Folge 3

Industrie 4.0 – Digitalisierung und Security. IT trifft OT

Wenn man Veränderungen will, sei es in Richtung Digitalisierung oder im Security-Umfeld, ist das allerwichtigste: Management Commitment.

In unserer 3. Folge spricht consistec CEO Thomas Sinnwell mit Michael Krammel von der K4 Digital. Michael ist einer der führenden Vordenker beim Thema Industrial Security und wird uns spannende Einblicke in seine Welt gewähren. Wir wollen von ihm wissen, was Industrie 4.0 für Organisationen bedeutet, was bedeutet es für die Menschen und wo liegen die Herausforderungen? Spannende Fragen. Viel Spaß beim Hören!

Transkription

 

Thomas Sinnwell: Heute habe ich Michael Krammel zu Gast und wir sprechen zum Thema Automatisierung 4.0 oder Industrie 4.0, Untertitel „OT trifft IT“. Schön, dass du da bist, Michael.

Michael Krammel: Hallo Thomas! Hat mich auch sehr gefreut, die Einladung und ich freue mich auf unser Gespräch.

Thomas Sinnwell: Ich habe ja grob verraten, worum es geht. Wir wollen im Detail Fragen nachgehen wie: Was bedeutet denn jetzt Automatisierung 4.0 oder Industrie 4.0 wirklich für Organisationen? Was bedeutet das für die Menschen? Und worin liegen die Herausforderungen? Und ich hoffe, dass wir es dann innerhalb der nächsten halben Stunde schaffen, da ein paar Antworten herauszuarbeiten, um unseren Zuhörern da auch ein bisschen was mit auf den Weg geben zu können.

Michael Krammel: Auf jeden Fall können wir ein Stück davon erzählen.

Thomas Sinnwell: Das stimmt. Aber starten möchte ich mit einer kurzen Vorstellung von dir. Wenn ich mich richtig erinnere, bist du 89, im letzten Jahrhundert geboren…

Michael Krammel: Genau.

Thomas Sinnwell: Oh Gott, wie das klingt.

Michael Krammel: Ja, aber es stimmt ja. Man muss ja auch dazu stehen.

Thomas Sinnwell: … im Konzernumfeld warst du da in den Bereichen Automatisierung und Prozessleittechnik unterwegs.

Michael Krammel: Genau.

Thomas Sinnwell: Dann kamst du anschließend zur KORAMIS. Hast dich dort mit den Themen digitale Fabrik, industrielle Softwareentwicklung und Industrial Security beschäftigt, hast dort neue Geschäftsfelder entwickelt. Und ich glaube, 2008 wurdest du Geschäftsführer.

Michael Krammel: Genau.

Thomas Sinnwell: Und ganz aktuell hast du die K4 Digital gegründet.

Michael Krammel: Ja genau. Ich bin aus der KORAMIS ausgetreten und stelle mich jetzt wieder ein paar neuen Herausforderungen.

Thomas Sinnwell: Sehr schön, sehr spannend. Also ich denke, wir hören am Schluss noch ein bisschen was dazu. Was bedeutet denn jetzt Industrie 4.0, insbesondere natürlich für Industrieunternehmen?

Michael Krammel: Ich habe immer so ein Stück meine Herausforderungen mit den Buzzwörtern, weil es ein bisschen schwierig ist, an den Stellen das Buzzwort in den richtigen Kontext zu setzen. Also Industrie 4.0 wird in der Regel dafür genommen, dass man Geschäftsprozesse oder Geschäftsmodelle verändert. Das bedeutet im Prinzip dann vom Geschäftsprozess bis zur Infrastruktur, Prozesse verändert werden müssen oder automatisiert werden müssen. Und das ist eigentlich der Fokus, unter dem Industrie 4.0 läuft.

Thomas Sinnwell: Also so aus der Vogelperspektive dann auch das Thema Effizienzsteigerung in den Prozessen, Wertschöpfung verbessern.

Michael Krammel: Genau. Und vor allem natürlich Kosten sparen. Also das macht man nicht der Sache wegen, am Ende des Tages darum, wettbewerbsfähig zu sein, ich sag jetzt mal auch im Kontext der internationalen Digitalisierung.

Thomas Sinnwell: Das ist doch sicherlich so, dass sich da die Konzerne wesentlich leichter mittun als der Mittelstand. Wie ist denn da so deine Sicht, wie sind denn deine Erfahrungswerte?

Michael Krammel: Ich würde noch nicht mal unbedingt sagen, dass diese sich viel leichter tun, weil die Herausforderungen durch die Organisation, diese Prozesse neu aufzusetzen, zu verändern, manchmal vielleicht sogar viel höhere Herausforderungen darstellen wie, wenn man das im Mittelstand macht oder bei kleineren Unternehmen. Wichtig ist, dass es durch die gesamte Organisation wirklich Veränderungen gibt und die müssen natürlich auch mit ganz starkem Commitment des Managements durchgeführt werden.

Thomas Sinnwell: Jetzt kenne ich es aus anderen Bereichen ja auch, sobald so fundamentale Änderungen anstehen, gibt’s ja auch Widerstand.

Michael Krammel: Ja.

Thomas Sinnwell: Wie ist das jetzt so im Industriebereich? Da seid oder bist du ja schon länger unterwegs.

Michael Krammel: Ja, das ist natürlich klar, man hat dort eingeschwungene Prozesse, man sagt an den Stellen natürlich: das haben wir schon viele Jahre so gemacht, warum sollen wir das verändern? Und es sprengt vor allem auch ein Stück die Grenzen zwischen den Dingen. Es geht nicht mehr nur um Produktion, es geht auch um die IT, es geht um Geschäftsprozesse. Also man muss sich diesen Ansätzen ganz anders stellen, mehr interdisziplinär und mehr ganzheitlich natürlich an der Stelle. Und so wie du das richtig gesagt hast, da gibt es natürlich auch eine Menge Widerstände.

Thomas Sinnwell: Aber wir kommen ja da später noch darauf zu sprechen, wie ihr euch da jetzt zukünftig noch positionieren werdet. Ich kann mir gut vorstellen, dass das natürlich auch ein ganz eklatantes Thema ist, wenn man einen ganzheitlichen Beratungsansatz fahren möchte.

Michael Krammel: Ja, ich glaube, dass die Herausforderung darin besteht, wirklich das Thema miteinander umsetzen zu müssen. Dass man nicht mehr die einzelnen Silos hat, die sich um ihre Themen kümmern, sondern dass man eigentlich diese Dinge aufbrechen muss und gemeinsam und co-kreativ an diesen Weiterentwicklungsthemen arbeiten muss. Und das stellt natürlich schon viele Herausforderungen an der Stelle.

Thomas Sinnwell: Bevor wir da jetzt so ein bisschen ins Detail einsteigen, noch eine Frage von meiner Seite: Nimmst du irgendwelche Unterschiede in verschiedenen Branchen wahr oder ist es überall das gleiche Thema?

Michael Krammel: Ja, ich glaube schon, dass es leichte Unterschiede gibt. Ich glaube, im produzierenden Gewerbe ist es momentan so, dass man sich etwas leichter tut mit der Thematik Digitalisierung, während es so auch in, ich sag mal, in Standardbranchen wie Energie natürlich auch eine Art Digitalisierung gibt, die sich aber vielleicht ein bisschen anders gestaltet an der Stelle. Also jeder Branchenbereich hat, glaube ich, seine eigenen Spezialitäten, wenn es um das Thema Digitalisierung geht, aber wir beschäftigen uns ja auch noch mit ein paar anderen Themen. Wenn wir an der Stelle so ein bisschen den Security-Aspekt sehen …

Thomas Sinnwell: Ja, da wollte ich gerade darauf zu sprechen kommen. Ich denke, das ist sicherlich ein Thema, dass alle vereint. Ein Thema bei dem alle zu kämpfen haben.

Michael Krammel: Genau. Und da muss man schon sagen, natürlich haben die Branchen unterschiedliche Standards im Security-Umfeld, aber, wenn man das mal wirklich im Detail betrachtet, dann sieht man, dass alle so ziemlich die gleichen Herausforderungen haben und die Leitplanken der Standards sich schon ein Stück ähneln an der Stelle.

Thomas Sinnwell: Was sind denn die besonderen Herausforderungen im Bereich OT?

Michael Krammel: Ja gut, das Security-Umfeld oder das Security-Thema selbst ist wahrscheinlich noch, wie soll ich sagen, nicht unbedingt ein Thema, dass schon sehr lange aktiv besprochen wird. Ich meine, da arbeiten ganz tolle Leute, von Ingenieuren, Technikern aller Art, über Fachleute, die einen tollen Job machen. Aber das Thema Security war natürlich historisch gesehen nie unbedingt ein großes Thema an der Stelle. Man muss ja auch dazusagen, früher hatte man auch ein bisschen mehr das Gefühl, man war auf einer Insel und da gab es keine Brückenschläge. Da hat sich natürlich die letzten Jahre eine ganze Menge getan. Und heute verbindet man die Infrastrukturen, heute gibt es klassische IT-Infrastrukturen genauso im Produktionsumfeld wie im IT-Umfeld. Und damit steigen natürlich auch die Risiken aufgrund der Vernetzung in dem Bereich Security. Und man liegt….

Thomas Sinnwell: Das heißt also, IT und OT beginnen zu verschmelzen? Oder eigentlich ist das ja schon so und seit ein paar Jahren wird das immer stärker.

Michael Krammel: Ja, ja, genau. Also es ist so, man hatte ja teilweise sogar IT und OT zusammengekoppelt, da war ja manchmal nicht mal eine Trennung drin. Da ist man natürlich weitaus sensibilisierter. Ich meine, auch das Thema IT-Sicherheitsgesetz hat da natürlich auch viel dafür getan, die Anschläge, die überall passieren. Also man stellt sich heute diesen Dingen und die größere Herausforderung ist eigentlich, mit welchen Maßnahmen kann ich die Security im OT-Umfeld betreiben? Die sind halt nicht eins zu eins identisch, wie ich das aus der IT kenne.

Thomas Sinnwell: Genau. Man könnte jetzt ja naiv auf die Idee kommen, wenn das sowieso so am Zusammenwachsen ist, dann kann ich doch die Konzepte, die sich in der IT bewährt haben, einfach der OT überstülpen und alles wird gut, aber das funktioniert nicht. Was sind denn da die Gründe?

Michael Krammel: Ich meine, wenn man das mal wirklich betrachtet, in der IT hat man eine Lebensdauer von IT-Equipment von drei, vier, vielleicht mal maximal fünf Jahren, dann werden die Gerätschaften ausgetauscht, weil dann im Prinzip die Betriebssysteme abgekündigt sind. Das funktioniert natürlich im OT nicht. Wenn man sich eine Produktionsstraße in der Automobilindustrie vorstellt und wenn man da jeden Rechner austauschen würde alle drei Jahre, dann wären die Autos noch ein Stück teurer an der Stelle.

Thomas Sinnwell: Und die Software hat dann noch ein paar Bugs mehr.

Michael Krammel: Genau. Das auch, ja. Von der Seite aus sind die klassischen Maßnahmen nicht so einfach umzusetzen. Oft ist es auch so, dass wenn man patchen würde, wie man das im klassischen Sinne kennt, also Virenscanner auf die Maschinen bringt, dann funktioniert das aufgrund der Legacy-Systeme weniger. Ich kann nicht einfach mal so einen Rechner in der Produktion booten, wenn ich eine 24x7-Verfügbarkeit habe. Und so gibt es eine ganze Menge Dinge, die einfach zu berücksichtigen sind. Deswegen braucht man auch andere Konzepte und andere Maßnahmen.

Thomas Sinnwell: Ich würde es jetzt vielleicht noch um einen Punkt ergänzen wollen, wie Virenschutz. Dieser ist in der IT völlig üblich, völlig unproblematisch umsetzbar, in der OT sehr schwierig bis unmöglich. Vielleicht dann auch noch so der Punkt physische Sicherheit. In der IT gibt’s da halt schon den Serverraum mit begrenzten Zugriffsmöglichkeiten, bei großen Industrieanlagen, komplexen Geländen, da habe ich ja schon die Chance, mich mal drauf zu mogeln, bevor mich der Werkschutz entdeckt. Da habe ich natürlich ganz andere Angriffsflächen.

Michael Krammel: Ja. Und ich glaube auch, die Möglichkeiten, Probleme zu detektieren, sind auch noch nicht üblich im OT-Umfeld. Also dass man ein echtes Monitoring hat, dass man wirklich auch Dinge erkennt. Das sieht man immer wieder auch an Beispielen, dass Schadsoftware teilweise, bis die überhaupt mal entdeckt worden ist, im Markt teilweise schon vier, fünf Jahre in Anlagen operativ tätig war und man im Prinzip gar nicht wusste, dass es so eine Schadsoftware gibt an der Stelle. Und ich glaube, da ist es wichtig, dass man da zukünftig halt auch gerade für diese Detektion, für dieses Monitoring, geeignete Maßnahmen letztendlich da einführt.

Thomas Sinnwell: Ja. Nein, sehen wir auch absolut so. Und für uns sind da zwei Aspekte ganz wichtig, zum einen das Thema Transparenz, wirklich mal sehen zu können, was habe ich eigentlich? Weil nur das, was ich kenne, kann ich auch schützen. Und gerade bei diesen sehr komplexen Industrieanlagen ist das ja oft auch vom Dokumentationsstand sehr, sehr schwierig. Das heißt, überhaupt mal so eine Erfassung zu machen, zu wissen, wie ist denn mein Ist-Stand. Erster Aspekt bei der Transparenz und dann der zweite aus unserer Sicht, was ändert sich, was ist der Normalzustand, und wann passiert da was Neues.

Michael Krammel: Genau. Also wir erleben das immer wieder, wenn wir Gap-Analysen machen oder Risikoanalysen im OT-Umfeld, dass es, ich sag mal, die Unternehmen oft vor eine größere Herausforderung stellt, überhaupt mal aktuelle Dokumentationen zu haben, Netzwerkpläne, oder auch zu wissen, wo stehen alle Geräte und sind überhaupt alle Geräte erfasst. Weil das ist halt ein Bereich, der auch historisch gewachsen ist. Und man hat früher einfach halt auch mit Dokumentationen, siebenfache Ausfertigungen auf Papier dann irgendwo in Archive gestellt, und ob die dann immer weiterdokumentiert worden sind, das ist auch so ein Thema, was die letzten Jahre hinten runtergefallen ist, auch preislich in Projekten, dass man dann lieber vielleicht mal an der Dokumentation gespart hat, wie dass man halt wirklich an der Funktionalität spart. Und das fällt dann natürlich irgendwann ein Stück auf die Füße.

Thomas Sinnwell: Jetzt hattest du ja das Thema Monitoring aufgebracht. Was ist denn, aus deiner Sicht, jetzt gerade in diesem industriellen Umfeld wichtig bei derartigen Systemen?

Michael Krammel: Ja gut, ich glaube, es ist wichtig, a) mal zu wissen, was habe ich alles an Equipment? Also, dass man das idealerweise in einem Monitoring-Ansatz miterfassen kann. Die Schwierigkeit, die man heute ja immer noch auch im industriellen Umfeld hat, ist, mit den klassischen früheren Systemen, dass ich da mal einen Scan durch die Anlage mache und weiß im Endeffekt nachher, was da ist, funktioniert in der IT, in der OT wird es dann doch schwieriger. Die letzten Jahre haben sich aber natürlich auch die Systeme weiterentwickelt. Und dann, wenn eine gewisse Anomalie zu erkennen ist, auch die Industrieprotokolle basieren ja heute auf Ethernet, dass man dann zumindest mal eine Information an der Stelle bekommt. Und ich weiß noch, ich habe noch in 2005 / 2006 mit Themen gearbeitet, bei denen man alle Regelwerke selbst eingeben musste, also man musste selbst tunen. Also auch da brauchen wir einen natürlichen Algorithmus, der das automatisiert macht. Also wir haben, aus meiner Sicht, immer noch in der Security viel zu viel manuelle Arbeit. Security muss, damit es handhabbar wird, zukünftig immer mehr automatisiert werden. Und ich glaube, dann können solche Systeme auch gut helfen.

Thomas Sinnwell: Gut. Wenn man das weitreichend automatisiert oder Anomalien erkennt, dann ist man ganz schnell bei dem Thema KI oder maschinellem Lernen. Und da gibt es auch ganz unterschiedliche Ansätze. Da kann ich mir vorstellen oder das ist auch so unser Credo, dass es grade in diesem Industriebereich ganz entscheidend ist, dass diese Systeme auch beherrschbar sind. Das heißt, dass die Mitarbeiter im Leitstand auch eine Chance haben, eine sinnvolle Information zu bekommen. Es soll möglichst nahtlos möglich sein, sodass auch ein Cyber-Security-Experte auf dieses Ereignis schauen kann, um zu bewerten, was man denn damit macht. Oder idealerweise sieht man vielleicht schon, was passiert denn da tatsächlich.

Michael Krammel: Ja, ich glaube, das war auch in den früheren Systemen die Herausforderung, dass man unendlich viele Informationen oder Meldungen bekommt. Was hätte eventuell schwierig sein können gerade in der Anlage? Genau diese Interpretation, so darzustellen, dass auch die Leute was damit anfangen können, die jetzt nicht nur die ganz großen Experten sind. Und ich glaube, das wird genau dieser schwierige Spagat sein. Dazu kommt aber natürlich auch, und ich glaube, das muss man heute auch stärker verfolgen, auch das Ingenieurswesen, die Leute, die in dem Automatisierungsumfeld arbeiten, die muss man natürlich auch stützen und unterstützen, dass sie sich mit diesen Themen auch weiterentwickeln können. Das ist einfach heute in der klassischen Ausbildung, gerade was IT und Security betrifft, noch lange nicht durchgedrungen. Es ist wichtig in diese Berufsgruppen diese Themen schon früh mit reinzubringen. Deswegen ist Know-how-Transfer und Qualifizierung ein ganz wichtiges Thema an der Stelle.

Thomas Sinnwell: Ja, absolut. Und was ist denn jetzt deine Sicht auf das Thema? Was ist für Industrieunternehmen, ob sie jetzt groß oder klein sind, ein guter Einstieg in das Thema Cyber-Security? Was könnte da ein guter Einstieg sein? Wie kann man sich dem Thema nähern?

Michael Krammel: Ich glaube, eine gute Basisgrundlage ist, erstmal zu wissen, wo man in der Situation steht. Also wirklich eine Analyse zu fahren, gegebenenfalls durch automatisierte Unterstützung von seinen Monitoringsystemen, Aufnahmesystemen, um mal zu wissen, was sind für Assets da. Aber generell mal abzuklopfen, wo stehe ich in dem Kontext Security wirklich, um dann ehrlich und authentisch aus dieser Situation heraus die nächsten Schritte anzugehen. Weil diese, ich nenne es immer ganz gerne so, Pflasterklebestrategie, ich mache mal da schnell eine Firewall hin und dahinten habe ich ein Problem, führt oft dazu, dass das Gesamtbild nicht klar dargestellt wird. Und so hechelt man immer dem nächsten Incident oder Problemstellung hinterher. Ich glaube, es ist ganz wichtig, mal so ein Gesamtbild zu bekommen, wo steht man und dann natürlich eine Strategie zu entwickeln, mit der man die nächsten Schritte macht. Und auch da gibt es keinen Blueprint unbedingt dafür, sondern man muss einfach auch sehen: Was kann ein Unternehmen leisten? Wie können sie sich mit dem Thema auseinandersetzen? Und ich bin auch ein Freund von sogenannten Quick-Wins, so dass man im Prinzip versucht, schnelle Lösungen, die nicht viel kosten, die nicht viel Aufwand machen, ein Stück umzusetzen. Und da gibt es in der Regel immer ganz viel, was die Unternehmen selbst machen können.

Thomas Sinnwell: Gut. Im IT-Bereich ist es ja auch ein probater Ansatz zu sagen, was macht denn praktisch 80 % der Schadensmöglichkeiten aus? Was sind denn diese klassischen Angriffe oder Angriffsvektoren, die es gibt? Weil wenn ich mich um die schon mal kümmere, dann ist die Wahrscheinlichkeit, dass es mich bei den letzten 20 % noch erreicht, eher gering, weil Angreifer in der Regel auch ökonomisch vorgehen.

Michael Krammel: Genau. Und es ist ja auch so, man darf das nicht ganz unterschätzen, die größten Probleme liegen nicht immer unbedingt nur von außen her, sondern die passieren oft auch innen durch Unwissenheit und durch fehlende Awareness an der Stelle. So ein USB-Stick, der wird schnell mal irgendwo eingesteckt. Wenn man dann gerade im OT-Umfeld keine Virenscanner hat, heterogene Systeme, Legacysysteme, kann so einer, wenn da was drauf ist, extreme Auswirkungen haben. Man diskutiert ja immer wieder darüber. Früher hat die IT gesagt, sie schützen sich vor der OT, heute sagt die OT, wir müssen uns vor IT schützen. Das ist ein Henne-Ei-Problem an der Stelle, aber das wird auch noch verstärkt in dem Falle, wo man jetzt natürlich gerade im Zuge der Digitalisierung oder Industrie 4.0 auch die Infrastruktur nochmal erweitert. Und auch die OT und die Produktionsumgebung natürlich in Cloud-Infrastrukturen anwendet, und da braucht es halt einfach jetzt immer mehr interdisziplinäre, übergreifende, ganzheitliche Security-Konzepte.

Thomas Sinnwell: Was sind da jetzt, ich sag mal, Trendthemen, die im Moment beackert werden, um dieses Ziel zu erreichen?

Michael Krammel: Es ist so wie immer, die Security steht nicht unbedingt an erster Stelle, sondern heute ist das Megathema: Digitalisierung und natürlich, dass Digitalisierung funktioniert. Das heißt, man entwickelt neue Ideen, man koppelt Produktionsdaten über Edge Computing aus, bringt die dann auf entsprechende Plattform in Cloud-Infrastrukturen und hat dann an vielen Stellen vielleicht auch gleich schon mal einen Mehrwert. Und das Security-Thema, wenn man es von Anfang an gleich mitdenkt, ist es natürlich eine gute Geschichte. Bei vielen steht vielleicht doch noch mal im Vordergrund, zuerst das andere zu machen. Ich bin ja selbst auch auf der Plattform Industrie 4.0 tätig in verschiedenen Arbeitskreisen. Ich würde aber sagen, das Thema Security ist der Enabler für das Thema Digitalisierung. Ohne Security wird es keine Digitalisierung geben. Zumindest mal keine erfolgreiche Digitalisierung auf Zeit. Und deswegen wird es immer wichtiger werden, diese Dinge von Anfang an mit in Betracht zu ziehen.

Thomas Sinnwell: Michael, wir hatten über das Thema Lebensdauer gesprochen, von Industrieanlagen, die ja doch erheblich länger ist als im IT-Bereich. Das heißt, ich habe in der Regel in den Unternehmen auch ganz viele alte Technologie stehen.

Michael Krammel: Absolut. Ja.

Thomas Sinnwell: Und Segmentierung ist da ja ein probates Mittel. Um das ein bisschen beherrschbarer zu machen, kann man natürlich dann auch noch mit Edge Boxen koppeln, die dann typischerweise eine kleine Industrie-Firewall beinhalten. Wenn man es noch ein bisschen besser macht, habe ich da auch einen Abgriff-Punkt für Monitoringsysteme, um mich da anzudocken, um das Thema zu bedienen, was du aufgebracht hast, dass ich auch mal erkennen muss, ändert sich da irgendwas.

Michael Krammel: Genau. Das ist, weil der Mensch kann ja nicht in das Kabel reinschauen. Und ich sag mal, der wird auch nicht unbedingt immer jedes Log aus jeder Firewall entsprechend auslesen. Deswegen auch vorhin so ein Stück, um Security beherrschbarer zu machen, müssen wir Security mehr automatisieren. Und das wird sich zukünftig in so einer Situation entwickeln. Es wird nicht mehr diese langjährigen starren Netzwerke geben, sondern aufgrund der Digitalisierung werden die Zugriffe, die Kommunikationsverbindungen wahrscheinlich auch immer flexibler gestaltet werden. Das heißt, auch da muss man sich Aufbaukonzepte überlegen.

Thomas Sinnwell: Und wie man an der Stelle das Monitoring nachziehen kann.

Michael Krammel: Genau. Wie kann man das Monitoring nachziehen? Aber ich glaube, technologisch gesehen sind das nicht die ganz großen Herausforderungen. Ich glaube, da gibt es schon gute Lösungsansätze. Ich sag immer ganz gerne, wir scheitern auch nicht technologisch, sondern das Thema Faktor Mensch und Organisation spielt da eine ganz große Rolle. Weil man muss sich natürlich auch mit Betriebskonzepten auseinandersetzen. Wenn ich jetzt Lösungen oder Produkte einbaue, dann muss ich eigentlich von Anfang an überlegen, wer setzt sich damit auseinander? Weil auch bei einem Monitoringsystem muss ich jemand haben, der unterstützt, und ich muss mir bewusst sein, entweder ich bilde meine Leute selbst da drauf aus oder ich muss mir vielleicht sogar einen Service dazu nehmen.

Thomas Sinnwell: Was ja auch schon schwierig genug ist, weil Security-Experten gibt es ja wirklich nicht allzu viele.

Michael Krammel: Die sind sehr gefragt momentan.

Thomas Sinnwell: Auch welche, die im Industriebereich kundig sind und sich mit den speziellen Protokollen auskennen. Da wird das Feld ja nochmal dünner. Das ist ein dickes Brett, welches man durchbohren muss, um da Ressourcen aufzubauen.

Michael Krammel: Ja, aber ich bin persönlich der Meinung, wenn wir mehr in Wissenstransfer und Ausbildung investieren, auch die Unternehmen, dann wird es auch Leute geben in Unternehmen, die sich gerne mit diesen Themen auseinandersetzen würden. Wir haben tolles Fachpersonal, was das Thema Automatisierung betrifft. Da ist es vielleicht gar nicht so weit weg, wenn man dort einfach dieses Wissen noch weiterentwickelt und aufbaut. Und dann damit auch ich sag jetzt mal Unternehmen befähigt, …

Thomas Sinnwell: und Konzepte entwickelt, …

Michael Krammel: … die Dinge selbst zu machen.

Thomas Sinnwell: … um das in Unternehmen danach in die Breite zu bringen, um da alle betroffenen Berufsgruppen reinzubinden und das doch dafür notwendige Wissen auch zu vermitteln.

Michael Krammel: Genau. Und ich glaube schon, dass wenn man den Weg geht, es auch eine, ich nenne es auch immer ganz gerne Workforce Transformation gibt. Ist auch ein Thema, was wir bei uns verstärkt in den Fokus nehmen wollen, dass wir alle gemeinsam das Wissen mehr teilen und austauschen. Das hat zur Folge, dass man in den Themen auch besser die Projekte umsetzen kann und zwar von allen Seiten. Sowohl von der Dienstleisterseite, als auch von Betreiberseite und der Herstellerseite. An der Stelle muss man ein großes Kompliment machen. Viele Hersteller gehen inzwischen auch wirklich in die Prozesse rein, wie sichere Softwareentwicklung, sichere Produkte. Wenn es Probleme gibt mit Produkten, dann werden diese auch proaktiv gemeldet. Früher hat man eher die Decke drübergelegt, es soll ja keiner wissen, dass ich vielleicht eine Schwachstelle in meinem Produkt habe. Nein, heute gibt es CERTs, wie VDE CERTs, obwohl genau diese Produkthersteller ihre entsprechenden Schwachstellen sogar melden und dann Patches wieder zur Verfügung stellen. Also man merkt, dass da kulturell doch ein anderer Drive reinkommt.

Thomas Sinnwell: Was ja auch wirklich notwendig ist.

Michael Krammel: Absolut.

Thomas Sinnwell: Ich meine, man kann sich dem Thema über verschiedene Wege nähern. Das eine ist das Thema Angst, da fällt mir jetzt das Buch „Blackout“ ein. Das ist ja jetzt nicht, dass das jetzt völlig unrealistisch wäre.

Michael Krammel: Nein.

Thomas Sinnwell: Und wenn man es liest, kann man ja auch durchaus ein bisschen Angst bekommen. Wie ist denn da jetzt zukünftig bei euch der Weg? Wie nähert ihr euch jetzt in der K4 Digital diesem Thema?

Michael Krammel: Die Erfahrung der Jahre jetzt, in diesem Kontext gerade speziell auch OT Security und die Security hört ja nicht bei der IT auf. Die Themen werden immer ganzheitlicher und da haben wir sehr gute Erfahrungen gemacht, da auch ganzheitlich an die Sache dranzugehen. Im Prinzip haben wir einen Tetraeder-Ansatz entwickelt: das Thema Organisation, Prozesse, Technologie und Faktor Mensch muss gleichbehandelt werden, weil egal, an welcher Stellschraube ich auch Security-technisch was tue, muss ich auch auf die anderen Themen schauen. Und dass man mit diesem ganzheitlichen Ansatz auch eine Sicht auf das Big Picture bekommt und dann kann man Security aus unserer Erfahrung heraus auch sehr gut beherrschbar machen. Natürlich hat es eine gewisse Komplexität, aber es ist besser das systemische Wissen zu haben, wie funktioniert mein System, wo muss ich überall das Thema bedienen, um dann Prioritäten zu setzen. Weil es kann keiner die Sache von Anfang bis zum Ende in einem Jahr umsetzen und es ist auch kein Projekt, Security ist ein Prozess.

Thomas Sinnwell: Genau. Und insofern ist es wichtig zu wissen, wo man steht. Es ist wichtig zu wissen, was man noch machen kann und das dann natürlich über die Zeit auch vernünftig priorisiert einplanen.

Michael Krammel: Genau.

Thomas Sinnwell: Dann möchte ich doch noch ein Fazit ziehen und bitte dich, mir dabei zu helfen. Dann bekommen wir vielleicht so die Top 5 Punkte hin für den Bereich OT, für das Thema Automatisierung oder 4.0 oder auch Industrie 4.0.

Michael Krammel: Die 1. ist glaube ich eine Empfehlung, die ich aus den letzten Jahren mitgenommen habe: Es ist ganz wichtig, wenn man etwas bewegen will, sei das jetzt in der Digitalisierung oder sei das auch im Security-Umfeld, Management Commitment zu haben. Ich kann das nicht aus einer Mitte heraus in einer Organisation erfolgreich steuern, wenn das Management nicht dahintersteht. Und deswegen ist auf jeden Fall, Management sehr wichtig. Sich mit diesen Themen auseinander zu setzen und innerhalb der Organisation das Thema weiterentwickeln zu lassen.

Thomas Sinnwell: Dann würde ich als Punkt 2 das Thema Awareness, die Menschen, alle betroffenen Berufsgruppen einbinden und insbesondere das notwendige Know-how vermitteln.

Michael Krammel: Und dann keine Angst vor Veränderungen haben. Ich glaube, das ist auch so. Und derjenige, der gibt, der kriegt auch was. Und deswegen ist das, glaube ich, auch so ein kultureller Prozess, der sich weiterentwickeln muss, damit man sich den neuen Herausforderungen stellen kann. Sei es, egal ob das jetzt die Digitalisierung ist oder Security ist, wir werden so ein Stück die Silos aufreißen müssen, wir müssen mehr zusammenarbeiten und vor allem, man muss versuchen, sich interdisziplinärer aufzustellen. Und dann bekommt man diese Dinge auch, glaube ich, gut hin.

Thomas Sinnwell: Dann fällt mir als nächstes ein: Strukturen härten. Und wenn ich alte Technologie nicht anfassen kann, ist es halt über Segmentierung. Dann letztendlich die Maßnahme umsetzen und dann, aus meiner Sicht, ganz, ganz wichtig: Möglichkeiten schaffen, um zu sehen, was eigentlich in diesen sehr komplexen Netzen wirklich passiert. In einer Form, die für das Personal auch interpretierbar ist.

Michael Krammel: Und ich glaube, was man noch vielleicht ergänzen kann, ist wirklich, dass man Wege sucht, wie man Security weiter automatisieren kann. Nicht einfach nur zehn Technologien einbauen, die miteinander nicht harmonieren, sondern dass man versucht, mehr auf multidisziplinäre Lösungen anzusetzen. Und dafür muss man letztendlich auch wieder alle Beteiligten an den Tisch nehmen, weil sonst macht die IT dieses und die OT macht jenes, und die Digitalisierung macht dann nochmal was, und in der Regel passen dann die Puzzlestücke nicht unbedingt aufeinander.

Thomas Sinnwell: Michael, ich danke dir recht herzlich für das Gespräch, hat mir viel Spaß gemacht. Und ich freue mich so auf unsere weiteren Berührpunkte. Da haben wir uns ja auch noch einiges vorgenommen.

Michael Krammel: Ja genau. Und hat mir auch Spaß gemacht. Schauen wir in die Digitalisierung und versuchen die auch gut zu meistern an der Stelle.

Thomas Sinnwell: Genau. Besten Dank!

Michael Krammel: Danke, dir auch. Ciao!

Thomas Sinnwell: Ciao!

 

So. Das war’s zum heutigen Thema. Wir hoffen, wir konnten euch wie immer ein bisschen unterhalten und ihr konntet was mitnehmen. Weiterführende Links findet ihr wie immer in den Shownotes. Und wenn euch der Podcast gefallen hat, dann freuen wir uns, wenn ihr uns folgt. Die nächste Folge ist auch schon in den Startlöchern und erscheint am 3. Dezember, wie immer jeden ersten Donnerstag im Monat. Gerne einschalten und jetzt schon vormerken. Es lohnt sich.

 

 

Ihre Cookie-Einstellungen

Technisch notwendige (essenzielle) Cookies

Informationen zu den einzelnen Cookies

  • Mehr anzeigen

    Technisch notwendige (essenzielle) Cookies

    Notwendige Cookies helfen dabei, eine Webseite nutzbar zu machen, indem sie Grundfunktionen wie Seitennavigation und Zugriff auf sichere Bereiche der Webseite ermöglichen. Die Webseite kann ohne diese Cookies nicht richtig funktionieren.

    Name fe_typo_user
    Anbieter consistec.de
    Zweck Sichert die Anti-Spam-Maßnahmen bei Benutzen des Kontaktformulars
    Ablauf Session
    Typ HTTP
    Name conCookieSettings
    Anbieter consistec.de
    Zweck Speichert die Zustimmung zu Cookies
    Ablauf 30 Tage
    Typ HTTP
    Name mtm_consent_removed
    Anbieter consistec.de
    Zweck Wird von Piwik Analytics Platform (matomo) genutzt, um festzustellen, dass dem Tracking widersprochen wurde.
    Ablauf 1 Monat
    Typ HTTP
  • Mehr anzeigen

    Statistiken

    Statistik-Cookies helfen Webseiten-Besitzern zu verstehen, wie Besucher mit Webseiten interagieren, indem Informationen anonym gesammelt und gemeldet werden.

    Name matomo.php
    Anbieter consistec.de
    Zweck Erfasst Statistiken über Besuche des Benutzers auf der Website, wie z. B. die Anzahl der Besuche, durchschnittliche Verweildauer auf der Website und welche Seiten gelesen wurden.
    Ablauf Session
    Typ HTTP
    Name _pk_id#
    Anbieter consistec.de
    Zweck Erfasst Statistiken über Besuche des Benutzers auf der Website, wie z. B. die Anzahl der Besuche, durchschnittliche Verweildauer auf der Website und welche Seiten gelesen wurden.
    Ablauf 1 Jahr
    Typ HTTP
    Name _pk_ses#
    Anbieter consistec.de
    Zweck Wird von Piwik Analytics Platform (matomo) genutzt, um Seitenabrufe des Besuchers während der Sitzung nachzuverfolgen.
    Ablauf 1 Tag
    Typ HTTP
    Name _pk_testcookie..undefined
    Anbieter consistec.de
    Zweck Wird von Piwik Analytics Platform (matomo) genutzt, um zu überprüfen, ob der verwendete Browser Cookies unterstützt.
    Ablauf Session
    Typ HTTP
    Name _pk_testcookie.#
    Anbieter consistec.de
    Zweck Wird von Piwik Analytics Platform (matomo) genutzt, um zu überprüfen, ob der verwendete Browser Cookies unterstützt.
    Ablauf Session
    Typ HTTP