#3 Cyber-Resilienz statt nur IT-Sicherheit – Wer steht nach dem Angriff noch?

00:00:00: Guten Morgen Jens.

00:00:02: Deine heutige Mission Digitale Souveränität aktivieren.

00:00:07: Willkommen bei Rhetis Reset, dem Podcast für den digitalen Neustart.

00:00:12: Hier spricht Jens Blust, IT-Unternehmer, Digitalstrategie und der Mann, der den Knopf zum Netzwerk Reset drückt.

00:00:19: Digital Souverän statt digital abhängig.

00:00:22: Der erste Schritt beginnt heute.

00:00:26: Herzlich Willkommen zu Retis Reset.

00:00:28: Ich bin Jessica Sander und bei mir sitzt natürlich der Mann, der bei den Unternehmen den Reset-Knopf drückt.

00:00:35: Jens Plus, hallo Jens.

00:00:36: Guten Morgen Jessica.

00:00:37: Die unsere dritte Folge schon.

00:00:39: Wie geht es dir?

00:00:40: Ich bin genauso aufgeregt wie bei den ersten beiden, aber es macht Spaß.

00:00:45: Man hat es bei den ersten beiden überhaupt nicht gemerkt, du warst einfach großartig.

00:00:48: Vielen Dank.

00:00:49: Und deswegen starten wir jetzt auch direkt, um direkt einzusteigen, mit unserer provokanten Frage, weil wir das jetzt ja immer so machen.

00:00:55: Also Jens, wie viele Unternehmen, die mit den üblichen IT-Sicherheitsprodukten arbeiten, also so Viren-Scanner, Firewalls, Backups, würden einen

00:01:05: echten Cyberangriff tatsächlich überleben?

00:01:09: Was für eine Frage.

00:01:11: Jeden Tag passieren diese Angriffe und die meisten davon.

00:01:16: werden tatsächlich von den Viren-Scanners und von den Firewalls blockiert.

00:01:21: Die allermeisten laufen im Hintergrund.

00:01:25: Manche Angriffe, von denen spürt man auch gar nichts.

00:01:29: Es ist ja nicht jeder Angriff einfach so ein Löschen von Daten oder Verschlüsseln.

00:01:33: Manchmal werden Daten im Hintergrund abgesaugt, Daten werden ins Internet übertragen oder manchmal wird auch die Infrastruktur missbraucht, also die eigene IT.

00:01:44: macht plötzlich was ganz anderes im Hintergrund.

00:01:46: Zum Beispiel schürft die Bitcoins oder sie versucht irgendwelche Angriffe im Internet zu starten.

00:01:53: Also man merkt es nicht unbedingt direkt, wenn man betroffen ist.

00:01:58: Aber richtig krass.

00:01:58: Und ich denke, das ist das, was wir gerade hier als Cyber-Angriff hauptsächlich wahrnehmen.

00:02:04: Das ist natürlich die Verschlüsselung oder eben Daten.

00:02:08: Abzugs- und dann Erpressungsmaschine.

00:02:11: Das heißt, dann fehlen Daten, dann ist ein Schaden da, dann steht das Unternehmen und die meisten Unternehmen sind dann nicht gut vorbereitet.

00:02:22: Man hat tatsächlich in der Zwischenzeit recht gute Maßnahmenkataloge zusammengestellt, die dabei helfen.

00:02:31: sich vorzubereiten.

00:02:32: Aber die sind aufwendig und die muss man umsetzen.

00:02:35: Und ich sage, wer so ein Konzept umgesetzt hat, wer sich da mal aktiv damit auseinandergesetzt hat, der schafft es auch.

00:02:41: Der ist vorbereitet.

00:02:42: Denn wenn dann dieser Tag X kommt, dann wird er die Schublade gegriffen, Plan B oder C rausgeholt, je nachdem, was da draufsteht.

00:02:49: Und dann wird nach einem bestimmten Schema vorgegangen.

00:02:52: Und wenn man jetzt diese Hundert Unternehmen nimmt, dann ist im Nach einer SOFOS-Studie aus den Jahren, die ist jetzt natürlich ein paar Jahre älter, aber eine SOFOS-Studie von den Jahren hat gesagt, die haben ein großes Problem danach.

00:03:07: Diese neununddreisig oder vierzig Prozent der Unternehmen, die Vorbereitung getroffen haben, die kommen in der Regel sehr, sehr glänzlich davon.

00:03:13: Also entweder schaffen es die antivieren Vorkehrungen, die Sachen noch in den Griff zu bekommen, bevor es losgeht.

00:03:21: Wenn dann irgendwo ein Teil kompromittiert ist, wird der eben nach Plan wieder aufgesetzt.

00:03:26: Die anderen sechzig Prozent, die haben dann unterschiedlich starke Probleme.

00:03:30: Es gibt einen Teil, die verlieren alles, die verlieren alle Daten, die sind weg.

00:03:34: Die sind da, sind auch die Backups kaputt.

00:03:36: Und es gibt keine Möglichkeit wiederherzustellen.

00:03:38: Wenn man drei bis vier Tage Ausfall hat, gehen danach sehr viele Unternehmen in die Insolvenz.

00:03:46: Diese Zeitspanne von drei, vier Tagen Datenverlust ist tatsächlich kritisch.

00:03:52: Wenn man sich heutzutage überlegt, es sind ja nicht nur E-Mails, die rein und rausgehen.

00:03:56: Von der Auftragsbestätigung, geschlossene Verträge, diverse andere Themen.

00:04:01: Es sind ganz viele Daten, die rein und rausgehen.

00:04:03: Und früher, naja, gut, kannst du mir den Vertrag noch mal per E-Mail schicken.

00:04:08: Das war relativ überschaubar.

00:04:10: Aber heutzutage werden ja ganz viele Verträge online geschlossen und man hat dann gar keine Nachweise mehr über die Sachen, wenn die Daten wechseln.

00:04:17: Deswegen ganz grundsätzlich die Vorbereitung ist das ANU.

00:04:23: Um gerade nochmal auf die hundert Unternehmen, von denen wir vorhin gesprochen haben, zurückzukommen, von den sechzig Prozent, die dann Datenverluste haben, ist der Durchschnitt laut der Sophos Studie von zwanzig zwanzig, ist der Durchschnitt der wiederherstellungszeit ein Monat.

00:04:41: Oh, wow.

00:04:42: Oh, wow.

00:04:43: Und wenn man sich jetzt überlegt, wie lang ein Monat ist.

00:04:47: Aber die drei bis vier Tage, das ist ja der Untergang.

00:04:50: Das ist für viele Unternehmen ein richtiges Problem.

00:04:53: Natürlich gibt es datenlastigere Unternehmen und Unternehmen, bei denen die Daten eine untergeordnete Rolle spielen, die sehr viel rekonstruieren können, weil einfach nicht so wahnsinnig viele Daten durch die Gegend gehen.

00:05:04: Aber gerade wenn man sich überlegt, wäre ein datenlastiges Unternehmen.

00:05:08: Und man hat seine ganze Intelligenz.

00:05:10: Wie viele Unternehmen sind heutzutage papierlos?

00:05:13: Ganz viele Unternehmen verbnichten die Originalpapiere, weil sie alles nur noch digital aufbewahren.

00:05:19: Und wenn man sich jetzt vorstellt, diese Daten wären weg.

00:05:23: Wow.

00:05:24: Daher ist unser Thema, was wir heute haben, extrem wichtig.

00:05:27: Cyberresilienz statt No-IT-Sicherheit.

00:05:29: Wer steht nach dem Angriff noch?

00:05:31: So haben wir es genannt.

00:05:32: Und ja, lass uns doch gleich starten, warum Sicherheit alleine aber nicht ausreicht und welche drei Zutaten es für echte Resilienz braucht.

00:05:40: Darum soll es heute gehen, Jens.

00:05:42: Also Sicherheit versus Resilienz.

00:05:44: Viele Unternehmen glauben ja eigentlich, wenn sie eine Firewall haben oder Virenscanner oder den Backup, das sollte doch eigentlich reichen, oder?

00:05:50: Was ist denn der entscheidende Unterschied zwischen klassischer IT-Sicherheit und echter Cyberresilienz?

00:05:57: Ui, Cyberresilience, gleich zwei Buzzwords, die durch die Medien im Augenblick geistern.

00:06:06: Resilience bedeutet ja Widerstandsfähigkeit.

00:06:11: Man hält's aus, man kann's ab, aushalten, man kann's abwehren, man steht danach trotzdem noch.

00:06:19: Und diese Kombination mit das Cyberresilience ist im Endeffekt tatsächlich... Auch wenn ein Angriff läuft, läuft der Betrieb weiter.

00:06:28: Es ist nicht so, dass ich an einem einzigen Produkt oder an einem einzigen Punkt irgendwo ein Problem mich im gesamten Kaputt macht als Unternehmen.

00:06:39: Das heißt, man baut eine Resilienz auf, indem man organisatorisch Sachen definiert, im Vorfeld klärt, prüft, Vorbereitungen trifft, organisatorisch.

00:06:51: Was passiert denn dann im Zwischenfall?

00:06:53: Wenn dann im Endeffekt alle nach Hause gehen, dann ist der Schaden sofort da.

00:06:58: Wenn man aber vorher drüber nachgedacht hat und sich organisatorisch nach einigen bewerten Prinzipien orientiert, dann kriegt man den Angriff gut eingedämmt.

00:07:09: Das ist der organisatorische Teil.

00:07:11: Aber dann haben wir noch die andere Seite.

00:07:13: Wenn ich jetzt natürlich nur einen Hersteller oder ein Produkt habe, auf das ich mich verlass und dann wird genau dieses Produkt oder wird zur Schwachstelle, dann bin ich natürlich genauso am Ende.

00:07:24: Deswegen geht man heutzutage eigentlich her und das ist was, was ich in der heutigen Sicherheitsdiskussion komplett vermisse und sagt, man hat unterschiedliche man ist nicht komplett heterogen man setzt verschiedene hersteller ein oder man man setzt verschiedene mechanismen ein man kombiniert.

00:07:43: man macht diese sicherheit nicht mehr indem man einfach nur ein produkt kauft wie so ein gerät und in den schrank stellt und dann wird schon seine aufgabe machen damit meine ich die klassischen firewalls sondern indem man einen einen mix aus produkt nutzt Und diese ganzen Produkte, und das ist jetzt der große Unterschied zwischen der ganz modernen Sicht und der eher klassischen Sicht, man verbindet die nicht strikt miteinander.

00:08:08: Man hat Inseln, man hat Bereiche, man hat immer wieder sogenannte Gaps, Luftlücken zwischen Datenbereichen oder Funktionsbereichen, so dass, man muss sich das so vorstellen, ich habe zum Beispiel eine Finanzbuchhaltung und eine Logistik.

00:08:23: Und wenn in der Logistik gerade Probleme sind, dann darf die Finanzbuchhaltung davor nicht betroffen sein.

00:08:29: Wenn in der Finanzbuchhaltung ein Problem auftaucht, muss die Logistik weiter funktionieren.

00:08:33: Je enger man diese Bereiche, fest verzahnt, desto größer ist das Problem.

00:08:38: Und deswegen gibt es diesen wunderbaren Spruch Strictly Aligned, loosely coupled.

00:08:44: Auf gut Deutsch heißt es, alles ist gleich ausgerichtet und nur leicht miteinander verbunden, loosely kaputt.

00:08:51: Und damit habe ich einfach eine gewisse Reaktionsmöglichkeit.

00:08:55: Wenn irgendwo ein großes Problem ist, dann bleibt das da.

00:08:58: Aber kann ich trotzdem, wenn es nur leicht miteinander verbunden ist, trotzdem irgendwo zentral auf alles zugereifen?

00:09:03: oder das gibt es dann nicht?

00:09:04: Doch natürlich, also ich muss es ja am Ende auch administrieren können.

00:09:09: Aber man hat nicht ein einziges Produkt, zum Beispiel... Neiken viele Unternehmen dazu, gerade alles an das sogenannte Domäne, eine Azure Domäne, ranzuhängen.

00:09:18: Jede Kaffeemaschine im Unternehmen, jeder Computer, jeder Fernseher, jede... Tastatur jedes Handy hängt alles an dieser einen Datenbank und bezieht aus dieser einen Datenbank seine Rechte.

00:09:31: In dem Moment, wo diese Datenbank komromitiert ist, steht auch jede Kaffeemaschine und jeder Komponent.

00:09:36: Also schön

00:09:36: Kaffee wäre schon wirklich dramatisch.

00:09:39: Kaffee ist wichtig.

00:09:40: Die meisten Unternehmen benötigen das als Betriebsstoff.

00:09:44: Nein, aber das war sehr, sehr sinnbildlich.

00:09:46: Und heutzutage geht man aber eigentlich her und trennt.

00:09:49: bestimmte Funktionsbereiche und sagt, okay, bestimmte Teile unserer Struktur, die sind eben nicht absichtlich da nicht dran.

00:09:57: Auch wenn es vielleicht ein bisschen bequemer wäre, der Atmen muss sich nicht mehr nur einmal anmelden, sondern vielleicht zweimal oder hat verschiedene, verschiedene Accounts.

00:10:07: Aber dafür habe ich ganz klar getrennte Funktionsbereiche.

00:10:10: Und so kann ich im Vorfeld per Design schon dafür sorgen, dass sich ein Feuer nicht ausbreitet.

00:10:16: Das ist wie die Schneise im Wald.

00:10:19: Wir haben im Wald ja auch diese Brand, die heißen die Brandschneiße, wo das Feuer einfach nicht mehr weiter springen kann.

00:10:27: Und das ist so ein bisschen diese wichtige Thematik.

00:10:30: Vorsorge ist wichtig.

00:10:32: Und die Backups müssen natürlich dann auch entsprechend getrennt sein.

00:10:34: Vorbei dann noch weiter ins Detail gehen, würde ich doch gerne mal auf unsere erste Gruppe Rieg zu sprechen kommen und zwar Mythos oder Wahrheit.

00:10:42: Jens klärt

00:10:43: auf.

00:10:44: Und heute geht es um den Satz, den du bestimmt das eine oder andere Mal schon von Geschäftsführern gehört hast, denke ich mal.

00:10:51: Wir sind doch viel zu klein, uns greift doch keiner an.

00:10:54: Wir sind sicher.

00:10:55: Was ist da dran?

00:10:56: Ich muss gerade schmunzeln.

00:10:57: Denn den Spruch, den habe ich tatsächlich so oft schon gehört.

00:11:01: Und auch jedes Mal, wenn wir ein Audit machen und darüber sprechen, wo die Probleme sind, dann kommt der Satz.

00:11:09: Wir sind doch so klein.

00:11:10: Das ist doch gar nicht schlimm und so weiter und so fort.

00:11:14: Aber das Besondere ist einfach, da die ganzen Angriffe in der Regel automatisiert laufen und dem Computer auf der anderen Seite, der den Angriff durchführt, vollkommen egal ist, wer das Opfer ist.

00:11:26: Das sind oft gar nicht gezielte Angriffe.

00:11:29: Nein,

00:11:29: nein, nein.

00:11:29: Die allermeisten Angriffe sind Massenangriffe.

00:11:32: Da wird einfach ein Wurmenvirus losgelassen und da wo er landet und sich verbreiten kann, da liegt er los.

00:11:39: Und gerade in den kleineren Unternehmen.

00:11:43: ist das Bewusstsein für die Wichtigkeit der Funktionsfähigkeit von der IT nicht groß entwickelt.

00:11:51: Das sagt sich immer so leicht, wir können auch mal einen Tag oder zwei Tage, wir können eigentlich eine ganze Woche auf E-Mail verzichten.

00:11:57: Und in dem Moment, wo dann aber die E-Mail nicht mehr reinkommt, steht drei Minuten später irgendjemand in der Tür und sagt, ich warte auf eine ganz dringende E-Mail oder ich muss ganz dringend eine E-Mail versenden oder ich bekomme keine E-Mails.

00:12:08: Das sind einfach so Themen, da wird oft unterschätzt und wir haben so einen Und ganz einfach ein Anforderungs-Analyse-Katalog, indem wir mal so nachfragen, wie lange darf denn die E-Mail wirklich ausfallen?

00:12:18: Wie lange könnt ihr auf das Auftragssystem verzichten oder auf DPD Anbindung oder solche Themen?

00:12:26: Und da wird einem dann plötzlich bewusst, was es ist.

00:12:29: Das Problem bei der Sache ist, auch ein kleines Unternehmen muss Geld in die Hand nehmen und gesehen auf den einzelnen Mitarbeiter leider unverhältnismäßig viel.

00:12:40: Dann eine Firewall oder eben so eine Strategie, eine IT-Sicherheitsstrategie kostet tatsächlich Geld.

00:12:47: Man kann damit elegant umgehen.

00:12:50: Also man kann das eben per Design schon so machen, dass man Geld sparen kann.

00:12:55: Man kann die Angriffsfläche verkleinern, indem man vielleicht gerade bei kleinen Unternehmen auch tatsächlich mal auf Linux ausweicht und sagt okay.

00:13:03: Wir arbeiten eh nur im Webbrowser, dann kann ich doch auch in Linux benutzen und schon habe ich die Angriffsfläche extrem verkleinert.

00:13:10: Das sind aber so Themen, da muss man sich aktiv mitaussetzen.

00:13:13: Ich habe gerade ein Audit und Folge Audit fertiggestellt für ein Unternehmen.

00:13:17: Das war vor einem Jahr, hatten wir da ein Audit und haben uns die Gesamtei-T-Infrastruktur angeschaut.

00:13:25: Nicht so richtig gut.

00:13:26: Sagen wir es mal vorsichtig.

00:13:28: Die Firewall war veraltet.

00:13:29: Es gab Accounts, von denen niemand mehr wusste, wem sie gehört haben.

00:13:32: Die Backups liefen, aber die Wiederherstellung der Backups hätte Wochen gedauert.

00:13:37: Wir hatten so viele Themen.

00:13:39: Wir hatten ein fast offenes WLAN.

00:13:41: Das Passwort konnte man problemlos erraten und vom Pikeplatz aus war man darin.

00:13:45: Wir hatten ganz viele Themen, wo sich einfach niemand Gedanken gemacht.

00:13:49: Da ist einfach so gewachsen, gewachsen, gewachsen.

00:13:51: Und irgendwann hat der Chef gesagt, ups.

00:13:54: Ich glaube, wir lassen das mal prüfen.

00:13:55: Genau, aber bevor ein Problem da war, also der war vorausschauend, ja?

00:13:59: Richtig, genau, das war vorausschauend.

00:14:00: Wir haben uns die Sache angeschaut.

00:14:02: Ein Maßnahmenkatalog, danach kamen Maßnahmenkatalog raus, somit drei Prioritäten, was ist super wichtig und was ist eher strategisch.

00:14:11: Und der hat jetzt innerhalb von zwölf Monaten den Maßnahmenkatalog zu hundert Prozent umgesetzt, hat jetzt eine Redzertifizierung gemacht, hat den Cyber Risk Check vom BSI gemacht und hat mit hundert Prozent Punkzen bestanden.

00:14:24: Aber es war auch tatsächlich ein Wille der Geschäftsführung.

00:14:27: Das war der Unternehmer selber, wollte das haben und dann funktioniert es auch.

00:14:31: Das war kein Vorschlag von dir, ersten Schritt, sondern das kam wirklich vom Unternehmen.

00:14:35: Tatsächlich, das Unternehmen kam auf uns zu.

00:14:37: Wir bieten das an, dass wir vollkommen unabhängig und ohne eigene Interessen.

00:14:41: Also wir verkaufen, wenn wir einen Audit machen, verkaufen wir da keine Antivirusprodukte oder irgend sowas.

00:14:47: Wir empfehlen auch keinen bestimmten Hersteller.

00:14:50: Wir prüfen, was da ist und bewerten das.

00:14:52: Entsprechend der klassischen Kataloge, also es kann man dann auswählen, ob man wie anspruchsvoll die Prüfung sein soll und egal, was man danach tut, es bringt einen nach vorne.

00:15:04: Und dadurch, dass eine Prioritätenliste dahinter steht, kann man sich auch über vielleicht einen größeren Zeitraum Schritt für Schritt annähern und muss nicht vielleicht alles in einem Mal.

00:15:14: Schultern.

00:15:15: Aber was wir auf jeden Fall festhalten können, dass wenn man zu klein ist, das Schütz nicht verangriffen.

00:15:19: Nur Resilienz sorgt dafür, dass man auch nach einem Angriff weiter machen kann, so wie du das schon beschrieben hast.

00:15:24: Aber sag nochmal, ich meine, du hast es schon angedeutet.

00:15:25: Aber was bedeutet Resilienz denn im Alltag für einen Unternehmen ganz konkret?

00:15:30: Wie kannst du das greifbar machen?

00:15:33: Es fängt mit ganz kleinen Kleinigkeiten an, dass man die Mitarbeiter entsprechend schult, dass die Wissen Oh, ich habe gerade auf eine blöde E-Mail geklickt, dass die dann keine Angst haben, sofort in der IT anzurufen und Bescheid zu geben, dass es eine gewisse gelebte Sicherheitsgedanke da gibt.

00:15:53: Wir müssen uns darüber einig sein, eine IT-Security trägt nicht zur Produktivität eines Unternehmens bei.

00:15:58: Man muss das so gestalten, dass es wirklich im Hintergrund und im Unterbewusstsein der Mitarbeiter mitläuft.

00:16:05: Es darf keine Angst geben, einen auffälligen Zustand zu reporten.

00:16:08: Das ist absolut wichtig.

00:16:10: Hast

00:16:10: du das oft oder hast du das Gefühl, dass oft Angst herrscht?

00:16:13: Ja, die Leute, den meisten Leuten ist es peinlich, wenn sie sagen müssen, dass sie aus Versehen auf ein Bewerbungs-PDF geklickt haben, wo dann plötzlich irgendwelche bunten Bilder aufgepoppt sind, dass man darauf reingefallen ist.

00:16:26: Solche Angriffe tarnen sich teilweise auch als Bewerbungs-, also Bewerbungsportale, sprich wer gibt schon gerne zu, dass er auf eine Bewerbungsportal falsch geklickt hat.

00:16:36: Ansonsten ist es aber heutzutage auch so gut gemacht, dass man es als Laie gar nicht so richtig sehen kann auf dem ersten Blick, oder?

00:16:42: Die E-Mails sind so gut gemacht und im Augenblick vor allem stechen vor allem Bank-E-Mails hervor, also von verschiedenen Volksbanken, Sparkassen, die sind so täuschend echt gemacht, dass man sie wirklich erst auf den zweiten, dritten Blick erkennen kann.

00:16:57: Von der Ansprache bis zum Impressum ist alles perfekt gefälscht.

00:17:01: Das ist manchmal sehr, sehr schwer, die Sachen noch zu erkennen.

00:17:05: Aber wenn dann falsch draufgeklickt worden ist, dann muss der nächste Griff zum Telefon sein und zur IT.

00:17:11: Und die müssen dann auch sofort wissen, was sie dann tun müssen.

00:17:15: Nicht erst noch überlegen, sondern die wissen dann, ah, alles klar, Frau Müller, wir nehmen den PC jetzt vom Netz oder... Macht bitte machen sie folgendes.

00:17:24: Also der Mechanismus muss da sein.

00:17:28: Das

00:17:28: heißt aber, es würde schon reichen, wenn man jetzt diesen einzelnen PC so schnell wie möglich vom Netz nehmen würde.

00:17:32: Richtig.

00:17:33: Das wäre der erste Schritt.

00:17:35: Man würde entweder den Netzwerkstecker ziehen.

00:17:38: Heutzutage wird oft kolpertiert, dass man den PC noch laufen lassen soll, um danach die Analyse zu vereinfachen, weil manche Viren sind danach weg, wenn man den ausgeschalten hat.

00:17:48: Die sind dann nicht mehr feststellbar.

00:17:51: Da muss ich aber ganz klar unterscheiden.

00:17:53: Ein Konzern, der gerade eine größere Attacke hat, der hat natürlich Interessen daran, dieses Ding zu analysieren und einzudämmen, während ein kleiner Handwerksbetrieb am besten den PC einfach so vorausschaltet.

00:18:05: Steckerzieht.

00:18:06: Steckerzieht, den Strom Steckerzieht.

00:18:10: Sehr gut.

00:18:11: Aber ganz ehrlich, diese Notfallpläne in der Praxis, wie oft werden die wirklich realisiert?

00:18:18: Sind das Pläne, die einfach nur im Schrank liegen und theoretisch weiß man davon?

00:18:21: Oder ist das wirklich in den Köpfen der Mitarbeiter drinnen?

00:18:23: und wie oft wird das wirklich umgesetzt?

00:18:25: Da muss man unterscheiden.

00:18:26: Also die Mitarbeiter selber, die haben die Pläne in der Regel nicht geübt.

00:18:30: Also es ist gut, wenn man sie regelmäßig schult, wenn man ab und zu mal Einmal im Jahr einfach ein Refresh macht, dass man einfach nochmal sagt, hey, hier, da hat sich was geändert oder hier ist nochmal die Telefonnummer von der IT, dass man da einfach eine niedrige Schwelle schafft.

00:18:45: Mehr kann ich da nicht viel machen.

00:18:46: Also ich kann einen Mitarbeiter nicht einfach zwanzigmal im Jahr schulen und dann ist er zwanzigmal besser.

00:18:51: So wird der Stecker gezogen.

00:18:54: Genau.

00:18:54: In der IT ist das anders.

00:18:56: Die IT-Abteilung, die muss tatsächlich sehr sensibel da drauf sein und die müssen das auch... Wenn man mich fragt, üben.

00:19:04: Das Problem ist, gerade in kleineren Unternehmen sind die IT-Abteilungen vollkommen überlastet.

00:19:09: Die sind mit dem Tagesgeschäft vollkommen am Limit.

00:19:12: Nehmen wir einen ganz klassischen typischen Mittelständler, der, keine Ahnung, dreihundert Leute hat, zweihundert in der Produktion, hundert oder zwischen fünfzig und hundert in Verwaltung.

00:19:22: Das heißt, wir haben so fünfzig bis hundert PCs Geräte und dann sind es auch meistens gleich so tausend Netzwerkeräte, die die IT verwalten muss.

00:19:29: Das sind man meistens zwei, zwei Hanseln, also Entschuldigung für den Begriff, das sind zwei Mitarbeiter.

00:19:35: Und diese zwei Mitarbeiter tragen aber nicht nur die Verantwortung für die IT-Sicherheit und für die strategische Weiterentwicklung und alles, worüber wir gerade gesprochen haben.

00:19:43: Notfallpläne erstellen, testen und so weiter, sondern die müssen auch noch im Tagesgeschäft neue Computer besorgen, Benutzerprobleme lösen, Programme updaten und reparieren.

00:19:54: Das heißt, der Zeitaufwand ist einfach da, um so was zu machen.

00:19:59: Entweder hole ich mir jemand externen rein oder Ich gebe der IT mehr Zeit, also mehr Ressourcen.

00:20:06: Das heißt, ich muss einen weiteren IT-Mann einstellen, der sich für solche Themen adressieren kann.

00:20:11: Was aber natürlich wahrscheinlich jetzt auch mit KI und alles, was dort sich entwickelt, immer wichtiger wird, dass man da gut aufgestellt ist, oder in dem Bereich?

00:20:20: KI kann ja auch helfen.

00:20:21: Also eine KI hilft bei der Erstellung von Notfallplänen.

00:20:25: Sie kann sie nicht alleine erstellen.

00:20:28: Tatsächlich muss man damit schon arbeiten.

00:20:30: Man muss auch jedes Unternehmen ist ein bisschen anders.

00:20:32: Du brauchst

00:20:33: halt die Leute einfach.

00:20:34: Aber man braucht genau.

00:20:35: Man braucht die Intelligenz, die Leute, auch dieses Unternehmenswissen.

00:20:40: Was ist denn in jedem Unternehmen etwas anderes kritisch?

00:20:43: In einem metallverarbeitenden Bereich ist vielleicht ein anderer Bereich kritischer wie bei einem Steuerberater.

00:20:49: Und das ist einfach da, wo es dann der Unterschied gemacht wird.

00:20:53: Und deswegen kann ich nicht einfach einen Notfallplan im Internet kaufen.

00:20:56: Man muss ihn tatsächlich entwickeln.

00:20:58: Für das Unternehmen, in dem ich bin und den auch anpassen.

00:21:01: Also einmal im Jahr, vielleicht mal drüber schauen, ist dann das noch aktuell, was da steht.

00:21:07: Du hast ja schon ein bisschen was aus der Praxis erzählt.

00:21:09: Hast du denn noch ein schönes Praxisbeispiel, wie Resilienz in der Realität funktioniert?

00:21:16: Viele Unternehmen... geben ja nicht gerne zu, wenn mal was passiert ist.

00:21:20: Also klar, man hat rechtliche Verpflichtungen im Datenschutzbereich, müsste man es natürlich melden.

00:21:25: Wenn mit Daten was passiert ist, mit personenbezogenen Daten was passiert ist, muss man es melden.

00:21:30: Und jetzt die neuen Gesetze gehen auch dahin, dass man das größere Unternehmen, das dann auch andere Zwischenfälle melden müssen, die Critisunternehmen, die so die müssen Zwischenfälle melden.

00:21:40: Aber auch da Die werden oft nicht publik.

00:21:43: Was publik wird, ist natürlich, wenn es größere Zwischenfälle sind, wenn mehr Menschen davon wissen.

00:21:48: Und Resilienz in der Realität funktioniert.

00:21:51: Zum Beispiel hatten wir den Fall, dass in einem unternehmenden Virus, der in Amerika gestartet hat, sich quasi durchgefressen hat und nach und nach das gesamte Netzwerk infiltriert hat.

00:22:04: Und er kam bis zu den Backups und nicht weiter.

00:22:09: Er hat das gesamte Unternehmen zerfressen, eben weil alles an einem Strang hing, so wie ich vorhin geschildert habe, so eine Domäne.

00:22:15: Und irgendwann hatte dieser Angreifer genügend Rechte, um alles zu steuern, aber er kam nicht an die Backups ran.

00:22:22: Gut.

00:22:22: Weil die Backups nicht an dieser Struktur hingen.

00:22:25: Wenn die Backups genauso an der Struktur gehangen wären, wären sie genauso weg gewesen.

00:22:29: In dem Fall konnte man im Endeffekt die Struktur einmal löschen und aus dem Backup wieder her.

00:22:32: Gut, jetzt würde mich natürlich interessieren, hat das Monat gedauert, um das wieder aus dem Backer herstellen zu können?

00:22:37: Zwei Monate.

00:22:39: Oh mein Gott.

00:22:40: Aber was heißt das fürs Unternehmen?

00:22:43: In dem Fall ist die Produktion sechs Wochen ausgefallen.

00:22:45: Aber das Unternehmen hat überlebt?

00:22:47: Ja, das Unternehmen gibt es noch.

00:22:49: Zwei Monate.

00:22:51: Da drücke ich auf einem Knopf und dann wird das mir wieder drauf gespielt, aber das ist ein bisschen kompliziert.

00:22:58: Man muss sich das tatsächlich so vorstellen, wenn man so einen Zwischenfall hatte, man kann ja nicht einfach das Backup zurück spielen, da ist ja der Virus auch wieder drin.

00:23:05: Aber das Form

00:23:06: Backup macht es doch stopp?

00:23:08: Ja, das macht Form Backup, aber in dem Backup drin, also es kann das Backup nicht löschen, aber wenn ich das Backup wieder herstelle, habe ich ja wieder die verseuchte Infrastruktur hergestellt.

00:23:16: Die muss sich erst austauschen.

00:23:17: Das heißt, in einem solchen Fall wird alles neu installiert und die Daten, nur die Rotdaten, die Datenbanken, die Word-Dateien und so weiter.

00:23:26: Die werden aus dem Backup wieder rausgezockt.

00:23:29: Und dafür brauche ich auch ziemlich viele Ressourcen.

00:23:31: Also ich muss ja die neue Struktur aufsetzen und die alte irgendwie parat haben, um die Daten rausziehen zu können.

00:23:36: Das heißt, das überfordert viele, viele Unternehmen.

00:23:40: Man hat nicht einfach mal doppelte Ressourcen übrig.

00:23:42: Das heißt, man muss da tatsächlich im Notfallplan sich ein paar Gedanken machen.

00:23:46: Das sind einfach Themen im Vorfeld drüber nachgedacht, erleichtert im Notfall dann einfach ganz, ganz, ganz vieles.

00:23:55: Deswegen werden wir jetzt noch konkreter Jens, und zwar mit unserer nächsten Rubrik.

00:24:02: Und zwar wollen wir jetzt wissen, was sind deine konkreten drei Zutaten für echte zahlbare

00:24:09: Jens?

00:24:10: Nachdem ich jetzt so viel gesprochen habe und so umfangreich ausgeschildert habe, bin ich jetzt ganz, ganz, ganz klar, ganz einfach.

00:24:18: Regel Nummer eins vorbereitet sein, vorher die Gedanken machen.

00:24:21: Regel Nummer zwei, wenn ich merke, dass was passiert, muss ich schnell sein.

00:24:25: Nicht erst anfangen nachzudenken, dann muss der Plan bereits in der Schublade liegen und es muss schnell reagiert werden, und zwar von allen Verantwortlichen.

00:24:35: Es bringt überhaupt nichts, wenn die IT-Abteilung dann schnell reagiert, aber noch auf die Unterschrift vom CFO warten muss.

00:24:41: um Ersatzteile zu bestellen.

00:24:43: Das heißt, es müssen alle Bereiche eingebunden werden.

00:24:46: Auch der CEO muss dabei sein.

00:24:48: Und der muss wissen, wie dramatisch die Sache ist, sodass dann, wenn schnell reagiert werden muss, nicht unnötige Verwaltungshürden das blockieren.

00:24:56: Das ist ganz, ganz, ganz wichtig.

00:24:58: Und der dritte Teil, das ist das Nummer drei, das ist dieses Dezentraldenken.

00:25:03: Ich habe es vorhin schon ein bisschen erklärt.

00:25:05: Strictly aligned, also alles in die gleiche Richtung ausgerichtet, aber loosely kappelt, nur lose verbunden.

00:25:12: So dass, wenn irgendwo ein Problem auftaucht, es eben nur lokal begrenzt ist.

00:25:17: Und da sind wir wieder bei diesem Thema.

00:25:19: Ich höre meine, meine, meine Mithörer da schon schreien.

00:25:22: Das wäre doch nicht möglich und das wäre ja in genau dem Fall oder dem Fall oder dem Fall nicht machbar.

00:25:29: Ich ermutige alle einfach mal doch ein bisschen drüber nachzudenken, denn Oft ist es dann doch möglich.

00:25:35: Man muss vielleicht andere Produkte einsetzen, man muss vielleicht eine andere Strategie einsetzen und vielleicht muss man auch mal das machen, was man bisher noch nie so getan hat.

00:25:43: Aber dadurch ändere ich das Design und dadurch werde ich dann resilient.

00:25:47: Und nicht einfach nur das Kaufen von einem neuen Produkt, das sich gerade in den Schrank schraubt, das wie so eine Wundertüte dann alle Sicherheit der Welt macht.

00:25:56: Das gibt es nicht.

00:25:57: Du hast dich gerade so schön aufgerichtet.

00:25:59: Das war so eindrücklich.

00:26:00: Ich habe es gespürt.

00:26:01: Du hast mich überzeugt jetzt.

00:26:05: Aber

00:26:05: ein wichtiges Thema, worauf wir noch mal zu sprechen kommen müssen.

00:26:08: Thema Kosten.

00:26:09: Ist Resilienz nicht wahnsinnig teuer?

00:26:12: Nein.

00:26:13: Es ist nicht wahnsinnig teuer.

00:26:15: Jetzt schauen wir uns doch mal so eine Unternehmensbilanz an.

00:26:19: In Deutschland, wenn ich ein produzierendes Unternehmen bin, dann habe ich natürlich einen teuren Maschinenpark, aber in der Regel ist es teuerster das Personal.

00:26:26: Nehmen wir doch einfach mal ein Teil dieses Personals.

00:26:29: Sagen wir einfach so und so viel Prozent von dem, was ich an Personalkosten habe, investiere ich in dieses Thema.

00:26:36: Das kann man ja festlegen.

00:26:37: Man kann doch sagen, hey, wir haben eine Bilanz, wir haben so und so viel Euro in den Personalkosten drin.

00:26:42: Wie viel Prozent unserer Personalkosten?

00:26:44: Dann können wir mal sagen, so und so drei Prozent, fünf Prozent.

00:26:48: Investieren wir jetzt konsequent in das Thema Resilienz.

00:26:52: Und damit meine ich nicht nur IT-Sicherheit.

00:26:54: Resilienz ist größer.

00:26:58: Vielleicht hole ich mal jemand externen, der die IT kurz anschaut und sagt, okay, in dem und dem und dem Bereich seid ihr gut aufgestellt, aber in dem Bereich gibt es große Probleme.

00:27:07: Vielleicht kriege ich damit so ein, zwei, drei Schritte nach vorne.

00:27:11: Und wie gesagt, natürlich sind die Zahlen immer, also man kann es nicht für hundert Euro kaufen, das ist vollkommen klar und das ist eine langfristige Investition.

00:27:22: in einer Unternehmensbilanz, wo man einfach sagt, man setzt mal diese Zahl, die Investition, die ich da ausgebe, in Relation zum Vorpark oder in Relation zu den Wartungskosten für eine Maschine oder in Relation zu eben den Personalkosten, dann sind diese Ausgaben extrem gering.

00:27:41: Wie gesagt, sie bringen nichts in der Produktion.

00:27:43: Also wir müssen uns ganz klar darüber einig sein.

00:27:45: Es ist Notfallvorsorge, es ist wie eine Versicherung.

00:27:47: Das Unternehmen kann ich besser oder schneller produzieren oder Dienstleistungen erbringen, wenn es mehr in Cyberresilienz...

00:27:55: Aber es kann im Notfall

00:27:56: den Hintern von Unternehmen

00:27:57: retten.

00:27:58: Im Notfall wettet es die Existenz des Unternehmens.

00:28:02: Ganz zum Schluss.

00:28:03: Wenn jetzt jemand zuhört und denkt, wir haben noch nie wirklich darüber nachgedacht, was wäre jetzt ein erster Schritt, wenn man das anpacken möchte?

00:28:13: Immer ist der erste Schritt, erstmal die Augen aufmachen.

00:28:15: Also sich überhaupt mal dem Thema bewusst werden und sich überlegen, wie man rangeht.

00:28:20: In der Regel wäre wahrscheinlich für viele Unternehmen der erste Ansprechpartner erstmal natürlich der IT-Admin, der IT-Leiter, der CISO, whatever.

00:28:30: Es gibt so viele Bezeichner für den IT-Chef.

00:28:34: Allerdings besteht da immer so ein bisschen dieses Thema der Betriebsblindheit oder vielleicht auch so man hat seine festen Budgets, man kann da nur begrenzt drin agieren.

00:28:44: Es hilft oft tatsächlich einen Blick von außen rein zu holen und da richtig mich tatsächlich eher an die Unternehmensinhaber oder die CEOs.

00:28:52: die entgegen dem, was gerade überall verbreitet wird, kein IT-Wissen brauchen.

00:28:58: Die brauchen jemanden, den sie dafür bezahlen, dass er ihnen Klartext auf schwarz auf weiß sagt, was Sache ist.

00:29:05: Und wir haben einfach in größeren Strukturen oder eben bei externen Dienstleistern immer wieder auch das Problem, naja, der gibt doch seine Fehler auch nicht so gerne zu.

00:29:15: Es geht nicht darum, da irgendjemand an die Wand zu stellen.

00:29:18: Im Gegenteil, wir wollen ja mit denjenigen die Sachen lösen.

00:29:22: Aber dazu muss man erstmal benennen, was ist.

00:29:24: Und danach kann man eine Roadmap machen, danach nimmt man auch alle mit ins Boot und damit meine ich auch jeden Atmen.

00:29:29: Und ich sage jetzt auch mal, vielleicht an die IT-Admins unter uns, die mir zuhören, es ist vielleicht auch ein Budgetöffner Richtung der Geschäftsleitung.

00:29:38: Vielleicht ist dann plötzlich die Geschäftsleitung nach dem schwarz auf weiß da steht, was eigentlich gerade brennt, auch einfacher.

00:29:47: zu überzeugen, dann die Gelder dafür bereitzustellen, was dann den Atmens natürlich auch die eine oder andere ruhiger Schlafstunde.

00:29:54: Mit Sicherheit.

00:29:55: Großartig Jens, vielen, vielen Dank.

00:29:57: Du hast mit so viel Energie dieses Thema hier vertreten.

00:30:01: Das war toll dir zuzuhören und ich habe wieder was gelernt und freue mich sehr.

00:30:05: Sehr gerne.

00:30:05: Ich hoffe, dass ein bisschen was davon übergesprungen ist.

00:30:09: Es ist einfach ein wichtiges Thema und es ist ein Marathon, keine Kurzstrecke.

00:30:13: Absolut.

00:30:14: Aber wir haben jetzt ja ganz, ganz, ganz viel Zeit und viele Themen noch, über die wir sprechen wollen.

00:30:18: Und als ihr uns noch nicht abonniert habt, dann macht das gerne.

00:30:21: Alle weiteren Infos, die stehen unten in den Show-Nutz.

00:30:24: Und in zwei Wochen sprechen wir über die nächste große Frage.

00:30:28: Und zwar Chef ohne IT-Wissen.

00:30:30: Wer entscheidet dann über die IT-Strategie?

00:30:33: Jens sagt wer.

00:30:35: Vielen Dank fürs Zuhören.

00:30:36: Jens, danke.

00:30:37: Vielen Dank.

00:30:38: Und nicht vergessen, digital souverän statt digital abhängig.

00:30:42: Es ist jetzt Zeit für Ihren Reset.