Bereit für den Ernstfall

00:00:01: Weil die Angreifer ja schon versuchen, nicht nur einen einzelnen Filesover zu verschlüsseln.

00:00:05: Sondern möglichst so viele Schaden wie möglich anzurichten um die komplette Infrastruktur zu verschlüsseln.

00:00:11: und je schneller das Unternehmen das detektiert ist es im besten Fall wird es erkannt und vorher eingedämmt oder dass es teilverschlüsselt und im schlimmsten fall vollverschlüsselt inklusive des Backups wenn es nicht ransomware sicher abgelegt ist.

00:00:23: Und das ist leider einer der häufigen Sachen die wir sehen dass die Unternehmen denken dass sie ein ransomware sicheres backup haben aber das dann doch nicht so ransomware-sicher ist, sprich doch im Netz zugänglich ist.

00:00:35: Oder vielleicht einfach auch defekt?

00:00:37: Weil es nie ausprobiert wurde, das wieder einzuspielen.

00:00:40: Weil andere Systemkomponenten noch mit zusammenhängen und nur Teile des Packups wiederhergestellt werden können.

00:00:46: oder auch wenn man eine Tape Library hat und sich auf der sicheren Seite weg die Tapes aber noch drin sind und nicht draußen im Safe gelagert und die komplette Tape library beispielsweise verschlüsselt ist.

00:00:57: Es sind alles so alltägliche Dinge, die wir in den Incidencen sehen.

00:01:00: Das vermeintliche ransomware-sichere Backups dann doch nicht so sicher

00:01:03: sind.".

00:01:09: HiWay – dein Wegweiser für

00:01:11: Digitalisierung und Sicherheit.

00:01:13: Präsentiert

00:01:14: von HiSolutions!

00:01:21: Ja schön dass ihr wieder da seid.

00:01:23: herzlich willkommen zum HiWay dem Podcast der HiSolutions.

00:01:26: Wir befassen uns heute ein weiteres mal mit dem Thema Cyber Krise.

00:01:31: vielleicht nicht so überraschend.

00:01:32: ist eines unserer Kernthemen?

00:01:33: Wir hoffen natürlich immer das es gar nichts zu der Krise kommt.

00:01:36: trotzdem bereiten wir Ja, auch Organisationen darauf vor.

00:01:39: Wir haben uns darauf vorbereitet, dass es mal zu einer Krise kommen könnte.

00:01:42: Wir ham schon einige Aspekte davon tangiert.

00:01:44: Wir wollen heute tatsächlich in diesen Readiness und den Vorbereitungsaspekt noch ein bisschen stärker einsteigen.

00:01:50: Dazu hab ich Kristina Spiegel bei mir gegenübersetzen.

00:01:53: Ich freu mich mega, dass du da bist!

00:01:54: Hallo, herzlichen Dank für die Einladung.

00:01:57: Sehr gerne.

00:01:59: Ich stelle dich kurz vor und danach steigen wir ins Thema ein.

00:02:03: Du hast

00:02:04: als Background gar nicht von Anfang an ... Im IT-Bereich bist du unterwegs gewesen.

00:02:08: Du warst erst mal im medizinischen Bereich, hast vielleicht ganz andere Arten von Krisensituationen auch miterlebt.

00:02:13: Bist du dann Wirtschaftsinformatik studiert?

00:02:16: Hast ein Master gemacht in den Bereich Security Management und bis jetzt schon eine Weile in der Incident Response unterwegs mit dem Fokus auf Krisenmanagement und Krisenkommunikation.

00:02:27: Und das sieht auch so aus als wäre es die Richtung, in die du weitergehst.

00:02:30: also du hast gesagt Lead Incident Responder ist das wo du gerade daran arbeitest sozusagen Und du beschäftigst dich mit den Inzidenzen, wenn sie passieren.

00:02:37: Aber auch mit der Frage wie man sich darauf vorbereiten kann?

00:02:40: Ich vermute weil du wahrscheinlich in den Einsätzen auch mitbekommst was passiert Wenn eine Organisation plötzlich in der Krise ist und Sie vorher sich gar keine Gedanken dazu gemacht hat Wie man denn in so einem Fall reagieren würde.

00:02:52: oder vielleicht auch dass es besser ist wenn ein bisschen Vorbereitung da ist Und ich dachte das der Fokus für uns ganz spannend sein könnte wenn wir uns jetzt nicht sozusagen vorstellen dass es riesige Organisationen sind Vielleicht sogar Organisationen mit Zertifizierungen, also zertifiziertem Management-System.

00:03:08: Weil die müssen ja häufig tatsächlich relativ viel Vorbereitung treffen und die haben auch entsprechend viel Personal.

00:03:14: aber die Frage der Vorbereitung kann ja auch interessant sein.

00:03:16: was sind konkrete Strategien für vielleicht kleinere mittlere Unternehmen?

00:03:20: Für irgendwie kleinere Behörden?

00:03:22: Also für kleinere Organisationen, die eben nicht mit so viel Manpower, Woman Power, Person Power an so eine Sache herangehen können?

00:03:31: bau mal ein großes Business Continuity Management System auf, im ersten Moment der zu große Ansatz ist.

00:03:37: Deswegen freue ich mich auf irgendwie konkrete Strategien.

00:03:44: Am Anfang wolltest du uns noch ein bisschen Begriffe erklären.

00:03:46: Incident Response Readiness ist das was wir uns als Thema gewählt haben.

00:03:50: Was verbirgt sich denn da jetzt dahinter?

00:03:53: Im Kern ist es die Bereitschaft, bereit für die Krise zu sein.

00:03:57: Heutzutage ist das ja auch nicht mehr die Frage ob sondern wann und das gleiche gilt für große als auch für KMUs eben für kleine mittelständische Unternehmen Und Prävention ist da einfach immer der bessere Invest.

00:04:10: und aber auch mit dem Bewusstsein dass man selbst in Prävention eben nicht alles sichern oder retten kann.

00:04:16: Aber man kann den Schaden größtmöglich minimieren und schneller einnehmen.

00:04:19: denn so dass es eben nicht so einem zu einer großartigen Unterbrechung des Geschäftsbetriebs oder in schlimmsten Fall zu einer Insolvenz kommt.

00:04:27: Und Incident Response Readiness ist ein Teil des Notfallmanagements eben.

00:04:32: und bei KMU kann man da natürlich noch mal gucken, was macht für die Organisation entsprechend Sinn?

00:04:36: Also ein maßgeschneidendes Konzept.

00:04:38: Man braucht wie du sagst, wie viel große Organisation nicht immer ein komplettes BCM aber zumindest Teile davon und Teile von denen sich auch finanziell ... dass Unternehmen leisten kann, entsprechend wirksam sind.

00:04:50: Und da wäre ein kleiner Punkt die Incident Readiness.

00:04:53: Das heißt die Notfallpläne, Alarmierungseskalationsketten würden beispielsweise drunter fallen, die mal zu definieren überhaupt Rollen, Aufgaben und Prozesseverantwortlichkeiten das auch niederzuschreiben.

00:05:05: dann eine Business Impact Analyse zumindest ne grobe den man im incident brauchen kann.

00:05:10: das machen wie auch immer vor Ort an dem incident ist natürlich alles Schöne wenn man das bereit hat.

00:05:15: Man weiß, welcher Systeme sind betroffen.

00:05:17: Was sind die kritischen Systeme?

00:05:19: Und noch spezifischer natürlich auch wenn es jetzt wirklich zu einem Krisenfall kommt kann ich mich in Friedenszeiten in Ruhe mal um Incedent responder kümmern mir unterschiedliche Angebote machen lassen und das Paket und das finanzielle Spektrum eben auswählen, was möglich ist.

00:05:38: Im akuten Inzident habe ich die Zeit nicht.

00:05:41: Da muss ich zum einen nehmen wenig bekommen, weil Inziden-Responder sind gefragt.

00:05:45: Und es ist dadurch auch wesentlich teurer.

00:05:47: Es geht wertvolle Zeit verloren.

00:05:48: Die hinten war natürlich wieder ein Betriebsausfall zu sehen.

00:05:51: Ja.

00:05:52: Das sind ein paar Beispiele ... Ich fragte zwei noch mal kurz nach.

00:05:55: Du sagst Allermierungspläne?

00:05:57: D.h.,

00:05:57: es geht darum wirklich die Angenommen ... Die Frage von irgendjemand hat einen Virus auf seinem Computer, bis hin zu jemanden, der schaltet ... trennt die Infrastruktur vom Netz und irgendwie trifft sozusagen übergeordnete Ebenen für Entscheidungen eingebunden.

00:06:14: Oder wirklich die ganze Kette, die man betrachten muss?

00:06:17: Genau!

00:06:17: Die ganze Kette kann sein, dass jemand auf dem Phishing Link klickt oder den verdächtig findet.

00:06:22: Wo meldet er den?

00:06:23: Ist er überhaupt in der Lage?

00:06:24: Traut er sich?

00:06:25: Was gibt's für eine Fehlerkultur?

00:06:27: Da gibt es die Awarnessschulung beispielsweise.

00:06:29: dass es das, was einfach recht häufig in jedem Unternehmen mal vorkommt.

00:06:33: Dann die Meld- und Alamierungsketten.

00:06:35: Und wenn's dann tatsächlich wirklich ein Inzident ist wie wird das weiterverfolgt und analysiert?

00:06:40: Und Business Impact Analyse hast du noch gesagt, das kann man ja auch skalieren zwischen groß und klein.

00:06:44: Wenn ihr das im Incident macht vor Ort habt ihr wahrscheinlich nicht so viel Zeit lange große Dokumente auszufüllen.

00:06:50: Nee, da geht es dann wirklich um die Allerwichtigsten.

00:06:54: Also

00:06:55: um die wichtigsten Geschäftsprozesse?

00:06:56: Genau und

00:06:57: jeder Mitarbeiter findet natürlich auch das sein Prozess entsprechend.

00:07:00: wichtig ist und das braucht einfach wesentlich mehr Zeit als wenn man das vorher in Ruhe macht.

00:07:06: Und ich vermute, man kann mehr Informationen berücksichtigen, wenn man's in Ruwe macht.

00:07:09: Ganz genau!

00:07:14: Ich würde gerne dich zu einer konkreten Strategie fragen, weil ich es manchmal schön finde einen so ein Take-away zu haben aus dem Podcast wo jemand wirklich zu einem Thema nochmal neuen Input oder einen neuen Insight mitgenommen haben kann.

00:07:26: Für viele ist das wahrscheinlich dann auch kein neuer Insight.

00:07:27: aber ich habe etwas rausgegriffen was ich aus dem Audit ganz oft kenne.

00:07:30: also wir auditieren ich für dann Interviews zum Beispiel zum Thema Backup frage ich na' gibt's nen Backup?

00:07:35: werden regelmäßig Recovery Tests durchgeführt?

00:07:38: und da ist eine Antwort die ich ganz oft bekomme Naja, also wir haben regelmäßig den Fall dass wir Dateien wiederherstellen müssen weil Nutzer die gelöscht hat was irgendwie weggekommen ist.

00:07:49: Wir probieren regelmässig Datei-Wiederherstellung aus unseren Snapshots oder so und wir wissen ja das es funktioniert.

00:07:56: Warum ist das noch keine Incident Response Readiness?

00:07:59: im Bereich Backup oder sowas.

00:08:01: Warum ist das noch keine ausreichende Maßnahme?

00:08:04: Weil die Angereifer ja schon versuchen, nicht nur einen einzelnen Fileserver zu verschlüsseln sondern möglichst so viel Schaden wie möglich anzurichten um die komplette Infrastruktur zu verschlüsseln.

00:08:14: und je schneller das Unternehmen das detektiert Im besten Fall wird es erkannt und vorher eingedämmt.

00:08:19: Und das ist teilverschlüsseld, und im schlimmsten Fall voll verschlüsseldd inklusive des Back-ups wenn es nicht ransomware sicher abgelegt ist.

00:08:26: Das ist leider einer der häufigen Sachen die wir sehen dass die Unternehmen denken dass sie ein ransomware sicheres back up haben aber dass dann doch nicht so ransomwaresicher ist sprich doch im Netz zugänglich ist oder vielleicht Einfach auch defekt, weil es nie ausprobiert wurde, das wieder einzuspielen.

00:08:43: Weil andere Systemkomponenten noch mit zusammenhängen und nur Teile des Backups wiederhergestellt werden können.

00:08:49: oder auch wenn man eine Tape Library hat und sich auf der sicheren Seite weg die Tapes aber noch drin sind und nicht draußen im Safe gelagert und die komplette Tape-Library beispielsweise verschlüsselt ist.

00:08:59: Das sind alles so alltägliche Dinge, die wir in den Incident sehen, dass vermeintliche ransomware-sichere Backups dann doch nicht so sicher sind.

00:09:07: Genau, da habt ihr auch eine ganz spannende.

00:09:09: oder was ist spannende?

00:09:10: Eine solide Publikation wo ihr mal zusammengetragen habt.

00:09:13: Was funktioniert, was nicht funktioniert die werden wir in den Show Notes verlinken und die finde ich immer noch empfehlenswert.

00:09:18: um ne erste Orientierung zu bekommen stehe ich den gut da mit dem was ich habe oder fehlt vielleicht irgendwas kritisches.

00:09:24: Genau!

00:09:25: Noch ein wichtiger Punkt ist zu den Backups was wir aufziehen der Thema Log Management aber jetzt auch ohne das Log Management für uns natürlich immer wichtig.

00:09:32: im Backup ist das kompromittiert oder nicht?

00:09:34: Für uns ist es relevant, den Initialen Eintritts-Vektor beziehungsweise die Initiale Eintrittszeit rauszufinden.

00:09:41: Um feststellen zu können ob das Backup auch kompromittiert ist oder eben während frei so dass wir's verwenden können.

00:09:47: Kannst du eine Einschätzung geben?

00:09:49: Was also?

00:09:49: natürlich wird das im Einzelfall unterschiedlich sein und jeder Incident ist anders.

00:09:53: Aber kannst du ne Einschätzung geben Ob das eher so eine Sache von der Woche von einem Monat oder was also sowas?

00:09:58: was die Zeitrahmen sind wie lange Angreifer sich in Infrastrukturen bewegen?

00:10:02: Das

00:10:02: ist mittlerweile sehr unterschiedlich von Wochen, teilweise auch nach Stunden.

00:10:06: Je nachdem wie die Infrastruktur einfach abgesichert ist.

00:10:12: und dann kommt es natürlich darauf ansprechen wir , die ein anderes Ziel haben länger im System zu bleiben.

00:10:18: bei den KMUs sehen wir jetzt einfach häufiger das Ziel Lösegeld also so viel wie möglich zu zerstören dass sie auf einer guten Basislöse Geld empfangen können Und da so schnell wie möglich Versuchende Schwachstelle auszunutzen und die Infrastruktur zu verschlüsseln.

00:10:34: Von daher gesehen Stunden, Tage bei eher Wochen und teilweise auch Monate.

00:10:38: Es kann schon sein dass sie sich weit aus vier bis sechs Wochen vor in der Umgebung umschauen bevor sie dann letztendlich verschlüsseln.

00:10:46: Von daher sehen wir schon, wenn die Locks mindestens ein Monat aufgehoben werden.

00:10:52: Besser sogar drei Monate im besten Fall sechs Monate.

00:10:55: aber in der Praxis sieht das natürlich anders aus.

00:10:58: und dann das heißt nicht nur die locks denn wahrscheinlich auch die backups.

00:11:01: also wenn ich feststelle mein angreifer ist schon sechs wochen da dann muss sich natürlich irgendwie backups haben die schon länger da sind.

00:11:06: genau

00:11:08: frage.

00:11:09: drei eine frage noch weil Wir sind Beratungsunternehmen.

00:11:14: Wir verkaufen total gerne irgendwelche Maßnahmen, die wir gut finden und können.

00:11:19: Trotzdem kann man sich natürlich fragen also als Organisation wahnsinnig viel Aufwand zu investieren, sich auf einen Fall vorzubereiten von dem man hofft dass er nicht eintritt.

00:11:28: wo ist da die Kosten-Nutzenabwägung sozusagen?

00:11:30: Also genau

00:11:32: Wie ihr anfangs schon gesagt, es ist heutzutage keine Frage mehr, ob so ein Wann man angegriffen wird.

00:11:37: Und man hat auf jeden Fall eine höhere Security-Baseline also die Sicherheit im Unternehmen wird steigen Man hat den Benefit des Rollen, Prozesse, Verantwortlichkeiten nochmal neu betrachtet und bestimmt auch verbessert werden.

00:11:50: Man kann interne externe Kommunikation verbessern und die meisten Unternehmer arbeiten mit Kundendaten.

00:11:56: das ist natürlich auch ne Sache der Reputation.

00:12:00: Als Kunde möchte ich natürlich auch wissen, dass meine Daten geschützt sind.

00:12:03: Es kann die Unternehmen jetzt durch eine Zertifizierung nachweisen aber auch wirklich durch eine sichere Infrastruktur das auch in der Praxis dann ausüben.

00:12:13: Also gerade den Aspekt, den du gerade genannt hast finde ich sehr spannend mit sozusagen wie sehr sich auch die Kommunikation und die Klarheit der Organisation verbessern kann dadurch, dass man es wirklich einmal durchspielen muss.

00:12:24: Mit dem Blick auf den Vorfall was haben wir alles da?

00:12:27: Was müssen wir alles wieder herstellen?

00:12:29: Ich kann viele Fragen aufwerfen, von denen viel Nutzen entsteht.

00:12:33: Wenn man sie sich beantworten kann?

00:12:35: Ich erinnere mich an einen Kunden, den wir nach einem Cyber-Incident noch betreut haben und der meinte ... Die Ansprechpartnerin dort meinte zu mir, ja, wir sind so froh über alles was wir nach dem Incident aufgebaut haben.

00:12:47: Weil wenn jetzt eine Schwachstelle auftaucht, damals kam dann Lock for Jay als Schwachställe ... Und ich war im Kontakt und dann war es, ja gut.

00:12:55: Diesmal wussten wir einfach wirklich überall wo's installiert ist und diesmal hatten wir einen Überblick und wir konnten super schnell fixen und wir wussten, wir sind nicht mehr in einem hohen Risiko.

00:13:02: also tatsächlich mühsam in der Vorarbeit aber hatte den Eindruck das zumindest dort auch gut gesehen wurde dass es irgendwie unmittelbar nutzen gebracht hat.

00:13:11: Definitiv!

00:13:12: Das ist das was wir aussehen und ein Unternehmen wenns angegriffen wird und sich aber geschützt hat Im besten Fall erkennt bevor es verschlüsselt wird und falls es doch schon weiter geht Erkennt man es wesentlich schneller und die Behandlung geht auch schneller.

00:13:25: Und das schaden Sie finanzielle Schadensausmaß- und auch Reputation oder Thema Datenschutz ist wesentlich geringer?

00:13:31: Ja, danke für den Einblick!

00:13:34: Ich freue mich sehr, dass du sozusagen ein paar wirklich konkrete Tipps, ein paar konkrete Überlegungen mitgegeben hast, die unsere Hörerin und Hörer mitnehmen können.

00:13:45: Danke, dass Du hier warst.

00:13:47: Euch liebe Zuschauerinnen, Zuschauer, liebe Höreren, lieber Hörern, danke, dass Ihr zugehört habt.

00:13:52: Wie gesagt, für Interesse verlinken wir auf jeden Fall noch mal die ransomware-sicheren Backups.

00:13:56: Vielleicht haben wir auch ein bisschen anderes Material was wir finden können, was ein paar konkrete Strategien beinhaltet, die man sich einfach auch auf eigene Faust mal angucken kann und zu schauen wo es sind wir gut aufgestellt?

00:14:05: Für den Fall dass es zu einer Krise kommt das ist zu einem Vorfall kommt Wo können wir vielleicht noch ein paar eigene Schritte gehen in Richtung Verbesserung vielleicht auch mit gar nicht so viel Aufwand.

00:14:24: Hat dir diese Episode

00:14:25: gefallen?

00:14:26: Dann abonniere den Podcast und empfehle unsere

00:14:29: Folgen

00:14:29: weiter.