#21 Tote Winkel im Netzwerk

[René]

Moin, her­zlich willkom­men zurück in der users lounge, heute wie immer mit dem Michael.

[Michael]

Guten Tag aus Wet­zlar, ich grüße euch, hi René.

[René]

Hi, ja Michael, heute bist du glaube ich ein biss­chen unvor­bere­it­et, weil ich dir gesagt habe, dass ich das The­ma wäh­le. Ist aber vielle­icht auch ganz gut so, weil da kannst du halt frei ein biss­chen was zum The­ma oder zu den einzel­nen Punk­ten sagen. Heute geht es näm­lich um tote Winkel im Net­zw­erk.

Es ist sehr IT-lastig, aber ich glaube, da wirst du einige Dinge auch zu sagen kön­nen, ger­ade weil du ja in der Beratung in den Unternehmen bist und auch hier und da immer was siehst, ger­ade aus daten­schutztech­nis­ch­er Sicht. Auch mal Dinge hin­ter­fragst, die vielle­icht das Unternehmen sel­ber eben nicht für sich auf dem Schirm hat.

[Michael]

Ja super, ich kenne das The­ma unter Schat­ten-IT, so habe ich es mal genan­nt, glaube ich in einem Blog-Beitrag von mir. Wir guck­en mal, was du von mir möcht­est und was du uns heute erzählen willst. Ich glaube, das passt ziem­lich gut zusam­men und ich glaube, ich habe das eine oder andere auch schon so gese­hen in mein­er Berater-Tätigkeit.

[René]

Also Schat­ten-IT ist auf jeden Fall genau­so tre­f­fend. Tote Winkel im Net­zw­erk, damit ist eigentlich immer nur das gemeint, oder Schat­ten-IT, dass wir gewisse Bere­iche im Net­zw­erk nicht immer im Blick haben. Nehmen wir mal an, jet­zt ein ganz ein­fach­es Beispiel dabei ist, du hast ein großes Net­zw­erk, alle Sys­teme sind man­agt, also sehr viel man­agt.

Bedeutet, dass ich die alle über eine Soft­ware, über irgendwelche Schnittstellen dann ausle­sen kann, dass ich sehe, wie ist der Sta­tus laufen, wie sind die up-to-date und so weit­er und so fort. Und es gibt halt auch Geräte, wie zum Beispiel einen Router, die meis­tens nicht mit­ge­m­anagt wer­den. Das ist so meine Erfahrung, die liegen da ja nur in der Ecke und laufen vor sich hin und funk­tion­ieren.

Das dürftest du, denke ich, auch so ken­nen.

[Michael]

Ja, also ich habe jet­zt nicht eine unüber­schaubare Anzahl Router in meinem Net­zw­erk, aber ja, ich weiß, was du meinst.

[René]

Selb­st der einzelne Router, ist ja egal, ob es jet­zt bei dir ist. Also ich meine jet­zt nicht, dass es bei dir das Prob­lem gibt, son­dern ein­fach, es gibt super viele Unternehmen, die alles Mögliche halt wirk­lich prüfen, wenn sie eine eigene IT-Abteilung haben. Aber eben sowas wie so ein Router oder ein Switch, der liegt da ja unterm Tisch, ist egal, der funk­tion­iert schon.

Diese Bil­lo 5‑Port, 8‑Port-Switch­es, die da irgend­wo liegen, das kon­trol­liert halt kein­er. Und das halte ich schon für ein biss­chen schwierig. Also ger­ade, wenn man so Secu­ri­ty-mäßig gut aufgestellt sein möchte, dann darf es diese Bere­iche eben nicht geben.

Da gibt es halt, wie gesagt, ver­schiedene Punk­te, also ver­schiedene Dinge, die eben genau dazu führen kön­nen, dass man sich angreift beim Net­zw­erk­macht. Auch dafür, ich habe eigentlich ein sehr amüsantes Beispiel dafür. Wir haben, also ein Kunde von uns, die haben ein sehr großes Net­zw­erk, da sind knapp 500 User am Stan­dort, über mehrere Gebäude verteilt.

[René]

Und ja, dann kam irgend­wann der Anruf, hier bei uns ste­ht alles, wir kön­nen alle nicht mehr arbeit­en. Das war zwar kein Cyberan­griff, aber am Ende des Tages war es so, die kon­nten über­haupt nicht einord­nen, was im Net­zw­erk passiert ist, warum jet­zt auf ein­mal dieser Aus­fall da ist. So, und dann sind wir dahin gefahren und dann haben wir per Auss­chlussver­fahren erst mal gear­beit­et, weil die hat­ten näm­lich auch keine Man­aged-Switch­es, wir kon­nten in keine Pro­tokolle guck­en.

Und ja, per Auss­chlussver­fahren Net­zw­erk­seg­mente abge­tren­nt und mal geguckt, ab wann es wieder läuft. Und dann immer weit­er einge­gren­zt, bis wir am Ende angekom­men sind und gese­hen haben, wo das Prob­lem lag. Das Prob­lem lag daran, dass der Steuer­ber­ater, bei dem ja zur Prü­fung halt da war, saß dann da ein paar Tage und das war halt der erste Tag, wo er da war.

Und an diesem Tag hat er gemeint, er kann jet­zt sein Endgerät sel­ber in den Switch anschließen, der unterm Tisch lag. Prob­lem dabei ist, dass er nicht nur ein Kabel gesteckt hat, son­dern auch gle­ich zwei, weil unterm Tisch lag ja noch ein Kabel, kon­nte er sich nicht wirk­lich erk­lären, warum das da ein­fach nur hängt. Das musste bes­timmt auch in den Switch.

So, dann hat er einen Loop gesteckt und dadurch ist das Net­zw­erk aus­ge­fall­en. War ein guter Schaden, muss man ein­fach sagen, wenn da 500 Leute auf ein­mal nicht mehr arbeit­en kön­nen. Aber das ist eins dieser Beispiele.

[Michael]

Ja, aber ich wollte ger­ade sagen, Loop gesteckt kenne ich von meinem früheren Arbeit­ge­ber auch. Das ist auch genau so dieser Klas­sik­er. Wenn du so ein Net­zw­erkka­bel find­est, wenn du switchst darauf.

Wir hat­ten es, glaube ich, damals auf dem Tisch. Da gibt es so Dinge, die du hochk­lappst, wo du dann ein­steck­en kannst. Und ich kenne das auch.

Wir standen auch mal einen Tag. Gut, wir waren jet­zt auch nur mit knapp 100 Leuten. Aber wenn die IT einen Tag ste­ht wegen so einem.

Ja, das ist schon mehr wie blöd. Da hast du schon vol­lkom­men recht. Da sind wir auch genau im The­ma.

[René]

Ja, genau. Ich meine, klar, das ist jet­zt nicht ganz der tote Winkel, wo man jet­zt Secu­ri­ty tech­nisch was zu bemän­geln. Ja, zu bemän­geln auch.

Ein Unternehmen fällt ja auch nicht auf, wenn jet­zt wirk­lich jemand ein­fach rein stolziert und da was anschließt. Aber es ist ja so. Hät­ten wir jet­zt dort an der Stelle irgend­wie man­aged switch gehabt und hät­ten Pro­tokolle gehabt, kön­nten wir ja ganz klar sehen.

Okay, daher kommt das zum einen. Und zum anderen ist es halt so. Hast du ein man­aged switch im Ein­satz oder man­aged Geräte halt wirk­lich.

Dann kön­nen diese auch die Prü­fung vornehmen. Das heißt zum Beispiel, es wird ein Loop gesteckt, es tritt ein Fehler in dem Net­zw­erk­seg­ment auf. Dann kann dieser Port sich selb­st­ständig abschal­ten.

Und der Rest des Net­zw­erks funk­tion­iert halt weit­er.

[René]

So kann man auf jeden Fall die toten Winkel oder die Graubere­iche im Net­zw­erk kann man auf jeden Fall damit so ein biss­chen verklein­ern. So möchte ich es mal nen­nen.

Also Prob­leme vor­beu­gen. Und ja, also ger­ade auch Router und solche Sachen, wie es ein­gangs gesagt hat­te, sind ein paar Sachen, die wirk­lich im Net­zw­erk immer vor sich hin düm­peln. Auch so ein Print Serv­er ist genau so ein gutes Beispiel.

Wie oft liegen die irgend­wo ein­fach da? Und mit Print Serv­er meine ich jet­zt diese kleinen Dinger, wo man eben einen Druck­er anschließt, der eigentlich per USB ist. Den schicke ich dann ins Net­zw­erk.

Und wie oft wer­den die denn angeschlossen und liegen da ein­fach jahre­lang? Da geht kein Men­sch mehr bei. Und wenn dann die Firmware darauf ver­al­tet ist und dann logis­cher­weise angreif­bar ist, dann habe ich ein Prob­lem.

Und das sind so Sachen, die sollte man möglichst ver­mei­den. Und ich denke, wenn du jet­zt mit deinen, ger­ade in der Daten­schutzber­atung, wenn du wirk­lich mit denen mal über ihr Net­zw­erk sprichst, die wür­den dir dann irgend­wann mal die Geräte zeigen. So das, das, das haben wir.

Da wirst du doch auch das ein oder andere Mal schon gesagt haben, ja hier, das funk­tion­iert so aber nicht.

[Michael]

Ja, also wir gehen, wenn ich in die Daten­schutzber­atung gehe, da werde ich in die Sache gehen. Für mich ist immer ganz wichtig, dass, jet­zt machen wir den Bogen, glaube ich, Schat­ten-IT. Für mich ist immer ganz wichtig, dass die IT über­haupt weiß, was für Geräte im Net­zw­erk sind.

Und die Kon­trolle über diesen Zugang zu diesen Net­zw­erken hat, um eben nicht Schat­ten beziehungsweise tote Winkel zu kriegen. Und das ist in meinen Augen mega wichtig. Das kannst du lösen über diese Man­aged Switch­es, wie du ger­ade gesagt hast, super span­nend, Kom­fortlö­sung.

Das ist aber auch so prim­i­tiv und so blöd, wie es klingt, ist, dass ich halt mal min­destens sich­er­stelle über irgendwelche Richtlin­ien oder irgendwelche Sachen, dass nicht ein­fach irgen­dein­er irgend­was an Com­put­ern ins Netz steckt. Das gehört sich nicht. In ein Fir­men­net­zw­erk gehört Fir­men-IT.

Und eine Fir­men-IT gehört durch die IT-Admin­is­tra­tion freigegeben und ins Net­zw­erk einge­bun­den. Es hat in einem dien­stlichen Net­zw­erk kein­er irgend­was rumzu­forschen. So blöd und so gemein, wie das jet­zt klingt.

Aber das hat da drin­nen nichts ver­loren. Es ist ein Fir­men­net­zw­erk. Und das geht los.

Und darüber reden wir ja gle­ich noch. Das geht los beim Smart­phone, was im Fir­men-WLAN offiziell drin liegt, im pri­vat­en. Und das geht weit­er.

Und jet­zt sind Bogen zu dem, was du mir ger­ade gesagt hast. Und das geht weit­er. Ich kenne das bei Pro­duk­tions­be­trieben ganz schlimm in Entwick­lungsabteilun­gen.

[Michael]

Dann baust du dir den größten Secu­ri­ty-Kram auf und hast das alles super toll unter Kon­trolle. Und der ITler geht stolz mit dir durch das Unternehmen und sagt, guck hier, alles super, Clean-Desk, die leeren Dosen sind so abgeschlossen und abgesichert und kann nichts passieren. Und dann gehst du in die Entwick­lungsabteilung und dann ste­ht hin­ten rechts Win­dows 95 Rech­n­er.

Dann laufen noch drei Lin­ux-Sys­teme an irgen­dein­er Stelle. Dann ste­ht der let­zte Hus­ten. Und dann sage ich, was machen wir hier?

Ja, also das ist die Entwick­lungsabteilung. Ja, also die müssen schon noch mal so zwis­chen­durch auch ins Inter­net. Und ja, natür­lich sind die online erre­ich­bar.

Dann kannst du dir das, was du da vorne gemacht hast, sparen an IT-Secu­ri­ty, wenn du hier hin­ten das Ding auf­machst wie ein Sche­unen­tor.

[René]

xJa, genau. Also auch ver­al­tete Betrieb­ssys­teme sind auf jeden Fall immer ein gutes Beispiel. Ich glaube aber, wenn du jet­zt wirk­lich eine IT-Abteilung hast, ich meine, ja, du hast recht.

Also erst mal, dass sowas über­haupt noch einge­set­zt wird, das sollte ver­hin­dert wer­den. Wenn es aber gar keine andere Möglichkeit gibt, ja okay, dann muss es isoliert betrieben wer­den, sodass es keinen Kon­takt zum restlichen Net­zw­erk hat und eben auch nicht zum Inter­net.

[Michael]

Ja, aber du kannst das, du wider­sprichst mir gerne, wenn ich Fir­lefanz erzäh­le, aber du kannst das doch nur sauber über Net­zw­erk­se­quen­tierung und Kram tren­nen, wenn du das von einem machen lässt, der Ahnung von der IT hat und eben nicht von dem Entwick­ler, der mal eben von zu Hause seinen alten Note­book in Win­dows 95 mit­ge­bracht hat, steckt den Mund in der Fir­ma ein, damit er sich mal ein paar Dat­en von vor 15 Jahren rüber­spie­len kann und mal eben irgend­was aus­pro­bieren kann beim Pro­gram­mieren.

Das gehört sich, dass das die IT macht und das vernün­ftig auf­baut und eine Net­zw­erk­se­quen­tierung macht und eben nicht in den gle­ichen Port, in den gle­ichen Switch rein, wie der Pro­duk­tivrech­n­er von der Geschäft­sleitung hängt.

[René]

Abso­lut, genau. Also es gibt ja viele Möglichkeit­en, wie du ger­ade gesagt hast, diese Seg­men­tierung von Net­zw­erken, da gibt es ja ver­schiedene Möglichkeit­en. Also ein­mal hat man dann die Möglichkeit, ein physikalis­ches Net­zw­erk auch wirk­lich in mehrere virtuelle Net­zw­erke zu unterteilen, also VLAN ist da so das Stich­wort.

Da muss man aber auch sagen, auch das erfordert man­aged Geräte, also wirk­lich die man kon­fig­uri­eren kann, bevor ich jet­zt so oft man­aged sage, wo man wirk­lich hin­ter­legen kann, okay der Port ist jet­zt für das VLAN zuständig oder keine Ahnung. Auch die Rich­tung, wie man das definiert, also in welchem VLAN ich mich ger­ade bewege, da gibt es auch viele Möglichkeit­en oder mehrere Möglichkeit­en. Aber ein­mal ist es das, dieses VLAN und dann habe ich genau­so die Möglichkeit, physikalis­che Tren­nun­gen vorzunehmen, wenn es halt wirk­lich gar nicht anders geht.

Ich meine, ich kön­nte jet­zt auch sagen, wenn ich jet­zt einen Rech­n­er habe, der ist jet­zt ver­al­tet und der muss aber unbe­d­ingt ins Inter­net, dann lassen wir doch einen Direk­tzu­griff dann auch wenig­stens aufs Inter­net kriegen, aber am Net­zw­erk vor­bei. Genau. Dann habe ich da auch kein Prob­lem im Hin­blick auf mein Net­zw­erk.

Also das wäre auch eine Möglichkeit. Ja, das VLAN zum Beispiel, da gibt es auch die Möglichkeit, dann eben nicht ein­fach nur in Anführungsstrichen mit einem Code zu arbeit­en, mit einem Vouch­er-Code oder ob ich jet­zt sage, okay, ich habe meine unter­schiedlichen SSIDs, son­dern ich kön­nte dann sog­ar noch so weit gehen, dass ich sage, okay, alle Geräte, die wirk­lich in mein internes Net­zw­erk gehören, die bestat­te ich mit einem entsprechen­den Zer­ti­fikat aus.

[René]

Also dann würde ich sie nochmal auf eine andere Weise autorisieren. Und die kön­nen sich ja gerne ein­wählen, die kön­nen dann aber nicht auf die inter­nen Sys­teme zugreifen.

Also Möglichkeit­en gibt es viele. Das ist immer nur die Frage, ob es da nach­her ver­hält­nis­mäßig ist. Wie viel habe ich da wirk­lich?

Also meis­tens ist es so, umso größer das Net­zw­erk ist, umso mehr braucht man auch von diesen Mech­a­nis­men ein­fach, weil es unüber­sichtlich wird. Das hat ja son­st kein­er mehr im Griff. Das muss man fair­erweise sagen.

Wenn wir jet­zt ein Unternehmen nehmen, das, was ich jet­zt ger­ade schon ein­mal ange­sprochen hat­te, bei diesen 500 Benutzern ist es aber auch so, dass da auch per­ma­nent irgend­wie Externe rum­laufen, weil die Zusam­me­nar­beit­en mit anderen Unternehmen haben. Son­dern kom­men die dor­thin und die brauchen ja auch Zugriff irgend­wie aufs Net­zw­erk. Also nein, nicht aufs Net­zw­erk, son­dern auf Inter­net oder auf Dat­en, generell von sich selb­st.

Und der ITler, der da sitzt, der wird ja nicht per­ma­nent irgend­wie eine Liste kriegen. Ja, heute kom­men die 20, der küm­mert sich ja dann um nichts anderes mehr. Das heißt, der wird nur die inter­nen mit einem zusät­zlichen Zer­ti­fikat ausstat­ten, weil die kriegt er ja auf jeden Fall mit.

Und alle anderen wür­den dann nur noch als Externe qua­si auch zuge­lassen wer­den. Und die haben auch nur Zugriff aufs Inter­net qua­si.

[Michael]

Ja, lass uns bei deinem Beispiel mit dem Steuer­ber­ater bleiben. Das ist das Beste, was du doch jet­zt, also immer so prak­tis­che Ansätze. Hän­gen, wenn du wirk­lich WLAN-Ports, nein, WLAN-Ports, wenn du wirk­lich LAN-Ports im Meet­ingraum oder in öffentlich zugänglichen Räu­men hast, also öffentlich mit Begleitung zugänglichen Räu­men, hän­gen Zettel dran, kein Zutritt für Externe.

Mach ein Dymo-Schritt drauf, schließe, mach irgend­was rein, mach irgend­was. Oder habe halt ein­fach keine Sachen. Also die grund­sät­zliche Frage, die man sich ja jet­zt anstellen muss, ist, wie kommt denn der Steuer­ber­ater auf die Idee, sein Lap­top ein­fach mit einem Kabel reinzusteck­en?

Und warum kon­nte er das ein­fach so tun? Ziehe die Ports zur Not aus dem Switch raus, also geh ins Server­raum, ver­folge das Kabel nach, mach dir Gedanken, ziehe es raus aus dem Switch, dass du es an der Stelle trennst und stelle für externe Dien­stleis­ter, wenn sie ins Inter­net müssen, ein anständig funk­tion­ieren­des, getren­ntes WLAN zur Ver­fü­gung. Ja.

Ende peng. So, das wäre so mein Ansatz. Und mein Ansatz ist auch, vielle­icht ein Schritt zu weit, aber mein Ansatz ist auch, wenn ich einen Steuer­ber­ater oder einen exter­nen hätte, der regelmäßig bei mir im Unternehmen tätig wäre und Zugriff auf das interne Net­zw­erk bräuchte, dann hätte der von mir einen dien­stlich geliefer­n­den PC genau für diese Nutzung und für diesen Zweck.

Der käme dann trotz­dem nicht mit sein­er Pri­vatschleud­er, wo ich nicht weiß, was da son­st noch drauf läuft und wie er sich mit der IT abgesichert hat an seinem Recht, der käme trotz­dem nicht bei mir ins Netz rein.

[Michael]

Dann geht er über meinen PC rein. Dann nehme ich lieber das Geld in die Hand und stelle ihm für die Dauer sein­er Dien­stleis­tung ein PC für Ver­fü­gung.

Und wenn ich ihn in der Fir­ma liegen lasse, dass, wenn er kommt, er mit dem Ding arbeit­en kann. Habe eine Schublade zu abgeschlossen, Steuer­ber­ater kommt, ach, bist du wieder am Arbeit­en, alles klar, hier ist das Note­book, Feuer frei. Ich regle das, egal wie, aber ich regle das.

Die Sit­u­a­tion, dass der Steuer­ber­ater mit dem Laden kam, ist nur ein Beispiel, was exem­plar­isch für viele ste­ht. Ich muss das bei mir im Unternehmen regeln und in mein Net­zw­erk kommt nur das rein, was ich kon­trol­liere, um eben es zu ver­mei­den. Und selb­st wenn ich es kon­trol­liere, habe ich immer noch das Mon­i­tor­ing, wie du ger­ade gesagt hast, dass ich guck­en muss, dass meine eigene IT auf Stand ist und dass das funk­tion­iert.

Keine 95 Rech­n­er drin, keine alten Switch­es, kein etc. pp.

[René]

Ja, defin­i­tiv. Das ist ja etwas, was sel­ten gemacht wird im Unternehmen. Und ich kann es ja natür­lich auch ver­ste­hen, man sagt, okay, ich möchte eins­paren.

Ich will möglichst wenig da jet­zt Über­flüs­siges, in Anführungsstrichen Über­flüs­siges, schon hin­stellen, weil ich ja gar nicht weiß, wie viel ich das dann nach­her wirk­lich auch in Nutzung habe. Auf der anderen Seite ist es so, auch da war es ja genau­so, nach­dem dieser Vor­fall war, hat man dann gesagt, okay, so, ab jet­zt, alle Switch­es und das ganze Net­zw­erk wird man­agt, wir haben auch da einen Rech­n­er für hingestellt, extra, wo nur der Steuer­ber­ater darauf arbeit­en kann, wenn er denn da ist usw. Und wenn man sich jet­zt ein­fach mal gegen­hält, okay, ich hätte jet­zt vorher das Geld mal in die Hand genom­men, dann, okay, hätte da jet­zt Wert X ges­tanden, ich kann jet­zt ger­ade nicht mal sagen, was da die Summe gewe­sen wäre, aber dadurch, dass wir ja jet­zt diesen Aus­fall hat­ten und es waren halt, ja, sagen wir mal, von den 500 Leuten waren 350 da, meinetwe­gen, und selb­st die, die von extern gear­beit­et haben, kamen ja auch auf keine Sys­teme.

Sagen wir mal, 400 Leute haben einen hal­ben Tag Aus­fall gehabt. So, jet­zt müsste man mal die Gehäl­ter der 400 Leute nehmen, dann eben diese 4 Stun­den darunter rech­nen, was da für eine Summe auf dem Zettel ste­ht, dann kann man sich unge­fähr aus­rech­nen, was man ges­part hätte, hätte man es vorher schon investiert.

[Michael]

Genau, und dann hast du immer noch einen Rechen­fehler in dem Ding drin, Entschuldigung, weil du darf­st nicht nur die 4 Stun­den Aus­fall rech­nen, son­dern du musst die 4 Stun­den nochmal mul­ti­plizieren mit 2, weil sie die 4 Stun­den ja nachar­beit­en müssen und in der Zeit, in der sie nachar­beit­en, die andere Arbeit, die sie eigentlich hät­ten tun müssen, auch nicht wertschöpfend tätig wer­den kön­nen. Das heißt, du hast im Prinzip einen Ver­lust von 4 Stun­den Aus­fall und 4 Stun­den, die du nachar­beit­en musst. Das heißt, du sprichst von 8 Stun­den, wenn du es wirk­lich hart nehmen willst.

[René]

Und zusät­zlich, wenn du Pech hast und noch Verpflich­tun­gen hat­test, zeitlich gebun­den, dann stehst du natür­lich noch schlechter da, weil es nach außen dann auch noch mal so ein The­ma ist.

[Michael]

Genau, und das ist ein schönes Beispiel. Ganz egal, wie es ist, früher gab es mal den Satz, der erste Schmerz ist der ger­ing­ste.

[Michael]

Ganz genau, egal wie, die Kosten für die Anschaf­fung von ein­er gescheit­en IT sind vielle­icht am Anfang ein biss­chen höher, aber du holst das und sparst das rein, weil du eben keine Prob­leme mit IT-Sicher­heit hast und keine Aus­fälle hast, keine Cyberan­griffe.

Du dich nicht mit irgendwelchen Daten­schutzbe­hör­den, mit irgendwelchen Auseinan­der­set­zun­gen, son­dern die Bude ren­nt, auf Deutsch gesagt. Und da muss man ein­fach Geld in die IT pulfern, dass das sauber funk­tion­iert. Der Fokus von Aus­gaben in der IT wird bei vie­len Unternehmen unter­schätzt.

Ja, da kann man mal sparen, und der Rech­n­er ist ja erst drei Jahre alt, muss das wirk­lich und Kram und hast du nicht gese­hen. Und da habe ich eine ziem­lich klare Mei­n­ung, wo ich ein­fach sage, du sparst nur Geld, wenn du richtig aus­gib­st und das vernün­ftig investierst und deine IT auf dem aktuellen Stand der Tech­nik, gehen wir kurz rüber, Daten­schutz, tech­nisch-organ­isatorische Maß­nah­men, Tech­nikgestal­tung bei der Ver­ar­beitung muss dem Stand der Tech­nik entsprechen. Wenn du das so hast, dass du hap­py bist mit der Marie, du das kon­trol­lieren kannst und du weißt, die Kiste ren­nt.

Alles andere macht gar keinen Sinn.

[René]

Ja, genau. Also ich habe jet­zt die Tage noch mit einem sehr geschätzten Kun­den von uns gesprochen und es ist dann noch von der Mann­zahl her ein recht klein­er Betrieb. Ich glaube, es sind sechs Arbeit­splätze oder so.

Ich meine, es sind knapp sechs. Und dann sagt er ja, du, ganz ehrlich, ich weiß, dass IT Geld kostet und ich rechne immer damit, dass die IT nicht so viel kostet wie ein voll­w­er­tiger Mitar­beit­er zusät­zlich. Das ist das, was er für sich so ein­fach im Hin­terkopf hat, wo er gesagt hat, okay, das ist so mein Richtwert.

Also klar, wenn er jet­zt größere Anschaf­fun­gen hat, ist das mal außen vor. Aber so an sich, sagt er, so an laufend­en Kosten, wenn man das jet­zt über das Jahr betra­cht­en würde, ist es wie ein voll­w­er­tiger Mitar­beit­er. Und für sein Net­zw­erk ist das aus mein­er Sicht schon fast zu viel, also zu hoch schon gerech­net.

Aber ich finde die Ein­stel­lung halt gesund. Also es ist ja super, wenn er am Ende des Jahres sagt, ey, wir haben viel weniger aus­gegeben, als ich kalkuliert hat­te. Aber grund­sät­zlich ist es halt nicht so, dass er sagt, ah, das kostet Geld, son­dern er sieht den Mehrw­ert für sich ja auch.

Und das finde ich ist sehr gesund.

[Michael]

Ja, das ist wichtig. Aber zurück zu Schat­ten-IT, zurück zum The­ma schwarze Eck­en oder schwarze Lück­en im Net­zw­erk. Da gehört natür­lich mein­er Mei­n­ung nach, noch ein Beispiel aus der Prax­is, da gehört mein­er Mei­n­ung nach sehr, sehr viel dazu.

Auch wenn du Net­zw­erk­seg­men­tierung hast und wenn du die toll­ste Secu­ri­ty hast und alles schön ist, ein saublödes Beispiel. Aber wenn du alles toll hast und du siehst, dass die Mitar­beit­er ihr pri­vates Handy am USB-Port vom Rech­n­er laden und am Ende noch eine Dateifreiga­be gemacht haben zum Laden und du das nicht auss­chließen kannst, geht halt auch wieder alles am Sys­tem vor­bei. Ver­stehst du, was ich meine?

Also das fängt in meinen Augen ganz klein an. Du redest vom großen Ganzen, vom Man­aged Switch­es, und bei mir ist es sehr, sehr klein, wenn ich das bei Kun­den sehe. Nein, lade das Handy nicht am USB-Port.

Es geht kein, gle­ich wie was ich eben gesagt habe, es geht kein firmenex­ternes Gerät an die Fir­men-IT. Und das geht beim Laden los. Kaufe dir für 5 Euro ein Steck­er­net­zteil, steck es in die Steck­dose und lad, mein Gott, mir doch egal.

Aber mach doch das nicht. Dann gehen die Bilder hoch, dann ist bei Google, dann ist die Fire­wall und der ganzen Schutzmech­a­nis­mus ein­mal der Bogen um alles geschlossen, wenn das Google-Handy oder auch wegen mir das Apple-Handy mal ein­fach stumpf mit Dateifreiga­be und feuer­frei am besten noch mit mobil­er Hotspot-Nutzung, oder hast du nicht gese­hen, ein­mal direkt am Android-Handy hängt über ein USB-Kabel und dann läuft die Loot-Serie.

Das ist vol­lkom­men der falsche Ansatz.

[René]

Defin­i­tiv, aber auch da die USB-Ports deak­tivieren. Also das sollte mit­tler­weile immer mehr ein The­ma wer­den. USB wird immer weniger benötigt, muss man fair­erweise auch sagen.

Mit­tler­weile hast du die Möglichkeit, fast alles kabel­los anzu­binden und ander­srum, du hast ja auch nicht mal das The­ma, dass du irgend­wie, ja keine Ahnung, so wie es damals mal war, oder damals, das hört sich schon so lange an, aber wo du halt noch vom CD-Laufw­erk rüber zu ohne CDs gegan­gen bist, dann hast du vielle­icht noch dein externes Laufw­erk oder ein USB-Stick oder wie auch immer.

[René]

Aber all diese Sachen, die fall­en ja mit den Cloud-Anwen­dun­gen und mit den Down­load-Rat­en, die man mit­tler­weile auf den Inter­netleitun­gen hat, fällt das ja alles weg. Das ist unin­ter­es­sant.

Von daher kann man auch immer weit­er weg von den USB-Din­gen gehen.

[Michael]

Ja, wir schweifen ab. Aber das ist ein super Beispiel. Das funk­tion­iert aber nur, wenn ich eine Geschäft­sleitung und einen Chef habe, der nicht der Mei­n­ung ist, dass es aus­re­icht, eine Kabeltas­tatur und eine Kabel­maus zu haben, der USB, son­dern da brauche ich mal einen Chef, der sagt, ich gebe halt jet­zt mal für eine Maus­tas­tatur-Kom­bi­na­tion am Ende noch ergonomisch, dass mein Mitar­beit­er keine Prob­leme mit dem Sehenss­cheid kriegt und vernün­ftig arbeit­et, dann kostet halt ein­fach so ein Set mal für einen Mitar­beit­er, ich nerve ein­fach mal pauschal, kostet halt ein­fach mal einen Hun­ni pro Arbeit­splatz.

Dafür kann ich es aber dann Blue­tooth machen und habe entsprechend die Möglichkeit, mit den USB-Ports so zu arbeit­en, wie du es ger­ade gesagt hast. Aber das Ver­ständ­nis muss da sein an dieser Stelle und das zieht sich durch die Kette durch. Wir haben bei Man­aged Switch­es ange­fan­gen und wir sind jet­zt bei der Kabel­maus gelandet.

[René]

Ja, es ist so. Also das kann man natür­lich von oben bis nach ganz unten durch­spie­len, da gibt es ganz, ganz viel.

[Michael]

xJa, aber nochmal kurz, zurück ins große Ganze. Also Man­aged Switch­es und dann es gibt doch garantiert auch, ich stelle mich jet­zt mal ein biss­chen blöd, es gibt doch garantiert dann auch richtige Mon­i­tor­ing-Sys­teme, wo du ein Scan vom Net­zw­erk machen kannst und die End­points siehst, oder?

[René]

Du meinst jet­zt Inven­tarisierung?

[Michael]

Ja.

[René]

Natür­lich, also um das zu iden­ti­fizieren, grund­sät­zlich gibt es auf jeden Fall Tools, also bis an die Endgeräte, da gibt es ja auch die Möglichkeit zu sehen, welch­er Her­steller ist das, welche Eck­adresse und wie auch immer. Also man kann schon sehr, sehr viel sehen an Infor­ma­tio­nen. Das ist defin­i­tiv so.

Man wird aber auch da nicht alles erfassen kön­nen. Also ger­ade, wir sind zum Beispiel viel auch im Vet­er­inär­bere­ich unter­wegs, also in der Tier­medi­zin. Und da ist es halt so, dass zum Beispiel diese medi­zinis­chen Geräte, da kriegt man sehr, sehr wenig Infor­ma­tio­nen raus, wenn man so ein Scan macht.

Klar, auch schon punk­tuell, dass man halt schon grund­sät­zlich sieht, da ist jet­zt ein Gerät, aber man kriegt halt nicht alles darüber raus. Also manche Dinge muss man schon noch so ein biss­chen erfassen und guck­en, welche Möglichkeit­en man da hat, aber das kriegt man alles hin. Es gibt aber auch im Net­zw­erk, also da wären wir dann zum Beispiel wieder beim Router, wenn der hin­ter ein­er Fire­wall hängt, die kon­fig­uri­ert ist und so, ist es natür­lich immer ein biss­chen schwierig.

Also es ist nicht zwin­gend möglich, alles zu sehen, aber es ist defin­i­tiv notwendig, das zu tun.

[René]

Also mal unab­hängig vom Tool. Und du bist ja jet­zt ger­ade schon bei der Iden­ti­fizierung von diesen toten Winkeln oder der Schat­ten-IT.

Ich glaube, was da halt wirk­lich, also ja, zum einen dieses Map­ping-Tools oder ob es dann Inven­tarisierung oder son­st irgend­was ist, das ist zum einen eine Hil­fe. Ich glaube aber, dass Audits auf jeden Fall auch immer ein The­ma sind. Oder Pen­tests, also Pen­e­tra­tionstests, dass man auch wirk­lich mal ein­mal guckt, wie kön­nen wir, also ist da irgend­was angreif­bar oder ist das nicht?

Und so manche IT oder Geräte, die man eben nicht man­age­able hat, also dass ich sie nicht direkt sys­temisch ausle­sen kann, dass ich sie nicht automa­tisiert zum Beispiel auch updat­en kann oder dass ich ein Update aus­rollen kann oder son­st was, da sollte man sich wirk­lich über­legen, entwed­er einen Zyk­lus für sich sel­ber drin zu haben, zu sagen, okay, das guck­en wir uns immer wieder an und dann wird halt das Update einge­spielt. Wir automa­tisieren es, das ist auch eine Option. Oder eben zu sagen, okay, wir nehmen die Geräte aus dem Netz und erset­zen sie gegen welche, die wir eben auch man­a­gen kön­nen.

Also das sind so die drei Optio­nen, die man da eigentlich hat. Und dann ist man da schon rel­a­tiv auf der sicheren Seite. Klar, es gibt immer noch hier und da möglich, also noch etwas, wie du ger­ade gesagt hast, dann wird da mal was gesteckt.

Ich sag mal, im schlecht­esten Fall kann es sog­ar passieren, dass der ITler meint, ja, hier mein USB-Stick, da ist ja nix, den kann ich ja mal nehmen. Selb­st wenn er es bei allen anderen unter­sagt qua­si. Also das sind so Sachen, geht von vorne bis hin­ten, aber es gibt halt ganz, ganz viele Möglichkeit­en, dann auch was zu tun.

Und das ist halt wichtig, deswe­gen habe ich dieses The­ma auch für heute gewählt, weil ich sehe es auch immer wieder in Net­zw­erken und diese Switch­es, diese, wie ich vorhin gesagt habe, diese Bil­lo-Switch­es, die da irgend­wo unter dem Tisch rumdüm­peln, das ist halt das Parade­beispiel dafür, wie man es nicht tun sollte.

[Michael]

Genau. Die dann wahrschein­lich an der IT vor­bei, bei Out­door-Office bestellt wer­den, weil noch irgen­dein neues Gerät mit dazugekom­men ist und der Mitar­beit­er gesagt hat, machen wir mal eben einen Switch und dann kön­nen wir das schon verteilen. Ist ja nichts anderes wie eine Fün­fer­steck­dose für Strom.

Nur halt für Laden. Und dann ab dafür und Feuer frei und rein mit den Geräten.

[René]

Das ist dann so ein Unternehmen, was da halt eine Per­son hat, die sich dafür zuständig fühlt, weil es ihr Spaß macht und dann sagt, ja, ich habe jet­zt richtig ges­part, weil hier die Serve­Com, die hat ein Ange­bot gemacht, das kostet das und das und ich habe es aber jet­zt bestellt, funk­tion­iert auch, kostet aber dafür nur, was weiß ich, ein Drit­tel zum Beispiel oder noch weniger. Ja, das ist dann halt am falschen Ende ges­part.

[Michael]

Langfristig.

[René]

Ja, defin­i­tiv.

[Michael]

Beim Bezahlen der Rech­nung noch nicht, aber langfristig.

[René]

Genau.

[Michael]

Und das gilt es halt abzuwä­gen. Das gilt es halt ein­fach abzuwä­gen, was brauche ich fürs Unternehmen, was ist sin­nvoll und da braucht es halt Leute, die Ahnung haben und dies bew­erten kön­nen und den Ein­satz von IT bew­erte ich nicht primär über den Geld­beu­tel und über die Kosten, son­dern sollte ich primär über den Ein­satzz­weck, über die Sicher­heit und die Effek­tiv­ität wählen und dann nach den Kosten guck­en.

[Michael]

Und das ist bei der Sicher­heit genau­so wie bei der Ein­satzfähigkeit und wie bei der Nutzung.

Wenn ich irgen­dein Bil­lig-Blog­ger-Kram kaufe, der am Tag fünf­mal neu ges­tartet wer­den muss oder wo ich mich nur mit Lucha gehöre, dann kann ich damit kein Geld ver­di­enen. Das ist ein anderes The­ma für einen anderen Pod­cast. Das ist garantiert ein anderes The­ma.

[René]

Ja, aber hast du recht. Gehört ja immer auch dazu.

[Michael]

Gehört ja alles mit dazu und dann ist das auch ein Teil davon.

[René]

Genau.

[Michael]

Weil der grundle­gende Unter­schied auf der Arbeit willst du mit der IT sich­er Geld ver­di­enen. Das muss laufen. Handw­erk­szeug.

Ein Handw­erk­er auf der Baustelle oder ein Dachdeck­er braucht auch seinen Nagel, seinen Druck­luft­na­gler, seinen Akkuschrauber etc. pp, dass er Arbeit­en machen kann und Geld damit ver­di­enen kann. Das ist der große Unter­schied zum Pri­vat­bere­ich.

Wenn im Pri­vat­bere­ich mal der Rud­er aus­fällt oder mal die Fritzbox sagt oder mal ein Rech­n­er hängt, ja so what, dann gucke ich halt aber nicht Net­flix oder dann kann ich halt die Bestel­lung bei Ama­zon aus­lösen. Aber da hängt nicht mein Geld­ver­di­enen dran. Und aus dem Grund muss ich in ein­er Fir­ma, in einem Unternehmen, egal in welch­er Größe, ein­fach mir klar sein, IT ist Fir­menin­ven­tar und das brauche ich, um sich­er und effek­tiv Geld ver­di­enen zu kön­nen.

Und das muss laufen und das muss sich­er sein. Und da muss es nur im drit­ten oder vierten Glied auch gün­stig sein. Genau.

[René]

Was noch eine Möglichkeit ist, damit schließe ich zumin­d­est diese Iden­ti­fizierung mal ab, ist die Ein­führung von IDS. Sagt dir das was?

[Michael]

Okay, schieß los.

[René]

Okay, IDS ist Intru­sion Detec­tion Sys­tem. Das heißt, das ist auch ein, ja, eigentlich noch mal ein Tool, was wirk­lich dafür da ist, verdächtige Aktiv­itäten im Net­zw­erk zu erken­nen. Also anhand dessen, wie, ja, bes­timmte Anfra­gen im Net­zw­erk stat­tfind­en oder also irgendwelche Aktiv­itäten, die eben darauf hin­deuten kön­nten, dass es eben schädlich ist oder verdächtig ist, das erken­nt diese Soft­ware.

Sie nen­nt auch per­ma­nent dazu, logis­cher­weise. dadurch kann man halt solche Toten­winkel oder auch die Schat­ten halt hier im Net­zw­erk so ein biss­chen erken­nen.

[René]

Also es ist jet­zt nicht so, dass man grund­sät­zlich sehen kann, okay, das ist jet­zt das Gerät, son­dern ein­fach, man kann dann anhand der Bewe­gung erken­nen, wo ich jet­zt meine Schwach­stelle habe.

Also man kann ja bei Daten­paketen immer nachvol­lziehen, von wo kom­men sie, wohin gehen sie und anhand dessen kann man dann seine Schwach­stellen oder eben auch diese bes­timmten Bere­iche im Net­zw­erk, die man vielle­icht nicht vor Augen hat­te, die kann man damit iden­ti­fizieren und dann kann man da halt, ja, auf jeden Fall tätig wer­den, damit diese Bere­iche dann geschlossen wer­den oder gesichert wer­den. Also das wäre wirk­lich noch so ein Tool-mäßig eine Möglichkeit, die man da hat. Ja, die Auswirkun­gen halt am Ende des Tages, haben wir es ja ger­ade schon ein paar Mal gesagt, aus­fälle logis­cher­weise.

Dann habe ich so, dass ich natür­lich auch eine ganz große Schwach­stelle auf­mache, wenn es denn so sein sollte. Ich sag mal, damals, ich weiß nicht, ob du das mit­gekriegt hat­test, sein­erzeit, damals der Speed­port hat­te Riesen­prob­leme, die hat­ten eine Sicher­heit­slücke, die wur­den ja extrem viel ange­grif­f­en, die Fritz!Box hat­te es schon, da gab es tat­säch­lich, das ist eigentlich ganz witzig, da gab es einen Angreifer, der hat, ein Angreifer ist sog­ar falsch, war ein Hack­er und der hat sich damit auseinan­derge­set­zt, wie man die Schwach­stelle schließt und hat dann alle Fritz!Boxen, wo er die Möglichkeit hat­te, drauf zu kom­men, da hat er sich eben eingewählt und hat dann die Sicher­heit­slücke geschlossen.

[Michael]

Okay.

[René]

Das war es, das hat er so für sich, das hat er sich selb­st zur Auf­gabe gemacht und hat ein­fach über­all da, wo eine Fritzbox im Ein­satz war und er die Möglichkeit hat­te, von außen drauf zu kom­men, hat er dann dafür gesorgt, dass die Sicher­heit­slücke dann wieder zu ist. Hat sich aus­gewählt, hat auch keinen Schaden angerichtet. Das war span­nend.

Aber da sieht man halt, dass man schätzt, das unter­schätzt so ein Risikopoten­zial manch­mal ein­fach. Und das ist halt der Grund, warum man ja auch so genau schauen sollte und Hack­eran­griffe sind ein­fach das, wovor man sich, glaube ich, am aller­meis­ten momen­tan schützen müsste oder muss. Und mit Hack­eran­griffe meine ich nicht wirk­lich nur Per­so­n­en, die ver­suchen mich jet­zt direkt anzu­greifen, son­dern ein­fach auch Anwen­dun­gen, ger­ade weil wir auch die KI haben und so.

Es ist viel, viel ein­fach­er gewor­den, eine Vielzahl an Sys­te­men anzu­greifen und deswe­gen ist es ja auch viel gefährlich­er eigentlich gewor­den, weil vorher stand ich in so ein­er Liste, okay, war ich betrof­fen, aber jet­zt ist es ja ein­fach unendlich möglich, so einen Angriff auszuräu­men, weil es ja super schnell geht. Das hat sich auf jeden Fall geän­dert und deswe­gen muss man halt noch viel vor­sichtiger in dem Bere­ich sein.

[Michael]

Genau, also ich glaube, das ist auch wieder ein The­ma für den näch­sten Pod­cast, aber diese The­matiken, das bet­rifft mich nicht, was ist an meinen Dat­en schon inter­es­sant, wer will sich schon dafür inter­essieren, das Prob­lem ist ein­fach, es inter­essiert sich, irgen­dein­er wird sich dafür inter­essieren und irgen­dein­er wird das machen und wenn er es nur für Joke macht, um einen zu ärg­ern, etc. pp. Das kannst du inzwis­chen ja auch beauf­tra­gen, wenn ein­er dir was Bös­es will, es ist alles möglich und es gibt halt durch viele Com­put­er, durch viel IT, Fak­tor X Ein­fall­tore in Unternehmen und da muss man halt ein­fach auf­passen und muss halt eben seine Hausauf­gaben machen und muss guck­en, dass das sich­er ist.

[René]

Genau.

[Michael]

Ich gehe ja abends oder bevor ich in den Urlaub fahre oder wie auch immer, sehe ich ja auch zu, dass in meinem Haus die Türen zu sind und die Fen­ster geschlossen sind. Mein Net­zw­erk, das muss auch zu sein und nur die Ports, die Türen, die Fen­ster, die gehen auf, wenn ich weiß, es kommt ein­er rein oder ein­er raus.

[Michael]

Ja, jet­zt müssen wir auf­passen.

[René]

xJa, genau so ist es. Also jet­zt mal abge­se­hen auch nur von den von der Sicher­heits­brille mal weg, darüber hin­aus ist es ja auch so, dass wir ja auch ein­fach Net­zw­erkein­bußen haben kön­nen, also Per­for­mance-Ein­bußen Ein­bußen, bedeutet, dass mein Net­zw­erk langsam läuft, also so wie ich es vorhin schon mal beschrieben habe, da steckt jet­zt ein­er irgend­was ins Net­zw­erk, keine Ahnung, vielle­icht noch dop­pel­ter IP vergeben oder son­st irgend­was, dann kann das auch zu Prob­le­men führen. Also das kann ein Ding sein, was dabei entste­ht und ganz sich­er auch Com­pli­ance-Richtlin­ien, die man damit ver­let­zt, das ist auch auf jeden Fall ein The­ma. Ich meine, spätestens dann nehmen wir mal das Beispiel, jemand möchte eine Cyberver­sicherung abschließen und die stellen halt die ersten fünf Fra­gen und da ist dann irgend­wie dabei, hier kon­trol­lieren Sie das und das oder die Sys­teme in dem Sinne, wie wir uns das wün­schen.

Ja, dann kann die Antwort darauf schon mal dazu führen, dass ich eben keine Ver­sicherung abschließen kann.

[Michael]

Frage, haben Sie eine Fire­wall-Antwort? Ja, ich habe eine FRITZ!Box.

[René]

Ja, das wäre zum Beispiel ein Grund, keine Ver­sicherung zu kriegen.

[Michael]

Ja. Ja, ich bin dabei.

[René]

Genau.

[Michael]

Okay.

[René]

Genau. Ja, also worauf ich vor allem dann damit hin­aus möchte und ich denke, das ist abso­lut in deinem Sinne, ist halt ein­fach, dass man sich das wirk­lich ganz genau durch den Kopf gehen lässt, dass man alles wirk­lich ein­mal nieder­schreibt, das macht die Doku­men­ta­tion halt auch entsprechend so wichtig, dass man wirk­lich alle Geräte im Net­zw­erk iden­ti­fiziert, dass man sie per­ma­nent auch wirk­lich überwacht, dass man sieht, okay, da ist jet­zt nichts dazu gekom­men, ich brauche nicht tätig wer­den, aber sobald etwas dazukommt, dass ich entsprechende Maß­nah­men schon in der Schublade habe, so möchte ich es mal nen­nen, oder dass ich eben auch ver­hin­dere, dass andere Geräte ein­fach so ins Net­zw­erk kom­men, ohne dass ich es wirk­lich mit­bekom­men habe und dass natür­lich dann alles immer up-to-date ist und gemon­i­tort wird, sodass wir halt wirk­lich immer einen Blick drauf haben, dass da auch wirk­lich alles in Ord­nung ist und wir da kein Ein­fall­stor irgend­wie noch im Net­zw­erk haben.

Da habe ich näm­lich ein Beispiel noch und das ist so von mein­er Seite wahrschein­lich dann abschließend, ich weiß nicht, ob du das mit­bekom­men hast, 2013 gab es mal einen Daten­schutzver­stoß oder einen Daten­ver­stoß von Tar­get.

[Michael]

2013 war mir Daten­schutz noch rel­a­tiv egal. 2013 habe ich mich auf irgendwelchen Baustellen der Welt herumge­drückt.

[René]

Ja, das war halt ein­er der größten, beziehungsweise bekan­ntesten Cyberan­griffe und da ist es halt so, dass die wur­den halt gehackt, der Angriff, der lief dann halt wirk­lich über, ich glaube über zwei Wochen war es knapp, direkt so in der Wei­h­nachts­sai­son und das ist halt ein Einzel­han­del­sun­ternehmen, ja, das heißt sie hat­ten andere Sor­gen, so möchte ich es mal nen­nen und dementsprechend ist ihnen das gar nicht so schnell aufge­fall­en. Prob­lem war, dass in der Zeit halt eben unge­fähr 40 Mil­lio­nen Kred­itkarten­in­for­ma­tio­nen geklaut wur­den oder gestohlen wur­den, dann noch zusät­zlich knappe, ich glaube irgend­wie 100 Mil­lio­nen an Kun­den­dat­en, also wirk­lich Namen, Adresse und so weit­er und das war wirk­lich ein Prob­lem.

Also das ist dann schon eine Ansage und es ist halt wirk­lich spät aufge­fall­en und klar, wir sprechen jet­zt im sel­tensten Fall davon, dass unsere Kund­schaft das jet­zt ger­ade hat, aber am Ende des Tages lässt sich das ja leicht über­tra­gen. Also hät­ten die vorher ihre Maß­nah­men getrof­fen und es wirk­lich auch so gelebt, wie wir es ger­ade gesagt haben oder dargestellt haben, wäre es nicht so gewe­sen. Aber es kann ja auch in kleinerem Rah­men so aus­fall­en und am Ende des Tages, jed­er Kunde, ob er jet­zt von einem 20-Mann Unternehmen betreut, also eine Leis­tung bezieht oder von einem 500.000 Mann Betrieb, völ­lig egal. Meine Dat­en sind betrof­fen und dann ist es natür­lich über­haupt nicht in Ord­nung und da hat jed­er auch das Recht, sich darüber zu bekla­gen und bei Tar­get war es halt so, dass die Kosten unge­fähr geschätzt wur­den auf 150 Mil­lio­nen Dol­lar. Also für Tar­get, für diesen Angriff. Also das muss man sich mal auf der Zunge zerge­hen lassen.

Wenn man da über­legt, hätte man das vorher immer gemacht, also hätte man sich vorher wirk­lich darum geküm­mert, dann wären es keine 150 Mil­lio­nen gewor­den.

[Michael]

Hätte man lange für IT kaufen kön­nen, aber zum The­ma Groß und Klein, ich glaube, du kannst das hoch und runter skalieren, weil du in kleineren Unternehmen wahrschein­lich gerin­gere Schä­den hast. Du hast aber auch gerin­gere Kapaz­itäten, die sich damit küm­mern und die sich da drum sor­gen. Das heißt, du hast den Aufwand, also bei größeren Unternehmen hast du dann halt Com­pli­ance Teams und hast du mal 20 Admins durch die Gegend drin, die sich um so Sachen küm­mern, aber wenn du ein Unternehmen hast, wo du alleine der IT-Admin bist oder vielle­icht sog­ar das so klein ist, dass du der IT-Admin in Neben­zeit bist und du hast tech­nis­che Prob­leme und hast Cyberan­griffe, gib ihr ja Hey, du hast zu tun.

Es ist richtig Arbeit, es ist Doku­men­ta­tion, es ist Aufar­beit­en, es ist Ursachen­analyse, es ist alles Mögliche und das will man eigentlich nicht. Da ist wie über­all, wie immer der Klas­sik­er der Präven­tion ein­fach der bessere und der ein­fachere Weg.

[René]

Ja, und dann stell dir mal vor, du hast da wirk­lich einen Kun­den, der, was weiß ich, in welchem Bere­ich dann tätig ist und du hast dem jet­zt so einen, ja ich sag mal, der Kunde ist jet­zt wirk­lich irgend­wie ein sehr, ja, wo sehr per­sön­liche Dat­en ver­ar­beit­et wer­den oder keine Ahnung was und dann stellt dieser eine Schadenser­satz­forderung, im schlecht­esten Fall, hat man als Unternehmen auch da nicht so große Kapaz­itäten logis­cher­weise wie so ein Riese­nun­ternehmen, aber auch das, das reißt dir ein­fach ein Riesen­loch in die Tasche, so möchte ich es mal nen­nen und sollte man natür­lich ver­suchen zu ver­hin­dern.

[Michael]

Ja. Okay.

[René]

Ja. Gut, Michael, ich glaube, damit hät­ten wir das The­ma, in zwei Wochen geht’s ja dann schon wieder weit­er. Ich weiß, du gehst jet­zt in den Urlaub, richtig?

[Michael]

Werde jet­zt mal in den Urlaub gehen, ja.

[René]

Sei dir auch gegön­nt.

[Michael]

Vie­len Dank.

[René]

Bis dahin würde ich sagen, so, alle gerne ein­schal­ten, auch ver­gan­gene Fol­gen nochmal nach­hören. Soll­ten Fra­gen da sein oder ähn­lich­es oder irgend­wie Anre­gun­gen, immer gerne melden, über alle Social Media Kanäle gerne die Web­site besuchen, Pod­cast hören und ja, dann würde ich sagen, wir hören uns dann in zwei Wochen wieder. Michael, bis dir dahin eine schöne Zeit, euch natür­lich auch und alles Gute.

[Michael]

Danke, René. Danke an alle, die zuge­hört haben, eine tolle Zeit und wir hören uns. Tschüss.

[René]

Bis dann. Tschüss