Headless Chicken Mode

Shownotes

Sicherheitsstrategien: Vorbereitet für den Cyber-Ernstfall (Artikel von Jan Frongia und Marcel Herder)

Vortrag: „Was macht gute Incident Response aus?“ beim HiSolutions „Knowhow to go“ von Paulin Deupmann und Lena Morgenroth)

Weiterführende Infos zu den Themen Cyber-Response und Forensik (mit Vortragsvideos)

HiSolutions zum Thema Krisenmanagement (mit Vortragsvideos)

Transkript anzeigen

00:00:00: Da war eigentlich ab dem ersten Moment, wo klar ist, dass es sich um eine Verschlüsselung

00:00:05: handelt, eigentlich immer dasselbe: „Headless Chicken Mode".

00:00:08: Man ist sofort total in einem absoluten Emotionskanal und versucht dann irgendwie mit tollen Ideen

00:00:14: da loszukommen.

00:00:15: HiWay, dein Wegweiser für Digitalisierung und Sicherheit.

00:00:25: Präsentiert von HiSolutions.

00:00:27: Hallo und herzlich willkommen zu HiWay, dem Podcast der HiSolutions, mit drei Fragen

00:00:37: an einen Experten in zehn Minuten, zumindest wenn wir nicht zu schnell reden.

00:00:41: Ich bin Lena, ich bin ein neues Gesicht im Moderationsteam bei HiWay, ich bin von Haus

00:00:47: aus Informatikerin, ich mache bei uns, wenn ich nicht gerade im Podcast sitze und mit

00:00:50: meinen Kollegen quatsche technische Sicherheitsprüfungen, ich gucke, wo was konfiguriert ist.

00:00:55: Sicherheitskritisch kaputt konfiguriert ist oder ich mache technische Konzepte, wo ich

00:00:59: mir überlege, wie man Dinge von vornherein so konzipieren, reinrichten kann, dass sie

00:01:05: nicht sicherheitskritisch kaputt sind.

00:01:07: Und im Podcast würde ich sagen, ist mein Job zu gucken, dass wir unsere technischen Kollegen

00:01:12: auch vor die Kamera bekommen.

00:01:13: Und ich bin total froh, Jan, dass du hier bist, es war auch gar nicht schwer, dich vor die

00:01:18: Kamera zu bekommen.

00:01:19: Genau, ich freue mich, dass du da bist, du bist Praktiker, du bist Fachinformatiker 

00:01:24: Systemintegration, du hast viele Jahre, ich weiß nicht, wie viele Jahre Rechenzentren

00:01:29: aufgebaut, Infrastrukturen geplant.

00:01:32: Und nachdem es dir dann vielleicht irgendwann zu langweilig wurde, die Dinger nur aufzubauen,

00:01:36: hast du dir gedacht, du gehst in IT-Service Continuity Management, was so die Disziplin

00:01:42: ist, die sich damit befasst, wie eine Infrastruktur, die schon steht, am besten weiterläuft,

00:01:47: auch wenn es vielleicht Störfälle gibt.

00:01:49: Genau.

00:01:50: Genau.

00:01:51: Und jetzt bist du aber noch wo weiter gegangen, du bist, du hast irgendwie in der Vorbereitung

00:01:54: gesagt, das ist das, worauf du eigentlich immer voll Bock hattest, du bist in die Incident

00:01:58: Response gewechselt, das heißt, du beschäftigst dich jetzt damit, was passiert, wenn es gekracht

00:02:02: hat und wie man danach wieder zum Fliegen kommt mit seiner IT.

00:02:05: Richtig?

00:02:06: Genau.

00:02:07: Wie kriege ich den Kunden wieder in eine stabile Seitenlage?

00:02:09: Ja.

00:02:10: Und hoffentlich schafft das nachher aus der Seitenlage auch wieder aufzustehen.

00:02:13: Frage 1.

00:02:16: Du hast ganz schön viel Geschichte, auch wenn du noch nicht so lange in der Incident Response

00:02:20: bist, haben wir uns unterhalten, dein erster Ransomware-Vorfall, den du betreut hast,

00:02:25: der ist über 10 Jahre her.

00:02:26: Ja, das ist über 10 Jahre her, das war eine sehr skurrile Situation.

00:02:30: Wir wussten gar nicht, was da passiert.

00:02:32: Also das war 2014 oder 2013, ich kann es nicht mehr genau beziffern, wo wir tatsächlich

00:02:38: gerufen wurden zu einem Bildungsinstitut und dann festgestellt haben, die Daten sind verschlüsselt.

00:02:44: Das kannten wir von kleinen PCs, so diese kleine Ransomware, wo mal ein PC wegverschlüsselt

00:02:48: wurde, das kannte man aber so in diesem großen Umfang.

00:02:51: Das war für mich komplett Neuland.

00:02:53: Und auch für mein Team damals, wir waren dann bei dem Kunden, haben versucht, ihm

00:02:57: beizustehen, um eben wieder Backups herzustellen oder irgendwelche Daten zu finden, sind dann

00:03:03: auf diese Ransom-Note, die damals auch ein bisschen hemdsärmlicher war, als es heute ist, sind wir

00:03:08: die gestoßen und dann haben wir selber versucht mit dem Angreifer zu verhandeln.

00:03:12: Also wir sind tatsächlich damals mit dem Angreifer in Verhandlungen getreten und haben

00:03:16: dann versucht, also das war wie auf ein Basar, wir haben dann versucht irgendwie von 100.000

00:03:21: auf 30.000, zum Schluss waren es dann 3000 Dollar, also das war ein wahnsinniges Hin und

00:03:26: Her und ist aber auch gut ausgegangen, also es wurde damals zwar ein Decryptor bereitgestellt,

00:03:33: der aber nicht funktioniert hat, also so viel zum Thema hemdsärmlich damals und wir haben

00:03:37: dann tatsächlich aus alten Backups das Unternehmen wieder aufbauen können.

00:03:41: Aber das war damals sehr hemdsärmlich noch, das war mein erster Ransomeware-Fall.

00:03:45: Und ich musste damals schon feststellen, wenn das professionalisiert wird, dann wird es eklig.

00:03:51: Und das wurde, oder?

00:03:52: Ja, es wurde professionalisiert.

00:03:54: Also das ist überhaupt gar nicht mehr zu vergleichen mit den Dingen, die man heute vorfindet.

00:03:59: Also heute ist da so viel Professionalität dahinter, da sind richtige Support-Zentren dahinter,

00:04:06: da sind meiner Meinung nach voll angestellte Mitarbeiter, die dann den Support bieten,

00:04:12: dass man praktisch an seine Entschlüsselung, also die Dekryptoren kommt nach der Zahlung von

00:04:18: Lösegeld und man merkt, dass da viel Infrastruktur dahinter steckt, dass da viel kriminelle

00:04:25: Energie dahinter steckt und ja, einfach ein professioneller Service.

00:04:28: So was, was auf der anderen Seite vielleicht auch professionell wäre, also das ist wirklich

00:04:33: ein richtig professioneller IT-Service, den man da bekommt und das ist dann schon erschreckend.

00:04:38: Also heute selber in Verhandlungen gehen ist ein absolutes No-Go, also das muss dann

00:04:43: ein Professioneller machen, der dann dafür wirklich auch die psychologische Ausbildung hat, um

00:04:46: uns in so eine Verhandlung zu treten.

00:04:48: Das ist ein absolutes No-Go heutzutage.

00:04:50: Aber damals war das für mich so okay, was passiert hier?

00:04:54: Okay, krasse Entwicklung über die Zeit.

00:04:56: Ja.

00:04:57: Frage 2.

00:05:00: Es gibt ja wahrscheinlich auch Dinge, die sich nicht so sehr verändert haben, oder?

00:05:04: Ja.

00:05:05: Was sich nicht verändert hat, ist dieser, also bei dem ersten Fall war es für mich so,

00:05:09: was passiert hier?

00:05:10: Neugierde geweckt, was passiert?

00:05:12: Die Fälle, die danach kamen, da war eigentlich ab dem ersten Moment, wo klar ist, dass es

00:05:18: sich um eine Verschlüsselung handelt, eigentlich immer dasselbe: „Headless Chicken Mode".

00:05:22: Man ist sofort total in einem absoluten Emotionskanal und versucht dann irgendwie mit tollen Ideen

00:05:28: da loszukommen.

00:05:29: Ich erinnere mich an einen großen Fall, wo ich gerade im Auto auf dem Weg in die Arbeit

00:05:35: saß und dann bin ich da meine Stammstrecke gefahren und dann irgendwann rief der Kunde

00:05:40: an und hat mir das Fehlerbild erklärt.

00:05:43: Und ich wusste, dass wir da vorne Migrationen gemacht haben und einige Sachen noch nicht

00:05:47: ganz fertig waren.

00:05:48: Und der Kunde schildert mir das Fehlerbild und in dem Moment ging mir direkt die Klappen runter.

00:05:53: Ich habe gedacht: Scheiße, Ransomware!

00:05:56: Und ab dem Moment bin ich dann umgedreht auf der Autobahn,

00:05:59: also natürlich nicht als Geisterfahrer,

00:06:01: sondern ich habe die nächste Auswahl genommen.

00:06:02: Und ich muss wohl irgendwie zu den Kunden gekommen sein.

00:06:06: Ich war komplett, also ich weiß heute nicht mehr,

00:06:08: wie diese Fahrt gelaufen ist, wie bin ich dahin gekommen,

00:06:10: weil in meinem Kopf wahnsinnig viele Gedanken explodiert sind.

00:06:13: Und das ist eigentlich, wenn man direkt betroffen ist, bis heute so.

00:06:17: Das hat sich nicht geändert.

00:06:18: Also es ist immer so, dass man erst mal komplett in Panik verfällt,

00:06:22: sich an überhaupt keine Richtlinien hält

00:06:24: und immer alles Mögliche versucht, alle gehen in alle Richtungen,

00:06:27: aber nicht konsolidiert.

00:06:29: Und das ist das, was bis heute gleich geblieben ist.

00:06:32: Diese psychologische Komponente, jetzt hat es mich getroffen,

00:06:35: jetzt hat es uns getroffen, Holla die Waldfee.

00:06:38: Das heißt aber auch, dass, was es dann in dieser Situation braucht,

00:06:41: um die psychologische, die menschliche Komponenz zu adressieren,

00:06:44: hat sich wahrscheinlich auch nicht so sehr verändert?

00:06:46: Ne, das hat sich nicht verändert.

00:06:48: Es wurde aber auch professionalisiert.

00:06:50: Also wenn wir mit unserem Einsatz-Team kommen,

00:06:52: dann schauen wir, dass wir die Menschen entsprechend einfangen,

00:06:55: dass wir die Menschen auf die Position setzen,

00:06:58: wo sie gerade sinnvoll sind und vor allen Dingen,

00:07:00: dass sie nicht überlasten.

00:07:01: Das ist ganz wichtig in solchen Fällen.

00:07:03: Nicht überlasten heißt?

00:07:04: Also ich stelle mir jetzt vor, es geht wirklich um Zeit,

00:07:06: es geht ja manchmal um viel Geld.

00:07:08: Man muss also sozusagen in jeder Minute,

00:07:10: wird ja in manchen Situationen, in der Produktion oder im Onlinehandel,

00:07:14: Geld verloren.

00:07:16: Da muss es ja eigentlich darum gehen,

00:07:17: alles so schnell wie möglich wieder zum Fliegen zu bringen.

00:07:19: Was heißt in der Situation nicht zu überlasten?

00:07:21: Also das ist genau die Motivation, die Unternehmen,

00:07:23: die gecybert werden, also Entschuldigung für dieses Wort,

00:07:26: „weggecybert".

00:07:27: Das ist genau die Motivation, die sie dann an den Tag legen.

00:07:29: So viel Manpower wie möglich drauf zu setzen,

00:07:32: um Dinge schnell zu machen, aber diese Dinge schnell machen.

00:07:35: Das muss vorher erst mal klar dargelegt werden,

00:07:37: was müssen wir eigentlich tun, in welche Abfolge?

00:07:39: Und wer macht was und vor allen Dingen auch wie lange?

00:07:41: Weil wenn ich jetzt, nehmen wir mal einen mittelständischen Betrieb,

00:07:44: der hat vielleicht zwei Admins,

00:07:46: dann hat er vielleicht noch ein Systemhaus an der Hand

00:07:48: mit drei, vier Leuten zur Seite.

00:07:50: Diese zwei Admins von dem Unternehmen,

00:07:52: die können ja nicht zehn Tage am Stück 24 Stunden arbeiten,

00:07:56: obwohl das wahrscheinlich deren/ihren Antrieb ist.

00:07:58: Und dann kommen halt Incident Responder,

00:08:00: inklusive Krisenmanager und die phasen das ein bisschen ein.

00:08:05: Okay, ihr schickt die Leute irgendwann nach Hause,

00:08:06: ihr guckt, dass sie was zu essen bekommen.

00:08:10: Ja, Nahrung ist tatsächlich ein wichtiges Thema,

00:08:11: da habe ich auch schon öfter darüber referiert.

00:08:13: Meistens möchte man ja Energie haben

00:08:17: und deswegen werden Incident Responder die ersten Wochen,

00:08:20: also eigentlich, wenn wir nicht eingreifen,

00:08:22: wahrscheinlich auch endlos mit Red Bull und Gummibärchen gefüttert,

00:08:26: mit Energy Drinks und Gummibärchen,

00:08:28: was natürlich nicht gerade vorteilhaft ist.

00:08:30: Also hier ist es natürlich wichtig,

00:08:31: dass man da am Schwenk macht auf, vielleicht sinnvolle Ernährung.

00:08:34: Frage 3. Was ich ganz spannend finde ist,

00:08:39: das sind ja so einige menschliche Aspekte,

00:08:41: die du mit reinbringst, also in der Reaktion von den Leuten,

00:08:43: aber auch in dem, wie ihr dann sozusagen

00:08:46: mit der Situation umgeht.

00:08:48: Und du hast in dem Artikel für die iX,

00:08:50: die du mal veröffentlicht hast mit dem Kollegen zusammen,

00:08:52: ich zitiere dich mal frei, hast du sowas gesagt,

00:08:55: wie jeder Cybervorfall,

00:08:56: ist eigentlich auch gleich eine Team-Building-Maßnahme.

00:08:59: Und das klingt für mich spannend,

00:09:00: weil ich mir vorstelle, ihr wachst ja mit dem Team vor Ort zusammen

00:09:03: von der Organisation, die ihr unterstützt.

00:09:04: Was braucht es denn, damit ihr danach auch wieder gut rauskommen könnt?

00:09:07: Also ich würde erstmal das mit der Team-Building-Maßnahme aufgreifen.

00:09:10: Das klingt sehr plakativ

00:09:11: und das klingt vielleicht für Leute, die betroffen waren,

00:09:14: erstmal so, boah, was redet ihr da eigentlich?

00:09:17: Aber tatsächlich ist es so,

00:09:18: innerhalb eines Incidents wächst das Team entsprechend zusammen.

00:09:22: Man lernt sich ganz anders kennen in dieser Drucksituation

00:09:25: als in der normalen Troubleshooting-Phase,

00:09:28: wenn man sagt, okay, wir machen IT zusammen,

00:09:30: wir sind halt die Atmens.

00:09:31: Also das schweißt richtig zusammen,

00:09:33: das ist tatsächlich ein Thema.

00:09:34: Wenn wir als Incident Responder dazukommen,

00:09:37: dann schweißt uns das mit auch zusammen.

00:09:39: Also wir lernen die Menschen kennen nach mehreren Wochen,

00:09:43: also mein längster Einsatz war tatsächlich sechs Wochen am Stück,

00:09:46: also natürlich mit einem einen Tag, zwei Tage Ruhe mal.

00:09:49: Und da lernt man die Menschen auf eine ganz spezielle Art kennen,

00:09:52: weil die Menschen ständig in irgendeiner Krisensituation sind.

00:09:55: Das schweißt zusammen, im günstigsten Fall,

00:09:58: ab und zu reibt es natürlich auch mal,

00:09:59: aber das schweißt sehr zusammen.

00:10:01: Und wenn wir dann aus diesem Fall rausgehen,

00:10:05: dann brauchen wir auch erstmal einen Cool-Down,

00:10:07: dann müssen wir uns erstmal wieder lösen.

00:10:09: Sowohl mental als auch fachlich von dem Kunden.

00:10:12: Wie sieht das aus?

00:10:13: Na ja, man geht in eine Nachbetreuung,

00:10:15: man hält immer wieder Kontakt zu dem Kunden,

00:10:17: in festgelegten Intervallen entweder sind das so zwei Tage, je nach Schwere des

00:10:21: je nach Stand, wie die Infrastruktur gerade steht,

00:10:26: bis hin zu dem Wochenrhythmus, dass man fragt, wie geht es euch,

00:10:29: kommt ihr klar, braucht ihr noch Hilfe von uns,

00:10:31: können wir euch noch irgendwie unter die Arme greifen.

00:10:33: Aber ja, normalerweise, dieses Cool-Down passiert dann eigentlich

00:10:37: in dieser Phase, wo man sagt, wir machen jetzt nicht gleich

00:10:40: den nächsten Fall, sondern wir kommen erst mal runter.

00:10:43: Ja, vielen Dank dir, Jan, für den Einblick in sozusagen die menschliche Seite

00:10:47: von dem, was so richtig lebhaft passiert, wenn es kracht,

00:10:50: wenn jemand gehackt wird, wenn vielleicht große Teile

00:10:53: der Infrastruktur nicht verfügbar sind.

00:10:55: Ich sage dir herzlichen Dank für die Einblicke.

00:10:57: Ich sage euch herzlichen Dank, liebes Publikum,

00:11:00: fürs Dabei sein, fürs Zuhören, fürs Interesse.

00:11:03: Ihr könnt gerne, wenn es euch interessiert, noch nachlesen

00:11:07: in den Shownotes, da ist der Artikel verlinkt,

00:11:09: den Jan mit einem Kollegen veröffentlicht hat.

00:11:12: Und es gibt auch von uns noch eine, wer interessiert ist in ein bisschen

00:11:16: die menschliche Seite von dem Incident Response 

00:11:18: gibts ein Know-how to go, auch noch ein Videoaufnahme.

00:11:21: Die können wir auch in den Shownotes verlinken.

00:11:23: Und ansonsten freue ich mich einfach, wenn ihr das nächste Mal

00:11:25: wieder dabei seid, wenn wir in 10 Minuten

00:11:27: einem Experten oder einer Expertin drei Fragen stellen.

00:11:30: HiWay, der Wegweiser für Digitalisierung und Sicherheit.

00:11:37: Präsentiert von HiSolutions.

00:11:41: Hat dir diese Episode gefallen?

00:11:43: Dann abonniere den Podcast und empfehle unsere Folgen weiter.

00:11:46:

Neuer Kommentar

Dein Name oder Pseudonym (wird öffentlich angezeigt)
Mindestens 10 Zeichen
Durch das Abschicken des Formulars stimmst du zu, dass der Wert unter "Name oder Pseudonym" gespeichert wird und öffentlich angezeigt werden kann. Wir speichern keine IP-Adressen oder andere personenbezogene Daten. Die Nutzung deines echten Namens ist freiwillig.