#18: Alarm im Netz

Lisa Froehlich: Lisa Froehlich Hallo und herzlich willkommen zu einer neuen Folge von Follow the White Rabbit, dem Link11 IT Security Podcast. Mein Name ist Lisa Fröhlich und ich bin Unternehmenssprecherin bei Link11. Heute ist bei mir zu Gast Desiree Sacher-Boldewin und ich freue mich, eine sehr erfahrene Cybersecurity -Spezialistin hier in dem Podcast zu haben. Es dreht sich heute in unserem Gespräch alles das Thema Security Operations Center, kurz SOC. Wir werfen einen Blick hinter die Kulissen und gehen zum Beispiel der Frage nach, was passiert denn eigentlich in so einem Security Operations Center? Wie schützen diese Experten Unternehmen vor Cyberangriffen? Welche Rolle spielt zum Beispiel künstliche Intelligenz dabei? Und ja, wir schauen uns einfach mal an, wie sozusagen mit Hilfe eines SOCs Prozesse verbessert werden können und eben Unternehmen sicherer vor Cyberangriffen sind. Doch bevor wir in all diese spannenden Themen einsteigen, möchte ich Desiree bitten, sich kurz vorzustellen und unseren Hörerinnen und Hörern einfach mal einen Einblick zu geben, was denn genau in einem Security Operations Center passiert und wie so ein typischer Tag aussieht. Desiree, bitteschön.

Desiree Sacher-Boldewin: Desiree Sacher-Boldewin Vielen Dank, Lisa. Mein Name ist Desiree Sacher-Boldewin. Ich bin seit insgesamt im Moment 19, 20 Jahren bereits in der IT-Sicherheitsindustrie unterwegs und habe früher bereits gestartet als Sicherheitsingenieur, habe Sicherheitsgeräte und Netzwerkgeräte konfiguriert und bin seit über zehn Jahren jetzt im Kontext von Security Operations Centern unterwegs. Das heißt zuerst als Analyst selber. Ich habe auch Forensik-Ausbildungen entsprechend absolviert, Netzwerkforensik, Systemforensik, Threat Intelligence. Ich habe bei diversen SOCs geholfen, mit aufzubauen in der Schweiz und in Deutschland. Ich war in den letzten zehn Jahren auf den Finanzmarkt. Dieses ganze regulierte SOC aufzubauen war etwas, was mich da sehr beschäftigt hat. war bis zu diesem Sommer auch zwei Jahre noch im Vorstand des Forums auf Incident Response und Security Teams, also wo eigentlich diese Sicherheitsexperten in diesem Umfeld sich auch beraten und zu Best Practices zu definieren, zusammenfinden. Und bin jetzt seit Mai letzten Jahres die Solution Lead bei NVISO, Firmen zu helfen, ihre Security Operations Centers aufzubauen. Und jetzt auf deine erste Frage einzugehen, was macht man da eigentlich genau, was passiert da genau? Security Operations Centers. Das sind so die Orte, Sicherheitsalarme von Cyberangriffen zusammenkommen. Also es ist etwas, was in den letzten Jahren jetzt immer wie mehr auch gefordert wurde, regulatorisch. Vielleicht haben der eine oder andere schon was von Miss2 gehört oder Dora oder Kritis. Das heißt, unsere kritische Infrastruktur, die muss halt auch immer wie mehr, weil immer wie mehr Geräte und Firmen natürlich inzwischen am Internet sind, auch vor Cyberangriffen geschützt werden.

Lisa Froehlich: Lisa Froehlich Mmh.

Desiree Sacher-Boldewin: Desiree Sacher-Boldewin Und das heißt, wenn man einen Cyberangriff erkennen möchte, dann muss man wissen, wie. Das ist so ein bisschen wie Mäusefallen aufstellen im Haus, wenn man weiß, dass man potenziell von Mäusen geplagt werden kann oder dass man irgendwo eine rumrennt. Und man muss da halt auch bisschen wissen, wo stellt man diese Fallen am besten auf? Und das sieht in der Praxis dann so aus, dass es da inzwischen ganz große Datenbasis gibt, die quasi dokumentieren, wie geht denn ein Hacker vor? Heutzutage ist das ja sogar so, das sind meistens nicht mehr Einzeltäter, sondern tatsächlich Staaten, die ganze Firmen eigentlich entwickeln, wo Profi -Hacker dann gezielt andere Unternehmen ausspähen zum Beispiel oder versuchen an irgendwelche geschützten Informationen zu kommen. Und das Faszinierende an dem Thema ist ja eigentlich, dass jedes Unternehmen eigentlich ein Opfer sein kann. Also ein guter Mentor von mir, Felix Lindner, FX, hat mal gemeint, eigentlich ist jedes Unternehmen, was irgendwie Geld erzeugt, ein potenzielles Opfer. Einfach weil, solange die Geld machen mit irgendwas, haben sie offensichtlich etwas, was am Markt auch etwas wert ist. Und von dem her, die Frage ist eigentlich dann nicht, ob es passiert, sondern mehr, wann es passiert und wie schnell man es erkannt, wie schnell man darauf reagieren kann.

Lisa Froehlich: Lisa Froehlich Mmh.

Desiree Sacher-Boldewin: Desiree Sacher-Boldewin Und eben diese Security Operations Centers sind so die Zentrale, wo die ganzen Alarme zusammenkommen. Und das ist heutzutage in verschiedene Bereiche gegliedert. Man hat eben diese eigenen Sicherheitsalarme, die zum einen beurteilt werden. Aber vielleicht hat einer oder andere schon was von Schwachstellen gehört, die bearbeitet werden. da ist ja meistens ein Stück, also praktisch immer ist es ein Stück Software, wo irgendetwas nicht ganz so optimal programmiert wurde und was dann halt ausgenutzt werden kann, weil es da halt irgendwie durch

Lisa Froehlich: Lisa Froehlich Mmh.

Desiree Sacher-Boldewin: Desiree Sacher-Boldewin je nachdem Konfigurationsmöglichkeiten oder weil die gesamte Architektur das vielleicht auch erlaubt, weil keine zusätzlichen Sicherheitsmaßnahmen dafür implementiert wurden oder je nachdem eben auch wirklich nur eine Lücke, die an sich ausgenutzt werden kann mit ein bisschen neuen Softwarecode, dass das dann quasi entsprechend ausgenutzt werden kann und diese Schwachstellen zu schließen und zu koordinieren, dass die geschlossen werden so schnell wie möglich, dass die nicht vom Internet aus erreichbar sind zum Beispiel auch. Das sind so lauter Dinge, da in einem SOC gemacht werden. Und eben die letzten Jahre gab es dann noch so eine zusätzliche Disziplin, die immer mehr jetzt Verbreitung gefunden hat. nennt sich Threat Intelligence. Und da geht es darum, dass viele Antivirus-Hersteller, das ist ja auch etwas, man inzwischen eigentlich praktisch, genau, ist Standard, dass man ein Antivirus-System draufhat. was diverse Firmen inzwischen machen, ist, die beobachten halt diese Hackergruppen und identifizieren genau,

Lisa Froehlich: Lisa Froehlich Das ist der Standard.

Desiree Sacher-Boldewin: Desiree Sacher-Boldewin Wie gehen diese Hackergruppen vor? Was für Werkzeuge verwenden die? Welche Gruppe hat welches Ziel? Also nicht alle sind zum Beispiel an Finanzdaten interessiert. Es gibt gewisse, die gehen exzellent auf den Energiesektor. Andere wiederum, die wollen quasi die ganzen Kreditkartenterminals highchecken oder irgendwie da im Hintergrund Zahlungen auslösen, weil sie eigentlich nur an Geld interessiert sind.

Lisa Froehlich: Lisa Froehlich Mmh.

Lisa Froehlich: Lisa Froehlich Ja klar.

Lisa Froehlich: Lisa Froehlich Mhm.

Lisa Froehlich: Lisa Froehlich Ja, da gibt es die aberwitzigsten Dinge. Diese Hackergruppen sind ja auch organisiert wie kleine mittelständische Unternehmen. Die haben einen CEO, die haben eine Finanzabteilung, die haben eine Serviceabteilung, die haben Freiwillige. Also ich hatte das große Vergnügen, in so einer Closed Session mal zu sitzen und mir mal so einen Überblick geben zu lassen, wie so eine Ransomware -Gruppe aufgebaut ist. Und da schlackert man wirklich mit den Ohren.

Desiree Sacher-Boldewin: Desiree Sacher-Boldewin Genau.

Desiree Sacher-Boldewin: Desiree Sacher-Boldewin Ja.

Desiree Sacher-Boldewin: Desiree Sacher-Boldewin Mhm.

Lisa Froehlich: Lisa Froehlich Also das ist im Grunde ja, die machen, die haben, ich will jetzt nicht sagen, die haben ein Security Operations Center, aber die haben sozusagen, ich nenne es mal, die haben ein Hacking Operations Center und sind da bestens organisiert und die arbeiten ja mittlerweile auch weltweit rund die Uhr. Also da gibt es ja nichts, was es nicht gibt und auch so dieses Thema Cybercrime as a Service. Also ich kann ja alles kaufen für ein paar Dollar oder ein paar Hundert Dollar, je nachdem wem oder wem ich schaden möchte und was ich anstellen will.

Desiree Sacher-Boldewin: Desiree Sacher-Boldewin Genau.

Desiree Sacher-Boldewin: Desiree Sacher-Boldewin Mhm.

Lisa Froehlich: Lisa Froehlich Also das bedeutet im Grunde, so wie ich da in der Schilderung verstanden habe, ist im Grunde ja das SOC, das Herzstück der Cyberabwehr. Wenn man sich jetzt mal überlegt, da werden alle sicherheitsrelevanten Informationen zentral gesammelt, analysiert und natürlich entsprechend auch darauf reagiert. dort wird im Grunde die IT -Infrastruktur überwacht und eben auch geguckt, wo sind Anomalien, wo sind vielleicht verdächtige Aktivitäten. Dann wird analysiert. So wie ich das verstanden habe, so wie du schon sagtest, so diese Threat Intelligence, was machen diese Hackergruppen, wie sind die eigentlich aufgebaut, was haben die für Ziele? Meines Erachtens sind natürlich auch klar so Incident Response Themen im SOC angesiedelt, also einfach auch die Reaktion, wenn es beispielsweise mal zu einem Vorfall kam, hinterher natürlich auch schlauer zu sein als vorher und zu gucken, okay, wo kamen die rein, wo ist meine Software -Schwachstelle?

Desiree Sacher-Boldewin: Desiree Sacher-Boldewin Mhm. Mhm.

Desiree Sacher-Boldewin: Desiree Sacher-Boldewin Ja.

Desiree Sacher-Boldewin: Desiree Sacher-Boldewin Mhm.

Lisa Froehlich: Lisa Froehlich Brauche ich da noch einen Patch? Muss ich updaten? Wie sieht mein Backup aus? Et cetera, pp. Und wenn wir uns jetzt mal so einen Tag in so einem Security Operations Center vorstellen, der für mich im ersten Gedanken ein sehr, sehr, sehr dynamischer Tag ist. Weil natürlich, wenn ich überlege, wie viel Angriffe wir monatlich täglich sehen, dann kann ich mir vorstellen, dass in so einem Security Operations Center richtig viel los ist, weil

Desiree Sacher-Boldewin: Desiree Sacher-Boldewin Mhm.

Lisa Froehlich: Lisa Froehlich Dort werden ja nicht nur DDoS-Angriffe beispielsweise erkannt, mitigiert und abgewährt, sondern da passiert ja auch alles andere. Und ich gehe mal davon aus, dass eben auch wie in einem Unternehmen da sicherlich in SOCs in Schichten gearbeitet wird, einfach diese 24/7 -Überwachung sicherzustellen und es muss ja auch eine sehr, sehr enge Zusammenarbeit geben zwischen den einzelnen Teams, weil natürlich ein Analyst was anderes macht als derjenige, der irgendwie auf die Cyber-Vorfälle reagiert. Wie sozusagen, was ist deiner Meinung nach? Gibt es so einen typischen SOC-Tag überhaupt? Oder ist da jeden Tag irgendwie ganz unterschiedlich?

Desiree Sacher-Boldewin: Desiree Sacher-Boldewin Ich glaube, es gibt verschiedene Grundmuster. Die Standardmuster sind die, wo man nicht in einem Eskalationsfall ist. Da gibt es verschiedene Rollen, die die Leute haben. Oft sind die Teams inzwischen in verschiedenen Rollen organisiert. Dann gibt es solche, die in Analystenschichten die neuen Sicherheitsalarme bearbeiten. Dort wird in vielen Firmen unterteilt zwischen First-Level und Second-Level und Third-Level. Die First-Level machen quasi so die ... Die Erstanalyse des Vorfalls und dann die den vertieften Fähigkeiten, machen dann eher so die Nachbearbeitung. Und das ist allerdings auch ein Modell, was jetzt immer mehr eigentlich wieder man wegkommt davon. Einfach weil es sich gezeigt hat, dass es unglaublich ermüdend ist, wenn man immer nur versucht, quasi eine Erstbewertung zu machen und dann zum nächsten Vorfall zu gehen. Man ist irgendwann erschlagen von den ganzen Alarmen. Also das große Stichwort dazu ist dann Alert Fertig.

Lisa Froehlich: Lisa Froehlich Mmh.

Desiree Sacher-Boldewin: Desiree Sacher-Boldewin dass man eben diese Ermüdung hat. Und deswegen versucht man so ein bisschen die Aufgabengebiete auch vielseitiger zu gestalten. Und eine Alternative ist dann eben zum Beispiel, dass man auf Threat Intelligence Analyst die neuen Informationen von Hackergruppen analysiert und guckt quasi wie können diese Informationen, die da jetzt erkannt wurden, zum Beispiel diese Hardware ist so und so, jetzt zeigt mir das dann im Mal, er ist, dass dann geprüft wird, zum Beispiel auf die Infrastruktur habe ich da einen entsprechenden Match, also bin ich betroffen ist, diese Schadsoftware auch bei mir zu finden.

Lisa Froehlich: Lisa Froehlich Mhm.

Lisa Froehlich: Lisa Froehlich Mhm. Mhm.

Desiree Sacher-Boldewin: Desiree Sacher-Boldewin Das ist dann so eine Hunting-Aktivität, die zum Beispiel durchgeführt werden kann. Oder oft gibt es eben diese Schwachstellen-Experten, die da dann eher fokussiert sind. Es gibt normalerweise Mitarbeiter, die darauf fokussiert sind, Erkennungsregeln zu verbessern. etwas, was man wirklich... Das lernt, glaube ich, jeder, der auch mal im Militär war. Eine Waffe ist nur so gut, wie man sie pflegt. Und das gilt auch im SOC, weil eine Erkennungsregel, die...

Lisa Froehlich: Lisa Froehlich Hmm.

Desiree Sacher-Boldewin: Desiree Sacher-Boldewin ist dann optimal, wenn man sie quasi initial aufsetzt und ihr konkreter und definierter sie geschrieben ist, desto gezielter ist sie danach auch in der Erkennung in der echten Welt. Aber sobald sich zum Beispiel eine Schadsoftware weiterentwickelt, sobald sich unsere Infrastruktur ein bisschen verändert, kann es sein, dass plötzlich eine neue Anwendung die gleichen Verhaltensmuster zum Beispiel ergibt. Und dann haben wir plötzlich lauter Falschalarme. Das heißt, man muss dann zum Beispiel genau prüfen, wie kommt es jetzt zu dieser Ansammlung von Falschalarm und die dann eben entsprechend wieder wegfiltern und prüfen quasi was ist hier genau falsch damit man das auch an der richtigen Stelle dann wieder optimiert weil einfach nur die Regel unterdrücken würde ja dann zu viel wegblasen dann hätten wir auch den kritischen Fall plötzlich den wir nicht mehr sehr sehen würden und deswegen sind so dann diese Verbesserungsaktivitäten auch sehr oft ein Alltag und dann wirklich nur wenn ein größerer kritischer Incident ist dann kommt es eigentlich so weit

Lisa Froehlich: Lisa Froehlich Hmm.

Desiree Sacher-Boldewin: Desiree Sacher-Boldewin dass auch wirklich mehrere Analysten sich dann wirklich zutiefst, zum Teil forensische Analysen durchführen müssen, Systeme oder wir haben einen Ransom-Web-Ausfall. Das heißt, man geht dann sehr oft in eine, also weil die wenigsten SOCs haben tatsächlich die Vollmacht, auf allen Systemen quasi dann einfach durchzugreifen. ist ja oft, haben da verschiedene Teams. Wenn ein Server-Team da irgendwie seinen Server betreibt, dann haben die die Betriebsverantwortung dafür.

Lisa Froehlich: Lisa Froehlich Mhm. Mhm.

Desiree Sacher-Boldewin: Desiree Sacher-Boldewin Und entsprechend kommt da nicht einfach einer daher und fängt dann an, da rumzukonfigurieren, Dinge zu verändern, sondern man spricht mit den anderen Teams, hoffentlich schon vorher, wie man da vorgeht in so einem Fall. Und dann wird das andere Team, weil die dann auch den Server und die Anwendung besser kennen, das entsprechend dann verändern. Und das SOC gibt eigentlich nur die Anweisung, was soll denn da verändert werden? Was ist der Zeitdruck? Was haben wir genau für ein Problem? Und diese vermittelnde Koordinationsstelle zum Beispiel, das ist dann etwas, was bei einem größeren Sicherheitsvorfall dann auch immer sehr hilfreich ist. Und dann geht es darum, wie kann man einschätzen anhand dieser Schadsoftware oder diesen Erkennungen, was ist jetzt tatsächlich betroffen, wo kam der Angriff rein, welche Systeme hat er sonst noch infiziert. Und dann geht es darum, überprüfen, wo ist er sonst noch überall drauf. All diese Dinge dann möglichst einzugrenzen, den Schaden komplett zu analysieren. Hoffentlich dann, sobald man das tun konnte, den Angreifer wieder rauszuwerfen. Also indem das System neu konfiguriert wird, ein altes Backup eingespielt wird zum Beispiel.

Lisa Froehlich: Lisa Froehlich Mhm.

Desiree Sacher-Boldewin: Desiree Sacher-Boldewin Oder man deaktiviert, das kann auch mal einfach nur eine temporäre Maßnahme sein, die notwendig ist, größeren Schaden zu begrenzen. Und all diese Aktivitäten werden dann aus dem SOC eigentlich so koordiniert. Und bis man dann halt die Gewissheit hat, man hat den Angreifer vollumfänglich erkannt, erfasst und kann da entsprechend dann jetzt wieder dann irgendwann in den Alltagsbetrieb übergehen. Und je größer dieser Sicherheitsvorfall war, desto länger kann der dauern. Also wenn da...

Lisa Froehlich: Lisa Froehlich Ja, ist ja nicht... Ich wollte gerade sagen, also das ist ja jetzt nichts, was, wenn man so einen Ransomware-Angriff hat, dann ist es ja häufig so, dass ja auch die Hackergruppen relativ lange sich unerkannt in den Systemen bewegen und dann zum Tag X zuschlagen und...

Desiree Sacher-Boldewin: Desiree Sacher-Boldewin Das kann Monate dann dauern.

Desiree Sacher-Boldewin: Desiree Sacher-Boldewin Ja.

Lisa Froehlich: Lisa Froehlich Es gibt einfach ja Daten, die sagen, dass man irgendwie weit über 100, 200 Tage durchschnittlich braucht, irgendwie so seine Systeme komplett wieder zu recovern. Also ich habe gerade kürzlich gesehen, es gab ja auch einen Angriff auf das Universitätsklinikum in Frankfurt. Ich glaube, der war Ende letzten Jahres, also Ende 2023 oder Anfang 2024. Und die haben jetzt nach zehn Monaten können die Mitarbeitenden wieder ganz normal auf E -Mails zugreifen und ganz normal wieder E -Mails verschicken. Also es ist einfach wirklich ganz, ganz, ganz lange, wo im Grunde ja die Arbeit da niederliegt oder man irgendwie wieder anders arbeiten muss. Jetzt hast du ja gesagt, es gibt auch Fehlalarme, falsche Alarme, die natürlich die Arbeit in so einem Security Operations Center erschweren können. Gleichzeitig ist es aber ja so, dass du hast es auch angesprochen, dass eben die Regeln dann entsprechend angepasst werden können und gegebenenfalls die Genauigkeit zu erhöhen. Inwieweit kommt denn da beispielsweise auch künstliche Intelligenz zum Einsatz, vielleicht bestimmte Muster zu erkennen, solche Fehlalarme zu reduzieren? wird denn jeder Alarm manuell überprüft? Das kann ich mir eigentlich gar nicht vorstellen.

Desiree Sacher-Boldewin: Desiree Sacher-Boldewin Mhm.

Desiree Sacher-Boldewin: Desiree Sacher-Boldewin Also da gibt es unterschiedliche Philosophien und ich bin tatsächlich, ich habe da meine persönlichen Präferenzen auch dabei. Es gab da eine ganze Zeit lang, wo diverse Hersteller mit Werbung gemacht haben, dass ihre AI zum Beispiel schon vorhersagen kann, wie groß die Wahrscheinlichkeit ist, dass das ein Falschalarm ist, damit man sich nur auf die richtigen Alarme konzentriert. Die Hauptproblematik, ich dabei sehe, ist, dass diese AIs oder diese intelligenteren Algorithmen, die da verwendet werden, normalerweise eine Lernbasis haben. Das heißt, man bespielt die in einer simulierten Umgebung mit Daten, die von Angriffen quasi herstammen und auf Basis von dem erkennt dann diese AI selber, was denn jetzt Schadsoftware ist. Das Problem dabei ist, dass die genau das lernen, was sie dort gesehen haben. Das heißt, neuere Muster danach zu erkennen ist zum einen schwierig. Also ich habe das tatsächlich auch schon erlebt, dass so eine Lösung bei einem Kunden installiert war, der wurde gehackt und das Feedback, weil die hat dann nichts erkannt. Das Feedback am Schluss war vom Hersteller, ja, unsere Lernalgorithmen hatten den Angriffstyp nicht quasi inklusive. Also da war dann das überhaupt nicht hilfreich. Und das andere, halt ist, ist, dass praktisch jede Umgebung, es gibt ein paar Ausnahmen, aber fast jede Umgebung ist sehr dynamisch. Da wird täglich kommt ein neuer Server rein, da kommt dort eine Verbindung, Mitarbeiter gehen in den Urlaub, dann werden Mitarbeiter gehen, dann kommen neue Mitarbeiter rein, dann kriegen sie neue Berechtigungen.

Lisa Froehlich: Lisa Froehlich Mhm.

Desiree Sacher-Boldewin: Desiree Sacher-Boldewin Das ist ein so dynamisches Umfeld, dass eigentlich diese Lernbasis sich auch dauernd verändert. Und das heißt, wenn man so einen Algorithmus an einem Ort zu weit hinten, sage ich dann immer, quasi verwendet, also jetzt zum Beispiel in der Zentralen, wo alle Alarme zusammenkommen, dann ist das ein sehr eingeschränktes Sichtfeld, was man da hat. Und man beeinflusst damit markant das Entscheidungsvermögen der Analysten.

Lisa Froehlich: Lisa Froehlich Mmh.

Desiree Sacher-Boldewin: Desiree Sacher-Boldewin Weil was man auch immer beachten muss, sobald man in regulierten Umgebungen unterwegs ist, da ist es wichtig, dass jeder Entscheid, warum man wie gearbeitet hat, nachvollziehbar ist. Und das muss auch im Nachhinein nachvollziehbar bleiben. Und wenn unsere Begründung ist, quasi das ist einfach nur, weil dieser Algorithmus uns gesagt hat, dann ist das ein sehr schlechter Grund, weil dann müssen wir den Algorithmus eigentlich erklären können. Und das funktioniert nicht, weil die AIs sich das ja selber beibringen. Also das wird. Genau, das sind sehr oft.

Lisa Froehlich: Lisa Froehlich Mhm. Ja, das sind ja auch oft Blackboxen. Da lassen sich die Hersteller ja auch nicht in die Karten gucken. Also, weil das ist ja das Herzstück des Machine Learnings, ja der Algorithmus, wie der sozusagen programmiert wurde, damit er eben bestimmte Dinge erkennt oder nicht erkennt oder anhand bestimmter Trainingsdaten entsprechend sich selbst trainieren kann. ich finde, das ist ein wahnsinnig spannendes Thema, dieses

Desiree Sacher-Boldewin: Desiree Sacher-Boldewin Genau. Ja.

Lisa Froehlich: Lisa Froehlich was ja für den SOC auch noch viel wichtiger ist, ist also dieses Thema Datenintegrität. Also wie stelle ich denn auch sicher, dass die Daten integer sind, da mit denen ich quasi das System füttere und da kann ich deinen Einwand oder deine Sorge total gut nachvollziehen und verstehe auch, weil es geht ja auch bei einem Security Operations Center und das hast du auch kurz in den Ausführungen ja schon gesagt, darum zu sehen, wo kann ich denn die Erkenntnisse

Desiree Sacher-Boldewin: Desiree Sacher-Boldewin Mhm.

Lisa Froehlich: Lisa Froehlich die mir meine Analyse sozusagen ausspuckt, einpflegen und wie kann ich entsprechend die Prozesse verbessern, wie kann ich sozusagen die Prozesse so neu bauen in meiner Sicherheitsstruktur oder in meiner Sicherheitsarchitektur, dass die richtigen Verbesserungsmaßnahmen implementiert wird und nicht einfach eine Verbesserungsmaßnahme, die dann am Ende des Tages doch nicht funktioniert, weil der Algorithmus vielleicht

Desiree Sacher-Boldewin: Desiree Sacher-Boldewin Mh.

Lisa Froehlich: Lisa Froehlich diese spezielle Attacke nicht sehen konnte. wie können denn die Erkenntnisse, die aus den Analysen eines SOCs quasi stammen, wie können die denn in das Unternehmensdoing eingepflegt werden? Gibt es da solche Lessons learned, Geschichten, die nach jedem Vorfall quasi die Abläufe

Desiree Sacher-Boldewin: Desiree Sacher-Boldewin Mhm.

Lisa Froehlich: Lisa Froehlich analysiert und verbessert oder gibt es da automatisch quasi ein Update für das ganze System oder werden die Mitarbeiter trainiert aufgrund der neuen Daten oder aufgrund der neuen Analysen, die die Kollegen gemacht haben? Wie können denn sozusagen die Prozesse verbessert werden? Also was sind denn da so die Kernelemente? Ich meine, Feedback ist ja, wissen wir, aus allen Meetings und aus allen Workshops ist ja total sinnvoll, weil nur dann, wenn ich Dinge nochmal spiegele und wenn ich diese nochmal durchgehe, dann kann ich ja Dinge auch tatsächlich und Prozesse entscheiden, verbessern. Wie geht man denn dann vor in so einem Security Operations Center, wenn man dann erkannt hat, die Maßnahme, die wir bisher hatten, funktioniert nicht gut?

Desiree Sacher-Boldewin: Desiree Sacher-Boldewin Also das ist tatsächlich so ein bisschen bei vielen noch sehr unstrukturiert. Also ich habe da, wir haben da jetzt bei uns im Team jetzt auch erst vor kurzem gerade eine Umfrage dazu gemacht, zu gucken, wie machen das Security Operations Centers, wie gehen die damit Und da ist dort, wo ich auch so ein bisschen mein persönliches Hemd in der Wäsche habe, ich habe vor ein paar Jahren ein Paper veröffentlicht zu dem Thema, wie man strukturiert diese Continuous Improvement und dieses Lessons Learned auch so durchführen kann. das ist definitiv vom Prozess her so sehr empfohlen. Also es wird auch so, wenn das geprüft wird von irgendwelchen Auditoren, dann prüfen die, gibt es da Verbesserungsprozesse. Die Frage ist immer eben, wie strukturiert wird das durch, dann auch gelebt danach bei den tatsächlichen Fällen und viele haben zum Beispiel die Regel, dass sie nur eine Verbesserung oder so eine Prüfung machen, wenn es zu einem tatsächlichen Sicherheitsvorfall kam. Also man unterscheiden zwischen dem Sicherheitsereignis und dem Vorfall und das Ereignis ist der Alarm, auftritt und der Vorfall danach ist dann wirklich, wenn es halt ein bestätigter Falschalarm ist. Und oft wird in der Sprache dann auch von einem True Positive und einem False Positive geredet. Und meine persönliche Erfahrung ist halt einfach, dass es oft zu so vielen Falschalarm kommt. Also ich würde jetzt mal sagen, höher als 90 Prozent ist oft leider immer noch die Regel. Dann auch einfach davon...

Lisa Froehlich: Lisa Froehlich Mhm.

Desiree Sacher-Boldewin: Desiree Sacher-Boldewin weil es in den Infrastrukturen so viele Veränderungen gibt, weil sich bestimmte Mitarbeiter nicht an Vorgaben halten und das nicht irgendwie anders abgebildet wurde in der Infrastruktur. Also sei es, dass man halt an der Firewall vorbei sich direkt auf den Server verbindet, weil es halt geht oder so oder dass man halt als Firewall Admin, das habe ich selber auch gemacht, Netzwerkscans durchführt, mal kurz was zu prüfen und das eben vorher nicht den Sicherheitsleuten sagen, aber die haben dann halt eine Erkennungsregel dafür und so. Und das sind so die einfachen Beispiele, die halt schnell dann zu einem falschen Alarm führen.

Lisa Froehlich: Lisa Froehlich Mmh, mmh.

Desiree Sacher-Boldewin: Desiree Sacher-Boldewin Und meine persönliche Vorgehensweise dabei war dann, dass ich eigentlich angefangen habe zu unterscheiden zwischen was sind Falschalarme, die zum einen durch technische Tools geschehen, also im Sinne von da ist was falsch konfiguriert und da unterscheide ich zwischen dem, was das SOC selber betreut, was oft die CM-Regeln sind, die Erkennungsregeln und was sind falsche Konfigurationen auf Systemen, die sie nicht selber betreuen, was zum Beispiel oft Firewalls sind oder ein Proxy.

Lisa Froehlich: Lisa Froehlich Mhm.

Desiree Sacher-Boldewin: Desiree Sacher-Boldewin oder ein IDS ist je nachdem noch in einem anderen Team verantwortet. Und das sind dann halt Dinge, die man dann an den anderen auch übermitteln muss. Und je nachdem, wie man das dann strukturiert, dann bei den Endreports kann man dann auch entsprechend dann korrelieren, quasi wo gehäuft Fehlkonfigurationen auftreten. Und das andere Element ist dann das Fehlverhalten eigentlich eher. Und da geht es dann eben darum zu unterscheiden, zwischen wann hat sich ein Mitarbeiter nicht an Vorgaben gehalten. Eben zum Beispiel hat ein Port-Scan gemacht, obwohl er das nicht hätte dürfen. wann hat er, dann kommen wir zum Prozessfehler, wann hat er was getan, was er durfte, aber das SOC wurde nicht informiert. Weil theoretisch sind ja all diese Dinge legitim. Aber wenn man das SOC nicht informiert, dann bedeutet das halt einfach, dass dort Falschalarme ausgelöst werden, die Mitarbeiter erst mal beschäftigt sind mit einem Fall, der nicht ein Ernstfall ist. Und das ist eigentlich dann eine Ressourcenverschwendung, die man da dann erzeugt damit. Und diese Unterscheidung und dann noch so ein weitere, wie zum Beispiel, dass man halt Testalarme gezielt entsprechend abbildet oder das wenn man eben solche Threat Intelligence Informationen einwendet. Weil meiner Meinung nach, wenn ein Threat Intelligence Anbieter immer wieder zu falschen Alarm führt, weil der zum Beispiel mit veralteten Informationen, also IOCs, Indicator of Compromises genannt, wenn das zum Beispiel verwendet wird, dann will ich das mit der Zeit auch auswerten können. Wenn da die Analysten dann dauernd veraltete Informationen nachrennen und durch das ihre Zeit auch verschwenden, dann sind meine Ressourcen im SOC auch nicht optimal.

Lisa Froehlich: Lisa Froehlich Hmm.

Desiree Sacher-Boldewin: Desiree Sacher-Boldewin quasi eingesetzt. Und dann gibt es noch beim Falschalarm, das ist dann immer so ein politisches Diskussionsthema im Hintergrund. Es gibt für meine Meinung nach zwei Arten von True Positives. Und zwar gibt es die einen, die wirklich halt jetzt ein Sicherheitsvorfall sind. Und dann gibt es die Accepted Risk. Also weil bei ganz vielen Stellen, da sagt man auch einfach nur dieses Risiko, gehen wir in Kauf. Wie zum Beispiel die ganzen Alarme, auftreten, weil ein Antivirus was erkannt hat.

Lisa Froehlich: Lisa Froehlich Mhm.

Lisa Froehlich: Lisa Froehlich Nein.

Desiree Sacher-Boldewin: Desiree Sacher-Boldewin Antivirus bedeutet eigentlich, okay, da hatten wir eine Schadsoftware, aber wir vertrauen jetzt dem Antiviren-System komplett, dass da tatsächlich jetzt alles isoliert wurde und dass da auch nichts weiteres war und dass der komplett seinen Job gemacht hat. Das ist eigentlich eine vorgelagerte Risikoabschätzung, die wir da durchgeführt haben, die hoffentlich auch entsprechend dokumentiert ist in den Hintergrundsystemen. Und aufgrund von diesen Vorannahmen ist der Entscheid gefällt worden irgendwann, dass das SoC jetzt eben nicht das System isoliert und dass der neue Installation quasi jetzt erzwungen wird.

Lisa Froehlich: Lisa Froehlich Mhm.

Desiree Sacher-Boldewin: Desiree Sacher-Boldewin Ich mag mich erinnern, zehn Jahren haben wir diese Systeme damals noch neu installiert. Das hat man irgendwann dann aufgehört, einfach weil wir so überrollt waren mit Aufgaben. Genau.

Lisa Froehlich: Lisa Froehlich Ja, natürlich die Anzahl der Cyber-Vorfälle und Angriffe und tatsächlichen, sozusagen wirklichen Ereignissen, die hat ja unfassbar zugenommen. wie du schon am Anfang gesagt hast, es gibt ja kein Unternehmen, das nicht davon betroffen ist. Es ist ja immer nur die Frage, wann ist das Unternehmen davon betroffen und nicht, ob das Unternehmen jemals davon betroffen sein wird. Du hast es so schön gesagt, überall da, wo Geld verdient wird mit irgendetwas muss demjenigen, der angreift, ja klar sein. Die haben etwas, was gebraucht, gekauft und damit verdient wird. Und natürlich kann ich mir davon vielleicht noch eine Scheibe abschneiden, wenn ich die richtige Ransomware oder die richtige Malware installiere, dass ich dann im Nachgang das Unternehmen erpressen kann. Oder eben, wie du schon sagtest, dass halt wirklich eben auch Geheimnisse ausspioniert werden. Also das ist ja... gerade so was die staatlich subventionierten und staatlich organisierten Hackergruppen angeht, das ist ja ein unfassbar großes Feld und ich habe da ein ganz, ganz, ganz interessantes Gespräch mit Kerstin Zettl-Schabath geführt, das ist auch eine Podcast-Folge und genau darüber haben wir nämlich gesprochen und das ist wirklich unglaublich, was da los ist. Ich kann da auch sehr die Doku Putins Bären empfehlen, die in der ARD-Mediathek zu sehen ist. Und die habe ich mir mit meinem Sohn angeschaut und der hat nur gedacht, so, was ist hier eigentlich los? Ich so, ja, das ist die reale Welt, du brauchst doch nicht mal irgendwelche Krimis oder irgendwelche Science -Fiction -Videos und Filme dir anschauen. Das passiert tatsächlich. Und das war mir auch gar nicht so bewusst, was da tatsächlich alles los ist. Und ich finde es sehr, sehr faszinierend, gerade im Grunde wie wichtig diese ganzen sicherheitsrelevanten Informationen sind, die einfach zentral in so einem Security Operations Center gesammelt werden und dort analysiert werden. Und das macht es eben den Unternehmen möglich, auf bestimmte Dinge zu reagieren und nicht erst, wenn das Kind in den Brunnen gefallen ist, sondern im Vorfeld eben zu schauen, wie du schon sagtest, ist das ein Risiko, was ich als Unternehmen in Kauf nehmen kann? Auch zum Thema Risikoanalyse. Also welche Risiken kann welches Unternehmen inwieweit tragen? Wo bin ich bereit, Unternehmen sozusagen da auch im Grunde einen Cut zu machen und zu sagen, okay, ab dem und dem Zeitpunkt ist für mich das Risiko zu hoch oder ist das nicht mehr in der Balance zwischen dem, was ich als Schaden erwarte und das, was als Schaden tatsächlich eintritt, wenn der Cyber-Vorfall wirklich das Unternehmen hart trifft und nicht nur ein Ereignis ist, was in dem Security Operations Center eben als True Positive oder als False Positive eben aufläuft. Jetzt finde ich das total spannend, dieses ganze Thema Datenqualität, Datenanalyse und ich glaube, es ist unheimlich wichtig, gerade wenn man mit so vielen Daten arbeitet und ich kann mir vorstellen oder ich kann mir gar nicht vorstellen, wie viel Daten in so einen SoCs tagtäglich reinlaufen. Gibt es da irgendeine Hausnummer, dass du sagen kannst, liebe Zuhörer, lieber Zuhörer, stellt euch vor, ich weiß nicht, so und so viel, also ich Gigabyte und Terabyte, das kann man sich ja schon gar nicht mehr irgendwie vorstellen, aber gibt es da irgendwie was, wo du sagst, das ist so eine Datenmenge mit denen ich schon zu tun hatte im Laufe meiner Karriere, wo du sagst, ist so was, wo die Leute darüber staunen.

Desiree Sacher-Boldewin: Desiree Sacher-Boldewin Hm.

Desiree Sacher-Boldewin: Desiree Sacher-Boldewin Nein, und zwar zum einen, weil ich sehr schlecht bin mit so Nummern. Vor allem, wenn ich sie nicht vorbereitet habe. Aber vor allem auch, weil es sehr, sehr unterschiedlich ist. ist tatsächlich etwas, das hängt sehr von der Umgebung ab, die man analysiert. Also man muss sich das so vorstellen, dass halt jedes, normalerweise ist es immer noch so, dass jedes Server-System und dann auch eigentlich jeder Endpunkt, auf dem gearbeitet wird, übermittelt solche Daten. Und es gibt Software, die speziell darauf optimiert ist, nur diese kritischen Daten zu übermitteln.

Lisa Froehlich: Lisa Froehlich Mhm.

Desiree Sacher-Boldewin: Desiree Sacher-Boldewin Von dem her muss man sich das so vorstellen, man macht den Heuhaufen dann nicht künstlich größer, die Stecknadeln zu finden. Und die Kunst, die wir die letzten Jahre verfolgt haben, war auch tatsächlich, wie kriegen wir den Heuhaufen so optimal groß, dass wir alles finden, was wir erkennen müssen, aber auch nicht zu viel quasi haben. Weil je mehr Daten man hat, desto mehr Geld gibt man danach für Lizenzen aus, diese Daten zu speichern und für die ganzen Backups davon.

Lisa Froehlich: Lisa Froehlich Mhm.

Lisa Froehlich: Lisa Froehlich Ja, Ja, klar.

Desiree Sacher-Boldewin: Desiree Sacher-Boldewin Von dem her, das ist wirklich sehr von der Umgebung und jede Firma hat da seine eigene Hausnummer. Ich glaube, ich bin gerade, wir haben ja eben kurz vor kurzer Zeit diese Umfrage gestaltet und ich meine, wir hätten hier noch eine Frage gehabt zum Thema, wie viele Systeme so ein bisschen überwacht werden. Und ich glaube, das könnte vielleicht noch irgendwie eine spannende Sache sein, weil die meisten Antworten, die wir da so gekriegt haben, war tatsächlich das fast jedes, diese Unternehmen, die so einen Sorg haben, mehr als 10 .000 Systeme halt überwachen. von dem her, das sind dann eben unterschiedliche, auch die ganzen Mitarbeiterendpunkte. Aber das sind halt dann wirklich, da muss man dann auch spezifisch, also man muss sich das auch wirklich vorstellen, wenn man eine Erkennungsregel schreibt. Das kann der gleiche Alarmtyp sein, aber für jedes unterschiedliche Systemtyp im Hintergrund braucht es eigentlich eine andere Baseline, nennen wir das. Das heißt, man muss immer wissen, was ist dort

Lisa Froehlich: Lisa Froehlich Ja, Wahnsinn. Mhm. Mhm.

Lisa Froehlich: Lisa Froehlich Mhm.

Desiree Sacher-Boldewin: Desiree Sacher-Boldewin die quasi die Grundbasis, wie dort so ein Alarm auftritt oder auftreten kann. Und auf einer Mitarbeiterumgebung ist ja sehr viel dynamischer, was passiert. Und von dem her ist dort zum Beispiel immer eine ganz andere Baseline als auf einem Server -System, was eine gezielte Anwendung hat. Und da wiederum ist dann nochmal eine andere Baseline, also in einer separat geschützten Umgebung, wo wir wirklich die kritische Software am Laufen haben oder so. Also das heißt, das muss dann alles auch entsprechend mit betrachtet werden. Und von dem her sind einfach ganz viele Feinheiten und das wird euch, glaube ich, auch oft unterschätzt. Ein SoCs ist erst dann wirklich gut, wenn die Analysten die Umgebung verstanden haben. Weil das hilft dann auch, also das ist so ein großes Thema, wie können wir Mitarbeiter entlasten, wie können wir mehr Automatisierung bauen und man kann Dinge erst dann automatisieren, maturer oder eben so von dem Reifegrad man selber als Unternehmen quasi schon in Prozessen und so strukturiert ist.

Lisa Froehlich: Lisa Froehlich Mhm.

Lisa Froehlich: Lisa Froehlich Mhm.

Desiree Sacher-Boldewin: Desiree Sacher-Boldewin Und eben auch, je mehr Wissen transparent ist. Und das fängt an bei der CMDB. Also das quasi zentrale Inventar existiert von, was haben wir für Systeme, was haben wir für Software im Einsatz, wer benutzt was, wie sind welche Berechtigungen verteilt. Das ist einfach immer noch das große, was es braucht als Fundament, damit man überhaupt arbeiten kann solide in einem SoCs. Und das ist, ich, auch das, was immer noch unterschätzt wird.

Lisa Froehlich: Lisa Froehlich Ja, ich glaube auch, es in sehr, sehr vielen Unternehmen, und du hast es ja angesprochen, dass bis zu 10 .000 oder mehr als 10 .000 Systeme überwacht werden. Und das sind ja nur die, die bekannt sind. Es gibt ja auch immer noch irgendwelche Unternehmen, wo quasi der Systemadministrator schon lange das Unternehmen verlassen hat und sein Account aber immer noch auf dem Server liegt und das Passwort immer noch vorhanden ist und und und. Also da gibt es ja ganz viele kleinteilige Dinge.

Desiree Sacher-Boldewin: Desiree Sacher-Boldewin Mhm.

Desiree Sacher-Boldewin: Desiree Sacher-Boldewin Mhm.

Lisa Froehlich: Lisa Froehlich die wenn nicht richtig dokumentiert wurde oder wenn sozusagen ich irgendwo dann doch noch eine Shadow -IT entdecke oder ich irgendwo einen Server habe, der tatsächlich irgendwas macht oder auf irgendwelche Seiten Zugriff hat, ich mir ja gar nicht sozusagen, die ich gar nicht überblicken kann, sei es AP -Schnittstellen, also wie viele welche Systeme greifen auf welche Schnittstellen zu und wie interagieren die miteinander. das wird ja dann auch relativ schnell ziemlich komplex. So zum Abschluss würde ich gerne von dir wissen. Wie sieht es denn eigentlich aus, wenn wir uns so ein Security Operations Center vorstellen. Ist das für jedes Unternehmen sinnvoll oder gibt es da auch die Möglichkeit, dass man eben als Unternehmensdienstleister in Anspruch nehmen kann, weil du hast eben die Automatisierung angesprochen. Viele Unternehmen wollen ja verstärkt automatisieren, gerade wenn es Routineaufgaben oder eben sehr standardisierte Prozesse geht, eben Ressourcen einzusparen. Gibt es auch Cloud Security Center. Also kannst du zum Abschluss einfach nochmal sagen, was gibt es da für Möglichkeiten und warum ist ein Security Operations Center für jedes Unternehmen sinnvoll?

Desiree Sacher-Boldewin: Desiree Sacher-Boldewin Also ich bin tatsächlich der Meinung, das muss man sehr sehr individuell betrachten. Also Security Operations Centers, weil das sind Fachexperten, die man da anstellt, ist ein sehr teures Unterfangen inzwischen, einfach weil es zu wenig von diesen Sicherheitsexperten gibt. von dem her muss sich jedes Unternehmen wirklich auch überlegen, zum einen was ist das potenzielle Schadenrisiko, was da eintreten kann. Also Schaden im Sinne von Summe und Risiko im Sinne von Wahrscheinlichkeit auch und halt von dem was da gegeben ist. Und von dem her, nicht jedes Unternehmen, für das man auch tatsächlich Sinn, komplettes Zock zu haben. Weil eben 7x24, da sind wir schnell bei 20 Leuten, die wir brauchen, die alle Fachspezialisten sein sollen, die entsprechend auch dann noch Schichtgelder und weiß nicht was kriegen. Und natürlich dann diese ganze Software und Hardware, die da alles aufgebaut werden muss, das alles zu sammeln. Und deswegen würde ich tatsächlich sagen, dass es hängt sehr vom Umsatzolumen ab und was man da auch an Daten schützt.

Lisa Froehlich: Lisa Froehlich Hmm.

Desiree Sacher-Boldewin: Desiree Sacher-Boldewin und je komplexer die Infrastruktur ist. Das heißt, man muss wissen, jede zentrale SoC-Anbieter, diese Managed Security Service Provider, die können eigentlich nur wirtschaftlich funktionieren, weil da Dinge harmonisiert werden. Das heißt, normalerweise hat man da zentral definierte Erkennungsregeln, man hat zentral definierte Abläufe und denen wird nachgegangen. Und weil man dann Mitarbeiter hat, die man quasi über mehrere Firmen verteilen kann. Aber die gleichen Arten von Alarm auf die gleiche Art von Prozessen zu bearbeiten, deswegen funktioniert das dann wirtschaftlich. Das heißt, je spezifischer ein Unternehmen die Bedürfnisse hat, individuell betreut zu werden und individuell danach zum Beispiel sich verhalten möchte und je komplexer die Infrastruktur auch für Dritte zu verstehen ist und das zu dokumentieren, desto schwieriger ist es danach überhaupt, Partner an der Stelle reinzubringen.

Lisa Froehlich: Lisa Froehlich Mmh, mhm.

Desiree Sacher-Boldewin: Desiree Sacher-Boldewin Deswegen jeder, mit einem Partner arbeiten möchte, braucht einen Grundlevel von Maturität, an die er erst kommen muss. von dem her, theoretisch wäre es deswegen für jeden sinnvoll, mit einem Partner zu arbeiten. Aber eben man muss dieses Level erreichen, man muss sich bewusst sein, dass man da dann geteilte Ressourcen hat. Alles andere bezahlt man extra. Und das ist ja auch gerechtfertigt, weil es braucht halt dann mehr Aufwände. Und da muss man sich dann halt wirklich sehr eben fragen, wann macht es da Sinn? Was ich…glaube, was die Zukunft zeigen wird, dass sich immer mehr branchenähnliche oder sogar in der gleichen Branche Unternehmen zusammentun. Genau, dass die Verbände machen und dort dann die Spezialisten eher geteilt werden. Hat natürlich dann auch so ein bisschen eine Gefahr, weil man dann die Angst haben könnte, da Unternehmensgeheimnisse wegkommen könnten. Aber ich sehe halt auch, dass die ganzen Bedrohungen, die so geschehen auf dem Markt

Lisa Froehlich: Lisa Froehlich Mmh, zusammenschließen. Ja, ja.

Desiree Sacher-Boldewin: Desiree Sacher-Boldewin halt wirklich auch da hinführen, weil es zu wenig Spezialisten gibt, weil das alles superteuer ist, auch in der Umsetzung von Hardware -Software und danach im Prozessen und das alles dann entsprechend prüfen und zertifizieren, weil da sind wir jetzt quasi die Schritte mit NIS 2 und so. Da muss man ja dann quasi auch die ganze Lieferketten entsprechend belegen können, dass die richtig funktioniert und kontrolliert wird. Und von dem her glaube ich, wird der Weg wirklich in die Richtung sein, dass sich mehr Firmen da über den Schatten springen müssen und sich zusammenschließen werden, diese Kräfte dann gemeinsam da in die Richtung zu bündeln. Und dann ist dann die große Aufgabe im Hintergrund wirklich dieses, wie teilen wir im Hintergrund die Verantwortung so, dass dann eben trotzdem noch eine Trennung möglich ist. Also wie können wir Segregation of Duty ist da so ein Fachbegriff, eben diese Medienberechtigungswesen unterwegs oder diese Separierung auch von Systemen so dann finden. Also ich glaube, das wird so die Zukunft sein. Wir werden ganz viele Verbände haben, die sich so zusammentun und da dann halt gezielt für ihren Markt dann entsprechend agieren und nur noch die großen, großen Unternehmen können sich tatsächlich in eigenes Zock leisten. Einfach weil es sonst zu schwierig wird finanziell.

Lisa Froehlich: Lisa Froehlich Ja, danke dir, Desiree, für diesen Einblick in ein Security Operations Center. Ich hatte tatsächlich mal das Vergnügen, im Rahmen einer Konferenz in das Security Operations Center der Telekom reinzuschauen. Also wir haben dann eine kleine Führung bekommen im Rahmen der BKA -Konferenz. sehr, sehr, sehr spannend. Da ging es eben auch darum, was sozusagen 24 -7 bedeutet und wer da wie erreichbar ist und wie viele Mitarbeitende da arbeiten. Da kann man sich gar nicht vorstellen, wie viele Daten da reinfließen und was man alles sehen und wie die Daten analysiert werden. Und da gab es auch einen Riesenbildschirm, wo es irgendwo geblinkt hat, und dann wusste man, okay, Abgleich mit der Wetterkarte. Das heißt, da oben ist gerade was los, aber das ist nicht gefährlich, weil da haben wir einen Sturm, dann funktioniert das x, y nicht richtig und so. Also das ist unfassbar. Ich finde es super spannend und ich danke dir ganz herzlich, dass du uns da mal einen Einblick gegeben hast. Ich glaube tatsächlich, dass ein Security Operations Center sinnvoll ist, weil es eben die erste Verteidigungslinie gegen Cyberangriffe ist. Und das darf einfach nicht unterschätzt werden, wie wichtig das ist, dass man sich da auf richtig positioniert und da einfach auch die Möglichkeiten ausschöpft, entsprechend alle sicherheitsrelevanten Zentral zur Verfügung gestellt zu bekommen. Ja, ich hoffe, dass euch die Folge gefallen hat. Ich danke die Serie ganz herzlich, dass ihr mein Gast war heute. Und ja, falls euch die Folge und der Potters gefällt, dann lasst gerne ein Like da oder abonniert Follow the White Rabbit auf eurer Lieblings-Podcast-Plattform. Und an dieser Stelle bleibt mir wie immer nur zu sagen, Keep calm and get protected. Bis zum nächsten Mal, macht's ciao!