Dogmen, Mythen und Fehler

Herzlich willkommen. Beim Till Trust Podcast.

Mein Name ist Karsten Vossel und heute gehen wir in die Praxis.

Wir wollen uns darüber austauschen .

Warum laufen IT-Sicherheitsprojekte vielleicht schief oder warum laufen trotz dass man gute Technologien einsetzt, den besten willen hat.

Dinge trotzdem vielleicht doch nicht so wie man sie sich vorstellt und so wie sie vielleicht sein sollten.

Ja, setzen uns da einfach mal mit verschiedenen Dogmenmythenfehlern und vielleicht auch Gedanken auseinander.

Und das mache ich natürlich nicht alleine, sondern habe mir zwei hochkaräter mit zur Unterstützung dazu geholt.

Die ich sehr herzlich willkommen heißen möchte und zwar ist das zum einen der Michael Schröder von der Eset .

Und er ist dort Manager Security Business Strategy.

Und vielleicht magst du Michael uns ganz kurz mal erläutern was heißt denn das genau?

Was ist unter diesem netten Titel zu verstehen und was gibt es vielleicht wichtiges, was du unseren Zuhörern noch mitgeben möchtest?

Ja danke Carsten freut mich das du mich eingeladen hast wie du schon festgestellt hast dass der Titel ja eher ein Zungenbrecher.

Und ich Versuch das immer so zu übersetzen, dass ich den Menschen halt versuche klarzumachen, was eigentlich am Ende des Tages der Nutzwert von Technologie und Services ist.

Und was es mir tatsächlich im Alltag bringt, denn ja unsere Branche hat ja eins auf jeden Fall gemeint.

Wir benutzen unheimlich viele Buzwords und unheimlich viele technische Begriffe.

Die am Ende des Tages dem einzelnen Nutzer oder auch.

Dementsprechend dem Entscheider gar nichts sagen und dafür versuche ich mit meinem Team eben in Deutschland Österreich und Schweiz Sorge zu tragen.

Das verstanden wird, welche Technologie für was einsetzbar ist.

Ja, vielen Dank herzlich willkommen auf jeden Fall von meiner Seite .

Genau ich darf zudem willkommen heißen den Johannes Krise CEO von der ich hoffe ihr spreche das richtig aus Sekirium GmbH.

Auch du bist schon seit vielen vielen Jahren in verschiedensten spannenden Bereichen unterwegs.

Und ich sehe, es gab sogar parallelen im Bereich Antivirus Hersteller, auch wenn es unterschiedlicher war, wo ihr beide seid oder wart.

Genau.

Magst du uns auch noch ein paar Einblicke von dir geben, lieber Johannes gerne also erst mal danke dass ich hier sein darf.

Kleine Korrektur Securium heißt das Ist aber auch ein sehr sehr spannend. Gewählter Name gebe ich zu dient auch dazu, dass sich die Leute die Zunge bechnen.

Weil sonst wird ja umson Genau.

Ja also kurz zu mir wie du schon festgestellt hast.

Habe ich mehrere Stationen durchlaufen.

Und bin jetzt in dem Bereich, der mir am meisten Spaß macht das ist das klassische Consulting.

Wir haben uns spezialisiert auf die operationale Security.

Und auch das vorbereiten auf den maximalen Worst Case Inczident readiness sind da sehr bedacht im Wissenstransfer und versuchen eben Unternehmen so sicher wie möglich zu machen, indem wir sie strategisch beraten.

Das hört sich auf jeden Fall schon mal super spannend ein .

Bevor wir jetzt ins Thema reinspringen, möchte ich noch einem Wunsch nachkommen und zwar haben wir von den Zuhörern die Frage bekommen.

Ja, Teletrust, was ist denn das eigentlich genau?

Und jetzt könnte ich wahrscheinlich darüber alleine schon einen Podcast füllen das möchte ich nicht.

Dafür habe ich zu spannende Gäste da.

Aber ich hab mir überlegt, dass ich vielleicht in jeder Folge mal zwei Takte zum Teletrusts genauer genannt.

Bundesverband IT Sicherheit, Teletrust nennen möchte, der uns alle hier verbindet, weil wir dort eben als Mitglieder aktiv dabei sind.

Und genau letztendlich ist es eben ein Verband, der aus den unterschiedlichen Bereichen Industrie, Verwaltung, Beratung und Wissenschaft .

Leute zusammenbringt, um eben dann dort den Austausch auf der Fachebene auf der rechtlichen Ebene, also auf den verschiedenen Facetten von ITS Sicherheit.

Ja zu beflügeln zu befruchten und dafür zu sorgen, dass wir heute in den Austausch kommen.

Weil ich glaube jeder, der sein eigenesüppchen kocht, kann nie so gut sein, als wenn man eben gemeinsam versucht ein Thema anzupacken.

Und da es eben auch ein riesiges Thema ist, mit unterschiedlichsten Facetten, wie wir vermutlich auch gleich im Thema noch mal finden.

Ist es eine eine tolle Institution mit verschiedensten Möglichkeiten, um genau hier das Thema IT Sicherheit gemeinsam weiter nach vorne zu bringen.

Das soll erst mal reichen zum Teletrrust. Insoweit steigen wir jetzt voll ins Thema ein.

Und zwar hatte ich ja schon gesagt, wir möchten in die Praxis gehen und gucken.

Ja was was läuft vielleicht schief wo?

Wo können wir Dinge besser machen?

Woran liegt es?

Und das ist natürlich eine sehr offene sehr böse Frage aber ich ich stelle die einfach mal so und fange mal bei Michael an.

Vielleicht hast du ja so erste Gedanken, die du mit uns teilen dazu.

Ja auf jeden Fall also das ist ja auch nein Frage, die uns als als Hersteller immer umtreibt.

Wir stellen unheimlich viele Lösungen und und Services zur Verfügung.

Trotz alledem erwischt immer noch unheimlich viele Unternehmen dann Ransomware Thematik.

Oder Phishing Angriffe gehen tatsächlich durch und dann fragt man sich natürlich am Ende des Tages .

Woran hat es gelegen?

Das haben wir uns vor zwei Jahren so intensiv gefragt wird auch unsere Risseller mal hinterfragt, dass wir auch nein eigene Studie ins Leben gerufen haben.

Das stand der I T Sicherheit haben mal 23 das erste mal gemacht jetzt in 24 Anfang des Jahres eben zum zweiten mal ausgewertet.

Das sind immer so um die 350-400 Teilnehmer Unternehmen .

Die da einen recht umfangreichen Fragekatalog beantwortet haben und da kann man schon einiges an Erkenntnissen rausziehen, woran es denn hapern könnte.

Und das ist aus meiner Sicht in zwei Teile einzustufen.

Das eine ist entweder ich habe die Lösung nicht Weil ich immer noch klassische Cyber Security setze.

Da können wir ja später noch mal drüber sprechen was was die meisten damit meinen.

Und das zweite ist ich habe zwar die technischen Lösungen im Detail ich kann sie aber nicht vernünftig bedienen beziehungsweise nicht so bedienen, wie es eigentlich notwendig wäre okay, ja vielen Dank auf jeden Fall für die Gedanken schon mal Johannes würdest du sagen ja oder hast du vielleicht sogar noch weitere Gedanken, die du in die Diskussion mit reinwerfen möchtest ?

Ich möchte die Aufzählung erweitern und vielleicht sogar ein Stück weit kristallisieren, die der Michael gerade gemacht hat und zwar.

Also ich bin ich bin drauf gekommen und meine, dass es an drei Sachen scheitert, wenn man Security implementieren will in vernünftiger Art und Weise.

Das ist einmal Budgettzeit und der der W dazu.

Das ist die das sind die drei Hauptkomponenten, wie wir nach vorne kommen.

Also entweder ich hab zu wenig Zeit.

Ich habe zu wenig Elan und willen etwas nach vorne zu bringen vielleicht auch sogar ein bisschen Druck .

Können wir vielleicht noch mal drüber reden über die gesetzlichen Regularien.

Oder mir fehlt halt einfach die Zeit und Zeit das das verbinde ich jetzt einfach mit mit dem nötigen Wissen, was man sich aneignen muss.

Nein weil ich stelle jetzt einfach mal Je, dass er schlau genug ist, mit gewiss Zeitanteile sich ein bisschen anzueignen .

Da hert es doch ganz ganz oft.

Okay, ja finde ich ja eigentlich immer wenn man das so runterbrechen kann Vermutlich lässt sich mit diesen drei Punkten schon sehr viel erklären.

Wenn du in die Studie reinschaust, Michael was sind da so die Punkte du hast ja schon gesagt es gibt so zwei Richtungen, die ihr herauskristallisiert habt.

Welche sind denn das?

Einmal haben wir die Teilnehmer gefragt, wie sie denn technologisch sich am ehesten Einufen.

Also, welche Lösungen eigentlich am Ende des Tages tatsächlich verfügbar sind.

Dazu haben wir dann Modell genutzt, das wir jetzt seit ein paar Jahren im Einsatz haben diese Zero Trust.

Security Pyramide.

Die hast du vielleicht schon mal optisch gesehen hängt ja bei mir hier hinten auch die haben wir irgendwann mal zur Hand genommen, weil wir einfach auch zeigen wollten was .

In welchen Segmenten und mit welchen Reifeggraden eigentlich in dem Unternehmen umgesetzt werden sollte, so ein bisschen als Orientierungshilfe gerade für Mittelständler, die ja da häufig eben noch im Hintertreffen sind das lässt sich relativ gut optisch erklären und daran haben wir erst mal eingestuft beziehungsweise sollten sich die Teilnehmer einstufen , wie sie sich überhaupt selbst dort sehen.

Da geht es um das Thema Grundschutz Grundschutz plus.

Also dann, wenn man schon ein bisschen weiter geht und sagt okay ich schütze mich für Zero Days.

Ich mache Festplattenverschlüsselung Multifktorauthentifizierung also das was die Branche eigentlich schon als Mindeststandard heutzutage sieht.

Und darüber hinaus gibt es noch zwei weitere Stufen, nämlich das Thema gefahren,uche und Abwehr Innensicht.

Das klassische E.DR MDR Thema und da drüber also die Spitze der Pyramide.

Da geht es um das ganzheitliche Lagebild, also die Außensicht, wie wir das nennen.

Da geht es dann um Free Intelligence Services, also die Bedrohungslandschaft außerhalb des eigenen Unternehmens zu beobachten.

Und diese Erkenntnisse dann eben mit in Betrieb auch analysieren zu können.

Und.

Wenn du so nach den Ergebnissen fragst, dann war das im bei der ersten in 2023 schon relativ schockierend.

Weil ungefähr, war ziemlich genau ein Viertel aller Teilnehmer sich im Bereich Grundschutzbasis einsortiert haben .

Das ist also die klassische ich hab ein Antivirus sag ich mal das ist ein Wort, das wir nicht gerne benutzen aber.

Ich hab nein End Point Security, und ich hab nein Male Security vielleicht auch nein ne Server Security irgendwo drauf und das war’s dann eigentlich ja.

Nutze aber Tausende von Cloud Services und Anbindungen verschiedenste APIs etc.

P dann geht es eben dementsprechend weiter, dass sie 44 % haben gesagt, die sind im Bereich darüber also sie setzen dann eben schon erweiterte Lösungen ein, die notwendig sind. 26 % haben eine E R Lösung benutzt oder sind in dem Bereich eben aktiv. Was das Inzident Management und Schwachstellenanalyse angeht .

Und nur 5 % haben eben überhaupt nutzen ja ich sag mal Nutzungsthematiken, Nutzungsberührungsthematiken gehabt mit Fre Intelligence.

Da waren durchaus auch große Unternehmen dabei und das hat mich persönlich doch schon sehr schockiert .

Und in 2024 sah das schon deutlich besser aus also wir sehen eine Bewegung nach oben durch die Stufen durch.

Die ist nicht so riesig groß, aber man sieht halt schon, dass etwa 5-10 % pro Stufe jedenfalls einen nach oben gerutscht sind.

Und das ist eigentlich die gute Entwicklung, die wir alle wollen .

Und die auch notwendig ist, aufgrund der Bedrohungslage ist aber noch nicht ausreichend, weil immer noch und das ist eigentlich die Quintessenz aus der zweiten.

Damit bin ich dann auch so ziemlich am Ende, wenn es um Technologie geht.

Wenn man das Thema Grundschutzbasis und Grundschutz Plus zusammenzieht , dann sind das 61 % aller Befragten, die eben in diesen unteren Levels noch unterwegs sind, wo wir sagen, das ist eigentlich das Minimum.

Jetzt wissen wir aber alle, dass NIS zwei zum Beispiel kommt und dass es da deutlich mehr Betroffene gibt.

Sag ich mal wie bei der ersten Thematik im Bereich Kritis und Informationssicherheitsgesetz.

Und das bedeutet aber auch, dass diese 61 % im Großen und Ganzen eben den Anforderungen der Niss zwei nicht gerecht werden können.

Weil sie eben bestimmte Thematiken nicht erfüllen können und das macht mir persönlich immer noch große Sorge.

Also erst mal vielen Dank für die Zahl.

Ich finde das auch super spannend. Deckt sich ich hab da jetzt keine Auswertung aber schon auch mit so einem Gefühl auch nach wie vor, wenn man feststellt. Du hast gerade gesagt, Antivirus verwendet ihr jetzt nicht so gerne, was ich verstehe Aber selbst da berge ja, dass Hürden immer noch da sind zu sagen, dass oder überhaupt Verständnis fehlt für was ist überhaupt ein managed Antivirus, sondern man sagt hey, da ist doch was auf der Festplatte und das läuft doch.

Und alleine schon dieser Schritt jemanden dahin zu bringen, dass das vielleicht doch sinnvoll wäre, das als managed Infrastruktur aufzusetzen, damit man eben doch eine bessere Kontrolle über das hat, was da passiert ist zumindest manchmal schon ein .

Ein großer Schritt, den man machen muss.

Also insoweit haben wir da noch viel vor uns.

Wie wie sieht das aus deiner Erfahrung aus, Johannes wenn wenn ihr bei euren Kunden dabei seid, eben Sicherheit einzuführen, zu erhöhen, zu verbessern.

Was sind da so die die Stolpersteine, die sich euch in den Weg stellen?

Wir sehen ganz häufig, dass eigentlich immer ein Mindset vorhanden ist, dass man was haben müsste .

Das Mindset sollte aber sein, dass man etwas tun müsste.

Sprich, wenn ich mir gewisse Technologien aneigne und kaufe und die konfiguriere, dann verfolge ich eigentlich so eine Art Checklisten Mentalität.

Die Checklisten Mentalität, die kommt jetzt wieder neu auf durch Nist zwei, wobei das eigentlich sehr sehr dramatisch ist, wenn man das mal so verfolgt denn wenn man sich anschaut früher ich ziehe jetzt mal die Analogie zu Autos.

Da gab es ja mal eine Phase da hatten Autos keinen Sicherheitsgurt so und irgendwann kamen die dann .

Und irgendwann später viel viel später.

Ich glaube in Deutschland waren das zehn Jahre Versatz wurden die halt auch Pflicht, dass man die angewendet hat.

D.h. Also man hat ewig lang Autos produziert.

Es gab ewig Lang Tote dann hat man gesagt okay wir sollten jetzt mal Gurte einbauen dann sind die Gurte zu Gesetz geworden.

Und noch mal zehn Jahre später hat man die überprüft im Straßenverkehr ob die auch überhaupt angewendet worden sind.

Und ähnlich muss man das S zwei .

Wir haben ja die Randomware Wellen.

Ich sag mal die großen Rand um mehr Welt.

Die gibt es seit 2013.

Die halt wirklich gefährlich sind und die hat in Masse auch gefährlich sind.

Jetzt sind wir 1011 Jahre später und jetzt führen wir ein Gesetz ein, wo wir so langsam mal in ins tun kommen. Wo langsam reingehen und sagen ja.

Für die Masse der kritischen Unternehmen müssten jetzt mal diese und jene Sachen nicht nur erfüllt sein, sondern sie müssen sie ständig tun und kontrollieren gerade auch messen.

Da da sträuben wir uns gesamtgesellschaftlich immer noch davor, diese Arbeit da reinzustecken, weil wir, weil wir das noch nicht eingesehen haben.

Ich spreche jetzt mal für alle.

Das es dauerhaft gemacht wird.

Und das ist aber gut, dass wir das dauerhaft tun und drüber gucken und uns immer die die wichtigen W Fragen stellen, damit alles besser wird .

Weil dann auch die Effizienz gesteigert werden kann und genau die letzte die letzte Meile die sorgt dann auch dafür, dass wir wirklich Sicherheit kriegen und dass wir wirklich ein Stück weit so effizient werden, dass wir sogar irgendwann Geld sparen können.

Da sind wir aber noch nicht und das hat wahrscheinlich auch die Studie, die Michael gerade aber hat so ein bisschen freigelegt nein dieser diese Erkenntnisstand.

Ich ich mag diesen Vergleich mit Auto, weil ich finde immer den Vergleich in ich jetzt mal in Anführen Real Life ist für viele einfach greifbar.

 

Und ich hatte mich tatsächlich auch mal mit diesem Thema Verkehrstote und Gurt auch auseinandergesetzt.

 

Ich glaube zu dem Zeitpunkt, als die Gurtpflicht eingeführt wurde , gab es Roundabout 17al000 Verkehrstote pro Jahr Jetzt sind wir immer noch viel, aber bei einem Wert von round about zweieinhalbtausend Also man sieht auf jeden Fall das war der richtige Weg.

 

Warum auch immer ich weiß nicht ob ihr das noch kennt muss ich gerade auch denken an den siebten Sinn.

 

Das war eine Sendung im Fernsehen, die einem immer aufgezeigt hatte, wie man denn im Verkehr sich zu verhalten hat und dort gab es auch eine Aus meiner Sicht grandiose Folge zum Thema Gurtpflicht.

 

Also für die Zuhörer, die es nicht kennen bitte googeln bitte angucken.

 

Man sollte es nicht so ernst nehmen außer Themen wie Gleichberechtigung und Co.

 

Gibt es da diverse Failes?

 

Aber es es ist ein Lacherwert.

 

Aber das ist ganz kurz das Rammthema.

 

Vielleicht ist es aber tatsächlich eine gute Möglichkeit, um das greifbarer zu machen weil das ist du hattest es eben auch schon gesagt, Johannes.

 

Man muss es wollen und es ist natürlich und das ist immer wieder mein Thema.

 

Es ist natürlich auch so ein bisschen unsexy das Ganze Thema .

 

Am bestenfalls bin ich hinter sicherer.

 

Ich merke es aber nicht.

 

Das ist wie eine Versicherung.

 

Das ist wie ich mach noch einen Gartensound.

 

Das ist alles nicht schick.

 

Ich ich muss das irgendwie tun und ich weiß auch irgendwie, dass das sinnhaft ist.

 

Aber jetzt auch wenn ich überlege, nehme ich mir das nächste teure Auto.

 

Und kann damit durch die Gegend brausen oder irgendwas anderes schickes.

 

Es muss ja kein Auto sein .

 

Verstehe ich ja schon, dass das das so ist.

 

Inoweit ist vermutlich ja genau das was ja beide schon angesprochen hat der Gesetzgeber durch die Lis zwei und und sonstige Maßnahmen.

 

Wahrscheinlich jetzt das, was notwendig war.

 

Damit wir wirklich weiter nach vorne gehen aber eigentlich ist ja schade also hätten wir nicht auch als als Branche einen anderen Weg finden können .

 

Die Kunden zu überzeugen, da mehr zu machen.

 

Also so als offene Frage an euch beide Ideen.

 

Also ich kann das ein bisschen ergänzen, weil ich hatte eine Zeit lang also ich bin, als ich bei IS angefangen habe, war ich verantwortlich für das.

 

Für die Diversifizierungsprodukte, wie man so schön sagt .

 

Dazu gibt es schon ein bisschen länger her muss man dazu sagen.

 

Dazu gehörte damals eben das Thema Verschlüsselung und Multifaktor Authentifizierung.

 

Beide Technologien, also ähnliche parallele, wie wir jetzt im Bereich Auto haben, gibt es schon seit ewigen Zeiten ja.

 

Und trotzdem was schwierig, auch unsere Richtseller davon zu überzeugen, das dem Kunden aktiv anzubieten und zu sagen nein, mach das das hat die und die Vorteile.

 

Weil wie du schon sagst, ich sehe erst mal gerade als Mittelständler kein Return of Invest ob ich das jetzt einsetze oder nicht ist ja bisher nichts passiert und wer will schon was von mir?

 

Also diese diese alten klassischen Aussagen dementsprechend na ja, weil will schon bei uns irgendwas holen und so weiter und so fort.

 

Und ich glaube in den vergangenen fünf Jahren und das sieht man ja auch jeden Tag in der Presse.

 

Habe es gestern gerade wieder in bei uns in der Umgebung gesehen da ist wieder jemand von einem Ransomware Hacking Angriff betroffen hier in Höxter ein Zulieferer, die machen so.

 

Antriebsgurte aus Kunststoff und aus Gummi für die Industrie weltweit.

 

Die haben nur 60 Gyte dann liest du weiter und dann siehst du okay die vertreiben das in über 100 Ländern und haben da 2400 Mitarbeiter.

 

So, und dann macht das Ganze dann schon wieder einen ganz anderen impact.

 

Aber es gibt so 2,3 Sachen die haben sich in den letzten fünf Jahren massiv verändert.

 

Das eine das haben wir auch in der Studie im Übrigen abgefragt.

 

Ist die Frage, ob man der Meinung ist, dass IT Security zwischenzeitlich den richtigen Stellenwert hat er in dem in der Organisation.

 

75 % Sec hat mittlerwei richtigen Stellenwert.

 

Das war also schon relativ hoch.

 

Mittlerweile sind es 88 %.

 

Dann haben wir auch gefragt und das ist ja, was Johannes eben schon gesagt hat.

 

Meistens fehlt es eben auch an Ressourcen.

 

Ich fasse Ressourcen mal zusammen, weil entweder ist das Personal oder Geld oder Zeit manchmal ja eine Kombination aus mehreren Dingen.

 

Oder auch aus dem Standort.

 

Also wenn ich jetzt irgendwo im tiefsten Sachsen sitze und hab keine Uni und nichts in der Nähe ist natürlich schwieriger Jemanden im Bereich Forensik zu finden und den dort arbeiten zu lassen, wenn ich den nicht im Homeoffffice haben will, als wenn ich jetzt in Köln oder in München oder in Hamburg sitzen würde.

 

Da gab es eben die Frage, ob man einen Mangel an Personal oder finanziellen Ressourcen beklagt das waren 47 % jetzt nur noch 37. Du siehst also man hat schon auch den willen mehr Geld auszugeben und jetzt geht es natürlich auch darum.

 

Wie kann ich das umsetzen also.

 

Was soll ich dann am Ende des Tages nehmen?

 

Das ist ja nicht wie Döner bestellen, wo man dann sagt ich nehme einmal mit alles und ein bisschen scharf .

 

Und dann lege ich mir das Produkt hin und dann ist alles fertig.

 

Das ist.

 

Damit ist es ja nicht getan.

 

Weil gerade, wenn wir so zum Thema Endpoint Detection und Response kommen da fehlt es dann tatsächlich eben nicht nur an an Personal oder gut ausgebildeten Personal, sondern dann kommen auf einmal Dinge zum Vorschein wie Ja, wir haben jetzt nein EDR Lösung und wir haben einen Kollegen.

 

Den haben wir da jetzt eingearbeitet der macht das und dann stellst du zwei Fragen und dann haben die wieder Schweißperlen auf auf Stier. Nämlich die erste Frage ist okay arbeitet der 24 sieben nein habt ihr ein Schichtsystem nein arbeitet ihr auch am Wochenende nein ja okay sinnlos ja .

 

Also natürlich findet Cyberkriminalität auch nachts und am Wochenende statt.

 

Und nicht nur in den in den ganz normalen Büroarbeitszeiten.

 

Also macht das auch nur bedingt Sinn, sag ich mal wenn ich ein kleines Unternehmen habe, geht das vielleicht noch ja, dass da regelmäßig jemand drauf guckt und versucht dann eben Anomalien zu erkennen.

 

Aber .

 

Meine Unternehmen mit mit einer gewissen einem gewissen Background macht das natürlich gar keinen Sinn, ja und das ist glaub ich das, was wir im Moment versuchen zu kompensieren.

 

Die meisten greifen dann eben dementsprechend auf Services wie MDR zurück.

 

Und das finde ich auch gut und sinnvoll .

 

Da kommen wir aus unserer Sicht immer zu der Vertrauensfrage.

 

Also, wem würde ich das denn in die Hände geben?

 

Weil der hat ja schon tiefste Einblicke in mein System und in meine Prozesse und da glaub ich dann müssen wir noch viel Arbeit leisten, um die Leute da langfristig von zu überzeugen.

 

Ja vor vergessen zu erwähnen, dass es genau das angesprochen hast eins unserer Steckenpferde.

 

Wir Wir suchen ja für die Leute, die eben diese 24 sieben Dienstleister, diese M D R Services und SOC Services suchen den richtigen Dienstleister raus.

 

Wir haben ungefähr im Dachraum so circa 50-60 Soc Unternehmen, die das anbieten.

 

Und jedes Mal, wenn wir die die Auswahl machen oder Ausschreibung machen oder diese diese Interviews führen oder halt sogar das Onboarding Projekt und stellen wir fest .

 

Dass die die Hauptfragen noch gar nicht geklärt sind, dass die meisten Unternehmen überhaupt nicht im Stande sind, so nein komplexe Dienstleistung entgegenzunehmen, weil die Hausaufgaben auf einer ganz anderen Schiene noch gar nicht gemacht sind.

 

Deswegen finde ich es auch spannend, was du gerade gesagt hast.

 

Der Stellenwert der wird höher .

 

Der hat sich jetzt selbst gesteigert durch die Dringlichkeit und vielleicht auch durch die durch die Gesetzgebung.

 

Aber wir haben dann jetzt nein ganz andere Front noch in den Unternehmen.

 

Da komme ich ganz ganz kurz auf die Dogmen zu sprechen, die ich da sehe.

 

Wir haben jetzt mehr Ressourcen in den Unternehmen.

 

Wir haben vielleicht auch mehr Klarheit, was gemacht werden müsste.

 

Aber trotzdem ist innerhalb der Unternehmen noch noch kein richtiger Fortschritt zu messen.

 

Wie Security implementiert wird.

 

Das fängt schon damit an.

 

Also wir haben ja ich ich.

 

Ich mach jetzt einfach mal die die These auf schon seit immer können Logs erhoben werden.

 

Also Systemprotokolle, die die gewisse Ereignisse mitprotokollieren.

 

So so ziemlich sagen wir mal so 1015 % aller Unternehmen haben sich überhaupt einen Kopf gemacht, welche Logs überhaupt gespeichert werden sollten, welche ausgewertet werden sollten, wie lange die gespeichert werden sollten also ein simples Logging Konzept für das Logging Konzept brauche ich, wenn ich ehrlich bin rein von der Vorgabe noch nicht mal halben Tag aber dieses Konzept zu machen, das zu schreiben, das vorzulegen und abzusegnen ist ja ein hoher Diskussionsaufwand kommt mit Stress einher vielleicht auch mit einer Politik, dass man hier und da noch ein bisschen mehr Geld ausgeben muss oder jemandem was vermitteln muss und und da.

 

Da da da sparen wir immer noch gesamtindustriell so ein bisschen Energie ein.

 

Das wirklich mal auf die Straße zu bringen.

 

Das ist aber nur ein Thema von von ganz vielen, wenn ich da an Mandate denke zum Beispiel .

 

Also, wer darf überhaupt in einem Inziden Fall irgendwas entscheiden oder machen und da rede ich noch nicht mal von irgendeiner Katastrophe von irgendeinem Breach.

 

Da rede ich einfach von einem simplen Sachverhalt weiß ich nicht.

 

Da ist ein User, zum Beispiel zwei Jahre inaktiv.

 

Den gibt es halt einfach noch so.

 

Und wer wer darf denn das jetzt mal klären oder wer wer darf das einfach mal so löschen oder wer darf Systeme isolieren bei einem Verdachtspffall oder noch gar nichts richtiges ausgebrochen ist.

 

Diese diese ganzen kleinen Sachen die haben wir alle noch nicht geklärt.

 

Obwohl sie sehr, sehr einfach organisatorisch und prozessuell lösbar wären.

 

Und da sehe ich jetzt in der nächsten Zeit so richtig Druck drauf kommt, weil wir einmal die die Gesetzesschiene haben.

 

Und zum anderen wir können es uns auch nicht mehr leisten.

 

Also wir kommen nicht mehr drum rum.

 

Wir können nicht einfach ein Dienst kaufen, eine Technologie kaufen auf den Knopf drücken und uns freuen.

 

Sondern jetzt müssen wir wirklich was machen und auch nicht diesen dieses dieses Vertrauen darein schenken.

 

Naja gut, ich habe jetzt hier einen Experten und wenn der allein weil der da ist durch seine Existenz löst er das Problem.

 

Diese Ressourcenthemen, die haben wir jetzt weitestgehend ein bisschen eingefangen und jetzt müssen wir gucken, dass man wirklich was verbessern.

 

Wenn ich da prekärer wird tätig zu werden.

 

Denn es gibt ja auch noch so ein paar Nebenkriegsschauplätze, wie man so schön sagt, die jetzt auch mit den gesetzlichen Regelungen weiter nach vorne kommen das das eine ist ja auch die Managementhaftung .

 

Ja, dass das vielen überhaupt nicht bewusst ist, für welche Vorkommnisse oder für welche Themen sie tatsächlich auch haften persönlich haften.

 

Ich glaube, dass da sehr viele noch wach werden.

 

Und auch das Thema Cyberversicherung Haupt das Thema Versicherung war ja immer schon schwierig.

 

Im Moment ist es ja, so dass diese Obliegenheiten und die Anforderungskataloge der Versicherung massiv angepasst werden.

 

Also was jetzt zu erledigen ist und was nicht.

 

Und dann gibt es auch so bestimmte Kausalketten.

 

Das ist uns letztens bekannt geworden, weil wir ja auch mit vielen Unternehmen sprechen auch Veranstaltungen .

 

Nämlich, dass ich das Management Geschäftsführer Vorstände etca dass die sich natürlich häufig in der Vergangenheit versichert haben gegen Risiken und diese Allfahrenversicherungen, die gibt es zum Beispiel gar nicht mehr und wenn ich eine Versicherung haben möchte oder die nicht gekündigt wird durch so nein neue sag ich mal dann ist die Voraussetzung dafür, dass ich nein Managementversicherung habe, dass ich eine Cyberversicherung habe.

 

Und viel Voraussetzung dafür dass ich nein Cyberversicherung habe, ist.

 

Dass ich eben auch belegen kann, dass ich ausreichend in IT Security im Prozesse investiert habe.

 

Und da kommt wieder das Thema das was Johannes jetzt schon angesprochen hat Informationssicherheitsmanagementsysteme.

 

Also ISMS.

 

Zum Thema das ist auch einer der Gründe zum Beispiel warum ich mich letztes Jahr entschieden habe, ISO 27001 Zertifizierung zu machen für mich persönlich .

 

Weil ich einfach auch hinterblicken möchte, welchen Umfang hat das im Endeffekt außerhalb der der reinen Produbene.

 

Und das ist eben genau das, was ich in die Tiefe in die einzelnen Prozesse gucke.

 

Verantwortlichkeiten Messungen mache Audits mache etc.

 

P Das das wird uns in der Zukunft ganz massiv eben dementsprechend noch begegnen und das ist heute nicht Usus das muss man einfach sagen. Spart und und dessen Kunde ein Versicherfall hatte theoretisch und die Versicherung hat, nachdem sie wusste, was genau passiert ist, Dankend abgelehnt und gesagt, nein guckt mal in Paragraph 3715.

 

Das ist aber ausgeschlossen.

 

Und das sorgt natürlich auf der einen Seite noch zu mehr Frust und ich will gar kein Bashing gegen Versicherung machen, weil die natürlich gerade versuchen für sich einen Weg zu finden, wie sie diese wahnsinnigen Risiken, die da sind . Greifbar zu machen und und einen guten Mittelweg zu finden, dass zwischen Prämie und Versicherungsleistung ja letztendlich ein Gleichgewicht herrscht.

 

Weil anders kann es natürlich auch ein Versichererhhinter nicht darstellen.

 

Aber ich, ich bin komplett bei bei dir bei euch das ist natürlich ein riesiges Feld.

 

Ich möchte noch mal auf einen Punkt den hatten wir ich glaube irgendwo am Anfang dieser Diskussion und zwar hattest du glaube ich Michael gesagt ja Vertrauen.

 

Und und die Frage ist ja wie schaffen wir eigentlich in unserer Branche ein Vertrauen für unsere Kunden herzustellen?

 

Wie schaffen wir Kunden sage ich mal zu befähigen ist, ist kein guter Begriff.

 

Dannter auch den richtigen Dienstleister finden zu können.

 

Hattest du schon gesagt Johannes, das ist ein Teil von dem, was ihr leistet, dass ihr dort eben nein Verbindung herstellt zwischen den Neds auf der Kundenseite und dem was was Lieferanten haben.

 

Sind das genau aus diesem Grund, dass das dort eben das Problem besteht, dass ein Kunde oftmals gar nicht greifen kann, was er braucht und natürlich noch schwieriger Durchblicken kann. Währleistet wirklich was weil sein beehrlich in der Werbung sagt ja jeder von sich erst mal er ist der Geilste.

 

Und da muss man dann hinterher doch noch mal ein bisschen tiefer gucken und sagen okay mag sein aber wo genau bist du gerade besonders gut und West sindfelder, wo jemand anders viel besser ist ist das genau das, was ihr macht Johannes da da tiefer einzusteigen und den Kunden eigentlich genau da zu unterstützen, damit er hinterher auch eine gute Entscheidung treffen kann .

 

Ja genau, also wir haben das mehrfach getan tun es immer wieder gerne und sehen bestimmt immer einen Punkt.

 

Das ist ja der Reifegradzustand.

 

Der Reifegradzustand eines Unternehmens man hat das ganz oft das Themaand kommt ins Unternehmen rein.

 

Es hat eine SISO stelle geschaffen Und jetzt muss man was nach vorne gehen und weil sie so klassischer Natur schnell viel erreichen möchte, lagert er jetzt große Teile der Security aus.

 

Weil das einfach auch der effizienteste Weg ist, schnell was umzusetzen Problem. Dabei ist nur, dass oftmals die Voraussetzungen eben nicht da sind.

 

Jetzt gibt es halt solche Sachen die kann man einfach überblicken.

 

Das ist zum Beispiel der der technologische Grundstock.

 

Ich sag mal Technology Stack, wenn man da zum Beispiel auf der Basis Dienstleister auswählt.

 

Man hat zum Beispiel alles von Microsoft.

 

Dann möchte man auch einen Security Dienstleister, der den Microsoft Produktstack unterstützt.

 

Nein, dasselbebe mit Elastik oder ich hab halt ein anderes Produkt oder ich ich mach das basierend auf einem Store und.

 

Hab da irgendwie meine mein Steckenpferd.

 

Dann orientiere ich mich technologisch das ist gut das sollte man tun, sonst habe ich Kompatibilitätsssues muss ich ein bisschen gucken, wie die Strategie was sagt.

 

Aber das viel wichtigere ist.

 

Wie kann ich überhaupt den Dienst entgegennehmen also, was muss ich auf meiner Seite auf der Kundenseite tun und umsetzen und erst mal klären , um entsprechend mir so eine Dienstleistung ins Haus zu holen mal spätestens wenn der Dienstleister auf der Matte steht egal wie gut ich den ausgewählt hab, wird der Fragen stellen.

 

Er wird sagen, wer händig denn den Inzidendent auf der letzten Meile?

 

Wer ist denn dafür der letzte Entscheidungsträger, wenn wir hier alles abschalten müssen ?

 

Und solche Sachen diese diese ganzen Implementationen für Security Prozesse.

 

Die sind erst mal zu definieren und das sehen wir sogar sehr sehr vermeintlich reife Firmen.

 

Die da immer noch dadurch, dass sie noch nie richtig ein Inzidenz hatten, im Vergangenheitssaft Schwimmen.

 

Sozusagen.

 

Ich sage immer, man sollte man sollte ganz einfach bei der ganzen Sache vorgehen.

 

Also alles was Inzi Management angeht .

 

Wurde viel zu sehr intellektuiert, man hat viel zu viel Framework Knowdge und Fake Wissen aufgebaut, sag ich mal und man sollte sich einmal die Frage stellen.

 

Was möchte ich denn eigentlich?

 

Und mein Credo ist oder ich hoffe, dass das nicht nur meins ist, sondern industrieweit gilt.

 

Wir wollen alle eigentlich Vorfälle verhindern .

 

Also die Prävention ist eigentlich das, was wir wollen.

 

Wenn wir es nicht verhindern können, möchten wir es wenigstens säden.

 

Also wir wollen Definition, wenn wir es nicht verwenden können.

 

Und wenn das dann nicht greift also wenn wir es irgendwie gerade so sehen oder viel zu spät, dann möchte wir wenigstens wenn es passiert ist, alles dafür tun, damit es eingedämmt ist und damit es gut behandelt wird . Und alle Maßnahmen sollten irgendwie auf Konten einzahlen mit Priorität auf die Prävention.

 

Das wird aber so einfach gar nicht nach außen gegeben in der Industrie, weil wir uns selbst gerne auch in fachlichen tiefen Themen. Teilweise sogar verstreiten oder oder politisch diskutieren.

 

Weil das so klar nein da kommt der Nerd durch dann willst du dein Lieblingsthema irgendwie rausholen. Willst das irgendwie lösen.

 

Und das gibst du dann beim Kunden weiter wir sollten wir sollten das ein bisschen einfacher machen, um mehr Impact.

 

Bei der Implementierung zu erzeugen.

 

Und noch im zurück auf die Frage ja wir sind in Deutschland jetzt vor allem soweit.

 

Das Jetzt ein großes Umdenken stattfindet d.h. Man macht sich auch mehr Gedanken.

 

Und man ist jetzt in der Situation, dass man nicht nur vordenken lässt, sondern auch selber denken muss.

 

Weil diese Frameworks ja auch ein Stück weit voraussetzen, dass man sich mit der eigenen Infrastruktur auseinandersetzt?

 

Wer hätte es gedacht?

 

Also erst mal muss ich die eigene Infrastruktur kennen, um zu wissen, was ich beschütze.

 

War ganz lange nicht der Fall.

 

Da könnt ihr alle Lieder davon sehen.

 

Und das haben wir jetzt sprich kenne ich alles Weiß ich, wer hier überhaupt rumrennt weiß ich, wer was zu sagen hat?

 

Kann ich Mandate gut verteilen?

 

Kann ich im Prozess so machen, dass wir den so lange iterieren, bis der richtig schön effizient wird und dann dann ist es ein rundes Ding. Klingt so klingt einfach aber ich glaube es natürlich .

 

Ich glaube, bestätigen zu können das was du gesagt hast, dass natürlich das Interesse bei uns allen ist möglichst gar keinen Schaden vorkommen zu lassen etc. Du hast die verschiedenen Punkte genannt.

 

In der Realität wird es ja dann aber doch sehr komplex, weil es ja dann auch darum geht.

 

Wen darf ich nachts anrufen da kommen auf einmal sowas wie Arbeitszeitmodelle.

 

Da kommt ein Betriebsrat, der natürlich die Rechte seiner Mitarbeitenden auch schützen möchte.

 

Und damit wird ein Thema, was zwar vom vom erst von der ersten Logik vor allem noch nicken und sagen ja .

 

Auf einmal hochkomplex, weil die Umsetzung dieses Aendiken doch auf einmal sehr komplex wird.

 

Also dass das insoweit glaub ich haben wir da echt noch einen großen Spagat und.

 

Ja, vielleicht ist genau das, was auch du gesagt hast, eben zu gucken was man dann über managed Services über Dienstleister, die dafür schon Regelungen getroffen haben.

 

Dieses Skept dann schließen kann aber ja, es ist sicherlich ein Thema .

 

Das was, was ich mir einbilde, aber keine Ahnung vielleicht ich das falsch.

 

Michael.

 

Habt ihr es etwas einfacher, weil ihr habt ein ein festes Produkt und das wird ja nicht nur von euch, sondern eben auch von anderen getestet und damit bekommt ihr ja ein ein Kleby sag ich mal was sagt ihr seid gut also geh noch mal zurück auf dieses Thema Vertrauen, weil das ist finde ich für Dienstleister wahnsinnig schwierig.

 

Da kann ich ja nur sagen ich habe gut ausgebildete Mitarbeiter ich kann eine Historie bringen aber so die richtigen Klebi gibt es ja nicht außer ein paar Zertifizierungen.

 

Ist das einfacher oder ist das vielleicht ein Wunschdenken von mir?

 

Ich würde es jetzt ein bisschen romantisch nennen.

 

Oha jetzt bin ich gespannt Als Hersteller hast du hast du natürlich oder wir haben immer zwei Herausforderungen.

 

Wir haben natürlich auch knapp 7000 Rieseller in Deutschland, Österreich und der Schweiz, die wir unterstützen.

 

Weil ohne die geht es natürlich nicht.

 

Die verwalten die Kunden die arbeiten mit unseren Kunden.

 

Die kennen die Kunden natürlich auch.

 

Wir machen ja kein Direktgeschäft .

 

Und nein Ganze Zeit lang hatten wir diesen romantischen Hintergedanken, dass wir sagen.

 

Wir haben jetzt nein EDR Lösung.

 

Jeder unserer Rseller unserer Partner kann die ja betreiben.

 

Und für seinen Kunden neben dementsprechend managen und dann die Services anbieten und abrechnen .

 

Das Problem erkennst du jetzt wahrscheinlich schon, wenn ich das so schwanger vorbringe.

 

Das hat nicht sonderlich gut funktioniert.

 

Weil einfach auch die Systemhäuser, die heutzutage am Markt sind.

 

Zwar ein hohes Vertrauen genießen beim Kunden gegenüber und ist als Hersteller auch, weil wie du schon sagtest, es Lange Tradition.

 

Wir sind EU- Hersteller in privater Hand.

 

Also es gibt keine Aktionäre.

 

Es gibt kein Fremdkapital im Unternehmen .

 

Also das hat natürlich heute geopolitisch riesige Vorteile und damit kokettieren wir sicherlich auch.

 

Es gibt viele gute Orte.

 

Wir sind sicherlich immer unter den Top Fünf oder Top 10 je nachdem wo du guckst ist alles prima.

 

Es ändert sich alle paar Jahre mal.

 

Wichtig ist aber tatsächlich , dass dieses Vertrauen sich durchzieht.

 

Und Vertrauen heißt ja nicht nur, dass ich Geschäft mit Menschen mache.

 

Das wird immer stattfinden.

 

Johannes wird das sicherlich.

 

Bestätigen.

 

Das nächste ist halt auch, dass ich, dass ich eben der Leistungsfähigkeit vertraue und dass ich darauf vertraue, dass derjenige, der das übernimmt, auch das richtige tut.

 

Und da kommen wir ins Spiel, dass wir irgendwann gesagt haben.

 

Wir müssen tatsächlich auch M D R Services anbieten oder machen wir jetzt zum Beispiel in zwei verschiedenen Größen Bundles auch also mit .

 

Da sind wir wieder bei Döner mit alles und scharf ja also gibt es auch mit Produktbundles und so weiter um es dann möglich einfach zu machen auch für die Entscheider das ist auch nicht zu unterschätzen.

 

Weil, wenn du ich sage mal, wir bleiben mal beim Thema Microsoft.

 

Wenn du mit einem Microsoft Lizenzmodell kommst und liegst dem.

 

Entscheid dann ein komplettes Angebot vor dann hat er sich heute Nachmittag auf dem Dachboden erhängt, ja, weil er nichts davon verstanden hat.

 

Und das wollen wir zum Beispiel nicht.

 

Der soll und wie soll das relativ easy auch zu konsumieren sein.

 

Aber um zum Thema Vertrauen zurückzukommen wir bieten eben zwei MDA Services an einmal eher für den für den Bereich Mittelstand.

 

Also wo man sagt okay wir sind schutzbedürftig.

 

Aber wir lassen das nicht immer 24 sieben durch eigenes Personal machen , sondern kigestützt.

 

Und wenn da eben dementsprechend ein Inzidendentz auftaucht, dass dann jemand drauf guckt das ist natürlich günstiger, als wenn 24 sieben jemand Monitoring und aktives Hunting macht.

 

Oder eben für für größere Unternehmen mit hohen Schutzbedarffen und Service, der eben auch 24 sieben im Laufe der der Sonnenumrundung dementsprechend da tätig ist und .

 

Da ist es tatsächlich, so dass wir große Vorteile haben aufgrund unserer Erfahrung.

 

Wir haben ja ein Riesen Forschungs-und Entwicklungsteam und das ist eher außergewöhnlich für die Branche.

 

Bei uns sind es glaube ich ja ich würde sagen wir haben ungefähr 2400 2500 Mitarbeiter und ich knapp 1000 davon müssten in Forschung und Entwicklung setzen.

 

Die aktuellen Zahlen kenne ich jetzt nicht.

 

Das ist von von der Anzahl relativ viel für wenn du jetzt mit Mitbewerbern das vergleichst.

 

Und ich glaube das bringt uns einen großen Vorteil eben mit den genannten anderen geopolitischen Themen, so dass der Kunde, der uns schon einsetzt und weiß, dass Produkt funktioniert .

 

Und da, das hat immer eben dementsprechend auch geschützt und kennt unsere Forschungsergebnisse und verlässt sich dann eben auch auf die Services.

 

Aber Auch das muss eben auf Dauer skalierbar sein und das ist eben auch ein Thema, das für uns als Hersteller nicht ganz unwichtig ist, weil Forensiker und Leute, die eben für unser eigenes Soc arbeiten, wachsen ja nun auch nicht auf den baumne nö, das tun sie definitiv nicht. Das das wird sicherlich eine Herausforderung bleiben genau.

 

Ich sehe schon, die Zeit rennt dahin.

 

Ich möchte aber unbedingt noch mal ein Thema ansprechen und zwar worüber wir heute und ich fand von dir Johannes sehr schön, dass du das Thema Dogmen, Mythen und Fehler in der IT Security Branche.

 

Reingeworfen hattest das klingt ein bisschen mystisch.

 

Kannst du da ein bisschen Licht ins Dunkel bringen was?

 

Was meintest du damit vielleicht ein konkretes Beispiel wo wo er an Grenzen stoßt ?

 

Ich finde das klingt spannend.

 

Genau.

 

Kannst du gerne gerne ich komme daher dass ich sag okay was was schafft denn Sicherheit?

 

Und was glauben wir denn was Sicherheit schafft und wir haben ganz oft auch in der Branche auch teilweise in übergreifend auch in den Medien sieht man ganz häufig so Schlagwörter und.

 

Ja Glaubenssätze, die ich meiner Meinung nach sehr sehr fragwürdig finde zum Beispiel ist eins davon. Der Glaube an die Compliance.

 

Also, wer wirklich drinsteckt im Thema weiß, dass Compliance eine schöne Sache ist, damit man aufräumen kann Dinge ordentlich machen kann.

 

Aber oftmals haben wir habe ich ja vorhin schon gesagt eine Chackboxen Mentalität.

 

Und zum Audit sieht’s dann alles toll aus und davor und danach haben wir haben wir eine Riesenbaustelle.

 

D.h. Wir kommen nicht wirklich weiter mit dieser Gedankenwelt.

 

Wir führen jetzt was ein und das hilft uns dann, weil wenn wir auch in die in die großen Brees reingucken also jede große Firma, die irgendwo am Bach hatte die hat ihre 27.001.

 

Das ist dann ist das kann man nachlesen.

 

Die Frage ist, wird die richtig angewandt und wird das, was in dem policy steht auch auf dem Bereich angewandt, der als Scope ausgewiesen ist da gibt es viel viel viel zu hebeln.

 

Nein, aber trotzdem gehen wir durch die Welt und sagen ja wir brauchen hier den Stempel und dann ist alles gut .

 

Das das ist eben nicht so ein anderes Beispiel haben wir das finde ich immer ganz ganz spannend.

 

Wir wissen, dass wir viele Schwachstellen offen haben also industrieweit durch die Branche weg.

 

Wir haben sehr sehr viele Schwachstellen.

 

Niemand hat sich aber mal richtig gefragt, warum das so ist und der kleinste gemeinsame Nenner heißt dann immer ja brauchst ja Zeit, um die zu fixen.

 

Brauchst ja Zeit, um die zu priorisieren. Brauchst Zeit, um die zu bewerten.

 

Und dann sage ich mir immer so wieso wieso machen wir das?

 

Ich weiß, dass wir das nicht überall gleich lösen können das Problem .

 

Aber in ich behaupte mal 60 % aller Unternehmen vielleicht sogar 70 kann man einfach normal updaten einfach das Ding durch updaten und selbst wenn was hinterher nicht funktioniert, so wie das bei Crowdstrike letztens war.

 

Dann kann ich mir, wenn ich gut dafür gesorgt habe ein Rollback irgendwie leisten also zurück zum alten System und dann dort weitermachen.

 

Wir müssen ein bisschen mehr Mut aufbringen zur zur Downtyp.

 

Zumindestens ist meine Philosophie.

 

Ja, das waren jetzt die Schwachstellen.

 

Wir hatten wir hatten Compliance.

 

Wir haben auch noch ganz andere Sachen wo ich nicht ganz einverstanden bin damit so so ein Mythos wie.

 

Dass der User das das das letzte Glied ist in der in der Sicherheit.

 

Wir haben in den letzten Jahren ganz ganz viel mit den Usern gemacht ganz viel Awareness draufgehauen.

 

Das ist auch richtig so .

 

Aber wir dürfen nicht in den Glauben verfallen, dass wir gerade jetzt in der Zeit, wo auch eine Aushilfskraft allein erziehende Mama 4 Stunden am Tag irgendwo 1000 Mails hin und her schiebt.

 

Ist dass die jetzt noch jede Mail so anfasst, dass sie sieht, dass da irgendwas aus weiß ich nicht woher kommt mit einem Link nach dort dort also das muss technisch abgefackelt werden.

 

Wir können nicht so viel Last auf die User drauf bügeln und uns dann zurücklehnen also solche Mythen da gibt es ja mehrere davon aber das waren jetzt drei davon Da müssen wir aufräumen dann müssen wir ein bisschen. Der User als Lasteline auf die Fans ist einfach unsinnig mal in Zeiten von zig Millionen Terabyte an Daten, die in den letzten zehn Jahren geleakt sind.

 

Und die käuflich erwerbbar sind zum einen verbunden mit den Möglichkeiten, die ki eben dementsprechend hat , um gezielte Kundenansprache zu machen von Unternehmen von von Dienstleistern, wo du wirklich Kunde bist.

 

Wo das ist echt deine E-Mail-Adresse das ist echt der richtige Header das sind die richtigen Grafiken.

 

Ja der richtige Zeitpunkt etc.

 

Dann dem User zu sagen ja, das hättest du ja sehen müssen.

 

Das ist Unsinn ja und da gibt es ja auch technologisch.

 

Wenn ich das gerade noch einwerfen darf.

 

Ganz simple Sachen wie Cloud Sandboxing, ja.

 

Die das in einem extrem hohen Maß eben das dieses Risiko minimieren weit über 99 % Ja, dem User sowas erst gar nicht zustellen, beziehungsweise verhindern, dass er überhaupt was falsches anklicken könnte.

 

Ist nein Leichtigkeit aber ich gebe dir recht, dass die Leute denken viele viele Dinge einfach nicht zu Ende nein und wir erleben das auch immer wieder, dass der Kunde zum Beispiel ich nenne jetzt keinen Namen, aber ist ein ein großes deutsches Unternehmen die haben eine Lizenz von uns und bei einer Veranstaltung haben wir die getroffen haben mit denen geredet.

 

Und dann haben die quasi zugegeben, dass die Cloud Sandboxing auch für das Thema Microsoft drei 65 noch nicht aktiviert haben.

 

D.h. Die haben die Lizenz gekauft .

 

Die haben die Lizenz da liegen.

 

Sie arbeiten mit diesen Tools.

 

Aber sie haben das nicht aktiviert.

 

Und das ist nein Sache, die meinem Kopf nicht reingeht, weil beides.

 

Das eine ist nein policy ausrollen und das andere ist in Microsoft Tenet verbinden.

 

Das ist beides nein Sache von 5-10 Minuten .

 

Und hat dann keinen weiteren Impact auf irgendwelche Ressourcen ja und das geht in meinen Kopf nicht rein wo ich dann gesagt habe.

 

Bitte tut mir einen Gefallen ihr fahrt nachher nach Hause und spätestens morgen früh macht ihr das weil ich habe riesige Sorgen , dass ihr übermorgen in der Zeitung steht und dann heißt es die hatten aber ein E-SetT-Produkt sind aber trotzdem geh geworden.

 

Weißt du das sind so die Dinge, wo ich dann nervös werde und sage das lastet ja nachher auch beim Herstellerne.

 

Und bis das dann wieder gerade gerückt ist das dauert noch ein paar Tage länger ne also so geht es uns dann dementsprechend auch das kann ich nur bestätigen .

 

Ja ich, ich würde klein bisschen widersprechen wollen.

 

Ich hab ja gesagt na ja der der Mitarbeiter.

 

Als die die letzte Verteidigungsschicht ich würde das vielleicht eher anders sehen wollen.

 

Also ich bin.

 

Ins soweit erst mal bei euch natürlich jetzt gerade auch mit mit K\letter I\letter und den neuen Möglichkeiten werden die Mail jetzt so gut werden, dass auch wir als Spezialisten also ich rede von mir.

 

Ich will gar nicht bei euch reden. Aber so dass auch ich glaube ich überführt werden kann.

 

Weil einfach etwas gut gemacht ist in ins soeit da bin ich bei euch.

 

Ich würde es eher weiterfassen wollen, dass es nicht um die einzelne Person geht, sondern dass es eben dann wieder um die Organisation die Menschen in der Organisation geht, weil .

 

Wie kann es sein, dass der Manager, der gerade ausnahmsweise im Ausland ist kurz eine Mail schickt und sagt bitte überweise 50.000 € auf folgendes Konto weil ich will hier gerade nein Firma kaufen.

 

Da reden wir nicht mehr darüber, dass das vielleicht ein ein böser Inhalt ist.

 

Im Sinne von den kann ich scannen, weil da ein Virus drin ist, sondern es ist einfach nur eine Information .

 

Und aufgrund dessen, dass ich vielleicht als Organisation so aufgestellt bin, dass ich sag es mal übertrieben gesprochen, Angst ein Fehler zu machen, Angst ein Befehl nicht auszuführen, der mir gegeben wurde.

 

Eigentlich weiß das ist komisch das ist merkwürdig, sondern mehr habe ich noch nie bekommen und eigentlich sagt jeder Funke in dir Tu das nicht.

 

Aber weil das gut aufgezogen ist, weil es vielleicht eine gewisse Führungskultur im Unternehmen ist, wird es dann doch überwiesen.

 

Also gibt es ja immer wieder diese Fälle, dass eigentlich, wo jeder mit einem gesunden Menschenverstand sagen würde so wie kann das sein?

 

Sowas doch passiert und da ist natürlich noch die Frage ob da sind wir dann eben nicht bei Technik finde ich sondern sind wir eher bei .

 

Organisaturorganisationen wie wie können wir Strukturen schaffen?

 

Wie können wir sagen ab einer Summe X muss das vier Augen Prinzip sein oder du hast bestimmte Grenzen.

 

Und da sind wir natürlich dann doch Organisation, aber eben auch Mensch das zu machen.

 

Von daher würde ich ein bisschen aufbrechen aber.

 

Ja keine Ahnung seht ihr was vermutlich dann ähnlich oder habt ihr noch andere Gedanken dazu ?

 

Na ganz kurz also ich hab den den Betrugsfall schlechthin erlebt, dass eine Mail von außen kam ganz normal geschrieben ohne Rechtschreibfehler von einer Absendeadresse, die natürlich bekannt war.

 

Es ging um den Fall, dass eine Mitarbeiterin sich im Urlaub befunden hat.

 

Und hat aus dem Urlauber rausgeschrieben an die Personalabteilung, dass ja sich das Gehaltskonto geändert hätte da war auch da war auch kein Verdacht zu schopfen, weil es es war alles klar die Absenadresse stimmt mal so im Urlaub und hat gesagt hey ich hab euch total vergessen.

 

Ich hab meine.

 

Meine Bank gekündigt hat nein neue Bank neue IBAN Bitte bitte benutzt die doch mal .

 

Im letzten Augenblick. Tatsächlich hat dann die Mitarbeiterin nachgefragt, konnte niemanden am Telefon erreichen und hat es erst mal nicht gemacht und hat es irgendwie an ihre Chefin gegeben.

 

Und die hat dann gesagt ja wir warten mal bis die bis die Dame zurückruft.

 

Nein und das war tatsächlich ein Betrug das ist.

 

Das kannst du nein da war die Mail glatt geschrieben da war alles toll da war alles super.

 

Es gab da auch keine keine keine Checks und solche simplen Sachen.

 

Da geht es um ein Gehalt okay eins Das, was dann weg wäre aber wie willst du das machen wenn du nicht genau was du gesagt hast irgendwelche organisatorischen Checks drin hast, wo du vier Augenprinzip hast oder wenn du andere Methodiken eingerichtet hast, in dem solche Änderungen du durchzuvollziehen sind , dann kannst du es nicht aufspüren.

 

Dann hast du den Betrug einfach als Mail da demnächst auch als Anruf oder Videoanruf.

 

Und dann musst du schon irgendwie gucken, dass du eine Maßnahme hast die sowas mit abfedert.

 

Ich bin ich ganz deiner Meinung, dass also kompromittierte Accounts.

 

Das ist eben das was, was uns am meisten Sorge macht .

 

Auch gerade was du jetzt angedeutet hast da wäre ich jetzt auch noch mal eingegangen.

 

Im Zeichen von KI also wie mit wie wenig Aufwand und Hardware du heutzutage so ein Gespräch, wie wir das jetzt hier führen.

 

Einen Zoom Call oder eben dementsprechend auch ein Teamscall mit k I\letter fälschen kannst .

 

Wir haben das selbst als Showcase mal ich glaube für die RSA letztes oder vorletztes Jahr gemacht.

 

Ein Social Experiment mit einem US S-amerikanischen Unternehmen, wo einer unserer Kollegen eben dementsprechend sich als Geschäftsführer ausgegeben hat, mit K\letter I. Und hat ein Videotelefonat mit den Leuten geführt Stimme, Tonlage und dementsprechend Gesicht eben von k I\letter generiert aus dem Urlaub auch aus .

 

Und hatte Anweisungen gegeben und ist dann dementsprechend auch tatsächlich sofort damit durchgekommen.

 

Weil wie schon gesagt, also da da kommt dir dann einfach nichts komisch vor und die Qualität, was du heute mit einem ich sag mal mit einer sehr guten Workstation so erreichen kannst in live in Echtzeit .

 

Das ist sehr sehr gruselig und wenn der Hintergrund beziehungsweise einige Informationen natürlich dann noch stimmen. Der Chef ist im Moment im Urlaub auf Saint oder was weiß ich wo und da machst du dir den passenden Hintergrund. Dahinter.

 

Sitzt da irgendwo an der Strandbar ja dann kannst du extrem viel erreichen und davor dafür sollten wir uns alle fürchten .

 

Und dann müssen wir eben dafür sorgen, dass das, was wir eben dementsprechend dazu leisten können, auch geleistet wird.

 

Jetzt hab ich ein bisschen Angst, also von der Zeit sind wir sowas von durch.

 

Ich möchte aber nicht so negativ enden.

 

Also wir haben jetzt gerade die ganzen.

 

Ich weiß gar nicht ob es Horrorszenarien sind, sondern sind ja natürlich momentan realistische Szenarien, die Die wir angesprochen haben.

 

Ich würde aber gerne noch mal eher zum Anfang zurück, wo wir zumindest auch darüber gesprochen haben.

 

Hey.

 

In eurer Statistik und in euren Umfragen zeigt sich es gibt eine Verbesserung der Wahrnehmung.

 

Es es gibt die nächsten Schritte, die man angeht.

 

Also ich möchte gerne noch den positiven Blick zum Ende hier rauskrameneln.

 

Wir haben auch den Gesetzgeber, der jetzt eben auch mitanis zwei klar noch mal Leitlinien gegeben hat, die sicherlich so hoffen wir alle dazu beitragen werden, dass die Unternehmen hier einen besseren Fokus bekommen sich miteinander darum kümmern, das Thema nach vorne zu bringen.

 

Wir haben festgestellt okay wir haben glaube ich mittlerweile viele gute technologische Möglichkeiten.

 

Wir haben aber auch festgestellt, dass das eben nur ein Teil der Wahrheit ist, sondern dass es eben auch darum geht, organisatorisch zu gucken.

 

A ich glaube immer mit dem wachen Auge Dinge zu betrachten, aber auch entsprechend eben Prüfmechanismen einzuführen, die eben nicht nur technologisch, sondern eben auch auf anderen Themen sind .

 

In soweit wäre das vielleicht so ein bisschen die Zusammenfassung des Gesprächs.

 

Nichts, desto trotz möchte ich euch beiden vielleicht noch mal ein kurzes Schlusswort geben, was ihr vielleicht noch hier ja mit mit reingeben wollt.

 

Ich fang einfach mal bei Johannes an.

 

Hast du noch etwas was du sonst Schließ Wort reinwerfen möchtest Ich würde es simpel machen.

 

Ich würde sagen, Strategie schlägt Compliance und Selberdenken macht wesentlich mehr Spaß und mit ein bisschen Elan, der Sache dann schon ein bisschen näher, dass wir sicherer werden.

 

Ich würde es nicht verkomplizieren perfekt danke dir dafür ja ich hoffe wir Zuhörer und interessierten nehmen dementsprechend nicht Lost in Translation zurücklassen.

 

Sondern dass wir, dass wir schon den Mut eben dementsprechend auch entfachen, die richtigen Fragen zu stellen.

 

Also wie Johannes das auch schon gesagt hat .

 

Also nicht, was wir in der Vergangenheit häufig gefragt haben und das sind ja parallelen zur Datenschutzgrundverordnung.

 

Wenn ich dieses böse Wort noch mal in den Mund nehmen darf.

 

Ist, bin ich überhaupt betroffen und muss ich jetzt überhaupt was machen?

 

Das sind die falschen Fragen.

 

Die richtigen Fragen ist.

 

Was kann ich machen?

 

Was kann ich mir leisten?

 

Wenn was kann ich selbst eben dementsprechend leisten?

 

Was muss ich an den Dienstleister abgeben ?

 

Und dafür gibt es nun mal auch ausreichend Angebot und.

 

Es gibt viel zu tun und wir sollten das gemeinsam anfassen und es gibt eben tatsächlich auch genug Menschen, die da tief genug drin sind auch vom von Kleinunternehmen eben bis zum Enterprise Unternehmen die Leute passend zu beraten.

 

Wir sollten es nur machen eben einem Unternehmen oder einem Dienstleister, dem ich am Ende des Tages eben auch vertraue.

 

Ja, vielen vielen Dank auf jeden Fall euch beiden.

 

Ich hab Hunger bekommen.

 

Wenn ich ehrlich bin. Du hast zweimal den Döner mit alles und etwas scharf bestritten, wo ich zwischendurch schon dachte ich renne jetzt los.

 

Ich hatte nämlich noch kein Frühstück.

 

Wir sind da noch in der Vormittagszeit.

 

Insoweit weiß ich schon, was ich jetzt gleich nach der Aufzeichnung mache.

 

Genau sollten Fragen sein zu unserer Diskussion.

 

Könntet die gerne senden per E-Mail an info@ Teletrus.de.

 

Das Ganze wird aber auch in den verschiedenen sozialen Medien natürlich verknüpft heißt auch da könn ihr eure Fragen mit reinschreiben.

 

Und wir werden versuchen die dann entsprechend nach links und rechts zu leiten oder direkt zu beantworten. Heißt also ja nur zu ansonsten bleibt mir nichts anderes als herzlichen Dank an den Johannes und an den Michael zu sagen und natürlich auch den Zuhörern.

 

Und dann wünsche ich euch allen eine schöne Zeit und vielen Dank bis dahin danke schön danke und ich danke dir auch