#35: Notfallplan statt Panikmodus

Lisa: Lisa Herzlich willkommen zu einer neuen Folge von Follow the White Rabbit, dem Link11 IT Security Podcast. Mein Name ist Lisa Fröhlich, bin Unternehmenssprecherin bei Link11 und euer Host wie immer. Vielen Dank. Es freut mich wie immer, dass ihr euch Zeit nehmt, mir in den digitalen Kaninchenbau Cyber Security abzusteigen. ja, wir haben heute eine Premiere oder ich habe heute eine Premiere. Ich habe nämlich heute zwei Gäste und nicht nur einen. Dazu kommen wir gleich. Denn stellt euch mal vor, es ist drei Uhr morgens, die IT weckt euch mit einem Anruf und meldet, wir haben ein Problem. Server sind down, Systeme sind kompromittiert und keiner weiß genau, was passiert ist. Was ist jetzt? Wer übernimmt die Kommunikation? Welche Schritte müssen sofort eingeleitet werden? Und vor allem, wie stellt man sicher, dass sich so ein Chaos nicht wiederholt oder sich am Ende des Tages so weit verbreitet, dass wir insolvent gehen oder Unternehmen von der Bildfläche verschwindet. Dazu habe ich zwei absolute Experten eingeladen, Adrian Pusch und Christian Lang, die sich beide seit sehr, sehr vielen Jahren in der IT und in der IT-Security bewegen und sich mit Themen beschäftigen wie Inzidenz-Response, Notfallmanagement, Security Services oder eben als Allrounder sozusagen in der IT unterwegs sind. Gemeinsam wollen wir solche Dinge besprechen wie, warum selbst gut ausgebildete IT-Teams unter Druck oft scheitern und auch welche Notfallpläne jedes Unternehmen jetzt haben sollte und nicht erst dann, wenn es soweit ist, und wie man forensische Spuren sichert, ohne sich selbst irgendwie dabei als Unternehmen zu behindern, in Anführungsstrichen. Und natürlich vielleicht bringt der ein oder andere noch einen realen Fall mit, an dem wir an Beispielen ganz gut sehen können, was ist mit so IT, Security und Vorfällen auf sich hat. Doch bevor wir jetzt in die ganzen Fragen eintauchen, Adrian, Christian, vielen, vielen Dank, dass ihr euch die Zeit nehmt und heute meine Gäste seid. Das ist wie gesagt eine Premiere. Ich freue mich. Bitte stellt euch doch kurz unseren Hörerinnen und Hörern vor.

Adrian Pusch: Adrian Pusch wünsche dir auf keinen Fall.

Christian: Christian Wer fängt an? Fange ich an, okay. Also zunächst auch mal vielen Dank von meiner Seite für die Einladung. Freut mich, dass wir hier dabei sein können. Zu mir, bin seit, wie du es ja schon gesagt hast, lange, seit jetzt 20 Jahren habe ich mal hochgerechnet in der IT unterwegs und habe festgestellt, ich bin da so tatsächlich bisschen die ganzen OSI-Layer durchgelaufen. Ich habe Ausbildung gemacht bei einem Carrier, habe dort DSL, WDM-Netze und Festnetzverbindungen aufgebaut.

Lisa: Lisa Mhm.

Christian: Christian Ich mich dann jemanden gefragt, wie geht es weiter. Ich bin dann auf das Thema Studium gekommen. Da ich dann schon gearbeitet habe, habe ich gesagt, wenn, dann mache ich das Duan. Ich habe das Ganze bei einem Unternehmen im Bereich Netzwerktechnik gemacht. Da sind dann die nächsten zwei Layer dazugekommen. Ich bin dort auch schon während meiner Zeit im Studium viel mit dem Thema Monitoring in Berührung gekommen. Ich dann in Projekten mitgearbeitet wie der Administration von einem Kreditkartenzahlungsgateway, Unix-Administration, globaler IPS-Service, wir hatten. Und eben immer wieder dieses Thema Monitoring auf dem Tisch gehabt. Ich bin dadurch relativ früh in Berührung gekommen mit dem sogenannten CIR, also dem Security Information and Event Management. Daraus in Folge dann in die Thematik SOC gerutscht.

Lisa: Lisa Mhm.

Christian: Christian Auch das schon vor ca. 10 Jahren. Also ich würde sagen auch noch relativ früh.

Lisa: Lisa Also SOCs sind übrigens Security Operations Center für alle da draußen, die es nicht wissen.

Christian: Christian Genau. Genau und durfte unter anderem auch mitarbeiten bei so einem Aufbau von so einem kompletten SOC 24-7 global aufgestellt und das auch noch relativ früh, da war dieses SOC-Bubble noch nicht so aktiv, glaube ich. Anschließend gab es im Unternehmen ein paar Umstrukturierungen. Ich habe parallel dann noch so bisschen Führungsverantwortung für mehrere Teams übernommen.

Lisa: Lisa Mhm.

Christian: Christian Ich bin in den Bereich Service Management gegangen und habe versucht, den Bereich IT Security ein bisschen weiter voranzubringen. Dann kam irgendwann Corona und andere Probleme, hat dann für mich da geendet in einem Unternehmensübergang. Und jetzt bin ich wieder in dem Bereich unterwegs und betreue unsere Kunden in Security Services und sorge zum Beispiel fürs Onboarding in SOC-Services und Incident Response Services.

Lisa: Lisa Ja, spannend. Adrian.

Christian: Christian Aber ich habe noch einen Punkt, habe noch einen Layer. Der Layer 8. Der Layer 8. Jetzt machen wir die Sache noch rund. Tatsächlich genau der Mensch. Und das ist ja glaube ich auch so bisschen unser Thema gewesen, weswegen wir hier sind. Ich habe dann privat angefangen, habe mir noch überlegt, okay, wie kriegen wir das Thema irgendwie unter die Leute. Habe angefangen, bisschen Social Media Content zu machen. Habe eine Veranstaltung gemacht und

Lisa: Lisa ein Layer! Ich hab nicht mitgezählt. der Layer, ach, der Mensch.

Christian: Christian Jetzt zuletzt dann auch unter anderem mit Adrian unser Buch IT für Anfänger geschrieben.

Lisa: Lisa Ja, sehr gut. Das verlinke ich natürlich in den Show Notes, ist klar. Adrian, dann stell dich doch noch bitte vor.

Christian: Christian Hahaha

Adrian Pusch: Adrian Pusch Vielen

Adrian Pusch: Adrian Pusch Ich mache es ganz kurz. Ich finde inzwischen die Formulierung mit der Consortium Cyber Security ganz cool. Ich wirklich im Security Consulting unterwegs, selbstständig. Wir machen sehr viel Notfallmanagement, also präventiv, aber eben auch einfach geschuldet aus der Erfahrung aus dem Incident Response. heißt, aus, die Firma wurde verschlüsselt, egal ob Autohaus, Rüstungskonzern, alles zwischendrin. Wir sehen pro Jahr, dadurch, wir auch bisschen Physical-Pen-Testing machen, also einbrechen physisch in die Firmen, dann eben auch die passenden Gegenmaßnahmen einfach zu bauen, damit wir nicht selber wieder so leicht reinkommen. Technisch habe ich mit 80 Firmen pro Jahr zu tun, glaube ich. Und einbrechen ist so letztes Jahr glaube ich 18, 19 Mal. Und daher kommen eben auch durch die Inzidenz unsere Know-how im Notfallmanagement, also was passiert wirklich, wenn es gebrannt hat oder wie kann ich es eben eindämmen.

Lisa: Lisa Mmh, mmh.

Lisa: Lisa Mhm.

Adrian Pusch: Adrian Pusch Und das ist eben so wirklich das Steckenpferd, BCM und Notfallkonzepte und dann eben vor allem auch das Krisenmanagement. Also nicht nur das Technische, nicht nur der Bereich mit ja, okay, jetzt müssen wir ein Image erstellen und wir müssen das tun und so funktioniert der Wiederaufbau, sondern eben auch Handling the headless chicken mode. so dieses, eine Inzidenz ist immer eine, wie wird das, unfreiwillige Gruppenarbeit unter Leistungsdruck. Keiner will in diese Situation kommen.

Lisa: Lisa Mhm.

Lisa: Lisa Hehehehehe

Adrian Pusch: Adrian Pusch Ich habe jetzt allein dieses Jahr, wir haben jetzt Mitte April, sechs Inzidenz gehabt bisher. Also seit letztem Montag, die sind jetzt heute wieder am Laufen. Also innerhalb von einer Woche sind die auch wieder voll da. Aber halt immer, selbst mit Systemhäusern, da kommen wir jetzt ja gleich drauf. Na ja, sagen wir mal mehr schlecht als recht. Die meisten sind dann so gut vorbereitet wie ich früher auf Mathe-Klausuren. Wir schreiben Mathe. Heute?

Lisa: Lisa Mhm.

Adrian Pusch: Adrian Pusch Das war immer so, wenn du in die Klasse kommst, dann hast du gelernt? Ja, worauf?

Lisa: Lisa Ja, ist, wie gesagt, ich habe ja im Teaser ganz kurz vorgestellt, was passieren kann, wenn du mitten in der Nacht angerufen wirst und irgendwie gemeldet wird, tatsächlich ist was passiert, es ist dazu gekommen. Meistens passiert es ja entweder so kurz vor dem Wochenende oder wie gesagt mitten in der Nacht. Also zu den Zeiten, zu denen die normalen Menschen natürlich nicht mehr am Rechner sitzen und arbeiten. Jetzt stellen wir uns mal vor, Ernstfall ist tatsächlich eingetreten, trotz vielleicht guter Klammer auf

Adrian Pusch: Adrian Pusch so.

Lisa: Lisa Besserer, Klammer zu, auch keiner Vorbereitung. Das ist ja immer die Frage. Aber in der Regel sollte eigentlich in jedem Unternehmen ein gewisses Risikomanagement vorhanden sein und zumindest mal so ein bisschen sich damit beschäftigt worden sein, wie bereite ich mich auf einen Cyber-Vorfall vor. Und der Angriff ist jetzt da. Jetzt ist es natürlich so, es kommt auf Minuten an und Stunden, weil das ist ja nichts, was sich erstmal über Tage hinschleicht, sondern meistens ist es ja da, wenn es da ist. Es kann natürlich sein, dass die Angreifer schon länger im Unternehmensnetzwerk drin waren, ohne dass es uns aufgefallen ist, aber in der Regel wird dann irgendwann, sag ich mal, die Malware scharfgestellt und alles ist verschlüsselt. Und genau da in diesem schmalen Grad, wie du gesagt hast, also Adrian, in der Gruppenarbeit, in der unfreiwilligen Gruppenarbeit unter Druck passieren ja auch immer wieder fatale Fehler, die den Schaden ja oft noch verschlimmern können. Welche bzw. was muss denn das Notfallmanagement, das ja mit der Vorbereitung eigentlich beginnen? Welche grundlegenden Maßnahmen sollten denn da getroffen werden, eben nicht sozusagen erst hinterher aus den typischen Fehlern lernen zu können?

Adrian Pusch: Adrian Pusch Fangen wir mal so an. Lisa du hast Kinder. So, können die Bowling spielen?

Lisa: Lisa Jetzt zwei. Hm, ja, sie wissen zumindest, wie es funktioniert, und wir haben es auch schon gemacht. Nein.

Adrian Pusch: Adrian Pusch So, genau. Würdest du jetzt für einen Wettbewerb anmelden? Das ist so ein ähnliches Punkt. Also ich bin beim Bowling, wenn ich eine Stunde gespielt habe, bin ich auch ganz gut. Also dann treffe ich sogar meine Bahn ab und zu. Aber es gibt beim Bowling, gerade mit Kindern oder beim Kegeln mit Kindern, diesen Trick, dass man die Seitenwände hochklappen kann. Ich kann nicht komplett verlieren. Also ich kann nicht komplett ins Auslaufen. Und im Endeffekt ein gutes Notfallkonzept gibt mir diesen Rahmen.

Lisa: Lisa Mhm.

Adrian Pusch: Adrian Pusch Also gibt mir zumindest einen Bereich, in dem ich mich bewegen kann, dass es nicht komplett eskalieren kann. Es gibt mir einen Leitfaden. Also in dem Moment habe ich Stress. Ich habe wirklich eine Situation, die habe ich sonst nicht. Der Aspekt wird oftmals wirklich unterschätzt. Psychologisch, wird psychisch, ist es eine Riesenbelastung, auf einmal sich hinzustellen, sagen wir müssen jetzt die Firma ja rausholen.

Lisa: Lisa Mhm.

Adrian Pusch: Adrian Pusch Jetzt haben wir mal die Firma hat 150 Mitarbeiter, da hängt meistens eine Familie dran, sagen wir mal drei, dann haben wir auf einen Schlag die Verantwortung für 450 Mitarbeiter und 450 Existenzen, ob die in zwei Monaten noch ihre Miete zahlen können. das ist der Punkt. Das ist eben genau dieser Bereich, den ich mache, dieses Krisenmanagement. Sich da freiwillig in die Verantwortung schmeißen und so sagen, jo, gib mir das Hütchen, ich bring euch da durch. Muss man schon irgendwie bisschen seltsam sein, also passt zu mir. Deswegen

Lisa: Lisa Hmm.

Adrian Pusch: Adrian Pusch Da je besser meine Vorbereitung ist, je besser ich den ungefähren Weg habe, in dem ich mich bewegen muss, desto leichter und desto mehr Routine und Ruhe bringe ich einfach rein. Und dafür ist ein gutes Notfallkonzept einfach wichtig.

Lisa: Lisa Christian, aus deiner Erfahrung im Security Operations Center, also da werden ja auch, wie du schon gesagt hast, da werden solche Vorfälle ja auch gemonitort. Gibt es denn aus deiner Erfahrung so bestimmte Maßnahmen, wo du sagst, das sind Dinge, da ist es einfach, das müssen Unternehmen in petto haben, eben auf Sicherheitsvorfälle vorbereitet zu sein?

Christian: Christian Ich meine, der größte Punkt ist, überhaupt vorbereitet zu sein. Also zum Beispiel in Maßnahme von Notfallkonzept oder Notfallplan. Wenn man sich erst mal damit auseinandergesetzt hat, findet man auch die individuellen Punkte, die für einen wichtig sind. Es ist ja nicht jeder Kunde gleich. Ich habe ja produzierendes Unternehmen. habe vielleicht Unternehmen, die die sogenannten Kronjuwelen liegen überall irgendwo anders. Und dementsprechend muss ich mich natürlich ausrichten.

Lisa: Lisa Hmm... Hmm...

Lisa: Lisa Ja, ja.

Christian: Christian Und da gehört dann auch dieses Ganzheitliche dazu. Also nicht nur das Technische, sondern auch das Organisatorische, was Adrian auch schon gesagt hat. Ich muss mir halt einfach vorher die Gedanken machen. Also auch Gedanken, wer übernimmt wann welche Rolle. Weil Headless Chicken Mode, alle rennen wild durcheinander. Da muss dann erst der Dirigent in Form von Adrian kommen und vielleicht alles organisieren. Wenn ich mir vorher die Gedanken schon gemacht habe und ich hole einfach einen Plan raus. Entspannt ist die ganze Sache schon mal. Was natürlich dazu kommt, wenn ich den Plan habe, nicht nur in der Schublade liegen lassen, sondern regelmäßig drauf gucken. Am besten, wenn es Möglichkeiten gibt, das auch mal durchspielen, weil Situationen verändern sich, technische Umgebungen verändern sich. Bringt mir nichts, wenn ich dann einen alten Plan habe. Ist ähnlich wie mit dem Backup, ein Backup, ich nicht teste. Kann gut gehen, muss nicht.

Lisa: Lisa Jetzt

Lisa: Lisa Mhm.

Lisa: Lisa Mhm.

Lisa: Lisa Ja, das stimmt. Jetzt ist es natürlich so, wenn jetzt, wie gesagt, der Angriff da ist, und ihr habt es ja beide quasi mit dem Headless-Chicken-Mode schon genannt, also alle rennen rum wie irgendwie aufgescheuchte Hühner und keiner weiß mehr so genau, was er eigentlich zu tun hat, was sind denn, was sind denn eurer Meinung nach so typische Fehler? Oder die ihr vielleicht auch schon mal beobachtet habt, sowohl auf Seiten derjenigen, die davon betroffen waren, als auch vielleicht ... auf Seiten derjenigen, die sich tatsächlich vorab schon Gedanken gemacht haben und einen tollen Notfallmanagementplan in der Schublade hatten. Christian, wie ist das so in deiner Erfahrung gewesen? Was ist bei den ersten Reaktionen auf den Sicherheitsvorfall schon mal schiefgegangen?

Christian: Christian Also bei der ganzen Geschichte ist ja die Zeit ein ziemlich wichtiger Faktor. Und da kann es natürlich erst mal damit beginnen, dass ich den Vorfall so als Vorfall gar nicht einschätze. Also sprich, dass ich der Start von meinen ganzen Maßnahmen verzögert. Genau, weil ich es falsch einschätze. Also das muss ja auch nicht im bösen Sinne sein, sondern es ist einfach so, ist was, was man nicht alltäglich hat.

Lisa: Lisa Mmh, mmh.

Lisa: Lisa okay.

Lisa: Lisa Weil ich ihn nicht erkannt hab oder weil's einfach irgendwie ... Okay.

Christian: Christian muss man erstmal wahrnehmen als solchen Fall und dadurch dann halt eben den gesamten Vorgang ein bisschen verzögern. Als ersten Schritt habe ich natürlich immer, dass ich ein System oder dass ich nicht nur ein System, sondern generell einen betroffenen Bereich versuche zu isolieren. Auch das, wenn das nicht frühzeitig geschieht, ist es irgendwann auch rum mit Isolieren. Und was auch oft vergessen wird von Anfang an, aber eben auch wieder Headless Chicken Mode, das Ganze mit zu protokollieren, irgendwelche Logs sichern, aber auch mal den Ablauf einfach mit runterschreiben.

Lisa: Lisa Mhm.

Lisa: Lisa Adrian, du nix, das können ja unsere Hörerinnen und Hörern nicht sehen, aber sozusagen du bist ja von Christian schon als Dirigent der unfreiwilligen Gruppenarbeit genannt worden. Was sind bei deiner Arbeit dir denn schon für typische Fehler untergekommen, wo du sagst, hey, wenn ihr da drauf achtet, dann könnt ihr auf jeden Fall einen Schritt, ein Schritt schneller sein oder ein Stück weit besser aus dem Vorfall, aus der Krise wieder rauskommen.

Adrian Pusch: Adrian Pusch Also ganz großer Tipp oder ganz einfacher Tipp, jetzt auch aus dem Fall von letzter Woche, das ist, es gibt ja unterschiedliche Firmen, wie gut es denen geht. Also Produzierende haben meistens bisschen mehr Puffer, wenn ich in Richtung Logistik oder sowas gehe. haben dann, die leben eher so von der Hand in der Mund. Nach drei, vier, fünf Tagen keinen Aufträge oder Geldeingang wird es echt kritisch. Genau, da habe ich noch viel mehr Probleme. Also erster Trick, die Internetverbindung ziehen von der Firewall, also nicht weiter von außen.

Lisa: Lisa Ja, es geht Liquidität, Auch.

Lisa: Lisa Mh.

Adrian Pusch: Adrian Pusch Dinge passieren können und wissen wie viele Internetverbindungen habe ich. Wenn ich vier, fünf Leitungen habe oder noch ein Fallback mit LTE, dann das auch ausmachen. Aber auf keinen Fall die Geräte ausschalten.

Lisa: Lisa Mhm.

Adrian Pusch: Adrian Pusch den Geräten, selbst wenn sie verschlüsselt sind, liegen Daten im RAM, also in dem Speicher, in einem flüchtigen Speicher, das heißt wenn ich das System ausmache sind die Daten weg. Meistens sind da Spuren drin oder oftmals sind Spuren drin, die uns a. helfen als Forensiker, rauszufinden, wie hat sich der Angreifer fortbewegt, weil oftmals die Lockdaten, ich, ich sie jetzt nicht, wenn Christian sie nicht ongebordet hat, in einem Seam liegen, separat, nachdem es verschlüsselt worden ist, sind die weg. Das heißt, es wird viel, viel schwieriger das rauszufinden. Das heißt, Internetverbindung, Ruhe über Warn.

Lisa: Lisa Mhm. Ja, ja.

Lisa: Lisa Mhm.

Lisa: Lisa Mmh.

Adrian Pusch: Adrian Pusch Segmentieren macht Sinn, wenn jetzt eine komplette Halle brennt oder ob einzelne Räume brennen. Einen einzelnen Raum kriege ich natürlich viel besser gelöscht und viel besser im Griff gehalten, wenn da jemand reingekommen ist, als dass die komplette Halle brennt. Das macht es deutlich schwieriger. Dann brauche ich diese Daten, also die RAM-Daten, schnellstmöglich, da kann teilweise sogar der Verschlüsselungsschlüssel drin liegen, den kann ich auslesen und gegebenenfalls damit sogar das Unternehmen wieder aufmachen. Das hilft mir schon mal sehr viel, weil ich

Lisa: Lisa Klar.

Lisa: Lisa Hmm.

Lisa: Lisa Mhm.

Adrian Pusch: Adrian Pusch nicht aus dem Backup irgendwie wieder herstellen muss. Teilweise kriege ich es damit auf. Es lässt aber auch Rückschlüsse. Wie gehen die vor? Was haben die gemacht? Teilweise kann es auch anderen Betroffenen helfen. Ab und zu sind sie faul und nehmen den gleichen Schlüssel für viele. Wir arbeiten da sehr eng mit Strafverfolgungsbehörden. Also ich telefoniere jede Woche irgendwie mit Europol, LKA und sonstigen, um mir die Informationen zu holen. Wie arbeiten die? Auf was muss ich achten? Wir hatten jetzt einen Fall, der ruft der Angreifer sogar an. Also die verschlüsseln und rufen dann an, um Druck auszuüben, dass gezahlt wird.

Lisa: Lisa Mmh.

Lisa: Lisa Mmh.

Lisa: Lisa Ja, klar.

Adrian Pusch: Adrian Pusch Aber nicht nur mich als betroffene Firma, sondern auch Kunden und Lieferanten, den Druck von außen mehr zu erhöhen. Das heißt, bra... Genau. Und ich brauche von vornherein die Zeiten. Datenschutzmeldung, Anzeige erstellen, Cyber Police, wenn ich eine habe, eine Versicherung, das ist sofort kommunizieren. Und da brauche ich dann halt, wenn die ganzen Daten auf den Fallzimmer liegen und er ist zu, ist das doof. Das heißt, ich sollte es einmal gedruckt haben, einen klaren Plan, wer es zuständig, nicht der IT-Leiter, ist nicht gleichzeitig der Notfallbeauftragte.

Lisa: Lisa Na klar, ich habe ja gewisse Meldepflichten, also ne? Das ist... ja.

Lisa: Lisa Ja, ja.

Lisa: Lisa da komm ich ja nicht dran.

Adrian Pusch: Adrian Pusch Der muss Restore. Der kann nicht gleichzeitig alles andere händeln. Da also die Verteilung ein bisschen. Also nicht ausschalten.

Lisa: Lisa Ja, ich glaube, ist ganz wichtig. Wie du schon sagtest, du musst auch auf die Verteilung achten. Wer kann überhaupt welche, wer muss denn irgendwie was am Ende des Tages tatsächlich umsetzen? Wie du schon sagtest, der IT-Leiter ist nicht dafür zuständig, beispielsweise die Krisenstabskommunikation zu machen, sondern der muss eben, wie du schon gesagt hast, der muss sich erst mal darum kümmern, dass die Internetleitungen gekappt werden, die Geräte laufen bleiben und dass eben die Forensiker kommen können und gegebenenfalls die RAM-Speicher auslesen können.

Adrian Pusch: Adrian Pusch Faces.

Lisa: Lisa Und das sind ja jetzt alles relativ, ich sag mal so, technische Maßnahmen. Du hast ja auch vorhin schon die organisatorischen Maßnahmen angesprochen, denn die spielen natürlich gerade auch beim Notfallmanagement eine Rolle. es ist ja sozusagen, es ist ja eine Kombination aus beidem. Ich kann natürlich nicht nur ausschließlich mich auf die technischen Maßnahmen konzentrieren, während ...meine ganze Organisation völlig auseinanderbricht, weil natürlich nicht alle 450 Unternehmens sozusagen Zugehörigen, von denen du vorhin gesprochen hast, die sind ja nicht per se alle in der IT-Abteilung, sondern die sitzen ja an unterschiedlichen Enden und Ecken, dann eben nicht mehr arbeiten. Wenn die Angreifer nicht die Kunden und Lieferanten anrufen, dann ist es natürlich auch zumindest aus meiner Perspektive extrem wichtig, dass die Mitarbeitenden erstmal alle ihren Mund halten, damit eben nicht zu viel Druck von außen entstehen kann, weil wenn dann die Medien schon bei dir vor der Tür stehen und irgendwie dir sozusagen RTL-Explosiv das erste Mikro unter die Nase hält als Geschäftsführer, da bist du natürlich auch in einer Situation, die ja unfassbar viel Stress in dir auslöst und die Drucksituation, wenn man die, Christian, wie du gesagt hast, nicht mal wenigstens geübt hat, dann ist das nichts, wo sich viele Menschen drin wohlfühlen und oftmals sind es auch gerade die Menschen vielleicht mit denen man gar nicht gerechnet hätte, die am Ende des Tages ja vielleicht auch eine Rolle in so einer Krise übernehmen, von denen man vorher gar nicht wusste, dass sie in der Lage sind, eine Rolle in der Krise zu übernehmen. Und finde ich ja nur raus, wenn ich entweder eine Krise habe oder wenn ich meine Leute so gut kenne, dass ich weiß, stille Wasser sind tief, aber ich habe den oder diejenige schon erlebt, wie sie in Stresssituationen reagiert. Also da ist es ja auch unfassbar wichtig, zu gucken, wie sozusagen Wie sind die organisatorischen Maßnahmen und welche Rolle spielen da einfach eigentlich auch die Menschen? Und ich würde jetzt gerne noch mal bisschen darauf zu sprechen kommen, was du angesprochen hast auch mit dem forensischen Gutachten. Weil das ist ja auch so was, Sicherheitsvorfall kann ja nicht nur operativ für das Unternehmen Folgen haben, sondern eben auch juristisch. Und ich war jetzt kürzlich auf einer Konferenz und da hat ein Anwalt dieses Thema auch kurz angeschnitten und der sagte, ja, er selbst ist jetzt gerade in mehreren Verfahren drin, wo die Firmen insolvent gegangen sind, aufgrund eines Cyber-Sicherheitsvorfalls. Und das ist tatsächlich, es geht bei diesen Firmen so weit, dass die Geschäftsführer gerade dabei sind, Vergleiche auszuhandeln. Weil sie ja, vor allen Dingen, das wird ja verstärkt noch durch die NIS 2 in Zukunft, wenn sie dann mal in Deutschland tatsächlich auch in nationales Recht umgesetzt wird, verstärkt kommen wird, ist ja die Haftung der Geschäftsführung und da werden tatsächlich, da wird, in diesem Verfahren wird tatsächlich schon über Vergleiche gesprochen, weil klar ist, dass die Geschäftsführung hätte besser Bescheid wissen müssen über die IT-Sicherheitssituation im eigenen Unternehmen. Und das ist natürlich was, Christian, du hast es auch angesprochen, es ist wichtig, dass man vorbereitet ist, es ist wichtig, dass ein Plan da ist, es ist wichtig zu wissen, was sind meine Kronjuwelen und das können in unterschiedlichen Unternehmen ja auch ganz unterschiedliche Dinge sein. Jetzt ist es auf der einen Seite natürlich wichtig, sozusagen sich in diesem rechtlichen Rahmen zu bewegen und

Adrian Pusch: Adrian Pusch Das ist ihre Pflicht.

Lisa: Lisa vor allen Dingen auch als Geschäftsführung zu wissen, wo sind meine Kronjuvillen und inwieweit muss ich irgendwelche Sicherheitsmaßnahmen implementieren. Christian, inwieweit ist es denn sozusagen im Nachgang von so einem Vorfall auch wichtig, dass eben beispielsweise solche forensischen Untersuchungen gemacht werden oder warum ist es denn so unfassbar wichtig, die Beweise auch zu sichern, damit ich sozusagen sehe, wie die Angreifer vorgegangen sind, damit ich eine Lessons learned habe. Aber was sind die wichtigsten Punkte, wo du sagst, bitte denkt dran, das kann im Eifert des Gefechts auch mal passieren. Du hast von der Dokumentation und der Protokollierung einer Krise gesprochen. Warum ist das so wichtig?

Christian: Christian Vielen. Zum einen ist es natürlich, wenn ich mich wirklich irgendwann gerichtlich aus welchen Gründen auch immer mit der Sache auseinandersetzen möchte, brauche ich gerichtsfeste Beweise. Und da gibt es dann ganz klare Vorgaben, dass eben auch die Integrität dieser ganzen Daten, die da vorgebracht werden, gegeben ist. Da gibt es technische Maßnahmen, aber es geht natürlich auch darum, dass ich ja, also dokumentiere, wer zum Beispiel hat mir diese Daten gebracht? Wo hat er die her? Nicht nur die Daten an sich, sondern auch die Metadaten außen rum. Über welchen USB-Stick wurde das von A nach B transportiert? Lauter so Sachen. Das ist ziemlich aufwendig.

Lisa: Lisa Mhm.

Lisa: Lisa Klingt auf jeden Fall sehr kleinteilig.

Christian: Christian Ja, aber am Ende, wenn du dich wirklich gerichtsfest damit auseinandersetzen möchtest, wird das halt eingefordert. Und das andere ist natürlich, wie du es auch schon gesagt hast, einmal die Nachvollziehbarkeit für mich selber, daraus wieder meine Schlüsse zu ziehen, irgendwelche Lücken zu schließen. Aber auch, wenn es jetzt einen größeren Angreifer geht, der nicht nur mich angegriffen hat, vielleicht auch generell diese Taktiken und Techniken.

Lisa: Lisa Hmm?

Lisa: Lisa Hm.

Christian: Christian rauszuziehen und dann im Idealfall in irgendwelchen geschlossenen Gruppen zu teilen, vielleicht irgendjemand anders meine Probleme zu ersparen.

Lisa: Lisa Mmh.

Lisa: Lisa Ja, ja, das stimmt.

Adrian Pusch: Adrian Pusch Also als Größenordnung, wir letztes Jahr beim größeren Unternehmen, so 14.000 Mitarbeiter, das Ganze auch in Griff gekriegt mit zwei Leuten. Wir führen euch da durch. Aber es war halt von vorne rein das Notfallkonzept. Die drei Seiten.

Lisa: Lisa Es gab ein dreiseitiges Notfallkonzept für eine Firma, die 14.000 Mitarbeitende hat. Also, bin ... Okay. Na ja, gut, bin keine Freundin von 150 Seiten, weil die liest sowieso kein Mensch. Eigentlich muss ein Notfallmanage ... Also, meine Meinung nach müsste ein richtig guter Notfallmanagementplan auf eine DIN A3-Seite passen. So, wenn du ...

Adrian Pusch: Adrian Pusch Ja.

Lisa: Lisa dass du den irgendwie, weiß ich nicht, klein zusammenfaltest und jeder es als Faltpapier in der Hosentasche hat. Zumindest, wo die wichtigsten Telefonnummern noch draufstehen. Wenn alles irgendwie down ist und keiner mehr auf Teams zugreifen kann oder auf Datenbanken, ich wüsste jetzt ad hoc nicht unbedingt, wie viele private Telefonnummern ich in meinem privaten Telefon von meinen Kolleginnen hab. Aber zumindest hab ich so drei, vier. Ich wüsste zumindest, dass ich einige erreiche.

Adrian Pusch: Adrian Pusch hat da liegen

Adrian Pusch: Adrian Pusch von den Leuten ab.

Adrian Pusch: Adrian Pusch Ja, das ist genau der Punkt. Und dann habe ich dann angefangen, okay, ihr müsst mitschreiben. Und habt halt hier auch gesagt, schreibt mit, was ihr gemacht habt. Und vor allem, wer euch gesagt hat, dass ihr das machen sollt. Damit das nachvollziehbar ist. Auch die Kommunikation, wann habe ich Landesdatenschutzbescheid gegeben? Wann habe ich der Polizei Bescheid gegeben? Wann der Versicherung? Da sind überall Regeln drin, die ich beachten muss. Die Versicherung muss, zum Beispiel, es gibt manche, die sagen, wir wollen jede Woche ein Update. Die fragen das aber nicht an. Ich muss es proaktiv geben. Wenn ich es nicht mache, mindert das, wie viel sie handeln.

Lisa: Lisa Mhm. Okay.

Lisa: Lisa Ja, Ist das Kleingedruckte. Ja, ja.

Adrian Pusch: Adrian Pusch Das vorher zu wissen ist unglaublich wichtig. Dann kann ich sauber alles mitschreiben, auch die Kommunikationsmatrix. Wer wird wann, wie erreichbar. Unser leeres Notfallkonzept, das Playbook, wo alles drin ist, nicht nur Cyber, sondern auch Brand, Flut, Angriffe, schon 50 Seiten. Weil da auch die Textbausteine drin sind, wie kommuniziere ich an meine Mitarbeiter? Was ist meine Meldung nach außen? Dann will ich nicht anfangen mit Marketing, was schreiben wir denn?

Lisa: Lisa Mhm. Nein, das ist auch muss fertig haben. Zumindest, wie du schon sagst, musst Blöcke haben für die jeweiligen Zielgruppen, weil du im Eifer des Gefechts einfach keine Kapazitäten dafür hast. Und am Ende des Tages hast du vielleicht auch noch Menschen, die völlig überfordert sind mit der Situation. Dann musst du erstmal gucken, dass dein Laden bzw. das System Notfall ja erstmal läuft.

Adrian Pusch: Adrian Pusch Ich muss fertige Blöcke

Adrian Pusch: Adrian Pusch Genau, Notbetrieb. dein Hinweis mit das härteste, wir hatten, war zwischen Firma wurde gehackt und die Lokalzeitung außenrum weiß das in unter anderthalb Stunden.

Lisa: Lisa Die sind da direkt auch vom Angreifer informiert worden,

Adrian Pusch: Adrian Pusch Die haben ihre Mitarbeiter nach Hause geschickt, haben gesagt, jetzt geht erstmal raus und haben aber nicht den Hinweis mitgegeben behaltet es erstmal für euch. Die Leute sind unter Druck, die sind angespannt, die wissen jetzt nicht was passiert, wir wurden gehackt, der erste geht zum Einkaufen, erzählt das und dem dran steht der andere und schreibt es mit. Das sind so Sachen, diese Regeln, je besser ich das vorher einmal durchgespielt habe, je besser ich das kommunizieren kann, desto entspannter wird das Ganze. Es macht trotzdem noch keinen Spaß.

Lisa: Lisa Mmh. Hm, ja klar.

Lisa: Lisa Mhm.

Adrian Pusch: Adrian Pusch Das wäre jetzt gemein, so was zu sagen, aber ich kann es deutlich händelbarer machen und auch so, dass ich nicht panisch irgendwie nach Hause gehe. auch an so Sachen denken wie, ich habe drei ITler, die zusammen arbeiten und das Ganze gerade wieder herstellen. Ihr fahrt nicht in einem Auto. So, in dem Moment denkt da keiner dran. Wir fahren kurz rüber. Nein, tut ihr nicht.

Lisa: Lisa Hmm.

Lisa: Lisa Ja klar, bitte. Ja logisch, aber also ich tatsächlich, ich weiß gar nicht, wer mir das kürzlich erzählt hat, der arbeitet für ein US-Amerikanisches Unternehmen und da war es so, dass die irgendwie sozusagen Meeting in den USA haben und die ganzen Europe, die ganzen Heads aus Europa, die sind auch mit, glaube ich, fünf oder acht verschiedenen Flügen gekommen. Also ja klar.

Adrian Pusch: Adrian Pusch gleiches Flugzeug.

Adrian Pusch: Adrian Pusch Mhm.

Lisa: Lisa Also ich meine, ungeachtet dessen, wie unwahrscheinlich ein Flugzeugabsturz ist, aber du willst doch nicht deine komplette Führungsriege irgendwie in einem Flugzeug sitzen haben und irgendwie, ja, im Zweifel sind sie da nicht mehr da, bis sie dort ankommen. Also das macht ja gar keinen Sinn. das ist ja, ich sag ja manchmal hilft dir auch ein bisschen so gesunder Menschenverstand. Das ist ja in vielerlei Hinsicht ja schon auch eine Geheimwaffe. Allerdings, und Christian, du hast es angesprochen, das ist ja auch ein Anliegen von dir oder von euch.

Adrian Pusch: Adrian Pusch auf einen Schlag verloren.

Lisa: Lisa sozusagen, Cybersicherheit auch so ein bisschen auf den Layer 8 zu heben, also eben den Menschen da hin zu bringen. Und ich glaube, wir sind halt eben noch relativ weit davon entfernt, dass sich auch 14.000 Mitarbeitende im Unternehmen verantwortlich für die IT-Sicherheit fühlen. Weil am Ende des Tages bin ich ja schon auch diejenige, die vielleicht eine Phishing-Mail nicht richtig erkennt und auf den Link klickt oder ich so eng an der Geschäftsführung arbeite, dass ich Opfer eines CEO Frauds, also einen Angriff über unseren Geschäftsführer erlebe. Weil das ist ja mittlerweile so perfide geworden und mit den Deepfakes in Zukunft noch viel einfacher, das noch krasser zu orchestrieren oder zu konstruieren vor allen Dingen. Und es ist ja tatsächlich so, die Frage ist nicht, wann werden Unternehmen angegriffen, sondern wie oft werden sie angegriffen. Das ist ja was, was immer weiter voranschreitet. Und egal, wie gut man vorbereitet ist, die bittere Wahrheit ist, 100 Prozent Sicherheit gibt es nicht. Aber das heißt natürlich auch, dass ich mich mit weniger zufrieden geben muss, oder?

Adrian Pusch: Adrian Pusch Funktioniert.

Lisa: Lisa aus eurer Sicht da irgendwie eine sinnvolle Balance zwischen Aufwand und Nutzen oder wie sollten Unternehmen ihre Sicherheitsstrategien realistisch aufstellen? so aus eurer Perspektive mit den Erfahrungen hier im Security Operations Center, mit der Erfahrung im Pen Testing und im Incidence Response. Was ist da sozusagen für euch realistisch für Unternehmen? Wie finden die die richtige Balance zwischen Aufwand und Nutzen?

Christian: Christian darf ich noch kurz eine Anekdote zu dem Thema Kommunikation mit einwerfen. Ich lösche tatsächlich nicht nur im Internetfeuer, sondern ich bin ehrenamtlich auch noch bei der Feuerwehr unterwegs. Und ich hatte den Fall, dass es tatsächlich einen Großbrand gab. Und wir waren tatsächlich noch an der Einsatzstelle und haben dann mitbekommen, dass Mitarbeiter dieses Unternehmens bereits informiert wurden, was passiert ist.

Lisa: Lisa Aber bitte! Natürlich!

Lisa: Lisa Mhm.

Christian: Christian dass erst mal alles gesichert ist, dass die Versicherung Löhne übernimmt etc. Und ich glaube, das hat denen im Gesamten so viel Zusammenhalt gebracht und hat denen geholfen, diese Krise besser zu überstehen. Und das muss irgendwo in der Schublade gelegen sein. Wenn nicht, haben die sehr, schnell reagiert. Also Kommunikation ist auch einfach wichtig und zwar in alle Richtungen nach intern, nach extern. Ich habe mir mal sagen lassen, was raus ist, ist raus.

Lisa: Lisa Mmh. Mmh. Mmh.

Lisa: Lisa Mhm. Ja, ja, ja.

Christian: Christian Das fängst du nicht wieder ein. Deswegen dieses Thema Kommunikation auch nicht unterschätzen.

Lisa: Lisa Ja. Nee.

Lisa: Lisa Nein, ist, also wie gesagt, komme ja, ich bin ja von Herzen Kommunikatorin und ich habe ein Intensivtraining im Bereich Krisenkommunikation gemacht und das ist so essentiell. Das kann auch, das ist, also mein erster Agenturchef hat immer zu mir gesagt, Frau Fröhlich, Kommunikation ist ein schwieriges Geschäft. Ich bin jetzt schon ziemlich lange in dem Business unterwegs und habe immer wieder an ganz unterschiedlichen Stellen auch erfahren, ja, das ist ein schwieriges Geschäft. Ja? Es ist ein sehr schwieriges Geschäft, obwohl es ja so vermeintlich einfach ist. Aber es ist ein wirklich schwieriges Geschäft und es muss, wie du schon sagtest, Christian, ich bin felsenfest davon überzeugt, dass das Unternehmen genau das in der Schublade hatte, weil das kannst du nicht mal so ad hoc aus deinem Ärmel schütteln. Das machst du nicht in so einer Situation, in der irgendwie deine Lagerhalle lichterloh brennt und du weißt nicht im Headless Chicken Mode. Aber es ist eine sehr schöne Anekdote, die

Christian: Christian Nicht im Headless Chicken Mode.

Lisa: Lisa Wie gesagt, aber zurück zur Frage, wie gesagt, wie wie finden wir sozusagen die Balance zwischen Aufwand und Nutzen, es realistische Sicherheitsziele geht?

Christian: Christian Zurück zur Frage.

Christian: Christian Ein Thema ist natürlich immer, dass ich grundsätzlich meine Angriffsfläche so bisschen minimiere. Das heißt, wenn ich jetzt an die IT denke, so meine Standardsachen mit Patchen, Dinge, die ich nicht nutze, deaktivieren, sowas in die Richtung. Aber andererseits, du hast gesagt, früher gab es die Frage,

Lisa: Lisa Mhm.

Christian: Christian Was ist dein Hacker? Dann kam irgendwann werde ich gehackt. Mittlerweile fragen wir uns halt, wie oft werde ich oder wurde ich vielleicht sogar schon gehackt? Hat jemand mitgezählt? Ich muss vielleicht auch ein bisschen mehr in dieses Thema Resilienz, also sprich, was passiert oder wie handle ich, wenn es bereits passiert ist, weil ich es eh nicht zu 100 Prozent verhindern kann. Brauche ich mir vielleicht irgendwie so eine isolierte

Lisa: Lisa Ja.

Lisa: Lisa Mhm.

Lisa: Lisa Mhm.

Christian: Christian Insel an Notfallsystemen auf, zumindest mal noch meine Etiketten für die Verpackung zu drucken oder irgendwie so verrückte Sachen. Muss man sich eben individuell die Gedanken dazu machen. Aber am Ende bist du halt immer vor diesem Thema stehen, Nutzen, Kostenentscheidung. Aber das ist schwer pauschal zu beantworten. Ich denke, da muss sich jedes Unternehmen halt auch wieder die Gedanken eben vorher machen. Sind wir wieder beim Anfangsthema. Also einfach

Lisa: Lisa Mhm. Mhm.

Lisa: Lisa Ja.

Lisa: Lisa Mmh.

Christian: Christian vorher mit dem Thema auseinandersetzen.

Lisa: Lisa Ja, und auch so sehr das nach Sisyphusarbeit klingen mag, da ungefähr 80-mal den Stein den Berg hochgerollt und wieder runterfallen lassen, hilft auf jeden Fall. Adrian, was sagst du, 100 Prozent Sicherheit gibt es nicht, aber trotzdem sollten wir ja irgendwie eine Balance finden und eine Sicherheitsstrategie schon auch fahren können als Unternehmen, oder?

Adrian Pusch: Adrian Pusch Also wir haben, ich nehme immer das Bild mit, ich kann 99,9 Prozent absichern, jede weitere 9 wird die goldene Münze, die ich einwerfen muss, größer. Also jede weitere Stufe an Sicherheit wird einfach immer immer teurer und irgendwann habe ich eben, entweder mir die Münzen aus oder ich könnte mit den Münzen was viel besseres machen. So. Und die Restversicherung, den Restteil, ich kann es nicht absolut ausschließen, dass das passieren wird. Aber wenn, dann nutze ich doch lieber eine von diesen Münzen oder zwei.

Lisa: Lisa Hmm.

Lisa: Lisa Mmh.

Adrian Pusch: Adrian Pusch dann bestmöglich vorbereitet zu sein. dann Leute an der Hand zu haben, die wissen was zu machen, die da vielleicht schon Erfahrung haben, dann muss ich nicht erst mit dem Gesicht bremsen, rauszufinden, dass das eine blöde Idee war. Sondern ich kann ja aus dem lernen, also wir machen es ja genauso. Die Notfallkonzepte, die wir machen, ist eine Fusion aus 50 Stück fast, die wir reviewed haben, über die wir gearbeitet haben, mit gewissen Regulatoren. Deswegen haben wir das.

Lisa: Lisa Mhm.

Adrian Pusch: Adrian Pusch Weil jeder, ich muss jetzt unbedingt bei der Telekom jeden von meinen informieren. Ja, wie machst du das? Ja, über die Nummern. Die dann ruft du mal an. Ich brauch dir das Hotline-Kennwort. Verdammt. So, und dann fangen wir dann im Papier zu suchen. Wir haben das standardmäßig in diesen Plänen drin. Dass du alle Kennwörter, auch Stromversorger, Wasser, alles außen rum, dass du die einfach da hast. Das muss da sein, das muss einmal gedruckt sein, das muss pro Standort Bescheid liegen. Dass jeder weiß, wenn's brennt, dahingreifen.

Lisa: Lisa Mhm.

Adrian Pusch: Adrian Pusch Für Feuer haben wir das. In den Notplänen, Fluchtplänen steht dann da ist ein Feuerlöscher, da ist ein Feuerlöscher, da ist ein Feuerlöscher. Das Gleiche für die IT, dass ich einfach weiß, wenn blöd, ich habe einen super Passwort-Save, aber der hat ein Passwort. Wo ist das Passwort für den Passwort-Save? So, einfach die Sachen, damit wir das nicht irgendwann vor die Füße fällt, nicht drüber stolpern muss. Deswegen haben wir es schon x-mal durchgespielt. Wir kennen sehr, sehr viele Sachen, die schief gehen können. Wir haben Obst die Panne Show dreimal mitgedreht.

Lisa: Lisa Da ist der Notausgang.

Lisa: Lisa Hehehehehe

Adrian Pusch: Adrian Pusch gefühlt und wir geben unser Know-How praktisch weiter und das ist gar nicht so. Also ich muss dann jetzt keine 500.000 Euro in die Hand nehmen, einen guten Plan zu kriegen. Ich muss mich mit beschäftigen. Ich muss wissen, was ist geschäftskritisch für mich wirklich. Also so bisschen Business Impact Analyse, weil das ja unterschiedlich ist. Was ist für mich wirklich interessant und das dann zweimal durchspielen und dann habe ich aber auch innerhalb von zwei, drei Monaten und das meistens dauert es nur so lange, weil ich so viele Kommunikationswege hin und her habe innerhalb der Unternehmen.

Lisa: Lisa Mhm. Ja.

Adrian Pusch: Adrian Pusch schon einen Plan, ich sage, wenn es jetzt knallt, weiß ich, wo ich hinlaufe. Dann weiß ich, was getan werden muss. Dann habe ich 80-90 Prozent schon mal genommen. Das bringt sehr viel Ruhe und hilft einfach, dass es nicht komplett eskaliert. Das geht schnell und dann würde ich ihr das Geld noch bisschen dafür mit reinwerfen. Und vor allem einfach ein wichtiger Punkt, offene Kommunikation. Es bringt nichts, es zu verheimlichen. Es macht keinen Sinn. Ich steige

Lisa: Lisa Hmm...

Adrian Pusch: Adrian Pusch regelmäßig oder regelmäßiger aus Inzidenz aus, wenn die Geschäftsführung sagt, nein, wir sagen lieber nichts. Ne, wir machen keine Anzeige. Hatt ich erst vor ein paar Wochen nicht so, es wird eh veröffentlicht, ihr kommt nicht aus dem Raum. Nein, nein, das weiß keiner. zwei Wochen später erpressen mich die Erpresser damit, also die Angreifer damit. Und ich dann einfach denke, das gehe ich nicht ein. Wenn ihr nicht wollt, dann spielt es selber. Dieses Risiko mache ich nicht. Ihr müsst mit euren Mitarbeitern offen umgehen, ihr müsst mit euren Kunden und Lieferanten offen umgehen.

Lisa: Lisa Ja, aber das ist fatal. Das ist fatal.

Adrian Pusch: Adrian Pusch Es ist keine Schande gehackt zu werden, das wird einfach früher oder später jedem passieren. Aber wie ich mit umgehe, das hat aber so bisschen was von Fehlerkultur. Nein, ich mache überhaupt keine Fehler. Uns ist das nicht passiert. Doch, aber sprich offen drüber, dann geht es doch. Dann können andere davon partizipieren und haben nicht das Risiko, nachdem du erwischt worden bist, dass sie der nächste in der Reihe sind. das muss einfach, diese offene Kommunikation muss einfach sein, damit auch keine Unruhe bei den Mitarbeitern.

Lisa: Lisa Hmm.

Lisa: Lisa entscheidet. Ja, entscheidet über Wohl und Wehe.

Lisa: Lisa Mhm.

Adrian Pusch: Adrian Pusch passiert, weil das als allerletztes Giveaway teilweise ist gar nicht so schlimm. Der Hack an sich habe ich vielleicht ein, zwei Wochen im Griff. Viel schlimmer, was oft passiert, wenn bekannt wird, dass ein Unternehmen gehackt wurde. Wenn ich wissen will, meine wirklich guten Mitarbeiter sind, lasse ich mich hacken. Weil die wirklich guten Mitarbeiter, nachdem es veröffentlicht worden ist, werden dann von Hethuntern angegangen in den nächsten ein, zwei, drei Wochen und werden versucht, damit versucht, die abzuwerben. Einfach aus dem Punkt, jetzt haben sie Angst. So, hm. wissen wir ob eure Firma nächste Woche noch interessiert. Guck mal, die da würden dich nehmen. ist unglaublich perfides Geschäft. Aber wenn ich dann überlege, ich wurde gehackt und hab's überlebt, danach fehlen mir aber meine besten Menschen.

Lisa: Lisa Ja, es ist ein sehr perfides Geschäft.

Lisa: Lisa Unglücklich.

Adrian Pusch: Adrian Pusch nicht gut. Das hatten wir halt schon, deswegen einfach offen kommunizieren, kriegen wir das alles hin.

Christian: Christian Ich fand den Vergleich mit dem Plan, wo ein Feuerlöscher hängt, etc. noch ganz gut. Vielleicht brauchen wir sowas auch einfach mehr in diese Cyber-Ecke. Ich muss ja auch regelmäßig Evakuierungsübungen etc. machen. Vielleicht brauche ich da auch noch so bisschen Druck, dass ich auch andere Sachen mal übe und mich daran orientiere.

Lisa: Lisa Mhm.

Lisa: Lisa Mhm.

Lisa: Lisa Ja, den Eindruck habe ich auch. Also das, wie gesagt, das würde jetzt an dieser Stelle und wir sind auch quasi zeitlich schon am Ende unserer Folge, aber das würde mich persönlich auch mal interessieren, wie das tatsächlich in der Realität ist, wie viele Unternehmen üben tatsächlich IT-Sicherheitsvorfälle. Also, weil das ist natürlich ja auch je nach Reifegrad ein unterschiedliches Thema. Es gibt eben Unternehmen, haben die Erfahrung schon gemacht und wissen, warum sie das üben müssen, trotzdem üben müssen. Und es gibt Unternehmen, eben so den, ja, die verfolgt so eine Nemesis, ja, mich trifft sie ja sowieso nicht, aus welchen Gründen auch immer, aber nein, das ist wirklich, nein, keiner da draußen ist sicher. Also wirklich so gar keiner ist sicher, ne? Also, hm.

Adrian Pusch: Adrian Pusch wir schon gemacht. ist das Schöne an diesen Smartwatches. Genial. So praktisch Escape Games, wenn das schon mal gespielt hat. Also Tabletop Übung, wo man einfach sagt, okay, das ist deine Rolle, du bist jetzt IT-Leiter, du bist Datenschutzbeauftragter, du bist das. Wir bereiten das vor. Auch für internationale Unternehmen haben wir das schon gemacht. Das ist das Szenario, das passiert, das sind eure Karten. Ihr könnt damit alles lösen. Viel Spaß. Und guidet sie so ein bisschen durch. Ist das genial, wenn das die verschiedenen Führungsbereiche machen.

Lisa: Lisa Mhm. Ja.

Lisa: Lisa Hmm...

Lisa: Lisa Hmm?

Adrian Pusch: Adrian Pusch Obwohl es ein gespieltes Szenario ist, kann man danach ganz genau auf der Uhr ablesen, auf der Watch ablesen, wie der Puls. Also wie die richtig Druck bekommen, obwohl es ein Spiel ist. Und jetzt stellt euch vor, realistisch. Das ist echt gut abzuschätzen. Also kann man auch machen. Ist auch sehr sinnvoll, sowas auch mal durchzuspielen und nicht nur theoretisch. Notfallkonzepte sind einfach nur logisches Denken für Fortgeschrittene. Was passiert, wenn...

Lisa: Lisa Ja.

Adrian Pusch: Adrian Pusch und was passiert wenn nicht. So, und das 3 mal durchgespielt, dann kann ich einen echt guten Griff haben.

Lisa: Lisa Das ist doch ein super Schlusswort gewesen. Notfallmanagement ist sozusagen logisches Denken für Fortgeschrittene. Mehr kann ich dem eigentlich gar nicht mehr hinzufügen, außer vielen Dank, dass ihr beide heute meine Gäste wart. ja, euch da draußen, bei euch bedanke ich mich natürlich auch, dass ihr zugehört habt oder zuhört. Und wenn euch die Folge gefallen hat, dann lasst gerne ein Like da, abonniert den Podcast oder empfehlt ihn allen Menschen, die mehr über IT-Security wissen müssen.

Adrian Pusch: Adrian Pusch Bis dann.

Lisa: Lisa Klammer auf alle, Klammer zu. Und ja, dann bleibt mir an dieser Stelle wie immer nur zu sagen, keep calm and get protected. Und vielen Dank ihr beiden und euch noch einen guten Tag. Lasst es euch gut gehen. dann, ciao.

Christian: Christian Vielen Dank Lisa, ciao!

Adrian Pusch: Adrian Pusch Danke, dass hier seid.