users lounge

Der Podcast für mehr IT-Sicherheit

#72 Das Chaos-Spiel - Teil 2

Du entscheidest

03.07.2026 54 min

Zusammenfassung & Show Notes

Im zweiten Teil unseres interaktiven Chaos-Spiels sprechen wir über die Eskalation eines Cyberangriffs und die schwierigen Entscheidungen, die Unternehmen in einer echten Krisensituation treffen müssen. Gemeinsam analysieren wir die Auswirkungen von Datenabflüssen und möglicher Erpressungsversuche und diskutieren, welche Prioritäten zwischen Geschäftsbetrieb, IT-Sicherheit, Datenschutz und Krisenkommunikation gesetzt werden sollten.

Im zweiten Teil unseres interaktiven Chaos-Spiels sprechen wir über die Eskalation eines Cyberangriffs und die schwierigen Entscheidungen, die Unternehmen in einer echten Krisensituation treffen müssen. Gemeinsam analysieren wir die Auswirkungen kompromittierter Konten, Datenabflüsse, SharePoint-Downloads, Presseanfragen und möglicher Erpressungsversuche und diskutieren, welche Prioritäten zwischen Geschäftsbetrieb, IT-Sicherheit, Datenschutz und Krisenkommunikation gesetzt werden sollten. Dabei beleuchten wir die Rolle von Incident Response, Forensik, Cyberversicherungen, Behörden, Dienstleistern und internen Verantwortlichen sowie die Herausforderungen transparenter Kommunikation gegenüber Mitarbeitern, Kunden und Medien. Anhand des Szenarios zeigen wir, wie schnell technische Probleme zu strategischen Unternehmensentscheidungen werden und warum Vorbereitung, klare Prozesse und ein eingespieltes Krisenmanagement im Ernstfall entscheidend sind.

Key Topics
  • Entscheidungsfindung bei Cyberangriffen: Prioritäten setzen
  • Kommunikation in der Krise: Transparenz und Timing
  • Reaktion auf Erpressung: Zahlen oder nicht zahlen?
  • Technische und organisatorische Maßnahmen bei Cybervorfällen
  • Rolle der Cyberversicherung und externe Spezialisten
  • Prävention und Frühwarnsysteme in der IT-Sicherheit
Ressourcen
CyberVersicherung

Transkript

Moin, René, ich grüße dich.
René
00:00:59
Ja, ich will es gar nicht so lang halten, weil ihr habt die letzte Folge vor 14 Tagen gehört. Wir haben diese Episode einfach aufgrund ihrer Länge in zwei Teile geteilt. Dementsprechend leiten wir eigentlich heute nur kurz ein und dann geht es genau an der Stelle weiter, wo wir letztes Mal aufgehört haben.
Michael
00:01:18
Heute haben wir einen tollen Podcast. Heute haben wir nur das Einsprechen, was wir wirklich live einbringen. Alles andere kommt aus der, jetzt fast aus der Retorte gesagt, ist aber nicht weniger aktuell. Nee, wie René schon gesagt hat, wir hatten, wir haben das Session, ihr habt mitgekriegt im ersten Teil, dass wir sind noch nicht fertig geworden. Und bevor wir euch einen Podcast von, ich glaube, waren es knapp zwei Stunden Aufzeichnung zumuten, haben wir gesagt, wir machen einen Schnitt auf zwei Teile. Deswegen freut euch auf Teil zwei. Ganz viel Spaß dabei und bis zum nächsten Mal. Danke. Alles klar.
René
00:01:49
Von mir auch viel Spaß. Wir hören uns, wir hören uns. Gut, also 15.12 Uhr, ihr habt jetzt die kompromittierten Konten, manipulierte Rechnung, verdächtige MFA-Freigaben, sechs Wochen Angreiferaktivität. Das haben wir jetzt. So, und dann passiert was. Teamleiter schreibt in den Firmenchat, hat eigentlich jemand ein Sicherheitsproblem? Mein Konto wurde gerade automatisch abgemeldet. Jetzt wird klar, der Vorfall betrifft eigentlich oder möglicherweise nicht nur ein Konto. Und das ist jetzt wie, wie weiter? Also jetzt, jetzt sind wir ja wirklich voll in der Krise drin. Jetzt merken wir gerade, okay, wir machen gerade den Schwenk von, okay, wir haben da was. Wir sind vorher aber eine Person betroffen. Jetzt wird aber offensichtlich, es passiert doch mehr als, als das, was wir bisher so dachten. Ist dann keine Kleinigkeit mehr. Vermutlich. Genau, da kommt jetzt auch tatsächlich keine Frage hinterher.
Michael
00:03:07
Ah, ich hatte jetzt gehofft, dass du mir so eine ABC-Entscheidung gibst, weil ich war gerade echt am strugglen.
René
00:03:12
Kommt gleich.
Michael
00:03:13
Gut.
René
00:03:15
Nee, das war jetzt so, das führt jetzt zur nächsten Frage. Das heißt, also das ist jetzt so der Punkt. Wir sehen jetzt, okay, der Angriff breitet sich aus. 1530 Dienstleister meldet sich erneut. Wir haben weitere Auffälligkeiten gefunden. Wie viele sind es denn? Ja, vier weitere Konten. Außerdem wurden Dateien aus SharePoint heruntergeladen.
Michael
00:03:38
Ja, genau. So, dann was ist jetzt? Die Gehaltslisten, Firmenlisten und Belangen.
René
00:03:46
Haben wir erst mal, also da bin ich nicht näher drauf eingegangen, was es jetzt für Daten sind. Das ist halt genau die Frage, eigentlich ja dahinter. Aber kommen wir mal erst mal, was ist jetzt deine größte Priorität? Den Angreifer vollständig aus dem System entfernen, verstehen, welche Daten betroffen sind oder den Geschäftsbetrieb aufrechterhalten. Und hier geht es um Priorität. Also, dass das alles wichtig ist, keine Frage, aber was hat jetzt die höchste Priorität?
Michael
00:04:18
Was sagst du? A war Angreifer raus aus dem System.
René
00:04:22
Genau. B war? Verstehen, welche Daten betroffen sind oder C Geschäftsbetrieb aufrechterhalten.
Michael
00:04:30
Ah, ohne dass ich jetzt andere Hintergründe habe oder reine Intuition, wäre bei mir Laden anhalten, den Typen raus, also Angreifer raus aus dem System, System clearen. Unter der Prämisse, dass ich nachher im Nachgang vernünftig gucken kann, welche Daten sind denn betroffen. Aber ich würde jetzt erst mal versuchen, den Datenstrom zu stopfen, zu stoppen und die Schwachstelle zu schließen und das Ding einzudämmen. Jetzt wäre der Punkt gekommen, wo ich sage, jetzt halte ich an, weil auch das zur Erklärung, welchen Geschäftsbetrieb bin ich, an welcher Stelle noch aufrechterhalten, wo ich weiß, dass vielleicht die Informationen auch noch mit rausgehen oder sonst noch irgendwas passiert. Also da glaube ich, ich drücke mich anders, ich drücke mich finanziell aus, da glaube ich, ich spare mehr Geld, wenn ich den Laden anhalte und mich erst um den Angreifer kümmere, als ich Geld verliere, weil ich den Geschäftsbetrieb nicht aufrechterhalte.
René
00:05:35
Ja, also man merkt halt an dieser Frage, wenn man die jetzt mal so durchleuchtet, dass wir da wirklich in die ersten Konflikte kommen, weil du hast halt wirklich drei unterschiedliche Gruppen wieder, wie vorhin auch schon. Du hast eine IT, die sagt, ey, das allerhöchste Ziel ist jetzt, die Angreifer rauszuschmeißen. Viele Geschäftsführer sagen, wir müssen aber weiterarbeiten, damit wir nicht hinterherhängen. Und du hast einen Datenschutzbeauftragten, der sagt, ey, lass uns mal erst mal gucken, welche Daten gerade betroffen sind.
Michael
00:06:03
Ja, genau.
René
00:06:03
Also da, alle haben natürlich recht, keine Frage, aber genau das ist es ja, was ich meine, dieses, wo man eine Priorität draufsetzen muss und gerade deswegen auch aus der Sicht der Geschäftsführung. So, 16.20 Uhr. Vertrieb meldet sich, die ersten Kunden werden misstrauisch. Einige haben bereits miteinander gesprochen, kursieren schon langsam Gerüchte. Was sollen wir den Kunden sagen? Noch nichts kommunizieren, nur betroffene Kunden informieren oder alle Kunden informieren? Alle. Wäre auch mein erster Impuls. Proaktiv dann da unterwegs sein ab so einem Zeitpunkt ist sicherlich nicht verkehrt. Aber ich glaube, dass das genau eine der schwierigsten Entscheidungen überhaupt an der Stelle sind, weil du jetzt, du wirst gedrängt, etwas zu tun. Also es ist jetzt nicht der Zeitpunkt, wo du im Augenblick selber sagen würdest, vielleicht, jetzt gehe ich damit raus, weil du dafür noch zu wenig hast oder noch nicht so weit bist. Ja, aber es ist ja die Frage, was man auch geschäftlich macht. Wenn der Kunde jetzt genau in dem Augenblick auf dich wartet, hast du natürlich auch keine Wahl.
Michael
00:07:18
Ja, aber wir sind ja schon eine ganze Zeit unterwegs. Also wir hängen jetzt schon mehr Zeit. Wir wissen jetzt seit fünf Stunden, dass das irgendwas am Köcheln ist. Wenn alles gut läuft, haben wir ja schon seit grob halb zwei unseren Krisenstab und haben die Leute mit dabei, die da irgendwas machen können. Und kannst schon mal einen Text da schon mal entwerfen. Du fängst um 16 oder 20 an, dir Gedanken zu machen. Frag mal die Chat-GPT nach dem Motto, hier pass auf, wir haben den und den V-Fall entwerfen mal einen Kundentext, sondern du hast ja vorher schon was. Und ob ich den Text jetzt nur den Betroffenen schicke. Oder dann gleich das große Besteck auspacken und sag, dann lass es doch zu allen schicken. Dann können die, die vielleicht noch einen Angriff von uns bekommen, die können, die wissen, dass wir da ein Thema mit haben und können entsprechend reagieren. Das ist das eine. Und die andere Sache ist von wegen gar nicht melden oder so, natürlich gern. Weißt du? Das mag jetzt doof klingen, aber wenn du einen Datenschutzvorfall oder hast so ein Cyber-Inzidenz, du bist in guter Gesellschaft. Das trifft irgendwie alle irgendwann. Und die Zeiten, wo dann blöd mit einem Finger auf die geguckt wird und sagt, guck mal da, die haben einen Datenschutzvorfall und lachst dich schlapp und Kram und machst und hast du nicht gesehen und erntest Ton und Spott oder am Ende noch irgendeinen Misstrauen. Ist meiner Ansicht nach weniger geworden, wenn überhaupt noch da, weil alle, die dann das auch von dir lesen, mehr oder weniger denken, scheiße und Verständnis dafür haben. Was aber wichtig ist, ist die Transparenz und die Kommunikation. Das will keiner verarscht werden und das will keiner nicht informiert sein, sondern die wollen es dann halt einfach wissen. Und dann wissen sie, okay, bei denen war jetzt ein Datenschutzvorfall oder Cyber-Inzidenz, da gab es ein Hoppala. Ich checke mal kurz meine Systeme. Ach, wir sind betroffen, aber wir sind nicht betroffen. Und es läuft weiter. Das ist besser wie die Kiste. Versuchen, tot zu schweigen, weil das wirst du auf Dauer nicht können.
René
00:09:11
Ja, ja. Und wenn man jetzt einfach mal betrachtet, zu welchem Zeitpunkt kommuniziert wird. Also da gibt es ja auch einfach zwei Dinge. Wenn du zu früh kommunizierst, ja, du kannst falsche Informationen nach außen geben, weil du die Information einfach noch nicht sammeln konntest.
Michael
00:09:27
Genau.
René
00:09:28
Du erzeugst eine gewisse Unsicherheit bei deinen Geschäftspartnern und du löst möglicherweise halt unnötige Panik aus. Wenn die auch mit an deinen Geschäftsprozessen hängen, ganz eng, dann kann das schwierig sein. Wenn du zu spät kommunizierst, ja, dann erzählen andere die Geschichten für dich. So ist es nun mal.
Michael
00:09:48
Das hast du, das hast du schön gesagt. Genau das.
René
00:09:52
Ja, aber gerade auch, wir sind ja in der Situation, dass die Kunden untereinander schon kommunizieren. Das heißt, da ist ja dann schon klar, dass die sich austauschen und dann schauen. Also die werden auch sich da irgendwas, wie man es so kennt, diese Stammtischgespräche, auch wenn sie vielleicht nicht so entspannt sind. Aber da kommt dann was bei raus, was man so nicht will. Kunden könnten Vertrauen verlieren und der Schaden für die Reputation steigt auch immer weiter. Umso später man das raus kommuniziert. Also genau da, ja, es gibt da keine perfekte, feste Regel. Das muss man halt wirklich im Verlauf für sich entscheiden, wann der richtige Zeitpunkt gekommen ist. Man sollte aber, es ist eine super Aussage, nicht zu kurz oder zu schnell reagieren, aber auch nicht zu lang warten. Genau. Die goldene Mitte ist da schwer zu treffen, aber das ist das, was gilt, irgendwie zu erreichen. So, 17.05 Uhr, der IT-Dienstleister meldet. Wir wissen noch nicht genau, welche Daten runtergeladen wurden, aber der Angreifer hat Zugriff auf Kundendaten, Ansprechpartner, Angebote, Verträge, E-Mail-Kommunikation. Ja, das klingt erst mal nicht gut. Jetzt stellt sich eine wichtige Frage. Datenschutzbehörde sollte informiert werden oder sofort informieren? Erst weitere Erkenntnisse sammeln, zunächst juristische Beratung einholen. Juristische Beratung einholen.
Michael
00:11:29
Datenschutzbehörde spricht von spätestens innerhalb 72 Stunden. Da bin ich noch nicht. Ja, also vor eilender Gehorsam. Du kannst sicherlich vorab schon mal eine Meldung abgeben, kannst Kram machen. Aber ich würde, also melden wirst du auf jeden Fall müssen. Da kommst du nicht drum rum. Aber wenn ich jetzt die Wahl habe zwischen, ich rede erst mal mit einem Juristen drüber oder mit einem Forensiker oder mit Strafverfolgungsbehörden oder sonst irgendwas, dann ziehe ich das der sofortigen Meldung an die Behörde vor.
René
00:11:56
Ja, würde ich auch unterschreiben. Genauso wie erst weitere Erkenntnisse sammeln. Ja, das muss parallel laufen, aber deine Priorität irgendwann sollte sein. Und ich würde juristische Beratung tatsächlich sogar noch ein Stück zur Seite schieben und es eher Versicherungen nennen, wenn man eine hat. Also diesen Punkt, weil die Versicherung dann ja entscheidet, wie gehen wir weiter vor, also ob der Forensiker eingesetzt wird. Wenn man da auch zu spät ist, kann es auch dazu führen, dass die Versicherung irgendwann sagt Ey, ihr habt den Schaden so groß werden lassen. Das ist jetzt euer Problem.
Michael
00:12:31
Wäre ich versichert, was ich ja bin, weil ich ein Treusorgensunternehmen bin. Die Versicherung wäre wahrscheinlich bei mir so irgendwo zwischen zwölf und halb zwei mit ins Spiel gekommen.
René
00:12:42
Eben recht spät in diesem Szenario.
Michael
00:12:44
Ja, sind wir wieder bei dem Thema mit dem mit dem inneren Zirkel oder mit nicht für mich allein im Büro ausmachen, sondern die Leute halt einfach einen gewissen Personenkreis informieren. Und da wäre bei mir die Versicherung mit dabei.
René
00:12:59
Ja, also an dieser Stelle entstehen halt wirklich häufig Missverständnisse, weil viele glauben halt, wir müssen erst genau wissen, welche Daten oder nein, wir müssen ganz genau wissen, dass Daten gestohlen wurden. Und das ist eigentlich nicht richtig, weil es besteht ja erst mal ein hohes Risiko dafür, dass es passiert ist. Also es ist ja jetzt gerade nicht klar, dass wirklich. Also es wurden Daten runtergeladen. Ja, aber welche Daten das sind und wen sie betreffen, das wissen wir noch nicht. Wir wissen nur, worauf der Zugriff da ist. Aber das Risiko für Betroffene kann halt schon dafür ausreichen, Meldepflichten auszulösen, also an Versicherungen, an Datenschutzbehörde in dem Augenblick, wie du schon gesagt hast, ist aber der Zeitpunkt nicht der richtige, weil ich da ja noch mein Zeitpuffer habe. Gleichzeitig möchte man aber keine unvollständigen Informationen melden. Das ist halt auch oft so ein Punkt. Und deswegen wird da an der Stelle in der Praxis wirklich oft parallel gearbeitet. Also das heißt, dass wir die technische Analyse natürlich weiter durchführen. Wir haben die juristische Bewertung und man bereitet dann in der Regel auch die Meldung vor.
Michael
00:14:13
Ja, also auch auch hier wieder springen rüber in den 33 DSGVO. Die sprechen zwar von meldet unverzüglich. Aber und möglichst binnen 72 Stunden. Und das wäre ich für mich sind halt auch noch 71 Stunden unverzüglich, weil das definier unverzüglich im Kontext mit Du musst erst mal eine Klarheit haben und musst erst mal ein Lagebild haben, dass du weißt, worum es geht. Und da wäre ich dabei. Es mag gerne sein, dass der Datenschutzbeauftragte in meinem Unternehmen das anders das sehen würde. Und er wäre gerne schon hätte gerne schon um acht Uhr zwölf gemeldet oder irgend so was. Aber an der Stelle wäre ich bei 72 Stunden. Die muss ich nicht voll ausschöpfen. Aber wir sind aktuell in W. Wir wissen, es ist noch der gleiche Arbeitstag. Ich habe noch nicht mal drüber geschlafen. Ich habe mir abends noch nicht mal ein Gläschen Rotwein angeschaut und habe über die Lage diskutiert. Das ist viertel nach fünf. Ich bin noch im Unternehmen. Ich mache jetzt erst mal andere Dinge, außer der Behörde was zu melden. Da habe ich noch Zeit für.
René
00:15:25
Ja, genau. So 17.42 Uhr. Immer noch kein Feierabend. Nee, an dem Tag auf jeden Fall nicht. Scheiß Tag. Jemand stellt dann diese Frage. Also ich habe es jetzt gerade ein bisschen vorweggenommen, dass ich die Versicherung nach vorne gestellt habe. Aber jemand stellt halt jetzt die wichtige Frage. Haben wir eigentlich eine Cyberversicherung? Ja, ich hoffe. Polizei wird rausgesucht. Ja, haben wir. Hotline wird angerufen und der Mitarbeiter der Versicherung stellt halt sofort einige Fragen. Wann wurde der Vorfall entdeckt? Welche Systeme sind betroffen? Welche Maßnahmen wurden bereits durchgeführt? Welche Beweise gesichert? Wurden externe Dienstleister beauftragt? Was davon hätten wir im Optimalfall bereits vorbereitet? Gar nichts? Groben Zeitstrahl oder ein vollständiges Inzidenz-Protokoll?
Michael
00:16:22
Was wir auf jeden Fall haben, ist ein vollständiges Inzidenz-Protokoll aus dem Gedächtnis. Ich gehe jetzt bewusst in die Geschäftsführersituation und ich rede nicht von der heilen Welt, dass um Viertel nach Acht einer gesagt hat, hol mal Passierschein FM 2638 in der Version 46, guck beim Sharepoint-Unterordner irgendwo, da liegt ein Protokoll, lass uns damit mal anfangen. Aber du bist noch in dem Tag drin. Du weißt noch tagesaktuell, was du getan hast und entweder ergötzt du jetzt oder erbrichst jetzt dein Gehirn an die Versicherung und schreibst dabei parallel richtig mit. Oder du nimmst spätestens das jetzt zum Anlass, dich hinzusetzen und was runterzuschreiben, weil das musst du haben, weil in ein, zwei Tagen kriegst du es nicht mehr auf die Kette. Du musst dir, und du hast eben das Ding schon schön gesprochen, und wenn du einen einfachen Zeitstrahl machst, einfacher Zeitstrahl heißt, nimmst ein DIN A4-Blatt, legst es quer, ziehst eine Linie, schreibst vorne hin, 8.11 Uhr, mit Kaffee ins Büro gekommen, 11.12 Uhr, Mitarbeiterin das gesagt, 13.30 Uhr bekannt worden weiterer Vorfälle, 17.04 Uhr, 14.07 Uhr oder was, haben wir das Postfach gesperrt. Wenn du das nur so aufschreibst, dass du eine Zusammenfassung, muss kein Riesenroman sein, aber du musst es grob in Zeiten zusammenpacken können. Und wenn du es bis dahin nicht gemacht hast und du kriegst es an der Stelle aus dem Kopf noch hin, zählst du dich jetzt nochmal voraus, bist Geschäftsführer, du hast um Viertel nach Acht angefangen, es ist Viertel vor Sechs, da musst du noch wissen, was du gemacht hast. Du hast dir sonst den ganzen Tag nichts anderes gemacht, als dich um den Mist zu kümmern.
René
00:18:04
Und im besten Fall, du hast ja mit den anderen kommuniziert, kannst du die zur Not auch noch zur Seite nehmen. Ja. Gut. Also, jetzt 18.30 Uhr. Immer noch kein Feierabend. Nee. Jetzt schlägt jemand vor, wir sollten die Polizei informieren. Ein anderer sagt, nee, eigentlich, Polizei, lass das LKA informieren. Und ein dritter sagt, warum brauchen wir jetzt auf einmal Behörden? Was wäre so dein erster Impuls, Polizei, LKA oder niemanden? Boah, das ist fies. Ja, ist aber auch eine spannende Frage. Die habe ich tatsächlich so ein bisschen gemobst. Ich habe letztes Mal einen Vortrag gehört, die fand ich, also die Frage ist perfekt.
Michael
00:18:58
Okay, dann gebe ich dir jetzt die Einschätzung aus dem wahren Leben. Wir haben keine Verschlüsselung. Ich würde die Polizei anrufen und fragen, was ich machen soll. Ich würde definitiv den Kontakt suchen. Und wenn die zu mir sagt, ja, sagt die, mach mal lieber LKA, dann würde ich weiter sagen, gib mal Durchfall oder drück mich mal weiter. Aber ich würde an der Position sagen, hast du einen guten Impuls gehabt? Mist, dass wir da bis jetzt noch nicht dran gedacht haben. Lass mal einen anrufen.
René
00:19:40
Okay, gut, da kann ich dir genau das wiedergeben, was er halt auch gesagt hat. Polizei war auch der Impuls, erst mal zu sagen, die Sache ist die. Die Polizei ist nicht falsch. Die Polizei wird das auch untersuchen. Und die Polizei wird auch tätig. Das Problem bei der Polizei ist, die kommen dann wahrscheinlich rein, bauen dir deine Server ab und sagen, ja, und jetzt untersuchen wir die Dinger mal. Labore sind gerade gut ausgelastet. Vier Wochen. So, dann mach mal. Vier Wochen ohne alles, was du hast. Und da ist meist das LKA tatsächlich der bessere Weg, weil die kennen am Ende des Tages Tätergruppen, die kennen aktuelle Kampagnen, weil die örtliche Polizei oder normale Polizeidienststellen dafür ja auch nicht so ausgelegt sind. Also gerade für die Cybergeschichten. Das LKA kennt typische Vorgehensweisen, hat internationale Kontakte auch, um das so ein bisschen besser einordnen zu können. Und dementsprechend ist es wichtig, die mit einzubinden, auch wenn es die Polizei ist. Wie gesagt, es ist kein falscher Weg, aber er kann einem da vielleicht einige Entscheidungen abnehmen, was die nächsten Wochen angeht. Und da wäre vielleicht das LKA der direktere Weg. Niemanden zu informieren, ist, denke ich, keine Option, weil am Ende des Tages ist es auf jeden Fall eine Straftat und die muss auch in irgendeiner Form angezeigt werden, damit man da auch rechtlich selber wieder auf der sicheren Seite ist. Dementsprechend, ja, also bitte nicht niemanden informieren, sondern jemanden mit reinnehmen. So, Michael, wir haben Feierabend. Nächster Tag, Dienstag, 9.14 Uhr. Telefon klingelt. Und wen hast du am Telefon? Den ersten Journalisten. Moin! Uns liegen Informationen vor, dass Ihr Unternehmen Opfer eines Cyberangriffs geworden ist. Stimmt das? Deine Reaktion? Kein Kommentar, offene Kommunikation, nur bestätigte Fakten nennen. Ich gebe keine Auskunft und verweise Ihnen an unsere Pressestelle. Okay. Ja, auch da, logischerweise, es gibt nie einen perfekten Weg. Das Problem bei Journalisten ist ja sowieso, Fragen werden so gestellt, dass dann im Zweifel etwas rausrutscht, was da nicht hingehört oder es wird anders interpretiert oder wie auch immer. Ist immer ein bisschen schwierig. Sag ich dir aber auch kurz, warum.
Michael
00:22:24
Weil Vortag, ich habe mich nicht gemerkt, weil wir das Team zusammengerufen haben, irgendwie um 12 oder um 1, da gehört in dieses Team rein, neben den Datenschutzbeauftragten, Führungskreis, meine Tante aus der Buchhaltung, da gehört einer aus dem Marketing rein, beziehungsweise einer aus der Presseabteilung oder je nachdem, wie groß ich bin, bei 80 Mann, da habe ich wahrscheinlich eine Marketingabteilung, dass ich eine Pressemitteilung, beziehungsweise eine Schiene habe im Unternehmen, wer wie kommuniziert und was kommuniziert wird. Weil ich vermeiden will, und das wäre auch das Ding, die rufen jetzt bei mir an, ich sage, rutscht mir der Buckel, ich sage dir gar nichts, die legen auf, die rufen im Vertrieb an, der sagt, rutscht mir der Buckel und legen auf, die rufen im Einkauf an, die sagen, rutscht mir der Buckel und legen auf und die rufen im Marketing an, die vielleicht nicht geprüft ist und vielleicht nichts davon wusste, die sagen, ja, wir sind das tollste Unternehmen der Welt, uns ist Datenschutz sehr wichtig, wir können nicht bestätigen, dass irgendwas passiert worden ist, Daten sind unser höchstes Gut, wir sind die tollsten und die BIA-Device ist am grünsten. Und du verstehst, was ich meine, dann rufen die den Nächsten an und der ist vielleicht gefroren und sagt, hey, hier ist alles scheiße, hier ist schon seit vier Wochen läuft hier irgendwas und ich habe mitbekommen, vor sechs Wochen, das heißt, du musst klare Kommunikationswege haben und Kommunikationswege festlegen und du musst wissen, was du kommunizierst. Und was ich kommunizieren würde, wäre das, was belegte Fakten sind. Nichts verschönen, nichts verschweigen, sondern belegbare Fakten würde ich kommunizieren, weil das bringt ja nichts.
René
00:23:58
Ja, ist halt, also auch da, wenn wir jetzt sagen würden, kein Kommentar, das wirkt halt oft verdächtig, dann wird es zu viel sagen, das kann halt wirklich später problematisch werden. Deshalb gibt es halt eben diesen Mittelweg, so wie du gerade gesagt hast. Im Optimalfall hast du jemanden, der hat sich darauf vorbereitet und übernimmt genau diese Kommunikation und gibt nur die Informationen raus, die vorher festgelegt wurden. Genau das. Und das ist, denke ich, genau der richtige Weg. So, 11 Uhr 22. Boah, heute, ich habe nicht damit gerechnet, dass das dann doch so umfangreich wird hier bei uns.
Michael
00:24:38
Können zwei Folgen draus machen.
René
00:24:44
Also, 11 Uhr 22, Dienstleister meldet sich wieder. Diesmal klingt die Stimme auch deutlich ernster. Wir haben ein Problem.
Michael
00:24:53
Jetzt erst sagt mein Dienstleister, dass ich ein Problem habe. Also entweder ist mein Dienstleister sehr leicht geplagt durch andere Kunden oder er hat gewisse berauschende Mittel genommen, dass er erst jetzt der Meinung ist, wir kämen in ein Problem rein. Sagen wir anders, ein größeres, ein noch größeres.
René
00:25:14
Der Angreifer hat eben nicht nur E-Mails gelesen. Noch bevor wir die Konten gesperrt haben, wurden große Datenmengen heruntergeladen. So, und jetzt, ja, welche Daten, das hatten wir ja schon gestern gefragt, wissen wir immer noch nicht vollständig, aber die Downloadmenge liegt mittlerweile im zweistelligen Gigabyte-Bereich. Ja, und genau hier wird halt vielen Geschäftsführern eigentlich erst mal bewusst, so, ja, vielleicht geht es hier längst nicht mehr um Rechnungen. Sondern vielleicht geht es halt wirklich um Kundendaten, um Verträge, Preislisten, Unternehmensgeheimnisse, Betriebsgeheimnisse, so möchte ich es mal nennen. Also wirklich einiges, was da deutlich mehr hinterstecken kann. Und dementsprechend, ja, wird es jetzt noch mal spannender, würde ich mal behaupten. Also da fängt auch, glaube ich, innerlich, da hat man dann nicht mehr so, ja, okay, die haben da ein paar Rechnungen runtergeladen, ist mir ja egal. Sondern ab da wird es auch, glaube ich, innerlich für den Geschäftsführer dann wirklich ernst. Dann wird es echt doof, ja. Genau, so, dann Mittwoch, nächster Tag. Also da, der Tag ebbt so aus, alle versuchen dann, das irgendwie zu retten. Nächsten Tag, 7.14 Uhr, neue Mail im Postfach, betreffe Last Chance. Und dann gibt es dort eine Forderung. Wir haben alle internen Daten kopiert. Das sind dann die Kundenverträge, Finanzdokumente, interne Kommunikation. Und du hast jetzt 72 Stunden Zeit, uns zu kontaktieren. Das Interessante, es wurde nichts verschlüsselt, keine Systeme stehen, keine Bildschirme sind schwarz, also kein klassischer Ransomware-Angriff. Keine Server sind ausgefallen. Wir befinden uns eigentlich jetzt in einer, ja, mitten in einer Erpressung. Ich wollte gerade sagen, wir sind mitten in einer Erpressung drin, ja. Genau, und das ist etwas, das viele Unternehmen mittlerweile überrascht, weil früher Ransomware, oder früher, das gibt es halt immer noch, ist halt meistens, Daten werden verschlüsselt, Lösegeld wird gefordert. Und jetzt mittlerweile wird das halt, auch eine Ransomware zielt, mittlerweile immer mehr darauf. Das heißt, es werden immer häufiger Daten kopiert. Und es wird immer häufiger dann damit gedroht, diese Daten zu veröffentlichen. Genau, ja. Warum ist das so? Weil Unternehmen Backups haben. Das heißt, ganz oft war es halt so, dass die Unternehmen dann gesagt haben, ha, hier, seht zu, was ihr macht, ist mir völlig egal. Du kannst mir mal einen Buckel runterwutschen. Ich habe einen Backup, das spiele ich wieder ein, dann bist du wieder draußen. So, und genau deswegen läuft das mit diesen Daten, dass die runtergeladen werden und dann eben, ja, jetzt immer mehr in diese Richtung gehen. Und dementsprechend, ja, werden, also dann helfen auch die Backups nicht mehr gegen die Veröffentlichung von meinen Firmendaten. So, Michael, was machst du? Mail ignorieren, Kontakt aufnehmen oder einen externen Spezialisten hinzuziehen? Also, Moment, grenze ich ein bisschen ein. Jetzt könnte man ganz einfach drauf reagieren. Mail ignorieren, klar, gibt es ja relativ schon her. Kontakt aufnehmen, einfach, du nimmst direkt Kontakt auf, um keine Zeit zu verlieren oder du holst dir erst den externen Spezialisten. So, da würde ich es eher unterscheiden. Externen Spezialisten, auf gar keinen Fall persönlich Kontakt aufnehmen. Ja, also, auch da keine pauschale Antwort, wie immer. Viele Behörden raten davon ab, mit den Angreifern direkt zu verhandeln. Ich komme da gleich nochmal drauf zurück, warum wir da trotzdem nicht einfach sagen können, machen wir nicht. Es gibt aber auch die Möglichkeit, eben genau diese Gespräche zu führen. Also auch mit dem Angreifer, damit man da eben nicht unbedingt, ich sage mal, diese 72 Stunden einhält. Also dafür gibt es auch Spezialisten, die das machen, wo du gerade sagst, Spezialisten dazu rufen. Das heißt, es gibt Leute, die sind extra dafür da, genau diese Kommunikation mit den Angreifern zu führen. Und da geht es nicht zwingend darum, zu sagen, okay, wir sind jetzt einfach schnell und reagieren innerhalb dieser 72 Stunden, sondern es geht auch darum, Zeit zu gewinnen, Informationen über die Angreifer zu sammeln und auch so eine Glaubwürdigkeit von so einer Drohung rein auch zu bewerten, aus dieser Kommunikation heraus, aus allem, was dabei rauskommt. Denn eine wichtige Frage ist ja auch, denke ich, welche Daten hat jetzt der Angreifer tatsächlich?
Michael
00:30:23
Ich stelle dir noch eine andere Frage. Bitte? Ich stelle mir noch eine andere Frage. Ist der Angreifer, der das Lösegeld will, auch der Angreifer, der die Daten hat? Oder ist der Angreifer, der das Lösegeld will, jemand, der gestern in der Zeitung gelesen hat, dass ich einen Datenschutz-Inzidenz hatte?
René
00:30:44
Auch das möglicherweise, ja. Verstehst du, was ich meine? Klar, aber siehst du, es gibt ja so viele Dinge, die man da einfach im Kopf haben kann. Und das immer unter der Prämisse, wir stehen unter Stress. Wir beide leben hier jetzt gerade locker daher.
Michael
00:30:58
Ja, und weil wir unter Stress stehen und weil wir jetzt hier aber locker reden, ist jedes Mal, würde ich sagen, immer hol dir einen, der Stressabbruch, hol dir einen Spezialisten dazu, mach den Scheiß nicht alleine mit dir aus.
René
00:31:11
Vor allem einer mit Abstand, der keine Nähe zu deinem Unternehmen hat, weil dann ist er entsprechend ruhig. Ihn betrifft es in Anführungsstrichen ja nicht.
Michael
00:31:19
Ja, der freut sich. Der schmeißt die Uhr an, die haben entsprechende Stundenlöhne, die freuen sich. Ja, sorry, aber es ist halt dann einfach so. Genau. Also definitiv Support holen, nicht direkte Kommunikation.
René
00:31:35
Genau. Wir haben uns jetzt einen Spezialisten geholt oder selber Kommunikation dann aufgenommen und haben einfach mal gefragt, was ist jetzt hier? Welche Daten hast du wirklich? Oder haben mal gefragt, welche Daten da betroffen sind und drei Stunden später kommt jetzt die nächste Mail. Diesmal mit Anhang, es gibt Screenshots. Zu sehen sind darauf die Kundenlisten, Vertragsunterlagen, interne Kalkulationen. Die Daten sind definitiv echt und daran gibt es auch keinen Zweifel. Was heißt das jetzt für dich als Geschäftsführer? Mitarbeiter informieren, zunächst Führungskräfte informieren oder eben Kommunikation vorbereiten und kontrolliert informieren. Kommunikation vorbereiten. Also an der Stelle ist es auch so, dass viele Unternehmen einen Fehler machen. Das heißt, sie unterschätzen so ein bisschen die Geschwindigkeit von Gerüchten. Das heißt, wir haben wenig Zeit an der Stelle. Das ist ja auch oft eine Gefahr, gerade bei einem Unternehmen, umso größer es wird, wenn Mitarbeiter über soziale Medien oder Kunden von einem Vorfall erfahren, bevor sie intern informiert werden, entsteht oft auch ein Schaden. Auch diese Mitarbeiter, im schlechtesten Fall, äußern sich zu diesen Themen, obwohl sie dazu nichts sagen könnten eigentlich. Gleichzeitig will man aber auch keine Panik auslösen. Deshalb ist Kommunikation in Cyberkrisen oft genauso wichtig wie die Technik selbst oder das Problem zu lösen. Das ist schwierig. Es hat nicht den gleichen Umfang, aber es ist wichtig.
Michael
00:33:18
Wir haben ja am Vortag schon kommuniziert. Wir haben ja jetzt inzwischen 72 Stunden. Das heißt, wir sind auf jeden Fall bei der Datenschutzbehörde und haben eine Meldung gemacht.
René
00:33:26
Am Vortag wurden wir aber noch nicht so erpresst wie jetzt.
Michael
00:33:30
Ja, aber ob ich jetzt erpresst werde oder nicht, was interessiert es die Mitarbeiter? Die Mitarbeiter wissen, dass wir ein Thema haben. Die wissen auch, was wir für ein Thema haben. Und ob die Mitarbeiter jetzt an dieser Stelle sofort auf der Stelle gesagt kriegen, wir haben noch einen Erpresser an der Backe oder nicht, weiß ich nicht, ob das so ist.
René
00:33:54
Verstehst du, was ich meine? Ja, das ist so. Das hat dann nachher nicht den Riesenimpact mehr auf die Kommunikation, das stimmt. Aber wie gesagt, gerade wenn du deine Mitarbeiter und sowas nochmal mit reinnimmst, also wenn die dann quasi nochmal Nachrichten lesen und dann da in den Austausch mit wem auch immer gehen, das kann schon schwere Schäden mit sich bringen. So, jetzt kommen wir wirklich zu einem extrem spannenden Teil. Die nächste Nachricht enthält jetzt dann auch mal eine Forderung, und zwar 250.000 Euro in Kryptowährung. Nicht für einen Entschlüsselungsschlüssel, also so wie es bei Ransomware ist, also nicht so, dass wir irgendwie jetzt ein Tool kriegen, um die Daten wieder zu entschlüsseln, sondern wirklich nur für die Zusicherung, diese Daten nicht zu veröffentlichen. So, jetzt kommt es. Jetzt kommt die Entscheidung, zahlen wir das, zahlen wir es nicht oder verhandeln wir?
Michael
00:34:52
Nicht zahlen, wir brauchen überhaupt nichts verhandeln. Also erst mal sind es aktuell mehr wie 2,5 Bitcoins. Die Zeiten, wo der Bitcoin bei 100.000 Euro lag, sind lange vorbei. Wohl dem, der da den Sprung geschafft hat. Er könnte jetzt wieder gut einsteigen und gucken, was passiert, wenn er wieder nach oben geht. Aber das ist ein anderes Thema. Ich habe keine, auch das leider, deswegen darf ich hier noch einen Podcast mit dir machen. Nicht zahlen.
René
00:35:18
Okay. Ja, genau das ist der erste Impuls von sehr, sehr vielen. Einfach zu sagen, niemals zahlen.
Michael
00:35:26
Das ist auch der zweite und dritte Impuls. Erzähl du mir was anderes.
René
00:35:30
Stellen wir uns aber mal vor, ein Unternehmen steht kurz vor einer Insolvenz. Das jetzt nicht zwingend, aber stellen wir uns vor, ein Unternehmen stände kurz vor einer Insolvenz und die Veröffentlichung von diesen Daten würde existenzbedrohend sein. Ist die Entscheidung dann immer noch so eindeutig? Du würdest sagen, ich schließe den Laden lieber ab, als dass ich das mache?
Michael
00:35:57
Naja, ich sage dir jetzt was anderes. Ich kratze jetzt in der Insolvenz, kurz vor der Insolvenz, kratze ich all meine Kröten zusammen, verkaufe noch zwei Maschinen, verkaufe noch mein Auto und meinen Hund und überweise 250.000 Euro in Krypto. Also ich gebe ihm die Kohle. Wer garantiert mir denn, dass der nicht in 14 Tagen wieder um die Ecke kommt und wer garantiert mir denn, dass er es nicht doch veröffentlicht? Also wir reden ins Digitale. Selbst wenn er mir sagt, mach mal eine DSGVO-konforme Löschung meiner Daten. Selbst dann. Ich habe ja nie die Garantie, dass ich dann was kriege.
René
00:36:45
Das stimmt, du hast recht. Aber genau das macht die Entscheidung auch so schwierig. Das ist so, da gebe ich dir völlig recht. Und mein erster Impuls aus reiner Überzeugung wäre auch, das nicht zu zahlen. Aber ich glaube, dass es in manchen Situationen einfach nicht so einfach ist. Also das so pauschal jetzt so zu sagen. Wenn du ein Unternehmen hast, was meinetwegen, keine Ahnung, machen wir es doch so. Nehmen wir mal diese 250.000, die ich gerade genannt hatte. Die sind ja auch nicht ganz aus der Luft gegriffen. Das heißt, wenn du jetzt ein Unternehmen bist und du hast eine Cyberversicherung, dann ist es eigentlich relativ einfach, du rufst ja deine Versicherung an. Und deine Versicherung wird sagen, okay, wenn wir das jetzt alles bereinigen würden von Hand, dann stehen wir wahrscheinlich bei, keine Ahnung, zwei Millionen oder wie auch immer. Eine Million kommt ja immer aufs Unternehmen an. Der Schaden dahinter ist so und so hoch. Wir zahlen die 250.000. 250.000 ist auch für eine Versicherung eine gewisse Schwelle, wo die noch sagen, das zahlen wir. Deswegen fallen die auch mittlerweile so gelegen aus, die Forderungen.
Michael
00:38:03
Gehe ich, würde ich mitgehen bei einem Verschlüsselungstrojaner, wo kein Datenabflug stattgefunden hat, zum Wiederherstellen deiner Daten, wenn du kein vernünftiges IT-Backup hast und bist versichert. Alles cool. Aber was will denn die Versicherung mindern an der Stelle? Du hast eben von gesprochen, die Wiederherstellung oder die Behebung des Schadens würde zwei Millionen kosten. Welchen Schaden will sie denn beheben? Die Daten sind ja weg.
René
00:38:32
Aber deine Systeme sind nicht befreit von den Hackern, zum Beispiel.
Michael
00:38:38
Ja, aber dafür habe ich doch mein Backup. Das schiebe ich mir zurück. Da habe ich meine Logfiles und das ziehe ich mit durch. Das kostet doch alles nichts. Das ist ja nur IT. Das wäre meiner Ansicht nach oder in meinen Augen nach bei meiner 80-Mann-Bude definitiv keine 2 Mille. Hier geht es ja darum, die wollen ja das Lösegeld haben und das war ja der Einstieg in der Nummer. Die wollen ja das Lösegeld haben, um eben die Daten nicht zu veröffentlichen. Und das kann die Versicherung mit der Zahlung von den 250.000 Euro eben auch nicht ausschließen.
René
00:39:17
Das stimmt. Es gibt ja Portale und auf diesen Portalen werden Datensätze angeboten. Natürlich gibt dir das keine Garantie. Gibt es auch bei einer Ransomware nicht. Bei einer Ransomware muss man ja auch ehrlicherweise sagen, du weißt ja nicht mal, ob du deine Daten alle wiederkriegst, weil nicht alle Daten wiederhergestellt werden können. Das Tool von denen gibt es ja gar nicht her. So, sei es drum. Aber wenn wir jetzt an der Stelle also selbst das Zurückkaufen dieser Daten aus diesen Datenbanken, die da irgendwo entstehen, die diese Daten zur Verfügung stellen, da kann der Schaden deutlich höher liegen. Und natürlich kannst du denen nicht vertrauen, dass das nicht passiert, aber das steht ja nun mal im Raum.
Michael
00:40:01
Aber wir reden von Daten zurückkaufen. In meiner Welt kannst du keine Daten zurückkaufen. Du kannst eine Kopie des Datensatzes kaufen, aber du kannst die Daten nicht zurückkaufen. Dir gibt keiner eine CD und sagt, hier sind die Daten jetzt einmal drauf, die schicke ich dir mit der Post und ich habe sie dann de facto nicht mehr. Verstehst du, was ich meine? Ja, du hast ja recht. Du hast in dem Moment die komplette Kontrolle über deine Daten verloren und hast nicht mehr unter Kontrolle, wer die Daten kriegt und nicht mehr unter Kontrolle, ob die Daten gegen Zahlung oder gegen Einwurf größerer Coins nachweislich sicher gelöscht werden oder nicht. Dir kann irgendeiner eine Kopie geben und sagen, jetzt hast du deine Daten wieder zurück oder dir kann irgendeiner sagen, hier guck, ich zeige dir ein Video, in dem ich deine CD kaputtbreche.
René
00:40:51
Ich weiß, was du meinst, weil du es unendlich vervielfachen kannst, das ist mir schon klar. Aber es ist das gleiche wie bei einer Ransomware. Nur weil ich jetzt ein Tool gekriegt habe, meine Daten können doch trotzdem irgendwo sein. Aber wie viele Unternehmen gibt es, die das zahlen? Und warum zahlen sie das? Weil sie einfach sagen, für mich ist der jetzige Schaden geringer und meine Daten können trotzdem irgendwo in der Datenbank landen, sie sind ja abgeflossen. Das garantiert mir aber auch keiner. Mir geht es nicht darum, dass wir beide jetzt sagen, ja stimmt, da würde ich auch zahlen. Mir geht es einfach nur darum, es gibt schon Gründe dafür, dass Unternehmen sich auch dafür entscheiden. Ob ich das gut finde oder nicht, ist mal dahingestellt. Darum geht es nicht. Aber es gibt schon Unternehmen, die solche Lösegeldforderungen, und da gibt es definitiv nicht wenige, die diese zahlen. Und ob danach, darüber gibt es natürlich keine Studien und kein Unternehmen wird freiwillig sagen, wir haben den bezahlt und nach vier Wochen hatte ich das wieder. Das wird dir kein Unternehmen sagen, weil es dann ja, darüber gibt es nun mal keine Studien. Und auch ein Angriff schützt dich nicht, in kürzester Zeit wieder angegriffen zu werden. Das ist auch definitiv richtig. Aber es gibt genug Unternehmen, die das auch schon gezahlt haben. Es gibt aber auch genauso, ich glaube, Atlanta war es, die haben eine Lösegeldforderung von 50.000 gehabt oder 52.000 Dollar, haben die abgelehnt und haben 2,6 Millionen dafür in die Hand genommen, das anderweitig zu lösen. Da ging es auch um reine Einstellungen zu sagen, nee, wir machen das nicht. Ist auch okay. Entscheidet ja auch jeder für sich selbst. Also das ist ja auch das, was ich meinte. Jedes Unternehmen ist anders, jeder trifft seine Entscheidung auch etwas anders. Aber es gibt das. Darauf wollte ich einfach nur hinaus, Michael. Okay, ich würde nicht bezahlen, ich bleibe dabei. Ist ja auch okay. Ich sage ja, mein erster Impuls wäre ganz genauso. Und ich würde auch pauschal erstmal sagen, nein, warum sollte ich jemandem vertrauen, der mich sowieso schon einmal verarscht hat. Also es wird ja nicht besser dadurch. Gut, dann kriegst du noch einen Vorschlag aus dem IT-Team. Wir wissen doch ungefähr, wo die Täter sitzen. Warum greifen wir jetzt eigentlich nicht zurück an? Ja, weh. So, vielleicht können wir die Daten dann beim Täter löschen. Vielleicht können wir auch den Server ganz ausschalten. So, gute Idee. Auf keinen Fall. Oder erstmal rechtlich prüfen lassen.
Michael
00:43:35
Auf keinen Fall, da würde ich ja nicht mal eine rechtliche Prüfung machen.
René
00:43:39
Okay, also. Auch da, da gibt es unterschiedliche Gedanken zu, wenn wir jetzt mal die allermeisten Menschen sagen, naja, also wenn mich draußen jemand schlägt, dann darf ich zurückschlagen. Ist ja erstmal, ich darf mich wehren. Und das ist der Impuls von sehr, sehr vielen Menschen. Und es klingt auch erstmal logisch, aber das Problem dahinter ist halt, woher weiß ich denn überhaupt, dass ich den richtigen Server gefunden habe? Das ist schon mal das Problem. Viele Angriffe laufen über kompromittierte Systeme, also nicht über die eigenen, sondern die Suchensicht-Systeme, die dann den Angriff auslösen. Dann gehackte Cloud-Dienste, fremde Infrastruktur, gerade Botnets und so werden ja auch nicht weniger. Das heißt dementsprechend vielleicht gehört der Server gar nicht dem Täter, aber ich greife ihn an. Und im schlechtesten Fall kommst du dann in so eine Situation, du greifst einen Arzt, eine Universität, ein Krankenhaus oder wen auch immer an, und da kommst du in einen sehr kritischen Bereich. Und zusätzlich kannst du natürlich, wenn du es dann angreifst, und meinetwegen auch erfolgreich angreifst, dann könnte es sein, dass du Beweise zerstörst. Auch das ist nicht unwichtig. Und dann kommst du plötzlich auch in so eine Opfer-Täter-Umkehr. Also dann wirst du, du bleibst natürlich in deinem Fall das Opfer, aber du wirst selber auch zum Täter. Und das ist dann nicht so gut. So, eine Woche später. Die Lage stabilisiert sich, Konten werden bereinigt, MFA neu eingerichtet, Passwörter zurückgesetzt, Prozesse überprüft. Jetzt stellt sich aber noch eine Frage. Was verbessert ihr jetzt zuerst? Technik, Prozesse, Mitarbeiter? Technik. Okay. Also ich würde auch erst mal, also Unternehmen kaufen auch wirklich, also in der breiten Masse sind Unternehmen am ehesten dann gewillt, in die Technik zu investieren oder so als ersten Schritt. Weil es das Erste ist, was angreifbar war. Also darüber lief der Angriff ganz offensichtlich und deswegen geht man da auch als erstes drauf ein. Jetzt ist aber immer die Frage, war es jetzt wirklich ein Technik-Problem oder war es halt eine fehlende Schulung, Prozesse, die irgendwie gefehlt haben oder falsch gelaufen sind? Gefehlmehreaktionspläne?
Michael
00:46:15
Dadurch, dass du die Technik mit reingespielt hast, impliziert das, dass es die Möglichkeit gibt, dass es ein technisches, eine technische Schwachstelle gibt. Sonst hättest du ja nur gesagt Mitarbeiter, Erwärmungsschulung oder eine neue Richtlinie. Ich bin ganz klassisch und wir haben ja jetzt schon ein paar Podcasts echt miteinander gemacht und technisch und organisatorische Maßnahmen. Ich regle erst die Technik und wenn ich die Technik nicht mehr unter Kontrolle habe und kriege es mit Technik nicht mehr zu, fange ich an und mache mir organisatorische Gedanken. Und an dieser Stelle wäre ich meiner Linie treu. Ich gucke erst, was kann ich technisch tun, um das Wiederauftreten zu verhindern. Und wenn die technischen Maßnahmen ausgeschöpft sind, dann gehe ich in organisatorische Maßnahmen. Und natürlich würde ich am Ende auch Mitarbeiterschulen, brauchen wir nicht drüber reden, Erwärmung etc. pp. Aber wir haben ja nach, was machst du zuerst. Und für mich wäre der erste Blick in die Technik rein, dass ich systematisch das technisch so regle, das ausgeschlossen ist oder das Risiko reduziert ist, dass ich organisatorische Maßnahmen treffen muss.
René
00:47:24
Ja. Genau, ja. Das stimmt. Und über die Technik hinaus würde ich auch nie pauschal sagen, das ist jetzt die Sache oder die Sache. Das ist immer von allem irgendwie etwas. Das kann man nie so pauschal runter machen. So, lösen wir das Ganze jetzt mal aus. Nein, nicht aus. Lösen wir das Ganze jetzt mal auf. Wann begann der Angriff? War es die manipulierte Rechnung, eine Outlook-Regel, MFA-Freigabe oder der Datenabfluss? Nee, eigentlich begann es deutlich früher, begann an einem Tag, an dem eine Mitarbeiterin eine Anmeldeseite sah. Dann begann er an einem Tag, an dem niemand die ungewöhnliche Anmeldung auch wirklich bemerkte. Keine Alarmierung dementsprechend ausgelöst wurde, weil es ja keiner so erkannt hatte. An dem Tag gab es auch keinen Krisenplan, weil man ja logischerweise die Krise nicht erkannt hat. Ja, und das ist eigentlich auch der Grund, warum wir so oft in der IT von Prävention sprechen. Ich hoffe, es hat so ein bisschen das rübergebracht, was ich vorhatte. Dieser Fall zeigt so ein bisschen, dass wir nicht immer einen Auslöser haben, wo wir wissen, ab jetzt findet der Angriff statt, sondern der Auslöser war schon viel früher. Ich weiß nur erst seit jetzt davon. Und deswegen ist diese Prävention so wichtig, über die wir auch so oft sprechen. Es ist eigentlich in jeder Geschichte so, ob es Schulungen sind, ob es unsere Prozessabläufe, Notfallplanung oder auch eine Firewall ist, das sind alles Präventivmaßnahmen. die sorgen halt dafür, dass wir uns sicherer aufstellen können oder auch sensibilisiert auf solche Dinge sind. Oftmals werden Angriffe, gerade Angriffe in diesem Umfang, so wie wir ihn jetzt besprochen haben, nicht durch einen einzelnen Fehler ausgelöst, sondern es sind mehrere Dinge, die da zusammenkommen. Also auch, dass es jetzt vier Konten sind oder nachher in Summe sechs, glaube ich, zeigt ja auch, dass es nicht eine Einzelanmeldung gewesen sein kann, sondern dass da noch was anderes lief. Klar, das Eintrittstor war einer von denen, aber es war deutlich mehr als das. Und dementsprechend so einfach in Anführungsstrichen kann es dann gehen, aber man sieht halt, also auch in so einer Situation Michael, klar du hast da jetzt auch mit Abstand drauf reagiert, aber stellt euch wirklich vor, ihr habt da die 80 Mitarbeiter, Journalisten, externe Partner und so im Nackensitzen und müsst kluge Entscheidungen treffen, auf die ihr heute keine Antwort habt, über die ihr euch noch keine Gedanken gemacht habt. Und genau das ist es halt, warum wir so oft über IT-Notfallplanung zum Beispiel sprechen. Genau da kann man sowas halt auch besprechen. Da kann man sowas schon mal durchspielen und man kann dann schon mal sagen, okay, in der Situation würde ich so reagieren, aus heutiger Sicht, ob es dann in der Umsetzung tatsächlich so ist, das ist mal dahingestellt, aber grundsätzlich ist man anders auf so ein Szenario vorbereitet.
Michael
00:51:01
Und das hilft halt, das trainiert, weil gerade, was wir jetzt gemacht haben, ist halt, selbst ich habe überlegt und wir haben ja auch jetzt schön gesprochen über solche Themen, es gibt da halt, du musst so für dich den Weg haben oder so ein paar Optionen abwägen, aber du solltest dir so einen groben Fahrplan haben, du solltest zum Beispiel die Versicherung, die Telefonnummer und Versicherung irgendwo liegen haben, du solltest wissen, wie du ans LTA drankommst, haben wir jetzt auch gelernt, also solche Themen, dass einfach solche Sachen klar sind und solche Entscheidungswege kommen und dass da halt auch ganz klar drinsteht, sind personenbezogene Daten getroffen, ja, hol den Datenschutzbeauftragten mit ins Boot, also solche Themen oder bist du dir unsicher, hol den und den mit dabei, was wird mal ein Krisenteam sein, wer darf die Kommunikation so nach draußen übernehmen, also solche Sachen, da haben wir ja schon ein paar Mal drüber gesprochen in der Theorie und in der Sache und heute ist, glaube ich, mal deutlich geworden, warum das so sinnvoll ist, das zu tun.
René
00:52:05
Ja. Genau. Gut, Michael, ich glaube, ja, heute war es mal deutlich länger, aber ich fand halt, das mal einmal so durchzuspielen und wirklich mal die unterschiedlichen Dinge da so ein bisschen zu betrachten, klar, also, wenn man jetzt so einen echten Fall nehmen würde, hätten wir wahrscheinlich noch zwei Stunden drüber sprechen können, wenn es noch viel mehr Entscheidungen gibt. Wir hätten es noch crashen können, ja. Definitiv. Und dementsprechend, ja, so sieht's aus. Ich glaube, das war jetzt mal wirklich ein harter Schnitt zu den anderen Folgen, die wir bisher so gemacht haben, mal ganz anders aufgestellt. Ich hoffe aber, dass es interessant war. Ich würde es jetzt von meiner Seite an der Stelle deckeln wollen. Ich entlasse euch von meiner Seite, weil schon mal ins Wochenende... Vielen Dank fürs Zuhören. Alles Gute. Danke, Michael. Bis zum nächsten Mal.
Michael
00:53:06
Ich mache das auch fertig. Grüße aus Wetzlar. Ich wünsche euch eine tolle Zeit. Habt schöne Menschen zu euch. Bis zum nächsten Mal. Macht's gut. Tschüss. Ciao.

Feedback geben

Dir gefällt der Podcast und Du möchtest das mal loswerden? Du hast Tipps für neue Themen oder magst über den Inhalt bestimmter Folgen diskutieren? Dann wähle im Formular die jeweilige Episode aus und schreib uns eine Nachricht. Vielen Dank für Dein Feedback!

Mit einem Klick auf "Nachricht absenden" erklärst Du Dich damit einverstanden, dass wir Deine Daten zum Zwecke der Beantwortung Deiner Anfrage verarbeiten dürfen. Die Verarbeitung und der Versand Deiner Anfrage an uns erfolgt über den Server unseres Podcast-Hosters LetsCast.fm. Eine Weitergabe an Dritte findet nicht statt. Hier kannst Du die Datenschutzerklärung & Widerrufshinweise einsehen.

★★★★★

Gefällt Dir die Show?
Bewerte sie jetzt auf Apple Podcasts