1
00:00:02,560 --> 00:00:06,240
Moin und herzlich willkommen zur
Folge 74 von einfach komplex, 

2
00:00:06,640 --> 00:00:09,720
fast so eine Art Bonusfolge. 
Ja, Burkhard hat es angekündigt,

3
00:00:09,720 --> 00:00:12,920
der ist im Weihnachtsurlaub im 
wohlverdienten, aber ich habe 

4
00:00:12,920 --> 00:00:17,120
den Thomas von Cyber Danube für 
ein Gespräch über OT 

5
00:00:17,120 --> 00:00:20,400
Infrastruktur beziehungsweise 
das Pan Testing von OT 

6
00:00:20,720 --> 00:00:23,920
Infrastruktur gewinnen können 
und dafür schon mal vorweg 

7
00:00:24,160 --> 00:00:26,600
vielen herzlichen dank Thomas 
und willkommen zu einfach 

8
00:00:26,600 --> 00:00:27,920
komplex. 
Gerne. 

9
00:00:28,400 --> 00:00:30,320
Also Thomas. 
Fangen wir doch mal so an. 

10
00:00:30,320 --> 00:00:33,360
Wer bist du und was macht deine 
Firma Cybertanube? 

11
00:00:34,000 --> 00:00:38,720
Mein Name ist Thomas Weber und 
ich bin IT Security Spezialist 

12
00:00:39,320 --> 00:00:45,120
in Richtung OT IOT, Embedded 
Pantasting und unsere Firma 

13
00:00:45,120 --> 00:00:49,600
Cybertanube führt 
PENETRATIONSTESTS auf OT 

14
00:00:49,600 --> 00:00:52,960
beziehungsweise kritische 
Infrastruktur in. 

15
00:00:54,560 --> 00:00:57,520
Allen möglichen, allen möglichen
Betrieben beziehungsweise 

16
00:00:58,000 --> 00:01:02,000
Kraftwerken durch und wir 
schauen uns auch einzelne 

17
00:01:02,000 --> 00:01:05,760
Embedded Devices an, sprich 
industriesteuerungen, 

18
00:01:05,760 --> 00:01:09,760
Wechselrichter, smartmeter und 
alle möglichen anderen Geräte 

19
00:01:09,840 --> 00:01:12,920
die Halt so verwendet werden in 
der OT beziehungsweise in der 

20
00:01:12,920 --> 00:01:16,880
kritischen Infrastruktur und im 
Betrieb aufrecht zu erhalten und

21
00:01:16,880 --> 00:01:20,240
die Funktionalität von den 
Einzelnen von den einzelnen 

22
00:01:20,240 --> 00:01:23,440
Prozessen und von den von den 
Einzelnen. 

23
00:01:24,000 --> 00:01:27,120
Komponenten eines Kraftwerks 
oder eines produzierenden 

24
00:01:27,120 --> 00:01:30,280
Betriebs zu gewährleisten. 
Klasse Thomas, Wo sitzt ihr? 

25
00:01:30,280 --> 00:01:32,280
Man hört so ein bisschen, aber 
vielleicht kannst du es noch 

26
00:01:32,280 --> 00:01:33,440
einmal sagen. 
Genau. 

27
00:01:33,440 --> 00:01:37,760
Wir sind ansässig in Wien, also 
im Norden von Wien, im 19 

28
00:01:37,760 --> 00:01:42,400
Bezirk, und wir haben sehr viele
Kunden in Österreich natürlich 

29
00:01:42,960 --> 00:01:46,560
eh klar, aber auch in 
Deutschland beziehungsweise 

30
00:01:47,680 --> 00:01:49,680
haben wir auch ein 2. 
Kunden außerhalb. 

31
00:01:51,280 --> 00:01:55,280
Von von Europa also einen in 
Asien und einen in Nordamerika. 

32
00:01:57,120 --> 00:02:00,040
Ja, also wir sind, wir sind 
eigentlich vorwiegend in Europa 

33
00:02:00,040 --> 00:02:05,360
tätig, beispielsweise auch in 
Kroatien, dort gibt es gibt es, 

34
00:02:05,440 --> 00:02:09,600
gibt es auch einen Kunden von 
uns, mit dem wir schon einige 

35
00:02:09,840 --> 00:02:13,360
Tests gemacht hatten, aber ja, 
sehr viel passiert halt in 

36
00:02:13,360 --> 00:02:16,480
Österreich bei uns. 
Okay cool, ich sag's so, weil 

37
00:02:16,480 --> 00:02:18,600
wir haben natürlich auch Hörer 
und Hörerinnen in Österreich. 

38
00:02:18,600 --> 00:02:21,840
Ich glaube so ungefähr 6%. 
Insgesamt ja, ist natürlich auch

39
00:02:21,840 --> 00:02:25,240
noch mal schön, dass wir den 
Podcast vielleicht noch mal in 

40
00:02:25,240 --> 00:02:26,640
Österreich n bisschen vergrößern
können. 

41
00:02:26,800 --> 00:02:28,880
Also cool, Thomas, Dankeschön, 
dass du dir die Zeit heute 

42
00:02:28,880 --> 00:02:30,600
nimmst. 
Wir müssen dazu sagen, es ist 

43
00:02:30,600 --> 00:02:32,520
der 27.12. 
Wir haben Weihnachten gerade 

44
00:02:32,520 --> 00:02:35,840
hinter uns, wahrscheinlich noch 
volle Bräuche, aber auch ganz 

45
00:02:35,840 --> 00:02:37,360
entspannt. 
Es ist nicht so viel los im Büro

46
00:02:37,360 --> 00:02:40,280
wie normalerweise und Thomas, 
Lass uns mal so anfangen, dass 

47
00:02:40,280 --> 00:02:43,120
wir noch mal ganz kurz die OT, 
Die Operational Technology 

48
00:02:43,520 --> 00:02:46,160
definieren, sag uns noch mal, 
was du jetzt genau darunter 

49
00:02:46,160 --> 00:02:47,960
verstehst. 
Du hast gerade schon kritische 

50
00:02:47,960 --> 00:02:50,640
Infrastruktur. 
Mit genannt zu OT. 

51
00:02:50,640 --> 00:02:53,720
Wir haben auch schon ein 2. 
Mal über OT hier im Podcast 

52
00:02:53,720 --> 00:02:55,920
gesprochen, aber wie definiert 
sich das denn eigentlich aus 

53
00:02:55,920 --> 00:02:59,400
deiner Sicht? 
Was ist denn die OT und was ist 

54
00:02:59,400 --> 00:03:03,120
das Besondere daran? 
Ja, die Operational Technology 

55
00:03:03,840 --> 00:03:06,880
unterscheidet sich natürlich 
ganz stark von der IT dort. 

56
00:03:06,880 --> 00:03:13,520
Dort sind also in der IT sind 
große Datenmengen und sehr, ja, 

57
00:03:14,480 --> 00:03:17,840
sagen wir jetzt mal. 
Mittelmäßige bis hohe bis 

58
00:03:17,840 --> 00:03:22,240
niedrige Geschwindigkeit von 
Nöten, also große Datenmengen im

59
00:03:22,240 --> 00:03:25,480
Sinne von wenn ich Videos 
herunterlade, muss nicht immer 

60
00:03:25,480 --> 00:03:30,800
in Echtzeit passieren, aber ja, 
sollte natürlich schon halbwegs 

61
00:03:30,800 --> 00:03:35,360
schnell sein in der in der OT 
ist es halt einfach so. 

62
00:03:36,080 --> 00:03:38,320
Dort ist es nicht so wichtig wie
in der IT, dass große 

63
00:03:38,320 --> 00:03:39,840
Datenmengen transportiert 
werden. 

64
00:03:40,000 --> 00:03:41,920
Dort ist halt eher so, es muss 
halt alles in Echtzeit 

65
00:03:41,920 --> 00:03:45,360
passieren, weil wenn das Signal 
nicht ankommt von Steuerung A an

66
00:03:45,360 --> 00:03:48,720
Steuerung b was geschickt wird, 
dann ist vielleicht gar nicht 

67
00:03:48,720 --> 00:03:51,320
mehr notwendig, dass das, dass 
es überhaupt noch ausgeführt 

68
00:03:51,320 --> 00:03:52,640
wird, weil es einfach zu spät 
ist. 

69
00:03:52,720 --> 00:03:55,280
Also es ist sehr 
echtzeitkritisch. 

70
00:03:55,760 --> 00:03:59,600
Und die beispielsweise die 
Rechenleistungen sind bei der OT

71
00:03:59,600 --> 00:04:02,320
ganz anders als bei der IT. 
Bei der IT gibt es massig 

72
00:04:02,320 --> 00:04:07,200
Rechenleistung und wird halt mit
Consumer Elektronik sehr günstig

73
00:04:07,200 --> 00:04:11,920
realisiert und ist auch immer 
sehr sehr sehr sehr gut 

74
00:04:11,920 --> 00:04:16,800
verfügbar, allerdings eben auch 
nur zu manchmal 99% oder 

75
00:04:16,800 --> 00:04:19,680
manchmal nur zu 98% über das 
Jahr verteilt. 

76
00:04:19,680 --> 00:04:23,200
Bei der OT ist Verfügbarkeit 
sehr wichtig und Rechenleistung 

77
00:04:23,280 --> 00:04:26,840
ist meistens auch nicht so hoch.
Also dort gibt es oft 

78
00:04:26,840 --> 00:04:31,280
Komponenten, eben beispielsweise
Steuerungen oder hm is, also die

79
00:04:31,280 --> 00:04:34,480
Machine Interfaces, wo man auf 
den Displays herum klickt oder 

80
00:04:34,480 --> 00:04:37,520
herum drückt, die haben gar 
nicht so viel rechnerleistung, 

81
00:04:37,760 --> 00:04:41,160
aber die müssen halt sehr hoch 
verfügbar sein und die müssen 

82
00:04:41,160 --> 00:04:45,920
auch sehr wie schon gesagt von 
den Reaktionszeiten her einfach 

83
00:04:45,920 --> 00:04:48,320
sehr schnell sein, das ist halt 
der große Unterschied zwischen 

84
00:04:48,320 --> 00:04:51,600
IT und OT und bei der OT ist es 
auch so. 

85
00:04:51,680 --> 00:04:53,840
Es gibt verschiedene Größen, 
also wir hatten. 

86
00:04:54,400 --> 00:04:58,520
Verschiedene verschiedene 
technische Sessments auf auf 

87
00:04:58,520 --> 00:05:01,600
Kraftwerke von so ziemlich allen
Größen schon. 

88
00:05:01,600 --> 00:05:05,360
Also das kann wirklich ein 
kleines Heizkraftwerk sein, bis 

89
00:05:05,360 --> 00:05:11,040
zu einem großen Öl oder oder 
oder Gaskraftwerk und da gibt es

90
00:05:11,040 --> 00:05:13,640
halt echt alle Größen, also von 
den Prozessen her, ob das jetzt 

91
00:05:13,640 --> 00:05:18,160
nur eine Handvoll Steuerungen 
sind mit ein Paar eben kesseln, 

92
00:05:18,160 --> 00:05:21,520
heizkesseln oder was auch immer.
Das ist auch schon OT, obwohl es

93
00:05:21,520 --> 00:05:24,560
vielleicht nur aus ganz wenigen 
Komponenten besteht, also unter 

94
00:05:24,560 --> 00:05:28,680
20 Komponenten. 
Zumindest aus Netzwerksicht kann

95
00:05:28,680 --> 00:05:31,760
aber auch sein, dass es, dass es
das 10 oder dass das 50 oder 100

96
00:05:31,760 --> 00:05:35,920
fache ist, je nachdem und das 
fällt alles unter OT, aber dort 

97
00:05:36,560 --> 00:05:38,000
ist eben der Unterschied 
echtzeitkritische 

98
00:05:38,880 --> 00:05:44,120
echtzeitkritische Prozesse, die 
halt die halt einfach wo einfach

99
00:05:44,120 --> 00:05:46,320
die Signale ankommen müssen in 
der Zeit, oder? 

100
00:05:48,000 --> 00:05:51,680
Datenübertragung it, Videos 
streamen oder zum Beispiel 

101
00:05:51,680 --> 00:05:54,960
diesen Podcast streamen oder 
oder was auch immer. 

102
00:05:55,200 --> 00:05:58,320
Das ist halt alles it. 
Das ist halt dann schon ein 

103
00:05:58,320 --> 00:05:59,840
ziemlich ziemlich krasser 
Unterschied. 

104
00:06:00,480 --> 00:06:03,280
Finde ich ganz spannend wie du 
es erklärst, von der ja der 

105
00:06:03,280 --> 00:06:06,760
Aufgaben her. 
Also häufig wenn von OT und IT 

106
00:06:06,760 --> 00:06:09,680
gesprochen wird, wird erstmal in
Organisationsstrukturen geredet.

107
00:06:09,680 --> 00:06:14,320
Die IT ist zuständig für Laptops
und und alles was Bediener 

108
00:06:14,320 --> 00:06:17,920
Software angeht während OT. 
Die Produktion zum Beispiel 

109
00:06:17,920 --> 00:06:20,960
aufrechterhält oder oder dafür 
sorgt, dass produziert werden 

110
00:06:20,960 --> 00:06:24,920
kann, was auch immer ja, Energie
oder weiß ich nicht, Autos oder 

111
00:06:24,920 --> 00:06:27,040
sonst was, aber du hast es 
vielleicht so erklärt, OK, es 

112
00:06:27,040 --> 00:06:29,600
geht eigentlich primär darum, 
die Signale müssen in Echtzeit 

113
00:06:29,600 --> 00:06:32,320
ankommen, während in der ITSA ja
darum geht, große Datenmengen zu

114
00:06:32,320 --> 00:06:34,440
verarbeiten und die 
Verfügbarkeit jetzt nicht die 

115
00:06:34,440 --> 00:06:36,320
allerhöchste Priorität hat 
natürlich ne hohe Priorität, 

116
00:06:36,320 --> 00:06:39,040
aber nicht so wie ne OT. 
So, das ist die eine Grundlage 

117
00:06:39,040 --> 00:06:42,640
für das Thema heute ne OT, die 
andere ist pantasting erzähl 

118
00:06:42,640 --> 00:06:45,040
doch noch mal kurz was 
pantasting ist und wo das 

119
00:06:45,040 --> 00:06:47,040
herkommt, bevor wir es dann im 
nächsten Schritt zusammenführen.

120
00:06:47,040 --> 00:06:50,240
Pantasting für die OT. 
Genau also panetration Testing, 

121
00:06:50,240 --> 00:06:53,080
um es um es komplett 
auszuformulieren, ist im Prinzip

122
00:06:53,080 --> 00:06:56,320
das Testen eines Systems, kommt 
es doch an, ob man jetzt 

123
00:06:56,320 --> 00:06:58,400
reinschauen kann in das System, 
da gibt es auch unterschiedliche

124
00:06:58,400 --> 00:07:01,120
Begrifflichkeiten oder ob man es
wirklich komplex aus der 

125
00:07:01,200 --> 00:07:04,440
komplett aus der auch 
Außenansicht testet, wo man im 

126
00:07:04,440 --> 00:07:06,480
Prinzip schaut kann man das 
System. 

127
00:07:07,320 --> 00:07:10,400
Auf irgendeine Art und Weise 
dazu bringen, Dinge zu tun, für 

128
00:07:10,400 --> 00:07:14,600
die es nicht vorgesehen ist. 
Und das ist im Prinzip grob 

129
00:07:14,600 --> 00:07:17,440
umrissen. 
Pantasting wenn es, wenn es sich

130
00:07:17,440 --> 00:07:20,160
um eine Website handelt, 
bedeutet das nichts anderes, als

131
00:07:20,160 --> 00:07:23,440
dass man versucht, auf Daten 
oder auf Funktionen zuzugreifen.

132
00:07:24,080 --> 00:07:28,280
Auf der Website, die nicht für 
den Benutzer zugänglich sein 

133
00:07:28,280 --> 00:07:31,720
sollten oder halt nicht für den 
Benutzer mit den Berechtigungen,

134
00:07:31,720 --> 00:07:34,520
die man hat zugänglich sein 
sollten, und man versucht halt 

135
00:07:34,520 --> 00:07:39,200
herauszufinden. 
Schritt für Schritt, als mehr 

136
00:07:39,200 --> 00:07:43,280
und mehr Information zu kommen, 
was jetzt das System betrifft, 

137
00:07:43,280 --> 00:07:44,960
was für Komponenten verwendet 
werden. 

138
00:07:44,960 --> 00:07:47,200
Also jetzt bei einer Website, 
kann aber auch immer eine 

139
00:07:47,360 --> 00:07:50,480
Industriesteuerung sein, welche 
Softwarekomponenten verwendet 

140
00:07:50,480 --> 00:07:52,640
werden oder auch welche 
Hardwarekomponenten verwendet 

141
00:07:52,640 --> 00:07:56,400
werden, manchmal dann versucht 
man halt auf Basis von diesen 

142
00:07:56,400 --> 00:08:00,080
Informationen immer halt 
weiterzukommen. 

143
00:08:00,560 --> 00:08:03,040
Zu schauen gibt es gibt es 
irgendwelche Backup Dateien, 

144
00:08:03,040 --> 00:08:05,600
gibt es irgendwelche 
Schwachstellen in der 

145
00:08:05,600 --> 00:08:08,800
Programmierung, gibt es auch 
schwerere Schwachstellen in der 

146
00:08:08,800 --> 00:08:11,200
Programmierung, wenn Datenbanken
zum Beispiel verwendet werden. 

147
00:08:11,920 --> 00:08:15,840
Das kann jetzt auch so Escal 
Injections und sowas betreffen, 

148
00:08:16,000 --> 00:08:19,920
also man versucht hier hier 
Daten rauszukriegen aus der 

149
00:08:19,920 --> 00:08:22,640
Datenbank, beispielsweise über 
eine Website, kann aber eben 

150
00:08:22,640 --> 00:08:27,440
auch eine USV sein, hatten wir 
auch schon, ist das und. 

151
00:08:27,760 --> 00:08:31,080
Eine unterbrechungsfreie 
Spannungsverfolgung oder 

152
00:08:31,080 --> 00:08:34,400
Stromversorgung, je nachdem dort
war also in der Vergangenheit. 

153
00:08:34,400 --> 00:08:37,600
Wir haben auch ein Security 
Advisory auf unserer Website 

154
00:08:37,600 --> 00:08:42,720
dazu veröffentlicht, wo eine 
eine Datenbank tatsächlich auf 

155
00:08:42,720 --> 00:08:45,600
eine USV drauf war, wo man eben 
log Daten beispielsweise 

156
00:08:45,600 --> 00:08:48,800
auslesen hat können oder 
einspielen hat können die vorhin

157
00:08:48,800 --> 00:08:52,480
nicht dauern, was natürlich dann
im Prinzip die Daten verfälscht 

158
00:08:52,480 --> 00:08:55,280
oder verändert, also die 
Integrität angreift. 

159
00:08:55,680 --> 00:08:59,480
Und somit zum Beispiel Probleme 
nicht korrekt nachvollzogen 

160
00:08:59,480 --> 00:09:02,400
werden können oder nicht 
bestehende Probleme hinzugefügt 

161
00:09:02,400 --> 00:09:04,480
werden können. 
Bei der Datenbank 

162
00:09:04,560 --> 00:09:07,000
beispielsweise. 
Genau das war jetzt eh schon ein

163
00:09:07,000 --> 00:09:10,040
bisschen ausgeführt in in die 
Richtung was wir, was wir so 

164
00:09:10,040 --> 00:09:13,760
machen Pentasting ist im 
Prinzip, man versucht halt 

165
00:09:14,080 --> 00:09:16,720
Schwachstellen zu finden, 
Schwachstellen auszunutzen auf 

166
00:09:16,720 --> 00:09:19,200
Basis von Informationen, die man
vorher gesammelt hat, also das 

167
00:09:19,200 --> 00:09:22,480
geht immer Schritt für Schritt 
mit Informationssammlung mit. 

168
00:09:23,680 --> 00:09:26,360
Ableiten, welche Schwachstellen 
bestehen könnten oder oder 

169
00:09:26,360 --> 00:09:27,760
welche Probleme bestehen 
könnten. 

170
00:09:27,760 --> 00:09:31,120
Bei den ganzen Systemen. 
Und dann wird versucht, genau 

171
00:09:31,360 --> 00:09:34,120
eben basierend auch auf der auf 
der Erfahrung, die wir halt 

172
00:09:34,120 --> 00:09:36,960
schon gesammelt hatten in der 
Vergangenheit versuchen halt 

173
00:09:36,960 --> 00:09:39,760
verschiedene Schwachstellen 
auszunützen, ob sie ob sie 

174
00:09:39,760 --> 00:09:43,320
existieren oder nicht, das ist 
halt immer die Herausforderung 

175
00:09:43,320 --> 00:09:46,920
beim Pentesting, dass man das 
herausfindet manchmal, und das 

176
00:09:46,920 --> 00:09:49,840
ist eben der Unterschied 
zwischen Blackbox, Pentesting 

177
00:09:49,840 --> 00:09:52,720
von Systemen oder Whitebox 
Pentesting von Systemen. 

178
00:09:53,360 --> 00:09:55,920
Manchmal hat man natürlich auch 
den Quellcode zur Verfügung. 

179
00:09:55,920 --> 00:09:58,560
Von den Programmen, von den 
Steuerungen, von den ganzen 

180
00:09:58,560 --> 00:10:01,200
Diensten, die hier drauf 
programmiert worden sind 

181
00:10:01,200 --> 00:10:04,720
beziehungsweise halt kompiliert 
worden sind und dann kann man 

182
00:10:04,720 --> 00:10:07,760
auch in den Quellcode 
reinschauen und sich hier auf 

183
00:10:07,760 --> 00:10:11,080
die Suche begeben und schauen, 
ob man hier irgendwelche 

184
00:10:11,080 --> 00:10:14,600
Schwachstellen identifizieren 
kann, die man dann eben auf der 

185
00:10:14,600 --> 00:10:17,920
anderen Seite auf dem Echtgerät 
ausnutzen könnte. 

186
00:10:18,320 --> 00:10:21,480
Und ja, dann gibt es natürlich 
noch was dazwischen, das wäre so

187
00:10:21,480 --> 00:10:23,600
Greybox. 
Pantasting Man hat 

188
00:10:23,600 --> 00:10:27,000
Informationen, man hat nicht 
alle Informationen, aber man 

189
00:10:27,000 --> 00:10:29,120
bekommt ein bisschen was 
Zugänge. 

190
00:10:29,120 --> 00:10:33,040
Ich sage jetzt mal Pläne, also 
architekturdiagramme und sowas, 

191
00:10:33,040 --> 00:10:35,600
aber nicht den kompletten 
Quellcode, das ist eher so 

192
00:10:35,600 --> 00:10:40,000
dazwischen, aber ist halt dann 
so so das Greybox pantasting was

193
00:10:40,000 --> 00:10:44,320
wir halt auch oft machen, weil 
manchmal werden wir halt von von

194
00:10:44,320 --> 00:10:46,560
Betrieben oder von von 
Betreibern. 

195
00:10:47,360 --> 00:10:49,920
Kritische Infrastruktur oder 
eben von produzierenden 

196
00:10:49,920 --> 00:10:53,840
Betrieben engagiert, die uns 
halt ihre Systeme testen lassen,

197
00:10:53,920 --> 00:10:55,600
selbst aber nicht die ganze 
Information haben. 

198
00:10:55,600 --> 00:10:59,040
Also sie kaufen selbst natürlich
die ganzen Maschinen, die ganzen

199
00:10:59,360 --> 00:11:03,360
Steuerungen und so weiter zu und
haben halt nur begrenzt wissen 

200
00:11:03,360 --> 00:11:07,960
über das ganze und wir bekommen 
halt meistens dann alles, was 

201
00:11:07,960 --> 00:11:11,920
eben unser Kunde hat und der 
lässt es uns dann testen. 

202
00:11:12,400 --> 00:11:14,720
Hin und wieder ist es auch so, 
dass uns Hersteller beauftragen.

203
00:11:15,280 --> 00:11:18,480
Ihre Produkte zu testen, das ist
dann meistens eben keine 

204
00:11:18,480 --> 00:11:21,840
Infrastruktur, sondern halt 
wirklich nur ein Produkt, was 

205
00:11:21,840 --> 00:11:25,200
wir auch machen. 
Und dort bekommen wir meistens 

206
00:11:25,200 --> 00:11:28,080
dann schon mehr Informationen, 
weil umso mehr Informationen der

207
00:11:28,080 --> 00:11:31,880
Tester der Pen Tester im Vorfeld
bekommt, umso schneller kann er 

208
00:11:31,880 --> 00:11:34,000
dann Ergebnisse liefern 
beziehungsweise umso genauere 

209
00:11:34,000 --> 00:11:36,600
Ergebnisse kann er liefern, wenn
wir alles ohne ohne 

210
00:11:36,600 --> 00:11:39,360
Hintergrundwissen durchführen, 
also den ganzen penetrition 

211
00:11:39,360 --> 00:11:43,680
Test, dann könnten wir natürlich
ganz viel übersehen, das wissen 

212
00:11:43,680 --> 00:11:46,320
wir nicht. 
Manchmal ist es einfach so, dass

213
00:11:46,320 --> 00:11:49,280
das System im Hintergrund so 
komplex ist, dass wir ohne 

214
00:11:49,280 --> 00:11:54,400
Information im Prinzip sehr, 
sehr lange brauchen würden, um 

215
00:11:54,400 --> 00:11:56,960
solche Schwachstellen, solche 
Fehler zu identifizieren. 

216
00:11:58,040 --> 00:12:00,880
Es wäre möglich, aber es ist 
halt einfach ja, der Angreifer 

217
00:12:00,880 --> 00:12:04,080
hat natürlich viel Zeit, wir 
haben halt nur die Zeit, die wir

218
00:12:04,560 --> 00:12:08,000
bekommen von dem von dem Kunden,
und das ist halt der große 

219
00:12:08,000 --> 00:12:11,680
Unterschied, also im Prinzip der
der Zeitvorsprung, der Halt eben

220
00:12:11,680 --> 00:12:14,280
der Angreifer hat. 
Also das heißt, wenn. 

221
00:12:15,040 --> 00:12:19,280
Das heißt, es gibt grundsätzlich
das Blackbox Pantasting. 

222
00:12:19,280 --> 00:12:21,440
Du kriegst keine zusätzlichen 
Informationen über ein System 

223
00:12:21,440 --> 00:12:25,440
und versuchst es anzugreifen, 
einzudringen oder mit dem Dinge 

224
00:12:25,440 --> 00:12:26,720
zu tun, für die es nicht 
vorgesehen ist. 

225
00:12:26,720 --> 00:12:28,080
So hattest du es, glaube ich 
ausgedrückt. 

226
00:12:28,720 --> 00:12:31,480
Whitebox pantasting du bekommst 
den Quellcode zur Verfügung 

227
00:12:31,480 --> 00:12:35,680
gestellt, um ein eine 
Infrastruktur oder ein Gerät zu 

228
00:12:35,680 --> 00:12:39,040
pantasting oder irgendwas 
dazwischen greybox also ein 

229
00:12:39,040 --> 00:12:42,480
Betreiber von Anlagen übergibt 
alles was er an Infos hat. 

230
00:12:42,960 --> 00:12:47,200
Damit ihr oder wer auch immer 
die Pentester testen können, OK,

231
00:12:47,200 --> 00:12:49,440
spannend das ist das finde ich 
mal gut, dann das Pentesting 

232
00:12:49,440 --> 00:12:52,080
scheint etwas zu sein was 
geplant und beauftragt ist. 

233
00:12:52,320 --> 00:12:54,960
Also ist jetzt nicht so, dass 
das passiert, ohne dass der 

234
00:12:55,120 --> 00:12:57,040
Betreiber der Infrastruktur 
darüber Bescheid wüsste. 

235
00:12:57,360 --> 00:13:02,600
Ja genau, also das, das ist ist 
im Prinzip ein Service, so wie 

236
00:13:02,600 --> 00:13:05,760
wenn ich jetzt einen einen 
Safety Check mach oder halt 

237
00:13:05,760 --> 00:13:07,880
einfach einen einen einen 
jährlichen Test. 

238
00:13:07,880 --> 00:13:11,520
Also es gibt ja, gibt ja sowas. 
Beim Fehlerstromschutzschalter 

239
00:13:11,520 --> 00:13:13,920
im Haus, wenn man auf die 
Testtaste drückt, sollte man 

240
00:13:14,000 --> 00:13:18,000
einmal im Jahr machen, machen 
nicht so viele, aber sollte man 

241
00:13:18,320 --> 00:13:21,040
drückt man drauf und wenn der 
wenn der 

242
00:13:21,040 --> 00:13:24,280
Fehlerstromschutzschalter fällt,
also wenn der Strom weg ist, 

243
00:13:25,920 --> 00:13:28,080
dann weiß man ok hat 
funktioniert. 

244
00:13:28,080 --> 00:13:31,680
Mein Fehlerstromschutzschalter 
funktioniert wenn ich irgendein 

245
00:13:31,680 --> 00:13:34,320
defektes Gerät habe was mir 
sonst einen Stromschlag 

246
00:13:34,320 --> 00:13:36,640
versetzen würde. 
Dann wird es der 

247
00:13:36,640 --> 00:13:39,280
Fehlerstromschutzschalter 
abfangen und genauso verhält 

248
00:13:39,280 --> 00:13:42,800
sich es im Prinzip beim Pentest.
Wir schauen halt wirklich ob ob 

249
00:13:42,800 --> 00:13:46,800
die Systeme, ich sag jetzt mal 
nicht fehlerfrei, aber zumindest

250
00:13:46,880 --> 00:13:50,720
zu dem Zeitpunkt, zu dem wir es 
testen, keine groben Fehler 

251
00:13:50,720 --> 00:13:55,520
haben und man sollte halt solche
solche Pentests natürlich. 

252
00:13:56,080 --> 00:13:58,960
Einmal im Jahr oder je nachdem, 
was für eine, was für einen 

253
00:13:58,960 --> 00:14:01,720
Anwendungsfall man verfolgt, 
wenn man irgendein DATENCENTER 

254
00:14:01,720 --> 00:14:05,120
hat, was höchste Sicherheit 
garantieren sollte, dann sollte 

255
00:14:05,120 --> 00:14:08,320
man es vielleicht öfters machen 
als nur einmal im Jahr, aber 

256
00:14:08,480 --> 00:14:10,240
kommt halt eben auf den 
Anwendungsfall an. 

257
00:14:11,120 --> 00:14:15,040
Wir testen die Systeme und 
natürlich gibt es immer wieder 

258
00:14:15,040 --> 00:14:17,920
neue Schwachstellen die die 
Aufkommen, die entdeckt werden, 

259
00:14:18,160 --> 00:14:19,800
die Schwachstellen werden ja 
nicht eingebaut von 

260
00:14:19,800 --> 00:14:23,160
irgendwelchen Security 
researchern die sich die Systeme

261
00:14:23,160 --> 00:14:25,040
anschauen. 
Sondern die werden halt einfach 

262
00:14:25,040 --> 00:14:26,720
entdeckt. 
Also die sind schon drin und die

263
00:14:26,720 --> 00:14:29,520
werden halt im Prinzip nur 
gefunden und die bekommen dann 

264
00:14:29,520 --> 00:14:35,320
auch eine cvi Nummer, also einen
Vulnerability Score, den man 

265
00:14:35,320 --> 00:14:38,640
auch online nachverfolgen kann, 
also wo man sich anschauen kann,

266
00:14:39,120 --> 00:14:41,200
wie ist der Status zu der 
Schwachstelle, ist sie behoben, 

267
00:14:41,200 --> 00:14:43,080
gibt es einen Patch, gibt es 
keinen Patch, gibt es einen 

268
00:14:43,080 --> 00:14:47,920
Workaround was auch immer und 
solche solche öffentlichen 

269
00:14:47,920 --> 00:14:51,680
Schwachstellen schauen wir uns 
im Zuge solcher Tests natürlich 

270
00:14:51,680 --> 00:14:54,480
auch an. 
Und wir identifizieren auch 

271
00:14:54,480 --> 00:14:57,280
immer wieder neue 
Schwachstellen, sogenannte Zero 

272
00:14:57,280 --> 00:15:00,400
Days, also dem Hersteller nicht 
bekannte Schwachstellen. 

273
00:15:00,400 --> 00:15:07,040
Also Tag 0 halt, und die melden 
wir dann, die melden wir dann ja

274
00:15:07,040 --> 00:15:11,840
im Zuge des Pen Tests oft in 
Absprache mit unserem Kunden 

275
00:15:11,840 --> 00:15:14,880
dann ein und die werden dann 
natürlich vom Hersteller 

276
00:15:15,360 --> 00:15:20,040
zumeist, aber nicht immer leider
behoben und danach gibt es einen

277
00:15:20,040 --> 00:15:22,160
Patch und den kann der Kunde 
dann einspielen. 

278
00:15:22,640 --> 00:15:25,040
Klingt nach einem langen 
Prozess, gerade in der 

279
00:15:25,040 --> 00:15:27,760
Industrie, bis da wahrscheinlich
so ein Patch dann da ist und 

280
00:15:27,760 --> 00:15:30,240
released und dann noch 
eingespielt eingespielt wurde, 

281
00:15:30,240 --> 00:15:31,840
vergeht vermutlich ein bisschen 
Zeit, ne. 

282
00:15:32,400 --> 00:15:37,520
Genau also das hat auch einen 
Namen, das ist Coordinated Women

283
00:15:37,520 --> 00:15:41,000
reability disclosure Prozess, 
also gibt es bei mehreren, also 

284
00:15:41,000 --> 00:15:43,280
im Prinzip bei fast allen 
pandasting Firmen. 

285
00:15:43,520 --> 00:15:45,680
Also ich wüsste jetzt glaube ich
gar keiner die die sowas nicht 

286
00:15:45,680 --> 00:15:47,840
hat. 
Aber es wird halt eingemeldet. 

287
00:15:47,920 --> 00:15:50,000
Gibt es auch einen Standort 
hierzu? 

288
00:15:50,320 --> 00:15:52,240
Ich weiß, dass der Standort 
nicht auswendig ist, aber ein 

289
00:15:52,240 --> 00:15:57,440
ISO Standard und ja, 
normalerweise geben die die 

290
00:15:57,440 --> 00:16:01,280
Tester oder die vuldernability 
Researcher ebenso wie ich, so 

291
00:16:01,280 --> 00:16:04,960
wie meine Kollegen dem 
Hersteller dann so um die 90 

292
00:16:04,960 --> 00:16:07,120
Tage Zeit. 
Es gibt auch welche mit 60 

293
00:16:07,120 --> 00:16:09,040
Tagen, 45 Tagen oder 100 120 
Tagen, also verschiedene 

294
00:16:09,120 --> 00:16:11,960
verschiedene Prozesse die 
definiert sind, aber das wird 

295
00:16:11,960 --> 00:16:14,080
dann dem Hersteller auch immer 
zugesandt. 

296
00:16:16,400 --> 00:16:19,120
Gemeinsam mit mit dem mit der 
Schwachstelle, die entdeckt 

297
00:16:19,120 --> 00:16:22,080
wurde und der weiß dann auch 
Bescheid, dass er so und so 

298
00:16:22,080 --> 00:16:24,560
lange Zeit hat, dass er einen 
Patch rausbringt. 

299
00:16:24,560 --> 00:16:27,280
Üblicherweise ist es genug Zeit,
um einen Patch zu 

300
00:16:27,280 --> 00:16:31,920
veröffentlichen, aber oft 
scheitert es an internen 

301
00:16:32,080 --> 00:16:35,120
Prozessen, eben vom Hersteller, 
von der Entwicklung, es ist 

302
00:16:35,120 --> 00:16:38,560
irgendwer im Urlaub, irgendwer 
ist krank, es verschiebt sich 

303
00:16:38,560 --> 00:16:41,240
aus irgendeinem Grund und oft 
ist es dann so, dass. 

304
00:16:41,760 --> 00:16:44,320
Dass die, dass die Patches dann 
ein bisschen später erst 

305
00:16:44,320 --> 00:16:47,440
veröffentlicht werden, als der 
Hersteller es selbst gerne 

306
00:16:47,440 --> 00:16:49,920
möchte. 
Aber wir machen das 

307
00:16:49,920 --> 00:16:53,840
normalerweise immer in Absprache
mit dem Hersteller, dass es hier

308
00:16:53,840 --> 00:16:57,080
keine Alleingänge gibt. 
Also wir veröffentlichen 

309
00:16:57,080 --> 00:16:59,240
normalerweise nur unsere 
Advisory, wenn der Hersteller 

310
00:16:59,240 --> 00:17:03,160
entweder den Patch schon draußen
hat oder wenn der Hersteller 

311
00:17:03,160 --> 00:17:05,440
sagt, er behebt es einfach 
nicht, weil es ist ihm egal. 

312
00:17:05,680 --> 00:17:07,760
Also das gibt es auch. 
Leider. 

313
00:17:07,839 --> 00:17:09,920
Du hast jetzt noch eine weitere 
Unterscheidung gemacht, 

314
00:17:09,920 --> 00:17:13,359
eigentlich zwischen den 
Herstellern von Geräten, die Pen

315
00:17:13,359 --> 00:17:17,040
Tests beauftragen um um um 
Geräte auf Schwachstellen zu 

316
00:17:17,040 --> 00:17:19,920
überprüfen und die 
Unterscheidung noch mal von den 

317
00:17:19,920 --> 00:17:23,359
Betreibern der Geräte, die ihre 
Infrastruktur überprüft haben 

318
00:17:23,359 --> 00:17:25,440
wollen. 
Und vielleicht kannst du auf 

319
00:17:25,440 --> 00:17:27,280
diesen Unterschied noch mal 
eingehen und gleichzeitig auch 

320
00:17:27,280 --> 00:17:31,560
darauf oder vielleicht im 
Anschluss, wie typisch jetzt OT 

321
00:17:31,560 --> 00:17:35,920
Pen Tests eigentlich sind also. 
Wer macht das? 

322
00:17:35,920 --> 00:17:39,520
Gibt es dazu Verpflichtungen, 
vielleicht gesetzlicher Natur 

323
00:17:39,760 --> 00:17:41,720
oder ab welchem Punkt lohnt es 
sich dann auch für einen 

324
00:17:41,720 --> 00:17:44,560
Betreiber von OT Infrastruktur 
so etwas zu tun? 

325
00:17:44,560 --> 00:17:48,560
Also erster Punkt Geräte und 
Infrastruktur, also Hersteller 

326
00:17:48,560 --> 00:17:53,680
und Betreiber und zweiter Punkt 
ja Betreiber, ab wann mache ich 

327
00:17:53,680 --> 00:17:54,960
das? 
Sagen wir es mal so. 

328
00:17:55,520 --> 00:17:59,760
Wir haben sehr viele, sehr viele
Kunden, die im Prinzip ihre 

329
00:17:59,760 --> 00:18:03,120
Infrastruktur überprüfen lassen,
also wirklich Netzwerke. 

330
00:18:03,600 --> 00:18:09,240
Wirklich das OT Netz hierzu gibt
es auch ein Architekturdiagramm,

331
00:18:09,240 --> 00:18:13,840
was halt oft umgesetzt wird. 
Das nennt sich Persia Model, das

332
00:18:14,560 --> 00:18:17,640
ist halt unterteilt in 
verschiedene Ebenen, wo die 

333
00:18:17,640 --> 00:18:22,720
einzelnen ich würde jetzt mal 
sagen nicht nicht Komponenten 

334
00:18:22,720 --> 00:18:24,720
aber zumindest die Einzelnen, 
die einzelnen 

335
00:18:24,720 --> 00:18:26,640
Anwendungsschichten sich 
befinden. 

336
00:18:26,800 --> 00:18:29,680
Also es gibt hier prozessebene, 
leitebene. 

337
00:18:30,880 --> 00:18:33,360
Bis bis runter eben zu den 
einzelnen Sensoren und 

338
00:18:33,360 --> 00:18:36,720
Aktuatoren. 
Und wenn wir sowas überprüfen 

339
00:18:36,720 --> 00:18:39,520
sollen, ist die Herangehensweise
natürlich immer ein bisschen 

340
00:18:39,520 --> 00:18:42,840
anders, als wenn wir uns ein 
Gerät anschauen, was wir 

341
00:18:42,840 --> 00:18:47,280
vielleicht von einem Hersteller 
bekommen, aber bei einer 

342
00:18:47,280 --> 00:18:50,240
kompletten Infrastruktur müssen 
wir halt immer ein bisschen 

343
00:18:50,240 --> 00:18:53,040
vorsichtiger sein, wenn es. 
Wenn wir es im Betrieb testen, 

344
00:18:53,040 --> 00:18:55,440
weil es gibt es auch hier noch 
mal die Unterscheidung zwischen 

345
00:18:55,600 --> 00:18:58,240
Testen im Betrieb und testen in 
einem Wartungsfenster. 

346
00:18:58,240 --> 00:19:01,200
Wir bevorzugen natürlich das 
Wartungsfenster, was einmal 

347
00:19:01,200 --> 00:19:06,680
jährlich oder einmal in 2 Jahren
gemacht wird, wo ein 2 Wochen 

348
00:19:06,680 --> 00:19:08,960
alle Maschinen stehen oder 
vielleicht alle Prozesse stehen,

349
00:19:09,360 --> 00:19:11,880
kommt aber natürlich auch auf 
den Betreiber der Infrastruktur 

350
00:19:11,880 --> 00:19:14,040
an, also hin und wieder werden 
auch nur Teile abgeschaltet, 

351
00:19:14,040 --> 00:19:17,120
Teile gewartet, andere Teile 
dann später gewartet von dem 

352
00:19:17,120 --> 00:19:20,880
kompletten kompletten Betrieb. 
Und wenn wir sowas testen, 

353
00:19:20,880 --> 00:19:24,080
müssen wir halt immer vorsichtig
sein, weil wenn wir hier Scans 

354
00:19:24,080 --> 00:19:26,960
machen in den Netzwerken, kann 
es natürlich passieren, dass 

355
00:19:27,200 --> 00:19:32,640
Komponenten ausfallen, natürlich
unbeabsichtigt, wir wissen halt 

356
00:19:32,640 --> 00:19:36,880
schon bei vielen Herstellern, 
also bei Siemens Steuerungen 

357
00:19:36,880 --> 00:19:39,360
oder von von WAGO oder was auch 
immer, es gibt ja verschiedene 

358
00:19:39,360 --> 00:19:43,120
Hersteller von solchen 
Komponenten, welche Steuerungen 

359
00:19:43,120 --> 00:19:46,600
hier ausfallen oder eher 
ausfallen bei Scans und welche 

360
00:19:46,600 --> 00:19:50,240
Steuerungen ja. 
Einfach weiterlaufen und wo 

361
00:19:50,240 --> 00:19:54,480
einfach nichts passiert. 
Das zeigt sich natürlich dann 

362
00:19:54,480 --> 00:19:58,320
mit der Erfahrung bei solchen 
Tests testen wir die einzelnen 

363
00:19:58,320 --> 00:20:03,480
Komponenten zwar auch relativ 
genau, aber es ist schon ein 

364
00:20:03,480 --> 00:20:08,120
noch mal ein komplett großer 
Schritt zu testen von wirklich 

365
00:20:08,120 --> 00:20:12,160
einer einzelnen Komponente, die 
wir dann auch zerlegen und im 

366
00:20:12,160 --> 00:20:14,080
Detail analysieren. 
Das können wir natürlich nicht 

367
00:20:14,080 --> 00:20:16,160
machen bei einem 
Infrastrukturtest. 

368
00:20:16,720 --> 00:20:19,120
Weil dann müssten wir natürlich 
eine Komponente hier rausnehmen 

369
00:20:19,120 --> 00:20:22,000
und zerstören. 
Wäre natürlich nicht Sinn der 

370
00:20:22,000 --> 00:20:26,000
Übung, aber bei einem Test von 
einer kompletten Infostruktur 

371
00:20:26,480 --> 00:20:28,720
bekommen unsere Kunden dann 
immer einen ziemlich guten 

372
00:20:28,720 --> 00:20:33,480
Überblick, wo sie wo sie noch 
viel zu tun haben, also in der 

373
00:20:33,480 --> 00:20:37,760
Security, in der OT Security und
natürlich auch was sie tun 

374
00:20:37,760 --> 00:20:39,240
können. 
Also wir geben hier natürlich 

375
00:20:39,240 --> 00:20:44,720
auch Handlungsempfehlungen ab, 
die die im Prinzip entweder zur 

376
00:20:45,040 --> 00:20:49,920
Abschwächung der. 
Der Schwachstelle führen oder im

377
00:20:49,920 --> 00:20:52,480
Idealfall also normalerweise 
schreiben wir immer die 

378
00:20:52,480 --> 00:20:55,840
Komplettlösung auch dazu, wie es
gemacht werden sollte, was aber 

379
00:20:55,840 --> 00:20:58,080
nicht immer möglich ist. 
Leider, das ist eben der Punkt, 

380
00:20:58,560 --> 00:21:01,360
oder wie sie halt wirklich die 
Sicherheit halt komplett 

381
00:21:01,360 --> 00:21:05,200
herstellen können, ist aber eben
ein komplett großer Schritt und 

382
00:21:05,200 --> 00:21:08,320
in den meisten 
Proteinfrastrukturen nicht nicht

383
00:21:08,320 --> 00:21:10,240
sofort umsetzbar und halt nicht 
sofort möglich. 

384
00:21:11,280 --> 00:21:14,400
Genau uns Komponenten, also wenn
wir wirklich einzelne 

385
00:21:14,400 --> 00:21:16,160
Komponenten uns von Herstellern 
anschauen, dann. 

386
00:21:17,040 --> 00:21:19,200
Ist es meistens so, dass wir 
eine Entwicklungsversion 

387
00:21:19,200 --> 00:21:21,120
bekommen? 
Das ist ja auch noch mal die 

388
00:21:21,120 --> 00:21:23,440
Unterscheidung zwischen, wir 
schreiben eine Advisory, wenn 

389
00:21:23,440 --> 00:21:26,880
wir in einer in einem OT 
Infrastrukturtest etwas gefunden

390
00:21:26,880 --> 00:21:29,440
hatten und uns der Hersteller 
halt nicht direkt beauftragt, 

391
00:21:29,680 --> 00:21:32,840
dann sind wir nicht vom 
Hersteller direkt beauftragt und

392
00:21:32,840 --> 00:21:36,760
können natürlich hier auch was 
oft was publizieren, das kommt 

393
00:21:36,760 --> 00:21:39,280
natürlich dann auch darauf an, 
wie es in Absprache mit dem 

394
00:21:39,280 --> 00:21:42,160
Kunden dann möglich ist, wenn 
wir uns ein Einzelgerät 

395
00:21:42,160 --> 00:21:44,720
anschauen, dann ist es sehr oft 
so, dass wir uns. 

396
00:21:45,280 --> 00:21:48,240
Eine Entwicklungsversion 
anschauen, von den Herstellern 

397
00:21:49,760 --> 00:21:53,680
öfters infrastrukturtests und 
nicht so oft einzelne Geräte. 

398
00:21:53,920 --> 00:21:56,560
Das ist so ein bisschen würde 
ich jetzt mal sagen, die 

399
00:21:56,560 --> 00:21:59,520
Aufteilung, die du vorhin 
angesprochen hattest. 

400
00:22:00,080 --> 00:22:04,160
Dann haben wir halt oft auch 
Zugriff, eben wenn es White Box 

401
00:22:04,160 --> 00:22:07,040
ist. 
Auf den Quellcode hier ist es 

402
00:22:07,040 --> 00:22:09,600
manchmal ein bisschen schwierig,
wir bekommen manchmal nur 

403
00:22:09,600 --> 00:22:12,880
Quellcode auf Anfrage. 
In dem Projekt bei dem 

404
00:22:12,880 --> 00:22:15,200
Hersteller, weil sie wollen halt
nicht alles aus der Hand geben, 

405
00:22:15,200 --> 00:22:18,640
weil es natürlich geistiges 
Eigentum des Herstellers ist und

406
00:22:18,800 --> 00:22:20,840
natürlich immer die Angst 
mitschwingt, dass wir hier 

407
00:22:20,840 --> 00:22:25,400
irgendwas auf irgendwelchen 
Kanälen liegen würden, was halt 

408
00:22:25,400 --> 00:22:26,800
natürlich nicht öffentlich sein 
soll. 

409
00:22:27,280 --> 00:22:30,920
Aber dann testen wir natürlich 
hier auch die Software und die 

410
00:22:30,920 --> 00:22:33,360
Hardware von dem Gerät, also wir
zerlegen manchmal das komplette 

411
00:22:33,360 --> 00:22:37,920
Gerät auch und schauen uns an, 
sind Speicherverschlüsselt, sind

412
00:22:37,920 --> 00:22:40,560
Debugports von den von den 
einzelnen Systemen am Chip. 

413
00:22:41,520 --> 00:22:43,200
Also von der CPUS im Prinzip 
deaktiviert. 

414
00:22:43,200 --> 00:22:47,840
Deaktiviert ist alles richtig 
gemacht ist, ist Secure Boot 

415
00:22:47,840 --> 00:22:51,000
richtig implementiert und so 
weiter also hier geht's dann 

416
00:22:51,000 --> 00:22:53,200
nicht nur um die Software, hier 
geht's dann auch um den 

417
00:22:53,200 --> 00:22:55,840
kompletten Prozess, der Halt mit
der Hardware zusammenspielen 

418
00:22:55,840 --> 00:22:57,360
muss. 
Unterm Strich ist das alles 

419
00:22:57,360 --> 00:23:00,320
irgendwie Software, Firmware 
oder was auch immer, aber. 

420
00:23:00,800 --> 00:23:03,160
Natürlich gibt es ja auch 
Komponenten, die hier die hier 

421
00:23:03,160 --> 00:23:06,960
reinspielen und da schauen wir 
uns natürlich alle Interfaces 

422
00:23:06,960 --> 00:23:08,080
an. 
Also oft gibt es hier 

423
00:23:08,080 --> 00:23:10,240
Webinterfaces für die 
Konfiguration von den 

424
00:23:10,240 --> 00:23:12,680
Steuerungen, es gibt aber auch 
irgendwelche proprietären 

425
00:23:12,680 --> 00:23:18,080
Interfaces oft, die verwendet 
werden, um um halt andere 

426
00:23:18,240 --> 00:23:21,520
Steuerungen anzusprechen oder um
Sensoren und Aktuatoren 

427
00:23:21,520 --> 00:23:23,520
anzusprechen. 
Lass uns zurückkommen zur 

428
00:23:23,520 --> 00:23:25,360
Infrastruktur. 
Darüber sollst du heute primär 

429
00:23:25,360 --> 00:23:29,040
gehen, noch mal ganz konkret. 
Wer, wer macht das? 

430
00:23:29,040 --> 00:23:32,080
Welche Unternehmen beauftragen 
tatsächlich Pentask für Ihre, 

431
00:23:32,080 --> 00:23:34,800
für ihre Infrastruktur? 
In der OT ist es ist es sehr 

432
00:23:34,800 --> 00:23:39,040
verbreitet oder lohnt es sich ab
bestimmten Produktionsgrößen 

433
00:23:39,760 --> 00:23:42,000
gibt es gesetzliche Vorgaben, 
kannst du dazu noch was sagen? 

434
00:23:43,600 --> 00:23:47,040
Also genau es. 
Es gibt es nicht Gesetz, also 

435
00:23:47,520 --> 00:23:50,000
das ist im Prinzip die 
gesetzliche Vorgabe, die in der 

436
00:23:50,000 --> 00:23:54,080
Europäischen Union im Prinzip 
umgesetzt werden. 

437
00:23:54,320 --> 00:23:55,960
Soll. 
Manche Länder sind da ein 

438
00:23:55,960 --> 00:23:58,280
bisschen schneller, andere 
Länder brauchen da noch ein 

439
00:23:58,280 --> 00:24:01,080
bisschen, bis sie das Gesetz 
dann ja, weil sich selbst halt 

440
00:24:01,080 --> 00:24:03,880
dann auch tatsächlich 
verabschieden, eben die die neue

441
00:24:03,880 --> 00:24:09,120
Version natürlich auch. 
Und ja, es gibt die 

442
00:24:09,120 --> 00:24:11,040
betreiberkritische 
Infrastruktur, die es natürlich 

443
00:24:11,120 --> 00:24:14,040
als Erstes trifft unter 
Anführungsstrichen, dass sie das

444
00:24:14,040 --> 00:24:17,840
Gesetz einhalten müssen, 
einhalten sollen und die 

445
00:24:18,560 --> 00:24:22,800
beauftragen natürlich panelstar,
dass ihre Infrastrukturen 

446
00:24:22,800 --> 00:24:27,080
überprüft werden und. 
Das ist so mal sozusagen die 

447
00:24:27,080 --> 00:24:32,640
größte Gruppe an Betreibern, 
also an Betreibern von 

448
00:24:32,640 --> 00:24:36,560
Infrastruktur, die halt, die 
halt hier natürlich dann die 

449
00:24:36,560 --> 00:24:40,400
Tests vergeben beziehungsweise 
halt Tests anfordern an 

450
00:24:40,560 --> 00:24:43,600
Betreiber von von 
Infrastrukturen für einfach nur 

451
00:24:43,600 --> 00:24:46,800
produzierende Betriebe also die 
Halt irgendwas herstellen, die 

452
00:24:46,800 --> 00:24:51,080
sind da noch nicht ganz so weit,
aber die größeren, also die halt

453
00:24:51,080 --> 00:24:53,920
so. 
Global verschiedene Werke haben,

454
00:24:54,560 --> 00:24:57,200
die sind da schon, ich würde 
sagen, schon schon sehr, sehr 

455
00:24:57,200 --> 00:25:03,280
weit, was eben die meisten 
zumindest, was eben die Security

456
00:25:03,280 --> 00:25:06,960
in der OT Infrastruktur angeht. 
Also dort gibt es auch einen 

457
00:25:07,120 --> 00:25:12,160
Security Officer der nur für OT 
zum Beispiel zuständig ist und 

458
00:25:12,160 --> 00:25:15,320
dort gibt es auch Leute in den 
in den lokalen Werken in den 

459
00:25:15,320 --> 00:25:18,160
lokalen Niederlassungen, die 
sich auch nur um die Security 

460
00:25:18,160 --> 00:25:20,720
kümmern, also die sind 
normalerweise ganz gut 

461
00:25:20,720 --> 00:25:24,320
aufgestellt. 
Das hätte ich selten gesehen, 

462
00:25:24,320 --> 00:25:31,360
dass das eine größere Firma, 
also in der OT, die halt global 

463
00:25:31,360 --> 00:25:34,160
auch agiert, dass die, dass die 
hier schlecht aufgestellt 

464
00:25:34,160 --> 00:25:37,040
werden, die können sich das auch
gar nicht leisten, weil es ist, 

465
00:25:37,040 --> 00:25:39,480
es ist halt so. 
Es gibt natürlich auch diese 

466
00:25:39,480 --> 00:25:44,240
ganzen Ransomware Angriffe, die 
natürlich die ganze it 

467
00:25:44,240 --> 00:25:46,200
lahmlegen, was man halt so kennt
und. 

468
00:25:46,720 --> 00:25:50,240
Trifft aber natürlich auch die 
OT Infrastruktur, weil bei OT 

469
00:25:50,240 --> 00:25:52,960
Infrastruktur natürlich auch 
Windows verwendet wird. 

470
00:25:53,320 --> 00:25:56,200
Es ist dasselbe Windows im 
Prinzip was verwendet wird für 

471
00:25:56,280 --> 00:25:57,840
IT. 
Es wird aber in der OT 

472
00:25:57,840 --> 00:26:02,480
eingesetzt und das das ist eben 
die Definition von von 

473
00:26:02,480 --> 00:26:05,040
Komponenten. 
Manche Komponenten sind OT, 

474
00:26:05,040 --> 00:26:07,680
Manche Komponenten sind IT, also
es werden viele Daten 

475
00:26:07,680 --> 00:26:10,120
übertragen, es werden weniger 
Daten übertragen, aber manchmal 

476
00:26:10,120 --> 00:26:12,320
ist die Technologie trotzdem 
dieselbe und. 

477
00:26:12,880 --> 00:26:15,600
Natürlich können jetzt 
Ransomware Angriffe dann auch 

478
00:26:15,600 --> 00:26:19,520
eben produzierende Betriebe 
betreffen und die, die würden 

479
00:26:19,520 --> 00:26:24,240
natürlich dann auch stehen und 
eben größere, größere Firmen 

480
00:26:24,320 --> 00:26:27,680
können sich das einfach nicht 
leisten, dass sie, dass sie im 

481
00:26:27,680 --> 00:26:31,840
Prinzip hier, dass sie im 
Prinzip hier verwundbar sind und

482
00:26:31,840 --> 00:26:34,800
eben Angriffen ausgesetzt 
werden, sodass eben die 

483
00:26:34,800 --> 00:26:38,040
komplette Produktion steht, das 
geht, geht einfach nicht und. 

484
00:26:38,400 --> 00:26:41,840
Und wir haben jetzt auch schon 
mehr Aufträge bekommen, auch 

485
00:26:41,840 --> 00:26:43,600
schon von produzierenden 
Betrieben. 

486
00:26:44,160 --> 00:26:47,280
Dort geht's aber oft auch so ein
bisschen um die um die 

487
00:26:47,280 --> 00:26:51,160
Konzeption, wie baue ich die 
Netzwerke schon sicher auf, wenn

488
00:26:51,160 --> 00:26:55,120
ich einen eine neue 
Niederlassung einfach einfach, 

489
00:26:55,440 --> 00:26:59,360
ja, also wenn ich so was, wenn 
ich so was eröffne bei der 

490
00:26:59,360 --> 00:27:00,960
kritischen Infrastruktur, ist ja
oft so. 

491
00:27:01,600 --> 00:27:04,520
Wasserkraftwerke, 
Kohlekraftwerke oder 

492
00:27:04,520 --> 00:27:07,600
Gaskraftwerke, die existieren ja
schon seit seit Jahrzehnten, 

493
00:27:07,600 --> 00:27:10,080
oder? 
Ja, also schon schon längere 

494
00:27:10,080 --> 00:27:13,200
Zeit, die werden halt 
umgerüstet, dort wird halt dort 

495
00:27:13,200 --> 00:27:17,920
wird das Netzwerk meistens, es 
wächst, historisch wird es immer

496
00:27:17,920 --> 00:27:23,360
wieder überprüft und dort ist 
halt ja die Konzeption dort ist 

497
00:27:23,360 --> 00:27:26,840
meistens ist meistens dann eher 
schon zu spät, dort wird dann 

498
00:27:26,840 --> 00:27:30,320
eher dort angesetzt, dass man 
halt Dinge umbaut und. 

499
00:27:31,680 --> 00:27:35,120
Ja, und Dinge überprüft und 
jetzt von Anfang an zu 

500
00:27:35,120 --> 00:27:37,600
konzeptionieren, das geht halt 
wirklich nur, wenn ein neues 

501
00:27:37,600 --> 00:27:39,600
Kraftwerk gebaut wird. 
Und ja. 

502
00:27:40,720 --> 00:27:44,280
Ja, OK, wir wollen ja heute auch
über Pentests sprechen, von der 

503
00:27:44,280 --> 00:27:46,120
passt. 
Was sind denn typische 

504
00:27:46,120 --> 00:27:49,200
Schwachstellen, die ihr aufdeckt
oder die man grundsätzlich 

505
00:27:49,200 --> 00:27:51,200
aufdecken kann in so einem 
Pentest? 

506
00:27:51,200 --> 00:27:54,360
Was kommt immer wieder vor, was 
sind so die Evergreens in 

507
00:27:54,360 --> 00:27:56,720
Anführungsstrichen und was lässt
sich daraus dann logischerweise 

508
00:27:56,720 --> 00:27:58,160
auch ableiten, also was sind 
eigentlich die? 

509
00:27:58,640 --> 00:28:01,040
Ja, wie man so schön sagt, Low 
Hanging Shoots, wo denn jeder 

510
00:28:01,040 --> 00:28:03,920
was direkt tun kann mit wenig 
Aufwand. 

511
00:28:04,160 --> 00:28:06,720
Was findet ihr erstens wieder 
und wie kann man das natürlich 

512
00:28:06,720 --> 00:28:08,640
beheben? 
Dadurch, dass dass eben 

513
00:28:09,120 --> 00:28:13,520
Netzwerke historisch wachsen und
dadurch, dass eben diese im 

514
00:28:13,520 --> 00:28:16,640
Prinzip dieses dieses purgeo 
Model auch als Empfehlung gibt, 

515
00:28:16,800 --> 00:28:20,440
schon schon recht lange. 
Eigentlich sind. 

516
00:28:20,440 --> 00:28:22,880
Halt so, sind halt so die 
Probleme, dass einfach die 

517
00:28:22,880 --> 00:28:26,880
Netzwerksegmentierung oft nicht 
vorhanden ist oder oder fast 

518
00:28:26,880 --> 00:28:31,600
nicht existiert. 
Und wir schauen uns halt immer 

519
00:28:31,680 --> 00:28:35,720
immer an, in welchem, in welchem
Segment, in welchem Level 

520
00:28:35,720 --> 00:28:39,680
befinden befinden wir uns eben 
bei dem bei dem Purchae Model, 

521
00:28:40,080 --> 00:28:42,720
wo sollten die Komponenten 
eigentlich angesiedelt sein? 

522
00:28:43,280 --> 00:28:46,400
Und oft fällt uns dann auf, dass
das Halt einfach gar nicht 

523
00:28:46,400 --> 00:28:49,280
zutrifft, weil es einfach aus 
jedem Netzwerk erreichbar ist. 

524
00:28:49,680 --> 00:28:54,560
Und es hat schon seinen Sinn, 
dass man, dass man diese, diese 

525
00:28:54,960 --> 00:28:58,080
diese Grenzen zieht, eben bei 
dem bei dem Purchae Model und. 

526
00:28:58,720 --> 00:29:02,000
Dass man hier nicht direkt aus 
der DMZ beziehungsweise eben von

527
00:29:02,000 --> 00:29:05,520
den Clients, mit denen man zum 
Beispiel einfach nur den den 

528
00:29:05,520 --> 00:29:08,160
Prozess überwacht, direkt auf 
die Steuerung auch zugreifen 

529
00:29:08,160 --> 00:29:11,800
kann, das ist eben sowas, was 
wir, was wir oft sehen, was 

530
00:29:11,800 --> 00:29:13,360
geht, was aber nicht gehen 
sollte. 

531
00:29:13,360 --> 00:29:16,240
Und es hat auch schon seinen 
Sinn, wenn ich mir hier 

532
00:29:16,240 --> 00:29:19,600
irgendeine eine Schadsoftware 
einfange und an dem Punkt, also 

533
00:29:19,600 --> 00:29:23,080
ganz ganz oben in der 
Architektur angesiedelt, dann 

534
00:29:23,080 --> 00:29:26,000
könnte das direkt durchschlagen 
auf meinen Prozess und könnt mir

535
00:29:27,600 --> 00:29:29,800
ja. 
Unter Umständen die, die die 

536
00:29:29,800 --> 00:29:32,640
komplette Produktion oder die 
komplette Produktion von 

537
00:29:32,640 --> 00:29:35,600
irgendwelchen Komponenten oder 
natürlich eben auch von Strom 

538
00:29:35,600 --> 00:29:38,880
lahmlegen. 
Also den Punkt ganz kurz, es 

539
00:29:38,880 --> 00:29:41,720
geht drum, die Netzwerke sind 
nicht segmentiert und 

540
00:29:41,720 --> 00:29:45,040
voneinander getrennt und 
deswegen kann von einem Punkt 

541
00:29:45,040 --> 00:29:47,440
ganz oben vielleicht ganz tief 
auf ne Steuerung zugegriffen 

542
00:29:47,440 --> 00:29:49,680
werden mit irgendwelchen 
Befehlen oder wie auch immer 

543
00:29:49,680 --> 00:29:53,080
oder von Schadsoftware und durch
ne Netzwerk Segmentierung an der

544
00:29:53,080 --> 00:29:57,040
Stelle wäre es. 
Ja genau, also wären wären. 

545
00:29:57,200 --> 00:30:00,120
Das ist halt. 
Oft bei also wie gesagt bei 

546
00:30:00,120 --> 00:30:02,680
kritisch Infrastruktur sind die 
sind die Betreiber schon ein 

547
00:30:02,680 --> 00:30:07,120
bisschen weiter vorne. 
Das passiert eher selten, dass 

548
00:30:07,120 --> 00:30:10,920
dass dort wirklich irgendwelche 
groben Schnitzer in Richtung 

549
00:30:10,920 --> 00:30:14,440
Netzwerksegmentierung drin sind,
aber nebenbei produzieren 

550
00:30:14,440 --> 00:30:18,000
betrieben ist sowas halt schon, 
fällt sowas halt schon öfters 

551
00:30:18,000 --> 00:30:21,320
auf und da sieht man halt schon 
oft, dass dass das einfach nur 

552
00:30:21,320 --> 00:30:23,360
ein großes Netzwerk ist und. 
Sonst nichts. 

553
00:30:23,360 --> 00:30:26,800
Also da gibt es einfach keine 
Segmentierung, was noch, was 

554
00:30:26,800 --> 00:30:31,200
noch so ein, was noch so ein 
Punkt ist, beispielsweise 

555
00:30:31,840 --> 00:30:37,040
veraltete Betriebssysteme oder 
veraltete Software, das finden 

556
00:30:37,040 --> 00:30:40,080
wir auch immer wieder, wo man 
sich denken sollte, das sollte 

557
00:30:40,080 --> 00:30:43,000
eigentlich nicht geben, weil 
gibt es ja Patches, gibt es ja 

558
00:30:43,000 --> 00:30:46,000
Updates, ist ja alles kein 
Problem heutzutage, ist halt 

559
00:30:46,000 --> 00:30:49,200
leider nicht so. 
Weil bei bei Operational 

560
00:30:49,200 --> 00:30:52,040
Technology oft irgendwelche 
Systeme verkauft werden. 

561
00:30:52,040 --> 00:30:54,080
Es werden nicht Komponenten 
verkauft, es werden Systeme 

562
00:30:54,080 --> 00:30:58,320
verkauft, es wird beispielsweise
eine ein ein Prozessleitsystem 

563
00:30:58,320 --> 00:31:01,160
verkauft, das hat einem einfach 
einen gewissen Softwarestand, 

564
00:31:01,160 --> 00:31:08,720
dort gibt's 2030 Server drin 300
Clients. 200 Steuerungen und 

565
00:31:08,720 --> 00:31:11,520
dann noch 1000, Sensoren, 
Sensoren und Aktuatoren. 

566
00:31:11,680 --> 00:31:14,400
Und die müssen alle miteinander 
kompatibel sein und die brauchen

567
00:31:14,400 --> 00:31:18,000
natürlich einen gewissen 
Softwarestand im Sinne von der 

568
00:31:18,000 --> 00:31:19,920
Software, die auf den 
Betriebssystemen auf den 

569
00:31:19,920 --> 00:31:23,280
Betriebssystemen läuft 
eigentlich, und das heißt, ich 

570
00:31:23,280 --> 00:31:27,880
kann nicht eine Komponente hier 
einfach updaten, einfach einfach

571
00:31:27,880 --> 00:31:31,520
so geht nicht, würde ich das 
tun, wird der ganze Prozess 

572
00:31:31,520 --> 00:31:34,480
nicht mehr funktionieren, unter 
Umständen muss nicht sein, kann 

573
00:31:34,480 --> 00:31:37,680
sein. 
Allerdings dadurch, dass eben 

574
00:31:37,680 --> 00:31:41,520
die die kompletten Prozesse, 
also die die kompletten Systeme 

575
00:31:41,520 --> 00:31:44,400
hier verkauft werden kann hier 
der Betreiber nicht einfach 

576
00:31:44,400 --> 00:31:47,760
sagen, ich greife jetzt ein, 
aktualisiere das Ding, weil dann

577
00:31:47,760 --> 00:31:50,240
verliert er vielleicht einfach 
seinen Support oder seine 

578
00:31:50,240 --> 00:31:53,360
Garantie vom Hersteller und 
somit ist er eigentlich 

579
00:31:53,600 --> 00:31:55,680
gefangen. 
Er hat ein Vendor Login, wenn 

580
00:31:55,680 --> 00:31:58,600
man es, wenn man es so 
ausdrücken möchte, allerdings 

581
00:31:58,600 --> 00:32:01,520
geht es gar nicht anders, weil 
ganze Prozesse als Systeme 

582
00:32:01,920 --> 00:32:04,400
selbst zusammen zusammenbauen, 
das wäre halt. 

583
00:32:05,120 --> 00:32:06,200
Das würde halt einfach nicht 
gehen. 

584
00:32:06,200 --> 00:32:08,760
Das könnte der Betreiber nicht 
nicht einfach machen, weil es 

585
00:32:08,760 --> 00:32:13,200
würde halt immens viel Kosten 
und wäre auch nicht rentabel und

586
00:32:13,200 --> 00:32:18,400
würde auch einfach keinen Sinn 
machen, weil die zum Beispiel ja

587
00:32:18,720 --> 00:32:21,760
eben Siemens wäre, zum Beispiel 
so ein Lieferant von 

588
00:32:21,760 --> 00:32:24,240
Prozessorsystemen, die kennen 
sich halt einfach viel besser 

589
00:32:24,240 --> 00:32:27,280
aus mit den ganzen Systemen und 
die sollten das natürlich auch 

590
00:32:27,560 --> 00:32:33,160
tun und warten und und und und 
und oft ist es so, dass wir zum 

591
00:32:33,160 --> 00:32:37,040
Beispiel. 
Bei einem OT Infrastrukturtest 

592
00:32:37,680 --> 00:32:40,720
hinkommen und dass einfach der 
Support ausgelaufen ist. 

593
00:32:40,880 --> 00:32:42,920
Das heißt das Prozessessystem, 
das wird halt nicht mehr 

594
00:32:42,920 --> 00:32:45,760
aktualisiert. 
Das wurde ohne Support 

595
00:32:46,080 --> 00:32:49,880
eingekauft, weil halt nicht 
daran gedacht wurde was passiert

596
00:32:49,880 --> 00:32:54,880
in der Zukunft und so ähnlich 
verhält sich das halt natürlich 

597
00:32:54,880 --> 00:32:58,160
ist es ist es oft so, dass dass 
es Verwartungsverträge gibt, 

598
00:32:58,560 --> 00:33:01,520
wenn wir kommen und. 
Und CNH Prozessor System hat 

599
00:33:01,520 --> 00:33:05,120
einen Wartungsvertrag und wird 
auch immer wieder aktualisiert. 

600
00:33:05,680 --> 00:33:08,960
Allerdings dauert das auch immer
recht lang, weil man muss sich 

601
00:33:08,960 --> 00:33:11,440
das so vorstellen. 
Man kann hier ein System, was 

602
00:33:11,440 --> 00:33:15,640
zum Beispiel für eine Kläranlage
zuständig ist, da kann man 

603
00:33:15,640 --> 00:33:18,800
nicht, da kann man nicht einfach
in betrieb Dinge testen, also 

604
00:33:18,800 --> 00:33:21,320
ich kann hier nicht einfach 
Dinge aktualisieren und dann 

605
00:33:21,320 --> 00:33:24,440
schauen, ja geht's oder geht's 
nicht, weil dann wird 

606
00:33:24,440 --> 00:33:26,800
vielleicht. 
Ja, die ganze Kläranlage nicht 

607
00:33:26,800 --> 00:33:28,680
mehr funktioniert für ein paar 
Tage wäre natürlich eine 

608
00:33:28,680 --> 00:33:31,640
Katastrophe, jetzt muss das 
alles irgendwo getestet werden, 

609
00:33:31,640 --> 00:33:34,320
der Hersteller, wie eben 
beispielsweise die Siemens, muss

610
00:33:34,320 --> 00:33:37,480
das Testen bei sich, ob dann die
ganzen Prozesse noch 

611
00:33:37,480 --> 00:33:39,760
funktionieren, ob dann die 
ganzen Steuerungen noch gehen, 

612
00:33:40,000 --> 00:33:42,720
ob die Ganzen, die ganzen 
Komponenten, die ganzen PC s 

613
00:33:42,720 --> 00:33:46,640
noch zugreifen können und die 
Server, ob hier ob hier keine 

614
00:33:46,640 --> 00:33:48,880
Abweichungen dann bestehen, das 
dauert natürlich auch seine 

615
00:33:48,880 --> 00:33:52,320
Zeit, also alles was bei der OT 
dann ankommt an Patches, das 

616
00:33:52,320 --> 00:33:54,480
kommt halt einfach später dann 
das ist halt einfach. 

617
00:33:55,200 --> 00:33:57,840
Ja, das liegt halt einfach 
daran, dass viel getestet werden

618
00:33:57,840 --> 00:34:03,280
muss, bevor es ausgerollt wird. 
Und ja, natürlich, wenn man von 

619
00:34:03,280 --> 00:34:07,120
dem von dem Zeitpunkt, wo eine 
Schwachstelle bekannt wird, in 

620
00:34:07,120 --> 00:34:10,639
einem eben beispielsweise 
Windows System dauert es 

621
00:34:10,639 --> 00:34:13,920
natürlich dann viel viel länger 
bis das hier ankommt bei der OT,

622
00:34:14,239 --> 00:34:19,679
das kann das kann Tage also im 
besten Fall Tage bis Monate 

623
00:34:19,679 --> 00:34:22,320
dauern, bis das dann wirklich 
ankommt und bis es dann beim 

624
00:34:22,320 --> 00:34:24,800
Kunden ist, kann es dann 
natürlich noch länger dauern 

625
00:34:24,880 --> 00:34:26,639
bis. 
Weil die beispielsweise sagen, 

626
00:34:26,639 --> 00:34:30,480
Wartungsvertrag gut und schön, 
aber nur im Wartungsfenster, 

627
00:34:30,560 --> 00:34:34,400
soll also aktualisiert werden, 
das heißt einmal im Jahr, also 

628
00:34:34,960 --> 00:34:37,360
man muss sich halt vorstellen, 
dort gibt es halt dann 

629
00:34:37,600 --> 00:34:39,719
Schwachstellen, die Halt 
vielleicht schon seit Monaten 

630
00:34:39,719 --> 00:34:44,080
kursieren, die dann dort 
aufpoppen und man denkt sich 

631
00:34:44,080 --> 00:34:46,440
dann okay ja eigentlich schon 
längst bekannt, gibt es schon 

632
00:34:46,440 --> 00:34:49,000
einen Patch. 
Aber man muss sich halt, man 

633
00:34:49,000 --> 00:34:51,360
muss sich halt immer überlegen, 
was läuft da im Hintergrund 

634
00:34:51,360 --> 00:34:53,880
alles ab und warum dauert das 
eigentlich so lange, bis das bis

635
00:34:53,880 --> 00:34:57,000
das dann tatsächlich dort 
ankommt und für die Zwischenzeit

636
00:34:57,000 --> 00:34:59,680
gibt es natürlich dann immer 
Maßnahmen, die man setzen kann, 

637
00:34:59,680 --> 00:35:03,200
wie beispielsweise, dass man 
gewisse Ports Halt blockiert auf

638
00:35:03,200 --> 00:35:08,080
eine längere Zeit im Netzwerk 
oder Überwachungen besser 

639
00:35:08,080 --> 00:35:11,000
konfiguriert und so weiter dass 
man hier natürlich immer die 

640
00:35:11,000 --> 00:35:13,600
Augen offen hält, ob hier 
irgendwas passieren könnte oder 

641
00:35:13,600 --> 00:35:18,240
ob hier irgendwer versucht. 
Eine Komponente, ein ein System,

642
00:35:18,240 --> 00:35:20,440
was auch immer anzugreifen. 
Also das ist halt immer so ein 

643
00:35:20,440 --> 00:35:24,720
bisschen, ja, ist nicht so 
einfach, muss man halt einfach 

644
00:35:24,720 --> 00:35:26,880
sagen. 
Das war der zweite Punkt, also 

645
00:35:26,880 --> 00:35:31,040
erster Punkt waren quasi die 
nicht segmentierten Netzwerke, 

646
00:35:31,280 --> 00:35:36,160
der zweite war veraltete, 
Ungepatchte Software stände und 

647
00:35:36,320 --> 00:35:38,520
ich hab mich gerade noch 
gefragt, was ist denn mit dem 

648
00:35:38,520 --> 00:35:40,960
Faktor Mensch, der spielt ja 
gerade in der IT häufig ne 

649
00:35:40,960 --> 00:35:43,200
Rolle. 
Ja diese schlechten Passwörter 

650
00:35:44,240 --> 00:35:47,040
ich klicke auf ne Mail. 
Wo mein Passwort? 

651
00:35:47,280 --> 00:35:49,520
Wie heißt das Gepisht oder 
Gepisht wird oder sowas. 

652
00:35:49,960 --> 00:35:52,840
So eine pishing Mail und solche 
Sachen also spielt ja Faktor 

653
00:35:52,840 --> 00:35:56,800
Mensch auch eine Rolle in der in
der OT Security und beim 

654
00:35:56,800 --> 00:36:02,560
Pantasting. 
Ja, also das mit den Passwörtern

655
00:36:02,560 --> 00:36:06,880
ist halt leider so ein ja, das 
ist halt einfach überall ein 

656
00:36:06,880 --> 00:36:09,760
Problem. 
Also wir wir, wir hatten schon 

657
00:36:09,920 --> 00:36:14,800
Tests in Gaskraftwerken relativ 
großen. 

658
00:36:15,280 --> 00:36:18,320
Wo halt wirklich die banalsten 
Passwörter eingesetzt wurden. 

659
00:36:18,800 --> 00:36:21,720
Ich kann halt nicht viel dazu 
sagen, außer man sollte halt 

660
00:36:21,720 --> 00:36:23,680
eine Passwort police 
implementieren und das ist halt 

661
00:36:23,680 --> 00:36:26,480
einfach ein, das ist halt 
einfach ein organisatorisches 

662
00:36:26,480 --> 00:36:28,200
Thema. 
Also natürlich kann man es nicht

663
00:36:28,200 --> 00:36:30,880
forcen, also man kann es 
natürlich erzwingen, indem man 

664
00:36:31,520 --> 00:36:34,360
Passwörter halt nur zulässt, 
wenn sie eine gewisse Länge und 

665
00:36:34,360 --> 00:36:38,960
eine gewisse Komplexität 
besitzen, aber es ist halt ja 

666
00:36:38,960 --> 00:36:42,080
das mit den mit den zyklischen 
Änderungen, die dann jedes Jahr 

667
00:36:42,160 --> 00:36:44,960
eingefordert werden. 
Das ist halt dann auch nicht 

668
00:36:44,960 --> 00:36:47,040
optimal. 
Ich glaube, das ist eh schon 

669
00:36:47,840 --> 00:36:50,280
länger und breiter diskutiert 
worden in der Security 

670
00:36:50,280 --> 00:36:53,600
Industrie. 
Dadurch zählen die Leute dann 

671
00:36:53,600 --> 00:36:56,320
einfach ihre Passwörter hoch, 
wenn sie halt dann mit einer 

672
00:36:56,320 --> 00:37:02,080
Zahl am Schluss beginnen 0 und 
zählen halt hoch bis 9 und jedes

673
00:37:02,080 --> 00:37:05,120
Jahr wird die wird die Zahl dann
um 1 höher. 

674
00:37:05,280 --> 00:37:09,760
Also ich ich habe schon einen. 
It Dienstleister also, der mit 

675
00:37:09,760 --> 00:37:13,680
uns schon viele Pentasts auch 
begleitet hat in verschiedenen 

676
00:37:13,680 --> 00:37:16,640
Werken. 
Ich habe mit dem geredet und er 

677
00:37:16,640 --> 00:37:19,000
hat gesagt, er konnte die 
Passwörter dann schon erraten, 

678
00:37:19,000 --> 00:37:23,640
jedes Jahr von den Leuten, wenn 
er bei Ihren PC s eingestiegen 

679
00:37:23,640 --> 00:37:26,960
ist und halt irgendwelche 
Aktualisierungen vorgenommen 

680
00:37:26,960 --> 00:37:29,920
hat, weil normalerweise haben 
die haben die dem einfach die 

681
00:37:30,240 --> 00:37:33,040
Passwörter kurz durchgesagt am 
Telefon. 

682
00:37:33,280 --> 00:37:36,040
Weil der halt keinen direkten 
Zugriff hatte auf die auf die 

683
00:37:36,640 --> 00:37:40,720
auf die ganzen Systeminternos 
beziehungsweise auf die auf die 

684
00:37:40,720 --> 00:37:43,480
Domäne selbst. 
Aber er musste halt die Wartung 

685
00:37:43,480 --> 00:37:47,160
vornehmen und er hat sie dann 
irgendwann nicht mehr anrufen 

686
00:37:47,160 --> 00:37:50,200
müssen, weil er hat gewusst okay
diese Zahl wird einfach nur 1 

687
00:37:50,200 --> 00:37:52,560
höher. 
Also man kann sagen Passwörter 

688
00:37:52,560 --> 00:37:55,760
Faktor Mensch Organisation 
vielleicht als Oberbegriff ist 

689
00:37:55,760 --> 00:37:58,960
auch in der OT. 
Ja, Thema genau das gleiche 

690
00:37:58,960 --> 00:38:02,400
Problem wie in der IT. 
Manchmal vielleicht sogar noch 

691
00:38:02,400 --> 00:38:05,720
ein größeres, weil die Systeme 
nicht ganz so wie schon gesagt, 

692
00:38:05,720 --> 00:38:07,720
nicht ganz so aktuell 
beziehungsweise nicht ganz so 

693
00:38:07,720 --> 00:38:10,720
auf dem Stand der Technik sind, 
dass sie vielleicht auch eben 

694
00:38:10,720 --> 00:38:12,800
Policies nicht erzwingen oder 
noch nicht erzwingen. 

695
00:38:12,800 --> 00:38:15,920
Oder dass es vielleicht auch 
nicht so so restriktiv 

696
00:38:15,920 --> 00:38:20,440
konfiguriert wird, weil man mehr
Angst hat, Funktionalitäten, die

697
00:38:20,440 --> 00:38:23,600
man braucht, um um den Prozess 
oder um die Prozesse 

698
00:38:23,600 --> 00:38:25,560
aufrechtzuerhalten, zu 
blockieren. 

699
00:38:25,560 --> 00:38:28,400
Und deswegen werden Dinge 
vielleicht nicht ganz so. 

700
00:38:28,880 --> 00:38:32,320
Unter Anführungsstrichen 
Security Affin eingestellt, das 

701
00:38:32,400 --> 00:38:34,640
gibt's auch. 
Wir haben beispielsweise in der 

702
00:38:34,640 --> 00:38:39,200
Vergangenheit auch viele 
Managementprotokolle gesehen, 

703
00:38:39,200 --> 00:38:43,120
also Managementprotokoll im 
Prinzip SNP, also das simple 

704
00:38:43,120 --> 00:38:47,920
Network Management Protokoll, 
was aktiviert war auf den ganzen

705
00:38:47,920 --> 00:38:52,000
Steuerungen auf den ganzen 
Industrie PCS, wo man im Prinzip

706
00:38:52,000 --> 00:38:56,400
mit mit einem kleinen Scan der. 
Recht minimal. 

707
00:38:56,400 --> 00:38:59,920
Invasiver sehr sehr sehr viel 
Information aus dem Netzwerk 

708
00:38:59,920 --> 00:39:03,280
schon beziehen hat können und 
das war nicht nur lesend, 

709
00:39:03,280 --> 00:39:07,000
sondern zum Teil auch schreibend
möglich und man hat natürlich 

710
00:39:07,000 --> 00:39:09,600
hier dann auch Host names und 
irgendwelche IP Adressen 

711
00:39:09,600 --> 00:39:12,880
verstellen können und konnte 
natürlich auch das komplette 

712
00:39:13,040 --> 00:39:15,440
System dann einfach mal 
ausnocken. 

713
00:39:15,440 --> 00:39:19,320
Also das war halt war halt nicht
schön, aber so Dinge wären auch 

714
00:39:19,320 --> 00:39:21,360
oft von den von den 
Anlagenbauern zum Beispiel. 

715
00:39:21,600 --> 00:39:24,640
Die auch Teile vom System 
liefern, nicht unbedingt das 

716
00:39:24,640 --> 00:39:26,720
prozessel System, auch 
vielleicht einzeln erschienen 

717
00:39:27,520 --> 00:39:33,000
wie Turbinen oder so, die Denken
auch das nicht, also für die ist

718
00:39:33,000 --> 00:39:37,600
das Halt kein, die denken nur 
daran, dass das System hoch 

719
00:39:37,600 --> 00:39:40,760
verfügbar ist. 
Das ist wichtig, aber Security 

720
00:39:40,760 --> 00:39:44,640
spielt für die je eine 
untergeordnete Rolle, weil um 

721
00:39:44,640 --> 00:39:47,600
Security kümmern sich eh die 
Leute im Netzwerk und was auch 

722
00:39:47,600 --> 00:39:49,920
immer. 
Die verkaufen dann oft schon 

723
00:39:49,920 --> 00:39:52,640
Maschinen mit einem gewissen 
Betriebssystem. 

724
00:39:52,800 --> 00:39:55,800
Windows 7 zum Beispiel. 
Oder gibt es irgendwelche 

725
00:39:55,800 --> 00:39:58,080
Maschinen, die werden so 
verkauft und die Kosten dann 

726
00:39:58,080 --> 00:40:03,920
irgendwie 10000000€ und ja, das 
bleibt dann stehen, sehr lange 

727
00:40:04,560 --> 00:40:07,280
kann nicht aktualisiert werden, 
weil die Software nicht für für 

728
00:40:07,280 --> 00:40:09,960
die nächste Windows Version 
geschrieben ist beziehungsweise 

729
00:40:09,960 --> 00:40:12,640
nicht kompatibel ist. 
Zumindest nicht offiziell, 

730
00:40:12,640 --> 00:40:14,560
zumindest nicht vom Support her 
und so weiter. 

731
00:40:15,120 --> 00:40:17,120
Und man kann nicht 
aktualisieren, man hat 

732
00:40:17,120 --> 00:40:21,080
Schwachstellen drin, die sind 
sehr viele Jahre alt, man kann 

733
00:40:21,080 --> 00:40:24,160
nicht aktualisieren, das ist 
halt auch oft oft sein Problem, 

734
00:40:24,160 --> 00:40:27,280
das ist dann nicht nur nicht nur
wie bei den Prozesselsystemen 

735
00:40:27,280 --> 00:40:29,680
auf ein paar Monate oder 
vielleicht auf ein Jahr, sondern

736
00:40:29,680 --> 00:40:32,960
das kann halt dann einfach Jahre
zurückliegen, dass hier, dass 

737
00:40:32,960 --> 00:40:35,520
hier wirklich sehr, sehr viele 
kritische Schwachstellen drin 

738
00:40:35,520 --> 00:40:39,440
sind, die gar nicht gepatcht 
werden können, und bei sowas 

739
00:40:39,440 --> 00:40:43,560
empfiehlt sich dann oft, dass 
man entweder das ganze System 

740
00:40:43,560 --> 00:40:46,640
direkt an eine Firewall anbindet
und dort halt alles blockiert, 

741
00:40:46,640 --> 00:40:50,520
was nicht gebraucht wird, oder 
und das ist auch in größeren 

742
00:40:50,520 --> 00:40:53,440
Netzwerken wird es wird es hin 
und wieder oft eingesetzt. 

743
00:40:53,920 --> 00:40:56,880
Es gibt sowas wie datendioden 
ich mein es sind keine 

744
00:40:56,880 --> 00:41:02,400
Datendioden, aber es heißt so im
Prinzip eine ja eine kleine 

745
00:41:02,400 --> 00:41:06,480
kleine Appliance, also von der 
Größe eines, eines, eines Tisch,

746
00:41:06,480 --> 00:41:10,000
eines Switches. 
Die man halt verwenden kann, um 

747
00:41:10,000 --> 00:41:13,920
wirklich Daten zu filtern, aktiv
zu filtern und um zu schauen, 

748
00:41:13,920 --> 00:41:20,280
dass wirklich nur ein 23 Ports 
hier ja in eine Richtung 

749
00:41:20,280 --> 00:41:23,640
zugreifen können. 
Also also Datenfluss in eine 

750
00:41:23,640 --> 00:41:26,960
Richtung möglich ist und in die 
andere Richtung nicht und dann 

751
00:41:27,280 --> 00:41:30,320
kann natürlich weniger 
passieren, wenn sowas gekapselt 

752
00:41:30,320 --> 00:41:32,640
wird und das ist halt, das wird 
auch oft verwendet. 

753
00:41:33,360 --> 00:41:36,880
Okay also. 
Bewusster Umgang mit den 

754
00:41:36,880 --> 00:41:39,600
Schwachstellen, die da sind, die
man nicht vermeiden kann, aber 

755
00:41:39,600 --> 00:41:43,200
dann eben ja, ich würde nicht 
sagen Workaround schaffen, aber 

756
00:41:44,000 --> 00:41:47,480
so eine Art sichere Umgebung, in
der die dann trotzdem betrieben 

757
00:41:47,480 --> 00:41:48,480
werden können. 
Genau. 

758
00:41:49,240 --> 00:41:53,120
Okay die Legacy Systeme, die man
fast in jedem Routine Netzwerk 

759
00:41:53,120 --> 00:41:55,040
hat, ja. 
Das kenne ich wohl auch ganz 

760
00:41:55,040 --> 00:42:01,280
gut, die wird man auch nicht so 
einfach los, so Thomas prima. 

761
00:42:01,280 --> 00:42:03,600
Ich habe gar nicht mehr so viel 
auf meiner Agenda, ich würde 

762
00:42:03,600 --> 00:42:06,360
sagen. 
Also tatsächlich habe ich gar 

763
00:42:06,360 --> 00:42:10,880
keine weiteren Fragen mehr und 
würde dir noch mal dir das Wort 

764
00:42:10,880 --> 00:42:12,240
übergeben. 
Haben wir noch irgendwas zum 

765
00:42:12,240 --> 00:42:15,760
Thema Pantasting von OT 
Infrastruktur was wir noch was 

766
00:42:15,760 --> 00:42:17,400
wir noch nennen sollten, was du 
noch loswerden? 

767
00:42:17,400 --> 00:42:22,800
Möchtest ja wie hier 
beziehungsweise das das war Teil

768
00:42:22,800 --> 00:42:25,800
meiner Masterarbeit. 
Wir entwickeln ein Firmware 

769
00:42:25,800 --> 00:42:30,800
Emulationssystem und Firmware 
ist hier etwas was auf den 

770
00:42:30,800 --> 00:42:34,800
Steuerungen was auf den. 
Den Embedded PC S auf den 

771
00:42:34,960 --> 00:42:38,240
Switches Routern, die eben für 
die Industrie eingesetzt werden 

772
00:42:39,120 --> 00:42:44,000
und auch in Access Points 
verwendet wird, und die Firmware

773
00:42:44,000 --> 00:42:47,920
ist, ist oft sehr komplex, also 
was was hier drin ist bei 

774
00:42:47,920 --> 00:42:51,880
Smartmietern oder 
Wechselrichtern oder was auch 

775
00:42:51,880 --> 00:42:54,480
immer für für Geräte eingesetzt 
werden, eben für die Industrie 

776
00:42:54,480 --> 00:42:56,720
und natürlich auch für die 
Consumer Elektronik. 

777
00:42:57,600 --> 00:43:00,000
Die kann wirklich sehr, sehr 
viel und hat oft auch ein 

778
00:43:00,000 --> 00:43:04,240
eigenes Betriebssystem drauf und
oft auch oft auch ein 

779
00:43:04,240 --> 00:43:08,880
Webinterface oder irgendwelche 
FTP oder was auch immer. 

780
00:43:08,880 --> 00:43:12,280
Andere Protokolle, die in der IT
und aber auch in der OT 

781
00:43:12,280 --> 00:43:16,720
eingesetzt werden. 
Und wir haben hier ein Firmware 

782
00:43:16,720 --> 00:43:20,160
emulationssystem in Entwicklung 
beziehungsweise. 

783
00:43:20,800 --> 00:43:24,240
Verkaufen wir auch für den 
Zweck, dass man eben Penetration

784
00:43:24,240 --> 00:43:27,240
Testing damit durchführen kann? 
Das heißt, ich nehme das 

785
00:43:27,240 --> 00:43:28,920
Firmware Update, was ich 
normalerweise von der 

786
00:43:28,920 --> 00:43:32,080
Herstellerseite beziehen kann 
und lade es hier hoch. 

787
00:43:32,080 --> 00:43:36,600
Das Simulationssystem heißt 
Medusa steht für Multiple 

788
00:43:36,600 --> 00:43:40,800
Emulation, Dynamic Utilization 
System Analysis, das ist sehr 

789
00:43:40,800 --> 00:43:47,600
einfach zu merken und ja, das 
vertreiben wir unter unter 

790
00:43:47,600 --> 00:43:50,880
unserem Namen und. 
Das verwenden wir oft zum 

791
00:43:50,880 --> 00:43:53,280
Testen, eben von von solchen 
Embedded Komponenten. 

792
00:43:54,160 --> 00:43:58,000
Wie schon vorhin angesprochen, 
wir stehen ja oft mit den 

793
00:43:58,080 --> 00:44:00,880
Betreibern vor einem greatbox 
Test. 

794
00:44:00,960 --> 00:44:03,560
Kann natürlich aber auch ein 
Blackbox Test sein von einzelnen

795
00:44:03,560 --> 00:44:07,280
Komponenten, wenn sie, wenn Sie 
sowas testen lassen möchten, 

796
00:44:07,280 --> 00:44:09,480
gibt ja nicht nur Hersteller die
sowas testen lassen möchten, 

797
00:44:09,480 --> 00:44:12,000
sondern es gibt auch Betreiber 
die einzelne Komponenten testen 

798
00:44:12,000 --> 00:44:16,000
lassen möchten und dabei hilft 
uns dieses System dadurch, dass 

799
00:44:16,000 --> 00:44:18,480
wir hier die Firmware hochladen 
können und. 

800
00:44:19,440 --> 00:44:22,720
Hier uns dann genau anschauen 
können, was für was für Dinge im

801
00:44:22,720 --> 00:44:26,960
Hintergrund laufen, weil es 
entpackt, nämlich die Firmware 

802
00:44:26,960 --> 00:44:30,320
von dem Gerät, was wir 
untersuchen möchten rekursiv und

803
00:44:30,320 --> 00:44:33,360
schaut sich dann wirklich die 
einzelnen Komponenten an, 

804
00:44:33,920 --> 00:44:38,400
sammelt die wieder ein, Macht 
ein lauffähiges System draus und

805
00:44:38,400 --> 00:44:42,080
dieses lauffähige System kann 
man dann verwenden und hier zum 

806
00:44:42,080 --> 00:44:44,880
Beispiel das Wave Builderface 
testen, von dem. 

807
00:44:45,200 --> 00:44:49,440
Industrie Router, Switch von der
Steuerung was auch immer und 

808
00:44:49,440 --> 00:44:53,360
kann so einen einen Blackbox 
Test in einen Grey oder whitebox

809
00:44:53,360 --> 00:44:55,840
Test sogar verwandeln. 
Das ist so ein bisschen die 

810
00:44:55,840 --> 00:44:58,680
Besonderheit an unserer Firma. 
Prima, da hast du schon eine 

811
00:44:58,680 --> 00:45:01,000
Vorlage gegeben zu dem zu dem 
letzten Punkt natürlich, den wir

812
00:45:01,000 --> 00:45:03,120
immer haben. 
Ich wollte noch sagen, für was 

813
00:45:03,120 --> 00:45:04,840
darf man euch kontaktieren, 
jetzt habe ich verstanden auf 

814
00:45:04,840 --> 00:45:08,320
jeden Fall auch das Firmware 
pantasting was das Blackbox 

815
00:45:08,320 --> 00:45:12,160
pantasting auch mal verwandelt 
in das Whitebox Greybox wie auch

816
00:45:12,160 --> 00:45:13,920
immer, auf jeden Fall könnt ihr 
mehr rausfinden als man 

817
00:45:13,920 --> 00:45:16,560
vielleicht sonst könnte, wenn. 
Was habt ihr sonst für Services 

818
00:45:16,560 --> 00:45:18,520
und wie kann man euch erreichen?
Vielleicht gibt es sonst noch 

819
00:45:18,520 --> 00:45:20,280
mal eine kurze Zusammenfassung 
und dann haben. 

820
00:45:20,560 --> 00:45:24,680
Wir es für heute sonst wie 
gesagt, schauen wir uns ganze ut

821
00:45:24,680 --> 00:45:27,280
Infrastrukturen an, gerne in 
natürlich sehr gerne in 

822
00:45:27,280 --> 00:45:30,640
Österreich, aber auch in 
Deutschland beziehungsweise 

823
00:45:30,880 --> 00:45:33,760
nächstes Jahr sind wir mal auch 
schon kurz geplant in der in der

824
00:45:33,760 --> 00:45:39,120
Schweiz unterwegs und ja, wir 
liefern im Prinzip in unseren 

825
00:45:39,120 --> 00:45:41,680
Reports immer komplette 
Anleitungen wie man die ganzen 

826
00:45:41,680 --> 00:45:43,360
Schwachstellen auch rauskriegt 
und wie man hier. 

827
00:45:44,480 --> 00:45:49,480
Möglichst sicher wird in seinem 
Ot Netzwerk erreichen kann man 

828
00:45:49,480 --> 00:45:55,040
unter uns unter dem 
weblinkcybertandube.com bzw die 

829
00:45:55,680 --> 00:45:59,840
die Software zum emulieren von 
Firmware, die man auch natürlich

830
00:45:59,840 --> 00:46:03,920
Standard Lone beziehen kann, 
findet sich unter dem unter der 

831
00:46:03,920 --> 00:46:10,240
URL Metusor RA für Reverse 
Engineering und ja. 

832
00:46:10,960 --> 00:46:14,400
Ich glaub sonst meine meine 
Kontaktdaten schreibst du dann 

833
00:46:14,480 --> 00:46:16,880
eh auch noch auf. 
Die Beschreibung so klar ich 

834
00:46:16,880 --> 00:46:19,120
verlinke alles logischerweise 
prima. 

835
00:46:19,120 --> 00:46:22,480
Thomas dann vielen herzlichen 
Dank, dass du uns das Thema nah 

836
00:46:22,480 --> 00:46:24,880
gebracht hast und dir die Zeit 
genommen hast, jetzt hier 

837
00:46:24,880 --> 00:46:27,600
zwischen den. 
Feiertagen also vielen 

838
00:46:27,600 --> 00:46:29,720
herzlichen Dank. 
Ich wünsche dir einen guten 

839
00:46:29,720 --> 00:46:33,120
Start schon mal ins neue Jahr 
und auch unseren Hörerinnen und 

840
00:46:33,120 --> 00:46:36,640
Hörern ein ein gutes Jahr 2025 
dann, wenn ihr das jetzt so 

841
00:46:36,640 --> 00:46:38,280
hört, ist Silvester nehme ich 
mal an. 

842
00:46:38,280 --> 00:46:40,800
Ja, also danke fürs zuhören, 
danke Dir Thomas, dann macht es 

843
00:46:40,800 --> 00:46:42,000
gut. 
Danke dir. 

844
00:46:42,040 --> 00:46:45,000
Mach's gut einfach. 
Komplex wird präsentiert und 

845
00:46:45,000 --> 00:46:47,480
produziert von Heiseware. 
Wir freuen uns auf deine Fragen 

846
00:46:47,480 --> 00:46:50,160
und 
deinfeedbackanpodcast@heiseware.com

847
00:46:50,320 --> 00:46:52,880
vielen Dank fürs Hören dieser 
Erfolge bis Dienstag in 2 Wochen

848
00:46:52,880 --> 00:46:54,000
und Tschüss aus Hamburg.