users lounge

Der Podcast für mehr IT-Sicherheit

#63 Schwachstellenmanagement in der Praxis

Warum Prozesse, Priorisierung und Verantwortung entscheidend sind

27.02.2026 63 min

Zusammenfassung & Show Notes

Wir beleuchten die Bedeutung von Prozessdisziplin, Risikomanagement und die Rolle von Führungskräften in der IT-Sicherheit. Dabei erklären wir den Unterschied zwischen Patchmanagement und Schwachstellenmanagement und analysieren typische Schwachstellen sowie deren Ursachen. 

Wir beleuchten die Bedeutung von Prozessdisziplin, Risikomanagement und die Rolle von Führungskräften in der IT-Sicherheit. Dabei erklären wir den Unterschied zwischen Patchmanagement und Schwachstellenmanagement und analysieren typische Schwachstellen sowie deren Ursachen.

Takeaways
  • Schwachstellenmanagement ist ein fortlaufender Prozess.
  • Sicherheit ist eine Führungsaufgabe.
  • Patchen gehört nicht ins Schwachstellenmanagement.
  • 70 Prozent aller Angriffe nutzen bekannte Schwachstellen.
  • MFA überall da, wo es geht.
  • Reporting bedeutet nicht, dass der ITler alles nachguckt.
  • Schwachstellenmanagement ist kein Projekt.
  • Es ist günstiger, eine Lücke zu schließen als einen Angriff zu erklären.
  • Die Ressourcen müssen bereitgestellt werden.
  • Unklare Verantwortlichkeiten führen zu Sicherheitslücken.

Transkript

Hättest du das gerade mal reingeschnitten, so als Begrüßung?
Michael
00:01:02
Mein hochmotiviertes Grüße-Dich-René. Hallo an alle, die zuhören. Du erwischt mich an einem Freitag, nachdem ich vier Tage Rezertifizierungsaudit gehabt habe. Also vier Tage nicht im Büro, vier Tage interessante Gespräche mit Auditoren geführt, wie ich mich mal so ausdrücke. Ja, es ist Freitag.
René
00:01:33
Ja, kurz zur Erklärung. Ich habe gerade nur gesagt, ja moin. Hallo. Also von daher, das klang schon sehr, ja, die Woche muss ausklingen, so ungefähr. Also von daher, nein, alles gut. Schön, dass du es trotzdem geschafft hast, Michael. Ja, für die Runde, schön, dass ihr auch dabei seid. Wir haben uns heute ein Thema aus der Praxis genommen, tatsächlich, und zwar Schwachstellenmanagement. Und ja, wo es halt wirklich darum geht, Schwachstellen in der Praxis, wie sehen sie aus? Warum hat man die, ja, und wie gehe ich halt wirklich systematisch damit um?
Michael
00:02:18
Ja, das ist so, glaube ich, das, was wir, also das ist das, was wir in der Folge mal in den Fokus nehmen wollen, mal weg von dem ganzen Buzzword-Kram und alles was so rundherum hinzu. Was wollen wir damit? Was meinen wir damit? Was versteht man unter? Und wie kriege ich das in die Realität reingebracht? Wie kann ich vermeiden, falsche Prioritäten zu setzen oder einfach auf falsche Sachen zu setzen? Ich meine, das setzt jetzt letztlich die letzten zwei Folgen auch fort, wo wir schon über solche Dinge in ähnlicher Art und Weise gesprochen haben. Und hier geht es halt einfach nochmal darum, über handfeste Sachen und dem einen oder anderen ITler aber auch ein paar Sachen an die Hand zu geben und ein paar Impulse zu liefern für gegebenenfalls Gespräche und Budgetentscheidungen an höhere Stellen. Genau.
René
00:03:10
Ja, ich würde einsteigen wollen mit einem Beispiel. Nehmen wir mal an, so, also stell dir mal vor, mittelständisches Unternehmen, so, keine Ahnung, 80, 85 Mitarbeiter, hat wirklich eine solide Infrastruktur, Firewall, Antivirus-Backup, also alles, was man schon so die letzten Episoden oder die letzten zwei Jahre bei uns gehört hat, wirkt alles erstmal stabil und dann kommt halt mal eine Meldung rein, verdächtige Anmeldung aus Osteuropa. So, das ist zum Beispiel dann eben ungepatchter VPN-Dienst, ist schon eine bekannte Schwachstelle, die seit vier Monaten öffentlich dokumentiert ist, wurde aber nicht gepatcht, also der Patch schlichtweg nicht eingespielt, kein Monitoring, somit auch logischerweise kein bestehender funktionierender Prozess. Und das Ergebnis daraus ist dann, ja, Zugriff auf den Admin-Account und zwei Tage später Ransomware-Angriff, erfolgreich natürlich.
Michael
00:04:06
Ja, schöne Story, Klassiker, Schwachstellen sind halt einfach normal. Also du hast halt immer, deswegen heißt es ja auch Schwachstellenmanagement und nicht Schwachstellen abstellen. Also verstehst du, das machst du ja nicht einmal und dann sind wir durch, sondern das ist ja ein fortlaufender und ein lebender Prozess und jeder kann Schwachstellen schließen, aber es tun sich neue auf, die laufen nie bis zu 200 Prozent durch. Die Sache ist nur, und das ist der Fokus, wie schnell erkenne ich, dass eine Schwachstelle da ist und wie gut, schlecht und wie überhaupt reagiere ich auf so eine Meldung? Weil die Story, die du da jetzt erzählt hast, du hast, es ist ja ganz klar angeschlagen mit einer verdächtigen Meldung, ja, nur wie schnell gehe ich damit um und hätte ich vielleicht früher erkennen können, dass, also hier geht es wirklich darum, wie reagiere ich auf Meldungen und wie hole ich mir Monitoringsysteme ins Haus, um eben entsprechende Kontrolle über das zu haben, was ich mache und ein vernünftiges Management zu betreiben.
René
00:05:12
Ja, eben. Wenn wir jetzt mal auf die letzten Folgen dann zurückgehen, ein Teil des Schwachstellenmanagements ist ja logischerweise Risikomanagement. Da kommen wir wieder nämlich zu den letzten Episoden, wo wir drüber gesprochen haben. Genau. Ich denke, Prozessdisziplin, du hast es ja gerade gesagt, wenn es da keinen richtigen Vorgang gibt, dann ist es natürlich schwierig. Dann guckt da keiner drauf oder selbst wenn jemand die Meldung bekommt, reagiert er nicht passend darauf. Dann ist es sicherlich auch so, wenn die Meldung an der falschen Stelle ankommt, also eine Führungsaufgabe muss es sein. Das heißt, wenn da jemand sitzt, dem es egal ist. Ich will nicht sagen, wer keine Führung hat, dem ist es egal. Nicht falsch verstehen. Aber es ist trotzdem so, Sicherheit, und das haben wir auch schon ein paar Mal gesagt, ist nun mal heutzutage Führungsaufgabe, auch ganz klar in der Geschäftsführung und auch bei den Leitungspositionen anzusiedeln, ganz klar. Compliance, da gehört es auch mit hin, ganz klar. Es ist auch einfach eine wirtschaftliche Notwendigkeit. Eigentlich darf man nicht mit dem Denken rangehen, ich mache da mal Updates, wenn ich Zeit dafür habe, dass das so die Aufgabe der IT ist, sondern dass da wirklich auch einiges mehr hinter steckt.
Michael
00:06:41
Wobei ja Schwachstellenmanagement mehr ist, also mein Schwachstellenmanagement ist ja nicht abgeschlossen, wenn ich Auto-Update einschalte. Also Updates zu machen ist ja nicht Schwachstellenmanagement. Das ist eine Möglichkeit und eine Maßnahme, die man tun sollte, aber das ist ja eben nicht Schwachstellenmanagement. Deswegen die Sache mit, ich drücke mal Auto-Update on, Schwachstellenmanagement erledigt, leider nein. Leider ist das so einfach nicht. Auch das nochmal, du hast so zwei, drei Punkte gesagt, wo ich nochmal ganz kurz reingerechnet bin. Risiko spare ich mir, wir haben ja die letzten Tage schon darüber gesprochen. Was ich wichtig finde ist, du hast gesagt, das liegt an der Führungsaufgabe. Also das ist eine Führungsaufgabe vom Leitungsteam. Ganz klare Sache, wobei ich da den Fokus sehe auf das Verständnis für und das Bereitstellen der Ressourcen an untergeordneter Abteilung. Ich erwarte von keinem Geschäftsleiter und keinem Geschäftsleiter muss anfangen, muss ein aktives Patchmanagement betreiben oder muss irgendwelche Sachen anschaffen und muss sich um den ganzen Kram, aber das Bewusstsein muss da sein und er muss entsprechende Ressourcen bereitstellen, damit das vernünftig im Unternehmen gemacht werden kann. Er hat ja auch einen eingestellt, der eine vernünftige Haustür an die Firmen dran macht. Und er hat auch vielleicht sich einen gekümmert, der eine Alarmanlage um das Unternehmen dran macht. Und er hat vielleicht auch erkannt, dass es nicht schlecht wäre, irgendein Video, also du verstehst, was ich meine. Das sind Sachen, die ganz so greifen, das ist greifbar. Vergleich es wirklich mit Alarmanlagen oder mit Maßnahmen, die du triffst, damit keine ungebetenen Gäste in dein Unternehmen reinkommen. Und IT ist halt einfach sauschwer greifbar, solange bis du wirklich merkst, was weg ist. Und von daher gehört es auf jeden Fall in die Führungsaufgabe rein, die entsprechenden Ressourcen bereitzustellen. Das fand ich super wichtig, nochmal herauszuarbeiten.
René
00:08:48
Ja, genau. Ich finde darüber hinaus auch, ist es auch eine Führungsaufgabe, weil am Ende des Tages, nehmen wir mal jetzt die Haftbarkeit und Sonstiges, da ist die Führung ja sowieso mit drin. Das heißt, sie muss ja quasi absegnen, dass das, was da gemacht wird, auch in seinem Sinne ist oder in ihrem Sinne.
Michael
00:09:09
Unternehmer bist du immer in der ganzen Nummer drin. Du hast die Sorgfaltspflicht, dein Unternehmen zu führen, GmbH-Gesetze etc. Und der zweite Punkt ganz kurz noch, bevor wir weitergehen, was ich wichtig finde, du hast eben von Prozessdisziplin gesprochen. Für mich ist da wichtig, du brauchst Prozessdisziplin schon vornheraus, nämlich in einer vernünftigen Prozessplanung. Ich erstelle mir mal einen Prozess, damit du eben weißt, was du zu tun hast in dem Moment, wo du es tun musst. Also es macht so viel Sinn, sich vorweg Gedanken zu machen. Business Continuum Management, Notfallplan etc. Also du musst dir von vornherein beim Schwachstellenmanagement von vornherein mal einen Plan machen. Wen, wo, wie rufe ich denn an? Und das ist für mich, wenn du von Prozessdisziplin sprichst, geht es für mich auch darum, den Prozess erst mal bewusst zu initiieren und einen zu haben. Allein die Erstellung eines Prozesses ist für mich schon, der in die Disziplin gehört, damit ich ihn nachher in der Umsetzung auch diszipliniert umsetzen und betreiben kann.
René
00:10:20
Absolut. So gehen wir mal darauf ein, was ist denn Schwachstellenmanagement wirklich? Du hast es ja gerade gesagt, es ist halt nicht einfach nur Patches einspielen und damit ist es getan. Also Patchen gehört auch gar nicht erst ins Schwachstellenmanagement. Nein, es gehört nicht ins Schwachstellenmanagement. Es ist natürlich ein Teil des Prozesses, der darin ausgearbeitet wird, ist aber nicht der Prozess per se oder der Teil von dem Ganzen. Also ein professioneller Prozess oder wenn man es wirklich ordentlich machen will, dann ist es ganz klar erst mal die Identifikation. Welche Probleme oder wofür muss ich erst mal Vorbereitungen treffen so ungefähr? Wo gehe ich wie vor? Das muss ich ja erst mal identifizieren. Dann muss ich bewerten und priorisieren. Das sind halt so Sachen, das hatten wir ja letztes Mal auch im Risikomanagement. Da lässt sich das jetzt gerade so die ersten drei Punkte einsortieren. Dann die Behebung. Was ist dann wirklich meine Konsequenz daraus? Wenn XY eintrifft, dann die Dokumentation. Das muss natürlich niedergeschrieben werden. Das ist ähnlich wie in den Projekten, was wir schon mal gesagt haben. Dokumentation ist immer Teil des Ganzen. Da müssen wir auf jeden Fall dran sein. Spätestens wenn mal irgendwann die zuständige Person wechseln sollte, sollte es mal niedergeschrieben sein. Dann die Nachkontrolle. Hat mein Prozess gegriffen oder eben nicht? Und das Reporting. Dass man da wirklich auch einen gewissen Austausch hat, damit dann auch klar ist, dass es läuft oder eben auch nicht.
Michael
00:12:02
Und das Entscheidende. Das Ganze, was du eben erzählt hast, quasi kontinuierlich. Nicht nur einmal im Jahr oder nur einmal im Quartal. Wie gesagt, ich komme aus vier Tagen Audit. Ich war jetzt nicht in dem Audit, aber ich werde nie den Satz vergessen von einem Kunden, der immer sagt, Herr Kornmann, wann sind wir denn mal fertig mit dem QM? Oder eine andere Sprüche, auch so klassisch. Wann sind wir denn jetzt DSGVO-Konflikt? Sind wir mit der Umsetzung der DSGVO jetzt fertig im Unternehmen? Du verstehst, was ich meine. Das ist fortlaufend. Das ist eine kontinuierliche Beschreibung und Betrieb von dem ganzen Zahn. Damit ist man nicht fertig. Man hat irgendwann ein gewisses Level. Sowohl beim ISO als bei DSGVO, als auch bei IT. Man hat irgendwo ein gewisses Level, auf das man sich einschwingt. Was man sich draufgehoben hat. Wo man sagt, das ist das, was ich erreichen wollte. Das ist das, was ich habe. Mit dem Level kann ich gut schlafen. Das läuft. Aber auch dieses Level muss ich halten. Weil wenn ich das Level nicht halte, ist es irgendwann auch wieder weg. Das heißt, ich hoch aufs Level und dann kontinuierliches Monitoring, verfolgen, ergänzen und nacharbeiten.
René
00:13:14
Das ist das gleiche wie in der Security. Da haben wir schon ein paar Mal drüber gesprochen. Fertig ist man nie. Es geht immer weiter. Wenn wir jetzt mal wirklich, ich hatte es ja gerade gesagt, dieses Patchen, dass das quasi oftmals damit gleichgesetzt wird. Wenn wir jetzt mal einfach die Unterschiede zwischen diesen beiden Dingen ausarbeiten würden oder benennen würden, also zwischen Patch-Management und einem Schwachstellen-Management, dann ist das Patch-Management sicherlich eher reaktiv. Das Update kommt raus. Ich installiere es dann. Das kann ich ja nicht proaktiv machen. Dann ist es Update-basiert. Ja, ist logisch. Dann IT-getrieben. Es ist ja kein Prozess. Es kommt ja aus den Systemen heraus quasi. Und es ist halt technisch, logischerweise. Wenn man jetzt das Schwachstellen-Management nimmt, dann ist das halt wirklich risikogetrieben. Das sind ja auch erst mal fiktive Dinge, die du nimmst. Nichts, was jetzt eingetroffen ist, sondern worüber du dir vorher Gedanken machst, was eintreten könnte. Dann ist es Asset-basiert. Also wirklich, dass du guckst. Ich habe ja meine Systeme. Darauf beziehe ich das ja. Ist es Management-getrieben? Das ist das, was ich gerade sagte. Das hat ja mit den Systemen erst mal nichts zu tun, sondern du malst dir diese Situation vorher schon aus. Und es ist strategisch, ganz klar. Ja, wenn wir jetzt mal die Realität im Mittelstand nehmen, Michael. Was siehst du denn so häufig?
Michael
00:14:55
Wenn ich reingehe oder wenn ich rausgehe?
René
00:14:58
Am besten erst mal, wenn du reingehst.
Michael
00:15:00
Ja, also was ich sehe, ist ganz, ganz viele Unternehmen. Wir reden jetzt ganz viel über Prozessdisziplin sprechen oder über Disziplin im Set. Was ich sehe ist kein vollständiges Asset-Inventar, sprich keine vernünftige Auflistung. Welche Werte habe ich im Unternehmen? Schon keine Auflistung. Welche Server habe ich im Einsatz? Welche Firewall habe ich im Einsatz? Wie viele Laptops, wie viele Notebooks habe ich im Einsatz? Kein richtiges Inventar von all diesen Dingen. Das heißt, nennen wir es mal ganz runtergebrochen oder ganz pauschal, keine vernünftige IT-Landschaftsdokumentation. Also keine IT-Dokumentation. Da wird hier mal was gekauft, das wird einfach reingeschmissen. Da wird da mal was gekauft, wird reingeschmissen. Der Laptop kriegt nochmal die Software gekauft. Also auch das Softwaregrad-Trigger, das zieht sich durch Hardware und das zieht sich durch Software. Eine klare Aussage, welche Software ist denn bei euch im Unternehmen freigegeben? Welche Software dürfen eure Mitarbeiter benutzen? Welche Software ist denn kritisch? Welche Software ist unkritisch? Das sind so typische Dinge, wo ich von meinem Tipp her sagen kann, das ist ja jetzt, das ist für mich eine reine Disziplinsache. Das ist kein Rocket Science, sich hinzusetzen im Unternehmen und sich Gedanken zu machen, was habe ich für Geräte? Da gibt es ja auch Scanner, kannst du uns wahrscheinlich auch gleich nochmal Softwareempfehlungen machen mit irgendwelchen Scannern, die die Netzwerke ab- und inventarisieren können, was zumindest Hardware ist und stellenweise auch auf Geräte drauf gucken können. Sich mal Gedanken zu machen, was habe ich denn im Unternehmen an Hardware und Software? Wer hat die im Einsatz? Und wie kritisch ist das, was ich mit den Dingern mache? Ist es wichtig, dass es schön ist? Reden wir über Photoshop oder reden wir halt eben über die Prozesssoftware, die ich brauche, damit meine Maschinen laufen? Das ist schon mal so das Erste, was ich sehe, also pauschal. Eine IT-Landkarte finde ich in den meisten Fällen, wenn ich reingehe, zumindest nicht so detailliert und so ausgearbeitet, dass wirklich alles drin ist. Es gibt Anfänge nach dem Motto, es ist so ein klassisches, wir hatten mal eine Folge zum Thema Streichel den ITler, wie haben wir die denn genannt?
René
00:17:31
Ja, keine Ahnung. Genau, wir hatten mal so eine Folge. Ich glaube, das war irgendwo Mitte letzten Jahres.
Michael
00:17:36
Genau, und in der Regel sind das dann halt auch so Dinge, wo ich zum ITler sage, wie darf ich unterstützen? Dass der sagt, ich würde ja gerne, aber ich schaffe es zeitlich nicht. Das sind immer Themen, wie der Disziplin, habe ich gerade gesagt, das sind immer Themen, wo mir was dazwischenkommt, wo ich sage, IT-Doku mache ich dann. Und das ist so, ich meine, du kennst es, also ihr kennt es nicht, ihr macht es vernünftig, weil ihr als extern reinkommt, ihr habt dem Unternehmen die Ressourcen, aber siehst du bessere IT-Doku, wenn du reingehst?
René
00:18:11
Nein, und würden wir es nicht falsch verstehen, aber wäre es nicht vorgeschrieben gewesen, ITler sind so.
Michael
00:18:21
Ja, das ist vollkommen normal.
René
00:18:23
Also das ist auch bei uns so, aber klar, wir haben unsere Vorgaben und arbeiten danach. Was heißt, wir haben halt Vorgaben oder Richtlinien für uns erstellt, wo wir einfach sagen, okay, das ist das, was sein muss. Aber ein ITler ist so, und ich kann das auch verstehen, weil er will Probleme lösen, dafür ist er da. Und nicht Papier zu füllen, aber am Ende des Tages ist es ein wichtiger Punkt, der dazugehört.
Michael
00:18:49
Aber wir sind doch, wenn ich jetzt über das gesprochen habe, bei all dem, was ich rede, über die letzten zwei Jahre, die Podcasts, die wird noch nie von einem Papier gesprochen. Also wir brauchen einen Prozess, wir brauchen eine Software, wir brauchen im Prinzip irgendein Tool, was uns das abcrawlt. Wir brauchen auch keine Excel-Tabelle, wo wir es reintragen.
René
00:19:13
Das war wirklich gerade nur ein Platzhalter.
Michael
00:19:16
Vier Tage Audit, sorry. Ja, nein, das stimmt.
René
00:19:21
Natürlich, Software gestützt, das machen wir auch. Wir schreiben das nicht auf Papier. Wir haben auch eine Software, wo wir rein dokumentieren, auch Anwendungen, die uns da unterstützen. Wo wir ganz klar einfach sagen, okay, hier, pass mal auf, da ist ein System, darauf lassen wir es laufen, und das holt sich dann die Information von allen anderen. Ja, eine Empfehlung dafür aussprechen will ich ehrlich gesagt nicht, weil jedes Systemhaus hat da so seine eigenen Anwendungen, die es nutzt. Wir haben auch ein Monitoring-System. Darüber läuft bei uns zum Beispiel auch die Inventarisierung. Deswegen tue ich mich da schwer, dann zu sagen, hey, nimm das auch, weil die meisten haben es nicht im Einsatz. Und es gibt natürlich ganz viele unterschiedliche Anwendungen, auch kostenfreie. Man muss aber immer gucken, wie weit man in die Tiefe möchte. Wenn man sehr umfangreiche Dokumentationen haben möchte, und das würde ich schon empfehlen, das auch zu tun, dann ist sie meist kostenpflichtig. Nicht super teuer, aber dann kommt man eher in diesen kostenpflichtigen Bereich. Bevor jetzt Zuhörer sagen, so ein Blödsinn, ich habe da ein Tool, das ist super, schreibt es gerne in die Kommentare, dann können alle anderen davon profitieren. Ich will nicht sagen, dass es das nicht gibt, sondern einfach nur jeder hat seine eigenen Präferenzen oder bevorzugt die ein oder andere Software. Und dementsprechend will ich da keine feste Aussage treffen.
Michael
00:20:55
Perfekt, passt. Ich denke, die Richtung ist klar. Dann, was ich sehe, immer ist, wir sind beim Inventar, wir sind bei Geräten, kommen wir zwangsläufig rüber, nachdem wir das Technische haben, kommen wir ganz klassisch rüber in die organisatorischen Maßnahmen, nämlich die Verantwortlichkeiten. Wer ist denn für was verantwortlich? Und da geht es bei der primitivsten und einfachsten Sache los, wenn wir über Schwachstellen, wir reden über Software, reden über T-Sicherheit. Wer hat denn die Adminrechte auf dem Computer und wer installiert denn Software und wer installiert es denn einfach nicht?
René
00:21:33
Und wer setzt durch, dass die Regeln eingehalten werden?
Michael
00:21:37
Und wer setzt durch, also wer ist verantwortlich? Wem gehört das Gerät? Also selbst diese Dinge, wem gehört dieses Gerät? Wer ist verantwortlich für das, was da auf dem Tisch steht? Und bei vielen Dingen, also auch das, lass mal kurz wieder in den Normen abschweifen oder lass mal in irgendwas abschweifen, das Gerät, das ist ganz einfach, das ist meins. Wunderbar, woher weiß ich, wo steht denn, dass das deins ist? Wer hat dir das denn offiziell übergeben? Wo ist denn, zurück IT-Dokumentation, zurück Disziplin, gibt es denn wirklich irgendwo eine, jetzt darf ich nicht sagen ein Stück Papier, gibt es hier irgendwo eine Sache, wo du das Ding hast übergeben bekommen, sodass das wirklich deins ist? Oder hat es dir einfach einer auf den Schreibtisch geknallt und gesagt, hier mach mal Nutzwahr? Also verstehst du, was ich meine? Klare Regelungen und klare Verantwortlichkeiten bei Mitarbeitern und Redefluss, das Ganze, was dann in der Weida steht, ist klare Verantwortlichkeiten und klare Verbindlichkeiten mit Lieferanten und Dienstleistern in IT-Branchen. Hashtag Service Level Agreement. Wer ist, ja wir haben einen IT-Dienstleister. Super, habt ihr einen Vertrag? Ja, nee, das ist vom Schwarer, der Kumpel, der macht mal bei uns ein bisschen IT. Und ich rufe an, wenn wir ein Problem haben. Genau, ich rufe an, wenn wir ein Problem haben und in der Regel geht dann auch einer ans Telefon. Alles cool, es ist alles super, nur wir sind im Schwachstellenmanagement, wir sind voll in Murphys Law, das wird dann passieren, wenn ich es überhaupt nicht gebrauchen kann. Und ich muss mich darauf verlassen können, dass ein Dienstleister, den ich dafür engagiere oder den ich habe, der das betreut, dass der mir in der Zeit, die ich für angemessen halte, mir hilft und Support leistet. Es bringt mir nichts, wenn ich sage, das ist ein Rechner, das ist so ein typisches Business Continuum Management. Der Rechner, an dem hängt mein Laden. Wenn der nicht 7, 24 Stunden brummt und alle meine Produktionsmaschinen holen sich von dem und ich habe drei Schichten und wenn das Ding ausfällt, steht die Kiste und ich kann 50 Mitarbeiter nach Hause schicken. Dann bringt mir das nichts, wenn ich einen Servicevertrag habe von dem Server, wo drinsteht, Reaktionszeit drei Tage. Das hilft mir nicht weiter an dieser Stelle.
René
00:24:09
Wenn überhaupt was drinsteht. Wenn überhaupt was drinsteht, ja. Das ist so, ja, absolut. Also als Dienstleister, SLAs sind extrem wichtig. Ich meine, am Ende des Tages ist das ja auch eine Zusicherung, kann man aber natürlich auch nur geben. Aus Dienstleistersicht kann man natürlich nur SLAs zusagen, wenn man auch entsprechend aufgestellt ist. Aber genau da muss das Unternehmen dann sagen, okay, entweder passt das zu mir, zu meinen Anforderungen oder es passt nicht. Wenn es nicht passt, ist das nicht der richtige Partner für mich, muss man dann fairerweise auch sagen.
Michael
00:24:45
Von daher, ja. Und auch das, rein aus der Erfahrung raus, ist es natürlich klar, jetzt haben wir es unter uns, der IT-Dienstleister wählt nicht mit dem Service-Level-Agreement, wenn es um irgendwelche Vertragsgestaltungen geht. Natürlich sagt der IT-Dienstleister erst mal, je weniger ich vertraglich gebunden bin, also je mehr ich mich selbst einschnüre, je einfacher habe ich es. Das heißt, so ein SLA muss ich in der Regel einfordern und selbst wenn eins proaktiv gesendet wird, muss der IT-Dienstleister immer das SLA schicken mit den Reaktionszeiten, mit seinen Verbindlichkeiten, die für ihn angenehm sind. Das ist vollkommen klar. Telefonische Erreichbarkeit von 9 bis 14 Uhr, von Montag bis Donnerstag. Und wenn ich mehr will, muss ich halt mit dem Dienstleister in den Dialog gehen und muss sagen, das, was du da drin stehen hast, ist ein wunderschöner Entwurf, aber ich brauche weil und dann wird es sich aufteilen. Entweder ist der Dienstleister in der Lage, das zu leisten, dann kann er den Weg weitergehen. Der wird aber den Einwurf größerer Scheine möchten. Also, du verstehst, was ich meine. Wenn ihr einen 7-24 Stunden Hotline anbietet, dann wird der teurer. Das ist vollkommen normal. Das heißt, wo ich hin will, ist, so ein SLA muss ich als Unternehmen proaktiv anfragen. Das muss ich mir durchlesen. Das muss ich verstehen. Da muss ich Rückfragen stellen, wenn ich nicht verstehe, was da drin steht. Muss das mit meinem Dienstleister besprechen. Muss ich einen offenen, ehrlichen Austausch gehen und dann gucken, passt es oder passt es nicht.
René
00:26:21
Sagen wir mal so, ich hoffe, dass man SLAs nicht immer anfragen muss. Du hast recht, man muss lesen, das ganz klar. Aber normalerweise, so verstehe ich es, so machen wir es auch, sollte als IT-Systemhaus nicht das Problem sein, dann zu sagen, okay, wir haben drei Pakete meinetwegen oder du buchst ja eine Option bei uns, aber damit kann man ja offen umgehen. Am Ende des Tages muss man ja auch sagen, nehmen wir mal an, man hat jetzt ein Team aus fünf Technikern oder zehn Technikern, egal, als Systemhaus. Die sind jetzt alle ausgelastet. Dann kommt mein einer Vertragskunde und hat eine SLA von zwei Stunden. Was bedeutet das denn? Oder von einer Stunde? Das bedeutet, dass einer von denen, die woanders beschäftigt sind, abgezogen wird, damit er diese SLA dann auch entsprechend erfüllen kann. Dann bedeutet das, klar, das ist ein bisschen Aufwand, aber genau das ist das, was er mir zusichert, der Dienstleister. Genau das ist das, was ich bekommen habe. Deswegen ist es ja auch wichtig. Ich meine, am Ende des Tages, man kann noch so einen tollen Dienstleister haben. Wie ich gerade gesagt habe, hat man kein Vertragsverhältnis und man ruft dann da an und die sind alle ausgelastet, ja, dann wartet man, bis einer frei ist. Und im schlechtesten Fall ist die Warteschlange dahinter aber schon da, und dann bin ich mal dran. Also deswegen, ja, bitte lesen, was da steht. Aber wie gesagt, ich sehe es auch von der anderen Seite schon als eine Pflicht an, darauf vielleicht auch hinzuweisen, dass die SLAs so sind.
Michael
00:27:54
Ja, hier, ich will keiner irgendeiner Seite irgendwas Böses, um Gottes Willen, nicht falsch verstehen, aber wo ich hin will, ich weiß, was du meinst. Der Vertrag muss gelesen und abgestimmt sein. Das muss passen, weißt du, was ich meine?
René
00:28:06
Ich wollte nur sagen, also aus meiner Sicht, also der Dienstleister, und das stimmt ja an sich auch, dass es für ein Systemhaus oder für einen Dienstleister am einfachsten ist, keine Zusagen zu treffen. Das ist mir schon klar. Ein Vertrag ohne Zusagen ist natürlich top, keine Probleme. Wartung IT, ich, ja genau, Wartung machen wir, wenn es dann soweit ist.
Michael
00:28:29
One Pager, Wartung IT nach Abstimmung, Monatspauschale, vierstellig.
René
00:28:36
Ja, genau. Nein, also das ist das, was ich meine. Der Dienstleister sollte dann auch so fair sein und sagen, okay, so und so sieht das aus, du hast aber die Wahl, sag mir, was du möchtest, und dann ist es gut.
Michael
00:28:50
Und auch das, was ich brauche, ich meine, das Schwert hat ja zwei Seiten. Auf der anderen Seite brauche ich halt auch keinen Support bezahlen, wenn ich ihn nicht brauche in der Menge. Also, du verstehst, wenn ich sage, Leute, wenn der Server jetzt mal drei Tage steht, ist mir doch egal. Oder wenn das passiert, es ist mir egal, ob das Ding, dann brauche ich natürlich andere Verträge, dann sind das andere Dinge. Da muss ich mir aber auch, wenn wir da so Schwachstellenmanagement und Kram haben, da muss ich mir aber auch andere Gedanken machen. Habe ich hochverfügbare Systeme, brauche ich hochverfügbare Teile, dann macht es vielleicht Sinn, das Ding redundant hochzuziehen oder schon ins Modus nebenher zu legen oder sonst irgendwas, oder entsprechend das SLA hochzufahren. Also weiß, was ich habe, weiß, wie kritisch die Dinge sind und macht mir Gedanken drüber, wie ich mit den Dingen umgehe, wenn das Ding mal stirbt. Risikomanagement.
René
00:29:50
Ja, und so wie du gerade gesagt hast, dieses mit dem vielleicht parallel Aufbau, man muss natürlich auch immer sehen, man kriegt auch nur gute SLAs, wenn die Vorbereitung natürlich getroffen ist. Dienstleister wird sich ja auch nicht am Bein binden, okay, da ist ein Unternehmen, was jetzt so gut wie keine Sicherheitstechnik hat, also das ist ja auch wieder so, aber es passt ja dann wieder zu dem, was wir jetzt immer predigen können. Immer predigen.
Michael
00:30:19
Und auf der anderen Seite auch da nochmal, wenn du HP und Dell und die Konsorten haben, wie die alle Server liefern, wenn die nicht wüssten, dass die tolle Hardware hätten und die nicht wüssten, sie hätten eine vernünftige Infrastruktur dahinter, dann würden die keinen 12, 24, 48 Stunden Austausch anbieten, wenn sie in die Gurgeln reingehen. Also das ist schon ein Spiel, was halt auch, lass mich es umgekehrt spielen, vielleicht kannst du es zum Teil übernehmen, vielleicht nicht, vielleicht hüpfst du gleich mehr an die Gurgel, aber du siehst an der Möglichkeit, wie schnell und agil ein Dienstleister oder ein Hersteller liefern kann, hast du auch so ein stückweites Gefühl, wie qualitativ hochwertig das ist, mit dem du jetzt zusammenarbeitest, weil der einfach sich da hinlegt und sagt, willst du 12 Stunden haben, dann hättest du es gerne auf drei Stunden laden, lass mich kurz telefonieren, ja, kriegen wir auch hin. Also verstehst du, was ich meine, wenn du in so einer Diskussion den sauberen Austausch hast und du merkst, dass dein ITler oder dein Hersteller mit SLAs entspannt umgeht und sagt, ja, machen wir halt, wenn du das willst, mehr Scheine rein, dann kriegen wir das auch in drei Stunden hin, das gibt dir ja auch ein Gefühl von wie tickt der Dienstleister dieses Jahr. Und letzter Punkt, den ich noch gerne sehe, weil mir das wichtig ist, ist abholen, wir haben eben oben gesprochen und du hast eben gesagt, es ist in der Verantwortung der obersten Leitung, dieses Thema aufzuhängen. Umgekehrt finde ich aber, es ist wichtig, dass die IT-Abteilung oder die Abteilung, die sich wirklich ums Umsetzen kümmert, der Geschäftsleitung ein Reporting liefert und die Geschäftsleitung abholt. Nicht, dass die Geschäftsleitung sagt, wir haben mal so ein SLA geschrieben, wir haben jetzt so einen IT-Dienstleister, da bezahlen wir jetzt regelmäßig, hab ich gesehen, kommt Geld rein, was macht der denn überhaupt, wann war der das letzte Mal da, welche Schritte haben wir gemacht zu Erhöhung das, also hier ist das Buzzword Reporting, dass einfach die Geschäftsleitung abgeholt wird und zumindest sieht in Erzählungen, was gemacht wurde und das finde ich halt einfach wichtig, finde ich für mich, das sehe ich in der Praxis an verschiedenen Stellen halt einfach auch nicht, dass die nicht so in dem Sinn, dass die Geschäftsleitung einfach gar nicht so richtig in das Thema involviert ist und abgeholt wird und das finde ich ist ein wichtiger Punkt. Das muss kein Fünf-Stunden-Meeting sein, das ist ganz kurzes Meeting mit der Geschäftsleitung, ein E-Mail, 15 Minuten, eine halbe Stunde Meeting, da stehen wir, das haben wir geplant, auf dem Status sind wir jetzt, da wollen wir hin, dann bist du durch, das ist kein Voodoo.
René
00:33:23
Wenn wir jetzt wirklich, also das waren ja jetzt wirklich die Sachen, die man so sieht, wenn wir jetzt mal einfach darüber hinausgehen, was ist denn, also was sind denn wirklich so schwachstellen so typische Dinge, wenn man da mal einfach drauf eingeht, dass 70 Prozent aller erfolgreichen Angriffe nicht über Zero-Day-Attacken laufen, also sprich gerade ist die Sicherheitslücke auf, sondern die passieren über bekannte Schwachstellen, also Schwachstellen, die auch wirklich mal über Monate lang schon da sind und die Systeme werden schlichtweg nicht gepatcht. Auch das ist ja eben das, was wir oben gesagt hatten, die Prozessgeschichte, also diese, und und IT-Landschaft.
Michael
00:34:15
Du kannst nur Monitoren überwachen und updaten, was du auch kennst. Ich empfehle unsere Folge zur Schatten-IT. Also das sind so diese wichtigen Dinge. Du hast recht, 70 Prozent ist das, was das Großteil ausmacht. Sicherlich, wenn du so Zero-Days hast, musst du schnell reagieren, dann hast du so diese 30 Prozent. Der Großteil kommt halt einfach aus Standard, aber die Administrationspasswörter im Auslieferzustand einfach nicht geändert. Das ist so ein Running Gag. Fritzbox, hinten drauf, das sind so Dinge, Pass 1, 2, 3, 4, diese blöden Dinge.
René
00:34:58
Ja, das sind auf jeden Fall so die typischen Sachen. Also genauso wie MFA und was weiß ich, da haben wir ja jetzt die letzten Male auch immer drüber gesprochen, also dass es kein MFA gibt. Ja, Server-Updates, das haben wir auch drüber gesprochen, aber das sind wirklich die Angriffe, die passieren tagtäglich.
Michael
00:35:17
So, gehen wir mal jetzt, ich hätte gerne noch ein paar typische Schwachstellen rein, also ich würde jedem, bitte, bitte, jeder geht nur noch über MFA in den VPN rein. Also VPN ohne MFA, bitte nein. MFA überall da, wo es geht. Überall da, wo es geht. Ja, einfachste Faustregel, wann immer es eine Option gibt, ja, ich will. Ungepatchtes Server. Habe ich doch gestern wieder einen Windows 10 Rechner gefunden im Unternehmen? Okay. Okay, man müsste gar nicht so weit gehen mit Windows 10. Im Unternehmen. Dann hast du alte Java-Versionen, die irgendwie nicht richtig funktionieren. Ein typischer Klassiker ist, wenn du am Webserver, wir haben mal einen Port aufgemacht, wir haben aber vergessen, den wieder zuzumachen, oder wir wissen gar nicht mehr, dass er noch offen ist. Das sind diese typischen Dinge, wo du dir einfach sagst, komm, hab eine vernünftige Dokumentation, dann weißt du, was auf ist, dann weißt du, dass du wieder zumachen musst und kontrollieren, monitor das regelmäßig.
René
00:36:43
Das ist auf jeden Fall ein sehr beliebtes Ziel. Da sollte man schon hinterhersehen.
Michael
00:36:46
Ein lohnenswertes Ziel.
René
00:36:49
Ja, absolut. Aber das ist wirklich, weil Java halt wirklich so viele Updates auch bringt, heißt das auch, wenn nicht jeder immer Schritt hält, dass sehr viele Schwachstellen auch noch offen sind. Deswegen, also da passiert eine ganze Menge oder ist auch ganz lange eine ganze Menge passiert. Ich muss mal sagen, zum Beispiel das Upgrade auf Windows 11 ist ein Paradebeispiel genau dafür. Wenn ich jetzt das mache, wer weiß, ob die Software danach läuft. Die Frage stellt sich nicht.
Michael
00:37:23
Du hast nicht die Wahl, auf 10 zu bleiben, du musst auf 11. Ich wollte gerade sagen, also auch diese Themen, wir haben auch in isolierten Bereichen, also bei Fertigungsmaschinen hast du hin und wieder nochmal, stoße ich zurück bis auf Windows XP, das ist alles easy. Aber du musst technisch-organisatorische Maßnahmen, Stand der Technik, die Diskussion ist einfach nicht zu führen, genau wie du es eben gesagt hast. Wenn ein Betriebssystem abgekündigt ist, also diese Update-Angst nach dem Motto, dann läuft das und das nicht mehr, das ist nicht das Problem des Updates und die Lösung des Problems ist nicht, ich mache das Update nicht, sondern die Lösung des Problems ist, ich suche mir einen Weg, der nicht ärgerlich und so teuer wie er vielleicht irgendwann dann auch sein mag, in Konsequenz mit neue Software, andere Software, andere Versionen, auch das Updaten etc. pp. Das kann schon wehtun. Die, die privat zuhören, so ein Klassiker bei sowas ist Banking-Software. Wenn auf einmal, wenn das Star-Money auf einmal nicht mehr in der Windows-Version läuft und ich habe die Kontoauszüge nicht mehr.
René
00:38:43
Das Paradebeispiel dafür, Michael, das Paradebeispiel dafür ist, das Upgrade auf, da war es noch auf 10, wo alle gesagt haben und das viel, alle ist gelogen, aber viele, gerade auch so Privatnutzer, die dann gesagt haben, wenn ich das mache, dann läuft mein gecrackt Office 2003 nicht mehr. Ja genau, ja.
Michael
00:39:09
Da kann ich ja gar keine .doc-Dateien mehr verarbeiten, da muss ich ja mit .docx arbeiten, das geht ja gar nicht. Das sind so Sachen, ja. Ist mir diese Woche übrigens auch wieder entgegengespielt. Also das ist inzwischen auch... Ich finde das doch toll, also jeder, auch das nochmal, jeder ganz off-topic, jeder der noch .doc und .xls-Dateien durch die, also mit dem ganz alten Word-Format unterwegs, die meisten Spam-Filter möchten das nicht mehr. Das hat einen Grund. Speichert mal unter dem aktuellen Format, macht das mal aktuell. Schmeißt auch mal aus euren Dateien Makros raus, auch dann sind die Spam-Filter wesentlich knediger. Keiner muss makroverseuchte Excel-Dateien in .xls-Formaten durch die Gegend senden. Es gibt andere Wege. Sorry für off-topic. Ja, nee, ist absolut richtig. Gehört aber auch dazu, ist auch Schwarzstellen-Management. Genau.
René
00:40:06
So, wenn wir jetzt weitergehen, warum das passiert, also warum... Ist zum Beispiel auch Personalmangel, wird ja oft angeführt. Wir schaffen das nicht, weil wir zu viel zu tun haben oder was weiß ich was. Oder weil wir eben zu wenig Leute haben. Ich finde das Beispiel, es greift natürlich nicht, also sollte man da nicht herangehen. Ich finde, so kleine Anekdote am Rande, das beschreibt so ein bisschen, ich habe mal eine Situation gehabt, da saß ich auch beim Kunden, dann haben die gesagt, wir können das aktuell nicht automatisieren, weil wir so viel zu tun haben. Da habe ich dann gesagt, Moment, also ihr habt so viele manuelle Tätigkeiten, dass ihr es nicht digitalisieren könnt oder automatisieren könnt. Das ergibt doch gar keinen Sinn. Also so ähnlich ist es an der Stelle auch. Das heißt, der Personalmangel darf einfach... Und das ist das, was du vorhin gesagt hast. Die Ressourcen müssen bereitgestellt werden. In dem Fall darfst du gar keine Wahl. So dementsprechend sind die Ressourcen nicht da. Okay, Pech. Dann muss man aber auch mit diesem, wenn man das Risikomanagement dann einfach mal annimmt, dann muss man mit den Schwachstellen leben, was definitiv nicht der richtige Weg ist. Aber am Ende des Tages entscheidend ist das Unternehmen selbst und geht dieses Risiko ein.
Michael
00:41:24
Wenn es bewusst getragen wird. Wir sind wieder bei den ganzen Themen, die wir vorhin hatten. Wenn es bewusst getragen wird. Fein, Chef, mache ich nicht. Fertig. Bewusste Entscheidung. Hier sind wir aber wieder bei dem Reporting-Thema, bei dem Verantwortungsthema und bei dem Informationsthema und bei dem Mitnehmen. Das sind immer so Dinge, einfach so als IT-Abteilung oder als IT-Leiter zu sagen, ja, mache ich nicht. Das ist die falsche Instanz, die über sowas entscheidet.
René
00:41:54
Wenn ich einen Tipp geben darf, seid ihr ITler in einem Unternehmen und das Unternehmen entscheidet sich gegen wichtige Maßnahmen. Lasst euch das gerne auch mal bestätigen. Ja, also einfach mal kurz schriftlich. Hey, ich habe darauf hingewiesen. Ihr habt dagegen gestimmt oder ihr wollt das nicht machen. Kurz eine Unterschrift geben lassen, ist alles wunderbar. Ist nur zur eigenen Absicherung. Hat nichts mit Haftbarkeit zu tun. Das Unternehmen haftet. Aber um einen gewissen Schutz vor Konsequenzen zu haben, weil man hat darauf hingewiesen und das Unternehmen hat sich dagegen entschieden. So, das ist meine Meinung dazu. Vor allem übt es dann auch ein anderes... Druck ist jetzt falsch, weil wir letztes Mal auch schon gesagt haben, Druck wollen wir nicht.
Michael
00:42:38
Du suchst Verbindlichkeit.
René
00:42:40
Ja, aber mir geht es auch darum, wenn man jetzt sagt, hey, mir ist das Thema wirklich wichtig. Ich weiß, das brauchen wir unbedingt. Aber das Unternehmen ist dagegen. Geschäftsführung, wer auch immer. Und ich verschriftliche das und weise noch mal darauf hin und will das unterschrieben kriegen. Dann führt das zu einem anderen Druck im Unternehmen. Das Unternehmen nimmt es auch anders wahr. Der Gegenüber, der ist wirklich überzeugt davon, dass wir das unbedingt brauchen. Darüber sollten wir uns vielleicht dann doch mal Gedanken machen.
Michael
00:43:09
Ja, und umgekehrt bringst du genau mit solchen Dingen eben die Entscheider in die Verbindlichkeit, diese Entscheidung wirklich, wirklich bewusst zu treffen und zwar dokumentiert bewusst zu treffen. Dann ist eben nicht mehr der Anschiss nach dem Motto steht die ganze Kiste und dann sagst du als IT-Lehrer, ich habe dir es doch vor einem halben Jahr gesagt. Das wird nicht funktionieren. Also in der Erfahrung her wird das nicht funktionieren. Von daher ist das genau die Sache, da so ein Stück weit die Verbindlichkeit reinzubringen und beidseitig Transparenz, beidseitig transparent zu agieren. Das ist nichts Böses von beiden Seiten. Es ist einfach nur hier, das guck dir mal an. Ich nach meinem besten Gewissen sage, das crasht, das geht in die Binsen. Treffe du bitte eine bewusste Entscheidung für oder gegen irgendwas? Richtig.
René
00:44:00
Ja, nächster Punkt ist unklare Verantwortung. Das hast du aber selber schon gesagt. Deswegen übergehe ich den jetzt mal ganz schnell. Keine Transparenz ist, denke ich, auch klar. Hatten wir ja mit dem Asset Management und Ähnlichem. Wenn das nicht klar ist, dann kannst du natürlich auch wenig anstellen und dann kein Budget. Das ist, wir hatten mal eine Folge, wo es darum ging, da hattest du erzählt, da geht es ja um den Lifecycle von Geräten zum Beispiel. Genau. Also wenn ich mir ein Gerät anschaffe, dann mache ich mir schon Gedanken darum, wann endet es? Also wann lasse ich es sterben und tausche es aus? Zumindest so als Richtwert. Wenn ich die Kosten für IT berücksichtige, für neue Systeme, dann sollte ich die Instandhaltung und so zumindest auch als Richtwert mit einrechnen. Dass das nicht kostenfrei ist, ist, denke ich, klar. Und wir hören es halt permanent in den Medien und nicht nur in den Medien. Generell ist das ja einfach ein Thema, die Security. Und alleine schon deswegen sollte man da schon ein gewisses Budget mit auf diesen Gerätepreis, auf die Gerätepreise mit draufrechnen, für sich zumindest zum Kalkulieren, damit man halt weiß, okay, das Budget dafür muss ich schon bereitstellen für die Person, damit es gemacht wird.
Michael
00:45:16
Richtig. Und wenn wir bei Budgets sind, eine Kostenstelle IT Security ist schön, weil es gibt wahrscheinlich haben die meisten noch eine Kostenstelle IT. Aber dann hört es schon auf. Aber bewusst zu sagen, auch IT Security, dass man das, also vielleicht auch so ein Tipp, dass man das wirklich sauber trennt, dass man sagt, das brauche ich als IT zum Betrieb. Das muss ich kaufen, das muss ich machen. Das ist mein Lifecycle, das ist ein ganzer Kram. Und die Systeme, die Hardware, vielleicht auch die externe Beratung oder den externen Pentest oder was auch immer, brauche ich auf der Kostenstelle IT Security. IT Security ist ein Posten und den kann man mit, je nachdem Unternehmensgröße man sammelt, den kriegt man mit in die IT rein. Nur, wenn wir dabei Transparenz der Geschäftsleitung nach oben klarzumachen, dass man eben für das Budget IT nicht nur Notebooks, Headsets und Mäuschen kauft, sondern für das Budget IT halt auch Investitionen in die IT Security hat. Da kann es sinnvoll sein, das Ganze auf zwei Kostenstellen zu nehmen. Nur so als Transparenz.
René
00:46:25
Ja, es hat ja auch, also da ist das Bewusstsein dann ja auch geschärft. Gehört ja alles irgendwo da dazu.
Michael
00:46:32
Ja, aber am Ende, am Ende so bitter, wie es ist, Scheiderzahl, wir haben jetzt gerade noch mal über Hardware gesprochen, Scheiderzahl, selten an Technik, eher an der Organisation. Also, dass mal Technik überaltet ist und End-of-Life-Cycle ist, kann ich auch schon wieder, kann ich auch schon wieder auf Organisation nehmen, weil ich mir vorher keine Gedanken gemacht habe, wann ich es rausnehme und wie ich es vernünftig organisiere. Also in der Regel. Unbedingt, ja. Scheiderzahl, wirklich selten real an Technik, sondern meistens Scheiderzahl an der Organisation. Finde ich.
René
00:47:06
Ja, also das ist auf jeden Fall der größte Punkt. Ich meine, ja, sagen wir mal, wenn es dem Unternehmen nicht gut geht, dann Budget. Okay, kann ich dann vielleicht verstehen. Aber grundsätzlich, also bei allem, ob das jetzt, keine Ahnung, die Geschäftsführung wird gefragt, weiß aber nicht, wie kritisch es ist oder der Fachbereich, aus welchem Grund auch immer, sagt jetzt gerade passt nicht. Das sind ja alles so Dinge. Ja, das ist aber auch Organisation. Also das sind ja dann wirklich nicht die technischen Dinge, sondern das ist ja schon alles, was irgendwie davor kommt, bevor wir die Technik anfassen.
Michael
00:47:44
Und was auch Organisation ist, ist einer Geschäftsleitung oder Führung klarzumachen, wie kritisch ist das denn jetzt? Wie notwendig ist denn jetzt diese oder diese Maßnahme? Und das aber auch, aber auch erklärend mitnehmen. Also Deutsch ITler, ITler Deutsch oder ITler Geschäftsleitung, Geschäftsleitung ITler, wenn der ITler hinkommt und sagt, wir haben jetzt da die Zero Day 64839, wir müssen jetzt sofort Server SDM 4749 erneuern und müssen das den Typ, also wo ich hin will, ist macht es den Geschäftsleitung klar, was ihr für Themen habt und erklärt es so, dass es verstanden wird und dass das Bewusstsein dafür auch da sein kann. Das ist auch manchmal ein Thema, wo man, wo man aufpassen darf, wie man was rüberbringt.
René
00:48:39
Ja, das sehe ich auch so. Wenn wir jetzt mal die Schwachstellen nehmen, ich meine, ja, jetzt haben wir gerade darüber gesprochen, okay, was sind die Gründe dafür und so weiter und so fort. Jetzt könnten wir natürlich noch mal genau reingehen. Wie sieht ein gutes Schwachstellenmanagement aus? Das würde ich jetzt kurz darstellen. Wir haben ja gerade schon viele Punkte genannt. Deswegen würde ich es jetzt einfach nur kurz noch mal runterbrechen wollen, weil wir jetzt dann auch schon zu fortgeschrittener Zeit sind. Also grundsätzlich, du hast es ja gesagt, Asset Transparenz, also erst mal so ein Asset Management mit allen möglichen Daten aufzubauen, die wirklich relevant sind, im besten Fall eben nicht manuell, sondern automatisiert und so, dass es immer wieder läuft, dass es zyklisch ist und wir auch die aktuellsten Informationen immer wieder ins System reinbekommen. Sollte also, wie bei allem anderen, nicht eine einmalige Schnappschussaufnahme sein und dann, ja, habe ich ja, nee, das muss schon laufend sein. Regelmäßige Scans ist sicherlich ein Punkt, ist ähnlich wie bei einer Firewall und so, dass man einfach mal guckt, was ist offen bei mir im Netzwerk, dass man einfach mal so Schwachstellen schließen kann oder zumindest mögliche Einfallstore schließen kann. Und ein Paradebeispiel dafür ist natürlich, okay, ich habe eine Firewall, aber wenn ich immer sehe, dass bei der internen Kommunikation schon die lokale Firewall auf dem Endgerät deaktiviert wird, weil es dann für die interne Kommunikation einfacher ist. Ja, das ist, also dann Glückwunsch. Nichts verstanden von dem, was wir die letzten zwei Jahre erzählt haben. Das ist einfach, also das sollte man auf gar keinen Fall machen. Deswegen also auch da scannen und wirklich gucken, welche Ports sind offen, was habe ich für, ja, was ist da wirklich gerade alles in meinem Netzwerk unterwegs? Nicht welches Gerät, sondern wohin können diese Daten wie gelangen? Und ist das wirklich notwendig? Risikobewertung, hatten wir auch gesagt, ist auch völlig klar. Gehe ich nicht weiter darauf ein. SLRs hattest du genannt. Die sollten ausgehandelt sein. Patch und Change Management. Wir hatten jetzt vorhin immer vom Patch Management gesprochen. Change Management ist, denke ich, aber auch klar. Also wenn es Veränderungen im Netzwerk gibt, dafür sollte es auch einen Prozess geben, der eben, ja, was weiß ich, zum Beispiel eine Testumgebung. Ich will jetzt auf dem Server ein Update einspielen für Software XY oder eine Migration von einem Betriebssystem machen, was dann wirklich von, sagen wir mal, du hast noch 2016 im Einsatz, willst jetzt auf 2025. Ja, dann solltest du vielleicht mal vorher einen Test machen. Ist das wirklich möglich? Problemfrei oder was ist da noch zu tun? Deswegen Testumgebung, Wartungsfenster bitte einbauen. Also das machen wir mit unseren Kunden zum Beispiel auch. Wir sagen OK, wir haben eine gewisse Downtime in dem Augenblick, wo wir Wartungen durchführen. Sollen wir es nachts machen? Sollen wir es tagsüber machen? Wenn Tag ist, wie spät können wir es machen? Damit wir euch möglichst nicht stören. Auch sowas muss klar vereinbart sein, auch für Administratoren, die selbst in einem Unternehmen, in der internen IT tätig sind, damit sie auch wissen, wann sie es machen dürfen. Nicht immer dieses, das wirst du auch kennen, wenn man dann da sitzt und dann, wann können wir das machen? So eine Woche später fragen die das Gleiche wieder und dann wieder. Und dann ist das immer so ein zufälliges Ding. So in einer halben Stunde wird es mir passen.
Michael
00:52:06
Ja, nee, und hier ist wichtig. Ich glaube, ich glaube, hier ist noch mal ganz kurz der Crash rein. Hier kommt es auch auf die Kritikalität drauf an. Also hier muss gerne auch von der IT oder von der obersten Leitung schon mal so eine Abstimmung mit der IT erfolgen. In dem Motto, Junge, wenn die Kiste brennt und es wirklich Zero Day ist und es wirklich geht, dann darfst du patchen, wann immer es notwendig ist. Und selbst wenn der Laden mal für eine halbe Stunde, Stunde steht. Zero Day geht vor Workday. Also dass man da einfach klar kommuniziert. Von vorne. Wir sind wieder bei der Planung und bei der Disziplin. Wenn ich von vornherein mir nicht einmal an den Schreibtisch gesetzt habe, habe das klar gemacht und habe gesagt, wenn die Bude brennt und wenn es kritische Fehler sind, kann ich reinpatchen in den Arbeitsalltag. Kurze Information an den Mitarbeiter. Wir werden jetzt und Vollgas, was geplante Wartungen sind. Nicht alle Updates müssen sofort eingespielt werden. Kann ich gucken, mache ich das über Nacht und noch andere Wartungen? Kann ich sagen, die lege ich mir irgendwie auf einen Samstag, Sonntag? Ja, also dass ich wirklich auch klar habe von der IT, wie kritisch ist mein Bug, wie wichtig ist das Patchen? Wie wichtig ist das Update? Wie wichtig ist auch der Austausch von vielleicht Hardware an der Stelle? Und dann einfach klar habe, dass ich nicht zum Hörer greifen muss als IT-Admin und sage, Pass auf mal Chef, hier ist jetzt was, das ist ganz uncool. Kann ich mal für eine halbe Stunde die Kiste? Genau das, du lachst schon. Und Disziplin und Prozesse, Transparenz von vornherein, das bestimmen und klar kommunizieren mit unterschiedlichen Eskalationsstufen.
René
00:53:46
Genau. Ja, und der letzte Punkt ist halt das Reporting. Das hattest du ja schon gesagt und genau so ist es halt auch. Also man sollte... Es gibt Security Audits, die laufen automatisiert zum Beispiel auch auf Systemen. Es macht auch ein gutes Monitoring zu einem gewissen Grad sofort mit. Das heißt, es werden auch Reports darüber erstellt, welche offenen Schwachstellen gibt es noch? Kann zum Monatsende sein, wenn jetzt das Reporting am letzten Tag des Monats erstellt. Ja, okay, auch an dem Tag kann noch mal was aufgehen. Sollte aber auf jeden Fall niedergeschrieben sein. Genauso wie, ich sag mal, was wurde denn diesen Monat geschlossen? Damit man auch einfach sieht, was passiert ist. Also was wurde auch wirklich erfolgreich gemacht? Und dann so Sachen wie Trendanalyse, also dass man sieht, jetzt gerade nehmen die Angriffe auf uns in dem und dem Bereich zu zum Beispiel und so weiter und Risikostatus. So, das sind so Dinge, die sollten wirklich dann auch monatlich laufen, mindestens monatlich. Ich würde es aber auch nicht häufiger machen, weil dann wird so ein Bericht nicht mehr ernst genommen. Das muss man auch fairerweise sagen. Wenn das immer da steht, es kann nicht jeder immer inhaltlich so viel. Da steht ja dann schon eine Menge drin. Ja, Michael, Schwachstellenmanagement und Compliance. So, jetzt kommen wir doch wieder voll in deinen Bereich rein.
Michael
00:55:14
Yippie!
René
00:55:15
Wofür ist Schwachstellenmanagement aus deiner Sicht relevant? Also du wirst ja da einige Dinge haben, wo es reinfällt.
Michael
00:55:22
Wir reden jetzt seit einer knappen Stunde, wie wichtig das für Unternehmen ist und dass es jeder machen muss. Und jetzt sagst du, für was es relevant ist. Natürlich ist es relevant.
René
00:55:31
Also fürs Unternehmen ist es natürlich relevant. So war das nicht gemeint. Mir ging es jetzt gerade darum. Es gibt ja einfach rechtliche Vorgaben. Es gibt so gewisse Compliance Vorgaben, die man befolgen sollte.
Michael
00:55:43
Also wo du auf jeden Fall da reinkommst und wo du auch um sowas nicht drumherum kommst, ist klassisch, wenn du dich in Informationssicherheit begibst. ISO 27, TSACS, VDS 10.000 schneidet das ganze Thema auch an. Gehen wir, da sind wir nochmal tief unterwegs, gehen wir die Compliance Kiste gesetzlich rein. Running Gag aktuell, NIS-2. Wir sind bei Kritis, wir sind beim BSI Grundschutz und nichts, auch nicht zu guter Letzt. Viele Versicherungen und Cyber Versicherungen haben einen Fragebogen. Da spielt dieses Thema auch eine Rolle drin. Und anhand der Eingaben des Fragebogens errechnet sich die Versicherungsgebühr und die Versicherungsprämie, die man jährlich zahlen darf. Das heißt, auch da ist so ein Faktor drin, dass ich mit einer vernünftig aufgebauten Struktur, mit den vernünftigen Regeln, mit dem, was vorzeigbar ist und was auf der Hand, auch bei Versicherungen, die es fordern, mindestens entweder überhaupt den Entry-Hub reinzugehen, überhaupt versichert zu werden. Und wenn ich versichert werde, die Prämie entsprechend so zu steuern, dass es eine sinnvolle Sache ist. Weil viele Policen verlangen das einfach. Die verlangen halt einfach einen Nachweis von Prozessen, von Scans, von Monitoring und die gucken sich das an und die wollen das haben, weil die einschätzen müssen, wie hoch das Risiko wirklich ist, dass was passiert und wie hoch denen das Risiko ist, am Ende vom Tag den Geldbeutel aufzumachen und zu zahlen. Und die sind natürlich daran interessiert, Unternehmen zu versichern, die für sich selbst schon im Monitoring das so sicher haben, dass bei denen wirklich nur noch landet, was echt in die Binsen gegangen ist.
René
00:57:27
Ja, und man muss halt auch sehen, also selbst wenn wir jetzt sagen sollten, okay, die Versicherung ist geschlossen und dann würde was passieren. Die Versicherung wird irgendwann dann trotzdem, wenn es einen Schadensfall gibt, kommen und das Ganze kontrollieren. Ja, und wenn sie nur eine Schwachstelle finden, die ich selber verschulde, weil ich das nicht gemacht habe, dann werden sie sagen, ja, weißt du was? Das ist ja schön, dass du bei uns eine Versicherung hast, aber wir zahlen den Schaden nicht, weil das ist dein Fehler. So und deswegen also da also gerade Versicherung. Ich finde das immer ein schwieriges Thema, weil die Versicherung ja nicht wirklich prüft, sondern sie fragt ab. Ja, das sollte man wahrheitsgemäß beantworten und sich nicht irgendwie ausdenken, damit man erst mal eine Versicherung hat, weil wenn sie zum Schluss nicht zahlt, ich aber jahrelang dafür bezahlt habe, habe ich gar nichts gewonnen. Also da sollte man sich auch klar sein. Ja, so also ich fasse jetzt mal einmal zusammen, wenn wir so die Handlungsempfehlungen jetzt für KMU halt nehmen, jetzt mal für das Unternehmen, was ich vorhin so kurz beschrieben hatte. Grob kleiner ist ähnlich. So also Inventar erstellen, Verantwortlichkeiten festlegen, externen Scan beauftragen.
Michael
00:58:45
Ja, haben wir noch nicht drüber gesprochen.
René
00:58:46
Aber wäre noch mal eine Möglichkeit, intern mindestens intern mindestens.
Michael
00:58:52
Jetzt muss man noch bei externen Scans risikobezogene Ansätze muss man wieder gucken. Auch da gibt es wieder Tools, die man beauftragen kann. Es muss nicht der sein, der kommt und versucht, händisch da was reinzumachen. Auch da gibt es Tools. Was ich immer wichtig finde, ist der neutrale Blick von außen, um einfach den internen Tunnel ein Stück abzuschalten. Wenn einer kommt, das sagen wir, glaube ich, auch in jeder oder jeder zweiten Folge. Wenn dann ein Externer kommt oder was Neutrales kommt, was sich Dinge anguckt, die haben eine ganz andere neutralere Sicht auf Sachen, die stellen Fragen und finden Dinge an, die denkst du nicht, weil es für dich selbstverständlich ist. Von daher finde ich dieses Thema mit externen Scans super wichtig. Hier aber auch fairerweise. In welcher Form automatisiert Personen etc.
René
00:59:35
Ja, richtig. Also wie gesagt, einen internen Scan würde ich aber auf jeden Fall immer empfehlen. Aber das hatte ich ja gerade beschrieben. Kritische Systeme priorisieren. Das gehört ja ein Stück weit zum Risikomanagement und eben zur Asset Management. Da sollte man diese Sachen auch schon mal herausfiltern. Dann SLA definieren. Da beißt sich die Katze in den Schwanz, haben wir jetzt heute so oft gehört. Reporting rein und Management einbinden. So, das sind die Punkte, die auf jeden Fall da wichtig sind, damit man einen guten, einen sehr guten oder einen großen Teil der Strecke gegangen ist. So möchte ich es mal sagen.
Michael
01:00:19
Will ich so auch mal ausdrücken. Und auch Reporting, auch da noch mal. Reporting bedeutet nicht, dass sich der ITler einmal im Quartal, einmal im Monat hinsetzt und alles alles in ein Wort klöppelt und alles nachguckt. Reporting bedeutet systemisch, systemisch. Bitte automatisiert macht es systemisch. Software und Systeme kosten vielleicht Geld, aber sie erleichtern die Arbeit und erhöhen die Sicherheit. Mit Reporting ist nicht gemeint, dass der ITler dann ein Report schreibt. Wir haben eben schon mal gesprochen und haben gesagt Keiner schreibt gerne an solchen Dingen und solchen Sachen um. Das muss systemisch funktionieren. Das ist mir super wichtig. Genau.
René
01:01:09
Ja, sowas soll auch nie Mehrarbeit bedeuten. Das soll ja nur Sicherheit dazu bedeuten.
Michael
01:01:13
Also am Ende ist das alles dafür gedacht, dass du weniger Arbeit hast, weil wenn du ein vernünftiges Reporting hast, wenn du ein vernünftiges eine vernünftige IT Übersicht hast, hast du Systeme, die da drüber laufen, die sich das Ganze angucken. Dann kannst du als ITler beziehungsweise als der, der sich um das Ding kümmert, kannst du dir die Reportings dann auch wirklich mal anschauen und kannst dann entdecken und gezielt auf Sachen raufgehen und kannst mal ein Spotcheck machen, was dich interessiert. Kannst die gelben mal abarbeiten. Du verstehst, was ich meine. Nur wenn du es automatisiert betreibst, hast du eine sehr gute Vorselektion, hast wesentlich weniger Arbeit dahinter und kannst gezielt auf Themen gehen, die für dich wichtig sind und wo du sagst, auf die Schwachstelle lege ich jetzt mal einen größeren Fokus. Und jetzt versuchen wir mal an der Stelle von dem Rot auf dem Gelb zu kommen.
René
01:02:04
Ja, richtig. Schwachstellenmanagement ist kein Projekt, so wie immer.
Michael
01:02:14
Und es ist günstiger, eine Lücke zu schließen, als einen Angriff zu erklären. Aber jetzt die zwei Kalauer noch mal runtergekloppt zum Ende.
René
01:02:21
Ich wollte gerade sagen, jetzt noch mal schnell die Phrasen rausgehauen und dann. Ja, aber genau so ist es halt. Deswegen, ich würde es an dieser Stelle deckeln. Wir ja, wenn da Fragen sein sollten, wir sind immer offen. Gerne schreiben, melden, verabschieden. Das weiß ich wie, ob per Insta, per Mail, egal. Unsere Kontaktdaten findet ihr eigentlich überall. Und ansonsten würde ich sagen, wir hören uns in 14 Tagen wieder.
Michael
01:02:50
Sehe ich genauso. Vielen lieben Dank fürs Zuhören. Grüße aus Wetzlar. Bis dahin. Macht's gut.
René
01:02:56
Besten Dank. Bis dann. Ciao.

Feedback geben

Dir gefällt der Podcast und Du möchtest das mal loswerden? Du hast Tipps für neue Themen oder magst über den Inhalt bestimmter Folgen diskutieren? Dann wähle im Formular die jeweilige Episode aus und schreib uns eine Nachricht. Vielen Dank für Dein Feedback!

Mit einem Klick auf "Nachricht absenden" erklärst Du Dich damit einverstanden, dass wir Deine Daten zum Zwecke der Beantwortung Deiner Anfrage verarbeiten dürfen. Die Verarbeitung und der Versand Deiner Anfrage an uns erfolgt über den Server unseres Podcast-Hosters LetsCast.fm. Eine Weitergabe an Dritte findet nicht statt. Hier kannst Du die Datenschutzerklärung & Widerrufshinweise einsehen.

★★★★★

Gefällt Dir die Show?
Bewerte sie jetzt auf Apple Podcasts