users lounge

Der Podcast für mehr IT-Sicherheit

#35 Ransomware

Bedrohung erkennen, Angriffe verhindern, Handlungsfähigkeit sichern

31.01.2025 70 min

Zusammenfassung & Show Notes

Von den Anfängen von Schadsoftware bis zur heutigen Bedrohung durch hochprofessionelle Ransomware-Attacken. Was macht Ransomware so gefährlich, wie sehen präventive Maßnahmen aus und wie sollte man vorgehen, wenn Systeme bereits befallen sind?

Ransomware ist längst mehr als nur ein technisches Problem – sie ist ein reales Geschäftsrisiko, das wir ernst nehmen müssen. Wir beleuchten, wie sich klassische Schadsoftware zu einem milliardenschweren Geschäftsmodell entwickelt hat, welche Rolle KI dabei spielt und warum der Faktor Mensch oft das schwächste Glied in der Sicherheitskette ist.
Einfallstore wie unsichere E-Mails, veraltete Systeme oder fehlende Awareness öffnen Angreifern die Tür. Deshalb setzen wir auf ganzheitliche Schutzmaßnahmen: von Firewalls und Netzwerksicherheit über Segmentierung bis hin zu regelmäßig geplanten Backups und klaren Notfallplänen.
Im Ernstfall zählt jede Sekunde – Geräte müssen isoliert, Angriffsflächen geschlossen und Prozesse sofort aktiviert werden. Eine gute Vorbereitung kann nicht nur Daten retten, sondern auch enorme finanzielle und operative Schäden verhindern.
Backup-Strategien, regelmäßige Updates, technische Sicherheitslösungen und die richtige Versicherung sind für uns kein Extra – sondern Pflicht. Fallbeispiele aus der Praxis zeigen uns, wie real die Bedrohung ist und wie entscheidend es ist, vorbereitet zu sein.


Takeaways
  • Ransomware ist eine spezielle Art von Schadsoftware, die Daten verschlüsselt.
  • Die Frage ist nicht, ob man angegriffen wird, sondern wann.
  • Jeder kann Opfer eines Ransomware-Angriffs werden.
  • E-Mail ist ein häufiges Einfallstor für Ransomware.
  • Das Bewusstsein für Datensicherheit ist entscheidend.
  • Technologische Entwicklungen erleichtern Cyberkriminalität.
  • Präventionsmaßnahmen sind unerlässlich, um sich zu schützen.
  • Die finanziellen Folgen eines Angriffs können enorm sein.
  • Ransomware-Angriffe können auch zu Datenverlust führen.
  • Menschliches Verhalten spielt eine große Rolle bei der Sicherheit. Finanzielle Schäden durch Cyberangriffe sind erheblich.
  • Reputationsschäden können langfristige Auswirkungen haben.
  • Betriebsunterbrechungen führen zu massiven Verlusten.
  • Rechtliche Konsequenzen sind bei Datenschutzverletzungen unvermeidlich.
  • Präventive Maßnahmen sind unerlässlich, um Ransomware-Angriffe zu verhindern.
  • Backup-Strategien müssen regelmäßig überprüft und angepasst werden.
  • Cloud-Sicherungen bieten nicht immer den gewünschten Schutz.
  • Eine umfassende Analyse nach einem Angriff ist notwendig.
  • Die individuelle Anpassung von Backup-Lösungen ist wichtig.
  • Die Zeitverzögerung verkompliziert Ransomware-Attacken.
  • Betriebssysteme müssen immer aktuell sein.
  • Antivirenlösungen sind unerlässlich.
  • Firewalls sind notwendig für die Netzwerksicherheit.
  • Netzwerkssegmentierung schützt kritische Systeme.
  • Im Falle eines Angriffs sofort isolieren.
  • Transparente Kommunikation ist wichtig.
  • Expertenhilfe sollte immer in Anspruch genommen werden.
  • Prävention ist der Schlüssel zur Sicherheit.

Transkript

René
00:00:30
Guten Tag, herzlich Willkommen zurück in der users lounge, wie immer mit mir dabei der Michael. Gude René, Servus, Hi. Ja, man kann es vielleicht hören, ich habe Bock. Ja, ja, das kann ich auf jeden Fall sagen.
Michael
00:00:47
Ja, es ist Freitag, im Freitag zeige ich den auf, am 17. Januar, wir haben jetzt so Freitagmittag, es ist so dieser Hauptstress ist weg und wir läuten jetzt hiermit so sanft in den Wochenendmodus rein, von daher habe ich auch richtig Bock auf die Kiste und lass uns starten, du hast ein cooles Thema dabei.
René
00:01:04
Ja, genau, also diesmal sehr, ja, eigentlich ein sehr technisches Thema, aber betrifft natürlich irgendwie alle Ransomware. Hat man, hat man in den letzten Jahren, glaube ich, immer mal wieder gehört. Ja, gab ja genug Angriffe und so weiter und heute wirklich mal einmal darüber zu sprechen, was ist es und was macht es, wie kann man sich davor schützen und ja, und da kann man auf jeden Fall auch mal drüber sprechen, was gibt es da, also wer war mal betroffen, wie sehen solche Auswirkungen aus und so weiter und so fort. Da würde ich sagen, gehen wir heute mal drauf ein, halte ich auf jeden Fall für ein spannendes Thema.
Michael
00:01:45
Ja, lass talken über Ransomware und Dinge, die wir alle nicht haben wollen.
René
00:01:52
Ja, Dinge, die wir alle nicht haben wollen, da können wir natürlich ewig sprechen. Oh Mann, ja, ja. Also Ransomware ist, glaube ich, in den letzten Jahren definitiv das, vielleicht nicht mehr ganz das häufigste. Also es war eine Zeit lang wirklich das Schlimmste, also war am meisten unterwegs. Das ist, glaube ich, jetzt gerade zumindest nicht so gefühlt der Wert. Da gibt es andere Dinge, die da noch mehr schädlich, also jetzt im Moment mehr im Umlauf sind. Ich sage mal sowas wie Phishing, Social Engineering und das in Verbindung mit KI, ist dann natürlich immer so ein Thema. Aber ansonsten, vor ein paar Jahren war Ransomware ganz, ganz groß und weg ist es natürlich auch immer noch nicht. Grundsätzlich, ne, Ransomware ist eine Art von Schadsoftware. Das bedeutet, dass wir, anders als bei einem Virus, ein Virus hat meinem Rechner geschadet, schlichtweg. Da gab es auch nicht irgendwie eine Gegen-, also da gab es nichts, wo was gefordert war oder sonst irgendwas. Klar, ein Antivirus-System natürlich vom Administrator, aber ansonsten gab es halt keine Gegenforderungen. Das war einfach eine schlichtweg, war es eine Schädigung auf meinem System. Das Ganze hat sich dann entwickelt über Trojaner. Trojaner war dann entsprechend eine Datei oder ein Tool, was eingeschleust wurde und entsprechend dann nachher Daten gesammelt hat oder Zugriff auf mein System gegeben hat. Und eine Ransomware funktioniert nun nochmal etwas anders. Und zwar ist sie so aufgebaut, dass sie ja auch ins System eingeschleust wird. Da gibt es verschiedene Wege. Da würden wir gleich nochmal drauf eingehen. Da gibt es auf jeden Fall verschiedene Wege, wie das passieren kann. Aber eine Ransomware ist auf jeden Fall so gestaltet, dass sie sich erst mal unbemerkt auf dem System platziert, auf einem einzelnen System und von dort aus ausbreitet. So, dieses Ausbreiten ist nicht einfach, dass diese Dateien oder so beschädigt werden, sondern sie werden verschlüsselt. Sie bleiben funktional, aber ich selber als Nutzer habe keinen Zugriff mehr auf meine Dateien. Und was dann passiert, wenn diese Verschlüsselung durchgeführt ist, ist, dass eine Lösegeldforderung platziert wird. Meist in Bitcoin oder in anderen Kryptowährungen, aber meistens Bitcoin, wo man dann entsprechend zahlen soll, damit die Daten wieder entschlüsselt werden. Ja, so viel erst mal dazu.
Michael
00:04:21
Ja, ich überlege gerade, während du das so gesagt hast, überlege ich gerade so meine Anfänge. Du hast über Viren gesprochen, hast so ein Kram gesprochen. Ich mir vorstelle, also ketzerisch gesagt, die ganze Seuche ging ja eigentlich mit Windows los. Also mir ist unter DOS kein Virus bekannt und keine Schachsoftware bekannt, die in irgendeiner Art und Weise an meinem DOS 6.2, an meinem 3.6.80 in irgendeiner Art und Weise das Risiko gehabt hätte für irgendwelche schädlichen Dinge. Ja, ich kann mich daran erinnern, wir haben früher in den Anfängen, wenn ich irgendwelche Computerspiele auf Disketten mit Kumpels getauscht habe, wenn ich den Kumpel nicht leiten konnte, dann habe ich irgendwie eine BAT-Datei geschrieben, die start oder install hieß und habe gesagt, mach jetzt einen schwarzen Bildschirm und leg drei Phantom-Verzeichnisse an, dass es aussieht, als wäre die Kiste tot. Das ist ja echt Spaß und am Anfang gewesen. Aber so richtig die Seuche mit Viren und Kram ist wirklich erst seit Windows, oder? Also um mal ganz kurz die Basics rauszukramen.
René
00:05:20
Ja, ich würde es jetzt persönlich nicht wirklich an Windows festmachen. Ich würde es einfach daran festmachen, dass es immer kommerzieller geworden ist und der Einsatz ja immer breiter gestreut war. Und PCs oder Computer generell waren ja erst eher so ein unternehmerisches Ding und kamen dann ja irgendwann dann in die Haushalte und darüber kam dann natürlich auch das Interesse daran, da größere Schaden anzurichten. Wissen wir, in jedem Bereich alles Tolle, was entwickelt wird, bringt auch was Schlechtes mit sich. In irgendeiner Form gibt es immer irgendwen, der da eben auch Schindluder betreiben kann.
Michael
00:05:57
Und spätestens seit die Kisten mehr oder weniger alle am Internet hängen und du dich eben nicht mehr gezielt mit dem Modem einwählst, kannst dich ein- und auswählen. Spätestens seitdem ist ja der Drops eh gelutscht und seitdem hast du halt auch die Gefahr, dass irgendeiner was einspielt und auf deine Systeme draufkommt. Und eben hier, wie wir jetzt auch drüber reden, mit irgendeinem Ramson, der misst deine Sache so verschlüsselnd, dass du nicht mehr selbst eigener Herr über deine Daten bist.
René
00:06:23
Ja, du musst ja auch gucken. Du hast ja gerade gesagt, ja damals, wenn du bei jemandem nicht mochtest, dann hast du das geschrieben. Ja, aber so entwickelt sich das ja. So, dann reicht das nicht mehr aus für den einen Bekannten. Ja, ich will es jetzt in der Breite streuen. Und dann hast du die Ersten, die dann sagen, ich würde aber auch gerne in der Zeitung stehen. So baut sich das ja einfach auf. Und so ist es, glaube ich, in dem Sinne auch gewesen. Wie gesagt, spätestens mit dem Trojaner kam dann ja das Interesse an Unternehmensdaten, wo man dann einfach gesagt hat, okay, ich sehe jetzt mal zu, dass ich da irgendwie was kriege. Damit kann ich dann auch irgendwie handeln in irgendeiner Form. Ich kann die Daten verkaufen. Ich kann die Daten, keine Ahnung, also ich kann alles Mögliche damit anstellen. Und Ransomware geht diesen Weg halt nicht. Ich brauche nicht mehr Daten verkaufen. Ich habe alles verschlüsselt. Ich jetzt nicht, aber die Daten sind alle verschlüsselt. Und jetzt muss mich derjenige direkt bezahlen, damit er überhaupt noch Zugriff auf seine eigenen Daten kriegt.
Michael
00:07:22
Ja, wobei du ja bei solchen Angriffen ja dann, so kenne ich es dann halt auch schon, das als Grundzieher nach oben drauf geht. Also A, gib mir Geld, dann entschlüssel ich wieder. Und B, gib mir Geld, dass ich deine Daten nicht veröffentliche. Also Ransomware bedeutet ja nicht automatisch nur, dass deine eigenen Daten verschlüsselt sind und kein Abfluss der Daten stattgefunden hat, sondern das ist ja meistens oder kann in vielen Stellen, je nachdem, wer es gemacht hat, wie gut es oder wie schlecht es gemacht ist, halt auch dazu führen, dass du parallelen Datenabfluss hast und du parallel dann auch aufpassen musst, dass deine Unternehmensdaten halt nicht verkauft werden beziehungsweise nicht publiziert werden.
René
00:08:02
Ja, keine Frage, das stimmt auf jeden Fall. Man muss auch immer, also gehen wir mal jetzt darauf ein, ich will erst Lösegeld bezahlen. So, bevor wir jetzt mal gleich nochmal auf die anderen Themen eingehen, aber nehmen wir mal an, ich würde das Lösegeld bezahlen. Welche Sicherheit habe ich denn? Gar keine. Es kann auch sein, dass jetzt im ersten Schritt, wie du gerade sagst, je nachdem, wie sie programmiert ist, ich würde jetzt im ersten Schritt das Lösegeld zahlen, meine Daten werden entschlüsselt. Wer garantiert mir denn, dass dann im Nachhinein die Ransomware nicht wieder aktiv wird und meine Daten nochmal verschlüsselt? Also okay, mir wäre jetzt kein Fall bekannt, dass es wirklich wiederholt in einem Unternehmen so passiert ist, aber am Ende des Tages, auf wen lässt man sich denn da ein? Jemand, der mir schon einmal den Zugriff auf meine Daten verwehrt hat, dem vertraue ich auch kein zweites Mal. Also das ist halt immer schwierig. Deswegen, also da gibt es natürlich auch viele Herangehensweisen und du hast natürlich recht. Es ist nicht einfach nur, dass die Daten verschlüsselt werden. Es kann durchaus sein, dass die Daten auch eben aus dem Unternehmen rausgezogen werden. Deswegen habe ich auch gerade gesagt, dass dieser Wandel von Viren zu Trojanern eben schon so ein Sprung gewesen und von Trojanern dann eben zu Ransomware, was ja dann quasi Virus und Trojaner miteinander vereint, so ein bisschen.
Michael
00:09:28
Ja, und es ist halt auch etwas, was stattgefunden hat, was du eben gesagt hast. Früher war halt die Sache, du hast was designt, du hast was in den Markt gemessen, um Aufmerksamkeit zu erregen. Du wolltest in der Zeitung stehen, du wolltest zeigen, was du kannst. Du wolltest da was nehmen. Heutzutage ist es halt einfach kommerziell. Es geht halt einfach nicht mehr um das Tun an sich, sondern es geht halt am Ende nur noch ums Kohleschaufeln, auf deutsch gesagt. Und es sind so viele Dienstleister, die sich darauf inzwischen auch spezialisiert haben, wo du denen anschreiben kannst oder wo die das quasi Hacking-as-a-Service anbieten oder Ransomware-as-a-Service, wo du einfach über Kontakte draufgehen kannst und kannst sagen, ich hätte gerne diese Firma angegriffen damit, mit dem Ziel und das hätte ich gerne. Und dann beauftragst du einen und dem gibst du die Kohle und er macht das dann halt einfach für dich. Ihr werdet euch handelseinig und ab dafür. Und das ist halt das, was sich sehr stark in den letzten Jahren geändert hat, was es halt früher so nicht gab. Definitiv.
René
00:10:47
Ich glaube, es wird auch immer leichter. Ich weiß, wir stolpern jedes Mal darüber, aber die KI unterstützt solche Dinge ja auch. Es wird ja viel einfacher für Cybercrime-Anhänger, genau da anzusetzen. Also eine KI schreibt dir den Quelltext schnell. Sie kann auch permanent deinen Quelltext anpassen, ohne dass du selber einen Finger dafür krumm machen musst, damit sie eben nicht so schnell entdeckt wird.
Michael
00:11:24
Schwierig alles. Ja, und du brauchst keine KI. Geh einen Schritt zurück. Es wird generell einfacher für solche Menschen, weil wir inzwischen wesentlich offener sind. Wesentlich offener. Wir haben andere Systeme. Wir haben alle, wir arbeiten alle mit irgendwelchen Smartphones. E-Mails empfangen ist inzwischen zur Normalität geworden. Im Internet sein ist zur Normalität geworden. Sich was aus dem Internet runterladen ist vollkommen normales Tagesgeschäft. Da denkt keiner mehr drüber nach. Und die Risiken, die du da hast und was dir da passieren kann oder dass du dir was einfangen kannst oder whatever. Man geht immer unbedacht mit der ganzen Sache um, weil es Normalität ist. Auch wieder vor ein paar Jahren noch hast du dir was runtergeladen aus dem Internet. Das war ein Startsack. Du musstest bewusst ins Internet gehen. Also alle diese Dinge, das Bewusstsein für den Umgang mit Datenströmen ist ein ganz anderes geworden. Und folgerichtig hast du halt auch immer größere und immer einfachere Möglichkeiten, solche Attacken zu platzieren.
René
00:12:35
Das natürlich auch.
Michael
00:12:36
Und was dazukommt und was ich der Meinung bin, was ich auch bei Kunden manchmal merke, ist die Mentalität der Menschen, die immer noch der Meinung sind und jahrelang suggeriert bekommen haben, Geiz ist geil und du kriegst im Leben irgendwas beschenkt. Wo dann einfach steht, hier, da jetzt draufklicken, 80% Rabatt auf alles, was keinen Stecker hat oder lade dir jetzt das kostenlose Tool runter, womit du 5000 Euro sparst oder whatever was. Also diese Buzzwords, diese Schlagwörter, dieses Phishing, dieses Catchen nach Downloads und nach den Möglichkeiten. Ab dafür. Das ist ein ganz anderes geworden. Ich habe kurz vor Weihnachten jetzt einen kleinen Fall gehabt, war kein Datenschutzvorfall, war aber auch ein Thema. Da ist in ein Unternehmen eine Weihnachtskarte reingekommen mit irgendeinem dubiosen YouTube-Link. Natürlich haben die Leute geklickt. Ja, das war irgendein Weihnachtskartending, nicht alles, dass irgendwelche Zwerge da auf der E-Mail getanzt haben mit unten so einem Link unten drunter. Wo ich dann zum wiederholten Mal ins Unternehmen rein bin und sage, Jungs, kommen wir ja gleich noch zu. Aber ich klicke nichts an von unbekannten Absendern. Ist das eine E-Mail, die mich im betrieblichen Kontext interessiert? Ich lösche sie. Ja, also solche Dinge. Guckt doch mal, wie der Absender aussah. Kommen wir gleich noch in den Detail. Aber wo einfach den Mitarbeiter, für die war das selbstverständlich, da drauf zu klicken. Ja, das war bestimmt, wird bestimmt irgendeiner gewesen sein, der wird mir was Tolles gewünscht haben. Wer weiß, was das für ein Tolles ist. Einfach ohne großes nachzudenken, weil es Normalität ist, drauf auf das Ding. So, und dann wundern wir uns, wenn irgendwas in die Hose geht. Und das ist, also wo ich hin will, ist, dass der Human-Faktor, also das Bewusstsein und auch die Technik eine ganz andere ist und folgerichtig Leute, die Attacken platzieren wollen, einfach auf der einen Seite sehr leichte Spiele haben. Genau.
René
00:14:27
Ja, auf die, also du bist es gerade so, du hast es leicht angeschnitten. Die Einfalltore einer Ransomware, da gibt es ja unterschiedliche Möglichkeiten. Du hast gerade schon gesagt, E-Mail. Natürlich, E-Mail ist immer mit der der größte Faktor. Das ist es aber für alles. Ob es jetzt ein ganz normales Phishing ist, ein Social Engineering, also sprich, ich werde direkt angeschrieben. Man versucht mir zu vermitteln, dass ich, oder dass die Person gegenüber eine mir Bekannte ist und ich entsprechend Aktionen für sie ausführen soll. Das wäre halt der E-Mail-Teil. Darüber hinaus gibt es aber zum Beispiel diese Drive-By-Downloads, also irgendwo auf irgendeiner Seite, wo ich dann irgendwas runterlade. Als Nutzer kann ich ja gar nicht nachvollziehen, ist es richtig oder falsch. Deswegen am besten immer nur bei, entweder wird es gleich systemseitig gesperrt, dass nur gewisse Quellen offen bleiben. Das ist genau das, warum so viele Apple verteufeln. Ich es aber dafür umso mehr mag, weil Apple seinen eigenen Store hat und sagt, okay, ich meine, klar, die mussten jetzt auch aufmachen, aber das fand ich halt unter iOS oder auch iPadOS und so, da fand ich es halt richtig stark, einfach zu sagen, okay, wir haben eine zentrale Stelle. Die Sachen, die da drin sind, die sind von uns geprüft. Alle anderen, ja, gibt es halt nicht. Dafür gibt es Gründe. Gut, dass da die Kosten für die Entwickler und so hoch waren, das steht nochmal auf einem anderen Papier. Aber grundsätzlich, der Gedanke ist ein guter. Ob Apple diesen Gedanken auch hatte, weiß ich nicht, aber so leite ich ihn mir her.
Michael
00:16:13
Nach dem Geld waren die bestimmt auch irgendwann mal bei dem Gedanken.
René
00:16:16
Ja, aber ich sehe es genau von der anderen Seite. Ich als Endnutzer muss sagen, okay, wenn ich jetzt nicht irgendwie vorhabe, Quatsch zu machen, ja, warum lade ich es denn nicht aus der offiziellen Quelle? Dann ist doch alles wunderbar. So, da ist man sicher. Aber es gibt halt genug unsichere Quellen. Wenn man halt von da lädt, ja, dann kann es halt auch passieren. So, dann gibt es Sicherheitslücken logischerweise, Exploits, das heißt Schwachstellen im Betriebssystem oder in Software. Microsoft hat ja gerade auch wieder so eine tolle neue Sicherheitslücke, wo du nicht mal mehr die E-Mail anklicken musst und kannst trotzdem infiziert werden. Das ist ja auch schon spannend, aber auch das ist möglich. Dann natürlich USB-Geräte. Ich glaube, ich hoffe, dass wir über das Thema nicht mehr groß sprechen müssen, aber da kannst du immer ein Problem haben, weil du nie weißt, was auf dem Gerät ist. Also wenn man USB-Geräte nutzt, dann bitte aber auch mit einem Scanner, der vorab die Daten auf dem USB-Stick scannt und dann auch sagen kann, da ist was drauf oder eben nicht. Aber das ist alles, was du so viel ansprichst.
Michael
00:17:21
Das ist alles Faktor Mensch. Natürlich, natürlich. Im Moment sind wir voll im Faktor Mensch drin und im Catchen nach Bedürftigkeiten und der Gier nach Sensation, um es mal ganz provokativ zu sagen. Da liegt ein USB-Stick, da steht am Ende noch drauf Gehaltsliste oder irgend so ein Kram oder dann geht der in die Kiste rein oder schreibt es geheim drauf oder irgend so. Dann geht der natürlich in die Kiste rein. Das ist absolut leicht zu spielen. E-Mails hier zu klicken für und das ist alles, sind alles sehr niederschwellige Angebote, wo man eigentlich sich sehr leicht für schützen kann, wenn man entsprechend im Unternehmen die Regeln hat und das Mindset hat. Kommen wir nachher noch zu. Aber das ist ganz, ganz vieles menschlicher Faktor, was du jetzt ansprichst. Alles.
René
00:18:12
Also natürlich nicht das Betriebssystem, das ist so. Also was ich ja gerade sagte, diese Schwachstelle von Microsoft zum Beispiel jetzt aktuell im Windows, das ist jetzt nicht die Nutzer, aber alles andere zielt natürlich darauf. Ich meine systemisch tut man immer mehr dafür, dass man eben nicht angegriffen werden kann, aber der Nutzer hat natürlich immer noch das Heft in der Hand. Wie man das verhindert, da kommen wir ja gleich noch mal zu.
Michael
00:18:36
Ich wollte gerade sagen, aber da sind wir bei so ein paar Dingen. Es hilft dir die tollste und geilste Firewall mit Spam Filter, mit allem, was dazugehört, hilft dir nichts, wenn irgendeiner sein, Entschuldige, wenn ich das so sage, ich drücke mich neutral aus, sein verseuchtes Handy, sein verseuchtes Handy einfach an den USB-Port von dem Desktop-Rechner anschließt, sagt Datei freigeben, um es halt einfach zu laden. Also das sind so Dinge, wo du einmal komplett am System vorbei gehst oder wenn im WLAN von einem Unternehmen auf einmal private Endgeräte zugelassen werden, also alles so Dinge. Also man muss sich bei solchen Dingen immer auch dann überlegen, wie gut ist mein Schutz, den ich mir als IT-Admin ausdenke, also wie gut schütze ich als IT-Admin und welche Gefahren habe ich, was regelt die Natur, also was ist durch den Newman-Faktor so, dass ich einfach nicht greifen kann und wo ich mir einfach Gedanken darüber machen kann, was ist vorhersehbarer Missbrauch von meinen Geräten und wie entgegne ich der ganzen Sache.
René
00:19:50
Nur ganz kurz, damit wir das auch geklärt haben, du wolltest gerade natürlich nicht Android, sondern Endgerät sagen. Endgerät, habe ich doch gesagt. Du hast ja beim End aufgehört. Ja, genau. Nein, natürlich, man muss auch andersherum sagen, wenn man jetzt erst mal angefangen hat, zum Beispiel einen Jailbreak auf dem iPhone zu installieren, also auf dem iOS, dann kann einem das Ganze ganz genauso passieren. Ich will das jetzt nicht schönreden, das ist bei allen möglich, aber ja, wie gesagt, gerade wenn die Quellen offen sind und es wird bei Apple jetzt dann ja auch kommen, dann wird das nochmal ganz anders. Deswegen sind die Androids dann aktuell noch angreifbarer, aber davor schützen kann man sich mit dem iOS-Gerät genauso wenig. Also da kann es auch passieren. So, die Auswirkungen auf das Ganze. Was passiert denn, wenn ein Ransomware-Angriff stattfindet? Ich glaube, dem muss man sehr bewusst sein, damit man überhaupt weiß, dass man wirklich Maßnahmen einleiten sollte. Du hast ja schon gesagt, ja, es ist viel der menschliche Faktor, der ist es natürlich auch immer. Die Sache ist aber, wenn die Leute, die dort arbeiten, die diese Mails empfangen oder sonst irgendwas, gar nicht verstehen, wie können solche Auswirkungen auf unser Unternehmen aussehen und immer mit der Denke auch vielleicht rangehen, uns passiert das ja nicht, dann ist es halt schwierig. So, deswegen muss man das auch klar hervorstellen. Also zum einen, es kann jedem passieren und es passiert sehr, sehr vielen. Ich habe es schon mal gesagt und den Spruch, den finde ich zu passend, um ihn jetzt auszulassen. Die Frage ist nicht, ob ich angegriffen werde, sondern wann und in welchem Umfang. Es wird passieren, jeder wird angegriffen, weil es halt automatisiert läuft. Deswegen geht es auch nicht mehr nach Unternehmensgröße. Natürlich ist es schöner, wenn es aus Sicht der Angreifer schöner, wenn es ein großes Unternehmen ist, aber auch ein kleines Unternehmen ist auf seine Daten angewiesen. Dann sind die Beiträge vielleicht kleiner oder der Gewinn, möchte ich mal so sagen, die Schadenssumme, das Lösegeld, aber am Ende des Tages, ja, dann drei kleine Unternehmen sind ein großes so ungefähr. Also von daher, man kann das einfach nicht an der Unternehmensgröße festmachen. So, und welche Auswirkungen haben wir eigentlich? Wir haben auf jeden Fall einen Datenverlust, im schlechtesten Fall. Man muss ja einfach sehen, wenn ich kein vernünftiges Backup habe, da gehen wir gleich noch mal drauf ein, aber habe ich meine Daten nicht noch mal vorliegen, dann sind die auch weg. So, das ist das Erste. Das heißt, das betrifft mich intern erstmal in meinen Abläufen, in meinem täglichen Doing eigentlich. So, dann habe ich natürlich meine finanziellen Verluste. Das heißt, ich muss ja dafür sorgen, ich zahle meine wegen das Lösegeld, ich muss Systeme wiederherstellen, ich habe Ausfallzeiten. Ich muss dann dafür sorgen, dass die Systeme im Nachgang auf jeden Fall wieder gereinigt oder bereinigt werden. Gegebenenfalls muss ich sogar Geräte tauschen, weil ich sage, okay, jetzt machen wir es einmal sauber. Was weiß ich, da ist jetzt noch ein Windows 10 Gerät, das passiert jetzt Ende des Jahres, da ist Windows 11 mindestens. So, dann würde man in dem Augenblick dann vielleicht sagen, ich tausche das Gerät noch oder was weiß ich. Da gibt es halt ganz viele Dinge, die eben zu einem finanziellen Schaden führen. Im besten Fall muss ich mir noch einen Dienstleister von extern holen, der meine Geräte noch mal komplett prüft, noch mal bereinigt und so weiter. Das kostet alles Geld. So, dann etwas externes, Reputationsschäden, die unterschätzt man leicht, meiner Meinung nach, weil die Sachen sind einfach die, wenn man erstmal über ein Unternehmen gehört hat, dass die Daten möglicherweise abgeflossen sind, hat das starke Auswirkungen und das ändert etwas am Vertrauensverhältnis zu seinen Kunden, Geschäftspartnern. Das ist definitiv so und das mögen manche nicht glauben, die dann sagen, ja, wir arbeiten seit 20 Jahren zusammen, wenn sowas passiert, können wir ja nichts für. Das interessiert den Gegenüber aber ja nicht. Der braucht seine Daten auch und der versucht ihn auch weitestgehend zu schützen. Das kann also auch eine große Auswirkung auf Geschäftsverhältnisse haben. Dann Betriebsunterbrechungen, das ist ja das, was ich gerade schon gesagt habe, das sind ja quasi meine Ausfallzeiten. Ich habe schon mal gesagt, ein Farbhersteller bei uns aus der Gegend oder aus der Region, wir betreuen ihn nicht, das sage ich auch schon mal vorab, aber die waren betroffen von der Ransomware. Das Problem bei denen war halt, die hatten nicht mal mehr ihre Farbzusammensetzung. Das heißt, sie konnten nichts tun. Die konnten nicht produzieren, die konnten nicht sehen, wer hat was bestellt, wohin müssen wir liefern, es war alles tot. So und das ist auch ein Riesenthema, also dann sprechen wir ja nicht nur von Ausfallzeiten einzelner Personen, weil nehmen wir mal an, ich würde mir jetzt ein System dahin stellen, dann kann ich ja unabhängig von den Daten, die ich vorher hatte, die Sachen aus meinem Kopf vielleicht noch abarbeiten. Das ist dann aber in der Regel auch nicht mehr möglich. So und dann haben wir ja noch das Problem, da kommst du dann ins Spiel. Richtliche Konsequenzen, wenn ich gegen Datenschutz verstoßen habe, kann das natürlich auch noch mal Strafen mit sich bringen.
Michael
00:25:12
Ja, Meldungbehörde, also wenn wirklich abgeflossen ist oder wenn die Möglichkeit des Abflusses besteht, klassisch Meldung an das Datenschutzbehörde, einmal Hosen runter, einmal Gedanken machen, einmal das große Besteck auspacken. Das ist halt alles aufwendig und wie du schon gesagt hast, du hast halt den Verlust der Daten und du hast die Reputation und hast das Geld und die Zeit. Das ist halt einfach das Thema, das ist halt eine Seuche, die du eigentlich nicht im Haus haben willst. Also nicht nur eigentlich, sondern es ist eine Seuche, die willst du nicht im Haus haben. Das heißt, wenn ganz pauschal, glaube ich gesagt, hast du einen Ransomware-Angriff und die verschlüsselt deinen Rechner, steht dein Unternehmen und dann hast du ein echtes Thema und hast richtig Tabula rasa, hast richtig Ärger, hast richtig Arbeit, so dass die Empfehlung ist, kümmere dich präventiv um die Sachen und sehe zu, dass du präventiv einen Schutz aufbaust, dass du ein angemessenes Niveau hast, so dass du den Fall, dass was passiert, auch abdecken musst, aber das nicht dein Fallback ist. Also der Klassiker, der sagt, naja, was interessiert mich Ransomware-Angriff, wir haben eine Cyberversicherung, den lache ich aus, weil das willst du einfach nicht. Die Versicherung wird auch nicht zahlen.
René
00:26:29
Wenn du keine Maßnahmen vorher erbracht hast, dann wirst du nicht bezahlen.
Michael
00:26:33
Genau, die werden versuchen sich zu winden und zu gucken, wenn es auf einmal um Geld geht, weil es sehr schnell auch wirklich richtig teuer werden kann, dann werden die schon gucken, ob du geeignete Maßnahmen im Unternehmen gebaut hast, ob deine Toms aufgebaut sind, Firewall aktuell etc. Die kommen und die gucken sich das an. Das wird wahrscheinlich nicht der letzte Vertreter sein, der bei dir war und mit dir den Vertrag abgeschlossen hat und ein Käffchen Kuchen zusammen gemacht hat, sondern die haben ihre Spezialisten, die dann kommen. Da kommt einer, der Ahnung hat und er guckt sich das dann an und er schreibt seinen Bericht und er bewertet das und dann entscheidet eine Versicherung, ob sie zahlt oder nicht.
René
00:27:06
Ganz kurz dazu, es muss glaube ich auch jedem klar sein, dass die Menschen, die da kommen, die Menschen, das sind keine, die da aus Goodwill sind und sagen, ja cool, wir gucken mal. Die Leute werden dafür bezahlt von den Versicherungen, dass die was finden. Das muss man einfach offen und ehrlich so sagen.
Michael
00:27:23
Das sind zwar, ja genau, entweder sind sie benannt von Versicherungen oder sind neutrale, aber nichtsdestotrotz, die gucken schon ins Essgefach, weil die für ihre Aussage ja auch zur Rechenschaft gezogen werden müssen können und die müssen das ja auch vertreten können, was sie da sagen. Das heißt, die werden schon einen kritischen Blick auf der Sache haben und dementsprechend auch beschreiben und von daher ist hier vorab dieser Prävention ein sehr wichtiger Baustein zu der ganzen Sache. Und du hast halt auch die Themen, das würde mich jetzt interessieren, wenn wir über Prävention sprechen und wir reden über RAMS und Wehrangriff. Das ist glaube ich das Erste, was man sagt, mach mal regelmäßig Backups, sichere mal dein System, weil für den, der primitiv denkt, naja, jetzt haben die mir meinen Server verschlüsselt, dann spiele ich mir halt das Update von gestern wieder ein und weiter geht's. Was interessiert es mich? Aber da wirst du uns jetzt wahrscheinlich gleich was anderes erzählen.
René
00:28:22
Ne, gar nicht. Ne, Backups sind auf jeden Fall die effektivste Möglichkeit, sich davor zu schützen. Das muss man einfach sagen. Man muss immer gucken, also das ist ja genau das bei einem Backup-Konzept, was man berücksichtigen sollte, wie weit darf ich zurückgehen, ohne dass es jetzt einen riesen Impact auf mich hätte. Manche sagen, okay, ein Tag, das reicht, das ist für mich fein. Dann habe ich ja maximal, sagen wir mal, du würdest wirklich 24 Stunden Betrieb haben, hast du maximal 24 Stunden verloren. So, es gibt aber auch andere, die sagen, hey, hier sitzen aber 150, 200 Leute, die tippen den ganzen Tag Daten da rein, dann wird ein Tag sicherlich nicht reichen. Ich meine, immer noch ein Tag, okay, ist besser als gar nichts mehr haben, aber dann wird man das Backup-Konzept anders aufsetzen, sodass man halt wirklich schon stündlich irgendwie eine Änderung schreibt oder was weiß ich, zweimal, dreimal am Tag. Das entscheidet man dann im Einzelnen, das muss halt das Unternehmen wirklich auch selber wiedergeben, wie weit kann ich damit leben. So, es gibt darüber hinaus, also jetzt mal abgesehen vom Backup, natürlich, sagen wir auch, jede Episode Awareness, ganz klar.
Michael
00:29:32
Was mich interessiert, lass mich mal ganz kurz auf das Thema Backup rumreiten, weil ich glaube, das passt ganz gut. Für mich ist, und ich hoffe, du kannst mich gleich beruhigen, für mich ist das Tricky vom Backup, vom Backup-Todos und von der Vorhaltezeit von Backups, also wir reden jetzt klassisch von Backups, nicht von Archivfristen, sondern einfach nur IT-Backup-Verfügbarkeit erstellen. Wenn ich einen Ramson-Ware-Angriff mit einem Zeitzünder habe, muss ich wissen, wann dieser Angriff wirklich passiert ist, beziehungsweise ab wann mein System infiziert ist. Wenn ich ein Backup habe mit einem Zeitzünder, der vor 14 Tagen gezündet hat und der heute gestartet ist und ich spiele mal mein Backup von gestern wieder rein, wird der morgen zünden, dann habe ich täglich Kustas Murmeltier, dann wiederholt sich dieser ganze Durcheinander regelmäßig. Das heißt, ich muss bei meinem Backup-Konzept wahrscheinlich schon aufpassen, dass ich sage, ich muss schon in eine gewisse Vergangenheit zurückgehen und ich muss mir Gedanken machen in der Analyse, wenn mich es betroffen hat, wann hat das Event stattgefunden und hat das Ding, was ich mir jetzt hier eingehamst habe, einen Zeitzünder? Ja, nein, oder sehe ich es verkehrt?
René
00:30:51
Ne, ist genau richtig. Dem muss man sich bewusst sein. Deswegen ist eine Analyse im Nachhinein wichtig. Nicht einfach zu sagen, okay, jetzt ist alles wieder hergestellt, alles cool. Nein, man muss natürlich analysieren, wann hat der Angriff überhaupt stattgefunden, woher kam er, damit ich weiß, wie weit ich zurück muss. Dann kommt es ja genau darauf an, wenn du jetzt zum Beispiel ein Backup hast. Also wir haben Backup-Konzepte, die sind immer zwischen 28 und 50 Speicherpunkten, je nachdem, welches Konzept man da fährt. 28 Tage würde bedeuten, ich kann die irgendwie aufteilen. Keine Ahnung, ich nehme die letzten 14 Tage durchgehend, dann habe ich nochmal die letzten meinetwegen 10 Wochen und nochmal 4 Quartale oder wie auch immer. Das kann man für sich so aufbauen, wie man das möchte. Bei 50 hätte man schon 28 wirklich an sich, also den ganzen Monat quasi gesichert, 4 Wochen. Dann haben wir nochmal einmal 12 Monate und dann nochmal 10 Jahre. Also das ist halt wirklich die Frage, wie man es aufbaut. Natürlich, Jahre ist bei einer Ransomware sehr lang gedacht, aber das ist halt dennoch etwas, das kann man machen, dann ist man auf jeden Fall auf einer sicheren Seite. Wir haben auch einen Kunden, bei dem machen wir es per LTO noch, das ist jetzt keine Cloud-Sicherung, da gibt es eine LTO-Sicherung, weil es halt so viele Daten sind, also da brauchen wir am Tag, ich weiß gar nicht, ich meine, dass wir 7 LTO-Bänder stecken. Da kann man sich schon ausrechnen, wie hoch die Datenmenge da ist. Aber einfach auch schlichtweg, weil wir täglich eine Vollsicherung fahren, also wirklich eine unabhängige Vollsicherung. Und das haben wir über Wochen, einzelne Bänder, dann werden die Bänder weggelegt, dann wird ein zweiter Ersatz genommen, der geht dann auch zwei Wochen lang, die sind im Wechsel, dann gibt es Monatssicherungen, Jahressicherungen und Jahressicherungen werden wirklich so weggelegt, die packt keiner mehr an, die Monatssicherungen auch. Also die werden auch kein zweites Mal verwendet.
Michael
00:33:01
Aber muss ich eine Backup-Festplatte, nachdem ich sie gebackupt habe, vom Netz ziehen, um sie wirklich sicher zu haben vor einem Angriff? Ja, also das Thema ist, wenn ich sage, ich habe eine USB-Festplatte, also wir gehen mal in den kleinen Kreis rein und ich sage, ich habe eine USB-Festplatte bei mir am Notebook hängen oder ich habe eine NAS parallel neben meinem Server stehen, wo ich darauf backupe, solange das Ding doch, nennt es mal, online ist, also in irgendeiner Verbindung steht zum Hauptsystem oder zum Internet oder wo immer man das, also solange es im System, in der IT-Infrastruktur integriert ist, habe ich doch auch immer die Gefahr, dass ein Angriff durchschlägt bis in das System rein, oder?
René
00:33:52
Ja, man muss ja auch so sehen, also das habe ich, glaube ich, vorhin gar nicht so deutlich gesagt, es ist ja so, bei einer Ransomware wird ja nicht alleine ein System betroffen sein.
Michael
00:34:01
Genau, deswegen bringe ich dich gerade noch mal an mit.
René
00:34:05
Aber der Angriff kann auf einem Endgerät stattfinden und wird sich dann durch das Netzwerk schlängeln. Das hat einfach damit zu tun, wenn wir jetzt mal von der klassischen Infrastruktur ausgehen, dann ist es so, dass ich zum Beispiel Freigaben auf dem Server habe. So, das heißt, meine Daten, die ich habe, also die ich von dort aus abrufe, die sind ja in direktem Zugriff. So, das bedeutet, von meinem Rechner aus werden die Netzlaufwerke gesehen, werden dann angesprochen und werden auch infiziert. So, von da aus breitet sich das natürlich auf den restlichen Server aus und von da aus geht es dann in alle anderen Systeme, weil der Server logischerweise mit allem in Verbindung steht. Ist zumindest in den allermeisten Fällen so. So, und das ist halt ein Problem. Also, das bedeutet auch, dass mein NAS, meine USB-Festplatten, meine RDX-Laufwerke, also die RDX-Medien oder sonst irgendwas, egal was, alles, was mit dem Netzwerk irgendwie zusammensteckt, das kann auch durchaus dann infiziert sein. Ja, und da kann man sich auch nicht sicher sein, dass es nicht so ist. Okay, wie komme ich raus aus der Nummer? Auf jeden Fall ein Offsite-Backup. Also mindestens dafür sorgen, dass ich diese Sicherung auch nicht auf dem Server selbst habe. Ja, gut. Wichtig, ja, ich meine, also, dass sie nicht irgendwie, sorry, falsch ausgedrückt, nicht, dass sie jetzt, das wäre auch unlogisch, direkt auf dem Server noch mal ein Backup zu fahren, ne, aber dass die Festplatten halt nicht mit diesem, oder Festplatten der LTO-Laufbänder oder irgendwas, dass sie eben halt nicht permanent im Netzwerk stecken und ich brauche eine große Rotation drin. Das heißt, es wird jetzt nicht reichen, wie du gerade gesagt hast, nehmen wir mal die 14 Tage, es wird dann nicht reichen zu sagen, okay, ich habe fünf Bänder oder fünf Festplatten, die stecke ich jetzt jeden Tag schön durch, ich arbeite fünf Tage die Woche, dann habe ich damit eine Woche abgedeckt und in der nächsten Woche nehme ich die gleichen Bänder, ja, dann habe ich sie nächste Woche überschrieben und dann habe ich meinen Angriff trotzdem selber mitgenommen. Das wäre natürlich sehr, sehr unglücklich. Wichtig ist, dass wenn wir jetzt zum Beispiel von der Cloud-Sicherung sprechen, dass diese Backups voneinander geschützt sind. Das Problem ist nämlich, dass wenn ich jetzt, das ist nämlich genau das mit dem NAS auch. Jetzt könnte man ja sagen, okay, ich schreibe jeden Tag die Änderungen auf das NAS, also auf die Festplatten, die da drin stecken. Das wird jetzt nicht vom Server aus betroffen. Gehen wir mal davon aus und ich würde immer die Änderungen schreiben und das Backup ist aber nicht voneinander geschützt, das baut immer wieder aufeinander auf. Dann infiziere ich mein Backup trotzdem, weil ich ja die infizierten Daten irgendwann da reinschütte und dann ist mein NAS infiziert. Verstehst du, was ich meine?
Michael
00:36:52
Du sprichst jetzt davon, dass ich nicht permanent inkrementell backuppen darf, sondern zwischendurch Vollsicherung machen darf.
René
00:37:01
Ja, ob das alleine reicht, ist mal dahingestellt, weil am Ende des Tages, du hast ja eine Sicherung auf dem NAS, die infiziert ist und aus dieser Infektion heraus kann natürlich auch jedes andere Backup infiziert werden. Ja, genau. Worauf ich hinaus will ist, eine ganz sichere Lösung ist, dass du USB-Festplatten hast, die du weglegst. Du ziehst sie ab und legst sie weg und hast da so eine Rotation drin, dass du wirklich mehrere Wochen zurück kannst. Oder du nimmst ja eine Cloud-Sicherung und viele denken immer, Cloud-Sicherung ist so teuer. Das hat seine Gründe. Das ist nämlich so, dass jedes Backup zum Beispiel, diese 50 Speicherpunkte, von denen ich gerade gesprochen hatte, die sind untereinander geschützt. Die überschreiben sich nicht. Nehmen wir mal an, ab dem 7. ist da jetzt meine Ransomware drin. Dann ist aber mein Backup vom 6. nicht infiziert, sondern spiele ich das zurück. Dann ist es noch wichtig, bei einer Datensicherung, weil wir ja jetzt auch darüber sprechen, inhaltlich Daten ... Nehmen wir mal an, das wäre jetzt wirklich der 6., auf den wir zurückgehen. Dann hätte ich ja jetzt Daten von fast zwei Wochen verloren. Da wird es noch mal spannend, dann zu sagen, okay, wir müssen unsere Datensicherung so gestalten, wir nutzen viel VM, da nutzt es sich Application-Aware-Processing. Das bedeutet, dass wir inhaltlich aus Datenbanken einzelne Dinge sichern können. Das bedeutet, ich habe jetzt meine Wegen, meine Software. Dahinter steht ja immer eine Datenbank, wo die Daten reingekippt werden. Wenn ich jetzt auf den 6. zurückgehen würde mit meinem Backup, könnte ich aber im Nachgang sagen, die Datenbank füllen wir aber mit dem Backup aus dem 15., meinetwegen. Dann habe ich also mein Grundsystem sauber und würde die Datenbank einfach nur noch mit den Daten befüllen. Natürlich, wenn die Datenbank da betroffen war, okay, ist nochmal ein anderes Thema. Aber das ist ähnlich wie eine Archivierung, wo du einfach von da aus deine Daten jetzt zurückspielst.
Michael
00:39:20
Das bedeutet, eine NAS laufen zu lassen, die einfach alle 24 Stunden inkrementell ein Backup fährt, ist nicht das Allerhalbete.
René
00:39:30
Auf jeden Fall nicht für eine Ransomware. Du hast es ja ganz gut gesagt. Nehmen wir an, es sind 14 Tage. Du weißt nicht, wann es passiert ist. Dann musst du sehr weit zurück. Wenn dir dann spezielle Funktionen fehlen, hast du natürlich 14 Tage verloren.
Michael
00:39:49
Aus der Erfahrung heraus, früher habe ich gehabt oder ich kenne es so, dass du Daten und Programme getrennt hast. Es ist mal viel vermischt worden, dass man einfach gesagt hat, ein Serverflug ab dafür. Aber es ist doch nach wie vor noch sinnvoll, Betriebssystemen, also Programme und Daten zu trennen und den Datenbestand vielleicht separat zu backupen. Macht das noch irgendeinen Benefit oder ist die Denke auch schon wieder alt, weil du einfach sagst, wenn sich der Angriff durchdrückt, dann verschlüsselt der die Daten genauso, wie er die Programme verschlüsselt. Das ist die gleiche Kram. Wo ich eigentlich hin will oder denke, ist, die Daten in einem getrennten Ordner zu haben, also die Daten auf deiner USB-Schnitt-Festplatte zu haben, dass du nicht diese Riesenmengen hast, die wirklich mit einer Festplatte abzukoppeln und die eigentlichen Systeme über On-The-Fly so wegzusichern, dass du die eben nicht separat liegen lassen musst.
René
00:40:53
Ja, also das ist, glaube ich, auch eine Glaubensfrage. Und es ist auch eine Frage, wie du es aufbaust. Das kommt auf deine Datenstruktur zum einen an. Wenn du natürlich reine Daten hast, ja, okay, da kann es Sinn machen, das separat zu backupen. Aber am Ende des Tages irgendwo, wenn du so einen Ransomware-Angriff hast, werden die Daten in der Regel auch betroffen sein. Wie gesagt, es ist halt meist so, dass man auf diese Systeme mit Datenbanken dann nochmal zurückgehen kann, also separat auch schauen sollte. Und ab dem Zeitpunkt macht es keinen Sinn, die zu trennen, weil du ja eine Funktion schon im, also das hat nicht jeder, aber durch die Funktion, dass du eben inhaltlich aus der Datenbank eben Daten zurücksichern kannst. Das ist halt, damals hat man immer eine Datenbank, wenn die betroffen war, dann musstest du die ganze Datenbank zurückspielen zu Zeitpunkt X. So, jetzt kannst du aber sagen, okay, ich möchte jetzt aus der Tabelle, also es gibt in der Datenbank, die ist in mehrere Tabellen aufgeteilt, du kannst einzelne Tabellen daraus wiederherstellen, du kannst einzelne Zeilen wiederherstellen, einzelne Datensätze. Und das ist halt genau der Vorteil, weil du dann halt genau einfach auf einen Zeitpunkt X nicht guckst. Du guckst ja nur auf die Datensätze. Dann sagst du entweder, ich sichere alle Datensätze zurück, oder ich sage jetzt, ich lasse die letzten 30 Datensätze weg, weil ich mir da unsicher bin, den Rest spiele ich aber zurück und so weiter. Also das lässt sich dann sehr granular steuern.
Michael
00:42:27
Also gehe ich mit meiner Software, mit meinen Daten komplett in die Cloud und habe Ruhe.
René
00:42:33
Das kann man so sagen, ja.
Michael
00:42:34
Also ich nutze Software-as-a-Service-Dienstleister für Buchhaltung, Warenwirtschaft etc. pp und ziehe mir den ganzen Kram raus. Dann liegen die Daten bei denen, dann hätte ich einen Ransomware-Angriff auf meiner internen IT. Die wäre mir relativ egal, sage ich jetzt einfach mal, weil da keine Juwelen liegen und kein Honeypot liegt. Fahre zu Alternate, kaufe mir ein neues Notebook, richte die Accounts ein und weiter geht's.
René
00:43:00
Ja, ganz so kann man das auch nicht immer sehen, weil das Problem, ja gut, Microsoft wäre jetzt ein Beispiel. Wenn wir jetzt sagen, du gehst zu Microsoft mit deinen Daten und Microsoft hat einen Angriff, die haften nicht für deine Daten.
Michael
00:43:11
Ja, das ist das Nächste. Du verlagerst das Thema. Da hast du halt jetzt einfach die Sache, wenn Microsoft oder wenn der Software-as-a-Service-Anbieter entsprechend von einer Attacke betroffen ist, greifst du natürlich auch ins Klo. Also da musst du diesen klassischen Datenschutzauftrag zur Arbeit, da musst du die technische, also oder Service-Level-Agreement, musst du Software-as-a-Service, du musst halt eben Vertrauen in den Anbieter haben, musst dem vertrauen, dass er die Schutzmechanismen entsprechend hat, Rechenzentren etc.
René
00:43:36
Und er muss am besten dann auch haftbar sein.
Michael
00:43:38
Ja, und er muss am besten greifbar sein, ja. Jetzt muss man natürlich sagen, glaube ich, kann ich sogar mich nehmen, fairerweise, dass das Schutzniveau, was ich habe, sicherlich ein gutes ist, aber nicht zu vergleichen ist mit einem Rechenzentrum, was in irgendeinem Faktor... Das ist aber logisch. Das ist vollkommen klar und das trifft auch, glaube ich, noch wesentlich größere Unternehmen, wie ich es bin, dass man einfach sich da selbst reingreifen muss. Aber ich kann dadurch Risiken teilen, ich kann dadurch Dinge tun und sensible Daten an gewisse Orte legen, wo ich halt einfach abwägen muss, was ist mir wichtiger, wo greife ich mir den Kram, wie kriege ich meine Daten eben so geschützt, dass ich entweder A, dass mir so ein Ransomware-Angriff im Prinzip am Hintern vorbeigeht, weil es nur meinen lokalen Rechner betreut und er kann mir einfach nicht durchs Netz schießen, weil ich einfach im Netz nichts Großes habe, was ich schießen kann oder wie ich B, meine Daten so liegen habe, dass wenn etwas passiert, ich sie vernünftig zurückkriege.
René
00:44:35
Ja, deswegen, also es betrifft auch nicht nur Software as a Service, das ist ja auch, du kannst jedes System ja quasi in den Cloud backupen. Wir machen das ja auch, wenn wir halt sagen, okay, du hast einen Server bei dir stehen, dann kannst du in der Hybrid-Sicherung fahren, dann hast du einen NAS vor Ort...
Michael
00:44:52
Aber damit ziehst du dir den Kram doch mit, wenn ich dich jetzt nicht...
René
00:44:55
Das ist aber das, was ich meine, das wäre ja nicht so wild, weil die Datensicherungen untereinander voneinander getrennt sind. Ich habe ja mehrere Backup-Stände in der Cloud dann und kann dann sagen, okay, die 30, 28, 50 Backup-Stände, die kennen sich untereinander nicht, so dann würde es ja bedeuten, dass ich dann auch auf die Tage zurückgehen kann. Das ist nicht ein... Man sollte sich das nicht so vorstellen wie einen Ordner, den habe ich jetzt in der Cloud, da sichere ich hin, sondern bei so einer richtigen Backup-Lösung ist das halt so, dass es immer ein Ordner, der auf einem anderen System liegt. Die sind wirklich komplett voneinander getrennt.
Michael
00:45:35
Ja, aber das System ist aber doch permanent an meinen Server angebunden und hat eine permanente...
René
00:45:44
Das ist egal. Der Agent schickt nur zum Zeitpunkt des Backups und dann immer wieder in einen neuen Container. Das heißt, der Agent weiß schon gar nicht mehr, dass das erste Backup da war. Bei dem, was du im Kopf hast.
Michael
00:45:58
Bei einer professionellen Lösung, die du im Kopf hast. Ich bin gerade bei einem Synology-Backup, was halt regelmäßig Backups in den OneDrive schickt oder in den C2 Cloud oder irgendwas reinschickt, weil der spiegelt und er würde das Thema voll mitnehmen.
René
00:46:18
Ja, genau. Das ist nur das, was ich meine. Es gibt auch kein Allheilmittel, wo man sagt, dieses Konzept passt jetzt auf jeden. Ich kann nur jedem empfehlen, dass, wenn er eine Sicherung macht, dass er diese einmal lokal macht. Das hat einfach damit zu tun, dass man eine schnelle Rücksicherungsmöglichkeit hat. Außer Cloud muss man sich bewusst sein, dass, wenn man das wieder herstellt, das natürlich auch einen Augenblick dauert. Aber und dass man darüber hinaus halt noch eine Sicherung in der Cloud hat, eine sichere Sicherung in der Cloud oder eben auf externe Medien, die man irgendwo hinlegt und die eben nicht mit dem System verbunden sind.
Michael
00:46:55
Ich glaube, lass uns Backup abschließen. Aber man erkennt, dass wir jetzt glaube ich 20, 25 Minuten alleine über Backup gesprochen haben, dass das mega komplex ist und selbst ein 3-2-1 jetzt nicht wirklich das Allheilmittel von irgendwas ist, um Ransomware-Attacken abzugreifen, sondern dass es eine echte individuelle Kiste ist, dass man gucken muss, was man Backup, wie man Backup, dass man auch jetzt hier als kleines Unternehmen, wenn man irgendwie eine Synology oder was laufen hat und macht ein Backup in irgendeine Cloud rein, dass man auch da Rücksicht haben muss, wie kann es durchschießen, wenn was durchschießt. Immer mit der Zeitverzögerung dabei. Ich glaube, die Zeitverzögerung ist der Key. Hast du die Zeitverzögerung nicht oder die Zeitverzögerung ist das, was es komplex macht. Hast du heute einen Angriff und heute wird verschlüsselt, also der schlägt dir direkt durch, dann nimmst du natürlich das Backup von gestern. Dann kannst du auch das inkrementelle nehmen, dann kannst du auch das aus deiner Cloud nehmen und alles cool. Die Gefahr und das hohe Risiko, was du hast, ist der Zeitzünder und das ist das, was das Ganze komplex macht, dass du eben sauber inzwischen trennst und sauber durchkriegst, dass du wirklich auf einen Stand kommst, der nicht infiziert ist.
René
00:48:05
Und umso länger diese Periode vor dem eigentlichen Angriff ist, umso schwieriger macht es das Ganze. Das ist so. Kommen wir mal zurück zu den präventiven Maßnahmen, damit wir da vorankommen. Awareness hatte ich gesagt, haben wir jetzt die letzten Wochen ganz oft drüber gesprochen, werden wir jetzt mal nicht weiter vertiefen. Man muss natürlich mit allen sprechen, ich habe es vorhin auch angesprochen, diese Denker auch einfach rauskriegen, wir werden nicht betroffen und so weiter und so fort. Das sind schon die ersten Dinge. So, man muss die Betriebssysteme definitiv up to date halten, also da müssen Updates drauf fürs Betriebssystem, für die Software und so weiter, das ist ganz, ganz wichtig. Dann Antiviren und Sicherheitslösung. Denke ich ist auch klar, mit Sicherheitslösung, Antiviren brauche ich nicht erklären, Sicherheitslösung an sich, damit ist zum Beispiel EDA, also das heißt, dass man nochmal, es ist nochmal etwas anders als ein Virenschutz, erkennt nochmal genauer, ob da jetzt irgendwas im Netzwerk ist, was sich falsch verhält, was so nicht sein dürfte. Genauso eine Firewall-Lösung und so weiter.
Michael
00:49:12
Eine Fritzbox hat keine Firewall, weil wir immer auch wieder mal kleinere Unternehmen mit dabei haben, die zuhören und wir nicht über die großen reden. Eine Fritzbox hat keine Firewall, die hat zwar so einen Schalter, wo man sagen kann, Firewall an, aus, das ist aber nicht eine Firewall, die wir weinen oder wir drüber reden.
René
00:49:28
Das ist ein Minifilter, mehr ist es nicht.
Michael
00:49:30
Genau, wenn wir im Unternehmenskontext von einer Firewall reden, reden wir von einer Hardware-Firewall, die man sich wirklich ins Unternehmen stellt. Die sind auch bezahlbar, die sind auch gut, die sind wartbar, die sind bezahlbar, das ist eine lohnende Investition, die man vorschaltet, aber das ist nicht die Fritzbox. Da bitte auch dran denken, nach dem Motto, ich habe eine Firewall, an der Fritzbox habe ich den Hebel eingeschaltet, sondern auch für kleine Unternehmen können wir, glaube ich, beide den Tipp geben, suchen sich einen Anbieter, sucht euch einen Anbieter, redet mit eurem IT-Dienstleister, wenn ihr keinen IT-Dienstleister habt, ist das ein guter Einstieg, sich mal einen zu suchen, dass ihr euch da nochmal ein bisschen in die Arme greift und gönnt euch mal eine Firewall, die gibt es, glaube ich, für 40, 50, 60 Euro im Monat Miete oder irgend sowas, das ist kein Rieseninvest, das ist absolut überschaubar, beruhigt und ist notwendig, beruhigt und erhöht das Sicherheitslevel immens.
René
00:50:36
Wenn man da richtig gut unterwegs ist, dann nimmt man sich eine Lösung, die ich hatte ja gerade Antiviren auch angesprochen, die richtig gut funktioniert, das heißt, ich nehme eine Antivirenlösung und die Firewall-Lösung, dann tauschen die sich gegenseitig auch noch aus, das heißt, erkennt eine der beiden Stellen, dass es einen Angriff gab, tauscht diese Stelle sich mit allen anderen Punkten im Netzwerk aus und sagt denen, hey, da ist was passiert und isoliert das schon.
Michael
00:51:03
So, ja, das ist technisch präventiv für alle kleineren Unternehmen, die zuhören, also das ist nochmal ganz wichtig, das war mir wichtig, weil ich das dann auch schon gehabt in der Betreuung, der Firewall und Putzbox, nein, das haben wir leider auch schon oft gehört.
René
00:51:20
Nächster Punkt, Netzwerksigmentierung, das ist auf jeden Fall auch ein Thema, kritische Systeme sollten aus dem Netzwerk isoliert betrieben werden, beziehungsweise davon getrennt werden, das kann man über VLAN machen oder sonst irgendwas, das wird natürlich in kleinen Betrieben nicht möglich sein, das weiß ich, weil da werden meist ganz viele Anwendungen auf einem System gefahren, da ist das nicht so einfach möglich.
Michael
00:51:43
Doch, geht, geht ganz gut. Bei dir vielleicht. Pass auf, auch das, ganz praktische Kiste, wenn du eine Fritzbox hast, um deinen Internetzugang zu gewährleisten und du gönnst dir danach die Firewall, also rein technisch wird die Firewall ja hinter die Fritzbox geschaltet. So, und dann hast du für Otto normal eine super geile Sequentierung, weil du halt einfach das WLAN von der Fritzbox fürs Gäste-WLAN nutzen kannst und dann bist du vorgeschaltet vor der Firewall, vor all deiner internen Kommunikation und all deiner internen Technik und machst nach der Firewall einfach deinen Accesspoint für dein WLAN und für deine LAN-Infrastruktur und dann hast du in deinem Unternehmen eine ganz einfache primitive Sequentierung, aber eine hundertprozentige Trennung zwischen das ist mein Unternehmenskram, das ist intern und ich habe mal hier einen Hotspot für wenn immer Besucher kommen, dann müssen wir eben schnell online gehen oder sowas. Also darüber kannst du ganz primitiv, du grinst gerade, ich weiß, aber darüber kannst du ganz einfach anfangen mit dem Hauch einer Sequenzierung.
René
00:52:49
Ja, definitiv. Also das Gästernetz sollte immer rausgetrennt werden, das ist so. Da ist auch die Vorgehensweise die richtige, wie du es gerade gesagt hast. Bei der Netzwerksegmentierung, wenn man es jetzt wirklich mal auf größere Unternehmen herunterbricht, dann ist es ja so, ich habe meine Abteilung in der einen Abteilung, da werden jetzt alle Rechnungen, also das ganze Rechnungswesen, die Personalbuchhaltung, was weiß ich, das läuft alles da, das ist ein Bereich, den man da raustrennen kann, damit man da eben, also ist natürlich das gleiche Internet, aber an sich, dass die Systeme sich untereinander nicht sehen und sich auch nicht austauschen können.
Michael
00:53:22
Auch das, klar, größere Unternehmen, ich würde durchaus Finanzbuchhaltung, Entwicklung, Geschäftsleitung sequenziell trennen von Marketing, um es mal blöd auszudrücken.
René
00:53:34
Oder Produktion oder was weiß ich.
Michael
00:53:36
Bei Produktion hast du meistens Maschinen, die online gehen, das sind absolute Spreader, wenn du alte Softwaresysteme hast, die halt einfach die SPS oder die ...
René
00:53:50
Ich wollte gerade sagen, die sind ja meist alt, die Schaltungen da drin.
Michael
00:53:53
Ja, das ist ein absolutes Spreader, die würde ich auf jeden Fall sequentieren und Marketing muss halt einfach auf andere Webseiten, die machen ganz andere Dinge, da ist eher mal was tabula rasa mäßig was los, wie auf der Finanzbuchhaltung und auf der Geschäftsleitung, von daher, das sind so typische Sektoren, die ich trennen würde. Entwicklung sowieso weg und das macht absolut Sinn.
René
00:54:11
Aber das, was ich meinte, das ist halt die Segmentierung, man kann das halt sehr granular noch machen, kommt aber auch auf die Größe an. Zugangskontrollen haben wir auch oft genug drüber gesprochen, MFA, Rechtekontrollen und so weiter und so fort. E-Mail-Filter ist, denke ich, klar und einen Notfallplan hatten wir auch drüber gesprochen, auch sehr wichtig. Ich würde gerne noch mal, jetzt haben wir die Punkte ja einmal weg, ich würde gerne noch mal einmal darauf eingehen, was machen wir denn, wenn wir einen Ransomwarebefall haben? Das ist, denke ich, auch wichtig, zumindest mal gehört zu haben. Wenn es auffällt, dass ein Gerät infiziert ist, sollte dieses direkt isoliert werden, also wirklich vom Netz trennen. Nicht irgendwie anfangen und ich gucke mal hier und da, sondern nein, Netzwerkkabel raus, das darf keine Verbindung mehr haben.
Michael
00:55:04
Und auch da ganz kurz nur, dass wir die doofen Sachen, dass jeder mal bitte schwunzeln kann, dass wir die dummen Sachen abkaspern, das wird vom Netz getrennt. Und das wird vom Strom getrennt, das wird am Stecker rausgezogen. Wenn es ein Notebook ist, gucken, dass ich den Akku rausnehmen kann, Knopf länger halten etc. Wenn ich einen Monitor ausschalte, sieht das auch so aus, als wäre der Computer aus. Aber meistens schaltet der Monitor nur den Monitor. Ja, ich weiß, es tut mir furchtbar. Aber wir dürfen alle mal lachen. Aber wenn ich in der Schulung drauf bin und sage, wir trennen die Geräte, wie würden Sie jetzt das Gerät trennen? Und die Antwort kommt erst mal, ich schalte den Monitor. Nein, in der Regel gibt es irgendwo Kisten um den Schreibtisch rum, den wo ihr morgens einschaltet, Strom ziehen. Strom ziehen, Netzwerkkabel ziehen. Ist es ein WLAN-Gerät, ziehe ich Strom. Ich muss mir auch keine Gedanken machen, was ich dann immer kriege. Ja, aber Rechner müssen sauber runtergefahren werden. Nein, in diesem Fall möchte auch der Rechner nicht mehr sauber runtergefahren werden. Nein, nicht Decker ziehen. Erste Hilfe, raus aus dem Netz so schnell wie es geht. Kalt raus. Das ist wichtig. Und was man auch macht, auch der Running Gag, wenn ich irgendwelche Mails kriege, wo ich das Gefühl habe, die könnten was sein oder wo ich schon drauf gedrückt habe und der Rechner macht komische Dinge, dann nehme ich nicht die E-Mail meinem IT-Administrator weiter und schreibe unten eine E-Mail rein, hier pass auf, ich habe da gerade drauf gedrückt, der macht komische Dinge, kannst du mal gucken, ob das was war. Auch das nicht. Also solche Dinge tut man nicht. Man verteilt sowas nicht. Man ruft an und sagt, schalte dich mal auf oder sonst irgendwas. Aber in der Regel, erste Sofortmaßnahme, Decker raus. Weg, das Gerät.
René
00:56:55
Und es muss auch klar sein, wenn eine E-Mail gekommen ist, Administratoren haben da Zugriff drauf. Nichts schicken, der braucht auch nicht auf das System. Einfach sagen, hier, dann und dann kam eine Mail, guck da mal bitte drauf.
Michael
00:57:08
Nicht schicken. Wo wir gerade bei lustigen Dingen sind und man muss dem IT-Administrator nicht schicken und man muss auch sein Passwort nicht mehr in einen Briefumschlag in den Tresor reinlegen, weil die Geschäftsleitung der Meinung ist, man müsste vielleicht irgendwann mal aufs Postfach zugreifen können, wenn man im Urlaub ist oder scheidet aus dem Unternehmen aus. Auch da haben im Jahr 2025, die Technik hat sich weiterentwickelt. IT-Administratoren sind durchaus in der Lage, Passwörter zurückzusetzen und auf gewisse Sachen dranzukommen. Kennst du diesen Briefumschlag noch? Ja, du kennst ihn auch, oder? Natürlich. Also nein, nein, nein, bitte nein. Die Spaßstunde ist beendet. Wir gehen zurück zum Thema.
René
00:57:55
Experten hinzuziehen bedeutet, dass man nicht einfach selber versuchen sollte, Daten zu entschlüsseln. Das Problem dabei ist, man kann das Problem noch verschlimmern. Dadurch, dass man die betroffenen Daten nochmal in irgendeine App jagt, kann es dazu kommen, dass man das Ganze nochmal im System mehr verteilt usw. Also wirklich nicht daran probieren. Wenn der Rechner aus ist, wunderbar, ab zum IT-Spezialisten und fertig. Zur Not, wenn es ein großes Unternehmen ist, auch Forensiker hinzuziehen, ganz wichtig. Dann Zahlungen. Sollte man ganz vorsichtig sein, das ist das, was ich vorhin sagte, keiner garantiert, dass die Daten entschlüsselt werden. Und keiner garantiert, dass die Daten entschlüsselt bleiben. Das muss wirklich ganz, ganz hart abgewogen werden. In der Regel rate ich davon ab. Dafür ist das Backup-Konzept so wichtig. Dann kommt man auch nicht in die Situation, dass man diese Zahlungen leisten muss. Unter denen, die nichts haben, haben natürlich Pech gehabt und müssen sich dann damit arrangieren.
Michael
00:59:06
Ich glaube, was da wichtig ist, keine falsche Scham. Hast du den Bock, hast du den Bock. Enttuschen, kleinhalten, keinen Experten dazuhören, gucken, dass man irgendwas mauschen kann, ist der komplett falsche Weg. Hat man ins Klo gegriffen und hat man den Spaß an der Backe, offen, transparent, holt euch Experten ans Boot, meldet vernünftig einen Datenschutzbeauftragten, habt DSB, ISB, macht die Meldungen, klärt das ab, geht Transparenz mit der Sache um und versucht es nicht alleine im Kämmerchen zu lösen. Dazu zähle ich auch die Strafzahlung. Das wird nicht besser werden, das wird nicht gut, das wird das Problem nicht nachhaltig lösen. Ist das passiert, Experten ins Boot, offene, transparente Kommunikation und zusehen, dass man die Kuh vom Eis kriegt. Kleinhalten löst das Problem nicht.
René
00:59:59
Ja, genau. Dann Backup wiederherstellen. Das ist auf jeden Fall ein Punkt, der dann kommt, also nach der Meldung beim DSB. Und dann eigentlich wirklich, wie ich es vorhin schon gesagt habe, keinen Vorfall einfach so vor sich hin plätschern lassen, sondern wirklich dann analysieren, woher kam es und dann Maßnahmen einleiten, damit das eben nicht nochmal passiert. Ganz, ganz wichtig.
Michael
01:00:23
Und am besten das Ganze auf einer Checkliste haben. Das haben wir eben schon gemacht, Notfallplan, dass man mal darüber diskutiert. Das heißt, solange wie die Welt alles Mölkchen ist, wenn man den ganzen Kram unter Kontrolle hat, sollte man in irgendeiner Art und Weise niederschreiben, wie man gerne vorgehen möchte, wenn so ein Ding passiert. Dass man einfach sagt, Step 1, Step 2, Step 3, Step 4, den anrufen, darum kümmern, dass man einfach wirklich abhaken kann. Weil wenn die Bude steht, steht die Bude. Und wenn sie alle da rumrennen wie aufgeregte Hühner und keiner mehr weiß, was machen wir jetzt? Was machen wir dann? Dann ist es cool, man hat irgendwo was, wo man sagen kann, guck mal, das haben wir uns überlegt, das wird schon sinnvoll sein. Lass uns mal nach der Struktur vorgehen. Und Spoiler, das finde ich dann auch cool, wenn es ausgedruckt irgendwo liegt. Weil wenn das einfach verschlüsselt ist. Das sind so Running Gags. Ich weiß, jeder, der jetzt schmunzelt und denkt, was redet der? Wir reden aus der Praxis und wir sehen viel in Unternehmen. Und wenn wir solche Sachen abfragen in Audits und Überprüfungen, und das dann nur da liegt und da kommt im Prinzip keiner dran, wenn was passiert, hilft mir das dann auch nicht.
René
01:01:28
Dann mal rein in, was gab es denn schon für Angriffe? Damit man sich so grob vorstellen kann, was so ein Schaden denn auch wirklich anrichten kann. Also so ein betroffenes Unternehmen. Ich habe jetzt mal exemplarisch einfach drei Fälle rausgesucht. Das ist einmal die Xenovis. Ich weiß nicht, ob es richtig ausgesprochen ist. Das ist auf jeden Fall ein Laboranbieter aus England. Und die haben 2024 einen Angriff abbekommen. Kosten waren 32,7 Millionen. Also das war der Schadenssatz. Ist natürlich ein bisschen schlecht, wenn der Gewinn im Vorjahr 4,3 Millionen war. Übersteigt das also ein wenig. Und das Schlimme dabei ist halt, dass dennoch nach der Lösegeldzahlung 400 Gigabyte an Daten veröffentlicht wurden. Das ist also absoluter Worst Case. Zweites Unternehmen, auch britisch, Logistikunternehmen KNP. Da war es 2023. Da wurden wirklich alle Systeme lahmgelegt und auch eine Lösegeldforderung. Und da war die Lösegeldforderung, die Daten zu veröffentlichen. Da ging es nicht einfach nur darum, die Daten sind verschlüsselt, sondern da ging es auch wirklich darum, dass die Daten veröffentlicht werden. Und da war es halt so, die haben eine Versicherung und so weiter gehabt und die mussten innerhalb von drei Monaten den Betrieb einstellen. Also die haben wirklich dadurch Pleite gemacht. 730 Arbeitsplätze einfach weg. Das muss man sich mal vorstellen. Einfach nur, weil jemand anders sich da Geld erschleichen möchte, das ihm nicht zusteht. Also das finde ich schon richtig stark. Dann das waren jetzt britische Unternehmen. Wir haben natürlich auch ein deutsches, wenn wir jetzt mal das Württembergische Staatstheater in Stuttgart nehmen. War 2019 auch, kam auch über die Ransomware. Da war der verursachte Schaden mehrere hundert Millionen Euro. Und da ist es so, pro Fall haben die 15.000 US-Dollar Lösegeld verlangt. Und das ist, denke ich, auch schon krass. Dann hatten wir zusammenfassend deutsche Unternehmen 2023. Das zum Abschluss nochmal, wenn man ja vielleicht sagt, hier in Deutschland ist nicht so spannend oder wir sind alle so klein und so weiter und so fort. Da ist es so, wenn man alle wirtschaftlichen Schäden durch Cyberangriffe anschließend durch Ransomware nimmt, haben wir im Jahr 2023 einen Schaden von 267 Milliarden Euro gehabt. Und das ist alleine schon ein Anstieg von 206 Milliarden im Gegensatz zum Vorjahr. Also da kann man sehen, wo das gerade so hinführt. Und Ransomware waren alleine 67 Prozent der Schadensumme. Das sind so ungefähr 180 Milliarden. Das ist natürlich zusammengefasst auf alle Unternehmen. Aber da kann man sich halt vorstellen, das werden nicht zwei große gewesen sein. Das ist natürlich eine sehr, sehr große Menge an unterschiedlichen Unternehmen. Und das ist ein gängiges Mittel mittlerweile, um sich Geld zu erschleichen. Das muss man einfach so sagen.
Michael
01:04:55
Genau. Und das, was du da machst oder was du da gerade erzählt hast, ist halt alles ohne Dunkelziffer. Auch das ist das Thema. Also von daher bleibt eigentlich nur der Tipp und die Sache mit Prävention, sich vorher Gedanken zu machen, wo aktiv tätig werden, das Geld lieber in die Prävention stecken anstatt ins Lösegeld und lieber aktiv vorweg was arbeiten, wie hinterher die Scherben wegzukehren. Das ist, glaube ich, so die Sache.
René
01:05:26
Ja, eine Frage habe ich noch abschließend. Dann bin ich aber auch wirklich durch. Was wäre für dich so der bekannteste Ransomware-Angriff oder die bekannteste Ransomware? Ich glaube, spätestens damit, wo es wirklich bekannt ist.
Michael
01:05:44
Ehrlich? Dann schieß los. Da stehe ich auf dem Schlauch. Namen sind bei mir Schall und Rauch.
René
01:05:50
Oder Cry. 2017. Okay. Das ist so, glaube ich, der Name, der den allermeisten, die so ein bisschen in dem Bereich dann wirklich aktiv sind, bekannt sein sollte. Also ab da ging es so richtig los, wo es wirklich auf allen bekannt wurde, die, wie gesagt, da irgendwie ein bisschen was mit zu tun hatten.
Michael
01:06:14
Okay.
René
01:06:15
Dein Fazit?
Michael
01:06:16
Willst du es noch kurz zusammenfassen? Machen wir ein kurzes Fazit noch.
René
01:06:19
Wir sind schon wieder über die Stunde drüber, aber ganz kurz nochmal so die Top 5 oder sowas. Ja, machen wir. Sollte man sich von fern halten? Nein. Also, ganz wichtig, Sicherheitskonzepte, also Backup-Konzepte, Sicherheitskonzepte, Awareness, dass man sich eben genau davor schützt, dass man nicht in die Situation kommt, ein Lösegeld zahlen zu müssen. Wenn es doch so ist, man hat nie eine Garantie darauf, dass es eben dann auch entschlüsselt wird, vor allem auch, dass keine Daten im Nachgang abfließen und auch, dass keine erneute Verschlüsselung stattfindet. Sollte man betroffen sein, Systeme vom Netz trennen, komplett, am besten einfach ausmachen, zum IT-Spezialisten gehen, der wird die Maßnahmen dann entsprechend einleiten und auf jeden Fall dann immer analysieren, wenn man sowas hatte, also erstmal keine falsche Scheu, ist man betroffen, ist man halt betroffen, man hat eh keine Wahl, also wirklich alle Maßnahmen einleiten, einfach offenlegen, das hat auch eine Form von Vertrauen und Transparenz und dann einfach wirklich im Nachgang analysieren, woher kam es, was können wir machen, damit wir es in Zukunft nicht mehr so haben. Ein fertiges Konzept dafür gibt es nicht, das muss man wirklich auf jedes Unternehmen individuell sehen, aber es lässt sich auf jeden Fall viel machen, damit man da nicht so oft, oder nicht so oft, so wahrscheinlich in diese Situation gerät.
Michael
01:07:48
Das heißt, dass es nicht einmal im Monat einen Angriff gibt. Genau, dann ist es nur einmal im Quartal. Wobei, dann hast du Übung, dann ist es auch wieder einfach.
René
01:07:56
Ja, weiß ich nicht.
Michael
01:07:57
Das ist eine andere Form der Awareness. Wenn deine Übung dann ist, Bitcoins zu überweisen, weiß ich nicht.
René
01:08:06
Das wäre von meiner Seite alles dazu. Braucht ihr da Unterstützung mit irgendeiner Form? Michael oder mich ansprechen. Diesmal möchte ich auch Werbung machen. Michael also in Form der QS Kornmann und bei mir wäre es dann die ServeCom eben. Gerne auch ansprechen. Wir haben entsprechend auch ein Team dahinter. Wir können da jeweils ein Team, mit dem wir euch auch entsprechend unterstützen.
Michael
01:08:32
Eins mit Ahnung. Wäre ja schlimm, wenn wir es machen müssten. Wir sind zum Reden da.
René
01:08:39
Ja, genau.
Michael
01:08:41
Es gibt noch Menschen mit Ahnung hinter uns, die dann solche Probleme auch wirklich lösen würden.
René
01:08:48
Ja, Michael, spannendes Thema, war wieder schön. Ich würde sagen, ich verabschiede mich jetzt schon mal, ohne das jetzt zu schnell machen zu wollen. Aber wir hören uns dann ja in 14 Tagen schon wieder. Und bis dahin, alles Gute, viel Spaß bei allem, was ihr an Nicht-Cybercrime-Aufgaben vor euch habt. Und dann hören wir uns beim nächsten Mal wieder. Bis dann. Ciao
Michael
01:09:14
Dem ist nicht viel hinzuzufügen, außer ich wünsche euch ein schönes Wochenende, eine tolle Zeit und wir hören uns beim nächsten Mal. Bis dahin. Tschüss.

Feedback geben

Dir gefällt der Podcast und Du möchtest das mal loswerden? Du hast Tipps für neue Themen oder magst über den Inhalt bestimmter Folgen diskutieren? Dann wähle im Formular die jeweilige Episode aus und schreib uns eine Nachricht. Vielen Dank für Dein Feedback!

Mit einem Klick auf "Nachricht absenden" erklärst Du Dich damit einverstanden, dass wir Deine Daten zum Zwecke der Beantwortung Deiner Anfrage verarbeiten dürfen. Die Verarbeitung und der Versand Deiner Anfrage an uns erfolgt über den Server unseres Podcast-Hosters LetsCast.fm. Eine Weitergabe an Dritte findet nicht statt. Hier kannst Du die Datenschutzerklärung & Widerrufshinweise einsehen.

★★★★★

Gefällt Dir die Show?
Bewerte sie jetzt auf Apple Podcasts