users lounge

Der Podcast für mehr IT-Sicherheit

#71 Das Chaos-Spiel Teil 1

Du entscheidest

19.06.2026 54 min

Zusammenfassung & Show Notes

Wir starten in ein praxisnahes Szenario. Gemeinsam durchlaufen wir Schritt für Schritt einen fiktiven Cyberangriff und diskutieren, welche Entscheidungen die Geschäftsführung in den einzelnen Phasen treffen muss. Dabei zeigen wir, wie schwierig es ist, Warnsignale richtig einzuordnen, Prioritäten zu setzen und unter Zeitdruck die richtigen Maßnahmen einzuleiten.

Wir sprechen anhand eines praxisnahen Szenarios über die Herausforderungen des Incident Response Managements. Gemeinsam durchlaufen wir Schritt für Schritt einen fiktiven Cyberangriff und diskutieren, welche Entscheidungen die Geschäftsführung in den einzelnen Phasen zu treffen hat. Dabei zeigen wir, wie schwierig es ist, Warnsignale richtig einzuordnen, Prioritäten zu setzen und unter Zeitdruck die richtigen Maßnahmen einzuleiten. Außerdem beleuchten wir typische Fehler, unterschiedliche Handlungsoptionen und die Bedeutung klar definierter Prozesse, um Sicherheitsvorfälle kontrolliert und strukturiert zu bewältigen.

Key Topics
  • Reaktionsstrategien bei Cyberangriffen
  • Entscheidungsfindung in Krisensituationen
  • Kommunikation im Sicherheitsfall
  • Technische Maßnahmen bei Angriffen
  • Rolle des Dienstleisters und interner Teams

Transkript

Michael
00:00:56
Grüß dich, René, hi!
René
00:00:58
Ja, moin, Michael. Ja, schön, dass du wieder da bist.
Michael
00:01:04
Ja, ich hatte mal eine kurze Auszeit in den Bergen. War richtig cool, hat richtig Spaß gemacht. Aber jetzt bin ich froh, wieder hier zu sein.
René
00:01:13
Ich habe dich vermisst. Es ist schön, dass du wieder da bist.
Michael
00:01:16
Ach, das höre ich gerne. Da geht mir das Herz auf. Auch wenn ich glaube, dass du mich jetzt gleich irgendwie neppen willst, weil du mir den 9. noch nicht mal verraten hast, mit welchem Thema wir heute reingehen in die ganze Sache. Habe ich so ein wenig Bammel und ein wenig so die Sache ist, will er mich jetzt hochnehmen oder hat er sich was einfallen lassen?
René
00:01:37
Nö, es ist tatsächlich kein Hopsnehmen oder so, sondern die Idee ist eine ganz andere. Und zwar ist es so, dass wir, wir sprechen ja ganz oft über Cyber Security, logischerweise. Kommt man ja nicht drum zu. Und da ist jetzt der Gedanke, dass wir einmal nicht einfach sagen, hier, du musst die und die Maßnahme ergreifen, sondern dass wir mal wirklich einen echten Fall besprechen. Also was heißt einen echten, natürlich ist er fiktiv. Aber welche Entscheidungen man in so einem Fall zu welchem Zeitpunkt zu treffen hat. Also welche unterschiedlichen Möglichkeiten es gibt. Das heißt, ich gebe dir immer ein paar Antwortmöglichkeiten dabei. Also stelle ich dir zur Verfügung, du wählst. Es gibt bei, ganz wichtig, und das sage ich vorab sofort, es gibt bei diesem ganzen Szenario kein richtig und kein falsch, weil es immer ganz viele Dinge zu berücksichtigen gibt. Und auch, ja, es gibt immer, es gibt verschiedene Dinge, die man einfach immer mit berücksichtigen muss. Also jedes Unternehmen ist erstmal etwas anders. Jeder hat auch seine eigenen Überzeugungen und ähnliches. Und das fließt da alles so ein bisschen mit ein. Und manchmal denkt man, okay, der Weg wäre jetzt der richtige. Das kann aber im Umkehrschluss auch mal ein, ja, nicht der falsche Weg sein, aber es kann ein Umweg sein, der aber auch nicht falsch sein muss. Kann auch genau der richtige Weg sein. Aber das ist halt, dass wir einmal so durchgehen, wie sowas aussehen kann und welche Entscheidungen man da halt zutreffen hat.
Michael
00:03:26
Dann würde ich dir auch begründen, warum ich die Entscheidung treffe, weil dann ist für alle nachvollziehbar, die es hören, warum hatte die Entscheidung getroffen. Und vor allen Dingen kann jeder so im Kopf mal mitdenken, welche Entscheidung hätte ich getroffen als Zuhörer und dann auch gleich, der Michael hat eine andere getroffen, warum mit welcher Sichtweise. Klingt super interessant. Lass mal machen. Genau.
René
00:03:54
Dann, also wir stellen uns vor, du bist Geschäftsführer, also nicht, aber wir stellen uns jetzt einfach mal vor, du bist Geschäftsführer von einem Unternehmen. Ein mittelständisches Unternehmen. Du hast rund 80 Mitarbeiter, verschiedene Standorte. Eine eigene IT-Abteilung hast du aber nicht. Das heißt, ihr werdet von einem externen Dienstleister betreut. Und das ist deine Ausgangssituation. Wir könnten jetzt noch drüber sprechen, ob du jetzt produzierendes Gewerbe bist oder ähnliches. Ich glaube, das hat aber nur, also das hat, glaube ich, gar nicht so große Auswirkungen auf das, wo ich hin will. Das ist eigentlich nicht so das Ding. So, beginnen wir mal. Also, stellen wir uns vor, es ist Montagmorgen, 8.11 Uhr. Du kommst gerade ins Büro, hast einen Kaffee in der Hand. Ich weiß, bei dir ist es deutlich früher, sagen wir es ist 6. Kommst du ins Büro, nee, machen wir doch 8, weil deine Mitarbeiter müssten schon da sein. Also, du kommst rein, hast deinen Kaffee in der Hand, klappst deinen Laptop auf, machst deinen Outlook auf. Das ist halt ein normaler Start so in die Woche. Noch bevor du die erste Mail lesen kannst, klingelt das Telefon. Am Telefon Sabine aus der Buchhaltung. Sie klingt erst mal ein bisschen irritiert, nicht panisch, nicht aufgeregt, ist einfach irgendwie verwundert. Michael, ich habe da eine etwas merkwürdige Frage. Ein Kunde hat gerade angerufen, er wollte wissen, warum wir neue Bankdaten haben. Neue Bankdaten? Ja, wir haben doch keine neuen Bankdaten. Was ist dein erster Gedanke? Wahrscheinlich, der Kunde hat erstmal was verwechselt. Du würdest ja nicht auf die Idee kommen, dass da irgendwas passiert ist, sondern erstmal der Kunde hat sich vielleicht vertan beim Eintippen, wie auch immer. Das könnte Antwortmöglichkeit A sein. Es könnte aber auch sein, dass jemand versehentlich falsche Informationen verschickt hat. Oder die dritte Möglichkeit ist, hier könnte etwas Größeres dahinterstecken. Klar, wir sprechen jetzt über ein gewisses Szenario. Man weiß halt, worauf es hinausläuft. Aber grundsätzlich, wenn es passieren würde, was wäre der erste Gedanke, den man da hat?
Michael
00:06:15
Ganz intuitiv, um weg von unserem Podcast-Thema zu kommen, wäre ich ein Chef mit 80 Mitarbeitern im Mittelstand. Viertel nach acht käme meine Sabine aus der Buchhaltung zurück und würde sagen, der würde ich sagen, nehm mal mit dem Kunden Kontakt auf. Der hat garantiert was falsch gemacht. Weil sicher bin ich mir, neue Kondodaten haben wir nicht. Weil hätten wir neue Kondodaten, müsste ich da hoffentlich als Geschäftsführer von sein. Das heißt für mich, die erste Reaktion wäre, Einzelfall, mit dem Kunden Kontakt aufnehmen, klar.
René
00:06:49
Ja, mit dem Kunden selbst, genau. Also würdest du erstmal davon ausgehen, dass der Kunde etwas verwechselt hat. Du gehst also von Antwortmöglichkeit A eher aus. Du schließt das ja so ein bisschen erstmal alles aus, weil du den Kunden ja direkt kontaktierst. Aber der erste Gedanke wäre erstmal, wahrscheinlich liegt der Fehler beim Kunden, das ist jetzt gar nicht negativ gemeint, aber du würdest erstmal davon ausgehen, dass eigentlich nichts ist. Genau so. Das heißt, wenn man es jetzt genau nimmt, genau da beginnt ja schon der Incident Response. Denn wir als Menschen suchen ja immer erstmal nach der wahrscheinlichsten Erklärung für sowas. Wenn ein Kunde von neuen Bankdaten spricht, denkt man ja eigentlich nicht sofort an einen Cyberangriff. Das ist ja normal. Warum auch? Vielleicht hat der Kunde ja irgendwas verwechselt, vielleicht hat ein Mitarbeiter einen Fehler gemacht. Irgendwas kann halt immer sein, aber du würdest erstmal nicht von einem Angriff ausgehen. Das Problem ist halt, wenn tatsächlich jetzt ein Angriff vorliegt, dann läuft die Uhr schon. Ich meine gar nicht Uhr, was jetzt angeht, irgendwelche Meldungen oder sowas rauszuhauen, sondern einfach die Uhr beginnt zu ticken, weil du angegriffen wirst.
Michael
00:08:18
Aber das weiß man ja zu dem Zeitpunkt nicht. Wahrscheinlich läuft dann die Uhr schon länger, weil der Angriff ja schon stattgefunden hat. Absolut, aber in dem Augenblick, da geht es los.
René
00:08:29
Aber das erste Mal Kenntnis davon. Richtig. Und gleichzeitig möchte man halt nicht wegen einem ungewöhnlichen Anruf oder wegen sowas einen Krisenstab einberufen. Das kommt ja halt auch dazu. Das heißt, man beginnt ja erstmal beim Niedrigsten. Also wie gesagt, es gibt nie perfekte Antworten. Das merkt man aber jetzt auch. Aus reiner Logik hätte man sofort gesagt, ja okay, irgendwas wird da wohl sein. Dann geht es weiter. Während ihr noch sprecht, klingelt schon ein zweites Telefon oder ein zweites Gespräch kommt rein. Diesmal ist es der Vertrieb. Die Vertriebsleiterin sagt dann, ja wir haben gerade denselben Anruf bekommen.
Michael
00:09:17
Okay. Von einem anderen Kunden. Das wäre mir jetzt wichtig gewesen. Nicht von dem gleichen Kunden, sondern von einem anderen Kunden. Genau, von einem anderen Kunden.
René
00:09:27
Jetzt wird die Situation ja schon etwas interessanter. Was machst du? Antwort A, du rufst beide Kunden zurück. Antwort B, du beauftragst die Buchhaltung mit einer internen Prüfung. Oder C, du würdest jetzt den Dienstleister kontaktieren. Also den IT-Dienstleister.
Michael
00:09:48
Ehrliche Sache. Zwei Sachen. Unabhängige Kunden, sogar unabhängige Ansprechpartner. Einmal Büro, einmal Vertrieb. Wäre für mich der Punkt gekommen, wo ich den Dienstleister kontaktiere. Bevor ich alles andere mache. Okay.
René
00:10:07
Also alle können ja mal zu Hause oder wo sie jetzt gerade sind, dann auch für sich mal so ein bisschen mit durchgehen. Ich glaube, dass viele auch gesagt hätten, okay ich rufe als erstes jetzt beide Kunden mal zurück. Und veranlasse die Prüfung. Also da hätte ich vielleicht beide Sachen auch parallel noch mit auf dem Schirm gehabt.
Michael
00:10:26
Aber lass bleiben. Warum? Also verstehst du, was ich meine? Also die anderen Antworten, alles cool. Aber die Wahrscheinlichkeit, dass du mit zwei unabhängigen Kunden, dass zwei unabhängige Kunden zeitgleich ein Problem haben, deine E-Bahn richtig einzugeben. Erst recht die E-Bahn richtig einzugeben. Oder beide eine Aufforderung gekriegt haben, dass sich die Bankverbindung weckt. Wo ich war jetzt als Geschäftsführer, wir haben da nichts gewechselt. Einmal ist ein Versehen. Zweimal zeitgleich ist nichts mehr, was ich auf ein menschliches Hopperla meiner Kunden schieben würde. Ich will es mal so ausdrücken. Spätestens da wäre der Punkt gekommen, mit was will ich mit denen telefonieren? Das kann nicht mehr sein. Also spätestens bei zwei gleichzeitig würde ich den Fehler schon gar nicht mehr beim Kunden suchen. Dann hat der Fehler ja eine Quelle, mein Unternehmen. Das heißt spätestens dann wäre ich an der Sache, wo ich sage, Dienstleister direkt.
René
00:11:29
Alle Sachen sind nachvollziehbar. Also alle drei Antworten, denke ich. Ich glaube, man muss auch ein bisschen differenzieren. Du selber hast auch so ein bisschen logischerweise IT-Plan. Es gibt auch genug, die da ein bisschen weiter weg sind und dementsprechend auch andere Entscheidungen treffen. Also wenn jetzt jemand den Kunden anrufen sollte, okay, dann kann er sich mal die Mail schicken lassen. Das wäre eine Möglichkeit, um einfach zu sehen, was da gerade bei denen angekommen ist. Vielleicht gibt es Screenshots oder Ähnliches, was man dann eben austauschen kann, um da so ein bisschen was nachvollziehen zu können.
Michael
00:12:03
Ja, da bin ich auch mit dabei. Ich kenne echt die Fragen nicht. Deswegen will ich auch nicht zu viel spoilern. Das kann ich danach immer noch machen. Ich rufe erst mal meinen Dienstleister an und schildere dem die Situation. Und ich habe lieber die Situation, dass mein Dienstleister mich eine halbe Stunde später zurückruft, während ich vielleicht dann doch noch mal mit dem Kunden telefoniere. Und mein Dienstleister ruft mich eine halbe Stunde zurück und sagt, müssen halt einfach zwei gewesen sein, die einen schlechten Tag hatten, als dass mein Dienstleister mich näher zurückruft und sagt, Gott sei Dank hast du nicht eine halbe Stunde später angerufen oder sonst irgendwas gemacht, weil das und das ist vielleicht da. Verstehst du, was ich meine? Das ist wie so diese fünf Ws in der Rettungskette. Ich rufe erst den an, der mir da wirklich richtig helfen kann und dann kümmere ich mich drum.
René
00:12:52
Gebe ich dir recht. Wenn wir jetzt mal die Antwortmöglichkeiten nehmen, also jetzt zum Beispiel, wenn du die Buchhaltung prüfst, findest du eventuell interne Fehler, vielleicht aber auch nicht. Das ist häufig die wahrscheinlichste Erklärung. Aber wenn du jetzt einen Dienstleister anrufst, andersrum ist es ja auch die Frage, gehen wir mal jetzt von dem Angriff aus, wo du ja immer noch nicht weißt, dass es einer ist. Der Dienstleister kann nicht zwingend nachvollziehen, dass da ein Angriff stattgefunden hat, wenn Mails von einem anderen Mail-Server als von deinem eigenen versendet werden, aber in deinem Namen. Deswegen auch schwierig. Der Ansatz ist ja genauso richtig. Wie gesagt, das sind halt alles so Möglichkeiten, die halt dahinterstecken. Ja, Punkt. Ja, du, Michael, ich gebe dir ja recht. Wenn du jemanden anrufst und er prüft es und sagt dir erst mal, okay, auf eurer Seite sehe ich kein Problem, hast du die Gewissheit zumindest schon mal. Gut, dann kommen wir mal auf die Mail. Also wenn du jetzt den Kunden kontaktiert hättest und er schickt dir jetzt die Mail zurück. 9.02 Uhr, der erste Kunde schickt einen Screenshot. Die Mail sieht echt aus, aber auch nicht so, wie man sie normalerweise kennt, Tippfehler drin oder sonst irgendwas, sondern wirklich, die sieht eins zu eins echt aus. Firmenlogo ist original, Signatur ist original, Telefonnummer, Absenderadresse ist alles richtig. Text lautet, sehr geehrte Damen und Herren, aufgrund einer Umstellung unserer Bankverbindung bitten wir Sie, zukünftige Rechnungen auf folgendes Konto zu überweisen. Der Kunde fragt, ist das korrekt? Was machst du? A, du öffnest die Mail auf deinem eigenen Rechner, B, du leitest die Mail an den IT-Dienstleister weiter oder C, du lässt sie unangetastet.
Michael
00:14:54
Das Lustige an der Sache ist, ich muss gerade so in mich reingrinsen, weil wir bei uns tatsächlich die Bankverbindung geändert haben. Sehr gut. Wir haben eine GmbH-Umstellung gehabt und haben Kontoverbindungen auch geändert. Ein super Beispiel, passt perfekt. Ich habe aber tatsächlich keine Nachricht von meinen Kunden bekommen, dass sie Angst hätten, ich hätte sie gespammt oder gefischt. Da muss ich mal drüber nachdenken in einem stillen Türmchen. Das ist was für einen Blogbeitrag, was man mal schreiben kann oder für ein Newsletter zur Sensibilisierung. Ich kriege die E-Mail und sehe sie in der Vorschau oder ich kriege nur den Screenshot?
René
00:15:37
Du hast den Screenshot erst mal gesehen, lässt dir aber dann die Mail schicken oder wie auch immer. Das entscheidest du, ob die Mail jetzt an dich geht, ob sie an den Dienstleister. Sie wird auf jeden Fall erst mal zu dir kommen. Aber was du dann damit machst, ist ja die Frage.
Michael
00:15:52
Die Mail wird zu mir kommen. Ich kenne die Vorschau. Die würde ich bei mir im Posteingang lassen. Weil ich da die Sensibilisierung für habe, würde ich sie im Posteingang lassen. Ich würde die Finger davonlassen, würde meinen ITler anrufen und würde sagen, schalte dich auf, guck dir das an, entscheide, was wir damit tun. Anders ausgedrückt, wenn die Mail bei mir auf dem Rechner liegt, liegt sie auch auf irgendeinem Server. Auf einem Mail-Server. Von daher ist es fast irrelevant, was ich mit der Mail bei mir mache, weil auf irgendeinem Mail-Server läuft es. Spätestens da kann ich meinen ITler Zugriff drauf geben. Der kann sich die Protokolle anschauen. Hier wäre meine Aussage auf jeden Fall wieder, ich spiele mit dem Ding nicht drum, sondern ich hole mir wieder einen, der davon Ahnung hat.
René
00:16:45
Genau, so würde ich auch reagieren. Wie du gerade gesagt hast, es liegt auf dem Mail-Server. Von daher kann man es eröffnen. Wenn die Mail bei dir geöffnet wird, dann ist es egal, ob du sie öffnest oder jemand anderes für dich, es ist immer noch dein System. Jetzt wird es wirklich spannend. Beispiele aus der Praxis zeigen häufig, dass solche Mails dann geöffnet werden. Ich gucke mal, was da los ist.
Michael
00:17:14
Auch da wieder, wir machen immer mal ein paar Praxisbeispiele, es gab die Situation bei einem Mandanten eines Bekannten. Ich frage für einen Freund. Da hat die Firmenleitung zu Weihnachten auf der Webseite eine interaktive Grußkarte. So etwas richtig Gruseliges. Weißt du, was ich meine? Du kannst ja so Weihnachtsmänner, die Musik machen und da durch die Gegend fliegen mit irgendwelchen alten PowerPoints und irgendwelchen alten GIFs gemacht haben. Das hat die Leitung der Firma als Rundmail an alle Mitarbeiter verschickt. Einmal flächendeckend ausgerollt. Zwei haben sich bei mir gemeldet von 80, die gesagt haben, ich habe da was gekriegt. Soll ich den ITler anrufen? Willst du mal einen Blick darauf reagieren? Was hältst du denn davon? Alle anderen, das klingt interessant. Du merkst, der Mensch ist an der Stelle absolut neugierig getrieben. Du musst der Intention und der Versuchung widerstehen, an dem Ding rumzuspielen und auf den Knopf zu drücken und sonst irgendwas zu machen. Das geht so schnell.
René
00:18:47
Wenn man das jetzt wirklich sieht, wenn man das mal zugrunde legt, diese Erkenntnis, ist es halt einfach so. Es ist trotzdem eine schwierige Geschichte. Ich weiß ja, dass da irgendwas offensichtlich nicht so ganz in Ordnung sein kann. Schwierig ist halt, wenn man nicht tief in der Materie steckt oder da wirklich Ahnung von hat, dann stellen sich ein paar Fragen. Ist die Mail echt? Enthält sie schädliche Anhänge? Hat sie Tracking-Links mit drin? Und ist sie Teil des laufenden Angriffs? Das kann ja niemand einfach so entscheiden. Deswegen ist es wirklich schwierig. Meistens reicht ja heute das bloße Öffnen von Mails, damit da schon was passiert. Im schlechtesten Fall ist nicht mal mehr das notwendig. Es gibt tatsächlich auch Endgeräte, die so angreifbar sind, wo man einen entsprechenden Code rausschickt. Dein E-Mail-Programm generiert quasi die Vorschau. Und in dem Augenblick bist du schon komprimiert. Gibt es, wenn man vorgesorgt hat, natürlich nicht so, aber es gibt es halt durchaus.
Michael
00:20:06
Jetzt komme ich mal mit einer provokanten Gegensache. Wenn der Kunde mir die Mail weiterleitet, kannst du mich jetzt gleich korrigieren, wenn der Kunde mir die Mail weiterleitet und mein vorgeschalteter Spam-Filter das Ding schon direkt in den Himmel jagt, nämlich schon mal ganz genau als Spam und mir jetzt gar nicht weitergibt, das sollte für mich die allerhöchste Alarmstufe sein, eben nicht sagen, ich gucke mir es trotzdem an oder ich lade es mal trotzdem runter. Und ich rede jetzt nicht vom Spam-Filter, der im Outlook drin ist, sondern ich rede wirklich von etwas vorgeschaltetem. Microsoft hat das ja auch, etc. Sondern wirklich von einem professionellen Spam-Filter. Das kann auch schon mal der erste Indikator sein. Wenn der Kunde sagt, ich habe hier etwas Krummes, eigentlich will ich es nicht haben, aber wenn er sagt, ich schicke es dir und ich sage, ich kriege es nicht und gucke dann bei mir in der Quarantäne oder im Spam oben drinnen und ich sehe, dass meine Filterung im Eingang schon das Ding auf Feuerrot gesetzt hat, hat es gleich in die Ecke geschoben, hat es mir gar nicht zugestellt, dann habe ich schon mal einen sauguten Indikator dafür, dass da wirklich irgendwas nicht passt, wie es passt soll.
René
00:21:12
Wenn man dem System nicht vertraut, dann hat man nicht das richtige System. Das ist ja schon mal ein wichtiger Punkt an der Stelle. Was wir jetzt auf jeden Fall festgestellt haben, ein wichtiger Punkt dabei ist kontrolliert analysieren, das heißt nicht auf dem eigenen System einfach öffnen, machen, tun, sondern ja. Okay, das bringt uns jetzt zur nächsten Entwicklung. 10.17 Uhr, euer IT-Dienstleister meldet sich, er hat die Nachricht untersucht, die Mail stammt tatsächlich von eurer Domain, nicht gefälscht, nicht gespooft, nicht nachgebaut. Sie wurde tatsächlich über euer M365 verschickt. Was geht dir jetzt durch den Kopf? A. Mitarbeiter hat die Mail verschickt. B. Ein Konto könnte kompromittiert sein. Oder C. Es muss erst mal weitere Informationen geben. Ich denke, da liegt es jetzt so relativ auf der Hand. Ich weiß nicht, wie du da denkst.
Michael
00:22:19
Ich habe gerade zwei Sachen, die mir im Kopf rumgehen. Kompromittierung weiß ich. Ich habe MFA bei mir auf dem Ding. Das heißt, die Wahrscheinlichkeit, dass sich einer in irgendeiner Art und Weise auf meinen Tenon schleicht, mit einer MFA und einem hohen Verschluss, halte ich ziemlich unwahrscheinlich. Meine Mitarbeiter, müsste ich mir die Absenderadresse angucken, weil ja jeder Mitarbeiter sein eigenes Postfach hat. Aber eigentlich arbeiten die Mitarbeiter bei mir, weil ich ziemlich hohes Vertrauen habe. Das würde für mich bedeuten, aber vielleicht denke ich auch zu komplex, bevor ich jetzt die Sache verrückt mache, würde ich auf C gehen. Dann würde mir erst vom ITler weitere Infos kommen lassen.
René
00:23:06
Okay. Ich persönlich würde von einer Kompromittierung ausgehen. Weil? Weil erst mal ein Zugriff auf das M365 Tenon, irgendwas muss da ja sein. Du kannst nicht einfach darüber versenden, wenn du keine Daten hast oder nicht im System bist. Es ist ja offensichtlich über das M365-Tenon geschickt worden. Das heißt, derjenige muss drin gewesen sein.
Michael
00:23:36
Ja, aber ich finde das eine saukule Kiste. Du hast aber zwei Optionen. Du hast einmal, ich schweife kurz ab, wir sind im Datenschutz und wir sind bei technischen organisatorischen Maßnahmen. Technisch hast du, setze ich jetzt mal voraus, technisch bist du mit einer Multifaktor-Authentifizierung, mit einem Authentificator, mit wechselnden Passwörtern oder mit einem Passkey bei M365, du kommst ja da nicht mehr drauf ohne MFA. Und du hast ein hochkomplexes Passwort. Das heißt, die Wahrscheinlichkeit, dass du einen Innentäter hast, um es mal so herum auszudrücken, dass du einen Mitarbeiter hast, der das Ding rausgejagt hat, ist wesentlich leichter und naheliegender an meiner Stelle, als diese technische Hürde zu umgehen mit der Multifaktor-Authentifizierung. Du brauchst die Hürde nicht umgehen.
René
00:24:32
Es gibt bestimmte Angriffe, die laufen ja anders. Das heißt, es ist nicht so, dass wir jetzt zwingend den MFA-Code abgreifen müssen. Gibt es natürlich, keine Frage, da musst du das Endgerät, das diesen MFA-Code generiert, natürlich auch irgendwie in Zugriff haben. Aber es ist auch möglich, dass das Endgerät angegriffen wird und darüber der Session-Token quasi geklaut wird und diese Session dann bei sich reproduziert. Das heißt, in die bestehende Session kann jemand sich dann einklinken. Es ist nicht so leicht, wie ich es jetzt sage. Das möchte ich ganz klar sagen, bevor ich das jetzt zu einfach darstelle. Aber über diese Session-ID oder über den Token ist es schon möglich, sich dann in die Verbindung einzuklinken und dann habe ich auch Zugriff auf das Konto.
Michael
00:25:24
Aber wenn ich das mache, also wenn das einer machen würde, würde ich auf jeden Fall eine E-Mail als derjenige kriegen, wo drinsteht, ein neues Gerät hat sich in ihrem Konto angemeldet. Weil es ein unbekanntes Gerät ist, was Zugriff auf dein...
René
00:25:41
Wir gehen immer von maximal Dingen aus. Ja, Michael, wir haben bei euch solche Maßnahmen richtig. Wir gehen jetzt nicht immer vom perfekten Fall aus. Man muss ja auch einfach sagen, es gibt ja genug Unternehmen, die sich auch mal einen Tenant kaufen oder die sich Lizenzen kaufen und der Tenant ist einfach blank. Ich habe meine Domains gerade drin, Benutzer drin. Das stimmt, du hast recht, wenn man das eingerichtet hat, dann kriegst du diese Hinweise auch noch. Andersrum, wir haben auch schon Angriffe beobachtet, da hat sich jemand so eingeklinkt ins System, dass er, also er hat schon, bevor er sich wirklich angemeldet hat, dafür gesorgt, dass solche Mails oder war dann einfach schnell, diese Mails sofort wieder rauszufiltern. Also kann man so und so spielen. Wie gesagt, es ist nicht der wahrscheinlichste Fall, aber es ist eine Möglichkeit. An dieser Stelle endet eigentlich der erste Teil, was das angeht. Das heißt, im nächsten Abschnitt wird es jetzt einfach darum gehen, wer hat die Mail verschickt und so weiter. Aber das ist jetzt so, wir kommen gerade von dem, wir haben erstmal einen merkwürdigen Fall zu, wir schlittern gerade in eine Krise. Wenn wir jetzt den nächsten Bereich angehen, das Szenario ist natürlich immer noch das gleiche, euer Dienstleister meldet sich jetzt erneut, wir haben das Konto gefunden, die Nachrichten wurden aus dem Postfach eurer Buchhaltungsleiterin versendet. Wahrscheinlich ist die erste Reaktion, mehr kann man dazu ja dann auch nicht so viel sagen, das wäre wahrscheinlich so, erstmal die erste Reaktion von vielen Geschäftsführern. Jetzt wird aber klar, jetzt ist kein Versehen mehr, jetzt ist ganz offensichtlich, dass da was passiert ist. Was würdest du jetzt als erstes machen? Du rufst die Buchhaltungsleiterin an, du lässt das Konto sofort sperren oder du möchtest zunächst weitere Informationen sammeln. Das heißt, das Konto bleibt aktiv und schauen, was passiert.
Michael
00:27:58
Auf der Stelle, weil jetzt ist bekannt, jetzt habe ich die konkrete E-Mail Adresse und den konkreten Absender, ich kann eine konkrete Maßnahme dagegen schießen, sperren und dann direkt weitere Informationen suchen. Lieber quakt die Buchhaltung in einer Viertelstunde bei mir um die Ohren, sie können keine Mails verschicken und sie hat keinen Zugriff mehr auf das System und ich erkläre es ihr dann, wie ich das Thema noch weiter laufen lasse und gehe in irgendeine Art und Weise ein Kompromiss ein. Hier wäre für mich der erste Schritt, die technische Maßnahme Konto dicht zu machen, bevor ich irgendwas anderes mache. Wenn mein Dienstleister bei der Situation anrufen würde und würde sagen, hier pass mal auf, es ist dein Postfach, was machen wir denn? Dann würde ich sagen, hast du es noch nicht gesperrt, du Nase. Das wäre das Erste, was ich proaktiv erwarten würde oder die Empfehlung vom IT-Lehrer. Das Erste machen wir Konto dicht. Aufmachen kannst du es jederzeit wieder. Konto dicht machen bedeutet nicht, dass das Ding tot ist und du nie mehr drankommst und das Ding glatt ist. Sperren bedeutet ja nur, erst mal keinen Zugriff mehr, Passwörter geändert etc.
René
00:29:17
Also auch da, alle drei Antworten sind irgendwie nachvollziehbar. Ich glaube, das, was am weitesten weg ist, ist erst mal die Buchhaltungsleiterin anzusprechen. Was soll sie dazu sagen? Grundsätzlich Konto sofort sperren lassen, ja, ist sinnvoll. In dem Augenblick, wo du zum Beispiel so einen Mail-Server wie M365 hast, weil du ja nachvollziehen kannst, was dahinter passiert. Es gibt aber auch durchaus Systeme, die schlechtes Logging haben. Das heißt, ich kann da gar nicht so viele Informationen rausziehen, außer in dem Augenblick, wo es passiert. Deswegen kann eine Empfehlung auch von einem Dienstleister sein, lass es weiterlaufen. Klar, aus reiner Logik ist es natürlich schwachsinnig, aber das kann durchaus sein. Jetzt würde man aber trotzdem, ich denke, auch mal die Kollegin ansprechen und sagen, hast du eigentlich in letzter Zeit was aufgefallen? Hast du eine komische Mail gekriegt? Hast du versehentlich draufgeklickt? Hast du dein Passwort irgendwo eingegeben? Hast du MFA irgendwo bestätigt, wo es eigentlich gar nicht hätte, wo es dir nicht ganz klar war, warum? Gab es irgendwas Auffälliges?
Michael
00:30:35
Gab es einen Signal-Chat, der dich dazu aufgefordert hat, mal eben schnell ein Passwort einzugeben?
René
00:30:42
Ja, das sind alles so Sachen. Aber das sind so Sachen, die kann man dann bei der Dame erfragen. Aber viel mehr als das, was dann danach passiert, wird man nicht kriegen. Ich glaube auch, wenn ich jetzt aus meiner Perspektive schauen würde, ja, die Ursachenforschung ist sicherlich wichtig, woher es dann letzten Endes kam. Aber jetzt gerade erst mal Auswirkungen bekämpfen. Also klar, die Ursache auch, dass es nicht weiter passiert. Aber dass sie jetzt irgendwann das Passwort eingegeben hat, ändert nichts mehr an meinen Maßnahmen, die kommen. Das ist etwas, das würde ich hinten anstellen, um das aufzuarbeiten. Aber jetzt an der Stelle steht man eigentlich woanders.
Michael
00:31:21
Du hast den Brand und machst dir dann Gedanken, wie er entstanden ist. Ganz klare Sache.
René
00:31:28
Wenn du das Konto sperrst, hatte ich ja gerade schon gesagt, ich gehe jetzt alle Antwortmöglichkeiten mal durch. Wenn du es sperrst, kann es sein, dass du Spuren damit verwischst. Das, was ich gerade meinte, kommt immer auf den Mail-Server oder auf das System an, das ich gerade einsetze. Wenn der Angriff ja läuft, dann kann es durchaus sein, dass ich dann auch den Angriff unsichtbar mache. Kommt aber auf das Logging des Systems an. Im M365 gebe ich dir recht. Also forensisch Daten sichern, dann nachher aus dem M365, wie du sagst. Erst sperren, dann reingucken, das ist, denke ich, der sauberste Weg. Aber man muss halt immer sehen, wir beide haben auch einen anderen Kontext zur IT als nicht die meisten Geschäftsführer, das wäre jetzt zu hoch gegriffen, aber als einige. Gehen wir mal jetzt davon aus, du würdest jetzt die Buchhaltungsleiterin ansprechen. Wir rufen sie an. Nö, also ich habe keine von den Mails verschickt. Dann hast du irgendwas Auffälliges bemerkt. Dann kommt es so vorsichtig raus. Vor etwa zwei Wochen hat Outlook plötzlich nach meinem Kennwort gefragt. Dann musste ich mich einmal anmelden. Dann lief es halt wieder. Wenn man jetzt mal in diese Diskussion reingeht, rückblickend ist natürlich offensichtlich, dass da was nicht gut gelaufen ist oder ist zumindest verdächtig. Vor zwei Wochen hätte aber wahrscheinlich keiner was dazu gesagt. Das ist, glaube ich, auch ein großer Faktor heutzutage in den Cyberangriffen, weil sie eben genau darauf ausgelegt sind.
Michael
00:33:23
Ja, du hast aber auch das Thema, je nachdem. Machen wir mal. Haben wir schon M365-Bashing getrieben in der Folge? Nein, noch nicht. Heute noch nicht. Du hast aber auch das Thema, dass du schon mal noch mal nach deinen Anmeldedaten gefragt wirst, weil irgendwas ausläuft. Du hast einen anderen Browser benutzt. Also die Wahrscheinlichkeit, dass du irgendwann schon noch mal nach deinen M365-Anmeldedaten gefragt wirst, weil du irgendwas am Arbeiten bist, das kann dir schon mal passieren. Und das kann auch schon passieren, das ist mir auch schon passiert, dass Outlook eben steht, dass das nicht mehr läuft. Dass der auf einmal sagt, Passwort bitte neu authentifizieren. Das heißt, der Indikator, es fragt einer nach meinen Passwörtern oder es fragt einer nach, also passiert was Böses, ist nicht zwingend erforderlich in eine Linie zu bringen. Deswegen ist das schon eine Kiste, wenn die sagt, ja, vor 14 Tagen hat Outlook mal gesagt, wäre für mich nicht sofort der Indikator, es ist was passiert, sondern das wäre der Indikator. Ich fange mal an weiter zu suchen, was denn genau gefragt hat und aus welchem Grund. Also nur die Antwort, ja, da hat noch mal einer meine Anmeldedaten von Microsoft abgefragt, wäre für mich nicht sofort, ja gut, dann ist klar, dann ist die Sache erledigt. Das kann durchaus auch eine legitime Ursache haben.
René
00:34:56
Durchaus, aber es ist halt jetzt in diesem Szenario rückblickend, sagt man dann, okay, dann könnte es das schon gewesen sein.
Michael
00:35:06
Natürlich ist das naheliegend. Natürlich hilft auch hier der Spoiler. Je mehr Anwendung, mal weg von 365, aber je mehr Anwendung ich eben über meine AD und über meinen Single Sign-On und über mein direkt bei mir im Unternehmen anbinde, umso geringer ist die Wahrscheinlichkeit, dass ich genau auf sowas reinfalle und nach sowas nochmal gefragt werde, weil genau deswegen mache ich sowas.
René
00:35:31
Okay, ja, gehen wir mal weiter. 11 Uhr 12, jetzt kommen wir so in die Richtung, was ich vorhin kurz angeschnitten hatte. Der IT-Dienstleister hat weitere Informationen. Wir haben mehrere Postfachregeln gefunden. Eine Regel verschiebt automatisch Nachrichten mit folgenden Begriffen Rechnung, Überweisung, Zahlung, Bankverbindung in einen versteckten Ordner. Außerdem werden bestimmte Kopien oder außerdem werden Kopien bestimmter Nachrichten an eine externe Adresse weitergeleitet. Was machst du? Die Regeln sofort löschen, die Regeln zunächst dokumentieren, die Regeln aktiv lassen und beobachten?
Michael
00:36:13
Auf gar keinen Fall sofort löschen. Gut, dass du es sagst. Klingt nämlich einfach, ist es aber nicht. Auf gar keinen Fall sofort löschen. Ich würde sie tatsächlich beobachten, weil nur, also dann wäre ich aber jetzt an einem Punkt, wo ich IT-Dienstleister, Datensichern, also Screenshots von dem ganzen Kram mache, dass sie nicht irgendeiner verschwinden lässt und nicht irgendeiner was machen lässt und so einen ganzen Kram. Da würde ich es auf jeden Fall dokumentieren, auf alle Fälle zuerst eine Dokumentation machen, so schnell wie es geht und wenn es nur mit einem Sniping-Tool irgendwelche Screenshots sind, dann würde ich es aber offen lassen unter der Prämisse, dass da jetzt wirklich einer drauf guckt und beobachtet den Traffic.
René
00:36:59
Also jetzt, wenn wir alle drei Antwortmöglichkeiten nehmen, also ich sage ja, es klingt erstmal total einfach, der erste Impuls, ja, dann mach weg, damit das nicht weiter passiert. Das Problem ist aber, wenn du es löscht, dann hast du, also verlierst du in der Regel auch die Information darüber. Das ist auch im M365 so, weil diese Regel gibt es nicht mehr, also werden die Logs dazu auch entfernt. Das ist halt dann nicht der beste, will ich gar nicht sagen, wie gesagt, es ist nichts richtig, nichts falsch, aber dadurch verliert man Erkenntnisse.
Michael
00:37:32
Genau, es verliert, es wird mir halt sehr wahrscheinlich die Möglichkeit verloren gehen, zu wissen, welche Informationen an wen gegangen sind. Und da ist mir wahrscheinlich noch egal, ob es die xyz-email-at-gmx.24.de.com ist oder irgend so ein Kranzenkram, weil den Besitzer der Mail aufzugabeln, das wäre echt eine Sisyphus-Arbeit, wenn überhaupt, aber ich habe wenigstens die Möglichkeit zu wissen, welche Informationen sind raus. Das heißt, wo, wie viele potenzielle Kunden oder wie viele Kunden von mir haben theoretisch die E-Mail bekommen, dass sie ihre Bankverbindung anpassen müssen. Also wen muss ich informieren, mit wem muss ich im Anschluss im Dialog gehen. Und dazu muss ich halt eben wissen, welche Infos der Dritte bekommen hat, dass ich reagieren kann.
René
00:38:19
Genau. Ja, also dokumentieren könnte man auch. Dann hat man zumindest so eine grobe Richtung, was es ist, bevor man es löscht. Also zumindest, damit man sieht, was dann mit den Mails passiert. Aber ja, ich würde wahrscheinlich auch am ehesten beobachten, laufen lassen. Da zieht man die meisten Erkenntnisse raus. Man muss sich da halt eine zentrale Frage stellen, glaube ich, das ist eher so, das ist das, was dahinter steckt, wie groß ist der aktuelle Schaden im Vergleich zum Erkenntnisgewinn. Ja. Das ist, glaube ich, gar nicht so unwichtig, dass man das halt so ein bisschen... Ja, also das ist halt etwas, das muss man miteinander abwägen. Das passiert aber an vielen Stellen, die uns vielleicht noch kommen.
Michael
00:39:02
Da hast du recht. Gehen wir mal davon aus, wir haben 100 Kunden, dass wir mal eine Größenordnung haben, wo wir es hätten. Ich glaube, ganz im Ernst, ich glaube, wenn ich 100 Kunden hätte, bleibt bei 100 Kunden und wir reden über diese zwei, die sich um 8.11 Uhr bei mir gemeldet haben und um 8.20 Uhr bei mir gemeldet haben und ich sehe nur diese in den Logs und in den Weiterleitungsregeln drin und ich stelle sicher, die zwei haben es gekriegt, sonst keiner. Dann kann bei mir der Impuls reifen und ich glaube, der würde sogar sich durchsetzen, dokumentiere es und schalte das Ding ab, das fertig ist. Weil die Gefahr, dass die anderen 98, die ich noch habe, in den nächsten 10-20 Sekunden auch noch eine Mail kriegen und die Sache sich noch weiter verbreitet, dann habe ich zwar die Lockfalls, dass ich es noch weiter verbreite, aber ich habe mehr Arbeit. Wohingegen, wenn ich das Ding aufmache und ich sehe, wir bleiben wieder bei 100 Kunden und ich sehe, das haben eh schon 80 rausgekriegt. Also die überwiegende Mehrheit, der überwiegende Schaden ist sowieso schon passiert. Dann habe ich eher die Vermutung, ich würde es auf Monitoring lassen, um zu gucken, ob ich vielleicht noch irgendwas an der Identität des Angreifers oder sonst noch irgendwas herausfinden kann. Verstehst du, was ich meine? Der Schaden ist zwar da, aber der Schaden ist begrenzt, es ist eine geringe Anzahl und bevor sich der Schaden noch weiter verbreitet, macht die Kram halt dicht und dann ist die Sache in Ordnung. Nachdem du es dokumentiert hast. Dokumentieren ist das Allererste. Wenn ich jetzt die Screenshots und das Durchdokumentieren werde, das, was ich auf jeden Fall machen würde und auf Basis der betroffenen Datensätze würde ich wahrscheinlich die Entscheidung mir empfehlen lassen von meinem IT-Dienstleister.
René
00:40:51
Genau. Okay, so weiter geht's. 12.05 Uhr, die Analyse läuft weiter, dann kommt die nächste schlechte Nachricht. Wir glauben nicht, dass der Zugriff erst gestern begonnen hat, sagt der IT-Dienstleister. Wie lange denn? Sechs Wochen? Okay, sechs Wochen. Sechs Wochen Zugriff auf Angebote, Rechnungen, Verträge, Kundenkommunikation, Lieferantenkommunikation. Was ist jetzt deine größte Sorge? A. finanzieller Schaden, B. der Datenschutz oder C. Reputationsschaden?
Michael
00:41:36
A und C geht für mich ineinander. B wäre mir am egalsten, Entschuldigung, auch als Datenschützer. In dem Fall wäre für mich erstmal, wer hat von meinen Kunden welche Informationen, wie kriege ich meine Kunden befriedigt oder wie kriege ich die Reparation, den Schaden vom Kunden abgewendet. Im Zweiten aufpassen, dass er mir das nicht wegnimmt. Tendenz C, also nicht B.
René
00:42:08
Michael, aber genau darum sind die Fragen ja auch so gestellt. Klar, wir sprechen immer vom Optimalfall und ja, du musst sofort, aber es gibt einfach Dinge, die hat man anders im Kopf, weil man in dem Augenblick eine Entscheidung treffen muss, wie man sich verhält zu dem Augenblick, genau in dem Augenblick. Und das sind auch Stresssituationen, das darf man einfach nicht vergessen. Es ist ja nicht so, dass man dann da steht, man packt sein Skript aus, dafür hat man im Optimalfall natürlich Notfallpläne, aber es ist nicht so, dass so ein Notfallplan macht es dir leichter, aber er nimmt dir die Entscheidung letzten Endes immer noch nicht ab, weil die Situation immer eine andere ist.
Michael
00:42:48
Ja, aber der erste Gedanke wäre definitiv nicht beim Datenschutz. Da habe ich 72 Stunden Zeit, um mal kurz formal zu werden. Möglich, wenn es Meldungen an die Behörde ist, wenn es größer ist, wenn es einen Schaden ertagt. Lass das nochmal laufen, wir sind im Moment bei 12.05 Uhr, du hast um 8.11 Uhr, bin ich erst in die Firma gegangen. Lass mich mal einen dritten Kaffee trinken und nicht an den Datenschutz denken.
René
00:43:11
Ja, würde ich auch so unterschreiben. Wie gesagt, ist aber trotzdem, man muss halt immer sehen, welche Rolle hat welche Person, die würden wahrscheinlich ganz unterschiedliche Entscheidungen treffen. Das muss man auch sagen. Ein Geschäftsführer denkt immer erstmal an den Geschäftsbetrieb. So wie du es gerade gesagt hast, A und C. Also erstmal da, wo eigentlich mein Geschäft liegt. In den Kunden logischerweise, also der Reputationsschaden und der finanzielle Schaden. Wenn du dir jetzt einen Datenschutzbeauftragten nimmst, klar, der nimmt die personenbezogene Daten, der wird den Datenschutz nach vorne stellen.
Michael
00:43:46
Aber nur, wenn es ein Datenschutzbeauftragter ist, wo es nicht die eigene Firma betrifft. In der Rolle ist er wieder der Geschäftsführer. In der Rolle wäre er auch wieder bei A und C. Auch das, deswegen ist es so wichtig, das Thema hattest du noch gar nicht. Die Frage kam noch gar nicht, rufst du einen Krisenstab ein oder fragst du mal deinen Datenschutzbeauftragten oder holst du mal andere Leute mit ins Spiel. Bis jetzt sind wir ja nur noch im Pingpong zwischen Geschäftsführer und IT-Abteilung. Ich hätte wahrscheinlich sehr viel früher die Frage erwartet, gibt es Leute, die du informierst und mit ins Boot holst und die dir bei der Entscheidungsfindung und bei der Sache ein bisschen Support leisten und dich unterstützen.
René
00:44:30
Kommen wir gleich im nächsten Schritt. Wir werden es zumindest anschneiden. Worauf ich einfach nur hinaus wollte, du hast den Geschäftsführer, der guckt auf den Geschäftsbetrieb, du hast einen Datenschützer, der guckt auf die personenbesogene Daten. Wo du recht hast, ist der natürlich in der Geschäftsführerposition, wird er auch wieder eher anders denken. Der Vertrieb denkt immer an das Kundenvertrauen, logischerweise, der wird eher so C, Reputationsschaden nehmen und der ITler denkt an den Angreifer. Das Wort kann sein, ITler sind weder A noch B noch C. Genau, wenn diese Gruppen oder diese Personen miteinander kommunizieren, dann wird es natürlich auch ein bisschen komplexer, das ganze Thema. So, jetzt nächster Punkt. 13.30 Uhr. Bislang wissen wirklich nur wenig Personen Bescheid. Das heißt du, die Buchhaltungsleiterin und der IT-Dienstleister, wenn du es wirklich nicht auskommuniziert hast. Nun stellt sich jetzt die Frage, informieren wir jetzt alle Mitarbeiter? Informieren wir jetzt nur betroffene Personen oder einfach noch niemanden?
Michael
00:45:45
Betroffene interne oder betroffene externe Personen?
René
00:45:52
Ich würde jetzt mal mein Fragenkatalog, beides egal.
Michael
00:45:57
Gut. Ich würde auf gar keinen Fall alle Mitarbeiter informieren um die Uhrzeit schon. Ich würde erst noch meinen 80 Mitarbeitern, dann habe ich einen Datenschutzbeauftragten, den würde ich mir mit ins Boot holen, würde mir die Geschäftsleitung und vielleicht noch 2-3 Abteilungsleiter mit ins Boot holen und würde erst mal noch keine Kommunikation nach außen machen.
René
00:46:26
Okay. Auch das ist wieder so eine Frage, die ist halt schwieriger als sie klingt erstmal. Also wenn du jetzt alle informierst, klar, der Vorteil erstmal, ich habe eine hohe Transparenz, die Aufmerksamkeit ist da, das heißt alle können auch aufpassen, was wirklich bei ihnen selbst gerade passiert und weitere Hinweise können natürlich kommen, falls da jemandem was aufgefallen ist. Nachteile, ganz klar Panik, Gerüchte, Spekulation, weil keiner wirklich belastbare Informationen hat. Das Unternehmen hat sie ja nun mal selber noch nicht. Genau deswegen. Ja und wenn du niemanden informierst, klar, der Vorteil ist, du hast erstmal ein bisschen Ruhe und hast die Situation unter Kontrolle. Der Nachteil, Mitarbeiter melden natürlich möglicherweise verdächtige Dinge gerade nicht, weil sie ja gar nicht wissen, dass sie auf irgendwas achten sollen und im Nachhinein kann das Vertrauen leiden. Das muss man auch sagen, aber es ist halt auch immer die Frage, wie das Unternehmen aufgestellt ist.
Michael
00:47:30
Gegen Externe bin ich bei dir, wobei ich bewusst jetzt nach intern und extern gefragt habe und gesagt habe, ich informiere nicht nach extern. Wir sind um halb zwei, wir wissen seit zwölf im Ansatz, um was es gehen könnte. Einen Teufel würde ich tun und würde mit Vermutungen und Ideen meine Kunden verrückt machen, wenn ich schon bewusst erstmal den Kreis der Mitarbeiter klein halte, weil ich nicht will, dass die Mitarbeiter sich bockig machen, wobei wir haben eben gesprochen, wir sind wahrscheinlich ein Mittelstandsbetrieb, der auch produzierende Ecken hat. Es gibt wahrscheinlich auch von den 80 Mitarbeitern, sitzen nicht alle 80 nur am Computer und schreiben E-Mails, lasst die mal ihre Arbeit machen. Wenn ich die jetzt verrückt mache und denen irgendwas erzähle, dann haben die in den nächsten drei Stunden nichts anderes zu tun, wie sich darüber zu unterhalten und die Girl verrückt zu machen und sonst irgendwas, das würde ich erst nochmal auf Leitungsebene durchdiskutieren. Vielleicht hat ein Abteilungsleiter Beobachtungen gemacht, vielleicht kann der Datenschutzbeauftragte schon einen Teil meiner Aufgaben übernehmen, kann da schon mal mit dem ITler reden, kann sonst irgendwas machen. Ich würde es nicht mit mir alleine im Büro ausmachen, mit meiner Buchhaltung zusammen. Ich würde mir da schon jetzt ein paar Leute mit ins Boot holen, aber ich würde weder gar nichts sagen, noch würde ich alles in die Welt streuen. Würde ich genauso unterschreiben. Zumal auch hier, spitz finde ich, wir immer noch nicht wissen, ob es ein Innen- oder ein Außentäter ist. Und wenn es ein Innentäter wäre und wir würden jetzt den Rallo machen, ohne dass wir genau wissen, worum es geht, könnte es passieren, dass der Innentäter mitkriegt, dass wir immer auf der Spur sind und entsprechende Maßnahmen und Spuren verwischen würde. Auch das wäre ein Grund, es nicht dem Unternehmen zu streuen, außer zu Vertrauenspersonen. Wir sind wieder beim Führungskreis DSB. Nennen wir es mal Inner Circle, Führungskreis, wie auch immer.
René
00:49:32
Das ist bestimmt die Buchhaltungsleiterin.
Michael
00:49:34
Das würde die Buchhaltungsleiterin gewesen sein. Weil ich bei der letzten Gehaltsverhandlung gesagt habe, du kriegst keine 50 Cent mehr die Stunde. Macht sie jetzt aus Hass und Kram, hat sie vor einem Vierteljahr irgendwo ein USB-Stick reingesteckt und hat sich jetzt ein paar Dollars nebenher verdient.
René
00:49:55
Weiter geht es. 14.07 Uhr. Während der Analyse fällt auf, dass ein Mitarbeiter zu merkwürdigen oder nicht normalen Zeiten MFA-Anfragen gekriegt hat. Dieser Mitarbeiter wird dann befragt und er sagt dann, vor drei Wochen Nachts habe ich mehrere MFA-Anfragen gekriegt. Da stand nur genehmigen, mehr nicht. Ich habe zweimal auf ablehnen gedrückt. Beim dritten Mal, da wollte ich schlafen, habe ich auf bestätigen geklickt. Was denkst du jetzt? Das ist wahrscheinlich der Einstiegspunkt. Das könnte Zufall sein oder wir wissen es einfach noch nicht.
Michael
00:50:40
Die Spur würde ich verfolgen. Das einfache MFA, also das mehrfach MFA-Anfragen kommen auf Basis eines technischen Defektes von Microsoft Tenet oder von sonst irgendwas sind ziemlich unwahrscheinlich. Du kriegst diese Anfragen laufen nur rein, weil sie irgendeiner angestoßen hat. Über Nacht und Tag soll mir vollkommen egal sein, an welchen Zeitzonen. Über die Ungewöhnlichkeit der Zeit würde ich mir noch nicht mal arge Gedanken machen. Aber für mich wäre der Indikator, er hat sie nicht angestoßen. Das wäre für mich der Indikator, genau die Spur weiter zu verfolgen. Oder weiter verfolgen zu lassen. Ich bin ja der Geschäftsführer. Ich sage dem ITler, pass mal auf.
René
00:51:29
Hier zeigt sich ein gewisses Problem der modernen Angriffe. Viele wissen, ein Passwort darf ich nicht weitergeben. Aber so eine MFA-Anfrage klingt ja total simpel. Ich drücke da drauf. Mein Passwort ist aber nicht rausgegangen. Das sind so Sachen. Es wird dementsprechend auch vorzugsweise von Angreifern genutzt. Man nennt das häufig MFA-Bombing. Du schickst viele Anfragen, damit jemand irgendwann dazwischen sagt, komm, rutsch mir. Das machen sie ja nicht aus Bosheit, weil sie dumm sind. Wie soll ich sagen? Klar, er hat nicht aufgepasst. Aber es ist dennoch keine Absicht. Das ist irgendwann so ein schwachsinniges menschliches Verhalten. Das ist aber nicht nur bei dieser Person. Das kann vielen anderen auch so gehen. So ist das einfach gemein. Darauf setzen Angreifer natürlich. Deswegen ist auch dieses Nachts mit ein Faktor. Du kriegst das zu einer Zeit, wo du auf sowas gar keinen Bock hast. Wo du auch deinen Kopf nicht einschalten willst. Was könnte es sein? Komm, lass mich in Ruhe. Ich will jetzt schlafen gehen. Und dann kommt sowas.
Michael
00:52:54
René, ich glaube, an dieser Stelle machen wir jetzt Schluss und beenden den Podcast. Du hast garantiert eine schöne Stelle gefunden. Das würde für euch bedeuten, vielen Dank, dass ihr durchgehalten habt bis jetzt. Aber ich glaube, es macht keinen Sinn, jetzt zwei Stunden einen Podcast daraus zu machen. Wir machen lieber zwei Folgen daraus. In der nächsten Folge wird es weitergehen. René wird einen schönen Schnitt machen. Ich wünsche euch ein schönes Wochenende. Grüße aus Wetzlar.
René
00:53:30
Von mir auch besten Dank. Aufgrund der Länge schneiden wir es einmal. Ihr werdet den Rest der Episode in 14 Tagen zu hören bekommen. Ich hoffe, es ist dann auch noch mal so praxisnah wie bisher. Und ihr hört auch wirklich rein, weil es dann auch interessant ist. Wir hören uns in 14 Tagen wieder. Bis dahin. Alles Gute. Ciao.

Feedback geben

Dir gefällt der Podcast und Du möchtest das mal loswerden? Du hast Tipps für neue Themen oder magst über den Inhalt bestimmter Folgen diskutieren? Dann wähle im Formular die jeweilige Episode aus und schreib uns eine Nachricht. Vielen Dank für Dein Feedback!

Mit einem Klick auf "Nachricht absenden" erklärst Du Dich damit einverstanden, dass wir Deine Daten zum Zwecke der Beantwortung Deiner Anfrage verarbeiten dürfen. Die Verarbeitung und der Versand Deiner Anfrage an uns erfolgt über den Server unseres Podcast-Hosters LetsCast.fm. Eine Weitergabe an Dritte findet nicht statt. Hier kannst Du die Datenschutzerklärung & Widerrufshinweise einsehen.

★★★★★

Gefällt Dir die Show?
Bewerte sie jetzt auf Apple Podcasts