„Hafnium & der Tag X“: Lukas Reike-Kunze zeigt, wie Incident Response bei Cyberangriffen unterstützt

00:00:00: Wir hatten quasi plötzlich ein Notfall-Szenario für uns als Firma,

00:00:05: aber nicht, weil wir selbst betroffen waren,

00:00:07: sondern weil wir überrannt worden sind von Kundenanfragen.

00:00:10: Und unser Anspruch ist, zu helfen.

00:00:12: HiWay, dein Wegweiser für Digitalisierung und Sicherheit.

00:00:22: Präsentiert von HiSolutions.

00:00:24: Hi und willkommen zu einer neuen Folge von HiWay,

00:00:29: dem Podcast der HiSolutions.

00:00:31: Für die Leute, die neu dabei sind, aber auch für unsere alten Zuhörer,

00:00:34: wiederholen wir immer wieder gerne das Format.

00:00:36: Vielleicht kennt ihr es schon, wir haben immer wieder eine Folge

00:00:39: mit einem Experten zu einem Thema, drei Fragen und zehn Minuten.

00:00:43: Heute haben wir ein ganz besonderes Thema,

00:00:45: das hebt sich so ein bisschen ab von unseren anderen Themen,

00:00:48: weil es an einer ganz anderen Stelle ansieht.

00:00:51: Heute geht es um Incident Response, also quasi was passiert,

00:00:55: nachdem der Krisenfall bei uns schon eingetreten ist.

00:00:58: Und ich freue mich besonders heute mit Lukas Reike-Kunze

00:01:01: darüber sprechen zu dürfen.

00:01:03: Lukas, du bist bei uns innerhalb der HiSolutions Team Manager

00:01:06: im sogenannten Blue Team, einer der Team Manager im Blue Team.

00:01:09: Das heißt, du bist eigentlich schon echter Profi für Cyber-Angriffe

00:01:12: und für Krisenbewältigung.

00:01:14: Du hast schon unzählige Unternehmen unterstützt,

00:01:17: beeindruckend ist, dass du an über 100 Krisenübungen

00:01:20: schon teilgenommen hast und das ist echt cool,

00:01:23: du hast einen BSI-Standard mit verfasst.

00:01:26: Heute verrät uns Lukas, wie man sich auf den Ernstfall vorbereiten kann,

00:01:30: wie man mit dem Ernstfall umgehen kann

00:01:32: und wie er das aus Sicht des Experten sieht.

00:01:34: Ich freue mich, dass du da bist, Lukas.

00:01:36: Vielen Dank. Ich freue mich jetzt zu sein.

00:01:39: Frage 1.

00:01:41: Ich habe ja schon angedeutet, dass es ein bisschen mehr

00:01:43: ein anderes Gebiet als das, was wir bisher immer besprochen hatten,

00:01:46: auch im Podcast.

00:01:48: Wie wird man eigentlich Kunde für Incident Response

00:01:50: bei HiSolutions?

00:01:52: Eigentlich will man ja Kunde nicht bei uns werden,

00:01:55: wenn man mal ganz ehrlich ist, weil wir helfen dann,

00:01:58: wenn es passiert ist.

00:02:00: Wir sind reaktiv tätig.

00:02:02: Natürlich tun wir im besten Fall quasi in der Vorbereitung,

00:02:05: dass das nicht passiert, aber 100%ige Sicherheit,

00:02:08: weiß man

00:02:10: , ist quasi nicht möglich.

00:02:13: Man muss mit dem schlimmsten Fall rechnen.

00:02:16: Also muss man sich darauf auch vorbereiten.

00:02:18: Das bedeutet, dass man sich die Frage stellen muss,

00:02:20: wer hilft mir denn im Fall der Fälle?

00:02:22: Ich kann natürlich selbstständig mich als Unternehmen vorbereiten,

00:02:24: aber meistens fehlt Know-how

00:02:26: für spezifische Fragestellungen des Incident Response.

00:02:28: Das kann zum Beispiel in der Forensik sein,

00:02:30: in der Analyse, was ist passiert,

00:02:32: aber auch solche Elemente wie zum Beispiel auch Krisenübungen

00:02:35: helfen dabei, sich darauf vorzubereiten,

00:02:37: Fragestellungen zu finden.

00:02:39: Aber dann am Tag X selber in der Krise unter Stress,

00:02:42: im Krisenstab zu arbeiten, ist auch nicht immer einfach.

00:02:45: Und auch da kann man quasi Unterstützung bekommen.

00:02:48: Und Kunde bei uns will man nicht werden,

00:02:50: aber im Fall der Fälle kann man anrufen.

00:02:52: Das kann bei unseren Beratungskunden zum Beispiel auch sein,

00:02:55: dass man sich bei dem betreuen Berater meldet

00:02:58: und dann wird er sich bei uns im Blue Team melden.

00:03:01: Und es kann sein, dass wir Kapazitäten haben,

00:03:04: dass wir keine Kapazitäten haben,

00:03:06: weil wir entsprechend viele Fälle betreuen

00:03:09: und auch Verfügbarkeit nur für Vertragskunden vorhalten.

00:03:12: Bei uns kann man Rahmenverträge abschließen,

00:03:15: die dann quasi eine gewisse Unterstützungsleistung zusichern.

00:03:19: Das heißt, dann kann man bei uns anrufen

00:03:21: und innerhalb von zwei Stunden Reaktionszeit

00:03:24: helfen wir entsprechend mit Sofortmaßnahmen und Co.

00:03:27: Wir können nicht versprechen, dass wir am nächsten Tag vor Ort sind.

00:03:30: Vielleicht ist das auch gar nicht notwendig, vielleicht bringt es auch nichts.

00:03:33: Aber das hilft am besten in der Situation.

00:03:36: Das ist so ein bisschen wie man auch eine Cyberversicherung hat.

00:03:39: Da gibt es ja meistens auch so ein Incident Response Dienstleister dabei.

00:03:43: Auch das sind wir für eine der großen Versicherungen

00:03:46: für Cyberversicherungen in Deutschland.

00:03:48: Und sind da entsprechend Kooperationspartner

00:03:50: und quasi so eine ADAC-Pannhilfe.

00:03:52: Und da kann man dann auch anrufen.

00:03:54: Und da helfen wir entsprechend dann auch.

00:03:56: Aber wichtig ist, dass man sich vorher drüber Gedanken macht,

00:03:59: wie kriege ich diesen Incident Response Dienstleister.

00:04:02: Da gibt es Verschiedenste am Markt, da gibt es eine Liste, auch beim BSI,

00:04:05: wo man sich darüber informieren kann.

00:04:08: Wir sind der Dienstleister, der auch als Erster auf dieser Liste damals gestanden hat.

00:04:11: Inzwischen sind das natürlich auch ein paar mehr.

00:04:13: Und die können in diesem Spezialfall helfen.

00:04:16: Am besten ist aber, ich habe mich vorbereitet, ich habe einen Vertrag geschlossen.

00:04:19: Da kann man sich nämlich auch partnerschaftlich vorbereiten.

00:04:22: Was brauchen Sie denn? Wie können wir helfen?

00:04:25: Welche Prozesse, welche Kommunikationswege, welche Tools sind im Einsatz?

00:04:28: All das können wir dann vorher abstimmen.

00:04:30: Wenn das Wichtigste ist, dann spart man Zeit.

00:04:32: Und das ist das Wichtigste.

00:04:34: Frage 2.

00:04:36: Jetzt leben wir im Zeitalter der Digitalisierung.

00:04:39: Hackerangriffe, Cyberangriffe sind jetzt gar nicht mehr so abwägig,

00:04:42: wie man es vielleicht initial vermutet hat.

00:04:45: Was macht ihr eigentlich, wenn dann dieser Anruf bei euch eingeht

00:04:48: und ein Fall gemeldet wird?

00:04:50: Ja, genau.

00:04:52: Dann schlägt dieser Anruf diese Meldung auf bei unserem Lagezentrum im Blue Team.

00:04:56: Und dann verarbeiten wir den Fall erstmal.

00:04:58: Wir gucken uns an, was wurde denn gemeldet?

00:05:00: Wie ist denn das Meldebild?

00:05:02: Wir klassifizieren das.

00:05:04: Wir überlegen uns, was braucht dieser Fall?

00:05:06: Wie komplex ist er?

00:05:08: Welche Schwerpunkte sind?

00:05:10: Was ist das für ein Unternehmen und Co?

00:05:12: Über welchen Größen?

00:05:14: Sowohl die Spezifikation des Schadensbildes,

00:05:16: als auch entsprechend der betroffenen Systeme.

00:05:18: Und dann überlegen wir, welches Team kann am besten helfen.

00:05:21: Sei es von Qualifikationen, sei es entsprechend von der Größe,

00:05:24: auch das Einsatzteams bisschen zu der Frage "vor Ort oder remote?" Solche Themen werden

00:05:27: aufgegriffen und dann findet natürlich auch möglichst zeitnah ein Erstgespräch

00:05:32: entsprechend statt, wo wir dann einfach wirklich zusammen gucken, wie gehen wir

00:05:37: diesen Fall an und wenn wir dann zum Beispiel die Entscheidung treffen, dass

00:05:40: wir vor Ort kommen, dann fährt unser Einsatzteam vor Ort, währenddessen findet

00:05:43: eine Remote-Betreuung statt und dann helfen wir vor Ort in verschiedensten Themen.

00:05:47: Wir verstehen Incident Response bei uns nicht als „wir machen nur Forensik", sondern

00:05:51: für uns ist Incident Response ein Spektrum von der technischen Analyse bis hin

00:05:55: quasi über Incident Management und Wiederanlaufsthemen, Krisenmanagement,

00:06:01: BCM-Themen, also wie kann ich auch einen Notbetrieb aufbauen, wenn die IT nicht läuft?

00:06:06: Das ist ja auch eine ganz wichtige Frage. Krisenkommunikation, datenschutzrechtliche

00:06:10: Aspekte, das alles spielt ja eine Rolle. Wir helfen dabei diesen großen Haufen

00:06:16: zu strukturieren, die Erkenntnisse aus der Forensik quasi zu gewinnen, aufzunehmen

00:06:20: und in den Wiederanlauf zu bringen, in Härtungsmaßnahmen zu überführen und

00:06:24: auch parallel natürlich Notbetrieb stabil zu halten und auch natürlich den

00:06:28: Mitarbeitenden zu sagen, hey, das ist der Fahrplan, selbst noch entscheidungsfähig

00:06:33: zu sein und so einfach, in allen möglichen Teilen des Spektrums aktiv zu sein.

00:06:37: Also Krise ist umfangreich, Bewältigung ist auch umfangreich, das ist sehr beeindruckend,

00:06:45: was dort alles gemanagt werden muss. Das ist ja schon angedeutet auf dieser

00:06:49: BSI-Liste, stehen noch mehr Unternehmen. Was hebt jetzt die HiSolutions von den anderen ab?

00:06:54: Genau, das ist natürlich ein wichtiger Punkt. Was bei uns auf der einen Seite

00:06:59: besonders ist, dass wir dieses Spektrum abbilden können bei uns im Haus. Wir sind

00:07:04: ein, also bei uns das Blue Team, das ist ein Bereich, unsere Sicherheitsbereichs

00:07:09: entsprechend Sicherheitsberatung und dort haben wir inzwischen über 40 Leute, die

00:07:15: nur reaktiv quasi tätig sind. Das heißt, dass wir dort quasi Verfügbarkeiten

00:07:20: vorhalten für den Fall der Fälle und das schafft natürlich einen gewissen

00:07:25: Atmungspurfer, was unsere Verfügbarkeit und auch unser Personal stärker angeht,

00:07:28: wenn wir Einsätze besetzen. Das ist natürlich ein ganz großer Punkt und

00:07:33: da können wir auch in diesem, also wir haben da halt nicht nur Forensiker und

00:07:36: auch nicht nur beispielsweise Krisenkommunikationsspezialisten, sondern

00:07:39: können das ganze Spektrum aus einer Hand abdecken, wo die Leute sich kennen, sie

00:07:43: sind es gewohnt miteinander zu arbeiten und das ist natürlich eine unserer

00:07:46: großen Stärken. Nach dem sind wir natürlich produktunabhängig. Es gibt nicht

00:07:50: die perfekte Lösung am Markt für gewisse Themen. Es gibt unterschiedliche

00:07:54: Einsatzzwecke, sei es vor allem auch so Thema quasi Endpoint Security Lösung.

00:07:58: Wir bringen kein Tool mit und sagen, dass es unsere Lösung damit können, wir

00:08:02: nur arbeiten, sondern wir machen das, was der Kunde hat, was für den Kunden das

00:08:06: Beste ist und arbeiten dann mit dem Kunden und vor allem wenn wir einen

00:08:08: Rahmenvertragskunden haben, helfen wir natürlich auch als Beratungshaus das

00:08:12: natürlich zu gestalten, den Weg zu gehen und einfach partnerschaftlich bestmöglich

00:08:15: für den Kunden das vorzubereiten. Und eine unserer größten Stärken ist einfach

00:08:19: die HiSolutions selber. Wir können einfach in Großschadenslagen, so

00:08:23: genannte Search-Szenarien, können wir in die Firma skalieren. Das kommt selten vor,

00:08:28: es kommt aber vor. Hafnium war ein ganz großes Beispiel vor einigen Jahren, was

00:08:32: durch die Medien ging, also diese große Sicherheitslücke in Microsoft Exchange

00:08:35: System, wo auf einen Schlag quasi fast alle Unternehmen, die diese Software

00:08:40: einsetzen, betroffen waren und wir wurden damals überrannt als Firma. Wir hatten

00:08:45: quasi plötzlich ein Notfall-Szenario für uns als Firma, aber nicht weil wir

00:08:49: selbst betroffen waren, sondern weil wir überrannt worden sind von Kundenanfragen

00:08:52: und unser Anspruch ist zu helfen und zu dem Zeitpunkt konnten wir

00:08:57: eigentlich nicht mehr helfen. Wir haben unsere Arbeit umgestellt und wir haben

00:09:02: Hilfe zu Selbsthilfe geleistet, das ist sowieso eines unserer großes

00:09:05: Credo, das ist unser Hauptziel, Hilfe zu Selbsthilfe und das was es uns damals

00:09:10: ermöglicht hat, war die Firma und zwar die ganzen Berater bei uns. Wir haben

00:09:13: skaliert in die Organisation, wir haben jeden Berater abgezogen, den wir abziehen

00:09:17: konnten. Wir haben uns ganz bewusst dafür entschieden, dass ein Beratungsprojekt

00:09:21: auch mal liegen bleiben kann, wenn es einfach darum geht Unternehmen in einer

00:09:26: kritischen Situation zu helfen. Da geht einfach die Gefahrenabwehr vor und das

00:09:30: war auch ganz bewusst, dann haben wir mit den Kunden gesprochen und gesagt, hören

00:09:32: Sie zu, wir müssen das Projekt vielleicht mal zwei Wochen pausieren.

00:09:35: Dafür können wir jetzt akut hier helfen. Sie würden es doch auch wollen, wenn

00:09:39: Sie betroffen wären. Und so können wir einfach unglaublich stark in unsere

00:09:43: über 300 Berater einfach reinskalieren, von der Sicherheitsberatung über unser

00:09:48: IT Management Beratung und können da das Potenzial einfach nutzen, was wir haben.

00:09:51: Ja, das ist wirklich ein riesen Vorteil. Ich kann mich daran erinnern, dass wir

00:09:55: Leute aus Digitalisierungsprojekten dann euch abgegeben hatten und das ist

00:09:59: wirklich sehr gut und sehr nachhaltig auch weitsichtig gedacht. Von daher danke

00:10:06: für diese spannenden Einblicke, zum einen eure Arbeit, zum anderen aber auch

00:10:10: so ein kleiner Appell, dass man sich schon früh genug drum kümmern sollte.

00:10:13: Absolut. Besser später als nie gilt hier zwar auch, aber der frühe Vogel ne.

00:10:18: Von daher bedanke ich mich sehr herzlich bei dir, Lukas, dass du heute dabei warst

00:10:23: und ich bedanke mich bei euch, dass ihr heute wieder eingeschalten habt.

00:10:26: Seid auch das nächste Mal dabei, wenn wieder einen neuen Experten, drei Fragen und

00:10:31: wieder zehn Minuten haben.

00:10:33: HiWay, der Wegweiser für Digitalisierung und Sicherheit, präsentiert von

00:10:39: HiSolutions. Hat ihr diese Episode gefallen? Dann abonniere den Podcast und

00:10:45: empfehle unsere Folgen weiter.