088: Die Top 10 der typischen Security-Pannen in der Digitalen Transformation. Mit Andreas Nolte (Arvato Systems)

00:00:00: Hallo Leute, wir haben kurz vor Weihnachten die 88. Folge und damit die letzte

00:00:03: von Blue Screen in diesem Jahr steht für euch ab sofort hier zur Verfügung.

00:00:08: Und nachdem wir ja die letzten Male schon über Security-Testings gesprochen hatten,

00:00:13: über Pentesting, über die Ermittlungsarbeit in verschiedenen Bereichen,

00:00:17: habe ich mir gedacht, wir schließen das Jahr mit einer Folge zum Thema die Top 10 Security-Pannen.

00:00:23: Und dabei wünsche ich euch heute jetzt erstmal viel Spaß.

00:00:31: Blue Screen, der Tech-Podcast. Nachdem ich das natürlich gar nicht so gut alleine

00:00:36: kann, habe ich mir natürlich wie immer jemanden zu Gast hier in unser virtuelles Studio geholt.

00:00:41: Zusammen mit euch und mir ist der Andreas Nolde von Arvato Bertelsmann und den

00:00:46: begrüße ich hiermit ganz herzlich. Hi Andreas.

00:00:48: Ja, hallo Alexander. Sehr schön hier zu sein und hoffentlich was Interessantes

00:00:52: beizutragen. Davon gehe ich auf jeden Fall aus.

00:00:55: Ich habe es ja gerade gesagt, das ist so ein bisschen unser Weihnachtsgeschenk

00:00:58: an unsere Hörerinnen und Hörer.

00:01:00: Aber deswegen ist es, glaube ich, auch ganz cool, nochmal so ein bisschen so

00:01:03: ein Wrap-Up über das ganze Jahr oder vielleicht auch längere Zeiträume einfach

00:01:07: mit dir zusammen mal aufzustellen.

00:01:09: Und bevor wir das machen, würde ich aber sagen, stell dich doch einfach mal

00:01:12: ganz kurz vor und erzähl uns, wer du bist und was du so machst. Ja, gerne.

00:01:16: Andreas Nolte. Ich bin bei der Avatar Systems in unserer Cyber Security Unit

00:01:20: unterwegs und beschäftige mich,

00:01:23: wie wir so ein bisschen als Story sagen, mich damit, das Gesundheitssystem für

00:01:27: die IT und OT unserer Kunden zu verbessern oder zu errichten.

00:01:31: Also sprich so ein bisschen so ein holistisches Security-Thema für uns als Provider.

00:01:38: Entstanden ist das dadurch, dass eben unsere Geschäftsführung inzwischen auch

00:01:43: schon wieder vor acht Jahren festgestellt hat, dass wir da dringend auf die

00:01:47: geänderte Bedrohungslage in der Welt einfach reagieren müssen.

00:01:50: Und dann habe ich die Aufgabe bekommen, mich damit zu beschäftigen.

00:01:54: Und das ist so mein Zeitvertreib.

00:01:55: Ich rede viel über Security, versuche die richtigen Ansatzpunkte zu finden und

00:02:00: treibe mich offensichtlich auch bei Podcastern rum.

00:02:05: Ja, du warst beim Nico Werner auch schon zu Gast. Nico, falls du zuhörst, schöne Grüße.

00:02:09: Ja, ich nehme an, das ist natürlich auch eine Aufgabe bei Arvato. Das ist was Größeres.

00:02:15: Wie viele Menschen betreut ihr denn in Summe so?

00:02:19: Ja, das ist irgendwie die Frage, von was wir gerade reden. Also ich versuche

00:02:23: das gerade mal zu sortieren.

00:02:25: Also erstmal streng genommen, erstmal

00:02:26: vom Namen her bin ich bei der Avato Systems und nicht bei der Avato.

00:02:30: Das hört sich so ein bisschen merkwürdig an, aber das hat mit den verschiedenen

00:02:34: Brands im Konzern zu tun.

00:02:36: Der Brand Renour Avato ist unsere Logistikschwester. Ja, so und grundsätzlich

00:02:42: gehören wir zum Bertelsmann-Konzern und haben natürlich auch Bertelsmann-Kunden.

00:02:46: Wir sind aber nicht sowas wie die IT-Abteilung von Bertelsmann,

00:02:49: sondern wir sind einfach ein Provider am Markt, der eigene Rechenzentrum betreibt

00:02:53: in Deutschland, der viel Cloud-Transformationen macht, den drei großen Hyperscalern,

00:02:58: auch viel SAP und ähnliches.

00:03:00: So, und wenn man das tut, dass man eben die, letztendlich die IT-Systeme zur

00:03:05: Unterstützung der Geschäftsprozesse der Kunden verantwortet,

00:03:08: dann muss man sich natürlich auch damit beschäftigen, wie kann man die denn

00:03:12: adäquat schützen und wie kann man den Kunden da behelfen.

00:03:16: So, einige Kunden haben eigene Fähigkeiten oder andere Partner,

00:03:20: das ist auch in Ordnung, aber viele Kunden brauchen dort eben einfach unterschiedliche

00:03:24: Arten von Unterstützung und das ist eben genau mein Themenfeld oder unser Themenfeld.

00:03:31: Okay, klingt nach wie vor groß. Das heißt, da hast du natürlich schon wahrscheinlich

00:03:36: mit deinen Kolleginnen und Kollegen durchaus einiges, was man da so tagtäglich auch sieht, ne?

00:03:42: Ja, also das hat unterschiedliche Fälle und das war ja auch so ein bisschen

00:03:45: Anlass für dieses Thema oder auch eben die Veranstaltung mit der Q-Skills mal

00:03:49: darüber zu berichten aus unserer Perspektive.

00:03:52: Was kann man denn auch eigentlich falsch machen?

00:03:56: Und da gibt es doch einige Dinge, die sich immer wiederholen,

00:03:59: nämlich im Kern meistens basierend darauf, dass die Komplexität einfach nicht

00:04:06: gewürdigt wird, die das hat.

00:04:08: Also es ist ein bisschen auch eben eine meiner Zentralthemen.

00:04:11: Komplexität beschäftigt uns allen, ist auch ein bisschen eine Binsenweisheit,

00:04:15: weiß ich. Aber das hat halt eine Konsequenz.

00:04:17: Also es fällt heute in der Dynamik für den normalen IT-Betrieb Unternehmen schon

00:04:23: schwer, das alles zu bewältigen.

00:04:25: Und mal ein ganz simpel klingendes Beispiel, up-to-date zu bleiben mit einem M365.

00:04:32: Schafft kaum jemand. Da ist so eine Dynamik drin, das kriegt kaum jemand hin.

00:04:36: Es fällt auch uns als Providern schwer, das überhaupt zu verstehen,

00:04:39: was da alles passiert, geschweige das denn, dann auch das zu implementieren.

00:04:44: Also das heißt, die Welt ist dynamisch. Es gibt immer mehr Technologien und

00:04:49: Cloud und SaaS und was es da alles gerade gibt.

00:04:53: Und dazu ist es eben so, dass die Security-Anforderungen, die sind halt auch hochgradig komplex.

00:04:59: Eben einmal aufgrund der Heterogenität der Technik und dann ist das ganze Thema ja nicht statisch.

00:05:04: Also die Angreiferverhalten verändern sich, die Vektoren verändern sich,

00:05:08: die Methoden verändern sich.

00:05:11: Oder selbst wenn man so ein vermeintlich einfaches Thema wie Schwachstellenmanagement

00:05:16: zum Beispiel nimmt, dann ist man ja nie fertig.

00:05:20: Sondern das ist eigentlich eher wie so eine Bestellabwicklung.

00:05:23: Also man kriegt immer neue Bestellungen quasi, also neue Schwachstellen rein,

00:05:28: stellt die ab, aber dann klingelt es und dann sind die nächsten 100 wieder da.

00:05:34: Und wo ist jetzt die zusätzliche Komplexität,

00:05:38: Von so outgesourceten Umgebungen, man hat die nächste Komplexität,

00:05:42: sind unterschiedliche Partner.

00:05:45: Also wie kriegt man das denn dann unter einen Hut, dass man im Prinzip meinetwegen

00:05:49: jetzt für seinen IT-Kerninfrastrukturbetrieb, da sucht man sich vielleicht einen

00:05:54: primären Partner, wie zum Beispiel die Avatar Systems und sagt,

00:05:57: die betreiben mir jetzt hier mein Datacenter.

00:06:00: So, heißt das übersetzt, dass die 100 Prozent von allem betreiben?

00:06:05: In den allermeisten Fällen nicht, weil es gibt unterschiedliche Fälle.

00:06:09: Es gibt immer noch die Fachabteilungen, die dann selber irgendwelche PHP-Anwendungen

00:06:13: schreiben oder es gibt irgendwelche Spezialfirmen,

00:06:18: die eben bestimmte Segmente bedienen, wie die PSI zum Beispiel für Leitstandsoftware

00:06:22: oder andere, wo das gar nicht möglich ist,

00:06:25: dass wirklich, also aus meiner Sicht realistisch möglich ist,

00:06:28: dass wirklich ein Provider 100 Prozent der Anforderungen überhaupt abdecken

00:06:32: kann. Das geht gar nicht.

00:06:33: So, was ist die Folge und warum ist das relevant für Security?

00:06:37: Man braucht dort eine Koordinationsleistung, dass man überhaupt in der Lage

00:06:43: ist, die entsprechenden Aufträge und Wege und Auftragswege zu gewährleisten.

00:06:49: Ich nehme wieder als Beispiel Schwachstellenmanagement, weil man das daran ganz gut erklären kann.

00:06:54: Also wenn man jetzt zum Beispiel sagt, mein primärer Infrastruktur-Dienstleister,

00:06:58: der macht meinetwegen Schwachstellen-Scanning und ermittelt Liste von Schwachstellen

00:07:03: und nehmen wir einfach mal das PSI-Beispiel,

00:07:07: stellt jetzt fest, in einer PSI-Anwendung oder einer selbstgebauten PHP-Anwendung

00:07:12: des Kunden werden Schwachstellen identifiziert.

00:07:15: Ja, so, dann kann ja der Infrastrukturdienstleister, der meinetwegen ein gemanagtes

00:07:20: Betriebssystem als Service bereitstellt, der fängt ja jetzt nicht an, den PHP-Code zu ändern.

00:07:26: Und das kann der auch gar nicht. Und das will man auch nicht.

00:07:30: Oder selbst wenn man jetzt sagt, man möchte diesen Prozess adäquat managen und

00:07:35: sagt, man möchte zum Beispiel so Remediation-Zeiträume als SLA festhalten für Emergency-Patching.

00:07:42: Und dann sagt man, jetzt mal als Bild, was nicht funktioniert,

00:07:47: bitte mal vor, du rufst an den Kunden und dann sagst du, ja,

00:07:49: wir müssen hier gerade mal dein Kraftwerksleitstandssystem booten,

00:07:52: weil sonst können wir unseren Schwachstellen-Scanning SLA nicht einhalten.

00:07:56: Da sieht man sofort, das funktioniert nicht. Das würde ich mir auch manchmal wünschen.

00:08:00: Wir haben das gleiche Problem, nur auf einer ganz wesentlich kleineren Spielfläche.

00:08:05: Wann hören wir das Update einspielen? Nie.

00:08:08: Gut, dann tschüss. Das ist genau die gleiche Szenarie. Ja, es ist wirklich ein

00:08:13: Problem, ja, verstehe ich.

00:08:16: Ja, genau. Und was noch dazu kommt ist, und ich kann mir da immer eine Buchempfehlung

00:08:22: nicht sparen, hier die Logik des Misslingens, hier strategisches Denken in komplexen

00:08:26: Situationen von Dietrich Dörner.

00:08:28: Wir Menschen können das einfach nicht gut. Wir sind von Haus aus einfach nicht

00:08:33: dazu gebaut, dass wir mit Komplexität

00:08:35: gut umgehen können. Und das muss man einfach als Fakt akzeptieren.

00:08:40: Zum Glück heißt es nicht, dass man das nicht ein Stück weit lernen kann,

00:08:44: aber was eben nicht funktioniert, ist so ein Vogelstrauß-Ansatz,

00:08:47: dass man sagt, das ist irgendwie doof und deswegen spiele ich nicht mit und

00:08:50: ignoriere das irgendwie weg und verstecke mich hinter einem vermeintlichen Vertrag

00:08:54: oder kaufe dann eine Cyber-Versicherung meinetwegen noch.

00:08:58: Aber wenn man da das Kleingedruckte liest, dann steht da auch drin,

00:09:02: dass natürlich der Kunde verpflichtet ist, dafür zu sorgen, dass erstmal die

00:09:06: Umgebung in einem adäquaten Zustand ist, weil sonst zahlen die natürlich nicht.

00:09:10: Die müssen ja auch Geld verdienen und wollen ja nicht ihr Geld dafür schenken.

00:09:15: Ganz klar, ganz klar. Ja, also, so wie du es ja eingangs schon gesagt hattest,

00:09:19: holistisches Betrachten des Ganzen und das ist das tatsächlich,

00:09:23: was du ja dann auch tatsächlich da tust, weil es halt, weil es so komplex ist

00:09:26: und weil so viele Parteien dann auch da eine Rolle mitspielen,

00:09:30: ist natürlich eine super wichtige Aufgabe und du hast gerade eine Sache noch

00:09:34: gesagt, die Q-Skills hast du erwähnt, da kennen wir beide uns ja auch her,

00:09:38: wir waren ja beide am 21.10.

00:09:40: Auf dem Q-Skills Security Summit in Nürnberg, einen Tag vor der ITSA in Nürnberg.

00:09:45: Und da hattest du ja auch eben zu diesem Thema gesprochen. Und deswegen habe

00:09:48: ich mir gedacht, Mensch, das

00:09:49: wäre ja eigentlich auch ideal, in unserem Podcast da mal drüber zu reden.

00:09:53: Ich glaube, beim Nico hattest du ein ähnliches Thema auch schon gehabt.

00:09:56: Und das ist natürlich eine super Sache, wenn jemand eben aus dieser Perspektive

00:10:01: auch mal auf die Dinge gucken kann und eben auch,

00:10:04: aufgrund oder vielleicht eben wegen dieser ganzen Komplexität,

00:10:09: die in den Systemen drinsteckt, einfach auch mal aus diesem Blickwinkel da drauf schauen kann.

00:10:13: Weil das ist was, was mir zum Beispiel natürlich fehlt. Wir haben halt ganz viele Kunden.

00:10:17: Also wir verwalten aktuell 180 Tenants ungefähr mit ganz vielen Usern.

00:10:21: Aber da bist du natürlich immer sehr fokussiert auf diesen einen Kunden und

00:10:26: seine eigenen Probleme.

00:10:27: Aber in so einem größeren Verbund macht es natürlich nochmal ganz andere Türen auf.

00:10:32: Und wenn man sich überlegt, du hast gerade auch Microsoft gesagt.

00:10:37: Wenn man Microsoft 365 Admin ist, vielleicht noch mit ein paar Zusatzprodukten,

00:10:41: es sind halt mehr als 17 Admin Dashboards, die man eigentlich jeden Tag irgendwie

00:10:45: mal im Blick haben sollte.

00:10:46: Und das geht halt einfach nicht. Das funktioniert faktisch nicht.

00:10:52: Ja, also das ist ja, ich gehe nochmal in eine andere Richtung,

00:10:56: das ist ja auch schon eins von vielen Missverständnissen, meine ich,

00:11:00: dass man, also einige Kunden tatsächlich meinen, dadurch, dass sie ein Security-Produkt gekauft haben,

00:11:06: dass dann ihre Arbeit zu Ende ist.

00:11:09: Und das ist ja eben nicht so. Also wenn wir jetzt zum Beispiel jetzt,

00:11:12: um mit Microsoft-Stack zu bleiben, eben so ein E5-Security-Add-on,

00:11:16: wie es so schön heißt, sich dann beschafft hat mit eben einem Entra-ID-Protection

00:11:20: oder einem Defender-for-Endpoint,

00:11:22: dann kann der schon tolle Alarme generieren, die auch wertreichend sind.

00:11:26: Aber wer bearbeitet die denn dann?

00:11:30: Und im Prinzip, also qualifizierte Alarme, Achtung, da wird was verschlüsselt, auf die keiner guckt.

00:11:35: Die bringen einen ja auch nicht weiter. Also diese operative Seite,

00:11:39: die wird leider auch ganz häufig eben vergessen oder gerade bei Basics bei M365

00:11:47: oder überhaupt SaaS-Anwendungen,

00:11:49: finde ich, ist der schlimmste Fail, den man machen kann, ist,

00:11:51: dass man ohne MFA oder Ähnliches diese Services bringt.

00:11:56: Macht trotzdem fast jeder und das ist dann so die Fraktion, Security machen wir später.

00:12:02: Und dann erklärt man denen, was eben so Passwort-Spraying ist und dass dann

00:12:07: eben Herbst 2024 Ausrufezeichen eben meinetwegen meinen Komplexitätsregeln entspricht

00:12:13: in meinem Active Directory,

00:12:14: aber natürlich Hacker-Statistiken darüber haben,

00:12:18: dass das natürlich ein bekanntes Passwort ist und man findet die ja wirklich in jeder,

00:12:22: also gerade dieses Passwort findet man mit Garantie im Moment in jeder nicht trivialen Firma.

00:12:27: Ja, und insofern, wenn man sich da nicht eben adäquat schützt und eben sich

00:12:34: nicht damit beschäftigt, was mache ich hier denn eigentlich und was bedeutet das denn, ja,

00:12:40: dann ist man im Prinzip, lädt man den Angreifer ein, ja.

00:12:43: Ja, absolut. Du willst mir also damit sagen, Weihnachten 2024 ist auch kein gutes Kennwort.

00:12:48: Wahrscheinlich nicht. Also es kommt drauf an, wenn du gerne Gäste hast.

00:12:53: Manche haben ja gerne Gäste. Meistens sind aber dann ungebeten.

00:12:57: Und man weiß auch nicht, ob die sich dann so konform verhalten. Stimmt.

00:13:02: Weihnachtszeit ist immer so langweilig. Und was macht man denn sonst?

00:13:05: Nur Plätzchen essen. Also kann man sich auch ein paar Gäste holen.

00:13:07: Ja, du beschreist nicht.

00:13:09: Leider ist das ja eine Zeit, wo tatsächlich sehr viel passiert.

00:13:13: Aus welchem Grund auch immer.

00:13:15: Insofern, das wäre nicht, hoffentlich bleibt es dieses Jahr nicht dabei,

00:13:18: dass wir nicht das erste Weihnachten wohnen, wie ein großer Incident reinhagelt leider.

00:13:22: Ich hatte am 3. Oktober tatsächlich drei Vorfälle vom BSI reingekriegt.

00:13:26: Die wissen, wann bei uns Feiertag ist natürlich, die Angreifer, ganz klar.

00:13:31: Heißes Thema auf jeden Fall. Ja, bringt mich aber auch dann tatsächlich zu unserer

00:13:35: eigentlichen Kernfrage.

00:13:37: Die Top 10 der typischen Security-Pannen im Bereich digitaler Transformation.

00:13:41: Was hast du denn mit deinen über 30 Dienstjahren da schon so erlebt?

00:13:44: Magst du uns mal so ein bisschen einen Schwank geben? Ach, ja...

00:13:49: Nehmen wir mal ein Thema aus, was tatsächlich neu ist, was jetzt gerade vor

00:13:54: ein paar Wochen passiert ist.

00:13:55: Da war Diskussion mit einem Kunden auch zur Angriffserkennung und er war hundertprozentig

00:14:01: sicher, dass er Rapid7-Angriffserkennung implementiert hat.

00:14:08: Und verstand überhaupt nicht, was wir von ihm wollten und Ähnliches. Und was kam heraus?

00:14:13: Er hat Schwachstellenscanning implementiert und nicht Angreifererkennung,

00:14:17: weil er den Unterschied gar nicht erkennen konnte.

00:14:19: Also insofern, das jetzt mal so frisch, das hatte ich so krass auch noch nicht, muss ich zugeben.

00:14:24: Also das wäre quasi der Fehl, Sorge dafür, dass du auch qualifiziert Services

00:14:30: einkaufen kannst und überhaupt versteht, was das passiert.

00:14:33: In allgemeinerer Form begegnet uns das natürlich schon, dass also dem Angreifer,

00:14:39: Angreifer sag ich schon, ein Einkäufer, das war ein interessanter freudscher Versprecher,

00:14:43: der Einkäufer als Angreifer passt eigentlich sogar in dem Fall,

00:14:47: weil wir haben tatsächlich Fälle gehabt, wo dann die Einkäufer entschieden haben,

00:14:52: dass sie genug Security ja ausgeschrieben haben, weil sie hätten ja schließlich

00:14:56: einen Virenscanner und eine Firewall.

00:14:58: Ja, und wir versuchen natürlich, wie viele das ja natürlich machen,

00:15:03: in der Branche, die Kunden zu beraten, eben Security auch von Anfang an mitzudenken

00:15:07: und machen dort Angebote,

00:15:09: aber wenn dann letztendlich in so einem klassischen Pricing-Thema dann eben

00:15:15: auch, dass einfach gar nicht zum Thema wird,

00:15:18: dann implementiert man nachher was, wo man sagt, puh, hätte ich jetzt so nicht

00:15:22: unbedingt gemacht als Kunde.

00:15:24: Oder ein anderes Fall, dass dann man mit den Security-Verantwortlichen im Projekt

00:15:29: spricht und die sagen, wer hat denn diesen Quatsch beauftragt.

00:15:34: Aber gut, okay, das sind alles reale Beispiele, die ich da gerade erzählt habe.

00:15:43: Ein weiterer Klassiker ist eigentlich so ein bisschen das, was ich auch auf

00:15:46: der Q-Skills-Veranstaltung erzählt habe.

00:15:48: Ich nenne das mal Vertragsbezug.

00:15:52: Also stell dir vor, du hast so einen Rasenmäheroboter und hast dafür einen Wartungsvertrag gemacht.

00:15:58: Und da steht drin so Wartung von elektrischen Bauteilen und Herstellung der

00:16:04: Funktionen für elektronische Bausteine. Das steht dann in deinem Wartungsvertrag.

00:16:10: So, und dann geht dir dein Thermomix kaputt. Und du denkst, da sind ja auch

00:16:15: elektronische Baustellen drin.

00:16:16: Und du gehst mit deinem Thermomix zusammen mit deinem Gartenbaubetrieb.

00:16:20: Was meinst du, wie der dich anguckt?

00:16:22: Also, das jetzt mal als Beispiel. Aber solche Themen haben wir real leider häufig.

00:16:31: Wieder das Thema Schwachstellenmanagement ist dort ein gutes Beispiel für.

00:16:37: Weil dann gibt es irgendwo ein generisches Statement, meinetwegen in einem zehn

00:16:41: Jahren alten Vertrag, der Provider macht Schwachstellenmanagement.

00:16:45: So, und dann stellt er fest, ja, ich habe hier aber irgendwelche Voice-over-IP-Telefone,

00:16:50: die irgendeine Fachabteilung oder irgendein anderer Partner da irgendwie mal

00:16:54: ins Netzwerk gestellt hat, wo es

00:16:56: also überhaupt keinen Vertrags- oder Leistungsbezug mit dem Provider gibt.

00:17:00: So, und trotzdem ist der Kunde der Meinung, er hat aber doch einen Vertrag,

00:17:03: das steht doch drin, der Provider, der macht doch Schwachstellenmanagement,

00:17:06: wo du dann sagst, ja, stimmt, aber doch nicht für irgendetwas,

00:17:10: was du auch hast, sondern bezogen auf das, wofür du überhaupt einen Vertrag abgeschlossen hast.

00:17:14: Also das sind so Sachen, da wundert man sich manchmal. Aber ich habe da insofern

00:17:19: wieder zurück zu dem Buch von Dietrich Dörner.

00:17:21: Ich habe da inzwischen ein Verständnis verentwickelt. Diese Dinge sind einfach

00:17:25: komplex und nicht einfach.

00:17:27: Und insofern ist es ein Stück weit normal, dass man...

00:17:32: Dass das eben einfach so ist. Oder noch ein anderes typisches Thema.

00:17:37: Ja, ihr seid doch ISO 27001 zertifiziert. Ihr müsst doch hier das Risikomanagement.

00:17:44: Und dann sagst du, ja, natürlich, wir müssen unser eigenes Risikomanagement,

00:17:48: aber doch nicht deins Kunde.

00:17:49: Wie sollen wir das denn auch bitte machen? Wir wissen, du hast hier irgendwelche

00:17:53: Windows-Server gekauft.

00:17:54: Wir wissen doch nicht, welche Geschäftswerte da drauf sind. Das musst du uns

00:17:58: beauftragen, bitteschön.

00:18:00: Und dann das nächste Thema, wenn wir über Angreifererkennung sind.

00:18:04: Das gibt es tatsächlich, dass die Kunden dann meinen, wenn du so ein Rechenzentrumsbetreiber

00:18:09: bist, der muss doch da sowieso Angreifererkennung irgendwie machen und für Sicherheit sorgen.

00:18:15: Und wenn du jetzt mal überlegst, angenommen, das täte der Provider.

00:18:20: Dann macht der sofort einen DSGVO-Verstoß, weil du bist sofort beim Thema,

00:18:25: du wertest IP-Adressen oder andere Daten aus, dann bist du sofort in dem Thema

00:18:29: personenbezogene Daten.

00:18:31: So, und wenn das nicht zu einem Auftrag gehört und das als Leistung vereinbart

00:18:36: ist, dann darfst du das als Provider gar nicht.

00:18:39: Trotzdem gibt es eben Kunden, die eben fest der Meinung sind,

00:18:43: dass sie kein Problem sind, weil der Provider macht das ja.

00:18:47: Und das wären jetzt so einige Beispiele, die so wirklich häufig sind,

00:18:51: die mir so auf dieser jetzt gerade in den Sinn kommen.

00:18:53: Ja, ich muss leider sagen, also auch auf unserer Flughöhe passiert genau Ähnliches.

00:18:59: Also das führt dazu, dass wir irgendwann mal entschieden haben,

00:19:02: dass unsere Verträge enthaltene und nicht enthaltene Leistungen einfach beinhalten,

00:19:06: um genau das eben auch schon mal ein bisschen zu umschiffen.

00:19:09: Weil auch bei uns gibt es das, dass Kunden halt einem Housing oder Hosting bei

00:19:13: uns in einem unserer Data Center sind und dann funktioniert irgendeine Fachapplikation

00:19:18: auf dem Server nicht so richtig und dann sind wir natürlich als Data Center

00:19:22: Betreiber erstmal schuld.

00:19:24: Und ich sage halt, nee, nee, also wir stellen euch halt die Infrastruktur,

00:19:27: aber alles unterkannte Betriebssystem ist eigentlich jetzt eure Baustelle,

00:19:31: solange wir keinen Auftrag haben, mehr dafür zu tun.

00:19:33: Und wenn es dann wirklich in Fachsoftware geht, keine Ahnung,

00:19:37: können wir nicht. Also das ist auch gar nicht unser Business.

00:19:39: Dafür gibt es andere Filme, die das wesentlich besser können.

00:19:41: Aber ja, genau solche Diskussionen führen wir auch immer wieder. Leider.

00:19:46: Ja, das ist ganz interessant. Also das ist auch so ein bisschen,

00:19:49: seit ich jetzt wirklich so komplett auf 100 Prozent Security gegangen bin.

00:19:53: Ist das eine der Fragestellungen, mit denen ich mich sehr beschäftige.

00:19:57: Warum ist das so und wo kommt das her?

00:20:00: Weil abstrahiert geht es ja letztendlich darum, Geschäftsprozesse gegenüber

00:20:04: Cyberrisiken abzusichern.

00:20:06: Und wenn du jetzt so allgemein fragst, sind Firmen grundsätzlich nicht willens

00:20:11: oder in der Lage, Risikomanagement für ihre Geschäftsprozesse zu machen?

00:20:15: Dann würde ich sagen, nee, das würde ich so pauschal nicht unterschreiben.

00:20:19: Wenn du da jetzt zum Beispiel ein einfaches Beispiel nimmst,

00:20:22: dein Geschäft hängt davon ab, dass Gabelstapler LKWs beladen.

00:20:27: So, dann kriegen Firmen das hin. Die haben einfach mehrere von den Dingern und

00:20:30: Wartungsverträge und Ersatzteile und da fahren die Gabelstapler.

00:20:33: Aber sobald es irgendwie um IT geht, funktionieren diese ganzen Mechanismen sehr, sehr begrenzt.

00:20:43: Wie gesagt, meine einzige Erklärung, die mir da einfällt, ist wirklich dieses

00:20:46: Komplexitätsthema oder dass das eben halt auch so eine abstrakte Welt ist.

00:20:50: Und in Bezug auf eben, wenn du dann wirklich bei Cyber Security bist,

00:20:55: dann wird es einfach noch schwieriger.

00:20:57: Also so ein klassisches IT-Dilemma, was ja auch jeder in der Ausbildung oder

00:21:02: Ähnliches lernt, ist ja dieses Fachabteilung kann der IT die Anforderungen nicht richtig nennen.

00:21:10: Und dann gibt es ja auch diese Bilder mit diesem Schaukelstuhl am Baum und diese Klassiker. Ja, ja.

00:21:16: So, aber wenn man sich mal überlegt, von was ist da die Rede?

00:21:19: Da ist die Rede davon, dass eine Fachabteilung über ihre Aufgabe redet.

00:21:24: Und da klappt das schon nicht.

00:21:26: So, jetzt transferiere das mal zu Security.

00:21:29: Also dieses Thema, hallo Kunde, sag mir doch bitte mal deine Anforderungen.

00:21:37: Oder am besten noch, ja, welche Use Cases möchtest du denn implementieren oder so.

00:21:41: Da guckst du in leere Augen und das verstehe ich auch. Also sprich,

00:21:45: da muss man einfach einen anderen Ansatz wählen.

00:21:47: Ja, wir reden halt einfach komplett andere Sprachen. Das ist halt ein großes Problem dabei.

00:21:52: Mein ehemaliger Arbeitgeber hat immer gesagt, wenn ich versucht habe,

00:21:55: was in der Tiefe zu erklären, ich soll aufhören, EDV-Chinesisch zu reden.

00:21:59: Das ist genau der Punkt. Ja, absolut. Wo du das gerade sagst,

00:22:03: ich mache gerade relativ viele OT-Themen.

00:22:06: Also OT-Security finde ich auch besonders relevant und das erinnert mich jetzt

00:22:09: gerade an einen ersten Projekttag mit einem Kraftwerkskunden,

00:22:14: wo dann ein Prozestechniker gleich sagte, ja, also ihr müsst daran denken,

00:22:17: wenn ihr dann einen Alarm meldet bei uns in den Leitstand, da ist dann Schlosser

00:22:21: und der spricht nicht IT-isch und Englisch sowieso nicht.

00:22:25: Ich dachte mir, ja, das ist so eine schöne Einleitung, so ähnlich hatte ich mir das vorgestellt.

00:22:29: Aber das gehört halt mit dazu und da muss man eben Antworten finden,

00:22:33: wo man letztendlich auch die Menschen mitnimmt und auch kompatibel wird.

00:22:36: Und vielleicht sind wir da auch in so Blasen drin.

00:22:41: Also so auch jetzt wieder ein Bild male ich jetzt gerade mal.

00:22:47: Ich stelle dir vor, eine Security-Board-Sitzung von einer Molkerei.

00:22:52: Da sitzt der Chef mit seinen drei Security-Stereotypen. So, der erste ist der Compliance-Mann.

00:22:59: Der erzählt im Moment bestimmt irgendwas über NIST 2, ja, oder über irgendwelche

00:23:03: Best-Practice-Controls aus ISO 27002.

00:23:07: Dann kommt der Techie, der erzählt im Moment bestimmt was von,

00:23:10: ich brauche unbedingt Security-Copilot oder sowas, oder auf jeden Fall irgendwas mit AI.

00:23:15: Und der dritte, den nenne ich den Hacker-Nerd-Stereotyp, der sagt dann sowas

00:23:19: wie, habt ihr gehört, was die Chinesen wieder für ein fancy Hack gemacht haben

00:23:22: am Wochenende. So, und ich setze mich dann immer gerne in die Personen rein

00:23:27: und frage mich dann, was denkt denn in diesem Moment dieser Geschäftsführer?

00:23:30: Und in dem Beispiel kann der nur eine einzige Sache denken, was zum Teufel hat

00:23:35: das mit meinem Joghurt zu tun?

00:23:39: Du bist auf Mute, mein Lieber.

00:23:41: Ja, und hoffentlich ist das Meeting bald vorbei. Das denkt er sich vielleicht dann außerdem noch.

00:23:46: Wahrscheinlich. Es ist genau so, wie du es beschreibst. Und ich habe vor vielen

00:23:51: Jahren tatsächlich auf meinem alten Security-Blog genau dazu auch mal einen

00:23:54: Beitrag gehabt, wo ich gesagt habe.

00:23:56: Ihr müsst einfach mal anfangen, also ihr IT-Verantwortlichen und Nerds und so

00:24:00: weiter, ein bisschen die andere Seite mal zu verstehen.

00:24:04: Ihr erwartet immer, dass die anderen euch verstehen, was niemals funktionieren

00:24:09: kann, weil ihr macht es rund um die Uhr und die haben vielleicht alle halbe

00:24:12: Jahr mal Berührung damit,

00:24:13: sondern sich einfach mal versuchen, auf eine einheitliche Ebene zu nähern,

00:24:18: indem man vielleicht auch mal

00:24:19: bei einer Security-Bewertung auch eine Risikoabschätzung macht und sagt,

00:24:23: wenn wir jetzt einen Ausfall über Zeitraum XY haben, Ich habe mal geguckt bei

00:24:29: North Data oder in unserer vorherigen Bilanz im Bundeswirtschaftsanzeiger.

00:24:33: Wir haben letztes Jahr 10 Millionen Euro Jahresumsatz gehabt.

00:24:36: Und wenn das System jetzt einen Tag ausfällt, bedeutet das ein bisschen mehr

00:24:39: als 45.000 Euro Umsatzverlust.

00:24:42: Das ist natürlich eine Blödsinsrechnung, aber es ist zumindest eine Rechnung,

00:24:46: die in Richtung von Leuten funktioniert, die halt in Zahlen denken, Entscheider denken.

00:24:51: Und dann hat man ja schon mal den Schritt in die Richtung gewagt und auf einmal

00:24:54: entsteht halt ein Dialog. Aber wenn halt, wie du sagst, dieser Dreiklang aus

00:24:59: IT-Verrückten vor einem Geschäftsführer sitzt, die können das halt nicht verkaufen.

00:25:03: Man muss ein bisschen versuchen, auch mal die Gegenseite zu verstehen.

00:25:06: Weil ich meine, wir haben lange, lange Jahre, sind wir belächelt worden,

00:25:10: alle mit unserem EDV-Quatsch, den wir da machen. Also ich bin seit NT-Server

00:25:15: dabei und uns hat nie irgendwer verstanden.

00:25:17: Das war einfach immer nur ein Kostenfaktor und die Typen, die immer in schwarz

00:25:20: gekleidet rumlaufen und irgendwie erst um elftes Arbeiten anfangen,

00:25:24: weil sie die ganze Nacht Updates installiert haben.

00:25:26: Und vielleicht muss man auch mal das in die andere Richtung machen,

00:25:29: dass wir jetzt, wo wir tatsächlich durchaus ja eine gewisse Relevanz haben für

00:25:34: alle Unternehmen weltweit,

00:25:36: versuchen zu verstehen, was die Leute, die denn letzten Endes das Geld dafür

00:25:39: auch ausgeben, eigentlich gerne hören möchten oder brauchen,

00:25:43: um überhaupt zu greifen, was wir von denen wollen.

00:25:46: Ja, absolut. Also anders formuliert, man muss dort eine Gesprächsebene überhaupt finden.

00:25:52: Und ich mache mich tatsächlich in der Bubble, also gerne auch bei CISOs,

00:25:56: manchmal auch häufig unbeliebt, wenn ich dann sage, Freunde,

00:25:59: wenn euer Geschäftsführer nicht versteht, warum das einen Mehrwert hat,

00:26:03: dass er Geld ausgeben soll, dann darf der euch kein Geld geben. Das ist sein Job.

00:26:07: Das finden viele total blöd, aber ich sehe das so. Wir müssen als Branche einfach

00:26:12: bessere Geschichten finden oder bessere Bezüge finden und die Mehrwerte besser darstellen.

00:26:18: Und diese Dialoge, wie gesagt, du wirst merken, ich habe so ein bisschen dieses

00:26:22: Muster, dass ich mich immer mit den Menschen in den Beziehungen sehr gerne beschäftige.

00:26:25: Da passieren ja ganz absurde Sachen.

00:26:28: Es gibt zum Beispiel Geschichten auch aus dem OT-Umfeld, ja,

00:26:32: wo CISOs von großen Unternehmen mit mehreren Produktionslokationen, also großen Fabriken,

00:26:39: jahrelang ihren Vorständen und ihren Boards, also nicht Aufsichtsräten sogar,

00:26:44: also nicht den Vorständen, sondern Aufsichtsräten darüber berichtet haben,

00:26:48: wie toll sie ihre Security verbessert haben.

00:26:50: Und dann kamen so konkrete Fragen wie, ja, wie sieht das denn aus mit meinem Werk in Dallas?

00:26:56: Und dann kam raus, ja, nee, also die Werke sind ja gar nicht im Scope.

00:27:01: Und da gibt es mehrere Geschichten, dass dann CISOs auch sofort ihren Job verlassen haben.

00:27:06: Aber letztendlich ist es wieder ein Dialogthema. Und auch eben eine der Tipps,

00:27:14: die ich da eben gebe, immer vom Geschäftsprozess auszudenken und nicht von irgendwelcher IT.

00:27:19: Da landet man natürlich. Man landet natürlich auch bei Klassikern wie dem Active

00:27:23: Directory oder so und solchen Themen. Das tut man natürlich.

00:27:28: Aber trotzdem, der Kern der Diskussion sollte immer der Geschäftsprozess sein.

00:27:31: Und deswegen auch jetzt wieder zusammengefasst, was darf auf gar keinen Fall passieren?

00:27:37: Also wie kriege ich die Firma am schnellsten Pleite?

00:27:41: Und warum ist das relevant? Weil wir reden ja auf der Angreiferseite von Kriminellen.

00:27:48: Und das ist die Frage, die die sich ja auch stellen. Und wenn ich jetzt mir

00:27:53: vorstelle, Betreiber von einem Windpark, wie quäle ich den, damit er mir Geld

00:27:58: gibt, so viel er irgendwie kann? Verschlüssel ich dessen Festplatten?

00:28:02: Nee, ich mache Karbere Windräder, ist doch klar. Also da, wo die Wertschöpfung ist.

00:28:08: Und ich glaube, das ist der einzige Weg, dass man dort basierend eben auf dieses

00:28:14: Gespräch über die Geschäftsprozesse dann auch zu einem Verständnis kommt,

00:28:18: dass das dort eben halt auch einfach Risiken sind, die adressiert werden müssen.

00:28:23: Ja, es wird halt leider gerade auch in unserer Branche und unserer Bubble nach

00:28:27: wie vor auch in Silos gedacht.

00:28:29: Und auch das trägt oft bei den IT-Verantwortlichen zum Verständnis bei,

00:28:33: wenn man halt auch mal erklärt, schau mal, wenn du jetzt Mist baust,

00:28:37: dann bist du halt Arbeitnehmer und Fehler passieren ist halt so.

00:28:42: Aber letzten Endes, je größer der Mist wird und wenn es ein Angriff ist und

00:28:45: du auch noch ein reguliertes Unternehmen bist, Du hattest gerade NIST 2 schon mal so kurz angerissen.

00:28:50: Letzten Endes ist der Geschäftsführer der Gelackmeierte. Wir reden hier über

00:28:54: drakonische Strafen bis hin zur Amtsenthebung des Geschäftsführers.

00:28:58: Der steht dafür gerade, was wir nicht vermitteln konnten.

00:29:02: Und das ist der Punkt. Ja, also meine persönliche Perspektive zu NIST 2 ist,

00:29:08: dass ich grundsätzlich das eigentlich gut finde, dass dort etwas passiert.

00:29:12: Auf der anderen Seite finde ich es aber auch wieder traurig,

00:29:14: weil das ist ein bisschen wie, man schreibt für seine Kinder irgendwie Hausregeln,

00:29:18: dass sie bitte nicht mit den Händen auf heiße Herdplatten fassen.

00:29:22: Weil im Kern, außer jetzt die Meldepflichten und so, steht da ja nichts drin,

00:29:27: was man nicht sowieso machen sollte.

00:29:29: Sollte. Ja, das ist richtig. Aber insofern, es wird dann jetzt viel,

00:29:36: ich weiß nicht, ob das so ein typisch deutsches Thema darüber diskutiert,

00:29:39: bin ich denn da jetzt abgedeckt und muss ich denn da jetzt mitmachen oder finde

00:29:43: ich jetzt nicht doch irgendwie einen Trick, wie ich da vielleicht irgendwas nicht machen muss.

00:29:46: Anstatt zu sagen, nee, nimm das doch einfach mal als Checkliste zu gucken,

00:29:51: wo du stehst und ob du denn für dich die Sachen adäquat gemacht hast,

00:29:54: weil eigentlich geht es ja darum.

00:29:56: Und da ist jetzt irgendwie so eine Prüforgie draus geworden irgendwo und eigentlich

00:30:02: geht das insofern am Thema vorbei, weil also die Disziplinen,

00:30:06: die dort gefordert sind, das sind ja genau die richtigen.

00:30:08: Ja, natürlich. Und es gäbe diese

00:30:10: ganzen Maßnahmen nicht, wenn es keine Notwendigkeit dafür geben würde.

00:30:14: Das muss man halt auch mal sagen. Also ich sehe es halt im Mittelstand,

00:30:17: gerade im kleineren Mittelstand, ganz häufig, dass eben nicht mal überhaupt

00:30:20: jemand da ist, der es bewerten kann.

00:30:23: Also viele verlassen sich halt auf eine Handvoll Dienstleister,

00:30:26: die sie für alles Mögliche im Einsatz haben, so wie du gerade sagtest.

00:30:29: Das wird schon der Dienstleister tun und dann kommst du als Auditor da rein

00:30:34: und machst halt die Bewertung der technisch-organisatorischen Maßnahmen und

00:30:38: stellst halt fest, hier haben wir jede Menge Lücken, da ist uralte Software

00:30:41: im Einsatz und organisatorisch ist auch gar nichts da.

00:30:44: Hat noch nie irgendjemand darüber nachgedacht, wie verhalten wir uns denn,

00:30:47: wenn ein Vorfall passiert oder irgendwie eine Störung eintritt,

00:30:52: was haben wir denn für Maßnahmen?

00:30:54: Ja, der Gabelstapler, der den LKW belädt, das kann man als Geschäftsführer,

00:30:58: der die Firma gegründet hat, greifen, weil man vielleicht selber einen Staplerführerschein hat.

00:31:01: Aber diese ganzen komplexen Zusammenhänge im IT-Bereich, dass,

00:31:05: wenn ich jetzt da hinten das Kabel rausziehe, dies und das und jene Anwendung

00:31:09: und der Geschäftsprozess nicht mehr funktioniert, das versteht ja keiner.

00:31:12: Ja, und genau dafür finde ich es eigentlich auch nicht schlecht,

00:31:15: dass NIST 2 auch die Verantwortlichen und auch die Geschäftsführer dazu nötigt,

00:31:20: sich mehr mit dem Thema auch auseinanderzusetzen.

00:31:22: Ja, also in der Konsequenz sehe ich das ganz genauso.

00:31:26: Trotzdem, wie gesagt, vor dem Hintergrund, dass das eigentlich sowieso Sinn

00:31:29: machen würde, finde ich es eigentlich traurig, dass es notwendig ist.

00:31:32: Aber trotzdem wird das sicherlich helfen.

00:31:35: Wenn es denn, wie gesagt, nicht zu einer reinen Compliance- und Papiererzeugungsorgie

00:31:41: wird, weil das geht natürlich, du kannst natürlich alles durch Papier erschlagen.

00:31:46: Also wer sich in der Audit-Welt auskennt, das geht natürlich.

00:31:51: Also man kann auch da ganz viel formal lösen, ohne eine echte Lösung herbeizuführen,

00:31:57: sodass kein Auditor eine Chance hat,

00:31:59: tatsächlich die Firma tief genug zu verstehen. Das geht, klar geht das.

00:32:03: Und da wird auch viel Geld mit verdient, glaube ich, mit solchen Sachen.

00:32:06: Aber sie sind eigentlich eben nicht zielführend.

00:32:09: Sie führen nicht dazu, dass im Endeffekt das Ziel und wie gesagt für mich Schutz

00:32:13: von Geschäftsprozessen gegenüber Cyberrisiken auch real erreicht wird.

00:32:18: Ja, ich befürchte ein bisschen, dass das so ein riesiger Papiertiger wird,

00:32:22: wie vielleicht die DSGVO sogar noch wesentlich größer.

00:32:26: Und ja, wir werden es erleben. Ich bin schon mal sehr gespannt.

00:32:30: Aber was mich ein bisschen erschüttert, muss ich sagen, ist jetzt,

00:32:33: dass die ersten Unternehmen unterwegs sind, die behaupten, sie würden ein NIS-2-Geprüft-Zertifikat

00:32:39: ausstellen, wo ich sage, das könnt ihr überhaupt nicht. Das kann man nicht.

00:32:43: Ja, ausstellen kannst du, das ist bloß halt nicht gültig.

00:32:46: Genau, also ausstellen, ja, aber das ist halt schon stark.

00:32:50: Und da sind wir halt auch wieder dabei, das führt leider auch so ein bisschen

00:32:54: dazu, dass manche Dinge einfach mittlerweile auf Ablehnungshaltung bei den Entscheidern stoßen.

00:32:59: Wir haben halt auch leider eine Menge schwarzer Schafe in dem Bereich.

00:33:02: Das stimmt, das stimmt. Ja, wobei, also die Verdaubarkeit von diesen Formalien

00:33:10: wie eben NIST 2, die sind teilweise auch schwierig, finde ich.

00:33:14: Also vielleicht da ein Tipp, ich weiß nicht, ob du das kennst,

00:33:17: das BSI hat ja tatsächlich mit so einer DIN-Norm für Prüfung von Kleinstunternehmen

00:33:23: zu Security aufgelegt. Das ist, finde ich, wirklich eine gelungene Sache.

00:33:28: Also zu sagen, das ist verdauerbar, da sind die wesentlichen Themen auch drin,

00:33:32: aber man muss sich nicht gleich in die volle akademische Schönheit oder in das

00:33:38: Paragrafendeutsch irgendwo komplett einlesen und kann trotzdem schon mal wesentliche

00:33:44: Themen tatsächlich verbessern.

00:33:46: Absolut. Es muss auch greifbar und verständlich einfach formuliert sein,

00:33:51: weil das Ganze, es liest sich ja keiner durch.

00:33:53: Das ist ja wie der IT-Grundschutzkatalog, den liest sich ja auch kein Mensch durch.

00:33:57: Letzten Endes, wenn du dann sagst, okay, das, was mir auch immer ganz gut gefällt

00:34:00: dazu, ist die Zusammenfassung und Aufbereitung von OpenCritus.

00:34:04: Wenn du sagst, okay, ich habe schon irgendeine Standardisierung,

00:34:07: wie jetzt eine ISO 27001 zum Beispiel,

00:34:10: dann kannst du eben über die Controls gucken und kannst sagen,

00:34:13: so, und jetzt trifft für mich noch NIS2 oder DORA oder TISAX oder was auch immer

00:34:17: zu und dann kannst du zumindest schon mal ableiten, aha,

00:34:20: das eine wurde im ISO Kapitel XY gelöst und passt dann zu dem Thema aus dem

00:34:25: anderen Standard oder der anderen Norm,

00:34:27: die ich jetzt halt auch noch zu erfüllen habe und damit kommt man dann auch

00:34:30: mal so ein bisschen näher ans Ziel einfach, Weil sonst müsstest du ja für jede

00:34:34: Neustandardisierung immer wieder von Null anfangen und dich durch diese ganzen Dinge durchwühlen.

00:34:39: Manchmal oder ganz häufig sind es ja die gleichen Sachen, die heißen halt bloß

00:34:42: einfach anders. Ja, absolut.

00:34:45: Also ein schönes Beispiel dafür. Also ich habe auch viel Compliance gemacht

00:34:48: früher, muss ich sagen, dass ich jetzt eher so in diese Cyber-Sache reingehe.

00:34:52: Zum Beispiel PCI DSS Kreditkartensicherheit.

00:34:57: Was haben die gemacht? Die haben im Prinzip die ISO 27002 Best Practice Controls

00:35:02: auf Kreditkartendaten angelegt. Und dann in ISO 27002 gibt es so ein Kontroll,

00:35:08: das heißt sowas wie teste nicht mit Produktionsdaten.

00:35:12: Und in PCI heißt das gleiche Ding, teste nicht mit Kreditkartendaten.

00:35:15: Also insofern das gleiche in grün, bloß eben nochmal wieder anders.

00:35:21: Insofern völlig richtig, was du sagst.

00:35:24: Aber nochmal im Kern, ich finde immer...

00:35:27: Die Schwierigkeit so ein bisschen, die ja gemeistert werden muss,

00:35:31: wie komme ich von dieser komplexen Anforderungsseite ins Doing?

00:35:35: Und häufig wird eigentlich auf der Anforderungsseite verharrt,

00:35:40: dass man irgendwie sagt, man macht jetzt noch größere Anforderungskataloge in

00:35:44: seinen Richtlinien oder ähnliches.

00:35:46: So, und ich sage immer, Mensch, überlegt doch, denk da doch mal anders drüber

00:35:50: nach, mach doch ein Umsetzungskonzept.

00:35:52: Also so ein bisschen eigentlich auch jetzt hier, wenn du jetzt im Grundschutz

00:35:55: bist, ist das ja eigentlich auch die Idee, nach einer Schutzbedarfsanalyse zu

00:35:58: einem Sicherheitskonzept zu kommen, was ja letztendlich dann nicht mehr die

00:36:01: Anforderungsseite beschreibt, sondern die Umsetzungsseite.

00:36:04: Und dann kannst du natürlich immer noch gehen und sagen, du willst jetzt was,

00:36:07: dass ich IEC 62443 jetzt irgendwie auch noch machen, meinetwegen,

00:36:11: oder irgendwas anderes.

00:36:12: Dann kannst du immer noch sagen, du hältst jetzt eben diesen neuen Katalog gegen

00:36:16: dein Umsetzungskonzept, aber nicht gegen dein eigenes ISMS notwendigerweise.

00:36:23: Aber das habe ich wenig gesehen, dass man eigentlich eher in der Verwaltung

00:36:29: von Anforderungen verblieben wird und gar nicht so sehr gesagt wird,

00:36:33: wie komme ich denn eigentlich zu Architekturen und Umsetzungskonzepten,

00:36:36: die dann eben konkret sagen, was denn eigentlich zu machen ist.

00:36:40: Ja, ich bin da mittlerweile ein bisschen pragmatischer geworden.

00:36:42: Ich fange, wenn wir so einen Kunden in der Richtung beraten.

00:36:46: Eigentlich tatsächlich damit an, dass wir erstmal so dieses Dreieck aus Anwendungen,

00:36:50: Geschäftsprozessen und IT-Systemen versuchen, irgendwo auf einen Nenner zu bekommen

00:36:54: und dann auch die verschiedenen Fachabteilungen und Entscheider auch mal mit

00:36:59: einbeziehen und sagen, okay,

00:37:01: die IT sagt, das System hier darf maximal vier Stunden ausfallen.

00:37:04: Das betrifft jetzt auch deine Applikation.

00:37:06: Bist du denn okay damit, wenn die Anwendung vier Stunden lang nicht zur Verfügung steht?

00:37:10: Und was bedeutet das dann am Ende, ganz nach oben gesprochen auf C-Level,

00:37:13: für den Geschäftsprozess? Was für ein Schaden entsteht dadurch? Und dadurch,

00:37:17: Durch so eine Gap-Analyse kommt man halt dann auch relativ schnell dazu,

00:37:21: dass alle so ein bisschen auch das greifen können, was du da eigentlich gerade

00:37:24: vorhast, um dann am Ende einen Konsens über das ganze Unternehmen hinweg zu

00:37:29: bekommen, dass man sagt, okay, vier Stunden ist zu lang.

00:37:32: Auf IT-Seite, um vielleicht aus vier Stunden zwei Stunden zu machen,

00:37:36: sagt man dann, okay, vielleicht brauche ich hier noch irgendeinen SLA,

00:37:39: einen Vertrag oder ein Ersatzgerät im Regal und dann kommen wir da schon ran.

00:37:42: Also du wirst sowieso nicht alles bis zu Ende durchdenken können,

00:37:45: weil sonst kommst du niemals ins Doing.

00:37:47: Aber du brauchst zumindest eine grobe Marschrichtung und du brauchst ein Verständnis

00:37:50: in den Köpfen der Leute, die dafür nachher auch beteiligt sein werden,

00:37:54: damit alle grundsätzlich mal vom Gleichen sprechen.

00:37:58: Absolut. Ja, inklusive dann eben halt auch so der Worst-Case-Diskussion. Genau.

00:38:04: Also was bleibt quasi über, wenn ich denn doch einen Großteil von meinen Systemen

00:38:09: oder Ähnlichem verliere?

00:38:11: Gibt es irgendwo noch gesicherte Backups oder Ähnliches oder auch Prozeduren

00:38:16: oder Verfahren oder Partner oder Verträge oder was auch immer,

00:38:19: die mir dabei helfen, dass ich meinetwegen in einem Monat wieder produzieren

00:38:23: kann oder mache ich den Laden gleich zu?

00:38:25: Ich meine, es gibt ja genug Beispiele, denen das genau so passiert ist.

00:38:30: Oder die dann eben halt die finanziellen Reserven für die Überbrückung dieser

00:38:34: Wochen oder Monate eben einfach nicht hatten.

00:38:37: Ja, und viele verstehen auch nicht, was alles passieren kann.

00:38:39: Das gehört dann auch dazu, dass man, wie du richtig gerade sagst,

00:38:42: einfach mal drüber spricht,

00:38:43: also was neben Brand und Diebstahl und Einbruch kann denn sonst noch so passieren

00:38:48: an Themen und dass man dann auch das einmal zumindest durchdenkt und sagt,

00:38:52: okay, dann haben wir hier ein Notfalldokumentenset in Papierform.

00:38:55: Da steht dann drin, wenn dieser Fall eintritt, dann informiere ich definitiv

00:39:00: diese Personen, die anderen Personen vielleicht, je nachdem.

00:39:03: Ich habe überall eine Rufnummer, auch vielleicht eine Handynummer und eine Versicherungspolicennummer

00:39:07: mit in dem Dokument drin stehen und dann habe ich zumindest schon mal was an der Hand.

00:39:11: Und möglicherweise habe ich auch schon mal einen Entwurf einer Pressemeldung,

00:39:14: falls die denn nötig wäre, irgendwo parat, damit ich eben nicht dann im Vorfall

00:39:19: die Situation vorfinde, was mir auch schon ein paar Mal passiert ist,

00:39:22: dass dann mein IT-Ansprechpartner von der Geschäftsleitung ins Marketing zitiert

00:39:26: wird, weil jetzt müssen sie zwei Stunden über die Pressemitteilung diskutieren.

00:39:29: Nee, nee, ich brauche den hier.

00:39:31: Der muss mir hier helfen. Wir

00:39:32: haben einen Vorfall. Der kann jetzt keine Pressemitteilungen formulieren.

00:39:35: Und das hilft halt alles. Und da braucht man auch jetzt keine Masterarbeit draus

00:39:40: machen, sondern das sind Dinge, die in einem adäquaten Zeitraum realisierbar sind.

00:39:45: Und dann kann man sie noch ausprobieren. Und das ist schon tausend Prozent mehr

00:39:49: als das, was aber der normale deutsche Mittelstand hat.

00:39:51: Ja, also ich glaube, was da helfen kann, sind wirklich diese Tabletop-Übungen.

00:39:57: Also wo man dann eben möglichst eben mit genau diesen Geschäftsführern und Marketing-Menschen

00:40:03: oder Kommunikationsmenschen, also gerade den ganzen Nicht-Technikern.

00:40:07: Tatsächlich so einen Fall mal durchsimuliert.

00:40:10: Und ich glaube, das hat ganz gute erste Effekte.

00:40:13: Also das löst natürlich nicht das gesamte Problem, aber nochmal wieder zurück.

00:40:16: Mein Problemstatement ist ja quasi, dass die Kommunikation häufig einfach dysfunktional ist.

00:40:22: Ich glaube, das ist eine gute Maßnahme, die dabei helfen kann,

00:40:26: überhaupt den Dialog an den Start zu bringen.

00:40:29: Ja, und das ist tatsächlich auch eigentlich schon so ein bisschen eine Antwort

00:40:33: auf mögliche Fragen, die man einfach jetzt rund um das Thema so stellen könnte.

00:40:37: Also im Grunde genommen, wir müssen einfach versuchen, mehr miteinander zu reden

00:40:41: und die Leute halt auch mitspielen zu lassen.

00:40:43: Das Silo-Denke funktioniert in dem Segment nicht.

00:40:47: Absolut. Aber deswegen, wo du das nochmal sagst, diese Unternehmenssilos und

00:40:52: dann aber noch wieder gespiegelt über mehrere Provider,

00:40:55: die dann eben durch einen anderen Grund, also die sind dann eben keine Abteilungssilos,

00:40:59: sondern sie sind dann vielleicht Vertragssilos, könnte man die das nennen oder so,

00:41:04: führen aber letztendlich in allen Fällen eben dazu, dass es kein holistisches

00:41:07: Bild gibt oder dass eben einfach Erwartungshaltungen da sind,

00:41:12: die einfach überhaupt nicht passen.

00:41:14: Also wenn jetzt zum Beispiel ein SAP-Berater sagt, ja nee, also die Netzwerker,

00:41:18: die machen doch das mit der Security.

00:41:21: Das ist auch so ein schönes Thema, da habe ich mich ganz exzellent auch gestritten

00:41:26: mit ein paar CISOs oder auch ein paar Kunden, da ging es um das Thema Firewall-Regelmanagement.

00:41:32: Wo man auch der Meinung war, dass natürlich die Netzwerkabteilung und der Firewall-Manager,

00:41:37: dass der natürlich jede Regel versteht und weiß, wozu die gut ist.

00:41:41: Und dann die Argumentation zu sagen, Freunde, wie stellt ihr euch das denn bitte vor?

00:41:45: Das ist doch kein Supermann. Woher soll der denn bitte raten?

00:41:48: Der sieht IP-Adressen, sage ich jetzt mal.

00:41:50: Der weiß doch nicht, was dahinter steht und ob das sinnvoll ist oder ob das

00:41:54: sicher ist. Der kann dir sagen, ob ein Protokoll potenziell sicher ist oder

00:41:58: auch nicht, aber mehr auch nicht.

00:42:01: Da habe ich einen richtigen Schützturm ausgelegt, weil da war man tatsächlich

00:42:05: der Meinung, nee, nee, also das müsste der Firewaller schon machen.

00:42:08: Aber das ist halt Quatsch. Da muss man einfach mal reingehen in diese Diskussionen,

00:42:13: glaube ich, und die führen. Das hilft nichts. Ja, ja, absolut.

00:42:17: Aber neben dem Dialog und dem Konsens, was gibt es denn sonst noch so für Möglichkeiten,

00:42:23: wenn man jetzt sagt, man steckt mitten in so einer Digitaltransformation drin,

00:42:27: wie kann man denn, wie kann man es besser machen?

00:42:28: Ja gut, also erstmal, um mal den Begriff mal zu schärfen, was meine ich damit?

00:42:36: Also digitale Transformation oder Digitalisierung sind ja leider unscharf verwendete

00:42:41: Begriffe. Deswegen verwende ich jetzt tatsächlich gerade mal eine unscharfe

00:42:46: Interpretation und meine damit so Cloud-Migration oder Ähnliches.

00:42:51: Also aus meiner Sicht eigentlich nicht die richtige Verwendung des Begriffs,

00:42:56: aber trotzdem ist die ja eigentlich eine übliche Verwendung dieses Begriffes im Markt.

00:43:00: So, und dort ganz klar, bitte Security by Design und Security by Default,

00:43:05: ja, und eben, wir hatten eben so ein einfaches Beispiel vorhin mit der SaaS-Anwendung ohne MFA,

00:43:12: bitte einfach nicht machen, ne, und eben auch nicht die Perimeter-Modelle,

00:43:17: die man jetzt On-Premise gefahren hat, eins zu eins in die Cloud kopieren,

00:43:21: bitte auch nicht machen, ja,

00:43:22: weil es sich auch nicht rechnet, nur so mal nebenbei, aber ist auch egal,

00:43:26: bleiben wir bei Security bei

00:43:28: Ich sehe Chancen tatsächlich in der Cloud, aufgrund der Natur von Clouds,

00:43:34: einige Probleme tatsächlich besser in den Griff zu kriegen, als man das On-Premises hinkriegt.

00:43:39: Und das liegt einfach daran, dass hier alles Software ist. Ja,

00:43:43: so, warum ist das interessant?

00:43:45: Also, man kann eben mit so einem Infrastructure-as-Code-Ansatz zum Beispiel

00:43:49: einfach sicherstellen, dass bestimmte Features eingeschaltet bleiben in Bezug auf Security, ne,

00:43:55: und dass sie, wenn man die auch so als Templates zum Beispiel für bestimmte

00:43:58: Umgebungstypen verwendet, dass die auch einfach immer da sind,

00:44:01: ne, und dass sie auch nicht so einen Configuration-Drift haben und dann irgendwie

00:44:05: drei Wochen später wieder nicht da sind, weil irgendwer irgendwo geklickt hat, ne.

00:44:09: Also insofern, diese Features der Cloud, die sind definitiv eine Chance.

00:44:16: Dinge sicherer betreiben zu können oder auch die Integrierbarkeit,

00:44:21: also die großen Hyperskyler, die haben alle diverse Security-Funktionen,

00:44:26: aber das ist übrigens einer der nächsten klassischen Fails, den habe ich vorhin,

00:44:30: glaube ich, gar nicht so explizit darauf hingewiesen,

00:44:33: in diesem Cloud-Referenz-Verantwortungsbild, Dass eben Kunden gerade bei Cloud

00:44:39: eben noch viel stärker der Meinung sind, der Cloud-Provider sorgt doch für Security.

00:44:43: Und das macht er natürlich auch für den Teil, den er überhaupt verantwortet.

00:44:47: Ansonsten macht er Angebote. Aber wenn ich die nicht nutze, also wenn ich jetzt

00:44:51: eben zum Beispiel in Azure die verschiedenen Defender einfach nicht einschalte

00:44:55: oder auch dort dann eben meine Network Security Groups, Firewall-Regeln letztendlich so weit offen mache,

00:45:02: dass sie eben unsicher sind und dann die Hilfestellungen, die ja auch die großen

00:45:06: Clouds alle bieten, also wie eben in dem Fall der Azure Security Advisor und

00:45:10: Secure Core, die mehr sogar darauf hinweisen, wo Sachen unsicher sind.

00:45:13: All diese Dinge gibt es ja on-premises nicht.

00:45:17: Aber dann führt das ja jetzt wieder zurück zu diesem Provider-Thema.

00:45:21: Das sind ja auch letztendlich wieder Leistungsbestandteile und die werden dann

00:45:25: gemacht, wenn sie vereinbart sind.

00:45:27: Und irgendwie macht der Provider Security, das reicht eben nicht.

00:45:31: Man muss da expliziter reden, weil auch da ist, ich meine, das wirst du sicherlich

00:45:36: genauso sehen. Also man hilft ja gerne Kunden, aber letztendlich ist man ja

00:45:39: trotzdem in einem Wirtschaftsunternehmen, nicht irgendwie altruistisch unterwegs.

00:45:44: Das ist eben so, Dinge kosten Geld und auch sinnvolle Security-Dinge führen

00:45:51: dazu, dass Menschen Dinge tun müssen und die möchten halt auch gerne Gehalt bekommen.

00:45:55: Und deswegen führt da kein Weg dann rum zu expliziten, was du dich erinnerst,

00:46:02: vielleicht noch an die Zusammenfassung in dem Vortrag da in Nürnberg.

00:46:06: Also bitte ganz explizit Leistungsvereinbarungen machen und nicht mit Erwartungen

00:46:12: arbeiten. Das funktioniert nicht.

00:46:15: Ja, absolut. Und auch vor allem die Leute mal auf eine Schulung schicken.

00:46:17: Das ist dann das Nächste.

00:46:18: Ich übergebe oft Systeme und sage noch dazu, bitte, bitte, bitte,

00:46:23: macht noch eine Schulung oder bitte begleitet das, was wir dort tun.

00:46:27: Dann dauert es zwar vielleicht ein paar Stunden länger, wenn ich jeden Klick

00:46:30: erkläre, aber das Verständnis ist dann einfach ein bisschen größer.

00:46:33: Und wie du gerade richtig sagst, ich werde ja teilweise wirklich mit großen,

00:46:37: roten Lettern und blinkenden Dingen darauf hingewiesen, Achtung,

00:46:41: du hast das nicht eingeschaltet, kümmere dich darum.

00:46:43: Jetzt erst die Umstellung am 15.10.,

00:46:45: wo Microsoft dann auch für diese Break-Glass-User das MFA forciert hat.

00:46:50: Ganz viele Kunden, ja, jetzt können wir den nicht mehr benutzen.

00:46:53: Ja, habt ihr das denn eingeschaltet? Nee, wieso?

00:46:55: Ja, weil es da steht seit einem halben Jahr. Deswegen ist es klar einzuschalten.

00:46:59: Ja, aber dann bist du wieder bei Komplexität oder du sagst das vorhin,

00:47:03: diese 47 Dashboards, die man

00:47:05: da jeden Tag angucken müsste. Das funktioniert ja so wieder auch nicht.

00:47:08: Aber dann wieder auch da, auch diese ganzen Sachen sind letztendlich als Daten ja verfügbar.

00:47:13: Da kann man auch anders mitarbeiten. Da muss man nicht zwingend irgendwie auf Dashboards gucken.

00:47:18: Aber das ist halt auch nichts, was man sich an so einem Nachmittag dann mal

00:47:21: beibringt, sondern das muss eben entsprechend besprochen sein.

00:47:28: Und dann eben, wie gesagt, wieder in diesem Provider-Umfeld.

00:47:32: Man kann auch da Features ja nicht einfach ein- und ausschalten.

00:47:36: Also sowohl, wenn man die funktionalen Aspekte nicht kriegt oder man könnte

00:47:41: auch nicht einfach die Consumption mal hochdrehen, die der Kunde dann bei seinem

00:47:45: Hyperscaler bezahlen muss oder ähnliches.

00:47:47: Das geht ja so nicht. Also ein Provider kann sich ja nicht selber beauftragen.

00:47:51: Also wäre vielleicht mal eine Idee, aber nein. Ich bringe mich bitte nicht auf solche Ideen.

00:48:01: Naja, aber wie stehst du dann dazu, wenn man jetzt gerade sagt,

00:48:06: um in diesem unscharfen digitale Transformationbegriff zu bleiben,

00:48:09: wir führen jetzt was ein, wir migrieren irgendwo hin und man merkt,

00:48:13: das funktioniert irgendwie nicht.

00:48:15: Hält man dann trotzdem an der Investition fest und versucht auf Teufel komm

00:48:19: raus, das weiterhin zu fahren oder ist es aus deiner Sicht ein legitimer Ansatz zu sagen, ja okay,

00:48:25: dieses Toolkit oder diese Software, dieser Stack funktioniert nicht für den Anwendungszweck,

00:48:31: dann müssen wir halt was anderes probieren, was überwiegt.

00:48:36: Also, ich könnte natürlich jetzt die Standardberaterantwort,

00:48:39: das kommt drauf an, ziehen, aber die kennst du wahrscheinlich schon,

00:48:43: die lassen wir gerade mal weg.

00:48:45: Nein, also trotzdem wird es jetzt mal anders formuliert, gibt es da keine allgemeine

00:48:50: Antwort zu. Also wichtig ist, glaube ich, dass man sicher genug ist,

00:48:54: dass man weiß, was man überhaupt will.

00:48:56: Was will ich denn überhaupt erreichen mit meiner digitalen Transformation?

00:49:01: Und die große reine Euphorie, dass man jetzt mit jedem Thema in die Public Cloud

00:49:07: muss, die ist, glaube ich, gewesen. Also an vielen Stellen hat man eben festgestellt,

00:49:12: dass das ja auch gar nicht wirtschaftlich ist für alle Use Cases.

00:49:15: Insofern kann ich da einfach nur raten, einfach nochmal immer sicher zu sein,

00:49:20: dass man nochmal abgleicht, an welcher Stelle hat man jetzt ein Thema.

00:49:23: Also hat man jetzt tatsächlich einen falschen Business Case gemacht,

00:49:26: weil man irgendwelche relevanten Kosten irgendwo vergessen hat?

00:49:28: Oder redet man jetzt hier über irgendeine Technicality, wie es so schön heißt,

00:49:33: ja, also irgendwas Technisches, was man eben einfach durch die Aktivierung von

00:49:37: einem Feature oder ähnlichem eben reaktivieren kann?

00:49:41: Also, aber ja, aber insgesamt so mitten im Sprung so ein Rückweg,

00:49:46: das ist ja die erste Frage, habe ich den denn überhaupt, ne?

00:49:50: Ja, kommt drauf an, wo wir hingesprungen sind zuerst, ganz klar.

00:49:55: Aber ja, dennoch passiert sowas halt.

00:49:58: Also ich habe ganz häufig dann auch Umgebungen, die wir dann übernehmen in der

00:50:02: Betreuung, wo du halt dann auch sagst, wie du vorhin auch so schön sagtest,

00:50:06: wer hat den Quatsch denn verkauft?

00:50:07: Oder warum habt ihr das? Wir haben teilweise Situationen, da gibt es Kleinstunternehmen,

00:50:13: da läuft das größte Cisco Meraki Setup, was du dir nur vorstellen kannst.

00:50:17: Und dann sollen wir die Betreuung übernehmen. sage ich, Alter,

00:50:19: ihr habt hier Enterprise-Technologie. Wer seid ihr?

00:50:22: Mercedes? Audi? Warum habt ihr sowas?

00:50:25: Ja, das hat uns halt irgendwann mal jemand verkauft und keiner weiß,

00:50:28: wie es zu bedienen geht und wenn es kaputt ist, dann haben wir ein Problem.

00:50:32: Ja, das ist ja auch so eine böse Wahrheit aus meiner Sicht.

00:50:36: Wenn man ehrlich ist, man kriegt ja im Zweifelsfall so ziemlich alles verkauft. Ja.

00:50:41: Ob das dann irgendwen glücklich macht, das ist eine ganz andere Fragestellung so oft über Zeit.

00:50:47: Aber letztendlich führt das wieder zu dem Muster zurück. Also bin ich überhaupt

00:50:50: in der Lage, die adäquaten Dialoge zu reden oder auch überhaupt die richtigen Ziele zu formulieren?

00:50:59: Also ich erinnere mich nochmal, wann war denn das? Das muss so vor so zehn Jahren gewesen sein.

00:51:04: Da gab es ja überall so Future Workplace-Projekte und sowas,

00:51:08: wo man jetzt unbedingt Windows 10 brauchte oder so.

00:51:10: Ich weiß nicht genau, vielleicht war es auch ein, zwei Jahre später.

00:51:13: So, und ich habe dann immer so kätzische Fragen gestellt, wie,

00:51:19: woran merkt denn der Nutzer, dass er jetzt glücklicher ist mit seinem Windows 10?

00:51:24: Und dann kamen immer so Techie-Antworten, wie das hat hier Feature XYZ oder

00:51:29: so, aber wie merkt das denn jetzt die Sekretärin zum Beispiel,

00:51:34: dass das jetzt einfach toller ist als vorher?

00:51:36: Und selbst bei solchen einfachen Sachen wird aus meiner Sicht eben viel zu häufig

00:51:42: in Technologie gedacht.

00:51:44: Und nicht in Geschäftsmehrwert. Ich weiß nicht, ob du das so bestätigen kannst.

00:51:49: Und bei Security ist das eben ganz genau so. Also da verzichte ich jetzt gerade mal auf Produktnamen.

00:51:56: Ich will jetzt auch kein Bashing machen.

00:51:58: Aber ich habe teilweise jetzt Lösungen gesehen, die habe ich mir erklären lassen,

00:52:03: wo die Kunden auch große Geldsummen investiert haben, wo ich sage,

00:52:07: ja, und was macht ihr jetzt damit, dass das hier irgendwie so bunt blinkt?

00:52:10: Wozu ist das jetzt gut? Macht da irgendwie einer was mit?

00:52:13: Oder sie waren irgendwie der Meinung, das ist irgendwie eine gute Sache und

00:52:19: das hilft ihnen irgendwie bei ihrer Security, aber so richtig benennen,

00:52:22: wozu das gut war, also in dem Fall, wie gesagt, gab es auch einfach keinen Mehrwert.

00:52:28: Das ist halt der Willhabenfaktor auch vielleicht da, weil es halt cool und fancy

00:52:31: ist und irgendjemand es halt gut pitchen konnte.

00:52:35: Ach, jetzt wo wir bei Geschichten sind, ich kann ja, geht dir wahrscheinlich

00:52:38: genauso, man sammelt ja Geschichten.

00:52:41: Also ich habe zum Beispiel So eine meiner Ansprachen bei Kunden ist halt,

00:52:46: dass sie, also gerade wenn sie so klassisch unterwegs sind, dass ich sage,

00:52:49: ich stelle mal die These auf, ihr habt Investitionen in Security-Tooling getätigt,

00:52:54: mit denen ihr nichts macht.

00:52:56: Und dann hat tatsächlich ein IT-Leiter eines Kunden gesagt, ja,

00:52:59: das habe ich auch festgestellt und deswegen haben wir unsere NIDS wieder abgebaut.

00:53:05: So, wo ich dachte, okay, gut, das ist natürlich aus Kosten-Nutzen-Sicht,

00:53:08: also ich meine, wenn du damit eh nichts machst, hat es genauso viel Sinn,

00:53:11: aber eine Lösung wäre vielleicht auch gewesen, das sinnvoll einzusetzen.

00:53:16: Ja. Oder auch Befindlichkeiten in anderen Kundendialog.

00:53:22: Ich mache immer gerne den Pitch für Schwachstellenmanagement als erstes.

00:53:27: Ich sage, also Kunde, wenn du sonst nichts machst, dann mach wenigstens Schwachstellenmanagement

00:53:32: und reduziere so ein bisschen deine Angriffsschläge.

00:53:35: Und da sagt der IT-Leiter vom Kunden, ja, da müssen wir aber ganz sensibel mit

00:53:40: umgehen, wenn wir jetzt hier auf einmal wissen, was wir hier so für Schwachstellen

00:53:44: haben, weil es darf ja nicht rauskommen, dass ich meinen Job nicht mache und

00:53:48: erwarte ein scheiß Dienstleister ist.

00:53:50: Da habe ich auch gedacht, puh, wo will ich gerade hin? Also da spielen dann

00:53:55: auf einmal so Unternehmenskultur-Themen eine Rolle.

00:53:58: Dass da Leute Angst um ihre Jobs haben, weil das könnte ja irgendwie rauskommen,

00:54:03: dass sie irgendwie etwas nicht gemacht haben.

00:54:06: Aber das Muster bleibt das Gleiche. Die Schwierigkeiten sind immer rund um Dialoge

00:54:12: und Menschen miteinander reden, Mann.

00:54:14: Ja, ich mache das bei Auditierungen auch, wenn ich dann merke,

00:54:18: dass da Befindlichkeiten existieren, dass unter Umständen nachher jemandem was auf die Füße fällt,

00:54:24: indem ich halt einfach dann auch sage, guck mal, alles, was ich jetzt als unabhängiger

00:54:27: Auditor in eurer Umgebung finde, egal ob das organisatorische Schwächen sind

00:54:31: oder auch technische Probleme,

00:54:33: es ist dann am Ende ein Bericht, den du von mir kriegst, der ist unterschrieben

00:54:38: und digital gesigniert und alles so und so weiter und den geben wir ganz oben ab.

00:54:42: Und damit ist alles kommuniziert, was bei euch halt im Argen lag.

00:54:46: Und damit seid ihr auch erst mal freigesprochen, weil es gibt ja mit Sicherheit

00:54:50: Probleme, da redet ihr schon jahrelang drauf hin und sagt, wir brauchen das,

00:54:54: wir brauchen das, wir brauchen das. Und das will keiner hören.

00:54:56: Vielleicht gibt es es auch nicht schriftlich. Ihr seid dann bloß nachher die

00:54:59: Gelackmeierten, wenn es dann irgendwann knallt.

00:55:02: Und ihr müsst es dann halt reparieren in eurer Wochenendzeit oder nachts oder am Feiertag.

00:55:07: Und betrachtet es doch einfach mal so. Das ist für euch, du kommst aus dem Gefängnis-Freiweg. Ja, genau.

00:55:14: Und ansonsten ist es eben die, welche Hexe muss verbrannt werden? So eine Fragestellung.

00:55:19: Das ist ja so ein IT-Leiter, auch schnell dann mal der, auf den geschossen wird.

00:55:25: Das ist schon auch richtig.

00:55:26: Ja, und wie du gerade richtig schon gesagt hast, die Leute haben so ein bisschen

00:55:29: Angst, dass dann auch irgendwie auftaucht, dass sie ihren Job nicht richtig gemacht haben.

00:55:34: Das ist ja gar nicht das Ziel. Am Ende wollen wir doch alle das Gleiche,

00:55:37: dass halt das Unternehmen Resilienz entwickelt gegen Angriffe und gegen solche Dinge.

00:55:41: Und da hilft es halt einfach, wenn jemand Unabhängiges dann,

00:55:45: jemand kommt, so der Prophet im eigenen Land wird halt selten gehört.

00:55:48: Das ist halt leider so. Das ist so.

00:55:50: Und teilweise brauchen die auch dann Hilfe bei der Erklärung.

00:55:54: Auch jetzt wieder ein anderer Kunde von uns, der hat so eine klassische Sicherheitsperimeterarchitektur

00:56:00: bei sich im Unternehmen gebaut gehabt. Das ist jetzt auch schon wieder zwei, drei Jahre her.

00:56:04: Und der hat das wirklich genauso gemacht, wie man eben so ein paar Jahre vorher,

00:56:09: wie die Best Practices waren. Und er hat das alles ganz genauso gemacht,

00:56:13: wie es das Lehrbuch, das eben einfach ein paar Jahre vorher vorgeschrieben hat

00:56:16: oder einem empfohlen hat.

00:56:18: So, und jetzt steht er da und auf einmal ist da hier dieser Neuter und erzählt

00:56:22: jetzt auf einmal was ganz anderes.

00:56:24: Dann sagt er auch, ja, Moment, wieso denn? Ich habe doch hier diese ganzen Maßnahmen,

00:56:28: habe ich doch gemacht, was ist denn jetzt irgendwie anders?

00:56:30: So, und da muss man halt erklären, dass die Welt sich einfach gedreht hat.

00:56:35: Also das darf man ja nicht vergessen. Also Fähigkeiten, die man heute as a Service

00:56:40: irgendwie im Darknet oder ähnliches erwerben kann als Krimineller,

00:56:44: die haben eben vor ein paar Jahren nur staatliche Akteure gehabt.

00:56:47: Und deswegen ist die Bedrohungslage einfach eine ganz andere.

00:56:52: Und das hilft dann, glaube ich, auch dem einen oder anderen,

00:56:54: wenn man das erklärt und sagt, nein, du hast jetzt in der Vergangenheit nichts

00:56:58: falsch gemacht, sondern du hast es genauso gemacht, wie man es gemacht hat.

00:57:01: Die Welt hat sich einfach verändert. Und deswegen können wir dir nur empfehlen,

00:57:04: darauf zu reagieren und jetzt auf diese geänderte Bedrohungslage einfach zu reagieren.

00:57:10: Ja, ganz klar. Was natürlich jetzt noch eine neue, ganz große Rolle spielt,

00:57:14: so spätestens in den letzten zwei Jahren, ist natürlich das Thema KI.

00:57:18: Einmal natürlich aus Sicht der Angreifer, da haben wir hier im Podcast auch

00:57:21: schon ein paar Mal drüber geredet. Es macht halt Angriffe grundsätzlich einfacher.

00:57:25: Also es ist jetzt nicht so, dass es jetzt deswegen sofort alles komplett kaputt

00:57:29: geht, aber es wird halt leichter, Angriffe vorzubereiten, gerade im Social Engineering

00:57:33: Bereich, im OSINT Bereich und so weiter. Aber natürlich stecken da auch eine

00:57:37: Menge Chancen dahinter.

00:57:39: Wie stehst du denn dazu, zu dem Thema, wenn man jetzt gerade in Richtung Wettbewerbsvorteile

00:57:44: zum Beispiel auch mal guckt? Merkt ihr das schon?

00:57:48: Ja, also das ist natürlich ein großes Thema bei uns. Und also letztendlich hilft

00:57:53: dort auch wieder eine Versachlichung der Themen.

00:57:56: Also es gibt sowohl völlig unbegründete Ängste wie völlig unbegründete Euphorie.

00:58:03: Und ich weiß nicht, ob du dem so zustimmst, weil wir sehen da beides.

00:58:08: Aber wir sehen natürlich schon die Potenziale. Wenn man eben jetzt wieder im

00:58:12: 360-Umfeld, wenn man da von den Co-Piloten zum Beispiel redet,

00:58:15: Und dann kann man da schon sehr sinnvolle Dinge mitmachen, auch für Security

00:58:20: übrigens auch, der Security-Go-Pilot.

00:58:22: Aber jetzt wieder umgedreht, heißt das, dass ich den mal eben einfach einschalten kann, gefahrlos?

00:58:28: Nee, bitte nicht machen. Ja, also wenn ich jetzt zum Beispiel die Lernkurve

00:58:32: zum Thema Data Governance und ich verstehe meine Daten nicht und was habe ich

00:58:37: denn überhaupt und was ist denn schützenswert oder ähnliches,

00:58:40: wenn ich das nicht bis zu einem gewissen Grad verstanden habe,

00:58:43: dann sollte man das lieber nicht tun, ja, sondern dann lieber,

00:58:47: aber letztendlich ist das wieder dieses Muster in die Komplexität reingehen,

00:58:50: das zuzulassen und eben nicht die einfach zu negieren.

00:58:55: Und dann sind da definitiv auch Chancen drin in verschiedenen Use Cases.

00:59:00: Aber die Bedrohungsseite, die macht mir tatsächlich Sorgen, das muss ich schon sagen.

00:59:05: Und zwar eigentlich fast noch mehr im Privaten oder als Bürger in Bezug auf

00:59:10: eben manipulierte Meinungen und so weiter als jetzt im beruflichen Kontext,

00:59:15: einfach weil Menschen mit diesen Themen einfach überfordert sind.

00:59:19: Ja, absolut. Wir haben dazu auch bei uns auf dem YouTube-Kanal Ende Oktober

00:59:23: ein Video veröffentlicht, wo ich auch nochmal auf das ganze große Spielfeld Deepfakes eingehe.

00:59:28: Wir hatten mit Hornet Security 2023 schon mal im Rahmen von einem Webinar mich

00:59:32: selbst gedepfaked, um mal zu zeigen, was ging damals.

00:59:35: Das war ein Riesenaufbau mit Nvidia-Grafikkarten und allem pipapo.

00:59:38: Und jetzt ein Jahr später funktioniert das halt einfach aus der Cloud mit einem

00:59:42: 15-Sekunden-Video trainierst du halt ein Modell so an,

00:59:46: dass halt eine Nachricht dabei rüberkommt, wenn du da nicht genau hinguckst

00:59:49: und vielleicht auch eine entsprechende Stresssituation vorher schon aufgebaut wird in Textform,

00:59:54: dann merkst du es halt nicht sofort und das ist definitiv ein sehr heißes Eisen.

00:59:59: Und da werden wir, glaube ich, noch ganz viele schlimme Dinge einfach erleben in dem Bereich.

01:00:04: Also wer das noch nicht gesehen hat, gerne mal auf unserem YouTube-Kanal schauen.

01:00:07: Da gibt es seit, ich glaube, 30.

01:00:09: Oder 31.10. das Video und da kläre ich einfach auch nochmal darüber auf und

01:00:14: vor allem ganz wichtig im Privaten,

01:00:16: ich habe es tausendmal schon gesagt, bitte definiert Schlüsselwörter,

01:00:20: Codewörter, Codephrasen, Dinge, die niemand anders wissen kann,

01:00:23: damit ihr im Zweifelsfall, wenn ihr skeptisch werdet, nachfragen könnt.

01:00:26: Und ich weiß, es tut dann bestimmt weh in der Situation.

01:00:30: Leg auf, beende das Gespräch, hör auf, geh zur Polizei. Es geht einfach nicht.

01:00:35: Diese psychologischen Aspekte, die da in solchen Angriffen drinstecken,

01:00:39: die sind so derart perfide und die Technik gibt es halt leider einfach her.

01:00:43: Und von dem her bitte darauf vorbereiten, weil das wird definitiv kommen die nächsten Jahre.

01:00:50: Nein, dem kann ich mich nur anschließen. Also dann wieder Live-Long-Learning

01:00:56: ist halt auch eine gute Sache.

01:00:57: Aber realistisch wird es leider nicht, wahrscheinlich nicht vollständig gelingen,

01:01:03: dass da wirklich alles vermieden werden kann, gerade jetzt, wenn man so im privaten,

01:01:08: öffentlichen Umfeld ist.

01:01:10: Ja, absolut nicht. Also von dem her, was denkst du denn, was kommt denn da sonst noch so auf uns zu?

01:01:17: Du meinst von der Angreifer-Seite? Ja, ganz klar.

01:01:21: Ja, also ich mache immer gerne so Langzeitbetrachtungen.

01:01:26: Und jetzt auch in Bezug auf das, was ich vorhin so sagte. Also wie hat sich

01:01:31: denn die Angreifer-Seite, was die Fähigkeiten entwickelt?

01:01:35: Und wir haben also von Fähigkeiten, die State-Sponsored-Menschen vor ein paar

01:01:40: Jahren nur hatten, sind heute eben allgemein verfügbar.

01:01:43: Das wird sich weiterentwickeln, stärker in Richtung Business-Applikationen und auch OT.

01:01:49: Da gibt es auch schon Untersuchungen von irgendwie, wer es interessiert vom

01:01:55: SANS ICS Year in Review, kann ich sehr empfehlen hier mit Rob Lee.

01:02:00: Die Dragos hat da irgendwie Statistiken zugemacht, dass sie sehen,

01:02:05: also die Angriffe auf OT-Welten gehen definitiv hoch.

01:02:08: Sie sind bloß noch vergleichsweise wenig erfolgreich.

01:02:12: Da schützt die Heterogenität dieser Umgebung die gerade noch so ein bisschen.

01:02:16: Aber wenn man das auf der Langzeit sieht, dann wird das nicht so bleiben.

01:02:21: Ich befürchte, dass wir in dem Umfeld einfach mehr Schäden sehen werden in den nächsten Jahren.

01:02:29: Ja, das ist wohl definitiv zu befürchten, vor allem, weil halt auch eben staatliche

01:02:33: Akteure da eine große Rolle mitspielen.

01:02:36: Man darf gespannt sein, wo da die Reise noch hingeht. Ja, Mensch,

01:02:41: mit so einem kleinen Blick auf die Uhr, wir haben schon wieder eine Stunde geschafft.

01:02:45: Es ist einfach aber auch, es macht auch Spaß. Es ist so ein bisschen,

01:02:48: zwei ältere Herren unterhalten sich und erzählen sich Geschichten.

01:02:51: Vielleicht spiele ich im Nachgang in der Post-Production noch so ein bisschen

01:02:55: Kaminfeuerknistern hier ein. Ja, das würde ja passen, genau.

01:03:00: Fehlt eigentlich nur noch so ein schönes Glas Glühwein dazu,

01:03:03: so ein schönes warmes und dann würde

01:03:06: das auch sehr gut zu dieser ganzen weihnachtlichen Szene hier passen.

01:03:10: Jetzt haben wir doch aber viele negative Sachen auch schon wieder aufgemacht.

01:03:15: Das ist halt leider auch so ein bisschen Teil des Jobs.

01:03:17: Vielleicht mal so noch, um die Leute jetzt mit etwas Positiven in die Weihnachtszeit

01:03:24: und in den Jahreswechsel zu entlassen.

01:03:27: Hast du denn irgendwie noch abschließend vielleicht eine Nachricht oder eine

01:03:30: Botschaft, die Mut macht oder die den Leuten auch ein bisschen nochmal eine

01:03:34: Perspektive einfach aufzeigen kann?

01:03:36: Ja, auch wieder rausgesummt gibt es die ja tatsächlich. Also es gibt auch eben

01:03:40: in den letzten so größeren Studien,

01:03:42: die so rausgekommen sind, gibt es tatsächlich auch die Botschaft,

01:03:46: dass die Imbalance zwischen Angreifern und Verteidigern sich tatsächlich positiv

01:03:52: für die Verteidigerseite beginnt zu verschieben.

01:03:55: Also insofern da die Flinte ins Korn zu werfen, ist sowieso sinnlos,

01:04:00: weil man muss ja sich immer mit beschäftigen.

01:04:02: Nein, aber es ist halt auch nicht chancenlos. Also das ist einfach nicht der

01:04:07: Fall. Also bloß das Einzige, was eben nicht funktioniert, ist ignorieren.

01:04:12: Vogelstrauß-Taktik funktioniert nicht. Aber wenn man eben die neuen Möglichkeiten,

01:04:17: sei es KI oder eben andere Dinge, wie die ich vorhin erwähnt habe,

01:04:23: wie Infrastructure as Code oder Zero Trust ist hier, wir müssen ja die Basswörter

01:04:26: hier irgendwie mal kompletieren.

01:04:28: Zero Trust haben wir, glaube ich, gar nicht gesagt. oder du hast Gläubiger Zero.

01:04:31: Genau. Nein, aber das sind ja gute Konzepte, die einfach auch werthaltig sind.

01:04:36: Sie sind bloß eben nicht von heute auf morgen umgesetzt. Das nicht,

01:04:41: aber man kann sie ja umsetzen.

01:04:42: Und insofern ist da es auch durchaus möglich eben zu schützen.

01:04:46: Man muss das bloß eben tun.

01:04:48: Und Verzweiflung hilft ja letztendlich auch keinem weiter.

01:04:51: Nee, überhaupt gar nicht. Und danke dafür auf jeden Fall. Macht eure Hausaufgaben.

01:04:56: Das ist halt ganz einfach so. Macht eure Hausaufgaben, lasst euch beraten, Schlaut euch auf.

01:05:00: Es gibt genügend Möglichkeiten überall rund ums Jahr bei den Herstellern.

01:05:05: Es gibt die Messen, es gibt die Itza, es gibt die Summits sowohl von der Q-Skills,

01:05:09: es gibt den Summit auch von der Pegasus.

01:05:11: Nutzt einfach die Möglichkeiten. Diese ganzen oder viele dieser Angebote stehen

01:05:15: euch kostenlos zur Verfügung.

01:05:16: Genauso wie der Podcast von mir, vom Nico, vom Robert Wortmann mit Breachef.

01:05:21: Die Sachen sind ja da. Also ihr müsst es halt bitte einfach nur tun und damit,

01:05:25: glaube ich, ist dann auch tatsächlich soweit erstmal alles gesagt und wenn es

01:05:30: Fragen gibt, meldet euch gerne.

01:05:31: Also sowohl bei mir als mit Sicherheit auch gerne mal beim Andreas.

01:05:35: Ich verlinke natürlich unten in den Shownotes den Kontakt zum Andreas,

01:05:39: könnt ihr dann auch über LinkedIn auf diesem Wege herstellen und ja,

01:05:43: nicht verzweifeln und einfach dranbleiben.

01:05:47: Und ich glaube, damit können wir tatsächlich die Leute dann in die Weihnachtszeit

01:05:51: entlassen, oder? Andreas, was meinst du?

01:05:53: Ja, absolut. Dann hoffen wir mal, dass es kein Sturm vor Glück geschenkt geworden

01:05:57: ist, hier unsere Folge, sondern eins, was auch gerne genommen wird.

01:06:02: Ja, war schön bei dir.

01:06:04: Dankeschön. Das kann ich dir nur so zurückgeben. Und ich wünsche dir und auch

01:06:09: deinen Kolleginnen und Kollegen eine vorfallsfreie Zeit über Weihnachten und

01:06:13: auch eine störungsfreie Zeit.

01:06:15: Und dann freue ich mich oder würde ich mich freuen, wenn wir uns auch gerne

01:06:18: hier in dem Podcast mal wiedersehen, weil ich glaube, wir haben uns noch etliche

01:06:22: mehr Geschichten zu essen. Das scheint so zu sein. Sehr gerne, Alexander.

01:06:28: Gut, in diesem Sinne auch an euch zu Hause.

01:06:32: Habt eine gute Weihnachtszeit. Wir hören uns hier mit Folge 89 am 1. Januar wieder.

01:06:39: Und falls ihr merkt, dass euch vielleicht das Podcast-Material ausgeht,

01:06:44: ich habe es eingangs gesagt, Folge 88, falls ihr noch nicht die anderen 87 Folgen

01:06:48: gehört habt, dann hört da auch gerne mal rein.

01:06:50: Ansonsten, wie gesagt, Cyber Security ist Chefsache. Schöne Grüße an Nico Werner,

01:06:54: auch BreachFM, Robert Wortmann und seine Kollegen.

01:06:57: Hört auch da gerne mal rein. Es gibt eine Menge geiler Inhalte und da gibt es

01:07:00: auch immer was, was man für sich selber mitnehmen kann.

01:07:03: Nutzt die Chance, es kostet nichts und dann hören wir uns definitiv im Januar wieder.

01:07:08: Andreas, mach's gut und bis zum nächsten Mal. Danke ebenso. Danke, ciao.

01:07:15: Music.