Flurfunk - Snakeoil, Bund ID & Mittelstand vs. Konzern

Herzlich willkommen zu Folge 50 von Preach FM.

Es ist ein bisschen schwer durchsichtig, weil ich mit diesem Subformat mit dem

lieben Maxiatz natürlich auch nochmal eine zweite Nummerierung habe,

aber es sind jetzt tatsächlich, es ist die 50.

Folge, die veröffentlicht wird. Und Max, du bist Teil dieser Jubiläumsfolge.

Und dann auch noch die fünfte Fluffunk-Folge das passt ja wie Arsch auf Eimer

Faust auf Faust ins Gesicht, ne wie heißt das? Deckel auf Topf so.

Ja ich bin echt ich bin weiterhin sehr froh dieses Projekt damals mit Kim angefangen

zu haben Kim wird auch in einer der nächsten Folgen mal wieder da sein wir haben

da neulich drüber geredet, der hat nur mal wieder,

alle Hände voll zu tun Incident Response ist derzeit ein sehr der hat eine sehr

große Jobsicherheit, wie ich das mitbekomme.

Das glaube ich, ja. Was man links- und rechtstaktäglich irgendwie am Rande mitkriegt,

habt ihr in dem Bereich, glaube ich, bestimmt gut zu tun. Oder auch alle anderen.

Ja, also alle, mit denen ich rede, die was vom Fach verstehen,

haben massiv viel zu tun.

Ich glaube, wenn sich derzeit Instant Responder langweilen, dann,

ich will nicht sagen, ist es ein Qualitätsmerkmal, aber ich würde mir schon Gedanken machen.

Vielleicht den Arbeitgeber wechseln, ja. Vielleicht schafft er es nicht,

Aufträge ranzukriegen.

Ja, oder man hat die Teams tatsächlich so gut in Kapazitäten aufgebaut.

Aber wie gesagt, ich bin ja mit einigen in stetigen Gesprächen auch außerhalb

meines eigenen Arbeitgebers und es ist überall das Gleiche.

Und es ist jetzt aber auch nicht so, dass es jetzt sich krass verändert hätte

und dass man jetzt sagt, wow, es ist jetzt eine völlig andere Epoche irgendwie

wie letztes Jahr, sondern es ist einfach das Gleiche immer wieder.

Ja, ich glaube schon, du hast so einen graduellen Anstieg, der ist schon,

glaube ich, zu spüren und mit dabei,

also was die Auslastung insgesamt betrifft oder beziehungsweise den Need auch

einfach mehr zum Incident Response zu haben oder einen Managed Incident Response auch zu haben,

weil die Leute oder die Firmen einfach intern die Ressourcen und die Knowledge

noch nicht selbst aufbauen können oder einfach vielleicht auch nicht aufbauen wollen.

Aber ich würde schon sagen, dass es ein bisschen mehr wird.

Vielleicht jetzt nicht unnatürlich oder ungesund mehr, aber du merkst schon,

dass der Need definitiv ansteigt.

Ja, aber es ist in so einem Rahmen, in dem ich sage...

Können halt auch noch andere Faktoren als, es sind einfach mehr Angriffe dahinter,

dahinter liegen vielleicht,

das auch durch Qualität und so weiter, teilweise sich auf weniger Anbieter konzentriert

und so weiter oder Firmen nicht mehr so viel bereit sind zu zahlen.

Also es kann ja mehrere Gründe geben.

Plötzlich mehr Regulierung am Markt, die das anfordern. Firmen,

die sich darauf vorbereiten.

Ja, obwohl ich ja dann meistens gar nicht mal so diese Retainer sehe,

sondern dann, wenn wirklich was was passiert und dann macht es erstmal gerade

relativ wenig Unterschied, wie du dann reguliert bist für die Firmen.

Das ist denen in dem Moment zum Glück meistens relativ Wurst.

Es ist, was mich halt eher immer einerseits so ein bisschen hoffnungsvoll stimmt,

andererseits natürlich auch immer total sauer macht, ist, dass die Einsätze

halt einfach unglaublich ähnlich sind, dass wenn man sich die Reports durchliest,

einfach im Grunde genommen fünf Fälle die Woche,

siehst, auch mit anderen Firmen, wenn ich da so Reviews mache,

manchmal darüber spreche, das ist halt einfach immer das Gleiche.

Und damit will ich nicht sagen, dass das einfach abzuwehren wäre,

sondern einfach, dass halt auch schon immer wieder die gleichen dummen Dinge ausgenutzt werden.

Und ja, aber wie gesagt, andererseits kann man das, finde ich,

auch, wir sind jetzt wieder bei dornigen Chancen von Christian Lindner,

als dornige Chance sehen, dass ich glaube immer noch, dass man es da vielen,

besonders irgendwelchen Ransomware der Philly jetzt einfach viel zu einfach macht.

Das sind oft nicht die hellsten Kerzen dahinter.

Aber man gibt ihnen halt Einfallstore, die, ja, ich habe mal gesagt,

das ist keine Backdoor, das ist eine ganz, ganz fette Frontdoor ganz oft.

Ja, ich meine, das ist kein großes Geheimnis, dass wir da besonders auch in

Deutschland immer noch wirklich weit hinterherhängen, was eine ordentliche Sicherheit

oder eine ordentliche Security angeht, Vor allem eben im mittelständischen Bereich und in den KMUs,

aber auch bei größeren Einrichtungen.

Und deswegen haben die Angreifer es halt auch so leicht.

Ja, ich habe mir auch mal Gedanken gemacht über dieses ganze Thema,

wieso Deutschland immer, wenn so Schwachstellen veröffentlicht werden,

in irgendwelchen Schodern-Reports ganz weit vorne ist.

Ja, es ist immer schwierig. Ich habe es mir am Anfang auch einfach gemacht und

habe das halt so auf Deutschland geschoben und es hat dann natürlich so mein Narrativ bestätigt.

Das muss man natürlich auch sehen. Es gab mal vor, ich glaube,

wann war das, vor anderthalb Jahren diese ESXi-Schwachstelle und da hat man

gesagt, oh, hier sind, in Deutschland allein sind immer noch 2000.

Ja, ich glaube, dass von den 2.000, 1.900 irgendwelche nested ESXi-Lab-Dinger

bei Hetzner irgendwo stehen, die auch keinerlei Relevanz für irgendwas haben.

Damit will ich das gar nicht runterspielen, aber man muss manchmal auch hinter

irgendwelche rohen Zahlen schauen. Wir haben ja einfach einen unglaublich breiten

Mittelstand, der seinesgleichen sucht. Damit will ich nicht sagen,

dass der in 40 Jahren noch hier ist, aber derzeit ist er hier.

Es gibt auch manchmal einfach andere Gründe, als Deutschland versagt bei IT-Security,

wenn bei irgendwelchen Schodan-Reports Deutschland unter den Top 5 ist.

Ich würde auch nicht sagen, dass sie dann bei dem Thema IT-Security grundsätzlich versagen.

Ich glaube, worin wir lange Zeit aber wirklich versagt haben,

und das ist wahrscheinlich auch so ein bisschen das Narrativ,

was du auch hattest und was sich bei dir bestätigt hat. Aber ich kann es auch

einfach aus eigener Erfahrung sagen.

Wir haben eben, wie du es gesagt hast, einen ganz breiten Mittelstand in Deutschland,

der halt einfach auch bruttosozial, produktmäßig, ich weiß gar nicht mehr,

ich muss mal wieder die Zahlen aussuchen, wie viel Prozent das in Deutschland ausmacht.

Ich glaube, fast über 70 Prozent nur vom Mittelstand.

Und da wurde halt mal vor einer gewissen Zeit IT aufgesetzt und dann lief das

und dann wurde darauf Business aufgesetzt.

Und dass du dann aber auch deine IT jedes Mal wieder irgendwie nachziehen musst

mit ordentlich Budget und so weiter und so fort, das ist halt,

glaube ich, was, was einfach viele unglaublich lang verschlafen haben.

Hm.

Ja, also erstens muss ich schon jetzt auch durch meine ganze Auslandsarbeit

in den letzten zehn Jahren sagen, dass ich es jetzt, dass ich jetzt nicht bestätigen

kann, dass es irgendwo anders krass viel anders ist.

Also, wie gesagt, ich bin wie gesagt der größte Kritiker, wenn es um diese Themen

geht, wenn es um Digitalisierungspolitik und so weiter geht,

aber manchmal macht man es sich auch zu einfach.

Also ich war auch schon in Ländern, bei denen man denken könnte,

wow, da müsste ja alles viel besser sein, hochtechnologisiert,

digitale Verwaltung und dann bist du halt irgendwo in ein produzierendes Unternehmen

gegangen und dann hat das einfach eins zu eins ausgeschaut, wie irgendwo auf der Schwäbischen Alb.

Und ich glaube, was schon ein Teil des Grundes ist, wir wollten lustigerweise,

hatten wir gar nicht vor, über dieses Thema zu reden, aber gut.

Das passiert manchmal auch einfach so.

Was ich natürlich schon sehe, wenn ich mit familiengeführten Unternehmen zusammenarbeite

und wofür ich auch eine gewisse Empathie einfach habe, und ich glaube,

ich hatte das mit Zwantje in der letzten Folge auch so ein bisschen angesprochen,

wir sprechen natürlich auch ganz oft einfach vom Festgeldkonto,

wie im Fußball immer so gerne gesagt wird.

Und natürlich tut man sich schon schwerer, irgendwie aus der eigenen Equity

da richtig Kohle irgendwie ein, zwei Millionen zu investieren für irgendwas,

was ich vielleicht schlecht greifen kann, was mir auch schlecht erklärt wurde ganz oft,

was für mich auch gar nicht so toll eingeordnet wurde.

Wie vielleicht eine Firma, die relativ neu am Markt ist, die stark Venture Capital geschützt ist.

Damit heißt es nicht, auch da weiß ich, die goldenen Zeiten sind Stand heute

zumindest nicht vorbei, aber werden gerade so ein bisschen pausiert.

Auch da wirft man nicht einfach das Geld raus. Trotzdem redet man schon anders

über Geld und anders über Investments und natürlich auch das, was du gesagt hast.

Es ist natürlich, wenn ich jetzt ein Unternehmen aufsetze, ist es deutlich einfacher,

eine Security-Architektur von Anfang an einigermaßen sauber aufzubauen,

wie wenn ich vor 30 Jahren mit IT angefangen habe.

Und auch da, ich bin dann halt auch manchmal zu den Infrastrukturleuten ehrlich

und sag dann auch, naja, also das mit der Netzwerksegmentierung hat nicht euer

Geschäftsführer verkackt.

Das ist halt jetzt historisch gewachsen und jetzt muss man es halt irgendwie hinbekommen.

Aber es ist auch nicht immer nur irgendwo eine Geschäftsführung dran schuld, weil kein Geld da ist.

Nee, nee, also ich sage auch nicht, dass immer die Geschäftsführung dran schuld

ist, aber es ist durchaus auch natürlich die Mentalitätssache der Leute,

die dafür in den Firmen zuständig sind,

dass sie halt auch dementsprechend ihre Security-Themen dann auch verkaufen können.

Weil jetzt, wenn wir uns wirklich mal anschauen, wie sieht das heutzutage bei einem Großkonzern aus?

Du hast halt, erstmal hast du verschiedene Prüfungen im Jahr,

Audits von der Wirtschaftsprüfung angefangen, über was für Gesetze auch für

dich gelten oder Regularien und die gucken da halt rein.

Und meistens steht immer irgendwo schon mal auch mit drin, dass du halt auch

eine ordentliche Security irgendwo mit eingesetzt haben musst heutzutage.

Und das heißt, die müssen sich um das Thema kümmern, sonst kriegen sie irgendwo

ein Finding, kriegen ein schlechteres Credit Risk, Credit Scoring und blablabla.

Deswegen gibt es zumindest da immer schon mal so ein paar Bemühungen, irgendwas zu machen.

Bei vielen im Mittelstand, was ich zumindest immer gesehen habe oder ganz oft

gesehen habe, ist halt wirklich so, wir stellen das hin,

es funktioniert und dann gibt es auch oftmals eine Stimme aus einer IT raus

oder von einem in der IT, der für Security verantwortlich ist, der dann halt sagt,

ja, wir sehen jetzt hier, verändert sich was,

beziehungsweise ich habe jetzt wieder irgendwelche neuen Beiträge gelesen,

ich glaube, wir sollten uns dagegen schützen.

Wir haben aber nichts dafür im Einsatz und wenn wir jetzt ein neues Tool oder

einen neuen Service dafür kaufen, dann kostet uns das x-tausend Euro.

So, jetzt hast du plötzlich jemanden, der an die Geschäftsführung ran tritt

oder an den IT-Leiter ran tritt und sagt, ich brauche jetzt wieder plötzlich

mehr Geld, weil potenziell könnte da was auf uns zukommen,

potenziell, ja, ich kann es nicht wirklich in Zahlen fassen,

weil auch das ist nichts, was dass wirklich jemand, der in der IT-Security arbeitet

oder der überhaupt irgendwie im Technikbereich arbeitet, das kriegt der ja niemals beigebracht.

Wie transformiere ich jetzt mein gefühltes Risiko oder mein potenzielles Risiko,

was dort dementsprechend auf mich zukommen könnte, auch wirklich vielleicht

in den Wert, dem die Firma dann zu Schaden fallen würde?

Und auch das ist wieder das Thema, im Konzern hast du meistens halt natürlich

eine eigene Risk-Management-Abteilung oder so,

die können dann genau mit den Leuten dann zusammenarbeiten und die können das

dann irgendwo reinflanschen ins Framework und sagen dann, hat das was für eine

High, Critical, Medium, Low Auswirkungen mit der Probability dahinter.

Dann hast du noch einen Katalog, der immer genau aussagt, was das dann wahrscheinlich

für ein Schaden ist und so. Dann kannst du es besser verkaufen.

Beziehungsweise gibt es dann auch einfach bestimmten Momenten natürlich nicht

mal die Frage, ob es irgendwie einfach nur weg-approven kann. Vielen Dank.

Sondern dann muss es halt einfach gemacht werden. Wegen dem Framework.

Und das hast du aber ganz oft auch im Mittelstand nicht. Und deswegen tun die

sich auch natürlich ganz schwer, solche Themen.

Ich sage mal wieder, was wir für den CISO quasi auf jeder Konferenz,

egal mit wem du es hörst heutzutage,

was mit das Größte und Wichtigste ist, was der CISO heutzutage machen können

muss, ist das Business verstehen.

Und die Technik und die Security quasi

in Business-Sprech oder in Management-Board-Sprech übersetzen können.

Weil sonst merkst du einfach, hast du keine Chance.

Und das hast du natürlich nicht überall. Und auch nicht jeder CISO ist nochmal

ein MBA oder sonst irgendwas ausgebildet.

Und deswegen fehlt es halt, glaube ich, einfach in vielen Aspekten dahinter.

Und auch in der Geschäftsführung ist es natürlich dann wieder ein Punkt,

entweder kriegst du es halt nicht mit, weil halt der IT-Leiter schon das vorher

abblockt und sagt, bist du bekloppt, ich bin froh, wenn ich mein IT-Budget kriege

jedes Jahr und jetzt willst du hier noch ein paar tausend Euro mehr draufschlagen,

da weiß ich schon ganz genau, was uns blüht.

Ja, ich glaube, das ist einfach ein Thema.

Bruchteil des Preises. Die sind vielleicht dann auch qualitativ nicht so gut,

aber trotzdem überlegen sich dann auch die Supplier oder die Endkäufer.

Natürlich gehe ich vielleicht nicht einfach woanders hin.

Also ich glaube, da spielen viele verschiedene Punkte natürlich mit rein und

deswegen jetzt trifft man schon wieder an das Regulatorik-Thema ab, das hast du mit 20 schon,

totgeritten. Übrigens sehr gute Folge, muss ich wieder sagen.

Aber deswegen glaube ich auch einfach, dass das ganze Thema mit der Regulatorik

und den Gesetzen einfach wichtig, weil es etwas ist, worüber sich alle kümmern

müssen, egal ob es jetzt ein großer multinationaler Konzern ist.

Oder eben auch eine kleinere mittelständische Bude, die vorher vielleicht das

noch nicht so auf dem Schirm hatte.

Aber auch die sind diesen Risiken ausgesetzt und auch die tun sich einfacher

und leichter, jetzt da rein zu investieren, als wir dann, wenn es zu spät ist,

und sie das Zehnfache dann an Ransomware zahlen müssen.

Dann habe ich jetzt eine gute Idee für ein Investment.

Schieß los. Waschmaschinen.

Willst du das Thema Ransomware einfach gelöst haben? Ich meine, du bist doch CISO.

Jetzt pitchst du mir was. Ja, ich bin CISO, aber für ein Cloud-Unternehmen,

da ist Ransomware nicht so.

Würdest du dich als kritische Infrastruktur zählen?

Nee, sind wir noch nicht. Definitiv nicht.

Wird auch, glaube ich.

Im Kryptobereich noch ein bisschen dauern.

Dann wirkt es auch nicht.

Schieß los.

Nee, das wirkt dann nicht.

Das.

Wirkt nur auf kritisch Das wirkt nur bei einem Windows-Server auf einem kritisch

auf einer kritischen Infrastruktur.

Also ich kann ja meine CISO-Historie wieder ein bisschen rausgraben wo ich vorher

überall unterwegs war und wenn ihr mir dann jetzt was pitcht,

kann ich natürlich auch aus dem Blickwinkel meine Meinung dazugeben.

Ihr könnt ja so ein bisschen CISO-Sharktank machen Also.

Für die Leute unter euch, die nicht tagtäglich LinkedIn-Drama verfolgen,

erstmal Glückwunsch Ihr habt absolut nichts verpasst.

Ihr macht tatsächlich wichtige Dinge in eurem Leben und ich meine das nicht sarkastisch.

Und wahrscheinlich ist eure Psyche auch schon noch weitaus gesünder als so manch

andere, die sich da viel bewegen.

Absolut, absolut. Und deswegen, ja,

wir haben so ein paar Anfragen in unseren Nachrichten, E-Mails und sonst so

bekommen, kommen, ob wir über ein bestimmtes Thema sprechen können. Da hat ein Hacker.

In Anführungszeichen.

Ja, weil er sich anderen ist mir auch egal. Hat ein Tool rausgebracht,

das ein für alle Mal vor Ransomware schützt.

Hat er nicht gesagt, aber habe ich jetzt einfach mal gesagt.

Wir haben uns dazu entschieden, da einfach, wir haben keinen Bock darüber zu sprechen.

Wir haben keinen Bock, uns an diesem Drama irgendwie zu beteiligen.

Weil das können andere ausfechten auf allen Seiten.

Ich kann nur immer sagen, das ist, glaube ich, ganz schön ausgedrückt,

macht eure eigene Due Diligence, wenn ihr, egal in welcher Debatte,

egal auf welcher Seite, versucht, selbst irgendwie einen Griff dran zu bekommen.

Und wenn ihr davon nichts versteht, dann findet ihr entweder eine Quelle,

die euch das verständlich macht oder ihr beteiligt euch einfach nicht an der Debatte.

Und wir beide, ich glaube, wir verstehen fachlich ungefähr, um was es da geht,

aber trotzdem haben wir auch wirklich keinen Bock auf dieses Drama,

was ich natürlich an der Kritik für die Leute, wie gesagt, die es jetzt nicht

mitbekommen haben, müsst es auch nicht mitbekommen, ist es nicht wert,

verstehen kann, ist, auch ich habe schon so oft mit irgendwelchen Firmen zusammengesessen.

Und dann wurde wieder gesagt, hey, unser IT-Leiter hat das gesehen und wir wollen

jetzt das kaufen, wie bewertest du das?

Und da ging es nicht darum, dass ich was anderes verkaufen wollte,

sondern ging es mehr darum, du schaust dir das an und denkst dir,

oh, bitte gib dafür jetzt keinen Cent aus, weil das Geld könnte dir einfach so viel besser.