habe, der irgendwie Wartung oder Betrieb dieser Komponenten macht und es geht immer um den IT-Teil, laut IT-Sicherheitsgesetz oder BSI-Gesetz, wenn ich also die IT-Wartung oder den Betrieb der Produktion macht, der OT, der SCADA-Komponenten, der Prozessleitechnik oder so, dann muss ich da sicherstellen, dass auch die Zulieferer, die diese Komponenten für mich austauschen, warten, Fernzugriff machen, Fernwartung und Fernzugriff ist so ein Albtraum für sich, habe ich übrigens in dem Vortrag Erfahrung eines Kritisprüfers, da habe ich den Fernwartungsarchäologen ins Leben gerufen und gesagt, ey, immer wenn ich dieses Wort höre, kriege ich Bauchschmerzen, ist es einfach so. Aber das alles muss man dann vertraglich mit diesen Zulieferern regeln. Was nicht geregelt werden muss, ist sozusagen die grundsätzliche Supply Chain. Also Wasser oder Strom, weil das ist sozusagen grundsätzliche Zulieferung oder beispielsweise beinahmölkerei, dass die Tanklaster Milch vorbeifahren können. Das hat dann nichts mehr mit IT zu tun. Naja, und Kürb produzieren immer. Und das dann ankommt, ist eine andere Frage. Bis die ein OT-Ship haben. So, dann geht es weiter in Fragenkatalog. Wie viel ist Kritis, slash IT und wie viel ist im allgemeinen Katastrophenvorsorge? Das kann man nicht nach, wie viel beurteilen. Also es gibt circa 2000, nicht ganz 2000 kritische Infrastrukturen in Deutschland, die so geschätzt sind. Ich glaube, beim BSI sind aktuell registriert 1.600 Anlagen Kategorien oder so, die mehr als 500.000 Personen versorgen. Im allgemeinen Notversorgung, das umschließt ja noch viel mehr. Also da geht ja auch hier Krisenmanagement der Länder, der Kommunen, Bundesregierungen, alles Mögliche rein. Auch die ganzen Deutsche Rote Kreuz und sonstigen Ehrenamtlichenhelfer. Selbst THW, Freiwillige Feuerwehr, das wird alles unter Katastrophenhelfer gezählt und sogar Bundeswehr, die ja im äußersten Notfall auch hilft. Der äußerste Notfall ist jetzt schon seit einem Jahr etablierter Standard. Ist eigentlich auch Fail by Design. So was nutzt man nur im äußersten Notfall und guckt auch ganz schnell, dass man wieder von diesem äußersten Notfall weg kommt. Weil wenn ich dann noch mal eine Krise oben drauf kriech, dann ist Game Over und da wirklich Holland im Not. Und Deutschland noch dazu und alles andere. Aber ja, kann ich jetzt, ich wüsste nicht, ob es da irgendwo Zahlen gibt, außer das, was so veröffentlicht wird. THW hat 85.000 Mitglieder, ungefähr 80.000 davon sind beispielsweise dann ehrenamtlich, aber kann man jetzt nicht alle einzeln oder gesamt auftröseln, wüsste ich nicht. Dann geht's weiter. Was ist deine Einschätzung zum Sektor Zahlungsverkehr? Zum Beispiel Haasbar, Geldautomaten Ausfall, Einführungsstarke aus für PSD2, kein Login ohne 2F2, also zwei Faktor Authentifisierung? Ja, also der, der, man muss sagen, der Sektor Finanz- und Versicherungs Wesen ist und wenn man da nur den Bankenteil betrachtet, nicht die Börsen und die Versicherung, die haben zwar, sag mal, Altlasten und uralte Systeme, teilweise auch im Einsatz und echt komplexe Infrastrukturen, die Deutsche Bank hatte vor, ich weiß nicht mehr zwei Jahren oder so, hatten ja mal gesagt, boah, wir haben hier insgesamt 7.000 verschiedene Anwendungen und Kernkomponenten und eine Anwendung kann beliebig komplex werden und viele Systeme haben. Aber man muss fairerweise auch sagen, sie sind sehr reguliert, eine Bank, wenn die einen Vorfall hat, dann muss die beispielsweise melden an vielleicht an die EZB, an die also Europäische Zentralbank, an die Bundesbank, an eine Cyberversicherung, wenn sie eine hat und die meisten haben eine. Du musst, du musst melden an die Bar finden, du musst ans BSI melden. Also wirklich kreuch und fleuch an jeder Stelle, du wirst überreguliert und wenn du dann noch eine Anmeldung für Finanzzahl in den USA hast, dann musst du irgendwie an New York irgendwie da auch noch eine spezielle Meldung machen. Wenn du in Singapur, wie Büro hast, Singapur verlangt, dass du ein lokales Office haben musst, unter den offiziellen Regularien in Singapur, muss du da auch noch mal eine separate Meldung machen. Wenn du an, na gut Börse haben wir gerade ausgeklammert, aber wenn wir beispielsweise jetzt E-Money-Lizenz an der Börse in UK haben, dann muss man da noch mal melden. Also du kannst dich tot melden und du kannst auch tot konfiguriert werden mit irgendwelchen Compliance Regularien, die oft genug im Widerspruch stehen. Das macht das dann auch nicht trivial, mal eben eine Kerner Anwendung, wo Millionen von Leuten darauf tagtäglich und um die Uhr arbeiten und auch erwarten, dass mein Geld aus dem Automaten plappt oder so, mache ich mal kurz eine Anpassung. Also ist gut wie schlecht. Es ist gut überreguliert und auch gut abgehangen, aber andererseits schlecht, weil diese Überregulierung, das auch extrem marode und never change a running system. Und wenn es anfasst, explodiert eher alles und bis fällig keiner will es anfassen. Also das übrigens Sneak Preview, IT-Sicherheitsgesetz 2.0 wird genau so was einbringen für die kritischen Infrastrukturen. Es wird komplexer, es wird sinnloser, es wird sinnfreier, deswegen gruselig mich jetzt schon davor alle sechs Sachverständigen im Bundestag. Ich war einer davon, haben dagegen gemaut, selbst die von der CDU und es hat das BMI völlig nicht interessiert. Die laufen immer noch um und sagen, ja, wir sind die besten, tolles Gesetz, alle nur positiv. Lustigerweise musste ich gerade an diese Anhörung denken, weil in der Anhörung hast du auch so viel gesprochen und bist nie zum Ende gekommen. Und es werden zunehmend mehr Fragen. Nein, ich freue mich ja. Aber während wir reden, kommen immer neue Fragen rein. Ist total spannend, was noch alles kommt. So, warum ist dann die Logistik noch kein Kritis? Ohne Logistik funktioniert auch keine Infrastruktur so wirklich, oder? Das ist einfach. Kritissektor, Transport und Verkehr, Logistik über 500.000 Personen ist abgedeckt. Nächste Frage. Volle Punktzahl. Inwieweit achtet ihr eigentlich auf Paketversionen bei Dependencies, wenn ihr mit Kunden arbeitet? Mir scheint es wären bei vielen Zertifizierungen unter einem nur geprüft wird, ob von LibX die neueste Version genutzt wird. Worauf scheinbar nicht geachtet wird ist, wie alt veraltet, verbackt ist diese neueste Version? Also eine Kritis Prüfung ist nur eine Prüfung und keine Zertifizierung. Man kriegt also kein Bappal danach, sondern lediglich eine Einhaltung der Gesetzesvorlage als Empfehlung und die Einhaltung sprechen dann BSI teilweise im Benehmen oder Einvernehmen mit der Aufsichtsbehörde aus. Aber das Problem bei Zertifizierungen kenne ich. Ich kenne nämlich auch so den einen oder anderen Zertifizierer. Das sind dann, wie soll ich sagen, ahnungslos oder blind unter den Einäugigen, wenn die natürlich nicht wissen, was es bedeutet, ja, Secure Software Development Lifecycle, Anpassungen, Updates oder Upgrades in der Form, dass da auch die Dependencies berücksichtigt ist, aber nicht jede, nämlich nicht jede, die ein Feature benaltet, was ich nicht interessiert, aber jede, die ein Security Update hat oder wenn eine Dependency out of Maintenance ist, machen aber tatsächlich viele nicht, weil sie so tief gar nicht prüfen. Was eigentlich schade ist, weil ja, ist es eine der großen Lücken, die oft genug vorkommen. Ja, dann gab es neue Erkenntnisse zur Kritikalität von nicht als kritis eingestuften Infrastrukturen, Stichwort Pharmaproduktionen, Altenheim Supply Chain, europäische Cloud Rechenzentren. Ja, also für mich ja, für die AG Critis auch ja, für diverse kritische Infrastrukturbetreiber oder die Mitarbeiter ja, für manche Wirtschaftsverbände nicht mehr so ja, für die Länder und die, die Bundesregierung nicht so ja und das BMI, ey, Chaka, alles cool. Wir parken jetzt die Siedlungsabfall Entsorgung dazu und dann diese Unböfi, Unternehmen im besonderen öffentlichen Interesse und dann noch diese komischen hier und da noch so ein bisschen und dann ist schick. Also meiner Meinung nach, meiner ganz persönlichen Meinung nach komplettes Fail und Versagen, weil die echten Bedarfe wurden nicht adressiert, sondern wieder irgendwelche kaschierten Düdel-Düß. Ja. So sieht es aus. Jetzt eine sehr spannende Frage wird bei der Lebensmittelindustrie unterschieden, ob zum Beispiel Molkereiprodukte versus Bombonfabrik. Nein, wenn du eine Versorgung über 500.000 Personen sicherstellen musst, ein bisschen Critis, es gibt aber verschiedene Anlagen Kategorien, also Herstellung, Vertrieb von Lebensmitteln etc. und diese einzelnen Kategorien, wenn ich in einer dieser Kategorien über 500.000 bin, dann fällt es weg. Kleines Beispiel, was außen vor ist, Alkohol, weil es steht drin, dass beispielsweise bei Wasser eben es nur um Wasser geht und nicht um Alkoholiches, insofern sind alkoholiche Getränke zum Beispiel komplett ausgeklammert. Ja, dann was ist? Oh, jetzt kommt die letzte Frage. Das ist natürlich was ist nach deiner Einschätzung nach der brüchigste Sektor, also mit der mit der größten Ausfallsrisiko? Strom, weil Strom sozusagen die Basis für alles ist, wenn Strom wegfällt, fällt kurz danach Telekommunikation weg und danach bericht alles andere zusammen. Wer das mal genauer eruieren will, kann sich gerne Blackout von Marc Ellsberg mal durchlesen. Das ist schon recht nahe an der Realität. Es gibt vom TAP, TAP Bundesamt, TAP Bundestag, TA Bundestag eine Blackout-Studie von 2012, glaube ich, war aus. Die hat auch 250 Seiten oder so, die schreibt ganz genau wissenschaftlich erforscht auf, was nach einem Blackout so wie in welcher Reihenfolge passiert. Wer dann noch nicht genug hat, kann sich vielleicht noch 42 Grad durchlesen. Das ist auch ein Buch, was was sozusagen das ganze Haus Wassersicht beschreibt. Aber Strom ist definitiv die Basis für alles und das ist am kritischsten. Danach kommt IT und EKK, weil ohne Kommunikation funktioniert auch nicht viel. Ja, dann sage ich an der Stelle erst mal noch mal Danke, Danke, Danke für den Vortrag, für die Antworten. Die drei Fragen, die noch drinstehen, da werden die Antworten hinterher reingeschrieben bestimmt von Honkhase, kann dort die Sachen sozusagen noch mal kommentieren. Ansonsten könnt ihr Feedback da auch immer reinschreiben. Und an der Stelle würde ich einfach noch mal so virtuell Applaus, Applaus, Applaus sagen. Und ja, dann gehen wir glaube ich sozusagen wieder zurück ins Main-Programm und ja, dann freue ich mich, dass es hier gleich weitergeht.