Oliver Schonschek spricht mit Ramon Weil über den Faktor Zeit in der Cybersicherheit
Herzlich willkommen zu der Reihe Drehpunkt IT Sicherheit. Hier dreht sich alles IT Sicherheit. Mein Name ist Oliver Schoneszek, ich bin News Analyst und spreche mit Ford Leadern aus dem Kreis der IT Sicherheitsanbieter. Ich freu mich sehr Ramon Weil, Founder und CEO der CQ Impfbar GmbH, bei Drehpunkt IT Sicherheit zu begrüßen. Hallo Herr Weil, schön, Sie auf der virtuellen IT Sicherheitscoach zu haben.
Ramon Weil:Hallo Herr Schontschek und danke für die Einladung.
Oliver Schonschek:Ja, sehr gerne. Ich mein, ganz viele kennen Sie sowieso, aber vielleicht sagen Sie 'n paar Sätze über sich, wer Sie jetzt noch nicht kennen sollte, aber gleich näher kennenlernen.
Ramon Weil:Ja, mein Name ist Ramon Weil, auch wie Sie schon gesagt haben. Ich bin Gründer, Geschäftsführer, Eigentümer des Sek und Frau GmbH, bin seit 35 Jahren in der IT. Seit 25 Jahren beträft ich mich mit IT Security und seit 15 Jahren ausschließlich mit der Erkennung, Analyse und Abwehrverzeihbahn dürfen. Jetzt halt auch als Firma seit 15 Jahren. Mittlerweile sind wir 100 Mitarbeiter, die sich alle die, ja, Erkennung von Cyberangriffen kümmern bei Gründen und deren Abwehr.
Oliver Schonschek:Jetzt haben Sie ja einige Male so was gesagt wie zum Beispiel 15 Jahre mit dem Thema IT Sicherheiterkennung von Angriffen, Abwehr von Angriffen. Es geht also sehr stark auch immer das Thema Zeit, hat in Ihrem Fall natürlich viel mit Erfahrung zu tun, aber es geht generell in das Cyberdefense ja den Faktor Zeit und darüber wollen wir heute miteinander sprechen. Und zwar aus verschiedenen Blickwinkeln, denn da gibt's so einiges, was man zu beachten hat. Und zwar zum einen, ich glaub, da stimmen uns ganz viele zu, Security Fachleute haben wenig Zeit. Also wir haben ja nur einen Fachkräftemangel in der Security schon seit Langem und man muss davon ausgehen, das wird nicht geringer, im Gegenteil.
Oliver Schonschek:Und wenn ein Unternehmen so knapp an Security Fachleuten ist, muss man auch davon ausgehen, dass man als Unternehmen froh ist, wenn man so seine Security Abteilung, sagen wir mal, 5 Tage die Woche für 8 Stunden besetzt hat und sagt dann, ja, Mensch, wir haben da eine ausgestattete Security Abteilung. Wenn man jetzt aber überlegt, auf der Gegenseite haben wir die Cyberkriminellen. Wie ist es denn bei denen? Sind die auch irgendwie 8 mal 5 Einsatz oder was können Sie sich da sagen?
Ramon Weil:Na ja, zum einen wissen wir ja gar nicht, wo die Cyberkriminellen sitzen, weil 8 bei 8 mal 5 bei denen könnte halt was ganz anderes sein als bei uns. Und zum anderen haben die natürlich einen riesengroßen Vorteil. Sie entscheiden, wann sie angreifen. Das kann halt Montagmorgen 10 Uhr sein, das kann aber auch Samstagnachts 3 Uhr sein. Und das ist natürlich ein riesengroßer Vorteil, dass sie das, ja, dort das Zepter in der Hand haben und ganz genau entscheiden können, wann sie halt angreifen.
Ramon Weil:Auf der anderen Seite sind die Firmen, was sind die Angreifer, die Firmen organisiert mittlerweile mit 'ner starken Arbeitsteilung? Es gibt halt Leute, die programmieren den Schadcode. Es gibt halt Leute, die versuchen irgendwo einzudringen, die sogenannten Initial Access Broker, die an, die Zugänge werden dann halt weiterverkauft. Da gibt's Leute, die weiter vorgehen, weiter vordringen, Daten stehlen und dann halt am Ende auch, ja, beim Einzelnen zum Beruf beispielsweise Systeme verschlüsseln und dann die Erpressung durchführen. Und es gibt auch einen Support und der arbeitet unter Umständen auf 24 7, auch auf Anleiferseite.
Ramon Weil:Das merken wir daran, dass dort die Antwortzeiten, wenn wir mit denen mal kommunizieren, halt relativ groß sind, egal wann wir die kontaktieren, dort zu verhandeln.
Oliver Schonschek:Das ist also schon mal ein sehr ungleiches Bild, denn man schaut, dass man so als Unternehmen sagt, ich hab halt die Sicherheitsabteilung ja, ist Montag bis Freitag besetzt. Wir haben, anderen Seite sind welche zu weinen, sagen Sie das Thema Zeitzonen. Die kennen ja irgendwo sitzen. Die könnten sozusagen auch für sich tagsüber an und aus nachts. Oder die haben eine Arbeitszeit, haben Sie gesagt.
Oliver Schonschek:Die sind also hochprofessionell. Die haben einen Support, die kreisen an zu Zeiten, wo wir vielleicht nicht unbedingt als Unternehmen drauf vorbereitet sind und höchstens. Also Sie haben auch schon gesagt, vielleicht greifen die ÖP mit der Nacht am Wochenende an. Wie ist denn da Ihre Erfahrung? Könnte man sagen, wenn Angreifer 24 7 aktiv sind, nutzt die das, die Gegenseite vielleicht grad so im Wochenende bis Feierabend?
Ramon Weil:Ja, was wir was wir halt sehen, ist, dass oftmals Freitagabend angegriffen wird, weil dann arbeiten die meisten bei Tierabteilung nicht am Wochenende und dann haben die Angreifer halt 2 Tage Zeit dort, sich weiter auszubreiten. Ja, das sehen wir halt so oft. Ich hab's mal in der Theorie früher mal gelernt, die Angreifer greifen mal dann an, wenn am meisten arbeiten, weil dann die, ja, es in den Datenstrom untergeht, weil das ist halt nicht mehr so. Also wir sehen wirklich Freitagabend die Angriffe. Im Idealfall hat der Angreifer dann halt 2 Tage wirklich Ruhe, dort weiter voranzuschreiten im Unternehmen.
Oliver Schonschek:Also versucht man gar nicht mal als nageln Heuhaufen unterzugehen, sondern man einfach das mit den Zeiten angreift, der andere eben nicht aktiv ist, nutzt dann, wie Sie uns grade sagten, vielleicht am Wochenende die 2 Tage. Und wie wie kann man sich vorstellen? Was bedeutet das denn, wenn ein Angreifer plötzlich 2 Tage Zeit hat, bis überhaupt mal es jemand aufhören könnte? Ist ja nicht gesagt, dass Montagmorgen kommt man rein und dann sieht man sofort, vielleicht ist der ja Es muss ja nicht immer nur Rensende sein, was man eben dann doch feststellen, wenn sich nichts mehr geht, wenn plötzlich als da die Erpressernachricht aufm Bildschirm erscheint. Kann ja auch was anderes sein, was man gar nicht so wahrnimmt.
Oliver Schonschek:Was bedeutet das? Dieser Faktor Zeit, wenn ich so lange brauche, ist
Ramon Weil:Je nachdem, wie 'n Unternehmen aufgestellt ist, dauert's manchmal halt 'n paar Tage, 'n paar Wochen, teilweise auch 'n paar Monate, bis der Angreifer zum Ziel kommt. Wenn er den initialen Rechner übernommen hat, dann ist er noch lange nicht am Ziel. Er hat er halt ein System übernommen, aber im Laufe der Zeit will er seine Rechte ausbauen, auf andere Systeme zugreifen, Backdoors einrichten, also Hintertüren einrichten, Daten stehlen und irgendwann, beim Modern sind wir Angriffe natürlich dann auch verschlüsseln. Und je nachdem, wie 'n Unternehmen aufgestellt ist, hat der Angreifer es relativ leicht, dass er relativ schnell vorankommt. Manchmal dauert es halt, wie gesagt, Monate.
Ramon Weil:Aber wenn 'n Unternehmen nicht gut aufgestellt ist, also keine Layout Defense hat oder ja, wenn, Beispiel Beispiel, man hat halt den Adminrechner dort einen Zugriff geknackt, dann ist er halt innerhalb von 'n paar Stunden natürlich der Angreifer sehr vor, sehr schnell vorangeschritten. Das heißt, nach 2 Tagen nach 'nem Wochenende kann Montags morgen dann schon alles zu spät sein. Also die Zeit ist das alles Entscheidende.
Oliver Schonschek:Absolut. Ich glaub, das wird auch hier sehr, sehr deutlich. Wir haben gesagt, einerseits kann sein, man hört immer, die angreifen waren schon 9 Monate im System oder was, aber es kann auch ganz anders sein, dass da geht der Angriff los und nach kürzester Zeit und vielleicht nach 'n paar Stunden ist schon, es kann noch schneller gehen, ist schon vielleicht System verschlüsselt. Und da sind dann 2 Tage sehr, sehr viel Zeit. Auch wenn uns so am Wochenende sagen, Mensch, schon wieder oben hier 2 Tage wenig Zeit.
Oliver Schonschek:Aber für so einen Angriff ist das enorm viel Zeit. Und jetzt haben wir ja als Unternehmen denkt man sich, ja gut, ich hab jetzt meine IT Sicherheitsabteilung ausgestattet und und versuche sozusagen zu den Betriebszeiten mich zu stützen und tu und mach, aber der Faktor Zeit ist in dem Falle, man will, kann ich sagen, gegen mich, aber einfach kritisch. Und wenn wir mal die verschiedenen Phasen der Cybersicherheit angucken und man spricht ja davon, prevention, Protection, und so weiter. Einmal in den Schutz hinein schon in die Phase, was ist denn hier das Ziel? Welche Rolle spielt denn hier der Faktor Zeit?
Ramon Weil:Das ist halt recht interessant, dass man Geld in die Zeit kommt. Aber ist halt wirklich so, im Bereich Protection geht's halt darum, dass man sein Unternehmen halt schützt, dass man möglichst 'n Angriff verhindert. Und wissen wir, denk ich mal, alle, die sich 'n bisschen länger mit IT Security auseinandersetzen, es gibt keine hundertprozentige Sicherheit, 'n Angreifer kommt immer irgendwo rein. Und somit ist nach diesem primären Ziel der der Verhinderung 1 Angriffs das sekundäre Ziel, 'n Angriffsmöglich möglichst zu verlangsamen, kann man halt durch verschiedene Maßnahmen machen, dass man halt liest Also das, was man sozusagen in den Grundlagen ja auch lernt, dass man nicht, dass nicht jeder alle Rechte hat, also nicht nur eine Verteidigungslinie, sondern mehrere, 2 Faktor Authentifizierung, Verschlüsselung, also viele, viele, viele Maßnahmen mit dem Ziel, den Angreifer auszubremsen. Das heißt, auch wenn ich mit der oder Protection das nicht schaffe, den Angriff zu verhindern, wenn ich dort gut aufgestellt bin, dann bremse ich hier 'n Angreifer aus.
Ramon Weil:Und das verschafft dem Unternehmen halt Zeit, dass halt nicht der Angreifer Freitagabend angreift und Montagmorgen morgen ist alles zu spät, sondern dass er halt Wochen, vielleicht Monate braucht, sein Ziel zu erreichen. Deshalb ist ja diese Protection halt sehr, sehr wichtig, dass man das halt gut macht und sauber aufstellt, auch wenn man der Angriff nicht 100 Prozent verhindern kann.
Oliver Schonschek:Und das glaube ich, ist 'n ganz wichtiger Punkt dabei, was Sie da ja sagen, weil es hat sich ja in der Security so bisschen etabliert, dass man sagt, ja, es gibt, es stimmt jetzt eine hundertprozentige Sicherheit. Und der nächste Angriff kommt, man weiß nicht wann. Und da gibt es solche Ausnahmen, die alle richtig sind, aber die dürfen eben nicht dazu führen, dass man sagt, gut protection, irgendwann, also der Angriff geht sowieso durch. Also achte ich nur noch da drauf, dass ich den Angriff erkenne. Und Sie sagen uns eben, nein, Protection ist sehr wichtig.
Oliver Schonschek:Man muss sich so gut wie möglich schützen, Angriff verlangsamen, also Schutzfaktor haben, so lange, wie es geht. Auch wenn es so ist, dass es keinen hundertprozentigen Schutz gibt, dass man es so lange aufrecht erhält, wie es nur geht, den Schutzfall. Und wenn es dann eben durchgekommen ist, dann sind wir in der nächsten Phase und müssen erkennen und wir müssen darauf reagieren. Wie ist es denn da? Und und welche Rolle spielt denn da die Zeit, wenn's darum geht, Angriffen zu erkennen und abzuholen?
Ramon Weil:Na, also wenn wir gut aufgestellt sind auf der Protection Seite, dann haben wir uns Zeit sozusagen verschafft. Der Angreifer braucht länger, muss vielleicht aggressiver vorgehen, sein Ziel zu erreichen. Und genau das hilft uns dann bei Detecture und Response, weil umso länger wir Zeit haben, ihn zu erkennen und abzuwehren, umso besser für uns und umso aggressiver er vorgeht, umso schneller kann man ihn halt erkennen. Also es geht halt, wie am Anfang schon gesagt, immer ums Thema Zeit. Die Zeit, die wir uns in der Protection verfassen, die hilft uns dann in der Detection und Response.
Ramon Weil:Ist halt immer 'n Katz- und Maus Spiel. Und entweder gewinnt der Angreifer, wenn die Protection schlecht ist und die die Detection und Response vielleicht gar nicht da ist, dann gewinnt der Angreifer auf jeden Fall. Oder halt, wenn man an 1 Protection gut aufgestellt ist, den Angriff ausbremst und in 1 Protection and response halt auch gut aufgestellt ist und den Angriff frühzeitig erkennt und abwehrt, dann hat das Unternehmen eine Chance, die Angriffe auch abzuwehren, bevor 'n großer Schaden entsteht.
Oliver Schonschek:Und wenn ich das nur noch mal grade spiegel, wo Sie sagen, wenn ich eine gute habe, dann wird vielleicht der Angriff auch aggressiver, sprich, derjenige, der Angreifer macht, will nicht sagen, mehr Fehler, aber er hinterlässt einfach Spuren. Er wird sichtbarer. Er kann das nicht ganz so geschickend anstellen, sondern er erfährt jetzt auf einmal Geschütze auf, die einfach mehr Qualm machen, wenn man so will, als sogar Haarfein irgendwo reinginge. Und das hilft eben möglichst früh oder weit außen sozusagen schon einen Angreifendenden zu erkennen. Und wenn ich durch die Protection Zeit gewinne für die Erkennung und Abwehr, indem ich mich eben, wenn ich merke, da kommt jetzt eine rein, der kämpft sich durch, dann hilft das eben wieder beim Faktor Zeit, Zeit zu gewinnen für Erkennung und Abwehr.
Oliver Schonschek:Und jetzt frage ich mich, wir haben gesehen, Protection ist sehr wichtig und hilft sogar der Detection and Response, sozusagen auch beim Faktor Zeit Zeit zu gewinnen. Jetzt haben wir aber weiterhin das Problem, dass ich als Unternehmen vielleicht eine IT Sicherheitsabteilung habe, die an 5 Tagen die Woche 8 Stunden besetzt ist. Nachts nicht, am Wochenende nicht. Und da stell ich mir die Frage, können denn hier Dienstleistungen, managed Services, insbesondere managed Detection and response helfen, eben diesen Faktor Zeit und dem Fachkräftemangel zu mildern, sagen wir mal, das eine.
Ramon Weil:Das Letzte nicht ganz verstanden, aber ich versuch's mal trotzdem zu beantworten. Also bevor ich auf die MDR Dienstleister oder Manager komme, erst mal noch 'n anderes gutes Thema. Der hat ja vorhin gesagt, dass der Angreifer immer 'n Vorteil hat, er entscheidet, wann er angreift. Der hat auch 'n zweiten Vorteil, er muss nur eine Lücke finden. Es gibt halt jeden Tag Dutzende Hunderte, Tausende von neuen Schwachstellen, die bekannt werden.
Ramon Weil:Und als Verteidiger muss man die halt immer stopfen. Und der Angreifer muss nur eine einzige Fachstelle finden. Das sind die beiden Vorteile, die der hat. Wenn er dann aber angreift, dann ist der Verteidiger am Vorteil, weil wir müssen ja nicht jeden einzelnen Schritt das Angreifers erkennen als im Bereich, sondern müssen nur einen der Schritte erkennen. Das heißt, sobald er seinen Angriff startet, sind wir wiederum im Vorteil, weil wir müssen halt nur einen einzigen seiner Schritte erkennen.
Ramon Weil:Und dann können halt sehen, da ist irgendwas komisch, da können wir noch tiefer analysieren. Das heißt, da beginnt dann der Vorteil der Verteidiger. Wo können die Menschen, die Menschen, die sind da auch spezialisiert. Man nimmt aber normalerweise 'n Dreiklang von 3 Technologien. EDR, was die Programme aufm Rechner überwacht und wenn dort komische Dinge passieren, gibt's eine Alarm.
Ramon Weil:Das gleiche Netzwerkbereich, und als dritte Komponente das sogenannteisieren, das Security Information Event Management, was Daten aus allen Systemen zusammenträgt. Und wenn dort die richtigen Daten erzeugt werden und die richtigen Fragen an diese Daten gestellt werden, also richtige, gute Use Cases vorhanden sind, dann kann man da auch etwas draus erkennen. Und diese 3 Systeme in Einklang zu bringen, ist schon mal nicht so einfach, wenn man das das erste Mal macht. Also da sollten halt Profis ran. Und das Zweite ist halt, wenn 'n IT Unternehmen 4 nur 8 mal 5 arbeitet und hat wahrscheinlich viel Geld für diese Technologien ausgegeben, nutzt die aber nur an, ja, in sehr wenigen Stunden in der Woche.
Ramon Weil:Und beim Mensch, Techressort Response Provider, der 24 7 arbeitet, wurd halt wirklich sofort reagiert, sofort Dinge erkannt, sofort reagiert. Außerdem
Oliver Schonschek:sind
Ramon Weil:die natürlich auch bedeutend preiswerter, als wenn man's selber macht. Und sieht natürlich auch immer auf Effizienz aus. Das heißt, sehr viel ist halt gegebenenfalls automatisiert. Das erhöht wieder die Schnelligkeit. Teilweise kommt auch KI nach und nach mit dazu, dass man dort noch auch noch mal schneller und besser wird.
Ramon Weil:Auch wenn aber auch wenn man eine KI hat, zukünftig wird's auch notwendig sein, dass man dort, ja, wirklich Menschen 24 7 hat. Und das selber zu machen, ist halt relativ schwer teuer. Und wenn man 'n Naught 'n Provider nennt, der ist da spezialisiert, der ist halt Scheller, der kann 24 7 arbeiten. Und es wird halt auch alles bedeutend preiswerter, was man uns selber macht.
Oliver Schonschek:Da haben Sie uns viele gute Gründe genannt, warum man drüber nachdenken sollte, MDR einzusetzen. Zum einen haben Sie gesagt, das ist eine Antwort auf dieses 24 7. Ich hab an 5 Tagen die Woche 8 Stunden besetzt, aber es hilft dann noch nicht mal, wenn ich die modernen Technologien haben, Sie nannten uns EDR, NDRX, DR 7, die müssen ja nicht nur, dass ich jemanden brauche, der die bedienen kann, die müssen richtig integriert werden, sondern ich muss ja auch die Informationen, die die ausgeben, auswerten und damit was anspannen, und zwar in kürzester Zeit und auch eben wirklich Anzeichen darin sehen können, Anomalien sehen können und da braucht's eben sehr viel Nachmachung. Und Sie haben uns auch gesagt, KI wird immer wichtiger, wird auch auf Seiten der Serviceprovider natürlich eingesetzt, ersetzt aber nicht die menschliche Expertise. Also es reicht leider nicht, auch wenn sich 'n Unternehmen das das behaupten würde, ich hole mir jetzt hier die tolle Security KI und die macht das dann alles für mich.
Oliver Schonschek:Die müsste ja erst mal an dieses Wirken kommen, dass ein Dienstleister hat. Und immer noch haben wir mit der menschlichen Expertise den Vorteil, dass wir nicht nur Muster erkennen, sondern weiterdenken können, nämlich denken können, und das ist so eine Stärke, so 1 Experten wie Ihnen, dass man denken kann, wie die angreifen. Dass man aus der Perspektive guckt und nicht einfach nur sagt, da ist eine Schwachstelle, das nutze ich aus, sondern da spielen ja viele Gründe, deren ja, spielen eine Rolle, wie welchen Angriffsweg ich wähle. Zum Beispiel kann ich über diese Schwachstelle bestimmtes Thema erreichen, die mir zu den und den Daten Zugriff erlangen? Es geht nicht nur darum, dass die besonders einfach auszunutzen ist, sondern man muss ja damit auch was erreichen.
Oliver Schonschek:Also man muss immer anders noch denken, als nur, dass man sagt, ich hab hier eine Schwachstelle, die muss ich abschirmen, sondern der Blick ist angreifen. Und deshalb spricht man ja inzwischen sehr viel über die Angriffsfläche, die man sehen muss aus den Augen sozusagen der Gegenseite. Nicht nur, wie man sich da selber vorstellt. Und da frage ich mich, wir haben jetzt son bisschen darüber gesprochen und das das find ich auch sehr gut, wie Sie uns das beschrieben haben, welche Technologien da zum Einsatz kommen. Aber gibt's da vielleicht auch eine Parallele, wie man sich das vorstellen kann aus der physischen Welt?
Oliver Schonschek:Weil ich mein, die Digitalisierung hat zwar alles ergriffen, aber nicht das Wort der Menschen sind immer noch und sind weiterhin physische Wesen. Und da 'n Beispiel, dass man sich das gut vorstellen kann. Wie ist das denn? MDR oder überhaupt die Erkennungstechnologien, wenn wir so an die physische Sicht da denken, die davon abgesehen, eineswegs unwichtig geworden ist, wenn wir eben dran denken, hybride ja Cyberangriffe sind ja auch 'nem Stichwort neben der digitalen Sicherheit.
Ramon Weil:Allerdings mit der physischen Sicherheit zu müssen vergleiche. Es gibt ja einbruchhemmende Fenster und einbruchhemmende Türen. Es gibt da halt keine einbruch sicheren Fenster und ist einbruch sicherer Türen, sondern gibt dann halt aber Schutzklassen, die je nach eingesetztenm Werkzeug und eingesetzter Zeit eine gewisse Zeit standhalten. Genauso kann man sich halt die Protection auch vorstellen im digitalen Bereich. Es gibt dort keine hundertprozentige Sicherheit, hatten wir ja schon drüber gesprochen, sondern die bremsen halt nur den Angriff aus.
Ramon Weil:So ist es natürlich geradlinischen Welt halt auch. Wenn ich 'n ganz normales Fenster ausm Baumarkt habe, nehm ich 'n Stein und bickel den mitm Fenster, schlag die Scheibe ein und drin drin. Wenn ich aber spezielle Fenster habe oder nee, ich hab's noch nie gemacht, aber also ich denk, stell's mir so vor Schraubenschlüssel, Reinknack, drinne. Und wenn man halt professionelle Fenster hat, dann geht es halt nicht so einfach, dass man die Scheibe einschlägt und Aushebeln geht auch nicht so einfach, weil da Schutzmechanismen, sogenannte Pilzköpfe heißen die, glaub ich, drinnen sind. Und die helfen halt, den Angreifer aufzuhalten.
Ramon Weil:Das heißt, der Angreifer muss halt auch dort aggressiver vorgehen, er braucht länger. Aber wenn ihn niemand beobachtet, wenn er Zeit hat oder wenn keine Alarmanlage da ist, keine Überwachung, kein Nichts, na, dann nimmt er sich die Zeit halt. Also braucht man halt auch in der physikalischen Welt genau diese. Man braucht Alarmanlagen, aber auch gegebenenfalls eine Videoüberwachung, man hat 'n Wachschutz. Irgendjemand muss halt auffallen, was dort grade am Fenster irgendjemand dort versucht einzubrechen.
Ramon Weil:Wenn das niemandem auffällt, dann kann er sich da eine Stunde Zeit nehmen und dann aller Ruhe halt einbrechen, dann ist er halt auch drin. Aber wenn dort eine Alarmanlage beispielsweise ist und 'n Waschschutzhinter, der dann halt tätig wird, wenn irgendwas ist, dann wird der Angriff verhindert. Das heißt, eigentlich kann man das wirklich sehr gut vergleichen, die physikalische Welt und die die digitale Welt. Auf beiden Seiten versucht man, sich zu schützen mit verschiedensten Mitteln. Und man muss halt auch dafür sorgen natürlich, dass 'n Angriff, 'n Einbruch oder 'n Cyberangriff erkannt wird und auch abgewehrt wird.
Ramon Weil:Weil nur der Schutz alleine hilft halt nicht. Wie gesagt, wenn der Angreifer in der digitalen Welt lange Zeit hat, einfach zu machen, was er will, ohne dass denen keiner stockt in der physikalischen Welt beim Fenster, wenn er da halt auch genug Zeit hat, ist er halt auch drin. Also ja, sind eigentlich schöne Parallelen.
Oliver Schonschek:Absolut, absolut. Ich glaub, dass dieses Bild, das hilft auch sehr gut, sich das vorzustellen und vielleicht auch eine Frage mal neu zu bedenken, weil viele glauben, managen Techction und Response ist eher so, ich bin vielleicht 'n kleines Mittel aus Unternehmen und deshalb brauche ich solche Dienstleistungen. Jetzt überlegt man mal, Sie haben gerade von Wachschutz gesprochen, Videoüberwachung und Einbruchshemmen, das ist mir groß auch. Er geht in die Parallele auch so weiter, dass man sagt, ja, MDR ist eigentlich auch, also das digitalen Bereich ist auch etwas für große Unternehmen und ist es da wirklich nur etwas für die kleinen und mittleren?
Ramon Weil:Also ich kann ja aus unserer Praxis sprechen. Ich kann werd keine Kundennamen lernen, machen wir nicht. Aber ich kann halt verraten, dass unser kleinster Kunde, der hat 'n paar 100 Mitarbeiter und unser größter Kunde über 100000 Mitarbeiter. Das heißt, es betrifft mehr oder weniger jedes Unternehmen, weil jedes Unternehmen halt angegriffen werden kann. Und je nachdem, wie finanzstark das Unternehmen ist, kann der Angreifer da überhaupt auch Geld rausholen.
Ramon Weil:Beim größeren Unternehmen ist es halt schwieriger, gegebenenfalls reinzukommen. Es ist auch schwieriger, aus Compliance Gründen dort Geld zu erpressen. Deshalb ja, sind auch kleine Unternehmen recht interessant, weil dort wird dann schnell mal schneller mal gezahlt als beispielsweise bei großen Unternehmen, auch wenn die Summen vielleicht kleiner sind. Das heißt, es ist vollkommen egal, ob großes oder kleines Unternehmen, unterscheiden sich halt nur da drinnen. Bei kleinen Unternehmen hat man vielleicht 'n IT Admin oder vielleicht 'n kleines IT Team.
Ramon Weil:Vielleicht hat man auch jemand, der sich son bisschen Security kümmert. Da machen wir definitiv keine 24 7 Cyber Defense Abteilung mit 5, 6 oder 10 Leuten. Das funktioniert halt nicht. Das heißt, dort übernimmt dann mehr oder weniger die gesamte, ja, gesamte IT Sicherheit und hilft dem Unternehmen weiter. Beim Großunternehmen ist es oftmals so, aus unserer Praxis, aus unserer Erfahrung, da sitzen halt auch Experten auf der anderen Seite.
Ramon Weil:Die haben halt 'n Team, was auch aber oftmals halt nicht 24 7, nicht rund die Uhr. Das sind halt nur 4, 5 Leute und damit kann man keine 24 7 aufbauen. Da braucht man halt mindestens 8, besser 10 Leute, dass man überhaupt mal anfangen kann mit 'ner 24 7. Und bei den Großen ist es dann so, dass unsere Leute, die 24 7 arbeiten, ganz eng mit den Experten des Kunden zusammenarbeiten. Wir übernehmen meistens halt die Erkennung, die Erstanalyse und übergeben dann an die Experten auf Kundenseite, was wurde erkannt?
Ramon Weil:Wie haben wir analysiert, zum Beispiel 'n Ergebnis bekommen und was schlagen wir vor zu tun? Und die Experten auf Kundenseite übernehmen dann in der Regel die Response. Das das heißt, sowohl ganz kleine Unternehmen als auch ganz große Unternehmen arbeiten dort aus unserer Erfahrung zumindest mit MDR Providern zusammen. Nur die Art der Zusammenarbeit unterscheidet sich dann halt je nach Professionalität auf Kundenseite.
Oliver Schonschek:Das heißt, dass Sie sozusagen ganz gezielt auch nach dem Bedarf gucken, was kann ein Unternehmen selber leisten? Wie ist die interne IT, IT Sicherheit ausgespartet? Was was können die an Zeiten abdecken? Was können die an Technologien abdecken? Wo können wir das ergänzen?
Oliver Schonschek:Und selbst bei den Großen, ich ich sag mir auch immer, selbst wenn jemand eine eigene riesige IT Sicherheitsabteilung hat, Was ein Dienstleister wie Sie natürlich immer hat, ist die riesige Erfahrung, Expertise, die ja, sozusagen Sensoren auch draußen in in der Cyberbedrohungswelt. Was ich als eigenes Unternehmen noch gar nicht wahrnehmen kann, wenn zum Beispiel woanders 'n Angriff ist, der mich auch immer betreffen könnte. Also es gibt dieses zusätzliche Know how, die Expertise, die da ist. Aber eben Sie gucken ganz genau, wo sind wir die richtige Ergänzungen? Sie haben zum Beispiel sagst, kann sein, wir machen die detecture, zum Beispiel bei größeren Unternehmen und die Response übernimmt dann die interne Abteilung immer schön in in Abstimmung.
Oliver Schonschek:Und wer jetzt kleiner ist, ist genauso gefährliches Ziel, weil wir haben ja in Deutschland viele, viele kleine mittelständische Unternehmen, die Weltmarktführer sind und sind sehr wohl Ziel, was es eben an Firmengeheimnissen angeht. Nichtsdestotrotz haben die nicht die Möglichkeiten, sich entsprechend zu schützen und da kann dann so ein managen Detection und Response Service auch sozusagen das komplett übernehmen und den Schutz machen, auch in Abstimmung mit dem Kunden, auch in Abstimmung mit der jeweiligen IT Administration, aber die können halt das in der Security alleine nicht stemmen. Wenn wir jetzt schon so einen Experten, wie Sie hier beim Drehpunkt IT Sicherheit haben, möchte ich es nicht ungenutzt lassen, Sie noch Tipps zu bitten. So Tipps an unsere Zuschauerinnen und Zuschauer, an die Zuhörer und Zuhörer, denn Sie können das hier als Videopodcast sich anschauen und Sie können das auch Audio hören über seierte Zuhörerinnen, Zuhörer, Zuschauerinnen, Zuschauer. Was kann man denn machen, wenn man sagt, ich muss diesen so wichtigen Faktor Zeit in der IT Sicherheit in den Griff kriegen bei mir?
Oliver Schonschek:Ich muss das optimieren. Was haben Sie da für Tipps? Wie geht man da vor?
Ramon Weil:Ja, zum einen würd ich halt noch mal zusammenfassen, hatten wir ja vorhin schon mehrmals gesagt, nicht nur auf die Protection achten, sondern auch auf die Protection and Response. Das heißt, nicht nur und ja, traditionelle Dinge, mich zu schützen, sondern auch darauf achten, dass ich Cyberangriffe auf mein Unternehmen erkenne. Ganz, ganz wichtig. Zweiter Punkt ist, man sollte sich nicht der Illusion hingeben, dass man das selber machen kann. Selbst große Unternehmen können das nicht.
Ramon Weil:Und da sozusagen zu sagen, der Admin macht das mal so nebenbei. Oder ich hab hier jemanden, der kümmert sich 5 mal 8 da drum, das wird nicht funktionieren. Man braucht dort wirklich eine 24 7, weil die Angreifer entscheiden, wann sie angreifen. Und das weiß man halt nicht. Und man muss halt schnell reagieren, Thema Zeit.
Ramon Weil:Man muss halt wirklich sehr schnell reagieren. Wenn man's selber aufbauen möchte, muss man halt im Hinterkopf behalten, ich brauch halt die 24 7. Ich brauch halt 10 Mitarbeiter circa mindestens. Und da ist man halt schnell mal eben mit 80000 Euro dabei pro Monat. Und das kann man halt aufm Markt bedeuten, preiswerter einkaufen.
Ramon Weil:Nicht nur, dass die Unternehmen, die so was anbieten, wahrscheinlich professioneller in dem Bereich sind. Auch der Punkt von den Kosten her, also 80000 Euro, das ist dann schon 'n Großkonzern, der dann vielleicht so viel pro Monat bezahlt, aber 'n kleines Unternehmen ist da bei, weiß aus preiswerter. Aber wenn man's selber auffuhren will, ist man halt sehr schnell bei diesen Posten. Anderes Problem ist, hat man am Anfang ja auch gesagt, die Mitarbeiter finden. Überhaupt, Cyber Defence Experten zu finden, ist schon mal eine Herausforderung und die auch langfristig im Unternehmen zu halten, ist herausfordernd.
Ramon Weil:Dann aber 24 7 arbeiten zu lassen, das ist halt, ja, ist halt sehr, sehr schwer. Da gibt's halt verschiedenste Ideen, verschiedenste Möglichkeiten. Da haben wir auch 'n bisschen was auch 'n bisschen was machen wir halt, dass bei uns die Leute sehr gerne in der 24 7 arbeiten. Das würde jetzt zu weit führen oder wir sprechen nachher noch mal drüber, mal gucken. Und deshalb 'n zweiter Punkt, selbst wenn man die Mitarbeiter findet, hat man 'n Problem, die in der 24 7 zu halten.
Ramon Weil:Wenn man aber keine 24 7 hat, dann hat man sehr viel Geld für Produkte investiert, hat aber die Risiken im Unternehmen nicht wirklich großartig gesenkt. Wie vorhin schon gesagt, auch Großunternehmen mit 100000 Mitarbeitern und mehr greifen da gerne auf MDR Provider zurück. Eine andere Sache ist, man sollte halt vorsichtig sein mit dem Versprechen der Produkthersteller. Da ist halt sehr schnell von, ja, alles ganz einfach und KI und geht alles automatisch, und was es da alles für tolle Sachen gibt. Die sind alles, muss man halt wirklich so sagen, sind halt Werbeversprechen.
Ramon Weil:Die wollen halt ihre Produkte verkaufen und sobald da die Unterschrift drunter ist, passiert's nicht mehr, ob das wirklich alles so stimmt, was sie da erzählt haben. Das ist halt unsere Erfahrung aus den letzten 15 Jahren, also sehr vorsichtig mit den Versprechen der Produkthersteller sein. Man braucht immer die menschliche Komponente. Man braucht immer die Leute, die am Ende dann auch wirklich arbeiten. Automatisierung und KI, die kann halt Arbeit abnehmen, haben auch immer die Leute, die es halt machen.
Ramon Weil:Das heißt, am Ende sollte man gucken, dass man sich 'n professionellen Provider sucht, der auf jeden Fall vierundzwanzigmal 7 arbeiten arbeitet. Und da sollte man halt sehr vorsichtig sein, weil es gibt halt sehr viele Provider aufm Markt, die so was mittlerweile anbieten. Und man sollte halt immer gucken, ja, was ist das fürn Partner? Wie groß ist der Partner, wenn man dort jemand hat, der nur so 10, 20, 30 Mitarbeiter hat, der wird wahrscheinlich wen oder wird wahrscheinlich 'n 24 7 nicht aufbauen können. Man sollte sich das Portfolio angucken.
Ramon Weil:Wenn der mit wenn der Partner halt ganz viel anbietet, also alles, was eigentlich Security ist, war darüber hinaus auch viele andere IT Dienstleistungen Dienstleistungen und dann vielleicht nur 50 oder 100 Mitarbeiter hat, muss man auch vorsichtig sein, ob der wirklich dann so professionalisiert in dem Bereich aufgebaut ist. Das heißt, Portfolio angucken von dem Dienstleister bietet da im Internet an, LinkedIn gucken oder andere Social Media Plattformen, wie viel Mitarbeiter hat er? Zahlen des Unternehmens angucken, wie lange wie existiert das Unternehmen, ist es stabil, wie viel verdienen die, wie viel Umsatz machen die, wie groß sind die, Sonst kann man da auch mal daneben greifen, sag ich jetzt mal und auch gucken, es ist investorengeführt, inhabergeführt. Oftmals, was wir halt sehen, ja, sind viele dieser Unternehmen investorengetrieben. Das heißt, das Unternehmen kann auch in ein, 2 Jahren 'n ganz anderes sein, was irgendwo in Anlass verkauft wird, irgendwo in 'nem großen Konzern aufgeht.
Ramon Weil:Ist halt bei inhabergeführten Unternehmern auch wieder 'n bisschen stabiler, solange der Inhaber nicht verkauft.
Oliver Schonschek:Jetzt haben Sie uns ja einige wichtige Hinweise schon gegeben, die man abwägen kann. Was ist intern möglich? Welche Formate hat managen Response? Was bedeutet das, wenn ich das intern aufbauen wollte, an Kosten, an Schwierigkeiten, Fachkräfte zu bekommen? Sie haben uns auch Tipps gegeben, worauf man achten sollte, wenn man einen Anbieter, Anbieter von Services sucht, dass man den auch abklopft.
Oliver Schonschek:Das ist ja eine ganz entscheidende Rolle, die so ein MDR Dienstleister hat. Und da sollte man genauer hingucken, wie man sich da sozusagen anvertreuten. Haben Sie auch wichtige Hinweise gegeben. Ach, Sie haben uns auch sehr neugierig gemacht und vielleicht können Sie das jetzt zum Schluss noch verraten. Sie müssen natürlich nicht alles aus dem Nähkästchen verraten, Aber wie machen Sie das denn?
Oliver Schonschek:Weil Sie haben ja gesagt, es ist nicht so einfach, die Fachkräfte zu finden und dann aber auch noch dafür zu begeistern für 24 7. Weil ich hab auch schon einige Gespräche eben geführt mit Security Dienstleistern, die auch gesagt haben, ja, diesen Fachkräftemangel, merken wir auch, ist nicht ganz einfach. Was können Sie sagen? Was ist da so Ihr Erfolgsrezeptiler? Sie müssen uns nicht alles verraten, aber vielleicht son kleinen Einblick.
Ramon Weil:Also zum einen ist es so, dass wir jetzt 15 Jahre am Markt sind, 'n sehr guten Ruf am Markt haben, weil wir sehr viel für unsere Mitarbeiter tun. Kann man ja auch mal recherchieren. Und wir haben kein Problem, Mitarbeiter zu bekommen. Wir haben jeden Monat über 100 Bewerbungen und suchen uns dort die besten aus. Ganz wichtig im Bewerbungsprozess ist halt, dass man dort sehr schnell und professionell agiert.
Ramon Weil:Das heißt, im längsten Fall dauert zwischen Erstinterview und paar Tag aufm Tisch 3, 4 Wochen. Im letzten Fall kann das inklusive Screening, Erstinterview, Zweitinterview Angebot innerhalb von 1 Woche laufen. Das heißt, man muss da sehr schnell sein als Dienstleister, ansonsten sind die guten Leute halt weg. Normalerweise sind die halt sehr, sehr schnell weg. Aber Thema 24 7 hatten wir ja auch vorhin ganz kurz.
Ramon Weil:Ja, ich hatte mir vor 'n paar Jahren die Frage gestellt, wie krieg ich's hin, dass man dort eine gute 24 7 aufbaut? Und was wir bei Mitbewerbern sehen, die großen, global aufgestellten, Dienstleister aus dem USA beispielsweise, die bedienen sich halt da fordern das Landprinzip, wo dann halt irgendwelche Mitarbeiter in Indien sitzen oder in Südamerika. Und dann hat man halt mit ganz anderen Kulturen ganz anderer Sprache zu tun, möchte man als Kunden nicht unbedingt. Was wir auch oft im sehen, sind halt Mitbewerber, die dort Studenten nachts oder Wochen eine Ende einsetzen. Ist aber auch nicht so zielführend, weil die Studenten arbeiten halt nur sehr selten und müssen nicht dann jedes Mal wieder reinfinden.
Ramon Weil:Das heißt, der Service, die Qualität der Services ist halt gegebenenfalls nicht so gut. Und was wir auch sehen, dass 24 7 versprochen wird und keine 24 7 drinnen ist, muss man, wie gesagt, vorsichtig sein. Und ich hatte dann überlegt, wie macht man das? Und man hat grundsätzlich 2 Probleme. Eine ist halt das Wochenende und das andere ist halt die 3 Schichten, die man Tag verteilt.
Ramon Weil:Wochenende, das haben wir bei uns so gelöst, dass die Mitarbeiter 5 Tage arbeiten und dann haben sie 3 Tage frei. Und dann wieder 5 Tage arbeiten, 3 Tage frei. Damit verliert man dann, also man hat eine 8 Tagewoche, man verliert dann halt das Wochenende, aber man hat, wenn man 'n ganzes Jahr an diesem Bereich, an diesem Thema arbeiten würde, hätte man 30 zusätzliche freie Tage bei vollen Lohnausgleich. Also man kriegt das gleiche Gehalt und arbeitet bedeutend weniger. Das fanden viele Kollegen ganz gut, weil man hat halt mehr Freizeit und man hat immer 3 Tage hintereinander frei.
Ramon Weil:Und es ist auch nicht so, dass die immer an dem Modell arbeiten, sondern die arbeiten dann halt circa 4 bis 6 Wochen in 'ner Tagschicht in diesem Modell, dann 4 bis 6 Wochen in 'ner Spätschicht, dann 4 bis 6 Wochen in 'ner Nachtschicht. Und dann haben sie halt 3 bis 4 Monate wieder ganz normal 5 mal 8, weil da fällt halt bei unseren Kunden aus Deutschland am meisten an. Das heißt, Wochenende hatten wir damit gelöst. Mitarbeiter sind sehr happy damit, aber man hat halt immer noch die 3 Schichten, Tag, Spät, Nacht und bei der Tagschicht. Ist halt eine ganz normale Tagschicht, ist okay, passt.
Ramon Weil:Spätschicht so von 16 Uhr bis Mitternacht circa. Geht auch, weil dann sagen sich einige Kollegen, na ja, dann steh ich halt später auf, kann morgens dann, vormittags noch was erledigen. Oder ob ich dann abends halt vorm Fernseher sitze oder arbeite, ist dann auch egal. Also es geht mit der Spätschicht. Aber wo, niemand möchte nachts arbeiten.
Ramon Weil:Niemand möchte von Mitternacht bis 9 Uhr arbeiten. Und was wir dort kurzerhand gemacht haben, wir haben eine Villa auf Bali angemietet. Und wir schicken dann unsere Mitarbeiter für 4 bis 6 Wochen im Jahr nach Bali. Das heißt, sind die gleichen Mitarbeiter, die auch in Deutschland arbeiten, die fliegen dann dort rüber und arbeiten dann in dieser Zeitzone. Das ist 7 Stunden vor unserer Zeit.
Ramon Weil:Und ja, spielen dann abends 'n Pool, haben dann auch die 3 Tage Freizeit. Wenn sie 'n bisschen die Schichten mal tauschen, sogar 4 oder 5 Tage. Das heißt, sie können sich halt zumindest Bali und die anderen Inseln da anschauen, würde Explosionen machen. Ja, und 'n paar andere Kleinigkeiten. Und natürlich gibt's halt natürlich immer auch Sonderabregeln für Nachtarbeit und Wochenendearbeit und Feiertagsarbeit, da gibt's natürlich Zuschläge.
Ramon Weil:Und all diese Maßnahmen und noch 'n paar andere haben halt dazu geführt, dass wir sehr, sehr stabil sind. Wir haben jetzt über 30 Mitarbeiter in unserem CDAC und wir haben in den letzten 3 Jahren nur 3 Mitarbeiter in dem Bereich verloren. Das heißt, wir sind da sehr, sehr stabil.
Oliver Schonschek:Muss sagen, erst mal herzlichen Dank für diesen Hinweis. Das ist total spannend, das zu erfahren. Und das ist eine sehr kreative Idee, die man sieht, dass Sie sich da sozusagen in die Beschäftigten so natürlich hineinversetzen und gesagt haben, wie kann ich denn die Bereiche, wie jetzt zum Beispiel die absolute Nachtschicht, wie kann ich denn das irgendwie anders lösen? Also nicht einfach zu sagen, Mensch, da gibt's dann auch nicht Nachtschichtzuschlag. Wie ist Jens, wie kann ich das so machen, dass man in der Zeit eigentlich zwar für uns hier nachts arbeitet, aber in Wirklichkeit doch nicht 8 nachts arbeitet.
Oliver Schonschek:Also kreative, gute, schöne Idee. Danke ich Ihnen, dass Sie uns davon auch berichtet haben und muss sagen, ein sehr, sehr spannendes Unternehmen. Und es war mir eine Freude, mit Ihnen zu sprechen und ich möcht Ihnen herzlich danken für Ihre Tipps und Hinweise zu 24 7 Cybersicherheit, dass Sie uns den Faktor Zeit in der Cyber Security erläutert haben, die verschiedenen Blickwinkel und auch zu Inneneinsichten gegeben haben, wie Sie als Unternehmen arbeiten, das lösen, möchte ich Ihnen herzlich danken. Und auch Ihnen, liebe Zuschauer, liebe Zuschauer oder wenn Sie uns jetzt in dem Falle nur in Anführungsstrichen hören, liebe Zuhören, liebe Zuhörer, herzlichen Dank für Ihr Interesse. Das war Oliver Schoncek vom Marktplatz IT Sicherheit im Gespräch mit Raman Weih von Secure Infra.
Oliver Schonschek:Bis zum nächsten Drehpunkt IT Sicherheit. Herzlichen Dank.
Ramon Weil:Danke, tschüs.
