Axel auf Solo Mission – KI, Cyber Resilience & AK ISMS im Fokus

00:00:07: Hallo zusammen, da sind wir wieder mit dem Cybertango, den echten Trust Podcast.

00:00:15: Mein Name ist Axler Amelung und heute bin ich leider alleine der Stefan Weil in seinem wohlverdienten Urlaub – davon wird er sicher nach seiner Rückkehr berichten, das wird aber noch etwas dauern!

00:00:29: Ja, ich wollte aber trotzdem die Gelegenheit nutzen euch von der ein oder anderen Sache Die sich so zugetragen hat zu berichten.

00:00:38: Wenn dieser podcast veröffentlicht wird dann beziehe mich damit auf die vorwoche und da war doch die Ein- oder andere sache los.

00:00:47: Bevor ich zum Kernpunkt aber komme Den ich besonders spannend fand nämlich dem arbeitskreis isms der wieder in köln statt gefunden hat Wollte ich eigentlich kurz auf zwei weitere Sachen hinweisen.

00:01:00: Vielleicht hat das auch der ein oder andere gehört.

00:01:03: Es ging die Pressemeldung durch und zwar, dass KI-Modell von Antopic da für Aufsehen gesorgt hat.

00:01:13: Das hat nämlich eine ziemlich alte Schwachstelle in dem OpenBSD einen sehr weit verbreitete Unix Version gefunden.

00:01:22: Die war siebenzwanzig Jahre alt Und das war dann doch schon erstaunlich.

00:01:29: Wer da mal Tiva reingeschaut hat, was auch an Pressemeldungen hin und her gegangen ist, dann ist da wirklich ziemlich viel los gewesen.

00:01:38: Denn dieses KI-Modell ist offensichtlich in der Lage, durchaus weit verbreiteten Softwaresysteme eine Vielzahl von Schwachstellen im kürzester Zeit zu finden Und gegebenenfalls dafür sogar exploits zu entwickeln.

00:01:59: Ich weiß nicht wie es euch geht Mir hat das schon gehörigen Schrecken eingejagt.

00:02:06: Ich glaube, es macht aber auch noch mal letzten Endes deutlich dass Ja ich glaube die Herausforderung auch im Bereich der KI wirklich große sind.

00:02:17: Ich denke da sollte man definitiv nicht verteufeln Aber man sollte das sicherlich auch mit einer gehörigen Portion Vorsicht alles betrachten, was damit möglich wird.

00:02:28: Denn schließlich muss man sich überlegen bei allen Effizienzgewinnen die man selbst durch den Einsatz von KI heben möchte.

00:02:36: Muss man natürlich auch mögliche Gefährdungen durch KI im Blick behalten und ich glaube da ist es wirklich wichtig entsprechend Vorsorge zu betreiben und sich zu rüsten.

00:02:50: Und es gibt ja auch entsprechende Vorgaben, wie der regulatorischen Art durch den AI-Act der EU, der ja auch schon grundsätzlich da ist und sukzessive immer weiter in Kraft tritt.

00:03:04: ich glaube das sollte man einfach ein offenes Auge drauf haben und sich bewusst sein dass die Bedrohungslage auch durch KI sicher in nächster Zeit nicht geringer wird.

00:03:16: Dann gab es noch ein zweites Thema, auf das ich kurz eingehen möchte.

00:03:20: Jeder kennt den Cyber Resilience Act, den CRA.

00:03:24: Cyber Resillience Act ist ja schon durch die EU beschlossen und als Ekt oder Verordnung auf Deutsch wird der CRA auch von Alleinigültigkeit entfalten also der muss nicht national umgesetzt werden.

00:03:39: trotzdem gibt es ein paar ergänzende Punkte, die von den Mitgliedstaaten selbst geregelt werden müssen.

00:03:49: Da wollte ich einfach mal darauf hinweisen, dass es einen Referentenentwurf für die Durchführung des CRA in Deutschland jetzt auch gibt und dazu fand eben am dreizehnten April eine Anhörung im BMI-Staat.

00:04:02: und ja das ist jetzt kein besonders umfassendes Gesetz.

00:04:06: Ich glaube wir reden da über zwanzig Seiten oder sowas.

00:04:10: Es hat natürlich einige Kritik auch daran gegeben, der wesentliche Punkt vielleicht in diesem Gesetz ist.

00:04:16: Auch unter anderem dass das BSI als marktüberwachende Behörde festgelegt wird.

00:04:23: ich denke das war durchaus naheliegend.

00:04:25: aber wer da näheres Interesse hat der sollte sich da vielleicht mal die Mühe machen und dann vielleicht etwas intensiver hereinschauen.

00:04:35: Ja was gibt es noch?

00:04:38: Damit komme ich eigentlich zu meinem Hauptpunkt, über den ich kurz berichten wollte.

00:04:43: Nämlich der Arbeitskreis ISMS hat jetzt am vierzehnten, fünfzehnten April bei uns in Köln wieder stattgefunden.

00:04:50: Wer ihn noch nicht kennt das ist ein Arbeitskreise für Informationssicherheit und Energieversorger.

00:04:57: Der läuft schon seit über zehn Jahren inzwischen Ich glaube wir haben jetzt etwa den zwanzigsten Arbeitskreisen abgehalten über fünfzig externe Teilnehmer, also insbesondere Energieversorger.

00:05:11: Er richtet sich da primär an ESBs IT-Leiter und dergleichen.

00:05:16: Und der Zuspruch war da wirklich sehr hoch!

00:05:20: Was mich natürlich besonders freut und auch herzlichen Dank an unsere externen Gäste und Referenten.

00:05:28: Da hatten wir zum einen den Jonas Haag-Stappel von der Bnetz A dabei insbesondere auf die Auswirkungen der NIS II-Umsetzung, also damit einhergehend auch die Änderung im ENBG eingegangen ist.

00:05:44: Dann hatten wir das BSI da, den Herrn Stefan Rotter, auch da herzlichen Dank fürs Kommen, der auch nochmal auf Punkte aus der Nis II Umsetzung eingegang ist und auch auf die Regulierung der kritischen Komponenten, die es da gegeben hat.

00:06:04: Und dann hatten wir zum ersten Mal jetzt auch noch ein Vertreter des BBK da, den Herrn Markus Haschgläumis.

00:06:12: Auch da herzlichen Dank der nochmal auf das Kritis-Dachgesetz eingegangen ist.

00:06:17: Darüber hatten wir ja schon mal berichtet.

00:06:18: Das Kritisdachgesetz ist nach einigen Diskussionen im März durch den Bundesrat verabschiedet worden und noch Mitte März in Kraft getreten.

00:06:30: Ja, um da vielleicht mal inhaltlich kurz darauf einzugehen.

00:06:34: Das Kritisdachgesetz hat oder befindet sich sicherlich an einer völlig anderen Reifephase als wenn man das mit der NIS-II vergleicht.

00:06:46: und so war es dann auch was wir da dann erfahren konnten dass zwar das Gesetz in Kraft getreten ist aber derzeit gibt es eben noch keine Möglichkeit sich deinsprechend zu registrieren.

00:07:00: und ja, für alle Betreiber kritische Anlagen gemäß NIS II wird es offensichtlich noch mal notwendig sein sich im Rahmen des Kritisch-Dachgesetzes neu zu registrieren.

00:07:15: Das sollte man auf dem Schirm behalten aber wie gesagt derzeit geht das noch gar nicht.

00:07:20: außerdem warten wir auch darauf dass es eine nationale Resilienstrategie gibt, dass es da nationale Risikoanalysen gibt die dann Vorgaben sein sollen und auf deren Basis sollen dann die betroffenen Unternehmen des Kritis-Dachgesetzes entsprechend eigene Risikoanalysen und Resilienzpläne durchführen oder erstellen.

00:07:44: Das wird allerdings wahrscheinlich alles noch etwas dauern, ich denke da muss man das vielleicht auch nochmal haben.

00:07:52: Dann hatten wir noch eine externe Referentin, die Dr.

00:07:55: Christina Schreiber von Loschelder Rechtsanwälte dabei, die vielleicht auf so ein paar Punkte der NIS II da nochmal den Blick einer Juristin gerichtet hat.

00:08:09: Und das war an der Stelle dann schon recht spannend.

00:08:13: Dieser juristische Blick hat doch noch mal die einen oder andere Perspektive geöffnet.

00:08:18: Ich glaube was da schon besonders spannend war bei der Frau Doktor Schreiber waren so ein paar Aspekte, die man vielleicht dann doch nicht unbedingt in seinem tagtäglichen Leben auf dem Schirm hat.

00:08:36: Wie gewisse Aspefte auch aus dem NISZ bei Umsetzungsgesetz dann auszulegen sind.

00:08:41: und ja... Auch an der Stelle glaube ich war das eine erfrischende Bereicherung des Arbeitskreises.

00:08:50: Damit komme ich zu meinem Hauptpunkt nämlich Das BBK hat ja auch einige Aspekte dann vorgestellt und ich glaube, es gibt da einen wirklich besonders spannenden Punkt oder den man im Blick behalten sollte.

00:09:07: Nämlich wie sieht das jetzt eigentlich aus mit dem neuen IT-Sicherheitskatalog?

00:09:13: Und jetzt habe ich gerade schon wieder IT Sicherheitskataloge gesagt also plural Denn in der Vergangenheit hatten wir ja mehrere IT-Sicherheitskataloge nach ENWG, nämlich den nach Paragraph Elf Absatz IA für Energieversorger und nach § elf Absatzeins B für Energieerzeuger.

00:09:36: Diese Paragrafen wurden ja bekanntlich mit dem NISZ bei Umsetzungsgesetz abgeschafft.

00:09:40: Jetzt gibt es die Paragrafen fünf C folgende, die man da neu eingefügt hat im ENW G Und auf der Basis soll es zukünftig jetzt nur noch einen IT-Sicherheitskatalog geben.

00:09:53: Wer das noch nicht gehört hat, da hat's zumindest schon mal vernommen.

00:09:59: und es sollen sofern es Unterschiede geben sollte zwischen Energieversorgern, Energieerzeugern – und es gibt ja eine dritte Kategorie nämlich Betreiber digitaler Energiedienste.

00:10:14: Sofern es da Unterschiede gibt, wird das über Anhänge der zu diesem einen IT-Sicherheitskatalog geregelt.

00:10:22: Es gab ja schon im letzten Jahr eine Konsultationsphase mit einem Eckpunktepapier dazu und dann hat die Benets Asia nicht mehr geschafft vor dem Inkrafttreten des NISS bei Umsetzungsgesetzes den IT Sicherheitskatalog zu aktualisieren, was der eigentliche Plan war.

00:10:41: Und jetzt ist man eben dabei den IT-Sicherheitskatalog auch mit dem BSI abzustimmen.

00:10:46: und da gibt es jetzt wirklich etwas Spannendes nämlich Es ist eine Neukonsultationsphase geplant.

00:10:54: das hatte uns der Herr Hartstappel dann auch auf dem AKISMS mitgeteilt und die soll im Sommer nämlich genau ab dem August zwanzig sechsundzwanzig starten.

00:11:04: Das heißt bis dahin sollte ein neues Konsultationspapier auch entsprechend vorliegen und ich, da spreche ich wirklich für alle aus dem Arbeitskreis ISMS sind wirklich sehr gespannt wie das dann aussehen wird.

00:11:20: Wir haben auch beschlossen im Rahmen des Arbeitskreises ISMS dass wir uns das näher anschauen wollen und vielleicht auch... Da muss ich aber noch mal sehen wie was ausgestalten eine kleine Veranstaltung dazu durchführen um vielleicht auf möglichst viele Stimmen der betroffenen Energieversorger oder Energieerzeuger auch mitzunehmen und vielleicht auch ein Stück weit zu bündeln.

00:11:46: Ich weiß schon, dass die Bnetz A dafür sehr offen ist.

00:11:51: falls sich die Konsolidationsphase natürlich verzögert Dann würden wir das einfach mitnehmen in den nächsten Arbeitskreis ISMS, der nämlich am dreißigsten neunten und ersten zehnten, zwanzig, sechsundzwanzig wieder in Dresden stattfinden soll.

00:12:09: Also ich glaube da haben wir wirklich noch ein sehr spannendes Thema vor der Brust.

00:12:13: Ich verspreche euch, wir bleiben eng daran Und ich werde auch weiter den Kontakt mit der Bnetz A suchen und den fliegen um da auf dem Laufenden zu bleiben.

00:12:24: Und sobald sich da irgendwas tut, dann werden wir euch natürlich gerne informieren und eure Meinung einholen.

00:12:33: Ja abschließend was kann ich noch als Fazit zum Arbeitskreis ISMS festhalten?

00:12:40: Ich würde einfach gerne so ein bisschen das Feedback, was wir da bekommen haben kurz herausstellen und das Feed back war wirklich überwältig positiv und zwar völlig uneingeschränkt positiv.

00:12:53: Das hat mich sehr, sehr gefreut.

00:12:55: Herzlichen Dank an alle da draußen die jetzt zuhören, die auch beim Arbeitskreis ISMS dabei waren.

00:13:02: Da macht das natürlich auch besonders viel Spaß diese Veranstaltung auf die Beine zu stellen.

00:13:08: Und ich kann nur für mich sagen mir macht es auch großen Spaß und ich glaube für meine Kolleginnen und Kollegen darf sich das auch behaupten also in der Hinsicht wirklich eine ganz tolle Sache.

00:13:21: Ich freue mich auch immer wieder, wenn ich dann das Feedback von BSI, Binets A und in diesem Fall auch wirklich vom BBK bekomme.

00:13:29: Dass auch die das sehr konstruktiv finden und das Feedbacks erschätzen was in dieser Runde geäußert wird also in der Sicht wirklich super!

00:13:38: Und ich gehe im Moment schon fest davon aus dass wir auf dem nächsten Arbeitskreis wieder eine Beteiligung dieser drei Behörden haben werden.

00:13:50: im Sinne der Sache überhaupt sein, die Informationssicherheit hier weiter voranzutreiben.

00:13:56: Eure Fragen, liebe Energieversorger, liebe Energierzeuger da natürlich auch entsprechend direkt und zeitnah mit den entsprechenden Stellen auch zu einer Klärung zu bringen dafür setze ich mich auf weiter ein.

00:14:10: und ja ich freue mich dass ihr wirklich auch so regel bei der Stange bleibt.

00:14:15: Und in der Hinsicht freue ich mich natürlich auch schon auf den nächsten Arbeitskreis ISMS im Herbst in Dresden.

00:14:21: Damit will ich euch jetzt nicht weiter von anderen Dingen abhalten und freue mich, wenn möglichst bald der Stefan aus dem Urlaub zurückkommt und wir dann gemeinsam wieder eine neue Folge aufnehmen können.

00:14:38: Dann schauen wir mal was für Themen wir bis Ende April finden!

00:14:43: Euch alles Gute, bleibt uns gehoben.

00:14:47: Herzlichen Dank fürs Zuhören und bis dahin.

00:14:49: Macht's gut!

00:14:50: Tschüss.