#38: Datengold oder Datenleichen?

Lisa: Lisa Hallo und herzlich willkommen zu einer neuen Folge von Follow the White Rabbit, dem Link11 IT Security Podcast. Mein Name ist Lisa Fröhlich, ich bin Unternehmenssprecherin bei Link11 und es freut mich natürlich, dass ihr wieder euch die Zeit nehmt und mit mir in den digitalen Kaninchenbau aus Cyber-Sicherheit steigt. Auch heute steht ein richtig spannendes Thema an, nämlich Datensicherheit und vor allen Dingen wie Unternehmen sie gewährleisten können und was es so mit bestimmten Möglichkeiten auf sich hat, die Daten zu sichern und vor allen Dingen auch die Backup-Daten, die gehören nämlich auch dazu. Ja, was soll ich sagen? Daten sind das neue Gold, das ist ja allseits bekannt und doch im Grunde, wie schützen wir denn die Daten vor Cyber-Angriffen? Unternehmen speichern heute unfassbar große Datenmengen und gleichzeitig wächst natürlich die Bedrohung vor allem auch durch Ransomware, also weltweit geht man so von ungefähr 10 Millionen Dollar aus, die durch Cyberkriminalität irgendwie als Schäden verursacht werden können. Eine entscheidende Frage ist dabei natürlich, wie können Unternehmen ihre sensiblen Daten effektiv sichern und vor allen Dingen sich gegen diese Angriffe wappnen? Weil ich glaube, allein 70 Prozent der Cyberangriffe weltweit gehen auf das Konto von irgendwelchen Ransomware-Banden. Genau dazu spreche ich mit meinem heutigen Gast Frank Schwaak. Da freue ich mich sehr. Vielen Dank, Frank, dass du dir die Zeit genommen hast und heute mein Gast bist. Frank ist CTO oder viel CTO für die EMEA-Region. Also das ist quasi der Europa, der Mittlere Osten und Afrika von Eurobrik. Er bringt über 20 Jahre Erfahrung sozusagen im Bereich Daten oder Datensicherheit und vor allen Dingen Datenwiederherstellung mit und weiß natürlich, mit welchen Herausforderungen Unternehmen hier zu tun haben. Bevor wir jetzt sozusagen in die Datensicherheit und das spannende Thema einsteigen, Frank, stell dich doch bitte kurz unseren Hörerinnen und Hörern vor und erzähl ein bisschen was zu Rubrik.

Frank Schwaak | Rubrik: Frank Schwaak | Rubrik Ja, hallo Lisa. Hallo liebe Zuhörer. Echt spannend mal im digitalen Kaninchenbau zu sein. Vielen Dank für die Einladung. Ja, Frank Schwake ist mein Name. Wie du schon sagtest, viel Zitier bei der Firma Rubrik. Ich wohne im schönen Ruhrgebiet irgendwo zwischen Dortmund und Schalke, für die die Fußballer für ihn sind. Bin jetzt seit sechseinhalb Jahren bei der Rubrik, war vorher 15 Jahre bei Mitbewerber, davor drei Jahre bei einem kleineren deutschen Mitbewerber und macht das Thema Data Protection, also sprich Datensicherung oder Backup seit über 25 Jahren tatsächlich. Wie alt ich bin, sage ich nicht. Je jünger ich tatsächlich bin. Ja, was macht ein Field CTO ganz kurz als Hintergrund? bin so das Bindeglied zwischen unseren Kunden und unserer internen Produktmanagement und Engineering Abteilung. Das heißt, ich kann...

Lisa: Lisa Wow.

Lisa: Lisa Wir schweigen uns aus.

Lisa: Lisa Mhm.

Frank Schwaak | Rubrik: Frank Schwaak | Rubrik Kundenwünsche mitnehmen und bei uns intern einkippen oder Anforderungen speziell im Bereich Cyber Resilience und kann aber auch in der anderen Richtung über die Roadmap sprechen und sagen, wo die Reise von der Firma Rubrik hingeht. möchte aber gar nicht so viel über Rubrik reden, sondern eher darum, was draußen passiert und was man eigentlich machen muss, ein ordentliches Cyber Resilienz Konzept zu erstellen, wenn man nicht schon eins hat.

Lisa: Lisa Ja, jetzt habe ich ja vorhin schon angesprochen, Unternehmen sammeln und speichern ja immer mehr Daten, weil natürlich auch alles quasi digitalisiert wird und noch mehr Prozesse digitalisiert werden in Zukunft. Oft bleibt unklar, welche Daten überhaupt davon noch genutzt werden. Also das ist, muss man sie ja nur mal irgendwie an die eigene Nase fassen. Wie viele Fotos hat man irgendwie auf irgendwelchen Datenspeichern, auf Festplatten, auf dem Telefon etc. pp. Und wie viele Fotos guckt man sich regelmäßig an. Mal abgesehen davon, dass Apple und Google ja so nette Funktionen haben, so ihr Jahresrückblick an Fotos etc. pp. Da stehen meine Kinder immer total drauf, so lass uns mal das angucken, lass uns mal das angucken, weil sie sich natürlich freuen, in ihre Vergangenheit schauen zu können. Doch wie ist es bei Unternehmen? Also im Grunde bin ich gar nicht so sicher, welche Daten tatsächlich genutzt werden und welche einfach nur unfassbar viel Speicherplatz brauchen. Und zudem kann natürlich auch diese ganze Datenflut, die ja zum Teil auch unkontrolliert und auch nicht vielleicht systematisch ist, die Sicherheitslage verschärfen. Also was meinst du? Wie viele dieser Daten, die in Unternehmen gesammelt werden oder vielleicht hast du auch valide Zahlen, weil du schon so lange da in dem Bereich unterwegs bist, werden wirklich genutzt und welche Risiken entstehen eigentlich durch diese ungenutzten Datenmengen, die irgendwo auf einem Speicher oder in der Cloud liegen.

Frank Schwaak | Rubrik: Frank Schwaak | Rubrik Ja, wenn ich jetzt pauschal antworten müsste, ich sagen, 27 Prozent der Daten, die ein Unternehmen speichert, werden tatsächlich noch genutzt.

Lisa: Lisa Mhm, also ein Drittel.

Frank Schwaak | Rubrik: Frank Schwaak | Rubrik Ja, zwei Drittel sind dann halt Altdokumente, die vielleicht noch aus Compliance Gründen aufbewahrt werden müssen. Es kann natürlich sein, dass es da eine rechtliche Vorgabe gibt. Aber meistens sind es irgendwelche Datenleichen, die nicht zwingend aufbewahrt werden müssen. Das Gefährliche daran ist, wenn diese Daten, die werden dann vergessen, wenn die aber sensiblen Inhalt haben und dann schlimmstenweise noch für jedermann lesbar sind, dann ist das auch das erste, was vor Angreifern durch eine Ransomware-Attacke exfiltriert, also runtergeladen wird, womit dann später erpresst wird. Es ist sehr schwer für CISOs in Unternehmen heute zu sagen, wenn man den fragt, wo liegen denn deine sensible Informationen? Und ich gebe dir mal ein Beispiel. Angenommen, jemand aus der Personalabteilung möchte einen neuen Mitarbeiter beim Finanzamt oder

Lisa: Lisa Hmm.

Lisa: Lisa Mhm.

Lisa: Lisa Hmm.

Frank Schwaak | Rubrik: Frank Schwaak | Rubrik bei der Krankenversicherung anmelden, was auch immer. Dann fragt man den CISO, wo sind denn die personenbezogenen Daten aller deiner Mitarbeiter? Dann sagt der CISO oder die CISO-Dame, sag ich jetzt mal, die liegen alle in unserer Human Resources Datenbank Workday oder was auch immer für Tools da gibt. Und da sind sie geschützt, da sind sie verschlüsselt abgelegt.

Lisa: Lisa Mhm, mhm.

Frank Schwaak | Rubrik: Frank Schwaak | Rubrik Da sind wir sicher, dass keiner der sensible Informationen wie dieser Sozialversicherungsnummer zum Beispiel irgendwo anders liegt. Was der CISO dann aber nicht weiß, ist, dass vielleicht jemand aus der Personalabteilung einen Datensatz aus dieser Datenbank genommen hat, in ein Word-Dokument gepackt hat, daraus ein PDF gebaut hat, das PDF per E-Mail an Finanzamt oder Krankenversicherung geschickt hat, sagen, hier haben wir einen neuen Mitarbeiter. Weil dann...

Lisa: Lisa Mhm.

Lisa: Lisa Hmm?

Frank Schwaak | Rubrik: Frank Schwaak | Rubrik habe ich diese sensible Information nicht nur in meiner verschlüsselten Datenbank, wo sie ordentlich aufbewahrt wird, sondern auch in fünf, sechs anderen Locations, die eventuell nicht verschlüsselt sind. Und wenn dann das E-Mail-System kompromittiert wird, dann ist der Datenschutzverstoß schon da. Und was muss eigentlich danach gemacht werden? E-Mail...

Lisa: Lisa Ja und am...

Lisa: Lisa Ja, dann kann ja jeder mitlesen, im Grunde.

Frank Schwaak | Rubrik: Frank Schwaak | Rubrik Audit Trails oder John-Ling-Mailboxes gibt es. Das heißt, es wird alles getrackt, was rein und rausgeht. Das ist auch okay. Normalerweise ist das System auch noch als sicher anzuerkennen. Aber was ist mit der Workstation des Mitarbeiters? Was ist mit dem PDF-Dokument und was mit dem Word Dokument? Man kann jetzt nicht erwarten, dass die Mitarbeiter einer Personal Abteilung tiefes Wissen haben, wie ACLs erstellt werden. Das heißt, wer hat...

Lisa: Lisa Hmm.

Lisa: Lisa ACLs sind was?

Frank Schwaak | Rubrik: Frank Schwaak | Rubrik die Access Control List, also wer hat Zugriff auf das Dokument. Meistens ist es dann für jedermann lesbar, dann kann ich es auch einfacher teilen mit meinen Kollegen und was auch immer. Oder auch klassisch das Thema Bewerbung. Bewerbungsunterlagen müssen, wenn der Bewerber nicht genommen wird, nach spätestens drei Monaten gelöscht werden. Das ist, glaube ich, eine Vorgabe laut DSGVO. Das machen aber die wenigsten. Das bleibt irgendwo liegen, das wird dann vergessen. Aber das ist genau das, was

Lisa: Lisa Mhm, mhm.

Lisa: Lisa Klar.

Lisa: Lisa Mhm.

Lisa: Lisa Hmm. Hmm.

Frank Schwaak | Rubrik: Frank Schwaak | Rubrik exfiltriert wird und da muss man halt aufpassen.

Lisa: Lisa Aber das heißt ja, dass ich, wenn ich jetzt hier schon mal kurz einhaken kann, das heißt ja, dass wir im Grunde nicht nur dafür sorgen müssen, einen Überblick zu behalten, wo liegen unsere Daten. Also das ist so ein bisschen, ich nenne es mal, im Englischen sagt man Observability dazu, wo genau, was passiert mit meinen Daten, wo liegen die, damit ich einfach die Risiken vielleicht auch erkenne, die damit verbunden sind und zum anderen

Frank Schwaak | Rubrik: Frank Schwaak | Rubrik So.

Lisa: Lisa müssen wir ja aber eigentlich auch so ein bisschen dieses Thema Cyberhygiene berücksichtigen, weil wenn nur ein Drittel der Daten quasi wirklich gebraucht und, sag ich jetzt mal, tagtäglich benutzt wird und zwei Drittel der Daten, die in Unternehmen so zur Verfügung stehen, eigentlich irgendwo verschlüsselt oder im schlimmsten Fall nicht verschlüsselt in sicheren Datenbanken liegen, dann ist es ja auch schon wichtig, die Mitarbeitenden dahingehend zu schulen. Wie speicherst du das Dokument? Wo speicherst du es? Und welche Sicherheitsfaktoren spielen da eine Rolle? Cyberhygiene ist dafür ja da, sozusagen die Bedrohungen frühzeitig zu erkennen und eben auch abzuwehren und das Unternehmen sozusagen ihre Daten nicht nur regelmäßig überprüfen und vielleicht auch suchen oder mal irgendwie sich überhaupt mal einen Überblick verschaffen, sondern auch die Daten weiterhin zu schützen. Und ich frage mich immer, und das finde ich so faszinierend, weil das Thema hat ja auch so bisschen damit zu tun, der Mensch oder die meisten Menschen wollen ja eigentlich, wenn sie auf die Arbeit gehen, ihrem Job nachgehen. Die wollen auch nicht ungefähr eine 48-Multi-Faktor-Authentifizierung, wenn sie sich irgendwo einloggen wollen. Die haben natürlich einfache Passwörter. Also der Mensch ist ja schon auch eher so sehr praktisch veranlagt, wenn es darum geht, bestimmte Dinge zu erledigen. Und es hat natürlich auch immer was mit der Usability zu tun, weil wie du schon sagst, der HR-Mitarbeiter oder die HR-Mitarbeiterinnen, brauchen natürlich auch Daten aus dieser sicheren Datenbank, gegebenenfalls diese ganzen Dinge anzumelden und vielleicht noch einem Dritten mitzuteilen. Das ist natürlich alles wichtig, weil da kommen ja auch noch Lohnabrechnungen, Steuerbüro und so weiter und so fort dazu. Da sind ja nur das Finanzamt und die Krankenkasse sind ja nur irgendwie zwei der möglichen Wege. Und an all diesen, sage ich jetzt mal, Wegkreuzungen kann ja immer irgendwo irgendwie was passieren. Und wenn du jetzt aus deiner Erfahrung sprichst oder in deine, ja, in die Vergangenheit guckst, hat sich denn beim Thema Cyberhygiene was verändert? wie siehst du das? Welche Rolle spielt die? Und wie können Unternehmen denn auch ihre Mitarbeitenden sozusagen dazu animieren, entsprechende Cyberhygiene oder Datenhygiene oder wie auch immer man das nennen will, auch an den Tag zu legen, damit sie auch die Sensibilität und das Bewusstsein dafür haben, dass da halt riesige, ja, dass da im Grunde eine riesige offene Flanke besteht.

Frank Schwaak | Rubrik: Frank Schwaak | Rubrik Ja, das waren jetzt eine ganze Menge Punkte. erstmal Thema Cyberhygiene ist genau das richtige Schlagwort. Wir müssen auch nicht nur jetzt an diese Dokumente aus der Personalabteilung denken, sondern vielleicht auch an Administratoren, die mal in eine Datenbank klonen, weil sie ein Report ziehen müssen oder etwas testen wollen. Ja, so ein Klon.

Lisa: Lisa Hmm.

Lisa: Lisa Ja, ich denke da nur an Kundenmanagementsysteme oder Customer Relationship oder eben CRM für Webseiten etc. pp. das da, die Liste lässt sich ja heutzutage unendlich lange weiterführen.

Frank Schwaak | Rubrik: Frank Schwaak | Rubrik Genau. Was ich aber eigentlich sagen wollte, ist, diese Test-Clones, die zum Beispiel erstellt werden, die werden nicht so geschützt wie die Produktivdatenbank. So, weil ich will ja nur mal eben kurz was testen, danach lösche ich das wieder und dann wird das löschen vergessen. Also hinter sich aufräumen ist ganz wichtig und ein Mensch alleine kann das kaum bewerkstelligen. Da muss man also die richtigen Tools im Einsatz haben. Wir reden da von Sachen wie DSPM, das steht für Data Security Posture Management.

Lisa: Lisa Hmm... Hmm...

Lisa: Lisa Mhm.

Lisa: Lisa Mhm.

Frank Schwaak | Rubrik: Frank Schwaak | Rubrik Das kann einen Überblick geben darüber, wo liegen Daten mit sensiblen Inhalt und wenn dann auch noch eine Integration ins Active Directory oder in der Cloud in Entra-ID da ist, dann wird auch noch geschaut, wer hat Zugriff drauf. Dann geht die Risikobewertung. Ich muss die Daten klassifizieren nach Inhalt. Ich muss also sagen, eine Sozialversicherungsnummer ist jetzt ein Medium-Risk, weil eigentlich kann man damit nicht so viel anfangen. Ja, doch eigentlich schon, aber

Lisa: Lisa Mhm. Mhm.

Lisa: Lisa Mhm.

Frank Schwaak | Rubrik: Frank Schwaak | Rubrik Ich sag mal jetzt ein Geburtsdatum und eine Adresse und so weiter, eine Kreditkarte oder IBAN-Nummer ist da schon ein bisschen sensibler, weil dann habe ich alle Informationen, ein Konto zu eröffnen, irgendwo oder irgendwo etwas zu kaufen. Das sind aber so Sachen, darüber muss man einen Überblick haben und man muss es klassifizieren. Und da muss man auch sagen, welcher User hat den Zugriff auf diese Daten. Und der wird dann ebenfalls dementsprechend klassifiziert. Ein Benutzer, der Zugriff auf hochsensible Daten hat, wird automatisch ein Benutzer der Kategorie

Lisa: Lisa Mmh, mmh.

Frank Schwaak | Rubrik: Frank Schwaak | Rubrik hoch Risiko. So, und wenn dann dieser User der Patient null einer Attacke ist, dann weiß man sofort, worauf die Angreifer direkt einen Zugriff hatten, weil er das Recht hat, darauf zuzugreifen und was dann direkt exfiltriert wird. Und da geht es dann auch nicht nur darum, sich nur auf die Daten zu fokussieren, sondern eventuell auch auf was dürfen meine User und wenn man da noch einen Schritt weitergeht, was machen meine User?

Lisa: Lisa Mhm.

Lisa: Lisa Mhm. Ja, klar.

Lisa: Lisa Mhm.

Lisa: Lisa Mhm. Ja, ja.

Frank Schwaak | Rubrik: Frank Schwaak | Rubrik Weil es geht immer darum, einer Ransomware-Attacke Anomalien zu erkennen. Anomalien auf Daten sind relativ easy zu erkennen. Das ist ein massiver Löschversuch oder eine Datenzerstörung oder eine Verschlüsselung. Man hatte die Daten die ganze Zeit im Klartext. Jetzt sind sie verschlüsselt. Da hat sich was verändert. Das ist eine Anomalie. Die kann natürlich gewollt sein vom Management, was sagt, wir verschlüsseln jetzt mal die Daten, weil sie sind sensibel. Aber es kann natürlich auch ein Angreifer sein. Genauso muss man sich die Benutzer anschauen.

Lisa: Lisa Ja, ja.

Lisa: Lisa Ja.

Frank Schwaak | Rubrik: Frank Schwaak | Rubrik Ein klassisches Beispiel ist der, die Person, ganze Zeit auf Marketing-Shares rumarbeitet, weil es ein Mitarbeiter oder Mitarbeiterin aus der Marketing-Abteilung ist und plötzlich greift die Person aber auf Informationen zu, die zum Beispiel in der Entwicklungsabteilung liegen, Quelltexte oder so was. Aus irgendeinem Grund hat die Person da Zugriff drauf, keiner weiß mehr warum. Aber warum macht sie es denn jetzt gerade? Will sie bisschen was runterladen und irgendwo verkaufen oder so was?

Lisa: Lisa Hmm...

Lisa: Lisa Ja, genau, das ist ja schon auch verdächtig.

Frank Schwaak | Rubrik: Frank Schwaak | Rubrik Das heißt, das Benutzerverhalten, da kann man ebenfalls eine Anomalierkennung darauf erzeugen und gegebenenfalls darauf reagieren. Das klassische Beispiel, was ich eigentlich bringen wollte, ist der Azubi, der alle Abteilungen innerhalb einer Firma einmal wie fünf, dem wird dann vergessen, hinterher die Rechte wieder wegzunehmen von den Abteilungen, die er schon abgeschlossen hat.

Lisa: Lisa Ja.

Lisa: Lisa Ja, stimmt.

Lisa: Lisa Klar, dann hat er Zugriff

Frank Schwaak | Rubrik: Frank Schwaak | Rubrik So. Und wenn wir, wenn wir dann an KI-Projekte denken, jedes Unternehmen hat ja jetzt gerade ein KI-Projekt, irgendwas Gen-AI. Wir wollen produktiver werden. Wir wollen wettbewerbsfähiger sein. wollen einfach irgendwo besser werden. So, was hilft uns? KI. Und jetzt hat man natürlich die Frage sich zu stellen, also das Innovation-Projekt oder Team, was gerade das KI-Projekt durchlaufen lässt oder

Lisa: Lisa Hm.

Lisa: Lisa Mhm, mhm.

Frank Schwaak | Rubrik: Frank Schwaak | Rubrik Führt woher krieg ich denn meine Daten mit denen ich meinen Language Model oben füttert so und dann sage ich nehme das jetzt von dem Fileshare aus der Datenbank aus der Location da und da dann schiebe ich das ganze hoch in diese Vector-Datenbank und was verliere ich meine Zugriffsrechte so das heißt diese die Datenqualität der KI sinkt und auch ist halt auch noch jeder Zugriff auf alles das heißt dann kann zum Beispiel der Azubi hergehen und das

Lisa: Lisa Mhm.

Frank Schwaak | Rubrik: Frank Schwaak | Rubrik Chatbot fragen, was verdient denn der Chef so und die Antwort kommt und das ist natürlich fatal. So und die Gardner sagt, dass bis Ende diesen Jahres ungefähr 30 Prozent der KI-Projekte fehlschlagen werden, weil halt die Datenqualität nicht gewährleistet ist.

Lisa: Lisa Ja, das ist eine Diskussion, die würde ich auch gerne nochmal führen, weil ich, wie gesagt, ja an der TU Darmstadt auch für einen Professor gearbeitet habe, da auch in dem Bereich KI ziemlich aktiv ist und hat mit Intel zusammen das Private AI-Institute gegründet. Da waren, glaube ich, acht oder neun internationale Universitäten dabei, die quasi in dem Bereich forschen, was quasi die Sicherheit von KI angeht. Und da haben wir ganz oft die Diskussion auch geführt zum Thema Datenintegrität, Datenqualität und wer garantiert mir, dass die Daten, die genutzt werden, die entsprechende Qualität haben, wer garantiert mir, dass sie integer sind, wie stelle ich das sicher, dass quasi die Modelle dann nicht manipuliert werden, weil irgendwas in die Daten hineingeflossen ist, weil natürlich auch über mittlerweile verschiedene Möglichkeiten ja auch eben auch bei KI's Reverse Engineering betrieben werden kann etc. pp. Wie du schon gesagt hast, eine KI ist ja nur so gut wie ihre Daten selbst. wenn ich mir jetzt vorstelle, wenn wir jetzt noch mal irgendwie so den Bogen spannen zum Anfang unseres Gesprächs, diese ganze unfassbar große ungenutzte Datenmenge, wenn dann die auch irgendwann mal in so ein KI-Modell einfließt, weil vielleicht möglicherweise da vermutet wird, da liegen noch nutzbare Daten für uns, die können wir in unsere KI stecken, dann sind es ja vielleicht auch Daten, die schon eine geraume Zeit ungenutzt irgendwo gelegen haben und da kann doch keiner mehr garantieren, dass die eine entsprechende Qualität haben. Ungeachtet dessen, dass vielleicht die Bits und Bytes nicht kaputt gehen im klassischen Sinne. da sind vielleicht auch andere, sag ich jetzt mal, Labels dran, andere Konfigurationen etc. pp., die vielleicht gar nicht mehr jetzt in die Unternehmensprozesse oder in die IT-Infrastruktur reinpassen würden. Also ich glaube, das ist fatal, wenn sozusagen die Daten da nicht gescreened werden und auch einfach mal, wie du so schön sagst, es muss halt auch mal gelöscht werden. Und ich frage mich immer so, aber da greife ich mir auch an die eigene Nase, wie oft denke ich, ich muss unbedingt den Fotospeicher an meinem oder auf meinem Telefon leeren. Da sind so viele Screenshots drauf, die ich mache von irgendwelchen Rezepten oder keine Ahnung was oder es irgendwer mal irgendwie weiterzuleiten, wo ich mir denke, das ist einfach nur Datenmüll, bei mir auf dem Handy ist. wenn ich das potenziere in die Unternehmenswelt, vielleicht kannst du ja nochmal einen Überblick geben von wie viel Daten reden wir hier überhaupt? Also vielleicht hast du da ein paar Zahlen für unsere Hörerinnen und Hörer und vielleicht nimmst uns auch mal mit in so ein Best Practice. hast du ja ein Beispiel, wo sozusagen Daten sinnvoll verwaltet werden oder wie Daten sinnvoll verwaltet und geschützt werden können. Das würde mich noch interessieren.

Frank Schwaak | Rubrik: Frank Schwaak | Rubrik Also wie viel Daten wir jetzt weltweit haben, ich glaube, das kann man googeln, wenn man möchte. Das sind einiges an Zettabytes. Also das ist schon extrem groß. Das ist die Potenz, nach Exabyte kommt. Und ein Exabyte sind ja schon mal 1000 Petabyte. Wenn das noch zu viel ist, dass ein Petabyte sind nochmal 1000 Terabyte. Also gut, ich weiß nur, wie viel wir verwalten von unseren Kunden. Ich wollte aber jetzt gar nicht so viel über uns reden, wobei

Lisa: Lisa Mhm.

Frank Schwaak | Rubrik: Frank Schwaak | Rubrik Also wir haben jetzt, wir verwalten gerade ungefähr 43 oder 42 extra Byte an Kundendaten. Also sprich 43.000 Petabyte oder sonst so für Millionen Terabyte. Ja, aber das ist das, unsere Kunden haben, was sie denken, was geschützt werden muss. so das ist aber höchstwahrscheinlich noch nicht mal alles, was unsere Kunden generell haben, weil wir sichern zum Beispiel keine Workstations oder Mobiltelefonen, also Endpoint-Geräte, sondern auf

Lisa: Lisa unfassbar viel.

Lisa: Lisa Mhm.

Lisa: Lisa Mhm. Mhm. Ja, ja.

Frank Schwaak | Rubrik: Frank Schwaak | Rubrik Wir sind auf den Servern oder der Cloud Infrastruktur unterwegs oder in deren SaaS-World. Aber gut. 42 Exabyte, hatten das mal in einer Analyse, sind ein Röntgenbild von 80 Megabyte von 117 Milliarden Menschen. Also so muss man es so sehen.

Lisa: Lisa Mhm. Mhm.

Lisa: Lisa Okay, also zehnmal die Erde, so ungefähr. Unglaublich.

Frank Schwaak | Rubrik: Frank Schwaak | Rubrik Oder Flug zum Mond und zurück. Keine Ahnung. Ja, aber man muss sich ja nur YouTube anschauen. Da gab es auch mal irgendeine Statistik. werden pro Minute eine Stunde an Videos oder was hochgeladen. Das heißt, das, hochgeladen wird, ist gar nicht konsumierbar. Es sei denn, ich habe was, ich sehe in Augen und lasse das alles parallel. Das geht nicht.

Lisa: Lisa Mhm.

Frank Schwaak | Rubrik: Frank Schwaak | Rubrik Die Datenmengen, die wachsen halt und man muss halt wirklich also das Best Practice ist, halt einen Überblick zu haben, über was hat sensiblen Inhalt, wer hat Zugriff drauf und wo liegen die da? Das ist, wenn man darüber einen Überblick hat über ein Posture-Management-System und wenn man dann auch noch Data-Loss-Prevention-Tools im Einsatz hat, die dafür sorgen, dass keine sensiblen Inhalte das Unternehmensnetzwerk verlassen können, dann.

Lisa: Lisa Mhm. Mhm. Mhm.

Lisa: Lisa Mhm.

Lisa: Lisa Als kurze Zwischenfrage, welche Rolle spielt das Backup in so einer Sicherheitsstrategie oder in so einer Daten-Daten-Überblicks-Lösung? Also, weil das kann man ja nicht mitdenken, oder?

Frank Schwaak | Rubrik: Frank Schwaak | Rubrik Ja.

Frank Schwaak | Rubrik: Frank Schwaak | Rubrik Ja, das Backup ist ja eigentlich erst mal kontraproduktiv, wenn man es so sieht. Was macht das? Das erzeugt eine Kopie meiner Daten. Das macht einen Backup. Dann wir noch mehr Daten. Dann wird natürlich am Ende komprimiert und dedupliziert und so weiter. Das ist alles schön gut. Aber man braucht die Kopie der Daten, weil wenn was kaputt ist, möchte man halt zurückkopieren und die Daten wieder herstellen. Sprich, nicht mehr warten. So, wenn man sich jetzt mal so ein

Lisa: Lisa Hmm. Ja, noch mehr Daten.

Lisa: Lisa Mhm.

Frank Schwaak | Rubrik: Frank Schwaak | Rubrik Wenn man jetzt aber sagt, ich nehme jetzt das Backup Repository, plötzlich habe ich alle meine verteilten Daten irgendwo zentral aufbewahrt und ich kann dann da anfangen, die Intelligenz aus den Daten zu bilden, sprich, ich schaue rein, wo ist sensibler Inhalt, ich schaue rein, wer hat Zugriff drauf, weil Active Directory oder was mitgesyncht wird, dann bekommt man diesen Überblick eigentlich schon. Und dann kann man anfangen mit den Informationen aus dem Backup. Ich habe jetzt nicht die ganze Produktion gescannt, weil die wird standardmäßig einfach nur gesichert.

Lisa: Lisa Mhm.

Frank Schwaak | Rubrik: Frank Schwaak | Rubrik Und auf den Backupdaten wird dann die Intelligenz erzeugt, ich dann natürlich super verwenden kann, einen Data-Loss-Prevention-Tool zu verwenden mit, was ist denn schützenswert? Oder ich sag dem CISO auf einer Heatmap, pass mal auf, du hast da zehn Objekte, die sind hochsensibel und da hat auch noch jeder Zugriff drauf aus deiner Organisation. Muss das so oder kann das weg? Das ist auf jeden Fall ja. So und damit kann man dann wirklich die Angriffsfläche verringern.

Lisa: Lisa Ja, ja, ja.

Lisa: Lisa Ja klar.

Lisa: Lisa Mhm.

Frank Schwaak | Rubrik: Frank Schwaak | Rubrik Wenn man sich anschaut, so ein Cyberangriff abläuft, irgendwie kommen sie rein. Und meistens melden sie sich an, sie brechen nicht ein. Sie melden sich einfach über kompromittierte Accounts an, über Phishing, über andere Mechanismen, wie auch immer sie reinkommen. Sie kommen rein. es ist, das BSI sagt es auch, man hat keinen hundertprozentigen Schutz. ich kann, wenn ich meine Kronjuwelen habe und ich habe als Schutz meine Burg, meine Burgmauer.

Lisa: Lisa Mmh. Ja.

Frank Schwaak | Rubrik: Frank Schwaak | Rubrik Dann kann ich die Wände breiter machen. kann sie höher machen. Ich kann den den Burggraben außen rum tiefer graben. ich noch Budget über hab, Security Budget, dann werfe ich auch noch Piranhas rein. Man kann ganz viel machen, aber dann kommt plötzlich einer muss sich das bildlich vorstellen, sowie Tom Cruise von oben runter und greift sich das die Kronjuwelen wählen und ist wieder raus. Das heißt, einen hundertprozentigen Schutz gibt es einfach nicht. Und das sagt auch das BSI. Und deshalb muss man halt Notfallpläne.

Lisa: Lisa Hmm.

Lisa: Lisa Hmm?

Frank Schwaak | Rubrik: Frank Schwaak | Rubrik im Einsatz oder bereit haben, die auch getestet sind. Und man muss zum Beispiel auch hergehen und sagen, ich probiere jetzt mal aus, meine Kernapplikationen zu recovern. Wenn ich das nie getestet habe, dann weiß ich nie, es im Fall der Fälle auch funktionieren. Klappt es überhaupt? Ich sichere täglich erfolgreich, super. Aber wenn ich nie einen Repository geprüft habe, dann könnte ich nicht ruhig schlafen.

Lisa: Lisa Mhm. Ja.

Lisa: Lisa Ja.

Frank Schwaak | Rubrik: Frank Schwaak | Rubrik So, und das nächste ist, die Chef-Etage wird auch immer fragen, wie lange dauert denn das, wenn unser ERP-System mal kaputt ist, egal ob jetzt Hackerangriff oder Softwarefehler oder Hardware-Ausfall, wie lange dauert das, das Ganze wieder herzustellen? Wenn man es nicht getestet hat, kann man darüber auch keine Aussage treffen. und wichtig bei einem Ransomware-Angriff ist, wenn Sie reingekommen sind, dann platzieren Sie die Malware.

Lisa: Lisa Mhm. Ja, ja.

Lisa: Lisa Hmm?

Frank Schwaak | Rubrik: Frank Schwaak | Rubrik Dann wird sich erstmal ein bisschen umgeschaut, dann wird sie ausgerollt, dieses lateral Movement nennt sich das, überall da wo ich die Daten verteilen kann wird sie ausgerollt und dann wird da angefangen zu exfiltrieren. Meistens blind, sprich ich nehme alles mit, weil irgendwo werde ich sensible Inhalte oder sensible Objekte finden, ich hinterher noch besser erpressen kann. So und dann versuchen die Angreifer natürlich auch noch das Backup kaputt zu machen, weil wenn der Angegriffener oder das Opfer nicht selbstständig wieder herstellen kann.

Lisa: Lisa Ja, gerne. Irgendwo werde ich. Ja.

Frank Schwaak | Rubrik: Frank Schwaak | Rubrik dann ist es noch wahrscheinlicher, dass das Lösegeld, was gefordert wird, gezahlt wird. Das heißt, wir müssen auf Immutability achten. Wir müssen darauf achten, dass so wenig wie möglich exfiltriert werden kann durch entsprechende Vorbereitung, sprich Posture-Management. Und dann kann man eigentlich relativ sicher sein, dass man die Karre aus dem Dreck gezogen kriegt, wenn es denn mal so weit ist.

Lisa: Lisa Mhm. Ja.

Lisa: Lisa Hmm.

Frank Schwaak | Rubrik: Frank Schwaak | Rubrik Es gibt so einen Spruch, den hasse ich. Es ist nicht die Frage, ob man angegriffen wird, sondern wann. Das ist Quatsch. Die Frage ist wie oft? Weil wenn man einmal angegriffen wurde und das Lösegeld zahlt, weil man nicht möchte, dass die exfiltrierten Daten irgendwo veröffentlicht werden, dann wird nachher irgendwo in ganz dunklen Sphären unseres Webs die Information verkauft, wie die Angreifer es reingeschafft haben. Und dann kommt die nächste Gruppe und macht das.

Lisa: Lisa Hmm.

Frank Schwaak | Rubrik: Frank Schwaak | Rubrik in ein Tagen oder Monaten nochmal.

Lisa: Lisa Ja, das finde ich persönlich ja immer sehr spannend, weil da steckt ja auch ein Geschäftsmodell dahinter. Die arbeiten sehr arbeitsteilig und es macht natürlich Sinn, wenn ich die Kuh schon gemolken habe, demnächst zu sagen, wie kannst du die Kuh melken und lass mich dann dafür bezahlen, dass ich ihm gesagt habe, wie er die Kuh melken kann. Was ja, ich sag mal, jeder, der so eine latent kriminelle Energie in sich spürt, jemand vollkommen klar ist. Ich finde das immer faszinierend, weil...jetzt wo du das gesagt hast, mir dieser Gedankengang gekommen, ja klar, die exfiltrieren die Daten und die müssen die ja auch irgendwo speichern. Und ich glaube auch nicht, selbst wenn Lösegeld geflossen ist, dass die Jungs und Mädels, die das kriminell sich irgendwie einverleibt haben, die Daten auch tatsächlich löschen. Also sind wir mal ehrlich, also ich persönlich weiß ich nicht, ob ich an die an das Gute im Hacker glauben kann, dass er die Daten löscht, wenn sozusagen der Mensch als solcher schon sagt, ich vergesse, Daten vom Telefon zu löschen. Wieso sollten die dann die potenziell nutzbaren Daten, die sie geklaut haben, und vielleicht noch mal verwenden können? Löschen. Muss man von ausgehen. Ist tatsächlich so.

Frank Schwaak | Rubrik: Frank Schwaak | Rubrik muss man aber von ausgehen. Ist auch tatsächlich so, weil, so schlimm das klingt, die Hacker haben auch einen Ruf. Wenn jetzt gezahlt wurde und das ist beweisbar und dann erscheinen doch die Informationen irgendwo, dann machen die sich halt ihren Ruf selber kaputt. Genauso ist das auch mit, ja, was ist denn, wenn ich zahle, kann ich sicher sein, dass ich den Schlüssel bekomme, meine verschlüsselten Daten zu entschlüsseln? Ja, im

Lisa: Lisa Ja, das stimmt.

Lisa: Lisa Mhm.

Lisa: Lisa okay.

Lisa: Lisa Mhm. Also es gibt schon noch eine Ehre unter denen. Ja. Extrem lange. Okay.

Frank Schwaak | Rubrik: Frank Schwaak | Rubrik Ja, den bekommt man tatsächlich. Es dauert halt nur extrem lange. Also da habe ich zehnmal restauriert, bis da was entschlüsselt wurde. Und der nächste Punkt ist die Entschlüsselung, die bringt mir auch nicht 100 Prozent meiner Daten wieder. Das funktioniert super auf Objekten wie Dokumente und irgendwelche Excel Tabellen und so weiter. Das geht ganz gut. Aber bei Datenbanken, die in Betrieb verschlüsselt wurden, die sind sowas von kaputt, die muss ich wieder herstellen. Und die Angreifer erfolgreich waren, damit das

Lisa: Lisa Mhm.

Frank Schwaak | Rubrik: Frank Schwaak | Rubrik Backup-System ebenfalls zu kompromittieren, stehe ich am Ende noch mit 20, 30 Prozent meiner Daten da und dann muss ich gucken, ob ich meinen Geschäftsbetrieb aufrechterhalten kann.

Lisa: Lisa Ja, das ist tragisch. das ist ja einfach auch was, ich sag mal Unternehmen, die eine gewisse Größe haben, haben vermutlich auch entsprechende Technologien im Einsatz oder haben eben schon irgendwie Zero Trust Sicherheitsstrategien, die sie umsetzen. Also das hängt ja auch so ein bisschen damit zusammen, wie groß ist das Unternehmen, von wie viel schützenswerten Daten sprechen wir hier. Weil ansonsten ist es einfach so, dass ja auch viele Unternehmen nach einem Cyberangriff einfach von der Bildfläche verschwinden, weil ich sag mal so, möglicherweise, auch gar nicht eine groß genug, also die Masse gar nicht groß genug für einen Insolvenzverwalter und so weiter ist. Also das ist ja was, was wir vielleicht am Ende des Tages gar nicht so oder noch nicht so deutlich mitschneiden, was da eigentlich tagtäglich weltweit vor sich geht, weil wenn sozusagen in aktuellen Reports ist von Zahlen die Rede, dass irgendwie 83 Prozent der deutschen Unternehmen 2024 von Cyberangriff betroffen waren, dann muss ich mir ja mal überlegen, ob das quasi 83 Prozent, wie du gesagt hast, verschiedene Unternehmen sind oder ob bei den 83 Prozent auch Unternehmen dabei sind, die mehrfach von einem Angriff betroffen wurden, aber am Ende des Tages sind halt 83 Prozent. Das sind halt irgendwie... Das ist schon riesig.

Frank Schwaak | Rubrik: Frank Schwaak | Rubrik Ja, wobei die Zahl ist schon recht hoch. muss da auch differenzieren.

Lisa: Lisa Natürlich muss man differenzieren, ob es eine Phishing-Attacke, ein DDoS-Angriff oder eine Ransomware-Attacke gewesen ist. ich glaube, genau, und war es erfolgreich oder nicht, am Ende des Tages ist es ja auch davon abhängig, wie gesagt, wie können sozusagen die Gruppen an welche Daten rankommen und wie können sie die sich zu Nutzen machen. Jetzt ist es tatsächlich so und jetzt sind wir schon quasi am

Frank Schwaak | Rubrik: Frank Schwaak | Rubrik Und war es erfolgreich oder nicht?

Lisa: Lisa am Ende unserer und am Ende der Folge. Jetzt würde ich tatsächlich gerne noch mal wissen, wenn wir jetzt so das Gespräch Revue passieren lassen und sozusagen an die die Daten als als wertvolle Ressource denken und auch an deren Schutz und wie wir sozusagen deren Schutz vielleicht auch optimieren können und auch irgendwie die Übersicht und die Kontrolle und alles was zum Thema eben Datensicherheit dazu gehört verbessern können. Was wäre denn dein Dein Tipp für Unternehmen, das irgendwie in den Griff zu bekommen? wie können Unternehmen anders ausgedrückt die Lücke schließen, quasi zwischen präventivem Schutz und eben schneller Wiederherstellung nach einem Cyberangriff beispielsweise? Gibt es da sozusagen drei Dinge, die du jedem Hörer und jeder Hörerin mitgeben kannst?

Frank Schwaak | Rubrik: Frank Schwaak | Rubrik Ja, wie gesagt, ich wollte ja jetzt hier in dem Podcast auch keine Werbung machen. Deshalb werde ich nicht sagen, guckt euch doch mal Rubrik an. Nein, aber wichtig ist, wir haben die ganzen Regularien jetzt wie Dora oder NIS 2. NIS 2 ist zwar immer noch nicht so live sozusagen, aber zwei Sachen da drin oder eine Sache da drin ist superwichtig und das ist das definieren der Minimum Viable Company.

Lisa: Lisa Mhm.

Frank Schwaak | Rubrik: Frank Schwaak | Rubrik oder bei Dora Minimum Viable Bank. Das heißt, setze mich einmal hin und überprüfe, was sind die wichtigsten Applikationen und Services, die ich brauche, meinen Geschäftsbetrieb aufrechtzuerhalten. Den definiere ich und dann packe ich die Services da rein und dann schaue ich nach, wie kann ich das extremer schützen als alles andere drum herum, was nur nice to have ist. Wenn man das einmal definiert hat, dann ist die

Lisa: Lisa Mhm.

Lisa: Lisa Mhm.

Frank Schwaak | Rubrik: Frank Schwaak | Rubrik die Hürde darauf ein ordentliches Resilienz-Konzept zu bilden deutlich kleiner geworden. Weil wir haben jetzt gesagt, wie viel Daten werden genutzt, wie viel werden nicht genutzt. diesen, was haben wir gesagt, 23 Prozent, 27 Prozent von den Daten, was ist denn davon richtig, richtig, richtig wichtig? Und das sind vielleicht nur 5 bis 10 Prozent. So, und diese 5 bis 10 Prozent, die muss ich extrem schützen und dafür gibt es halt Tools und da muss ich halt auch das Posture-Management drauf betreiben.

Lisa: Lisa Mhm.

Lisa: Lisa 27.

Lisa: Lisa Mhm.

Frank Schwaak | Rubrik: Frank Schwaak | Rubrik Und ich muss halt Recoveries und Wiederherstellungsoperationen testen. Das ist das Wichtige. Die Vorbereitung, die Ausnutzung der Peace Time, also der Friedenszeit vor einem Angriff, ist super wichtig. Man muss vorbereitet sein. So, das heißt einmal definieren, was ist es und dann testen. Und als letztes würde ich sagen, die Awareness ebenfalls bilden. Wenn wir jetzt zurück zum Anfang des Gesprächs kommen, der Mitarbeiter

Lisa: Lisa Hmm.

Lisa: Lisa Hmm...

Lisa: Lisa Mhm.

Frank Schwaak | Rubrik: Frank Schwaak | Rubrik Eine Mitarbeiterin aus der Personalabteilung muss natürlich wissen, dass das jetzt kein smarter Move war, das daraus zu kopieren und so den Mitarbeiter anzumelden. Da muss es andere Prozeduren und Wege geben. So, und wenn man die Awareness und das ganze Cyber Security Konzept, das kann nur top down gelebt werden. Das heißt, die Chefetage muss darüber Bescheid wissen. Sie haben auch die persönliche Haftung der Geschäftsführer. ist ja auch in deren Interesse, das Ganze dann zu treiben.

Lisa: Lisa Mhm. Ja. Ja. Ja.

Frank Schwaak | Rubrik: Frank Schwaak | Rubrik Es bringt nichts, ein Administrator oder ein Mitarbeiter von unten kommt und sagt, ich habe da was Cooles gesehen, guckt euch das mal an, das wird nicht passieren. Es muss wirklich von oben nach unten gelebt werden mit Schulungen, mit Einsätzen der richtigen Technologien und mit Erstellung eines ordentlichen Resilienz-Konzepts.

Lisa: Lisa Ja, spannend. Also ich hätte noch mindestens, weiß ich nicht, gefühlte zehn Fragen hier auf meiner Liste und in meinem Kopf. Das glaube ich, Frank, das müssen wir auf unsere nächste Folge verschieben. Dann machen wir einfach irgendwann mal noch eine, weil das Thema ist tatsächlich super spannend, weil das auch so, ich will jetzt nicht sagen lebensnah ist, weil natürlich wir alle irgendwie mit Daten schon hantieren und auch im, sowohl im privaten als auch im Unternehmens- und Business-Kontext ja mit

Frank Schwaak | Rubrik: Frank Schwaak | Rubrik Doch, hätte auch noch 20 Antworten.

Frank Schwaak | Rubrik: Frank Schwaak | Rubrik Sehr gerne.

Lisa: Lisa Daten hantieren. Also ich denke nur an die verschiedensten Unternehmen, in denen ich gearbeitet habe und die Ablagesysteme auf irgendwelchen Sharepoints und vor allen Dingen die Auffindbarkeit von manchen Daten und welche Suchbegriffe man wie eingeben konnte und dann doch an irgendwelche Daten, an die man vielleicht nicht rankommen sollte, drangekommen ist und so weiter und so fort. Also ich habe auch schon einen USB-Stick von einem Geschäftsführer in die Hand gedrückt bekommen, wo sämtliche Gehaltsdaten all meiner Unternehmenskolleginnen drauf waren und ich meine, da möchte ich den Menschen sehen, der nicht den USB-Stick reinsteckt und mindestens sich mal eine von diesen Excel-Seiten anguckt. Das ist ja einfach die menschliche Neugier, ist unbegrenzt. Vielen, vielen Dank, Frank. Ich glaube, das war ein ziemlich umfassender und schon ein ziemlich guter Einblick zum Thema Datensicherheit und wie wir eben das neue Gold quasi besser schützen und auch effizienter vielleicht genutzt werden kann.

Frank Schwaak | Rubrik: Frank Schwaak | Rubrik Again.

Lisa: Lisa Und vor allen Dingen müssen einfach Unternehmen lernen, und das hast du so schön gesagt, ihre Datenflut zu bewältigen und in verschiedenen Ebenen und eben auch bestimmte Dinge sozusagen umsetzen, damit sozusagen Daten vor Malware und Manipulation geschützt sind. Ja, an der Stelle bleibt mir wie immer nur zu sagen da draußen, vielen Dank, dass ihr heute zugehört habt. Wenn euch die Folge gefallen hat, lasst gerne ein Like da oder abonniert die Folge und empfehlt sie gerne all euren Freunden, Bekannten, Verwandten. Und an der Stelle es von mir immer, wie sonst auch, ein Keep Calm and Get Protected. bis zum nächsten Mal. Lasst es euch gut gehen. Ciao.

Frank Schwaak | Rubrik: Frank Schwaak | Rubrik Ja, tschüss zusammen, danke.