users lounge

Der Podcast für mehr IT-Sicherheit

#47 Mythen aus der IT-Sicherheit

Fehlannahmen erkennen, Risiken vermeiden

18.07.2025 69 min

Zusammenfassung & Show Notes

Wir räumen mit den größten Mythen der IT-Sicherheit auf: von Passwort-Irrtümern über Cloud-Vorurteile bis hin zur unterschätzten Gefahr durch Mitarbeitende. Wir zeigen, warum Antivirus nicht reicht, Backups getestet werden müssen und echte Sicherheit mit Awareness beginnt – und warum Verantwortung Chefsache ist.

Wir sprechen über die größten Herausforderungen und Mythen rund um IT-Sicherheit und Datenschutz. Dabei nehmen wir aktuelle Sicherheitsvorfälle unter die Lupe, thematisieren die Bedeutung sicherer Passwörter und beleuchten die Verantwortung, die Unternehmen für ihre eigene IT-Sicherheit tragen.
Auch der Einsatz von Antivirus-Software und die regelmäßige Wartung von IT-Systemen stehen auf dem Prüfstand. Wir setzen uns mit der Sicherheit von Cloud-Lösungen auseinander, klären gängige Missverständnisse auf und zeigen auf, warum sich Unternehmen nicht auf scheinbare Sicherheitsgefühle verlassen sollten.
Besonderes Augenmerk legen wir auf menschliche Faktoren, effektive Backup-Strategien, die Rolle von Compliance und den oft unterschätzten Einfluss von Insider-Bedrohungen. Wir betonen, wie wichtig Sensibilisierung, klare Zuständigkeiten und kontinuierliche Sicherheitsmaßnahmen sind – unabhängig von Unternehmensgröße oder Branche.

Takeaways
  • Kleine Unternehmen sind nicht immun gegen Cyberangriffe.
  • Automatisierte Prozesse machen es Hackern leicht, Angriffe durchzuführen.
  • Die Verantwortung für IT-Sicherheit liegt nicht nur bei der IT-Abteilung.
  • Antivirus-Software ist nur ein Teil des Sicherheitskonzepts.
  • Regelmäßige Wartung von IT-Systemen ist unerlässlich.
  • Cloud-Lösungen bieten oft besseren Schutz als lokale Systeme.
  • Passwortsicherheit ist entscheidend für den Schutz vor Angriffen.
  • Die Annahme, dass man keine kritischen Daten hat, ist gefährlich.
  • IT-Sicherheit erfordert ein Umdenken in der Unternehmensführung.
  • Die Cloud ist nicht per se unsicher, sondern kann gut geschützt sein. Cloud ist nicht mehr das große Risiko, wenn man bewusst Entscheidungen trifft.
  • Der Mensch bleibt das größte Sicherheitsrisiko in Unternehmen.
  • Multifaktor-Authentifizierung (MFA) ist unerlässlich für die Sicherheit.
  • Backups müssen regelmäßig getestet werden, um ihre Wirksamkeit zu gewährleisten.
  • IT-Sicherheit kostet Geld, schützt aber vor größeren Verlusten.
  • Open Source Software ist nicht automatisch unsicher, erfordert jedoch Aufmerksamkeit.
  • Die DSGVO allein garantiert keine umfassende Sicherheit.
  • Compliance ist wichtig, aber nicht ausreichend für echte Sicherheit.
  • Sicherheit ist eine Frage des Risikos und erfordert ständige Aufmerksamkeit.
  • Mythen über IT-Sicherheit können gefährlich sein und sollten entlarvt werden.

Transkript

Michael
00:00:56
Schönen guten Morgen, René. Ich gucke in zerknitterte Stirn. Was ist los mit dir?
René
00:01:04
Musst du das jetzt sagen? Es sieht doch wenigstens keiner. Ach komm ey, jetzt mach dein Podcast und fertig ey. Jetzt hab ich schon keinen Bock mehr.
Michael
00:01:12
Du hast ein Sorgengesicht aufgelegt. Also, hallo und herzlich willkommen zu aktuellen users lounge. Servus. Grüß dich, René. Hi.
René
00:01:21
Ja, schönen guten Tag. Du weißt aber, dass ich das nicht rausschneiden werde.
Michael
00:01:24
Ich wollte gerade sagen, wir haben jetzt zwei Intros, du darfst dir das Bessere aussuchen. Wir lassen es so laufen. Obliegt dir. Wie geht's dir?
René
00:01:34
Sehr gut, sehr gut. Ja, muss man auch dazu sagen, ich bin ja nur noch ein paar Tage im Einsatz und dann bin ich im Urlaub.
Michael
00:01:41
Ja, sehr schön. Also, bei mir ist alles wunderbar. Da freue ich mich. Ja, wir haben auch schon Ferien hier in Hessen. Urlaub mache ich mal wieder danach. Ich bin so der typische, keine schulpflichtigen Kinder mehr. Ich lasse jetzt erst mal alle Familien in Urlaub gehen. Guck mal, dass meine Mitarbeiter mit den Kiddies in Urlaub kommen und hänge mich dann mal hinten dran. Wenn es mit den Rentnern losgeht, dann gehe ich auch wieder mit in den Urlaub.
René
00:02:06
Wenn ich die Wahl hätte, würde ich es genauso machen. Aber mit Kindern geht es ja nun mal nicht. Ja, Michael. Also, Folge 47. So, wir haben uns ja kurz über das Thema schon mal abgestimmt. Wir machen es diesmal ein bisschen anders. Ich werde auch keine große Rubrik haben, was die News angeht, wie wir es sonst immer hatten. Ein Thema aber und das auch nur, weil ich es so super amüsant finde. Der Chatbot von McDonalds wurde geknackt, also der fürs Bewerbermanagement. Und ja, das Admin-Kennwort war 123456.
Michael
00:02:45
War die 6 hinten dran. Die meisten hören bei 4 oder 5 auf.
René
00:02:51
Also, das ist halt gerade top aktuell passiert.
Michael
00:02:56
Das sind immer so Dinge, da einmal Fußnägel hoch und runter rollen, wo ich mir einfach sage, das darf es eigentlich nicht mehr geben, oder?
René
00:03:04
Das ist schon gar nicht in der Größenordnung. Unfassbar. Da gibt es ganze Abteilungen für. Sorry. Aber davon hat halt jeder, ich weiß nicht, wie man das macht, aber das Gegenteil eine Gehaltserhöhung verdient. Also, ich weiß.
Michael
00:03:19
Die sollten mal mehr unseren Podcast hören. Ich weiß nicht, wie oft wir jetzt schon über IT-Security bezogen auf Passwort und Passwortsicherheit gesprochen haben. Es ist echt, ich weiß nicht.
René
00:03:31
Okay. Aber, wenn wir mal auf das Hauptthema kommen heute, sprechen wir wirklich über, ja, wir haben letztes Mal so eine kleine Kategorie gehabt, Mythos oder Wahrheit. So ähnlich ist es aber nicht wirklich als Kategorie, sondern einfach, dass wir mal über verschiedene Themen aus der Security-Welt sprechen und Dinge, wovon viele ausgehen, die der Wahrheit meist nicht entsprechen. Einfach mal noch mal so kein spezielles Thema drin, sondern einfach, dass wir mal so grob drüber gehen, was es da wirklich so für Behauptungen manchmal gibt, die da in den Raum geworfen werden und was da einfach so für Mythen einfach, was es da draußen gibt, wovon viele ausgehen. Und was heißt, ja, was heißt viele? Die, die es nicht besser wissen. Und ja, dass wir einfach mal über diese Themen sprechen.
Michael
00:04:25
Ein Mythos, um den Running-Gag weiterzutreiben, ist pass1234, ein sicheres Passwort. Wenn das BSI doch acht Zeilen fordert, die haben wir doch.
René
00:04:34
Ja, genau. Schließt sich ja genau dem ersten Punkt an, den wir gerade besprochen haben. Genau. Also, schönen Gruß an McDonald's. Zusammenarbeit ist gar kein Problem. Habe ich auch schon mal gesagt. Wir sind offen für alles. Also, falls ihr Unterstützung braucht, kriegen wir das Kennwort auch auf Achtzeichen. Haben wir ja gerade gehört.
Michael
00:04:55
Wir kriegen es auf Achtzeichen hoch und wir versprechen, danach ist es komplexer.
René
00:04:59
Ganz genau. Ja, Michael, mal zum Einstieg. Der erste Mythos oder die erste Behauptung, die immer mal wieder so im Raum steht. Ich bin doch sicher, mein Unternehmen ist so klein, ich bin nicht interessant für Hacker, Angriffe, wie auch immer.
Michael
00:05:14
Das, das habe ich, das habe ich gelesen, wie du mir die Timeline geschickt hast und ich muss gerade so in mich reingrinsen, weil genau das ist es nicht. Und bringe ich dir, bringe ich dir einen Top aktuell mit. Wir sind ja unter uns, wir sind ja im Podcast. Wir reden ja auch gerne mal offen in den Themen. Bringt mich zu einem Punkt. Ich hatte auf der Webseite, ganz aktuelle Sache, ungelogen, ist, wie es ist, ist halt so, passiert. Ich hatte auf der Webseite einen Beitrag, wo sich eine Person dran gestoßen und gerieben hat. Kann passieren, ist vollkommen normal, wenn du redaktionelle Inhalte machst, passend, passend, keinem passiert. Das Interessante an der Sache, der Beitrag war genau fünf Tage online, wie die Post vom Anwalt im Briefkasten lag. Exakt fünf Tage. Was ich damit sagen bin, wir sind zu klein, wir sind so uninteressant, das greift mich doch keiner, das kannst du dir komplett von der Backe schmieren. Es gibt, das wird automatisiert gemacht, da garantiert keiner in diesen fünf Tagen, mach mal Briefschreiben weg, mach mal Briefschreiben weg, Postweg weg. Das sind bei mir gewesen und das sind bei ganz, ganz vielen anderen auch, wenn man so über das Webseiten-Thema, das ist ja immer so der Angriff, was will man auf der Webseite schauen, da laufen Bots drüber. Das sind Systeme, die im Hintergrund laufen, die die Scanner laufen, die auf Passwörter reagieren, die Dinge machen. Da sitzt keiner mehr, der sich die Mühe macht und crawlt und sucht zwei, drei Stunden im Internet auf irgendwelchen Webseiten, um irgendwelche Erbsen zu finden. Das sind automatisierte Prozesse, die sofort und sehr schnell, bei mir ein bestes Beispiel, reagieren. Das gibt es nicht mehr, von wegen, ich bin zu klein. Das ist, weil es so einfach geworden ist, was zu machen. Auch Passworthacken, ja mal eben schnell irgendeine Software drauf, mal schnell einen Passwortgenerator durchlaufen lassen, mal gucken, was passiert. Das ist einfach für Angreifer keine Arbeit im Sinne von, das ist eine Arbeit, also ich muss da Zeit reinstecken, sondern ich habe ein Bot, ich habe eine automatisierte Software, ich jag die drüber, die arbeitet im Hintergrund und ich kriege ein Ergebnis rausgeworfen oder nicht, da habe ich gar keine Arbeit mit. Das kann ich über hunderte Systeme parallel laufen lassen.
René
00:07:30
Ich denke, dadurch, dass es natürlich viel einfacher geworden ist, weniger Zeit, also deswegen ist es auch weniger zeitintensiv. Ja, klar gehen diese Wellen raus. Michael, ich weiß nicht, ob du sagen willst, aber mich würde jetzt mal interessieren, was du da für einen Inhalt drin hattest. Was war das Problem, dass da ein Anwaltsschreiben kommt?
Michael
00:07:51
Sagen wir mal so, ich muss vorsichtig sein, der Inhalt hätte einen Personenbezug herstellen können. Jedes Unternehmen, mal größer, mal kleiner, alles cool, hast einen redaktionellen Teil, hast einen Teil, der veröffentlicht, irgendwann huscht mal was durch. Irgendwann schiebst du mal von Mitarbeitern was auf die Webseite machen lassen, wo du nicht fünfmal kritisch drüber gelesen hast und kritisch noch eine Freigabe gemacht hast. Ich habe den Beitrag vorbereitet, der ist auf die Webseite ungeprüft. Passiert, alles cool. Jedem passiert mal, hoppala, ist alles cool. Bemerkenswert ist nur die Geschwindigkeit, bis der Brief da war. Hätte ich wahrscheinlich eine Woche oder zwei Wochen später mal bei mir über die Webseite drüber geguckt und hätte gesehen, was ich da drinstehe, dann hätte ich selbst gesehen, wo ich fahre. Lass mal lieber ein bisschen entschärfen beziehungsweise nochmal da ein bisschen Sicherheit drauf haben, weil das eigentlich schon ein Thema bei mir ist. Durchgehuscht, bemerkenswert, deswegen erwähne ich das jetzt hier. Bemerkenswert ist Geschwindigkeit, wie schnell Post da ist.
René
00:08:54
Ich finde es super, dass du so aufmerksam einen Leser hast. Der hat es ja dann ja auch direkt am ersten Tag gelesen.
Michael
00:09:01
Ja, ja, ja. Einer derer, die die Webseite dann aufgerufen haben im fraglichen Zeitraum, wenn wir über die Menge der Personen reden, die es gesehen haben. Ein ganz anderes Thema, ist eine spannende Kiste. Vielleicht wenn ich mit dem Ding durch bin, machen wir mal einen Podcast zum Beantragen von betroffenen Anfragen. Aber ja, so viel zu der Kiste nach dem Motto, es passiert ja keinem und wer interessiert sich schon für meine Webseite und Kram hast du ja nicht gesehen. Wie gesagt, und das trifft halt auch, ganz kurz, das trifft halt eben auch alles. Ich habe jetzt mal das Beispiel mal mit Webseite und mir daheim und meine persönliche Webseite gegeben, aber das trifft halt auch die Server, die in Unternehmen stehen. Wenn ich irgendeinen Zugriff von draußen habe, habe ich statische IP-Adressen, bin ich angreifbar, kann mir einer was greifen, das betrifft. Viel schlimmer ist noch, sag ich mal, was noch viel mehr betreffen kann, ist, wenn ich in irgendeiner Art und Weise in Cloud-Software-Systemen drin sind, die Cloud-Software-Ding, dann bin ich Beifang, wenn irgendwas gehackt wird und irgendwas aufgeht. Also das Thema, es interessiert sich keiner für mich, ich bin zu klein, gibt es nicht. Das muss jeder. Und wenn ich nur gehackt werde, um als trojanisches Pferd genutzt zu werden, um in andere größere Unternehmen reinzukommen. Also wenn ich über die Supply-Chain, wenn ich Zulieferer in der Automotive-Industrie bin oder ich bin sonst irgendwas, dass ich in der Supply-Chain drin bin und einer meiner Kunden, ein größerer Kunde ist, der interessant ist für einen Angreifer, dann ist das natürlich für einen, der den großen Kunden haben will, viel einfacher zu gucken, wer ist denn in der Supply-Chain drinnen, sich da mal was zu greifen und da mal kurz zu gucken und zu sagen, guck mal, wie ich hier drangehe. Hashtag, wenn auf der Webseite groß beworben wird, unsere Kunden und nicht VW, BMW, Mercedes, um mal kurz bei der Gramm reinzugehen, zu unseren Kunden zählen und habt das auf der Webseite drauf. Natürlich mache ich mich da interessanter für Angriffsvektoren und das ist halt eben das Thema. Von daher, ich würde mich auf gar keinen Fall ausruhen auf der Sache. Ich bin eine kleine Bude. Wer will denn schon mit mir was zu tun haben und wer will mich denn schon angreifen? Der Kellich geht an mir vorüber. Das würde ich mich nie im Leben darauf verlassen.
René
00:11:15
Das stimmt, ja. Du musst ja auf der anderen Seite sehen, ja, das Supply-Chain und so weiter, ja, das stimmt. Das ist natürlich immer ein Punkt, aber das Unternehmen an sich ja auch. Also ich meine, vorher hast du Angriffe auf große Unternehmen gehabt. Keine Ahnung, wie viel Zeit die da auch wirklich reinstecken. Dafür kenne ich diese Personen auch einfach nicht, die diese Angriffe fahren. Aber es fällt denen meist ja leichter, kleinere Unternehmen anzugreifen, weil dann die Schutzmechanismen nicht so hoch sind. So, und dann erpresse ich ja zehn Schuhe für mich, nur eins. Wahrscheinlich kriege ich dann noch mehr Kohle im Zeit-Lösegeld-Verhältnis und du hast dann manchmal wahrscheinlich auch noch so Leute noch dabei oder Unternehmen dabei, auch die die Backup-Maßnahmen gar nicht so hochgeschraubt haben. Das heißt, die haben ja gar keine andere Wahl. Die müssen nachher das Lösegeld zahlen und also da ist vielleicht nicht ganz greifbar, warum die gleichen Maßnahmen für kleine wie für große Unternehmen. Aber am Ende des Tages ist es genau der Punkt, weil wenn ich erpresst werde, habe ich keine Wahl und das Erpressungsschreiben oder die Erpressung wird teurer sein. So, und wenn ich dann keinen Plan B habe, wie zum Beispiel zurückrollen aus dem Backup oder sonst was, dann habe ich ein Problem.
Michael
00:12:38
Wenn ich so sage, ja, ich habe keine sensiblen Daten, warum soll ich das Ziel sein? Möge sich jeder bitte mal vor Augen machen, ich komme morgen in die Firma und mein Server ist verschlüsselt oder meine Geräte sind verschlüsselt oder sonst irgendwas. Es geht ja nicht unbedingt nur um das, was du gerade schon sagst. Es geht ja nicht nur ums Abgreifen der Daten, es geht ja auch wirklich einfach nur ums Stilllegen der Firma. Einmal Ramsenwehr-Angriff, erpressungsschreiben mit dabei, willst du weiterarbeiten, ja bitte Bitcoin an. Und dann muss ich dann spätestens, dann ist da jedes Unternehmen drin. Ich kann mir jetzt auf den Griff kein Handwerksunternehmen und kein Unternehmen vorstellen, was glücklich ist, wenn es morgen ins Unternehmen kommt und alle Rechner und die Server sind mal eben verschlüsselt und sie müssen bei null anfangen. Das ist auch nicht so leicht machbar.
René
00:13:30
Genau. Ich meine, da gehört ja einfach viel dazu. Stell dir vor, du hast ein Rechnungswesen. Du musst ans Finanzamt herantreten und sagen, ja, meine ganzen Rechnungen im letzten Jahr habe ich nicht mehr. Da müsstet ihr mal gucken, wie ihr das macht. Das ist gar keine Option. Also das ist einfach nicht möglich. Das heißt, es gibt nicht die Möglichkeit zu sagen oder es gibt das nicht, dass man sagt, okay, ich habe keine kritischen Daten. Selbst wenn man sagen sollte, ich habe all meine Daten in der Software-as-a-Service irgendwo oder sonst irgendwas, also irgendwo in der Cloud und auf meinem System liegen die tatsächlich nicht. Im schlechtesten Fall sind meine Daten abgegriffen. Das heißt, meine Kennwörter sind auch dahin gegangen. Dann könnte derjenige also auch dieses Thema angreifen oder zumindest sich die Daten ziehen. Auf der anderen Seite ist es aber auch so, selbst E-Mails und so. Irgendwas ist immer auf den Systemen drauf.
Michael
00:14:33
Es ist wichtig, dass jedes Unternehmen sich über den ganzen Kram eine Platte macht und vernünftige Schutzmechanismen installiert. Genau das, was wir immer wie so eine indische Gebetsmühle einmal hoch und einmal runter sagen. Macht euch Gedanken. Passwort, Backup, VPNs, Zwei-Faktor-Authentifizierung, diesen ganzen Zermorn, der wo wir nachher auch noch darauf kommen, wo wir mal gucken, was lohnt sich, was lohnt sich nicht, was ist Wahrheit, was ist Mythos. Aber es ist essenziell für jedes Unternehmen. Und von daher würde ich sagen, zu klein für Angriffe, Mythos.
René
00:15:13
Absolut. Ja, da kommen wir mal zum nächsten Punkt. Das ist halt wirklich so. Ich glaube, das ist auch viel in deinem Bereich, dass es da reinfällt. Die IT macht das schon. Die Verantwortung, die IT macht alles.
Michael
00:15:29
Also die IT wechselt das Papier am Drucker, die IT ersetzt das Mäuschen, die IT guckt, dass der Computermonitor hinten richtig eingestellt ist, der stellt den elektrischen Schreibtisch auf die richtige Höhe ein. Das macht alles die IT. Die IT guckt, dass die Signatur richtig funktioniert in dem Kram. Die IT vergibt die Passwörter und die IT sieht zu, dass das ganze Thema IT, also Informationssicherheit ist ja quasi IT. Das macht alles die IT. Die haben den Mitarbeitern gar nichts mehr zu tun. Ganz klar. Vollkommen logisch, oder? Das ist halt das Problem.
René
00:16:02
Also die Verantwortung wird, glaube ich, sehr, sehr schnell immer abgelegt. Wir haben, glaube ich, sehr speziell auch bei der Dienstback darüber gesprochen. Und da geht es halt darum, dass die Geschäftsführung einfach genau da jeden Schritt absegnen muss und so weiter. Also sie kann sich nicht vor der Verantwortung wegducken. Und das ist ja ganz, ganz oft so, dass halt irgendwie, ja, dass dann jemand einfach sagt, ja, okay, die IT, die macht das schon. Ich habe da ein gutes Gefühl bei, ja, wenn was passiert, dann ist das gute Gefühl weg. Aber was willst du dann machen?
Michael
00:16:43
Dann bist du ja trotzdem schuld. Ich wollte es gerade sagen. Übrigens vielleicht ein kurzer Teaser. Wir haben ja über die Dienstback mal gesprochen. Die nächste Stufe bzw. das nächste, was oben drüber geht, wäre die VDS 10.000. So eine Informationssicherheit speziell ausgelegt auf KMU-Unternehmen. Die haben Anfang des Jahres eine neue Version rausgebracht. Ich bringe die neue Version jetzt gerade das erste Mal meinem Kunden unter in der aktualisierten Version. Vielleicht können wir da auch mal so ein, zwei Podcast-Folgen machen, wenn es interessiert. Da gerne mal Feedback geben, weil ich finde das Thema gerade spannend. Da sind ein paar aktuelle Neuerungen drin, die tatsächlich erschreckenderweise am Zahn der Zeit sind und aktuelle Themen behandeln. Und es hat sich echt was getan. Und da wird auch gar nicht mehr von Datenspeichergeräten auf Blu-ray-Laufwerken und sowas gesprochen, sondern, ja, und vielleicht ist das mal ein Thema. Das könnte man vielleicht irgendwann auch mal mit aufnehmen, dass wir so ein, zwei Folgen machen. Jetzt werden nur noch USB-Sticks genannt. Es muss gar nicht mehr auf CD-ROM und Blu-ray gebackupt werden. Ihr könnt jetzt auch nur USB-Sticks nennen.
René
00:17:50
Das können wir auf jeden Fall machen. Wir haben es bei der Dienstback ja auch gemacht und das halte ich auf jeden Fall für sinnvoll, weil das ist das, was...
Michael
00:17:56
Fällt mir nur gerade so ein, ja. Also wie gesagt, Gesamtverantwortung IT ist nicht die IT-Abteilung. Die IT-Abteilung unterstützt, die IT-Abteilung kann Support und Beraten, aber Informationssicherheit macht das gesamte Unternehmen und die Gesamtverantwortung, wie so oft, bei der verantwortlichen Person, in der Regel der Geschäftsleitung. Das heißt, IT-Sicherheit trifft einfach jeden. Der ITler kann noch so schöne Regeln treffen, es kann noch so tolle Dinge getan werden, in dem Moment, wo die Mitarbeiter Informationssicherheit nicht mitleben, nicht selbst ihren Teil der Verantwortung für Informationssicherheit, übrigens auch Datenschutz, übernehmen, crash das ganze System. Es ist dann einfach so.
René
00:18:43
Kann man auch runterbrechen? Jetzt haben wir gerade natürlich nur über die Verantwortung an sich gesprochen. Wenn wir jetzt mal einfach nur dieses, die IT macht das schon, nehmen und dann auch mal diesen Angriff, meinetwegen das Szenario aus dem ersten Punkt nehmen. Es wird verschlüsselt. Wer zahlt denn das Lösegeld? Ist das auch der ITler oder macht das dann die Geschäftsführung oder das Unternehmen? Macht die Unternehmen also bei der Geschäftsführung?
Michael
00:19:09
Macht der Mitarbeiter, der auf den Link gedrückt hat, ganz klar. Klar, wenn es grob fahrlässig ist, dann hast du natürlich eine Haftbarkeit, aber ich glaube, dass das Gute ist immer, das mache ich auch öfters bei Datenschutz und auch, wenn wir so Informationsthemen beschreiben, folge dem Weg des Geldes. Dann weißt du ganz genau, wer es am Ende vom Tag macht. Ja, wir haben da eine Agentur. Ist die dafür verantwortlich? Ja, das weiß ich nicht. Habt ihr die beauftragt? Ja, das weiß ich nicht. Müsste ich gucken. Wo geht denn die Rechnung hin und was steht denn auf der Rechnung? Für welche Dienstleistung bezahlt ihr denn? Und dann kriegt man, ach ja, das macht ja gar nicht die Agentur, sondern in Wirklichkeit haben wir die Domains. Das haben wir ja bei 1&1 oder bei Stradoligen Agentur gemacht. Also das sind so Beispiele, wo ich folge dem Weg des Geldes und du siehst, wo der ganze Kram passiert und wer am Ende die Verantwortung trägt. Und hier bist du genau bei dem Beispiel Ransomware-Angriff. Am Ende vom Tag zahlt das Unternehmen, stellvertretend die Geschäftsleitung. Von daher ist da wohl auch das größte Interesse, dass das Unternehmen funktioniert, um das Risiko gering zu halten für eben genau solche Vorfälle.
René
00:20:13
Ja genau, aber da sieht man halt, wo liegt denn die Gesamtverantwortung, weil am Ende des Tages trägt es auch das Unternehmen, also die Geschäftsführung. Damit kann man es ja runter brechen. Nächster Punkt. Wenn wir über Antivirus sprechen oder über Sicherheitsmaßnahmen, der Punkt, das reicht doch aus. Finde ich ist gar kein, ja, ist jetzt sehr weit gefasst, aber ich finde, es ist etwas, das man auch sehr schnell zu hören bekommt.
Michael
00:20:43
Ich gehe weiter. Ich bin Mac-User. Ich habe mich aus dem System Antiviren, habe ich mich gelöst.
René
00:20:49
Das reicht doch aus, ne? Also Mac zu haben reicht doch aus, oder? Aber genau, es ist ein Paradebeispiel dafür, weil auch Mac nicht zu 100 Prozent sicher ist. Aber dieses, worauf ich hinaus wollte, ist ja einfach, du hast halt beim Antivirus, natürlich ist es ein guter Grundschutz, damit du erstmal eine Erkennung hast. Es ist aber einfach so, dass wir, es sind verschiedene Dinge. Also ein Antivirus ist ja einfach wirklich, was Viren anhand einer Signatur erkennt. Das ist zwar schon etwas, aber das ist schon gut. Das ist auch ein wichtiger Schutz, aber es geht eigentlich noch weiter. Also wenn du jetzt zum Beispiel ein EDA nimmst, das überwacht ja wirklich, da hatten wir schon mal drüber gesprochen, so kurz, da ist es halt so, dass wir das Verhalten tatsächlich auf dem Endgerät überprüfen. Also nicht, dass diese Signatur irgendwo in der Datenbank bei den Herstellern steht, sondern es wird beobachtet, beispielsweise bei einer Ransomware, die nagelneu ist, wie verhält sich diese Datei und was passiert auf meinem Rechner im Hintergrund, was ich selber nicht erkennen kann und was das Antivirus noch nicht kennt, weil die Datei, also dieser Angriff neu ist.
Michael
00:22:00
Das kann das EDA wiederum machen. Also ich gehe weiter, entschuldige mich, dass ich crashe, aber ich glaube, nein, nein, alles gut. Verfolgt den Ansatz, das Endgerät kann nur die allerletzte Schutzbarriere darstellen, aber auf gar keinen Fall den Basisschutz sicherstellen. Ich glaube, das ist das, wo man hinkommt, weil wenn ich nämlich sage, eine Antivirus-Software auf meinem Endgerät ist ausreichend oder eine Software-Firewall auf meinem Notebook, um es mal auf den Punkt zu bringen, ist ausreichend, sicherlich nicht. Das kann die letzte Schutzbarriere nochmal darstellen, um das, was von vorne her reinkommt und durch fünf Filter durchgelaufen ist, dann am Ende bei mir landet, nochmal das letzte Quäntchen Sicherheit zu geben. Aber das ist auf jeden Fall nicht dazu geeignet, meine Basisabsicherung im Unternehmen zu machen.
René
00:22:42
Ja, das hier bezieht sich aber wirklich auch nur auf den Endpunkt. Zum anderen kommen wir gleich auch nochmal. Da gibt es auch nochmal gleich einen Punkt zu. Aber wenn du ein Gerät hast, ein Unternehmensgerät, das wirklich viel unterwegs ist und es dann sehr viel mobiles Arbeiten und ein Antivirus ist zwar drauf, aber es ist ja einfach bei kritischen Daten, bei sensiblen Daten schon Thema, dass man sie über das Antivirus hinaus noch schützt. Da gibt es ja halt noch mehr Dinge. Also wie gesagt, EDA hatte ich gesagt, XDA, das sind zum Beispiel so Dinge, wo eben nicht nur die ersten beiden Sachen kommen, also sprich das Antivirus und das EDA, also Verhalten und Signaturen, sondern beim XDA ist es so, da werden sehr verschiedene Quellen miteinander kombiniert. Das heißt, ich habe keine Ahnung, E-Mails, Firewalls und so weiter. Also alle Infos, die da zurückkommen, die landen in diesem XDA und darauf wird dann entsprechend reagiert. Was ich damit eigentlich nur sagen will, ist halt, das eine ist immer ein Grundschutz. Ich bin jetzt sehr in das Thema Antivirus reingedriftet, weil es ein gutes Beispiel ist, aber es gibt das ja in allen Bereichen, wo jemand einfach sagt, ja, ich habe da ja jetzt was gemacht, das muss jetzt reichen. In manchen Dingen ist es eben nicht so. Und du hast es gerade auch gesagt, wenn ich jetzt das Antivirus als letzten Punkt nehme, dann könnte ich jetzt auch eine Stufe hoch gucken und sagen, du hast keine Firewall. Das geht halt in viele Richtungen. Und wenn wir da mal so eine Analogie herstellen wollen, dass das Antivirus, kann man sich so vorstellen, wie so eine Alarmanlage. Das IDA, XDA ist halt wie die Sicherheitszentrale mit einer Videoüberwachung. Und also noch mal deutlich mehr, was da oben draufkommt. Oder Bewegungsmelder und Live-Reaction, wo du da halt irgendwie, keine Ahnung. Also so kann man sich das vorstellen. Das sind halt immer so Dinge, die das einfach noch feiner machen, noch noch schützender. Und ja, in die Richtung geht es. Deswegen ist die Aussage, es reicht doch aus, das ist mir halt wichtig. Und das hast du ja gerade auch gesagt, ist in vielen Dingen einfach Quatsch. Also das ist meist nicht der Fall.
Michael
00:25:07
Lass mich in dem Kontext noch einen Mythos, noch einen Quatsch aufzählen.
René
00:25:13
So viel wie du magst.
Michael
00:25:14
Und zwar, ja, die Firewall einer Fricksbox ist ausreichend. Die ist super. Die ist super, gell. Auch da bitte, wir haben es schon mal in ein paar Podcasts gehalten, für ein Unternehmen. Und in Unternehmen meine ich auch selbst kleinere Unternehmen. Eine Firewall in einer Fricksbox ist sicherlich gut gemeint und besser wie gar nichts. Aber auf gar keinen Fall, in unserer Sicht ein angemessener Schutzmechanismus.
René
00:25:45
Okay, nächster Punkt. Ich habe doch alles eingerichtet. Das heißt, ich habe einmal alles fertig gemacht und dann muss es für die Ewigkeit halten.
Michael
00:25:54
Ja, muss auf jeden Fall. Passiert ja auch gar nichts. Also nein, auch das ein absoluter Mythos. Software braucht Wartung. Software und Systeme müssen gewartet werden. Das ist die Grundaufgabe einer IT-Abteilung, um es mal so auszudrücken. Und jeder Chef sollte froh sein, wenn er in die IT-Abteilung reinguckt und sein Attiler mit der Tasse Kaffee gechillt vorm Computer sitzt. Dann ist nämlich alles in Ordnung. Der ist mit regelmäßigen Wartungstätigkeiten beschäftigt und alles ist gut. In dem Moment, wo der Attiler Schweißperlen auf die Stirn kriegt und wo der Chef hektisch durch die Gegend rennt, dann ist Alarm angesagt. Das heißt nicht, bei dem Chef endlich arbeitet der Attiler mal was, sondern das heißt, da ist irgendeine Kacke am Dampfen, wo der Attiler jetzt echt nervös und fickerig wird, wo er echt mal einen Riemen auf die Eugen legen muss. Also das ist wichtig. Es gibt ja immer dieses Thema. Sind wir damit jetzt fertig? Haben wir den Datenschutz jetzt mal komplett umgesetzt? Ist die ISO jetzt abgeschlossen? Haben wir jetzt mal alle Systeme eingerichtet? Jetzt läuft es auch. Jetzt muss ja mal drei Jahre Ruhe sein mit dem ganzen Ding. Nein, also es bedarf Software und IT-Systeme bedürfen einer Pflege. Das resultiert auch und zum Großteil aus geänderten Gefahrensituationen, die von außen auf das Unternehmen einwirken. Es gibt einfach mehr Angriffe. Es muss geguckt werden, ob das Sicherheitsniveau noch angemessen ist. Es gibt Updates, die geplant oder ungeplant eingespielt werden müssen. Dazu gibt es Downtime. Das muss abgesprochen werden. Das muss koordiniert werden. Das muss gemacht werden. Dann gibt es durch Backups Bugs. Dann ändern sich Anforderungen, dass Kunden oder Mitarbeiter was konfiguriert haben wollen. Also der Attiler hat schon eine ganze Menge zu tun und einmal eingerichtet bedeutet nicht, dass das für die nächsten drei Jahre im Schrank vergessen werden kann und es schon läuft, sondern da muss man regelmäßig dran und drauf, ganz klar.
René
00:27:58
Und das ist ja jetzt nur auf Sicherheit bezogen. Da hast du absolut recht. Diese Updates und so, die da eingespielt werden müssen. Andersherum hatten wir auch schon mal am Rande drüber gesprochen. Gerade auch die rechtliche Seite führt ganz oft zu Updates und auch da kann man dann, also ich hatte es auch schon mal gesagt, Laxware ist ein gutes Beispiel dafür. Laxware ist da ganz strikt. Also wenn ich zum 31.12. nicht das entsprechende Update eingespielt habe, dann ist die am 1.1. nicht mehr für mich verfügbar, weil ich meine Daten aus rechtlicher Sicht eben nicht mehr nutzen kann oder eintragen darf. Also da gibt es viele Gründe für Updates und das ist dann einfach so. Also man hat gar keine Wahl. Es entwickelt sich immer, ob es die Angriffe sind, die Updatesfunktionen oder wie auch immer. Irgendwas passiert halt immer.
Michael
00:28:47
Ja, aber ich habe das halt auch in der Beratung so oft. Wir haben ja jetzt erstmal noch einen Server eingerichtet. Das haben wir jetzt erstmal alles gekauft. Da haben wir jetzt die nächsten drei Jahre Ruhe. Da muss ja keiner mehr nachgucken, für was brauchen wir einen Wartungsvertrag. Es ist doch neu. Ja, oder? Das ist so ein Klassiker. Ja, es ist neu, aber es ist jetzt nicht wie ein neues Auto mit drei Jahren Garantie, wo du erst einmal nichts mehr anmachst. Es ist zwar neu und es ist super und ihr habt ein tolles System und es ist hoffentlich richtig konfiguriert. Aber jetzt müsst ihr in den Dauerbetrieb reingehen, in eine regelmäßige Pflege und Wartung, weil sonst ist das Ding in einem halben Jahr verhuddelt und ihr habt wieder Probleme mit der IT, Probleme mit der Technik. Es kann zu Ausfällen kommen. Die Sicherheit ist gefährdet und ihr zahlt wieder mit einem neuen Dienstleister, also mit dem Dienstleister, wieder einen Haufen Kohle, bis der das wieder auf ein angemessenes Niveau hebt. Ihr müsst das Niveau halten und Niveau halten bedeutet Wartung und Wartung bedeutet Zeit und Zeit bedeutet am Ende vom Tag einen Dienstleister mit Geld. Das ist halt einfach so.
René
00:29:47
Auch da kurze Anekdote. Bei einem Nichtmehrkunden, den haben wir angesprochen und haben gesagt, du musst mal einen Wartungsvertrag abschließen. Wir machen sowas in Form der Managed Services. Da habe ich ja schon mal gesagt. Den haben wir halt angesprochen. Da hat er halt gesagt, ja, nee, möchte ich eigentlich nicht. Rechtsanwalt ist nur wichtig, dass man das mal dazu sagt, weil da ist es ja eigentlich, ja, dass sowas noch mal ein bisschen anders gesehen wird eigentlich, aber da war gar kein Verständnis dafür da und dann hieß es dann, ja, wenn ich ein Problem habe, rufe ich euch an. Ansonsten, ja, nö. Und sag ich ja, was für eine Herangehensweise, weil am Ende des Tages, wenn du hier einen Ausfall hast, dann ist das System tot. Alle deine Mitarbeiter können nicht arbeiten und was weiß ich was. Ist ja nicht so, dass du jetzt 500 Euro im Monat dafür zahlen sollst, aber du bist auf der sicheren Seite. So, und ich finde halt, ja, ich finde es halt ganz schwierig, gerade, dass ein Anwalt gesagt hat, ja, nee, das machen wir mal nicht. Der sollte schon ein anderes Verständnis dafür haben, aber das ist wahrscheinlich wie dein Abmahnmensch da, ne, und der sich da in dem Augenblick meldet und dann kennt er seine Rechte und fordert seine Rechte ein, auch wenn er keine hat, aber das ist ganz oft echt ein Problem.
Michael
00:31:09
Die Sache ist halt die, ich glaube, das ist ein Mindset-Thema. Man muss halt einfach, ja, wir sind wieder bei, läuft dann schon bei IT-Administratoren und was arbeiten die, was arbeiten die nicht. Man muss so einen Wartungsvertrag nicht sehen, dass man sagt, ich zahle jetzt Wartungsbetrag Dollar X und erwarte genau dafür Y Stunden an nachweisbarer Arbeit, die ich gemacht habe, sondern ich bezahle diesen Wartungsvertrag, um die hohe Verfügbarkeit und die Lauffähigkeit meiner Systeme sicherzustellen. Und wenn mein IT-Unternehmen und mein IT-Supportler und mein IT-Admin die Sache so unter Kontrolle hat, dass die Kiste rennt, dann rennt die Kiste, dann ist das alles gut. Dann zahle ich dem auch gerne mal, also ohne, also meine Gegenleistung für mein monatliches Entgelt ist die hohe Verfügbarkeit der Systeme und nicht die Arbeitszeit der IT-Administration. Und das muss man, glaube ich, so im Kopf switchen. Und in dem Moment wird es logisch. Dann zahle ich lieber jeden Monat ein paar Dollars an Dienstleistung, an einen Wartungsvertrag, weiß aber dafür meine Systeme laufen, es wird gepflegt und wenn die Kiste mal brennt, ist einer vor Ort, als dass ich eben sage, ich lasse die Kiste verrudeln, auf deutsch gesagt, und alle halb Jahr, alle drei Vierteljahr soll mal einer bewusst mit einem Stundenaufwand in die Systeme reinschauen und das Ding wieder gerade ziehen. Das ist, glaube ich, kein sinnvoller Ansatz.
René
00:32:26
Und im besten Fall durch eine Wartung, also eine laufende Wartung, brennt das Ding ja nie. Genau. Das ist der Optimalfall. Darauf zielt ja auch so ein Wartungsvertrag.
Michael
00:32:35
Das ist der Sinn der ganzen Sache. Das ist auch die Erwartungshaltung, die man als Kunde an einen vernünftigen IT-Dienstleister haben kann. Dafür zahlt man Wartung, dass die Kisten eben laufen. Ausfallzeit? Nein. Kann immer mal irgendwas, also ich brauche mir jetzt nicht drüber reden, dass auch mal auf einmal zwei Server auf einen Schlag ausfallen oder auf einmal irgendwas, ja, dass der Blitz einbringt. Ja, es kann ja auch mal ein Bad Update kommen. Ich drücke aber das Risiko, dass sowas passiert und die Verfügbarkeit meiner Systeme wesentlich nach oben, indem ich einfach sage, ich habe einen IT-Admin, der da regelmäßig drüber guckt, der es betreibt und eben nicht die Aussage einmal eingerichtet, jetzt ist es für die nächsten drei Jahre in Ordnung. Also auch da absoluter Mythos.
René
00:33:20
So, damit ist das Thema dann auch abgeschlossen. Michael, dann, ja, wir haben schon so oft drüber gesprochen. Ich weiß gar nicht, ob ich es wieder ansprechen möchte. Die Cloud ist unsicher. Ja, ich glaube, das ist, ich glaube, das können wir abkürzen, weil das haben wir jetzt schon so ganz oft gesagt. In der Cloud haben wir Funktionen, also Schutzfunktionen, die wir in den meisten Unternehmen nicht haben. Natürlich ist es an sich ein größeres Angriffsziel, aber dadurch, dass es halt einen so großen Schutzfaktor hat, ist es auch gewappnet gegen die meisten Angriffe. Das muss man einfach so sagen und da kann jeder, wir hatten auch mal jemanden bei uns in den Kommentaren, der hat dann halt geschrieben, ja, nee, hier, Cloud, das machen wir auf gar keinen Fall. Wir machen alles on Prem. Und dann habe ich mal ein paar Mal nachgefragt und gesagt, ja, hier, das ist doch Quatsch, weil es kostet ja viel mehr. Und dann hieß es ja auch, SaaS ist für mich so gar keine Option. Es gab auch keine Begründung dafür und die gibt es auch tatsächlich nicht. Ich gebe allen Recht, vor fünf, vielleicht auf die Frage, naja, vor zehn Jahren auf die Frage so geantwortet haben, weil alles neu und ja, das stimmt schon. Aber heute hat sich das ja so weiterentwickelt. Alles, alles, also das halte ich persönlich für einen Riesenmythos. Auch nicht mal die Kosten könnten doch ein Argument sein, zu sagen, okay, das will ich nicht.
Michael
00:34:57
Was aber dazu gesagt werden muss, das ist aber wie bei allen Systemen, das ist auch wie bei On-Prem-Systemen. Es muss einer da sein, das vernünftig konfiguriert und die Schutzmechanismen müssen greifen. Du musst dann auch bei einer Cloud mal einstellen, dass kein vierstelliges Passwort ausreichend ist. Du musst dir bei einer Cloud überlegen, wie du die Daten backups, also 27 T-SACs sagen, ganz klar, gehst du in die Cloud rein, machst dir vorher Gedanken, wie du aus dem ganzen Ding rauskommst. Also diese ganzen Dinge musst du dir schon in aller Ruhe angucken, aber das ist alles kein Beinbruch mehr. Das muss man sich einfach angucken. Wo ich aktuell in der Situation bin, wo, wenn du mich letztes Jahr gefragt hättest, und das haben wir auch viele Podcast-Folgen auch schon im letzten Jahr mitgemacht, wo wir immer gesagt haben, hier Vollgas Cloud, Vollgas Microsoft und Gas und was wird nie was passieren und alles in Ordnung. Die aktuelle Wirtschaftslage und die aktuelle Situation mit Amerika. Es gibt schon die Ersten, die ein bisschen kritisch über die ganzen Sachen gucken. Ich weiß, du guckst auch schon, aber da ist glaube ich Microsoft das falsche Beispiel, wo ich sage, da könnte was crashen, sondern da gibt es ganz andere OS-Dienstleister und ganz andere OS-Sachen, wo man eher mal sich Gedanken machen drüber sollte, bevor man an Microsoft drangeht, weil Microsoft hat das EU-Boundary jetzt abgeschlossen. Das sind jetzt alles ein paar Sachen, die da sind. Deswegen, man muss bewusst in den Cloud reingehen. Das ist das, was mir wichtig ist. Du musst dich bewusst für eine Cloud entscheiden, nicht jede dahergelaufen. Wenn wir von Cloud reden, reden wir auch von Software-as-a-Service-Dienstleistungen. Das setzen wir hier mal gleich. Du musst dir vernünftig Gedanken machen, welchen Softwareanbieter, welche Cloud-Anbieter nutze ich. Ist der für mich geeignet? Hat der für mich ein angemessen Sicherheitsniveau? Wie komme ich rein? Wie komme ich raus? Welche Backup-Strategien gibt es? Und dann ist Cloud in vielen Dingen eine On-Prem-Lösung zu überlegen. Ganz klar. Schon allein aus dem Grund, dass bei einer Software-as-a-Service sehr, sehr oft, das heißt immer, die Wartung und der Betrieb der Software nicht vom IT-Admin gemacht werden muss, sondern der Betreiber der Software-as-a-Service-Dienstleistungen eben die hohe Verfügbarkeit der Software sicherstellt und das Funktionieren der gescheiten Updates. Da gehört als Unternehmen wieder ein gescheiter SLA dahinter, dass du Ausfallzeiten etc. pp hast, aber auch da verlagerst du quasi die Arbeit und die Verantwortung nicht, aber die Arbeit eben rüber auf den Dienstleister beziehungsweise auf deinen SASS-Anbieter, wenn du das vernünftig machst.
René
00:37:27
Und das ist ja auf der einen Seite natürlich der Kostenfaktor. Auf der anderen Seite, wenn wir jetzt mal die Ausfallzeit nehmen, das was du ja gerade gesagt hattest, muss man es ja auch mal so sehen, wenn der Anbieter, der Hersteller, das Software-Update einspielt und es ist ein Bad-Update, dann sitzen die Entwickler aber auch sofort dran und lösen das Problem. Wenn ich das Update einspiele, muss ich leider entweder zurückrollen oder warten, bis der Anbieter irgendwie was macht. Also auch da hat man natürlich dann so einen gewissen Vorteil, wenn man eben direkt in der Hersteller-Cloud ist. Gut, damit haben wir das Thema auch abgeschlossen. Der Mensch als Sicherheitsfaktor, Sicherheitsrisikofaktor, wie auch immer man das nennen möchte.
Michael
00:38:16
Der größte Risikositz vom PC, wenn ich das so sage. Aber ja, wenn alle anderen Sicherheitsmechanismen im Unternehmen getroffen worden sind, dass der Mensch als Faktor übrig bleibt.
René
00:38:27
Da haben wir zum Beispiel zwischenzeitlich auch mit dem Leitspruch gearbeitet, wo wir einfach gesagt haben, okay, mach doch den Mitarbeiter zum Sicherheitsfaktor. Also so gut schulen, dass er auch zu einem Sicherheitsfaktor werden kann. Andersrum, klar. Also dieses, dass es nicht funktioniert, das funktioniert in der Regel viel, viel schneller, weil die Angriffe werden ja einfach gezielter, sie werden besser. Das hört sich immer so doof an, wenn man sagt, die Angriffe werden besser, aber sie werden erfolgreicher.
Michael
00:39:05
Hast du ja, was du das Thema, weil Mensch meistens so gesprochen wird, hast du so die Themen nach dem Motto eine Phishing-Email, das musst du doch erkennen. Wie konnte dir denn jetzt passieren, dass du da draufdrückst? Auch da sind die Zeiten aller, aller, aller spätestens jetzt nach dem KI-Hype durch, wo du eindeutig erkennst, das ist der Prinz aus, was weiß ich, der jetzt irgendwie zehn Millionen mal bei dir parken will, weil seine Tante im Krankenhaus liegt. Die Qualität und das, was kommt, ist viel, viel besser geworden. Und deswegen auch das, was wir eben oben besprochen haben, du brauchst Schutzmechanismen, um deinen Mitarbeitern das vorgefiltert schon reinzugeben. Also Spamfilter, die entsprechend funktionieren, Anti-Viren-Scanner, weil die Qualität von E-Mails, die da kommt, die ist halt echt gut, die ist halt wirklich gut. Und du musst halt, Thema Awareness, du musst da halt wirklich mit Awareness-Maßnahmen und mit Schulung und regelmäßiger Sensibilisierung gegenschießen, sonst wird es dir passieren, dass da mal irgendeiner irgendwas aufmacht. Es ist halt so. Gefälschte Kunden, dann kommen, wir hatten eben oben kurz das Thema mit der Supply Chain und Kunden, die angegriffen worden sind. Das ist das beste Beispiel. Wenn mich irgendeiner in meiner Supply Chain gehackt worden ist oder ein Opfer von einem Angriff war, die Domain ist übernommen, dann gehen die E-Mails von dem halt eben raus. Das sieht halt aus, als wär's der. Ja, da werden halt eben Mail-Domains angelegt, wo du ein kleines E mit einem kleinen, also wo die I und L vertauscht, wo du Buchstaben drehst, was du am Anfang nicht wirklich direkt siehst, wo du wirklich so Peanuts drin sind und wo du so sensibel gucken musst. Und das ist echt, du erkennst es einfach nicht mehr sofort. Es ist einfach nicht banal erkennbar.
René
00:40:55
Gerade in der Awareness gibt es genug Studien, in denen die guten Maßnahmen zu einer nachweislich erhöhten Sicherheit führen.
Michael
00:41:03
Aber auch da?
René
00:41:05
Im großen und ganzen.
Michael
00:41:06
Da gibt es natürlich auch schwierige Parts. Auch da Mythos. Einmal im Jahr eine PowerPoint-Schlacht ist Awareness genug. Auch da nochmal. Awareness ist nichts, was ich einmal im Jahr über eine PowerPoint-Schlacht mache, wenn ich meine Mitarbeiter in irgendeinen Meetingraum einfähige und sage, jetzt machen wir mal vier Stunden lang, wie können E-Mails aussehen und was kann passieren. Sondern das Thema kann nur kommen im Unternehmen, wenn es gelebt wird. Von oben runter gelebt wird, vorgelebt wird, gezeigt wird und präsent ist. Mit irgendwelchen Bannern, Flyer am schwarzen Brett, Positiv-Negativ-Beispiele. Wenn es einfach das Gefühl hat, das Unternehmen kümmert sich um Awareness. Und es wird halt einfach nicht nur einmal im Jahr eine PowerPoint-Schlacht als Pflichtveranstaltung durchgeprügelt.
René
00:41:51
Vor allem auch mal simuliert, sodass man das auch wirklich so durchspielt, dass da auch mal zielt solche E-Mails reinkommen. Man vorher nicht darauf hinweist und einfach mal schaut, was funktioniert, was nicht und das dann auch gezielt ansprechen kann. Wie du gerade gesagt hast, der übrigens aus was weiß ich was schickt mir Geld oder will mir Geld schicken. Okay, das kennen die meisten noch, aber irgendwann haben wir mit einem Kunden das durchgespielt. Beziehungsweise er hat das durchgespielt, weil er selber dort im Unternehmen, wir unterstützen da. Also er ist selber ITler und wir unterstützen da und da haben wir uns die Ergebnisse gemeinsam angeschaut. Und da war es halt so, man hat halt aus einem großen I ein kleines L gemacht, was du auch einfach nicht erkennen kannst. Und somit wurde das bei den Empfängern so gesehen richtig angezeigt. Und da hat man halt sofort gesehen, okay, Signatur, alles war richtig. Es lief sogar ein Skript im Hintergrund. Das war aber nur so ein Test-Ding und da war die Angriffswelle schon nicht unerfolgreich. Das kann man so sagen oder muss man so sagen.
Michael
00:43:05
Und vor allen Dingen hast du den Benefit, wenn du das mal simulierst, siehst du als verantwortliche Person, als IT-Abteilung, als Chef, wo hat denn dein Unternehmen ein Thema, wo muss ich denn nachschärfen? Also muss ich wirklich mit der großen Gießkanne in einem 6-Stunden-Meeting wieder alle zusammenraffen und muss mal wieder 86 Power-Portfolien durchdrücken oder sehe ich, wo mein Problem liegt und kann gezielt draufgehen und kann sagen, pass auf, da haben wir ein Thema, da haben wir ein Thema, da haben wir ein Thema. Das gucke ich mir mal technisch an, weil da sind wir an der technischen Stelle sehr schwach. Da gucke ich mal, dass ich ein anderes Firewall kriege, dass da mal Updates eingespielt werden, dass ich anders verpatche etc. pp. Und da muss ich mir organisatorisch was holen, weil da sind E-Mails mit den Signaturen durchgerutscht. Da ist das passiert, da hat der Mitarbeiter das gedrückt, da sind vielleicht Computer nicht sauber oder anders ausgedrückt. Vielleicht stelle ich dann fest, dass vielleicht ein oder zwei Faulhaden zum Unternehmen sinnvoll wären, um zum Beispiel einen Bewerber-Computer oder Marketing-Computer ein wenig abzutrennen von den Computern aus der Entwicklung. Weil wenn Marketing und Bewerber sind immer so Themen, die haben mehr Kontaktflächen nach außen, da kommt mehr rein, da geht mehr raus und ob ich da vielleicht eine Trennung reinmache, dass wenn bei denen was in die Binsen geht, dass es eben nicht durchschlägt bis auf da, wo es wehtut, sondern dass die ein Stück weit getrennt sind. Und das sind alles Themen, die kriege ich nur dann raus, wenn ich es einfach mal simuliere und gucke, was passiert.
René
00:44:32
Ja, genau. Ja, also deswegen, da gibt es viele Themen an der Stelle. Man muss ja auch einfach dazu sagen, so etwas wie, wenn wir von Menschen als Sicherheitsrisiko sprechen, dann müssen wir ja auch ganz klar sagen, Insider-Threats ist ja auch nicht unwichtig. Klar, ich glaube, da liegt das Risiko, wenn es da ist, ist es natürlich riesengroß, so nicht. Ich glaube, das hört man aber deutlich seltener. Es kann aber ja durchaus sein, ich habe eine Mitarbeiterin, Mitarbeiter im Unternehmen, die gehen, aus welchen Gründen auch immer, und dann habe ich da Sicherheitslücken, habe ich da gestohlene Daten, wie auch immer. Auch das ist ja ein Punkt, und da hast du ja genau das Richtige gesagt. Mit den technischen organisatorischen Maßnahmen, dass es zum einen gar nicht möglich ist, oder ich auf jeden Fall einen prüfenden Blick drauf habe, oder wie auch immer.
Michael
00:45:28
Es ist halt einfach, also bei Mitarbeitern gibt es, oh, da kann man einen eigenen Podcast machen, bei Mitarbeitern hast du halt einfach das Thema, dass der Mitarbeiter, also ein Großteil der Mitarbeiter geht friedlich auseinander. Dann gibt es aber von denen, die friedlich von dir weggehen, schon einen gewissen Bestandteil, nenne ich es mal so, der branchenähnlich unterwegs bleibt. Der in ein branchenähnliches Unternehmen geht und an einer branchenähnlichen Tätigkeit weitermacht, der sich sagt vorher, oh, das ist ja doch gar nicht mal so schlecht, dann hänge ich mal kurz einen USB-Stick an die ganze Nummer dran, wer weiß, für was ich es noch gebrauchen kann. Und dann habe ich das Thema mit, ich nenne es mal, das Unternehmen kümmert sich um die Beendigung des Arbeitsverhältnisses und nicht mehr der Arbeitnehmer. Und dann habe ich natürlich einen Arbeitnehmer da, der durchaus sagen kann, oh, die IT habe ich noch, die Zugänge habe ich noch, denen lösche ich jetzt erst mal die Platte oder denen ziehe ich jetzt erst mal ein paar Daten ab oder da mache ich sonst irgendwas. Und dagegen muss ich mich halt einfach als Unternehmen schützen und brauche halt einfach Maßnahmen dagegen. Und von daher die Aussage oder der Mythos, dass die Kriminalität oder der Angriffsfaktor nur von außen kommt und ich von intern keine Angriffsvektoren habe, ist halt auch ein absoluter Mythos. Kann mir genauso intern passieren.
René
00:46:44
Deswegen wollte ich nochmal eingeschoben haben, passt hier jetzt dazu. Der nächste Punkt, ich weiß, du wirst gleich die Hände über den Kopf zusammenschlagen. Wir hatten es gerade aber auch schon kurz, Passwort ist Passwort.
Michael
00:47:02
Oh Gott, nein.
René
00:47:05
MFRA ist zu kompliziert und so weiter und so fort, was da halt alles so kommt.
Michael
00:47:11
Ja, ich meine, genau, das machen wir echt wirklich ganz kurz im Sinne dessen. Ja, nee, also MFRA, also absolute Sache, nichts mehr unter zwölf Passwörtern. Länge schlägt Komplexität. Bitte, wo immer geht, Multi-Faktor-Ordentifizierung gerne den Mitarbeitern einen Passwortmanager gönnen. Das kann eine sehr gute Lösung sein. UBKeys, also Code-Dinger, die man zur Erkennung in die PCs reinsteckt. UBKeys sind die Sache, gibt es aber auch von anderen Herstellern. Es gibt tausend und eins Möglichkeiten, vernünftige Passwörter zu generieren und zu machen. Passwort, Passwort, Passwort ist eines der wichtigsten Dinge, wie man praktisch zeigen kann, was IT-Sicherheit ist und wie man was machen kann. Passwort, Passwort, Passwort. Am besten Umstellung auf Passkeys, dann hat man es noch einfacher oder dann geht es noch besser. Aber weg von, ist uns egal.
René
00:48:13
Da auch ganz kurz, fand ich gestern sehr amüsant. Meine Tochter hat ein Handy und möchte das Gerät jetzt tauschen. Sie bekommt ein neues und dann hat sie darauf ein Spiel auf dem Handy und wollte das Spiel dann übertragen auf das andere Handy. Und dazu musste sie sich einen Account erstellen, damit sie ihren Speicherstand mitnehmen kann. Dann war es so, dass bei diesem Hersteller, ich nenne den mal nicht, aber bei diesem Hersteller war es so, dass die sagen, okay, da liegt eine E-Mail-Adresse hinter. Wenn du mir die E-Mail-Adresse hier einträgst, dann schicke ich dir einen Einmal-Code. Das war es. Kein Wort, nichts. Nur dieser Einmal-Code, der auf die E-Mail-Adresse geht. Dann trägst du den ein, bist drin, kannst machen, was du willst. Also das fand ich auch sehr spannend. Sicherheitstechnisch sehr bedenklich, aber wahrscheinlich ist es denen auch egal. Ja, also so sollte man auch nicht damit umgehen.
Michael
00:49:14
Nein, wann immer es geht. Also auch da kennt man wieder gut funktionierende IT-Abteilungen, gut ausgewählte Software. Ich bin ein großer Freund von Single Sign-On. In dem Moment, wo du dich mit dem Rechner anmeldest, bist du vernünftig in der 365-Umgebung drin und kannst über Single Sign-On rübergehen, in andere Software-Systeme rein. Das ist eine super tolle Lösung. Machen, wenn es geht. Das ist halt Arbeit, ITler muss es können, das muss eingerichtet werden. Aber dann ist das auch ein sehr gangbarer Weg. Das zum Thema Passwörter.
René
00:49:46
Das Schlimme dabei finde ich einfach, wenn man dann die Namen dahinter hört, wie zum Beispiel zu Anfang McDonald's, wenn das so große Namen sind. Und man dann sieht, dass das so läuft, das finde ich schon irgendwie beängstigend. Oder weiß ich auch nicht. Aber es ist eine gute Sache.
Michael
00:50:03
Ich glaube, IT-Sicherheit, und das merken wir ja auch bei dem, was wir reden, IT-Sicherheit skaliert sich nicht mit Unternehmensgröße.
René
00:50:12
Nein, das nicht. Lass mal schnell was auf die Straße bringen, was erfolgreich ist und alles andere kommt dann vielleicht mal. Oder halt auch nicht.
Michael
00:50:26
Reden wir von der elektronischen Patientenakte?
René
00:50:28
Nein, tun wir nicht.
Michael
00:50:31
Hatte sich gratis angehört, als würden wir in der EPA reden. Gut, nächstes Thema.
René
00:50:41
Backups haben wir. Wir wissen zwar nicht wo und wie, aber im schlechtesten Fall haben wir auch keinen Überblick darüber, ob das Backup erfolgreich ist. Aber wir haben eins.
Michael
00:50:51
Richtig. Wir haben so einen USB-Stick. Wir haben uns irgendwann mal im Amazon Prime Day mal einen 128 GB oder einen 3 TB USB-Stick für 39,80 Euro gegönnt. Da haben wir am besten auch gleich zwei von, weil dann haben wir ja immer Abwechslung, dass wir mal sicherstellen, wenn der USB-Stick kaputt ist. Stark. Stark. Und einer liegt immer im Unternehmen und einer hat der Hund am Halsband vom Chef. Das ist der zweite Ablageort, damit nichts schief gehen kann. Da kommt keiner drauf.
René
00:51:22
Den Fall finde ich gar nicht so schlecht. Hauptsache, er ist verschlüsselt.
Michael
00:51:31
Verschlüsselt machen wir nicht, weil da kommen wir nicht mehr dran an die Daten, wenn wir das Passwort vergessen haben. Das ist natürlich blöd.
René
00:51:37
Ja, das stimmt. Aber dafür auch zur Sicherheit kein Passwortmanager.
Michael
00:51:42
Also ganz wichtig, hier ist Mythos oder hier ist die klare Sache. Habe ich kein Restore getestet, habe ich kein richtiges Backup. Ohne dass ich weiß, dass ich aus dem Backup wieder was rausholen kann, ist das Backup wertlos. Das ist so mein Ding.
René
00:52:00
Genau. Und ich würde immer empfehlen, ich meine, wir sind selber Dienstleister, dennoch finde ich es super wichtig, dass man sich da nicht auf das Wort verlässt. Das soll nicht heißen, dass ich uns nicht trauen würde, sondern einfach so eine Auswertung, die systemisch erfolgt, wo das System mir sagt, ja, ist erfolgreich gelaufen und zwar an wie vielen Tagen im Monat und was weiß ich was. Oder wenn es mal nicht erfolgreich lief, woran lag es oder wie auch immer. Das muss ein Unternehmen auf jeden Fall selber leisten, dieses einzufordern, die Übersichten und diese auch zu kontrollieren. Und selbst wenn es keinen Dienstleister gibt, der das für einen kontrolliert, dann bitte selber die Benachrichtigung anmachen, damit man auch die Info kriegt.
Michael
00:52:47
Es ist ein ganz wichtiges Thema, was du gerade ansprichst. Ich weiche ganz kurz ab. Ich habe das jetzt schon ein paar Mal in den ISO Audits gehabt. Ja, wie stellen Sie die Verfügbarkeitssicherung? Also Backup. Ah cool, zeigen Sie mal das Backup-Konzept. Dann gehen die Auditoren noch in das Backup rein und dann sagst du noch, ja, dann sagen die noch, ja, wer kümmert sich um das Ding? Dann sagst du ganz stolz, ja, Backup haben wir ausgelagert, macht uns der IT-Dienstleister. Alles cool. Und dann ist die Tür und Tor auf, weil das ist ein ganz wichtiger Punkt, den du ansprichst. Wer ist verantwortlich für das Backup? Und ich kann das nicht an den IT-Dienstleister auslagern, ohne mit dem IT-Dienstleister einen entsprechenden SLA zu haben, der den IT-Dienstleister auch die Pflicht gibt, das zu machen. Weil bei ganz, ganz vielen Wartungsverträgen, bei ganz, ganz vielen Dingen, steht halt in den Richtlinien oder in den Verträgen mit dem IT-Dienstleister drin, die Einrichtung eines Backup-Systems und am Ende vielleicht noch der Betrieb eines Backup-Systems. Aber eben nicht die Sicherstellung der korrekten Ausführung der Backups und die entsprechenden Restore-Tests drin. Also das ist ein ganz wichtiges Thema, wo man, wenn man in der Normwelt unterwegs ist, formal aufpassen muss und jeder andere auch, dass man die Verträge eben so schließt und weiß, wer am Ende, folge dem Weg des Geldes, wer am Ende vom Tag verantwortlich ist für das Backup. Wer macht es? Wer muss sicherstellen, dass es passiert ist und wer muss die Restore-Tests machen? Es gibt Dienstleister, die übernehmen das. Es gibt Dienstleister, die sagen mit einem Vertrag, wir übernehmen die Gesamtverantwortung für das Backup, wir kriegen die Positiv- und Negativmeldungen und wir melden uns bei euch, wenn es in irgendeiner Art und Weise Probleme gibt. Und selbst dann habe ich im Audit schon das Thema gehabt, haben Sie ein, zwei Restore-Tests gemacht? Haben Sie mal Ihren IT-Dienstleister gestresst? War ein Stresstest gemacht? Haben Sie gesagt, hol mal von letzter Woche Donnerstag das Backup zurück, mach mal hier, mach mal da? Haben Sie das nicht getan? Wissen Sie nicht, dass Ihr Vertrag, den Sie abgeschlossen haben, wirksam ist und der Dienstleister geeignet ist? Und das schiebt jetzt wieder auf das ein, was du eben gesagt hast. Das muss ein Unternehmen unter Kontrolle haben, in irgendeiner Art und Weise. Genau.
René
00:54:57
Und am Ende des Tages ist es genauso wie vorher auch, auch die Geschäftsführung haftet hier an dieser Stelle wieder. Das sind die Daten der Geschäftsführung, ganz klar. Ich meine, natürlich, ein IT-Dienstleister ist auch immer klar, selber versichert gegen Datenverlust, aber da kommt das Große. Aber es gibt halt eine Haftungseinschränkung. Also solange es nicht grob fahrlässig ist und so, wird es ja auch, also diese Haftung ist begrenzt. Das ist ein normales Vorgehen. Das ist bei allen so, wie hoch diese Begrenzung liegt. Okay, das unterscheidet sich. Aber am Ende des Tages muss man auch sowas beachten. Und wenn man dann Schaden von, was weiß ich, 100.000 hat und der Dienstleister begrenzt das schön auf 2.000, wer bezahlt das denn? Nicht der Dienstleister. Das muss man einfach berücksichtigen.
Michael
00:55:46
Ja, und was du halt bei der Sache auch mit berücksichtigen musst, darüber kannst du dir Gedanken machen, wenn du die Kuh wieder vom Eis hast. Aber erst mal muss dein Unternehmen operativ wieder tätig sein und erst mal zählen die Dollars jeden Tag runter, wo du nicht arbeiten gehen kannst. Und dann musst du dir nachher zivilrechtlich überlegen, wo du dir vielleicht die Kohle wieder herholst und wo du dir vielleicht wieder Gedanken machst, wenn du das vorher nicht sauber vertraglich geregelt hast.
René
00:56:13
Genau das ist es, meine ich ja auch. Das ist aber genau das, worauf ich hinaus wollte. Mir ging es nicht darum, was du, also wann du das betrachtest, ob es jetzt nach dem Vorfall ist oder nicht, sondern mir ging es einfach darum, du schließt ja mit jemandem einen Vertrag.
Michael
00:56:28
Genau das meine ich.
René
00:56:29
Und wenn du die Haftung auslagern willst, dann solltest du auf jeden Fall die Haftung in solchen Verträgen auch beachten. Wenn du es nicht tust, dann stehst du natürlich doof da.
Michael
00:56:38
Genau das meine ich. Mach dir am Anfang sauber Gedanken, was läuft und lese dir die Verträge kritisch durch. Und wenn du Bammel hast mit dem Vertrag und wenn du ein unglückliches Bauchgefühl hast mit dem Vertrag, das dir denn nicht klar ist, nachfragen. Einen anderen IT-Dienstleister geben, einem Anwalt geben etc. Guck, dass du bei Verträgen für kritische Infrastruktur, also für genau solche Themen, dass du da an dem Vertrag wasserdicht bist. Und das hilft beiden Seiten. Das ist ja auch kein Böswill und nichts, dass man sagt, man will jetzt da den Dienstleister drücken und knebeln, sondern es geht einfach darum, regelt fair am Anfang die Verantwortlichkeiten.
René
00:57:18
Man schützt ja auch immer nur sein eigenes Unternehmen. Das muss man ja auch so sehen. Genau, damit haben wir das Backup-Thema auch. Sicherheit kostet nur Geld, bringt eigentlich kein Mehrwert, was Effektivität angeht und so, ist also gar nicht so notwendig.
Michael
00:57:35
Ja, auch absoluter Mythos. Ich glaube, das haben wir in den letzten, ich gucke gerade auf die Uhr, 55 Minuten oder 50 Minuten, worüber wir jetzt reden, haben wir so viel darüber gesprochen, um genau das zu einem Mythos zu machen. Das ist, keine IT-Sicherheit kostet Geld. IT-Sicherheit bringt Geld, indem sie das Unternehmen schützt und bewahrt vor Repressalien und Ausfällen. Das ist genau umgekehrt. Du musst halt nur immer, leider ist das Problem, es gibt so das direkte Geld und das indirekte Geld. Direktes Geld kostet das Indirekte, was du dir sparst, siehst du leider am Anfang nicht, weil es halt einfach weiter funktioniert. Also das ist so das Thema, wo du manchmal sagen musst, ja klar, ich bleibe bei dem Wartungsvertrag, den wir hatten. Ja, zahle ich an das Unternehmen jeden Monat Dollar X an Wartungsvertrag, was habe ich denn davon, es läuft ja eh alles. Ja richtig, genau das hast du davon, es läuft ja eh alles. Ja, aber was spare ich? Einen Ausfall. Ich habe das mal gehabt, dass ein Unternehmen mit 50 Mitarbeitern zwei Tage nicht arbeiten konnte, weil irgendwelche Switchs und Sachen im Netzwerk kaputt waren. Rechne das mal hoch. Jeder Mitarbeiter 50 Euro, 8 Stunden mal 50 Mitarbeiter. Yippie yay. Und das ist so ein Thema, von daher, Sicherheit kostet Geld, ist ein absoluter Mythos. Ich würde sagen, Sicherheit bringt Geld. Ganz überspitzt gesagt. Weil es dich einfach schützt und dein Niveau so nach oben schiebt, dass du eben arbeiten musst.
René
00:59:07
Wenn man keine Sicherheitsmaßnahmen hat und es geht gut, ist das wirklich reine Glückssache.
Michael
00:59:12
Das ist Glückssache.
René
00:59:13
Aber Sicherheit sollte wirklich nicht auf Glück basieren. Also ich kann das nicht auslösen, wenn ich weiß, dass es läuft.
Michael
00:59:19
Ich wollte gerade sagen, dass IT-Sicherheit, also kein Vorfall, ohne dass ich da Geld reinpulver, ist ein Lucky Punch. Das ist ein Glücksspiel. Ja. Ganz klar.
René
00:59:32
Okay, drei haben wir noch.
Michael
00:59:34
Dann auf, machen wir eine Speed-Runde. Jetzt machen wir kurz und knackig, sonst knacken wir schon wieder die ganze Stunde.
René
00:59:41
Ja, das kriegen wir trotzdem nicht hin.
Michael
00:59:43
Aber okay.
René
00:59:44
Open Source ist automatisch unsicher.
Michael
00:59:47
Nicht zwingend erforderlich, aber ich glaube, da ist ein Stück Wahrheit dran. Ich glaube, jetzt verwenden wir uns schon wieder in Themen, weil Open Source ist so ein Ding für mich. Das Gute ist schon, du hast in Open Source eben Open Source-Quellofen. Jeder kann lesen, jeder kann machen. Die Sache ist natürlich trotzdem, da kann halt auch jeder drin rumfuschen. Und es ist nicht zwingend sichergestellt, dass, wenn irgendeiner in einem Open Source rumfuscht, ein anderer es findet und dementsprechende Korrektur durchführt. Ich meine, vor einem Jahr oder was hatten wir das Ganze mit einem Linux-System, was ein Microsoft-Mitarbeiter gefunden hat. Das hat einfach tief im System unten in der Software was reingeschrieben worden ist, was da einfach nicht reingehört. Nicht jeder, der einen Code ergänzt, nicht jeder, der in Open Source mitarbeitet, sieht sich auch automatisch in der Verpflichtung, das komplett durchzuprüfen und auf alle Sicherheitslevel zu machen. Will ich es mal so zusammenfassen.
René
01:00:43
Also Backdoors und so, klar, das ist alles möglich. Ich glaube, die Aussage, dass es automatisch unsicher ist, ist falsch.
Michael
01:00:52
Das glaube ich schon. Das ist ganz klar.
René
01:00:55
Automatisch ist es sicherlich nicht. Man muss aber einfach sagen, das ist ja ein Community-Projekt und die Community ist natürlich nur so stark wie die Aktivität darin. Und wenn da jetzt jemand was macht und da passiert halt, also dann veröffentlicht er das, alle patchen das dann quasi und dann weißt du halt nicht. Also wenn dann da lange nichts passiert ist, da kann ein großes Problem entstanden sein. Andersherum gibt es natürlich auch Produkte. Produkte nicht. Pakete irgendwie, die immer aktuell gehalten werden, weil da natürlich eine große Nachfrage da ist, die werden schon sicher sein. Deswegen...
Michael
01:01:37
Hier bin ich voll mit dabei. Ich verwehr mich nur gegen den umgedrehten Aussatz von deiner Mythos-Aussage. Ich wehr mich nur so ein bisschen gegen die Aussage, dass es heißt, Open Source ist das Allheilmittel und mit Open Source ist die Welt am sichersten und am besten, weil damit kann gar nichts mehr passieren. Das muss man ein bisschen differenzierter betrachten, glaube ich.
René
01:02:00
Also ich bin deiner Meinung. Ich glaube auch, dass Open Source an sich etwas unsicherer ist als eine kommerzielle Software, weil eben nicht diese großen Entwicklerteams dahinter stecken. Aber trotzdem ist es nicht pauschal unsicher. Ich glaube, damit können wir es deckeln, oder? Wobei...
Michael
01:02:17
Ich wollte es gerade sagen. Machen wir da mal einen Deckel zu. Wir wollten ja eine Speed-Runde machen.
René
01:02:21
Genau, Michael. DSGVO ist gleich automatisch und sicher.
Michael
01:02:29
Hättest du jetzt auch den Mythos treffen können, DSGVO kann zu 100% umgesetzt werden. Ja, also kick it. Also wenn wir vom Datenschutz, vom DSGVO sprechen, sprechen wir erstmal nur, und wir haben heute den ganzen Tag nur über Informationssicherheitsthemen gesprochen. Leider Gottes hat die DSGVO damit gar nichts zu tun, weil die DSGVO kümmert sich nur um die Verarbeitung von personenbezogenen Daten. Da sind IT-Unternehmen und IT-Daten erstmal vollkommen Rille. Außer wir gehen in die technischen organisatorischen Maßnahmen rein, aber auch die beziehen sich auf personenbezogene Daten. Rein formal davon mal weg. Und ja, DSGVO ist eine Verordnung, ist europaweit umzusetzen, muss man sich drum kümmern, und man muss das Bestmögliche tun, um sich die umzusetzen. Aber wenn ich sage, ich bin DSGVO-konform oder compliant, so DSGVO ist für mich schon ein Mythos genug, weil das finde ich immer lustig, wenn ich so Stempel sehe mit DSGVO geprüft oder bester DSGVO-Schutz oder 100% DSGVO. Also diese ganzen Dinge, da grinst ich mir nur ein Bär drüber. In Wahrheit ist die Datenschutz-Grundverordnung ein Rahmenwerk, was ich habe, um die Verarbeitung von personenbezogenen Daten sicherzustellen. Und an dieses Rahmenwerk sollte ich mich nähern und sollte bestmöglich versuchen, das zu machen. Aber auf gar keinen Fall sage ich, wenn ich in der DSGVO drei Sachen gemacht habe, bin ich automatisch selbst.
René
01:03:51
Ja, aber das ist ja eher so ein Mindestrahmenwerk, richtig?
Michael
01:03:55
Ja, was heißt Mindestrahmenwerk? Das ist schon ziemlich aufgepumpt. Es geht halt auch nur um personenbezogene Daten. Also wo willst du hin mit Mindestrahmenwerk? Wenn ich sage, ich will in die Informationssicherheit rein, also ich will, ja, das Thema, was wir jetzt haben, bist du mit Sicherheit mit einer VDS, mit einem TSACS, mit einem 27001, die verfolgen ganz andere Schutzniveaus. Das ist ein ganz anderes Thema.
René
01:04:18
Mit der DSGVO an sich hast du ja erstmal eine rechtliche Grundlage bekommen. Das musst du aber erfüllen. Das ist so ein Mindeststandard. Alles darüber hinaus, dafür gibt es ja andere Richtlinien.
Michael
01:04:31
Da gibt es andere Richtlinien. Die DSGVO beschäftigt sich mit der Rechtmäßigkeit von der Verarbeitung von personenbezogenen Daten. Und alles andere ist Rahmenwerk um die Datenschutzgrundverordnung rundherum. Und das ist so ein Thema. Ja, also DSGVO gleich automatisch. Sicherheit ist ein absoluter Mythos. Wir machen einen Haken dran.
René
01:04:50
Okay, dann letzte. Compliance ist gleich Sicherheit. Gibt sie das wirklich so wieder? Weil eine Compliance ist ja immer die Frage, wie man damit umgeht. Eine Compliance kann ja auch einfach komplett selbst auferlegt sein. Ob sie wirklich die Sicherheit bringt, nur weil ich sie niedergeschrieben habe. Da tue ich mich halt schwer.
Michael
01:05:14
Ja, das tue ich mir auch. Wenn ich einen Compliance-Nachweis habe, muss ich mich in irgendeiner Art und Weise einer Norm, einem Regelwerk unterwerfen, wo ein Neutraler kommt und auditiert und überwacht und prüft mich und guckt, dass die Einhaltung da ist. Weil ansonsten bin ich betriebsblind. Das heißt mal mindestens VDS27, TSACS, das sind so die drei Goldstandards, die da hinter dem ganzen Kram liegen. Da kommt einer, der guckt sich das an und er macht das. Und dann muss ich das aber auch aus meinem Mindset von meinem Unternehmen noch rausleben und muss es wirklich praktizieren und darf nicht zum Audit irgendeine Blendung da reinbringen, um irgendeine schöne Welt zu simulieren, die es am Ende vom Tag gar nicht gibt. Also nur eine Compliance oder nur ein Zertifikat an der Wand zu sagen, die Unternehmen sind so hundertprozentig sicher. Ja, du hast, wenn einmal im Jahr ein regelmäßiger Auditor kommt und dich überwacht, du bist, ich bleibe mal, du bist in der 27001, in der Zertifizierung drin, dann lebst du schon einen gewissen Standard, hast ein gewisses Niveau an IT-Sicherheit. Du kannst das nachweisen, sonst hättest du das Zertifikat nicht in der Wand. Aber dass das automatisch bedeutet, dass du unantastbar bist, nein.
René
01:06:27
Das erklärt sich aber generell aus der Sicherheit, du bist ja nie zu hundertprozentig sicher.
Michael
01:06:33
Alles eine Frage des Risikos.
René
01:06:38
Ja, Michael, ich glaube, was daraus einfach ersichtlich wird, es gibt immer so, ja, eigentlich die gefährlichsten Dinge, die man so hat, sind die, die wirklich am einfachsten so platt immer daherkommen. Wo man immer, ja, das ist schon so, nee, ist es nicht. Also so ganz einfach ist es auch einfach nicht. Von daher, ja, das sieht man halt immer wieder. Und mich würde wirklich mal interessieren, wenn wir jetzt auf die Community gucken, was gibt es bei euch für Mythen, was habt ihr die letzte Zeit so gehört, was ist bei euch immer wieder aufgeploppt, wo ihr auch entweder Beratungsaufwand betrieben habt oder auf der anderen Seite euch selbst ertappt habt, wo ihr auch erst gedacht habt, könnte, ist es nicht, aber könnte, schreibt es mal in die Kommentare. Lasst uns irgendwie eure Nachrichten zukommen, meldet euch auch gerne in irgendeiner Form. Dass wir da mal schauen können, ob wir da vielleicht noch irgendwie was finden, was aufzuklären wäre.
Michael
01:07:35
Ja, würden wir gerne tun.
René
01:07:39
Genau. Ja, ansonsten, Michael, von meiner Seite aus wären wir durch. Jetzt würden wir es, glaube ich, nur unnötig in die Länge ziehen. Wir entlassen, denke ich, alle schön ins Wochenende, auch wenn es nicht wirklich nach einem schönen Wochenende aussieht, aber wir entlassen. Also bei mir zumindest nicht. Ja, ich weiß nicht, wie es in Hessen ist.
Michael
01:08:04
Wir nennen es mal Wochenende, wir nennen es nicht zwingend schönes Wochenende, wir nennen es mal in ein Wochenende. Ich wollte in ein Wochenende in einem Sommermonat, so sehr neutral ausgedrückt.
René
01:08:20
Gut, ist ein Wochenende für drin, kann ja trotzdem schön sein. In diesem Sinne, vielen Dank, Michael, vielen Dank in die Runde. Wir hören uns in 14 Tagen wieder, alles Gute und bis dahin.
Michael
01:08:34
Von mir auch, Grüße aus Wetzlar, macht es gut bis dahin. Tschüss.
René
01:08:37
Ciao.

Feedback geben

Dir gefällt der Podcast und Du möchtest das mal loswerden? Du hast Tipps für neue Themen oder magst über den Inhalt bestimmter Folgen diskutieren? Dann wähle im Formular die jeweilige Episode aus und schreib uns eine Nachricht. Vielen Dank für Dein Feedback!

Mit einem Klick auf "Nachricht absenden" erklärst Du Dich damit einverstanden, dass wir Deine Daten zum Zwecke der Beantwortung Deiner Anfrage verarbeiten dürfen. Die Verarbeitung und der Versand Deiner Anfrage an uns erfolgt über den Server unseres Podcast-Hosters LetsCast.fm. Eine Weitergabe an Dritte findet nicht statt. Hier kannst Du die Datenschutzerklärung & Widerrufshinweise einsehen.

★★★★★

Gefällt Dir die Show?
Bewerte sie jetzt auf Apple Podcasts