„Schockmoment Cyberangriff": Folker Schmidt über Stress, Stillstand und den Weg zurück zur Kontrolle

00:00:00: Stress macht unglaublich leistungsfähig, aber dumm und das ist wirklich so. Stress ist eine

00:00:06: Fluchtsituation und da muss man die Leute erstmal rauskriegen, bis man dann anfangen kann, mal

00:00:11: wirklich mit denen zu reden, was ist denn jetzt eigentlich überhaupt Sache, was passiert? Was wisst

00:00:16: ihr denn eigentlich schon, ne? Klar, die wissen wahrscheinlich so unsere Daten sind verschlüsselt,

00:00:20: aber vielmehr auch nicht. Und die wissen halt, wir haben alle Stecker gezogen, wir haben kein

00:00:24: Internet mehr, wir haben kein Telefon mehr und jetzt steht hier alles und wir haben Verdiensteausfall

00:00:28: und Umsatzausfall. So und vielmehr wissen die meisten gar nicht.

00:00:32: HiWay. Dein Wegweiser für Digitalisierung und Sicherheit, präsentiert von HiSolutions.

00:00:44: Hallo und herzlich willkommen zu einer weiteren Folge von HiWay, dem Podcast der HiSolutions.

00:00:55: Ich bin heute wieder hier mit einem neuen Gast, jedes mal neuer Gast, heute ist mit uns dabei,

00:01:01: Folker. Folker, du kommst auch aus der Totaltechnischen Ecke. Du magst uns... Das kann man so

00:01:07: sagen, ja? Ich unterstelle dir das, du hast es mir auch vorher verraten. Du bist auch total

00:01:12: der Praktiker, du hast wirklich viele Jahre Systemadministration gemacht, Kunden-Support

00:01:16: an der Hotline, der Mensch, der ganz geduldig sein muss und viele Dinge mehrfach erklären muss,

00:01:20: kennst also die Perspektive ganz gut. Du warst auch auf der Herstellerseite unterwegs, hast

00:01:26: Firewalls programmiert, also Sicherheitsprodukte mit ins Leben gerufen, mit modifiziert, mit

00:01:31: entwickelt und bist jetzt schon über neun Jahre dabei mit allem, was technische Sicherheitsberatung

00:01:36: irgendwie ist, also von irgendwie Pentest über Sicherheitsberatung, wie setzt man es gut?

00:01:42:  ein bisschen bei CM mit drin? Ja, genau. Und bis hin zu IT Forensik. Du bist jetzt auch im Bereich

00:01:49: der Incident Response unterwegs, d.h. du bist Profi für Sicherheitsvorfälle aller Art und du hast

00:01:56: außerdem noch ein privates Interesse für IT-Sicherheit, treibst dich im Umfeld des CCC herum, bist also

00:02:03: sozusagen ein Sicherheits-voll-Profi und willst denn heute was darüber erzählen, wie sich Menschen

00:02:09: so fühlen oder was passiert? Wenn es mit der Sicherheit nicht so geklappt hat, das ist nicht

00:02:15: das erste Mal, dass wir darüber reden im Podcast, aber es ist eben auch was, was in unserer Lebenswirklichkeit

00:02:19: immer wieder vorkommt. Frage eins. Ich möchte einmal provokativ fragen, du wirst uns was darüber

00:02:26: erzählen, wie es einem so geht. Bist du denn schon mal gecybert worden selber? Man sollte eigentlich

00:02:31: meinen, dass Leute sich halt schon ihr halbes Leben damit befassen, die in dem Bereich beruflich

00:02:36: unterwegs sind, dass sie halt da komplett unbeleckt sind, dass sie sich nie haben cybern lassen,

00:02:42: doch natürlich bin ich auch schon betroffen gewesen. Zum Glück noch nicht von der Firma her,

00:02:48: aber im Privatleben. Ich habe viel Zeit darauf verwendet, auch irgendwelche Malwares oder so

00:02:55: was zu analysieren, habe mir da mal eine kleine Umgebung aufgebaut, habe jemals Virtualisierung

00:03:00: gearbeitet und es kam tatsächlich vor, dass ich, es war gerade so der Umstieg zu Windows 10,

00:03:07: das waren so diese Single-Click unter Oberfläche, man hat eine Datei genommen und wenn man dann

00:03:12: nicht ganz genau geklickt hat und gehalten hat, dann hat man sie versehentlich angeklickt und einmal

00:03:17: klicken Reichte, um sie auszuführen und du kannst dir vorstellen, was passierte. Ich wollte in der

00:03:20: Datei in meine VM-Umgebung ziehen und habe versehentlich draufgeklickt und das war natürlich

00:03:26: dann ein Krypter, der dann auch fleißig anfing, Dinge zu tun und ich wanderte mich bloß. Warum

00:03:32: tut der Rechner jetzt Dinge? Also warum jault er auf einmal auf? Warum rödelt die Festplatte?

00:03:36: Ich hatte damals noch drehende Platten drin, wie blöd. Und ich habe tatsächlich ein paar Sekunden

00:03:40: gebraucht, bis mir klar wurde, was da eigentlich gerade am passieren ist. Aber du wusstest schon,

00:03:44: was du da angeklickt hast, oder? Ich wusste, was ich angeklickt habe, aber ich wusste in dem

00:03:48: Moment noch nicht, dass ich es angeklickt habe. Das ist mir dann später klar geworden, was da

00:03:53: passiert ist und ein paar Sekunden später habe ich dann Stecker gezogen, was vielleicht dann auch

00:04:00: in dem Moment ein Fehler war, weil damit natürlich der Verschlüsselungskey nicht mehr im Speicher war

00:04:04: und meine Daten dann schon zu guten Teilen weg waren. Also deine echten Daten, nicht die, die in der

00:04:10: Untersuchungsumgebung waren, sondern deine privaten Echten. Genau. Ich hatte eine E-Mail gekriegt mit

00:04:15: irgendeinem Kryptor oder sonst irgendwas drin und ich wollte halt wissen, was das ist und wollte

00:04:19: ihn analysieren und ja, ich habe ihn ein bisschen näher analysiert, als mir das eigentlich lieb war.

00:04:24: Ich hatte den gerne in der Form auseinandergenommen und so hat er meinen PC auseinandergenommen,

00:04:30: natürlich mit allen Daten drauf. Damals war mein Backup-Konzept auch noch eher...

00:04:36: Fondimentär. Also marktüblich? Marktüblich genau. Also sehr nah an dem, was ich in vielen

00:04:43: Firmen auch sehe. Das war für mich dann auch tatsächlich der Wendepunkt, wo ich gesagt habe,

00:04:48: okay, du musst mal was besser machen und seitdem habe ich tatsächlich meine Infrastruktur zuhause

00:04:53: so ausgebaut, dass ich mich da vor keinen Grund schämen muss. Aber wie ging es dir in dem Moment?

00:04:59: Also du konntest das ja sicher eigentlich einordnen, so mit der professionellen Sichtweise?

00:05:03: Also mir war sehr, sehr schnell halt klar, was gerade passiert ist und ich hatte dann auch

00:05:09: versucht, mal zu gucken, wie schlimm es dann eigentlich ist und es war halt maximal schlimm,

00:05:14: also da war nichts mehr zu holen. Und in dem Moment war erst mal natürlich ein Schockmoment da,

00:05:22: meine ganzen privaten Sachen sind weg, alles, was ich irgendwie so für mich eingerichtet gesammelt

00:05:27: hatte, meine ganze Korrespondenz mit meinen Freunden bekannten und alles. Die ja zum Glück

00:05:31: teilweise noch auf dem Handy teilweise vorhanden waren, aber halt nicht in der Masse, war halt

00:05:36: alles weg und in dem Moment wurde es erst heiß, dann kalt und dann sitzt du da und denkst du,

00:05:40: ja shit, was ist da gerade passiert so? Nein, warum, warum denn ich? Ich müsste es eigentlich

00:05:46: besser wissen. Und das war so ein kleiner Panikmoment tatsächlich. Da hat auch der Jan drüber erzählt,

00:05:53: in der anderen Podcast-Folge übrigens auch interessant, wenn ihr sie noch nicht angeguckt

00:05:56: habt, gibt es noch eine schöne Podcast-Folge, wie es den Menschen üblicherweise geht,

00:06:01: wenn sie in unserem Incident landen. Genauso, wie du es jetzt gerade beschrieben hast.

00:06:04: Bei mir ging es bloß ein bisschen schneller. Also ich hatte ganz sehr schnell halt wirklich

00:06:08: dieses Bewusstsein, okay, das ist total blöd gerade und das tut jetzt auch weder, auch wirklich

00:06:12: Jahrzehntelange. Okay. Ja, persönlich auch. Persönlich, ihr darf ihn zu verlieren. Genau,

00:06:18: also Erinnerungen. Aber ich habe dann irgendwann auch einen Tag später schon den Punkt gehabt,

00:06:24: wo ich gesagt habe, okay, dann ist das ja so, das ist jetzt tabula rasa, das ist ein Neuanfang. Und

00:06:29: ich mache es jetzt richtig. Genau. Das war für mich total spannend, auch wirklich daraus noch

00:06:34: was Positives ziehen zu können. Und das nehme ich tatsächlich auch sehr viel in den Einsatz mit

00:06:38: dieses Bewusstsein. Ja.

00:06:40: Genau, also das heißt du nimmst dieses Bewusstsein in den Einsatz mit und findest dann Leute,

00:06:44: die dieses Bewusstsein natürlich noch gar nicht so haben, sondern die erstmal in Chaos

00:06:48: sind, ne?

00:06:49: Absolut.

00:06:50: Frage 2.

00:06:53: Was ist denn wichtig, also um aus diesem total chaotischen Raus zu kommen?

00:06:57: Das ist tatsächlich so eine Art Multifassettenproblem.

00:07:02: Du hast zum einen Leute, die vollkommen berechtigt im Panikmodus sind, also die rennen durcheinander

00:07:08: wie so ein Hügel Ameisen und keiner weiß, was er eigentlich tun soll.

00:07:12: Was für mich jetzt eigentlich so berufliche Alltäglichkeit ist, ist für die natürlich

00:07:16: komplett neu und ganz ganz schrecklich und für mich ist der erste Punkt dann wirklich

00:07:21: erstmal zu versuchen, einen gemeinsamen Nenner zu finden, auch erstmal Ruhe reinzubringen,

00:07:27: nicht selber in diesem Ameisenhaufen mitzurennen, sondern dann halt zu sagen, Leute stopp, wir

00:07:32: atmen jetzt erstmal durch und versucht erstmal Ruhe reinzukriegen, lass uns doch erstmal

00:07:37: darüber reden, was denn jetzt genau passiert ist, weil, weißt du, wir kriegen einen Anruf

00:07:42: rein und da erzählt uns irgendjemand irgendwas, was er so mitgekriegt hat, was passiert sein

00:07:47: soll und wenn wir vor Ort kommen, müssen wir erstmal versuchen rauszufinden, was davon

00:07:53: denn jetzt eigentlich wirklich passiert ist, ganz, ganz hart wirklich Fakten von gefühlter

00:07:59: Wirklichkeit trennen und das ist in so einer Stresssituation unglaublich schwierig, weil

00:08:04: die Leute halt nicht in der Lage sind, und das ist jetzt nicht böse gemeint, klar zu

00:08:08: denken, die sind wirklich im Stressmodus und das sagt eine Freundin von mir ganz passend,

00:08:14: Stress macht unglaublich leistungsfähig, aber dumm, und das ist wirklich so, Stress

00:08:18: ist eine Fluchtsituation und da muss man die Leute erstmal rauskriegen, bis man dann anfangen

00:08:24: kann, mal wirklich mit denen zu reden, was ist denn jetzt eigentlich überhaupt Sache,

00:08:26: was passiert, was wisst ihr denn eigentlich schon, klar, die wissen wahrscheinlich so unsere

00:08:31: Daten sind verschlüsselt, aber vielmehr auch nicht, und die wissen halt, wir haben schon

00:08:35: alle Stecker gezogen, wir haben kein Internet mehr, wir haben kein Telefon mehr und jetzt

00:08:38: steht hier alles und wir haben Verdiensausfall und Umsatzausfall, so und vielmehr wissen

00:08:44: die meisten gar nicht und das ist wichtig, das ganz zu Anfang schon mal dann rauszukriegen,

00:08:50: aber dafür muss man erstmal Ruhe reinkriegen.

00:08:54: Frage 3.

00:08:55: Das heißt ihr kommt, ihr bringt die Leute in die Ruhe, ihr kriegt raus, was überhaupt

00:08:59: tatsächlich Sache ist, um dann auch verstehen zu können, was überhaupt die nächste Schritte

00:09:02: sind, die ihr ableiten wollt, und dann findet ihr so einen ersten Weg in die Stabilisierung.

00:09:06: Wie würdest du sagen, ist die Situation dann so, sagen wir mal, vielleicht nach drei Wochen?

00:09:10: Das kommt so ein bisschen auf den Fall an, also es gibt viele die sind nach zwei Tagen

00:09:16: durch, genau, nehmen wir einen positiven Fall, was meinst du, ist die Situation, also worauf

00:09:22: zielst du ab?

00:09:23: Was möchtest du wissen?

00:09:24: Wir können jetzt wahrscheinlich nicht alle Schritte durchgehen, wie er von der ersten

00:09:27: Stabilisierung irgendwo hinkommt, wo nachher vielleicht wieder ein bisschen Hoffnung oder

00:09:31: Zuversicht da ist, und wahrscheinlich gibt es aber auch Fälle die sind nach drei Wochen

00:09:34: noch nicht vollständig aufgelöst.

00:09:36: Die wenigsten tatsächlich.

00:09:37: Wie ist, ich versuche ein Gefühl dafür zu kriegen, wie das unterwegs sein ist, also

00:09:43: wie das sein in dem Vorfall ist, wo man aus der ersten Panik mal rausgekommen ist, was

00:09:48: sind dafür Chancen, was ist da immer noch eine Schwierigkeit da, wie ist der Weg?

00:09:52: Der Weg ist auf jeden Fall steinig, das kann ich schon mal sagen, also aus diesem, alles

00:09:57: ist kaputt, und wir haben Angst, um unsere Firma, um unsere Arbeitsplätze diesen Punkt

00:10:02: zu kriegen, das ist ja steinig, aber wenn man dann einmal da ist und die Chancen sieht

00:10:09: und die Chancen sind tatsächlich, man hat die Möglichkeit zum Beispiel, hart und Software,

00:10:15: also die ganze Infrastruktur, die man hat, neu zu denken.

00:10:18: Ich mein, ich kenne das bei vielen Firmen, die halt sagen, wir würden gerne nach den

00:10:24: aktuellen Ständen der Technik arbeiten, wir würden gerne alles schick und blank haben

00:10:27: und alles sicher und toll, aber wir können nicht, wir haben da A keine Zeit zu, wir haben

00:10:32: B kein Geld dazu und naja, wir müssen den Betrieb ja im Laufen halten und dann kommst

00:10:36: sie in so ein Vorfall und du hast einen Betriebsstillstand, niemand kann arbeiten, weil es einfach

00:10:41: keine Zeit für irgendwas da, die muss man halt aufräumen und auf einmal ist da meistens

00:10:46: auch Geld da, weil naja, jetzt liegt eh alles rum, dann kann man es auch gleich richtig

00:10:50: machen.

00:10:51: Das ist tatsächlich eine Riesenschance, die viele Kunden dann auch gerne wahrnehmen,

00:10:55: die man denen auch so ein bisschen schön reden kann natürlich, um einfach sagen kann

00:10:59: pass mal auf, ihr habt hier jetzt gerade einen Komplettschaden, was hindert euch eigentlich

00:11:04: dran, jetzt ein vernünftiges Konzept zu machen, alles schön zu machen, mit Experten zu reden

00:11:09: und eure Infrastruktur einfach mal so aufzubauen, dass diese ganze Situation möglichst nicht

00:11:15: nochmal passiert.

00:11:16: So wie es quasi schon immer wollte, wie eure Admins die ganze Zeit schon gesagt haben,

00:11:20: dass es eine gute Idee wäre und jetzt macht man es einmal neu.

00:11:23: Viele Admins haben da wirklich, wirklich viel Spaß dran und man sieht richtig die Blühen

00:11:28: auf, die haben jahrelang da gesessen und haben einfach bloß die ganze Serverkiste am Laufen

00:11:34: gehalten, irgendwie mit Spurko und Klebeband und auf einmal haben sie die Chance, all das

00:11:38: was sie schon immer mal umsetzen wollten, einfach mal richtig von Grund auf zu machen.

00:11:42: Und das ist eine Riesenschance und das ist tatsächlich dann auch der Moment, wo man dann

00:11:45: von dieser, ich nenne es mal Depressiven Phase dann in die Aufbruchsphase wiederkommt und

00:11:50: sagt okay, jetzt haben wir was schönes Neues und jetzt gehen wir in die Zukunft, auch wenn

00:11:54: das jetzt Monate oder vielleicht sogar Jahre dauert.

00:11:57: Das ist eine total schöne Aussicht, danke für die Einblicke, ich hoffe ja, dass auf

00:12:03: diese schöne Gelegenheit nicht nur, sozusagen das dafür nicht nur die Chance besteht, wenn

00:12:07: es gerade schon einen größeren Incident gab, es ist vielleicht eine Art an was ran zu

00:12:12: gucken, was einem passiert ist und was man sich nie gewünscht hat und was Positives

00:12:17: rauszuziehen, es ist aber ja auch eine Möglichkeit zu überlegen, welche Chancen sind vielleicht

00:12:22: doch da, um diesen Incident von vornherein zu vermeiden, indem man die eine oder andere

00:12:26: Sache vielleicht doch mal umsetzt und damit ein bisschen weniger Produktivität zwischendurch

00:12:30: mal in Kauf nimmt.

00:12:31: Genau und das darf man halt nicht vergessen, so ein Incident ist auch immer massiver Stress,

00:12:35: der kostet Lebensjahre und das sieht man auch und so ein Incident kostet massiv viel Geld.

00:12:41: Ja, also nicht zu empfehlen, genau, es ist nicht zu empfehlen, ich glaube, wir kriegen

00:12:47: jetzt nicht mehr etabliert, was man alles tun muss, um den Incident zu vermeiden, aber

00:12:51: ich danke dir sehr für den Einblick, ich danke euch fürs Zuhören, fürs Zuschauen

00:12:56: und freue mich, wenn ihr das nächste Mal wieder dabei seid bei HiWay, dem Podcast mit

00:13:00: einem Experten, drei Fragen in zehn Minuten und ein bisschen.

00:13:12: Hat ihr diese Episode gefallen, dann abonniere den Podcast und empfehle unsere Folgen weiter.