#40: Smart gegen Hacker

Lisa: Lisa Hallo und herzlich willkommen zu einer neuen Folge von Follow the White Rabbit, dem Link11 IT Security Podcast. Mein Name ist Lisa Fröhlich, bin Unternehmenssprecherin bei Link11 und es freut mich natürlich, dass ihr heute wieder mit dabei seid. Es ist schön, dass ihr wieder mit mir in den digitalen Kaninchenbau absteigt. Ja, wie so oft spreche ich auch heute über das Thema Cyber-Sicherheit im Großen und Ganzen. Doch dieses Mal schauen wir uns an, wie es sich mit der Cyber-Sicherheit im Mittelstand fällt und wie es da aussieht. ja, auch wenn das Thema in der Vergangenheit immer wichtiger und bedeutender geworden ist, sieht der Status in den unterschiedlichen Wirtschaftszweigen und Branchen zum Teil ja noch sehr unterschiedlich aus. Es geht längst nicht mehr nur dieses Thema Virenschutz oder Firewalls oder Awareness, sondern es geht vor allen Dingen auch Verantwortung und strategische Führung und die Frage, wie machen wir unsere Unternehmen widerstandsfähig gegen digitale Angriffe auch ohne Millionenbudgets? Dazu freue ich mich wahnsinnig, dass ich heute eine echte Expertin hier an Bord habe, die tief im Thema drinsteckt und es auch eben versteht, Cyber-Sicherheit aus verschiedenen Perspektiven zu beleuchten. Sonna Berry ist bei der Secida AG verantwortlich für Business Development und Strategie und mit ihr will ich quasi darüber sprechen, welche Verantwortung Chefs und Entscheider tragen, warum Silbersicherheit kein reines IT-Thema ist und natürlich wie Unternehmen auch mit wenig Aufwand schon einiges bewirken können. Doch bevor ich jetzt mit ihr in diese Fragen abtauche und euch mit in den digitalen Kaninchenbau nehme, Sonna, schönen Dank, vielen Dank, dass du da bist. Es freut mich, dass du dir die Zeit nimmst, heute mein Gast zu sein. Und bevor wir loslegen, stell dich doch kurz unseren Hörerinnen und Hörern vor, was genau du so machst.

Sonna Barry: Sonna Barry See you again!

Sonna Barry: Sonna Barry Das mache ich gerne. Ja, du hast es schon gesagt, mein Name ist Sonna Bari. Ich arbeite bei der Secida, bin da verantwortlich als VP für Business Development und Strategie. Das mache ich jetzt schon seit vier Jahren, bin aber wirklich seit Anfang der 2000er in der IT-Branche unterwegs, habe mich da immer gerne damit beschäftigt, entscheidend komplexe Software-Lösungen zu erklären. Natürlich damals mit dem Hintergedanken, dass sie die dann vielleicht auch kaufen und habe dabei festgestellt, bin ganz gut da drin, Human Interface zwischen IT und Entscheidern zu sein. Ergo, ich verstehe sehr gut, was eine IT mir kommuniziert, bzw. was eher technisch orientierte Kollegen mir erklären, und kann das dann aber so übersetzen, dass Entscheider am Ende verstehen, warum sie zu diesem Thema jetzt sinnhaft eine Entscheidung treffen sollten. Genau in dieser Position bin ich auch bei der Secida unterwegs. Wir sind...

Lisa: Lisa Mhm.

Sonna Barry: Sonna Barry Wir bezeichnen uns als One-Stop-Shop für den Mittelstand, das heißt, wir machen da sozusagen alles, mittelständische Unternehmen zu unterstützen rund Projekte zur IT-Infrastruktur und Cyber-Sicherheit. Und in dem Kontext haben wir da inzwischen auch schon signifikante Erfahrungen, schon viele Projekte gemacht und Teile der Ergebnisse und Erkenntnisse teile ich natürlich dann heute gerne hier.

Lisa: Lisa Hmm.

Lisa: Lisa Ja, prima, da bin ich sehr gespannt. Weil tatsächlich ist es ja so, es ist ja auch mal immer so die Frage, wo grenzt sich Mittelstand eigentlich wie ab? Das würde ich gern vorab nochmal mit dir klären, in welchem sozusagen Unternehmensgrößenrahmen wir uns gerade bewegen, weil das ist ja auch immer so die Frage, ist es jetzt Mittelstand? Es ist kein Mittelstand und das wäre einfach nochmal wichtig, auch für unsere Folge, dass wir das einfach mal so vorab klären. Wieder eure Größen.

Sonna Barry: Sonna Barry Mh.

Sonna Barry: Sonna Barry Mmh.

Lisa: Lisa Bezifferung aussieht.

Sonna Barry: Sonna Barry Also Größenbezifferung ist es bei uns gar nicht so stark. Was wir so bisschen als Mittelstand verstehen, sind Unternehmen, die eben noch sehr stark hierarchisch sind, häufig eben noch von so einer Person an der Spitze geführt werden, weil eben historisch gewachsen. Das ist eben ganz oft eben so ein Familienoberhaupt, das da jetzt irgendwie das Familienunternehmen leitet.

Lisa: Lisa Mhm.

Sonna Barry: Sonna Barry Wir kennen das hier, gerade hier in Deutschland ist Mittelstand ein ganz breit gefächertes Feld. Ich muss natürlich ehrlich sein, wir sind Experten in dem Bereich, in dem wir uns positionieren, können das durchaus auch nachweisen, sind deswegen auch nicht ganz preiswert. Deswegen ist es eigentlich eher so, die meisten unserer Kunden haben ab 1000 Mitarbeitende aufwärts. Es können aber durchaus auch mal fünfstellige Mitarbeitendenzahlen sein. Genauso ist es halt so, manche von den Unternehmen sind nur im Dachraum, also im deutschsprachigen Raum aktiv, aber viele eben auch global. Es ist aber tatsächlich meistens nicht unbedingt der ganz kleine Betrieb im Industriegebiet, der nur eine Niederlassung hat. Das würden wir zwar gerne machen, dafür, kennst es mit dem Fachkräftemangel, den wir haben, den Kosten, die wir natürlich auch selber haben, unsere Fachkräfte zu halten, sind wir da dann meistens ein bisschen überdimensioniert. Da engagieren wir uns aber sozusagen im Vereinsbereich.

Lisa: Lisa Mmh.

Lisa: Lisa Mmh.

Sonna Barry: Sonna Barry gerade in NRW, wo unsere Hauptniederlassung ist, da eben über die Vereine wieder auch kleineren Unternehmen immer noch Tipps und Hilfestellungen an die Hand geben zu können.

Lisa: Lisa Mhm.

Lisa: Lisa Ja prima, dann haben wir zumindest mal so eine Größenordnung. Das geht uns ja nicht anders bei Link11. Also bei uns sind es glaube ich deutlich weniger. Ich glaube es sind 250 Mitarbeitende und alles, was darüber hinausgeht. Aber es braucht natürlich auch eine gewisse Größe, entsprechend zu skalieren. Ja, jetzt habe ich ja schon sozusagen ein bisschen in die erste Frage reingesneakt, in dem ich gesagt habe, wir wollen darüber reden, welche Verantwortung Chefs und Entscheider tragen und vor allen Dingen natürlich, wenn sich das, wie du so schön gesagt hast, Unternehmen auf eine einzige Person konzentriert. Wie sollten die das Thema Silbersicherheit überhaupt angehen? Weil ich glaube, besonders im Mittelstand ist es ja schon auch nochmal das Thema, wo beginnt eigentlich die Verantwortung, gerade für den Geschäftsführer und kann der das überhaupt leisten als, ich sag mal,

Sonna Barry: Sonna Barry Vielen

Lisa: Lisa in Einführungsstrichen One-Man-Show oder One-Women-Show, je nachdem, ob das ein sehr gründerzentriertes Unternehmen ist oder eben ein Familienunternehmen, was eben noch ein Familienoberhaupt an der Spitze hat. Vielleicht kannst uns da mal mitnehmen, wie sich das gestaltet oder wie sich das idealerweise gestalten sollte.

Sonna Barry: Sonna Barry Naja, sag mal so auch sozusagen Patriarchen oder alleinige Hauptentscheider haben natürlich ein Team. Und was wir immer wieder feststellen, ist, dass natürlich eine zentrale Aufgabe von Geschäftsführung, egal wie sie dann strukturiert ist, das Risikomanagement ist. Nur die Geschäftsführung kann am Ende entscheiden, wie groß ist unser Risikoappetit, welche Risiken sind wir zu eingehen bereit, mit welchem Ziel dahinter.

Lisa: Lisa Hmm.

Sonna Barry: Sonna Barry und auch eben wie viel Geld wollen wir in Risikometätierung in irgendeiner Form investieren und eben abziehen aus Expansions- etc. Investments. Und was wir jetzt halt inzwischen sehen, Cyber-Angriffe, das ist Alltagskriminalität heutzutage. glaube die Wahrscheinlichkeit ist inzwischen fast geringer, dass einem am Bahnhof das Portemonnaie gestohlen wird, als dass das Unternehmen einen Hack erleidet. Die Frage ist ja immer auch, ist der erfolgreich oder nicht?

Lisa: Lisa Mhm.

Lisa: Lisa Hm.

Sonna Barry: Sonna Barry und wird ja überhaupt erkannt oder nicht. unter Experten gibt es ja das wunderschöne Sprichwort. Es gibt nur zwei Arten von Unternehmen, die wissen, dass sie gehackt worden sind und die, es nicht wissen. Von daher ist aus unserer Sicht inzwischen einfach klar, Cyber-Sicherheit muss ins Risikomanagement mit eingebunden werden. Und in dem Moment, wo wir uns da befinden, ist es einfach eine zentrale Aufgabe der Geschäftsführung.

Lisa: Lisa Ja, rechtzeitig auch.

Lisa: Lisa Mhm. Ja.

Sonna Barry: Sonna Barry zu tun. Wir stellen da für uns aber tatsächlich fest, dass die Angst, die damit dann einhergeht, so oh mein Gott, Computer, ich bin doch froh, dass meine Sekretärin mir noch meine E-Mails ausdruckt und jetzt soll ich mich so was beschäftigen, die ist aus unserer Sicht ein bisschen überdimensioniert. Denn es gibt auch genug Geschäftsführende, die keine Experten für Brandschutz sind.

Lisa: Lisa Mhm. Mhm.

Lisa: Lisa Mhm.

Sonna Barry: Sonna Barry Trotzdem sind sie in der Lage, ihr Unternehmen effektiv gegen Feuerschäden abzusichern und dafür zu sorgen, dass die möglichst nicht vorkommen. Genauso ist es mit Lagersicherung. Nicht jeder Geschäftsführer hat schon mal aktiv in einem Sicherheitsunternehmen gearbeitet. Trotzdem wird er in der Lage sein, die Entscheidungen zu verantworten, die das Lager bei Ihnen absichern, indem er halt mit ...

Lisa: Lisa Mhm.

Lisa: Lisa Ja, exakt.

Lisa: Lisa Mmh.

Sonna Barry: Sonna Barry sich auseinandersetzt und dann sich für ein Sicherheitskonzept entscheidet, was irgendwie seinem Risiko, Appetit und den finanziellen Möglichkeiten des Unternehmens entspricht. Und genauso ist es aus unserer Sicht eben auch mit der Cyber-Sicherheit. Die Chefs müssen ja einfach nur einen Weg für sich finden, der Lage zu sein, die Risiken, die ihr Unternehmen in diesem Kontext hat, einschätzen zu können und daraufhin dann eben entscheiden zu können, wenn das das Risiko ist.

Lisa: Lisa Ja.

Sonna Barry: Sonna Barry Wenn das die Möglichkeiten sind, Risiko zu mitigieren mit diesen und diesen diesen Kostenpunkten dazu, dann nutze ich diese und diese diese Varianten dafür, das jetzt bei uns im Unternehmen umzusetzen. Und da verantworte ich dann eben auch die Projekte dazu und lasse mir berichten, wo stehen wir, was ist schon erledigt, was muss noch erledigt

Lisa: Lisa Ja, glaube, ist tatsächlich so dieses Thema. Cyber-Sicherheit gehört ins Risikomanagement. Das ist ja quasi auch mit den ganzen Regularien, die jetzt so sukzessive über uns drüber rollen und die nach und nach jetzt demnächst oder vielleicht bald, wann auch immer, mit dem NIST II Umsetzungsgesetz in Deutschland ja auch nochmal eine ganz andere Stellung bekommen und auch einen ganz anderen Stellenwert haben, weil gerade in der NIST II ja das Risikomanagement eines der

Sonna Barry: Sonna Barry Mhm.

Sonna Barry: Sonna Barry ganz genau.

Sonna Barry: Sonna Barry Bis

Lisa: Lisa Kernthemen ist und ich glaube, das ist eben auch, wie du sagst, extrem wichtig, dass da nicht so diese Hürde gesehen wird, mein Gott, mich erschlagen diese Risiken, sondern dass man sich sukzessive mal anschaut, okay, wie bewerte ich diese Risiken am Ende des Tages und wie kann ich quasi eine adäquate, für uns als Unternehmen adäquate Lösung finden mit diesen Risiken. entsprechend umzugehen und die eben auch einzupreisen, zu bewerten und entsprechende Maßnahmen sozusagen zu implementieren. Und ich glaube, das ist im Mittelstand nicht anders als jetzt in großen Unternehmen, abgesehen davon, dass vielleicht sich die Ressourcenstärke derjenigen unterscheidet oder die sich mit Risiken und Risikomanagement etc. pp. beschäftigen.

Sonna Barry: Sonna Barry Danke.

Lisa: Lisa Jetzt ist es natürlich auch so, und das ist ja auch was, was den Mittelstand wahrscheinlich häufiger betrifft als vielleicht den ein oder anderen Konzernen. Viele Unternehmen delegieren ja Cyber-Sicherheit gerne direkt auch an die IT-Abteilung. Das ist doch eigentlich eure Baustelle, dann kümmert euch doch bitte auch mal da drum. Aber zum einen ist es wirklich genug.

Sonna Barry: Sonna Barry Ja.

Lisa: Lisa Ich kann mir nicht vorstellen, dass es sozusagen reicht, einfach die IT loszuschicken und zu sagen, mach das mal. Und gerade im Mittelstand, hast sozusagen in deinem Intro ja auch so schön gesagt, das ist dann historisch gewachsen, das gilt ja für die IT-Infrastrukturen in der Regel dann auch. Also das heißt, wenn sozusagen die IT, die IT-Infrastrukturen, ganzen Prozesse, vielleicht Automatisierung, dann wird vielleicht noch ein Unternehmen dazu gekauft, dann hat man vielleicht noch einen anderen Standort. das ist ja wirklich etwas, historisch gewachsen ist ja keine Geschichte, die wir uns ausdenken, sondern das ist vermutlich für die meisten Unternehmen da draußen echte Realität. Warum reicht es nicht einfach, die IT-Los zu schicken? Und wie meinst du, gelingt es eben auch im Mittelstand überhaupt so kritische Systeme sichtbar zu machen oder eben die Systeme sichtbar zu machen, entsprechende Risiken auch adäquat zu bewerten.

Sonna Barry: Sonna Barry Ich sag mal so, der Prozess hat aus meiner Sicht eben zwei Ebenen, technisch-operative Ebene und eine strategisch-prozessorientierte Ebene. Und natürlich ist die IT sehr wichtig auf dieser Umsetzungsebene, auf der technisch-operativen Ebene. In der IT hast du die Experten, die halt wissen, was für Systeme laufen, wo laufen die, die gegebenenfalls entweder selber inhouse die Expertise haben oder auch klar sagen können, wo die Expertise fehlt, die sie dann eben von außen einkaufen müssen, eben bestimmte Absicherungen vorzulegen.

Lisa: Lisa Mhm.

Lisa: Lisa Na klar.

Lisa: Lisa Mmh, mhm.

Sonna Barry: Sonna Barry Natürlich ist die da sehr wichtig, aber der Prozessschritt, der eben gerne, weil die Geschäftsführung sich noch nicht so tief damit auseinandersetzt, übersehen wird, die IT ist nicht in der Lage zu definieren, welche Systeme wirklich betriebskritisch sind. Weil das ist nicht ihr Job. Die sind dafür da, den Laden am Laufen zu halten, mit meistens einem relativ geringen Budget und zu wenigen Leuten. Also die sind sehr beschäftigt damit.

Lisa: Lisa Mhm.

Lisa: Lisa Häufig.

Sonna Barry: Sonna Barry gucken, dass alles läuft. Häufig und sind natürlich auch sowieso meistens Unternehmen sowohl gelitten, weil das immer die Nervsäcke sind, die irgendwelche Updates machen wollen, die irgendwelche neuen Sachen machen, die irgendwie alle Abteilungen immer gefühlt beim Arbeiten stören.

Lisa: Lisa Da stört ja schon das Windows-Update, das quasi bei einem Managed Device irgendwann kommt und man sich denkt, nein, ich möchte jetzt nicht den Rechner runterfahren, ich möchte jetzt nicht eine fünfminütige Pause einlegen und warum blinkt denn da schon wieder irgendwas rechts unten an meinem Bildschirm?

Sonna Barry: Sonna Barry Ihr noch.

Sonna Barry: Sonna Barry Das ist genau das Ding.

Sonna Barry: Sonna Barry Das ist genau schon eins der Themen. eben auch mit der Zeitknappheit und diesem Spannungsfeld, da geht dann eben auch einher, wenn dann irgendein IT-Projektleiter jetzt irgendwie die Runde in der Abteilung machen würde und sagen würde, ja, ich würde gern mal wissen, welche Systeme sind bei euch so kritisch? Könnt ihr mir da mal eine Liste? Das wäre jetzt gut. Dann stößt das halt meistens auch nicht auf die richtige Resonanz. Sei es, dann eben die Abteilung gar nicht versteht, was meint ihr denn jetzt? Was sollen wir da denn jetzt machen? Wie genau? Was denn jetzt kritisch?

Lisa: Lisa Mhm.

Sonna Barry: Sonna Barry Oder dass eben auch gesagt wird, so für so einen Unfug haben wir keine Zeit. Deswegen kommt es eben da auch wieder zu dem Punkt zurück, dass sowas normalerweise nur top down funktioniert. Also dass die Geschäftsführung diesen Dialog initiieren muss, sowohl mit den Abteilungen als auch mit der IT, dann eben gemeinsam definieren zu können, ohne welche Systeme und zugehörigen Prozesse kann unser Betrieb nicht überleben, beziehungsweise

Lisa: Lisa Mmh.

Lisa: Lisa Mhm.

Sonna Barry: Sonna Barry Wie lange kann unser Betrieb potenziell weiterlaufen ohne eines dieser Systeme? Das wäre dann was, man kennt das vielleicht, das ist das klassische BCM, also Business Continuity Management. Das wird in anderen Bereichen schon genauso gemacht. Also wenn es jetzt eben genau Brand geht oder Katastrophen oder so, hat man sich eben auch schon mal genau angeschaut, welche Teile des Betriebs, der Produktion sind essenziell.

Lisa: Lisa Mhm. Ja, ja.

Lisa: Lisa Ja.

Sonna Barry: Sonna Barry Wie lange können wir ohne die, wann sind wir an dem Punkt, dass wir Beispiel Verträgen als Zulieferer nicht mehr gerecht werden können oder, oder, oder. Und genauso muss man das jetzt eben auch für die IT machen. Welche Systeme sind dafür bestimmte Abteilungen zentral? Wie lange können wir potenziell ohne diese Systeme als Betrieb weiterlaufen, ohne dass es hier zu betriebskritischen Situationen kommen kann? Wie schnell muss sowas wieder erstellt werden? Das sind dann eben Prozesse, die da jetzt eben auch gemacht werden müssen.

Lisa: Lisa Hmm.

Sonna Barry: Sonna Barry Da muss man aber auch nicht das Rad neu erfinden. Es gibt da schon sehr gute Frameworks, an denen man sich entlanghangeln kann. Also jetzt so als einfach Beispiel in Raum geworfen, die ISO 27001 wäre eines davon. Man muss sich nicht zwingend ISO zertifizieren, um einfach dieses Framework zu nutzen, um einfach mal zu gucken, okay, was ist denn Informationssicherheitsmanagement? Was für Sachen muss ich denn da beachten? Wo wird man eigentlich sehr gut an die Hand genommen? Und solche Sachen ...

Lisa: Lisa Mhm.

Lisa: Lisa Ja, ja.

Sonna Barry: Sonna Barry sind dann eben genau das, was die IT allein nicht leisten kann, schaffen da aber ganz zentrale Grundlagen, die die IT dann eben als Informationen benötigen. Weil wenn es dann darum geht, wir haben nicht so viel Budget, wir haben irgendwie nicht so viel Kapazitäten, dann sollte man sich ja erst mal darauf fokussieren, die wirklich systemrelevanten Teile der IT dann eben auch explizit besser zu schützen.

Lisa: Lisa Mhm.

Lisa: Lisa Ja, ja, ja.

Sonna Barry: Sonna Barry die sogenannten Kronjuwelen. Wenn man dann erst einmal identifiziert hat, was die sind, dann kann man eben auch anfangen, der IT-Perspektive technisch operativ zu überlegen, wie können wir das denn jetzt so effektiv absichern, dass die Wahrscheinlichkeit, dass diese Systeme überhaupt ausfallen, möglichst gering ist.

Lisa: Lisa Mhm.

Lisa: Lisa Ja, da habe ich gleich noch zwei Sachen in meinem Kopf, die mir sofort da reingesprungen sind. Zum einen wird ja IT und IT-Sicherheit und auch IT-Infrastruktur, die ist ja schon immer komplex gewesen und wird ja zunehmend komplexer. Was natürlich auch die Hürde vermutlich einfach größer macht zu sagen, hey, wir setzen uns jetzt mal hin und gucken uns das genau an.

Sonna Barry: Sonna Barry Mhm. Mhm. Auf jeden Fall.

Sonna Barry: Sonna Barry Mh.

Lisa: Lisa Eine historisch gewachsene IT-Infrastruktur, braucht es auch einen Moment, da braucht es ein paar Ressourcen, da braucht es auch mal jemand, der klar sagt, jetzt ist der Zeitpunkt, an dem hier, weiß ich nicht, fünf Tage lang nichts anderes gemacht wird, als zu gucken, wo sind denn eigentlich unsere kritischen Assets? Was ist denn das, wenn der eine Server ausfällt oder ... Ist das jetzt nur ein Mail-Server? Ist das irgendwie was, womit ich meine Maschinen remote weltweit kontrollieren kann, etc., pp.? Also da gibt es ja ganz viele unterschiedliche Dinge, je nachdem, in welchen Bereichen die Unternehmen ja auch tätig sind. Das unterscheidet sich ja auch. Bin ich im produzierenden Gewerbe? Hab ich Zulieferer? Also da hängen ja auch im Mittelstand noch ganz viele Komponenten dran an solchen IT-Infrastrukturen, die vielleicht auf den ersten Blick gar nicht so kritisch aussehen.

Sonna Barry: Sonna Barry Mh.

Lisa: Lisa Wenn es dann darum aber geht, Beispiel Lieferengpässe oder Lieferantenmanagementsysteme, das kann ja den ein oder anderen Betrieb schon empfindlich treffen, wenn da irgendwas ausfällt und oft ist es ja auch so, dass Cyberangriffe über die Lieferkette kommen und gar nicht sozusagen per se im Unternehmen selbst stattfinden, auch wenn das natürlich immer nur das höhere Ziel ist und der große Wunsch von den meisten Entscheidern. Gleichwohl gibt es natürlich da auch echte Herausforderungen, wo ich mir überlege, ja, das muss den Unternehmen ja schon auch bewusst sein, das ist erstmal ein Invest an Ressourcen, Zeit und auch Budget, sich dieser ganzen Fragen bewusst zu werden.

Sonna Barry: Sonna Barry Mhm.

Lisa: Lisa Wenn ich dich mal fragen würde, weil das mich persönlich tatsächlich interessiert, und vielleicht kannst du da mal so bisschen aus deiner Erfahrung plaudern. Was waren denn sozusagen die Punkte, es bei euch auch in Projekten häufig Stolpersteine gab oder gab es, also was war denn da meistens der kritische Punkt? War das das fehlende Verständnis? War das irgendwie die fehlenden Ressourcen? War es irgendwie das sozusagen ...

Sonna Barry: Sonna Barry Das ist korrekt.

Lisa: Lisa die fehlende Zeit, dass man eben nicht eine Produktion mal irgendwie nicht beobachten kann oder wie auch immer. Also gibt es da irgendwie so drei Punkte oder drei Dinge, wo du sagst, das ist mir in vielen Projekten in meiner, schon über 20-jährigen Karriere in der IT oder in der IT-Sicherheit begegnet? Und gibt es da irgendwas, wo du sagst, Mensch, das hat sich aber auch in den 20 Jahren tatsächlich deutlich verändert?

Sonna Barry: Sonna Barry Also ich glaube ein zentraler Knackpunkt ist schon immer, wird höchstwahrscheinlich auch schon immer sein, diese Kombination von Kritikalitätsverständnis auf der Entscheider-Ebene in Kombination mit eben verfügbarer Kapazität, sei das finanzieller oder personeller Natur. Es ist einfach in jedem Unternehmen so, da kann man bis rauf gehen in die Konzerne.

Lisa: Lisa Mhm.

Sonna Barry: Sonna Barry Am Ende ist nie genug Geldkapazität Personal da, alles zu machen, was man gerne machen möchte. Hier ist so. Was heißt, ein klarer Job von Entscheidern ist eben, da dann die Leitplanken aufzustellen und zu sagen, hier, das ist unsere Strategie, da geht das Geld hin, das sind die Ziele, die wir damit verfolgen, so sichern wir das potenziell ab. Es ist ja immer ein bisschen...eine Wette auf die Zukunft. Jede Unternehmensstrategie ist in irgendeiner Form eine Wette auf die Zukunft, von der wir glauben, dass sie passieren wird. Je volatiler natürlich jetzt diese Welt wird, desto komplexer wird diese Wette.

Lisa: Lisa Mhm.

Lisa: Lisa Ja. Und desto mehr muss man sich strategisch verantwortlich positionieren und sich genau überlegen, worin liegt denn meine strategische Verantwortung und was sind denn die Dinge, die ich hier wirklich an den Tag legen muss und umsetzen muss.

Sonna Barry: Sonna Barry Genau.

Sonna Barry: Sonna Barry Genau. Und es wird halt immer schwerer für Entscheider, diese Komplexität einfach auch sinnvoll zu durchdringen. Und der Druck wird auf der anderen Seite ja immer höher. Es gibt auf einmal noch stärkere Haftungsrisiken. Es gibt wirklich viel mehr natürlich auch Sichtbarkeit.

Lisa: Lisa Hmm...

Lisa: Lisa Ja, exakt.

Sonna Barry: Sonna Barry Man steht viel schneller an irgendeinem Pranger, wenn man irgendwelche Entscheidungen eben nicht passend trifft. Und dann gibt es halt diverse Themen, für die man das tun muss. Also ich kann sozusagen dieses Gefühl der Überforderung eben absolut verstehen. Und wenn man in dieser Situation eben ist, dann ist es eben gerade bei einem relativ neuen Thema, was dann eben mit auf diesen Tisch kommt, relativ schwer eben zu akzeptieren und auch vielleicht nur abzuschätzen.

Lisa: Lisa Ja, ja, ja.

Sonna Barry: Sonna Barry Wie wichtig ist denn das jetzt? Muss ich das wirklich machen? Kann ich das wirklich nicht wegdelegieren?

Lisa: Lisa Ja, wir haben jetzt auch keinen Angriff gesehen, vielleicht ist es noch nicht so schlimm, vielleicht können wir das noch ein bisschen rausschieben, vielleicht warten wir nochmal ein halbes Jahr, was auch immer.

Sonna Barry: Sonna Barry Genau, das ist genau das Ding. Und es ist natürlich bei uns das Klassische. Wir machen ja nicht nur sozusagen präventive Maßnahmen. Wir machen durchaus auch Incident Response Management, soll heißen, wir gehen auch in Unternehmen rein in bestimmten Aspekten nach einem erfolgreichen Angriff, die Unternehmen eben wieder auf die Beine zu bekommen. Und es ist ein Klassiker vor einem Incident ist nie Budget da.

Lisa: Lisa Mhm.

Lisa: Lisa Mhm.

Sonna Barry: Sonna Barry Nach einem Incident gibt es Budget, das kann man sich überhaupt nicht vorstellen. Ist dann aber leider eben auch nötig. Man könnte sich aber vieles von diesen Geldern sparen, wenn man präventiv arbeiten würde. Aber das ist halt, ich glaube, einfach so bisschen das Spannungsfeld, das sehe ich seit ich arbeite. Ob das jetzt eher im Vertrieb war und damals ging es halt noch Software-as-a-Service-Lösungen, die halt besser skaliert haben, als wenn man das intern entwickelt.

Lisa: Lisa Mhm. Ja. Ja. Ja, ja.

Sonna Barry: Sonna Barry wo man sich dann vielleicht auf Nummer sicher internen Entwicklungen entschieden hat, später festzustellen, das war jetzt halt nicht die smarte Wette, ich hätte vielleicht doch mich gleich für eine Software-SSL-Lösung entscheiden sollen, kann man sich heute gar nicht mehr vorstellen, war aber halt in den frühen 2000ern ein Riesenthema. Und ich glaube, so ist es hier genauso, wenn man, egal ob man sich jetzt Cybersicherheitsthemen anschaut, KI-Themen anschaut, es gibt da einfach die unterschiedlichsten Aspekte, die für jedes individuelle Unternehmen bedacht werden müssen.

Lisa: Lisa Ja, ja.

Lisa: Lisa Mhm.

Sonna Barry: Sonna Barry Und es ist halt relativ schwierig, das auch tatsächlich in einer guten Art Weise zu tun. Wir empfehlen deswegen eben, tatsächlich dann ehrlich Expertise ins Haus zu holen, da wo man sie braucht. Wir stellen halt für uns fest, dass es ganz oft sowohl auf der prozessualen Entscheidungsebene als eben auch auf der operativen Ebene, wie wir halt beides machen und stellen immer wieder fest, dass das tatsächlich dann auch relativ effektiv ist.

Lisa: Lisa Mmh.

Lisa: Lisa Mhm. Ja, ja.

Sonna Barry: Sonna Barry weil es der IT sehr schwerfällt, ihre Bedürfnisse sinnhaft an die Entscheider zu kommunizieren, sodass bei denen nicht nur rauskommt, die wollen noch mehr Geld, ich weiß nicht so richtig wofür. Und umgekehrt, die strategischen Entscheidungen an die IT nicht in der Art kommuniziert werden, dass die IT so richtig versteht, deswegen ist es jetzt wichtig, dass wir da mitziehen und nicht weiter einfach unser eigenes Süppchen machen. Wenn es um gewachsene Strukturen geht, ist es eben auch so ein Thema,

Lisa: Lisa Ja, ja, ja.

Lisa: Lisa Ja. Das... Ja.

Sonna Barry: Sonna Barry Die muss man harmonisieren. Ich glaube, da kommt man auch nicht drum rum. Gerade heute, wo man halt Teile in der Cloud hat, Teile noch vor Ort auf den eigenen Servern, wie wir das on-premise haben. Das muss harmonisiert werden, überhaupt eine Sicherheitssituation konstruieren zu können, die dann auch stabil ist. Und es muss vor allen Dingen auch harmonisiert werden, digitale Transformationen funktionieren. Das wird halt häufig vergessen, weil man kann auch keinen total tollen neuen Kundenportal-Piloten machen oder so, wenn im Backend nicht alles irgendwie sinnhaft ineinandergreift.

Lisa: Lisa Ja, richtig. Wenn dann die richtige API nicht funktioniert oder die richtige, eben die richtige Schnittstelle nicht funktioniert oder einfach auch entsprechend nicht geschützt wird. Ja, du hast es ja angesprochen mit Software as a Service. Also ich denke auch, dass es gerade auch in mittelständischen Unternehmen oder in, sage ich jetzt mal, abseits der Konzernwelt und ihr arbeitet ja auch mit Unternehmen, die sozusagen mehr als 1.000 Mitarbeitende haben.

Sonna Barry: Sonna Barry Vielen

Lisa: Lisa dass es da schon sinnvoll sein kann, sich einfach auch auf entsprechende Partner für bestimmte Themen zu verlassen, weil, wie du schon sagtest, es ist ein hehres Ziel, das In-House selbst irgendwie auf die Beine zu stellen und vielleicht das ein oder andere zu programmieren oder sich zu überlegen, gleichwohl bedeutet das ja aber auch immer, es muss jemand da sein, der das administriert, es muss jemand da sein, der es betreut, es muss jemand da sein, der das patcht, es muss jemand da sein, der das ab- Also da hängen ja immer auch an so On-Premise-Lösungen am Ende des Tages, hängen ja auch immer noch andere Jobs dran, die vielleicht auch gar nicht so in der Kalkulation mitberücksichtigt werden, weil man so sagt, ja, dann habe ich das Gerät XY bei mir sozusagen im Netzwerk stehen oder in meiner IT-Infrastruktur, da passt es schon zum Thema Firewalls und Co.

Sonna Barry: Sonna Barry Mhm.

Lisa: Lisa Und manchmal ist es aber auch einfach besser zu sagen, hey, ich gucke da, was gibt es da draußen, was passt für mich als Unternehmen, was brauchen wir. Und das ist ja auch das, worin ich eine strategische Verantwortung im Management sehe, dass die eben auch entsprechende Hinweise aus der IT wahrnehmen, sich das anschauen und dann eben auch vielleicht gemeinsam und du sagst es, ihr seid Partner in dem Fall oder ihr unterstützt auf dieser strategisch-prozessualen Ebene, sowohl als auch auf dieser technisch-organisatorischen Ebene, wo es dann am Ende des Tages ja auch umgesetzt wird, dass da eben gemeinsam Lösungen gefunden werden, die für alle Beteiligten passen. Da kann man, ich sag mal so, der Markt ist ja da ziemlich groß und ich finde das super spannend, weil jetzt denken sicher viele, boah, das klingt alles

Sonna Barry: Sonna Barry Mhm.

Lisa: Lisa mega wichtig und ich habe verstanden, warum ich das brauche, aber das ist doch unfassbar teuer und aufwendig. Und einer unserer Punkte war ja auch so ein bisschen da nochmal so reinzuschauen, wie kann man denn auch mit kleinem Budget und mit überschaubarem Aufwand sozusagen erste Erfolge in Sachen Silbersicherheit erzielen, weil, wie wir ja in unserem Gespräch hier auch mehrfach schon betont haben, es wird nicht besser in dieser Hinsicht. Also

Sonna Barry: Sonna Barry nicht zwingend.

Lisa: Lisa Wie gesagt, du hast die KI-Agenten angesprochen. Solange das Backup da noch Kraut und Rüben ist, wird das für Unternehmen nicht funktionieren. Unglücklicherweise sind aber die ganzen Hacker-Organisationen da draußen, die haben ein ziemlich aufgeräumtes Backup und deren KI-Agenten funktionieren super. Ja, also die sind ja auch aufgestellt wie die mittelständischen Betriebe. Und manchmal gewinne ich so den Eindruck, auch in Gesprächen mit anderen Leuten ja eigentlich unglücklicherweise sind die ja viel besser aufgestellt als gegebenenfalls der Mittelstand in Deutschland oder im DACH-Raum oder...

Sonna Barry: Sonna Barry Ja klar!

Lisa: Lisa weltweit, so, weil ich mir immer die Frage stelle, ja, die gehen natürlich mit einer anderen, mit einer anderen Haltung da dran, aber auch da gibt es entsprechende Entwicklungen und ich, ja, in meiner Vorstellung ist es so, das ist ja schon auch immer irgendwie ein Wettbewerb, wer ist da schneller am Ende des Tages und wenn sich Unternehmen nicht dessen bewusst sind, dass sie quasi immer Target sind, Tag, Nacht, morgen, gestern, heute, dann verlieren die einfach auch so ein bisschen dieses, warum soll ich denn präventiv was machen? Du hast es gesagt, ein Vorfall hinterher aufzuräumen und das Ding wieder, oder das Unternehmen in all seinen Prozessen, auf allen Strukturebenen oder auf allen organisatorischen Ebenen wieder so ins Laufen zu bringen, dass alles funktioniert, wie es soll, ist am Ende des Tages vermutlich deutlich teurer und man liest ja nicht umsonst permanent in den Medien, ja, Unternehmen XY aufgrund eines Cyber-Vorfalls insolvent. Und von den Unternehmen, deren Insolvenzmasse nicht groß genug war, hören wir ja gar nichts. So, na, das ... Deswegen würde ich gern jetzt so zu sagen, zum Abschluss unserer Folge noch mal darauf eingehen, ja, wie kann man das eben auch mit sozusagen ...

Sonna Barry: Sonna Barry Das ist richtig.

Lisa: Lisa mal im Portemonnaie Anführungsstrichen zumindest mal so auf die Beine stellen, dass man mal einen Startpunkt hat, von dem man aus sich gut und sicher weiterbewegen kann.

Sonna Barry: Sonna Barry Also was wir im Endeffekt grundsätzlich immer sagen, es erst mal sozusagen zwei Aspekte. Als erstes sollte man sich wirklich mal als Geschäftsführung mit der IT hinsetzen und einfach mal sicher gehen, machen wir denn unsere Hausaufgaben? Was will ich damit sagen? Es gibt einfach Basisprozesse, die die Cybersicherheit eines Unternehmens schon mal signifikant verbessern. Das ist regelmäßiges Update und Patchmanagement, sodass man einfach weiß,

Lisa: Lisa Mhm.

Sonna Barry: Sonna Barry Wir machen das regelmäßig, wir machen das in bestimmten Zyklen, die sind auch relativ zeitnah, wir mappen das auch, wir wissen auf welcher Maschine dann welche Software mit welchem Update läuft etc. Als Grundlage dafür braucht man natürlich ein funktionierendes Asset Management. Was ist Asset Management? Das ist im Endeffekt einfach irgendeine Form von Liste, in der halt drinsteht.

Lisa: Lisa Mhm.

Sonna Barry: Sonna Barry Was haben wir da denn alles an? Servern, an Software, SS-Service-Lösungen, an Computern, an anderen Handheld-Devices, an Produktionssystemen, etc. Und was für Software ist auf denen drauf? Wofür ist die da drauf? Was macht die da? Etc. Genau. In welcher Update-Version ist die da drauf? Und so weiter und so fort. Nur wenn man allein schon mal diese Übersicht überhaupt hat, kann man ja auch zum Beispiel, wenn dann halt so ein Incident kommt wie Log4j, dass man dann überhaupt weiß, haben wir das irgendwo? Und wenn ja, wie kriegen wir das jetzt da schnell runter beziehungsweise gepatcht? Zusätzlich natürlich ein gutes Backup-Management, ergo regelmäßige Backups, auch immer sozusagen ein Backup vom Backup, der offline gespeichert wird, weil für Hacker

Lisa: Lisa Exakt, ganz wichtig.

Sonna Barry: Sonna Barry Es ist im Standardmodus. Erst mal, wenn man da vielleicht Ransomware platzieren will, zu gucken, es da vielleicht irgendwelche Online-Backups, weil die müssen wir auch verschlüsseln, sonst haben wir ja nichts gewonnen. Solche Sachen, dass man die macht und dass die Technik eben auch mal getestet hat, können wir die dann wieder einspielen? Funktionieren die denn, wenn wir die wieder einspielen? Unter welchen Bedingungen funktionieren die, wenn wir die wieder einspielen? Ist das wichtig, das zu testen?

Lisa: Lisa Mhm. Exakt.

Lisa: Lisa Mhm.

Sonna Barry: Sonna Barry Und dann eben auch mit einer Regelmäßigkeit potenziell automatisiert das Ganze eben dann auch zu machen. Das sind schon mal so absolute Basissachen, wo ich immer sagen würde, ja, da sitzen dann Leute schon da und sitzen halt dann so bisschen ehrlich da. Ich da müssen wir nur selber ins Spiegel schauen, wie häufig machen wir unser Handyupdates? Was ist da alles für wichtige Sachen drauf? Haben wir da vielleicht auch so Multi-Factor-Authentitfikation-Sachen drauf? Und wenn die dann weg sind, kommen wir selber nicht mehr in unser Konto oder so? Haben wir über sowas schon mal nachgedacht. Also da kann man sich ja nur so selber im Spiegel angucken und auch schon sagen, ui, ja, verflixt, sollte ich dringend mal wieder machen. Dann natürlich Logs, Logfiles speichern. Das heißt einfach sozusagen, das sind Files, in denen einfach sozusagen mitgeschnitten wird, was mindestens mal auf den kritischen Systemen und kritischen Devices passiert.

Lisa: Lisa Hmm...

Sonna Barry: Sonna Barry Solche Files, wenn die auch separat gespeichert sind, sind super hilfreich, wenn es mal zu einem Angriff kommt, dann nachvollziehen zu können, war der Angreifer auf diesem Device und wenn er da war, was hat er denn da gemacht? Weil dann kann man es auch wieder zurückdrehen. Das ist also auch ein wirklich unfassbar hilfreiches Tool, wenn es dann mal zu einem Inzident kommt. Von daher, und es ist nicht so schwer, das zu generieren, Speicherplatz ist heute auch nicht mehr so teuer, das kann man inzwischen durchaus machen und dann auch für eine gewisse Zeit vorhalten. Dabei bitte immer im Hinterkopf behalten. Es wäre jetzt ungünstig, so was zu machen wie eine Diebstahlkamera im Supermarkt, dann 24 Stunden aufzeichnet und überschreibt und nach 24 Stunden ist dann halt wieder der nächste Tag da komplett drauf. Hacker können Tage, Monate in ihrem System sein, unter Sachen machen, ohne dass die da bemerkt werden. Wenn die Logs nur vom selben Tag oder von derselben Woche oder vom selben Monat sind, ist das meistens schon noch zu kurz gedacht.

Lisa: Lisa Und vor allen Dingen, Logs in der Retrospektive irgendwie wieder herzustellen. Also ich hab kürzlich mit jemandem gesprochen, mit der freu ich mich auch. Mit Kira darf ich auch noch eine Podcastfolge machen zu dem Thema Incidence Response. Und die meinte also, dass was sie, was quasi der höchste oder der längste nachweisbare Aufenthalt von Hackern in einem ...

Sonna Barry: Sonna Barry Ja, so ist es.

Sonna Barry: Sonna Barry ist möglich.

Lisa: Lisa System war, irgendwie 700 Arbeitstage. Also zwei Jahre, ohne dass sie bemerkt wurden. Und das ist nur die Zeit, die sie rekonstruieren konnten, dass die Hacker dort drin waren. Also Wahnsinn. Mhm.

Sonna Barry: Sonna Barry Ja, also das ist ... Ja.

Sonna Barry: Sonna Barry Das ist genau das. Da gibt es wirklich Geschichten noch und nöcher. Deswegen macht es wirklich Sinn, das für eine längere Zeit zu speichern. Dann natürlich ein gutes Passwortmanagement, ein wirklich durchdachtes Passwortmanagement, was eben auch berücksichtigt, dass mitarbeitende Menschen sind, die sich nicht 10.000 komplett unterschiedliche Passworte A merken können und die auch nicht alle drei Monate verändern können. Da gibt es aus unserer Sicht sehr hilfreiche Guidelines vom NIST. In Amerika, die sind aus unserer Sicht ein bisschen funktionabler als die vom BSI jetzt gerade, weil die bisschen pragmatischer an die Sache rangehen, sei es jetzt vom organisatorischen Aufwand des Unternehmens, als auch von dem, was Mitarbeitende so können. Das ist ein bisschen näher an der heutigen Forschung dran, obwohl das BSI auf seinen Seiten auch sehr, sehr gute Ratschläge und Handreichungen gibt. Dann Mitarbeitenden-Trainings. Also, dass man regelmäßige Cyber-Sicherheitstraining macht. Auch da gibt es inzwischen wirklich gute Online-Anbieter, die auch nicht mehr so teuer sind. Aber sensibilisierte Mitarbeitende ist einfach so bisschen der erste Schutz vor Angriffen. Wenn man diese Sachen schon mal alle wirklich gut macht und da auch wirklich weiß, die werden gemacht, dann hat man schon viel gewonnen.

Lisa: Lisa Hmm...

Sonna Barry: Sonna Barry Unser nächstes Sahnehäubchen wären dann eben identitätsbasierte Zugriffssysteme. Das soll einfach heißen, dass immer klar zurückgeführt werden kann, wer hat hier was, wann, wo mit Informationen gemacht. Und umgekehrt kann man dann eben natürlich auch rollenbasiert irgendwie so bisschen zuweisen, diese Person darf die nur lesen, diese Person darf die bearbeiten, diese Person darf die runterladen. Und wenn man dann immer noch Geld hätte und Zeit, ja.

Lisa: Lisa Genau.

Lisa: Lisa Ja.

Sonna Barry: Sonna Barry würde ich empfehlen, Privileged Access Management einzuführen. Das soll heißen, wenn mindestens die wirklich Konten, die sehr privilegiert sind, heißt administrative Konten. Wir wissen alle, der Admin kann einiges. eben Updates einspielen, Software verändern und so weiter. Oder Konten mit weitgreifenden Zugriffsrechten. Also zum Beispiel die Konten von Abteilungsleitern, besonders in Finance und HR. Die können auch extrem sensitive Informationen zugreifen, Geschäftsführende natürlich sowieso.

Lisa: Lisa Ja.

Lisa: Lisa Mhm.

Sonna Barry: Sonna Barry diese nochmal separat abzusichern. Weil das sind so die Konten, die Hacker sehr, sehr gerne übernehmen wollen, weil sie mit diesen Konten am schnellsten und am effektivsten ihre Ziele erreichen. Je besser man die also absichern kann, je schneller man damit bekommt. Das Konten macht aber auf einmal Sachen, die macht es sonst nie. Oder wieso ist denn der Geschäftsführer jetzt auf einmal nachts vier aus Hongkong eingeloggt, der ist doch gerade nach Hause nach Dreieich gefahren?

Lisa: Lisa Ja, ja.

Sonna Barry: Sonna Barry Wenn man solche Sachen dann eben mit monitoren kann, ist da schon viel gewonnen. Und halt eben deswegen auch ein Monitoring-System, würde ich bei Mittelstand immer empfehlen, zu gucken, dass man einen externen Dienstleister findet, der sowohl monitort, als auch die Alerts eben sich anguckt. Damit man so auch noch mal zusätzlichen Backup hat und schnellstmöglich eben erfährt, ist da jemand vielleicht im System, haben wir da vielleicht ein Problem. Weil bei jedem Hack ist es so, je schneller man feststellt, da ist jemand, desto

Lisa: Lisa Hmm...

Lisa: Lisa Hmm.

Sonna Barry: Sonna Barry Leichter kann man das, was diese Person zu verursachen, zurückdrehen und nachzuverfolgen. Wie gerade von dir erwähnt, nach 700 Tagen. kannst du einfach wirklich selbst Forensiker haben da wirklich Probleme noch rauszufinden, was genau hat der wann wie gemacht. Wenn es aber dann eben nur ein Monat war oder so, dann geht das tatsächlich mit Logfiles und solchen Sachen wirklich nicht gut.

Lisa: Lisa Ja, das stimmt.

Lisa: Lisa Mhm. Ja.

Lisa: Lisa Ja, das glaube ich. Mensch, super. So, zack, ist unsere Zeit vorbei. Ich könnte jetzt noch mindestens drei, vier, fünf Fragen stellen. Superspannend und vor allen Dingen auch mal so der Blick in quasi den Mittelstand und auch so diese Themen, die du so rausgearbeitet hast mit diesen verschiedenen Ebenen. Also einmal Prozess und Strategie und aber auch eben Technik und Organisation. Also wie funktioniert das?

Sonna Barry: Sonna Barry Ich könnte noch Stufen geben.

Lisa: Lisa Es kristallisiert sich ja auch immer wieder raus, es braucht an den richtigen Stellen die richtigen Menschen, die entsprechen die Sprache der IT und die Sprache der Entscheider sprechen, gegebenenfalls am runden Tisch da zu vermitteln, ohne dass es da auch verhärtete Fronten gibt und Frustrationen. Weil ich glaube, das ist einfach was, was ja auch in der Unternehmenskultur verankert sein sollte und auch sich auswirkt auf das ganze Unternehmen und die Zufriedenheit der Mitarbeitenden. In diesem Sinne, ja, vielen Dank, Sona, dass du dir die Zeit genommen hast. Es hat mich sehr gefreut. Ich bin wieder Längen schlauer als vorher. ja, falls euch da draußen die Folge gefallen hat, lasst gerne ein Like da, kommentiert das gerne auf meinem LinkedIn-Kanal oder schreibt mir eine E-Mail, findet ihr alles.

Sonna Barry: Sonna Barry Beginnen! Ciao!

Lisa: Lisa Und ja, empfehlt die Folge gerne weiter oder das weiße Kaninchen, Freunden, Familienmitgliedern, Kollegen und an wen ihr auch sonst noch immer denkt. An dieser Stelle bleibt mir wie immer nur zu sagen, keep calm and get protected. Passt auf euch auf, lasst es euch gut gehen und bis zum nächsten Mal. Ciao.

Sonna Barry: Sonna Barry Tschüss!