Cybersecurity Basement – der Podcast für echten Security-Content
Herzlich Willkommen im Cybersecurity Basement. In unserem Podcast spricht Michael Döhmen alle 14 Tage mit spannenden Gästen über Themen aus dem Bereich Cybersecurity. Dabei legen wir großen Wert auf Objektivität gelegt. Kein suresecure-Feature-Fucking, sondern ein seriöser, authentischer und ehrlicher Austausch aus Theorie und Praxis.
Der Podcast richtet sich an IT- und Security-Entscheider und alle, die es mal werden wollen. Hier gibts kein Blabla, sondern Security als Handwerk. Ehrlich auf den Tisch. Dabei übersetzen die Protagonisten Security in Business-Sprache und umgekehrt.
Zudem werden auch Gäste eingeladen, um andere Blickwinkel oder auch Kundenstimmen einzufangen. So geht es noch mehr in die Praxis und der Podcast bewegt sich auf Augenhöhe mit dem Zielpublikum.
Cybersecurity Basement – der Podcast für echten Security-Content
SOC for IT & OT - die Antwort auf industrielle Cyberrisiken
Die Produktionsstätte – hier arbeiten jahrzehntealte Maschinen neben modernster Technik. Stillstand ist keine Option, doch die Gefahr durch Cyberangriffe steigt stetig. Im Gespräch mit Philipp Schildein, CTO von suresecure, beleuchtet unser Host Michael die Herausforderungen und Lösungen in der industriellen Cybersicherheit.
Herkömmliche IT-Sicherheitskonzepte stoßen in der Operational Technology (OT) oft an Grenzen. Während regelmäßige IT-Updates üblich sind, verursachen Produktionsstopps hohe Kosten. Ein Hochofen etwa benötigt bis zu 34 Tage für ein sicheres Herunterfahren, was invasive Sicherheitsmaßnahmen risikoreich macht.
Unser Managed SOC for IT and OT nutzt passive, netzwerkbasierte Sensorik zur Erstellung eines digitalen Zwillings der Produktionsanlagen. Dadurch entsteht Transparenz, ohne den Betrieb zu stören.
Erfahrt, wie moderne OT-Sicherheitsstrategien selbst Legacy-Systeme schützen und warum Künstliche Intelligenz (KI) Analysten zwar unterstützt, aber nicht ersetzt. Entdeckt die Zukunft der industriellen Cybersicherheit!
Wie angekündigt könnt ihr euch hier unser secure mag herunterladen:
secure mag: Managed SOC auch für deine OT-Umgebung
Weitere Podcastfolgen zu SOC und OT:
OT-Security, CRA & Supply Chain: Die Cyber-Baustellen der Industrie
SOC-Story: secure fashion bei der Walbusch-Gruppe
Hohe Sicherheitsstandards und trotzdem Opfer eines Cyberangriffs? Der Fall Varta AG
Never touch a running system? Zeit für einen Realitätscheck in der OT-Security!
Los SOCos 🔥 Security Operation Center - Make or Buy?
Wir freuen uns auf dein Feedback!
Möchtest du mehr über unseren Podcast wissen? Dann wirf einen Blick in unser Media Kit. Dort findest du alles Wichtige:
Cybersecurity Basement - Media Kit
Du findest uns auch auf:
(2) suresecure GmbH: Ihr Unternehmen | LinkedIn
@suresecure_de • Instagram-Fotos und -Videos
suresecure (@suresecure_de) | TikTok
Herzlich willkommen im Cybers ecurity Basement. So würde sich die Begrüßung anhören, wenn wir einen normalen Podcast hätten. Doch bei uns gibt es kein suesecure-Feature-Fucking und auch kein Blabla, sondern echten Security-Content. Willkommen im Keller. Und nein, du kannst jetzt nicht wieder raus.
Philip Schildein:Also, ich habe auch schon mal gesehen, dass Steuerungselemente von einer Steuerungsanlage vom Techniker selber quasi mit Malware infiziert wird.
Michael Döhmen:Herzlich willkommen zu einer neuen Ausgabe von Cybers ecurity Basement, dem Podcast für echten Security Content. Wir wollen heute über einen Full-Stack-SOC sprechen, das sowohl IT als auch OT-Daten verarbeiten kann. Full-Stack-SOC sprechen, das sowohl IT als auch OT-Daten verarbeiten kann. Dieses Konzept ist noch recht selten am Markt, und wir wollen heute darüber sprechen, wie das eigentlich funktionieren kann, Denn wir wissen ja aus bereits anderen Podcast-Folgen die OT hat so ihre Besonderheiten. Wir nehmen heute auf an Tag 1 nach dem Beschluss des Finanzpaketes. Vielleicht müssen wir da noch ein kurzes Wort zu verlieren, denn auch da kam das ist mir aufgefallen heute Morgen in den Tagesthemen der Begriff Cybersicherheit auf. Also im Großen und Ganzen geht es darum, Ausnahmen zu treffen Für eben diese Schuldenbremse. Es dürfen wieder Schulden gemacht werden.
Michael Döhmen:Wenn dieser Beschluss dann die nächsten Hürden nimmt, Und diese beziehen sich dann explizit auf sicherheitsrelevante Investitionen, darunter fällt natürlich die Cybersicherheit. Schlummert hier also eine Chance für Kommunen, hier nachzubessern? Wir wissen es nicht ganz genau, denn mehr als die Nennung von Cybersicherheit kam in keinem der Statements vor. Wie so oft bleibt es etwas schwammig. Aber gegebenenfalls kann ein wenig der 100 Milliarden Euro, die an die einzelnen Länder fließen, dann auch in IT und vielleicht auch OT investiert werden. Wir werden es erleben. Dann hatte gestern mein Sohn seinen dritten Geburtstag. Wir haben wieder mal zwei grundsätzlich verschiedene Familien zusammengeführt in unserem Haus. Das wirkte auch ein wenig wie IT/ OT, auch nach einigen Jahren noch. Starten wir unser heutiges Thema, das IT und OT-SOC. Da ich natürlich von den technischen Gegebenheiten viel zu wenig Ahnung habe, habe ich mir heute wieder einen Gast der Güteklasse A eingeladen. Ich begrüße ganz herzlich unseren neuen CTO, Philip Schildein. Herzlich willkommen, einen wunderschönen guten Morgen,
Philip Schildein:Guten Morgen, Herzlichen Dank für die Einladung.
Michael Döhmen:Wie geht es dir an diesem sonnigen Märztag?
Philip Schildein:Tatsächlich sehr gut.
Philip Schildein:In Berlin streikt die BVG, deswegen durfte ich heute mal wieder meine Tochter zur Schule fahren, die das sonst eigentlich alleine schafft. Aber es ist noch ein bisschen frisch draußen, aber sonnig und schön, und daher soll es eigentlich ein ganz guter Tag werden.
Michael Döhmen:Das freut mich Besonders, wird dieser Tag natürlich hervorragend, wenn wir mit einer neuen Podcast-Folge starten. Ja, wir wollen heute sprechen über die größten Herausforderungen beim Thema SOC IT/ OT. Wie kann man diese beiden Welten eigentlich vereinen? Und wollen auch das ein oder andere Fallbeispiel mal aufdecken. Vielleicht noch ganz kurz zu dir. Stell dich doch noch mal ganz kurz vor, was machst du genau bei uns, wie lange bist du schon bei der suresecure und wie hat es dich eigentlich in die Security verschlagen, denn ich weiß, du bist diplomierter Informatiker.
Philip Schildein:Das ist richtig. Ich hab sogar angefangen mit Software Systemtechnik. Habe aber für mich relativ schnell festgestellt, dass die klassische Informatik, insbesondere Kommunikationssysteme, Netzwerke, eher was für mich sind.
Philip Schildein:Da habe ich auch mein Diplom drin gemacht. Ich bin seit 2007 in dem Bereich unterwegs, habe tatsächlich auch mit dem, was ich machen wollte, angefangen Netzwerke, Rechenzentrumstechnik, Firewalling, VPNs, all solche Themen. Bin darüber zum Log-Management gekommen, habe dann bis heute mehrere SOCs aufgebaut, also mehrere Security Operations Center, habe Managed Service Angebote aufgebaut und betrieben und bin jetzt seit fast genau zwei Jahren in zwei Wochen sind es genau zwei Jahre bei der suresecure und bin jetzt seit kurzem CTO. Davor habe ich das SOC geleitet, das Security Operations Center, und dort auch die Weiterentwicklung unserer Services verantwortet und in den letzten zwei Jahren auch maßgeblich mitgestaltet.
Michael Döhmen:Top, vielen Dank für dieses kurze Intro. Als jemand, der ja wahrscheinlich mittlerweile auch viele Worst-Case-Szenarien in Bezug auf Cybersicherheit gesehen und begleitet hat. Ich stelle mal ganz gerne die Frage bist du dann auch zu Hause gut abgesichert? Hast du dir auch zu Hause eine Festung aufgebaut?
Philip Schildein:Ich sage es mal so es gab Zeiten, wo ich ein bisschen mehr Zeit hatte, da habe ich das ein bisschen auf die Spitze getrieben. Also ich rede über zweistufige Firewall-Systeme und VPN-Zugriffe etc, PP. Zur Zeit ist das alles ein bisschen eingedampft. Ich habe zwar auch meine Wohnung, soweit es in einem Altbau geht, in ein Smart Home verwandelt, aber tatsächlich unter gewissen Voraussetzungen. Also tatsächlich auch Zugriff auf Smart Home von außerhalb nur über ein VPN und solche Dinge. Aber es ist nicht mehr ganz so schlimm wie früher. Also, meine Familie hat ein bisschen mehr Freiheiten als noch vor, vielleicht zwei, drei, vier Jahren.
Michael Döhmen:Sobald man ja in der Security-Branche tätig ist das kenne ich auch von mir fängt man ja an, sein Umfeld bewusst unbewusst zu sensibilisieren, und man wird auch häufiger nach bestimmten Themen befragt.
Philip Schildein:Richtig
Michael Döhmen:Eine Top-Adresse bei mir ist zum Beispiel meine Mutter, die mir regelmäßig Screenshots schickt von Dingen, wo sie sich fragt geht das, darf man das?
Philip Schildein:Ganz so schlimm ist es noch nicht, aber ja also, ich habe auch tatsächlich für meinen Bruder schon das eine oder andere eingerichtet, sagen wir es mal so rum. Aber dummerweise, wenn man sagt, man hat Informatik studiert, dann kommt eher eine Frage kannst du auch eine Website einrichten? Und dann muss ich dann sagen nein, kann ich nicht. Das ist ein völlig anderes Feld der Informatik, wie ich es zu tun habe.
Michael Döhmen:Okay, dann lass uns mal in das heutige Thema einsteigen. Ich habe es ja schon zweimal angeteasert. Wir wollen heute sprechen über IT und auch OT Security. Wir wollen nun beides in unserem Cyber Defense Center bzw. Security Operations Center vereinen. Beziehungsweise haben wir das schon getan, denn das Offering ist schon existent. Das ist natürlich mit Blick auf die Gegebenheiten gar nicht so einfach, denn diese beiden Bereiche, also IT und OT, da gibt es viele Unterschiede und auch Herausforderungen. In Produktionshallen stehen auch gerne mal Maschinen, die schon 40 Jahre oder mehr auf dem Buckel haben. Das heißt, hier wurden sicherlich nicht Steuerelemente ausgestattet, auf denen Windows 11 läuft, sondern da reden wir über ganz andere Betriebssysteme, die hier verbaut sind. Das sind die sogenannten Legacy-Systeme, für die es dann logischerweise auch keine Updates, Upgrades oder auch nur Sicherheitsupdates gibt. Aber wie sieht es denn technologisch aus? wenn wir uns mal das Thema der Protokolle anschauen, was sind denn da so die dir bekannten Unterschiede? Denn du hast ja schon ein paar Produktionsstätten und auch Hallen besichtigt und gesehen.
Philip Schildein:Ja, zunächst einmal, was Protokolle angeht Wir reden ja bei IT klassisch über SMB oder HTTP, klassische Protokolle, die gut bekannt sind, sage ich mal so, dem ein ein oder anderen Laien sogar was sagen. In der OT-Welt haben wir natürlich ganz andere Dinge, proprietäre Protokolle, die halt weniger bekannt sind. Vielleicht SCADA schon mal gehört, oder Modbus zum Beispiel. Das sind so Dinge, die zur Produktionssteuerung eingesetzt werden. Prinzipiell haben wir halt die Problematik. Was heißt Problematik? Das ist halt einfach so historisch gewachsen, dass wie du schon sagtest Maschinen gekauft werden, die fräsen, stanzen, irgendwas machen, und die sind sehr teuer und sehr groß und sehr schwer und werden lange benutzt und sollen lange benutzt werden, sollen lange Geld verdienen. Und irgendwo hängt halt so ein kleiner Kasten dran in Anführungszeichen in dem halt ein PC drin steckt, der halt Dinge tut, der halt Informationen weiterleitet, Steuerungsdaten empfängt und umsetzen soll
Michael Döhmen:Und diese Maschinen, die werden dann initial einmal in Betrieb genommen, also installiert, implementiert und, wie du schon sagst, die sollen dann laufen, laufen, laufen. Häufig gibt es ja auch nicht das klassische Wartungsfenster, wie wir es aus den klassischen IT-Systemen wie zum Beispiel einem Notebook oder einem Smartphone kennen. Du bekommst hier irgendwann eine Nachricht hey, hier gibt es ein neues Update, bitte installiere das. Und diese Updates werden dann automatisch, zum Teil auch während der Nicht-Arbeitszeit eingespielt. Wie läuft das denn in diesen Produktionsstätten ab? Oder eben auch nicht ab?
Philip Schildein:Ja der Punkt, wie läuft es nicht ab. Klar, wenn man Produktionsleiter fragt, wie häufig man seine Maschine anhalten darf, damit man da irgendwas einspielen möchte, dann sagt der eigentlich nie. Ich habe das erlebt zu Corona-Zeiten, was da auf einmal dann an alles, oder zu anderen Zeiten, wo halt im Zweifelsfall aufgrund von Konjunkturen, Engpässen, nennen wir es mal so rum dann auch mal größere Wartungsfenster möglich waren. Da wurde sehr viel getan. Aber natürlich, wenn ich in einem Dreischichtsystem arbeite, in dem die Maschinen Tag und Nacht laufen, dann ist jede Produktionsunterbrechung einfach Bargeld, was zum Fenster rausfliegt, in Anführungszeichen. Im Zweifelsfall sind sogar Dinge betroffen, wie Lieferfristen etc, pp, just-in-time-produktion, solche Dinge. Wenn der LKW nicht vom Hof fahren kann, weil ich gerade das System patche, dann gucken sich alle sehr traurig an, und das ist halt im Grunde genommen nicht vorgesehen. Und gleichzeitig stehen meine Maschinen vielleicht an Orten, wo ich selten hinkomme beziehungsweise nie hinkomme oder keinen hinschicken möchte, weil ich halt auch in Umgebungen arbeite, die tatsächlich für den Menschen auch einfach gefährlich sein können, wo man so wenig wie möglich quasi vor.
Philip Schildein:Ort sein möchte oder kann.
Michael Döhmen:Und dann gibt es da ja auch Maschinen, die wie soll ich sagen, die mehrere Tage brauchen, bis sie überhaupt heruntergefahren werden können. Ich habe kürzlich eine Studie über die Stahlbranche in Deutschland gelesen, und da war die Rede von 30 bis 34 Tagen, die man braucht, um einen Hochofen kontrolliert herunterzufahren. Also wenn wir jetzt aus dem klassischen SOC-Kontext heraus nochmal denken, ich sehe irgendwas, eine Anomalie und führe eine Response aus, reagiere also darauf und würde jetzt eine Maschine isolieren, herunterfahren, dann kann das im OT-Kontext natürlich zu ganz anderen Konsequenzen führen In vielerlei Hinsicht.
Philip Schildein:Auf der einen Seite können Dinge einfach kaputt gehen, und da brauchen wir gar nicht so an große Stahlkocher denken. Also jedes Unternehmen, was zum Beispiel Messing selber herstellt, hat Kocher. Die sind natürlich in der Hinsicht kleiner als jetzt so ein riesiges Stahlwerk, aber auch da können Dinge kaputt gehen. Auch da können Dinge, und jetzt gucken wir mal in die andere Richtung vielleicht, wenn da halt jemand dran rumfummelt, dann können halt auch ganz schnell Menschen gefährdet werden. Und das gibt es ja bei vielen anderen Produktionsschritten auch, wo wir halt einfach tatsächlich dann sehen müssen, wenn halt was passiert, oder wenn ein System übernommen wird und nur kaputt gemacht wird, dann ist das ja quasi noch harmlos im Vergleich dazu, dass halt tatsächlich Menschen gefährdet werden können. Und ich sage mal so, sobald wir da in größere Produktionsumgebungen oder Chemie oder andere Anlagen gucken, da reden wir natürlich tatsächlich über sehr starken Einfluss auf Menschenleben oder halt auch auf die Umwelt zum Beispiel.
Michael Döhmen:Lass uns vielleicht nochmal springen zum Thema Zugriffskontrollen und Segmentierungsmöglichkeiten, die ich eben in diesem Kontext habe. In einem normalen klassischen IT-Netzwerk kann ich ja verschiedenste Netzwerke aufziehen bzw. einziehen. Das macht auch Sinn, immer eine fundierte Segmentierungsstrategie zu haben, um eben besonders schützenswerte Bereiche bestmöglich zu isolieren, dass die im Falle eines Infektes eben nicht infiziert werden. Und ich kann über das AD, das Active Directory, in der Regel definieren, wer mit welchen Zugriffsrechten auf welche Bereiche kommt oder eben auch nicht kommt. Welche Möglichkeiten habe ich denn in der OT?
Philip Schildein:Ja ein Thema was wir da schon geschnitten haben, sind die Legacy-Produkte, die im Zweifelsfall solche Standard-Authentifizierungsverfahren gar nicht unterstützen. Wenn ich einen Messrechner habe mit MS-DOS 5.0, dann habe ich keine Authentifizierung. Das ist einfach mal so. Auf der anderen Seite müsste das halt bedeuten, dass ich halt tatsächlich diese OT-Systeme, wenn sie es denn überhaupt können, halt tatsächlich in so etwas integriere wie eine AD oder sowas in der Richtung. Und dabei scheitert es meistens schon, weil wir haben natürlich eine gewisse Art von Silo-Denken, die halt aus der Historie kommt und wo man sich halt auch genau solche Abhängigkeiten im Zweifelsfall nicht schaffen möchte. Aus den genannten Gründen ja, ständiger Betrieb, Abhängigkeiten von IT-Systemen, ,die eigentlich dafür ausgelegt sind, auch mal gewartet werden zu können. Und dazu kommt, wenn wir tatsächlich über einen 24-for-7-Betrieb in der Produktion sprechen, wir natürlich auch dann die entsprechenden Techniker vor Ort haben, die im Zweifelsfall eingreifen können, und die können halt nicht abhängig sein so dann vielleicht auch die Denke von einem AD-System, auf das sie selber keinen Zugriff haben, sprich, für Notfallmaßnahmen muss man dann halt irgendwie Zugriff haben, und so weiter und so fort, wenn die Systeme überhaupt die Fähigkeit mitbringen, so eine Absicherung zu haben. Beziehungsweise umzusetzen.
Michael Döhmen:In der Praxis sieht es dann so aus ich gehe zu einer Maschine hin in meiner Produktionshalle, stelle mich an das Steuerungselement, sage hallo, ich bin der Philip. Ich gebe einen Code ein oder scanne eine Karte, und schon bin ich autorisiert, um auf dieses System zuzugreifen.
Philip Schildein:Im besten Fall, wenn ich überhaupt irgendeinen Sicherungsmechanismus habe, wenn ich halt schon irgendein halbwegs modernes Betriebssystem habe, wo ich tatsächlich User anlegen kann, dann habe ich vielleicht einen lokalen User, vielleicht habe ich sogar noch eine Steuerung über ein zentrales System, OT-System, über meine Produktionssteuerung tatsächlich auch machen. Wenn das der Fall ist, habe ich natürlich einen gewissen Level. Auf der anderen Seite muss man natürlich auch sagen wenn ich zu so einem Gerät gekommen bin, dann bin ich also, wenn ich lokal wirklich mich an so ein Gerät anmelden kann, also physisch, dann bin ich schon relativ weit gekommen. Dann muss ich schon in irgendeiner Werkshalle drinstehen, wo ich im Zweifelsfall vielleicht sowieso auffalle wie ein bunter Hund. Ja, als ich früher in Jeans und Hemd quasi am Switch rumgefummelt habe in der Werkshalle, da sah ich deutlich anders aus als die Leute, die um mich herumstanden, und da fällt man vielleicht schon so sehr auf, dass man, dass das gar nicht so sehr das Problem ist.
Philip Schildein:Interessanter ist halt eher wie sind die Systeme sozusagen auf dem Kommunikationsweg abgesichert? Also wie komme ich remote auf die Kisten drauf? Auch etwas, was heutzutage ja immer wieder ein Thema ist, weil auch viele Maschinenbauer mittlerweile Wartungszugänge anbieten von extern direkt auf die Maschinen. Die sind im besten Fall gut abgesichert, im schlimmsten Fall aber auch nicht so wirklich. Also, ich habe auch schon mal gesehen, dass Steuerungselemente von einer Steuerungsanlage vom Techniker selber quasi mit Malware infiziert wurden, weil der hatte halt seinen USB-Stick, mit dem war der halt schon vorher an x Steuerungsanlagen dran, und dann war halt auch die nächste Steuerungsanlage war dann auch infiziert, was nicht auffiel, solange die isoliert war und nicht im OT-Netzwerk, was tat.
Philip Schildein:Und auf einmal tat sie halt Sachen, die nicht so geplant waren, und dann fiel auch oh, die müssen wir nochmal von vorne aufsetzen. Das war nicht so schlimm, das war vor dem Betrieb, vor der Betriebnahme fiel das halt noch auf. Aber das ist natürlich auch ein Punkt, also auch wieder ein Thema, nicht nur vielleicht interne Mitarbeiter, die da vielleicht interne Mitarbeiter, die da vielleicht ein Problem sind, sondern auch tatsächlich auch die Externen, die halt über Wartungszugänge, USB-Sticks etc. pp da eine Gefahr darstellen können. Und weil wir halt wieder über Spezialsysteme reden, wo auch im Zweifelsfall kein Virenschutz drauf ist oder sowas in der Richtung, kein EDR, weil es viel zu sehr in die Maschinerie eingreift und gar nicht so sehr auf diese speziellen Anforderungen dieser Geräte adaptiert werden können, sind die halt dann auch auf der Ebene schutzlos. Und wenn halt ein USB-Stick reinkommt, dann ist es passiert?
Michael Döhmen:Lass uns nochmal kurz über das Thema Personal sprechen. Wir sprechen also über einen sehr sensiblen Bereich, wo man der Verfügbarkeit quasi alles unterordnet. Demnach können auf den ersten Blick einfachste Sicherheitsmethoden gar nicht ordentlich implementiert werden, weil eben kein Off-Time gewünscht ist. Oftmals sind auch die Verantwortlichkeiten innerhalb der OT-Umgebung nicht so klar, wie wir es aus der IT kennen. Wir kennen ja aus der IT-Welt den klassischen ITler, der als solcher auch beschrieben ist. Da gibt es ganz viele Spezialisierungen, wie zum Beispiel einen IT-Security-Manager, und in der OT steckt das alles noch so ein bisschen in den Kinderschuhen. Dort kommen die Leute, die sich mit OT-Security beschäftigen, auch eher aus dem Ingenieurwesen oder dem Maschinenbau. Hast du da eine Idee, wie das in Zukunft aussehen kann? Werden wir in Zukunft auch über die OTler und OT Security Manager sprechen?
Philip Schildein:Da bin ich mir ziemlich sicher. In der klassischen IT haben wir jetzt keine Ahnung, wie viele Jahrzehnte hinter uns und ich sage mal so, also Anfang der 80er, sage ich jetzt mal so als die ersten Rechner irgendwo Einzug hielten ja, also, da waren die Leute, die sich damit beschäftigt haben, von Haus aus, mathematiker oder Physiker, also die hatten auch noch nicht Informatik studiert in irgendeiner Form, und Ähnliches sieht man jetzt halt auch in der OT. Da ist natürlich schon ein paar Jahre ins Land gegangen, und ich glaube, die Sensibilität ist da deutlich gestiegen. Aber man hat halt noch nicht die Infrastruktur, nämlich die Organisation, wie man es halt bei der klassischen IT hätte oder hat. Und das wird sich entwickeln, ist natürlich ein spannendes Feld, auch in der Konstellation mit, sag ich mal, mit dem Thema Maschinenbau.
Philip Schildein:Produktionssteuerung ist halt nochmal ein bisschen was anderes als jetzt vielleicht IT, aber da entwickelt sich ja auch viel. Es gibt ja auch mittlerweile immer mehr Systeme, die sich bewusst mit OT-Security beschäftigen, die ja auch, sag ich mal, uns das Leben in Anführungszeichen leichter machen, weil sie halt sozusagen actionable Alerts produzieren, also schon nicht nur irgendwelche Rohdaten präsentieren, die ausgewertet werden müssen, sondern wo wir halt auch tatsächlich ein gewisses Abstraktionslevel schon haben, wie bei dem EDA, zum Beispiel beim Endpoint Detection und Response System, wo wir also nicht dieses absolute Expertenwissen brauchen, sondern halt auch schon ein gewisses Abstraktionslevel haben, sodass man im Zweifelsfall schneller zum Ziel kommt oder schneller alarmieren kann und auch besser auswerten kann, was eigentlich Sache ist. Ein großes Thema, was ja auch in der IT-Welt aber auch ich möchte nicht sagen nicht wirklich gut gelöst ist, ist das Thema Asset Management. Also, ich habe auch keine Firma gesehen, die wirklich ein Asset Management hat im IT-Bereich, wo die sagen könnten ja, da sind wir so bei 99% Abdeckung. In der OT-Welt sieht das genauso aus oder halt auch noch schlimmer, weil wir halt eben über sehr langlebige Produkte reden, wo also im Zweifelsfall seit Jahren keiner mehr dran war, die in irgendeinem Keller stehen oder in irgendeiner weit entfernten Facility.
Philip Schildein:Aber tatsächlich, das Asset-Management ist da natürlich gerade in der Kombination mit dieser Langlebigkeit, den Legacy-Produkten nochmal interessanter, weil ich halt damit dann auch meinen Überblick bekomme was ist eigentlich meine Gefahrenlandschaft? Und das ist ja eigentlich der erste Schritt eigentlich in dem ganzen Thema, erstmal zu erkennen, was ist, und zu sehen, welche Gefahren lauern eigentlich auf mich, wenn meine Systeme, meine OT-Systeme zum Beispiel mit anderen Systemen reden sollen, weil wir Produktionssteuerungsdaten im SAP brauchen, oder oder, oder, oder.
Michael Döhmen:Jetzt kommen wir langsam in Richtung Lösung, die es natürlich auch gibt für all die Problematiken, die wir gerade beschrieben haben. Sonst müssten wir diese Folge hier ja gar nicht aufnehmen. Ihr habt euch bei der Entwicklung des Produktes ja Gedanken gemacht und auch die Anforderungen aus dem Mittelstand, aus der Industrie mit einfließen lassen. Dabei Immer wenn wir über SOC gesprochen haben mit Unternehmen aus der Industrie, dann war das OT-Thema ein Thema. Aus der Industrie, dann war das OT-Thema ein Thema, Denn oft kam der Wunsch oder die Frage können wir das damit integrieren? Können wir das mit monitoren, natürlich 24 mal 7, mit Response-Möglichkeiten, um die OT eben besser vor Cyberangriffen zu schützen? Deshalb nehmen wir uns mal ein bisschen mit. Wie war so die Entwicklung? Wir haben ja unseren Technologie-Stack nochmals verändert, haben Prozesse angepasst. Jetzt kommt OT hinzu. Also unser Managed SOC erlebt ja einen stetigen Wandel, einen stetigen Optimierungsprozess. Wie war die Entwicklung mit Blick auf die Vernetzung von IT und OT in SOC denn aus deiner Perspektive?
Philip Schildein:Ja, du hast es gerade schon gesagt. Wir haben den IT-Stack tatsächlich im SOC for IT stark geändert, weg von On-Premise-Systemen hin zur Cloud. Wir setzen ja da auf die Google-SecOps-Lösungen für das SIEM als auch das SOAR, und OT ist für uns in dem Moment erstmal natürlich ein etwas anderes Feld als die Standard-IT, die wir mit unserem SOC for IT abdecken. Wir reden da halt über Standardsoftware, Microsoft, sehr viel Linux und so weiter und so fort. Firewalls, das sind alles bekannte Produkte, auch für das Durchschnitt SOC sage ich jetzt mal so. Also Erkennung, das ist alles nicht so sehr das Problem.
Philip Schildein:OT ist halt, wie gesagt, aus den genannten Gründen etwas speziell. Auch jeder Kunde ist da speziell, hat da eigene Anforderungen, eigene Systeme, die er da schon einsetzt. Und wir haben wir nutzen aber bei dem SOC for OT die gleichen Produkte, bei uns intern also den gleichen Tech-Stack, auch halt, um Synergieeffekte zu erzielen. Auch halt, um Synergieeffekte zu erzielen, und da wir sowohl roh als auch sei ja Alert-Daten, also Rohdaten im Sinne von wirklich klassischen Log-Daten verarbeiten können, aber halt auch Actionable Alerts aus Systemen, die schon eine gewisse Abstraktionsebene mitbringen, können wir da also auf die Bedürfnisse und das, was die Kunden, unsere Partner schon haben, halt entsprechend reagieren. Wir können auch ein eigenes OT-System mitbringen, was wir in diese Plattform integrieren, und können das halt auch ausrollen.
Philip Schildein:Wenn unsere Partner schon OT-Security-Systeme haben, können wir diese aber auch anbinden. Wir können, solange dieses System Daten uns zur Verfügung stellt, in welcher Form auch immer, im besten Fall natürlich über eine API, können wir diese auch anbinden und können diese dann halt auch entsprechend verarbeiten. Dabei ist der erste Schritt, den wir immer gehen wollen, für unsere Partner, wenn sie es nicht schon haben, Transparenz zu schaffen im Sinne von welche Assets hast du und welche Schwachstellen sind da drauf verfügbar? sozusagen, was ist also deine Angriffsoberfläche, wenn ein System außerhalb einer OT-Welt, die vielleicht für sich als Insellösung abgeschottet ist, wenn dieses System mit anderen Systemen spricht oder von außen angesprochen wird? Das wäre so der erste Schritt. Also Transparenz schaffen, Visibilität schaffen, quasi das Licht einschalten, erstmal und gucken, was ist, und dann. Der nächste Schritt ist dann natürlich zu schauen, was passiert in diesen Systemen.
Michael Döhmen:Ja, Zwischenfrage. Jetzt habe ich so eine Produktionshalle, keine Ahnung, ich stelle Papier her, und ich habe jetzt aber gar keine Sensorik. Also wenn ich keine Sensorik in meiner OT habe, was irgendwelche Daten senden kann, dann brauchen wir erstmal ein Vorprojekt, um diese Sensorik zu implementieren. Richtig, Und für diese Implementierung das ist ja jetzt genau der Punkt, wo wir eben drüber gesprochen haben. Also Verfügbarkeit der Maschinen hat irgendwie oberste Priorität. Wie funktioniert der Einbau einer Sensorik, ohne dass ich in diese Produktionswelt irgendwie eingreife.
Philip Schildein:Zunächst mal die Sensorik arbeitet erstmal auf Netzwerkebene. Die nimmt also erstmal das mit, was sie sieht. Daran kann man halt auch an den Protokollen auch schon erkennen, welche Maschinen, welche Systeme, welche OT-Systeme da zum Einsatz kommen. Und dann ist es natürlich recht hilfreich, wenn man aus diesem Netzwerk, was dort ja im Grunde genommen gescannt wird, was über die Kommunikationsverbindungen, die erkannt werden, halt dargestellt werden kann, dass man daraus einen digitalen Zwilling baut. Ja, das macht unser System, sprich, wir können dann gucken, oder wir müssen nicht direkt einen auf dem Endsystem, auf dem OT-Endsystem mit irgendeinem Agent oder sowas installieren, sondern wir nehmen über das, was wahrgenommen wird, was gescannt wird, was mitgeschnitten wird, an Kommunikation. Gerade OT-Systeme sind ja im Vergleich zu IT-Systemen tatsächlich, was das angeht, eigentlich relativ stabil. Also, eine Produktionsumgebung funktioniert im besten Fall eigentlich immer gleich, wenn da irgendwas anderes kommuniziert wird, als sonst habe ich entweder ein Problem im Sinne einer Störung, also einer maschinellen Störung, oder einen Maintenance-Eingriff oder einen Angriff.
Philip Schildein:Eigentlich, das ist also vom Baselining her in dem Sinne deutlich angenehmer als ein IT-System, wo Menschen dran sitzen und ständig irgendwie was anderes tun, also jenseits von der NATO-Pause, die irgendwie um 9 bis 9.30 Uhr ist und wohl einfach nichts passiert. Also das ist halt bei solchen Produktionsumgebungen dann halt in der Hinsicht ganz schön. Durch die Protokolle kann halt relativ genau identifizieren, was für Systeme dahinter hängen, weil es halt so proprietär teilweise ist. Wir sehen halt, es wird ständig kommuniziert, also im Rhythmus der Maschine. Ja, im Endeffekt, wenn entsprechende Steuerungsdaten und Produktionsdaten übertragen werden, und dadurch können wir halt durch das Scannen selber schon ein Abbild des Netzes erstellen und einen digitalen Zwilling erstellen, in dem wir dann im besten Fall halt auch gucken können, welche Schwachstellen sind dafür vorhanden, und wie wirkt sich das aus, wenn mit diesem System zum Beispiel gesprochen wird, welche Schwachstellen sind dann nach außen tatsächlich vorhanden und verfügbar?
Michael Döhmen:Okay, also die Sensorik liefert mir quasi Daten in das SOC hinein. Dieses SOC kann diese Daten auch schon verarbeiten und auch eben Handlungsempfehlungen daraus bilden. Ich kann erkennen, wo ich Schwachstellen habe. In so einem Security Operations Center gibt es ja immer auch eine Art Report, ein Dashboard. Habe ich diese Daten dann? also habe ich dann zwei am Ende des Tages, einmal, wo ich meine OT-Um. also habe ich dann zwei am Ende des Tages, einmal, wo ich meine OT-Umgebung quasi visibel gemacht bekomme und meine IT, oder fließen die auch ineinander?
Philip Schildein:Also prinzipiell fließen die halt auch ineinander. Gerade wenn wir über OT-Landschaften sprechen, die halt auch vernetzt sind mit der IT-Landschaft, dann müssen wir die auch zusammen betrachten. Da muss man auch gucken, welche Kommunikationsbeziehungen bestehen, auch außerhalb, und da bin ich natürlich dann in dem Modus zu gucken, was habe ich an Informationen über diese Kommunikationsbeziehungen in andere IT-Systeme zum Beispiel? Nichtsdestotrotz haben wir natürlich dann auch ein Reporting, zum Beispiel über die Assets, das getrennt ist von der restlichen IT-Alandschaft, weil wir da halt nochmal einen besonderen Fokus drauf legen, schwachstellen-management oder Schwachstellen-Management etwas ist, was in der IT bekannt ist. Ich möchte nicht sagen, dass es überall immer super gelebt wird, aber es ist bekannt und so weiter und so weiter, und es ist klar eigentlich, wie man das macht.
Philip Schildein:Im OT-Umfeld ist es halt erstmal darum, die Transparenz zu schaffen, und da haben wir jetzt auch dann keinen Automatismus, der irgendwas patcht oder sowas. Das geht sowieso nicht so einfach im Zweifelsfall, weil es gar keine Patches gibt. Aber da geht es ja darum, im Zweifelsfall im ersten Moment Transparenz zu schaffen, das zu reporten, das halt visibel zu machen, um dann die richtigen Schlussfolgerungen rauszuziehen, weil ich habe ja nicht nur technische Reaktionsmöglichkeiten, sondern ich muss ja auch organisatorische Regelungen treffen, weil ich gar keine technische Möglichkeit habe, dort einzugreifen. Der nächste Schritt ist ja dann, wenn wir tatsächlich Alarmierungen haben, die entweder auf Detektionen basieren, die wir bauen, nach Kundenvorgabe, oder halt zum Beispiel auf Systemen, die der Kunde schon hat oder wir mitgebracht haben, dann können wir daraus natürlich auch eine entsprechende Alarmierung für den Kunden bauen, die dann entsprechend an die verantwortlichen Stellen weitergeleitet wird, sodass der Kunde auch eine Reaktionsmöglichkeit hat.
Philip Schildein:Über Active Response rede ich im Bereich OT eigentlich sehr, sehr ungerne, weil ich kenne niemanden, der sowas zulassen würde, dass jemand im SOC oder quasi automatisiert, wie man es vielleicht auch bei einem Laptop oder sowas machen würde, wo man irgendwie Anzeichen für Ransomware hat, den einfach mal schnell zu isolieren aus dem Netz und fertig. Das würde halt niemand bei einer Produktionsmaschine machen, weil die Folgen gar nicht abzusehen wären.
Michael Döhmen:Du hast jetzt gerade die Detection Rules schon mal angesprochen. Ich habe ja kürzlich eine Aufnahme gemacht mit George. Im ganzen Podcast über Detection Engineering habe ich einiges nochmal gelernt. Vor allem auch, welchen Stellenwert das Ganze hat und wie wichtig das ist. Jetzt weiß ich, dass wir in der IT zum Beispiel schon mal einen großen Stack an Detection Rules mitbringen, die ja in der Regel in allen IT-Infrastrukturen irgendwie funktionieren und eine wichtige Rolle spielen. Irgendwie keine Ahnung 700, ob es 1.000 Stück sind, ich weiß es nicht. Aber gibt es so einen Stack auch, den man direkt mit in diese OT-Umgebungen bringen kann, Oder werden diese Detection Rules im OT-Bereich eher alle wirklich individuell auf die jeweilige Umgebung abgestimmt? oder, was ich mir auch noch vorstellen konnte, dass diese OT-Technologien vielleicht auch schon Dinge mitbringen, die man dann verwerten kann?
Philip Schildein:Die letzten beiden Dinge sind der Fall bei uns. Wir haben jetzt nicht so eine Library, wie wir es für die IT-Welt haben. Wir setzen da halt auf die Lösung, die wir mitbringen, als halt auch die Erfahrung und das Know-how auch der Kunden im Sinne, was sind die Use Cases, die sie haben? Im Grunde reden wir da über Veränderungen in den Systemen. Welche Veränderungen sind von ihrer Seite aus kritisch, müssen beobachtet werden. Es gibt natürlich auch Systeme, die klassische Betriebssysteme à la Windows oder sowas dann sind, worauf dann eine Software läuft, die zur Produktionssteuerung genutzt wird. Da können wir natürlich auch mit unseren quasi Bordmitteln, mit unseren Detection Rules auch antreten, weil natürlich dort sind Probleme oder Risiken durch die Betriebssysteme vorhanden, Und die können wir natürlich auch mit klassischen Betriebssystemmitteln auch monitoren beziehungsweise erkennen. Also da gibt es so eine Mischung. Da kommt es ein bisschen darauf an, was für OT-Systeme sind vorhanden? Welche Betriebssysteme kommen dann zum Einsatz? Haben wir dafür Regeln?
Philip Schildein:Für klassische Microsoft und Linux-Betriebssysteme ist das normalerweise eigentlich der Fall, außer, das sind sehr, sehr alte Betriebssysteme oder sehr, sehr selten vorkommende. Aber das ist halt so eine Mischung auf den Protokoll-Ebenen der OT-Landschaft. Da ist es halt dann im Zweifelsfall sinnvoller, sich auf das zu konzentrieren, erstmal, was die, was Hersteller von OT-Lösungen, die wir auch mitbringen oder die vielleicht schon vorhanden sind, melden Beziehungsweise was halt in dem Produktionsprozess des Kunden halt dann interessant für den Kunden auch ist wo der sagt, das ist eine Anomalie, die wollen wir aus diesem Grund detektiert haben.
Michael Döhmen:Wir sind ja aus der Vergangenheit ja diese Cyberangriffe auch gerne mal über die Supply Chain zustande gekommen. Wir haben es schon ein paar Mal erlebt, dass diese Einfallstor war für einen Cyberangriff, der sich dann erst in IT, später auch in OT ausgebreitet hat, und du hast am Ende eine Vollverschlüsselung Gibt es. Gerade weil diese OT ja so ein sensibler Bereich ist, gibt es in unserer SOC-IT-OT-Kombination auch die Möglichkeit, Supply Chain-Szenarien mit ein und abzubilden. Es gibt ja dann in der Regel AP-Schnittstellen zu Zulieferern oder Ähnlichem. Dass wir die auch mit berücksichtigen Und bringt das auch die.
Philip Schildein:OT-Lösung schon mit. Ich sage mal so, das kommt halt ein bisschen darauf an, wie diese Supply Chains oder diese Zugriffe tatsächlich realisiert sind. Alles, was uns in irgendeiner Form Logs präsentieren kann, können wir prinzipiell onboarden. Also, es gibt natürlich Standard-Logs, Standard-Parser, die dabei sind, aber prinzipiell alles. am Ende des Tages reden wir da über ASCII-Texte, der geparst werden muss. Das können wir herstellen, wenn wir eine Möglichkeit haben, an die Logs ranzukommen, Und wenn klar ist, was in diesen Logs drinsteht und welche Informationen tatsächlich interessant sind.
Philip Schildein:Ist immer so, weil wenn wir über Supply-Chain-Attacken sprechen, die ja quasi über einen Remote-Zugriff erfolgen, ist das prinzipiell möglich. Wie gesagt, das kommt dann halt ein bisschen darauf an, welche Systeme werden genutzt dafür? Wenn wir über Supply Chain Attacken sprechen, wo halt tatsächlich Software kompromittiert wird, schon beim Hersteller, dann wird es natürlich schwieriger. Da gibt es ja verschiedene Ebenen. aber ich sage mal so, gerade was Zugriffe angeht, also auf Betriebssysteme oder halt über Schnittstellen aus dem Internet, die über Portale, Gateways kommen. Da können wir natürlich auch ein Monitoring draufsetzen und halt auch zumindest auch im Nachhinein nachvollziehen, wer da zum Beispiel drauf sich eingeloggt hat. Wir hatten es vorhin schon manchmal kommt die Infektion auch durch die Herstellersoftware selber.
Philip Schildein:Das wird dann schwierig zu überwachen,
Michael Döhmen:Das stimmt ja, das wird dann schwierig zu überwachen. Mit NIS 2, wahrscheinlich kommt es ja dieses Jahr oder Anfang nächstes Jahr in Deutschland dann auch dazu, dass das NIS 2 Umsetzungsgesetz verabschiedet wird ist man ja dann auch verpflichtet, seine Supply Chain ein wenig näher zu betrachten und auch diesen Zulieferern gewisse Standards abzufragen, ob die denn dort erfüllt sind, und dann sollte es in der Regel vielleicht auch gar nicht mehr so oft dazu kommen. Wir drücken an der Stelle natürlich die Daumen Okay, unser SOC IT/OT. Wenn ich das habe, habe ich ein vollständiges Monitoring, vollständige Visibilität. Das heißt, im besten Fall entgeht mir nichts mehr. Philipp, würdest du das so unterschreiben?
Philip Schildein:Ja, das ist so richtig. Klar ist, alle relevanten Mitspieler müssen quasi angebunden sein. Wie gesagt, wenn wir über Zugriffe von außen sprechen, müssen wir halt diese Daten sehen, damit man nachvollziehen kann, wer hat wann wo wie kommuniziert. Es müssen die richtigen Systeme müssen angebunden und die Daten müssen ordentlich gepasst sein. Und natürlich, was wichtig ist auch immer, unsere Partner müssen uns halt auch das Feedback geben, was wichtig ist, wo vielleicht auch ich nenne es mal Hidden Gems versteckt sind. Auch das ist ja ein wichtiges Thema Wo sind eigentlich die interessanten Daten? Wo liegen die? Wo muss man vielleicht auch nochmal bewusster hinschauen. Was muss man in Detection Rules nochmal hervorheben? Wir reden ja auch über Risk-Based Alerting im Sinne von bestimmte Systeme sind, wenn die angegriffen werden, ist das ein sehr viel höheres Risiko als andere Systeme.
Philip Schildein:Beispiel Unterschied zwischen einem AD-Controller und einem Testsystem. Das heißt nicht, dass ich über ein Testsystem nicht reinkommen kann und dass das uninteressant ist. Aber wenn ich schon etwas sehe, was auf einem Domain-Controller oder zum Beispiel auf einer Schnittstelle zu einer OT-Landschaft passiert, dann muss ich das im Zweifelsfall wissen. Dann muss ich wissen als SOC-Auftragnehmer, dass das tatsächlich ein Hochrisikosystem ist, das ich halt besonders monitoren muss und wo ich halt vielleicht auch nochmal dreimal stärker hingucken muss oder nochmal eine Wendung nehmen muss, einfach damit man da sicher ist, gerade auch bei vielleicht niedrigschwelligen Alarm alles zu erfassen. Also sprich, da ist ein bisschen das Know-how oder das Wissen um die Landschaft und wo die interessanten Systeme stecken, wo die wichtigen Daten stecken, wo die wichtigen Kommunikationsbeziehungen auflaufen, ist halt dann auch von unschätzbarem Wert in dem Moment.
Michael Döhmen:Ja, aber das ist ja quasi auch in der IT ähnlich.
Philip Schildein:Richtig.
Michael Döhmen:Also da muss ich auch wissen,
Philip Schildein:gibt es keinen Unterschied.
Michael Döhmen:Wo liegen die Gems dieser Welt? Ja gut, vielen Dank. Wenn ihr, liebe Zuhörerinnen und Zuhörer, dazu noch mehr Details braucht in den Shownotes verlinken wir euch das White Paper zum SOC IT und OT. Da könnt ihr die Details nochmal nachlesen. Wenn es darüber hinaus Fragen gibt, natürlich immer gerne direkt bei uns melden. Philipp, wenn ich dich schon mal im Podcast habe, was denkst du denn, wie geht die Entwicklung bei den SOCs dieser Welt weiter? IT, OT, bald auch IoT und AI Ist bald Vollautomatisierung und Plug-and-Play möglich?
Philip Schildein:Du hast den Elefant im Raum genannt AI, ai everywhere. Was das genau bedeutet, wissen wahrscheinlich die meisten Leute, die das erzählen, auch nicht so ganz genau. Ich glaube nicht, dass es morgen Dass AI, morgen die Dinge analysiert und dann selbstständig irgendwo eingreift. Also good luck, würde ich jetzt nicht machen. Aber natürlich unterstützt uns AI heute auch schon bei unserem Daily Business. Das heißt nicht, dass AI analysiert, aber AI fasst zusammen AI unterstützt beim Bau von Detection Rules zum Beispiel, ai unterstützt beim Bau von Playbooks, also bei der Automatisierung. Das macht also Dinge für uns einfacher, erst mal, und macht es auch einfacher für Analysten oder überhaupt SOC-Mitarbeiter, in dem Metier Fuß zu fassen, weil man halt auch schneller an Dinge rankommt, weil Dinge für einen zusammengefasst werden.
Philip Schildein:Man muss nicht ich bleibe mal beim Thema Detection Rules man muss sich nicht bis ins Kleinste weit und bitt mit der Syntax auseinandersetzen, sondern man kann im Zweifelsfall schon in Prosa beschreiben, was man eigentlich detektieren will, und kriegt dann einen Vorschlag vorgesetzt, der schon korrekt geschrieben ist, den man natürlich nochmal überprüfen muss und weiter ausarbeiten muss. Aber man hat im Zweifelsfall 50, 60 Prozent des Weges schon gemacht, und da hilft uns AI heute schon, und es wird auch in Zukunft da ein Thema sein, und da wird auch noch mehr passieren. Aber dass wir morgen quasi da so einen Jarvis haben, der uns da einfach quasi alles macht und das erkennt und dann selbstständig da eingreift, das wage ich mal stark zu bezweifeln. Und ich weiß, dass bei der nächsten Google Next ist auch AI everywhere.
Philip Schildein:Aber ich persönlich glaube, dass, den klassischen Analysten werden wir noch eine Weile haben. Er wird halt nur anders mit den Systemen arbeiten. Er wird im Zweifelsfall schneller mehr Informationen präsentiert bekommen, die deutlich zusammengefasster sind und dadurch effizienter arbeiten können. Aber ich sage mal so ein wichtiger Sicherheitsfaktor ist ja auch ein Analyst immer noch ein bisschen mehr erreicht als eine AI, die in komplexen Situationen vielleicht auch noch ein bisschen zu sehr halluziniert.
Michael Döhmen:Ja, genau Die ist ja dann auch quasi programmiert, die führt ja dann einfach aus. Kann vielleicht nicht das Gesamtbild irgendwie sehen und verstehen, das Gesamtbild irgendwie sehen und verstehen? Und ja, ich denke auch, dass es an der Effizienz durchaus schrauben wird, das ganze Thema AI, aber ja, wird sicherlich nicht unser Fachpersonal ersetzen.
Philip Schildein:Ja, und was natürlich ein Punkt ist also AI hatten wir auch schon vor keine Ahnung fünf, sechs Jahren. Da hieß es halt alles Machine Learning. Ja, und also gerade im Sicherheitsbereich war das auch schon immer ein Thema, da Anomalien zu erkennen etc. Pp, user Behavior Analytics der eine oder andere wird es vielleicht noch kennen. Auch gab es immer wieder Ansätze, da halt auch mit Machine Learning zum Beispiel zu arbeiten. Und ich kann mich noch erinnern an einen Kollegen, der damals auch beim vorherigen Arbeitgeber viel mitgemacht hat, Und er meinte auch dann irgendwann mal ja, it's not really machine learning, it's a very complicated if-then-else-state, und das ist heute natürlich weiter. Das muss man natürlich schon sagen. Aber das ist halt auch nicht der Zauberstab, mit dem wir all diese Probleme lösen werden. Und solange wir ungepatchte Systeme irgendwo haben, haben wir halt auch eine Vielzahl an Schwachstellen, die ausgenutzt werden kann, ohne dass man sie sieht. Auch das gehört zur Wahrheit dazu.
Michael Döhmen:Absolut. Viele müssen sich noch ein bisschen mit der Cyberhygiene beschäftigen, bevor man dann vielleicht über AI und alles weitere nachdenkt. Richtig, philipp, ich bedanke mich sehr, dass du heute zu Gast warst. Ich versuche mich nochmal schnell in einer kleinen Zusammenfassung. Also, ich hoffe, liebe Zuhörerinnen und Zuhörer, ihr habt mitgenommen, dass es natürlich viele Herausforderungen gibt beim Thema OT, angefangen mit unterschiedlichen Protokollen, der Schwierigkeit, die Systeme zu updaten, zu patchen, legacy-systeme nicht unbedingt Security by Design gedacht in den 70er Jahren, woher auch? woher soll es kommen, noch keine klaren Verantwortlichkeiten. Auch das Thema Instant Response, also die Active-Response-Komponente, ist nicht so einfach in der OT-Umgebung.
Michael Döhmen:Aber ich hoffe, ihr habt auch die Wichtigkeit des ganzen Themas mitgenommen, denn häufig ist es nun mal ein sehr sensibler Bereich, der unbedingt geschützt werden muss, und ihr habt hoffentlich verstanden, dass mit einer Sensorik die Einbindung in unser SOC kein Problem mehr darstellt und ihr dann volle Visibilität und Monitoring 24 mal 7 auf eure IT und OT-Infrastruktur erhaltet. Dazu habe ich gesprochen mit Philipp Schildein, unserem CTO bei der SchuhSecure GmbH. Ich bedanke mich ganz herzlich für deine Zeit, immer wieder gerne und war schön, hier zu sein. Das wollte ich noch hören, damit ich dich wieder einladen kann, und in diesem Sinne sage ich bleibt sicher und gesund da draußen Bis zur nächsten Folge. Tschüss.