Schutzschild Deutschland: Wie resilient sind unsere digitale Infrastrukturen?

00:00:03:

00:00:08: Hallo und herzlich willkommen zur neuen Folge vom Ohr am Netz.

00:00:11: Hi Sidonie, wie geht's dir?

00:00:13: Hallo zusammen, hallo Sven.

00:00:14: Ich kann nicht klagen.

00:00:15: wie ist es bei dir?

00:00:16: Ja das läuft!

00:00:17: Also langsam wäre ich bereit für den Frühling.

00:00:19: dass jetzt wieder Minus gerade werden nervt nicht etwas.

00:00:22: Anfang Februar schwierig.

00:00:24: Naja was heißt Anfang Februars?

00:00:26: also wir haben ja jetzt quasi gerade den Valentinstag überschritten und damit deutlich die Mitte des Februars und ich finde wir müssen da positiv und ein bisschen lauwarm in die Zukunft gucken.

00:00:34: Aber es liegt vielleicht auch daran, ich war ja in Norwegen Skifahren und da waren halt wirklich so minus achtzehn Grad uns sehr viel Schnee.

00:00:40: Ich glaube, ich habe meinen Bedarf an Winter damit langfristig gemacht.

00:00:43: Ja

00:00:43: das ist immer die Frage was man mit diesen Winterferien macht also genau eigentlich nochmal so richtig Winter oder doch wieder ein bisschen Sonne?

00:00:51: Das muss man

00:00:51: sich überlegen.

00:00:52: Also

00:00:52: unter uns oder unter uns allen oder für euch alle mein persönlicher Tipp Skifahrn auf jeden Fall nach Norwegen.

00:00:58: So krass, große Pisten so wenig Leute.

00:01:00: So viel Schnee habe ich viele Jahre nicht gehabt war richtig toll und ist sogar bezahlbar.

00:01:04: am Ende wenn man alles zusammen nimmt klar Essen is ein norwegen teuer die Unterkünfte gehen die Schiebpisten sind günstiger.

00:01:09: also es rechnet sich auf jeden Fall.

00:01:11: wir hatten viel Spaß und nächstes Jahr wahrscheinlich wieder naja aber das ist ja nicht das Thema.

00:01:14: Wir reden ja kleiner

00:01:15: Werbeblock für Norwegen.

00:01:18: Sys Podcast ist sponsoriert bei offizieller Sponsor von Norwegen.

00:01:20: Ich wollte gerade sagen wir werden nicht dafür bezahlt Aber wir sollten mal drüber nachdenken.

00:01:24: Das wäre ja geil Wenn wir ganze Länder hätten die uns bezahlen.

00:01:26: Also es hängt im Moment ganz stark von den Ländern ab.

00:01:29: Aber jetzt zu einem ganz anderen Thema?

00:01:31: Genau,

00:01:31: in now for something completely different!

00:01:34: Denn wir haben da kritische Infrastrukturen und das haben wir alle schon mal gehört und ich glaube die wenigsten von uns haben sich mal Gedanken gemacht was da alles so dazu gehört.

00:01:41: Das ist teilweise total witzig.

00:01:42: Ich glaube wenn die Kollegen vom rbb erfahren dass sie eine kritische infrastruktur sind dann kriegen ihnen schreck.

00:01:47: Aber dazu gehören natürlich so Dinge wie das Internet und damit auch Rechenzentren, Netzbetreiber, Stromnetz, Wassernetz und was nicht alles.

00:01:55: Und wir kümmern uns heute darum, wie geschützt die eigentlich sind?

00:01:58: Wie resilient unsere kritischen Infrastrukturen in Deutschland sind!

00:02:01: Ja genau, kritische Infrastruktur sind sozusagen das Rückgrat der Gesellschaft und erfordern besonderen Schutz.

00:02:07: Ich glaube, wir erinnern uns ja jetzt natürlich alle noch gerade wir Berliner hier an den großen Stromausfall Anfang des Jahres in Berlin Und damit hat das Thema natürlich auch politisch wieder so ein bisschen Fahrt aufgenommen.

00:02:19: Ja genau, es kritis Dachgesetz hat Ende Januar den Deutschen Bundestag passiert, damit wir ein erstmals bundeseinheitliche und sektorübergreifende Mindeststandards für den Schutz kritischer Infrastrukturen festgelegt.

00:02:29: Zeitwürze!

00:02:30: Ja, das Gesetz setzt im Grunde eine EU-Richtlinie zur Stärkung der Resilienzkritische Einrichtungen um und bündelt elf Sektoren unter einem gemeinsamen Ordnungsrahmen.

00:02:40: Also von Energie, Transport und Gesundheit über IT, Telekommunikation bis hin zu Ernährung, Weltraum und öffentlicher Verwaltung.

00:02:49: also das ist schon ein ganz schöner Stretch.

00:02:51: Absolut ja!

00:02:52: Und künftig gilt eine Einrichtung als kritisch wenn sie essentiell für die Gesamtversorgung Personen betreut beziehungsweise betrifft.

00:03:02: Darüber hinaus definiert das Gesetz erstmals sektorübergreifende Mindestanforderungen, etwa für Notfallteams, physischen Objektschutz und Maßnahmen zur Ausfallsicherheit.

00:03:12: Und die Grundlage dafür sind staatliche Risikoanalysen, die den Betreibern zur Verfügung gestellt werden.

00:03:18: Ja und wer betroffen war hier im Süden von Berlin der weiß auch ja auch die Internetwirtschaft und auch der Mobilfunk alle brauchen eine stabile Stromversorgung und funktionierende Netze und verlässliche Rahmen.

00:03:29: Das Gesetz setzt für den ECO hier auch grundsätzlich an der richtigen Stelle an.

00:03:33: Die Frage lautet jetzt aber, entsteht mit dem neuen Gesetz jetzt ein klarer wirksamer Rahmen für mehr Sicherheit oder haben wir nur wieder eine wachstende Komplexität in der Regulatorik?

00:03:43: Ja, und wir beleuchten das Ganze hier heute wieder aus mehreren Perspektiven.

00:03:47: Wie wir das ja immer machen einmal aus Sicht der Internetwirtschaft dann aus operativer IT-Sicherheitspraxisperspektive.

00:03:55: Und dann haben wir erstmals tatsächlich auch jemanden von der Bundeswehr hier um das ganze aus sicherheitspolitischer Perspektive zu betrachten.

00:04:02: Aber vorher würde ich sagen Betrachten wir jetzt erstmal die digitalen News aus der digitalen Welt so wie wir das immer tun am Anfang jeder Folge

00:04:13: Kurz und kompakt.

00:04:15: Neues aus der digitalen

00:04:16: Welt.

00:04:17: Wir starten mit einem Thema, dass die digitale Wirtschaft in Deutschland und Europa in den kommenden Jahren maßgeblich prägen wird – nämlich das Thema KI!

00:04:26: Und hier ganz konkret die KI-Verordnung sozusagen das große europäische KI Regulierungsgesetz.

00:04:34: Das Bundeskabinett hat am elften Februar zwanzig sechsundzwanzig das KI Durchführungsgesetz beschlossen.

00:04:40: Das ist sozusagen also dann die deutsche Umsetzung der europäischen KI-Verordnung.

00:04:45: Und ja, dazu ist zu sagen dass wir als Verband grundsätzlich erstmal begrüßen das EU Vorgaben hier wirklich eins zu eins umgesetzt wurden.

00:04:54: Wir waren allerdings vor praktischen Vollzugsproblemen und unklaren Zuständigkeiten.

00:04:58: Künstliche Intelligenz ist ein zentraler Faktor für Wettbewerbsfähigkeit und digitale Souveränität und entscheidend ist für uns nun eine einheitliche praxisnahe und innovationsfreundliche Umsetzung.

00:05:10: Positiv bewerten als Verband die vorgesehene Rolle der Bundesnetzagentur, als Marktüberwachungs- und Koordinierungsstelle.

00:05:17: Allerdings sehen wir hier auch noch Klärungsbedarf bei verbindlichen Abstimmungsmechanismen um unterschiedliche Auslegungen zu vermeiden.

00:05:24: Zudem fordern wir ausreichend ausgestattete KI-, Reallabore, klare Kooperationsstrukturen und einen europaweit koherenten verhältnismäßigen Vollzug, der Innovationen ermöglicht – und insbesondere auch kleine und mittlere Unternehmen nicht

00:05:39: ausbremst.".

00:05:41: Regeln für künstliche Intelligenz, ich sag mal hier lokal oder national konkretisiert werden.

00:05:45: Gucken wir mal nach Brüssel denn die Frage ist eigentlich viel größer wie bleibt?

00:05:50: Europa im globalen Technologie wird über insgesamt handlungsfähig.

00:05:53: Zum EU-Gipfel vergangener Woche forderte der ECO ein klares Signal für mehr digitale Wettbewerbsfähigkeit, denn Europas Produktivitätslücke ist gewachsen.

00:06:02: bei Investitionen in künstliche Intelligenz dominieren außer europäische Akteure den Weltmarkt – das haben wir alle gehört.

00:06:08: Europa braucht laut ECO jetzt eine konsequent auf Wachstum und Innovation ausgerichtete Politik mit einer stringenten Digitalisierung von Wirtschaft, Verwaltung Und Gesellschaft, die Internetwirtschaft ist trotz gemein wirtschaftlicher Rezession ein stabiler Wachstumsmote und wächst stärker als die Gesamtwirtschaft.

00:06:25: Darf dieses Wachstum natürlich nicht ausbremsen.

00:06:27: Notwendig sind für die Internetwirtschaft weniger bürokratische Hürden, schnellere Genehmigung und klare verhältnismäßige Vorgaben.

00:06:34: Dann geht es schneller voran.

00:06:35: Der digitale Omnibus muss für konsistente und rechtssichere Rahmenbedingungen sorgen – insbesondere für die Entwicklung und das Training von KI-Systemen.

00:06:44: Gleichzeitig gilt es KI Halbleiter Cloud Infrastrukturen und Rechenzentren strategisch zu stärken um Europas technologische Handlungsfähigkeit zu

00:06:52: sichern.".

00:06:53: Für die politische Ebene über Wettbewerbsfähigkeit und strategische Souveränität diskutiert wird, ist ein Faktor dafür längst entscheidend nämlich die digitale Resilienz.

00:07:04: Der aktuelle Eco-Bronchen-Pulse anlässlich der Münchner Sicherheitskonferenz zeigt ein differenziertes Bild unter IT-Experten.

00:07:12: Rund zwei Drittel der befragten IT-Entscheiderinnen bewerten das Cyber-Sicherheitsniveau in Deutschland tatsächlich als gar nicht so schlecht, fifty-fünfzig Prozent stufen es als mittelmäßig ein, neun Prozent sogar als hoch bis sehr hoch – nur etwa einen Drittel hält ist für niedrig bis sehr niedrig!

00:07:30: Professor Norbert Polmann, Vorstand für IT-Sicherheit im ECO betont in den Unternehmen erleben wir keinen Alarmismus sondern eine sachliche Auseinandersetzung mit realen Bedrohungen.

00:07:40: Investitionen in Sicherheitsarchitekturen wirkten auch, wenn die Bedrohungslage angespannt bleibt.

00:07:46: Als größte Herausforderungen nennen sie befragten eine schwache Sicherheitskultur veraltete IT-Systeme und eine langsame Gesetzgebung.

00:07:54: ECO fordert deshalb verlässliche Rahmenbedingungen, Investitionssicherheit und eine Stärkung digitaler Infrastrukturen.

00:08:01: Zudem spricht sich die Mehrheit der IT-Entscheiderinnen für europäisch abgestimmte Maßnahmen aus – ein klares Signal also Lösungen statt nationaler Alleingänge auch beim Thema IT-Sicherheit.

00:08:14: So und damit kommen wir zum heutigen Thema die Resilienz der deutschen kritischen Infrastrukturen.

00:08:21: Ja, und zum Einstieg betrachten wir das Kritisdachgesetz aus Sicht der Internetwirtschaft

00:08:26: im Gespräch.

00:08:27: Heute geht es ja um den Schutz kritischer Infrastrukturen und um die Frage, ob das Kritis-Dachgesetz uns tatsächlich resilienter macht oder vor allem die ganze Sache regulatorisch komplexer.

00:08:38: Ich freue mich sehr dass Klaus Landefeld mal wieder Zeit hat dabei zu sein.

00:08:40: im Ohr am Netz.

00:08:42: Vorstand Infrastruktur Netze beim ECO.

00:08:44: Ja, und da steht die Frage jetzt im Raum lieber Klaus.

00:08:47: Mehr Sicherheit oder eher mehr Bürokratie?

00:08:49: Herzlich willkommen schön dass du dabei bist.

00:08:51: Danke Sven!

00:08:52: Ich bin auch gerne dabei.

00:08:53: natürlich ja ist auch genau mein Thema.

00:08:55: ich beschäftige mich schon seit Jahren mit diesem Thema Schutzkritische Infrastrukturen.

00:09:00: Okay,

00:09:00: also jetzt gehen wir mal zurück auf Anfang des Jahres.

00:09:03: Ja, Stromausfall in Berlin über mehrere Tage meine Mama war betroffen ist dann bei uns untergekrochen.

00:09:08: Wir sind ja hier in Kleinmachnung im Brandenburgischen waren also genau nicht betroffen von diesem Strom auswahl.

00:09:13: aber das hat deutlich gezeigt wie verwundbar unsere Gesellschaft ist Schon an so einem, ich sag mal relativ alten Ding wie der Stromversorgung.

00:09:20: Ziehen denn aus deiner Sicht Politik und Verwaltung aus solchen Vorfällen aktuell die richtigen Schlüsse für den Kritischutz?

00:09:26: Ja

00:09:26: also grundsätzlich hat die Politik ja mit dem Kritis-Dachgesetz unter Jugendrichtlinien, die das ja eigentlich nur umsetzt schon vor Jahren eigentlich erkannt wir müssen da was tun dass es gibt in einer gehörte Gefährdungslage Sabotage Bedrohungen jetzt durch fremde Mächte usw.

00:09:41: Und das genau soll ja umgesetzt werden mit dem Gesetz.

00:09:43: Jetzt ganz aktuell, das was wir jetzt in Berlin hatten ist natürlich problematisch.

00:09:47: Weil irgendwelche Gruppen haben hier so eine Art Terroranschlag produziert haben.

00:09:52: aber das was die Politik da momentan macht mit den Entschließungsanträgen von den Regierungsfraktionen und so hat man wieder nicht richtig verstanden dass eigentlich das Problem ist wie man vorgeht dass man erstmal Resilienz schaffen muss.

00:10:03: dabei hilft es auch nicht unbedingt wenn man jetzt sagt Infrastrukturen sollen wieder nicht mehr aufgelistet werden soll nichts zu finden sein weil wenn man sich die meisten Schäden anguckt weit überwiegend Detail der Schäden entsteht, zum Beispiel durch Bauarbeiten.

00:10:15: Wir nennen das so Hübsch-Baggerbiss und solche Geschichten wo also wirklich man eben gerade nicht wusste dass die Infrastruktur dort liegt.

00:10:22: es ist also gerade für Bauunternehmen z. B. elementar dass man weiß wo liegen die Infrastrukturen damit keine Schäde entstehen.

00:10:28: dem kann mich nicht damit begegnen dass ich sage man kann nicht mehr sehen wo diese infrastrukturen liegen.

00:10:33: Das ist auch sogar für Katastrophenschutz zu Feuerwehr und ähnliches.

00:10:36: Es ist elementar, dass man an diese Informationen rankommt.

00:10:38: wenn wir das nicht richtig abgeschichtet bekommen man im richtigen Moment nicht auf diese Informationen zugreifen muss, sondern einen ersten Auskunftsverfahren hätte oder so was ähnlich ist.

00:10:47: Das funktioniert nicht und das ist gefährlicher als wenn man jetzt wirklich diese Informationen ein bisschen öffentlicher hält.

00:10:53: Ja, absolut bin ich ganz bei dir.

00:10:54: Jetzt gibt es ja weitreichende Ausnahmen für Teile der Verwaltung aus dem Scope des Gesetzes.

00:11:00: wie beurteilst du das?

00:11:01: Also macht es Sinn zu sagen, dass zwar irgendwie auch kritische Infrastruktur aber nicht so kritisch und oder anders die kriegen sie eh nicht hin.

00:11:08: deswegen nehmen wir sie dann mal raus.

00:11:09: also ich verstehe den Hintergrundgedanken da nicht.

00:11:11: Das haben wir auch noch kritisiert.

00:11:12: Wir wollten eigentlich, dass die ganze Verwaltung drin ist.

00:11:14: Das ist ein bisschen zu kurz gedacht.

00:11:16: Der interessante Teil ist ja, dass Die Verwältigung eben aus dem was im Kritis-Dach gesetzt wird nicht komplett rausfällt, weil sie eben mit Teilen dir als kritisch betrachtet werden.

00:11:26: Trotzdem drin sind.

00:11:27: also dazu gehören zum Beispiel Leistungen für Sozialversicherung und Rundsicherungen oder Arbeitszugs- und solche Geschichten.

00:11:32: Die fallen immer darunter auch der Betrieb von Notrufleitstellen und ähnliche Geschichten.

00:11:36: das muss immer organisiert werden.

00:11:38: Mit diesem Teil fallen Sie auch drunter Und dann kriegt man wieder Abgrenzung Probleme natürlich wenn ich nur Teile der Verwaltung sichern muss und in des zu sie z.B.

00:11:45: mal vor dass man das ganze Unternehmen und die ganze Verwaltung dann sichern Muss.

00:11:49: aber wenn Teile sowieso drin sind Also, wir müssen mal gucken wie auch die Länder damit umgehen.

00:11:53: Einige Länder haben ja schon entschlossen dass sie auf jeden Fall dann doch komplett drin sind.

00:11:57: Jetzt müssen wir erstmal gucken wie sich das dann ausgestaltet.

00:12:00: also ganz draußen werden sie auf keinen fall sein.

00:12:02: so also bevor wir jetzt auf die ich sag mal das hoffentlich zusammen vielleicht auch gegenspiel zwischen niss zwei und kritis dach gesetzt kommen vielleicht noch einmal ganz kurz Bleiben wir beim Kritis-Dachgesetz.

00:12:11: So wie das jetzt ist, also es ist ja auch schon ein bisschen älter aber so wie dass jetzt angegangen und umgesetzt wird.

00:12:16: glaubst du das ist wirklich einen Paradigmenwechsel wenn's um den Schutz kritischer Instrukturen geht?

00:12:20: oder ist erst mal nur der Ordnungsrahmen damit dann endlich vorangehen kann?

00:12:24: Paradigmanwechsel

00:12:25: ich meine wir hatten ja die ganze Zeit schon eine KritisVO ne Umsetzung davon Und es ist für kritische Infrastrukturbetreiber nicht neu dass man die Infrastrukturen schützen muss.

00:12:33: Die Frage ist was muss denn jetzt eigentlich genau passieren.

00:12:36: Was muss gemacht werden?

00:12:37: Und da sehen wir eigentlich nicht, dass man mit dem nötigen Eifer daran gegangen ist wie man das Ganze eigentlich ausfüllt.

00:12:43: ja weil natürlich muss wenn man redundante residente Infrastrukturen baut dann sind das Aufwendungen.

00:12:49: Das sind erhebliche Investitionen die dabei kommen.

00:12:52: Das müssen jetzt unsere kritischen Anlagenbetreiber erfüllen.

00:12:55: Da sind noch ganz viele ECO-Members natürlich mit dabei und das hat in der Vergangenheit keiner freiwillig getan war es halt Geld kostet, sagen wir mal ganz platt wie es ist.

00:13:03: Und man muss sich natürlich da noch überlegen wenn man diese Aufwendungen mandatiert und das haben muss dann muss man sich damit auseinandersetzen was passiert in diesem physischen Bereich dass jetzt alles umgesetzt werden muss?

00:13:15: Da ist glaube ich noch eine riesengroße Lücke weil entweder wird man staatlich sagen okay wir springen einen Teil mit ein und das muss auf die Verbraucher umgelegt werden das nicht populär weil es potenziell zu höheren Versorgungspreisen führt.

00:13:28: Resilienz kostet halt Geld.

00:13:30: Und das ist eigentlich ein großes Problem, aber bewähren muss ich es auf jeden Fall erst noch.

00:13:33: Das ist im Moment noch nicht so ganz klar.

00:13:35: Aber

00:13:35: unter uns in so einer Situation, in der wir aktuell leben, wissen wir überhaupt genug darüber wie Resilience funktionieren kann?

00:13:41: Weil unter uns der Stromversorger, der das Kabel über die Kabelbrücke hatte, der hatte ja ein redundantes zweites Kabel.

00:13:47: Es ging nur eben an der gleichen Stelle über die gleiche Brücke.

00:13:50: also an einer Stelle wird's halt zumindest dann physisch sehr komplex.

00:13:54: oder

00:13:54: Das ist ja sehr populär für Berlin.

00:13:56: Es gab da schon mal ein paar Jahre einen Fall, wo über eine Brücke, auch in dem Fall war es aber dann eine Autobrücke Kabel geführt wurden so dass bei Bauarbeiten beides beschädigt wurde.

00:14:05: also das ist ein großes Problem.

00:14:09: eigentlich müssten diese Wege und man sagt immer so hübschach beriffs non-collaps legen also dass sie sozusagen nicht in einem oder nahe beieinander liegen sondern dass man die über wirklich physisch andere Wegführungen wollte.

00:14:20: nicht ein Unfall an der Bauarbeit oder sowas ähnliches das dann wirklich beschädigen kann.

00:14:24: Aber auch das hilft nicht immer, wir hatten vor einigen Jahren einen Fall wo ein offensichtlich mit großem Wissen ausgestatteter Angreifer dann bei der Bahn zwei Kabelwege zerstört hat die an völlig anderen Stellen in der Republik lagen und die wurden dann beide zerstörzt so dass da doch der Bahnverkehr zumal liegen gekommen ist.

00:14:41: also es hilft auch nicht immer wenn man wirklich relevante Strecken hat.

00:14:45: Okay, aber bleiben wir beim Kritis-Tachgesetz.

00:14:47: Wo sind aktuell die größten Risiken oder vielleicht auch Probleme dass die Umsetzung schnell in die Praxis kommt?

00:14:53: Ist es zu bürokratisch oder ist das mein Gesetz wo ich sage mal den auch Mitgliedsunternehmen klar ist was genau jetzt zu tun ist?

00:14:59: Die Unternehmen sind glaube ich da nicht so das Problem.

00:15:01: Es werden jetzt zwar sehr viel mehr kritische Unternehmen für die, gibt auch neue Branchen, die müssen sich erst mal damit auseinandersetzen.

00:15:08: Das wird noch im Moment dauern und haben aber einige Jahre Zeit für die Umsetzung.

00:15:12: Hier kann man eigentlich nicht sagen dass hier zu wenig Bürokratie ist.

00:15:16: Eigentlich müsste man hier mehr Bürokrate machen weil was wir brauchen an dieser Stelle sind tatsächlich Vorgaben was man schützen muss und was ein ausreichendes Maß an Schutz oder an Residenz-Rettonanz ist.

00:15:27: Und wenn man mit den Kritis-Unternehmen redet, dann ist der überwiegende Mehrheit davon an der letzten Umfrage, die wir mal gemacht haben.

00:15:34: Der Auffassung dass die gesetzlichen Vorgaben nötig sind und wirklich helfen.

00:15:38: Also das wurde damals beim IT-Sicherheitsgesetz zwei Null gemacht.

00:15:41: Und dass es also hilft, wenn man klare Vorgaben hat an dieser Stelle und sich nicht jeder irgendwas aus den Fingern saugen muss.

00:15:47: Das ist eine bisschen schwierige Abgrenzung davon.

00:15:49: Funktioniertes funktioniert es nicht.

00:15:50: die Unternehmen wissen ja im Prinzip schon was sie tun müssen um ihre Infrastrukturen zu schützen.

00:15:54: Die haben Beauftragte dafür.

00:15:55: wenn man sich ne Weile damit beschäftigt weiß natürlich auch was man tun kann und dass man tun muss.

00:15:59: aber wie gesagt wir brauchen auf jeden Fall klare vorgaben davon Was erreicht werden soll was erreicht werden muss weil mehr geht.

00:16:05: natürlich immer habe ich ein Generator mehr hab ich zwei Generatoren habe ich fünf Generatoren mehr oder was ist ich?

00:16:09: Zwei Wege, drei Wege.

00:16:11: Man kann immer mehr machen.

00:16:12: von daher muss man halt ganz klare Vorgaben

00:16:13: haben.

00:16:14: Ja, weil auch dieses Meer muss ja immer bezahlt werden und das muss ja an irgendeiner Stelle am Ende wieder wirtschaftlich sein.

00:16:19: Weil sonst ist es blöd!

00:16:19: Und wenn's zumindest ein, ich sag mal Mindestanforderung gibt an die sich alle halten müssen, dann ist zumindest der Wettbewerb an dieser Stelle da nicht verzerrt.

00:16:25: Jetzt kommen wir zu dem wundervollen Zusammenspiel aus verschiedenen Richtlinien und Gesetzen – das kennen wir ja schon, da gibts ja öfter mal ein bisschen Spaß.

00:16:32: Wie seht ihr das beim ECO in Sachen Crit des Dachgesetzes und NIST II?

00:16:35: Gibt´s da Probleme?

00:16:36: Überschneidungen?

00:16:38: Macht es die ganze Sache komplizierter oder harmonisiert es eventuell die Branche?

00:16:41: Was ist da dein Blick auf diese Sache?

00:16:43: Also ich meine, NIS-II bezieht sich ja mehr auf Cyber-Sicherheit und drittens DG mehr auf physische Sicherheit von Infrastrukturen.

00:16:49: Von daher ist die Überschneidung da nicht ganz so hoch.

00:16:52: Das größte Problem was wir hier sehen ist jetzt tatsächlich in dem Bereich.

00:16:55: Wir haben eine Aufsichtsbehörde mehr, BBK Die das jetzt überprüfen soll, überwachen soll Und als Telekonexionsanbieter haben wir es sogar drei.

00:17:02: Wir haben BBK, wir haben BSI und die Bundesnetzer-Gentur natürlich noch mit am Start.

00:17:07: Wenn sie sich nicht einig werden, die müssen jetzt natürlich das klar trennen.

00:17:11: Klar weiß, mit welchem Teil geht man zu wem.

00:17:14: Und wenn die sich anfangen würden zu streiten, wer hat jetzt den größeren Hut auf?

00:17:17: Wer kann uns besser regulieren an welcher Stelle.

00:17:19: Dann kriegen wir wirklich Probleme aber müssen noch mal gucken wie das läuft.

00:17:22: dass sie sich manchmal nicht so gut abstimmen können haben wir jetzt gerade wieder bei dem Meldeportal gesehen.

00:17:26: da ist BBK und BSI in einem Meldaportal.

00:17:29: die Bundesnetzler gehört ein eigenes Meldiportal.

00:17:31: man kriegt sich nicht immer abgestimmt.

00:17:32: sagen was man so und Das ist für uns das größte Problem in der Harmonisierung Dass wir da unterschiedliche oder vielleicht sogar mit den europäischen Teilen sich noch angucken Die NISA es wieder am arbeiten macht eigene Vorschriften Wenn da am Ende noch Konflikt Also irgendwas kommt, wo Konflikt fordental besteht.

00:17:47: In dem was wir uns national ausgedacht haben und was in Europa runterkommt dann wird es natürlich unschön!

00:17:52: Ansonsten geht es eigentlich her.

00:17:53: So, jetzt gibt's auch weitere Unsicherheiten zum Beispiel die noch ausstehende Rechtsverordnung zu kritischen Dienstleistungenanlagen und Schwellenwerten.

00:18:00: Wie sinnvoll ist es dass die Bundesländer nach der Änderung sozusagen im Rahmen des parlamentarischen Verfahrens jetzt die Möglichkeit haben so ein eigenständig festzulegen welche Anlagen als kritisch gelten?

00:18:09: Und welche nicht?

00:18:10: also sollten da nicht irgendwie bundesweit gleiche Regularien gelten.

00:18:14: Es sollten auf jeden Fall bundesweit gleiche Regularien gelten.

00:18:17: Grundsätzlich ist aber so die alte Kritis-VO, die wir hier haben, die gilt ja weiter bis die neue Verordnung kommt.

00:18:22: Von daher gibt es erst mal keine rechtliche Unsicherheit.

00:18:28: Jahre, wenn man sich die Übergangsfristen alles anguckt bis die neue Verordnung kommt und in Kraft treten kann.

00:18:33: Und da ist es also von zwei bis vier Jahren von denen momentan ausgegangen wird bevor das da ist.

00:18:37: ob das dann noch so passt?

00:18:39: Ob sich in der Zwischenzeit vielleicht auch irgendwas verändert oder so?

00:18:41: Das wissen wir jetzt noch nicht.

00:18:42: Es sind halt wirklich sehr lange Zeiträume, wenn ich angucke dass geopolitisch momentan passiert dass die Bundesländer da was machen können.

00:18:49: Das ist auf der einen Seite natürlich unschön, wenn sie sich nicht halbwegs abstimmen.

00:18:52: Dass es aber eine gewisse Regulierung an gewissen Druck gibt das tatsächlich auch regionaler zu regeln – das is so!

00:18:59: Also wenn man sich anguckt wie sind die Aufgriffsschwellen bundesweit?

00:19:02: und dann guckt man sich manche Landkreise an zum Beispiel oder auch in manchen Bundesländern sind die Versorgern sehr viel kleiner weil es dort insgesamt sehr viele weniger Einwohner gibt.

00:19:11: Da ist schon hilfreich, dass ein Bundesland sagt naja bei uns ist dieser Versorger aber elementar Der versorgt den großen Teil der Bevölkerung, auch wenn er dann vielleicht nur was bei sich hunderttausend und nicht vierhunderttaußen Leute versorgen.

00:19:23: Und deswegen ist es schon sinnvoll dass man in Teilen regional oder lokaler sagen kann hier für unseren Landstrich ist es wichtig das der und der noch dazugehört und da etwas benannt werden kann.

00:19:32: aber die Standardkriterien sollten natürlich trotzdem immer die gleichen sein und vor allen Dingen auch dann was dann umgesetzt werden muss vom Betreiber sollte das gleiche sein.

00:19:40: blöd würde es wirklich also richtig blöd wird die Bundesländer anfangen würden, weit abweichende Vorschriften dazu machen.

00:19:47: Was dann eigentlich umgesetzt werden muss von den Anbietern, die dann halt darreguliert werden sollen?

00:19:51: Okay

00:19:51: jetzt kommen wir mal dahin zu dem was denn umgesetzt werde sollte.

00:19:54: das muss ja vorher erst einmal formuliert werden beziehungsweise ausgearbeitet werden.

00:19:58: aus eurer Sicht wer sollte da auf jeden Fall mit am Tisch sitzen.

00:20:01: ich vermute mal definitiv die betroffenen Branchen und wahrscheinlich auch die Betreiber kritischer Infrastrukturen, die dies Jahrzehnte lang machen oder

00:20:08: Ja, auf jeden Fall.

00:20:09: Das haben wir auch in anderen Ecken... Also das ganze gibt es ja schon lange.

00:20:12: Es gibt eine Gruppe die da schon lange dran arbeitet und in diesem Bereich sind historisch immer sogenannte B-III erarbeitet worden ist den branchenspezifischen Standards, die von der Branche herarbeitet werden.

00:20:23: Die werden dann vorgelegt und wurden dann in diesen Bereich wenn sie dann erst mal genehmigt so dass also die Behörden noch sagen Aja super!

00:20:30: Ist ein guter branschenspezifischer Standard und dann gilt der für alle.

00:20:33: Und so ähnlich muss es hier auch sein.

00:20:34: Das kann jetzt nicht von staatlicher Seite reinmandatiert werden sondern es müssen sich wirklich die Verbände, die Unternehmen müssen sich daran beteiligen.

00:20:41: Das steht aber auch schon so im Gesetz.

00:20:42: ja, das ist im Montag, Grafizien ist geregelt worden dass in einem kooperativen Ansatz erarbeitet und verankert wird und dann auch also diese nationale Strategie zum Schutzkritischer Infrastruktur sieht es auch so vor.

00:20:52: Also kann nicht sein, dass jetzt der Staat hier was macht, das müssen wirklich die Unternehmen beteiligt werden mit am Tisch sitzen und eben jetzt dieses Standards und das was üblich ist und was man machen muss, das muss zusammenarbeiten Ja, ganz klar.

00:21:03: Das klingt ja schon mal ein bisschen positiver als viele andere Themen über die wir hier bereits sprechen dürfen.

00:21:07: wenn es um Regulierung geht also Regulierungen zum Schutz kritischer Infrastrukturen ist a- sinnvoll b von den Betreibern kritische Infrastruktur durchaus gewünscht c jetzt so verankert dass auch die sich wirklich damit auskennen damit entscheiden was denn eigentlich später wie reguliert werden soll.

00:21:23: lass uns doch mal bisschen in die Zukunft gucken so vielleicht zu zwei drei Jahre in die zukunft.

00:21:27: was wären so Parameter wo du sagst na daran sehen wir jetzt das es wirklich zu mehr Resilienz führt und eben doch nicht zu einer unnötigen Regulierung oder zur, ich sag mal total schwammigen Auslegung dieses Dachgesetzes.

00:21:38: Müssen wir mal schauen.

00:21:39: ja im Gesetz steht drin es soll in zwei Jahren schon evaluiert werden.

00:21:42: das ist natürlich lustig wenn die Unternehmen drei Jahre Zeit haben überhaupt ihre Konzepte vorzulegen um die umgesetzt zu haben.

00:21:47: also was sich dann evaluieren kann schon ist da so ein bisschen der gute Willen.

00:21:51: müssen wir mal gucken wie die freiwillig schneller umsetzen sind.

00:21:54: dann das kann man vielleicht schon gucken.

00:21:56: oder man kann gucken ob die Vorschriften oder die veränderten oder erweiterten Vorschrift alle rechtzeitig gemacht worden sind, aber ob sich wirklich was getan hat wird man nach zwei Jahren noch nicht sehen.

00:22:05: Drei vier Jahre dann kann man vielleicht anfangen zu sehen wie haben die Unternehmen das umgesetzt?

00:22:09: Ob es wirklich etwas bringt also ob die Vorschriften erfolgreich waren.

00:22:13: dass werden wir wahrscheinlich in noch sehr viel längeren Zeiträumen fünf bis zehn jahren erst sehen wenn die nächste große Krise da war oder so was ähnlich oder auf die kleinen Krisen vorher... Also ob die Resolvenzstrategien die Neuen angreifen sehen wir dann.

00:22:25: Bis dahin gilt denn eigentlich solange wir nix sehen Sehen wir, dass es funktioniert.

00:22:29: Blöd ist immer wenn wir Dinge sehen wie jetzt hier in Berlin wo einfach mal denn sich tausende Haushalte ohne Strom sind oder ähnliche Schwierigkeiten.

00:22:36: Klaus Landefeldes Vorstand Infrastruktur Netze beim Eco.

00:22:38: mit ihm habe ich gesprochen über das kritis Dachgesetz und die kommende Umsetzung Und auch so ein bisschen über des thema NIST.

00:22:45: zwei wieder ganz das ganze Zusammenspiel funktionieren kann.

00:22:47: Klaus vielen Dank.

00:22:48: Ich bin ja guter Dinge weil ich weiß ihr seid dran und wir werden uns bestimmt zu diesem Thema Auch im zukunft hier das eine oder andere Mal wieder hören.

00:22:56: Ja, ich denke das Gespräch zeigt die Zielrichtung des Gesetzes ist... Unstrittig.

00:23:00: soweit.

00:23:01: Die Resilienz kritischer Infrastrukturen ist sicherheitspolitisch und wirtschaftlich zentral.

00:23:07: offen bleibt jedoch, ob die Umsetzung ausreichend harmonisiert erfolgt oder ob parallele Pflichten unklare Schwellenwerte und föderale Sonderregelungen hier neue Komplexität erzeugt.

00:23:18: Besonders sensibles Feld im Kritiskontext ist ja auch der Schutz digitaler Infrastruktur vor den sogenannten DDoS-Angriffen also Websites, Plattformen und digitale Dienste sind längst keine bloßen Informationsangebote mehr, sondern Geschäfts- und versorgungskritische Systeme.

00:23:33: über aktuelle Bedrohungslagen und strukturelle Schwachstellen habe ich mit Lisa Fröhlich gesprochen.

00:23:37: Sie ist Unternehmenssprecherin beim IT-Sicherheitsanbieter LinkEleven.

00:23:43: Seit Mai, zwanzig zweiundzwanzig verstärkt die erfahrene Kommunikationsexpertin Lisa Fröhlich das Team von LinkEleven.

00:23:48: Bei dem globalen IT-Sicherheitsanbieter verantwortet sie als Unternehmenssprecherin den Bereich Corporate Communications.

00:23:54: Ende zwanzich dreiundzwzig rief sie zudem den IT Security Podcast Follow the White Rabbit ins Leben.

00:23:59: Mit ihr spreche ich heute darüber warum klassische Denial of Service Attacks Methoden heute gefährlicher sind denn je und weshalb der Schutz kritischer Infrastrukturen genau hier vor Beginn an mitgedacht werden muss.

00:24:11: Herzlich Willkommen im Ohr am Netz Also quasi mal im anderen Podcast.

00:24:14: Hallo Lisa.

00:24:15: Hallo Sven, vielen Dank für die Einladung!

00:24:18: Ja es freut mich dass ich da sein darf.

00:24:20: Sehr sehr gerne.

00:24:20: Kritis ja also die kritischen Infrastrukturen der Schutz von denen wird oft erst immer dann ernst genommen wenn konkrete Angriffe stattfinden.

00:24:28: wo müsste denn aus deiner Sicht früher angesetzt werden?

00:24:31: Also wie zum Beispiel bei der Architektur von Websites oder bei digitalen Geschäftsmodellen oder bei regulatorischen Anreizen um so eine Denial of Service Attacks also sozusagen den Großraumangriff mit ganz vielen Anfragen zu reduzieren oder vielleicht sogar sie dann nicht mehr abwehren zu müssen, weil sie gar nicht erst passieren.

00:24:48: Ja zum einen ist es eben so kritis stehen halt gerade jetzt besonders im Fadenkreuz, was DEDOS-Angriffe angeht.

00:24:56: Weil Kritis natürlich als kritische Infrastruktur auch eine besondere Bedeutung für die Gesellschaft hat.

00:25:01: und wir sehen seit dem Start des Ukraine-Ruslandkonflikts das Krieg ist in der Ukraine, sehen wir eine deutliche, deutlichen Zunahme an politisch motivierten DEDAS Angriffen exakt auf kritische Infrastrukturen.

00:25:14: Die haben vielleicht in den Regeln nicht immer großen Schäden am Ende des Tages sie sind aber trotzdem etwas dass eben bestimmte Systeme stört oder bestimmte Abläufe stört, da Reputation schaden kann.

00:25:27: Und inzwischen sehen wir auch eine deutliche Zunahme der Professionalität dieser Angreifer weil eben gerade in den letzten Jahren die Grenzen zwischen den Angreifern, die vor allem finanziell motiviert unterwegs sind.

00:25:39: Also so klassische Cyberkriminelle und die, die sozusagen an einen Staat angeknüpft sind, so State-affiliated Actors, die Grenze verschwimmen immer mehr.

00:25:47: Und es ist ebenso das Kritis ja per se anders reguliert sind als jetzt privatwirtschaftliche Unternehmen beispielsweise.

00:25:54: Deswegen haben sie natürlich andere regulatorische Voraussetzungen, die Sie erfüllen müssen auch im Hinblick auf DDoS Angriffe.

00:26:00: da ist jetzt nur Dienst zwei zu nennen oder das Kritis-Dachgesetz.

00:26:04: Und wir haben ja auch gesehen, dass Kritis nicht nur von, sag ich mal Angriffen aus dem Cyberraum sondern eben auch von tatsächlichen Hybridenangriffen betroffen sein kann oder wie beim Stromausfall in Berlin gesehen... Da

00:26:15: reicht ein Streichholz.

00:26:16: ne?

00:26:16: Da reicht im Grunde ein Streichenholz weil eben auch in Teilen der physische Schutz von kritischer Infrastruktur gerade was so dezentrale Netze wie unsere Stromversorgung angeht ja nicht immer überall per se perfekt gewährleistet werden kann.

00:26:31: Zum einen.

00:26:31: Es ist eben so, wo müsste früher angesetzt werden?

00:26:34: Also es ist tatsächlich so dass ja viele kritische Infrastrukturen nicht unbedingt per se digital geplant wurden.

00:26:41: Kritische Infrastruktur haben häufig also wenn ich jetzt beispielsweise Energieversorger als kritischer Infrastruktur.

00:26:47: wir können jetzt mal zwei drei Beispiele

00:26:49: richten.

00:26:49: Kritisch Infrastruktur, Energieversorger Dezentrales Netz viel OT also viel Operational Technology die dann sozusagen nach und nach immer digitaler wird, das heißt ich habe quasi einen Zyklus in der Operational Technology von dreizig vierzig Jahren.

00:27:07: Von den Dingen die da irgendwie laufen hab aber dann irgendwie nach zwanzig Jahren oder nach fünfzehn jahren oder nach dreißig Jahren Flanschichter irgendwas IT mäßiges dran weil IoT für industrielle Anlagen und so ist ja super schick und super fancy und remote Fernwartung etc.

00:27:22: pp.

00:27:22: jetzt Flanshichter irgendwie IT dran und oft ist es ja so, dass der Perimeter Schutz ... Der wird dann durchlässig.

00:27:29: Weil je mehr Teile ich da dransetze desto mehr Löcher gab ich in diese Burgmauer.

00:27:36: Und desto

00:27:36: besser vermeintlich Sicherheitslücken entstehen.

00:27:39: wenn ein neues System dazukommt muss wieder ein System mit anderen interoperieren oder sogar kompatibel laufen.

00:27:45: das sind immer potentielle Löcher.

00:27:47: klar

00:27:47: Das sind potenzielle Löcher und mehr als ein Nadelöhr brauchen die Angreifer nicht.

00:27:51: Jetzt ist es eben so, die Energieversorger sind jetzt vielleicht per se nicht unbedingt in ihren dezentralen Netzen von DDoS-Angriffen betroffen aber sie sind beispielsweise auf ihren Webseiten.

00:28:01: Sie betreiben vielleicht einen Kundenportal.

00:28:02: also ich mache das Strom ablesen oder meinen Gaszähler eintritt.

00:28:05: Das mach' ich alles online da geht... Da kommt keiner mehr und guckt auf mein Zähler.

00:28:09: Ich kann dann Foto hochladen und das fertig.

00:28:11: Also im Grunde dass is eben sozusagen eine Angriffsfläche für DDoOS-Angriffe.

00:28:15: ganz

00:28:15: kurz an der Stelle weil du bist Ist ja der Experte in dieser, so eine Sachen wie so eine Website-Kundenportal sind die denn durch die besonderen Kritisregeln überhaupt mit abgedeckt?

00:28:24: Also müssen auch die Websites und Kundenportale von Anbietern kritischer Infrastrukturen diese Sachen auch sicherer machen als alle anderen.

00:28:32: Oder ist es da außen vorgenommen, weil's eigentlich um den Schutz der Anlagen geht?

00:28:35: Naja also ich glaube es gibt halt Unterschiede.

00:28:38: NIST II sagt definitiv wir brauchen DEDOS-Schutz auf den Systemen die wir zur Verfügung stellen.

00:28:45: welche Systeme oder welche Anwendungen das sind glaube ich ist dann nicht näher definiert.

00:28:49: Es geht ja auch um die sozusagen um die operationelle Resilienz und um die Business Continuity.

00:28:55: Also wenn so zu sagen natürlich bekomme ich weiterhin Strom geliefert, auch wenn das Kundenportal der Webseite meines Energieversorgers nicht mehr funktioniert.

00:29:04: Gleichwohl hat der Energieversorger dennoch einen Schaden.

00:29:07: Absolut!

00:29:08: Es sind Reputationsrisiken.

00:29:09: die Leute vertrauen vielleicht dem Ganzen nicht mehr so wie vorher also... Das stiftet

00:29:13: mindestens erst mal unruhe

00:29:14: ist löst eben ich will nicht sagen Panik im IT-Raum aus, weil natürlich auch das erst mal gehändelt werden muss.

00:29:21: Und die Frage ist natürlich wie viele Menschen stehen intern zur Verfügung wenn jetzt nicht automatisierter Schutz vorhanden ist oder eben sozusagen mit Devices im eigenen Netzwerk gearbeitet wird?

00:29:32: Häufig sehen diese IT Abteilungen ja so strukturiert aus, dass sie drei Leute per se haben die nur für IT Security verantwortlich sind.

00:29:42: Also das ist ja im Zuge von Fachkräftemangel ein bisschen schwierig.

00:29:45: Das Risiko ist dann wahrscheinlich, dass die Leute, die erstmal auf die wichtigen Sachen gucken, dann bei so in Anführungszeichen harmlosem Quatsch einfach mal an den wichtigen Stellen weggucken um da zu helfen oder da was zu fixen und man potenziell denn wieder eine Art Sicherheitslücke schafft.

00:29:59: Einfach durch die Unruhe, die gestiftet wird.

00:30:01: und ich meine wenn Hectic drin ist Zeitdruck macht immer potentielle Fehlerquellen.

00:30:05: also das versteh' ich sehr gut.

00:30:06: Das wird dann sehr schnell sehr riskant

00:30:09: Ja vor allem weil DEDOS auch zugegebenermaßen häufig als Abwehrmaßnahme eingesetzt wird Weil es eben immer noch also DEDAS feiert dieses Jahr Ich sage immer dreißigjähriges Jubiläum Also der einer der ersten DEDOs Angriffe Der medial bekannt war von

00:30:26: Okay, also wann sollte man wie was tun damit sie nicht mehr funktionieren?

00:30:29: Also wo ansetzen und wie verhindern.

00:30:31: Ja als allererstes würde ich mal den Unternehmen und den kritischen Infrastrukturbetreibern sagen kümmern euch um eure Basics weil Das ist definitiv ein absolutes Fundament in puncto Cyber-Sicherheit.

00:30:42: und da reicht es vielleicht auch nicht immer nur, einen Häkchen in der Checkbox für die Compliance-Kompatibilität zu machen.

00:30:49: Sondern dann sollte man sich vielleicht damit beschäftigen wie sind sozusagen meine Web Services aufgebaut?

00:30:55: Also eine Webseite, die von Anfang an clever gebaut ist kann eben mehr Stress verkraften.

00:31:00: Es ist eben so wenn wir jetzt noch mal auf so ein Portal schauen, es hängt dieses Portal sozusagen beckend dran, an dem beispielsweise Mitarbeiter auch arbeiten.

00:31:11: Oder ist es getrennt voneinander?

00:31:14: Wie ist das Netzwerk segmentiert?

00:31:16: Weil dann kann ich wenn vorne viel los ist können hinten immer noch die Mitarbeitenden trotzdem arbeiten.

00:31:20: Also wenn die Website mal down ist... wird nicht im System, in der täglichen Arbeit der Mitarbeiter ein Problem entstehen.

00:31:26: Ja

00:31:26: genau zum Beispiel aber je nachdem wo diese ganzen Dinge aufgehängt werden weil mittlerweile sind die Angreifer ja so sie suchen sich ja gezielt bestimmte Ports auch aus und die wissen ganz genau dass hinter Port XYZ nicht nur eine Website hängt sondern vielleicht auch ne Datenbank oder ne Api.

00:31:44: also mittlerweile ist ja alles mit Schnittstellen miteinander verbunden und dieser Apis geraten zunehmend ins Visier

00:31:50: Ist es auch sozusagen einer der aktuellen häufigsten Angriffe, also verändert sich sozusagen der DEDOS-Angriff in diese Richtung?

00:31:57: Ja, DEDO ist ja nach wie vor immer noch ein volumetrisches Thema.

00:32:01: Also diese ganz klassischen großen Angriffe – wie wir sie jetzt kürzlich gesehen haben bei Cloudflare beispielsweise – die haben jetzt den ersten Angriff über dreißig TheraBit die Sekunde abgewährt.

00:32:10: Das ist eine wahnsinnige Menge!

00:32:12: Das kann man kaum noch auffangen in Anführungsstrichen, wenn man da nicht entsprechend abgesichert ist.

00:32:16: Weil die meisten Unternehmen haben irgendwie eine hundert Gig Leitungen.

00:32:20: also ne?

00:32:21: Wir Privatpersonen haben vielleicht ein Gigabyte oder einen Gigabit mit Glasfaser und die großen Unternehmen haben vielleicht zehnhundert je nachdem wie sie aufgestellt sind.

00:32:29: Und wenn er so einer Attacke kommt dann ist auch die größte Leitung relativ schnell zu.

00:32:34: wir sehen aber in der Tat Obwohl diese Angriffe auf Layer drei, vier also auf Netzwerkebene und auf der Transportebene nach wie vor Dominanz sind.

00:32:44: Sehen wir immer mehr Angriffen die ganz speziell eben auf der Anwendungsebene als auf Layer sieben stattfinden.

00:32:51: Und die sind natürlich auch viel schwieriger zu detektieren weil wir im Netz mittlerweile mehr als fünfzig Prozent Bots haben ja und es ist eben wichtig dass quasi Webseiten erkennen können.

00:33:03: ist das jetzt ein Menschlicher User oder ist das ein Bot?

00:33:06: und mittlerweile gelingt es den Angreifenden aber sehr gut, den Traffic so zu tarnen.

00:33:12: Und so zu modifizieren oder so eben zu orchestrieren.

00:33:15: Das ist sehr lange zum Teil dauert bis überhaupt klar ist dass ist ein Angriff.

00:33:20: Es gibt auch verschiedene Angriffsmethoden.

00:33:22: also es gibt unterschiedliche.

00:33:25: Beispielsweise es gibt die Low and Slow Methode.

00:33:27: Das heißt, es sind wenig Anfragen aber dafür werden relativ viele Anfragen an den Server gestellt und sie werden einfach offen gelassen.

00:33:35: und immer dann wenn der Server meint oh jetzt ist die Anfrage schon ganz schön lange offen.

00:33:39: ich glaube Ich mache hier mal sozusagen die Tür wieder zu.

00:33:43: Dann meldet sich der vermeintliche User und sagt Hallo!

00:33:45: Ich bin trotzdem noch da und warte noch ein bisschen nicht antwortet ihr gleich.

00:33:49: Also und wenn ich sehr viele solcher kleinen Anfragungen eben auf bestimmte Systeme richten werden die langsamer dann verstopft ist.

00:33:57: auch die leitung.

00:33:58: da gibt es ganz viele unterschiedlichen taktiken die eingesetzt werden und wir sehen verstärkt auch hybride angriffe also wo eben sowohl die infrastruktur und den netzwerkebene angegriffen wird als auch die anwendungsebene.

00:34:11: und dann wird halt wirklich komplex und wir sehn immer mehr das eben an griff während des angriffs selber Anwärmaßnahmen angepasst werden können.

00:34:21: Das heißt, da ist halt eine gewisse Intelligenz dahinter und eine gewissen Automation das eben Angreifer in der Lage sind künstliche Intelligenze sei Dank eben auch während des Angriffs einfach Angriffsektoren zu rollieren Und dann zu schauen nach zwei zehn fünfzehn Sekunden, das funktioniert nicht.

00:34:40: Ich nutze eben andere Vektoren und versuche es auf eine andere Art und Weise.

00:34:43: schon

00:34:44: krass also heißt dedos attacken werden dieses Jahr mindestens dreißig Jahre alt sind aber eine aktuelle Bedrohung und gefährlicher der nie.

00:34:51: dank eben sowas wie zum beispiel künstliche Intelligenz.

00:34:54: so kann also ich sage mal ganz plat jeder vollidiot auch einen wirklich gefährlichen angriff starten.

00:34:59: das passiert überall auf der welt im gesamten internet.

00:35:01: aber besonders gefährlich ist es natürlich bei kritischen infrastrukturen.

00:35:05: Wer ist in der Verantwortung?

00:35:06: Wer muss sozusagen dafür Sorge tragen, dass eine gewisse DDoS-Resilienz entsteht bei den kritischen Infrastrukturen oder diese ausgebaut wird.

00:35:15: Weil es klingt schon so als würde die Bedrohung tendenziell eher zunehmen und sich nicht – obwohl wir alle dickere Leitungen haben und auch viel schlauere IT entspannt sich nicht.

00:35:24: Ja also das zwei ist da ziemlich deutlich.

00:35:27: verantwortlich ist die Geschäftsführung.

00:35:29: Also die können sich dann nicht mehr rauswinden

00:35:31: Und die Geschäftsführung muss auch verstehen, dass Webseiten durchaus auch in geschäftskritischer Teil der Infrastruktur sein können.

00:35:38: Das haben wir jetzt ja mehrfach besprochen?

00:35:39: Ja es hängt so ein bisschen damit zusammen.

00:35:41: eben ich sage mal wie sieht die Resilienz an der Webkante aus?

00:35:45: also das geht nicht nur um die Resilienz im Sinne von Totalausfall ja oder nein sondern es geht eben auch um die Frage und das ist für mich auch noch so eine Frage, die in Teilen auch noch offen ist.

00:35:57: Es hängt ja also ein bisschen an der Frage wie werden Risiken auf Web-Anwendungen hinsichtlich der Compliance Richtlinien oder hinsichtlich NIST II im Risikomanagement bewertet?

00:36:09: Weil wie bewerte ich es hinsichtig der Risiken wenn meine Website beispielsweise noch funktioniert?

00:36:15: aber wenn ne Kernfunktion meiner Webseite wie zum Beispiel Davon ausgehen alle Menschen, wir können nicht mehr einkaufen.

00:36:23: Wir müssen alles bei Rewe online bestellen und dann funktioniert die Webseite.

00:36:26: ich schieb alles in den wahren Korb aber dann kann ich nicht bezahlen.

00:36:30: Dann ist die Website ja nicht per se komplett down.

00:36:33: Aber die Funktion die ich brauche Ist kaputt.

00:36:36: Und wie wird so eine Funktion oder Dieser Teilausfall bewertet im Risikomanagement.

00:36:42: Weil verantwortlich dafür ist definitiv die Geschäftsführung, die müssen sich die Gedanken darüber machen welche Risiken wollen wir wie mitigieren?

00:36:50: Welche können wir tragen?

00:36:51: Welchen wollen wir sozusagen versuchen auf Genull zu reduzieren?

00:36:55: weil ich mein hundertprozentige Sicherheit gibt es einfach nicht.

00:36:58: das ist einfach so dass kann man nicht alles wegschieben.

00:37:01: Und gleichwohl ist es eine spannende Frage, wie gehen kritische Infrastrukturen damit um?

00:37:05: Je nachdem wo ihre kritischen Geschäftsmodelle oder kritischen Systeme, kritischen Prozesse sind, um eben die Geschäftskontinuität aufrecht zu erhalten.

00:37:16: Gerade bei kritischer Infrastruktur ist das ja enorm wichtig!

00:37:19: Also wenn ich mir Krankenhäuser angucke – es gab letztendlich irgendwie wieder ein Fall in Hessen – da ist ne Notfallaufnahme zugemacht worden weil die IT ausgefallen ist war jetzt kein Angriff aber sie ist einfach ausgefallen.

00:37:32: Und das ist ja entscheidend in so Situationen, wo im Grunde es geopolitische Konflikte gibt und wenn diese zunehmen – und wir geraten da immer mehr ins Fadenkreuz!

00:37:42: Wir sind was den Cyberraum angeht schon lange nicht mehr in Friedenszeiten, also da ist richtig richtig Feuer im Kessel.

00:37:50: Das betrifft ja nicht nur Spionage, das betrifgt nicht nur sozusagen wo klauen wir Informationen sondern es geht auch wirklich darum eben wie du schon am Anfang gesagt hast Unruhe zu stiften und die Menschen zu verunsichern.

00:38:02: Und wenn ich in der Zeitung lese dass die Notfallaufnahme im örtlichen Krankenhaus da niederliegt aus welchen Gründen auch immer dann bin ich ja schon beunruhigt weil ich weiß wo geht's hin wenn mir was passiert.

00:38:15: Und ich sage mal so aus operativer Sicht ist es eben wichtig, dass eben ein Gesamtkonstrukt entsteht was das Risikomanagement betrifft und dass eben auch solche vermeintlich in einfach Strichen lästigen Cybervorfälle wie eben Ledos Angriffe mit mit in dieses ganze Thema einfließen und berücksichtigt werden, weil eben unterschiedliche ja ich sage mal unterschiedliche Themen können sich auch eben unterschiedlich auswirken.

00:38:43: Weil es geht eben auch so ein bisschen darum das bestimmte Portale im Kritis-Umfeld ja zunehmend auch als primäre Schnittstelle für die Versorgung Gültig sind.

00:38:53: Und es wird

00:38:53: zunehmend, ganz klar?

00:38:55: Ja natürlich weil immer mehr digitalisiert wird und das ist eben so.

00:38:59: die Webseite war früher vielleicht mal nur ein Schaufenster wo man gezeigt hat was man so alles macht.

00:39:03: mittlerweile ist es ein Dienstkanal.

00:39:06: Man kann online Termine machen, man kann Störungen...

00:39:08: Man kann ja fast offline nix mehr machen.

00:39:10: Man kann quasi nur noch Online was machen.

00:39:13: wenn's dann gar nicht geht kann man gar nichts mehr machen.

00:39:15: E-Governmentdienste Patienten, Kunden Portale.

00:39:18: Also das sind ja faktisch Teile der kritischen Dienstleistung die

00:39:22: da ist an der Stelle.

00:39:23: also ich meine auch so ein Rewe wie du vorhin als Beispiel gesagt hast wird wahrscheinlich irgendwann zur kritischen Infrastruktur gehören weil wir nichts mehr zu Essen nach Hause kriegen wenn diese online Portale in zehn zwanzig Jahren nicht mehr funktionieren weil offline geht nix mehr.

00:39:34: Stand heute.

00:39:35: Wie gut sind deiner Meinung nach kritische infrastrukturen aktuell aufgestellt wenn es um DDoS Attacken geht?

00:39:39: und wie siehst Du Was sind die nächsten wichtigen Schritte, um voranzukommen aus deiner Sicht?

00:39:44: Also ich glaube das kritische Infrastrukturen per se grundsätzlich schon in Teilen besser aufgestellt sind als vielleicht noch der breite Mittelstand so in Anführungsstrichen.

00:39:54: Weil sie natürlich einfach anderen Regularien unterliegen und... Wenn ich jetzt zum Beispiel im Banken- und Finanzsektor mir die Sache angucke, die sind ja nicht nur kritisch.

00:40:03: NIST II reguliert sondern eben auch DORA reguliert.

00:40:06: Da geht es ja wirklich darum, operationelle Risiken abzufedern und zu gewährleisten dass die Services immer laufen.

00:40:14: Die sind natürlich was sozusagen der Reifekrat an Schutz für Delos oder der Reifegrad Verständnis und Sicherheitsbewusstsein angeht, viel weiter als vielleicht eine kritische Infrastruktur wie jetzt beispielsweise die Abfallwirtschaft.

00:40:29: Die damit am Ende des Tages nicht so viel zu tun hat weil sie tatsächlich noch sehr viel offline arbeitet.

00:40:35: Weil ob jetzt das Sperrmüllportal funktioniert oder nicht ist ja für die Versorgung der Bürger ärgerlich aber nicht Kriegsentscheid.

00:40:44: Nicht

00:40:44: letal, genau!

00:40:46: Und ich glaube dass wir aber trotzdem überall eben auch noch nachjustieren können.

00:40:53: und wie gesagt Dines Zwei nimmt die Geschäftsführung in die Pflicht da auch nochmal zu prüfen sind denn sozusagen meine Maßnahmen auch tatsächlich ausreichend?

00:41:02: und jetzt ist immer die Frage ab wann sind Maßnahmen ausreichende?

00:41:06: weil du hast ja am Anfang schon gesagt solange nichts passiert ist das ja auch nicht schlimm

00:41:11: Ja.

00:41:12: Jetzt sehen wir aber eine Zunahme von Angriffen in den letzten Jahren, also wir haben ja einen eigenen Report Wir gucken uns unsere Zahlen an.

00:41:19: Aber auch wenn man die Zahlen unserer Marktbegleiter sozusagen sich anschaut alle erzählen das gleiche es gibt mehr Angriff und das wird nicht weniger.

00:41:28: Wir haben jetzt allein in zwanzig-fünfundzwanzig hat sich beispielsweise auch die Größendemension von roundabout sechs terabit pro Sekunde auf nun mehr dreißigterabit die sekunde entwickelt in nur einem Jahr.

00:41:41: Also wir reden hier nicht von der Entwicklung, das hat jetzt zehn Jahre gedauert sondern es ist in einem Jahr passiert.

00:41:47: Und wenn die Quantität, die Qualität und die Professionalität der Angreifer, wenn sie zunehmen dann geraten auch kritische Infrastrukturen immer stärker unter Druck.

00:41:56: Dann muss ich eben schauen wie kriege ich mein sozusagen mein Incidents Response Team dahingehend auch gemanagt?

00:42:03: Wie sieht mein Incident Management überhaupt aus?

00:42:06: Habe ich eindeutige Service Owner, die verantwortlich sind für die geschäftskritischen Web?

00:42:11: Anwendungen oder für die geschäftskritischen APs.

00:42:14: Und wer am Ende des Tages trägt, eben die übergeordnete Verantwortung legt, die Risikobereitschaft fest und das Budget unglücklicherweise – und es ist halt eben die Crux beim Thema Sicherheit, die sieht man nicht!

00:42:26: Ja und vor allem man sieht sie erst dann wenn's sonst zu spät ist.

00:42:30: Richtig

00:42:30: Ja, es ist halt auch nicht das sexieste Thema leider.

00:42:33: Da sind so eine

00:42:34: große Monitorie und eine geile KI und vielleicht irgendwas mit VR sieht erst mal schöner aus und macht mehr her aber es ist alles lange nicht so wichtig.

00:42:42: Das ist ja auch ne never-ending Debatte sag ich mal weil so ein CISO also so einen Chief Information Security Officer Der ist ja in vielen Unternehmen sicherlich noch, quasi Organisationskultur eine Kostenstelle.

00:42:55: Und die Frage ist aber auch und das betrifft vor allem die kritischen Infrastrukturen, die ja nicht unbedingt davon abhängig sind sozusagen Gewinne zu erwirtschaften um am Laufen zu bleiben oder um das Überleben des Unternehmens zu sichern.

00:43:11: Die könnten eigentlich mit gutem Beispiel vorangehen und sagen okay In unserem Umfeld gewinnt Sicherheit aus gründen eine entsprechende Gewichtung.

00:43:21: oder wir sehen uns da auch in der Pflicht und in der Verantwortung, weil wir eben einem höheren Ziel dienen nämlich der gesellschaftlichen Ordnung dass da ein anderes Bewusstsein auch vielleicht in der Geschäftsführung oder auf den bestimmten Ebenen, oder auf der Ebene der Verantwortlichen entsteht.

00:43:39: Und das würde ich mir wünschen für die Zukunft, dass das eben nicht nur aus der Not heraus weil wir reguliert sind und weil wir noch stärker reguliert werden sondern... Das gilt aber meines Erachtens für alle Unternehmen.

00:43:51: man sollte sich als Unternehmenslenker überlegen wie wichtig ist mir Sicherheit?

00:43:56: Und was bin ich bereit dafür in Anfrühstrichen zu bezahlen?

00:43:59: Weil es ist Wie gesagt im Cyber Raum herrscht, kein Frieden mehr.

00:44:03: Und das ist etwas was uns in den nächsten Jahren noch viel stärker beschäftigen wird weil einfach auch dieses Thema künstliche Intelligenz also ich sage nur Open Claw und Co.

00:44:16: Das rennt!

00:44:18: Da haben wir keine Zeit mehr.

00:44:20: Wenn die Unternehmen dann nicht mitrennen, werden sie abgehängt.

00:44:23: Und zwar nicht nur weil sie stärker im Fadenkreuz stehen sondern weil sie einfach da nicht mehr mithalten können was die Angreifer auf ihren Seiten sich zu Nutze machen.

00:44:33: Also Sie wären eventuell nicht nur abgehinkt, sondern im schlimmsten Fall sogar abgeschaltet.

00:44:37: klare Worte von Lisa Fröhlich.

00:44:39: wir müssen also umdenken make security sexy Nicht again, aber endlich mal.

00:44:44: Weil das Thema muss von Anfang an mitgedacht werden und auch gerade in den Unternehmen müssen die Leute, die sich mit diesem ich sage mal kompizierten und dicken Brett beschäftigen auf jeden Fall Rückenhalt aus dem eigenen Team bekommen.

00:44:54: denn wenn das Kind im Brunnen ist ja dann es zu spät und solange man nix sieht ist alles gut Aber man sieht nur so lange nichts wie die richtigen leute an der richtigen stelle richtig agieren.

00:45:04: Das gilt vor allem für die zukunft wo künstliche Intelligenz sogar hilft irgendwelchen Vollidioten hilft gefährlicher Angriffe zu fahren.

00:45:09: Vielen vielen Dank Lisa.

00:45:11: Mehr zum Thema Security gibt's in Ihrem Podcast Follow the White Rabbit, das sei an dieser Stelle noch mal erwähnt.

00:45:17: Vielen Dank, dass du dir die Zeit genommen hast fürs Ohr am Netz und ja hoffen wir, dass wir alle sicher bleiben vor allem unsere kritischen Infrastrukturen!

00:45:24: Ja

00:45:24: da bleibt mir an der Stelle ein herzliches Danke und keep calm and get protected!

00:45:29: Bis demnächst ciao!

00:45:32: Also ich habe jetzt mitgenommen.

00:45:34: Technische Verwundbarkeiten sind real und Angriffsstrategien entwickeln sich dynamisch weiter.

00:45:39: Ja, Resilienz beginnt dabei aber nicht erst bei der Abwehr sondern bei der Architekturentscheidung, bei Zuständigkeiten und bei strategischer Positionierung.

00:45:48: Ja gerade im Kritisumfeld stellt sich deshalb die Frage ob Regulierung alleine genügt oder ob ein Mentalitätswandel im Umgang mit digitalen Abhängigkeiten erforderlich ist.

00:45:57: Kritische

00:45:57: Infrastrukturen betreffen natürlich nicht nur Unternehmen, sondern die gesamtstaatliche Sicherheitsarchitekture.

00:46:03: Ja, Cyberangriffe, hybride Bedrohungen und Angriffe unterhalb der Schwelle militärische Aggression verändern die sicherheitspolitische Lage.

00:46:10: Und über die Rolle der Bundeswehr im Kontext des Krites Dachgesetzes spreche ich mit Oberst Guido Schulte, Chief Information Security Officer der Bundeswähr- und Unterabteilungsleiter Sicherheitsmanagement im Kommando Cyber-und Informationsraum.

00:46:27: Oberst Lido Schulte ist seit und Studierter Informatiker.

00:46:33: Er war unter anderem in der elektronischen Kampfführung und Fernmeldeaufklärung eingesetzt, hat sich mit der Rüstung komplexer IT-Systeme befasst.

00:46:41: Heute ist der Chief Information Security Officer der Bundeswehr sowie Unterabteilungsleiter Sicherheitsmanagement im Kommando Cyber und Informationsraum.

00:46:51: Dort verantwortet er den Schutz der IT Systeme der Bundeswehre Zyberangriffen sowie Fragen der Sicherheitsarchitektur und Resilienz.

00:47:02: Mit ihm sprechen wir jetzt über die Rolle der Bundeswehr beim Schutz kritischer Infrastrukturen und über die Bedeutung von Cyberbedrohungen und hybriden Bedrohung für die staatliche Resilience.

00:47:13: Herzlich Willkommen, Oberst Schulte hier bei uns im Ohr am Netz!

00:47:16: Ja, Herr

00:47:19: Schulte.

00:47:19: Das gerade vom Bundestag verabschiedete Kritis-Dachgesetz schafft ja erstmalig bundeseinheitliche sektorübergreifende Mindeststandards zum Schutz kritischer Infrastrukturen von Energie über IT bis Wasser und Verkehr und verpflichtet Betreiber zur Risikoanalyse, Meldepflichten und Resilienzmaßnahmen.

00:47:38: Wie ist denn die Bundeswehr in diesem neuen gesetzlichen Rahmen konkret eingebunden?

00:47:43: Insbesondere dort wo zivile Kapazitäten an ihre Grenzen stoßen oder statt Datliche Sicherheitsinteressen betroffen sind.

00:47:50: Erst mal erinnert das Kritis-Dachgesetz nichts an den grundsätzlichen Erlaubnissen, was denn die Bundeswehr so tun darf und was sie nicht tun darf.

00:47:58: Und damit ist die Bundeswehre natürlich erstmal für die Verteidigung nach außen in zuständig und hat im Inneren grundsätzlich erst einmal keine Befugnisse.

00:48:05: Das heißt nicht dass wir im Rahmen der Amtshilfe Artikel thirty fünf wenn wir dann gerufen werden dort unterstützen könnten.

00:48:11: vom Grundsatz ist es aber so, dass ich weder durch das kritis Dachgesetz noch durch den Cyber Resilience Act oder durch NIST zwei dort die zuständig von dem geändert haben, was grundsätzlich seit mindestens im Jahr zwei tausendsechzehn ist.

00:48:25: Wo das Konzept viele Verteidigung des BKK's ja herausgegeben worden ist und da steht dem Kern drin jeder Schutz sich selber, jedes für den Schutz selbst zuständig Und dass es hier auch weiterhin der Fall.

00:48:36: also uns kurz zu machen Es gibt keine Erweiterung.

00:48:39: die Zuständigkeit der Bundeswehr jetzt für kritische Infrastrukturen

00:48:42: Nun ist ja.

00:48:43: das Kritis-Dachgesetz soll ja gar nicht nur Cyberrisiken, sondern auch physische und organisatorische Risiken adressieren.

00:48:49: Und so eben die Versorgungsfähigkeit im Krisenfall sichern.

00:48:52: Aus ihrer Sicht inwiefern zählen denn diese Infrastrukturen, die hier adressiert werden bereits?

00:48:57: zur gesamtstaatlichen Verteidigungsfähigkeit.

00:49:00: Und wie wirkt sich das auf militärische Planungen aus?

00:49:03: Ja, die Bundeswehr ist im Gegensatz zu früher – wenn ich früher sage, manch bin auch schon zweieinhalb Tage älter also in den Zeiten wo wir damals noch eine Mauer zu hatten und dort viele Dinge in der Bundeswehr selber konnten, wo wir hunderttausende von Littern Treibstoffen in Kasernen liegen hatten, wo Wir Richtfunkverbindungen quer durch Deutschland hatten parallel, Wo wir Notschrommaggregate in etlichen Mengen in den Kasernen drin haben Das ist ne letzten dreißig Jahre schlichtweg alles abgerüstet worden, sodass wir als Bundeswehr insbesondere wenn wir in Deutschland Dinge tun.

00:49:33: Wenn wir auf die Drehscheibe Deutschlands gucken und davon ausgehen dass im Osten dort sich der Kriegzuspitzputin vielleicht die ein oder anderen Dinge an den NATO Ostgrenze tut und wir Truppen durch Deutschland durchverlegen müssen dann sind wir in deutschland komplett auf die kritische Zivilinfrastruktur angewiesen.

00:49:51: das operative Flusskommando in Potsdam schaut sich gerade an Was denn aus der operativen Sicht kritische Infrastrukturen sind?

00:50:01: Das ist natürlich einmal militärische Einrichtungen, die wir haben.

00:50:04: Also brauchen wir Drucknungsplätze noch, wo dann gegebenenfalls Militärs anderer Länder vielleicht zwischendurch unterbringen.

00:50:10: Welche kritischen Infrastruktur haben wir als Bundeswehr um zu sagen da ist unsere IT das andere Dinge, die für uns ganz wichtig sind mit Logistik und so weiter was wir natürlich erst mal selber schützen müssen.

00:50:20: Und im zweiten Schritt kommt jetzt auch der Anteil welche zivile kritische Infrastruktur verteidigungswichtig.

00:50:27: Das heißt, wir schauen uns das an was am kritischer Infrastruktur zivil sozusagen da ist und schauen dann okay was sollte aus unserer Sicht auf jeden Fall nicht umfallen weil uns das als Militärs dann bei den Operationen die wir im Prinzip durchführen dort stört?

00:50:42: Dieser Prozess ist gerade dem Gange um erstmal zu gucken was ist denn verteidigung wichtig dort in dem Bereich?

00:50:48: und dem zweiten Schritt kommt dazu welche Anteile müssten wir denn zum Beispiel mit einem Objektschutzbataillonen, wie wir sie früher mal hatten mit Heimatschutzbataillonen.

00:50:58: Mit Heimat-Schutzkräften die dort geplant sind.

00:51:00: Denn gegebenenfalls wie schützen?

00:51:02: das wird aber vermutlich eher erst in einem späteren Schritt da sein wenn wir jetzt von Hybrida bedrohen können wenn man uns auch die Anschläge in Berlin zum Beispiel angucken oder so.

00:51:12: Da wäre es nicht so sein dass dann ich sage mal bei einer Erhöhten-Bedrohungslage jetzt schon relativ weit im Vorgriff, sah ich jetzt mal dort dann irgendwie Kräfte der Bundeswehr dastehen würden.

00:51:22: Das sehe ich natürlich

00:51:23: nicht.

00:51:24: Stichwort

00:51:24: Bedrohungslage?

00:51:25: Ich fand es tatsächlich ganz spannend dass er jetzt veröffentlichte... Münchner Sicherheitsreport, der Munich Security Report tatsächlich rausgefunden hat dass die Menschen in Deutschland Cyber Angriffe mittlerweile als die größte

00:51:37: Bedrohung

00:51:37: wahrnehmen.

00:51:38: Also es ist tatsächlich auf Platz eins.

00:51:40: gleichzeitig muss man ja sagen viele bedrohungen die aus dem cyberraum kommen sind ja nicht unbedingt gleich militärische Aggressionen wie.

00:51:48: Wie bewertet die Bundeswehr oder wie bewerten Sie denn diese Bedrohungslage im Cyberraum aktuell, insbesondere in Kontext Fibrider und staatlich unterstützte Akteure?

00:51:58: Und welche Auswirkungen hat das auf Ihre eigenen Schutz- und Verteidigungskonzepte.

00:52:03: Erstmal möchte ich sagen, offensichtlich haben wir dann im Rahmen der Sensibilisierung der Wehren ist vieles richtig gemacht.

00:52:07: Wenn das die Wichtigkeit von Cyber sozusagen

00:52:11: auf die Bedrohungslage

00:52:12: angekommen ist.

00:52:13: Von daher ist es vielleicht auch mal ein positiver Punkt abgesehen davon dass natürlich bei solchen Umfragen rat das Thema menschliche Wahrnehmung sehr oft situationsgeprägt und wie nachhaltig das dann am Ende ist.

00:52:25: Ich stimme auf jeden Fall sowohl dem Bericht als auch den BSI-Lagebericht von twentyfünfundzwanzig komplett zu, dass wir weiterhin eine sehr, sehr hohe Bedrohungslage haben.

00:52:34: Und das nun mehr ist als vor einem Jahr weiß ich nicht genau.

00:52:38: Wir sehen weiterhin Angriffe sowohl auf staatliche Netze also auch auf kritische Infrastruktur und auf Zivilorganisationen dort.

00:52:45: Ich möchte aber auch hinweisen auf das was im BSI Lagebericht drin steht da es dass die Bedrohungslage gar nicht so viel höher wie ein Jahr davor.

00:52:53: Aber das, was wir sehen ist, dass die Gefährdungslage deutlich höher ist.

00:52:56: Was denn der Unterschied?

00:52:57: Die Bedrohhungslage ist ja möglicherweise Gegnerin gegebenenfalls irgendwas tun und die Gefärdungslage ist das Award für uns.

00:53:05: Und da sehen wir halt, dass durch die zunehmende Technik und die Komplexität an Systemen immer mehr ans Schwachstellen, was das auch bedeutet aufgrund von Dingen, die in der Lieferkette passieren, Dinge, der Softwareentwicklung oder Halbwehrentwicklungen passieren, wo halt mal Schwachstellen drin sind.

00:53:23: Dass dort die Angriffsfläche, die wir bieten von Tag zu Tag deutlich höher wird und wir damit eine deutlich höhere Gefährdung haben nahezu egal was die Bedrohungslage sagt also durch das was wir selber tun ist unsere eigene Gefährderung unser eigenes Risiko.

00:53:37: Die zunehmende Digitalisierung ist total super.

00:53:39: man kann Menschen einsparen man kann Dinge deutlich schneller machen man kann Prozesse komplett anders machen.

00:53:45: Das ist alles gut, aber mit jedem von diesen Punkten haben wir schlichtweg eine größere Angriffsfläche und da müssen wir uns drum kümmern.

00:53:51: Also von daher die positive Aussage ist Wir können was ändern weil in einer Bedrohungslage können sie selten etwas ändern Weil die ist halt so wie sie ist.

00:53:59: Aber an der Gefährdungslage könne man deutlich was ändern Können Dinger besser tun.

00:54:05: Da schauen wir uns natürlich auch jetzt das ganze Thema Lieferketten-Sicherheit an.

00:54:09: Welche Produkte, Dienstleistungen wollen wir uns als Bundeswehr denn jetzt überhaupt noch einkaufen?

00:54:13: Auch unter dem Stichwort Souveränität und das sind Schwerpunkte die Punkte und alles andere.

00:54:19: was die reale technische Absicherung angeht haben wir natürlich eine technische Herausforderung jetzt was das Thema Quantensicherheit angeht beziehungsweise Quantenkryptografie angeht dass PSI hat ja gerade in der Veröffentlichung rausgegeben zum Thema Randonn Asynchrone Verschlüsselungsverfahren oder wie lange sie dann möglicherweise noch einigermaßen sicher sind.

00:54:37: Und solche Dinge kommen auch, der zunehmende Ansatz von KI macht uns eher im Bereich Mails glaube ich gerade zu schaffen weil diese typischen Grammatikfehler sind in Fischengmails ist eigentlich irgendwie nicht mehr da aber ansonsten es ist eher noch Standardabsicherung und wenn das umfällt es ist einfach weil irgendjemand seine Systeme wahrscheinlich vorhin gepatched hat.

00:54:57: also von daher Bedrohungslage ja Gefährdungslage ist deutlich höher.

00:55:01: durch dass wir selber an die Themen

00:55:03: Jetzt habe ich bei Ihnen auch so ein bisschen rausgehört, den Grundsatzvorsorge ist besser als Nachsorge.

00:55:07: Also Sie tun einiges dafür damit es eben gar nicht erst zum Ernstfall kommt, dass die Gefährdungslage auch runtergeschraubt wird.

00:55:14: Nichtsdestotrotz kommt es ja durchaus zu Angriffen im Cyberraum und Bundesinnenminister Dobrind hat jetzt vorgeschlagen das Geheimdienste und perspektive stand auch andere staatliche Akteure im Cyber-Raum durchaus mit Gegenangriffen reagieren dürfen.

00:55:28: wenn Deutschland digital angegriffen wird Was bedeutet das denn für ihren Verantwortungsbereich oder für die IT-Systeme der Bundeswehr?

00:55:37: Also für die IT-System der Bundeswehr ist das unter diesem Gesichtspunkt, aus Schutzgesichtspunkten erst mal weniger gut sage ich jetzt mal.

00:55:44: Weil in dem Moment wo wir dann sagen können, dass solche Dinge tun könnten, dass andere Staaten für sich genauso gut reklamieren.

00:55:50: Das aber rein jetzt erstmal der Sicherheitsgedanke dort.

00:55:53: Wenn man so in der netzpolitischen Blase ein bisschen unterwegs ist, es wäre vollkommen meine eigene Meinung, dann ist natürlich auch das Thema inwieweit kann sich sowas als Spirale sozusagen hochdrehen?

00:56:04: Aber das haben wir in anderen Bereichen, das haben ja auch wenn wir physische andere für dort eher sehen, wobei die Frage ist natürlich als Starty bei uns stellen müssen.

00:56:12: Ist es richtig?

00:56:13: Wenn nicht einer auf die rechte Wange schlägt dann halt ihm auch die Linke hin oder will man sich dann halt nicht im Ehren oder sowas?

00:56:19: und wenn ich mir die EU Cyber Diplomacy Toolbox anschaue, wo halt ja auch die EU schon Regeln bzw.

00:56:26: Möglichkeiten aufgeschrieben hat wie man auf solche Cyberangriff reagieren kann, da ist natürlich Diplomatie dabei das sind wirtschaftliche Dinge dabei.

00:56:33: Das geht ja bis hin zu physischen Einsatz auch hinterher und natürlich ist dann auch Cyber dabei.

00:56:38: Und ich glaube schon, dass es als Staat wichtig wäre auch anderen Staaten zu sagen was auf wenn ihr das nicht unterbindet.

00:56:45: wir könnten das auch.

00:56:46: Also es ist eher so ein Abschreckungsgedanke dort und ohne dass man jetzt der eine tut warst.

00:56:53: dann gibt's die große Schlacht im Cyberraum und wir unterhalten uns über NATO Artikel fünf.

00:56:58: Ist das alles richtig oder nicht?

00:56:59: Das meinte sich der Aufbau dieser Fähigkeiten Gezielte zeigen von solchen Fähigkeiten möglicherweise auch außerhalb dessen, dass es in der Öffentlichkeit vielleicht nicht bekannt wird oder so hat aber ein Effekt auf staatliches Handeln.

00:57:14: Und unter diesem Gesichtspunkt ist das glaube ich gut und richtig, dass Deutschland solche Fähigkeiten dementsprechend auch auf Bord aus reiner Cyber-Sicherheitssicht kann man sicherlich darüber diskutieren.

00:57:25: Jetzt geht es ja beim Kritis-Dachgesetz auch darum, dass auch Meldepflichten und Risikoanalysen mit einbezogen werden.

00:57:31: Und das im Krisenfall eben vor allem auch Lagebilder die Frühwarnung und Kooperation ganz wichtig sind.

00:57:37: Wie gut funktioniert denn dieser Informations- und Lageaustausch schon zwischen der Bundeswehr, zivilen Sicherheitsbehörden und Betreibern jetzt ganz aktuell?

00:57:48: Wo sehen Sie da noch operative Lücken?

00:57:51: Ich glaube auf der Bundesebene... Gerade als Bundeswehr eine sehr gute Zusammenarbeit mit dem Bundesamt für Sicherheit in der Informationstechnik, mit den BSI.

00:58:00: Dort sitzen auch im nationalen IT-Lagezentrum zwei Menschen von mir aus zwei Gründen.

00:58:07: Zum einen betreiben wir als Bundeswehre natürlich das größte Behördennetz auf Bundesebene sehen dementsprechend wahrscheinlich auch am meisten und können dementsprechen als Behörde Abgesehen davon, dass wir eine Meldeverpflichtung haben für das BSI-Gesetz.

00:58:20: Wenn Sicherheitsvorkommnisse da sind, können wir natürlich auch Informationen ins BSI IT-Lagezentrum reinbringen.

00:58:26: Auf der anderen Seite kriegt es BSI ja unter anderem aufgrund des NIS II Gesetzes jetzt von knapp dreißigtausend Unternehmen in Deutschland Hinweise darauf wo denn jetzt gerade Cyberangriffe auf kritische Infrastrukturen laufen?

00:58:38: Wo Infosicherheitsvorekommnisse dort da sind?

00:58:41: Das hilft uns als Militär natürlich in der Planung mit dem was ich anfangs gesagt habe Operationsplan Deutschland, Drehscheibe Deutschland.

00:58:48: Wie ist die Lage?

00:58:49: Da interessiert uns eigentlich weniger ob da gerade mehr Kommunikation angegriffen wird, mehr Energie-Sektor angegriffene wird und mehr Logistiksektor angegriffener wird sondern da welche Auswirkungen hatten das.

00:59:01: also hat jetzt ein Angriff auf einen Energiefersorge Auswirkung auf einem Umspannwerk wo wir möglicherweise den Strom in diesem Bereich davon gerade brauchen weil wir Dinge tun.

00:59:11: Das ist der Grund, wieso wir dort sehr, sehr eng auch mit dem BSI im Rahmen Lage zusammenarbeiten und auch wirklich integriert mitarbeiten in den Bereich.

00:59:21: Mit den anderen Behörden haben wir natürlich im Nationalen Cyber Abwehrzentrum einen sehr guten Austausch.

00:59:25: Das funktioniert aus meiner Sicht sehr gut für konkrete Vorfälle.

00:59:29: Wenn da ein Vorfall im Rahmen der Abstimmung ist, welche Behörde tut jetzt gerade was?

00:59:33: Dass wir dann noch weiter Entwicklungsbedarf sehen, das steht glaube ich außer Frage.

00:59:37: Auch da ist der Innenminister ja mit einigen Punkten nach vorne geprescht.

00:59:41: Dort würden wir uns als Militär vermutlich eher so was vorstellen, dass man ein Lagezentrum dort auch wirklich hat und dann auch darüber entscheidet.

00:59:50: Was mache ich denn dann?

00:59:51: Also Lage ist ja immer gut aber das nutzt ja nur etwas wenn ich danach auch in Aktion komme.

00:59:55: also wie gehen wir abgestimmt zwischen den Stellen des Bundes der Länder vielleicht auch der Kommunen usw.

01:00:01: denn dementsprechend vor?

01:00:02: Auch da kommen nicht aus dem Staatskonstrukt in Deutschland raus.

01:00:05: für die Gefahrenabwehr auch im Cyberraum sind erstmal die Länder zuständig Der Bund, auch dort gibt es dann natürlich noch viele aus meiner Sicht Verbessungsmöglichkeiten.

01:00:16: Das Landesämter für Sicherheit in der Informationstechnik und dem Bundesamt für Sicherheit die Informationstechnik auch hinreichend Lageinformationen bereitstellen dürfen.

01:00:24: Auch das ist noch nicht überall der Fall so dass wir sowohl zu dem Thema Lage als auch zum Thema dann ins Handeln kommen und auch wirklich was tun glaube ich noch eine ganze Menge tun können und müssen in Deutschland damit wir uns dort

01:00:37: richtig aufstellen.

01:00:38: Letzte Frage.

01:00:39: Gesetze sind ja erst mal gut, um einen rechtlichen Ordnungsrahmen zu schaffen aber Resilienz das ist ja jetzt bei ihnen auch schon mehrfach angeklungen ist natürlich mehr als Compliance sag ich mal.

01:00:50: was braucht es denn nach militärischer Erfahrung?

01:00:53: Um eben über solche formalen Pflichten hinaus echte Widerstandskraft gegen solche großangelegten Cyberangriffe oder auch hybride Angriffe zu schaffen?

01:01:01: Ja, ich glaube auch hier ist der alte militärische Grundsatz.

01:01:04: Alles das was du nicht geübt hast funktioniert hinterher nicht, glaube ich prägend.

01:01:08: Es ist wichtig dass wir im Rahmen der Prävention die früher schon gesagt, unsere Systemarchitektoren anpassen die Systeme alle härtend schneller mit dem Patchmanagement sein.

01:01:17: aber Irgendwann werden Systeme umfallen, wir schreiben das immer auf die Folien.

01:01:21: It's not if it's when.

01:01:22: also irgendwann fällt das System ohnehin und wenn man das ernst nehmen muss man es auch trainieren.

01:01:28: Das aus dem zivilen Business Continuity Management heißt dann bei uns sicherstellende Einsatzfähigkeit der Streitkräfte.

01:01:36: Also wie kann mein Business weiterlaufen, auch wenn IT mal weg ist?

01:01:40: Wie gehen wir jetzt insgesamt damit um und wenn dann unser ETS-System betroffen ist.

01:01:45: Wie ist meine Kommunikation?

01:01:46: mit wem rede ich?

01:01:47: Brauche ich gegebenenfalls Juristen dabei, Presse brauche ich ohnehin immer dabei weil irgendjemand Fragen stellt.

01:01:52: Spätestens wenn es bekannt ist kommt zumindest öffentlichem Bereich da noch Anfragen zum Beispiel aus Parlamenten

01:01:58: usw.,

01:01:59: also wie kriege ich so ein Krisenteam einen Ideennotfallteam und das wirkliche Krisenteamen sozusagen denn dann aufgestellt?

01:02:06: und das sind Dinge, die man schlichtweg üben muss.

01:02:08: Wir machen es auf der technischen Ebene mit Übungen auch im Imnato-Umfeld, auch multinationalen mit zur Übung wie Locked Shields, die wir in den letzten zwei Jahren mit Singapur zum Beispiel gemacht haben.

01:02:18: In diesem Jahr werden wir als Deutschösterreich-Sweizer-Team dementsprechend machen.

01:02:22: oder halt auf der Krisebene auch gesamtstaatlich mit zur Überung wie cyberkulischen Imnatorahmen.

01:02:28: Also wir üben das, wir gehen davon aus dass unsere IT Systeme mal umfallen Dann umgehen und am besten macht man sich vorher Gedanken darüber, wie man sich darauf stellt, um nicht in so eine Schockstarre zu verfallen.

01:02:41: Ja aus militärischer Perspektive wird deutlich Resilienz ist keine rein regulatorische Kategorie lässt sich nicht einfach nur per Gesetz regeln sondern sie ist Teil gesamtstaatlicher Verteidigungsfähigkeit.

01:02:54: guter Informationsaustausch, Lagebilder und klare Zuständigkeiten.

01:02:59: Und am Ende – das habe ich jetzt noch mitgenommen – üben, üben für den Ernstfall sind dabei ebenso entscheidend wie technische Schutzmaßnahmen.

01:03:07: Herzlichen Dank für diese Einschätzung aus Sicht der Bundeswehr

01:03:16: Oberst-Gito Schulte!

01:03:22: Ja, Informationsaustausch, Lagebilder, gemeinsame Übungen und klare Zuständigkeiten sind dabei ebenso entscheidend wie technische Schutzmaßnahmen.

01:03:31: Tja!

01:03:31: Und damit sind wir quasi am Ende dieser, wie ich finde sehr spannenden Folge von Das Ohr am Netz angekommen der schutzkritischer Infrastrukturen entscheidet darüber, wie widerstandsfähig Deutschland gegenüber Cyberangriffen physischen Störungen und eben der hybriden Bedrohungslage ist.

01:03:45: Ja, ob das Kritis-Dachgesetz jetzt zu mehr Sicherheit führt oder vor allem neue Komplexitätschaft wird sich in den kommenden Jahren denke ich zeigen.

01:03:52: Spätestens aber bei der vorgesehenen Evaluierung, die ja bereits in zwei Jahren und nicht erst wie sonst üblich in fünf Jahren erfolgen

01:04:00: soll.

01:04:00: Dazu werden wir noch einiges hier machen glaube ich auf jeden Fall auch.

01:04:03: Aber bis hier erstmal vielen Dank fürs Zuhören!

01:04:05: Bleibt gesund und bleibt sicher und resilient.

01:04:08: Seht ihr niemals gut?

01:04:09: Bis bald

01:04:09: tschüss

01:04:16: Verband der Internetwirt...