 Hallo. Ja, ich schalte mal kurz auf die Folien um. Es geht um die Erlebnisse eines Kritisprüfers. Ich werde euch mal kurz den Kontext zu mir geben für die, die mich noch nicht kennen und danach könnt ihr auch mal verstehen, unter was ich da so leide oder auch die Kollegen. Und dann kriegen wir mal einen Überblick über Geschichten aus den Gruften der kritischen Infrastrukturen. Und ja, ich hoffe, ihr habt da ein bisschen Spaß mit mir zusammen. Schauen wir mal. Ja, wer bin ich? Was mache ich? Manuel Ahtok, aka Honkausel. Ich bin Senior Manager bei der High Solutions AG. Ich mache seit über 23 Jahren Dinge aus Gründen. Hauptsächlich befasse ich mich natürlich mit kritischen Infrastrukturen, aber ich habe eben natürlich auch andere Hintergründe. Ich befasse mich sehr viel mit dem Stichwort Hackback oder Offensive im militärischen Bereich, weil es eben gegen kritische Infrastrukturen geht. Ich befasse mich sehr viel mit der Ethik, nicht jetzt aus dem Formalkorrekten, sondern aus dem Gesamtverständnis, Ethik moral und im Kontext dieser Dinge. Cyberresilienz. Also ja, Cyber wird jetzt auch ab und zu vorkommen. Ich hatte keine Lust mehr, es rauszufiltern. Cyberresilienz, in dem Sinne kritische Infrastrukturen müssen eine Resilienz sein und möglichst lauffähig sein, damit wir auch eine Funktionsfähigkeit sicherstellen können und eine Versorgungssicherheit. Und in dem Zusammenhang natürlich auch Bevölkerungsschutz und interessiere mich insofern natürlich auch um die, soll ich sagen, Lebenserhaltung. Ja, seit auch über 23 Jahren bin ich dann aktiv in einigen Vereinen und mache diese Dinge aus Gründen und unter anderen bin ich Sprecher und Gründer der AG-Kritis, unabhängige Arbeitsgruppe, kritische Infrastrukturen. Da haben wir uns eben zusammen getan und gesagt, wenn man sich kritische Infrastrukturen anguckt und ihr werdet vielleicht danach auch noch ein bisschen besser verstehen nach diesem Vortrag, muss man eigentlich mal schauen, was man da irgendwie tut und wie wir das auch ein bisschen solider hinkriegen, die bestehen zu haben und wenn wir ein Problem haben, wie wir das eigentlich aufheben sozusagen. Ja, bevor ich erkläre, was man so bei kritischen Infrastrukturen erlebt, würde ich ganz ehrlich einmal den Überblick geben, was ist eigentlich Kritis und was versteht man darunter? Ich könnte da jetzt echt komplexe Gesetzespassagen irgendwie abbilden, aber ich mache es wirklich ganz vereinfacht. Es ist, aus der EU-NES-Richtlinie ist entstanden, das IT-Sicherheitsgesetz, wobei formal korrekt war die erste Fassung zuerst in Deutschland, dann hat die EU das übernommen und Deutschland hat noch mal auf die EU-Regularien angepasst. Aber dieses IT-Sicherheitsgesetz für kritische Infrastrukturen gibt es seit 2015. Ziel ist die Sicherheit der IT-Komponenten von kritischen Infrastrukturen rechtlich verbindlich, ab einer Versorgung von ziemlich genau 5.000 Bürgern, aber hochgerechnet auf den Verbrauchsschwellen wert der 5.000 Bürger. Heißt also, wenn 500.000 Bürger so und so viel Liter Wasser im Jahr Frischwasser aus einem Frischwassergewinnungswerk benötigen, dann rechnet man das mal 500.000 hoch und stellt fest, das sind dann 22 Millionen Kubikmeter Wasser im Jahr, die produziert werden und wenn ich eben mehr als das Produziere geltlicher als kritische Infrastruktur betreibe. Und diese Kritisbetreiber, ich nenne es liebevoll meinen Seven of Nine Sektoren, müssen die IT-Sicherheit nachweisen, warum Seven of Nine. Es ist so, dass es neun kritische Infrastruktursektoren in Deutschland gibt, die definiert wurden. Davon sind sieben in der BSI-Kritisverordnung definiert, das heißt Energie, Gesundheit, IT und TK, also die ganzen Mobilfunknetze oder Internet, Transport und Verkehr, Wasser, Finanz- und Versicherungswesen und Ernährung sind eben, wie gesagt, im BSI-Gesetz fankert und in der BSI-Kritisverordnung hinterlegt, was die genau wie zu tun haben, wie die Schwellenwerte sind und so weiter. Die anderen zwei sind Staat und Verwaltung, der ist anderweitig reguliert, wird nicht von der Kritisverordnung erfasst, denn der Staat muss ja sozusagen eine gewisse Unabhängigkeit haben und dann kann eben eine Behörde wie das BSI natürlich nicht da die Hoheit übernehmen und darauf einwirken. Demzufolge gibt es da zum einen offenbar auch da gesetzliche Hürden, die diese nicht so ganz vorhandene Unabhängigkeit vom BMI des BSI einschränken, aber das wird eben adressiert dadurch, dass man versucht, man hat einen Umsetzungsplan Bund oder UP Bund und in diesem UP Bund wird zumindest Staat und Verwaltung gesteuert, miteinander abgestimmt, aber die haben eben keine festen Verordnungsregularien wie eben diese Kritisverordnung für die anderen sieben Sektoren und beim Sektor Medien und Kultur ist es so, das fällt in die Zuständigkeit der Bundesländer, daher ist es natürlich nicht durch ein Bundesrecht reguliert und sofern können die das natürlich dann nicht da drüber adressieren. Jetzt klingt das alles nach so einem idealen Standardsicherheitsstandard, nämlich so was wie so 27.001 oder die Grundschutz oder irgendwas in der Richtung, jetzt haben wir hier noch so einen dröwzehnten Sicherheitsstandard und müssen irgendwelche Dinge tun, ist nicht ganz so, denn dieses BSI Gesetz und die Kritisverordnung haben anderen Fokus, die dienen dem Schutz der Bevölkerung tatsächlich und nicht des Betreibers, das ist eher so sekundär, der Betreiber ist im Zweifelsfalle nachgelagert, das geht darum, dass den Versorgungsengenpass zu verhindern oder ein Versorgungsausfall mit der jeweiligen kritischen Dienstleistung, also Frischwasserlieferungen, Abwasserentsorgung oder oder oder und insofern legt man also den Fokus darauf und es gibt keine Zertifikate. BAPAL hat man sich da ausgespart und gesagt, das ist eine sogenannte Nachweiserbringung. Ich habe dieses Gesetz, BSI Gesetz, § 8a, da komme ich da auch noch drauf. Das muss man einhalten und erfüllen und eine Erfüllung des Gesetzes muss man halt durch eine unabhängige Prüfung durch einen sachkundigen Dritten erfolgen lassen und damit hat man formal eine Nachweiserbringung vorgenommen. Diese Nachweiserbringung ist in der Form, dass man natürlich ein Prüfbericht hat, aber insbesondere auch eine Mängeliste mit den entsprechenden Sicherheitsmängeln, die dann zu beheben sind und das erstellt man dann als Prüfer. Übergibt das den Betreiber und der Betreiber muss dann natürlich diese Mängeliste adressieren abarbeiten, aber eben auch ans BSI übermitteln und sagen hier, wir haben unsere Nachweiserbringung vorgenommen, langt das und dann prüft das BSI das mit der jeweiligen zuständigen Aufsichtsbehörde pro Sektor, sind ja unterschiedliche, ob das alles passt oder nicht passt und was sie dann wünschen. Die Prüfkriterien selbst oder das Prüfkriterium selbst ist die Umsetzung von Sicherheitsanforderungen. Also wirklich, was habe ich gemacht, ist Zustandsanalyse und nicht die Planung. Also wenn die erzählen hier, nächstes Jahr haben wir dieses total geile ISMS und damit ist alles klar Schiff, dann gibt es eine Abweichung, weil fehlt noch, wenn die Anforderung war, dass man eben einen Sieben oder was auch immer haben muss. Insofern könnt ihr also nicht hingehen und sagen, wir haben hier tolle Pläne und da kommt irgendwann was, sondern wirklich ein, wir müssen mal mit Fakten aufzeigen, dass wir auch wirklich was haben und das ist schon mal auch ein wichtiger Punkt, ist Zustand prüfen, nichts soll Zustand diskutieren. Gut, wie viel steht man dann, was es ein Sicherheitsmangel und ein Mangel ist nicht immer gleich eine Mangel. Gerade bei Kritis ist es noch ein bisschen anders. Man unterscheidet also zum einen geringfügige Mangel und schwerwiegende Mangel oder auch Empfehlungen oder gar keine Beanstaltung. Wichtig an der Stelle ist, hat es einen direkten unmittelbare Auswirkungen, größeren Ausmaßes auf die Erbringung dieser Dienstleistung, also die kritische Versorgung sicherzustellen. Hat es das eher so geringfügiger, also nicht unmittelbar, sondern mittelbislangfristig oder eben ist das eigentlich alles, so wie es ist, absolut okay und dann hätte man eben eine Empfehlung oder gar nichts. Keine Prüfung ohne Mangel, es ist so, dass die, sagen wir mal so, das BSI erwartet etwas zwischen 50 und 150 Mangel pro Prüfung. Das liegt einfach an der Natur der Sache. Kritische Infrastrukturen sind ja kritisch und damit eher selten, sage ich mal, im Wartungsmodus und machen auch nicht on the edge Rocket Science Dinge, sondern sorgen erstmal dafür, dass die Versorgung dauerhaft sichergestellt ist und dass die Produktion läuft. Und das heißt schlichtweg, dass man durchaus ein paar veraltete Komponenten einsetzt, dass man Komponenten von Herstellern einsetzt, die einfach nicht mehr auf dem Markt existieren, weil die schon so lange im Betrieb sind und dadurch, dass ich nicht sofort jedes Problem beheben kann, weil ich sonst jedes Mal die Produktion abschalten würde und damit einen kompletten Versorgungsausfall habe, ist also so, dass diese Erwartung von Mängeln einfach gegeben ist. Und wenn also jemand eine Prüfung machen würde und dann ein Prüfbericht hat und eine Mängelliste, wo eben nichts draufsteht, dann wird es irgendwie ganz schnell dazu kommen, dass man sagt, wir hätten da Rückfragen, das passt irgendwie nicht. Das BSI fokussiert sich aktuell eher auf die schwerwiegenden Mängel, weil sie natürlich darauf den Fokus legen und sagen, liebe Leute, kümmert euch um die, wir wollen da genau wissen, wann behebt ihr die und wie behebt ihr die. Aber die geringfügigen Mängeln müssen natürlich auch behandelt werden, da kann man nicht sagen, hey, die machen wir später. Also muss natürlich prioritär gerecht realisiert werden, was man da tut. Von daher ist das durchaus gängig und üblich, da natürlich die kritischeren Dinge zuerst zu adressieren. Kurz noch die Definition, man hat ja gerade schon gesagt, schwerwiegende Mängel. Also die genauere Formulierung ist gravierender oder herrhebliche Gefährdung und es besteht akute Handlungsbedarf. Bei den geringfügigeren gibt es halt eine Gefahr oder ein Risiko, aber es ist kein akuter Handlungsbedarf. Bei der Empfehlung sind es Verbesserungshinweise, die man natürlich schon adressieren muss, weil wenn ich eine Empfehlung drei, vier mal drin stehen habe, dann wird es irgendwann geringfügiger Mängel, weil man sich dem nicht adressiert hat oder eben man hat keine Abweichung in einem Prüfpunkt und dann ist die Anforderung halt vollständig erfüllt. Ja, jetzt haben wir erstmal gehört, was alles irgendwie so grundsätzlich ist. Ich möchte ein paar Dinge positiv hervorheben, bevor wir dann zu dem schlechten kommen. Es ist ja auch nicht immer alles schlecht, in sofern muss man das auch mal klar betonen. Es gibt im BSI-Gesetz, § 8a, auch die Möglichkeit der Verwendung einer sogenannten B3S, ein branchenspezifischer Sicherheitsstandard. Diesen können Betreiber oder deren Verbände entwickeln, um zu sagen, diese Gesetz sagt jetzt, ich soll einen angemessenen branchenspezifischen Stand der Technik realisieren und diese drei Punkte sind einfach juristisch nicht einwandfrei definiert. Was ist angemessen? Was ist branchenspezifisch und was ist Stand der Technik? Kann also hervorragend darüber lamentieren, diskutieren und ewig und drei Tage feststellen, was ist eigentlich so die Norm? Und dafür kann man eben ein branchenspezifischen Sicherheitsstandard entwickeln, ableiten aus diesem BSI-Gesetz und den Anforderungen für kritische Infrastrukturen und sagen, also in diesem Kontext für diese Versorgung würde man das so und so tun. Und dann können wir also diesen B3S verwenden und das erleichtert tatsächlich die Umsetzung bei den Kritisbetreibern enorm, weil sie eben aus einem, ich sag mal, Handlungskatalog einer Orientierungshilfe, die für erfahrene Menschen kein Thema sind, aber für die, die sich damit initial befassen, halt tatsächlich Sorgen und Nöte produzieren und damit sie sich wieder in ihrer eigenen Sprachwelt und in ihrem Gebrauch wiederfinden, was wirklich ganz gut ist. Die Sicherheit wird von vielen Kritisbetreibern nun auch angegangen, die vorher das nicht so ganz auf dem Schirm hatten oder nur für so ein paar Dinge. Das heißt, diese positive Entwicklung sieht man tatsächlich. Das ist auch schön zu sehen und beruhigt u.a. mich dann auch in meinem Wohlfühlverhalten, wenn ich mir das alles angucke. Es geht also tatsächlich vorwärts. Eine stärkere Vernetzung der IT-Sicherheit bei Kritisbetreibern ist gegeben. Die fangen jetzt an, über IT-Sicherheit zu reden miteinander, nicht übereinander. Und es ist fruchtbar. Die rotten sich jetzt zusammen und sagen, geteiltes Leid ist halbes Leid. Ja, und Kritis geht immer mehr und mehr in so eine Art Regelbetrieb über. Das ist jetzt nicht so ein Krebsgeschwür. Irgendwie müssen wir da noch so ein Gesetz machen, sondern oder erfüllen, sondern es ist jetzt so langsam auch Routine im Alltag und nicht nur Projekt, sondern jetzt geht man in den Linienbetrieb. Und zuletzt noch der Hinweis, dass BSI versteht die Branchen immer mehr und führt offene Gespräche. Es ist natürlich auch nicht so, dass da auf einmal Fachexperten von neuen Sektoren am Start sind und jedes einzelne Detail bis zum Excess kennen. Die müssen das natürlich auch mühselig sich erarbeiten und haben Studien dazu rausgebracht, etc. Pp führen diese offenen Gespräche, um Verständnis zu bekommen für die Problemlage, aber eben auch irgendwie ein Lösungs-Szenarien gemeinsam zu finden oder auch das Verständnis zu haben. Und das ist ganz cool, weil da so ein gemeinsames Staat und Wirtschaft Hand in Hand funktioniert und nicht irgendwie nur ein drakonischer Zwang oder ich prügel euch in diese Richtung, sondern wirklich in einem Dialog da irgendwie agieren kann. Das heißt aber nicht, dass man da irgendwie sich raus eiert aus irgendwelchen Vorgaben, sondern wirklich ein gutes Miteinander. Das ist sehr positiv. So, das war so das Intro, damit ihr mal den Überblick habt und jetzt so die erste Frage, die man so erlebt, ja, haben sie mal einen Ersatzteil für uns. Was will ich damit sagen? Ja, ich will damit sagen, dass fehlende Ersatzteile tatsächlich ein Problem sind, wenn man, so wie ich schon gesagt habe, eben Hersteller hat, die inzwischen nicht mehr auf Markt sind oder insolvent gegangen sind, sich mal übernommen wurden, keine End-of-Life-Cycle sind, in den ganzen Industrie- und Produktionsanlagen oder Komponenten, die laufen einfach über einen sehr langen Zeitraum. Das ist, die werden konzipiert für mehrere Dutzend Jahre und die laufen dann auch durchaus schon seit 30, 40 Jahren oder so und laufen dann einfach auch noch mal so 10, 20, 30, keine Ahnung, wie viele Jahre. Einer der rekordrechtlichsten Komponenten bei uns war zumindest ein, was ich gesehen hab, eine Pumpe in so einem Pumpenhaus, die Pumpe wurde vor 70 Jahren gebaut und eingebaut. Das war echt so deutsche Ingenieurskunst, unkaputbar. Und ich würde da auch durchaus noch irgendwie eine Flasche Whiskey drauf festgewetten, dass diese Pumpe noch ein paar Dutzend Jahre läuft. Die geht einfach nicht kaputt, wird vielleicht auch erklären, warum der Hersteller dann irgendwann kaputt gegangen ist, weil er einfach alles immer nur einmal verkauft hat und dann nie wieder. Aber ja, unkaputbar. Man baut aber dann Sensoren und Komponenten und Messgeräte, also Feldsensoren- Technik da drum herum und fängt an, das Ganze zu verdrahten. Das ist dann eher so das Problem. Da komme ich aber nachher noch zu. Ält-Anlagen sind aber, was so das angeht, eben nicht auf diese Anforderung der Digitalisierung vorbereitet. Die sind also analog, die haben proprietäre Protokolle oder irgendwie sind rein mechanisch und dann hat man angefangen da irgendwie zu überlegen, wie kann man Digitalisierung nachflanschen. Ich habe gerade schon bei der Pumpe gesagt, da ist es dann so, dass die eben so Feldsensoren dran gebaut haben, drum herum gepackt haben, da kann man natürlich mit den Fühlern durchaus ein bisschen was machen, aber wenn man das jetzt beispielsweise in den ICS, also in Industrial Control Systems, Prozessautomatisierung und Steuerung betrachtet, dann ist es so, da gab es früher dann irgendwie Komponenten, die waren rein mechanisch und mit Relé-Schalter und Alim und dann hat man diesen Prozesslight oder das Prozesslight-System dran gepackt, ein SCADA-System oder so. Ja und inzwischen haben die Dinger entweder so ein Boxer-Adapter oder so was ein IP-Anschluss bekommen und wurden IP-ifiziert, sage ich da zu immer, oder sie haben eben ja anderweitig irgendwie ein Ethernet-Schnittstelle kassiert und plötzlich reden die diese grünen ungesicherten Echtzeit-Protokolle über IP. Dann kann man von außen irgendwie monitoringen, aber manchmal auch andere Dinge tun. Das heißt, auch da ist so das Problem so gar keine Digitalisierung, teilweise Digitalisierung oder irgendwie ganz und das macht es dann auch tricky. Ich kann halt nicht einfach so ein IP-Modul nachrüsten und sagen, jetzt habe ich hier Netz dran und dann ist alles schick. Das ist halt immer irgendwie exotisch zu betrachten oder individuell, was ich da eigentlich genau tue. Migrationsprojekte, wenn man das auf was Neues upgraded, dauern viele Jahre. Als Beispiel ein Hydro Cracker, der in einer Raffinerie eingesetzt wird, ist halt etwas, wo man sozusagen die Flüssigkeiten trennt und so weiter. Das Ding hat mehr 100-bar Druck, um da ordnungsgemäß Rohöl zu verarbeiten. Und wenn du so ein Hydro Cracker hast, das ist jetzt auch nicht so ein kleines Bauteil, sondern durchaus so ein großes Silo, wenn man so eine Raffinerie sieht, ist so ein großer Block da mit ganz vielen Rohren, die rein und raus führen. Und wenn man das Ersatzteil bestellt, dann kriegt man das auch so in ungefähr dreieinhalb Jahren. Also ich muss da schon eine Vorplanung haben von mindestens vier Jahren mit Ausschreibung und so. Und dann muss ich auch die Raffinerie abschalten, das Modul austauschen, alles andere drumherum anpassen und dann kann ich erst sozusagen austauschen und wieder einen Betrieb nehmen. Also Arena von langer Zeit und nicht von, ich klick mir mal eins, sondern es hat nächste Woche schon geliefert. Ja, kurios an der Stelle ist die Ersatzteile für geprüfte Anlagen. Machen wir die Maus hier weg, die nervt. So, nee, die will nicht, die tue ich mal so hier weg. Die Ersatzteile für geprüfte Anlagen haben wir an manchen Stellen gesehen, wurden in eBay Klein anzeigen oder so gesucht, weil man eben diese Ersatzteile jetzt nicht mehr bei dem Hersteller irgendwie klicken kann, weil er eben ins Alvent gegangen ist oder ich es mal weiterverkauft wurde oder das Produkt schlicht weg eingestellt wurde und dann haben wir dann gesagt, naja also hier, ne, ihr habt die Bauteile und was macht er denn, wenn die kaputt sind und dann die so, ja, wir kaufen die bei Klein anzeigen. Da habe ich gesagt, ja ja, ist schon klar, so, ne, beim ersten Mal, aber jetzt mal ohne Flaks, was macht ihr dann, wie verhindert ihr, dass ihr den Versorgungsausfall habt. Ja, wir meinten das schon ernst, so, wir gehen auf Klein anzeigen und suchen danach einmal ein Monat und wir gehen mal kurz in den Raum hier, das ist der Ersatzteilager, da stehen die einzelnen Teile und waren auch Teile teilweise angeflext, rausgeflext, die dann verarbeitet wurden sozusagen. Da haben wir gesagt, ja, macht ihr, wenn ihr jetzt keine findet, auf Kleinerzeigen und sonstwo, dann gucken wir alle zwei Wochen statt monatlich. So, ja, okay, und seit wann macht ihr das schon? Oh, das läuft jetzt schon ein paar Jahre sehr erfolgreich, wir haben bis jetzt keinen einzigen Stillstand gehabt in der Produktion. So, okay, ja, jetzt irgendwie im ersten Gefühl rollen sich einem die Fußnägel hoch, aber im zweiten Nachdenken, worum ging es noch mal bei Kritis, Versorgungsausfall verhindern, haben die absolut korrekt reagiert, die haben sich überlegt, welche, vielleicht auch unkonventionelle Maßnahme nehmen wir, um da wirklich einen Ersatzteil, ja, Nachschub sicherzustellen und damit einfach auch die Versorgung nicht ausfallen zu lassen. Fand war also sehr cool, hat funktioniert, wir waren glücklich, mit anderen Stellen gab es Baustellen, aber so kann man mal ganz krass erleben, wie es eigentlich aussieht in einer kritischen Infrastrukturwelt. Bauliche Begebenheiten sind auch oft so ein Mysterium, über das man dann stolpert, ja, IT-Systeme werden oft nachträglich eingebaut, nicht nur die IP-Fizierungen der IP-Anschluss, also, wir haben beispielsweise einen Rechenzentrum gehabt, wo wir dann reingekommen sind und dann lief mit einem Rechenzentrum so oben, so ein richtig vettles Rohr einmal quer durch, weil er gesagt, was ist das für eine schicke Rohrleitung, das sieht aber nicht nach Abluft oder so aus, sondern hießet, nee, das ist der Hauptwasserrohr, ihr habt der Hauptwasserrohr oben am Rechenzentrum, wie jetzt, ihr baut das mitten darunter, ja, damals waren da hier ein paar mischanische Komponenten und das war nur ein kleiner Raum, dann haben wir das immer mehr ausgebaut und jetzt sind hier die ganzen Saverschränke drin und konnten wir halt, jetzt ist halt so, ja, und nun, ja, dann hießet ja, wir können natürlich das andere RZ nutzen, aber dann müssen wir hier Komponenten abschalten, umbauen und dann haben wir halt ein Versorgungsausfall und so lange wir, also wir bereiten alles nach und nach vor und wir haben auch Infrastruktur, die wir so da aufbauen und im Falle dann wechseln können, aber es wird eine Outage bedeuten, also müssen wir da so lange wie möglich gucken, dass wir irgendwie Workarounds haben oder so, die haben wir dann im Detail besprochen und es war dann auch tatsächlich wieder sinnvoll und seriös aus, aber so im ersten Moment wieder so Schock, was geht dich ab? Was auch irgendwie ganz spannend ist, ist dann, wenn so in ungelüfteten Abstell-Schränken aktive Netzwerkkomponenten stehen, weil früher hatte man die nicht und dann hat man so ein paar Kleine dahingestellt, die dann auch eher passiv gekühlt waren und kein Akt waren, dann kam irgendwann die leistungsfähigeren Aktiven und so, ja und dann war es halt so, dass man, dass man gemerkt hat, das ist langsam nicht mehr angemessen, warum? Weil es gab Überhitzung und Systemausfälle regelmäßig und ja, hat man dann festgestellt, dieser ungelüftete Abstell-Schrank ist halt eine DoVID für aktive Netzwerkkomponenten, wenn man halt 19 Zoll inzwischen in etwas massiver einsetzt, statt nur ein, zwei, drei Kleinkomponenten und ja, wir haben dann, wir haben dann gefrotzelt und gesagt, ah, die IT war also eher so IT-atemlos durch die Nacht, die hatten also ständig irgendwelche Tickets und Probleme, aber dann hat man das gemeinsam gemerkt und den Mangel dann sozusagen aufgeschrieben und behoben, aber diese Situationen, diese baulichen Begebenheiten erleben wir öfter und es ist halt nicht trivial. Yo, Safety Versus Security, da haben wir auch so ein Problem, es ist eine Lösung für ein Problem, man macht ein anderes Problem aus, Komponenten mit Safety-Zulassung sollen ja dafür sorgen, dass kein Schaden im oder am menschlichen Körper passiert oder keine Beeinträchtigung von Menschen leben, aber Komponenten mit Safety-Zulassung brauchen halt eine neue Zertifizierung bei einer Anpassung der Komponente und das ist natürlich dann manchmal sehr aufwendig, manchmal gar nicht möglich oder nicht vorgesehen. Medizinproduktgesetz, MPG, ist es zum Beispiel so, dass diese Systeme und Komponenten zur Anwendung im oder am menschlichen Körper eine Zulassung brauchen und danach ist sozusagen der Haftung genüge getan. Wenn man so eine Komponente zum Beispiel pentestet, ja ich habe jetzt so einen Kernspentomographen oder einen MRT oder was auch immer und mach mal mal ein Pentest drauf, dann kann man ja nicht mehr sicher sein, ob das gemäß der Zulassung funktioniert, weil es vielleicht irgendeine Macker hat, irgendwas wurde optimiert und kaputt gespielt von den Pentestern, ja und dann darf ich es auch nicht mehr einsetzen, weil die Haftung ist nicht mehr geklärt. Insofern macht man da auch nicht regelmäßig einfach mal Pentestern, so was, höchstens an keine Ahnung, einer Insulinpumpe und wenn danach wird die zerstört, ja die benutzt man dann nicht mehr, aber dann hat man die Baugruppe eben geprüft und insofern jetzt gut außer ihr seid Prüfer, würdet ihr diese Komponenten gerne jeden Monat neu zertifizieren lassen, also ich habe da so meine Bedenken, ob das Sinn macht und bei Geldautomaten oder Point of Sale Terminals ist es das selbe Spiel, ja, also man kann überall beliebig reingucken, da sind überall diese Problemstellungen, dass man sagt, ich habe irgendeine Zulassung, irgendeine safety-relevante Zulassung, kann ich auch nicht mehr daran furteln und dieses Problem ist tatsächlich eins, wo es so ein bisschen Safety versus Security geht, statt so Hand in Hand miteinander das Ganze zu verzahnen. Ja, das Asset Management ist dann auch immer so eine Sache, IT ist halt oft, aber auch nicht immer vorhanden, aber die OT, also die operationelle Technik, diese SCADA Systeme, Prozessleitrechner, die ganzen Feldsensoren und so weiter, das wird dann auch gerne mal im Asset Management vergessen, weil das war ja für IT oder die IT Abteilung hat es erstellt und nicht die Produktionsjungs, das ist auch so ein bisschen getrennt, man hat so die IT und man hat die OT und die kümmern sich um die Produktion und die kümmern sich um die Rechnerinfrastruktur. Diese IT Probleme, die kommen halt nach und nach in diese OT-Welt, wenn diese dann auch IP sprechen lernen und dann irgendwie da mit genutzt werden und der Peilerspruch, den man so immer im Clubumfeld oder im Chaos nutzt, das ist IP basiert, das kann nicht funktionieren oder auch von mir so dieses, es wurde nachträglich IP effiziert. Ja, das hat schon was, wir holen uns diese IT Probleme in die OT, in die Produktionsumgebung, weil es dann entsprechend genau diese Fragestellungen enthält, die wir eigentlich versuchen zu lösen, sehr kläglich in der IT und in der OT hält das jetzt immer mehr Einzug und es ist auch nicht aufzuhalten so. Aber ohne dieses Asset Management, in dem ich wirklich alle Komponenten kenne, kann ich kein funktionales Risikolagebild oder Business Continuity Management haben. Insofern hätte ich ja eine falsche Sicht oder keine vollständige Sicht auf mein Risikolagebild oder auf meinen Business Continuity Management und dann ist es eher ein no risk no fun und das ist suboptimal, um es mal so zu sagen, kommen wir zur Physik in Sicherheit. Also wir haben beispielsweise Pumpenhäuschen mit den Feldsensoren, wie ich vorhin erwähnt habe, 70 Jahre alt laufende supergeile Pumpen erlebt. Da war dann dieses Feldsensoren geraffelt drum herum, ein bisschen IT, also so ein Zyskoswitch mit dem GSM Ablink, der dann natürlich ins Netzwerk des Betreibers irgendwie reinführt, um dann natürlich auch diese Feldsensoren zu überwachen, zu prüfen und so weiter. Früher hat man das sozusagen ausschließlich mit viel Servicetechnik an vor Ort gemacht und jetzt kann man sich das natürlich sparen und die dauerhaft überwachen und auch vorzeitig erkennen, ob eine Komponente vielleicht ausgetauscht oder die Wartung gemacht werden muss. Aber man hat damit natürlich den Zugang ins Netzwerk dahingestellt, Physik oder alternativ dann per Wellenform, Generatoren, weil manche dieser Komponenten, die man da aufbaut, auch einfach mal WLAN oder Bluetooth durchaus aktiv haben. Da muss man auch gar nicht Physik in so ein Häuschen einbrechen, um da irgendwie Zugang in die Komponenten zu kriegen, sondern könnte eventuell sogar davor schon eindringen. Falls man aber doch rein will, oftmals werden oder wurden generische Schließanlagen eingesetzt, haben aber keine Einbruchserkennung. Wir hatten einen Fall, wo es dann hieß, ja, pumpen Mäuschen, total egal, alles kein Problem, wir stehen ja alles hier zentral. Mäuschen sagt, naja, aber ihr habt da schon irgendwie auch Komponenten mit End of Life seit vielen Jahren, die könnten dann irgendwie kompromittiert werden. Ja, aber da kommt ja keiner rein. Ah, okay, ist abgeschlossen, habt ihr ein spezielles Schließsystem, ja, nee, ist hier ideal Standard. Er hat gesagt, ja, aber wir oft würden dann so pumpen Mäuschen eingebrochen und dann so, hm, ja, Moment, dann müssen wir mal gucken, so, ja, schon ab und an, aber dann gucken wir halt, wenn alles läuft und dann bauen wir ein neues Schloss oder Tür ein und so, es ist halt Randall und so, ja, und was ist, wenn jemand da wirklich reingeht und an der IT rumfummelt und von da aus in Ablink hat. Jetzt, wo sie es sagen, so, okay, haben wir darüber geredet, Mängel eben aufgenommen und dann wird sich drum gekümmert, aber es ist eben nicht selbstverständlich für, sagen wir mal, für Menschen, die eher so aus dieser Ingenieurs-Ecke kommen und sagen, wir machen Funktion, wir machen Betrieb und das tut alles und wir kriegen die Messwerte, die haben halt mit diesen ganzen maroden, kaputten IP-Geraffel irgendwie nichts zu tun und das ist halt für die echt, na ja, neues Leid, dass sie so kennenlernen müssen. Und dieses neue Leid, das habe ich zum Beispiel auch kennenlernen müssen und zwar komme ich jetzt zu meinem Lieblingsthema. Beim Wort Fernwartung leide ich innerlich immer ein bisschen, Leute, das ist Fernwartung, da gehe ich immer ein bisschen, bisschen kaputt, so. Ich erkläre euch mal, wie Fernwartung in kritischen Infrastrukturen ist, aber wahrscheinlich geneinige von euch aus den Konzernen unternehmen oder wenn ihr IT-Betrieb macht von den Kunden, was da so geht und was nicht geht. Also wir haben erst mal klassisch Fernwartung, so. Fernwartung oder Fernadministration. Ich nenne das jetzt einfach gemeinsam, Fernwartung ist noch mal ein bisschen anders als Fernadministration, aber Remote Access grundsätzlich. Unzureichend gesicherte Remotezugänge gibt es natürlich auch in kritischen Infrastrukturen genauso wie in allen anderen Bereichen oder auch seit Anfang des Jahres oder in den letzten Jahres jetzt in unser Cetrix, Cetrix, Cetrix, Cetrix war ja ein Bug oder besser ein Enterprise-Lösung, Unternehmensversagen eines Softwareherstellers, der auch Hardware verkauft. Der war schon echt übel. Also das war echt super billig mit ein paar ganz banalen Tests. Hätte man das sofort erkennen können und das Bug Fixing hat sich irgendwie auch wie Kaugummi langgedient. Weltweit als auch in Deutschland waren lange Zeit kritische Infrastrukturbetreiber davon betroffen. Es sind Leute kompromittiert worden dadurch, also wirklich ernsthaft eingebrochen worden in die Systeme, weil es einfach jedes Kriptkiddi, irgendwie jeder, der eine Tastatur bedienen kann, konnte da irgendwie ganz banal von außen in diese Cetrix Net Scalar rein und die werden halt als VPNN-Punkt für den Remote Access bereitgestellt und damit war die erste Hürde ja schon überwunden. Da haben sich also Bitcoin-Miner irgendwie bereit gemacht. Da haben sich durchaus der ein oder andere irgendwie rein injected mit einer Backdoor und haben in manchen Unternehmen wurde sogar eine weitere Backdoor implementiert. Nach dem Motto naja die ist so ob wir es die wird bald sterben, dann bauen wir uns aber eine zweite ein. Ja und so hat also diese dieses Cetrix Cetrix ganz schön Schmerzen verursacht. Aber das ist ja nicht der einzige Hersteller oder die einzige Situation wurde sags. Also ich bräuchte Nortopus, weil für den Facepalm reicht die Hand nicht aus. Ich brauche 8 statt 5 Finger. Cetrix ist ja nur ein Einziger der naja dieses Jahr zumindest zweimal irgendwie es vergeigt hat. Cisco ist regelmäßig ein Klassiker der immer wieder dabei ist, die haben immer wieder irgendwelche Upsi Backdoors. Upsi, da war wieder ein Klartext-Root-Zugang irgendwie implementiert. Dann ist der versendlich rein. Wir müssen den wieder raus tun. Es ist ja Kompromised by Design oder Kompromised by Default. Keine Ahnung. PULS-VPN war dieses Jahr höchst kaputt Remote Access. FortiGate, VPN, dann hatte FortiGate ein SSH-Problem, wo es dann irgendwie auch voll Zugriff gab. Dann eine Datenbank Backdoor. Microsoft hat mit dem Remote Desktop Protokoll, also RDP, die sie auch schon Probleme gehabt, ernsthafter Sorte. Sophos war betroffen, die eine schwere Lücke hatten. F5 war auch schon defekt dieses Jahr. TeamViewer hatte auch einen relativ großen Fail und viele, viele mehr. Also die Liste ist echt lang. Ich habe euch jetzt nur ein Paar, die mir so auf der Handliegenrad aktuell genannt. So, machen wir es kurz. You name it. Es ist hohe Wahrscheinlichkeit, dass es dabei ist. Und die Angriffe werden als Walkthrough durchgeführt. Walkthrough heißt, man fängt also an, von außen mit soem Remote Code Execution wie bei Citrix, Citrix in die DMZ in das Unternehmen reinzukommen. Dann konnte man da beispielsweise dann die Zugangsdaten absniffen, weil man volle Kontrolle über das System übernehmen konnte, die dann die Leute nutzen, um da reinzukommen. Dann kann ich vielleicht mitsniffen, was Domain-Administrator-Zugänge sind oder eine Engineering-Operator-Workstation. Und wenn ich halt zur Engineering-Operator-Workstation vordringe, die ja genau wegen solchen Tools wie Citrix irgendwie abgesichert ist oder den anderen, ab dann wird es nicht mehr lustig. So, da kann man schon fieses Zeug machen und von daher sollte man also gucken, dass diese Problemstellung so erste Verlangs von außen und und Remote Access Fernwartungen wirklich ordentlich adressiert werden. Soll ich euch Fernwartungen erklärt? Jetzt erkläre ich euch einmal Ferne-Fernwartungen. Was ist Ferne-Fernwartungen? Ja, in so Traffostationen zum Beispiel oder in Außenstationen haben wir dann irgendwie unbekannte Ferne-Fernzugänge entdeckt und gesagt, das ist ja schick. Hier gibt es eine Fernwartung und dann hat der Kritisbetreiber gesagt, what? Die kennen wir nicht. Ja, lass mal recherchieren. Wir hatten da noch einen Zugang reingelegt und macht das aus der Ferne. Und dann haben wir gesagt, okay, die ist unbekannt, aber voran, jetzt wollen wir antworten. So, ne? Da kam raus. Für Monitoring und Überwachung hat man da IT und Ablink reingestopft und irgendein Dienstleister hat dann da reingeguckt oder die Leute, die nicht für diese Fernwartung oder für den Bereich zuständig waren, wie das IT-Abteilung versus OT-Abteilung haben dann den Betrieb da irgendwie einfach mal einen V&C dran geflanscht oder sowas und sagen, ja, jetzt müssen wir nicht jedes Mal da hinfahren und spart ja auch Reisekosten und Leute und können alle alle sehr angenehm und bequem überwachen. Also bei ferner Fernwartung habe ich schon gedacht, oh Mann, aber das wäre ja einfach, wenn es einfach nur in die Ferne geht. Es gibt auch ganz nahe ferne Fernwartungen. Was ist das? Unbekannte ganz nahe Fernzugänge. Zum Beispiel, wenn man als Prüfer so im Leitstand steht und ein GSM-Ablink mit seinem Laptop hat, um die Dokumente zu befüllen und so weiter. Und dann die Fernwartung des Leitstands auf dem Laptop halt mal so aufruft und zeigt. Und dann denkt man so, das ist jetzt eigentlich nicht, also man sollte jetzt bei euch so die den Leitstand sehen können, lokal hier, aber warum kann ich das jetzt auf meinem Laptop? Und dann gibt es auch durchaus Mitarbeiter und an einer Stelle dann echt gute Ingenieure, so muss ich sagen. Guckt da ganz verwirrt um das Laptop. Und man sagt, wo ist denn hier das Netzwerk-Kabel? Sie ist noch gar nicht angeschlossen. Also die haben schon gemerkt, irgendwas ist, da stimmt was nicht so. Dass ich vielleicht mit dem Internet verbunden bin und vom Internet aus auf ihren Leitstand kommen, haben sie dann vielleicht nicht erwartet. Aber zumindest irgendwie ein bisschen gecheckt, nachdem wir dann da standen. Und ja, da war es dann so, der Dienstleister hatte da mal diese Idee. Das könnte man ja kurz, sondern können die auch gucken, ohne da vorbeizukommen. Und das ist natürlich ganz nahe für eine Fernwartung ist doof, so viel man nicht haben. Also immer noch nicht das Ende der Fahnenstange. Denn, da wäre schon so ein bisschen angekündigt, ich werde eine neue Berufsgruppe etablieren. Fernwartungsarchäologie. Wenn ihr meint, ihr hättet alles gesehen, geht in die Fernwartung in kritischen Infrastrukturen. Also in echt archäologische Fernzugänge vorhanden auf damals das TM-Betriebssystem. So, ja. So, Norton PC Anywhere for Windows Version 2.0. Das ist schon, da sind viele Monate vergangen seit der Entwicklung und dem End of Life. Das ist völlig, also wirklich lang lang ist es her. Das ist so dieses Install once and use forever. Und deswegen habe ich gesagt, also eigentlich braucht man eine neue Spezialisierung für IT Security-Begrufsgruppen, so den Fernwartungsarchäologen. Der kann sich dann mit solchen Fragestellungen und Themen befassen, weil ab irgendwann wird es unkoschar. Aber solche Komponenten sind tatsächlich noch im Einsatz, weil sie einfach funktionieren und kaputtbar sind und, na ja, wie gesagt, auch den Dauerbetrieb sicherstellen. Ja. Jo, so viel mal zu der Fernwartung und warum ich bei diesem Wort immer so ein bisschen leide. Jetzt habe ich noch so mal die zwei wichtigsten typischen Sicherheitsmängeln bei einer Prüfung für euch mitgenommen. Was ist da so der Klassiker? Also eine Umsetzung von ISO 27001 beispielsweise ohne Berücksichtigung von Kritis passiert öfter mal, weil sie eben eins zu eins nur Methoden und Maßnahmen genommen haben von ISO ohne Bezug zu Kritis und setzen die einfach um. Und der Sinn und Zweck von ISO 27001 ist, ja, ein ISMS, ein Informationssicherheitsmanagement System einzuführen. Und wenn du wenn du halt nur die Methoden und Maßnahmen anwendest, ohne einen System, einen kontrollierten Prozess und diesen Feedbackzyklus zu haben, bringt dir das alles nichts. Und noch weniger bringt es dir, wenn du nicht die kritischen Infrastruktur Anforderungen dabei berücksichtigst. Du kannst halt nicht sagen, ja, Risikomanagement, wenn es teuer ist, mache ich es nicht und trage das Risiko. Du musst schon den Versorgungsausfall sicherstellen. Wenn es total teuer ist, dann mache ich das nicht, weil die Angemessenheit ja, ich habe vorhin erklärt, berücksichtigt werden muss. Angemessen heißt, wenn ich 10 Millionen investieren muss, um dieses Problem zu fixen. Und danach ist dieser Kritisbetreiber insolvent ein 100 Prozent Totalausfall. Das ist natürlich nicht sinnvoll. Also kann ich nicht einfach diese 10 Millionen investieren. Aber wenn ich das Risikomanagement nicht ausrichte auf kritische Infrastrukturen und diese Schutzbedarf, das jetzt wird so ein bisschen fachlich, allgefahren Ansatz, ich muss alle Gefahren berücksichtigen, die darauf einwirken können auf eine kritische Infrastruktur und insbesondere unter dem maßgeblichen Blick der Versorgungsaufrechterhaltung, also vermeiden von Versorgungsengpässen oder Versorgungsausfällen, dann ist das eine Schieflage, die ich da implementiere. Ich habe also nicht den Sinn und Zweck angewendet, sondern nur die Methoden und Maßnahmen. Das ist absolut falsch, aber oft zu sehen. Und damit riske ich nicht nur meinen Risikomanagement, sondern auch meinen Business Continuity. Und damit erfülle ich dann auch nicht mehr den Sinn und Zweck der Übung, diese Infrastruktur aufrecht zu halten im Problemfall. Und diese reine Umsetzung technischer Maßnahmen gibt es auch oft. Critis fordert die Umsetzung von geeigneten, eines geeigneten Management Systems. Hat ja gerade schon gesagt. So, die reine Umsetzung dieser technischen Maßnahmen ist also nicht zielführend, weil ich nicht Informationen absichere und manager. Und zwar systemisch. Also wirklich nach einem Konstrukt mit einem Feedback-Zyklus, so wie es klassisch in so einem ISMS nach ISO 7001 oder Grundschutz-Companium vom BSI erklärt wird. Und da würde ich mir echt wünschen, dass so manche Berater, Critis-Betreiber und vielleicht auch Prüfer, die es dann so prüfen und abnehmen, haben wir auch schon erlebt, vielleicht nochmal verstehen, was ist eigentlich der Sinn und Zweck von Critis und dann auch ein bisschen besser darauf eingehen können. Ja, typische Sicherheitsmenge bei den Prüfungen sind auch so, ja, branchentypische Gefährdungen werden nicht berücksichtigt, weil man halt so ein Standardkatalog rangezogen hat und sagt, das, was hier branchenspezifisch ist, konnte in Standardsicherheitskatalog ja gar nicht berücksichtigen oder die IT-Abteilung hat sich da wesentlich mit befasst, weil es ja Sicherheitsstandards, Security, das macht die IT-Abteilung Cyber-Cyber. Die haben dann natürlich nicht mit der OT oder mit der Produktionsabteilung gesprochen und dem zufolge branchentypische Gefährdungen gegeben, falls nicht berücksichtigt, haben wir häufig auch erlebt. Das Risikomanagement haben wir gerade schon besprochen, wichtige offene Maßnahmen nicht im Risikobahandlungsplan. Ja, also die haben dann offene Punkte und haben die aber vergessen, in den Risikobahandlungsplan aufzunehmen und zu sagen, ja, dann müssen wir uns dem stellen, so die adressieren. Irgendwer hatte die den Risikobahandlungsplan in der Verantwortung und irgendwer hat diese Maßnahmen gesehen, die da Defizite sind, aber die hat nicht miteinander geredet und dann aus offener Baustellen und Risikobahandlungsplan der toll aussieht, weil alles vollständig adressiert. BZM nicht umgesetzt, haben wir gerade schon besprochen. Kritisumgebung zu klein gewählt ist auch immer ganz lustig. Die wollen natürlich ihren Scope, ihren Geltungsbereich möglichst klein halten, weil man all diese Maßnahmen da implementieren muss. Aber ich muss eben auch alles betrachten, was auf diese Aufrechterhaltung der Versorgung einwirken kann. Und das ist dann auch so, dass irgendwelche Spezialfälle noch existieren, die sie übersehen oder nicht berücksichtigen und damit dann auch diese Umgebung zu klein wählen und es dann auch nicht vollständig passt. Und ich hatte es ja vorhin auch schon erwähnt, Asset-Inventar, also oft werden OT-Komponenten vergessen. Manchmal sind sogar die IT-Komponenten nicht vollständig. Und wie gesagt, habe ich kein vollständiges Bild, habe ich auch kein vollständiges Lagebild, habe ich auch kein vollständiges Risikobild und damit habe ich auch kein vollständigen Betrieb, sondern Betrieb per Zufall. Und das ist schlecht. So, das war so ein bisschen der Einblick und Überblick, vielleicht noch ein paar Schlussfolgerungen, damit ich euch nicht völlig deprimiert aus diesem Talk rauslasse. Critis eröffnet eine gute Ausgangsposition, um IT und OT Sicherheit zu verbessern und vor allem auch zusammenzuführen. Das ist ein guter Startpunkt und man geht diese Schritte auch, aber es ist noch viele Schritte zu gehen. Aber in diesen kleinen Schritten wird die IT-Sicherheit und auch die Sicherheit der Versorgungslage kontinuierlich verbessert. Das ist wirklich cool. Das freut mich und es gibt mir auch die Kraft, sozusagen, ja, ich mach da weiter. Und was was tatsächlich aber auch gefragt ist, ist das Zusammenspiel von Behörden, Betreibern und Herstellern. Es hilft alles nix, wenn hat BMI ständig irgendwelche Unsicherheitskonzepte offensiv oder im Militär dann Hackback und sonst was gegen kritische Infrastrukturen gemacht wird, gesagt wird, Verschlüsselung ist schlecht. Wir müssen ja aufbrechen. Telekommunikationsdienstleister haben alle möglichen Daten auszuliefern und gleichzeitig wollen wir aber die kritischen Infrastrukturen absichern mit genau diesen Maßnahmen. Ja, entweder oder, das geht nicht. Da müssen die Behörden auch irgendwie ein Konsens finden. Und BSI, was zu nah am BMI ist, was eben auch sich als Behörden versorgt, das schlagen zwei Herzen an der Brust und dann muss sich immer irgendwie ein Kompromiss finden. Das ist auch nicht förderlich für kritische Infrastrukturen. Die Betreiber selber müssen da natürlich auch miteinander mit den Herstellern, mit den Behörden und untereinander sich formieren. Das passiert langsam. Und die Hersteller, ja, hab ja grad schon ein paar Beispiele genannt, die haben da auch noch einiges zu gehen. Die müssen auch verstehen, was Safety und was Security ist, wie man das zusammenleben kann und wie man diese Produkte dann auch gemeinsam sozusagen diese Fragestellung IT, Sicherheit, Security und Safety da adressiert. Also insofern ist da noch einiges zu tun, aber es sieht zumindest gut aus. Und erste Schritte werden ja auch da adressiert. Vielleicht noch zum Schluss eine kleine Abgrenzung zu Kritis nach diesem Paragraph 8a BSI-Gesetz, damit ihr auch das noch mal mitbekommen habt. Kritis aus dem BSI-Gesetz Sinne und der Kritisverordnung deckt nur den IT-Gestützten Teil der kritischen Infrastrukturen ab. Ja, wenn man also das BBK Bundesamt für Bevölkerungsschutz und Katastrophenhilfe fragt, werden die sagen, naja, es gibt auch andere Probleme, aber das sind nicht IT-basierte Probleme und damit muss man diese natürlich anders adressieren. Dafür gibt es dann so was wie Gefahrenguttransportverordnungen. Ja, weil Gefahrenguttransport hat mit IT eher so nichts zu tun, kann aber auch kritisch werden, wenn da natürlich ein Vorfall ist. Das heißt, abgegrenzt davon sind Umwelteinflüsse im Zuge der globalisierten Klimakatastrophe, die auch immer katastrophaler wird, ist das nicht zu unterschätzen. Wir haben ja durchaus so was wie Schnee, Hochwasser oder ja, die Temperatur obergrenzen werden erreicht. Stichwort zu warmes Kühlwasser aus Flüssen. Wofür Kraftwerke brauchen Kühlwasser aus Flüssen, um das alles abzukühlen. Und wenn die Eingangstemperatur obergrenze von 28 Grad überschritten wird, ja, dann muss das Kraftwerk runtergedrosselt oder sogar abgeschaltet werden. Und tatsächlich hatten wir das 2018 echt oft. Da war die Eingangstemperatur zu hoch. Das Problem ist nämlich, das Kühlwasser aus dem Fluss wird ja aufgewärmt durch den Kühlmechanismus und war wärmer wieder eingeleitet in den Fluss. Reinigt natürlich, ja, ist keine, keine, kein Zeugs drin. Das Problem ist aber, es ist zu warm. Und dadurch würde man Fisch sterben und Bakterien sterben, sozusagen als Kettenreaktion auslösen. Das ist der Start der Kette. Und danach, ja, da war echt eine Klimakatastrophe so oder eine Umweltkatastrophe. Insofern haben die also dann beispielsweise 2018 sehr oft gedrosselt oder abgeschaltet. Rohstoffzulieferung als Supply Chain ist halt auch kein Kritis im Sinne IT-Problem. Ja, wir haben jetzt in der Pandemie erlebt. Klopapier und Nudeln konnten, waren ausverkauft und konnten nicht mehr geliefert werden. Warum? Ja, weil die Lkw-Fahrer nicht mehr über die Grenze durften oder wenn sie über die Grenze durften, mussten sie zwei Wochen in Quarantäne bleiben und dann durften sie erst wieder zurück. War nix mit an einem Tag hin und zurück. Also hat sich alles ziemlich entschleunigt. Ja, und dann war halt wenig bis kein Klopapier da und wenig bis kein Nudeln am Start. Weil die Leute Hamsterkäufe gemacht haben, statt so wie vom BBK empfohlen in ihrer Notfallvorsorge-Radgeber-Checkliste zu sagen, legt euch mal einen gewissen Vorrat an. Von bestimmten Sachen, das schadet nicht, damit man selbst Versorger ist und auch unabhängiger, was Sinn macht. Kommen die einen und sagen, ich habe aber keine Lagerfläche. Ja, dann nimmt die halt kleine Proteinriegel, die man echt komprimiert vorhalten kann. Aber so ein Regel hält für eine ganze Mahlzeit. Also es gibt immer eine Lösung dafür. Man muss nur konstruktiv darüber reden. Aber das alles ist eben nicht kritische Infrastruktur, Betreiberschutz, sondern eher so Anrechte auf Lebenserhaltung. Ja, was auch nicht kritis im Sinne, wenn es eine Primer für A8-A-BSI-Gesetze ist, ist es ein Streik und so was wie eine Viruspandemie. Wenn man jetzt zum Beispiel so ein Corona-Effekt hätte durch den SARS-CoV-19-Problem. Ja, das ist halt alles doof und es wirkt natürlich ein. Die Betreiber haben beispielsweise die Leute, die den Leitstand betreiben und wirklich sicherstellen, dass die Versorgung aufrecht gehalten wird, in Isolation gebracht. Mehrere Wochen in zwei verschiedenen oder sogar drei Teams. Ein Team hat dann in Isolation sozusagen den Betrieb aufrecht gehalten. Ein zweites war in Isolation außerhalb des Geländes um sicherzustellen, wenn da doch irgendwie die Pandemie durchgreift. Da haben wir noch ein zweites Team und teilweise sogar ein drittes noch irgendwie in Hot Stand bei gehabt. Nach dem Motto, wenn wir das zweite Team einsetzen müssen, müsst ihr schon mal zwei Wochen in Isolation um dann auch sicherzustellen, dass sie nichts einschleppt und für sowas haben die dann halt so ein isoliertes Isolationsbereich, wo dann auch Schlafplätze sind, eine Waschmaschine, Kaffeemaschine. Und die haben natürlich alles mögliche an Versorgungsverbrauchsmaterial da gebunkert, aber müssen eben teilweise frische Dinge rein liefern und über diese Schleuse ist natürlich immer die Gefahr des Risikos, dass sich jemand infiziert. Also die Sorgen schon bedingt durch zum Beispiel einer Viruspandemie für die Aufrechterhaltung der Dienstleistung, weil die Pandemie selbst ist nicht kritisrelevant, IT-relevant, aber die Auswirkungen davon kann eine IT-Störung produzieren und sie müssen halt sicherstellen, dass sie diese Störung irgendwie kompensieren können. Vielleicht noch ein letztes Beispiel zum Schluss, weil es neulich auch wieder sehr akut war, Wasserwerke, Frischwassergewinnungswerk und Abwasserentsorger. Wenn man da Schwachstellen in der IT hat, ist es echt oft, nicht immer, aber echt oft, dass die auf einen mechanischen Betrieb zurückgehen können. Die ganze IT kann also abbrauchen, gerenzumwert werden, kaputt sein. Die Verwaltungsmitarbeiter haben genau gelernt, welchen Handgriff sie so wo tun und die machen den dann auch. Das ist sehr personalaufwendig und stressig, aber man kann es tun. Und teilweise haben wir dann auch geprüft und festgestellt, da gab es ein bisschen Defizite nach dem Motto, naja, wir können jetzt zwei Wochen Betrieb aufrechterhalten, mechanisch, danach wird es aber mau. Na ja, man sagt, okay, wie bildet ihr da neue Leute aus? Ja, so und so, aber das dauerte lecker als zwei Wochen. War dann also besprochen, wie man das Prozedere anpasst und sie könnten also dann IT macht Puff. Wir gehen jetzt in den mechanischen Betrieb über. Frischwassergewinnung wird sichergestellt. In diesen zwei Wochen bringen wir neuen Leuten bei, worauf wir sie achten müssen und werden eingearbeitet. Und danach können wir auch Easy-Peasy sozusagen diese weiter nutzen und somit ein Regelzyklos sicherstellen. Und dann können wir sogar fast zeitlos dauerhaft aufrechterhalten. Das ist natürlich sehr schmerzhaft, teuer, aufwändig. Wenn die Alternative ist, die man mehr was trinken hat, ja gut, merkt man selbst, was die Priorität ist. Also insofern ist das alles nicht immer nur schlimm und gruselig, sondern auch durchaus erträglich. Und man sieht auch einen Ausblick, da ist ein Licht am Ende des Tunnels und ich kann auch in Ruhe drauf zugehen, weil ich weiß, es ist nicht der Zug und seine Lampe. Und damit entlasse ich euch ins Ende dieses Vortrags. Dankeschön. Ich muss und will Risikomanagement in meinem Betrieb umsetzen. Betrieb kleiner 100 Mitarbeiter. Wo gehe ich hin? Wie fange ich an? Ich hätte das gerne in sinnvoll und nicht nur einem Zertifikat. Ja, Klassiker. Also die Frage ist gut und berechtigt, wo gehe ich hin und wie mache ich das sinnvoll? Tatsächlich gehe ich nicht dahin, wo mir irgendwelche Berater oder Zertifizierer oder sonst wer erzählen. Hier, wir kommen vorbei mit sich Leuten, machen das alles für euch und verpuffen dann wieder und damit auch das Know-how. Sondern es muss vom Management aus initiiert werden. Also die Geschäftsführung muss das wollen. Das kann nicht nach IT-Abteilungen atmen, die Produktionsabteilung machen. Das Management muss diese Sicherheit wollen als Unternehmensleitziele definieren und realisieren. Und dann muss man dieses Know-how auch wirklich in den Mitarbeitern einbringen. Ich kann jetzt nur für Beispiele aus dem echten Leben von uns bei der High Solutions natürlich bringen und nicht von anderen, aber weil ich da ja nicht arbeite. Aber wir machen es oft so, auch bei wirklich kleinen Kritisbetreibern, die trotzdem kritisch sind, weit unter 100 Mann. Wir sind rein, haben so einen Coaching-basierten Ansatz gemacht und den ersten Mal erklärt, welche Punkte sind wichtig? Und dann haben die sich da eingearbeitet, das gelernt, gemacht, umgesetzt. Und wir sind dann so zur Qualitätssicherung für Rückfragen nochmal vorbeigekommen oder haben die diskutiert und dann haben die nach und nach dieses Know-how selber aufgebaut und die sind inzwischen auf einem echt supergeilen Stand. Das funktioniert hervorragend, aber dafür muss diese Geschäftsführung das auch verstehen, die Unternehmensführung, dass sie das so haben will, dass die Leute das auch selber lernen und verstehen und nicht das irgendwelche extra Ankommen dein Geschäft tun und sich wieder verpuffen. Das ist die bescheuerste Art der Umsetzung. Die kann ich echt nicht empfehlen so. Also das ist eigentlich der richtige Ansatz und mit so einem externen Berater oder so wäre auch die Möglichkeit oder man fragt eben bei den anderen Betreibern, welche Schulungen oder so haben die selber gemacht, um auch diese Basis noch erst mal zu haben, um das umsetzen zu können. Da gibt es auch ein paar, die sind sinnvoll, gibt aber ein paar, die sind für die Füße. Und da muss man dann natürlich auch wieder gucken, wie kriege ich das Know-how in den Mitarbeiter, um das zu realisieren und nicht, wo habe ich irgendeine ranzige Schulung gemacht, irgendein Bappal oder immer noch keine Ahnung. Trinkt keinem was. Ja, die nächste Frage aus dem Pet ist vielleicht eher metaphorisch gemeint. Fühlt man sich nicht schmutzig bei so einem Job? So viel Wichtigkeit. Ja, höchstens vor Ort, wenn man in komischen Ecken wie Abwasser, nein, Quatsch, just kidding. Nein, fühlt man sich tatsächlich nicht. Also es ist es so, dass ich mich wirklich extrem freue, das machen zu können und zu dürfen. Also, Kritisbetreibern, Hilfestellung zu geben mit dem BSI, BBK und verschiedenen anderen Behörden oder Aufsichtsbehörden zu arbeiten mit Verbänden, da wirklich Sicherheit überhaupt mal reinzubringen, da wo where no man has gone before doing IT, so ungefähr. Das ist wirklich toll. Du siehst, dass du was schaffst an Sicherheit und es gibt einem auch die Kraft und den Mut zu sagen, ey, geil, ich mach weiter. Wenn man natürlich ein paar Rückschläge kriegt, dann denkt man auch wieder an so diesen Octopus-Face-Balm, aber es gehört bei jedem Job dazu. Also, ich fühle mich da nicht schmutzig. Ich finde, das ist meine Passion. Ja, sehr schön. Dann eine Frage, wie viele Feindings tauchen eigentlich nach zwei Jahren wieder auf, wenn man ein Reaudit macht? Ja, jetzt gab es ja gerade erst die Reaudit-Welle. Die müssen alle zwei Jahre Reaudit machen und das ist noch gar nicht so lang her, aber es tauchen manche wieder auf. Es sind auch manche immer noch da drin. Ich hatte das Beispiel des Hyrogreggers gebracht. Er hat Teilbestellung dreieinhalb Jahre ab Bestellung. Insofern werden auch manche Feindings durchaus zehn, zwölf, 15 oder 20 Jahre da drin stehen. Ich kann halt ein MRT in einer Uniklinik nicht aus der Wand reißen und komplett wegschmeißen, weil dann Windows 98 drauf läuft. Ich kann aber mit Maßnahmen kompensierendes, abgesichertes AirGap, also Trenden vom Netz, offline arbeiten und ein paar Schutzmaßnahmen drumherum bauen. Und dann kann ich das Ding auch gemäß des Risikolagebilds wieder sicher betreiben. Und dann kann ich das auch noch die vorgesehenen weiteren 15 Jahre betreiben. Dann bleibt dieser Mangel auch 15 Jahre drin. Aber die Maßnahmen müssen auch kontinuierlich geprüft werden. Sind die noch angemessen oder muss ich weitere Schutzmaßnahmen einbauen? Also insofern durchaus einige sehr lang, aber es sind auch viele verschwunden bei einigen, wo wir echt gesagt haben, Holla, die haben sich echt Mühe gegeben und haben ganz schön viel abgearbeitet. Cool, ob das jetzt wegen BSI und Aufsichtsbehörde war oder Eigenantrieb. Das ist mal so, mal so. Die Mischung macht es aus. Management Attention. Akkumulation. So, nächste Frage. Sind die Ergebnisse unter den Mitarbeitern in der Regel bekannt oder überraschend? Well it depends. Mal ja, mal nein. Es gibt Mitarbeiter, die kennen das. Es gibt Mitarbeiter, die kennen es eben nicht. Ich hatte ja vorhin das Beispiel gegeben, der Ingenieure, die wirklich gut waren und dann aber direkt am Laptop gucken, aber sie haben kein Netzanschluss, wie sie auf unserem Leit stand. Die haben schon gerochen, dass irgendetwas nicht ganz koscher ist. Aber wenn sie halt diesen Hau nicht haben, was ist IT Security, dann ist also, was ich nicht kenne, kann ich ja auch nicht erkennen. Das ist dann schwer. Also, manche Wissens, wenn man manche fragt, wissen die sehr genau, worauf man hin abzielt und sagen direkt offen, ja, okay, ich habe verstanden. Sie wollen also das hinterfragen. Da wäre dann dies und jenes Problem. Da haben wir auch tatsächlich ja jetzt, wo wir drüber reden, haben wir dann ein Problem. Also es gibt Sonne und Sonne. Die Spannbreite ist wirklich von 0 bis 100. Das ist alles gegeben. So die nächste Frage war in etwa schon da, ich wiederhole sie mal. Du kannst da drauf eingehen. Wie schafft man es, motiviert zu bleiben, wenn immer ein und derselbe Prüfkatalog abgearbeitet wird? Wird das nicht langweilig? Also der Witz ist, das ist jetzt ein bisschen kompliziert, aber ich versuche es einfach zu machen. Es gibt nicht den einen Prüfkatalog bei kritischen Verstrukturen. Ich habe entweder eine Vorgehensweise nach Orientierungshilfe B3 Orientierungshilfe nach § 8a BSI Gesetz vom BSI. Ich habe branche spezifische Sicherheitsstandards und dann pro Branche oder teilweise pro kritische Dienstleistung einen. Das heißt, es gibt nicht den einen Standard für IT und TK oder Finans und Versicherungswesen, sondern es gibt einen für Versicherer, einen für Banken, vielleicht noch einen zweiten für Banken oder für bestimmte Börsen. Insofern sind das total unterschiedliche Sicherheitsstandards und jeder der Betreiber darf auswählen, nach welchem Kriterium geprüft wird und der Prüfer validiert erst mal, ob diese Prüfgrundlage angemessen ist und passt. Aber insofern ist jede Prüfung quasi fast individuell, weil es einfach ganz viele verschiedene Prüfgrundlagen, Mixe und Variationen gibt. Und das ist für jemanden, der als alter Hase ein bisschen schnell gelangweilt wird, wenn er zum Rolfzehnten Mal dasselbe prüft. Es ist aber auch jeder Kritisbetreiber ist anders und seine Problemlage. Und deswegen wird es auch nie langweilig da. Das ist garantiert nicht öde. So. Dann was ist der Unterschied zwischen Sicherheit und Konformität? Welches ist wichtiger? Well, it depends. Habe ich Haftungsfragen bei nachmedizinisches Produktgesetze oder so muss ich natürlich die Konformität auf jeden Fall sicherstellen, weil sonst die Haftungsfrage unermesslich wäre und ich auch ein ein Schaden immer oder am menschlichen Körper bewirken könnte. Und ganz ehrlich 5 auf die Security, wenn nur weil ich den neuesten Patch eingespielt habe, jemand in der Insulin-Pumpe eine andere Druckregulierung hat. Das geht nicht so. Also Safety first, ja. IT oder IT Security als Mittel zum Zweck, um die Safety weiter aufrecht zu halten. Dacor. Insofern ist für mich ganz klar, die diese bei Safety relevanten Dingen, die Konformität wichtig auf diese Safety Dinge, aber die Sicherheit muss das ergänzen und fördern und verbessern. Weil wenn ich es nicht mache, dann habe ich eben genau dieses IT versus OT und damit eine Disco-Panz, die dann wieder auf die Safety wirken kann. Weil wenn, wenn Leute irgendwie nichts zu trinken, kein Strom, was sie auch immer haben, dann, dann gibt es Gefährdung von Menschenleben, klarer Fall. Ja, nächste Frage. Wie wird die Grenze bemessen, ob ein Krankenheil ist unter Critisfeld? Die Grenze Verordnung für 500.000 scheint mir da nur schwer umsetzbar. Na, das ist zum Beispiel die über Nacht Bettenbelegung. 30.000 Bettenbelegungen pro Jahr, also nicht wie viele Betten habe ich, sondern wurden die 30.000 mal belegt im Jahr, ist da die Bemessungsgrenze, diese Bemessungsgrenzen und die Schwellenwerte. Also wie sie sich berechnen und herleiten, sind in der sogenannten BSI-Kritis Verordnung. Das ist auch tabellarisch gut dargestellt und immer erklärt, was die Berechnungsgrundlage ist und so. Das ist insofern sehr trivial und einfach ermittelbar bei Krankenhäuser. Dann wie wird die Grenze? Anne, wie kommt es, dass Chemie aktuell kein Critis ist? Diverse Gesetze, Chemiewerke im Ausland sollte uns ein Beispiel sein. Früher hatten wir das Problem bis in die 90er, in die E auch häufiger, höchst Frankfurt, BASF und so weiter. Also ich grinse gerade, wie ein Honigkuchen fährt von einem Ort zum anderen. Denn das BBK fand das total wichtig, dass Großforschungseinrichtungen, Chemie und so weiter auch Critis sind. Es gibt so ein Dokument, was sie veröffentlicht haben, zehn Jahre kritische Infrastrukturen. Da steht auch drin, welche Arbeitsgruppen, wann, was als Critis definiert haben. Und wir haben ja Chemie und Pharma ist ja sozusagen sehr nah aneinander und es gibt auch so Verbände, die beides adressieren. Pharma ist Critis, Chemie nicht. Ich kann nicht verstehen, warum Chemie nicht relevant ist, warum Großforschungseinrichtungen nicht relevant sind, aber man im IT-Sicherheitsgesetz 2.0 entwurft, der jetzt wieder mal gelegt wurde von netzpolitik.org. Auch hier nochmal Danke fürs Liegen und Danke fürs Transparenz machen, was für Gesetze wie kommen. Das ist echt wichtig. Da hat man dann so eine Art Critis-Light, diese Institutionen im öffentlichen eine besondere Interesse und dann Unternehmen im besonderen öffentlichen Interesse, also so als Kürzel. Isböfi oder Unböfi. Bleibt so bei dem alten Klassiker von früher Isböfi. Diese Isböfis sind dann irgendwie besonders hoch im Aktienindex gewesen oder machen irgendwie Dinge aus Gründen, die irgendwie kein Interessieren oder sind sogar Rüstungsindustrie. Wo ich dann sage, Rüstungsindustrie, wenn die ausfällt, OK, dann hätte die Polizei keine neuen Pistolen. Ist das jetzt unmittelbar gefährdend für die Bevölkerung? Nein, es sind Supply Chain Problemen. Also ist das nicht Critis im Sinne von Critis-IT-Sicherheitsgesetz sehr wohl aus nationaler Sicherheitssicht. Und dann sollte ich mir vielleicht die Frage stellen, Rüstung hat da drin nichts zu suchen, aber Chemie hat da was drin zu suchen. Die haben nämlich zum Beispiel ganz viel Desinfektionsmittel hergestellt, was so für die Entverbraucher relevant ist. Dann tut man lieber so was wie eine Rüstung in das Weißbuch des Verteidigungsministeriums und adressiert es aus nationaler Sicherheitssicht. Und wir packen dann vielleicht zur Abwechslung doch mal Großforschungseinrichtungen, Chemie und so ein paar andere Dinge, die vielleicht Relevanz haben, da rein. Also schwer dafür stimme ich zu. Ist nicht nachvollziehbar. Kann auch das BMI nicht erklären. Plus eins. So, dann die nächste Frage. Gibt es eine Möglichkeit per IFG kritische, also spezifische Kritisberichte abzufragen? Also kann man versuchen, aber ich denke, da wird sehr klar gesagt der Prüfbericht und die Mängelliste enthalten ja Unternehmensdetails und echt kritische, sensitive Informationen und allein aus diesem Unternehmenschutz wird man entweder komplett ablehnen oder große Teile davon. Und wichtig ist, der Prüfbericht wird standardmäßig nicht ans BSI geschickt. Es wird nur die Mängelliste ans BSI geschickt, plus die Prüfer unterschreiben so ein Formblatt, was sie genau getan haben und dass sie das auch gemäß den Vorgaben gemacht haben. Dann unterschreibt der Betreiber dieses Formblatt und sagt auch aus meiner Sicht alles korrekt und schickt das mit der Mängelliste dahin. Der Prüfbericht wird nur ans BSI übermittelt vom Betreiber, wenn das BSI oder im Hintergrund dann die Aufsichtsbehörde nachgefragt hat. Die haben also bei Weitem nicht alle Prüfberichte da. Die brauchen die auch nicht, wenn das völlig klar ist, alles. Insofern, also die Mängelliste kann ich mir beim besten will nicht vorstellen, dass jemand so verrückt ist, die bereit zu stellen und öffentlich zu machen. Das ist nicht sehr produktiv, glaube ich. Aber vielleicht einfach versuchen. Keine Ahnung. Successive überfragt den Staat. So, die nächste Frage. Wie oft kommen Kommentare allerach kommen Sie? Das sehen Sie jetzt wirklich viel zu genau. Lass mich das mal mit dem Kommentar des Projektleiters bei einem Kundendachs 30 Konzern beantworten, der das meinem Mitarbeiter gesagt hat. Der hat gesagt, hey, können Sie dem Herr Naduckmann Sprachkurs bei Ihnen in der Firma verpassen, der Mitarbeiter so wie Sprachkurs. Warum? Er sagte, hey, der kann immer nur Nein sagen. Bringen Sie dem doch mal bei, dass der Ja sagt. Wir sagen dann, ist das Nein? Können wir Nein? Aber wir wollen Nein. Mann, ey. Also, ja, es ist manchmal schwer. Aber tatsächlich ist es nicht immer so. Also insofern mal Ja, mal Nein. Wenn es gut ist, bin ich sogar manchmal lobend und kann da was Nettes zu sagen. Aber wenn es halt nicht passt, dann ist halt Nein. Und ich habe auch schon Aufträge oder Projekte abgebrochen oder abgelehnt, weil es echt Spooky klagen und habe gesagt, hey, das machen wir nicht so. Dann geh bitte woanders hin. Da kannst du das machen. Wir machen es ordentlich oder gar nicht so. Dankeschön. Sehr gut. Dann was qualifiziert jemandem als Kritisprüfer? Braut man eher Spezialisten oder Generalisten mit breitem Wissen? Weil man also viel schnell verschiedene Sachen kaputt sein können? Also es gibt drei Thematiken, die adressiert werden müssen im Prüfer-Team. Das ist die Auditorenkompetenz. Man muss wissen, wie man auditiert, wie man Fragen stellt, wie man die Gespräche führt und so weiter. Das ist das Auditorwissen. Es gibt das IT-Fachwissen, das IT Know-how, was man nachweisen muss. Und es gibt die branchenspezifische Expertise, die man haben muss. Und wenn ich die branchenspezifische Expertise nicht im Unternehmen habe, kann ich auch kein Prüfteam für diesen kritische Infrastrukturbereich abdecken und damit die Prüfung nicht machen. Wenn ich aber voll toll in der Branche bin, aber keine Ahnung, von IT oder von Auditieren habe, dann kann ich es trotzdem nicht. Insofern braucht man diese drei Kompetenzen. Plus im Prüfteam muss mindestens einer, die sogenannte Prüfer-Fahrenskompetenz, nach § 8absi-Gesetz haben. Prüfer-Fahrenskompetenz heißt ein bis zwei-Tageschulung, in der man erklärt bekommt, was ist dieser allgefahrene Ansatz, warum muss ich für Kritis den Fokus auf dieses vermeiden von Versorgungsengpass legen, wie soll dieses Gesetz interpretiert und ausgelegt werden, was ist ein B3S und wieso gibt es so viele unterschiedliche Prüfgrundlagen, etc. Also das muss grundsätzlich im Team sein und diese drei einzelnen Kompetenzen werden durch, ich weiß nicht mehr, drei oder fünf Jahre in dem Bereich tätig gewesen sein oder so und so viel Auditoren Tage gehabt haben. Also Tage, die anerkannt werden, an diesem Tag hast du als Auditor mitgearbeitet. Und dann hast du sozusagen die persönliche Kompetenz und das Unternehmen, in dem du dann als Prüfer agierst, muss als prüfende Stelle beim BSI benannt sein. Das muss also auch bestimmte Vorgaben einhalten und dann kann man Prüfer sein in einer solchen prüfenden Stelle bei einem Unternehmen. Ja, dann kann jeder so loslegen. Genau. Okay, dann herzlichen Dank, Hong oder Manuel, für diesen spannenden Einblick. Man sieht, in unserer Branche gibt es immer genug zu tun und das wird auch niemals langweilig. Da mache ich jetzt erst mal einen großen Applaus irgendwie so auf die Bühne, du hörst das jetzt nicht, aber die Massen draußen, sie sind parallel unterwegs. Und dann herzlichen Dank.