LNP331 Kritische Infrastruktur

Ein LNP-Spezial zu Kritischer Infrastruktur, die AG Kritis und das Cyber-Hilfswerk

Im Nachgang zur DefensiveCon, einer auf die Probleme der Sicherung von Kritischer Infrastruktur im digitalen Zeitalter fokussierten Konferenz der AG Kritis, spricht Tim heute mit den Leitern des Projekts, Ijon und Honkhase über ihre Themen. Dabei definieren wir zunächst den Begriff Kritis und diskutieren, welche realen Bedrohungen kritische Infrastruktur heutzutage und künftig ausgesetzt ist und sein wird. Abschließend stellen die beiden ihre Idee eines Cyber-Hilfswerks vor, das inspiriert vom Gedanken des Technischen Hilfswerks (THW) eine zivile Organisation zur Abmilderung digitaler Katastrophenfälle postuliert.

avatar
Tim Pritlove
avatar
Honkhase

Für diese Episode von Logbuch:Netzpolitik liegt auch ein vollständiges Transkript mit Zeitmarken und Sprecheridentifikation vor.

Bitte beachten: das Transkript wurde automatisiert erzeugt und wurde nicht nachträglich gegengelesen oder korrigiert. Dieser Prozess ist nicht sonderlich genau und das Ergebnis enthält daher mit Sicherheit eine Reihe von Fehlern. Im Zweifel gilt immer das in der Sendung aufgezeichnete gesprochene Wort. Formate: HTML, WEBVTT.


Transkript
Tim Pritlove
Guten morgen ihr.
Ijon
Guten morgen honk hase.
Honkhase
Guten morgen tim.
Tim Pritlove
Logbuch netzpolitik nummer dreihunderteinunddreißig und heute ist es mal wieder soweit, heute liefern wir euch kurz nach der letzten sendung ein eine spezialausgabe die wir eigentlich schon vor ein paar tagen machen wollten aber dann ist uns wie so vielen in dieser woche ein sturm dazwischen gekommen und deswegen jetzt nur teilweise in der metaebene da begrüße ich nämlich den john hallo. Und in der ferne früh abgereist den honk honk. Moin moin also ihr habt natürlich alle noch richtige namen aber wir kennen uns ja nun schon lange du gehst normalerweise unter johannes rund fällt das ist sozusagen dein schlips name mit dem du bekannt bist ne.
Ijon
Schlips name ist gut das habe ich auch noch nicht gehört.
Tim Pritlove
Aber bei dir ist es auch so dass du sozusagen eigentlich kaum damit agierst oder.
Ijon
Kaum auch auf arbeit nämlich die kollegen an ihren.
Tim Pritlove
Und wie ist das bei dir eigentlich manuel arthur.
Honkhase
Tatsächlich kenn mich manche gesellschaftsform unter diesem namen. Und können mit honk hase nichts anfangen umgekehrt genauso es gab normalsterbliche menschen die. Am einlass vom c vom kongress gefragt haben wir wollen mit manuel arthur sprechen und so gibt's nicht doch in der orga hier gibt's kein manuel so geh weg. Bis dann irgendwie ein viel der hieß irgendwie honk oder so oder so du kennst ach so ja dann rufen wir den eben kurz. Meistens ist es getrennt in in der firma wo ich tätig bin kenne mich alle unter beidem inzwischen.
Tim Pritlove
Ich habe dich nie gefragt wie du zu dem namen eigentlich gekommen bist ist das public.
Honkhase
Ja es steht sogar irgendwo zum vergammelten verraten kölner c, ja ich damals als ich dieses kennengelernt habe in den neunzigern habe ich das tool gestartet und hat gesagt wie ist dein nickname. Wenn ich da gestanden und dachte ich will ihr ziel benutzen was mein name ist hase ich weiß von nichts hase. Und dann bin ich mit hase immer irgendwie drin gewesen und mich kannten auch diverse gruppen in denen ich da aktiv war und so, und dann habe ich irgendwann die normalsterblichen auch das internet und das gefunden, und dann ging halt irgendwie so fehler hase ist schon vergeben hase unterstrich dann irgendwie ging das eine weile dann unterstrich hase dann irgendwie ein hase dreiundzwanzig und irgendwann waren halt so viele menschen im irak dass es halt immer noch fehlermeldungen gab dann irgendwann in diesem. Allgemein datenverarbeitung labor der fh gestanden und gesagt diese ganzen songs gehen mir so auf den auf so honk hase und ja dann war ich damit, eingeloggt und habe kurz gesagt übrigens hier ist hase ich kriege diese nick nicht mehr hin ja und dann haben die anderen direkt die, ob status und und passwort und zugangs berechtigung und und den pot alles auf honk hase und konfiguriert und dann kann ich ja schlecht sagen das war jetzt nur so eine bescheuerte für einmal ja seitdem ist es irgendwie haften geblieben.
Tim Pritlove
Tja so ist das mit den spitznamen ich bin dem ja irgendwie elegant entglitten gut, warum haben wir uns heute hier zusammengefunden der anlässe gibt es viele erstens wollte ich das thema schon länger mal behandeln und jetzt hat sich das ja fast hätte sich perfekt ergeben vom termin her weil dann wirst du halt auch noch in berlin gewesen aber jetzt ist es nun mal so.
Honkhase
Eine kritische situation hat dafür gesorgt dass kritisch nicht ganz so einfach realisierbar ist.
Tim Pritlove
Genau also das stichwort lautet kritische infrastruktur oder auch kritisch was ich ehrlich gesagt finde extrem komische abkürzung halte ist das da so etabliert.
Ijon
Das kommt einfach auf die drei aus dem gesetz gesetz heißt so also die verordnung.
Tim Pritlove
Ja aha okay gut.
Honkhase
Und das ist auch durchaus etabliert also unter kritisch kennen alle betreiber behörden verantwortlichen prüfer berater sofort irgendwie können die assoziieren was damit gemeint ist.
Tim Pritlove
Okay gut ich meine wenn sowas erstmal etabliert ist wunderbar so trotzdem finde ich es sowieso vom weiß ich es klingt immer möglichst nicht mehr so fühlen aber ich finde es hat aber nicht die die passende schwere die dieses thema eigentlich verdient.
Honkhase
Aber du erklärst das jemandem der sache ist ich meine hallo mich sprechen inzwischen behörden auf diesen namen an und und sagen ah ja kannst du mir mal einen gefallen tun so okay.
Ijon
Ich denke mal stark dass die kommunikation dieses wortes nach diesem podcast sich auch bei dir gerne dort hin. An gewicht gewonnen.
Tim Pritlove
Das hoffe ich ja sehr deswegen mache ich sowas ja auch immer ich lerne lerne ja selbst dadurch. Ja bevor wir vielleicht auf das eigentliche thema kommen. Ich würde mich mal oder würde wahrscheinlich unsere hörerinnen und hörer vor allem mal interessieren wo ihr eigentlich so herkommt fangen wir doch mal mit dir an horst meines klang schon an bis auch so im c umfeld schon lange unterwegs wir haben ja schon vor vielen vielen jahren zusammen auch ein bisschen kongress zusammen gemacht aber im richtigen leben bisher bisher richtig was.
Honkhase
Im richtigen leben bin ich senior manager bei der high solutions ag beratungs- aus einem unabhängigen ich habe, in meiner vorherigen lebenszeit diplominformatiker studiert dann habe ich einen master in der security also angewandte it-sicherheit und kryptographie gemacht. Damit verbunden dann auch ein ingenieurs abschluss. Wenn ich bin seit über dreiundzwanzig jahren generell in der it-sicherheit informationssicherheit tätig. Ob es informationssicherheit management system oder jetzt eben kritische infrastrukturen ist ich habe mich da überall breit gemacht und ausführlich ausgetobt. Habe innerhalb dessen fünfzehn jahre lang also diese kreditkarten sicherheit weltweit eben begutachtet geprüft oder eben auch beraten und. Mache inzwischen eben nicht nur die themen leitung für das thema kritische infrastrukturen sondern halt eben auch unsere prüfende stelle und bin unter anderem auch ausbilder für kritisch prüfer. So dass dieser also diese paragraph gesetz vorgaben verstehen wie so eine prüfung abläuft was die erwartungshaltung des bsc etcetera. Ansonsten tobe ich mich generell in diesem thema kritische infrastrukturen bevölkerungsschutz ethik so ein besonderes steckenpferd ist auch hack back. Aus und mache seit ich diese diese normale zeit sozusagen hinter mir habe in der. Irregulären zeit parallel in sehr vielen c. Teilweise habe ich also ich habe über zwanzig jahre lang den den kongress und auch die camps ja mit der mit der physical security und und auch als erzengel, versorgt bin jetzt sozusagen kongress rentner und kann jetzt zu landen, weil ich das alles seit zwei jahren hinter mir gelassen habe so ein bisschen mach aber auch noch beispielsweise versammlungs-und wahlleitung beim beim c e v wenn wenn gewählt werden muss und so weiter, ich bin auch mitglied in der base in digitale kultur ev das ist der link richtung demos szene wo ich auch sozusagen noch fehler drin hab mach bei der gesellschaft für informatik und den pfiff leuten mit freie software freunde gesellschaft für freiheitsrechte und bin eben auch im geraffel als kommentar tätig ich tue mich also auf tausend baustellen auf. Um und und bin jetzt auch in der leitung der ag kritisch mit ihrem zusammen weil ich habe ja noch ein bisschen zeit.
Tim Pritlove
Jetzt schon kurz hier hatte ich auch noch einen podcast machen noch so viel luft ist.
Honkhase
Ja um gottes willen da haben mich so viele zwischen schon darauf angesprochen im moment mach ich ja ab und an welche mit mit leuten die mich irgendwie hören wollen aber selber da muss ich ja mindestens mal ein vernünftiges headset kaufen muss ich mal schauen.
Tim Pritlove
Das sollte sich ja machen lassen ja ja da da geht auf jeden fall was ja und dann sag doch mal was zu dir.
Ijon
Ja ich bin noch ein paar jahre jünger als der hase deswegen ist mein meine video nicht ganz so eindrucksvoll ich hab was mit kommunikation studiert und nebenbei dinge mit computern gemacht wie glaube ich viele und. Bin dann irgendwie tatsächlich durch zufall im deutschen bundestag gekommen wo ich für den schulz von zweitausendelf bis zweitausenddreizehn gearbeitet habe und dann jetzt von zweitausendsiebzehn bis ja ende märz noch dann dass der vertrag aus mein freund ist ja mein freund chemie ist ja leider gestorben. Und damit ist auch mein arbeitsplatz dann weggefallen ich habe einen neuen abgeordneten gefunden wo ich am ersten dritten weiter tätig sein werde aber in im rahmen der tätigkeit für jimmy zweitausendelf zweitausendzwölf damals war das thema red kommission bei uns im büro ganz groß und wichtig habe ich ganz viel recherchiert zu den themen in der control systems und industrie security und skala systeme und und dann die alles noch bei gehört und festgestellt dass es alles ganz ganz schlimm da draußen und daraufhin angefangen mich für das thema kritisch kritisch zu tun, zu interessieren und das zu vertiefen, zudem kann man auch noch ein paar spielzeuge dazu die mehr oder weniger ähnliche protokolle und systeme verwenden größere industrie c fräsen und so mit denen ich, gerne in der freizeit spiele wo man dann auch das ein oder andere mal ausprobieren kann was man im peper gelesen hat was eigentlich nicht gehen durfte aber dann irgendwie doch geht und da am ende saßen wir irgendwann im herbst wann war das zweitausendsiebzehn in der stellten fest ja, wir sind alle dergleichen meinung so geht's nicht mehr weiter das ist alles katastrophal, die katastrophe wird kommen es ist zu spät die vorsorge und die security führen zu wollen, wir müssen jetzt auch was tun für wenn das unweigerlich eintritt und die katastrophenfall da ist weil da haben wir bisher viel zu wenig da haben wir angefangen zu recherchieren und dann habe ich auch damals im büro zweitausendsiebzehn juni oder sowas achtzehn. Zweitausendachtzehn im juni kleine anfragen gestellt im namen von jimmy wo man mal so abgefragt hat welche kapazitäten eigentlich in welcher bundesbehörde für welche aufgaben im bereich cyber zur verfügung stehen und das war dann so ein bisschen grundlage für die analyse und die vor allen dingen die erkenntnis. Da fehlt furchtbar viel und aber dazu kommen wir nachher noch.
Tim Pritlove
Ja bevor bevor wir da darauf kommen, vielleicht nochmal zu jimmy schulzen ein paar worte wir haben den ja hier als als er gestorben ist auch im logbuch einen kurzen nachruf gewagt aber kann die natürlich nicht so gut wie wie du was gibt es etwas was muss man noch wissen über jimmy schulz im im rückblick.
Ijon
In meinen augen war das der erste hacker im deutschen bundestag der erste hacker mit mandat im deutschen bundestag der dinge in der politik getan hat die in unserem. In unserem im club sinne unserem sinne sind und weiterhin sind hat die politik seiner partei der fdp maßgeblich mitbestimmt und das programm. Verändert und mitgestaltet einrichtung wie das der club glaube ich zwanzig jahre gefordert hat wenn ich mir das angucke was. Constanze oder frank oder andere wichtige personen im c auf den bühnen für politische forderungen. In den letzten zehn jahren gehabt haben dann stelle ich fest viele davon hat jimmy dann in den nächsten jahren darauf folgenden jahren ins programm der fdp geschrieben, manche auch konkret umgesetzt so die vorratsdatenspeicherung, zweimal verhindert diverse ganz seltsamer gesetzesvorschläge die gar nicht die öffentlichkeit wirklich erreicht haben intern verhindert oder einfach gestoppt oder angepasst. Die ganzen anderen stellen für bürgerrechte eingetreten und eine digitalpolitik gemacht den namen verdient zumindest im rahmen der möglichkeiten an einzelnen abgeordneten.
Tim Pritlove
Ist ja eigentlich jetzt immer unsere erfahrung dass so digitalpolitiker in ihren parteien relativ wenig durchschlagskraft entwickelt weil sie dann am ende einfach auch nur vertreter einer minderheit sind und dann doch ziemlich schwer ist bei dem eingeschränkten, allgemein verständnis digitaler realitäten dort gehört zu finden. Wenn du meinst er war jetzt der erste hacker hatte da irgendeinen anderen ansatz verfolgt oder würdest du sogar sagen dass es bei der fdp strukturell in irgendeiner form einfacher war das so, zu tun.
Ijon
Ich habe jetzt den vergleich nicht wie das bei anderen parteien aussehen würde wie man da ein eine programmänderungen einer programm erweiterung ins parteiprogramm reinkriegen würde. Aber ich habe nicht das gefühl gehabt dass sie die tablette keine fdp jemals irgendwie nicht gehört worden und übergangen wurden die haben das schon ein starkes standing und die werden gehört und dürfen mitschreiben und sollen mitschreiben, sind auch gut organisiert mit den verschiedenen landesfachausschüsse und der bundesfachausschuss. Digitale agenda internet medien sowie dieser dein so heißt das da. Die gibt's die funktionieren die tun sachen und der output ist meistens ziemlich brauchbar da sitzen sehr viel schlaue köpfe drin und wenn man da sich engagiert kann man da auch mitgestalten das zumindest mein gefühl und auch mich haben sie mitreden lassen obwohl ich nicht aber der mitglied bin.
Tim Pritlove
Dann die kritische infrastruktur habt ihr jetzt beide sozusagen aus verschiedenen. Ihr seid ja im prinzip aus unterschiedlichen auf unterschiedlichen vektoren entlang gesurft auf dieses thema jetzt gibt es seit wann seit wann gibt es die ag kritisch.
Honkhase
Die gibt's jetzt seit ungefähr zwei jahren.
Tim Pritlove
Und die habt ihr in der gegründet oder wie.
Honkhase
In der debatte hatten wir zu dritt initial gesessen und diskutiert das. Wenn's runterfällt und es wird runterfallen eben irgendwann klar ist was dann passiert die die staatliche vorsorge ist nicht ausreichend ist aber auch sinn und zweck der übung das hat durchaus auch absicht, da kann man vielleicht später zu aber mal festgestellt dass passt vorne und hinten nicht, was müsste man eigentlich tun oder wer tut eigentlich und was tut er und dann haben wir gesehen dass alles viel zu wenig und danach nachdem wir uns zu dritt so ein bisschen ausgetauscht hatten. Kam dann eben der kongress der hatte ja das motto tu.
Ijon
Der vierunddreißig.
Honkhase
Vierunddreißig c drei und danach kam von c. Intern die info wir müssen mal auch wieder was tun und haben einfach einen torwart wochenende für den für den märz angesetzt in dem in dem folgejahr und haben dann gesagt naja sammeln wir mal themen ein thema kam dann auf eben kritisch. Da müsste man mal so ein bisschen eine club meinung und eine club fragestellung erarbeiten genauso wie auch für andere themen, dann hieß es irgendwie honky du kennst doch dieses thema und lebst und vegetiert dadrin rum kannst du das nicht irgendwie dann leid machen tun und organisieren sagt nee keine zeit ja komm an dem wochenende komme ich initiiert hat ein bisschen dann hat sich die gruppe gesammelt und dann klicke ich mich wieder aus hab zu viel um die ohren, an dem wochenende haben wir dann da sehr konstruktiv mit. Fünf sechs leuten glaube ich zusammengesessen und diskutiert wobei die meisten tatsächlich gesagt haben so im detail kenne ich sie wirklich nicht. Habe ich erstmal eine aufklärungs- einsatz gebastelt und gesagt okay ich erkläre es mal die gesetze und die herleitung und worum geht's da. Und dann überlegen wir mal was wir tun und ab dann. Haben wir alle zwei wochen ein ein call aufgesetzt und alle zwei wochen auch fast jedes mal stattfinden lassen ich glaube in den zwei januar. Zwei drei male sind ausgefallen oder so sehr überschaubar. Haben dann eine interne vicky seite aufgesetzt haben sachen gesammelt informationen, im anschluss ist das immer mehr publik geworden ist aber auch mehr mehr interne streiter sich gefunden dann haben wir dieses thema intensiviert dass wir sagen was ist eigentlich bei einer großschadenslage oder katastrophe was was kann man da tun. Und so hat sich das immer mehr in die richtung entwickelt und ja dann haben wir uns sozusagen auch politische forderungen überlegt und auftakt trainiert mit denen wir dann sozusagen eigentlich dagegen steuern wollen. Und durch diese dagegen steuern haben wir dann auch gesagt dann müssen wir uns noch einen kleinen ticken mehr. Sozusagen unabhängiger machen eine abhängigkeit vom c in dem sinne war ja dann da auch wenn die positiv konnotiert ist aber es kann ja durchaus bei bei politischen forderungen schwierig werden. Gesagt dann machen wir da noch einen kleinen distanz schritt, das war das eben nicht mehr an den pc koppeln und dann frei sprechen können aber auch der c sich ganz klar dafür oder dagegen positionieren kann weil es durchaus vorteile oder nachteile haben kann dadurch ist die ag kritisch dann die. Quasi unabhängige ag kritisch geworden. Ja hat dann anderthalb jahre lang an einem konzept entwickelt aber eben auch verschiedene andere themengebiete adressiert bearbeitet und es sind noch einige dinge in der. Hoffentlich dann in den nächsten wochen und monaten auch veröffentlicht werden können die man arbeit stecken.
Ijon
Genau und jetzt gerade sind wir fünfunddreißig bis vierzig leute ungefähr die allesamt professionell beruflich täglich mit kritisch zu tun haben ich bin da so ein bisschen die ausnahme weil ich ja nur der bundestag dinge tue aber alle anderen sind tatsächlich prüfer oder ingenieure die sowas bauen oder testen oder beraten oder, dinge tun die betreiber haben wir auch noch ein voll dabei so mitarbeiter von betreibern und wir. Also wir haben die kompetenz bei uns versammelt möchte ich behaupten und wir haben überhaupt keine sponsoren keine wirtschaftlichen verknüpfung mit irgendwas es fließt kein geld von nirgendwo noch nirgendwo und wir machen das. Weil wir es für wichtig halten dass es sowas gibt dass es jemanden gibt der ohne eigene interessen eine meinung zu diesen themen haben kann und zwar eine fundierte.
Tim Pritlove
Und ihr beide leitet das jetzt auf der webseite noch diverse andere leute gelistet die auch alle lustige nicknames haben das scheint so ein bisschen so eine einstellungsfrage vorsetzung zu sein.
Honkhase
Zufällig schweres das liegt nicht an mir. Ja wir zwei leiten es halt als als ja leiter der ag und haben den hut auf oder beide hüte auf und ein paar leute sind da gelistet die gesagt haben sie wollen auch, transparent darstellen dass sie es tun und eben auch teilweise wo sie tätig sind um das auch transparent zu machen und nicht irgendwie geheimniskrämerei oder sind berater oder wer auch immer es geht halt wirklich darum und es sind wie gesagt fünfunddreißig bis vierzig und da sind online glaube ich nur zehn oder so gelistet die meisten wollen, wirklich nicht nur in ihrer freizeit ehrenamtlich weil es einfach, notwendig ist weil sie eben mit griechen infrastrukturen zu tun haben sondern sagen auch ich will da auch gar nicht in erscheinung treten ich möchte nur mein input bei steuern und einfach was machen es muss sich bewegen und ich konnte tribute meinen teil.
Ijon
Der einzelnen gibt's halt auch so den arbeitgeber dann sagt nee bitte nicht öffentlich schreiben für wen du hier arbeitest wenn du auf der webseite oder andere arbeiten für behörden und können das deswegen nicht. Ja so öffentlich kommunizieren für welche behörde sie was tun weil das ihr ehrenamtliches engagement mit ihrer dienstlichen tätigkeit vermischen würde und deswegen ist die liste nicht vollständig aber alle die. Bei uns in der dinge tun und gelistet werden wollen werden noch gelistet.
Tim Pritlove
Wenn auch nicht unbedingt immer das unternehmen aber wenn man jetzt wirklich interesse hat dann kann man dann entsprechende links folgen und da wird man schnell schlauer also man ist es nicht unbedingt heraus hängen aber man macht auch klar dass man sozusagen hinter der idee steht.
Ijon
Genau die archiv das ist ja eine ehrenamtliche vereinigung wir machen das alle in unserer freizeit nach feierabend und unabhängig von den interessen unserer arbeitgeber oder sonstigen dass deswegen sind die arbeitgeber die da teilweise beistehen auch nicht unbedingt relevant sondern wir machen das in der freizeit.
Tim Pritlove
Gut dann kann man vielleicht noch erwähnen ich mache ja vorhin die gelegenheit während günstig gewesen weil du honk was ja in berlin und das war so nicht ohne grund sondern weil ihr gerade eine veranstaltung organisiert habt ihr in der debatte stattfand unter dem schönen namen defensive und das war auch schon das zweite mal was steckt denn hinter dieser veranstaltung.
Honkhase
Das ist ungefähr so wie mit dem honk hasen also in den in den letzten jahren oder fast schon naja so es sind so circa zwölf zehn jahre habe ich mich immer wieder auch mit dem mit dem thema der ethik befasst, wie gesagt hack back ist ja auch eins meiner meiner steckenpferde. Vor zwei jahren war es eben so dass ich auf die offensive wollte und kein ticket bekommen habe weil ich mir eben angucken wollte weil viele berichtet haben dass es. Mehr oder weniger ein sehr sehr aggressives offensives vorgehen man diskutiert über über explodiert odaya.
Tim Pritlove
Offensive ist eine ist eine security konferenz die auch in berlin stattfindet.
Honkhase
Genau und da da wird eben wirklich explizit, handelt teilweise auch angestrebt oder oder zumindest nicht unterbunden und gefördert da treten auch die die explodiert händler als als sponsoren auf da wird viel über eben offensive, security gesprochen wollte ich mir mal ein bild von machen, kein ticket bekommen und dann habe ich gesagt mist benennen wochenende aber sowieso in berlin und dann hatten sich ein paar andere aus der base hatten gesagt na dann lass uns doch gemütlich sitzen und ein bisschen schnacken bierchen trinken oder so und dann haben wir das geplant. Dann hieß es irgendwann naja eigentlich können wir ja auch einen seminarraum in der base buchen und uns da in ruhe hinsetzen und eine pizza ist noch ein bierchen trinken. Dann kam irgendwie so ein ja ich habe das den raum jetzt gebucht wir müssten das irgendwie benennen, dann nennst doch die weil das ist ja quasi jetzt ein gegenveranstaltungen zur wenn wir sitzen einmal zusammen und reden über ethik und dann hieß es gut dann machen wir das so und dann stand sie im kalender der seebands und irgendwann eine woche oder zwei vorlese sondern wenn wir die jetzt machen dann muss er auch irgendwie so eine art keynote oder die impulsvortrag halten, sonst wissen wir gar nicht worüber wir reden sollen. Sagt gut kriegen wir auch noch hin haben folien satz schnell zusammen geklickert hab gesagt so als anregung reden wir mal über über offensiv defensiv ethik. Und auch hack back insbesondere und dann hat man eben über die. Ich weiß gar nicht ein zwei hände voll folien ist auf jeden fall unter www blabla security punkt de verlinkt haben wir haben wir darüber geschnackt und das war so eine richtige, diskussion mit so circa fünfzehn bis zwanzig leuten haben wir sehr interessanten diskurs gehabt uns ausgetauscht und da einige wussten ich bin an dem wochenende da und haben das im kalender der gesehen oder hat mich auch angesprochen aus dem aus dem club umfeld hieß es dann eben auch sag mal können können wir dann abends dazu kommen habe ich gesagt klar ist ja offen für alle gar kein problem und dann kam nachdem die da irgendwie sozusagen offiziell ende hatten, ging es in den gemütlichen abend über und dann kamen insgesamt nochmal so ein ganz saarbrück leute nach und nach rüber ich glaube am ende waren wir so circa fünfzig bis sechzig mann. Wo wir uns auch sehr interessant ausgetauscht haben auch mit den dieser absolut ich sammel gerne explodiert und research und halt ja auch zurück klar kann es millionen leute betreffen aber ist mir egal das ist mein baby und ich habe hier ethik sich keine bedenken mit haben wir also auch mit mit diesem dieser ethischen ausprägung gesprochen ausführlich und zwar auch interessant diese gegen sichten durchaus zu bekommen oder auch kontroverse sichten. Ganz spannend für die eigene ausrichtungen auch für für die fürs verständnis der denkweise des gegenüber sozusagen das ist dann wie gesagt entsprechend so gelaufen. Nach der nach der veranstaltung hieß es dann ja dann machen wir jetzt nochmal. Hatte ich ja gesagt na ja aber dann nicht an dem wochenende das macht ja nur keinen sinn irgendwie eine eine echte gegenveranstaltungen zu bauen also damit rollt und und ist man irgendwie wen und das ist irgendwie auch nicht sinn und zweck der übung und der sinn ist ja eigentlich ledig dann ethisch kann man da so nicht vorgehen aber also ein ein willkürliches anderes wochenende gewählt und das ist dann eben das letzte wochenende jetzt also erste jahreshälfte beziehungsweise erste monatshälfte februar gewesen, dann hat man es ein bisschen verschoben gesagt nee nicht samstag sonntag sondern freitag samstag dann können vielleicht auch leute die beruflich tätig sind oder politisch irgendwie auch noch kommen und dann hat sich immer mehr das bild geformt eigentlich wollen wir mal, den fokus bei der zweiten auf behördenvertreter und staat, setzen denen eigentlich zu erklären warum defensive statt offensive was hat es mit der ethik auf sich und wollen wir das mal aus der sicht betrachten und vielleicht sogar gesetzgeber oder gesetzes- schreiben den, vielleicht ein bisschen feedback an die hand legen das haben wir dann so so festgelegt zu fünft da muss man auch sagen von den fünf. Sebastian mitgliedern die das gemeinsam organisiert haben sind drei in der kritischste überschneidung ist also hoch hat aber damit quasi nichts zu tun direkt sondern eher mit dem ethik thema und der defence. Ja und dann haben wir das zu fünft aufgezogen ich bin jede menge speakern auf den nerv gegangen die ich ganz gut kenne und dann haben, hat jeder so seinen seinen teil beigetragen deiner die grafik entwickelt und die webseiten der nächste hat den ganzen die ganzen dinge vor ort koordiniert der nächste hat die videos jetzt geschnitten und vorbereitet dass unsere laden können und so ging das dann rein rum das war wirklich alle. Fleißig dran rumgewerkelt haben in auch wieder in der freizeit ohne irgendein irgendwie große sponsoren oder sonst was im hintergrund offiziellen veranstalter. Wir haben nur drei kleinere beträge von drei sponsoren bekommen für das streaming weil das einfach geld gekostet hat. Ein bisschen viel war für aus der privaten tasche auch noch zahlen und dann hat man gesagt na gut dann, tun diese drei firmen irgendwie einen kleinen obolus mit dabei werden vor ort einmal kurz oder ein paar mal kurz erwähnt aber auf jeden fall nicht in den aufzeichnungen und auch nicht mit werbematerial kreucht und fleucht weil es ja wirklich um den. Um den aspekt ging das alles, den gesetzgeber politikern den den staatlichen akteuren da irgendwie näher zu bringen wollen wir jetzt auch nicht den ganzen werbemittel machen so haben wir das ganze dann konzipiert das ist dann auch letzte woche so gelaufen. Freitag und samstag und da haben wir dann ein sehr schönes line-up bekommen haben auch sehr schön diese ganzen, thematiken hack back völkerrecht it-sicherheitsgesetz zwei null was jetzt in der mache ist und ganz viele verschiedene sichten dazu auch erklärt bekommen von. Wissenschaftlern von teilweise auch behördenmitarbeiter von krisenmanagerin von zivilen institutionen und so hat man also ein sehr breites bild zur defensive und zur ethik zusätzlich haben wir. Dieses konzept was die ag kritisch entwickelt hatte zu einem zu einem zeitpunkt so weit dass wir gesagt haben jetzt ist es veröffentlichungspflichten, da haben wir dann auch gesagt dann dann machen wir die präsentation der ersten fassung. Auf der defensive und können sagen zur defence gehört auch noch ein konzept was sie entwickelt hat und haben das da auch noch vorgestellt ihren person dann. Und das ist halt eben auch sehr gut angenommen worden und angekommen insgesamt haben wir zu der, zu der veranstaltung als auch zu dem konzept sehr sehr viel positives feedback feedback bekommen was dann auch zeigt dass ethik und defensive tatsächlich zwei. Punkte sind die bei den bei den menschen mit expertise und know-how wirklich ganz ganz ausgeprägt sind. Ist halt nur im moment ein bisschen schade dass es in der politik so kurz kommt und daran wollen wir ja damit arbeiten das ist so die idee dahinter.
Tim Pritlove
Die aufzeichnung der vorträge sind jetzt aber noch nicht veröffentlicht worden oder oder die schon draußen.
Ijon
Doch tatsächlich direkt kurz bevor ich heute losgefahren bin hier zum podcast aufnehmen habe ich noch kurz auf den button geklickt ja genau.
Tim Pritlove
Habt ihr bloß noch nicht fertig wettert sozusagen gut dann packen wir das in die shownotes mit rein.
Honkhase
Wir haben den tweet noch nicht abgesetzt ganz kurz ihren.
Ijon
Ich weiß.
Honkhase
Das machen wir aber nachher erst ne das ist jetzt bitte nicht aufzeichnen das macht ja dann keinen sinn mehr aber.
Tim Pritlove
Zum zeitpunkt der veröffentlichung ist der tweet releast und die videos sind zugänglich und der link steht in den shownotes. Okay ja ich war selber am ersten tag da am zweiten tag hatte ich leider keine zeit dafür fand das eine ganz interessante mischung hatte halt so ein bisschen. C anstrich ne also so ein bisschen kongress gefühl auf der einen seite so dass man eben relativ breit das thema angegangen ist. Und wie ich das jetzt auch raushöre war das ja jetzt quasi die erste formalisiert form dieser defensiv con wehren die andere eigentlich eher so ein bisschen aus dem, aus der hüfte heraus entstanden ist. Und ihr habt euch da halt bemüht ja sauer dem ganzen auch erstmal so ein ethischen rahmen zu geben. Und ich nehme an das war eben auch sehr bewusst so getan so dann müssen wir vielleicht mal so ein bisschen die definitions kiste aufmachen und diesen eurer auffassung nach so schön juristisch schon klar definierten begriff mal vielleicht ein bisschen zusammen, tragen ohne hier gleich in juristen sprecht zu verfallen was ist denn jetzt eigentlich kritische, infrastruktur also wie ist es wie ist es definiert oder beziehungsweise wieso wie sollte man es sehen also vorstellen kann man sich natürlich jetzt eine menge darunter und kritisch ist natürlich in gewisser hinsicht auch immer alles naja okay alles was mich betrifft das ist kritisch und der rest ist mir egal aber so ist es ja sicherlich nicht definiert.
Honkhase
Nein definitiv nicht also die. Tatsächliche definition ist im paragraph zwo absatz zehn ps gesetz und da gibt's zwei wesentliche unterscheidungen also grundsätzlich sind es sogenannte einrichtungen anlagen oder teile, also durchaus aspekte oder auch vollumfänglich. Aus bestimmten sektoren also energie informationstechnik telekommunikation transport und verkehr gesundheit wassereinlagerung finanz-und versicherungswesen. Start und verwaltung und medien und kultur gehören auch dazu und zweite bedingung ist von hoher bedeutung für das funktionieren des gemeinwesens sprich, eine beeinträchtigung durch einen versorgungsengpässe oder einen komplett ausfall der versorgung würde eben eine gefährdung der öffentlichen sicherheit bedeuten dadurch dass, mehr als fünfhunderttausend betroffene personen irgendwie darunter leiden müssen das ist so im schnelldurchgang die erklärung.
Tim Pritlove
Sollen wir mal die zahl fünfhunderttausend.
Honkhase
Fünfhunderttausend personen müssen betroffen sein minimum damit es eine kritische infrastruktur ist wenn es also jetzt. Ein kleines dörfchen von zwanzigtausend mann ist und dann totalausfall der frisch wassergewinnung ist dann interessiert das kein in berlin-köpenick gab es einen stromausfall durch diese angebote. Hundertzehn kv leitung die zwei also zwei leitungen auf einer brücke und beide wurden kaputt gebohrt am fünfundzwanzigtausend haushalte und ein krankenhaus kann kein strom ergab für dreißig stunden das wäre jetzt das war zum zwar tragisch und schwierig aber hendelbar weil man natürlich, außerhalb dieses stromausfall gebiets eben ja dinge kaufen konnte oder eben auch gekühlte dinge verfügbar hatte etcetera das jetzt nicht wirklich ein großer schaden, oder, ein großes schadensbild was eben mehr als fünfhunderttausend menschen betrifft und damit überregional über einen längeren zeitraum ist. Sondern eben eher klein und überschaubar und händelbar und es war auch händelbar dass sowas kriegen die. Die katastrophen helfer durchaus hin.
Tim Pritlove
Ja es gab einschränkungen ich erinnere mich noch an den fall so gerade brücke ist er auch schon mal eine kritische infrastruktur aber dann vor allem eben der strom ausfall aber ich finde. Ich finde jetzt so aus dem bauch heraus die zahl schon relativ hoch angesetzt also fünfhunderttausend das ist ja dann schon im prinzip die definition einer großstadt. Ja also das würde ja dann bedeuten dass nur alles das kritisch ist was eine komplette großstadt im ganzen beeinflusst.
Honkhase
Na ja es muss nicht zwingend eine großstadt sein wird bei frischwasser gewinnung schon es gibt ja immer in stadtwerk, für einen gewissen einzugsgebiet oder bereich genauso wie abwasser kanalisation ist ja auch fest aber wenn man jetzt ein zentrales autorisierung system für bargeldlosen zahlungsverkehr nimmt oder, bei den bei den versicherungen eben ein zentrales system in dem die auszahlungen getätigt werden dann betrifft das ja nicht eine stadt für sich sondern mehr als fünfhunderttausend menschen in ganz deutschland. Und zwar breit gefächert oder verteilt und dann haben wir trotzdem, eine großschadenslage ist ist es ja minimum fünfhunderttausend menschen die betroffen sind es kann ja durchaus heißen, es geht gar keine bargeld transaktion mehr durch oder kreditkarten transaktion oder so und dann würde das ja theoretisch zweiundachtzig millionen menschen betreffen wenn nichts mehr geht.
Tim Pritlove
Und es ist dieses betreffen irgendwie auch nochmal klarer definiert also ich meine wenn es mich betrifft heißt ja noch lange nicht dass es auch gleich katastrophale ausmaße hat.
Honkhase
Also es muss sozusagen eine wie gesagt eine versorgungseinrichtung oder ein versorgungsausgleich fall sein der mindestens so viele menschen betrifft wenn also. Keine ahnung nehmen wir jetzt transport und verkehr wenn die lichtsignalanlagen auch genannt ampel, komplett ausfallen in einer großstadt mit nehmen wir berlin viele millionen einwohner und fällt komplett aus dann hat man definitiv eine versorgungs- so dann gibt's keine grünen wellen mehr dann muss auf auf kreuzungen der verkehr manuell reguliert werden so viele, polizisten oder anderweitige akteure haben wir gar nicht, dann haben wir ganz schnell ein problem weil weil sich dann alles mögliche aufstaut.
Tim Pritlove
Kannst du die liste nochmal kurz ein bisschen langsamer runterbeten also dass ich da mal kurz drauf eingehen kann weil sie war doch relativ lang.
Honkhase
Es gibt den sektor energie den sektor informationstechnik und telekommunikation.
Tim Pritlove
Also warte mal bleib bleiben wir mal kurz bei energie also energie sind kraftwerke im weiteren sinne aber halt auch was weiß ich hochspannung infrastruktur trassen so etwas.
Honkhase
Genau wir haben drei wir haben drei branchen einmal elektrizität grundsätzlich mineralöl also auch tanklager beispielsweise und auch gas. Es kann auch fernwärme zum beispiel sein die gehört auch als versorgungs- dienstleistung hinter diese drei branchen insofern steckt das schon all diese facetten davon ab ja.
Tim Pritlove
Ok gut das ist nachvollziehbar so nächste kategorie.
Honkhase
Nehmen wir als nächstes gesundheit medizinische versorgung also krankenhäuser etcetera. Aber arzneimittel und impfstoffe also die pharma branche herstellung und auch lagerung transport und und so weiter und eben auch die labore. Das sind dann arzneimittel in und an in der verwendung in und am menschlichen körper als auch blut plasma.
Tim Pritlove
Okay.
Honkhase
Beispielsweise dann haben wir den sektor ernährung da geht es um die ernährungswirtschaft und den lebensmittelhandel das heißt die großen lebensmittelhändler sind auch kritische infrastruktur weil man bei denen ja entsprechend viel nahrung einkaufen und nutzen kann.
Tim Pritlove
Also wenn jetzt so edeka zentrale betroffen wäre dann dann dann hätte das automatisch diese dimension.
Honkhase
Ich weiß jetzt nicht ob edeka ganz konkret kritische infrastruktur ist aber ja die ganz großen.
Tim Pritlove
Naja das betrifft auf jeden fall schnell mal mehr als fünfhunderttausend leute würde ich sagen.
Ijon
Edeka gehört zur metro gruppe und die ist zweifelsohne kritisch.
Honkhase
Stimmt die gehören zur metro gruppe dann wäre metro definitiv kritisch mit mit all ihren töchtern und genau dann dann wäre das auch kritische infrastruktur das.
Ijon
Ich frage mich wenn ich mich täusche als einzelner hersteller von lebensmitteln und man glaube ich am tag etwa sechshundert tonnen herstellung findest zu sein.
Honkhase
Das müsste ich jetzt mal spontan nachgucken aber es gibt definitiv auch molkereien die kritisch sind also von daher ist das durchaus richtig aber ich schaue mal parallel nach.
Tim Pritlove
Also nicht nicht alle molkereien aber molkereien mit einer bestimmten größe sozusagen.
Honkhase
Genau sie müssen eben also es wird in der definition umgerechnet fünfhunderttausend menschen benutzen im durchschnitt so und so viel, an ernährung machen so und so viele transaktionen um bargeldlosen zahlungsverkehr zu nutzen haben sonst so viel frischwasser, im durchschnitt in der benutzung des rechnet man dann auf fünfhunderttausend menschen hoch und hat dann die bemessungsgrenze.
Tim Pritlove
Ok ok also das war jetzt ernährung also supermärkte und hersteller im wesentlichen.
Honkhase
Ich gucke gerade nach bei ernährung ist es so im schnitt vierhundert vierunddreißig komma fünf tonnen oder getränke dreihundertfünfzig millionen liter das aber nicht alkoholische getränke alkohol ist extra von ausgenommen.
Ijon
Alkohol ist kein kritisch.
Tim Pritlove
Was.
Honkhase
Alkohol ist kein kritisch finde ich verantwortlich ethisch und korrekt sehr schön.
Tim Pritlove
Oh gott wie soll man sich denn dann den frust noch wegsaufen ja.
Honkhase
Gar nicht ganz ganz die brake trinken die dich dann überschwemmt oder so ja machen wir weiter transport und verkehr.
Tim Pritlove
Ja das ist.
Honkhase
Fällt die luftfahrt drunter da fällt die seeschifffahrt drunter binnenschifffahrt schienenverkehr straßenverkehr und die logistik. Das heißt wir haben da ein sehr breites spektrum von transport und verkehr also die öffentlichen die üblichen öffentlichen verkehrsmittel und so weiter was da. Interessanterweise fehlt. An anderer stelle ist beispielsweise der wetterdienst ohne den definitiv die luftfahrt oder andere dinge nicht betrieben werden können ordentlich weil es voraussetzung ist aber die hat man sich warum auch immer weg optimiert oder eingespart. Dann haben wir die finanz-und versicherungswesen.
Tim Pritlove
Was heißt man man hat sich das weggeht also es ist in diesem gesetz nicht nicht erwähnt oder was.
Honkhase
Die stehen nicht drin genau die sind keine kritische infrastruktur im sinne des it-sicherheitsgesetz beziehungsweise des gesetzes.
Tim Pritlove
Okay.
Honkhase
Dann haben wir finanz-und versicherungswesen das sind banken börsen versicherungen natürlich und finanzdienstleister die entsprechend groß sind. Dann haben wir die informationstechnik und telekommunikation klar da kommt sprach-und datenverkehr. Zum tragen es gibt noch anbieter digitaler dienste die so ein bisschen extra im paragraph acht. Oder oder so aufgebracht sind weil die eben auch das ist jetzt so ein bisschen die woher kommt das ganze, der ursprung ist sozusagen die richtlinie aus aus der eu und dieser dieser richtlinie ist dann, länder lokal umzusetzen.
Tim Pritlove
Was heißt das denn.
Honkhase
Nationale jan weißt du's gerade zufällig.
Ijon
Ein netzwerk an information sicherheitsrecht linie.
Honkhase
Oder ja genau das dies die ist dann jeweils pro land umzusetzen in deutschland war das damals dann das it-sicherheitsgesetz und das it-sicherheitsgesetz ist ein artikel gesetzt das heißt es ist eine bündelung von gesetzesänderung die on block umgesetzt werden oder eben nicht weil man sonst in konsistenzen da drin hat wenn man es jetzt ganz einfach für den laien versucht zu erklären damit gibt es in dem sinne kein it-sicherheitsgesetz sondern das war dieses artikel gesetz also diese bündlung in der im wesentlichen natürlich das bsi gesetz angepasst wurde aber auch viele andere, besorgt und so weiter und da drin ist eben definiert worden was ist kritische infrastruktur nach diesem. Und da stehen eben diese dinge drin und verschiedene andere dinge nicht beispielsweise in der wetterdienst oder auch chemiebranche ist komplett nicht vorhanden die habe ich ja vorhin auch nicht aufgelistet. Weil das innenministerium und wer auch immer das it-sicherheitsgesetz diskutiert hat eben gedacht hat diese zwei teile sind nicht relevant.
Tim Pritlove
Und siehst du das anders.
Honkhase
Ja ich sehe das wie wie das baby also das bundesamt für bevölkerungsschutz und katastrophenhilfe für die ist sowas ganz klar kritisch und nicht jetzt kritisch im sinne des gesetzes hier aber kritisch weil wenn's dann irgendein versorgungsengpässen versorgungsausgleich oder eine. Irreguläre outrage gibt klar haben sie damit ein problem und müssen sich darum kümmern insofern bin ich da sehr nah beim b und sagt da fehlen noch ziemlich viele dinge. Die usa haben wir sechzehn verschiedene sektoren beispielsweise die haben critical infrastructure schon vor vielen jahren definiert. So kann nicht jedes land bis zum gewissen grad eigenständig agieren manche dinge rauslassen manche dinge drin lassen aber bestimmte dinge mussten auf jeden fall drin vorkommen.
Tim Pritlove
Hallo. Ist aber generell die frage ob man da jetzt so einen blick so drauf wirft im sinne von wenn das ausfällt ist die betroffenheit unmittelbar, oder nur mittelbar also ich meine wir reden ja dann auch über ausfälle von produktionskern mit auswirkungen auf die komplette wirtschaft ja wenn man sich anschaut wie automobilsektor just in time mäßig unterwegs ist et cetera da muss ja sagen wir mal die eigentliche sterbende infrastruktur nicht mittel nicht unmittelbar fünfhunderttausend leute betreffen aber dann halt vielleicht in der in der langfristigen oder mittelfristigen auswirkungen davon.
Honkhase
Ich garantiere dir wenn wir ein problem in der chemiebranche haben ist das kritisch. Aus der sicht des bbk und auch kritisch für das ich sag mal funktionierendes gemeinwesens und auch für das für die gefährder also gegen die gefährdung der öffentlichen sicherheit insofern. Kann man das nicht wirklich ausblenden meiner meinung nach aber gut schauen wir mal was kommt.
Ijon
Wir sind jetzt noch.
Honkhase
Entschuldigung was auch nicht vorhanden ist ist beispielsweise die entsorgung die soll ja vielleicht im it-sicherheitsgesetz zwei null noch kommen das ist auch ein wesentlicher punkt hast du keine entsorgung hast du ganz schnell hygiene probleme.
Ijon
Vielleicht sollten wir nochmal die sektoren über die reden die wir es noch nicht betrachtet haben medienkultur schatten verwaltung. Also die die es gibt wie chemie ist ja ein sektor den gibt's nicht den sollten wir vielleicht bin fordern werden braucht man vielleicht brauchen aber es gibt ja auch sektoren die es gibt die wir noch nicht betrachtet haben heute.
Tim Pritlove
Wir waren jetzt bis verkehr gekommen womit geht's weiter.
Honkhase
Nee finanz-und versicherungswesen hatte ich danach noch und informationstechnik und telekommunikation wasser haben wir dann noch die wasser frisch wassergewinnung also wasserversorgung und die kanalisation also abwasserbeseitigung ist da noch relevant. Und dann haben wir eben zum einen start und verwaltung wo drin die regierung und die verwaltung drin ist das parlament die justiz-einrichtung und die notfall- und rettungswesen einschließlich katastrophenschutz. Die werden aber anders gehandhabt die sind nicht im gesetz reguliert weil es eben bundesvorstand tätigkeiten sind da gibt es den sogenannten op bunt umsetzungsplanes bund der seit vielen jahren im einsatz ist, über den das reguliert und gesteuert oder koordiniert wird. Und bei medien und kultur geht es um rundfunk also fernsehen und radio gedruckt und elektronische presse kulturgut und symbolträchtige bauwerke, auch das ist nicht im gesetz geregelt weil es eben auch nicht hoheitliche tätigkeiten sind aus bundessicht sondern beispielsweise die medien sind über die landesmedienanstalt. Gesetze und anstalten reguliert und gekümmert also föderale hoheit und damit eben auch nicht mehr in der bundesweit.
Tim Pritlove
Das heißt wenn jetzt hier mein podcast ausfällt dann ist das eigentlich auch schon mal kritisch weil man muss ja dann auch sehen podcast werden ja auch noch ein fünfhundert jahren gehört das betrifft ja dann schon irgendwann fünfhunderttausend leute.
Honkhase
Ja aber nicht gleichzeitig also die definition fünfhunderttausend leute ist ja auch genau in dieser also, damit es noch komplex an dieser kette wird ernährst richtlinie all die sicherheitsgesetz was das basis gesetz definiert da gibt's dann noch anhängen ans gesetz eine basic kritische ordnung oder kritisch v. Und in der sehr genau definiert was ist eine kritische infrastruktur komponente diesen teilweise sogar mit dem juristischen parameter belegt also die. Begriffsdefinition beispiel öle und produkt entlader ist eine anlage zur lagerung von rohöl oder mineralölprodukte. Die genaue definition davon andere haben dann irgendwelche paragraphen drin eine übertragungsnetz-betreiber man jetzt weiterhin im energiesektor bleibt ist ein netz im sinne des paragraphen drei nummer zweiunddreißig energiewirtschaft gesetzes in der jeweils geltenden fassung. Kann man also nicht diskutieren naja das ist jetzt eigentlich ein podcast oder ein übertragungsnetz-betreiber auch nicht ist genau definiert kann man nachlesen und dann kommt eben. Die genaue angaben wie man diesen schwellenwert berechnet die fünfhunderttausend menschen und eben auch zu welchem zeitpunkt man das berechnet, die anlage ist dann in dieser jeweiligen kategorie ab dem ersten april des kalenderjahres der auf das folgt wo der versorgung gerade über fünfhunderttausend menschen ist kriege infrastruktur du musst zum zeitpunkt, so und so den versorgungsgarantie des zurückliegenden kalenderjahres genau berechnen da kann es also nicht sagen ich suche mir einen günstigen zeitraum oder über die langen jahre sondern es ist genau ein in der regel ist es ein kalenderjahr oder ein zeit jahr wo man das genau berechnet und die die berechnung parameter sind genau davor gegeben. Das ist nicht so viel spielraum drin.
Tim Pritlove
Okay das sind alles definitions fragen okay gut jetzt haben wir so ein bisschen abgesteckt was im prinzip aus sicht des ist jetzt richtig gesehen habe das definiert sich durch das it-sicherheitsgesetz.
Ijon
Man passt also erstmal ist das gesetz das schafft kritisch als struktur also aber da steht nicht sonderlich viel drin als sektoren gelisteter steht dran dass es wichtig ist und das hat nicht ausfallen darf und so ein paar rahmenbedingungen aber wie viel liter milch man etwas molkerei oder wieviel gigawatt strom und altes schreiben als energienetze betreiber übertragen und geht es wird dass es im im feinen definiert über die kritische verordnung die quasi einen anhang ans busy gesetzt darstellt. Und das it-sicherheitsgesetz hingegen ist kein eigenes gesetz in dem sinne dass wir das noch studieren werden sondern das ist eine änderung das heißt da steht drinnen ändere paragraph fünf in diesem und paragraph sieben in jedem gesetz und dann ist das eine lange liste und am ende sind irgendwie acht gesetze angefasst worden und geändert worden auf ein neues land gebracht worden und dann ist das durcheinander seit diese quasi gegessen, reden wir wieder weiterhin über das gesetz und über kritisch verordnungen und über und und, die ganzen anderen gesetze die dadurch angefasst worden sind und wenn wir über zwei sprechen dann reden wir über die zweite version eine anpassung welle von, anderen relevanten gesetzen die da drum herum gebaut sind.
Tim Pritlove
Das was jetzt quasi als nächstes ansteht.
Ijon
Das sek zwei fast halt denn das gesetz an und das fasst die strafprozessordnung an unterschreibt gesetzbuch buch und das telefon ausgesetzt und mediengesetz und noch ein paar grundlagen der bundesnetzagentur und diverse andere und dann sind die geändert worden quasi diese anderen gesetze und dann ist das, it-sicherheitsgesetz zwei gar kein thema mehr weil dann sind die die änderungen ausgeführt worden dann war's das.
Tim Pritlove
Ok gut das heißt. Grundsätzlich geht es hier erstmal zu definieren was überhaupt kritische infrastrukturen es hat jetzt erstmal nicht unmittelbar was mit der digitalen bedrohungen zu tun über die wir jetzt wahrscheinlich gleich nochmal mehr reden wollen das heißt all diese ganze betrachtung mit darf nicht kaputtgehen das gilt halt auch im falle von brand erdbeben sonstigen katastrophen terroranschlag oder was weiß ich oder allgemeine verteilung wahrscheinlich auch noch.
Honkhase
Kommt drauf an wie rum du siehst ne wenn's aus dem rhein it-sicherheitsgesetz und gesetz betrachtet. Sondern ausschließlich it- störungen oder oder it- vorfälle dazu führt das ist ein problem gibt. Wenn er das baby als basis nimmst das baby sagt natürlich über das bsi gesetz und diese, die sicherheitsgesetz definition hinaus haben wir natürlich noch andere gefährdungen kritische infrastruktur wenn jetzt ein, übertragungsnetz-betreiber die die höchstspannung leitung über die über diese masken führt und jetzt hier unser sturmtief mieses sabine glaube ich, würde mich ja jetzt hier nach nach hause gescheucht hat früher so ein so ein mast umknickt und dadurch die ganze trasse abreißt und wir dann ja groß groß lagebild haben weil irgendwie die stromversorgung zusammenklappt. Dann haben wir aus baby sich natürlich trotzdem kritisch vorfall aber aus gesetzlich oder it-sicherheitsgesetz sich. Ist das kein kritisch in diesem sinne weil es keine bezogene ausfall war oder beeinträchtigung. Die unterscheidung muss man schon machen.
Tim Pritlove
Ja okay aber.
Ijon
Also man darf ja nicht vergessen es gibt zwar ein sektor technologie der anfang fünfter kritisch v. Allerdings dieser sektor der bezieht sich auf dem server und telefonnetz und kommunikation unserer man vergisst dann schnell dass ich mein technologie ja auch die betriebsgruppe lage ist für alle anderen sektoren. Da kommt es dann eigentlich her da ist der ursprung der ganzen geschichte ohne diese betriebsgruppe lage kann man halt die schranke nicht aufmachen ja beim wasserwerk.
Tim Pritlove
Man hat einfach verstanden dass einfach immer mehr durch computer gesteuert wird und dementsprechend musste man sich mal gedanken darüber machen was eigentlich passiert wenn die computer nicht funktionieren.
Ijon
Die digitalisierung mehr.
Honkhase
Und das steht beispielsweise im gesetz genau definiert im paragraph zwei begriffsbestimmungen, wird eben auch gesagt die sicherheit in der informationstechnik im sinne dieses gesetzes bedeutet eben einhaltung bestimmter sicherheitsstandards um eben sowas wie verfügbarkeit unversehrtheit vertraulichkeit von informationen betreffend. Sicherheitsvorkehrungen für it-systeme komponenten und prozesse und bei der anwendung von it-system komponenten prozesse zu betrachten und dann kommt so ein ganzer kladderadatsch an erklärung und nachher kommt man dazu was ist denn jetzt kritische infrastruktur wenn man sagt das hier ist und der die systeme und komponenten prozesse das sind eben die sektoren die wir gerade durchgesprochen haben außer die zwei sondern löschen, die stadt und verwaltung und medien und kultur die ja nochmal anders, reguliert sind aber das steht alles in diesem paragraph gesetz eben da drin weil es so im it-sicherheitsgesetz, definiert wurde aus dem ursprung in ihrem richtlinie eu.
Tim Pritlove
Gut jetzt ist ja schon klar geworden dass wir jetzt dass ihr ja vor allem eine digital geprägte sicht auf diese dinge auch habt so und wie gesagt das wird uns auf jeden fall auf die füße fallen. Heißt das eigentlich dass es bisher noch nicht auf die füße gefallen ist oder ist uns schon was auf die füße gefallen.
Honkhase
Es fällt uns ja regelmäßig was auf die füße die frage ist immer nur wie viele bekommen es mit und wie groß war es und und wie schlimm. Tatsächlich mehr als fünfhunderttausend menschen betreffend ist vergleichsweise selten der fall wenn man weltweit schaut passiert das durchaus ab und an wir hatten ja von vor ein paar wochen monaten beispielsweise in größeren ausfall in in brasilien venezuela irgendwo da unten insofern, ist das schon eine grund ein grundproblem dass diese. Vernetzung und verschiedene andere gründe ich kann gerne ein paar aufzählen und erklären aber die dazu führen dass die frage nicht mehr ist. Wer eine ein kritische infrastruktur auswahl haben sondern wann und wie stark und wie oft das ist einfach die grundvoraussetzung. Weil eben bestimmte dinge sich in eine richtung entwickeln dies immer schwieriger machen sowas sauber zu betreiben.
Ijon
Also wir sehen kleinere ausfälle. In deutschland aber noch keine großen wir haben jetzt in der ukraine vor zwei drei jahren einen fetten ausfall gesehen der in deutschland über die schwelle gewesen wäre die not peter geschichte wo quasi die finanzwirtschaft. Einmal kaputt gesäubert wurde von dieser malware. Das in deutschland wäre ein vorfall einer größenordnung gewesen die wir so nicht bewältigen können aktuell zumindest nicht innerhalb der zeit die wir erwarten würden als als bürger der mann das, beheben sollte also wir halten fest die eintritt wahrscheinlichkeit für eine solche groß lage ist hoch und sie steigt weiter an das ist das problem das sind vier faktoren die haben wir in der ag ausgemacht die da, dazu kommen nämlich es wird weiter realisiert und vernetzt dinge werden weiter verletzt dieser prozess beschleunigt sich wir stellen fest dass anlagen im bereich kritisch die werden früher unsicher als geplant wenn man so eine anlage baut und leitstand oder so ein kraftwerke oder so schaltzentrale dann plant man die für zwanzig fünfundzwanzig dreißig jahre. Und mehr und dann wird die ja dann ist es gar nicht denkbar dass man die vorher austauscht weil wenn man da mal guckt was jetzt erstmal so wenig und so gibt an lebensdauer an indem man sachen betreiben könnte na schön hier fest aus dem betriebssystem vielleicht fünf oder acht jahre hält und auch immer nochmal guckt beim bsc in die null zwo zwo die technische richtlinie für verfahren und ihre lebensdauer, da findet man auch nichts mehr länger als fünf jahre hält und das ist ein delta zwischen geplant eine anlage für dreißig jahre und wir wissen aber dass die technik oder jetzt mit fünf jahren unsicher ist, so und dann kommt dazu wenn man das mal wirklich mal hingeht und sagt also betreiber ist der dieses problem erkannt hat und was dagegen tun will und motiviert ist und geld hat und das alles besser machen will und dann stellt man fest, diese ps in diesem kernkraftwerk die können wir gar nicht austauschen die sind im bereich an die kommen wir gar nicht dran da können wir vielleicht, freunde ich frage mal betreiber und dann sagte er einem ja in vier jahren hätten sie sechs stunden zeit uns auszutauschen aber vorher gibt's nicht vorher ist hier alles zu. Und das ist die realität so und dann kann man sagen ja aber da kommt der algorithmus auf dieser lustigen sps der ist in drei jahren aber obsolet danach nicht mehr eingesetzt werden und dann sagt der betreiber ja das schlecht.
Tim Pritlove
Ps speicher programmierbare steuerung also im prinzip so digitalisierte steuerungssystem.
Ijon
Genau ja so ein quasi adolfinum industriell für schaltschrank genau.
Honkhase
Na ja also es ist schon ein bisschen komplexer und ein bisschen aber.
Tim Pritlove
Der begriff gibt's schon länger und da war das noch kein aluminium also schon klar.
Honkhase
Aber ich gebe mal ein ganz konkretes beispiel wenn der sonne sonne sonne raffinerie hast. Hat sie einen sogenannten manche benutzen hydro cracker um um eben, das rohöl bestandteil aufzubrechen und daraus dann kerosin diesel was auch immer zu machen und eben die fähigkeit zu entziehen und so weiter unseren hydroaggregat benutzt mehrere hundert bar druck um um das irgendwie daraus zu pressen. Jetzt ist mehrere hundert bar druck durchaus nicht lebenserhaltende wenn man in der nähe zu kriegt als druckwelle insofern kann so ein hydroaggregat durchaus, safety also arbeitssicherheits-und sichtweise sehr sehr gefährlich sein und die prozess automatisierung und steuerung, wird eben durch diese prozessleitsystem et cetera verwaltet die auch dann spss ansteuern und so weiter sondern so im, auf auf der felder ebene hat man die sensorik und die ganzen, prüf und messwerte die man bekommt dann hat man eben diese sps und die die komplette steuern lage skada whatever dadrauf und hat eben die system dieses system im betrieb jetzt, kann so einen so einen betreiber sagen lieber hersteller ich brauche eine größere teile davon komplett neu weil wir das austauschen müssen die haben dreieinhalb bis vier jahre vorlauf das ding zu bestellen und zu, geliefert zu bekommen das muss einfach auf bestellung individuell hergestellt werden immerhin können die meisten das tatsächlich andere haben, komponenten am einsatz wo einfach der betreiber gar nicht mehr existiert weil er entweder insolvent gegangen ist oder schon fünfundsiebzig mal weiter verkauft wurde und gar keiner mehr weiß wer wohnt welcher masse das produkt irgendwann eingestellt wurde. Wenn ich jetzt also dreieinhalb vier jahre vorlauf hast um das zu produzieren brauchst ja entsprechend nochmal ein bisschen zeit um das ganze überhaupt auszuschreiben oder die das projekt zu planen die migration zu planen und eben auch das geld bereitzustellen als holder wenn das dann geliefert wird ja dann bleibt mir nichts anderes übrig als die raffinerie oder diesen hydro cracker zu deaktivieren wirklich komplett abzuschalten versorgungsausgleich zu hundert prozent dann das war das dauert dann durchaus ein paar wochen bis man den ganzen kram wieder sozusagen abgebaut aufgebaut hat dann macht man die ganzen safety tests und sicherheitsabkommen sozusagen die die betriebsablauf phase wieder soweit ist dass man sagt jetzt gehen wir eine produktionsphase gibt's noch ein bisschen feintuning und am ende, kann man wieder produzieren in der zeit die man das ganze abgeschaltet hat ist eben der versorgungsausgleich hundert prozent und das mag man vielleicht bei so einem hydro gregor noch ganz flauschig machen können mit vier fünf jahre vorlauf, das macht man dann in einem also einem stadtwerk für wasser frisch wassergewinnung grad mal eben nicht weil entweder. Hast du das in betrieb oder nicht und wenn nicht dann sehr rohrleitungen leer und die leute kriegen kein wasser mehr so kann es nicht funktionieren also musste gucken dass der. Im worst case sogar wasser mit lkws ankam ist das hat man zum beispiel anfang des jahres in. Im großraum der eifel da war's jetzt wegen dürre und nicht wegen wegen einem it-angriffe aber, aufgrund der dürre waren staudamm relativ mau und nicht mehr so so wirklich mit wasser bestückt und da hatte man eben das problem dass das frischwasser geht uns langsam aus das können wir nicht mehr aufbereiten und einspeisen die mussten dann von einem von einem nächstgelegenen staudamm sozusagen dann, lkw weise konvois pro tag rüber karren um dann sozusagen den druck und die frischwasserversorgung in den leitungen aufrechtzuhalten danach hat man realisiert. Wäre eine gute idee wenn die zwei stauseen da vielleicht miteinander durch eine durch eine pipeline. Verkettet und und kombiniert werden dann können wir von links nach rechts oder rechts nach links um pumpen, dann hätten wir da den versorgungsausgleich eben kompensiert weil so lkw-flotte sind jetzt auch nicht gerade günstig und müssen deutlich komplexer sozusagen bakterien werden, hat man dann beschlossen man wird also mehrere pumpen häuschen brauchen dazwischen um das weiter zu fördern die werden wieder betreiben werden müssen und ja sind damit auch wieder bestandteil wenn es mehr als fünfhunderttausend menschen betrifft einer kritischen infrastruktur aber diese, szenarien gibt es schon außerhalb der it- vorfälle. Und das ist durchaus ein punkt der sich mit mit der eben noch verstärken wird.
Tim Pritlove
Was ist denn das ich meine. Es ist ja so wenn man sich so im c bewegt in diesem umfeld. Wurde so viele ich sag mal. Wo die checker quote ja schon relativ hoch ist was so was so digitales betrifft und und irgendwelche. Man hört jetzt von irgendwelchen neuen systemen die an den start gebracht werden und es gibt dann immer wieder diese wunderbaren momente des, dieses augenrollen irgendwie wo man sich da so anschaut oder so oh ja das wird bestimmt, das wird bestimmt problemlos an start gehen so oh je was habt ihr euch da ich jetzt wieder mit ja gedauert dann machen wir das alles irgendwie computergesteuert ne oder wahlen oder so weiter ne all diese ganzen sachen das, bringt dann ja immer so ein bisschen so in dieses dieses gefühl eigentlich ist alles was in irgendeiner form digitalisiert wird auf eine art und weise einer. Sicherheitsschranken ausgesetzt in der zukunft wie wir das so bisher noch nicht gehabt haben. Was ist da so ein bisschen auch teil eurer motivation also erwartet ihr. Dass das einfach diese potenzielle bedrohung zu einer. Irgendwie gearteten deutlichen wenn nicht sogar exponentiellen steigerung führen wird oder siehst du da auch seht ihr da auch gegen tendenzen wie so eure einschätzung dieser dieser entwicklung der gefährdung durch digitalisierung.
Ijon
Die eindruck schnelligkeit einer groß lage steigt täglich an und ist nach wie vor hoch ich habe noch noch keine entwicklung zumindest nicht europa gesehen, die die die die wahrscheinlichkeit des eintritt einer solchen großlager eines flächendeckenden ausfalls von infrastruktur irgendwie senken würde, in den usa fängt man da jetzt so ganz langsam an ganz vorsichtig nachzudenken dass man dinge wieder digitalisiert dass man wieder ein handbetrieb ermöglicht dass man dinge vom netz, entnehmen das passiert da schon allerdings auch eher langsam und zögerlich wesentlich hier noch zehn jahre vorher und noch fröhlich dabei alles interessieren dass der modernen und das ist ja jetzt die zeichen der zeit.
Tim Pritlove
Dieses modern ne das scheint so ein bisschen so das problem zu sein dass einfach das so so eine erwartungshaltung ist oder dass man einfach automatisch so macht also welche denke es sind da vorherrschend derzeit bei den bei den planern.
Honkhase
Naja die also zum einen hab ich ja erstmal die systeme die uralt sind die trotzdem im betrieb sind und nicht ohne weiteres ausgetauscht werden können, die sind also existent und damit muss ich erstmal leben in einer solchen kritische infrastruktur ist eine ganze andere denkweise als zu sagen, ich habe auf jeden fall immer das neueste modernen system ever. Insofern haben wir erstmal auch diese diese komplexität von alt und neu im milchbetrieb. Vernetzung hatte ja schon angesprochen dass immer mehr systeme vernetzt werden digitalisiert werden mit kommunizieren das problem ist auch dass viele komponenten nervt täglich. I p angebunden werden oder it ausgestattet werden wenn man früher so'n bisschen hatte dann war da eine pumpe drin punkt, die hatte vielleicht noch so ein mechanischen schwimmer taucher der dann auch von abgeschwommen ist und dann ist halt das ralley geschaltet, heutzutage haben die dinge nicht nur einen link in jedem pumpen häuschen weil man ja die pumpe irgendwie fern warten und monitoren will sondern die dinger sprechen teilweise sogar bluetooth oder wlan. Und dann mit der konfiguration die man auch nicht verändern kann weil dann kann ja die steuern lage im zentralen system gar nicht mehr damit reden weil es nicht vorgesehen dass um zu konfigurieren also wir haben diese fest verdrahteten. Zugangsdaten oder passwörter oder oder pins und und sonstiges auch da natürlich weil mit der, it- finanzierung der also operationen technik kommen natürlich auch all diese it-problemen in die produktionssystem und komponenten rein wenn ich also. Bei it schon zu blöd war das passwort zu ändern weil es hart verdrahtet ist hole ich's mir in die rein weil da ist es genauso so dieselben hersteller haben ja denselben klimbim noch verkauft, diese vernetzung ist also grundsätzlich auch ein problem dass die nicht von anfang an als. Security bei design rein entwickelt wurde sondern nachträglich angepflanzt wird macht's auch nicht einfacher ich hab irgendein. Nehmen wir wieder die sps die ulrich alt hatten seriellen ausgang kann ich lokal anklemmen konfigurieren fertig. Jetzt gibt es einen adapter der seriell auf macht hab einen bus schienen system wo ich dann noch so ein weiß dran klemme zopf spricht das ding internet. Dann kommt die zentralisierung ja immer mehr, standorte externe standorte übers internet anbinden zentrale überwachen monitoren job habe ich eine fernwartung am hintern ja zittrig zittrig hatten wir ja schon, im januar reichlich gelitten mit wäre alles fernwartung hatte und dann auch hops genommen wurde oder remote excess davor war's v p n von von puls was kaputt war, danach gab's teamwork wo es ein problem also die haben alle irgendwie auch na ja ist halt software mit ips ist kaputt. Funktioniert nicht kaufen leute trotzdem haben wir jetzt auch immer mehr diese anbindung von komponenten die nie dafür gedacht waren im internet zu kommunizieren die plötzlich tatsächlich eine anbindung haben und von außen erreichbar sind. Die globalisierung führt noch dazu dass das alles immer. Noch mehr zentralisiert noch mehr weltweit miteinander vernetzt und verdrahtet wird macht es also auch nicht einfacher dann haben wir das problem, veränderung von kritischen infrastruktur komponenten kann man relativ oft genau gar nicht durchführen weil es dann eine veränderung der haftung oder die. Haftende person oder juristische person verändert sich dadurch habe ich medizinische produkte ist das medizinprodukt gesetz sozusagen einen stopper ich kann nicht einfach ein update einspielen das muss alles genehmigt und zugelassen sein, da habe ich mit der mit der regulierung bei der flug aufsichtsbehörde da kann ich auch nicht einfach beliebig pitchen und updates einspielen in der zahlungsverkehrs welt von bargeld zahlungsverkehr habe ich eben die die vorgaben der der zahlung systeme und dahinter die bafin weil ganz nebenbei wollen die sicherstellen dass man keine, sagen wir mal digitale geld reproduktion machen kann ja ich kompromittieren irgendwie so ein tunnel, tu so als ob die transaktion fünfmal durchgegangen ist das soll ja auch nicht passieren und dann hätte ich ja geld verfünffacht. Auch da also das sind jetzt nur ein paar beispiele dieses verändern ist nicht immer trivial weil diese veränderung bedeutet eine haftungsvermeidung also darf ich diese veränderung nicht, die geht sogar teilweise so krass dass ich bei einem medizinischen produkt was im oder am körper angewendet wird insulinpumpe herzschrittmacher was auch immer wenn das ding gepennt testet wird musst du danach diese komponente vernichten, die darf nicht mehr an den körper verwendet werden keine haftet mehr dafür was dann passiert. Kann ich also mit einer kleinen mit einem kleinen herzschrittmacher vielleicht noch machen das kostet mich dir ein paar hundert euro in der produktion und schmeißt ihn danach weg. Das mache ich aber nicht mit einem mrt oder nämlich kernspintomographen der ein paar millionen kostet und ungefähr den ganzen raum ausfüllt. Das also diese diese haftung und zertifizierung von komponenten durchaus auch eine verhinderung von sicherheit obwohl sie's eigentlich machen soll weil sie geht eher in die richtung safety und haftung. Weniger in die richtung security und it das ist also auch ein problem und wo wir die sache die jetzt ansprechen ist arbeit.
Tim Pritlove
Mach mal nicht so lange bandwurm geschichte ich wollte nochmal so ein bisschen am also offensichtlich es gibt extrem viel.
Honkhase
Also es gibt eine ganz lange kette von problemen ich habe nur ein paar angerissen jetzt.
Tim Pritlove
Genau daran merkt also man merkt schon an deinen ausführungen, genau wir haben noch keinen hack back gesagt oder überhaupt noch überhaupt nicht von leckereien an sich gesprochen ja das ist sozusagen alles probleme die allein nur aus der digitalisierung an sich schon entstehen weil dadurch einfach neue verkettung, entstehen die so vorher noch nicht gab, auf der einen seite ist das natürlich alles super wünschenswert und immer eine tolle so man kann das jetzt von überall monitore ist ja super da kann man ja geld sparen ja da braucht man immer nur noch einen vogel da hinzusetzen und der staat sich die ganze nacht irgendwie bildschirme an, gucke mal und so wie effizient das doch jetzt alles ist und gucke mal haben wir wieder kosten gespart und die komponenten sind ja auch auch so billig und das man baut das dann einmal ein und dann geht so ein bisschen davon aus dass es eben genauso lange hält wie, irgendso eine komponente die man halt so vor fünfzig jahren in so einer fabrik irgendwo reingebaut hat nur die realität ist natürlich so ein bisschen so eine andere dass eben diese ganzen digitalen sachen an der art und weise haben zu verrotten die wir so, vorher nicht gekannt haben ja also vorher konnte man so eine materialprüfung machen und es ein bisschen testen und ist das auch immer gut gewartet und geölt wunderbar aber das digitale bricht ja nun wirklich auf verschiedenste arten und weisen weg ne da ist er hast du ein ein umkippen des bitte in deinem protokoll kann diese ganze abhängigkeit kette im prinzip schon umgeschmissen werden.
Honkhase
Ja und die komplexität macht's eben auch nicht einfacher dadurch dass alles vernetzt ist oder immer mehr komponenten da. Sozusagen überwacht gemonitort und sonst was werden also durch die vernetzung auch nochmal eine oder durch die durch die. Komplexität man sagt ja immer komplexität ist der feind der sicherheit ist so merkt man dann bei diesen kritischen infrastrukturen und den ganzen komplexen aufbauten die die da haben damit eine produktion sicherheit da ist damit eine safety da ist also arbeitssicherheit, das funktioniert dann eben nicht so trivial im betrieb.
Ijon
Man darf auch nicht vergessen dass durch diese digitalisierung auch wissen wegfällt so im zum beispiel im bereich sag mal wasser da ist die die bekannte anlage so und da gibt's irgendwie den senior der fährt neunhundertfünfzig, und er kennt die auswendig und jede schraube und wir werden die jetzt in rente geht nächstes jahr. Dann ist der junior der hat auch schon beim erfahrung aber der hat diese erfahrung gesammelt in den zustand der anlage wo sich ein digital fährt automatisch mehr oder weniger automatisch computersysteme der hat nicht die erfahrung wie man das ding, auch unter schwierigen situation von hand fahren kann. Die fehlt dem und dann ist der alte schäfer war in rente gegangen und jetzt hat der junge die aufgabe aber der betreiber denkt weiterhin, man könnte ja problemlos die rechnung einfach abstöpseln und von hand fahren weil das ging ja früher auch, so aber das fachwissen wie das eigentlich geht das wächst da raus aus den betrieben wirst du langsam weil natürlich je mehr visualisieren. Ein paar jahre werden die planstellen noch irgendwo anders eingesetzt und dann kommt er in die werkstatt oder sowas ja der alte herr aber irgendwann wird halt dann die schüler nicht neu besetzt dann kommt er in rente und dann gibt es da keine neue stelle für und weil es geht ja auch ohne wir brauchen das ja nicht so dringend dieses dieses personal dafür, weil wir haben ja alle kritisierten dann automatisch knöpfchen drücken bildschirme gucken gut ist, aber das fachwissen und die übung fehlt dann weg so und wenn man das jetzt noch mal zehn jahre weiter spinnt dann wird das problem noch größer als bereits ist weil dann diese grundannahme von der computer ist gar nicht wichtig wir können in der ausschöpfen und brauchen ja eigentlich gar nicht so sehr wir können doch ohne, die ist dann plötzlich nicht mehr wahr aber der prozess darauf aufgebaut dass sie wahr ist.
Honkhase
Fairerweise muss man sagen es gibt natürlich schon branchen oder bereiche wo wo dieser manuelle betrieb sichergestellt werden kann und auch muss beispielsweise wieder die wassergewinnung da gibt's schon die möglichkeit komplett den manuellen betrieb sicherzustellen als voll weg der wird auch regelmäßig geübt und dann ist die verwaltungsangestellte an dem mechanischen hebel x und kann den auch steuern und und bedienen damit kann man, das ist natürlich enormer personalaufwand und und alles andere liegt so ein bisschen brach aber die versorgung kann notfallmäßig, darüber sogar ziemlich lange zeiträume aufrecht gehalten werden aber das gibt es eben auch nicht in allen branchen und allen facetten wenn wir die aussterbende art der kobold entwickler nehmen das wird immer komplexer kobalt entwickler zu finden aber es gibt durchaus noch groß rechner also zeit mainframes etcetera wohne kobalt anwendungen drauf läuft die hochkomplex ist und die vor allem auch nicht ohne weiteres transformiert werden kann auf einen younique linux was auch immer weil einfach auch die die. Die interne, art der berechnung anders ist und man hat dann bei den ersten transformationen vor vielen vielen jahren festgestellt war so eine versicherung die von von auf linux migriert ist, hat dann rund ums fehler gehabt und hat dann ganz schnell ganz große abweichungen erzeugt weil die ziemlich viel rundet. Bei vielen milliarden transaktionen die die sonnengruß rechner halt durch rotzt pro pro tag oder teilweise pro pro minute, das ist alles also nicht ganz so trivial muss man eben alles kennen und die gesamten, sonderfond täten die da drin sind um allen gesetzlich historien anbauten und verbauten sozusagen sorge zu tragen. Die dann einfach mal zu transformieren in schreiben wir mal neu in java oder so das ist halt ein riesen riesen aufwand und ein riesenrisiko und diesen schuh zieht zieht sich einfach so lange keiner an bis er wirklich nicht mehr kann. Alles andere wäre auch sowohl betriebswirtschaftlich als auch aus der verfügbarkeit der komponente. Völlige selbstmordkommando also wer sowas freiwillig ohne ohne druck macht, würde ich irgendwie idiotis mus unterschreiben und sagen vergiss es ihr könnt betreibt bitte keine kritische infrastruktur ihr seid ja irrsinnig so ihr sollt die betreiben und nicht aus spaß updaten was soll das. So geht es nicht.
Tim Pritlove
An der stelle kann man vielleicht auch nochmal allen hoffnungsvollen jungen programmiererinnen und programmierern den rat geben wenn ihr eine tragfähige karriere aufbauen wollt und euch sowieso gedanken macht wie er denn sozusagen auch in in in kritischen zeiten. Gut über die runden kommt lernt erst mal kobold das könnte durchaus helfen irgendwas lernen wo wo alle leute geradeaus sterben.
Honkhase
Aber lernt auch eine hornhaut im gehirn zu entwickeln für all den sinnlosen kram den man da durchleben muss.
Tim Pritlove
Also auf verschiedenen ebenen sehr sehr sinnvoll also man versteht erstmal sehr viel was die eltern alles falsch gemacht haben und andererseits ist man dann aber sozusagen auch noch eine frische ressource wenn der ganze kram auseinander bricht aber dass man nur so ganz nebenbei. Wir sprechen ja jetzt hier im prinzip mehrere aspekte wie man jetzt sozusagen auf dieses phänomen kritische infrastruktur blicken kann so auf der einen seite haben wir jetzt erstmal so die die definition okay was ist das ab wo sollte man sich vielleicht auf so einer metaebene auch gedanken darüber machen wie man mit solchen situationen und solchen konstruktionen klarkommt das betrifft halt einerseits, schon die planung haben wir ja gerade gehört ne so da man kann sich beliebig komplexe systeme ausdenken aber was denke ich da sind wir uns einig, noch zu wenig getan wird vielleicht nicht gar nicht getan wird aber noch zu wenig getan wird es eben so okay was, was hat das für eine langlebigkeit wie kann ich eine eine eine eine eine persistent wartung und betriebssicherheit garantieren habe ich quasi auf allen digitalen, ebenen auch in irgendeiner form so ist denn möglich ist irgendwelche ausfall systeme habe ich die möglichkeit manuell einzuschreiten habe ich's ja wenn man mal beim wasser bleibt da kann man dann immer noch irgendwo man haaren, zu drehen und stoppt den wasserfluss fluss und die scheiße läuft einem jetzt vielleicht nicht unbedingt in jedes zimmer rein, ich glaube das ist etwas was im, in diesem digitalen rausch in dem sich doch die industrie und gewisser hinsicht auch die politik immer noch so ein bisschen befindet ein wenig. Zu wenig beachtet worden da du ja so eine so ein einblick auch hat es in, in diese welt des des bundestages und der der gesetzeslage was ist denn so dein eindruck eigentlich wie wie diese welt politisch. Abgedeckt ist oder in der politik abgedeckt ist also ist dieses problem ein verstanden des problem oder ist es komplett unverstanden des problem oder man. Sich da gerade langsam ran oder man sieht das gar nicht oder man hält sich die ohren zu also welcher welcher zustand befindet sich das ja gerade.
Ijon
In der bundespolitik dementsprechend nicht vom ministerium vom bundestag und in diesem haus da ist das probleme vollständig unbekannt und damit auch unverstanden so also. Da weiß keiner was was ist eigentlich das problem und worauf steuern wir zu da gibt es vielleicht mal theoretisch ein paar gutachten die man lesen könnte die bestimmte szenarien angucken aber auch da habe ich festgestellt dass so gutachten oder berichte vernünftigen katastrophen übungen oder sowas. Die sind alle viel zu positiv und das was geübt wird in diesen szenarien das ist auch nicht realistisch das ist das nämlich eine solche szenarien die man auch bewältigen kann es gibt keine übung szenarien. Wo es um ausfall von turn geht die so aufgebaut sind, was haben wir denn an die grenzen der kapazitäten kommt es gibt nicht mal eine übung wo man wo man sagen kann hier muss jetzt ein betreiber wirklich was tun hier muss jetzt einen betreiber seine kräfte mal mit üben lassen sondern das sind dann so unter stabs rahmen übungen, treffen sich die beteiligten sondern für behörden handvoll leute vom betreiber ingenieure palette vom b und vom thw und vielleicht von anderen menschen so ein meetingraum unseren großen konferenztisch und dann spielt er trocken durch die prozesse und der kommunikation welche maßnahmen müsste man jetzt wie ergreifen und dann schreiben sie das auf und sagen ja wir haben das mal durchgesprochen und wir denken wir können das, und dann kommt dabei raus dass die übung ein erfolg war, da hat aber kein techniker mal im feld was gemacht oder irgend schrauben sie angefasst oder irgendwie ein blaulicht auf durchgesetzt aber losgefahren oder dinge getan ja das passiert nicht das das ist gerade in diesem feld eher unbekannt so und dann deswegen denken wir. Das ist nicht gut also das problem ist schon nicht verstanden oder bewusst und lösen kapazitäten gibt's auch nicht und es gibt auch keine übungen oder regelmäßig wiederkehrende vorkommnisse wo man sagen kann das könnte mal auffallen dass da was fehlt das ist eine, in der kapazität ist die wir nicht haben eine bewältigungs- qualität für solche art von krisen in der politik bisher glaube ich nicht aufgefallen, vielleicht jetzt so langsam danke freitag und da geht es in unserem veröffentlichen konzept vielleicht wird es mal so langsam ein bisschen bewusst gemacht aber. Wir fangen da gerade mit an.
Tim Pritlove
Wir hatten ja jetzt gerade diesen schönen schönes gut den fall des. Berliner kammer gericht. Logbuch netzpolitik berichtete wo halt ja die sich halt auch so eine rente mal wer eingetreten haben und jetzt stehen sie da und sind eigentlich weitgehend betriebsunfähig, sind denn gerichte auch also ich meine das ist ja eigentlich auch eine potenzielle, kritische infrastruktur wenn unser juristisches system nicht mehr funktioniert jetzt weiß ich nicht wie viele fälle hier oder wie viele betroffene personen hinter diesen fällen stehen jetzt gerade nicht, bearbeitet werden können aber man könnte sich natürlich schnell vorstellen dass wenn das sozusagen jetzt nicht nur so auf einen einzigen standort sich ausbreiten würde sondern eben auf mehrere dass man an dieser stelle auch einen richtigen kritisch fall hätte das muss doch eigentlich jetzt schon langsamer auffallen oder nicht bewirkt so etwas irgendwas.
Honkhase
Na ja also das das ist nicht kritisch das kammergericht.
Tim Pritlove
Na ja in dem moment wo es fünfhunderttausend leute betrifft würde ich das schon sagen oder.
Ijon
Naja und selbst wenn es das dann wirklich betreffen würde sind wir immer noch in der situation das ist der start und verwaltung ist und deswegen den sektor der von der caritas verordnung gar nicht betroffen ist sondern durch den umsetzung planen bunt bunt vom bund selbst behandelt wird die machen ihre wartungs vorschrift ihre ausführung vorschrift und sagen so muss man das machen und der börde noch was zu sagen und er sagt ja alles ist gut, und das gehört leider aber seit wat wie viel jahren keine beckers mehr gemacht hat weil da war kein budget fest zu kaufen oder ich weiß nicht was die begründung war wir hatten sie keine backups das papier da gibt's dann halt sagen wir mal eine große, der behördenleiter ist relativ unabhängig in dem was er macht und nicht machen muss oder machen sollte und entsprechend, da ist auch noch nicht so was in der größenordnung fehlgeschlagen wo man sagt jetzt haben wir da mal verbindliche vorschriften sondern wir sind immer noch zwei stunden davor wir haben kein problem bewusstsein wir haben kein problem verständnis in der politik und wir haben erst recht, noch nicht noch nicht mal angefangen große nachdenken was machen wir eigentlich dann danach was machen wir wenn das jetzt alles mal wirklich schief geht wenn das kind in brunnen gefallen ist wenn wir jetzt noch fünfhunderttausend menschen oder mehr von einem krieg das auswahl betroffen sind so dafür gibt es keine szenarien gerne übungen nüscht.
Honkhase
Zum kammergericht die. Zum einen ist es eben nicht kritisch in in diesem sinne hat er gerade erklärt zum anderen die machen ja auch viel noch nach akten und papier lage die sind ja noch nicht voll digitalisiert das heißt der impact, war auch gar nicht in dem sinne jetzt so schlimm wie er hätte sein können wenn noch mehr digitalisierung einzug findet ja diese, digitalen anwalts postfächern sind ja auch eher kaputt als funktional da können wir froh drum sein es ist aber auch aus anderer sicht kritisch oder kritisch wenn man wenn man jetzt mal die fünfhunderttausend schwelle auch weglässt wir haben ja nicht nur täter und opfer und die, tathergang beschreibung da was durchaus fieses zeug sein kann wir haben ja auch durchaus sowas da wie, verdeckte an der cover tätigkeiten und die sind dann da auch namentlich benannt et cetera da geht es also schon durchaus um, leib und wohl aber wir haben eben auch sowas wie zeugenschutzprogramm das heißt da geht's ganz klar um das leibliche wohl von menschen eine ein ein gericht welches wirklich voll digital wäre und die daten werden, wie man im klassischen emoji angriff erst abgezogen dann verschlüsselt wenn die back-ups kaputt sind und dann heißt es die sachen können durchaus im internet laden oder gebt uns fünfzig bitcoins, dann ist unlustig weil dann gibt's wirklich menschenleben gefährdung egal ob es kritisch ist oder nicht.
Tim Pritlove
Nicht nur menschen lebensgefährte also klar konkrete fälle natürlich dann bis hin zur gefährdung des eigenen lebens oder zumindest der existenz, aber das gefährdet ja sozusagen auch den den betrieb des staates an sich darauf wollte ich eigentlich gerade hinaus mit dem beispiel nicht nicht weil das jetzt sozusagen unter die irgendeine definition fällt oder nicht sondern dass sozusagen ist ja jetzt zunehmenden maße auch an den apparat herangeht und man sich ja dann daraus eigentlich erhoffen würde dass dadurch einen umschwung im im im denken in der politik ausgelöst werden wird.
Honkhase
Naja machen wir uns nichts vor ne wenn wenn wenn der staat nicht in der lage ist uns bei den unterlagen die im gericht liegen in der stadtverwaltung überall, diese dinge angemessen zu schützen und immer mehr dieser daten gelegt werden veröffentlicht werden oder kompromittiert werden dann haben wir einen vertrauensverlust in den staat und das ist alles andere als eine digitale souveränität die wir gerade groß groß rumposaunen oder ein vertrauen in das innenministerium und alles was daran gekoppelt ist weil es einfach diese, ja diese sicherheit eine eine souveränen staates eines rechts demokratischen staates irgendwie völlig konterkariert und unterwandert und wenn man das noch so als sahnehäubchen obendrauf haben möchte es gibt ja einen frei veröffentlichten forensik bericht von einem großen dienstleister der beim kammerrecht vor ort war oder dinge untersucht hat wenn man sich anguckt was da untersucht wurde und was die zielsetzung war dann versteht man auch, wenn man öfter mit sowas wie instagram sponsoren forensik zu tun hat was eigentlich das ziel war. Die ziele und auch die untersuchung waren folgendermaßen man hat einen kleinen ein windows klein und ein domain controller untersucht. Von dem gesamten netz keine netzwerkkomponenten kein lok sauber, nichts nur diesen einen moment controller und klein man hat festgestellt naja da muss irgendwie im hotel und der restliche kam der nachgeladen wurde vermutlich über eine über eine e-mail und dann office dokument was geöffnet wurde, irgendwie sich in der verbreitung gebracht haben aber das können wir an diesem kleinen und diesem server nicht feststellen, stelle ich mir die frage ja guckt euch doch andere sachen an aber dann guckt man sich die vier ballet points der zielsetzung an, da steht eigentlich drin so so unverblümt wenn man's mal raus skalpell, liebe leute ich bin der entscheider und verantwortlich habe hier entschieden dass wir das ganze offline nehmen können ja mal kurz nachgucken das vermutlich ich hier richtig gehandelt habe weil war ja ein trojaner drauf ob daten abfluss war interessiert ihr keine sau weil das war nicht gegenstand der untersuchung und dann stelle ich mir die frage wofür ist dieser bericht, für cover derjenige der da entschieden hat hat sich sozusagen nochmal bestätigen lassen über den forensik bericht die abschaltung war doch sinnvoll. Ich wette. Alles darauf dass wir jetzt irgendwie der meinung ist derjenige hätte richtig gehandelt und es war sinnvoll und die brauchen auch nichts investieren in it-sicherheit dat war ja voll fies das externer das angegriffen haben und die verantwortung also die verantwortlichen feiern sich glaube ich für richtig gehandelt und machen weiter so so meine quintessenz des berichts.
Tim Pritlove
Das macht ja mut für die zukunft.
Honkhase
Naja wenn halt wie soll ich sagen der staat vogelfrei agiert machen dann den vogel abgeschossen.
Ijon
Zudem ich meine der der lokale admin von diesem netzwerk hat ja zwei jahre lang im dorf gepocht dass er backups machen sollte dafür geräte und maschinen kaufen sollte festplatten anschaffen da gab's noch kein budget. Das heißt irgendwo ist da schon eine klare verantwortlichkeit zumindest historisch zu sehen nachdem das kind in brunnen gefallen ist zu sagen die dinger aufladen und dafür dann berechtigung ein ein rechtfertigungs gutachten sicherstellen zu lassen, das ist natürlich nur die eine hälfte der sorry.
Honkhase
Ich meine was was auch auf vergessen wird und dass es vielleicht in diesem fall jetzt nicht gewesen aber wenn ich jetzt mal ein operator light stand führen für einen anderen. Betreiber nehme wo ich mir das mal angeguckt habe da war's so ich habe jeden tag prüfen die die lok daten sammeln das auf einem zentralen siam machen macht eine analyse.
Tim Pritlove
Tschuldigung auf einem zentralen was was ist das.
Honkhase
Security inside eventmanagement system also ein zentraler look server wo die ganzen security events reinlaufen und man sozusagen eine annomalieerkennung und falten analyse anhand von sogenannten use cases macht ich sage wie oft loggt sich jemand da ein ab so und so viel von unterschiedlichen oder immer derselbe bis dann normales verhalten und dann kommt eine warnmeldung da könnte was sein ich bin dahin habe mir das angeguckt wir haben ganzen stapel da ich sage, ein jahr historie geprüft und hab dann gesagt so liebe leute dann zeig mir mal beliebig vom datum x y und dass ihr jeden tag, diese daten analysiert hat, diese auswertung gemacht habt die erkennung die die formblätter die wirklich handschriftlich unterschrieben wurden jeden tag ausgedruckt unterschrieben mit unterschiedlichen kollege und so wie gesagt alles klar existieren na dann gucken wir mal an die lok analyse von den drei tagen. Und sehe dann dass eine. Was war das irgend so 'ne art hier papier peer-to-peer network upload download war und das natürlich dann irgendwie als ein normales verhalten für eine produktion so umgebung und ein leitstand ist. Ehrlich gesagt na ja dann habt ihr das ja bestimmt behandelt zeichner. Da sagt er ja klar kann ich gerade kein ticket so raussuchen ich sage dann zeigt mir das loch vom nächsten tag steht da wieder drin. Peeling netzwerke transformiert transferiert haben wie gesagt zeig mir mal drei tage da vorne hinter eine woche davor dahinter ich selber habt ihr eigentlich jeden tag guckt ihr hier überhaupt mal in die lok falls ich meine das ding ist schon seit wochen aktiv was ist da los ja im öl drucks rum und der csu steht neben mir und kriegt schon die totalen pimpernelle weil er gerade sieht wie sein audit auseinanderfällt und dann habe ich gesagt jungs jetzt mal butter bei die fische was ist das was ist das für eine lp war das hat für ein system ich will jetzt wissen was hier los ist. Dann herausgefunden dass ist sogar im leitstand wo die wo die sitzen zu dritt, ist eine maschine vom leitstand gewesen ich sage das ist aber schon kritisch jetzt also nicht mehr witzig ne und dann haben wir uns die kiste angeguckt und dann sehe ich da drauf jede menge reis und und videos. Was ist das ja also. Um ehrlich zu sein wenn man hier in diesem kleinen kabuff mit fünfzehntausend systemen zusammenhängt zu dritt seid langweilig wir haben uns den kram runtergeladen um ein bisschen musik zu hören oder videos zu gucken ist halt öde ne. Sagt ja. Guckt den an und sagt du darfst deinen also ihr dürft eure sicherheitsmensch den auch wir menschen behandeln so ne wenn die bedürfnisse haben die können hier nicht eingepfercht werden und einfach nur. Achtet drauf so wie du vorhin sagtest ne einer guckt auf dreißig monitore stell dir doch einfach einen blöden rechner mit einer dsl leitung dahin der hat dann. Boxen da dran dann können die musikhören radio internet ist mir egal das ding kann voll verseucht sein der hat einfach keine physische anbindung ist separat. Thema durch gar kein sicherheitsproblem es hat nicht in mehrwert. Wir haben noch am nächsten tag eine normale büro kiste dahingestellt in den dsl dadran geklemmt und gesagt ey super idee haben den ganzen mist den installiert gelöscht alles sauber gemacht und schön ist. Manchmal brauchst du einfach nur motivation und pragmatischen ansatz um sicherheit umzusetzen und das machen gerade einen behörden genau gar keiner gefühlt aber auch bei den kritischen betreibern oder in den unternehmen die. Die gehen da immer mit so einem starren modell dran das macht voll keinen sinn und so ein problem haben wir eben auch.
Tim Pritlove
Ja ist das so was würdest du sagen es ist das so ein ist das so ein generelles grundsätzliches problem der überforderung durch digitalisierung ist das jetzt hier irgendwie was deutschland spezifisches was man so woanders nicht findet wo man irgendwie noch hinterher ist oder kulturell falsch aufgestellt ist wie würdest du das vor ort.
Honkhase
Das ist ein generelles problem der digitalisierung aber nicht ein generelles problem von deutschland also deutschland kann da auch ganz gut mit mithalten so wenn wenn jeder sagt irgendwie das ist marode und kaputt sagen wir deutschen holt mein bier ich zeig dir mal was richtig kaputt ist, aber das ist an allen anderen ländern genauso katastrophal weil die bildungspolitik in in vielen vielen, ländern eben nicht so aufgestellt ist dass man den leuten auch wirklich von von grund auf beibringt wer hat denn hier in der grundschule wert in der in der weiterführenden schule teilweise kriegst informatikunterricht nicht mal paar brocken ethik mit mal eine runde drüber nachzudenken was verantwortung bedeutet oder was heißt teilweise eigentlich fast überall ist es sogar so dass, früher die mathematiker waren philosophen philosophen haben mathe gemacht. Jetzt ist philosophie so geisteswissenschaften mathematik naturwissenschaften informatik auch und das sind zwei disziplinen die haben genau nichts miteinander geht auf gar keinen fall ich habe auch die. Die naturwissenschaftlichen witze über über die geisteswissenschaftler gehabt, fakt ist aber wir brauchen viel mehr interdisziplinäres beispielsweise da um auch diese vernetzung wieder hinzubekommen und das was zusammengehört zusammenzupacken heutzutage wird. It-sicherheits beauftragter derjenige der gerade eben noch am am meisten, zu hause mit einem rechner so privat ein bisschen windows benutzt hat weil alle anderen kennen es noch nicht mal und dann ist der sicherheitsbeauftragter von. Der etage der abteilung was auch immer weil einfach nicht genug leute da sind dies ausgebildet bekommen haben, woher soll das denn auch kommen keiner lust zu das beizubringen.
Tim Pritlove
Das ist.
Honkhase
Das ist auch ein grundsatz problem.
Tim Pritlove
Etwas was ein guter punkt also an der stelle sind vor allem auch universitäten glaube ich aufgerufen oder auch fachhochschulen als.
Honkhase
Eben explizit nicht nur unis und fachhochschulen das müssen wir schon in der weiterführend also realschule gymnasium sonst die haben im höchstfall mal hier und da so ein fach it oder mal so 'n so 'n so 'n järchen oder so ein wahlpflichtfach oder sowas, du kriegst den du kriegst, den jugendlichen heutzutage gar nicht strukturiert überall so ein gewisses grund niveau beigebracht die kennen mathe die kennen deutsch die kennen englisch die kennen aber nicht in derselben ausprägung. Kann heutzutage aber eigentlich nicht mehr sein die die kennen ein handy die die sind digital natives aber nicht in dem sinne wie wir daran geführt worden und haben rechner auseinander gebaut haben noch verstanden was ist die cpu war das war das der prozessor was ist genau der der speicher was was ist und und mehrfach beschreibbar das kenne ich doch alles nicht mehr die benutzen so ein handy zwei jahre schmeißen's dann weg und nehmen neues, drauf die app spreding die daten in alle welt und die blicken ihn nicht mehr durch. Die hintergrundprojektionen das verständnis dafür sind nicht da. Und man kann ja auch diese ganze virtualisierung und cyber oder informationswert nicht greifen und und auch nicht begreifen weil man sie ja nicht packen kann das alles virtuell, so ein schreinermeister der baut sich ein tisch und stuhl und dann sitzt er da drauf und sagt schick und wir schreiben irgendwelche sicherheitskonzepte, risikoanalyse outlet berichte das meiste kommt in irgendeinem gift schrank nach dem motto wenn's peng macht holen was raus und das ist total geheim weil da stehen unsere infrastruktur funktionalitäten drin und auch die risiken und mängel. Kann nicht irgendwie zum ziel führen dass mehr sicherheit existiert.
Tim Pritlove
Danke gibt mir die gelegenheit mal noch einen podcast von mir zu planen den ich vor gar nicht so langer zeit aufgenommen habe und zwar in der reihe forschergeist nummer zweiundsiebzig, hab ich nicht mit peter pokert hofer gesprochen der halt an der stelle ist es halt uni also informatiker, der universität wien und die haben halt explizit so verpflichtend einen kurs bestandteil aller naturwissenschaftlichen oder alle informationen. Studiengänge gemacht der ist verantwortung in der informatik und da geht's halt ganz konkret um diese sachen die du jetzt schon angesprochen hast noch ein bisschen weitreichend da sozusagen wirklich mit einem weiteren geschichtlichen rückblick et cetera sehr interessante, folge mehr will ich da an der stelle jetzt auch gar nicht dazu sagen denn wir.
Honkhase
Dazu kann ich ganz kurz ein machen ich höre echt wenig podcasts aber die folge habe ich gehört und ich fand die super.
Tim Pritlove
Okay alles klar.
Honkhase
Mehr sage ich aber auch nicht sollen sich alle selber an.
Tim Pritlove
Mehr muss auch gar nicht sagen ja ich glaube auch das war ein echtes highlight und jeder der in irgendeiner form in der informatik ist sollte sich mal mit den inhalten die dort vermittelt werden mal beschäftigen und das am besten fall dann auch an die eigene uni tragen. So jetzt haben wir viel über meta fragen gesprochen das finde ich auch super weil ich denke damit hat es auch eine ganze menge zu tun aber jetzt müssen wir natürlich auch noch mal kurz ansprechen was ihr konkret jetzt hier einbringen wollt und wir haben jetzt viel über kritische infrastruktur was ist das was kann er alles schiefgehen oder kann eine ganze menge schiefgehen nebst der erwartungen so wie das derzeit gehandhabt wird wird es auch definitiv schiefgehen gesprochen und das ist ja so ein bisschen bei euch eine kritische auch so die grundüberzeugung ich das mal so festhalten darf das heißt eigentlich sitzt ihr da sozusagen mit der stoppuhr und wartet drauf knallt aber da geht es nicht darum dass ihr euch dann mit der na ja haben wir ja gleich haben wir schon immer gesagt mit einem tee irgendwie aufm berg setzen schaut ihr euch sozusagen den den untergang und die flammen im abendrot an sondern ihr habt ja sozusagen ein gewisses interesse auch angemeldet da im schlimmsten fall auch noch zu helfen und das war ja auch ein gleich zu beginn der defensive ein thema dass ihr jetzt mit einer, eigenen truppe ein greifen wollt.
Ijon
Ja ich muss einmal an der stelle ein bisschen korrigieren also wir haben uns überlegt wir brauchen sowas und zwar nicht wir als eigentlich rede sondern wir als staat wir als bundesrepublik deutschland brauchen eine kapazität in welcher qualität für solche großschadenslage aus felden weil die großschadenslage wird kommen diese überzeugung haben wir in der kritik ist alle und dann haben wir haben wir geguckt was gibt's denn da so an bewältigungs- kapazitäten für solche art von groß lagen wir haben ja für alle möglichen von großlager ob nun maßnahmen für den verletzten die mit seinen sechshundert oder was achthundert sechsstellige zahl auf jeden fall eine riesenmenge an freiwilligen wir haben das thw das kann auf besondere großschadenslage reagieren ob nur dammbach eisenbahn not brücken trinkwasser generierung ausleuchten von fußballstadien immer so diese kapazitäten haben wir und das ist ziemlich großartig in deutschland also wir sind auf. Ziemlich viele katastrophen eigentlich ziemlich gut vorbereitet und wir haben für das meiste sehr umfassend ausgebildete und vorbereitete und vor allen dingen ausgerüstete. Teams und gruppen ob nun staatlich halbstaatliche ehrenamtlich zivil das hängt ein bisschen von der lage und vom szenario ab. Im bereich der digitalisierung also im bereich von strukturen was machen wir wenn das wirklich mal wegbrechen wegbricht, haben wir nix so das haben wir festgestellt wir haben wir wollen es nicht glauben wir haben wirklich sechs acht monate der recherche da reingesteckt haben keine anfragen habe ich über mein chef gestellt wir haben. Experten gefragt und besprochen und dann festgestellt dass das was es da gibt es ist nicht mal ein tropfen auf den heißen stein so das ist nicht mal ein tropfen auf den heißen stein und wir bräuchten aber eigentlich deutlich mehr. Und da haben wir uns überlegt da müssen wir was machen und wir haben deswegen dieses konzept eine cyber hilfswerks entwickelt muss man wissen, das ist katastrophenschutz das ist erstmal eine staatliche aufgabe das ist nicht die aufgabe einer zivilen ehrenamtlichen gemeinschaft wie die akritisch sowas zu organisieren. Allerdings haben wir einen vorteil wir sind in einem ganz spannenden punkt nämlich wir kennen uns mit der thematik aus mit kritisch und wir sind eine security leute die mehr oder weniger. In diesen oder jenen communitys und vereinen aktiv sind ob nur c oder hier oder pfiff oder in meinem vater laut e v wir sind in in diversen netzpolitischen und digitalen vereinen aktiv und wir wissen wie die menschen artikel. Und das ist ein skill denn hat das bmi nicht und auch der innenminister oder des bsc nicht die denen fehlt das wissen sie wissen vielleicht auch so ein bisschen was es kritisch und was müssen wir da tun, aber die wissen nicht wie kriegt man freiwillig organisiert und. Sowohl der honk haase der ja jetzt die sicherheit auf dem chaos veranstaltungen über jahre gemacht hat als als auch ich, der jetzt seit fünf sechs sieben jahren zusammen mit lindwurm die herald manager auf dem kongress organisiert, behaupte ich wir wissen beide ganz gut wie wie kriegt man freiwilligen motiviert wie kriegt man freiwillige ehrenamtliche motiviert dinge zu tun das da haben wir beide eine gewisse erfahrung drin und ausgehend davon haben wir uns gedacht wir müssen ein konzept schreiben eine anleitung für den staat, wie der staat diese kapazitäten die uns fehlen aufbauen können also erstmal bewusstsein schaffen für was fehlt und dann erklären wie kann man es machen also unter welchen bedingungen welche ausschusskriterien welche rahmenbedingungen sind da eigentlich da. Damit. Ehrenamtliche und freiwillige sachkundige menschen von menschen die das sich die sich dem thema auskennen motiviert werden können sich einzubringen so und letztendlich ist das ein spannendes projekt so das thw geschichte das das das muss der staat selbst gründen, wir können das nur sagen dass wir das brauchen wir können begründen warum wir das brauchen wir können es herleiten das ist dringend nötig ist können zeigen dass es überfällig ist und wir können dann beraten seite stehen und sagen so musst du was machen wenn ihr wenn ihr erfolg haben wollt, weil ich denke mal das fehlt dem staat als fachwissen so wie kriegt man die. Wir sind ja vielleicht zwanzig dreißig vierzigtausend hacker in deutschland so über den daumen gepeilt höchstens wenn man den begriff ganz weit aufmachen. Kriegt man die eigentlich angesprochen haben wir verlieren die hälfte als ehrenamtler haben wir in so einer organisation security profis. Dann muss man die in der weise ansprechen und einbinden wie das ankommt so das können wir als club ziemlich gut möchte behaupten wie als c an der stelle. Aber wir als staat können das halt nicht so wir haben daran überhaupt keine erfahrung und bisherige versuche in dem bereich sind noch gescheitert, und dann haben wir uns gedacht wir kritisch sind in dieser einzige eine situation dass wir alle drei felder vereinigen und jetzt unser wissen zu bringen müssen, und den staat da beraten so und das stößt auf ganz tolle positive reaktionen aus den diversen behörden klar verhalten weil wir sind noch sehr früh in dieser phase aber sehr sehr positiv von allen seiten.
Tim Pritlove
Das sind die krisen nummer von denen sei innenminister früher gesprochen hat.
Ijon
Thomas hat zweitausendfünfzehn gesagt da bräuchte ich meine riesennummer von ihnen und ich glaube zu dem zeitpunkt war schon allen beteiligten klar, der ttc wird keine haben und kann keine haben und es wird sonnig geeignet dafür in keinster weise und soll vielleicht auch gar nicht mit behörden so nahe zusammenarbeiten dass es man sowas ernsthaft überlegt. Aber dass wir sowas brauchen war glaube ich damals sowohl dem innenministerium wie auch dem c wie auch den mitgliedern bewusst so in der satz gefallen war. Und seitdem ist nichts passiert also schon was passiert aber nichts was erfolg hatte. Vielleicht muss man jetzt mal anders herum das aufziehen dem staat sagen ja ihr wollt die krisen nochmal gut dann müsst ihr diese org bauen hier ist die anleitung.
Honkhase
Diese diese krisen nummer ist aber nicht für jedermann sondern für große schadenslagen das ist eine ganz wichtige unterscheidung ist nicht um keine ahnung kredit betreiber sagen egal wenn mit umkippt dann kann ich dir anrufen kriege ich kostenlosen support. Das ist nicht die intention.
Tim Pritlove
Das haben wir ja das haben wir ja jetzt im prinzip auch schon ausreichend definiert was so eine großschadenslage.
Ijon
Nein nein.
Tim Pritlove
Nein haben wir nicht dann sollten wir das vielleicht nochmal tun und kannst ja mal so ein beispiel vielleicht mal auch liefern also einerseits was wäre so eine schadenslage und was könnte dann wenn es das gäbe was ihr jetzt formuliert habt wie könnte das denn sozusagen ins rollen kommen.
Ijon
Also ein kühles betreiber wenn der ausfällt das ist nicht zwingend erstmal ein szenario wo das c in unserer vorstellung aktiv werden würde.
Tim Pritlove
Auch nicht wenn er fünfhunderttausend leute von betroffen sind.
Ijon
Dann vielleicht schon aber wir haben ja in der hand wahrscheinlich qualitäten du hast ja nicht wir haben ja, insgesamt vielleicht zwanzig leute im krisenmodus vielleicht dreißig leute die sich kümmern können so und wenn das jetzt eine sehr zentrale infrastruktur ist die fünfhunderttausend menschen betrifft sagen wir zum beispiel ein größeres krankenhaus ja das ist eine.
Tim Pritlove
Ja machen wir jetzt mal ganz ganz konkretes beispiel also was passiert.
Ijon
Wir haben wir haben wir haben ein größeres krankenhaus immer das versorgt eine region mit fünfhunderttausend menschen drin und das fällt fällt aus wegen wegen it.
Tim Pritlove
Doch nicht ein einziges krankenhaus.
Ijon
In gewissen report region doch.
Tim Pritlove
Ein einziges krankenhaus fünfhunderttausend leute.
Ijon
Ja wir sind gerade dabei das zusammen zu unserem bündeln und kosten zu sparen.
Honkhase
Zum einen einzelne krankenhäuser die so groß sind tatsächlich die gibt es die habe ich auch physisch gesehen so es gibt aber auch krankenhaus verbündet die zentrale betrieben werden so dass also wirklich die it und die kritische infrastruktur durchaus in so einer, nennt sich aus aus dem gesetz gemeinsame anlage das ist so zusammengeschaltet und technisch betrieben ein, zum beispiel drei drei kleine klärwerke sind winzig aber dass der zentrale leitstand fürs klärwerk adressiert alle drei und alle drei kommen auf siebenhunderttausend, einwohner und für sich betrachtet nicht aber zentral. Beim krankenhaus hast du dann ein ein rechenzentrum und eine zentrale it- versorgung die eben alle diese, außen standorte oder oder separaten krankenhäusern betreut oder eben eins was größer ist und damit auf jeden fall kritische infrastruktur weil es mehr als fünfhunderttausend menschen versorgt.
Tim Pritlove
Lass mal mal die das beispiel mal ausführen.
Ijon
Es war ja negativbeispiel auf dass ich hinaus wollte also da haben wir jetzt ein krankenhaus und da haben wir jetzt das versorgt fünfhunderttausend menschen und der da fällt was ganz wichtiges in der infrastruktur aus und dann dann würde die kapazitäten der schatz ja ausreichen, dann hätten wir ja diese zwanzig leute vom mobile response team vom bsc die könnten da hin die könnten diese eine infrastruktur innerhalb dieses ein krankenhaus wieder anfahren dann läuft das ja da hätten wir einen kritisch.
Tim Pritlove
Dieses mobile instituts wird oder so.
Ijon
Das team ja genau.
Tim Pritlove
Das das ist sozusagen so eine gruppe die sich beim um sowas kümmern soll.
Ijon
Die sind das sind zwanzig leute so und bei so, zentralen örtlich begrenzten geschichten wie zum beispiel einen größeren krankenhaus das flach fällt könnten die auch noch wirken und könnten die krise bewältigen davon gehen wir aktuell aus, es gibt aber auch lagen wo man wo man sagt zwanzig mann kannst du nicht an autos schicken gleichzeitig das geht nicht oder ein ort wenn man jetzt also von so einem szenario ausgeht sondern abwasserentsorger zum beispiel ja wo wo dreißig kleine anlagen wasser gerade meinte von einem deutschen gesteuert werden und. Die fallen parallel alle aus du kannst nicht zwanzig mal am auto schicken das funktioniert physikalisch nicht so dann braucht man dreißig leute die da hinfahren können dann wird's schon eng es gibt es gibt solarien, wo man noch deutlich mehr orte hat ja stellen wir uns mal vor unsere unser gesundheitssystem wir bauen da gerade ein neues schönes zu sehen die infrastruktur aus, wir sind lustige gesundheitskarte und diesen praxen und diesen kartenleser überall alles digital und ganz toll da haben wir plötzlich tausend system überall im land. Wenn die jetzt komplett wegfallen dann gibt's jetzt noch eine patientenakte auf papier was ist wenn das in zehn jahren wegfällt haben wir dann auch noch eine patientenakte auf papier, warum sollten wir dann funktionieren haben dann müsste man jetzt in jeder praxis rein im worst case je nachdem wie die gemengelage ist was die ursache ist aber im worst case jede praxis rein, da die entsprechende systeme. Putzen also die vivi runterziehen das neu aufsetzen bergab zurückspielen und dann wäre diese praxis wieder einsatzfähig und das aber halt in der fläche des landes an ganz vielen verschiedenen stellen. Bei bei anderen kindern schon ist es ist es ähnlich es gibt szenarien der staat bewältigen kann weil sie ordentlich begrenzt und klein sind wo man sich mal noch was auswirken kann, aber es gibt auch so nach einer denkbar sind die so groß sind dass dieses mal nicht mehr reichen wo man eher fünfhundert oder tausend leute bräuchte die sich kümmern, und die muss man aber in meinen augen in unseren augen nicht vorhalten die muss man nicht fest anstellen und sagen wartet darauf dass das passiert sondern das würde reichen wenn so ein einsatz nur alle paar jahre ist dass man dann dafür ehrenamtliche und freiwillige hat die dann. Aktiviert werden und das problem lösen können.
Tim Pritlove
So wie bei der freiwilligen feuerwehr die normalerweise einfach zuhause rumsitzen und fernsehen und aber irgendwie auf abruf sind und wenn dann was brennt und da werden jetzt mal richtig viele leute gebraucht dann geht der peter los klingelt das telefon was weiß ich was da passiert und dann. Fahren die einfach mal schnell zur feuerwehr wo sie angedockt sind und auch ein bisschen ausbildung erhalten haben aber es ist halt nicht im beruf.
Ijon
Genau es geht ja auch nicht darum dass man jetzt in den den regelfall schafft ein neues neues normale wo der staatssicherheit kümmern wird sondern es geht hier darum dass wir dass wir eine eine kapazität schaffen ist und response kapazität schaffen, für den worst case nicht für den kleinen scheiß den der staat auch schon bewältigen könnte oder können müsste hier geht es darum. Wenn wir den großbrand haben wenn man bei der feuerwehr haben möchte. Wo schon nicht mehr nur drei häuser sind sondern die ganze straßenzug brennt wo alle dorf- feuerwehr von außen herum schon im einsatz sind so, dann würde man das tier wieder zurufen dann würde man andere behörden dazu rufen dann würde man berufsfeuerwehren aus anderen städten dazu ziehen ja für für lagen dieser größenordnung aber halt im digitalen dafür denken wir brauchen wir diese. Für alles unten drunter sehen wir den verein den standardveranstaltungen die betreiber in der verantwortung und in dieser klasse gibt es ja auch noch gibt ja diverse unternehmen die machen die kümmern sich um sowas die werden gerufen und fixen dann dinge die brennen und das muss auch so sein das muss ja das. Das ist ja in ordnung dass das gibt so denn das wollen wir dem aber auch nicht vorweggreifen aber für die großlager gibt's halt ab so einer größenordnung von zwanzig dreißig vierzig leuten im feld im einsatz. Nichts mehr so und oben drüber brauchen wir das nächste größere was man dann rufen kann wenn's wenn's wirklich dann so groß und umfassend brennt.
Tim Pritlove
Wie habt ihr euch das jetzt. Gedacht wie also wie kann so eine rechtliche konstruktion dafür aussehen da habe ich das richtig verstanden habe ist das ja noch nicht in trockenen tüchern und ihr seid sozusagen noch in so einer, guck mal wie wäre es denn wenn man das mal machen könnte faser ja wir wir wissen schon gerne was wir anbieten wollen aber wir haben uns jetzt noch nicht festgelegt wie wir das jetzt sozusagen konkret in der gesellschaft, rechtlich verankern wollen oder organisatorisch auch oder rechts organisatorisch verankern wollen.
Ijon
Genau wir haben da wissen also wir haben uns noch nicht entschieden aber das machen wollen, ja mit dem seitigen konzeptpapier dass wir am freitag auf events vorgestellt haben erstmalig, haben wir drei oder vier verschiedene varianten diskutiert also es ist überhaupt nicht abschließend sondern es geht einfach pro und contra argumente für diese und jene variante jetzt im nachgang nachher kriegen wir auch sehr viele zuschriften von leuten die sich im detail gefasst haben und sagen ja diese variante wäre besser und diese variante wäre schlechter das ist, spannend ich fasse nochmal kurz zusammen die erste variante ist man baut eine neue abteilung in anführungszeichen abteilung, im selbst hilfswerk das gar nicht falsches seminar dran das könnte das tun was wir brauchen nachteilig ist innendrin eher verkalkt sehr behäbig sehr behäbig und prägen und schwierig damit neun verschiedene dinge zu tun, diesen nicht gebaut dafür dass sie flexibel sind die sind gebaut dafür dass sie robust kapazitäten bereithalten für den notfall, flexibel ist das nur in der krise aber nicht sonst, dann gäbe es die möglichkeit dass man sich beim drk guckt wie macht das die akademie eingetragener verein.
Tim Pritlove
Also deutsche rote kreuz.
Ijon
Das deutsche rote kreuz ist ein eingetragener verein der ist erstmal so völlig losgelöst von allem anderen allerdings hat der über so ein internationales komitee so einen gewissen völkerrechts völkerrechtlichen status und es gibt eine kooperationsvereinbarung mit dem staat, der gewissen gewissen angebot von dienstleistungen im im krisenfall katastrophenfall zu sichert das ist das der liefern wird und im gegenzug schützen wird. Gibst du verträge dazwischen.
Tim Pritlove
Das heißt wenn ihr irgendwas was weiß ich jetzt auch wirklich großbrand viele verletzte und so weiter dr rückt aus mit allem was es hat und dann ist auch sofort klar geregelt wie dann dieser aufwand bezahlt wird etcetera.
Ijon
Wie viel die liefern müssen wie wir die bereit halten müssen vom drk und aber auch was ihre schützen muss auf welche weise wie das abgewickelt wird das besprochen und vertraglich geregelt und so, so ein modell könnte man könnten wir auch hier nehmen ja das ist auch auch gar nicht falsch dass sowas so direkt beim gründeten eine frau und macht einen verträge mit der mit dem start über die übergröße dienstleistungen. Die dritte variante ist dass man sowas wie das thw gründet man nimmt das nicht als sowieso als blaupause man guckt sich irgendwelche gesetze gibt es da welche vorschriften mich abteilung welche prozesse innerhalb der behörden und ministerien und sagt okay wir copy paste das mal zu einem pkw ändern das t c überall in den ganzen begeistern vorschriften und sagen so da steht das da da wird man noch ein bisschen was ändern müssen und in den feinheiten oder im allgemeinen die zeit drängt wir sind jetzt nicht an dem punkt wo wir sagen können wir können jetzt zwanzig jahre evaluieren wie wir das machen, sondern wir sind an einem punkt wo wir sagen besser gestern als heute und dann zu sagen wir nehmen den bewiesen funktionierendes modell, und nehmen das als vorlage als template und kopieren das und bauen dann sowas in der art nach aber in frisch und dynamisch und nicht ganz so verkalkt das ist die dritte variante die wir, evaluieren so wir sind noch nicht an der entscheidung angekommen und letztendlich ist es auch nicht unsere entscheidung wir können nur sagen. Wir könnten den startern noch beraten wir können unsere unser fachwissen anbieten und sagen das wäre besser als das aus folgenden argumentationen heraus aber die entscheidung ist letztendlich beim start.
Tim Pritlove
Würde ich jetzt mal ganz frech behaupten also solche umfangreichen maßnahmen und wie man es besser machen kann das passiert immer erst wenn die kacke so richtig am dampfen war so, ja also man muss schon einmal so richtig schön durch den dunklen tunnel durchgefahren sein bevor man irgendwie drüber nachdenkt wäre vielleicht mal ganz gut paar taschenlampen mitzunehmen.
Honkhase
Genau.
Ijon
Bei den großschadenslage von denen wir hier sprechen die wir uns hier vorstellen da geht es immer auch im tote und ich möchte ganz rote vermeiden ich möchte gerne dass wir sowas haben bevor es tote gibt.
Tim Pritlove
Ja das ehrt euch natürlich ne ich habe ja nur so meine zweifel geäußert dass sozusagen dieses reinigungskompetenz da ist aber vielleicht sehe ich das ja auch falsch.
Ijon
Nein du hilfst uns herr rate-team guck mal dadurch dass wir hier diesen diesen podcast reinsprechen.
Tim Pritlove
Werden tote verhindert wenn menschenleben.
Ijon
Sorgen wir dafür dass vielleicht auch der eine oder andere behördenmitarbeiter das hört angst kriegt und sagt wir müssen das machen das ist ganz wichtig.
Tim Pritlove
Das hoffe ich natürlich auch. Nein mir fehlt der glaube aber wir können's ja zumindest probiert haben allein schon um dann später auf dem hügel zu sitzen und das feuer anzugucken zu sagen also wir haben's ja gleich gesagt. Ja cyber hilfswerk also ich meine der name ist natürlich so ein bisschen selber ja ich glaube wir haben ja bei politik auch schon alle witze übers halber jetzt gerissen ist bei mir sickert auch langsam ein das ist halt einfach der etablierte begriff in dem wo einfach in der in der in der branche und vor allem natürlich in der politik auch international einfach alles abgedeckt ist was in irgendeiner form mit digital und weiteren sind natürlich dann auch mit mit sicherheit zu tun hat und selber hilfswerk lehnt sich nicht, nicht ohne grund an diese idee an wenn's auch sagen wir mal nur zwei von drei optionen sind die hier irgendwie potenziell passen können ist richtig verstanden habe. Hallo ja wie geht's denn jetzt weiter also die idee steht jetzt im raum die kritisch ist ja in dem sinne noch gar keinen verein oder so ihr seid ja einfach nur so eine lose ebene ag also ihr seid eine arbeitsgruppe, wenn man nicht mehr weiter weiß dann gründet man arbeitskreis trotzdem könnte ich mir vorstellen dass ihr ja durchaus noch interesse daran habt euer netzwerk noch ein bisschen weiter, auszubauen oder habt ihr genug.
Ijon
Also wir suchen nicht aktiv nach menschen aber menschen suchen aktiv nach uns wir können uns die letzten zwei drei vier tage seite die fenster jetzt freuen wir uns unglaublich über den enormen längeren zuspruch wir kriegen oder zuschriften cases und meine mailbox explodiert von leuten die schreiben ja tolle idee lass das machen ich würde gerne mithelfen ich wäre ein helfer beim thw was muss ich tun wie können wir das auf die reihe kriegen. Wir kriegen ja auf eine schriften von leuten aus behörden aus dem thw vom drk die sagen ja gute idee wie können wir da unterstützen dass wir das eine mögliche realität werden lassen wir sind ja schon im gespräch mit den beiden beiden behörden bsc und b also dem bundesamt versicherter funktionstraining und dem bundesamt für katastrophenhilfe, mit denen reden wir ja jetzt schon und wir wünschen uns etwas mehr kontakte richtung bmi inneren und wir denken dass wir jetzt dass in den nächsten monaten vertiefen werden also mit mit all diesen behörden nochmal oder mehrfach zusammensetzen unsere konzeption diskutieren konstruktiv weiterentwickeln und dann hoffentlich dem einen oder staatssekretär man tritt geben und sagen so jetzt bist du dran jetzt haben wir alles getan was wir tun können jetzt musst du gründen so und dann könnte das passieren, letztendlich können wir nur unser netzwerk jetzt dafür einsetzen und die hörer können ihr netzwerk auch dafür einsetzen dass dieses in so oder einer akzeptablen form wie das für uns als community akzeptabel ist gegründet wird so das ist jetzt ein konkretes politisches ziel für das man lobbyieren kann und lobbyismus im klassischen sinne, betreiben kann und wir laden euch ein mitzuhelfen.
Tim Pritlove
Viele werden sich natürlich auch fragen wenn sie schon in dieser branche arbeiten okay wie kann das mit meinem job überhaupt zusammenläuft also jetzt nicht nur das engagement in einer ag kritisch sondern auch konkret ins um selber hilfswerk habe ich es richtig verstanden habe schweben euch ja so modelle vor mit durch diese verträge ist dann geregelt dass wenn ein mitarbeiter quasi zum hilfswerk oder zum einsatz quasi gerufen wird mit dir guck mal kacke samt dampfen wir brauchen mal jemanden der die wegschaufeln das dadurch sozusagen automatisch geregelt ist wie eine kompensation für firmen die leute abstellen und so weiter geregelt ist solche.
Ijon
Genau das ist das meine ich gerade mit dem mit der vorlage dem template vom thw nehmen weil da ist das fertig geregelt da gibt's die theorie entwicklungsrichtlinien und dann kriegt der arbeitgeber also wenn der staat sagt wir brauchen jetzt die helfer im einsatz dann wird der einsatz angeordnet, hat der arbeitgeber auch nichts mehr zu sagen oder zu melden dann ist der mitarbeiter gilt als freigestellt, und der alka bekommt aber dann das bruttogehalt des mitarbeiters erstattet vom staat für die dauer des einsatzes so das ist fertig geregelt und aufgeschrieben da das kann man als tablet hernehmen, so die idee.
Tim Pritlove
Das heißt letzten endes würdet ihr euch natürlich auch freuen wenn branchenverbänden etcetera auf diese idee einsteigen und das sozusagen mitgestalten oder ist das nicht so der.
Ijon
Wir freuen uns über jegliche art von mithilfe und engagement von egal woher dass es generell positiv im allgemeinen decken wir auch dass die branche verbände und die wirtschaft und die unternehmen die arbeitgeber tendenziell ihre mitarbeiter schon von selbst gehen lassen werden weil wir reden hier nicht von von kleinen lagen die sind unternehmen nicht weiter betreffen so wenn hier für eine halbe million menschen der strom oder das wasser für mehrere wochen ausfällt so dann wirkt das auf die mitarbeiter so direkt dass ein normaler produktionsbetriebe des arbeitgebers im zweifel gar nicht mehr möglich ist so.
Tim Pritlove
Das stimmt.
Ijon
Und entsprechend hat ein interesse daran verdienen leute die helfen können dabei dass es zu beheben dass er die auch tatsächlich dann auch freistellt ja.
Tim Pritlove
Hast du noch was anzumerken.
Honkhase
Das klingt alles super und stimme ich voll zu passt glücklich.
Tim Pritlove
Ja also ich finde das ja auch super dass ihr diese diese initiative. So betreibt man ist es wird einem ja auch immer oft vorgeworfen so wenn man so aus der digitalen kritik fraktion kommt ja dass wir immer gut meckern können aber. Trägt man denn auch im fall zu lösungen bei. Ich denke das ist mal wieder so ein ansatz wo das ganz gut sichtbar wird dass man sich eigentlich in dieser szene auch schon immer sehr viel gedanken ums große und ganze gemacht hat.
Ijon
Dann würde ich auch noch mal einen kurzen aufruf machen ja also dann rufe ich alle hörer herzlich auf auf a punkt kritisch punkt info oben im menü auf das selber hilfswerk zu klicken und dass ich euch das konzept dass sie dort findet runterzuladen durchzulesen das durchzuarbeiten und kommentare ergänzungen erweiterung gedanken, vor allen dingen konkretisiert uns zukommen zu lassen wir werden die berücksichtigen bearbeiten einarbeiten in den nächsten tagen wochen monaten und also wir sind ja jetzt hier bei der zielgruppe der potenziellen helfer ist es ja nicht hier deutschlandfunk oder der zdf de sondern die leute die hier jetzt zuhören sind ja größtenteils irgendwo community und seminar und deswegen brauchen wir genau euer input unter welchen bedingungen unter welchen voraussetzungen wärt ihr bereit euch zu engagieren das ist ja die frage wie der staat bisher nicht beantworten konnte und die wir jetzt dem staat beantworten so damit die krisen nummer gibt's nicht aber eine anleitung wie man eine gründen könnte dass es dann doch funktioniert, können wir halt doch anfertigen und ich sehe uns da auch als staatsbürger in der pflicht das zu tun.
Tim Pritlove
Super dann würde ich sagen machen wir doch hier einfach den deckel drauf vielen dank vielen dank.
Ijon
Bitte bitte gerne.
Tim Pritlove
So für euren allgemeinen beitrag und natürlich vor allem hier für die präsenz bei logbuch netzpolitik im besonderen ja und ich bedanke mich auch das war ein kleines logbuch netzpolitik, spezial und demnächst geht's dann wieder weiter mit unserem normalen nachrichten betrieb und ich sag tschüss und bis bald.
Ijon
Tschüss.
Honkhase
Tschüss.

Shownotes

Kritische Infrastruktur

22 Gedanken zu „LNP331 Kritische Infrastruktur

  1. Kein Feedback zur LNP331 (danke für die Folge, hatte drauf gehofft, daß ihr die Initative beleuchtet), sondern nur ein Hinweis auf eine zweiteilige Doku zum Fall Kashoggi, die noch bis 18.3.20 in der arte-Mediathek zu sehen ist. Inkl. Verstrickungen MBS mit Twitter, Hacking Team, NSO, Wirtschaft, Trump, Geheimdiensten und überhaupt. Lohnt sich!
    https://www.arte.tv/de/videos/088467-000-A/mord-im-konsulat-1-2/
    https://www.arte.tv/de/videos/088468-000-A/mord-im-konsulat-2-2/

  2. Hallo Tim, Ijon und Honkhase,
    vielen Dank für die informative Sendung!
    Auf ein Detail seid ihr leider, nachdem es kurz angerissen wurde, nicht mehr weiter eingegangen: Welche Bereiche, die in den entsprechenden Gesetzen und Verordnungen nicht berücksichtigt sind, zählen euerer Einschätzung nach noch zur kritischen Infrastruktur? Chemische Industrie, Abfallentsorgung und Wetterdienst wurden genannt – gibt es noch mehr?

  3. Oh wow, ich bin noch nicht ganz durch, aber will schon mal sagen: danke für diese Sendung!! (und auch viele andere, kommentiere oft nur in meinem Kopf)

    Gefühlt seit immer vertrete ich die Auffassung, größtmögliche Einfachheit ist ein sehr hohes (und demokratisches!) Gut. Besonders wenn es um die Dinge geht von denen wir (physisch) abhängig sind.

    In meinem Bild einer wünschenswerten Zukunft ist darum die Gesellschaft viel stärker dezentral und lokal organisiert, unabhängiger und resilient [1]. Und mündig mit ihren Fähigkeiten ihre deutlich weniger komplexe und anfällige kritische Infrastruktur zu warten und zu erhalten. Eine gute Vernetzung und globaler Austausch von Wissen und Erfahrung sind eine große Stärkung dieses Modells, aber kaum mit physischer Abhängigkeit verknüpft.

    Das bedeutet nicht, Komplexität müsse (könne) man aus der Welt schaffen. Unnötige und anfällige Komplexität kann man gerne zu hauf einbauen und staunend die spannenden Dinge beobachten, die sich daraus entwickeln: in Kunst, Spiel, als pädagogisches Experimentierfeld.

    Unmündigkeit und Abhängigkeit haben natürlich große Vorteile für Autoritäten. Ups, Verschwörungstheorie. Nein, ist garnicht so gemeint. Ich will damit sagen, wenn Komplexität und Abhängigkeiten entstehen (auch ohne Verschwörung), sind sie eine Schwäche für eine Gesellschaft und potentiell missbrauchsanfällig. Die Fähigkeit zur Selbstversorgung hingegen macht unabhängig. [2]

    [1] schöne Grafik dazu in: Atlas der Globalisierung 2015, Postwachstumsatlas S.120 Le Monde Diplomatique/taz Verlags- und Vertriebs GmbH, Berlin 2015 online unter https://www.yumpu.com/de/document/read/62100258/atlas-2015-07-2865126-1 oder https://docplayer.org/52452654-Weniger-wird-mehr-der-postwachstumsatlas.html

    [2] z.B. das Konzept Transition Town https://de.wikipedia.org/wiki/Transition_Town

  4. Wirklich sehr interessantes Thema, leider aber nicht sehr gehaltvoll.

    Das Gespräch hatte keinen wirklichen roten Faden, ihr springt von der Definition, zu Beispielen mit Legacy Systemen dazu das die Definition doch nicht so so richtig ist zur Abgrenzung zu anderen Bereichen und wieder zurück.
    Dann ist der Scale mal ganz klein, dann wieder ganz groß.
    Für mich war es schwer zu folgen was jetzt für was gilt und wo jetzt genau die AG KRITIS arbeitet und was das eigentliche Kernthema ist.

    Ich muss auch ehrlich sagen das sich Honkhase schon eingangs mit seinem Kommentar über alte COBOL Systeme selbst disqualifiziert hat.
    Allen Menschen die solche Systeme ablösen möchten global die Intelligenz abzusprechen find ich nicht gerecht und man sollte alle anderen Aussagen von Honkhase in diesem Licht bewerten.
    Warum irgendwas ändern oder umbauen wenn es doch funktioniert?
    Warum legacy Systeme ablösen die unwartbar, nicht veränderbar, (vielleicht) nicht recoverbar sind und die nur noch eine Handvoll von Experten versteht?

    Gefühlt trifft das auf die meisten Systeme zu über die ihr gesprochen habt.

    Vielleicht polemisch von mir, aber mich fuchst so eine Aussage einfach. Auch ihr macht das nicht aus Spaß sondern weil da für euch Druck hinter ist.
    Wir sollten eher froh sein wenn Menschen sowas angehen, so wie es auch wichtig ist wenn ihr euch als Experten mit dem KRITIS Thema auseinander setzt.

    Was ich aber wirklich vermisst habe sind konkrete Bedrohungsszenarien. Ihr erwähnt Dinge wie „Ausfall“ oder „Viren“, aber viele Beispiele haben dann entweder doch nichts mit IT Systemen zu tun oder sind vom Scale ganz unterschiedelich.
    Da hätte ich mir wirklich ein paar Beispiele gewünscht um mal ein Scenario zu haben an dem man sich abarbeiten kann.
    Vielleicht hab ich auch da etwas missverstanden um was sich die AG KRITIS jetzt wirklich kümmert, aber gefühlt habt ihr da ein paar Sachen in den gleichen Topf geworfen.

    Die Idee mit dem CHW finde ich wirklich sehr gut, aber auch hier wenig Worte darüber wie das überhaupt funktionieren soll.
    Wenn ich als Freiwilliger in die erwähnte eine Arztpaxis komme, was soll dann passieren? „Viren löschen und Backups einspielen“ ist da etwas sehr vage.
    Gibt es da irgendeinen einheitlichem Mechanismus oder frag ich dann die Sprechstundenhilfe was auf dem Rechner installiert werden muss und wo die Backups liegen?
    Die meisten Menschen bekommen nichtmal ihre eigenen Systeme recovert.
    Habt ihr irgendwas das über „wenn wir 1000 freiwillige haben wird das schon“ hinausgeht?
    Gefühlt fehlt da komplett die Machbarkeitsanalyse und auch die Bedrohungsszenarien. Mir hätte auch die einfache Aussage gereicht das „best effort“ gilt, also irgendwas wie das dann umgesetzt werden soll.

    Natürlich kann ich mir die Dokumente des AG KRITIS runterladen und durchlesen, und das sollte ich auch tun, aber ihr hattet jetzt 2 Stunden Zeit und erklärt gefühlt die wichtigsten Eckpunkte ausgesparrt.

    Ich würde mir wirklich nochmal ein followup zu dem Thema wünschen, am besten wenn das ganze Thema mehr gereift ist.
    Alleine schon um meinen Glauben in die Community zu erhalten. Wir beschweren uns immer das Politik Dinge nicht ordentlich durchdenkt und das beste was wir können ist einen Arbeitskreis gründen der dann eine Organisation definiert die das dann schon irgendwie macht?
    Ich verstehe gerade nicht wo da der unterschied ist und ich denke wir müssen uns unserer eigenen Kritik stellen, zumindest wäre es nett gewesen das am Abschluss zu thematisieren.

    Ansonsten waren ein paar sehr interessante Anekdoten dabei die zumindestens helfen die gesamt Gemengelage etwas klarer zu sehen.

    Viele Grüße

  5. Sehr gute Sendung! Dank an Euch Dreien und toi toi toi für das Cyber Hilfswerk auch wenn ich eher glaube zu denen auf dem Berg zu gehören, die irgendwann auf die brennende Stadt schauen und sagen „wir haben’s Euch schon immer gesagt“.

    Einen Gedanken möchte ich aber loswerden, was ich meine zu beobachten. Immer wenn ich Angebote und Offerten von Behörden aber auch Unternehmen sehe, muß ich den Kopf schütteln. Die suchen junge, naive und in erster Linie formbare und anlernbare Menschen, die sich innerhalb existierender Strukturen unter ordnen. Sorry das wirkt auf mich mit meinen 45 Lenzen, der seit 25 Jahren selbständig in der Softwareentwicklung und seit ca. 10 Jahren in der IT Security unterwegs ist nicht nur nicht attraktiv sondern komplett realitätsfremd. Wie soll ein Jaust mit seinem Docker und Node.js Wissen jemals wissen, warum er in seinem Windoof keine Textdateien mit dem Namen CON.TXT kopieren kann wenn er das Konzept dahinter aus CP/M bzw. DOS-Zeiten kennen gelernt hat? Nur als ein Beispiel, ich könnte etliche weitere nennen.

    So erzieht man sich keine Fachleute, so erzieht man sich Ja-Sager und genau die Sorte von IT Experten, die Ihre Excel-Tabellen abarbeiten und in den Safe lagen und anschliessend behaupten, alles sei sicher.

  6. Leute … danke! Ich dachte, ich sei mit meinen Gedanken alleine. Ich bin kein hochspezialisierter super Experte, aber seit mittlerweile acht Jahren im Bereich Telco Operations tätig. Die Leute denken immer ich spinne, wenn ich meine „layer1 vulnerability“ worst-case Szenarien auspacke. Da sollte man was tun. Ich wohne in Frankfurt, habe Familie, kann nicht mal eben so nach Berlin düsen Mittwoch Abend oder so. Gäbe es die Möglichkeit sich lokal zu engagieren … count me in. Wo kann ich mich melden?

    • Kritische Infrastruktur und Corona … bei mir kam gestern Abend der Passierschein vom BSI, der mich im Falle eines Lockdowns bis zur Arbeit durchkommen lässt. Wie läuft die Krise bei euch? Was treibt ihr so?

  7. Man man, wie war das Thema doch ist.

    Tolle Ansätze und Vorschläge für eine Freiwillige oder auch Unfreiwillige Cyberfeuerwehr oder ein Cyber-Hilfswerk.

    Ich finde es großartig so etwas vor dem GAU zumindest schon mal ausgearbeitet zu haben, damit dann vielleicht darauf zugriffen werden kann.

    Meines Erachtens nach sollte das mal ein Thema der Bundeswehr sprich:
    Kommando Cyber- und Informationsraum mal angehen.

    Einige Staaten in denen es sehr warm ist, haben so etwas ja wohl, wie ich mal gehört habe.

    Mal sehen wie es weiter geht.

    Toller Podcast.

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.

Diese Website verwendet Akismet, um Spam zu reduzieren. Erfahre mehr darüber, wie deine Kommentardaten verarbeitet werden.