Prof. Thomas Köhler – Cybersicherheit ist Chefsache

00:00:03: Erfolg braucht Verantwortung.

00:00:06: Der Podcast von und mit Udo Gast.

00:00:12: Podcast Folge zweihundundundundundundundundundundundundundundundundundundundundundundundundundundundundundundundundundundundundundundundundundundundundundundundundundundundundundundundundundundundundundundundundundundundundundundundundundundundundundundundundundundundundundundundundundundundundundundundundundundundundundundundundundundundundundundundundundundundundundundundundundundundundundundundundundundundundundundundundundundundundundundundundundundundundundundundundundundundundundundundundundundundundundundundundundundundundundundundundundundundundundundundundundundundundundundundundundundundundundundundundundundundundundund.

00:00:33: CyberRisk und Zukunftstechnologien.

00:00:36: Der Unternehmer Professor und Autor des Buches Chefs nach der Cyber-Sicherheit erklärt, warum digitale Sicherheit zur zentralen Führungsaufgabe geworden

00:00:45: ist und

00:00:46: wie Verantwortung auf Management-Ebene konkret gelebt werden kann.

00:00:51: Besonders eindrucksvoll Thomas Schüller gewährt Einblicke in die Methoden moderner Hacker und zeigt, wie künstliche Intelligenz Cyberangriff auf ein neues Level heben.

00:01:02: Ein Gespräch über Risiko, Führungskultur und digitale Verantwortung.

00:01:07: Voller praktischer Impulse für alle, die ihre Granulation sicher und zukunftsfähig aufstellen

00:01:14: wollen.

00:01:18: Erfolg braucht Verantwortung.

00:01:21: Noch mehr bedarf es kompetente Begleitung auf dem Weg zum Erfolg.

00:01:25: Weise Unternehmer holen sich Rat von denen, die den Weg schon gegangen sind und die Abkürzungen kennen.

00:01:32: Die Kontaktadresse von Udo Gast finden Sie direkt in den Show Notes.

00:01:40: Herzlich willkommen wieder einmal zu einer neuen Ausgabe von Erfolgbrauchverantwortung.

00:01:46: Und wenn ich mit manchen Unternehmen heute spreche, dann stelle ich Ihnen so die Frage, die eigentlich zwei Antworten da nötig, seid ihr schon gehackt worden?

00:01:54: Oder habt ihr es noch nicht bemerkt?

00:01:57: Und viele zucken dann zusammen und sagen, äh, nee, nee, also nein, das, also ne, gar kein, gar nicht unser Thema, also das ist ja gefährlich, aber... Wir haben ja eine IT-Abteilung.

00:02:07: Das kann verhängnisvoll sein, wenn man sagt, wir haben eine IT-Abteilung.

00:02:11: Ich habe mir einen Experten heute eingeladen, einen ausgewiesenen Experten für Zeibersicherheit, für Verantwortung im IT-Bereich, im Unternehmen.

00:02:21: Herzlich willkommen, Prof.

00:02:23: Thomas Köhler.

00:02:25: Ja, danke für die Einladung.

00:02:26: Schön, dass ich dabei sein

00:02:27: darf.

00:02:28: Ja, Thomas, du bist der ausgewiesene Experte.

00:02:30: Ich habe dich gehört.

00:02:33: bei Next Knowledge Business Forum in Böbling.

00:02:36: Und ich war fasziniert und begeistert, aber auch erschrocken.

00:02:41: Erschrocken muss ich sagen, über die Möglichkeiten, die du Unternehmern aufgezeigt hast, welche verschiedene Methoden es gibt, um gehackt zu werden.

00:02:52: Und das Thema begleitet dich ja schon seit vielen Jahren.

00:02:55: Du kommst ja ursprünglich auch bisher aus der IT-Branche Betriebswirtschaft.

00:02:59: Was hat dich denn überhaupt an diesem Thema Cyber-Sicherheit fasziniert?

00:03:04: Wie bist du dazu gekommen?

00:03:05: Ja, die Geschichte ist tatsächlich ein bisschen länger.

00:03:07: Mein allererster Job war Wissenschaftler und Mitarbeiter an der Uni.

00:03:11: Also ich war eine der ersten Wirtschaftsinformatiker in diesem Lande.

00:03:14: Da gab es ja, bin aber, ich sag mal vom Abschluss her, Diplom Kaufmann noch.

00:03:20: an der Universität und war an einem der ersten Wirtschaftsinformatik Lehrstühle.

00:03:24: und damals war unser Thema war sozusagen ganz neu.

00:03:29: Also wir haben mit dem damals recht frischen Internet, haben wir auch sozusagen Themen gemacht.

00:03:34: Meine Stelle war gesponsert von der Deutschen Telekom und das hat natürlich so ein bisschen die Forschungsrichtung vorgegeben, also sozusagen globale Vernetzung.

00:03:42: Damals war die Frage, was kann man kommerziell und sicher mit dem Internet machen.

00:03:45: Das ist im Prinzip immer noch die Frage meines Lebens.

00:03:49: anderen Kontext.

00:03:50: Und da war es so, wir haben dann sehr, sehr schnell aus der Forschung raus, weil es niemand gab, der das konnte, haben wir dann angefangen und haben unter anderem für die Deutsche Telekom, aber auch viele andere Unternehmen, national wie international, große japanische High-Fi-Hersteller, Porzellan-Hersteller aus Oberfranken, haben wir dann Web-Anwendungen gebaut.

00:04:07: Weniger die bunten Bilder, weniger der Websites, da waren tatsächlich schon die Agenturen und die Grafiker dran, aber so bei uns die Funktionen, BtoB-Plattformen, Border-Plattformen usw.

00:04:17: Und wir wurden sehr, sehr konfrontiert mit dem was wir heute cybercrime nennen das heißt wir haben zum beispiel für einen japanischen hi-fi konzern haben wir eine europa reite online bestellt plattformen gemacht.

00:04:28: er hat gesagt na ja wir sind nicht überall vertreten in den.

00:04:31: wir wollen gerne das pionier sein in dem bereich.

00:04:34: und dann hatten wir natürlich damals keine adress prüfung keine vernünftige kritik hatten sich als prüfung kein google maps mal schauen könnte oder studio wie dann dieses haus aussieht.

00:04:44: und wir haben dann festgestellt in einem gewissen stadtviertel in london sind regelmäßig Kehde verschwunden.

00:04:48: Bis dann mal einer hingefahren ist, ein Student von uns, den haben wir so ein Billigticket geschickt.

00:04:53: Dann hat er gesagt, jetzt fährst du mal nach London und schaust du das mal an.

00:04:55: Der hat dann Fotos gemacht und wir waren basserstaunt.

00:04:57: Das war nämlich gar keine Wohnung, das waren nur eigentliche Lagerhäuser.

00:05:00: Und das waren die ersten sozusagen Fake-Adressen.

00:05:03: Das war sozusagen meine erste Berührung mit Cybercrime.

00:05:05: Das ist jetzt ein Vierteljahrhundert hier.

00:05:10: Und seither beschäftigt mich das Thema auf unterschiedlicher Weise.

00:05:13: Ich bin an der Uni irgendwann raus, habe diese Firma allein gemacht, habe die Firma dann verkauft, habe noch mal eine Firma gemacht, die nur Backend-Prozessautomatisierung macht und bin seit dem Umfeld im Umfeld beratend tätig.

00:05:26: Also ausgehend von sicheren Infrastrukturen für große Unternehmen, große Organisationen.

00:05:31: Also wir haben zum Beispiel große Prüforganisationen, wir haben auch für die Oder-Päche Zentralbank die Infrastruktur geplant von vielen.

00:05:38: schon und haben sozusagen selbst bei der Bundeswehr, durften wir schon mitwerken an entscheidende Stelle, immer dann, wenn es darum geht sozusagen Sicherheit zu planen und zu bauen.

00:05:47: So, mich selber hat das Thema dann natürlich nicht mehr losgelassen und nachdem ich aus der Uni raus natürlich so ein gewisses Sendungsbewusstsein habe, man steht ja da auch vor Studierenden und will sein, das was man selber gelernt hat weitergeben, habe ich irgendwann durch einen gut lüchseligen Zufall Berührung in der Verlagsbranche gehabt.

00:06:05: und die haben dann immer gesagt, ja jetzt schreiben sie mal.

00:06:07: Schlammsmannpour.

00:06:08: Mein absolutes Knallerbuch war im Jahr Jahr zwei Tausendzehn.

00:06:11: Mein Durchbruch war ein Buch, das hieß Die Internetfalle.

00:06:15: Das war über die persönlichen Lebensrisiken.

00:06:18: Den meisten, die es gehört haben, sagten, das kenne ich, das habe ich schon gehört.

00:06:21: Das war tatsächlich neun Jahre lang im Buchprogramm vom Verlag.

00:06:25: Damals war Frankfurt der Allgemeine Buch.

00:06:27: Neun Jahre lang wurde das neu aufgelegt.

00:06:30: Das ist im Teichbereich vollkommen unglaublich, dass das so lange gehalten hat und hat damals einiges... Ein Aufruhr gesagt.

00:06:39: Ich habe dann wieder ein paar Jahre später zum ersten Mal ein Buch geschrieben über die Risiken für Unternehmen.

00:06:44: Das hieß Vernetzt, Verwandts, Verlohren.

00:06:47: Programmatische Titel im Sinne von du musst darauf aufpassen, sonst sind es eine Daten und eine Geheimnisse weg.

00:06:53: Das wollte aber und jetzt kommt es.

00:06:57: Das war der West-Einverlage in Frankfurt, die haben ja für damalige Verhältnisse und meine Verhältnisse enormen Vorschuss bezahlt.

00:07:02: Ich habe nie mehr bekommen als den Vorschuss und die reden nicht mehr mit mir, was mir furchtbar leidtut, weil es wurde medial komplett unter den Teppich gekehrt.

00:07:11: Also das, was wir heute haben, auch so Sachen wie Ost-West-Einflussnahme und so weiter und so weiter, da reden wir heute alle drüber.

00:07:17: Ich habe damals drüber geredet.

00:07:20: von irgendwelchen Verschwörungstheorien, sondern habe gedacht, wir müssen mal gucken, nach Russland kommt das, China kommt das, von unseren Freunden aus über in der Atlantik kommt das, stellt euch darauf ein.

00:07:29: Und dann, jetzt ja, digitale Souveränität und Russland ist böse und die Chinesen sind in unseren Daten her.

00:07:35: Das ist USUS, das habe ich im Jahr zwanzig vierzehn geschrieben und es wurde heute, würde man sagen, gekänzelt.

00:07:41: Und jetzt kommt der Knaller, dieses Buch hat in die Hand bekommen, ein Schweizer Business School Professor und Leiter von einer sehr schön umirbenden Schweizer Hochschule, der hat mich zu einem Vortrag eingeladen und hat mich dann gefragt, nach dem Vortrag, Thomas, warum gibt es da keine englische Version?

00:07:57: Ich habe keinen englischen Verlag, das wollte ich machen.

00:08:02: Ja,

00:08:02: ja, ob ich das denn in Englisch mir auch noch mal vorstellen kann.

00:08:05: Ja klar, wenn sich eine Leukgelegenheit ergibt.

00:08:07: Das war im Donnerstag.

00:08:08: Am Montag kriege ich einen Anruf aus London.

00:08:10: Ja, wir haben da eine Empfehlung bekommen.

00:08:12: Wann können wir denn das Buch haben?

00:08:15: So kam ich mit zu meinem ersten internationalen Buch und der Fun Fact ist, dass es im Prinzip eine Neuauflage natürlich adaptiert an internationale Märkte und abgedatet von dem Zweitausendviertzehner deutschen Buch, was den Megaflop

00:08:26: wurde.

00:08:27: Das, was dann Ende.

00:08:35: internationaler Mega-Erfolg.

00:08:37: Ich habe in Indien mehr Bücher verkauft als in Deutschland, von dem deutschen Exemplar.

00:08:42: Weil der Englisch ist halt die Weltsprache und der Weltmarkt.

00:08:45: Und inzwischen ist es so populär, dass es auch eine Paperback-Ausgabe gibt.

00:08:50: Der Verlager hat gesagt, wir brauchen noch eine Paperback-Ausgabe.

00:08:53: Und da merkt man dann, aha, Moment, offensichtlich war man zu früh dran, international war das Thema weiter und heute ist der, ich sag mal, habe ich gerade sozusagen, bin ich dran vorbeigekommen, an diesem berühmten Ausbruch, ja, das ist der, auf dessen Grabstein steht, er hatte Vorfahrt, weil man kann natürlich unterwegs bis das Thema gereift, verhungern.

00:09:13: Und deswegen seit ... ... seit ... ... seit ... ... seit ... ... seit ... ... seit ... ... seit ... ... seit ... ... seit ... ... seit ... ... seit ... ... seit ... Nehmen das Thema ernst.

00:09:20: Und deswegen habe ich so...

00:09:22: Ich habe es nämlich gerade hier.

00:09:24: Ich wollte

00:09:25: es machen.

00:09:25: Dann sind

00:09:26: Sie das gemeinsam hochhalten.

00:09:28: Nein,

00:09:29: jetzt ist es aber verkehrt hoch.

00:09:32: Genau, das kam mitten in der Pandemie raus und habe das Thema, das darf ich jetzt mal großzügig sagen, ein bisschen auf den Kopf gestellt, weil ich nämlich das aus der Technik-Ecke rausgeholt habe, sondern meine Argumentation ist eine ganz andere.

00:09:47: Ich sage... Du als Geschäftsführer, du als Vorstand, auch du als Familienunternehmer bist verantwortlich.

00:09:54: Das Aktiengesetz, das GmbH-Gesetz, sieht vor, dass du für existenzbedrohende Risiken Vorsorge treffen musst.

00:10:03: Gleichermaßen.

00:10:06: Genau, so.

00:10:07: Und mitzuerweise gab es inzwischen die ersten Verurteilungen wegen dieser Geschichten.

00:10:12: Und das war das Argument, ein Buch zu schreiben für Nicht-Techniker.

00:10:17: Und das ist sozusagen initial auch so angeschaut worden wie was.

00:10:21: Das ist doch Sache der IT-Abteilung.

00:10:23: im Prinzip Udo Deine Eingangsworte.

00:10:25: Und inzwischen ist es USUS.

00:10:27: Es hat jetzt im Prinzip vier Jahre gedauert, oder fast fünf.

00:10:32: Und jetzt ist die Debatte... Cyber-Sicherheit ist Chefsache, natürlich auch Chef-Innen-Sache, bitte.

00:10:38: Aber das ist sozusagen der Mahlstein.

00:10:41: So bin ich da reingeraten und deswegen ist jetzt eigentlich seit ja den letzten fünf Jahren mache ich fast nur noch Themen, die irgendwas mit Cyber zu tun haben, von der Konzeption sichere Produkte, von der Vorbereitung von Zertifizierungen in dem Bereich, bis hin zu einem eigenen Bereich in der Firma, der so relevante Nebenthemen, also da.

00:11:04: Produkt-Sicherheit und solche Sachen dann macht.

00:11:06: Lieber Thomas, ich liebe das.

00:11:08: Weißt du, ich stelle eine Frage und brauche mich um nichts mehr kümmern.

00:11:14: Nein,

00:11:14: nein, nein, das ist gut.

00:11:16: Aber lass uns mal für Ihre Zuschauer und Zuschauer und Zuhörer Schritt für Schritt vorgehen.

00:11:20: Vieles an.

00:11:21: Ach ja, oh meine Güte, ja da gibts dir das Internet, nutzen wir alles, da gibts auch KI und ähnliche Dinge.

00:11:26: Jetzt lass uns mal ein bisschen systematisch vorgehen.

00:11:29: Du hast ein wunderbares Buch, eher ein wunderbares Bild in deinem Buch.

00:11:33: Du schreibst von einer Burg, von einer Mauer.

00:11:36: Und das ist ja eine Verteidigung.

00:11:37: Und wir wissen immer, wenn wir diese Filme kennen, die Angreifer kommen auf ganz unterschiedlichen Wegen, die kommen aus dem Burggraben von hier, von da, von Oli und ich muss als derjenige, der die Burg verteidigt.

00:11:50: Alles im Blick haben.

00:11:51: Und da ist vielleicht am Ende eines Burgkrams irgendwo ein ganz ganz kleines Fenster.

00:11:57: Dieses Fenster steht offen und die Angreifer sagen, das ist die Gelegenheit.

00:12:02: Da gehen wir rein.

00:12:03: Und ähnlich geht es doch auch vor sich mit der Cyber Security.

00:12:07: Irgendwo ist eine Lücke im System.

00:12:10: Angreifer, Hacker kommen da rein.

00:12:12: Was gibt es dann da für Möglichkeiten für Hacker?

00:12:15: Wie machen die das denn überhaupt, um diese Burg einzunehmen?

00:12:19: Das ist die traditionelle Vorstellung von Cyber-Sicherheit.

00:12:21: Wir müssen nachher noch darüber reden, warum die jetzt nicht mehr so greift.

00:12:24: Aber die übliche Vorstellung ist, ich habe ein Unternehmen.

00:12:28: Nach außen habe ich ein Fireball, ich habe das was reinkommt, wird überprüft mit einem Vierenscanner zum Beispiel und dann funktioniert das Grundlegend.

00:12:36: Das ist die Sache, die das hat prinzipiell seit Zehntelang gehalten diese Vorstellung und tatsächlich ist es so wie du richtig sagst, die Angreifer müssen nur eine Lücke finden, das ist das Grundproblem.

00:12:50: Ich als Verteidiger muss aber alles sicher machen.

00:12:54: So war es bis vor einigen Jahren und deswegen ist natürlich der Job des Verteidigers der vollkommen uneinbarste.

00:13:01: Zu der Frage, wie kommen die jetzt rein?

00:13:03: Der gängige Weg ist durch die Tür.

00:13:09: Tatsächlich wird es bei Cyber immer vergessen, dass es auch eine Eingangstür gibt und dass es sehr oft zum Beispiel uns als Sicherheits-Testern gelingt, einfach mal ins Gebäude reinzulaufen, vielleicht noch eine Krawatte umbinden, je nach Anspruch und einfach am Partner vorbei und dann bin ich im Innenbereich und kann mich an irgendeine Netzwerkdose anstöpseln und hab, wenn nicht weiter besichert ist, möglicherweise sofort voll Zugriff auf das System.

00:13:31: Gleiches gilt dann zum Beispiel, wenn ich vor dem Gebäude stehe und ein W ansteht offen, das gibt es immer noch, man glaubt es kaum.

00:13:40: Aber wenn man natürlich über Cyberattacken denkt, denkt man meistens darüber nach, dass man eben nicht vor Ort ist.

00:13:45: und tatsächlich ist das auch das was am wichtigsten ist, weil da natürlich alle angreifen können aus der ganzen Welt.

00:13:52: Und da ist es so, ich habe ein Firewall, dieser Firewall hat einen gewissen Standard, hat gewisse Regeln und ich kann versuchen, schon schauen, hat ja eine Lücke und ich kann dort rein.

00:14:03: Das passiert in so einem Viertel der Fälle, dass da kein Nutzerinteraktion da ist, sondern dass man über irgendeine Lücke.

00:14:09: zum Beispiel haben viele Unternehmen während der Pandemie sehr hektisch Homeoffice installiert und haben diese Systeme immer noch und die sind schlecht gewartet und gepflegt.

00:14:19: So hat zum Beispiel ein österreichischer Kranhersteller mal seine ganze Fabrik verloren für eine Woche, weil man einfach das nicht abgedatet hatte, seinen Remote Access.

00:14:27: Ich sage den Namen jetzt nicht, ich kenne aber die jenseits.

00:14:32: hat es nicht gepflegt und dann kam ein Hacker, der hat es einfach durchprobiert und hat dann gesagt, okay, so ist das.

00:14:39: Das ist ähnliches passiert laufend, weil immer wieder bekannt wird bei verschiedenen Software-Produkten, dass die gewisse Lücken haben und diese Lücken sprechen sich halt rasend schnell rum in der Hacker-Community, ich sage mein Anführungszeichen.

00:14:56: Und also hat jetzt zum Beispiel diese sehr gängliche Software-Confluenz hatte immer wieder Lücken und da kann man natürlich nur, wenn man sozusagen beobachter ist und sagt, ich habe das Confluence, ich habe eine Lücke, was mache ich jetzt?

00:15:12: Ich muss das updaten.

00:15:13: Wenn das Update noch nicht da ist, muss ich es unter Umständen vom Netz nehmen.

00:15:17: Das heißt, ich muss mich selber wenig exponieren.

00:15:19: Dafür muss ich aber erst mal wissen, was ich alles habe.

00:15:22: Das ist so das gängige Thema.

00:15:25: nach außen natürlich Systeme, weil ich mit außen kommuniziere, diese Systeme haben technische Lücken, die werden attackiert.

00:15:31: Was das eine.

00:15:33: Das zweite ist, ich habe Mitarbeiterinnen und Mitarbeiter, die natürlich ihren Job tun.

00:15:40: Und diese Mitarbeiter, die ihren Job tun, kriegen E-Mails.

00:15:44: So, kriegt mal auf diese Anlage, das ist eine Rechnung.

00:15:48: Klick mal auf diese Anlage, da musst du dir unbedingt anschauen.

00:15:51: Da ist alles dabei.

00:15:52: Früher war das immer sehr schnell erkennbar.

00:15:54: Ja, DHL falsch geschrieben.

00:15:58: Klick keiner drauf.

00:16:01: Heute ist es ein bisschen anspruchsvoller.

00:16:03: Das heißt, das sogenannte Fishing-Email, das dann dazu führt, dass irgendjemand sich Zugriff auf die Internas des Unternehmen verschafft.

00:16:14: Das ist meistens professionell verfasst.

00:16:16: Das heißt, Erst mal können die Leute besser Deutsch, zweitens hilft dann KI das besser zu formulieren und dann halt auch Persönlicher zu formulieren.

00:16:25: Und das ist sozusagen ungefähr drei Viertel der Fälle, das Hauptproblem, dass irgendjemand auf irgendwas klickt, auf das er oder sie nicht klicken sollte.

00:16:37: Aber da kann man zunehmend den Mitarbeitenden nicht mehr einen Vorwurf machen, weil ich kriege auch Fishingmails, wo ich wirklich Minuten lang überlege.

00:16:45: Ich glaube, ich kenne mich ein bisschen aus damit.

00:16:48: Ist das jetzt legitim oder nicht?

00:16:50: Weil das so gut gemacht ist und es kommt von genau den Leuten, mit denen ich auch sonst zusammen arbeite, also scheinbar sozusagen.

00:16:57: hochprofessionell.

00:16:59: Und da sollte man dann immer vorsichtig sein, insbesondere wenn man irgendwo Zugangsdaten eingehen soll, normalerweise versuchen, angreifert darüber, irgendwie Zugangsdaten zu stehlen, sich dann als Thomas Köhler oder Udo Gast auszugeben oder sonst wer und dann in sich in das Unternehmen einzuwählen und dann sozusagen Stück für Stück vorzuarbeiten, Daten zu klauen oder dann alles zu verschlüsseln und die klassische Ransomware-Appressant zu starten.

00:17:22: Das sind die gängigsten Probleme, die wir heute haben.

00:17:25: Ich finde ja etwas ganz spannend und zwar etwas, dass du sozusagen als Enkeltricks für CIOs bezeichnest Social Engineering.

00:17:34: Was steht dahinter Social Engineering?

00:17:36: Naja, ist klar, also bei dem Enkeltrick ist es so, da ruft die weinende Tochter an, angeblich die weinende Tochter mit der Stimme und Mutti ist ganz aufgeregt und sagt, oh Gott, oh Gott, da ist ja irgendwas los, was passiert.

00:17:46: In dem Moment ist der Verstand ein bisschen ausgeblendet und sie sagt, ich muss meiner Tochter helfen.

00:17:51: Das funktioniert auf Unternehmensebene.

00:17:54: anderer Ebene.

00:17:55: Erzähl doch mal, was da so passiert.

00:17:58: Ja, wir haben interessanterweise kein wirklich deutsches Wort dafür.

00:18:02: International heißt es Fake President, also Unternehmenspräsident jetzt nicht.

00:18:08: oder amerikanischer Präsident.

00:18:11: Oder Fake President oder CEO Fraud, also CEO Betrug.

00:18:17: Was da passiert, ist meistens relativ low tech.

00:18:20: Also es ist auch Cybercrime, es ist auch eine Cyberattacke, aber anders als beim Zero Day oder bei irgendeinem Fishing Mail wird da gar nicht groß technisch was gemacht, sondern da passiert etwas, was wir Social Engineering nennen.

00:18:33: Also irgendjemand spät das Unternehmen aus und sozusagen findet raus, wer wann wo was zu entscheiden hat.

00:18:43: Und wenn dieser Entscheider oder die Entscheiderin gerade nicht da ist, greift diese Person, diese böse Person dazwischen und versucht dann zum Beispiel Überweisungen umzuleiten.

00:18:56: oder Überweisungen zu veranlassen.

00:18:58: Die gehen dann auf irgendwelche sonst wo konnten, typischerweise.

00:19:02: Und da werden dann sofort auch weiter verteilt, sodass der Zugeriff dann oder der Rückgriff auf das, was man da in die Ferne überwiesen hat, meistens nicht mehr so ohne weiteres möglich ist.

00:19:13: Und das betrifft... Unendlich viele Unternehmen, natürlich ist das furchtbar peinlich.

00:19:18: Und jetzt werden sie sagen, na ja, bei uns in unserem Familienbetrieb kommt sowas bestimmt nicht vor.

00:19:23: Da habe ich eine schlechte Nachricht für Sie.

00:19:26: Es gibt eine Münchner Bäckerei Kette, die sehr familiär organisiert ist.

00:19:31: Ich kenne die Chefin und saß mit der sozusagen schon mal auf dem Podium.

00:19:37: Und die haben über zwei Millionen Euro, muss man sich vorstellen, irgendwo ins Nirwane.

00:19:43: überwiesen, eine Million haben sie von der Bank, die haben die Bank verklagt, wieder zurückbekommen.

00:19:49: Aber dadurch, dass sie die Bank verklagt haben, wurde das der Fall überhaupt erst bekannt.

00:19:53: Weil normalerweise kriegt man von diesen Fällen, die extrem häufig sind, gar nichts mit.

00:19:57: Und wenn dann jemand mal zwanzigtausend Euro nach sonst wohin überweist und die sind weg, das wird niemand zugeben.

00:20:02: Ja, verstehen Sie, das ist, oder versteht, verstehst du, das ist, das ist genau das Problem.

00:20:07: Niemand redet da drüber, weil das ist ja noch mal zusätzlich noch mal peinlich, weil man kommt sich hervor mit der letzten wenn man das gemacht hat.

00:20:16: Und aus diesem Fall wissen wir also, wie das passiert ist.

00:20:18: Da hat sich das Unternehmen angeschaut.

00:20:21: Das ist ja meistens LinkedIn.

00:20:22: Ja, ist das ohne Probleme möglich.

00:20:26: Da muss ich ja gar nicht hinfahren.

00:20:28: Und dann sehe ich Buchhaltung Chef, Junior Chef.

00:20:31: Dann sehe ich einen Posting von der Chefin.

00:20:33: Ja, ich bin auf der Bäckerei-Konferenz in Salzburg.

00:20:37: Meine Gelegenheit, ja.

00:20:38: Und dann schreibe ich dann eine Mail rein mit gefälschten Abcenteradresse und sag übrigens unser Lieferant, sonst steht morgen die Brotproduktion.

00:20:45: Unser Lieferant muss dringend bezahlt werden, mach was.

00:20:49: Und da kann ich dann auch noch die Telefonnummer fälschen.

00:20:51: Das geht ja inzwischen auch vorkommend trivial.

00:20:54: Und in dem Fall hat es genügt, um diese Überweisung auszulösen, obwohl sich alle in dem Betrieb kennen.

00:21:03: So, und das ist genau das Thema.

00:21:05: Das ist Enkeltrick.

00:21:06: Ich nutze soziale, vermeintlich soziale Kontakte, simuliere ein Notfall und erzeuge dann unter Druck irgendwelche Sachen.

00:21:16: Und das ist tatsächlich fast genauso schlimm oder vom Volumen des Schadens fast genauso hoch wie das, was wir mit ransomware und sonst welchen verbrechen können.

00:21:26: Und es funktioniert ja immer so mit Autorität.

00:21:29: Beispielsweise nehmen wir an, wie du sagst, wunderbar, LinkedIn.

00:21:32: Ich weiß, ah, das ist die Buchhaltung.

00:21:35: Und jetzt kommt ja doch erschreckenderweise etwas dazu, wir haben ja KI.

00:21:39: So, jetzt kommt ein Anruf und dieser Anrufer kennt eine Software, die heißt Eleven Labs und sagt, oh, Eleven Labs ist eine coole Sache.

00:21:46: Damit kann ich meine Stimme klonen und kann auch die Stimme des Chefs, der ja auf dem Podium gesessen hat und auf diesem Podium hat er ja berichtet, die klone ich mir einfach, die Stimme und die Stimme an und das Mädel aus der Buchhalt oder der junge Mann aus der Buchhaltung, der sagt, oh Gott, der Chef an, der Chef ruft jetzt an.

00:22:02: Sie wissen ja, wer ich bin.

00:22:04: So, und jetzt denkt er, das ist er wirklich.

00:22:06: Und er sagt, wir müssen das ganz dringend machen, weil da geht es... Und das wird ja noch immer schlimmer.

00:22:10: KI hilft ja auch den Hackern.

00:22:12: Nicht nur uns.

00:22:14: Welche Gefahren besonders siehst du im Bereich KI, die den Hackern leider...

00:22:20: Also in dem Bereich CEO Fraud hast du es gerade schon gesagt.

00:22:23: Das ist das Voice Cloning.

00:22:24: Das funktioniert erschreckend gut.

00:22:26: Und es ist zunehmend auch das Video Cloning.

00:22:28: Es gibt Fälle in Asien, wo tatsächlich in einer Teams Konferenz, ein CFO, der einzige Mensch war und alle anderen waren Klone und er hat es nicht gemerkt und hat in folgende Riesenüberweisungen rausgejagt.

00:22:43: Also das ist verbürgt der Fall.

00:22:45: Also das ist natürlich furchtbar aufwendig.

00:22:47: Wir dürfen immer nicht davon ausgehen, dass der Mittelständler genauso aufwendig attackiert wird.

00:22:52: Das wird eher so mit so ein bisschen Dummdreistigkeit gemacht und mit kleineren Mitteln.

00:22:58: Aber diese Zielgröße in der Art und Weise, wie das Mainstream wird, diese KI-Tools, in der Art und Weise wird das auch genutzt.

00:23:07: Es wird auch genutzt für die Manipulation von E-Mails.

00:23:11: Früher konnte man so Spam-E-Mails mit Fishing versuchen, sehr einfach erkennen.

00:23:15: Heute gibt es nicht fünftausendmal das gleiche Mail, sondern kommun unterschiedliche Meld und der Spam Filter lässt die dann durch.

00:23:24: Also das merken wir auch, dass das gar nicht mehr so einfach ist.

00:23:28: und dann kommt natürlich hinzu, dass viele Menschen heute im Homeoffice sitzen.

00:23:33: und da kann ich nicht mal eben rüber gehen und sage ich, du Erna, sag mal, das sieht komisch aus, was meinst du?

00:23:40: Da fehlt mir die Persuchsperson und die hier dann an der IT-Hotline anzurufen und mich vielleicht noch dumm anreden zu lassen, weil so ein vermeidlicher Nutzer als Trottel, das ist ja auch gerne dieses Metapherding, das macht dann keine.

00:23:53: Also deswegen, dass da erhöhen sich sozusagen die Dinge und KI ist hier insofern erstmal eine Gefahr, weil sie von Angreifer benutzt wird.

00:24:04: Aber, und das ist mir wichtig, KI ist in sich auch eine Gefahr, weil die Leute, die heute KI entwickeln, keine vernünftigen Sicherheitsmaßnahmen haben.

00:24:15: Das werden jetzt alle die von Open AI, Google Gemini und Perplexity und What The Heck noch hier zuhören.

00:24:22: Die werden das überhaupt nicht gerne hören und werden sagen, der Köhler wieder.

00:24:27: Aber hier muss man ganz laut rufen, der Kaiser ist nackt, wenn es um KI Sicherheit geht.

00:24:33: Also nur ein Beispiel in der Anfangstagen des Internet war es gut möglich, Suchmaschinergebnisse zu manipulieren, indem man auf seine Webseite in hellgrauer oder weißer Schrift auf weißem Hintergrund ganz unten alle möglichen Stichworte reingeschrieben hat.

00:24:50: Das ist Legende, das ist natürlich längst abgestellt und so weiter.

00:24:54: Aber der Witz an der Geschichte ist beim KI Prompting, also bei der Eingabe von einem Prompt, die er nicht unbedingt nur manuell erfolgt, sondern zum Beispiel, ich kriege einen Link, klick auf den Link, dann geht das Promptfenster auf und dann schiebt dieser Link mir noch irgendwie weiß auf weiß irgendwelche Befehle rein und manipuliert meine Ausgabe.

00:25:14: Und das ist aus meiner Sicht, das steht im Buch noch nicht drin, da war man noch nicht so weit, als das rauskam, aber das ist für die Zuhörerinnen und Zuschauer hier aus meiner Sicht entscheidend, das zu verstehen.

00:25:25: Diese KI-Dinger sind brandgefährlich, weil diese Manipulation wie früher auf der Website genauso beim Prompting auch funktioniert, weil niemand über vernünftige Sicherheitsmaßnahmen nachdenkt.

00:25:37: Open AI ist das best finanzierte Start-up aller Zeiten, aber Sicherheitsbasics sind nicht deren Dingen.

00:25:45: Und viele wissen ja gar nicht.

00:25:46: Viele wissen ja gar nicht.

00:25:47: Die kopieren ja die Antworten von Chatchi P.T.

00:25:50: irgendwo in ein Post-Signal und sagen, ach, prima, wunderbar, ich habe das.

00:25:53: Und sie wissen ja gar nicht, dass dort versteckte Zeichen drin sind, wie man gar nicht so erkennt ist.

00:25:58: Es gibt Software, die kriegt das heraus.

00:26:00: Und deswegen wird man unter Umstritten von LinkedIn, von Facebook abgestraft, weil man, weil dieses Unternehmen weiß, oh, das ist ja ein GPT-Ergebnis.

00:26:09: Also das müssen wir nicht so hoch renken wie das andere.

00:26:12: Das wissen viele gar nicht.

00:26:15: Oder man plammiert sich so gründlich vor aller Öffentlichkeit wie der Spiegeling neulich, der das tatsächlich auch in dem Artikel hatte.

00:26:22: Genau.

00:26:24: Da muss ich sagen, nein, Relosius ist nicht wieder zurück.

00:26:26: Diesmal ist es JGPT, der den Unfall schreibt.

00:26:29: Was ich immer spannend finde, wenn ich Speaker auf der Bühne sehe, da habe ich neulich gerade wieder auch einen ziemlich bekannten Speaker, der natürlich gesprochen hat, über KI.

00:26:37: Und ich sage, ja, also du solltest deine KI-Folien doch nochmal überprüfen, damit du die ganzen Rechtschreibfehler, die dir normalerweise nicht passieren, dort auch raus ist.

00:26:48: Aber wenn man das einfach nur kopiert, dann kann es schon mal passieren, dass da so ein Rechtschreibfehler drin ist.

00:26:52: Lass uns ganz kurz noch mal darüber sprechen, welche Möglichkeiten wir haben, was wir alle kennen, in Fishings wählen, Mails wir kennen Ransomware, also dort, wo etwas direkt implementiert wird, CEOford, E-Mails, Scams, was?

00:27:07: Ich habe da etwas gelesen für DDOS at attacking, was?

00:27:12: DDOS distributed.

00:27:19: Distributed Denial Off Service.

00:27:26: Verhinderung des Betriebs.

00:27:28: Also die deutsche Besetzung ist so ein bisschen schwierig.

00:27:30: Also auch hier gibt es kein vernünftiges deutsches Wort.

00:27:33: Ich erkläre es einfach mal, wie das funktioniert.

00:27:36: Ich habe eine Website und auf diese Website kommen normalerweise Besucher, die wollen irgendwas kaufen, whatever, also angenommen.

00:27:43: Ich habe zum Beispiel einen Online-Wettbüro und dann möchte ich vor irgendwelchen Fußball spielen.

00:27:49: dann irgendwie Wetten entgegennehmen.

00:27:51: Das ist man natürlich zeitkritisch, weil nach dem Anpfiff kann ich es ja nicht mehr machen.

00:27:55: So, dann, wenn ich jetzt das Geschäft von dem, der dieses Wettbüro betreibt, stören will, flute ich diese Website mit Anfragen.

00:28:07: Also ich mache dann nicht, ich möchte gerne auf whatever Schalke gegen FC Bayern wetten oder irgendwas, sondern ich mache dann Zehntausendmal irgendwelche Unfuganfragen, bis der Webserver sagt, das ist mir zu viel, ich strecke die Segel.

00:28:21: Das war in den Anfangs-Tagen des E-Commerce ein großes Thema.

00:28:24: Deswegen habe ich auch bewusst dieses Beispiel Wettbüro genommen, weil das natürlich auch die klassische, ich sage es mal, Mafia anzieht.

00:28:33: Also nach dem Motto, ein schönes Lokal haben sie da, wäre es auch schade, wenn da ein Stein durch die Scheibe fliegt.

00:28:40: Oder keiner mehr kommt.

00:28:41: Oder keiner mehr kommt.

00:28:43: Und genau das gleiche Prinzip kann man mit Detoss auch machen.

00:28:50: temporär, aber mit, also meistens nur temporär, weil irgendwie gibt es natürlich Möglichkeiten, das auch wieder abzuwehren, dazu gleich vielleicht noch was, aber man kann temporär Dinge lahmlegen und überall da wo es zeitkritisch ist, wird es dann ein Problem.

00:29:04: Deswegen ganz gewählte Beispiele.

00:29:08: Wenn ich, ich kann es natürlich nicht sieben mal, vierundzwanzig mal, dreieinhalbsechzig oder was immer, also das ganze Jahr lang lahmlegen, das funktioniert nicht, aber ich kann temporär zwei Stunden lang auch Ressourcen mieten.

00:29:20: Mit meiner Kreditkarte und kann sagen, jetzt schickt da mal ein paar Zugriffen da drauf.

00:29:25: Und da gibt es jetzt wieder eine Industrie, die das abwehrt.

00:29:28: Also zum Beispiel gibt es so Content Distributen, Firmen wie Akamai oder Cloudflare, die bieten eine DITOS Protection an.

00:29:36: Das heißt, große Unternehmen, die so E-Commerce-Sites haben, die nutzen sowas.

00:29:42: Genauso auch, wenn man politisch irgendwie umstritten ist, sollte man so ein DITOS Schutz haben.

00:29:47: Und ab und zu kommen sie auf irgendwelche Webseiten, wo sie dann bestätigen müssen, ich bin ein Mensch.

00:29:53: Das hat nicht immer was mit der Anmeldung zu tun, sondern es hat manchmal auch nur damit zu tun, dass man damit irgendwelche Deedostattacken oder sowas versucht zu verhindern.

00:30:04: Ganz genau, dann gibt es noch eine Sache, die fast gar nicht so offen erscheint.

00:30:09: Und ich sage, behandle deine Mitarbeiter gut.

00:30:12: Wenn du deine Mitarbeiter nicht gut behandelst und wenn die ein Groll auf dich haben, dann haben die irgendwo die Möglichkeit zu sagen, nachdem werde ich mal was auswischen.

00:30:19: Also viele Text gehen dadurch hervor, dass Datenlexion das Mitarbeiter sagt, also dem werde ich jetzt mal ins Auswischen dazu.

00:30:27: Das ist doch auch noch eine Gefahr, wie oft unterschätzt wird oder gar nicht diskriminiert wird, oder?

00:30:32: Also die sogenannten Insider-Bedrohungen, die seit Jahren werden ja ja so verortet bei ungefähr ein Drittel der Fälle.

00:30:41: Man kann das nicht unbedingt immer so sagen, man kann aber sagen, ja, Insider sind dann manchmal verwickelt, also sei es als Tippgeber.

00:30:48: Das heißt, als jemand, der die Tür aufracht.

00:30:53: Oder das, was du jetzt quasi mehr oder weniger angesprochen hast, der frustrierte Mitarbeiter, der dann sagt, ich will meinem Chef eins auswischen.

00:31:01: Oder was es dann häufiger gibt, der wird gefeuert und baut noch eine logische Bombe ein.

00:31:05: Das heißt, sechs Monate, nachdem der weg ist, puff, geht es nichts mehr.

00:31:10: Oder auch so eine Art Todmann-Schalter, wie im Zug.

00:31:16: da muss er da auch immer irgendwie auf den Knopf drücken.

00:31:21: Und sowas kann ich natürlich auch einbauen.

00:31:23: Das heißt, wenn ich mich zwei Monate nicht eingeloggt habe, streicht das selber die Segel.

00:31:28: Dass das, wenn ich die Administrationsrechte habe, ist das eigentlich ein leichtes, aber es ist natürlich auch ein leichtes, das hinterher nachzuvollziehen, das nützt aber wenig, wenn die Daten da schon gelöscht sind.

00:31:39: Also deswegen, das ist das Thema.

00:31:42: Häufiger ist, glaube ich, eher noch der Fall, dass Mitarbeiter irgendwie persönliche Probleme, finanzielle Probleme, Scheidungsspielsucht, Worteheck, Akkursucht haben und dann empfänglich werden für Leute, die ihnen Geld geben, um gewisse Dinge zu machen.

00:31:58: Das war ja schon immer so, da haben wir noch gar keinen Computer gehabt, gab es derartige Einflussnamen.

00:32:03: Deswegen gibt es zwei Regeln.

00:32:05: A, behanst du deinen Mitarbeiter gut, das reicht aber nicht.

00:32:08: Der zweite Regel ist, screenet deinen Mitarbeiter gut.

00:32:12: Oder seine Mitarbeiterin.

00:32:13: Das würde nämlich gerne vergessen, in Zeiten des Fachkräftemangels, wenn man jeden der eine Tastatur anschließen kann und heuer den in der IT-Abteilung ein.

00:32:22: Davon kann ich nur abraten, weil selbst wenn ich da irgendjemand habe... Wir wissen nicht, steht der dem russischen SFB nach, wenn der aus Osteuropa kommt.

00:32:33: Oder bei chinesischen Studierenden zum Beispiel?

00:32:35: Maximilian

00:32:36: Kahn, der nicht da nur einfach den

00:32:40: ist.

00:32:40: Also ich weiß nicht, ob der jetzt irgendwo in der IT arbeitet oder so.

00:32:45: Jeder ist nicht,

00:32:46: aber sein Mitarbeiter aus China,

00:32:49: der hat sich... Also da muss man jetzt ganz klar sagen, wenn jemand zum Studium nach Europa oder Nordamerika geschickt... wird.

00:32:57: Das ist bekannt, da gibt es auch ein Geheimnis drum.

00:33:01: Dann haben die Leute eine Einweisung, was sie zu tun und zu lassen haben.

00:33:06: Und diese Einweisung kann auch heißen, sag mir doch mal, was in der Firma so los ist.

00:33:10: Und es gibt immer wieder alle paar Jahre mal ganz spektakuläre Fälle.

00:33:14: In Frankreich hat man das mal bei einem sehr bekannten Autozulieferer.

00:33:17: Da wurde dann ein chinesischer Student in seiner Wohnung per Tippgeber dann hochgenommen und er hatte dann eine schöne Sammlung von Old School externen Festplatten mit irgendwelchen CAD-Daten drauf.

00:33:28: Dann würde ich sagen, oh Gott, wie konnte das passieren?

00:33:31: Leute macht die Augen auf, dann wüsste das.

00:33:35: vor Jahren auch als Student gejobbt in ebenfalls einem Automobilzulieferbetrieb und mein Job war, weil ich war damals schon für nicht richtige Arbeit nicht zu gebrauchen, war die Begleitung von Besuchergruppen.

00:33:50: Das heißt, ich habe dann mit immer sozusagen die schöne Chance gehabt und habe dann so international Besucher, die kamen aus Indien, aus China und aus Vietnam, die einmal dann durchs Werksgelände geführt, immer so an der Station abgegeben und immer wieder zurückgebracht und mit denen dann schick in der Chefkantine, die es damals noch gab, essen gegangen.

00:34:08: War wunderbar bester Job aller Zeiten, bis eines Tages mal einer gefehlt hat.

00:34:13: Und also, Entschuldigung.

00:34:15: Jetzt kriege ich gleich die Rassistenkeule übergebraten, aber für uns sehen Asiaten, die alle blaue Anzüge tragen und weiße Händen und Krawatte damals noch.

00:34:26: Und alle ähnlich groß sind und alle den gleichen Haarschnitt haben.

00:34:28: Für uns sehen die exakt gleich aus.

00:34:30: Also ich wusste nicht, wer gefehlt hat.

00:34:31: Ich habe dann mit dem Werkschutzensuchkommando gebildet und wir haben den dann gefunden eine Stunde später.

00:34:38: Der stand dann in irgendeinem Kopierraum und hat sich fröhlich bedient an irgendwelchen Aktenordner.

00:34:43: Das war damals noch.

00:34:44: Heute würde niemand mehr, niemand mehr das riskieren, sondern das macht man heute natürlich eleganter aus der Ferne.

00:34:50: Oder man hat jemand eingeschleust, der das dann in ruhigen Zeiten quasi irgendwo über einen Zeitenkanal raus schafft oder... per GSM-Modem irgendwie rausspielt.

00:34:59: Also das ist real und da darf man jetzt auch gar nicht irgendwo nur auf ein bestimmtes Land zeigen, sondern das kommt auch unter Freunden vor, dieser Art von Wirtschaftsspionage und Industriespionage.

00:35:11: Insofern, das muss man ernst nehmen, wenn man Dinge hat, die werthaltig sind an intellektuellem Know-how, dann muss man darauf achten.

00:35:19: Und das ist natürlich was anderes, ob ich eine, whatever, eine Roboterfirma habe oder ein Sägewerk.

00:35:24: Ich hoffe, dass viele Unternehmer und Selbstständige jetzt ein bisschen unruhig auf ihrem Stuhl hin und her rutschen und sagen, um Gottes Willen, das ist ja wie so ein Film.

00:35:32: Jetzt habt ihr die Einführung, jetzt habt ihr den Spannungsbogen aufgebaut, jetzt ist das ganze Problem.

00:35:36: Wo kommt jetzt das Happy End?

00:35:38: Kannst du vielleicht den Menschen noch ein bisschen Mut machen, dass es Methoden und Lösungen gibt?

00:35:45: Und was sollte man beachten, damit man diesen ganzen Mist nicht hat?

00:35:49: Also man wird es wahrscheinlich nicht auch wissen können.

00:35:51: Aber was sollte ein Unternehmer tun?

00:35:53: Außer dein Buch natürlich.

00:35:57: Das ist eine Bibel.

00:35:58: Ich finde das eines der interessantesten Bücher, die ich in letzter Zeit gelesen habe, da ist so viel Wissen drin.

00:36:03: Und ich sage mal ganz ehrlich, dieses Bissen ist Basiswissen, Flüchtlinge für Unternehmer.

00:36:08: Aber sag mal, was kann man tun?

00:36:10: Danke schön.

00:36:11: Also das wirkliche Happy End habe ich nicht.

00:36:14: Was ich aber habe, ist ein paar Empfehlungen, wie man mit dem unvermeidlichen umgehen kann.

00:36:19: Dem unvermeidlichen umgehen kann, ist A, erst mal sich ehrlich zu machen und zu sagen, es kann wirklich jeden treffen.

00:36:25: Also auch die bestvorgebereitetsten Unternehmen oder was auch immer, die Cyber-Sicherheit wirklich ernst nehmen, die eigene Entwicklungsressourcen haben und so weiter, die auch die erwischt irgendwann mal.

00:36:36: Deswegen ist es A, die Frage, erst mal diesen Zeitpunkt möglichst raus zu zögern und zu verhindern und dann, wenn es passiert, die Auswirkungen zu begrenzen.

00:36:46: Fangen wir erst mal beim Verhindern an.

00:36:48: Verhindern heißt, ich muss mich allererst mal ehrlich machen und sagen, was habe ich denn überhaupt?

00:36:53: Also auf Neudeutsch würde man sagen Asset Discovery.

00:36:57: Also welche Devices, welche Software, also ich hatte mal ein Fall, ich sage jetzt den Namen der Firma nicht, ein bekanntes deutsches Industrieunternehmen, die hatten einhundertsiesig Softwareprodukte, von dem keiner mehr wusste, wofür die zu gut sind.

00:37:12: Das war halt Verlorenes Wissen, das hatte irgendwann mal jemand aufgesetzt, das war bestimmt mal sehr nützlich, aber die Leute waren aus dem Betrieb raus.

00:37:20: Das heißt, ich muss Software Assets, Hardware Assets, Zugangssysteme, muss ich komplett im Blick haben und muss im Zweifelsfall auch die harte Tour gehen.

00:37:29: Die harte Tour heißt, wenn ich nicht weiß, was etwas ist, schalte ich es aus und warte, bis jemand schreit.

00:37:35: Ja, dann weiß ich, ob ich es wirklich brauche.

00:37:38: Da brauche ich natürlich die Rückentdeckung vom Management und das ist richtig aufwendig.

00:37:41: Das macht keiner, weil Tag ist Geschäft.

00:37:43: Aber das ist die Voraussetzung.

00:37:44: Ich weiß, was ich habe, ich weiß, was ich tue.

00:37:46: Wenn ich weiß, was ich habe, weiß, was ich tue, habe ich einen Überblick.

00:37:49: Dann kann ich den laufend metten mit den typischen Bedrohungen.

00:37:52: Das heißt, ich kann dann zum Beispiel feststellen, Moment, ich habe eine Confluence-Instanz.

00:37:55: Da gab es eine Sicherheitslücke.

00:37:57: Ich muss wohl schnell ein Patch einspielen.

00:37:59: Also ist das Prio eins und alles andere steht hinten dran.

00:38:03: Proaktives Management von Cyberrisiken.

00:38:06: Und je nach Unternehmensgröße habe ich dann vielleicht auch ein eigenes Cyberabwehrcenter sozusagen, wo dann rund um die Uhr jemand sitzt und der dann einfach schaut, wir sitzen in unserem globalen Netz aus, was gibt es an normalien, müssen wir was tun.

00:38:18: Wenn ich ein Mittelständler bin, kann ich mir das typischerweise nicht leisten, rund um die Uhr betrieb, da brauche ich wirklich eine ganze Betriebsmannschaft oder Personenschaft.

00:38:26: Deswegen gibt es dann natürlich Lösungen und es gibt Dienstleister, die bieten das als ein Service an oder auch broschenspezifische Austausche.

00:38:32: Wir machen jetzt gemeinsam in unserer Branche halt mal so eine Initiative.

00:38:36: Das lohnt sich alles.

00:38:38: Das ist quasi Basics.

00:38:39: Also alles sozusagen professionell zu managen, um sozusagen möglichst wenig Sachen zu machen.

00:38:46: Der zweite Punkt ist das Unvermeidliche dann sozusagen Ich will nicht sagen, mit einer Lösung zu versehen, aber einen Notfallplan zu haben, so würde man das am besten beschreiben.

00:38:57: Also wenn tatsächlich was passiert, einerseits sozusagen ein Konzept zu haben, wie kann ich diese Dinge eingrenzen, weil sehr oft ist es noch nicht so, dass das ganze Unternehmen lahmliegt, wie jetzt bei Jaguar Landrober, wo man wirklich zugewartet hat.

00:39:11: Ich glaube, die müssen wirklich Tage gewartet haben, weil bis irgendwo in Großbritannien und in der Tschechei und überall alles überall verschlüsselt und lahmgelegt war, sechs Wochen Stillstand, Mediaten kosten, das darf natürlich nicht passieren.

00:39:27: Deswegen sehr oft kann man die Dinge begrenzen, wenn man die Sachen segmentiert.

00:39:31: Und wenn es dann doch mal passiert, brauche ich einen Notfallplan.

00:39:33: Also, Notfallplan heißt, was mache ich dann?

00:39:36: Ja, weil ich muss davon ausgehen, dass mein Telefon auch nicht mehr geht.

00:39:39: Meine Handy wird aber vermutlich gehen.

00:39:40: Das heißt, ich brauche dann Old School möglicherweise ein paar Aktenordner in der Zentrale, in der da steht.

00:39:46: Der und der hat die Telefonnummer.

00:39:48: Im Notfall rufe ich den an.

00:39:49: Wie sonst die Feuerwehr anrufe mit ein, seien es zwei.

00:39:52: Ruf ich halt meine Forensik-Profis an.

00:39:54: Da ist es ganz wichtig, nicht erst dann im Telefonbuch zu schauen, wen rufe ich denn an als Cyber-Experten als unabhängig, sondern die Leute vorher einzuladen.

00:40:01: Die müssen ja wissen, was ich tue und wie ich baue.

00:40:05: oft unter Job.

00:40:06: Das heißt, wir haben Kunden, die brauchen uns auf Jahre nicht, weil wir einmal mit denen ein Notfallplan gemacht haben, der dann hoffentlich nie zum Tragen kommt.

00:40:12: Wenn er zum Tragen kommt, brauche ich alternative Kommunikationswege.

00:40:15: Ich brauche sozusagen den Plan, wie ich das wieder recover.

00:40:18: Ich muss wissen, wo sind meine letzten Backups, um herauszufinden, welches davon ist noch nicht beschädigt worden durch die Angreifer.

00:40:26: Ganz wichtig, ich brauche eine Kommunikationsstrategie.

00:40:28: Wenn ich irgendwo in der Öffentlichkeit stehe, muss ich die Story selber erzählen.

00:40:32: Das heißt, ich muss, weil es meistens auch ein Datenschutzvorfall ist, natürlich zu der Aufsichtsbehörde kommunizieren.

00:40:39: Größenklassen habe oder gewisse besonderen Auflagen muss ich mit dem Bundesamt für Sicherheit in der Informationstechnik auch diskutieren.

00:40:45: Aber ich muss es immer mit der Öffentlichkeit und meinen Kunden klarmachen.

00:40:48: Die Kunden haben meistens Verständnis, weil jeder hat da schon mal ein Problem gehabt.

00:40:53: Aber die Öffentlichkeit meistens nicht.

00:40:55: Und die Journalisten denken sich was aus, wenn die keine Antworten kriegen.

00:40:58: Deswegen ist mein Tipp proaktiv vorbereitet.

00:41:03: schon was in der Schublade zu haben und dann alle paar Stunden, auch wenn man eigentlich noch anderes zu tun hätte, alle paar Stunden Update raus zu jagen.

00:41:10: Dann kommt gar niemand auf die Idee, sich irgendwas aus den Fingern zu saugen oder die Mitarbeiter am Werkstor abzufangen, habe ich alle schon gesehen.

00:41:17: Hier, was halten Sie davon, dass Ihr Arbeitgeber gehackt ist, haben Sie Angst um Ihren Arbeitsplatz oder diesen ganzen Scheiß, den will ich nicht im Fernsehen sehen und das habe ich in der Hand.

00:41:25: Also PR-Abteilung bewährt sich dann wenn so eine Krise ist.

00:41:30: Das andere ist schön.

00:41:31: Wetter per Err.

00:41:32: Wir haben einen Deal gemacht mit irgendwem und jetzt trefft sich das Management of site am Strand.

00:41:37: Interessiert kein Mensch, aber da interessiert per Err.

00:41:40: Und da sollte man gut vorbereitet sein.

00:41:42: Unsere Empfehlung ist dann sozusagen noch so eine alternative Website, irgendwo bei irgendeinem whatever, zwanzig Euro-Hoster zu haben, die ist schon fertig, die ist dark.

00:41:52: Die geht aber dann ans Netz und darüber spiele ich meine Updates raus und informiere meine Medienkontakte per Telefon.

00:41:58: Übrigens, wir haben dann Vorfall, alle Updates finden Sie da und der Professor sowieso steht zu Ihrer Verfügung, wenn Sie da nochmal eine unabhängige Einschätzung wollen.

00:42:08: Da beherrschen Sie sozusagen das Thema und dann kriegen Sie Kein Mitleid, das braucht keiner, aber sie kriegen Verständnis.

00:42:15: Sie kriegen, ihr Kunde merkt, ihr Lieferant merkt, Moment mal, die meinen es ernst, die nehmen uns auch ernst als Partner, weil dann kommunizieren sie richtig und dann kriege ich meistens diese Sachen innerhalb von ein paar Tagen wieder in Griff.

00:42:27: Also das ist mein Ziel, das ist meine Vorgabe, das ist das, was wir bei unseren Kunden sozusagen machen, empfehlen und auch durchdrücken, weil das kostet natürlich Geld, Geld, wo man erst mal nicht weiß.

00:42:37: Braucht man es irgendwann?

00:42:38: Ja, das ist ja Krisenvorsorge.

00:42:40: Aber es ist im Prinzip, jeder weiß, rauchen ist schädlich, trotzdem rauchen alle.

00:42:44: Jeder weiß, ich sollte fürs Alter was ansparen.

00:42:46: Okay, die meisten machen es trotzdem nicht.

00:42:48: Genauso sollte jeder wissen, sei bei Risiken, irgendwann kommt es zum Einschlag, wir wissen noch nicht wann und wie stark, also sei vorbereitet.

00:42:56: Und es gibt so einen guten Spruch unter IT-Land, der heißt kein Backup, kein Mitleid.

00:43:01: Da habe ich sogar ein T-Shirt irgendwo.

00:43:03: Naja,

00:43:03: das ist ganz

00:43:04: klar, das haben wir immer im Backup

00:43:06: machen bei uns in der Firma, weil wir so wie täglich eine Festplatte extern mit nach Hause genommen haben, die Geschäftsführer.

00:43:11: So, das schützt aber nicht davor.

00:43:13: Wir müssen einfach wissen, heute sind die Hacker ja auch schlauer geworden, die sagt, ich gucke erst mal ein Vierteljahr, was denn da so los ist.

00:43:19: Und das heißt, in einem Vierteljahr ist das Problem schon auf allen Rechnern drauf.

00:43:25: Und ich nehme das Backup von vor einer Woche und der Virus ist trotzdem drauf.

00:43:29: Also da muss man ein bisschen vorsichtig sein.

00:43:30: Das habe ich vorhin gesagt, eben zu überprüfen, welches Backup nicht betroffen ist.

00:43:35: Das kann dann durchaus sein, dass man da mehrere Varianten nach hinten gehen muss.

00:43:40: Das muss man ganz klar sagen und die Wiederanlauf-Strategie muss das berücksichtigen.

00:43:46: Liebe Thomas, das waren viele Tipps.

00:43:48: Also die Unternehmer, da raucht jetzt der Kopf.

00:43:50: Wahrscheinlich die sagen, um Gottes Willen, was soll ich denn tun?

00:43:53: Aber ich glaube vielleicht eine Möglichkeit, A, das Buchlesen haben wir schon gesagt, B, kann man natürlich auch nach dir googeln und du berätst ja auch Unternehmen, besonders die größeren Unternehmen, wo es wirklich um etwas geht.

00:44:05: Den kannst du helfen, Prävention.

00:44:08: einzuleiten und sagen, was kann ich tun für den Fall das?

00:44:12: Wir werden es nicht ausschließen können, das wird immer mehr werden durch KI.

00:44:17: Hacker werden immer schlauer sozusagen, aber es gibt viele Möglichkeiten dem vorzubeugen.

00:44:23: Ich sage ganz herzlichen Dank für diese vielen Tipps und Informationen, die du uns gegeben hast und wir können nur hoffen, Hauptsache du bleibst ungehackt.

00:44:32: Sehr, sehr gerne.

00:44:33: Ich wünsche viel Erfolg.

00:44:34: Und wie gesagt, kommen Sie nicht erst, wenn es passiert ist.

00:44:37: Das ist mein wesentlicher Tipp zum Schluss.

00:44:40: Schauen Sie, dass Sie Vorsorge treffen.

00:44:42: Schauen Sie, dass Sie jemand vertrauenswürdiges, unabhängiges haben, der mal über Ihre IT drüber sieht.

00:44:47: Es gibt es öfters, das möchte ich vielleicht noch zum Schluss sagen, so ein bisschen Animositäten.

00:44:51: Der IT-Lad denkt, der hat alles richtig gemacht.

00:44:53: Dann kommt jemand externes und erklärt dann die Welt.

00:44:56: Nein, das muss man natürlich ein bisschen sensibel machen.

00:44:58: Es ist wichtig, dass die interne Funktion funktioniert.

00:45:01: aber die Schmoret so auf dem eigenen Saft, so ein bisschen Support von außen schadet meistens nicht.

00:45:06: Insofern, wenn das mal anliegt, rechtzeitig anrufen.

00:45:10: Vielen Dank für deine Zeit.

00:45:12: Sehr gerne, alles Gute.

00:45:16: Erfolg braucht Verantwortung.

00:45:18: Der

00:45:19: Podcast von und mit

00:45:20: Udo Gast.

00:45:22: Für Unterstützung und Beratung

00:45:23: kontaktieren Sie Udo Gast.

00:45:25: Die Kontaktdaten

00:45:26: finden Sie in den Shownauts.