Folge 3

Industrie 4.0 – Digitalisierung und Security. IT trifft OT

Wenn man Veränderungen will, sei es in Richtung Digitalisierung oder im Security-Umfeld, ist das allerwichtigste: Management Commitment.

In unserer 3. Folge spricht consistec CEO Thomas Sinnwell mit Michael Krammel von der K4 Digital. Michael ist einer der führenden Vordenker beim Thema Industrial Security und wird uns spannende Einblicke in seine Welt gewähren. Wir wollen von ihm wissen, was Industrie 4.0 für Organisationen bedeutet, was bedeutet es für die Menschen und wo liegen die Herausforderungen? Spannende Fragen. Viel Spaß beim Hören!

Transkription

Thomas Sinnwell: Heute habe ich Michael Krammel zu Gast und wir sprechen zum Thema Automatisierung 4.0 oder Industrie 4.0, Untertitel „OT trifft IT“. Schön, dass du da bist, Michael.

Michael Krammel: Hallo Thomas! Hat mich auch sehr gefreut die Einladung und ich freue mich auf unser Gespräch.

Thomas Sinnwell: Ich habe ja grob verraten, worum es geht. Wir wollen im Detail Fragen nachgehen: Was bedeutet denn jetzt Automatisierung 4.0 oder Industrie 4.0 wirklich für Organisationen? Was bedeutet das für die Menschen? Und worin liegen die Herausforderungen? Und ich hoffe, dass wir es dann so innerhalb der nächsten halben Stunde schaffen, da ein paar Antworten herauszuarbeiten, um unseren Zuhörern da auch ein bisschen was mit auf den Weg geben zu können.

Michael Krammel: Auf jeden Fall können wir ein Stück davon erzählen.

Thomas Sinnwell: Das stimmt. Aber starten möchte ich mit einer kurzen Vorstellung von dir. Wenn ich mich richtig erinnere, bist du 89, im letzten Jahrhundert, …

Michael Krammel: Genau.

Thomas Sinnwell: Oh Gott, wie das klingt.

Michael Krammel: Ja, aber es stimmt ja. Man muss ja auch dazu stehen.

Thomas Sinnwell: … im Konzernumfeld warst du da in den Bereichen Automatisierung und Prozessleittechnik unterwegs.

Michael Krammel: Genau.

Thomas Sinnwell: Dann kam anschließend die KORAMIS. Oder du kamst zur KORAMIS. Hast dort so dich mit den Themen digitale Fabrik, industrielle Softwareentwicklung und Industrial Security beschäftigt, hast dort neue Geschäftsfelder entwickelt. Und ich glaube, 2008 wurdest du dann dort auch Geschäftsführer.

Michael Krammel: Genau.

Thomas Sinnwell: Und ganz, ganz aktuell hast du die K4 Digital gegründet.

Michael Krammel: Ja genau. Ich bin aus der KORAMIS ausgetreten und stelle mich jetzt wieder ein paar neuen Herausforderungen.

Thomas Sinnwell: Sehr schön, sehr spannend. Also ich denke, wir hören am Schluss da ja noch ein bisschen was dazu. Was bedeutet denn jetzt Industrie 4.0, insbesondere natürlich für Industrieunternehmen?

Michael Krammel: Ich habe immer so ein Stück meine Herausforderungen mit den Buzzwörtern, weil es halt immer ein bisschen schwierig ist, an den Stellen das Buzzwort, oder ich sag jetzt mal den Begriff, in den richtigen Kontext zu setzen. Also Industrie 4.0 wird im Prinzip in der Regel dafür genommen, für den Ansatz, dass man wirklich Geschäftsprozesse oder Geschäftsmodelle auch verändert. Das bedeutet im Prinzip dann vom Geschäftsprozess bis zur Infrastruktur, Prozesse müssen verändert werden, es muss anders automatisiert werden. Und das ist eigentlich so der Fokus, unter dem man eigentlich Industrie 4.0 laufen ist.

Thomas Sinnwell: Also so aus einer ganz hohen Flughöhe dann auch das Thema Effizienzsteigerung in den Prozessen, Wertschöpfung verbessern.

Michael Krammel: Genau. Und vor allem natürlich Kosten sparen. Also das macht man ja nicht der Sache wegen, sondern es geht ja am Ende des Tages darum, wettbewerbsfähig zu sein, ich sag jetzt mal auch im Kontext der internationalen Digitalisierung.

Thomas Sinnwell: Das ist doch sicherlich so, dass sich da die Konzerne wesentlich leichter mit tun als der Mittelstand. Wie ist denn da so deine Sicht, wie sind denn deine Erfahrungswerte?

Michael Krammel: Ich würde noch nicht mal unbedingt sagen, dass die sich viel leichter tun, weil die Herausforderungen durch die Organisation, diese Prozesse neu aufzusetzen, zu verändern, manchmal vielleicht sogar viel höhere Herausforderungen darstellen wie, wenn man das im Mittelstand macht oder bei kleineren Unternehmen. Wichtig ist halt, dass es durch die gesamte Organisation wirklich Veränderungen gibt und die müssen natürlich auch mit ganz starkem Commitment des Managements durchgeführt werden.

Thomas Sinnwell: Jetzt kenne ich es aus anderen Bereichen ja auch, sobald so fundamentale Änderungen anstehen, gibt’s ja auch Widerstand.

Michael Krammel: Ja.

Thomas Sinnwell: Wie ist das jetzt so im Industriebereich? Da seid oder bist du ja schon länger unterwegs.

Michael Krammel: Ja, das ist natürlich klar, man hat dort eingeschwungene Prozesse, man ist an den Stellen natürlich, das haben wir schon viele Jahre so gemacht, warum sollen wir das verändern? Und es sprengt vor allem auch so ein Stück die Grenzen zwischen den Dingen. Es geht nicht mehr nur um Produktion, es geht auch um die IT, es geht um Geschäftsprozesse. Also man muss sich diesen Ansätzen ganz anders stellen, mehr interdisziplinär und mehr ganzheitlich natürlich an der Stelle. Und so wie du das richtig gesagt hast, da gibt es natürlich auch eine Menge Widerstände.

Thomas Sinnwell: Aber wir kommen ja da später noch darauf zu sprechen, wie ihr euch da jetzt zukünftig noch positionieren werdet. Ich kann mir gut vorstellen, dass das natürlich auch ein ganz eklatantes Thema ist, wenn man einen ganzheitlichen Beratungsansatz fahren möchte.

Michael Krammel: Ja, ich glaube, wenn man noch mal so auf die Herausforderung schaut, glaube ich, ist es vor allem so, dass diese Herausforderung wirklich darin besteht, wirklich miteinander das Thema umsetzen zu müssen. Also so, dass man nicht mehr so die einzelnen Silos hat, die sich um ihre Themen kümmern, sondern dass man eigentlich diese Dinge aufbrechen muss und gemeinsam und co-kreativ an diesen Weiterentwicklungsthemen arbeiten muss. Und das stellt natürlich schon viele Herausforderungen an der Stelle.

Thomas Sinnwell: Bevor wir da jetzt so ein bisschen ins Detail einsteigen, noch eine Frage von meiner Seite: Nimmst du da irgendwelche Unterschiede in verschiedenen Branchen wahr oder ist das eigentlich überall das gleiche Thema?

Michael Krammel: Ja, ich glaube schon, dass es leichte Unterschiede gibt. Ich glaube, im produzierenden Gewerbe ist es momentan so, dass man sich etwas leichter tut mit der Thematik Digitalisierung, während es so auch in, ich sag mal, in Standardbranchen wie Energie natürlich auch eine Art Digitalisierung gibt, die sich aber vielleicht ein bisschen anders gestaltet an der Stelle. Also jede Branche, jeder Branchenbereich hat, glaube ich, schon so seine eigenen Spezialitäten, wenn es um das Thema Digitalisierung geht, aber wir beschäftigen uns ja auch noch mit ein paar anderen Themen. Wenn wir an der Stelle so ein bisschen den Security-Aspekt sehen …

Thomas Sinnwell: Ja, da wollte ich gerade darauf zu sprechen kommen. Ich denke, das ist sicherlich ein Thema, was alle vereint, wo alle zu kämpfen haben.

Michael Krammel: Genau. Und da muss man schon sagen, natürlich haben die Branchen unterschiedliche Standards im Security-Umfeld, aber wenn man das mal wirklich sich betrachtet, ich sag mal, im Detail, dann ist es, dass alle eigentlich so ziemlich die gleichen Herausforderungen haben und die Leitplanken auch der Standards sich schon irgendwie ein Stück ähneln an der Stelle.

Thomas Sinnwell: Was sind denn da die besonderen Herausforderungen hetzt im Bereich OT, in der Operational Technologie? #00:07:46.9#

Michael Krammel: Ja gut, das Security-Umfeld oder das Security-Thema selbst ist wahrscheinlich noch, wie soll ich sagen, nicht unbedingt jetzt ein jahrelanges Thema, was man dort schon betreibt. Ich meine, da arbeiten ganz tolle Leute, Ingenieure, Techniker aller Art, von Fachleuten, die einen tollen Job machen. Aber das Thema Security war natürlich historisch gesehen jetzt nie unbedingt ein großes Thema an der Stelle gewesen. Man muss ja auch dazusagen, früher hatte man auch ein bisschen mehr das Gefühl, man war auf einer Insel und da gab es jetzt keine Brückenschläge. Da hat sich natürlich die letzten Jahre eine ganze Menge getan. Und heute verbindet man die Infrastrukturen, heute gibt es klassische IT-Infrastrukturen genauso im Produktionsumfeld wie es im IT-Umfeld gibt. Und damit steigen natürlich auch die Risiken aufgrund der Vernetzung in dem Bereich Security. Und man (unv. #00:08:53.3#)

Thomas Sinnwell: Das heißt also, IT und OT beginnen zu verschmelzen? Oder eigentlich läuft das ja schon, seit ein paar Jahren wurde das immer stärker.

Michael Krammel: Ja, ja, genau. Also es ist so, man hatte ja teilweise sogar IT und OT zusammengekoppelt, da war ja manchmal sogar noch nicht mal eine Trennung drin. Da ist man jetzt natürlich weitaus sensibilisierter. Ich meine, auch das Thema IT-Sicherheitsgesetz hat da natürlich auch viel dafür getan, die Anschläge, die überall passieren. Also man stellt sich heute diesen Dingen und die größere Herausforderung ist eigentlich, mit welchen Maßnahmen kann ich die Security im OT-Umfeld betreiben? Die sind halt nicht eins zu eins identisch, wie ich das aus der IT kenne.

Thomas Sinnwell: Genau. Man könnte jetzt ja naiv auf die Idee kommen, wenn das eh so am Zusammenwachsen ist, dann kann ich doch die Konzepte, die sich in der IT wirklich bewährt haben, dann einfach der OT überstülpen und alles wird gut, aber das funktioniert ja nicht. Was sind denn da die Gründe?

Michael Krammel: Ich meine, wenn man das mal wirklich betrachtet, in der IT hat man eine Lebensdauer von IT-Equipment von drei, vier Jahren, vielleicht mal maximal fünf Jahren, dann werden die Gerätschaften ausgetauscht, weil dann im Prinzip die Betriebssysteme abgekündigt sind. Das funktioniert natürlich im OT nicht. Wenn man sich mal vorstellt jetzt eine Produktionsstraße in der Automobilindustrie, wenn man da jeden Rechner austauschen würde alle drei Jahre, dann wären die Autos noch ein Stück teurer wahrscheinlich an der Stelle.

Thomas Sinnwell: Und die Software hat dann noch ein paar Bugs mehr.

Michael Krammel: Genau. Das auch, ja. Also von der Seite aus sind deswegen die klassischen Maßnahmen nicht so einfach umzusetzen. Oft ist es auch, wenn man jetzt patchen würde, wie man das ja klassisch kennt, Virenscanner auf die Maschinen bringt, dann funktioniert das aufgrund der Legacy-Systeme weniger. Ich kann nicht einfach mal so einen Rechner in der Produktion booten, wenn ich eine 24x7-Verfügbarkeit habe. Und so gibt es eine ganze Menge Dinge, die einfach zu berücksichtigen sind. Deswegen braucht man auch andere Konzepte und andere Maßnahmen.

Thomas Sinnwell: Ich würde es jetzt vielleicht noch um einen Punkt ergänzen wollen wie Virenschutz. In der IT völlig üblich, völlig unproblematisch umsetzbar, in der OT sehr schwierig bis unmöglich. Vielleicht dann auch noch so der Punkt physische Sicherheit. In der IT gibt’s da halt schon den Serverraum mit begrenzten Zugriffsmöglichkeiten, bei großen Industrieanlagen, komplexen Geländen, da habe ich ja schon die Chance, mich mal drauf zu mogeln, bevor mich der Werkschutz entdeckt. Da habe ich natürlich ganz andere Angriffsflächen.

Michael Krammel: Ja. Und ich glaube auch, die Möglichkeiten, Probleme zu detektieren, sind auch noch nicht üblich im OT-Umfeld. Also dass man ein echtes Monitoring hat, dass man wirklich auch Dinge erkennt. Also das sieht man immer wieder auch an Beispielen, dass Schadsoftware teilweise, bis die überhaupt mal entdeckt worden ist, im Markt teilweise schon vier, fünf Jahre in Anlagen operativ tätig war und man im Prinzip gar nicht wusste, dass es so eine Schadsoftware gibt an der Stelle. Und ich glaube, da ist es wichtig, dass man da zukünftig halt auch gerade für diese Detektion, für dieses Monitoring, geeignete Maßnahmen letztendlich da einführt.

Thomas Sinnwell: Ja. Nein, sehen wir auch absolut so. Und für uns sind da zwei Aspekte ganz wichtig, zum einen das Thema Transparenz, wirklich mal sehen zu können, was habe ich eigentlich? Weil nur das, was ich kenne, kann ich auch schützen. Und gerade bei diesen sehr komplexen Industrieanlagen ist das ja oft auch vom Dokumentationsstand sehr, sehr schwierig. Das heißt, überhaupt mal so eine Erfassung zu machen, zu wissen, wie ist denn mein Ist-Stand. Erster Aspekt bei der Transparenz und dann der zweite aus unserer Sicht, was ändert sich, was ist der Normalzustand, und wann passiert da was Neues.

Michael Krammel: Genau. Also wir erleben das immer wieder, wenn wir Gap-Analysen machen oder Risikoanalysen im OT-Umfeld, dass es, ich sag mal, die Unternehmen oft vor eine größere Herausforderung stellt, überhaupt mal aktuelle Dokumentationen zu haben, Netzwerkpläne, oder auch zu wissen, wo stehen alle Geräte und sind überhaupt alle Geräte erfasst. Weil das ist halt ein Bereich, der auch historisch gewachsen ist. Und man hat früher einfach halt auch mit Dokumentationen, siebenfache Ausfertigungen auf Papier dann irgendwo in Archive gestellt, und ob die dann immer weiterdokumentiert worden sind, das ist auch so ein Thema, was die letzten Jahre oft ein bisschen hinten runtergefallen ist, auch preislich in Projekten, dass man dann lieber vielleicht mal an der Dokumentation gespart hat, wie dass man halt wirklich an der Funktionalität spart. Und das fällt dann natürlich irgendwann ein Stück auf die Füße.

Thomas Sinnwell: Jetzt hattest du ja das Thema Monitoring aufgebracht. Was ist denn da, aus deiner Sicht, jetzt gerade in diesem industriellen Umfeld wichtig bei derartigen Systemen?

Michael Krammel: Ja gut, ich glaube, es ist halt wichtig, a) mal zu wissen, was habe ich alles an Equipment? Also, dass man das idealerweise natürlich in so einem Monitoring-Ansatz miterfassen kann. Die Schwierigkeit, die man heute ja immer noch auch im industriellen Umfeld hat, ist, mit den klassischen früheren Systemen, dass ich da mal einen Scan durch die Anlage mache und weiß im Endeffekt nachher, was da ist, funktioniert in der IT, in der OT wird es dann doch schwieriger. Die letzten Jahre haben sich aber natürlich auch die Systeme weiterentwickelt. Und dann, wenn eine gewisse Anomalie zu erkennen ist, auch die Industrieprotokolle basieren ja heute auf Ethernet, dass man dann zumindest mal eine Information an der Stelle bekommt. Und ich weiß noch, ich habe noch in 2005 / 2006 mit Themen damals gearbeitet, wo man aber alle Regelwerke selbst eingeben musste, also man musste selbst tunen. Also auch da brauchen wir einen natürlichen Algorithmus, der im Prinzip das heute automatisierter macht. Also wir haben, aus meiner Sicht, immer noch in der Security viel zu viel manuelle Arbeit. Security muss, damit es handhabbar wird, zukünftig immer mehr automatisiert werden. Und ich glaube, dann können solche Systeme auch gut helfen. #00:15:35.3#

Thomas Sinnwell: Gut. Wenn man das weitreichend automatisiert oder Anomalien erkennt, dann ist man ja ganz schnell bei dem Thema KI oder maschinellem Lernen. Und da gibt es ja auch ganz unterschiedliche Ansätze, da kann ich mir jetzt vorstellen oder das ist auch so unser Credo, dass es auch insbesondere vielleicht in diesem Industriebereich ganz entscheidend ist, dass diese Systeme auch beherrschbar sind. Das heißt, dass die Mitarbeiter im Leitstand auch eine Chance haben, irgendeine sinnvolle Information zu bekommen, und dass es möglichst nahtlos möglich sein muss, dass auch ein Cyber-Security-Experte dann noch mal eine Sicht draufhaben kann auf dieses Ereignis, um es zu bewerten, was man denn damit macht. Oder idealerweise sieht man vielleicht schon, was passiert denn da gerade tatsächlich.

Michael Krammel: Ja, ich glaube, das war auch so in den früheren Systemen die Herausforderung, dass man unendlich viele Informationen oder Meldungen bekommt, was hätte eventuell schwierig sein können gerade in der Anlage, aber genau diese Interpretation, ich sag jetzt mal, so darzustellen, dass auch die Leute was damit anfangen können, die jetzt nicht nur die ganz großen Experten sind. Und ich glaube, das wird genau dieser schwierige Spagat sein. Dazu kommt aber natürlich auch, und ich glaube, das muss man heute auch stärker verfolgen, auch das Ingenieurswesen, die Leute, die in dem Automatisierungsumfeld arbeiten, die muss man natürlich auch stützen und unterstützen, dass sie sich mit diesen Themen auch weiterentwickeln können. Das ist einfach heute in der klassischen Ausbildung, gerade was IT und Security betrifft, noch lange nicht durchgedrungen, in diese Berufsgruppen im Prinzip auch schon früh diese Themen mit reinzubringen. Deswegen ist, glaube ich, Know-how-Transfer, Qualifizierung ein ganz wichtiges Thema an der Stelle.

Thomas Sinnwell: Nein, absolut. Und was ist denn jetzt deine Sicht auf das Thema, was ist für Industrieunternehmen, ob sie jetzt groß oder klein sind, ein guter Einstieg in das Thema Cyber-Security? Was könnte da ein guter Einstieg sein? Wie kann man sich dem Thema nähern?

Michael Krammel: Ich glaube, eine gute Basisgrundlage ist, erstmal zu wissen, wo man in der Situation steht heute. Also wirklich eine Analyse zu fahren, gegebenenfalls auch unterstützt durch automatisierte Unterstützung von seinen Monitoringsystemen, Aufnahmesystemen, um mal zu wissen, was sind für Assets da. Aber generell mal abzuklopfen, wo stehe ich in dem Kontext Security wirklich, um dann auch ehrlich und authentisch aus dieser Situation heraus die nächsten Schritte anzugehen. Weil so diese, ich nenne es immer ganz gerne so, Pflasterklebestrategie, ich mache mal da schnell eine Firewall hin und dahinten habe ich ein Problem, führt oft dazu, dass das Gesamtbild, das Big Picture eigentlich nicht klar dargestellt wird. Und so hechelt man immer dem nächsten Incident oder Problemstellung hinterher. Ich glaube, es ist ganz wichtig, mal so ein Gesamtbild zu bekommen, wo steht man, und dann natürlich eine Strategie zu entwickeln, mit der man die nächsten Schritte macht. Und auch da gibt es keinen Blueprint unbedingt dafür, sondern man muss einfach auch sehen: Was kann ein Unternehmen leisten? Wie können sie sich mit dem Thema auseinandersetzen? Und ich bin auch ein Freund von sogenannten Quick-Wins, so dass man im Prinzip eigentlich versucht, schnell, also Lösungen, die nicht viel kosten, die nicht viel Aufwand machen, schon mal ein Stück umzusetzen. Und da gibt es in der Regel immer ganz viel, was die Unternehmen auch sogar selbst machen können.

Thomas Sinnwell: Gut. Im IT-Bereich ist ja auch so ein probater Ansatz zu sagen, was macht denn praktisch 80 % der Schadensmöglichkeiten aus? Was sind denn da so diese klassischen Angriffe oder Angriffsvektoren, die es da gibt? Weil wenn ich mich um die schon mal kümmere, dann ist die Wahrscheinlichkeit, dass es mich bei den letzten 20 % noch erreicht, eher gering, weil Angreifer in der Regel auch ökonomisch vorgehen.

Michael Krammel: Genau. Und es ist ja auch so, man darf das nicht ganz unterschätzen, die größten Probleme liegen nicht immer unbedingt nur von außen her, sondern die passieren oft auch innen durch Unwissenheit und durch fehlende Awareness an der Stelle. So ein USB-Stick, der wird schnell mal irgendwo eingesteckt und wenn man dann natürlich gerade im OT-Umfeld keine Virenscanner hat, heterogene Systeme, Legacysysteme, kann so einer, wenn da was drauf ist, extreme Auswirkungen haben, natürlich. Und man diskutiert ja immer wieder, früher hat die IT gesagt, sie schützen sich vor der OT, heute sagt die OT, wir müssen uns vor IT schützen. Also das ist so Henne-Ei-Problem an der Stelle, aber das wird jetzt natürlich auch noch verstärkt in dem Falle, wo man jetzt natürlich gerade im Zuge der Digitalisierung oder Industrie 4.0 jetzt natürlich auch die Infrastruktur nochmal erweitert. Und auch die OT und die Produktionsumgebung natürlich in Cloud-Infrastrukturen anwendet, und da braucht es halt einfach jetzt immer mehr interdisziplinäre, übergreifende, ganzheitliche Security-Konzepte.

Thomas Sinnwell: Was sind da jetzt so diese, ich sag mal, Trendthemen, die im Moment jetzt beackert werden, um dieses hehre Ziel dann doch auch zu erreichen?

Michael Krammel: Es ist so wie immer, die Security steht nicht unbedingt so an erster Stelle, sondern heute ist ja, ich sag jetzt mal, das Megathema Digitalisierung und natürlich, dass Digitalisierung funktioniert. Das heißt, man entwickelt neue Ideen, man koppelt Produktionsdaten über Edge Computing aus, bringt die dann auf entsprechende Plattform in Cloud-Infrastrukturen und hat dann an vielen Stellen vielleicht auch gleich schon mal einen Mehrwert. Und das Security-Thema, wenn man es von Anfang an gleich mitdenkt, ist es natürlich eine gute Geschichte. Bei vielen steht vielleicht doch noch mal im Vordergrund, zuerst das andere zu machen. Ich bin ja selbst auch auf der Plattform Industrie 4.0 tätig in verschiedenen Arbeitskreisen. Ich würde aber sagen, das Thema Security ist der Enabler für das Thema Digitalisierung. Ohne Security wird es keine Digitalisierung geben und zumindest mal keine erfolgreiche Digitalisierung auf Zeit. Und deswegen wird es immer wichtiger werden, diese Dinge von Anfang an mit zu denken.

Thomas Sinnwell: Michael, wir hatten über das Thema Lebensdauer gesprochen, von Industrieanlagen, die ja doch erheblich länger ist als im IT-Bereich. Das heißt, ich habe in der Regel in den Unternehmen auch ganz viele alte Technologie stehen.

Michael Krammel: Absolut. Ja.

Thomas Sinnwell: Und Segmentierung ist da ja ein probates Mittel. Um das ein bisschen beherrschbarer zu machen, kann man natürlich dann auch noch mit Edge Boxen koppeln, letztendlich die dann typischerweise eine Industrie-Firewall, eine kleine, beinhalten. Wenn man es noch ein bisschen besser macht, habe ich da auch einen Abgriff-Punkt für Monitoringsysteme, um mich da anzudocken, um das Thema zu bedienen, was du aufgebracht hast, dass ich auch mal erkennen muss, ändert sich da irgendwas.

Michael Krammel: Genau. Das ist, weil der Mensch kann ja nicht in das Kabel reinschauen. Und ich sag mal, der wird auch nicht unbedingt immer jedes Log aus jeder Firewall entsprechend auslesen. Deswegen auch vorhin so ein Stück, um Security beherrschbarer zu machen, müssen wir Security mehr automatisieren. Und das wird sogar zukünftig wahrscheinlich sich sogar in so einer Situation entwickeln, dass es ja auch nicht mehr die langjährigen starren Netzwerke gibt, sondern aufgrund der Digitalisierung werden die Zugriffe, die Kommunikationsverbindungen wahrscheinlich auch immer flexibler gestaltet werden. Das heißt, auch da muss man sich Konzepte überlegen, wie baut man das auf?

Thomas Sinnwell: Und wie kann man da das Monitoring nachziehen.

Michael Krammel: Genau. Wie kann man das Monitoring da nachziehen an der Stelle. Aber ich glaube, technologisch gesehen sind das gar nicht so die ganz großen Herausforderungen, weil ich glaube, da gibt es schon gute Lösungsansätze. Ich sag immer ganz gerne, wir scheitern auch nicht technologisch, sondern das Thema Faktor Mensch und Organisation spielt da, glaube ich, eine ganz große Rolle. Weil man muss sich natürlich auch mit Betriebskonzepten auseinandersetzen. Wenn ich jetzt Lösungen oder Produkte einbaue, dann muss ich eigentlich von Anfang an überlegen, wer setzt sich damit auseinander? Weil auch bei einem Monitoringsystem muss ich jemand haben, der unterstützt, und ich muss mir bewusst sein, entweder ich bilde meine Leute selbst da drauf aus oder ich muss mir vielleicht sogar einen Service dazu nehmen.

Thomas Sinnwell: Was ja auch schon schwierig genug ist, weil Security-Experten gibt es ja jetzt wirklich nicht allzu viele.

Michael Krammel: Die sind sehr gefragt momentan.

Thomas Sinnwell: Auch noch welche, die im Industriebereich dann auch noch kundig sind, sich mit den speziellen Protokollen auskennen, da wird das Feld ja nochmal dünner. Das ist ja schon da ein ganz dickes Brett, was man bohren muss, um da Ressourcen aufzubauen.

Michael Krammel: Ja, aber ich bin persönlich der Meinung, wenn wir mehr für Wissenstransfer und Ausbildung investieren, auch die Unternehmen, dann wird es auch Leute geben in Unternehmen, die sich gerne mit diesen Themen auseinandersetzen würden. Weil wir haben ein tolles Fachpersonal, was das Thema Automatisierung betrifft, und auch Kenntnisstände da drin. Da ist es vielleicht gar nicht so weit weg, wenn man dort einfach dieses Wissen noch weiterentwickelt und aufbaut. Und dann damit auch ich sag jetzt mal Unternehmen befähigt, …

Thomas Sinnwell: (unv. #00:25:46.2#) Konzepte entwickelt, …

Michael Krammel: … die Dinge selbst zu machen.

Thomas Sinnwell: … um das in Unternehmen danach in die Breite zu bringen, um da alle betroffenen Berufsgruppen reinzubinden und das doch dafür notwendige Wissen auch zu vermitteln.

Michael Krammel: Genau. Und ich glaube schon, wenn man den Weg geht, ich nenne es auch immer ganz gerne Workforce Transformation. Ist auch ein Thema, was wir bei uns verstärkt da mit in den Fokus nehmen wollen, dass wir alle gemeinsam das Wissen mehr sharen müssen, austauschen müssen, damit man einfach in den Themen auch besser die Projekte umsetzen kann, und zwar von allen Seiten, sowohl von Dienstleisterseite als auch von Betreiberseite und auch Herstellerseite. Auch die Hersteller, da muss man auch ein großes Kompliment machen, viele Hersteller gehen inzwischen auch wirklich in die Prozesse rein, sichere Softwareentwicklung, sichere Produkte. Wenn es Probleme gibt mit Produkten, dann werden die im Prinzip auch gemeldet proaktiv. Früher hat man eher so die Decke drübergelegt, es soll ja keiner wissen, dass ich vielleicht eine Schwachstelle in meinem Produkt habe. Nein, heute gibt es CERTs wie (unv. #00:26:54.9# RNVD CERT, obwohl genau diese Produkthersteller ihre entsprechenden Schwachstellen sogar melden und dann Patches wieder zur Verfügung stellen. Also man merkt, dass da kulturell doch schon gerade ein bisschen ein anderer Drive reinkommt.

Thomas Sinnwell: Was ja auch wirklich notwendig ist.

Michael Krammel: Absolut.

Thomas Sinnwell: Ich meine, man kann sich dem Thema ja über verschiedene Wege nähern. Das eine ist das Thema Angst, fällt mir vielleicht jetzt das Buch „Blackout“ ein. Das ist ja jetzt nicht, dass das jetzt völlig unrealistisch wäre.

Michael Krammel: Nein.

Thomas Sinnwell: Und wenn man es liest, kann man ja auch durchaus ein bisschen Angst bekommen. Wie ist denn da jetzt zukünftig bei euch der Weg? Wie nähert ihr euch jetzt in der K4 Digital diesem Thema?

Michael Krammel: Die Erfahrung der Jahre jetzt, in diesem Kontext gerade speziell auch OT Security, und die Security hört ja nicht an der IT auf, die Themen werden immer ganzheitlicher, haben wir sehr gute Erfahrungen damit gemacht, wirklich ganzheitlich an die Themen ranzugehen. Und zwar im Prinzip haben wir sogar mal so einen Tetraeder-Ansatz entwickelt, das Thema Organisation, Prozesse, Technologie und Faktor Mensch muss gleichbehandelt werden, weil egal, an welcher Stellschraube ich auch Security-technisch was tue, muss ich im Prinzip auch auf die anderen Themen schauen. Und dass mit diesem ganzheitlichen Ansatz man wirklich auch eine Sicht auf das Big Picture hat und dann kann man Security aus unserer Erfahrung heraus auch sehr gut beherrschbar machen. Natürlich hat es eine gewisse Komplexität auch, aber lieber zu wissen systemisch, wie funktioniert mein System, wo muss ich überall das Thema bedienen und dann halt auch Prioritäten zu setzen. Weil es kann keiner das Ding von Anfang bis zum Ende in einem Jahr irgendwie umsetzen und es ist auch kein Projekt, Security ist ein Prozess.

Thomas Sinnwell: Genau. Und insofern wichtig zu wissen, wo man steht, wichtig zu wissen, was man noch machen kann, und das dann natürlich über die Zeit auch vernünftig priorisiert einplanen.

Michael Krammel: Genau.

Thomas Sinnwell: Dann möchte ich doch irgendwie noch ganz gerne ein Fazit ziehen und bitte dich, mir dabei zu helfen. Dann bekommen wir vielleicht so die Top 5 Punkte hin für den Bereich OT, für das Thema Automatisierung oder 4.0 oder auch Industrie 4.0.

Michael Krammel: Die 1. Empfehlung, glaube ich, die ich so aus den letzten Jahren mitgenommen habe: Es ist ganz wichtig, wenn man Veränderungen bewegen will, sei das jetzt in der Digitalisierung oder sei das auch im Security-Umfeld, ganz wichtig, Management Commitment. Ich kann das nicht aus einer Mitte heraus in einer Organisation erfolgreich steuern, wenn das Management nicht dahintersteht. Und deswegen auf jeden Fall, Management ist ganz wichtig, sich mit diesen Themen auseinander zu setzen und im Prinzip dann innerhalb der Organisation das Thema halt weiterentwickeln zu lassen.

Thomas Sinnwell: Dann würde ich als Punkt 2 das Thema Awareness, die Menschen, alle betroffenen Berufsgruppen einbinden, und insbesondere das notwendige Know-how vermitteln.

Michael Krammel: Und dann einfach keine Angst haben vor Veränderungen. Ich glaube, das ist auch so. Und derjenige, der gibt, der kriegt auch was. Und deswegen ist das, glaube ich, auch so ein kultureller Prozess, der sich weiterentwickeln muss, damit man den Herausforderungen sich neu stellen kann. Sei es, egal ob das jetzt die Digitalisierung ist oder Security ist, wir werden so ein Stück die Silos aufreißen müssen, wir müssen mehr zusammenarbeiten und vor allem, man muss versuchen, sich interdisziplinärer aufzustellen. Und dann bekommt man diese Dinge auch, glaube ich, gut hin.

Thomas Sinnwell: Dann fällt mir als nächstes ein, Strukturen härten. Und wenn ich alte Technologie nicht anfassen kann, ist es halt über Segmentierung. Dann letztendlich die Maßnahme umsetzen und dann, aus meiner Sicht, ganz, ganz wichtig: Möglichkeiten schaffen, zu sehen, was eigentlich in diesen sehr komplexen Netzen wirklich passiert. In einer Form, die für das Personal auch interpretierbar ist.

Michael Krammel: Und ich glaube, was man noch vielleicht ergänzen kann, ist wirklich, dass man Wege sucht, wie man Security mehr automatisieren kann. Nicht nur einfach zehn Technologien einbauen, die miteinander nicht harmonieren, sondern dass man versucht, mehr auf multidisziplinäre Lösungen anzusetzen. Und dafür muss man letztendlich auch wieder alle Beteiligten an den Tisch nehmen, weil sonst macht die IT dieses und die OT macht jenes, und die Digitalisierung macht dann nochmal was, und in der Regel passen dann die Puzzlestücke nicht unbedingt aufeinander.

Thomas Sinnwell: Michael, ich danke dir recht herzlich für das Gespräch, hat mir viel Spaß gemacht. Und ich freue mich so auf unsere weiteren Berührpunkte. Da haben wir uns ja auch noch einiges vorgenommen.

Michael Krammel: Ja genau. Und hat mir auch Spaß gemacht. Schauen wir in die Digitalisierung und versuchen die auch gut zu meistern an der Stelle.

Thomas Sinnwell: Genau. Besten Dank!

Michael Krammel: Danke, dir auch. Ciao!

Thomas Sinnwell: Ciao!

 

So. Das war’s zum heutigen Thema. Wir hoffen, wir konnten euch wie immer ein bisschen unterhalten und ihr konntet was mitnehmen. Weiterführende Links findet ihr wie immer in den Shownotes. Und wenn euch der Podcast gefallen hat, dann freuen wir uns, wenn ihr uns folgt. Die nächste Folge ist auch schon in den Startlöchern und erscheint am 3. Dezember, wie immer jeden ersten Donnerstag im Monat. Gerne einschalten und jetzt schon vormerken. Es lohnt sich.

Ihre Cookie-Einstellungen

Technisch notwendige (essenzielle) Cookies

Informationen zu den einzelnen Cookies

  • Mehr anzeigen

    Technisch notwendige (essenzielle) Cookies

    Notwendige Cookies helfen dabei, eine Webseite nutzbar zu machen, indem sie Grundfunktionen wie Seitennavigation und Zugriff auf sichere Bereiche der Webseite ermöglichen. Die Webseite kann ohne diese Cookies nicht richtig funktionieren.

    Name fe_typo_user
    Anbieter consistec.de
    Zweck Sichert die Anti-Spam-Maßnahmen bei Benutzen des Kontaktformulars
    Ablauf Session
    Typ HTTP
    Name conCookieSettings
    Anbieter consistec.de
    Zweck Speichert die Zustimmung zu Cookies
    Ablauf 30 Tage
    Typ HTTP
    Name mtm_consent_removed
    Anbieter consistec.de
    Zweck Wird von Piwik Analytics Platform (matomo) genutzt, um festzustellen, dass dem Tracking widersprochen wurde.
    Ablauf 1 Monat
    Typ HTTP
  • Mehr anzeigen

    Statistiken

    Statistik-Cookies helfen Webseiten-Besitzern zu verstehen, wie Besucher mit Webseiten interagieren, indem Informationen anonym gesammelt und gemeldet werden.

    Name matomo.php
    Anbieter consistec.de
    Zweck Erfasst Statistiken über Besuche des Benutzers auf der Website, wie z. B. die Anzahl der Besuche, durchschnittliche Verweildauer auf der Website und welche Seiten gelesen wurden.
    Ablauf Session
    Typ HTTP
    Name _pk_id#
    Anbieter consistec.de
    Zweck Erfasst Statistiken über Besuche des Benutzers auf der Website, wie z. B. die Anzahl der Besuche, durchschnittliche Verweildauer auf der Website und welche Seiten gelesen wurden.
    Ablauf 1 Jahr
    Typ HTTP
    Name _pk_ses#
    Anbieter consistec.de
    Zweck Wird von Piwik Analytics Platform (matomo) genutzt, um Seitenabrufe des Besuchers während der Sitzung nachzuverfolgen.
    Ablauf 1 Tag
    Typ HTTP
    Name _pk_testcookie..undefined
    Anbieter consistec.de
    Zweck Wird von Piwik Analytics Platform (matomo) genutzt, um zu überprüfen, ob der verwendete Browser Cookies unterstützt.
    Ablauf Session
    Typ HTTP
    Name _pk_testcookie.#
    Anbieter consistec.de
    Zweck Wird von Piwik Analytics Platform (matomo) genutzt, um zu überprüfen, ob der verwendete Browser Cookies unterstützt.
    Ablauf Session
    Typ HTTP