Wenn SoC nicht gleich SoC ist! - OT SoC
30.10.2023 29 min
Zusammenfassung & Show Notes
Mein Gast heute: Daniel Weber er ist Senior Manager Security Solutions bei telent. Gemeinsam haben wir über 7 Jahre zusammen gearbeitet, viele Projekt durchgeführt u.a. auch das OT SoC der telent.
In unserem Gespräch werden wir uns mit dem OT-SoC Projekt befassen, dessen Aufgabe und warum ein SoC u.a. für die KRITIS sehr nützlich ist.
In unserem Gespräch werden wir uns mit dem OT-SoC Projekt befassen, dessen Aufgabe und warum ein SoC u.a. für die KRITIS sehr nützlich ist.
Transkript
Hallo und herzlich willkommen zu einer neuen Folge vom Cyber Security Chefsache der Podcast. Heute mit Daniel. Hallo Daniel.
Hallo, guten Morgen zusammen.
Ja Daniel, für alle die dich noch nicht kennen, wir kennen uns ja ziemlich lange, kommen wir gleich noch dazu. Erzähl doch mal ein paar Sätze über dich.
Ja, mein Name ist Daniel Weber. Ich bin bei der Telen beschäftigt als Senior Manager Security Solutions und wir sind innerhalb der Telen zuständig, das Thema Cyber Security lösungsbasiert umzusetzen. Also von der Begleitung im Pre-Sales, über die Planung der Architektur, Durchführung von POCs und nachher die Implementierung beim Kunden. Das sind so die Kernaufgaben, die wir haben. Also das geht über einen Pentest, über Netzwerkssegmentierung bis zur Etablierung von einem Security Operations Center.
Ja, warum sage ich so, dass wir uns entsprechend gut kennen? Ich glaube, die Historie jeder meiner Follower weiß es auch. Wir beide sind Kollegen gewesen über eine sehr, sehr lange Zeit, über einen sehr, sehr langen Zeitraum hinaus und von daher freue ich mich umso besonders, dass wir heute mal zusammen sprechen können über ein Projekt, was ich ja damals auch mitgestaltet habe, nämlich das Thema OT-SOC, was ja die Telen entsprechend aufgebaut hat. Lass uns doch erstmal damit beginnen, was ist denn überhaupt ein OT-SOC? Oder was versteht man unter dem Begriff SOC? Weil ich weiß, viele Leute schmeißen mit dem SOC-Begriff immer das Thema SIEM mit rein, aber dazu gehört ja eigentlich noch viel, viel mehr. Also erzähl doch mal gerne unseren Zuhörern, was ist ein OT-SOC?
Ja, also OT ist ja Operation Technology und SOC ist ja eine Abkürzung für Security Operations Center. Und ein Security Operations Center ist eigentlich eine zentrale Stelle im Betrieb, die sich halt ganzheitlich und dynamisch der Security aller Komponenten widmet. Wenn man natürlich aus der Historie sieht, im IT-Bereich, der klassischen Office-IT, gibt es natürlich schon lange Security Operations Centers und das Thema ist halt jetzt über die Jahre gekommen, sowas auch im Bereich OT, also im Bereich der Technologie, Betriebstechnologie zu etablieren. Das ist halt ein SOC oder Security Operations Center, das spezialisiert ist auf OT-Komponenten. Also im Endeffekt nicht nur klassische Office-IT, sondern auch Kompetenzen hat im Security-Bereich, im OT-Security-Bereich. Und das ist halt der Unterschied.
Ich war ja damals Teil des Projektes, deswegen fand es auch vor allen Dingen ein spannendes Thema, als wir damals begonnen haben. Was waren denn so die Herausforderungen, warum wir uns damals denn dazu entschieden haben, so einen SOC aufzubauen?
Also aus der Historie heraus, die T-Land ist ja stark im Bereich der kritischen Infrastruktur, also kurz kritisch unterwegs. Und wir haben dafür viele Verteilnetzbetreiber und Transportnetzbetreiber kritische Infrastruktur aufgebaut, in Bezug auf IP-Transportnetze oder Mission-Critical-Networks, wie wir sie nennen bei uns, und haben da auch Betrieb gemacht. Der Betrieb in dem Fall ist ja NOC, also Network Operations Center. Und wir haben uns halt aufgrund der definierten Anforderungen, die gesetzlichen Anforderungen, Sicherheitsgesetz 1.0 und 2.0, haben wir halt uns entschieden, die Kompetenz, die wir im Haus haben, im Bereich Security, um auch stark im Bereich OT-Security zu bündeln und dem Kunden halt die Möglichkeit zu bieten, dass wir ihm einen Security Operations Center zur Verfügung stellen, mit dem starken Fokus auf OT-Komponenten und OT-Kompetenz. Und das war so ein bisschen die Herausforderung. Also wir haben im Endeffekt alles im Haus gehabt. Wir haben ein Service- und Kompetenzzenter, das 24 mal 7 besetzt ist, das auch dann dementsprechend auch die passenden Leute dafür hat. Wir haben Kompetenz im Betrieb. Wir haben Security-Kompetenz. Und das müssen wir halt alles zusammenbringen und da quasi Kompetenzen aufbauen. Es ist ja so, Security Operations Center ist ja nicht nur die Technologie, also das 7, sondern man hat ja noch die Prozesse und die Menschen, die es betreiben. Und das alles in einen Topf zusammenbringen und das in Prozesse reinzukleisen, das war halt die Aufgabe, die wir in den letzten Jahren gemacht haben und das auch relativ gut hinbekommen haben.
Ja, du sprichst schon an. Wichtiger Bestandteil des ganzen SOCKS war ja auch die Technologie, in Anführungsstichen, die man dann auch dafür verwendet, jetzt mal außerhalb der Prozesse. Für welche Lösung hat sich denn die TNN entschieden und auch warum?
Ja, also wir haben uns einiges am Markt angeguckt und haben uns für einen europäischen Hersteller entschieden. Und zwar die Radar Cyber Security aus Wien. Die hat für uns im gesamten Konzept am besten gepasst, weil die halt nicht nur die Technologie bietet, also klassisches SIEM-System, sondern auch die ganzen Komponenten, die zum SOCK auch dazugehören. Also zum Beispiel einen sauberen, gesteuerten Remote Access, saubere Protokollierung und auch vor allen Dingen uns auch ausgebildet hat, also einmal unser SOCK-Analysten ausgebildet hat und auch die SOCK Operations Kollegen, weil ein SOCK ist ja nicht nur klassische Analystentätigkeit, sondern ich habe ja eigentlich auch eine Betriebsmannschaft, man kann es auch als klassischer Administrator bezeichnen, der halt zuständig ist, das Ganze am Laufen zu halten. Ich habe ja Kundensysteme, gerade so ein SIEM-System, das läuft und ich habe natürlich die Komponenten, die bei mir stehen, für halt die Kunden zu verwalten. Und da haben wir mit der Radar einen starken Partner gefunden, der selber da ja schon mehrere Security Operations Center aufgebaut hat und auch selber eins betreibt und der hat uns quasi ertüchtigt, selber ein Security Operations Provider zu werden.
Was waren denn so die ersten Schritte, die damals im Projekt gemacht worden sind, um das Ganze denn auch entsprechend bei den Kunden zu platzieren? Was sagst du denn so aus deiner Erfahrung jetzt auch mit dem Rückblick von den ersten Gesprächen und ja auch das Onboarding der Kunden? Was sind denn so die Herausforderungen bei so einem OT-SOCK für den Kunden?
Ja, also die Herausforderungen waren ganz klar am Anfang, also wir machen das ja schon mehrere Jahre, ja so ein bisschen Verständnis schaffen, wie du eben gesagt hast. Viele Leute rufen an, ich hätte gerne ein SOCK, ich hätte gerne ein SIEM. Da haben wir erstmal ja so Grundlagen geschaffen. Was ist denn überhaupt ein SIEM? Was ist ein SOCK? Wie spielt es zusammen? Was brauche ich für Ressourcen? Was brauche ich für Prozesse? Das waren so die ersten Schritte. Das haben wir oft in intensiven Workshops gemacht. Und natürlich haben wir mit dem Kunden geklärt, ja, wie sind denn überhaupt deine Anforderungen? Wenn wir aus dem Kritis-Bereich kommen, haben wir natürlich die Orientierungshilfe zur Einführung von Systemen zur Angriffserkennung. Da sind natürlich auch sehr viele Anforderungen drin, ich glaube so um die 150. Die sind auch nicht so ganz klar, weil die Orientierungshilfe muss ja passen vom Verteilnetzbetreiber zum großen Kommunikationsanbieter. Das haben wir dann so ein bisschen dem Kunden dargestellt. Und natürlich ist für uns immer so der Beginn von jedem Onboarding halt erstmal ein Workshop, wo wir mal klären, ja, okay, wo stehst du jetzt? Hast du überhaupt mal proaktive Maßnahmen implementiert? Hast du ein Security Assessment gemacht? Kennst du deine Risiken? Kennst du deine kritischen Assets? Gibt's, sind Standardmaßnahmen, also so Basis-Security-Maßnahmen umgesetzt? Sind deine Systeme gehärtet? Hast du Netze segmentiert? Gibt's ein Patchmanagement? Gibt's ein Backup? Wenn er die Hausaufgaben gemacht hat und auch relativ gut aufgestellt ist, kann man sagen, okay, wir gehen halt den nächsten Schritt und tun halt, ja, mit dir auf die Reise gehen und versuchen halt, dann Richtung Security Operations Center uns zu bewegen. Das ist natürlich ein Zwischenschritt. Ich muss natürlich die Logquellen irgendwie anbinden. Und da ist halt die Frage, hat er schon ein OT-Netzwerk-Monitoring-Tool oder OT-IDS, also Intrusion Detection System, hat er schon sowas? Wenn er sowas nicht hat, ist für uns mal so ein Zwischenschritt, dass er halt so eine Lösung einführt. Da können wir natürlich auch begleiten. Das haben wir jetzt bei sehr vielen Kunden gemacht. Und wenn wir sagen, okay, ich habe jetzt geschafft, meine OT-Logs oder meine Systeme überhaupt sichtbar zu machen, dass sie auch ordentlich Logs senden können, dann ist der nächste Schritt, Security Operations Center aufzubauen. Und da fängt es halt mit dem Onboarding an. Wir haben das Ganze modular aufgebaut. Wenn man zum Beispiel ein SIM-Modul hat und ein Schwachstellen-Scanner-Modul, das heißt bei uns VMC, muss man dann gucken, okay, erstellen wir mal eine Asset-Liste, wir sehen die IP-Adressen. Was ist kritisch? Welche Logs willst du? Und das sind halt so die Herausforderungen, weil viele Kunden, die haben zwar viel dokumentiert, aber meistens sind die Sachen nicht aktuell und die haben auch nicht so den Überblick, was überhaupt kritisch ist. Und da machen wir eigentlich immer Workshops mit ihnen. Da sagen wir, okay, was sind deine kritischen Prozesse? Was sind deine kritischen Personen? Und was sind die kritischen Systeme? Und anhand derer Informationen tut man den Kunden halt dementsprechend was zusammenbauen und auch ihm empfehlen, wo man dann auch ein ordentliches Onboarding machen kann und auch erst dann die kritischen Systeme reinholen und dann nach und nach die Systeme, die jetzt so wichtig sind, in Anführungszeichen. Das ist so der grobe Ablauf und auch die Herausforderungen, die wir haben.
Da sprichst du eigentlich auch um ein wichtiges Thema an, was ich auch immer so gesehen habe. Die Transparenz muss ja erst mal gegeben sein. Du sagst ja auch gerade so mit Angriffserkennung, Monitoring. Das sind, glaube ich, auch so die Vorschritte, die man eigentlich braucht für einen eigentlichen Stock in Anführungszeichen Siebenbetrieb, damit man auch entsprechend die Informationen bekommt. Du hast auch gerade gesagt, es gibt so ein paar Basics, die wichtig sind, wo sich ein Kunde oder ein möglicher Kunde drüber Gedanken machen muss. Kannst du da vielleicht noch mal darauf eingehen? Weil ich glaube, das interessiert auch viele Menschen. Ich habe das zum Beispiel sehr häufig in Ausschreibungen gesehen. Wenn du dich noch zurückerinnern kannst, haben wir ganz häufig Ausschreibungen gehabt, wo wir gesagt haben, wir können gar nicht anbieten beziehungsweise wir können da gar keine entsprechende Aussage darüber treffen, weil uns einfach ein paar Rahmenbedingungen fehlen. Ich glaube, es wäre mal ganz interessant. Was sind denn wichtige Rahmenbedingungen, die man benötigt, um eben halt Kunden da auch entsprechend gut beraten zu können?
Ja, also eine Grundvoraussetzung, die wir eigentlich immer haben, ist eine starke Netzsegmentierung. Wenn man starke Netzsegmentierung hat, meistens durch ein Firewall-System und halt dann dementsprechend die Netze segmentiert, so tief wie es halt geht, teilweise sogar eine Mikrosegmentierung rein, habe ich halt die Chance überhaupt mal dementsprechend mein Netz zu reglementieren. Ich sehe vor allen Dingen mehr, weil die ganze Kommunikation über Netzwerk laufen muss. Und ich habe auch die Möglichkeit dann, ja, Next Generation Firewall-Features einzuführen. Ja, klassisch IPS, EDS, also Prevention oder Detection und habe natürlich da schon sehr viel im Bereich Security gewonnen. Und ich habe natürlich die Möglichkeit, diese Logs natürlich auszuleiten an mein Siemensystem. Das ist so der erste Zwischenschritt, weil ich erstmal sehe, okay, was habe ich überhaupt? Ich kann eine Asset-Map erzeugen und dann gucken. Dann ist die nächste Voraussetzung, die wir gerade im Ausschreibungen haben, so ein Siemensystem wird lizenziert auf EPS, also Events Per Second. Und dann haben wir halt die Herausforderung, wenn wir den Kunden fragen, ja, wie viel EPS hast du denn? Wie viele Systeme hast du denn? Was sind deine kritischen Systeme? Und da haben wir halt immer so ein bisschen das, wo sich die Katze so selber in den Schwanz reinbeißt. Einmal will der Kunde natürlich am besten alles in seinen Siemen reinhaben. Aber da kommt die kaufmännische Sache natürlich mit rein. Je mehr Logs ich habe oder Logquellen, umso mehr EPS brauche ich, umso mehr Lizenzen brauche ich. Und natürlich, die Logs oder die EPS müssen ja auch gespeichert und vorgehalten werden. Umso mehr Hardware brauche ich, die quasi dann die Gefahr berechnen. Und natürlich, ich muss die Daten ja irgendwo dann halten. Also brauche ich auch noch Storage dazu. Und das sind so die Eckparameter, wo man so einen gesunden Mittelweg finden muss. Und da ist halt immer schwer, gerade wenn man Kunden fragt, am Anfang, wenn sie mal ein Angebot haben, was so ein Siemensystem kostet mit Sockbetrieb. Wie viele Systeme hast du überhaupt? Wie viel EPS? Und da kommt halt öfters die Aussage, die völlig berechtigt ist. Ich habe noch nie ein Sieben gehabt. Ich habe keinen zentralen Protokollserver. Woher sollte ich wissen, wie viel EPS habe ich? Und aus dem Grund haben wir da zusammen mit der Radarmasse entwickelt, wo man anhand von gewissen Parametern können, grob eine Aussage treffen, wie groß jetzt lizenztechnisch und Hardware-mäßig so was sein kann und was das kostet. Das ist so die Hauptherausforderung, die wir haben. Und natürlich nachher die Implementierung. Es ist ja nicht so, dass man ein Siebensystem reinhängt und das funktioniert. Ich habe unterschiedliche Mitarbeiter, die da mitmachen müssen. Da muss der Netzwerkadministrator mitmachen, der Systemadministrator, der OT-Admin. Und die alle müssen zusammenspielen, dass ich auch dann die definierten Logquellen auch an mein Siebensystem überhaupt ranbekomme.
Das ist auch vor allen Dingen ein sehr wichtiger Punkt, wo ich auch in der Vergangenheit immer wieder gesehen habe, dass daran es auch in Anführungsstrichen gescheitert hat, auch gerade dieses Aufzubauen, zu kalkulieren beziehungsweise auch zu verstehen. Wenn du jetzt mal so ein bisschen zurückblickst auch auf die ersten, auf das erste Onboarding oder die ersten Onboardings von Kunden, was war denn so die Herausforderung auch bei Kunden, auf der Kundenseite? Also was sind so Dinge, die dann ein Kunde sich, wo sich ein Kunde auch vielleicht prozessuell Gedanken machen muss, damit er entsprechend mit einem Managed-OT-Sieben arbeiten kann beziehungsweise Managed-OT-Sock arbeiten kann?
Ja, also da ist es so, wenn man natürlich auf die EEC-6243 geht, hat man immer dieses magische Dreieck Betreiber-Hersteller-Integrator und da ist es halt immer so ein gesundes Miteinander, dass man halt versucht, gerade wenn ich einen Betreiber habe, der stark einen Hersteller mit eingebunden hat, dass ich halt versuche, da einen gesunden Mittelweg zu finden, weil es ist halt immer die Diskussion, wenn eine neue Lösung oder Software in die Anlage mit reinkommt, dann wird auf die Karte mit der Gewährleistung gespielt und da habe ich halt immer Probleme, dass ich sowas sauber einsetzen kann und muss gucken, dass ich da irgendwie kann halt dann einen Mittelweg finden, dass alle zufrieden sind. Und das ist halt die Kernvoraussetzung, dass ich natürlich gucke, dass ich den Kunden mitnehme, dass ich ganzheitlich die Anlage absichern kann und vor allen Dingen auch dann an alle kritischen Assets rankomme. Wenn ich mir ein tolles SIEM-System rund auf meine Anlage baue und die Kernsysteme, wie zum Beispiel Leittechnik und gewisse Firewalls im Kernbereich, gerade an der Feldebene, wie weit man dann runterkommt in die Anlage und das anbieten kann. Das ist halt immer so ein bisschen, ja, viele Diskussionen, viel Aufklärungsarbeit, bis dann sowas sauber funktioniert, aber da haben wir mittlerweile gute Erfahrungen. Wir kommen ja aus dem OT-Bereich, haben Kollegen dabei, die haben mehrere, fast Jahrzehnte Ahnung oder Erfahrung im Bereich Leittechnik und da können wir halt dementsprechend auch mit unserem Know-how viele Grenzen überwinden, dass man dann doch Sachen macht, die man eigentlich früher nicht gemacht hätte.
Und das ist so ein bisschen die Kunst. Glaubst du, dass das Thema Managed Service auch im OT-Bereich der richtige Weg ist? Also es kommt halt immer drauf an.
Also wenn man halt davon ausgeht, wenn ich jetzt mal sage, es ist ein hochkritischer Sicherheitsvorfall, dann braucht man halt im Endeffekt halt mehrere Parteien. Einmal der Betreiber, der seine Anlage kennt wie keiner, dann jemand, der Ahnung von Security hat, in dem Fall wären es wir, und halt der Hersteller. Weil irgendwann, muss man das ganz ehrlich sagen, irgendwann ist man so weit und so tief drinnen, da braucht man den Hersteller, weil der halt einfach die Anlage gebaut Und da ist halt immer so ein zweischneidiges Schwert. Wir sind immer froh, wenn wir Fachkompetenz vor Ort haben. Natürlich spielt der Fachkräftemangel immer mit rein. Und das Thema Managed Service, egal in welcher Ausbringung, egal ob IT und OT, wird immer mehr kommen. Es ist einfach so, viele Kollegen, die gerade so Regel- und Messtechniker gemacht haben oder Leihtechnik, klassische Automatisierungstechnik, die gehen in Rente und die werden halt immer neu ersetzt und das ist einfach so. Und das Thema Managed Service wird immer mehr kommen. Deswegen haben wir uns auch entschieden, so etwas aufzubauen, weil das wird immer mehr kommen. Und vor allen Dingen, man muss auch sehen, für so ein SIEM- und SOC-System ordentlich zu betreiben, brauche ich am Tag mindestens mal drei Personen, die halt reine Analystentätigkeit machen. Und das ist halt schwer für Kunden, so etwas vorzuhalten. Also wir haben unsere Kollegen ausgebildet als SOC-Analysten, die sind dann zertifiziert und das muss man halt alles machen. Und wenn man das dann alles mit reinrechnet, macht es dann im Endeffekt vielleicht doch Sinn, das Ganze als Managed SOC zu etablieren, weil man natürlich auch die Möglichkeit hat, der Kollege sieht halt nicht nur den einen Kunden, sondern er sieht viele Kunden und ich denke,
das ist für alle ein Mehrwert. Ja, also ich denke, gerade im Bereich der kritischen Infrastruktur ist 24 mal 7 gesetzt. Da muss man dann gucken, wie man das aufbaut.
Es ist ja so, die Technologie, das SIEM-System läuft da 24 mal 7. Die erkennt ja und protokolliert und aggregiert 24 mal 7. Die Lösung funktioniert. Und da muss man dann gucken, wie man das aufbaut. Das ist ja so die Technologie, das SIEM-System läuft da 24 mal 7. Die Lösung funktioniert. Bezüglich Betriebsmodell muss man sich das Ganze halt angucken, ob man dann klassisch den SOC-Analyst 8 mal 5 quasi dann seine Arbeit machen lässt und alles andere über eine Bereitschaft macht. Da sind wir aber bei uns flexibel. Also wir haben Kunden, die haben 8 mal 5 und wir haben Kunden, die betreuen mal 24 mal 7. Also unser SCC, also Service & Competence Center ist 24 mal 7 besetzt. Das ist kein Problem, aber aus der Erfahrung geht der Trend eher auf den normalen Betrieb, also 8 mal 5 und alles andere wird dann über die Bereitschaft abgedeckelt. Weil es bringt ja nichts, wenn der Managed Service SOC-Betreiber 24 mal 7 Leute vorhält und auf der Gegenstelle keiner sitzt. Das ist bei uns auch ganz wichtig, wenn wir so ein Security Operations Center bei Kunden etablieren, dass wir auch eine funktionierende Meldekette haben und vor allen Dingen auch die Verantwortung geklärt ist. Und das tun wir auch regelmäßig testen mit dem Kunden. Das kann man sich vorstellen wie eine Alarmübung, dass wir auch dann sagen, okay gut, wir simulieren jetzt einen Sicherheitsvorfall und wir probieren jetzt mal aus, ob die Meldeketten überhaupt funktionieren. Weil es nutzt nichts, wenn man sehr teure Technologien und Prozesse hat und hintendran die einfachsten Sachen nicht funktionieren. Und das ist uns auch wichtig, weil wir wollen ja nicht nur eine Lösung verkaufen, sondern wir wollen ja auch da Mehrwert reinbringen. Und das können wir nur erreichen, wenn alle Beteiligten auch dementsprechend zusammenarbeiten.
Absolut. Und vor allen Dingen glaube ich, ist es auch eine reine Kostenfrage. Also sprich, du musst eben halt auch natürlich schauen, 24-7 ist ein ganz anderer Kosteneffekt als jetzt 8 mal 5. Und ich glaube, deswegen überlegen sich schon einige Unternehmen, braucht man wirklich die 24-7-Geschichte, da die Technik, wie du ja gerade selber schon gesagt hast, die läuft ja 24-7. Bloß die Mannschaft im Hintergrund, die ist dann eben halt nicht 24-7 da. Was mich da noch interessieren würde, wenn wir jetzt auch von dem Betriebsmodell sprechen, beziehungsweise wir ja auch am Anfang drüber gesprochen haben, welche Herausforderungen gibt es denn bei dem Kunden? Erzähl doch mal, was ist denn bisher schiefgelaufen bei Kunden, wo du sagst, hey, das sind die Dinge, die mir aufgefallen sind, die eben halt auch mal schiefgelaufen sind, auch in Anführungsstrichen, die einfach andere vielleicht auch mal mitnehmen können für sich, die jetzt gerade am Überlegen sind, sowas einzuführen. Also was sind so Dinge, wo du sagst, hey, passt aber darauf auf, das ist uns aufgefallen, das kann mal in die Hose gehen?
Ja, also ich denke, die größten Probleme sind halt oder Herausforderungen, ich nenne es mal so, sind, dass die Basismaßnahmen nicht umgesetzt werden, weil viele Verantwortliche sind jetzt wach geworden, gerade durch das Sicherheitsgesetz 2.0, die Haftung wurde geändert und haben gesagt, okay, ich muss jetzt mal was machen und haben dann gedacht, okay, Endausbaustufe ist Angriffserkennungslösung, Siebensock, ich fange jetzt mal mit dem Siebensock an. Und das ist das Problem, wenn die Basismaßnahmen nicht umgesetzt werden, wenn ich nicht die richtigen Logquellen habe, dann habe ich von so einer Technologie nichts. Genauso, wenn ich kein OT-IDS-System habe, dann habe ich halt sehr viele Sachen, die ich einfach nicht erkenne, weil die passenden Logquellen nicht da sind und ich auch nicht, wenn ich jetzt gerade noch ein Purdue-Modell gehe, nicht so tief in die Ebene runter kann, um sinnvoll einen OT-Sock betreiben zu können. Und das ist so das Problem und vor allen Dingen, was viele Kunden gedacht haben, ich führe mal gerade ein Siebensystem ein und dann habe ich meine Ruhe. Also so eine Siebensystem-Einführung, die dauert so einer gewissen Größe zwei bis sechs Monate und vor allen Dingen, es muss halt öfter die Prozesse definiert werden und ich habe halt viele Vorarbeit, ich brauche viele Mitarbeit, auch vom Betreiber, weil der die Anlage halt gut kennt und das ist halt so, wo wir auch gemerkt haben, okay, schnell, schnell, schnell geht auf keinen Fall. Also sowas muss sauber dokumentiert sein, rotokolliert und auch es muss eine klare Mindset-Planung dran sein, dass ich auch dementsprechend auch alles dann auch sauber durchführe. Und wenn man das macht, hat man eigentlich einen guten Weg. Also lieber so Quick-Win-Sätzen wie den Big Bang machen, das geht definitiv nach hinten los. Das haben wir auch gemerkt. Also Kunden, die schnell einführen, sind damit immer noch nicht glücklich geworden, weil halt einfach die passenden Logquellen fehlen, die Systeme sind nicht richtig angebunden, die Prozesse sind nicht da und das bringt nichts. Und vor allen Dingen, die Folge ist davon, es wird nicht angenommen, das System wird nicht sauber verwendet und dann habe ich im Endeffekt auch nichts davon. Und das sind so die Sachen, die wir jetzt aus Erfahrung gelernt haben. Also strukturiert vorgehen, maßvoll vorgehen und dann klappt es auch mit so einer
Absolut, stimme ich dir zu. Habe ich ja auch vor allen Dingen im Projekt immer gemerkt, dass gerade dieses schnell und wir müssen jetzt schnell umsetzen, gerade für so ein Konzept von so einem OT-Sock beziehungsweise auch Managed Sock entsprechend schwierig ist. Das ist eben halt auch schon ein wichtiger Punkt. Aber wenn du jetzt mal so ein bisschen auf heute blickst und auch die Zukunft, auch gerade so NIST 2 und alles, was noch so in Anführungsstrichen neues dazukommen könnte, wo denkst du, entwickelt sich denn dieses Thema OT-Sock in der Zukunft hin? Oder was ist auch vielleicht euer Plan bei der T-Land? Wo wollt ihr euch hin entwickeln? Was sind so die next Mindstones?
Ja, also es ist so, viele Kunden müssen tätig werden, gerade durch NIST oder Sicherheitsgesetz 2.0. Und wir haben halt eher so den Stand, dass einige Kunden jetzt oder viele Kunden halt jetzt so ein OT Intrusion Detection System eingeführt haben und die nächste Ausbaustufe geht Richtung SIEM und als Managed Variant natürlich ein Sock. Da sind jetzt viele dran. Und wir haben eine Kunde, die ist ein bisschen weiter und da ist es so, da merken wir jetzt, dass es Richtung Automatisierung geht. Also das heißt, was vorher so oder mittlerweile eigentlich auch immer ein No-Go ist, also aktive Eingriffe in Infrastruktur, also Prevention in dem Fall machen über ein Intrusion Prevention System kommt immer mehr. Dass man sagt, okay, gut, ich habe zum Beispiel ein Firewall System, das kann Intrusion Prevention machen. Das schalte ich jetzt mal wirklich aktiv. Also ich lasse jetzt wirklich mal die Komponente aktiv was eingreifen oder ich habe ein EDR System und tue da mal wirklich aktiv, wenn es halt geht, Clients isolieren oder Prozessen beenden. Also das ist eher Prozesse beenden, Clients isolieren im OT-Umfeld ist doch eher selten. Also man merkt, Kunden, die schon länger mit so einer Technologie arbeiten, die gute Erfahrungen gemacht haben, die gehen halt den Schritt mit, was quasi eine IT schon Standard ist, also Richtung SOAR System oder EDR und tun halt jetzt quasi die nächste Ausbaustufe. Das ist so die Entwicklung und da wollen wir uns auch hin bewegen. Wir bieten ja mittlerweile auch EDR System an, auch schon länger haben wir erfolgreich eingeführt und machen ja schon über Jahre hinweg Netzversegmentierung und sind da jetzt auch dran, viele Kunden jetzt umzustellen, dass man auch die Prevention auch aktiv ausnutzt oder verwendet. Und das ist so die Entwicklung, die kommt, wo wir aussehen. Wo die Kunden auch wirklich aktiv werden und sagen, ich habe den Werkzeugkasten hier, ich will ihn auch jetzt mal wirklich verwenden. Das ist so die Entwicklung, die über die nächsten paar Jahre ich auch sehe. Vor allen Dingen, weil die Anforderungen werden höher, die Cyberangriffe werden komplexer und man muss einfach mehr machen und das merkt man schon auf dem Markt.
Glaubst du, dass so für mich Bullshit-Bingo-Technologien wie künstliche Intelligenz, ich habe das schon in anderen Podcasten immer so erzählt, was ich von KI halte, aber dass das Einzug halten wird mehr und mehr in diesem Bereich des Seams, dass sozusagen mehr und mehr in künstliche Intelligenz abgehalten wird als der Mensch, der das sozusagen bewertet? Wie siehst du das?
Ja, das ist ein zweischneidiges Schwert. Natürlich, so richtige KI haben wir natürlich nicht hintendran, aber so ein Seamsystem ist natürlich schon relativ intelligent und da wird ja auch so Machine Learning und alles schon verwendet, ist auch so ein Buzzword. Also das wird vielleicht in Teilen Einzug nehmen, ist auch richtig, wenn es gut funktioniert, aber natürlich wird es natürlich auch gerne als Argument verwendet, okay, das macht jetzt die KI, macht jetzt den Sock-Analyst, dann spare ich mir fünf Mitarbeiter oder so, aber das muss man halt so sehen, wo wir hier arbeiten. Wenn die KI halt aus Versehen mal eine Steuerung oder eine HMI ausschaltet, dann habe ich nicht nur irgendeinen, keine Ahnung, Bankmitarbeiter, der nicht arbeiten kann, sondern eventuell kann ein Verteilungsbetreiber kein Redispatching machen oder ein Kraftwerk fällt mal runter und da habe ich natürlich monetäre Konsequenzen, die ganz extrem sind und da sehe ich das momentan noch so, dass das einige Jahre dauern wird, bis man da wirklich mal die KI in einem delizierten Rahmen ranlässt. Also das ist natürlich klar, muss auf jeder Folie drauf sein, dass Buzzword, aber dass es jetzt wirklich Einzug nimmt, gerade im OT-Sock-Bereich, sehe ich momentan noch nicht.
Ja, stimme ich dir absolut zu, also vor allen Dingen im OT-Bereich, wo wir wirklich, ich sage mal in Anführungsstrichen, am offenen Herzen operieren, ob es jetzt in Anführungsstrichen eine Stromproduktion ist, ob es Telekommunikation ist, ob es in irgendeiner Form eine Leit- und Steuerungstechnik ist, das ist einfach super komplex zu sagen, ist jetzt richtig, ist jetzt falsch. Wir hatten ja auch schon mit anderen Tools immer wieder dieses Thema aktiv versus passiv, wo wir ja auch damals immer ganz klar gesagt haben, du kannst nur aktiv dein System nutzen, wenn du vorher in der Vorfilterung bei der Segmentierung oder bei der Firewall auch schon entsprechend wegfilterst, weil das sonst zu komplex und gefährlich wäre und da bin ich voll und ganz auf deiner Meinung. Es wird irgendwann Einzug erhalten, auch in verschiedene Sub-Bereiche, aber dass wir jetzt wirklich wegkommen von einer Bedienung, das glaube ich noch nicht dran. Dafür ist das einfach ein zu komplexes Feld. Ja, Daniel, ich danke dir auf jeden Fall für die Zeit und auch für die Einblicke in unser, kann man schon sagen, damals gemeinsames Projekt. Ich kann auf jeden Fall nur allen empfehlen, die jetzt entsprechend Ideen haben beziehungsweise die auch sagen, hey, ich will mich da gerne mehr darüber informiert, geht gerne auf den Daniel zu, beziehungsweise auf die TELINT. Ist keine Werbung, kann ich nur sagen, ich habe das Projekt damals selber mitgestaltet und kenne das Team von Daniel und auch alle anderen Kollegen und weiß, dass das ein super Team ist, die mit sehr viel Herzblut daran gearbeitet haben, wo ihr wirklich bestens aufgehoben seid. Also, wenn ihr wollt, kontaktiert sie gerne und ansonsten, wie gesagt, Daniel, dir vielen Dank für die Teilnahme hier im Podcast. Gerne, habe ich gefreut. Und ich wünsche euch allen noch einen schönen Tag und das war es von dieser Folge Cyber Security Chefsache der Podcast. Bis dann.
SPEAKER 1
00:00:09
SPEAKER 2
00:00:12
SPEAKER 1
00:00:20
SPEAKER 2
00:00:52
SPEAKER 1
00:01:42
SPEAKER 2
00:02:35
SPEAKER 1
00:02:50
SPEAKER 2
00:04:30
SPEAKER 1
00:04:46
SPEAKER 2
00:05:57
SPEAKER 1
00:06:22
SPEAKER 2
00:09:18
SPEAKER 1
00:10:15
SPEAKER 2
00:12:50
SPEAKER 1
00:13:31
SPEAKER 2
00:15:07
SPEAKER 1
00:15:20
SPEAKER 2
00:17:06
SPEAKER 1
00:17:21
SPEAKER 2
00:19:01
SPEAKER 1
00:20:04
SPEAKER 2
00:22:12
SPEAKER 1
00:22:52
SPEAKER 2
00:24:58
SPEAKER 1
00:25:22
SPEAKER 2
00:26:34
Feedback
Dir gefällt der Podcast und Du möchtest das mal loswerden? Du hast Tipps für neue Themen oder magst über den Inhalt bestimmter Folgen diskutieren? Dann wähle im Formular die jeweilige Episode aus und schreib uns eine Nachricht. Vielen Dank für Dein Feedback!