Am 18. Oktober war ich in Bergamo bei NoHat 2025 und habe darüber nachgedacht, wie leicht man in einer Blase lebt, wenn man mit Technik arbeitet. Wir glauben, Cybersicherheit zu kennen, weil wir wissen, wie Firewalls funktionieren, wie man ein Authentifizierungssystem konfiguriert, wie man Schwachstellen einer Webanwendung verwaltet. Und dann hört man jenen zu, die mit kritischen Infrastrukturen oder KI-Systemen arbeiten, und versteht, dass das eigene Mental Model vielleicht 20 % der Realität abdeckt.
Es ist nicht so, dass das, was wir wissen, falsch wäre. Es ist nur so, dass die Welt weiter und komplizierter ist, als wir es zuzugeben neigen, wenn wir in unserem Spezialbereich versunken sind.
Was du mitnimmst
Industrielle Systeme operieren mit unverzichtbarem Legacy, vierteljährlichen oder jährlichen Patching-Fenstern, Protokollen aus den 90ern: die Regeln der Anwendungssicherheit lassen sich nicht übertragen.
Bevor man urteilt, „wie es Industrieunternehmen tun sollten“, lohnt es sich, jenen zuzuhören, die diese Systeme wirklich betreiben — die Kluft ist epistemisch, nicht eine Frage des guten Willens.
Die berufliche Blase verwechselt oft eine Teilmenge mit dem Ganzen: das zu erkennen ist die erste Form transversaler Kompetenz.
Fragen & Antworten
Was ist NoHat 2025 und warum zählt es?
Eine Cybersicherheitskonferenz am 18. Oktober 2025 in Bergamo, mit besonderem Fokus auf OT (Operational Technology) und kritische Infrastrukturen. Eine der wenigen Gelegenheiten, bei denen die klassische IT-Sicherheitswelt (Webanwendungen, Cloud, SaaS) wirklich mit jenen ins Gespräch kommt, die Industrieanlagen, SCADA-Systeme und Stromnetze schützen.
Warum sieht jemand, der Web-Sicherheit macht, nur 20 % der realen Cybersicherheit?
Weil industrielle und kritische Szenarien mit anderen Bedrohungen, Beschränkungen und Folgen arbeiten: ein Ransomware in einem SaaS verursacht Tage Downtime; ein Angriff auf eine Chemieanlage kann physische Opfer fordern. Die Systeme sind oft unverzichtbares Legacy, die Patching-Fenster sind vierteljährlich oder jährlich, die Protokolle sind dieselben wie in den 90ern. Das Mental Model der Web-Sicherheit deckt nur eine schmale Teilmenge des Problems ab.
Was sollte ein Technik-Generalist aus diesem Unterschied lernen?
Epistemische Demut. Was wir über Sicherheit in unserem Bereich wissen, ist nicht falsch — es ist partiell. Bevor man Urteile fällt darüber, „wie Industrieunternehmen es tun sollten“, lohnt es sich, mit jenen gesprochen zu haben, die diese Systeme wirklich betreiben. Der Kontextabstand ist größer als der technische.