Zero Trust mit Simon Holl von MindBytes #52

Was? Moin, zu einfach komplex. Hier ist Gerrit und den Burckhardt habe ich auch wieder dabei. Moin Burkhard. Hallo ihr Lieben, hier bin ich. Moin aus Hamburg. Und wie ihr es gewohnt seid im 2 Wochen Takt.

Nee 4 Wochentakt. Inzwischen haben wir wieder einen tollen Gast. Da ist der Simon, der kann sich gleich selber kurz vorstellen, ich sag nur kurz das Thema es wird sein Zero Trust, also ein Security Thema im weitesten Sinne und ja Simon magst du mal kurz erzählen wer du bist, was du machst und wie du auch zu diesem Thema Zero Trust gekommen

bist? Ja Hi, danke erstmal für die Einladung. Ich freue mich hier zu sein, ich stelle mich einfach mal kurz vor, ich bin Simon Holl, Gründer und Geschäftsführer der Mindbytes GmbH. Wir sind im Bereich It Security tätig, genauer gesagt machen wir Pen Tests und Red Teamings und um das Mal im Sinne des Podcasts einfach zu erklären, wir decken Schwachstellen in IT Systemen bei unseren Kunden auf, dazu nutzen wir das Wissen, die Techniken und die Tools von echten Hackern.

Und als Ergebnis bekommen dann unsere Kunden von uns eine Risikoeinschätzung, eine Beschreibung von den gefundenen Schwachstellen und wie und in welcher Reihenfolge die Schwachstellen behoben werden sollen. Das Ganze mache ich jetzt seit knapp 5 Jahren, hab dadurch schon viele Unternehmen, deren IT Infrastruktur oder Anwendungen untersuchen dürfen. Letztes Jahr habe ich mich dann entschlossen, mit meinen beiden Kollegen eine eigene Firma zu gründen. Genau.

Wir machen jetzt also zu dritt die Welt ein kleines bisschen sicherer und in das Thema It Security fällt natürlich dann auch Zero Trust. Ich bin gespannt auf deine Anekdoten aus 5 Jahren Security und Infrastrukturuntersuchung, da gibt es wahrscheinlich nichts, was du noch nicht gesehen hast, oder? Gibt immer wieder was Neues. Man wird täglich quasi neu überrascht und erstaunt aber.

Gibt es wenigstens n Trend Simon zum besseren hin oder bleibt es alles irgendwie im Chaos oder sagst du irgendwie Sicherheit bist n bisschen wie Aufklärung irgendwie? Und wo sind IT weitergeht und die Technologien besser werden wird es auch da besser oder also gibt's wenigstens einen positiven Trend zu verzeichnen insgesamt. Es gibt auf jeden Fall einen positiven Trend, zumindest bei unseren Kunden. Wenn wir dann jährlich wiederkommen dürfen und uns dann jedes Jahr ein bisschen mehr die

Zähne ausbeißen dürfen. Also wenn man sich darum kümmert, dann verändert sich da auf jeden Fall was und es wird sicherer, wenn man sich nicht drum kümmert, dann ist natürlich schlecht heutzutage, man liest halt leider fast schon täglich in der Zeitung, dass wieder ein neues Unternehmen gehackt wurde und aber. So von dem Trend, den ich so mitbekomme. Bei unseren Kunden wird es auf jeden Fall besser. Ja, das ist ja immer das Spiel.

Katze und Maus, sage ich mal. Die es werden ja beide Seiten besser, wahrscheinlich. Ja, ganz genau. Die IT Systeme hoffentlich ein wenig sicherer durch auch viele Frameworks und aber die Hacker glaub ich auch durch. Ja, noch mehr Tools, noch mehr Power in der aus der Cloud heraus, oder? Ich weiß es nicht genau, was dann alles als Angriffsvektoren sind, so aber. Ja, auf jeden Fall. Also wenn die Verteidiger kreativer werden, dann werden die Angreifer es natürlich auch.

Schon sagt das so ein Katz und Maus. Spiel ja du sag mal Simon, ich höre mal, ich weiß genau was ein Pen Test ist. Ein Pen Testing, aber ich also unter dem Wort kann ich mir eigentlich gar nichts vorstellen. Woher kommt denn das her? Ich hoff ich überrasch dich nicht mit der Frage, aber Pen ist ja irgendwie auf Englisch irgendwie stifter aber hat wahrscheinlich nichts damit zu tun oder was ich mal ganz blöde Frage von mir aber ich weiß es tatsächlich nicht.

Es hat nichts mit dem Stift zu tun, es kommt von Penetrationstest. Ah, das macht Sinn, ja. Genau. Man versucht einfach in Systeme einzudringen, sozusagen mit allen möglichen Mitteln. Genau. Okay alles klar.

Um jetzt den Bogen zu kriegen, Zero Trust auf Deutsch einfach erstmal kein Vertrauen als als Überschrift sagt er mir schon so ein bisschen was würde ich sagen, ja, ich vermute jetzt mal man vertraut eher wenigen oder niemandem in irgendwelchen Netzwerken um dann genau bei solchen Penetration Tests oder? Ja, einfach in echten Welt sich abzusichern, wahrscheinlich gegen mögliche Angreifer. Was was bedeutet das? Zero Trust kannst du uns mal kurz einen Überblick verschaffen? Genau.

Also erstmal steht es quasi unabhängig von Pen Tests, sondern es ist als ein Sicherheitskonzept zu verstehen, dass eben davon lebt, dass man Benutzern und Systemen erst mal nicht vertraut, sondern die sich das Vertrauen erst mal verdienen müssen. Man kennt es vielleicht. Vertrauen ist gut, Kontrolle ist besser. Genau darauf basiert quasi das Zero Trust.

Und mit diesem Konzept versucht man einfach, es Angreifern so schwer wie möglich zu machen, vielleicht noch mal um so ein bisschen den Bogen zurück zu Pen Tests zu bringen. Das was wir quasi in unseren Pen Tests herausfinden, ist quasi immer eine Verletzung von Zero Trust, wenn man mag, das heißt wenn das Konzept nicht richtig umgesetzt wird, dann haben wir ganz leichtes Spiel bei den Pen Tests, wenn die Kunden. Da schon sehr fit sind und einiges umgesetzt haben, dann

beißen wir uns die Zähne raus. Auch wichtig zusammen, dass es keine genaue Definition von Zero Trusts gibt, sondern ganz unterschiedliche Beschreibungen da existiert. Falls man also mit jemandem über Zero Trust diskutieren will, dann kann man erst mal mit der Frage anfangen, was verstehst du eigentlich darunter, dass man quasi auf einer gemeinsamen Grundlage spricht? Auch wichtig zu sagen ist, dass es nicht so ein Produkt gibt oder eine Software, die man sich

installieren kann. Und dann hat man Zero Trust, sondern es besteht aus ganz vielen unterschiedlichen Prinzipien, die man eben in seinem Unternehmen einführen muss. Die dann eben zusammengefasst Zero Trust ergeben. Das hätten wahrscheinlich einige Kunden gern oder kurz dieses Wunderprodukt die Wunderwaffe installiert und alles ist Safe. Ja, es wäre schön, wenn es so

einfach wäre. Es gibt so einzelne Produkte, wo dann vielleicht auch mal Zero Trust draufsteht, die dann aber eben nur einzelne Bereiche von Zero Trust tatsächlich abdecken. Zum Beispiel eben Netzwerkkomponenten, die irgendwie was mit Zero Trust zu tun hat, wo dann eben sichergestellt wird, dass der Benutzer sagen kann, wer denn ist mit dieser Netzwerkkomponente.

Also schon eher sowas wie ne. Unternehmensphilosophie fast irgendwie Zero Trust also gar nicht so n schränkt sich gar nicht nur auf ne Implementierung oder so.

Manchmal hört man das von von gerade diesen Passwortmanagern oder irgend sowas ne, die sind ja also kennt ja jeder, wir haben ja immer 3000 passwörter 4000 ich weiß nicht vielleicht nicht, aber wenn man die mal verwalten will gibt's ja zig Passwort Manager die das für einen tun und die sind ja ja also sollten besonders wenig angegriffen werden im besten Fall weil die ja quasi alle meine Passwörter kennen und ich nur das Masterpasswort und dann heißt es immer ja die das ist

irgendwie Zero nach Zero Trust irgendwie gebaut oder da kenn ich das immer am meisten her von diesem und das hoffe ich auch weil das ist ja wirklich total kritisch, dass die nicht gehackt werden. Ja genau, also mehr als ein Konzept oder auch Mindsets sozusagen zu verstehen als ein tatsächliches Produkt. Magst du es uns mal einordnen, weil du sagst, gerade das Verständnis davon kann ganz verschieden sein? Ja, je nachdem mit wem man spricht oder was heißt ganz verschieden aber.

Kann verschiedene Ausprägungen haben. Würd ich jetzt mal so wiedergeben. Was ist das was was du sagen würdest, wenn jetzt vielleicht ganz konkret n Kunde auf dich zukommt, vielleicht sagt er ich hätte gerne Zero Trust oder vielleicht sagt er einfach nur. Mach mich mal sicher und du schlägst vor. Ja, dann lass es doch nach Zero Trust vorgehen. Wie sieht das in der Realität dann aus? So n so n Thema und wo setzt man an?

Von Zero Trust spricht man eigentlich hauptsächlich in bei IT Infrastrukturen, also im. Innerhalb von Unternehmen. So einzelne Bereiche von Zero Trust kann man dann auch anwenden auf Anwendungen, also vielleicht das, was der Passwort Manager dann meinte. Genau und so als Hintergrund. Früher hatte man die Einstellung ich baue eine Mauer um ein Unternehmen, dann bin ich sicher und jeder der jetzt aber in meinem Unternehmen drin ist, dem vertraue ich jetzt erstmal.

Der darf dann machen was er will. Aber da ist erstmal so ein Vertrauen. Dann hat man aber gemerkt, dass es so nicht mehr ganz funktioniert und ist auch nicht mehr ganz zeitgemäß. Und man weiß, dass ein Angreifer einfach früher oder später in ein Unternehmen reinschafft und dann in meinem Unternehmen ein viel zu leichtes Spiel hat. Das ist ein Angreifer reinschafft. Das nennt man dann oft auch a Zoom Breach. Davon liest man auch immer wieder im Kontext von Zero Trust.

Genau, und deswegen hat man sich dann irgendwann mal Gedanken gemacht und gesagt, so kann es eigentlich nicht weitergehen. Dieses Vertrauen ist innerhalb von einem Unternehmen ist eigentlich nicht das, was ich haben will und man hat so verschiedene Prinzipien zur Erhöhung der Sicherheit vereint, um es in einem Angreifer innerhalb von einem Unternehmen einfach so schwer wie möglich zu machen. Vielleicht mal so geschichtliche Einordnungen?

Den Begriff Zero Trust gab es, wurde das erste Mal 1994 genannt, also schon 30 Jahre alt, schon eine ganze Weile her, hat sich in den letzten Jahren immer wieder. Gewandelt oder ausgeweitet kann man sagen. Wer das jetzt primär getrieben hat, ist das irgendwie ne in Anführungsstrichen Erfindung oder etwas was so Anbieter von Security Software treiben einfach als als als Angstbild?

Ja weil das ist ja häufig als so wie ich das kenne, sind ja alle die die Firewalls und Security Tools verkaufen arbeiten ja häufig mit der Angst im Verkauf funktioniert ja auch eindeutig sind es die die sich das zu eigen machen und nutzen oder oder ist das auch etwas was ich sag mal unabhängig unter Entwicklern oder? Hackern oder sowas besprochen wird. Also ich weiß die Namen jetzt nicht auswendig, die das so geprägt haben, aber es war tatsächlich im wissenschaftlichen Bereich.

Also Doktorarbeit und verschiedene andere Paper, die das eben aufgegriffen haben. Den Begriff so eingeführt und geprägt haben. Du hast. Gerade gesagt, man weiß eigentlich, dass es ein Angreifer früher oder später ja durch die Firewall schaffen wird. Deshalb gibt es den Asyme Bridge. Wir gehen davon aus oder später ist da jemand durch? Wieso weiß man das? Hast du da so n paar Daten oder oder zahlen oder sind die Firewalls zu schlecht? Also was steckt denn da

eigentlich dahinter? Also technisch gesehen ist es halt so. Man betreibt ne Software, da sind auf jeden Fall Fehler drin und die Fehler kann man sich eben ausnutzen deswegen. Genau schafft man es früher oder später oder schafft es ein Eingreifer früher oder später einfach in ein Unternehmen rein? Das Ganze ist auch belegt mit Zahlen, die. Allianz zum Beispiel, äh, veröffentlicht jährlich das Risk Barometer.

Dazu befragen sie 3000 risikoexperten aus 92 unterschiedlichen Länder und fragen eben, was sehen Sie als das größte Risiko für Unternehmen und dieses Jahr also erst so ein Paar, ein Monat glaube ich alt. Ist die sind die Cyber Vorfälle auf Platz 1 gelandet, das heißt also das Unternehmen die meiste Angst quasi vor Risiko. Vorfällen haben, und darunter verstehen Sie dann Ransomware Attacken, also sowas wie verschlüsselungstrojaner, Daten, Pannen, it ausfällen. Genau um das mal n bisschen

einordnen zu können. Auf Platz 2 sind dann betriebsunterbrechungen, also zum Beispiel sowas wie Engpässe in der Lieferketten, das hatten wir zu pandemiezeiten sehr sehr stark gemerkt, ist aber nur auf Platz 2.

Genau und Platz 3 wären dann zum Beispiel noch die Naturkatastrophen. Das heißt also das Risiko, dass von Cyberangriffen ausgeht und wie das eingeschätzt wird, ist wirklich sehr, sehr hoch, genau und bei Zero Trust geht es halt dann einfach darum, dieses Risiko bestmöglichst entgegenzuwirken und es einem Angreifer so schwer wie möglich zu machen. Aber Simon heißt das dann nicht auch immer gleichzeitig, wenn man.

Ich sag mal, wenn man das Vertrauen immer weiter nach hinten schiebt, ne wenn man jetzt sagt, OK wir haben hier die die Burg mit dem Burggraben so und da draußen ist alles unsicher und da drin ist alles sicher, dann hab ich natürlich auch innerhalb der Burgen angenehmeres, Freieres, effizienteres Leben, vielleicht als wenn ich jetzt sage, ich schieb jetzt mein Vertrauen immer weiter rein bis zum Marktplatz oder zum Springbrunnen oder es gibt gar

keins mehr und ich vertraue gar keinem mehr, das ist ja wahrscheinlich eher so ein bisschen die Philosophie dann, aber dann heißt es ja quasi auch für alle Mitarbeiter und auch für alle Software und so weiter alles muss. Die ganze Zeit sich so verhalten, als wäre es im wilden Westen und es muss alles immer ständig verschlüsselt werden, jedes Passwort, ich kann nicht mehr mit einem internen Netzwerk irgendwie vielleicht einfach nur mit http funken, sondern muss da

auch schon https anwenden. Jetzt mal technisches Ding oder anders jetzt mal. Ich sag mal irgendwie firmenmitarbeiter mäßig, jeder hat irgendwie erstmal gar keine Rechte und jeder und ständig wenn irgendein Dokument irgendwie gelesen werden will, dann muss ich als Mitarbeiter sagen, lieber it Leiter, kannst du mir das noch freischalten? Ich habe hier schon wieder kein Recht drauf und so weiter.

Also was ich sagen will das man kennt es ja auch, dass es anfangen kann die Mitarbeiter bisschen zu nerven und auch die Software n bisschen heißer glühen zu lassen, wenn man die Sicherheit einfach viel weiter treibt, ja. Aber du sagst, es ist trotzdem. Das muss trotzdem so sein und auch sogar bei bei Firmen, auch bei kleinen Firmen und vielleicht auch bei Firmen, die nicht gerade irgendwie in der kritische Infrastruktur darstellen, sondern das ist jetzt das heutzutage angesagte Konzept.

Damit finde ich alle, die der Reihe nach gehackt werden, ne. Ja, genau. Also es ist immer ein Abwägen zwischen Sicherheit und Benutzerfreundlichkeit. Da muss man eben einen guten Mittelweg für sich selber auch finden und sich das vielleicht definieren. Also wo mache ich Abstriche an der Benutzerfreundlichkeit, dafür mache ich es aber vielleicht ein bisschen sicherer, wo kann das vielleicht auch bisschen Hand in Hand

gehen? Aber genau also so, wie du die ganzen Punkte, die du schon angesprochen hast, die sind auf jeden Fall. Etwas, wo man sich entscheiden muss also. Gibt man dem Benutzer jetzt Admin rechte dafür, kann er dann alles machen und nervt die IT Abteilung nicht. Falls dann der Benutzer aber gehackt wird, dann hat er eben sehr leichtes Spiel und eben gegebenenfalls die Kontrolle über die keine Ahnung, Anwendung oder irgendwas. Das Beispiel scheint mir ziemlich klar und logisch irgendwie.

Also dass nicht jeder auf irgendeinem Software Tool oder auf irgendeinem Programm Admin Rechte haben sollte. Das ist zumindest aus meiner jetzt Erfahrung schon immer so gewesen. Irgendwie. Ja, aber Gerrit. Aber Gerrit ist zum Beispiel zum

Beispiel, also das kenn ich auch, also das kommt immer drauf an, welche Programme und normalerweise ist man auch nicht Admin, aber wenn du zum Beispiel so ne Dokumentverwaltung hast so Dokumentenablage wie auch immer, das gab's ja früher schon und heute und webbasiert oder auf deinem auch einfach nur fileserver oder Irgendsowas ganz früher, da gab's irgendwie nen großen Server, irgendwie intern vielleicht noch mit dem Laufwerk D und e und jeder konnte halt irgendwie auch die Laufwerke

zugreifen und da waren halt irgendwie die ganzen Files abgelegt von der Firma und da war halt nix hier mit. Du hast aber nur im Ordner XY von file von Laufwerk e Zugriff

usw. Das im Prinzip waren da schon auch alle Admin so höher und heute, heute heißt es halt vielleicht nicht mehr lokaler Server, sondern irgendwie Cloud und da ist auch die Frage, ob dann in diesen ganzen Cloud Hierarchien und und und und und und und vives und so weiter dann auch alle Rechte so geregelt sind, dass tatsächlich nur derjenige das sieht. Ich würde das bezweifeln, dass

das schon n Standard ist. Ehrlich gesagt, ich weiß nicht wie was Simon da sind, aber könnt mir vorstellen, dass da doch irgendwie eher mal schneller gesagt wird. So Oh komm, hier kannst du schon mal drauf gucken und so weiter. Also wenn man so n bisschen die Medien verfolgt und mal so Berichte liest von. Unternehmen oder auch Landkreisen, die es eben mit Ransomware erwischt haben. Teilweise ist da eben diese zu viele Berechtigungen.

Einer der Mitgründe, warum es die so schlimm erwischt hat. Und deswegen ist es schon essentiell, möglichst wenige Berichtigungen. Zu vergeben, um da eben einem Angreifer das auch nicht zu leicht zu machen. Cool, das ist, das ist dann schon.

Also danke euch beiden. Ja vielleicht, vielleicht war ich einfach immer in Unternehmen, die das die da so n bisschen drauf geachtet haben, sagen wir mal so ne und und in so einem Landkreis oder so hab ich auch noch nicht gearbeitet, also das ist jetzt schon so ein Prinzip oder so ein Grundprinzip, wahrscheinlich von von Zero Trust.

Einfach ja minimale Rechte zu vergeben und wahrscheinlich im Zweifel auch wieder entziehen, wenn man das Recht vielleicht nicht mehr braucht, gehört bestimmt auch dazu. Ja genau. Also den Extremfall hatte ich mal bei einem Kunden, der tatsächlich die Rechte nur für die Arbeitszeiten vergeben hat und nach den Arbeitszeiten die Rechten auch wieder komplett entzogen hat. Also wenn man es auf die Spitze treibt, dann macht man das genauso. Der hat einfach für sich

entschieden. Der Nutzen rechtfertigt die Kosten dieses dieses Vorgehens. Ja, was gibt es noch für für Prinzipien da drinne, also was sind also das ist total klar, das ist nachvollziehbar minimale Rechte, ich glaub du hast noch n paar mehr vorbereitet ne für uns. Genau, ich hab mal n Paar mehr vorbereitet. Ich kann direkt schon mal dazu sagen, die Liste ist nicht vollständig beziehungsweise es gibt eigentlich keine Liste, die

man schön abarbeiten kann. Aber ich habe mal so ein Paar mitgebracht, die ich gerne ähm nennen möchte. Also bevor man mal die Rechte kontrollieren kann, muss man erstmal überhaupt sicherstellen, dass man eine Zutritt oder Zugriffskontrolle hat. Ich erlebe das, äh, immer und immer wieder, dass man überhaupt gar keinen Benutzer braucht, um auf Ressourcen, Datenbanken, Informationen zu greifen kann.

Und da teilweise dann sensible andere Informationen drinstecken, also zum Beispiel weitere Zugangsdaten, oder. Interner, auf die man definitiv keinen Zugriff haben sollte. Das heißt, der allererste Schritt wäre schon mal sicherzustellen, dass überhaupt der Zugriff kontrolliert wird. Was man auch. Unter oder in Zero Trust mit Reinnimmt ist die Segmentierung, dass man sich mal bestimmte

Bereiche einfach überlegt. Ähm, sei es von Netzwerkinfrastruktur, dass man einmal so einen kleinen Bereich hat, dass man einen Druckerbereich hat, dass man einen Serverbereich hat. So auf die die Art und Weise und dann eben ganz klar definiert, wo die Schnittstellen auch sind und kontrolliert, wer diese Schnittstellen denn benutzt. Dann auch einfach sagen können, wenn jetzt keine Ahnung.

Herr Müller, auf den Server zugreifen will der, der ihn eigentlich nichts angeht, dann verhindere ich das. Einer Schnittstelle zwischen den Segmenten ich.

Musste gerade so n bisschen an so Brandschutztüren in irgendwelchen Bürogebäuden denken, über die also in der physischen Welt ne kann ich damit irgendwie nen wenn es irgendwo brennt kann ich das Feuer abtrennen so also da ist der Ernstfall aber dann schon eingetreten, ist das auch dafür sinnvoll so eine Segmentierung, das heißt wenn jetzt also ich, ich spreche als Laie, da ist ein Virus oder ein Trojaner oder was und der will sich ausbreiten, wie ich das aus Hacker filmen

kenne und dann mache ich die Tür zu Wumms und dann geht da nichts weiter, kann man das auch machen. Ganz genau also das wär quasi das Pendant für die physische Welt mit den Brandschutztüren zum Beispiel. Da hat man ja dann auch das das Gebäude quasi segmentiert. Ja, ein weiteres Prinzip, das ich mitgebracht hab, ist die Verschlüsselung. Burkhardt, Du hattest es ja auch

schon angesprochen. Verschlüsselung von Daten das betrifft nicht nur die Kommunikation, sondern auch, wenn man die Daten zum Beispiel auf einem USB Stick oder Laptop mitnimmt, dass man da einfach verschlüsselt. Was hat es jetzt mit Zero Trust zu tun?

Ich stelle einfach technisch sicher, dass die Daten vertraulich bleiben, wenn ich jetzt den USB Stick verliere oder auch den Laptop irgendwo mal unbeaufsichtigt stehen lasse, dann stelle ich eben mit dieser Verschlüsselung sicher, dass da nicht einfach jeder rankommt. Genau das Gegenteil wäre, den USB-Stick einfach unverschlüsselt zu lassen. Da reicht es dann schon, wenn wenn ich den irgendwie verliere oder den jemand einsteckt und dann kommt da jeder an die Daten ran.

Du meinst sowas wie? Ich weiß nicht, ob das unsere Zuhörer überhaupt alle schon mal gesehen haben oder kennen. Ich glaube bei bestimmten Betriebssystemen kann man sogar im im BIOS. Wenn das, wenn man quasi so einer Festplattenverschlüsselung hat, auf niedrigster Ebene irgendwie, und dann muss man irgendwie einen PIN eingeben, oder? Sowas nicht im BIOS, aber dann

eine eine. Betriebssystemebene OK. Bei USB muss ich auch an diese USB dongles denken, die man manchmal hat wenn man nen Kunden besucht oder so oder andere Partner oder sowas und dann liegen da häufig diese USB dongels auf dem Tisch mit denen man Übertragung machen kann an irgendwie so ne Art smartboard oder sowas. Also wenn man ne Präsentation zeigen möchte oder ne produktdemo oder sowas in der Form.

Da kenn ich jemand, der hat auch immer sich tierisch darüber beschwert, dass man jetzt hier so n so NUSB Dongle da Reinschiebt in seinen Laptop, den man gar nicht kennt. Alter, da kennst du mich. Ich beschwer mich da auch. Ja OK. Du bist nur das. Gewesen? Ja find das voll furchtbar. Also ist das n echtes Risiko, weil das benutzt ja fast alle so Industriefirmen da draußen, die also es läuft überall über

N-Weg, also. Ich nehme mal an, das Risiko ist damit gemeint, dass man halt einfach irgendwelche USB Sticks anschließt, da kann er ja auch. Also neben irgendwelchen Übertragungen. Software auch andere Malware dran sein. Und ja, das ist auf jeden Fall ein Risiko. Also. Dass man mal irgendwie NUSB Stick auf dem Firmenparkplatz fallen lässt und dann gehalt 2024 drauf schreibt. Ähm, das macht das Ganze schon interess äh interessant.

Und dann ist natürlich die Versuchung groß, das Mal an seinen Arbeitslaptop anzuschließen und zu gucken, was denn da für Gehaltsdaten drauf sind und ehe man sich es versieht, hat man da. Kein PDF oder Excel Datei ausgeführt, sondern halt irgendein anderes Programm, das dann zum Angreifer rausfunkt. Gibt es so Fälle? Gab es solche Fälle? Das ist tatsächlich auch was, was wir machen, ja. Ach so, in Eure in euren Penthouse oder wie? Ach Gott, ja.

Ja, da sind die Mütter. Werden die Mitarbeiter schwer getestet. Wie ist denn das Simon? Aber wenn ich jetzt jetzt, jetzt machen wir das mal kurz im Detail, weil das ja n richtig cooles Beispiel, also dann steck ich den USB Stick da 2024 Gehalt oder irgendwas rein. Aber dann wird doch mein Windows Defender und irgendwas mir melden jetzt hier irgendwie. Ausführen und willst du wirklich und so weiter da muss ich aber auch noch n paar mal als als

Nutzer aber blöd klicken oder? Oder es geht das irgendwie so total automatisch steckt das da rein und ich bin schon irgendwie. In der es. Kommt immer so ein bisschen drauf an, mit was so einem Angreifer man es zu tun hat, sage ich jetzt mal ganz diplomatisch. Wenn man nicht weiß, was man tut, dann ja springen da alle möglichen Antiviren und Computer und sonst was an. Wenn man bisschen was weiß, was man tut, kann man versuchen, die ganzen Dinge aber auch

auszutricksen. Ein Antivirus kann auch nur gucken, was in der Vergangenheit gesehen hat oder ob sich das Programm irgendwie. Auffällig verhält. Man kann sein Programm irgendwie so tarnen, dass es sich eben nicht ganz so auffällig verhält und vielleicht der Antivirus nicht anschlägt. Was aber bleibt, ist normalerweise der Klick, dass Benutzer eben tatsächlich irgendwie klicken müssen. Den seltensten Fällen funktioniert es dann tatsächlich komplett automatisch.

Das würde ich auch sagen, soweit ich von der Technik informiert bin, muss man wenigstens irgendwie, also schon mittlerweile das Betriebssystem eigene Schutzsystem noch mal ohne Virenprogramme, von denen ich sowieso nicht so viel halte. Ich weiß nicht wie da deine Meinung zu ist, aber. Ähm, die sind ja mittlerweile auch schon relativ gut aufgestellt, auch gegen gegen sofortiges Loslaufen von irgendwelchen Anwendungen, die nicht signiert sind oder

irgendwie was, oder? Also kann man sicherlich auch hier in das Thema Zero Trust mit reinbringen, dass man Antivirus hat, dass man sein Programm, die man da ausführt, nicht einfach so blind vertraut, sondern die erst einmal durch den Antivirus Durchjagt. Aber wir hatten es ja am Anfang schon mit diesen Katz und Maus Spiel. Wenn die Antivirus besser werden, dann werden die Viren

eben auch besser. Und in dem Beispiel, was ihr beiden jetzt gerade ja genommen habt und angenommen, da ist jetzt zum Beispiel das minimale rechte Prinzip im Einsatz und dieser Benutzer, diese Benutzerin, der jetzt den da auf die Datei vielleicht noch klickt, ja wo dann Gehalt steht, das ist dann aber in Excel oder irgendwas anderes.

Da passiert irgendwas im Hintergrund, es rüttelt los, kann sich dann im Namen dieses Benutzers im Netzwerk ausbreiten, auf Dinge zugreifen oder wie kann man sich das vorstellen, also soweit es eben berechtigt ist. Ja, ganz genau. Und das ist auch wieder das beste Beispiel dafür, warum es dann so wichtig ist, dass man den Benutzer so wenig Rechte wie möglich eben gibt, weil wenn der jetzt von Haus aus schon Admin Rechte überall hat, dann hat der Hacker quasi. Sehr, sehr leichtes Spiel.

Cool HSV. Super mal an so einem kleinen Beispiel klingt jetzt also jetzt nicht so alltäglich irgendwie so NUSB Stick, der irgendwo liegen bleibt, aber vom Prinzip kann das ja auf alle möglichen Art und Weise passieren, ne? Ich komme jetzt noch mal mit was reingegrätscht das ist immer so persönliches Interesse, weil ich ja vielleicht weiß die mal was dazu. Also es gibt ja immer die, also ich, das habe ich jetzt auch schon öfter gehört, dass es halt

wirklich so ist. Das als an einzelnen Mitarbeitern, manchmal hängt das Halt quasi so einen Großen, so ein großer Hacking angriff relativ fatal und erfolgreich wird quasi für die Hacker, weil ich halt weil es reicht manchmal von einer E-Mail irgendwo falsch zu klicken die runtergeladen wurde oder halt auf dem USB Stick irgendwas zu machen und sofort. Um das jetzt und und und.

Leider. Das hatten wir auch schon, wir hatten glaub ich schon mal nen Podcast, ich weiß nicht mehr welche Folge Gerrit weiß weiß nicht, aber also es ist tatsächlich ja einfach so, dass es dann so passiert und dann ist es schon relativ gefährlich. Ja je nachdem wie wie viele Rechte das hat. Aber kann man nicht, um sowas

abzuwehren? Ich sag jetzt mal kurz, ich weiß das so n bisschen wie das Immunsystem funktioniert vom Menschen, das ist nämlich das hat ja das gleiche Problem ja, und zwar wirklich wir benutzt ja sogar die gleichen Worte, ja, wir sind also im Prinzip eigentlich kerngesund und dann atmen wir irgendwelche Viren ein, die uns jemand anders dazu hustet und die kommen dann in den Körper und sind quasi sind falsche Programme. Ja, also sehen falsch aus, sind

falsche Proteine, gehört alles nicht zu uns und vermehren sich

da drastisch. Und, und da ist jetzt nicht irgendwie das Plastozyt in der Lungen schuld, dass er irgendwie gesagt hat, ja komm hier mal in die Zelle, ich hab nicht aufgepasst, es ist quasi schuld so, aber es verbreitet das schön weiter, aber es gibt quasi ein überliegendes System und dass das Immunsystem das und das funktioniert nämlich so, das ist weiß, was gehört alles positiv zu mir und es generiert die ganze Zeit, sucht die ganze Zeit quasi nach allem, was vielleicht

nicht zu mir gehört, und das wird halt gnadenlos alarmiert und gekillt. Also was ich sagen will, gibt es schon Mittel und Wege wo wenn ich jetzt zum Beispiel so ne fremde Echse oder irgendsowas hab die ja kein IT Leiter irgendwie genehmigt hat, dass die installiert wird Irgendsowas die schickt ja quasi komische Bytes. Ja und wenn es nur komische Abfolgen von Nullen und Einsen ist, die mal quasi die nicht zum normalen Geschäft zum normalen Ablauf dieser Firma gehören, kann ich das nicht.

Kann ich denn nicht so was auch technisch einfach erkennen, gibt es da schon Möglichkeiten und wir haben ja auch KI und so weiter da kann ich eine KI die ganze Zeit irgendwie wissen. Die mal lernen hier so 4 Wochen lang so, das ist ja der normale Zustand, das ist so alles was so durch die Gegend fliegt, über alle Netzwerkkanäle und so weiter und wenn da irgendwas kommt was nicht so aussieht, dass dann irgendwie da mal automatisch n Alarm losgeht, gibt es da schon.

Was genau, da gibt es was und das ist natürlich dann auch das Ziel, dass man das im Unternehmen etabliert, dass man seine Clients, seinen Netzwerkverkehr überwacht. Genau da sind dann quasi so die Schlagworte 7. Ich weiß gerade nicht, was es ausgesprochen heißt, aber da werden quasi alle Events, die irgendwie passieren, einfach zentral gesammelt und ausgewertet. Dann da eben komische Pakete oder komische Programme ausgeführt werden. Alarm.

Alarm ausgegeben, einfach. Ja, weil das könnte man. Das würde ja auch super zu der Philosophie Zero Trust passen, so nach dem Motto Ich vertraue keinem Datenpaket, was irgendwie, was ich irgendwie nicht vorher schon mal gekannt hab, so. Ja, genau, das ist komisch. Tatsächlich auch noch ein Teil von den Prinzipien, die ich quasi mit. Gebracht habe das Überwachen vom Netzwerkverkehr und von den Clients.

Wichtig ist auch, dass man dann, wenn man diese Alarme eben sieht, dass man drauf reagieren kann, weil die alarme alarme alleine bringen. Bringen ja nichts. Heißt, ich muss auch angemessen drauf reagieren können bestimmte Programme entweder quasi wieder schließen können, VPN Verbindungen kappen, irgendwelche Benutzerkonten zum Beispiel erstmal deaktivieren, clients in irgendwelche quarantänenetze schieben. Genau.

Wenn man das alles tatsächlich erkennen und reagieren kann, dann ist man da schon sehr, sehr weit fortgeschritten. Und das muss man doch eigentlich fast wie auch, wieso eine? Jetzt werde ich gerade ein bisschen militärisch, aber wieso eine, wieso eine Nato Übung eigentlich auch mal trocken

üben? So das kann ich mir auch gar nicht vorstellen, dass wenn man jetzt wartet bis dann wieder angriff kommt, ich habe das meinetwegen theoretisch und auf dem Blatt akademisch vorbereitet, dass ich es könnte und dann ist es so und dann mache ich das zum ersten Mal. Geht es doch sowieso schief, müsste man sich eigentlich sogar als Firma das Geld und die Zeit nehmen. Das sagst du wahrscheinlich schon am Anfang.

Ihr macht das ja genau bei diesem Pen Test, diesen Angriffen, dass man tatsächlich das auch alles mal übt, dass man sagt okay, wir infizieren jetzt hier tatsächlich mal ein System und wir fangen mal an zu verschlüsseln, wie Endschlüssel noch wie das Business nur eine Übung, so ganz genau, aber wir, aber wir lassen dann mal tatsächlich die IT schwitzen und gucken, was die da so an Netzwerken, Netzwerken, runterfahren können und Abisolieren.

Ganz genau also. Über alles, was wir jetzt geredet haben, die ganzen Prinzipien. Es ist schön und gut, wenn man sich Gedanken macht und das irgendwie einführt. Man muss immer das kritisch hinterfragen, funktioniert das denn so, wie ich das auch beabsichtigt habe? Im besten Fall lässt man es vielleicht auch mal extern testen, sage ich jetzt als Pentester. Und genau dafür ist eigentlich n Pen Test oder auch ein Red Teaming dann eben dafür da.

Vielleicht der Unterschied. Red Timing versucht das Ganze dann etwas nicht so offensichtlich zu machen, also Pen Test ist alles abgesprochen, man haut einmal mit dem Hammer drauf und guckt was man so findet. Red Teaming versucht das Ganze dann einfach schon mal ein bisschen verdeckter zu machen oder so verdeckt wie möglich, ohne dass die Leute jetzt Bescheid wissen oder nur ausgewählte Personen und dann wird geguckt tauchen denn die

Alarme bei den. Bei den It Administratoren auf falls ja, wie reagieren Sie, reagieren sie richtig, melden Sie das, sind die Gegenmaßnahmen wirksam. Ähm, genau. Also dafür gibt es auch tatsächlich, äh, einen Begriff und empfiehlt sich immer, wenn man viel Geld für Sicherheitsprodukte ausgibt, dass man die auch mal untersuchen lässt. Und Simon, wenn man, wenn man jetzt. Ich sag mal, wenn man jetzt vielleicht nicht gerade selber ne Softwarefirma ist, sondern macht jetzt irgendwie irgendein

anderes Business, was weiß ich. Man ist n Ingenieurbüro oder Architekturbüro oder was weiß ich, hat er ja trotzdem sehr viel mit IT zu tun heutzutage, wenn die ich sag mal die mitarbeiteranzahl 40 überschreitet oder irgendsowas dann ist ja muss ich mich ja schon kümmern, kann ich denn ich sag mal wenn ich mit einer guten Einkaufsliste losgehe und mein System denn das die Frage ist ja muss ich mir jetzt für 120000€ einen It Leiter einstellen der das alles begreift und der da

von Hand irgendwelche wilden Sachen irgendwie konfigurieren muss, irgendwelche Netzwerksegmentierung vornehmen muss was man als normalsterblicher sage ich mal gar nicht mehr verstehen würde oder kann ich quasi.

Irgendwie losgehen mit einer guten Einkaufsliste und mir Produkte kaufen und installieren mir quasi meine Firma intern so aufsetzen mit den standardprodukten sag ich mal die es halt so gibt, Microsoft 365 und so weiter aber ich sag mal nach einem guten Rezept so. Dass man, dass man das auch hinkriegt, ohne dass man jetzt. Man da jetzt irgendwie ein gewaltiges Team von 56, hochbezahlten Leuten haben, die dann nur irgendwie die die IT überwachen oder wie?

Verhältnis wie würdest du das irgendwie so wie sehen irgendwie? Oder muss man da wirklich noch mal selbst sehr viel Hand anlegen und manuell irgendwie

alles beobachten? Das klingt immer für mich so als ich, ich hab immer so von meinem geistigen Auge so n so n Kontrollraum mit ganz vielen Bildschirmen und da sitzen dann wie die die IT Jungs und dann piept es irgendwie rot und dann muss da irgendwie auf meiner Konsole irgendwas abgeschaltet werden und so weiter aber das ist ja das ist ja nicht denkbar für ein Unternehmen was jetzt irgendwie 40 Mitarbeiter hat und sonst eigentlich nichts mit Software zu tun hat sag ich mal.

Ne, genau also das, was du gerade im Kopf hast. Das nennt man dann soc oder Security Operation Center, wo die Leute tatsächlich auf solche Alarme warten und alles im Blick haben und darauf reagieren. Das haben tatsächlich auch von unseren Kunden die wenigsten. Das Ziel wäre natürlich, ab einer gewissen Größe das dann einzuführen und geschultes Personal dafür haben. Davor macht es trotzdem Sinn.

Ein it Leiter oder nicht it Leiter, aber ein it Admin zu haben, der sich irgendwie mit IT eben auskennt und das Interesse an Sicherheit auch hat. Weil ich glaube, einfach nur Produkte kaufen und Zusammenstöpseln ist immer schwierig. Und es geht ja auch, wenn ich dich jetzt richtig verstanden habe, auch in die physische,

echte Welt über. Ja, also du hast gesagt, der USB Stick, da muss da irgendwer geschult werden, diesen USB Stick bitte nicht vom Parkplatz auf zu sammeln oder ich kann mich in meiner Vergangenheit an etliche Schulungen erinnern, wo uns immer wieder gesagt wurde, ja bitte nehmt keine Passwörter die Passwort 123 heißen oder sowas, das wird jetzt heute von den meisten Softwareprodukten sowieso ja verhindert, aber damals ja weiß ich nicht vor 10 Jahren oder so, da wurde man da

geschult, ja, dass man das bitte nicht tun soll oder den Zettel nicht an den Bildschirm kleben soll. Das ist doch bestimmt auch n Teil dessen so ne Art Schulung so n Konzept die Mitarbeiter zu informieren oder ist ist sagt man sagt Zero Trust. Ist das dann eigentlich egal, weil na ja man vertraut denen ja eh nicht, also können sie machen was sie wollen. Nee, also das gehört definitiv auch noch mit dazu. Zero Trust ist einfach irgendwie ein sehr, sehr weitreichender Begriff und.

Genau, nichts, was man jetzt irgendwie einmal abhaken kann, sondern sich irgendwie einfach auf dem ganzen Weg mit begleitet und kontinuierlich einfach überwacht und weiter eingeführt werden muss. Cool?

Ja, dann ist es glaub ich schon ne ganz gute Überleitung zu den ja Handlungsempfehlungen oder den Umsetzungsempfehlungen ne und ich find das Beispiel was Burkhardt gemacht hat eigentlich ziemlich cool n unternehmen vielleicht mit 40 Mitarbeitern dann davon gibt es nämlich deutlich mehr in. Deutschland oder auf der ganzen Welt? Ja, als die Unternehmen mit 40000 Mitarbeitenden, die dann auch so n Sicherheitskontrollzentrum haben, mit ganz vielen Bildschirmen.

Ja so ne sind eigentlich die Mehrzahl der Firmen, sind ja kleinere und mittlere Unternehmen und alle die was was können, die tun ja wo fängt man an, was was muss man machen, ich glaub so n Panther ist ja auch nicht für jeden immer gleich die die beste Variante vermute ich ja weiß ich nicht, doch sag es. Nee, absolut. Also pentests einfach nur aus Zwang zu machen, hat nicht immer einen Sinn.

Man muss dann auch mit den Ergebnissen irgendwie zurechtkommen und natürlich auch irgendwie die Maßnahmen dann umsetzen können. Genau. Wir haben jetzt ganz viele Dinge angesprochen. Es ist wichtig, dass man, man kann einfach nicht alles auf

einmal machen. Man muss da priorisiert rangehen, man muss sich überlegen, was in meinem Unternehmen ist. Denn das Wichtigste für mich, ohne dass mein Unternehmen nicht weiter bestehen kann, und dann fängt man einfach damit an. Genau das heißt, man muss priorisieren und so. Meiner Meinung nach sollte man zuerst mal gucken, dass man den den Zugriff so weit wie möglich kontrolliert und beschränkt, dass jetzt nicht jeder auf die Geschäftsgeheimnisse zum Beispiel Zugriff hat, dass man

damit mal anfängt. Dass man die Rechte von den Benutzern so weit wie möglich einschränkt, dass sie tatsächlich nur das dürfen, was sie auch tatsächlich.

Ähm, können müssen. Und das letzte, was wir jetzt noch gar nicht so drüber gesprochen haben, sind die Backups. Backups zu haben ist einfach essentiell, weil das der letzte Notnagel ist, wenn tatsächlich mal irgendwie n Angreifers geschafft hat und alle Maßnahmen umgangen hat, muss ich irgendwie wieder mein Unternehmen zum Laufen kriegen und da sind dann Backups eben einfach essentiell, jetzt sehr viel leichter gesagt als es am Ende dann wirklich

ist, weil auch bei Backups kann man sehr viel falsch machen, sie müssen einem Angriff auch tatsächlich standhalten. Dürfen nicht irgendwie mit verschlüsselt werden oder sonstwie unbrauchbar gemacht. Da kann man bestimmt auch ne ganze Podcast folge damit füllen. Deswegen will ich da jetzt gar nicht so viel sagen, aber backups? Kommt jetzt aber trotzdem noch ne fiese Frage von mir woher? Ja.

Was ist denn, wenn ich so n schon so n modernes Unternehmen bin und hab meine ganzen Firmendaten, meine relevanten Firmendaten in der Cloud, zum Beispiel bei Google oder bei Microsoft auf deren Servern muss ich dann immer noch von muss ich dann immer noch selber n Backup machen, das ist ja irgendwie schon. In der Cloud und von den Multifach Gebäckued und irgendwie wahrscheinlich Geo, geographisch sogar getrennt auf verschiedene Servern unterwegs

und so weiter und. Ne Chance das irgendwie besser zu machen als das Google sowieso kann, weil ich mein, also wenn sie die irgendwie alle komplett kaputt hacken, dann ist ja sowieso Feierabend. Irgendwie würd ich sagen so auf. Also doch, es wird sich trotzdem trotzdem Backups zu machen. Also. Auch wenn Microsoft die Daten doppelt und dreifach hat und an unterschiedlichen Stellen können Sie ja trotzdem zum Beispiel gelöscht werden, oder? Sonst wie Manu manipuliert, verschlüsselt.

Deswegen ist es auch da wichtig, dass man die irgendwie Backup und zum Beispiel auf nen eigenes Nass oder sonstige Festplatte einfach mal sichert. Okay voll interessant das und das ist nämlich aber gar nicht so trivial. Das musst du erstmal hinkriegen. Irgendwie so n Google Drive irgendwie auf ein nass irgendwie zu backupen und so weiter da müsste ich jetzt auch kurz mal drüber nachdenken, wie ich das überhaupt machen würde technisch.

Genau gibt es aber auch. Unterschiedliche Anbieter wieder muss man sich vielleicht mal ne Software kaufen oder irgendwelche. Ja genau. Also ich geb das jetzt hier mal gerade ganz offen zu im Podcast. Ich weiß nicht mehr, hatte ich mir jetzt die Kniescheife rausschieße. Also das haben wir glaub ich auch schon mal gesagt. Gerd und ich, wir sind ja mit dem Google Konzern verhaftet sag ich mal.

Wir haben uns für diese Ganzen für diese G Suite entschieden und damit machen wir unser Komplettes unser komplettes Office Management. Alle Dokumente sind im Google Drive also jetzt nicht unter dem freien Account, also wir schmeißen auch schon Münzen für ein. Und da gibt's ja auch Richtlinien und so weiter und ich hab jetzt bisher gedacht okay, also da schmeißt du Münzen ein und das wird ja garantiert von Google und da sind die Daten

jetzt erstmal safe. Ich wär jetzt erstmal bis eben gerade vor einer Minute nicht auf die Idee gekommen, mir das jetzt noch mal alles irgendwie abzuziehen und lokal zu speichern, aber vielleicht sollte man tatsächlich darüber nachdenken. Bei Google weiß ich gerade nicht die Integration in so einen normalen Dateiexploer, aber man hat ja Zugriff auf die Dateien und kann die.

Aufmachen. Verändern außer sowieso, denn ne genau ja, auch vom Telefon aus und so weiter ja ist ja alles, ist ja auch total praktisch, dass das. Das heißt, es hindert ja n Angreifer nicht, die Dateien einmal irgendwie zu nehmen, zu verschlüsseln und dann da wieder abzulegen. Dann ja hat man vielleicht bei Google den Vorteil, dass man einfach zurückgeht in der es. Trotzdem, Versioniert war schon nicht, die haben genau die Rennen, die machen ja irgendwie, dass.

Man das und sich da einzuloggen. Also ich ich wenn es erstmal ein fremdes Gerät ist, dann gibt es eine 2 Faktor Authentifizierung. Jetzt führen die diese Paskies ein, also. Vielleicht noch mal sicherer ist also, warum sollten Sie es sonst einführen und so. Also ich, ich, ich und ich muss mich an meinem Standard Laptop also das gleiche Gerät eigentlich auch fast jeden Tag einmal neu authentifizieren ne also ich hallo ich bin es ich ich kenn mein Passwort noch

irgendwie. Ja, also es ist schon. Nicht ganz so einfach, oder? Also. Also wer auf Nummer sicher gehen will, der Macht auf jeden Fall auch noch mal backups. Ja, alles klar. Okay das nehme ich mit. Guti ja prima, also wo Staaten? Du hast gesagt minimale rechte Prinzip, zugriffskontrolle, Segmentierung sind so Dinge die auch für kleinere Firmen ein muss sind. Ja das das Budget muss da sein,

das ist einfach. Im letzten Jahr ist immer einfach viel teurer, wenn es dann zu einem Vorfall kommt als vorher. Ja die Münzen einzuschmeißen, wie Burkhardt immer sagt und einfach ja den Kram zu bezahlen und und und vernünftig sich da Hilfe zu holen, ne. Hast du da ne daumenregel wieviel Prozent so ne es gibt ja jetzt hier, Trump sagt 2% muss ins in die Verteidigung ausgegeben werden, so ja wieviel muss die Unternehmen Unternehmer an Prozenten für die Verteidigung aufwenden, was

würdest du sagen? Gibt es da. Keine Zahl, keine Ahnung. OK. Ist auf jeden Fall immer zu wenig. Ja, aber wahrscheinlich ist das auch ne so ne Nummer, die zumindestens bei 2% ist. Denk ich mal. Vielleicht sogar vielleicht etwas mehr. Denn genau das Desaster ist. Ja, relativ groß. Ja, also. Dieser Markt an Softwarefirmen und so also die wachsen alle wie Sau.

Ja, also diese ganzen, vor allem diese US Firmen und so und die die da in diesem Markt unterwegs sind weiß ich nicht pallo Alter networkset Scaleer und so Fortinet die sind alle Recht erfolgreich unterwegs und das ist ja alles, die machen ja diesen ganzen Kram irgendwie ne. Kann sich ja mal vielleicht ausrechnen, wieviel denn so ein Angriff kosten würde im eigenen Unternehmen, wenn das Unternehmen irgendwie 23 Wochen Minimum still steht, was man dafür Verluste macht.

Rechnet man nochmal ein paar Prozent obendrauf, weil man ja auch irgendwie externe Hilfe vielleicht braucht. Rechtliche Konsequenzen, vielleicht auch noch entstehen, wenn die ganzen Daten abgeflossen sind und solche Dinge. Ich hab noch ne letzte Frage. Ich glaube die Zeit ist schon relativ weit fortgeschritten.

Wir müssen auch sehen, dass wir da irgendwann den Sack zumachen, wie Gerrit das so schön sagt, aber noch mal kurz, wir hatten das Thema, was mache ich eigentlich wenn ich 40 Mitarbeiter habe ich und ich habe tatsächlich ein Beispiel meine. Ähm, die Firma meiner Frau ist ungefähr in dieser Größe und das sind Architekten. Softwarearchitekt und echte Architekten.

Und die haben tatsächlich jetzt, ähm, die haben halt so viel IT, auch Server und Austausch und auch so viel wichtige relevante Daten, diese Ganze, das wird ja heute auch alles, wird ja nicht mehr auf Papier gezeichnet, ist ja alles elektronisch, die ganzen Pläne und Entwürfe und Visualisierung.

Und die haben tatsächlich einen IT Leiter, ein It Verantwortlichen, nicht Architekten, sondern nur sich vollständig 40 Stunden um diese Sachen kümmert eingestellt und sind total zufrieden und und der ist tatsächlich Mädchen für alles auch oder Junge für alles in dem Falle und guckt halt tatsächlich auch, dass die Rechner irgendwie ordentlich sind, dass da keiner einen USB Stick reinstellt, der macht das

ganzheitlich sage ich mal. Das ist ja vielleicht die eine Alternative und jetzt die Frage die andere alternative, du sagst es selber, es gibt ja so kompetenzcenters. Wo die ganzen Herren eigentlich nichts anderes machen, als auf so Alarme warten, irgendwas überwachen und Monitoren kann ich denn gibt es denn da schon Angebote, wo ich quasi als Mittelständler sagen kann, oh, ich hänge mich daran, ich

outsourced das externe. Und Ruf mal bei so einer Firma an und die legen irgendwie n Kabel bei mir hin und überwachen von der Ferne mit deren Mitarbeitern, was bei mir so Phase ist und ob da alles irgendwie cremig ist oder ob da schon die Viren durch die Gegend schleudern. Irgendwie. Gibt's sowas? Genau, es gibt es auf jeden Fall auch als externen Dienstleister zum als Angebot bei einer Größe von 40 Leuten macht es vielleicht mehr Sinn da erstmal so ne externe IT Abteilung

sozusagen sich einzukaufen. Die das eventuell schon irgendwie zumindest grundlegend mitmacht. Also auch diese Alarme zu überwachen und so weiter genau erster Schritt wäre mal NIT Abteilung und dann so ein komplettes Socküberwachung ja. Das muss ich jetzt nicht exklusiv nur für meine Firma sein.

Ich dachte, es gibt vielleicht socks, die halt dann irgendwie 1020 3040 Firmen betrauen als Kunden zusammenfließt, da irgendwie nur als Zentrale gibt es auch genau, aber trotzdem, und da bin ich trotzdem ein bisschen größer schon als 40 wenn ich da anfange. Okay alles klar. Ich behaupte jetzt mal, dass bei beim Thema Security, da gibt es wahrscheinlich mehr Anbieter als man als man bräuchte, weil man da weiß, dass man da auch n bisschen Geld mit verdient.

Und ich vermute auch da wird, da gibt es auch Anbieter, die sind so n bisschen Shady, oder was heißt Shady aber nicht. Also du kannst ja jetzt erstmal nicht so richtig beurteilen, sind die Leute wirklich richtig gut?

Ja, weil es hat auch nicht jeder ne Möglichkeit sich mal ne Stunde im Podcast hinzusetzen und mal zu erzählen, was man alles weiß und und was man schon erlebt hat und so weiter und sofort ne, also hast du da auch irgendwie so n paar Tipps und Hinweise auf was man vielleicht als unbedarfter. Suchender als potenzieller Kunde und auch was man gucken sollte, worauf man achten sollte, wenn man jetzt ne Zusammenarbeit, ne in die in die Zusammenarbeit gehen möchte mit jemanden.

Also ich hab jetzt keine Schlagworte, was wir mitbekommen, wie sie quasi wie Pentestanbieter ausgesucht werden, ist oft über Empfehlungen, also andere Leute haben schon gute Erfahrungen gemacht mit einem Penteßanbieter. Die haben nichts gefunden, die sind gut. Ist die Frage, wenn man nichts findet, ob man dann gut oder schlecht ist. Also vielleicht einfach mal so n bisschen rumfragen in seinem Netzwerk, wie die Erfahrungen so sind. Ansonsten habe ich da leider keine Tipps.

OK, passt. Und dabei geht einfach zu sie zu Simon Holle und seiner GMBH. Da weiß man, dass man geworden

ist. Das können wir ja mal so sagen, bisschen Werbung, die die Werbung dürfen wir machen im Podcast, wenn wir schon Gäste haben, die sich die Zeit nehmen, uns mit unserem Expertenwissen zu bereichern, das ist ja, ich glaube, das ist vielleicht auch, was du jetzt noch sagen wolltest, Gerrit, aber ich will es dir nicht vorwegnehmen, das Wort, aber Simon, vielleicht willst du noch ein bisschen was sagen zu dir und der Firma und wie man dich erreichen kann.

Ja, so einen kleinen Roundup ruhig noch mal so ein. Bisschen? Ja, genau. Als Fazit, Zusammenfassung und dann machst du genau das perfekt. Genau also erstmal die Zusammenfassung. Der klassische Ansatz war, du bist hier im Unternehmen, dann gehörst du wohl dazu, fühl dich einfach wie zu Hause. Dann kam aber der Ansatz mit Zero Trust Weise nach, wer du bist, dann sag ich dir was du darfst. Außerdem behalte ich dich im Auge und werfe dich gegebenenfalls wieder raus.

Genau in Zero Trust sind verschiedene unterschiedliche Prinzipien zusammengefasst, die man in jeder Unternehmensgröße und Branche einführen sollte, um es einfach Angreifern so schwer

wie möglich zu machen. Genau, und dann natürlich auch wichtig, die Maßnahmen zu überprüfen und kritisch zu hinterfragen und da kommen wir, die mind Bites ins Spiel, wir machen Pen Tests und Dread Teamings und ihr findet uns auf mindbytes.de oder auf Linkedin einfach suchen nach Simon Holl zum Beispiel, da findet ihr mich. Perfekt. Das verlinken wir natürlich in den Shownotes super vielen herzlichen Dank Simon, dass du, dass du hier warst und dein dein Wissen mit uns und den Hörern

geteilt hast. Ja, war cool, ich hab auch wieder was gelernt. Und ja danke. Ja, danke auch und hat mich auch gefreut. Ja, auch lieben dank von meiner Seite Simon. Und dann ja was sag ich Schönes aus Hamburg oder Zwölftest wie immer Schiss aus Hamburg. Einfach komplex wird präsentiert und produziert von Highsomware. Wir freuen uns auf deine Fragen und deinfeedbackanpodcast@heiseweb.com vielen Dank fürs Hören dieser Folge bis Dienstag in 2 Wochen und Tschüss aus Hamburg.