SOC in Deutschlands größter Behörde
Ja, wir haben jetzt seit mittlerweile einer Stunde und 25 Minuten bereits hier
geredet, haben aber vergessen Rekord zu drücken.
Nein, es waren viele Internas natürlich, diese erst ab Minute 40 jetzt gleich
auspacken, meine Gäste. Wir haben heute so eine kleine Premiere bei Preach.fm.
Das ist die, ich glaube, immer noch erste Aufnahme, die wir vor Ort machen.
Für andere Projekte, die ich so privat habe, haben wir sowas schon gemacht.
Wir sind heute aber in Nürnberg und haben auch zwei Gäste, werden gleich lachen,
auf die ich mich sehr gefreut habe.
Und die dürfen sich jetzt eigentlich einfach mal selbst vorstellen.
Wer seid ihr? Was macht ihr?
Ja, dann fange ich mal an. Mein Name ist Jens Lewandowski. Ich bin im CERT BA,
im Security Operations Center als Incident Responder tätig.
Bin seit über 20 Jahren grundsätzlich in der Bundesagentur für Arbeit im IT-Bereich
unterwegs und eigentlich die komplette Zeit nach der Ausbildung im Security-Bereich unterwegs.
Unterwegs und Zert tatsächlich seit 2018, also wir haben sozusagen schon eine
Weile das Zert-Label jetzt hier am Leben.
Genau, mein Name ist Stefan Müller, ebenfalls Incident Response im SOC.
Ja, ähnlicher Werdegang, ein bisschen kürzer vielleicht, seit 13 Jahren jetzt
mittlerweile im Rahmen eines Förderstudiums im IT-Systemhaus und von Anfang
an im Security-Bereich, damals natürlich beim Betrieb und ja,
dann über die Wege Aufbau, Seam,
ja, Incident Detection im SOC und letztendlich jetzt seit, war 2020 ungefähr,
auch im Bereich Incident Response.
Ich werde dann später nochmal so ein bisschen darüber reden,
was das bei euch konkret heißt.
Ich habe auch die Erfahrung gemacht, dass in verschiedenen Unternehmen allein
das Wort Incident Response völlig verschiedene Dinge mittlerweile heißen kann.
Es gibt mir aber erstmal vielleicht so einen kleinen Überblick mit IT-Systemhaus,
Bundesagentur für Arbeit, wie groß ist das Ganze?
Die Frage kam nämlich auf, weil auch ich glaube ich, bevor ich das erste Mal
vor einigen Jahren mit der Bundesagentur zu tun hatte, war ich doch überrascht,
wie groß diese ganze Infrastruktur ist,
wie groß allgemein dieses Gebilde Bundesagentur für Arbeit ist.
Natürlich dachte ich mir jetzt nicht, da gibt es nur zwei Büroräume,
aber ich war dann doch erstaunt, wie viel dann doch dahinter steht.
Gib nochmal auch den Hörern so einen kleinen Überblick darüber.
Ja, gern. Also grundsätzlich, unser
Marketing redet immer von Deutschlands größter Behörde, die wir sind.
Auf den neuesten Folien stand, glaube ich, sogar was von Europas größter Behörde.
Ja, grundsätzlich haben wir in ganz Deutschland verteilt über 200.000 Endgeräte
mit 130.000 Mitarbeitern auf 1.600 Liegenschaften ungefähr verteilt.
Zu diesen 130.000 kommen dann noch Mitarbeiter der Jobcenter, der Kommunen dazu.
Ja und wir machen zentral aus Nürnberg eben die ganze IT für alle Arbeitsvermittler,
wie auch immer, also jegliche Berufe draußen, ja eben die einheitliche IT.
Und ja, sind im Security-Bereich rund 45 Leute, wobei der jetzt mittlerweile gewachsen ist.
Da sind wir dann deutlich mehr noch, weil noch ein paar andere Bereiche dazukommen.
Aber das ist ungefähr das, was wir jetzt seit doch einigen Jahren,
jetzt über 20 Jahren, glaube ich, machen.
Also bei mir waren es auch diese 200.000, die ich glaube ich damals knapp gehört habe.
Und da war ich eben sehr erstaunt, weil man findet dann doch sehr wenige Unternehmen
in Deutschland, selbst in Konzernen, wo man 200.000 Geräte vorfindet,
die irgendwie gemanagt werden.
Und da war ich tatsächlich damals relativ erstaunt und dann wurde mir auch klar,
was es natürlich für eine Tragweite hat, hier Security zu machen.
Wenn wir da vielleicht gleich mal so ein bisschen einsteigen wollen. Ich glaube,
der Kollege Walter Kahl hat mir mal so einen kleinen Überblick darüber gegeben,
was es eigentlich heißen würde, wenn wir hier, und es muss jetzt gar nicht bezogen
auf IT-Security sein, sondern im Allgemeinen, was so ein Ausfall wirklich für
Auswirkungen haben könnte.
Gibt da doch mal vielleicht so einen grundsätzlichen Überblick,
wie viel da natürlich mittlerweile auch von der digitalen Welt abhängt?
Da hängt eine ganze Menge von ab. Also die Bundesagentur für Arbeit zahlt ja
diverseste Dienstleistungen.
Also das ist angefangen beim Arbeitslosengeld I über das Bürgergeld bis hin zu Kindergeld.
Das sind so die bekanntesten Zahlungen.
Das heißt, dass eigentlich von uns Geld in fast jeden Haushalt geht in Deutschland.
Also mal jetzt abgesehen von der Rente, die dann ab 67 im Prinzip an die Rentner
geht, kriegt jeder Geld.
Und abhängig davon, was es für eine Zahlung ist, also Kindergeld,
wenn jetzt ausfallen würde, weil jetzt meinetwegen die BA einen Ransomware-Vorfall
oder Ähnliches hätte, das wäre noch wahrscheinlich ganz gut zu verkraften für viele.
Arbeitslosengeld oder Bürgergeld speziell wäre wahrscheinlich eine ziemliche Katastrophe.
Also das würde vermutlich, je nachdem wann der Ausfall wäre,
noch zwei, drei, vier Wochen gut gehen.
Aber spätestens bei der nächsten Zahlung, wenn die ausbleiben würde,
glaube ich, würde das ein massives Problem für viele Kunden bedeuten.
Und im schlimmsten Fall könnte damit im Prinzip auch der soziale Frieden in
Deutschland gefährdet sein.
Also wenn jetzt irgendwie zwei Millionen Menschen auf einmal kein Geld mehr
erhalten, sich nichts mehr zu essen kaufen können, die Miete wird nicht bezahlt,
je nachdem wie die Vermieter dann drauf sind, kann das halt auch ganz schnell unangenehm werden,
kann das ein tatsächlich sehr großes Problem in kurzer Zeit werden.
Ja, und es ist ja auch ein Kreislauf. Also das ist ja glaube ich,
es geht ja nicht um diese eine Zahlung, sondern wie gesagt, es gibt ja auch
nicht nur die großen Vermieter, die irgendwie 40 Häuser haben mit Mehrfamilien
und so weiter, sondern es gibt natürlich auch, keine Ahnung,
wir haben selbst mal oder ich habe selbst mal bei einer älteren Dame gewohnt, nicht bei ihr direkt,
aber die hatte eine Wohnung in diesem Haus eben noch.
Und die war, hat sie mir auch erzählt, mehr oder weniger komplett abhängig als
Witwerin von dieser einen Miete und auch, ich meine das ist jetzt ein sehr stupides Beispiel,
aber es gibt es ja überall und ich glaube selbst dieses Kindergeld,
wenn man jetzt ein paar Jahre zurückschaut, ja okay,
dann kommt halt Kindergeld nicht, aber ich kenne mittlerweile auch viele Familien,
da ist Kindergeld halt ein riesiger Posten, auch in der monatlichen Planung.
Und ja, wir hatten ja mal die Diskussion mit der Landeshauptstadt Potsdam und
da, selbst die Kolleginnen und Kollegen haben ja mal so ein bisschen erzählt
und ausgeholt, was es hieß, dass manche Bürgerdienste nicht verfügbar waren.
Oder ging es wirklich um Bürgerdienste, nicht nur um Geld?
Wirklich Bürgerdienste? Das war ein unglaublicher Stress.
Und ich glaube, allein anhand dessen, wenn es dann um Geld geht,
ist es nochmal was anderes.
Wenn jetzt, und ich meine, auch eine Bundesagentur bietet ja mehr und mehr digitale Services an.
Kriegt man immer wieder Meldungen zu, alles was rund um Terminplanung ist und sonst irgendwas.
Wie stark muss man da mittlerweile auch einen Plan B in der Hand haben,
weil das mal sowas wie ein Ransomware-Angriff passiert, so gut wie man sich
schützt, muss ja in der Planung mit drin sein.
Das ist im Prinzip eine Sache, die wir im Incident Response Bereich uns vorab
überlegen. Was passiert, wenn es passiert?
Welche Maßnahmen müssen wir ergreifen? Wie gehen wir mit den Rechnern um?
Wie würden wir das Netz wiederherstellen?
Welche Systeme sind sozusagen die, sei es mal schön, die Kronjuwelen,
die zuerst wieder am Leben sein müssen?
Also je nachdem, wie weitreichend dieser Vorfall ist, müsstest du wahrscheinlich
als erstes das Active Directory wiederherstellen und dann überlegst du dir im
Prinzip in kleinen Schritten erstmal, wie baust du das Netz wieder auf.
Also meinetwegen, wir haben auch dann teilweise uns isolierte Szenarien überlegt.
Es hat nur die Clients erwischt, meinetwegen.
Active Directory hat es nicht erwischt, weil meinetwegen der nicht direkt Domain-Administrator
geworden ist, aber er konnte jetzt alle Clients verschlüsseln.
Wie schaffst du es, bei der Anzahl an Clients in endlicher Zeit diese Clients wieder zu bespielen?
Das ist halt typischerweise eine PXE-Installation übers Netzwerk.
Gibt es Netz-Dessert? Gibt es genug Ressourcen und so Sachen?
Also reichen die Leitungen aus? Nicht jede Liegenschaft ist jetzt dann irgendwie
mit 40 Gigabit oder sowas angebunden.
Das sind alles Sachen, die du im Prinzip dir vorher überlegen musst.
Brauchst du neue Hardware? Also du überlegst die einfachen Fälle,
ist es nur verschlüsselt? Okay, du spielst halt neu, funktioniert es wieder?
Oder ist es was Sophisticatedes, wo meinetwegen du nicht sicher sein kannst,
dass andere Sachen noch kompromittiert sind von der Hardware,
wo du dann im Prinzip vielleicht auch neue Hardware brauchst?
200.000 Clients hat jetzt auch wahrscheinlich kein Hersteller,
einfach mal im Lager liegen.
Nee, auf keinen Fall. Also ich...
Am Ende geht es ja alles mehr und mehr in diesem Bereich Risikomanagement und
ich habe da neulich erst mit dem Unternehmen darüber gesprochen und ich glaube
ein paar Tage zuvor gab es ein Interview mit dem Nvidia CEO,
der auf einer Bühne gesagt hat,
es wurde immer allen gesagt, die sollen Programmieren lernen oder sollen ihren
Kindern Programmieren beibringen, hält dafür einen kompletten Stoß mittlerweile,
die sollen lieber logisch konzeptionell denken können.
Und das ist für mich so, ich weiß nicht, das wäre jetzt auch gleich eine Frage,
ob sich das bei euch auch so ein bisschen verlagert hat.
Vor ein paar Jahren war ich noch viel hinter Systemen und sollte Leuten aufzeigen,
vielleicht irgendwas analysieren oder so und sollte ihnen rein technisch mal
zeigen, wie die Sachen funktionieren.
Und mittlerweile hat es sich eher verlagert mit rein konzeptionell und technisch
bekommen wir das dann schon irgendwie hin.
Aber wir brauchen erstmal ein Konzept, wie wir das machen würden.
Hat sich das bei euch auch verlagert in den letzten Jahren?
Ja, verlagert weiß ich jetzt nicht genau. Also wir haben auf jeden Fall schon
seit Jahren ein Business Continuity, wo das Ganze auch von fachlicher Seite
quasi, Jens hat jetzt ein bisschen von der Technik geredet, aber auch fachlich
quasi, welche Verfahren sind als erstes wieder notwendig.
Das war eigentlich schon im Rahmen von Eitzel bei uns, also seitdem ich hier
bin, auf jeden Fall ein Thema, von dem ja diesen Punkt gibt es schon immer.
Aber gerade in unserer eigenen Arbeit, ja, man ist vielleicht ein bisschen weniger
an Konsole und denkt sich das große Konzept eher dahinter aus.
Das auf jeden Fall, ja. Aber ich weiß nicht, das kommt wahrscheinlich auch einfach
mit dem eigenen Werdegang so ein bisschen dann mit, je weiter man dann natürlich
auch Verantwortung übernimmt. Mehr geht es dann eher in diese Konzepte.
Also ich merke das halt ganz stark, dass ich immer noch mit manchen Unternehmen
Debatten darüber führe, da wird dann wieder gefragt, sollten wir es siehe machen,
sollten wir das und das machen, da sage ich immer, ja keine Ahnung,
lasst uns halt erstmal überlegen, was wir damit erreichen wollen und dann wird
da logischerweise hoffentlich irgendwann eine Technologie bei rausfallen.
Und mal ist es halt Technologie A und mal ist es Technologie B.
Und dann kann man sich noch mit Herstellern beschäftigen. Aber ich glaube immer
noch, dass viele Unternehmen Security so ein bisschen sehen.
Wir schützen uns vor allem und wir schauen, dass wir alles analysieren können,
aber es nicht in diesen Gesamtkontext Unternehmen bringen.
Und da habe ich schon das Gefühl, dass das hier ja eh schon deutlich länger
gemacht wird, wie du schon sagtest
und natürlich auch deutlich intensiver einfach gemacht werden muss.
Ja, es kommt ja auch immer ganz drauf an, wie man Security dann letztendlich einsetzt.
Also Produkte, die kannst du reinstellen, die geben dir vielleicht einen gewissen Grundschutz.
Und wenn du dich dann nicht weiter damit beschäftigst, dann machen die zwar
das, was sie mal tun sollten, aber richtig vorangeht es dann nicht in der Security.
Deswegen sind wir da nicht wirklich Fan von, sondern versuchen da eigentlich
immer uns wirklich damit zu beschäftigen.
Auch damals, als wir Sieben beispielsweise eingeführt haben,
da haben wir auch von anderen Kunden gehört, die haben sich das quasi ins Netzwerkschrank
reingestellt und haben es dann zwei Jahre nicht mehr angeguckt.
Und Security-Komponenten, die müssen eigentlich leben.
Egal, ob es jetzt ein Sieben, EDR oder sonst was ist.
Da muss wirklich Herzblut und viel Arbeit reingesteckt werden.
Ja, das ist ja das, worüber ihr gerade gesprochen habt, das ist ja schon richtig
gesagt, es ist ja ganz viel Business Continuity Management und das sind ja Dinge,
die müssen jetzt nicht nur aufgrund von einem Security-Vorfall passieren,
können ja auch irgendwelche anderen Dinge passieren.
Bei VW gab es vor Monaten mal diesen riesen Netzwerkausfall beispielsweise,
der nach Hörensagen nichts mit Sicherheit zu tun hatte, sondern wohl Fehlkonfiguration
war, keine Ahnung, irgendwann Spanning Tree verkonfiguriert wahrscheinlich. Ja.
Wie stark müsst ihr da natürlich auch mit den anderen Abteilungen und dem eigentlichen
Geschäft auch zusammenarbeiten mittlerweile?
Hat sich das vielleicht auch verlagert, dass ihr da mehr interagieren müsst?
Als Security-Bereich interagieren wir ja eh mit allen Teams,
weil es ist ja jetzt bei uns nicht so, dass jeder jeden kennt.
Es ist ja ein relativ großer IT-Betrieb hier. Also wir reden ja hier von roundabout 1500 Mitarbeitern.
Das heißt, man kennt nicht jeden. Es gibt spezialisierte Einheiten.
Also Netzwerk ist eine Einheit, die kümmert sich nur ums Netzwerk.
Und immer wenn es um Security-Themen geht, sind wir eigentlich mit im Boot.
Das heißt, entweder beraten wir nur oder helfen halt bei Problemen.
Und auch wenn es so Ausfälle gibt, also wenn man danach googelt,
wird man auch den einen oder anderen Netzwerk ausführen, der bei uns finden
und vielleicht war auch mal ein Spending Tree dabei.
Das müssen wir uns halt dann auch speziell angucken. Also ist es jetzt dann
wirklich was Security-relevantes, was da passiert?
Das ist ja am Anfang noch gar nicht klar. Also es gibt einen Ausfall Da muss
man sich erstmal ein Bild über die Lage machen. Oder ist es wirklich ein Security-Problem?
Wir haben bisher im Prinzip das Glück gehabt, dass es am Ende dann,
wenn wirklich mal eine größere Störung war, meistens auf einen IT-Ausfall hinausläuft
und nicht auf größere Security-Inzidenz.
Wie vorsichtig muss man denn sein, wenn man jetzt, also ich kenne Unternehmen,
die müssen nicht super, super vorsichtig sein, dass wenn sie irgendwo einen
Verdacht haben, die können einfach mal Komponenten vom Netz nehmen.
Also ich meine, gern macht man es nie in keiner Firma, weil alle mittlerweile
abhängig von irgendeinem Ablenk ins Internet sind, aber die haben jetzt nicht
so diese riesen, riesen Einschränkungen.
Wenn die sagen, wenn wir mal zwei Stunden offline sind, dann ist das nicht schön,
aber dann können wir damit leben.
Das heißt, dieser Threshold, das mal zu machen, ist bei denen deutlich niedriger.
Ich kann mir vorstellen, dass das hier wahrscheinlich nicht so der Fall ist.
Also grundsätzlich ist natürlich in den entsprechenden Plänen vorgesehen,
dass wir das machen können. Wir können es auch zeitnah machen.
Das Ziel ist natürlich immer ein 24-7-Betrieb hier aufrecht zu halten,
nachdem wir ja diverseste Dienstleistungen im Internet haben,
auch gesetzlich getrieben, Online-Zusammensgesetz und solche Sachen.
Versuchen wir schon, die 24-7 am Laufen zu halten und sicher zu halten.
Also jetzt einfach mal nur auf Verdacht den Internetzugang kappen und damit
im Prinzip jegliche Online-Dienstleistungen abzuschalten, wo ja viel auch durch
Corona im Prinzip die Leute sich daran gewöhnt haben, dass sie es von zu Hause machen können.
Sie können es am Handy machen, über Apps. Und so ein Ausfall ist nie schön.
Also egal, wann der jetzt ist. Der ist in der Nacht vielleicht jetzt nicht ganz
so schlimm für die Leute.
Nachts werden die meisten Leute schlafen. Also keiner wird wahrscheinlich um
drei Uhr nachts oder wenige um drei Uhr nachts sich mit ihren Anträgen beschäftigen.
Aber schön ist es nie. Also egal zu welcher Tageszeit. Zu den Hauptzeiten hat
es noch mal unangenehmer als in den Randzeiten.
Gerade wenn es so die großen Server oder die großen Applikationen angeht,
ist man dann schon eher vorsichtig.
Wenn es um einzelne Clients geht, da sind wir relativ frei, sage ich mal.
Wir profitieren davon einer sehr homogenen Infrastruktur und wenn es dann wirklich
einen Client gibt, der irgendwie auffällig geworden ist, dann können wir den
innerhalb von 30 Sekunden mal kurz isolieren.
Das wäre jetzt wirklich weniger das Thema, aber gerade bei den Anwendungen,
da versucht man natürlich schon den Zugang offen zu halten.
Wie gut müsst ihr dann die Prozesse dahinter verstehen, also Antragswesen oder
sonst irgendwas, um vielleicht auch mal selbst einschätzen zu können,
wie wichtig gerade etwas ist?
Weil ich kann mir natürlich auch vorstellen, dass es Prozesse gibt nach außen
hin, die vielleicht, also ist jetzt meine Vorstellung davon,
die vielleicht wichtiger sind als andere.
Also dass man vielleicht auch sagt, keine Ahnung, Infrastruktur A,
die ist zwar auch nach außen wichtig,
aber da kann ich eher mal bei einem 50% Sicherheit auch mal das Ganze kappen
