mit Ulrich Irnich & Markus Kuckertz

Shownotes

Folge 49 beschäftigt sich mit der Frage, warum der Mensch im Mittelpunkt der Cyber-Secrurity stehen sollte. Zu Gast ist Niklas Hellemann, Mitgründer und CEO von SoSafe. Niklas leitet SoSafe, einen der führenden Anbieter von Cybersecurity-Awareness-Plattformen in Europa. SoSafe basiert auf Verhaltenswissenschaften und Datenanalyse und versetzt Unternehmen in die Lage, das Potenzial ihrer Mitarbeiter an der Front der Cyber-Abwehr zu nutzen.

Uli, Markus und Niklas diskutieren mit vielen anschaulichen Beispielen über Cyber-Bedrohungen als größtes Geschäftsrisiko für Unternehmen und die wichtigsten Einfallstore für diese Angriffe. Dabei zeigt sich, dass der Mensch oft das schwächste Glied in der Sicherheitskette ist, da Angreifer ausgeklügelte und oft auch emotionale Strategien einsetzen.

In der Diskussion wird deutlich, dass im Gegensatz zu den „Hackern“ der 80er und 90er Jahre heute kriminelle Industrien mit raffinierten Geschäftsmodellen hinter den Angriffen stehen, die mittlerweile auch nicht davor zurückschrecken, künstliche Intelligenz für perfide Deep Fake-Angriffe einzusetzen. Umso wichtiger sind Sensibilität, Wissen und kritisches Denken auf breiter Basis, um Angriffe bereits im Ansatz zu erkennen. Und kontinuierliches Training, damit sicheres Verhalten in Fleisch und Blut übergeht. Alle sind sich einig, dass Cyber-Security ein langfristiger Prozess ist.

Wer mehr wissen möchte, findet hier weitere Informationen:

Euer Feedback zur Folge und Vorschläge für Themen und Gäst:innen sind sehr willkommen! Vernetzt euch und diskutiert mit:

Mitwirkende – Hosts: Ulrich Irnich & Markus Kuckertz // Produktion: Daniel Sprügel, Maniac Studios (https://maniacstudios.com/) // Redaktion: Marcus Pawlik © Digital Pacemaker Podcast 2024

Zusammenfassung

In dieser Episode des Digital Pacemaker Podcasts sprechen wir mit Dr. Niklas Hellemann, dem Mitgründer und CEO von SoSafe, einem führenden Anbieter für Cybersecurity Awareness-Plattformen in Europa. Wir untersuchen, warum der Mensch im Mittelpunkt der Cybersecurity stehen sollte. Niklas erläutert, dass Cybergefahren mittlerweile das größte Geschäftsrisiko für Unternehmen darstellen, und dass das Verständnis der Strategien von Angreifern entscheidend für einen effektiven Schutz ist.

Wir beginnen mit der Betrachtung der technischen und menschlichen Schwachstellen in der Cybersecurity. Eine der zentralen Thesen lautet, dass es nicht ausreicht, nur technische Lösungen wie Firewalls zu implementieren. Stattdessen sind die menschlichen Faktoren entscheidend, denn die Angreifer forschen ständig nach Möglichkeiten, die Defensiven zu umgehen und setzen dabei zunehmend auf psychologische Manipulation. Niklas teilt seine Erfahrungen, wie Cyberkriminalität in den letzten fünf bis zehn Jahren exponentiell zugenommen hat, und gibt Einblicke in die Mechanismen von Angriffen, insbesondere über Phishing und Ransomware.

Ein wichtiges Thema der Diskussion ist, wie Unternehmen ihre Mitarbeiter schulen können, um ein sicheres Verhalten zu fördern. Niklas betont, dass Cybersecurity Awareness integraler Bestandteil der Unternehmenskultur sein muss, nicht nur ein einmaliges Pflichttraining. Er spricht über die Bedeutung von regelmäßigen Übungsszenarien und betont, dass Menschen als aktive Verteidiger geschätzt werden sollten, nicht als das schwächste Glied in der Kette. Die Bedeutung der Fehlerkultur wird hervorgehoben, wobei betont wird, dass Fehler gelebte Lernmöglichkeiten darstellen und dazu beitragen, resiliente Teams zu schaffen.

Die Rolle der Psychologie in der Cybersecurity wird ebenfalls thematisiert. Niklas erklärt, wie Angreifer menschliche Schwächen ausnutzen und warum kritisches Denken geschult werden sollte. Durch gezielte Aufklärung und Training können Teams lernen, potenzielle Bedrohungen frühzeitig zu erkennen. Er gibt Einblicke in aktuelle Angriffe, bei denen fortgeschrittene Technologien wie KI genutzt werden, um personalisierte Phishing-Versuche zu gestalten.

Im Verlauf der Episode werfen wir auch einen Blick auf die Zukunft der Cyber-Resilienz. Niklas betont, dass es sich um einen fortlaufenden Prozess handelt, der kontinuierliche Anpassungen und Schulungen erfordert. Eine wichtige Erkenntnis ist, dass ein gutes Verständnis für die Bedrohungen und ein effektives Krisenmanagement entscheidend sind. Es wird diskutiert, wie Unternehmen eine Kultur der Sicherheit schaffen können, in der Mitarbeiter sich sicher fühlen, potenzielle Risiken zu melden.

Abschließend gibt Niklas einen persönlichen Karriere-Tipp: Neugier. Mit dieser Einstellung sei man in der Cybersecurity und darüber hinaus gut beraten. Die Episode endet mit einer Einladung, weitere Themen aus der Welt der Cybersecurity zu erkunden und mit den Gastgebern in Kontakt zu treten.

Insgesamt ist dies eine aufschlussreiche und praxisnahe Episode, die sowohl technische als auch menschliche Aspekte der Cybersecurity beleuchtet und sich an alle richtet, die in diesem Bereich arbeiten oder sich für das Thema interessieren.

Transkript

Speaker1:[0:00] Das wird in der Fläche, glaube ich, noch nicht so viel verwendet, weil die Angreifenden auch immer nur so hoch springen, wie sie müssen. Wir erinnern uns, es sind Wirtschaftsunternehmen eigentlich, die uns angreifen oder zumindest sowas ähnliches. Aber die große Welle wird da sehr wahrscheinlich kommen, weil die Technologie einfach verfügbar ist.

Music:[0:15] Music

Speaker2:[0:29] Herzlich Willkommen zum Digital Pacemaker Podcast mit Uli Irnig und mit mir Markus Kuckertz. Heute sprechen wir darüber, warum der Mensch im Mittelpunkt von Cybersecurity stehen sollte. Zu Gast ist Dr. Niklas Hellemann, Mitgründer und CEO von SoSafe. Schön, dass du heute bei uns bist, Niklas.

Speaker1:[0:46] Hi, grüß euch weiter.

Speaker2:[0:48] Niklas leitet SOSAFE, einen der führenden Anbieter von Cybersecurity Awareness Plattformen in Europa. SOSAFE basiert auf Verhaltenswissenschaften und Datenanalyse und versetzt Unternehmen in die Lage, das Potenzial ihrer Mitarbeiter und Mitarbeiterinnen an der Front der Cyberabwehr zu nutzen. Uli und dich möchte ich auch ganz gerne heute begrüßen. Wie geht’s dir?

Speaker0:[1:09] Mir geht’s hervorragend, lieber Markus, und ich freue mich auf den heutigen Podcast gemeinsam mit dir und Niklas. Das wird mit sich ein großes Fest.

Speaker2:[1:16] Das glaube ich auch. Unser Thema ist nämlich heute Cybersecurity Awareness. Cybersecurity ist ja so ein Thema, da wagen wir uns hier und da mal dran. Es gibt selten Leute, die einem das so wirklich richtig cool anschaulich erklären können. Deswegen bin ich heute sehr froh, dass der Niklas da ist, weil ich weiß, dass er das sehr gut kann. Und Uli, lass uns vielleicht kurz die andere, nämlich die technische Seite betrachten. Wenn du an das Thema Cybersecurity denkst als CIO, gibt es denn überhaupt heute noch rein technische Schwachstellen?

Speaker0:[1:42] Die gibt es nach wie vor. Das ist perverse an dem ganzen Thema. Also das sind teilweise Schwachstellen, die kennen wir schon seit 10 oder 15 Jahren. Also gerade so Vulnerability Management ist ein always hot topic. Oder solche Themen, wenn Schwachstellen jetzt kurzfristig bekannt wären, Zero Day Exploit, sind gerne genommen. Also gerade von Angreifern. Aber das ist, ich würde mal sagen, das, was wir unter IT-Sicherheit schon seit zwei Dekaden kennen. Aber du findest immer noch Unternehmen, wo das im technischen Sinne immer noch eine Schwachstelle ist. Und viele Unternehmen denken dann, naja, jetzt kaufen wir eine Firewall, setzen die irgendwo hin und dann ist alles gut. Aber das ist wie eine Haustür mit dreifach Verriegelungsanlage und nebenan hast du ein Fenster offen. Also ich glaube, das ist halt immer das Cyber Security und ich glaube, die Bedeutung wächst immer mehr. Wir sehen das ja auch in den aktuellen Diskussionen. Also gerade, wenn Wahlkämpfe manipuliert werden oder plötzlich Frau Merkels E-Mails irgendwo landen, wo sie nicht hingehören. Das sind so beliebte Beispiele. Jetzt auch jüngst noch mal in der Presse gewesen, wo ich sage, naja, das ist allumfänglich. Und dadurch, dass immer mehr Digitalisierung Einhalt gebietet oder beziehungsweise Einzug hält, merkst du halt auch, dass die Angriffsflächen natürlich dadurch größer werden. Und dann dürfen wir uns nichts vormachen. Das ist überall.

Speaker0:[3:03] Aber bevor wir jetzt in die Themen noch weiter rein manövrieren, möchte ich lieber unseren Gast heute begrüßen. Lieber Niklas Hellemann, herzlich willkommen, dass du bei uns bist. Niklas hat SoSafe 2018 zusammen mit den beiden Mitbegründern gegründet. Zuvor war Niklas Unternehmensberater bei der BCG mit dem Schwerpunkt Menschen und Organisation. Niklas studierte Psychologie an der Rheinischen Friedrich-Wilhelm-Universität in Bonn und promovierte Betriebswirtschaftslehre an der AWTH Aachen. Die kenne ich auch sehr gut. Niklas, bevor wir einsteigen. Ich meine, Psychologie und Betriebswirtschaft sind ja erst mal schon mal zwei Fächer, die nicht so direkt nebeneinander liegen. Was hat dich denn dazu bewogen, das zu studieren? Das wäre eine Frage, die ich habe. Und die zweite ist halt, jetzt als Unternehmensgründer, wie viel von dem, was du im Studium mitgenommen hast, kannst du denn wirklich im täglichen Geschäft anwenden?

Speaker1:[3:56] Ja, also hallo erst auch nochmal, Frau Minister, das ist schön, dass ich da sein darf. Ich glaube, auf den allerersten Blick hat vielleicht eine BWL und eine Psychologie gar nicht so viel miteinander zu tun. Auf den zweiten Blick dann doch ganz viel, weil es ja doch sind beides Wissenschaften, die mit einem Faktor zu tun haben, nämlich mit Menschen. Also natürlich können wir irgendwie sagen, wir gucken uns, ja, was weiß ich, die vier P’s an oder wie es heißt. Aber am Ende geht es ja um das Verhalten von Menschen. Und das war auch der Grund, warum ich am Anfang Psychologie studiert habe. Mein Vater hat auch als Psychotherapeut gearbeitet. Das ist also ein sehr psychologischer Haushalt, in dem ich groß geworden bin. Meine Mutter war als Lehrer dann tätig und dementsprechend haben mich Menschen immer schon fasziniert. Und auch im Studium waren es so Themen wie Werbepsychologie oder eben auch die dunkle Seite davon, die Manipulation von Menschen. Das hat mich immer sehr, sehr stark fasziniert. Natürlich nicht selber, ich wollte es nicht machen, aber ich wollte es verstehen. Und natürlich ist vielleicht auch so ein kleiner Aspekt in einem selber drin, sich davor zu schützen, indem man sich genau anguckt, wie denn zum Beispiel Kriminelle akquieren. Das habe ich natürlich dann bei WCG nicht gemacht, sondern da ging es dann eher darum zu schauen, wie funktionieren große Organisationen, wie baut man eine Organisation auf, wie motiviert man auch Menschen, sich zu verhalten. Ich habe für viele Großkonzerne natürlich gearbeitet und so ein kleines Seitenthema hat sich da schon angedeutet, so ein zu dem, was wir heute machen, nämlich Menschen ja helfen, zu helfen, ihr Verhalten zu verändern oder sichere Routinen einzustudieren. Ich musste als Berater immer, wenn ich so einen neuen Kunden hatte,

Speaker1:[5:22] Musste ich durch so ein Pflichttraining durch. Externer kommt rein und muss erst mal ein bisschen Freigabe sich schaffen. Wenn das jetzt ein chemisches Unternehmen war, dann war das auch eine Arbeitssicherheitsschulung. Oft war das aber so Thema Antikorruption.

Speaker1:[5:36] Cybersecurity vor den zwölf Jahren gab es da eigentlich noch nicht. Das habe ich dann nie so richtig hinterfragt. Das ist nämlich dann immer so ein Video gewesen und so ein Quiz am Ende. Und natürlich als Psychologe war mir klar, Ja gut, also aus der Lernpsychologie wissen wir, dass das gar nichts bringt. Aber mir war klar, ja gut, da müssen wir das Häkchen setzen. Und eigentlich war es eine Verbrennung von Lebenszeit für alle Beteiligten. Aber es war nötig für die Compliance. Und das war dann auch so der Einstieg in unser heutiges Thema.

Speaker2:[6:01] Niklas, wir haben uns natürlich vorher mit dir beschäftigt. Und ich würde deine Thesen mal wie folgt in meinen Worten zusammenfassen. Du sagst, Cybergefahren sind das Geschäftsrisiko Nummer eins für Unternehmen. Dann sagst du, um sich wirklich effektiv schützen zu können, muss man die Strategien der Angreifer kennen. Und zu guter Letzt sagst du, bloßes Wissen um die Gefahren reicht nicht aus. Cyber Awareness muss Teil unserer täglichen Routine werden, ähnlich wie das Anschnallen im Auto. Wenn wir vielleicht zu dem Thema kommen, der Cyber Gefahren als Geschäftsrisiko Nummer eins. Ja, warum sind Cyber Gefahren denn das größte Geschäftsrisiko und wo siehst du die Haupttreiber für die Unternehmen?

Speaker1:[6:38] Also ich sehe es mit Sicherheit als eins der großen. Ob es jetzt das Geschäftsrisiko ist, kann ich gar nicht so genau sagen. Wir haben natürlich vom World Economic Forum, die bringen ja jedes Jahr ihren Global Risk Report raus, da haben wir das ziemlich auf schwarz und weiß und da ist Cybercrime, also Cyberkriminalität, die größte technologische Bedrohung für die Weltwirtschaft. Daneben haben wir natürlich auch noch die globale Erwärmung. Das ist ein Thema, das wollen wir natürlich jetzt auch nicht außer Acht lassen. Wenn hier der Planet kaputt geht, dann ist sein Computer vielleicht egal. Aber wir haben zum Beispiel auch ein neues Thema im Web Report drauf. Das ist Desinformation, insbesondere unterstützt durch KI.

Speaker1:[7:16] Das heißt also zwei Themen, die mit Cyberkriminalität oder dem Cyberthema zu tun haben und mit Menschen. Und dementsprechend ist es also eine unglaublich große Gefahr. Das ist auch etwas, was viele Unternehmen natürlich in den letzten fünf bis zehn Jahren sehr deutlich und am eigenen Leib gespürt haben,

Speaker1:[7:33] Indem sie nämlich zum Beispiel Lösegeld gezahlt haben oder indem sie wochenlange Betriebsausfälle hatten. Wir haben oft ja auch so Themen, die dann sehr sichtbar sind, wie zum Beispiel eine Medienindustrie, wo dann wir Zeitungsunternehmen hatten oder Zeitungen, die dann nicht mehr gedruckt haben und dann sieht man es plötzlich sehr deutlich, was eben passieren kann. Ich glaube, warum man darüber sprechen muss, oder warum wir jetzt auch alle darüber sprechen, ist wirklich auch die Veränderung über die letzten fünf bis zehn Jahre. Also ich bin so in den 80ern geboren. Da gab es, ich glaube, wann kam der erste Computervirus auf, dieses Love-Me-Virus? Das kam, glaube ich, in den 84, 85 oder sowas. Wahrscheinlich wissen die Hörer das jetzt nochmal genauer. Und dann hatten wir eine lange Phase, wo Computerviren eher so ein bisschen nervig waren. Und die haben natürlich irgendwie den Computer kaputt gemacht. Das war aber eher so eine Art Spielerei. Es gab natürlich Sabotage vielleicht von staatlichen Akteuren. Aber jetzt seit den letzten oder innerhalb der letzten fünf bis zehn Jahre haben wir wirklich diese absolute Explosion von Cyberkriminalität. Und das hat damit eben auch zu tun, dass da Geschäftsmodelle hinterstecken. Und das hat dann auch mit der zweiten These sehr viel zu tun. Aber die Tatsache, dass das wirklich über die letzten fünf bis zehn Jahre so massiv angestiegen ist, macht es eben zu einer unglaublichen Bedrohung, weil die Konsequenzen, wie gesagt, eben auch sehr greifbar und sehr tiefgreifend sein können.

Speaker2:[8:56] Lass uns vielleicht mal so ein bisschen zusammen über die Vorstellungskraft unserer Hörerinnen und Hörer hinaus schauen. Ihr habt ja beide sehr viel mit dem Thema Cybersecurity zu tun. Ich weiß, es gibt natürlich oft so Dinge, die man da so sieht, wo Leute auf Ideen kommen. Das möchte man natürlich nicht unbedingt jetzt nochmal publik haben. Vielleicht gibt es ja doch aber ein paar Dinge, ein paar spannende Anekdoten oder ein paar spannende Themen, wo ihr sagt, Mensch, das ist was, das kann ich jetzt hier immer mal erzählen, was denn da so passiert. Also wie muss man sich das vorstellen? Was passiert denn da draußen? Und was sind denn so die Angriffe, die wir erleben?

Speaker0:[9:28] Wenn du möchtest, Niklas, fange ich mal an. Also nochmal zu deinem Computer-Virus, 86 war das, das waren pakistanische Brüder, die haben auch übrigens ihre Telefonnummer in den Code geschrieben, dass die Menschen, die davon betroffen waren, sich da melden konnten. Aber die hatten noch nicht diese Absicht, irgendwie Dinge zu erpressen. Ich glaube, was wir im Moment erleben, ist halt so ein Stück weit gerade so Ransomware-Attacken, gerade wo Phishing-Mails ausgeschickt werden. Und natürlich kennen viele solche Mails, wo man denkt, die sehen aber ganz komisch aus und kann ich gar nicht verstehen. Die werden aber immer besser. Also da sieht man den Unterschied nicht mehr. Es fängt immer damit an, klick auf einen Link. So und mit diesem Klicken auf dem Link passiert was im Hintergrund, das ich nicht unbedingt direkt mitbekomme. In dem Moment versuchen Angreifer sich natürlich Zugänge zu verschaffen, sei es jetzt Credentials, um halt in das entsprechende Netz zu kommen, um halt danach Dinge, Daten zu verschlüsseln. Und da gibt es halt zwei Geschäftsmodelle, die dahinter sind. Man muss das leider brutal so sagen. Es sind tatsächlich Geschäftsmodelle, die dahinter stecken. Nämlich zum einen, dass die Daten entweder im Darknet verkauft werden. Da gibt es halt Abnehmer, die sagen, wenn du mir Credentials verkaufst, gebe ich dafür Geld.

Speaker0:[10:39] Oder halt, ich erpresse eine Summe, weil das Unternehmen durch die verschlüsselten Daten nicht mehr in der Lage ist, das eigene Geschäft durchzuführen. Ich meine, wir haben es in den Zeitungen ja jetzt und auch in der Presse öfter gesehen, da sind ganze öffentliche Verwaltungen weg, weil ein Dienstleister gehackt worden ist. Oder Niklas, wie du eben sagtest, Presse, dass plötzlich Zeitungen nicht mehr drucken können und nicht mehr erscheinen können, weil sie gehackt worden sind.

Speaker0:[11:00] Das Interessante ist, das kommt natürlich sehr stark auch damit, dass es natürlich jetzt mittlerweile Kryptowährungen gibt, wo Geld einfach überwiesen werden kann. Weil ein Angreifer, der jetzt sagt, überweisen wir das Geld auf das Konto XYZ, das wäre irgendwie ja nicht so wirklich zielführend, beziehungsweise man wird da sehr schnell entdeckt. Und mit der Kryptowährung sind natürlich auch gleichzeitig neue Geldquellen erschlossen worden, wie man so schön sagt. Und das macht es den Angreifern leicht. Und nochmal, mittlerweile werden diese Flächenbombardements der Phishings immer noch gerne abgeworfen, weil immer noch genug Menschen darauf klicken.

Speaker1:[11:36] Genau, also das auch nochmal wirklich stärker darauf eingehend, das ist ein Geschäft. Das ist eine Industrie, der wir gegenüberstehen. Und das ist das, was sich verändert hat. Es gab erste Ransomware-Fälle schon in den 90er. So, da gab es auch schon Verschlüsselungen. Eigentlich ist das technologisch ja nicht besonders anspruchsvoll. Also natürlich klar, in der Geschwindigkeit. Die überbieten sich jetzt mittlerweile in der Geschwindigkeit, wie sie dann das System verschlüsselt. Aber in der Vergangenheit scheiterte es oft eben an dieser Strafverfolgung. Und diese ersten Ransperfälle in den 90ern, da wurde dann, glaube ich, mit einer Digitalwährung eGold, glaube ich, hieß das, da wurde das Lösegeld erpresst. Aber da bist du natürlich ruckzuck bei den tatsächlichen Kriminellen.

Speaker1:[12:12] Heutzutage sitzen die teilweise auch weltweit verteilt. Wir wissen, bestimmte Länder, bestimmte Regionen, da bündelt es sich. Aber du kannst es nicht gut nachvollziehen, weil eben Kryptowährungen nicht anonym sind per se. Aber sie sind natürlich wesentlich schwieriger herauszufinden, außer du ziehst es dir dann irgendwann raus. Meistens sitzen dann diese kriminellen Staaten, die das nicht unbedingt so stark verfolgen. Das ist etwas, was man verstehen muss, weil wir haben natürlich eigentlich die Hacker-Szene der 80er, 90er Jahre oder sogar bis in die 70er Jahre zurück. Das waren eigentlich Bastler, die wollten Technologie verstehen, die wollten Technologie verbessern. Eigentlich sehr positive Ziele und heute haben wir hier eben… Kriminelle Gangs, kriminelle firmenartige Konstrukte und das ist das, was sich wirklich groß verändert hat. Deshalb ist es auch so wichtig, die zu verstehen, weil, Uli, du hast das Motiv angesprochen, sie wollen immer irgendwas, sie wollen irgendwie Geld und da sind der Kreativität keine Grenzen gesetzt. Wir haben am Anfang eben gesehen, die erste Welle war, wir verschlüsseln deine Daten, willst du sie wiederhaben, zahlst du unser Lösegeld oder umgekehrt und dann hat man eben gesagt, hm, einige zahlen nicht, ja dann veröffentlichen wir die halt. Sogenannte Double Extortion, Double Erpressung und mittlerweile gibt es in weitere Wellen, Triple,

Speaker1:[13:18] Quadruple Extortion, wo sie dann zum Beispiel auch hingehen und da muss man auch mal sich vor Augen führen, wie perfide das ist, wird zum Beispiel eine Klinik gehackt, dann schauen sie sich genau die Patientendaten an oder im Falle von Firmen die Kundendaten und erpressen dann diese. Also es gibt einen Fall aus den USA, da wurde eine Klinik für so männliche Gesundheit, nenne ich das jetzt mal hier, gehackt. Naja, und das ist vielleicht etwas, was man nicht in der Öffentlichkeit haben möchte, wenn man da ein Problem hat, aber damit wurden dann die Patienten erpresst.

Speaker2:[13:49] Und vielleicht, lass uns nochmal so einen kleinen Aktenzeichen XY-Effekt hier reinbringen. Was sind denn von euch beiden jeweils so die Fälle, wo ihr wirklich sagt, Mensch, da kommst du nicht drauf, um nochmal so den Horizont unserer Hörerinnen und Hörer zu erweitern. Jetzt gar nicht so effektischerei, aber einfach nochmal wirklich, weil man hört ja echt immer Dinge und auch so Storys und man sagt, Mensch, da wäre ich nie noch gekommen, dass sowas mal möglich ist. Habt ihr da Beispiele, die ihr zuletzt mitbekommen habt jeweils?

Speaker0:[14:13] Ja, also mir fällt ein spektakulärer Fall ein, wo tatsächlich staatlich geförderte Hacker im Prinzip Spuren verwischen wollten. Kann man übrigens mittlerweile auch im SWR 3 in der Dokumentation Putins Bären sehr schön anschauen.

Speaker1:[14:30] Cozy Bären.

Speaker0:[14:30] Ja, genau. Ja, ganz genau. Die sich halt dann auf eine Firmenparkplatz stellen mit Equipment im Auto, simulieren das eigentliche WLAN nach und in dem Moment, wo sich dann morgens Geräte authentifizieren, ziehen die quasi die Credentials ab und locken sich dann mit den Credentials in das wirkliche Netz rein. Das klingt alles ein bisschen komisch, aber das ist möglich. Also das ist für mich so einer dieser spektakulären Dinge. Meistens, das darf man aber nicht ganz unterschätzen, gibt es halt auch Angriffsvektoren, die von innen kommen. Also wo ist halt einfach mal bewusst große Credentials genutzt werden von Administratoren, die halt dann versuchen ein Problem zu lösen. Also wo bewusst ein Problemfall im System generiert wird. Und dann legen die Hacker sich ein bisschen schlafen und warten, bis der Administrator kommt, um das zu fixen. Und in dem Moment haben sie halt alle Credenz, die sie brauchen. Und dann kann sich natürlich ein Netzwerk ganz frei bewegen.

Speaker1:[15:28] Also gerade dieses Thema zu verstehen und in so ein Netz reinzugehen, zeigt glaube ich auch nochmal, wie sehr auch psychologisch versiert diese Angreifer sind. Also ich meine, der ein Fall, der jetzt natürlich sehr aktuell ist, ist auch der zweite, dritte Fall dieser Art, ist natürlich dieser Fall auch, wo dann KI ins Spiel kommt, wo eine Überweisung stattgefunden hat auf Basis eines Videocalls mit dem CFO eines Unternehmens. Und offensichtlich war das ein vermeintlich echter Videostream oder es war eine Videokonferenz, glaube ich sogar in dem Fall. Und das hat dann dazu geführt, dass 25 oder 24 Millionen Euro überwiesen wurden, weil natürlich klar, es war eine echte Videokonferenz. Und warum soll man das jetzt auch noch anzweifeln? Hier kann man natürlich auch sagen, okay, gewisse Prozesse hätten dort eigentlich da sein müssen, dass nicht irgendwie eine Person 25 Millionen Dollar überweisen kann. Aber das zeigt wieder so ein bisschen, wie kreativ zum einen Angreifende sind, zum anderen aber auch, welche Technologie sie wirklich nutzen. Wir hatten ähnliche Fälle, wo das dann auch mit Voice passiert ist. Da hat dann irgendwie der Chef der Holding angerufen und gesagt, wir brauchen mal ganz schnell hier Geld. In dem Fall hatte der sogar einen deutschen Akzent und das haben sie dann auch nachgebaut. Und dann war das alles sehr überzeugend. Aber damit wird eigentlich verdeutlicht, dass diese Angreifer verstehen, wie wir auch als Unternehmen und auch als Menschen funktionieren. Und nutzen Technologie.

Speaker0:[16:53] Und da ist es genau, wie du sagst, sie nutzen natürlich eine menschliche Schwäche aus. Sie erzeugen immer eine Notfallsituation. Siehe die ganzen Enkeltricks oder Oma überweist mir mal tausend Wängen jetzt hier in einem Krankenhaus und können nicht operiert werden, weil das Geld fehlt. Also es steckt immer, immer eine Drucksituation dahinter. Und dieser zeitliche Druck löst bei uns immer einen Reflex aus. Und diesem Reflex nutzen die Hacker halt brutal aus. oder halt die Betrüger, wer auch immer dahinter steht. Aber das wird bewusst, und da kommt der Niklas gleich drauf, psychologisch ausgenutzt.

Speaker1:[17:29] Dahinter steckt diese zwei Systemtheorien, also System 1 und 2, wir denken oder wir trechen Entscheidungen, was übrigens auch ursprünglich aus der Werbepsychologie kommt, das sogenannte Elaboration Likelihood Modell. Da geht es einfach nur darum, wir nehmen eine Message wahr oder eben einen Auftrag, mach mal hier das und das und dann verarbeiten wir das entweder tief oder flach, also kurz oder lang. Und es gibt gewisse Reize, die dafür sorgen, wie genau wir uns dann eben sowas angucken oder eben nicht. Und ein Punkt ist natürlich irgendwie Trust, also Vertrauen. Wenn ich in einer Videokonferenz bin mit Leuten, die ich kenne, ja warum soll ich denn da skeptisch werden? Ja, dann mache ich es schnell, da denke ich nicht genau drüber nach. Oder Zeitdruck, persönliche Relevanz in Form von emotionalem Involvement, nennen wir das dann. Geht es um mein Kind? Ja, dann lasse ich ja alles stehen und liegen. Dann haben die Angreifenden das einfacher, weil dann wird nicht mehr kritisch hinterfragt, dann werden vielleicht kleine Inkonsistenzen nicht mehr wahrgenommen und dann agiert man auch schneller. Also ich frage jetzt auch mal ganz konkret, ich habe im Bekantkreis schon viele Fälle jetzt, die mir eben von diesem, ich nenne das jetzt mal Enkeltrick 4.0 erzählen, also wo tatsächlich mit vermeintlich

Speaker1:[18:38] Der Stimme der Tochter ruft jemand an und sagt ja hier, Papa, ich bin in einen Verkehrsunfall verwickelt worden, ich gebe dich mal kurz weiter an den Polizisten. Und der sagt dann, ja, jetzt brauchen wir hier 5000 Euro, sonst kommt ihre 14-jährige Tochter in den Knast. Was natürlich auch ein bisschen unglaubwürdig ist. Aber wenn es um das eigene Kind geht, also habt ihr das schon mal, solche Fälle jetzt gehabt?

Speaker0:[19:00] Ja, klar. Manchmal kommt es ja immer wieder, jetzt stellt man sich selber die Frage, wie kann man so reinfallen? Aber du sprichst natürlich eine Dimension an, dass jetzt mittlerweile über technologische Möglichkeiten vieles machbar ist. Also ich kann als George Clooney auftreten, in einem Videocall mit der Stimme von ihm, obwohl es ich nicht bin. Das nennt man ja so ein bisschen Deepfake. Und die technischen Mittel sind dafür mittlerweile alle da. Es ist leicht, das zu simulieren. Also daher ist, glaube ich, gerade so diese Dimension des kritischen Denkens und kann ich dem eigentlich glauben, was mir gerade da gegenüber ist, ja oder nein. Das ist schon eine starke, die wird sich auch jetzt in den kommenden Jahrzehnten noch viel stärker ausprägen müssen.

Speaker1:[19:43] Das wissen wir zum Beispiel eben auch aus der gleichen Forschungsrichtung, dass wenn wir wissen, dass wir gerade manipuliert werden oder jemand uns überzeugen will oder dazu bringen will, etwas zu tun, dann sind wir wesentlich besser geschützt. Das heißt also, wenn man das jetzt mal ganz konkret überträgt, dann geht es darum, also das, was wir hier heute auch tun, erfüllt einen Zweck, nämlich über die Möglichkeiten zu sprechen, über die Fälle zu sprechen, weil dann möglichst viele Menschen natürlich davon erfahren und das schützt dann schon mal. Und gleichzeitig natürlich das kritische Denken, das muss man trainieren, damit man eben dann zum Beispiel ja was verinnerlicht, was ich immer so nenne there’s no free lunch, also wenn etwas too good to be true ist dann ist es wahrscheinlich, ja, nicht wahr und dann sollte man vielleicht mal kurz innehalten selbst wenn da die CEO extrem auf die Zeit, auf den Zeitdruck drückt

Speaker2:[20:28] Also ich habe auch lange Zeit, muss ich ehrlich sagen, mich davor geschützt gefühlt. Ich habe da immer so ein bisschen gegrinst, wenn man so, weiß nicht, bei meinen Eltern, wenn die sagen, ja, ich habe da eine E-Mail von der Sparkasse bekommen, ich soll da irgendwie mich einloggen oder sowas. Das waren natürlich die Sachen, wo man, wie du das gerade schon dargestellt hast, hat gesagt, ja, weiß ich ja, eine Sparkasse würde das so gar nicht fragen. Aber mittlerweile gibt es natürlich auch so Dinge, wobei das sicherlich auch noch nicht das Ende der Fahnenstange ist, bei einer Markenregistrierung bei der DPMA, dass man plötzlich danach, weil die Daten werden ja veröffentlicht, eine E-Mail bekommt und dann relativ klar gesagt bekommt, ja, sie haben noch gerade ihre Marke angemeldet, sie müssen aber jetzt nochmal hier und dann gibt es dann so niedrigschwellige Beträge wie nochmal 50 Euro zahlen, damit das jetzt auch hier wirksam wird. Und klar, da hat man mittlerweile auch eine kleine Antenne für, aber ich muss auch sagen, gerade weil die technologische Entwicklung und das Vorstellbare ja auch gerade sich einfach so rasant entwickelt, ist es natürlich wirklich schwierig, weil ich meine, man müsste jetzt tatsächlich ja sogar hinterfragen, wir sehen uns ja gerade auf Video, ob das jetzt der Niklas ist, weil wir uns das mal noch nicht in der Realität getroffen. Ich nehme jetzt mal an, bei dem, was du jetzt hier so an Inhalten wahrträgst, ist das natürlich der Fall, aber das Misstrauen ist natürlich riesig und am Ende ist es wirklich ja zumindest das, was man jetzt merkt, der Mensch am Ende, der das schwache Glied in der Kette ist. Aber jetzt ist natürlich die Frage, vielleicht vor allem das Unternehmen, was kann man denn da tun? Ich meine, in Technologien investieren, ne Uli, das machen wir regelmäßig, irgendwelche Sachen fixen und irgendwelche Löcher zu machen. Was kann man an der menschlichen Front tun? Was empfehlt ihr da?

Speaker1:[21:52] Also davor brauche ich nochmal die 150 Euro per PayPal. Das hast du ja eben auch nochmal gesagt.

Speaker1:[21:59] Nee, aber ja, also du hast jetzt gerade gesagt, der Mensch als schlechtes Glied. Ich glaube, Uli, wir haben da oft auch zugesprochen. Das ist eine Sichtweise, die wir natürlich nicht zu 100 Prozent teilen, weil wir eben auch, wir haben diese ganzen tollen Storys, wo Menschen sich eben auch aktiv an der Verteidigung beteiligt haben oder eben genau dieser Missing Link war und dieses Element war, was dann wirklich die Konsequenzen von einem Angriff verhindert hat.

Speaker1:[22:23] Geht eben darum, sich auch mit den Menschen zu beschäftigen. In der Vergangenheit haben wir in der IT-Sicherheit eine sehr starke, ich möchte es fast, Obsession mit Technologie gesehen. Es wurde halt eben darauf geachtet, wie können wir eigentlich uns komplett einigeln und abschotten und den Menschen eigentlich so ein bisschen ausklammern. Der Hintergrund ist auch, den kann ich gut verstehen, es ist ja eben auch nicht leicht mit Menschen das einzustudieren, das eintrainieren und dann auch diese Resilienz zu erhöhen. Aber da hat ein starkes Umdenken stattgefunden, dass man das eben nicht mehr anders kann. Da kam auch was aus der Regulatorik-Richtung. Da überall in den ganzen Compliance-Frameworks steht eben auch was zum End-User-Training drin. Aber viele Sicherheitsverantwortliche, mit denen ich täglich zu tun habe, die sagen eben auch, ja natürlich, klar, wir müssen irgendwie die Menschen abholen. Und das heißt eben, ja, ihnen vermitteln, was sind die Angriffe, was ist sicheres Verhalten, das dann aber auch wirklich in Fleisch und Blut rübergehen lassen. Und dann ist es nicht mehr das Pflichttraining. hier komm einmal im Jahr, guckst dir das Video an und dann ist auch schon wieder alles gut. Sondern man muss ein bisschen tiefer und es erfordert ein bisschen Arbeit. Wir schicken auch Kinder nicht in die Schule für einen Tag Pflichttraining und dann machen sie Abitur und sind fertig für den Arbeitsmarkt im Alter von sieben Jahren.

Speaker0:[23:35] Absolut, Niklas. Und ich finde, das hat so ein bisschen auch was mit Verhaltensänderungen zu tun. Du kannst zwar dir viel vornehmen, aber das kennen wir von unseren Neujahrsvorsätzen. Die wirkliche Veränderung kommt, wenn ich Schritt für Schritt für Schritt für Schritt die Dinge mache und dann irgendwann habe ich dieses Verhalten adaptiert. Für mich sind gerade die Menschen in dem Prozess das wichtige Glied, weil Technologie kann zwar helfen, gewisse Angriffe abzuwehren, aber wenn keiner die Alarmsignale der Firewall versteht, dann nützt das alles nichts. Dann kann ich keine Maßnahmen ableiten. Also daher fängt es ganz normal an mit Aufklärung. Also welche Bedrohungsszenarien gibt es dahinter und wie kann ich dazu beitragen. Das andere Ding ist aber, das ist so mein Feuerwehrbeispiel, ich muss gewisse Dinge üben, damit sie halt in Fleisch und Blut übergehen. Eine Feuerwehr, wenn die ihr Leistungsabzeichen machen, da war ich auch mal eine ganze Zeit lang, wir üben permanent, wie schnell wird ausgelegt, wie schnell wird der Angriff ausgeführt, damit du halt gewisse Zeiten und dich gegenseitig darauf verlassen kannst. Und so ist das auch bei Cybersecurity so. Also ich übe, dass ich secure by Design Produkte entwickle, die direkt alle Dimensionen von Cybersecurity in der Entwicklung bereits betrachte. Ich übe, wenn ein Vorfall passiert, wie stelle ich den wieder her? Also wie schaffe ich denn meine Backups wieder herzustellen? Wahrscheinlich lächelt jetzt der eine oder andere. Ich kann nur sagen, macht es mal. und ihr werdet euer blaues Wunder erleben.

Speaker0:[25:04] Weil es ist nicht, ich hole irgendwo eine Diskette oder einen USB-Stick oder ein Band aus dem Schrank und da geht das wieder, sondern das ist eine Prozedur, die muss geübt werden. Und dann entstehen halt auch ein paar Erkenntnisse. Und deswegen nochmal das Feuerwehrbeispiel. Da passieren auch Fehler und das ist auch gut so. Aus den Fehlern lerne ich und damit kann ich im Prinzip wieder besser werden. Und damit schaffe ich halt auch eine Residenz, dass nicht alle im Chicken-Mode durch die Gegend laufen und sagen, was machen wir denn jetzt? Was machen wir jetzt, sondern ich weiß, was ich tun muss, wenn es passiert. Die Frage, ob es passiert, ist nicht die Frage. Die Frage ist nur, wann passiert der Hack?

Speaker1:[25:38] Ich glaube, da haben wir doch auch in unserem Podcast zu gesprochen, Uli, dass das zuallererst natürlich auch bei den Führungskräften anfängt, dass man eben sagt, wir machen eine Tabletop-Exercise, also das ist so eine Art Brettspiel, wo ein Eingriff simuliert wird, der dann erfolgreich war und dann guckt man mal, wie ist die Arbeitsteilung, wer macht jetzt was, oh, hat gar keiner gemerkt. Und genau diese Fehler, die kommen dabei raus, die nutzt man, um dann Prozesse anzupassen, um das Zusammenspiel zu verstärken. Und Fehlerkultur ist, glaube ich, da auch ein total wichtiges Thema, weil es muss eben mit dem Fokus auf Lernen passieren und nicht, oh, jetzt macht jemand einen Fehler und das ist was Schlimmes, sondern offene Fehlerkultur.

Speaker0:[26:14] Ja, ganz genau, Niklas. Und du sprichst jetzt so ein bisschen unsere Ransomware-Cyber-Simulation an. Das machen wir regelmäßig mit unseren Top-Führungskräften, damit halt jeder lernt, was passiert denn eigentlich in so einer Situation, worauf kommt es an. Und das führt natürlich auch dazu, dass, wenn ich mal in so einer Situation bin, ich nicht mehr unvorbereitet in sowas reingehe, sondern eigentlich schon ein paar Mechanismen habe, die ich anwenden kann. Auch wenn ich es erst dreimal geübt habe, erkenne ich schon in dem Teamzusammenspiel, dass ein Automatismus entsteht. Und darum geht es ein Stück weit. Und Lernen passiert halt nicht, indem ich alles direkt perfekt mache. Das ist sehr unwahrscheinlich. Sondern da müssen in diesem Lernprozess Fehler passieren, an dem ich logischerweise meine Verbesserungen adaptiere.

Speaker1:[26:57] Ist auch etwas, was wir aufgegriffen haben, als wir in diese Industrie rein sind. Wir sind ja auch als Unternehmen, das ist ja noch gar nicht so extrem alt, knapp sechs Jahre. Und als wir reingegangen sind, also ein Kernthema, was wir eben auch machen mit Mitarbeitenden, sind Eingriffssimulationen. Das heißt, ein Phishing-E-Mail kommt und dann ist das aber Gott sei Dank eine simulierte. Als wir damit gestartet sind, war der Standard in der Industrie ein sogenannter Phishing-Test. Da schickt man was rum und dann gab es in Amerika, da wird dann noch genau geguckt, wer klickt wo und oh Gott, oh Gott, three strikes you’re out. Und das ist natürlich eine ganz andere Situation, wenn du denkst, oh, ich werde jetzt hier von meinem Arbeitgeber getestet. Unter Umständen wird das auch noch öffentlich gemacht. Und wir haben das versucht zu drehen. Wir haben gesagt, nee, nee, der Fehler ist eigentlich gut, weil da kann man lernen. Und wir haben uns darauf fokussiert, viel mehr dann in der Situation zu sagen, guck mal, hier an der Sache hättest du es erkennen können. Und das kontinuierlich als Lernmaßnahme durchzuführen. Und wenn du das so machst und auch weißt, ah, da kriegt auch niemand was von mit, das ist jetzt nur für mich, dann finden Mitarbeitende das super cool, weil es ist ein geschützter Raum, es ist eine offene Fehlerkultur und sie nehmen was mit, was man ja auch betonen muss, für sich zu Hause im Privatleben, weil da werden sie in der Regel genauso angegriffen.

Speaker0:[28:09] Highlight für Fishing-Mails, Kantinen, Menüplan und Highlight Nummer zwei ist, win an iPhone, klick hier.

Speaker1:[28:19] Es sind manchmal die einfachen Sachen, die dann auch gar nicht personalisiert sein müssen, sondern die klappen für alle. Wir checken das ja, glaube ich, immer jedes Jahr in unserem Report, was so die psychologischen Dimensionen sind, was extrem gut. Und das ist eigentlich auch eine schöne Nachricht, was in diesem Jahr wieder auf den Top 3 ist, ist, glaube ich, Hilfsbereitschaft und Lob. Also eigentlich positive Sachen. Also ich weiß noch, bei Führungskräften immer sehr, sehr, sehr wirksam ist, oh, hier eine Interviewanfrage von einem bekannten Zeitungsmedium. Wir wollen ein paar Vorab-Informationen sammeln und das wird sehr häufig geklickt. Und dann natürlich auch, und dann kommt es wieder so ein bisschen in den Organisationskontext, Autorität. Das ist dann wieder der CEO-Fraud. Die Nutzung von natürlichen Hierarchien in einem Unternehmen funktioniert leider auch immer noch sehr gut. Wenn da Druck von oben kommt, ja gut, dann wird halt schneller reagiert.

Speaker2:[29:07] Jetzt haben wir uns ein bisschen das Spielfeld angeschaut. Einmal so das Schachbrettmuster, die Figuren, was die so für Moves machen können, was so der Mensch da so für eine Rolle spielt. So, und jetzt kommen natürlich durch eine rasante KI-Entwicklung, kommt da eine neue Figur aufs Spielfeld. Was für Moves kann die denn in Angriff und Verteidigung und was spielt die denn so für eine Rolle im Bereich der Cyber Security?

Speaker0:[29:28] Das, was wir ja alle erlebt haben, ich meine KI, das wissen wir, ist schon ein paar Jahre bei uns. Aber jetzt durch Generative AI sehen wir halt sehr deutlich, dass jetzt gerade im Large-Language-Modell so neue Dimensionen entstehen. Also ich kann etwas generieren mit dieser KI, mit dieser künstlichen Intelligenz. Und die macht natürlich total leicht, und jetzt sind wir wieder bei Sprachen, Software-Code zu schreiben. Das heißt, da kann ich mit wenigen Befehlen, kann ich mir eigentlich meine Software schreiben. Und wie immer bei Technik, das kann Gutes sein, das kann aber auch Böses sein. So ein Co-Piloting, wie man es neudeutsch nennt, ne, also so ein Co-Pilot, der uns hilft, gewisse Dinge schnell zu machen, der kann halt auch solche, ich sag mal Malicious oder halt Mailware schreiben, die ich halt dann relativ schnell verteilen kann. Die kann mir auch helfen, meine Phishing-Mails relativ schnell zu adaptieren, zu bauen und immer wieder anzupassen. Die kann mir helfen, solche Deepfakes, ne, also CEO ruft an, weist an und so weiter, ne.

Speaker0:[30:29] Möglichkeiten, wo ich solche neuen Technologien halt auch auf der dunklen Seite der Macht nutzen kann. Auf der anderen Seite hilft mir aber sowas auch im Abuse-Management, also jetzt bin ich auf der guten Seite, wenn ich Anomalien im Netzwerk sehe, kann ich die detektieren und ausschleusen. Und da gibt es solche Honigtöpfe, wo man die Angreifer dann in ein Irrloch schickt. Also dann greift der da weiter an, aber er ist isoliert. Gleichzeitig kann ich halt auch mit einem Device-Management Endpoint Detection, kann ich halt bis zum Endpunkt gehen und das halt über eine KI schützen. Also das, was der Angreifer hat, habe ich halt auch als Gegenwaffe. Also das ist nicht so, dass die KI nur auf der einen Seite arbeitet, sondern ich kann sie halt auf beiden Seiten arbeiten lassen.

Speaker1:[31:10] Und das ist, glaube ich, auch ein gutes Stichwort. Also ich glaube, es ist fast so ein Allgemeinplatz, aber ich glaube, der ist total wahr. Es gibt gut, also positive und negative Potenziale. Mit Sascha Lobau bin ich mich dazu auch unterhalten, der ja auch sagt, der Fehler, den wir machen können, ist es eben nicht zu, oh Gott, jetzt kommen wir ja, Denglisch, Adopten, also nicht zu nutzen für die gute Seite, weil wir wissen, und du hast es schon angesprochen, Uli, dass es auf der Angreiferseite genutzt wird. Da braucht man auch gar nicht viel Fantasie. Wir haben das vor fünf Jahren mal auf dem BSI-Kongress präsentiert als Gedankenspiel. Wenn man so Voice-Cloning, also das Imitieren einer Stimme, das kann KI ja eben auch, das ist auch eine Art Deepfake, verwendet, um dann so einen Anruf zu starten. Der CEO oder die CEO ruft alle oder möglichst viele Menschen in deinem Unternehmen an und danach kommt eine E-Mail, auf die hat dann dieser Anruf hingedeutet, glauben wir, das ist dann wahrscheinlicher. Und wir wissen jetzt, vier Jahre später, die Technologie ist da, man kann es in Echtzeit machen und die Fälle haben wir ja eingangs schon angedeutet. Was wir auch wissen, und da machen wir dann auch tatsächlich praktische Forschung zu, die LLMs, die du angesprochen hast, Uli, die sind ja optimiert darauf,

Speaker1:[32:14] Sprache zu erzeugen, die wie ein Mensch ist. Das ist ja das Ziel. Darauf werden sie trainiert. Und natürlich ist vollkommen klar, dass sie damit perfekte Tools für Phishing sind und für Spearfishing. Also das, was früher manuell oder auch heute teilweise noch manuell gemacht wird. Ich gucke mir mal an, was gibt es über den Uli im Internet? Eine Menge. Und dann kann ich ihm eben einen sehr glaubhaften Angriff schicken. Das kann jetzt skaliert werden. Das haben wir auch auf unserer Konferenz mal gezeigt. Und wir haben das auch mal quantitativ getestet. Also für den Angreifenden ist das fast kein Aufwand mehr. Wenn er das einmal so gebaut hat, kann er das als Massenangriff starten, aber die Erfolgsrate ist sehr viel stärker. Also wir haben so im Durchschnitt immer so 30% Klickraten, wenn man so Angriffe simuliert bei Unternehmen, die noch nicht viel gemacht haben in diesem Human Layer Bereich und das geht hier bei diesen Angriffen dann auf 65% hoch. Also zwei Drittel aller Menschen fallen dann darauf rein, weil das eine Phishing Mail ist, die eben nur auf sie zugeschnitten ist, aber automatisiert. Das wird in der Fläche, glaube ich, noch nicht so viel verwendet, weil die Angreifenden auch immer nur so hoch springen, wie sie müssen. Wir erinnern uns, es sind Wirtschaftsunternehmen eigentlich, die uns angreifen oder zumindest sowas ähnliches. Aber die große Welle wird da sehr wahrscheinlich kommen, weil die Technologie einfach verfügbar ist.

Speaker2:[33:28] Lasst uns den Fokus nochmal komplett aufmachen und vielleicht noch auf das gesamte Thema schauen. Und zwar, ja, die Frage, wie sieht die Zukunft der Cyber-Resilienz aus? Was braucht es denn, um gegen zukünftige Bedrohungen gewappnet zu sein aus eurer Sicht? Niklas, möchtest du anfangen?

Speaker1:[33:44] Also ich glaube, eine Kernerkenntnis ist erstmal, das ist kein Projekt, was irgendwann beendet ist. Das war vielleicht vor 30, 40 Jahren nämlich auch nochmal so das Thema. Also, dass man sagt, ja gut, okay, IT-Sicherheit, jetzt müssen wir ja mal alle lücken. Zumachen und dann war’s das. Dann machen wir überall hier Spamfilter rein und dann haben wir das Problem nicht mehr. Sondern wir müssen uns darüber im Klaren sein, dass es eben ein

Speaker1:[34:08] Geopolitisches, dauerhaftes Spiel oder ein Kampf ist, den verschiedene Kräfte gegeneinander führen, mit Technologie, ohne Technologie oder hochgradiger Technologie und nicht so hochgradiger Technologie und dass es eben eine Art Dauerzustand ist. Und das ist aber nicht schlimm, das sollte uns nicht irgendwie negativ stimmen, sondern man muss halt mit dem Risiko arbeiten und das ist auch der erste Schritt, wie man in einem Unternehmen anfängt, man sagt, okay, wir haben eine Risikohadrix. Wir sagen, okay, was sind die Szenarien, die immer eintreffen können, wie schlimm sind die für uns und wie wahrscheinlich ist das aktuell? Und dann versuchen wir, die Wahrscheinlichkeit ein bisschen zu reduzieren. Dahinter stehen dann Maßnahmen und die sind meistens in der IT-Sicherheit oder Informationssicherheit in so drei Ebenen, Technologie, Mensch und Organisation. Und je nachdem, wo dann eben das Risiko oder die Wahrscheinlichkeit höher ist in einem Unternehmen, muss man eben anfangen. Da die großen Hebel sollte man ziehen. Bei einigen Unternehmen wird das sein, patchen. Also ich glaube, bei vielen Unternehmen, wenn das nicht der Fall ist, ist patchen, patchen, patchen immer eigentlich der allererste Schritt, den man machen sollte. Dann aber da nachrüsten, wo man eben vielleicht etwas schwächer aufgestellt ist, ob das jetzt die E-Mail-Security ist oder ob das Datenströme sind und dann aber immer auch die Menschen mitbetrachten und das kann man eben heutzutage ja auch relativ simpel nicht, aber eben auch sich schnell auf ein besseres Level bringen und gleichzeitig aber auch nochmal Prozesse angucken. Ist es bei uns möglich, ohne Vier-Augen-Prinzip 25 Millionen rauszüberweisen, dann sollten wir das möglichst schnell, sollten wir die Policy ändern.

Speaker0:[35:36] Du hast es schon auf den Punkt gebracht. Am Ende ist das eine Reise und ein Prozess. Also das ist eine nicht endende Reise. Also so wie die Angreifer besser werden, werden die Verteidiger besser, die Angreifer werden ein Stück besser, die Verteidiger werden ein Stück besser und auf der Reise müssen wir die Menschen mitnehmen. Und für mich gibt es da noch zwei ergänzende Dimensionen. Das eine sind die Führungskräfte, die einerseits die Bedrohungslage verstehen müssen, also ein gewisses technisches Verständnis, aber auch ein prozessuales Verständnis und einen psychologisch sicheren Raum zu schaffen, dass die Menschen die Dinge, die passieren, ansprechen und den Mut haben. Weil eins ist klar, bei all den Cyberattacken, die wir so erlebt haben und die wir so im wirklichen Leben mitbekommen, Zeit ist eine entscheidende Komponente. Wenn der Angriff auf ein Unternehmen einbricht, wie schnell kann ich reagieren? Und dann kommt die zweite Zeitkomponente, wie schnell kann ich wiederherstellen, sodass meine kritischen Geschäftsprozesse wieder schnell funktionieren. Und das hat hauptsächlich mit Menschen zu tun. Wie ist das Team eingespielt? Wie geht es mit solchen Dingen um? Und deswegen, neben der psychologischen Sicherheit, ist für mich auch noch Resilienz der Menschen eine entscheidende Größe. Also wie mache ich auch die Menschen.

Speaker0:[36:48] Mental, aber auch von ihrer Physis Resilienzer, sodass sie halt genau in solchen Szenarien durchstehen kann. Wir leben in einer komplexen Welt, die viele Dimensionen hat und da ist, ich sage mal, mentale Stärke und Resilienz eine große Größe. Und das erlebe ich Gott sei Dank immer mehr, dass Führungskräfte auf Achtsamkeit achten, also zwar jetzt ein Doppeltachten, aber das in den Fokus setzen und ich glaube, das ist auch relevant. Nicht nur Glaube, das ist relevant.

Speaker1:[37:16] Das sind auch zwei super wichtige Aspekte nochmal. Also dieses, wie reagieren Systeme und Menschen eigentlich dann nach so einem Angriff, ist etwas, was oft auch so ein bisschen gar nicht so im Fokus steht. Der Fall von Reddit zeigt das sehr deutlich. Die hatten einen Angriff, normal Phishing, da hat dann irgendwer Credentials rausgegeben.

Speaker1:[37:36] Und die hatten aber sehr stark eben auch auf diese offene Fehlerkultur und schnelle Reporting-Wege sich fokussiert. Dann ist ihm aufgefallen, das war irgendwie komisch, ich habe da drauf geklickt, ich habe auch mein Passwort eingegeben, ich melde das sofort. Man hätte ja auch sagen können, das sage ich keinem, weil ich habe hier einen Fehler gemacht. Und so konnte es denen eben auch nochmal gelingen, diesen Angriff im Vorfeld abzufangen und diesen sogenannten Blast Radius, also den Explosionskrater zu verkleinern. Und das wird auch immer wichtiger. Ich glaube, im Durchschnitt sind es über 200 Tage, die ein Unternehmen braucht, um überhaupt festzustellen, dass sie infiltriert wurden. Und wenn man diesen Timeframe verkleinert, ist das eben auch ein ganz starker Schutzfaktor. Und das psychologische Sicherheitsthema ist natürlich der zweite, was super wichtig ist. Ich glaube, es gibt viele Funkkräfte, die da mehr drauf achten, aber ein offenes Geheimnis oder ein Thema, worüber wir sehr viel mehr sprechen sollten, ist eben auch, dass wir gerade im IT-Sicherheitsbereich ein großes Mental-Health-Problem haben und auch steigende Burn-Out-Raten, weil man ist permanent unter Feuer. Ja, manchmal sind es dann eben Nachtschichten, Wochenendschichten, wenn man einen Inzident hat. Und das ist etwas, bei gleichzeitig auch fast vier Millionen ungefüllten Positionen im IT-Sicherheitsbereich weltweit. Da müssen wir mehr darüber sprechen, eben auch uns um die mentale Gesundheit unserer Verteidiger und Verteidigerinnen zu kümmern.

Speaker0:[38:58] Definitiv, Niklas. Das ist übrigens auch so ein Thema, wo KI wiederum helfen kann. Also zum einen Wissen aufzufrischen und zu bereitzustellen. Und das andere ist halt, wenn ich heute so ein bisschen in Organisationen reinschaue, dann darf es keinen Unterschied mehr zwischen IT-Sicherheit, IT und Mitarbeiterinnen und Mitarbeitern geben, sondern das muss ein Team sein. Das ist leicht hergesagt, das ist definitiv so. Aber wenn ich jetzt zum Beispiel bei uns reinschaue, dann haben wir ja vier Linien der Verteidigung. Und eine ist halt, das fängt bei jedem an. Und dann kommt erst die Fachkraft und dann kommen erst so Forensik, also wirklich tiefe Cyberwissende ins Spiel. Aber das, was ich häufig erlebe, ist, dass IT-Sicherheit, alle gucken auf IT-Sicherheit, die müssen es richten. Das ist der falsche Ansatz, kann ich nur sagen. Das ist der falsche Ansatz.

Speaker1:[39:48] Und das führt ja dazu zu Stilblüten. Also das hat auch ein bisschen was mit der Historie, man sagt ja mal historisch gewachsen und so ist das ja auch. Es gab die IT, früher hieß das nochmal EDV und dann gab es IT und dann kam irgendwann die Sicherheit dazu. Wenn man ja auch mal guckt, es gibt nur sehr wenig IT-Sicherheitsexperten, die 30 Jahre Erfahrung haben, weil da war das noch gar kein richtiges Feld. Die haben in der IT gearbeitet und heutzutage muss es viel integrierter sein und gar nicht mehr so ein, ah, wir haben mal irgendwann die IT-Sicherheit dazu geedit, sondern das muss ein integrierter Blickwinkel sein. weil eben alles viel stärker ineinander greift. Da sollte man dann auch vielleicht mal so alte Wahrheiten hinterfragen. Insbesondere auch diesen Technologiefokus, immer nur auf die Technik zu gucken und nicht auf die Menschen. Weil ich kenne aus erster Hand diese Geschichte, die eigentlich wie so ein Klischee klingt. Mitarbeitende, die sagen, ja, wir sind ja in der Arbeit, auf der Arbeit bin ich ja perfekt abgesichert. Da haben wir ja diese ganz tollen Schutzmaßnahmen. Und die schicken sich dann E-Mails, die sie auf ihre private E-Mail-E-Adresse bekommen haben, leiten die sich weiter auf die Firmenadresse. Wenn man das zum ersten Mal hört, denkt man, das ist ein Witz, aber ich kenne fünf Fälle mindestens aus erster Hand, wo das so berichtet wird. Und das ist eben auch ein bisschen, ja, die Kehrseite der Bedeutung, man muss eben auch sagen, hundertprozentige Sicherheit gibt es eigentlich nirgendwo ohne.

Speaker0:[41:08] Das kann ich nur unterstreichen. Also ich kenne einen anderen großen Hack von dem Mode-Design-Label, wo eine Mitarbeiterin sich im öffentlichen WLAN mit dem Arbeits-PC eingeloggt hat, um nochmal schnell für ein paar Reisetipps ein paar Sachen runterzuladen. Und schwuppdiwupp war der PC infiziert und schwuppdiwupp haben die Angreifer Zugriff aufs Netz bekommen. Ja, und dann ist es dann irgendwann passiert. Und das ist halt nicht, also man stellt sich ja immer vor, jetzt klickt man auf was und dann passiert direkt was. Das muss nicht der Fall sein. Das kann, wie du sagst, fast 200 Tage im Netz schlummern, bevor ein Angreifer aktiv wird.

Speaker1:[41:46] Was übrigens auch eine systematische Komponente hat, also wir haben darüber gesprochen, dass wir bei den Angreifenden eine Industrie haben und naja, was macht eine Industrie? Die differenziert sich auch. Seit ungefähr fünf Jahren haben wir Initial Access Broker. Das sind eigentlich nur Gruppen, die versuchen nur in ein Unternehmen reinzukommen und verkaufen dann den Zugriff, also den Loophole, den sie geschaffen haben in das Unternehmen, einfach nur für Geld und dann kommt irgendwer anders und sagt, ah ja super, ich mache jetzt Ransomware da drauf. Und dementsprechend sieht man, da passiert teilweise auch gar nichts. Oder manchmal ist es auch strategisch oder taktisch, dass sie sagen, wir nisten uns erstmal ein und schauen erstmal. Aber in vielen Fällen ist das auch einfach so ein Initial Access Broker, der erstmal gar nichts Schlimmes macht. Aber die Tür ist, die Hintertür ist offen.

Speaker2:[42:29] Ich danke euch beiden. Das war ein sehr spannender Austausch. Und danke auch an der Stelle für die Einblicke. Niklas, wir haben die Tradition, unseren Gästen zum Abschluss immer eine ganz besondere Frage zu stellen. Das muss jetzt gar nichts mit dem Thema Cybersecurity zu tun haben, sondern eher vielleicht mit dir als Person und deiner Laufbahn. Und zwar, du besitzt eine Plakatwand vor deiner Universität oder wir geben direkt zwei Plakatwände in Bonn und in Aachen, auf denen dann jeweils das Gleiche steht. Was würdest du den heutigen Studenten und Studentinnen mit auf den Weg geben, die da jeden Tag rein und raus gehen? Was wäre dein Karriere-Tipp oder Lebenstipp?

Speaker1:[43:02] Wahrscheinlich würde ich ja nur ein Wort draufschreiben und das heißt Neugier. Das habe ich durch meine Eltern mitbekommen, immer einfach auch überall mal reinzugucken, was man vielleicht noch nicht kennt und eben auch links und rechts der Profession zu schauen. Psychologie hat mich interessiert, aber Wirtschaft irgendwie auch. Und immer neugierig zu sein und die Augen offen zu halten, ist in der Cybersicherheit auch sehr wichtig und sich vor allem eben für Menschen zu interessieren. Für mich war das die absolute Quelle des Glücks in meinem Leben, in dem ich einfach immer geschaut habe, okay, da ist jemand, der sieht interessant aus oder der hat was Interessantes zu erzählen. Und so habe ich meine besten Freunde kennengelernt, so habe ich aber auch viele Geschäftspartner kennengelernt. Und ja, Neugier ist eigentlich so das Allerwichtigste im Leben.

Speaker2:[43:46] Uli, Neugier, das ist bei dir auf jeden Fall auch ein wichtiger Punkt.

Speaker0:[43:49] Total. Also meine Frau wird verrückt darüber, aber grundsätzlich bin ich natürlich ein bisschen Technologie gehandicapt. Also das interessiert mich natürlich massiv. Aber grundsätzlich finde ich, Neugier hat keinerlei Altersbegrenzung, im Gegenteil. Schaffe ich eine neue Lernzone und durch Neugier pushe ich mich halt aus dem Trotz ein Stück weit raus. Und bei der Welt, in der wir uns bewegen, ich würde mal sagen, wir leben in einem fantastischen Zeitalter. Es war nie so einfach, an Lerninhalte zu kommen, an neuen Dimensionen, neue Perspektiven, international, global, wie heute. Und dafür bin ich super dankbar. Also daher, ja, das spricht mich an.

Speaker2:[44:33] Ihr beide hattet euch ja schon mal in dem Human Firewall Podcast getroffen, der Anfang Dezember erschienen ist. Wenn ihr in unsere Shownotes guckt, werden wir da natürlich auch noch mal den Link reingeben, weil da gibt es quasi nochmal eine ganze Menge Material und da könnt ihr nochmal weiterhören, was die beiden zum Thema Cyber Security besprochen haben. Und Niklas, magst du unseren Zuhörerinnen und Zuhörern vielleicht noch sagen, wo sie dich erreichen können oder wo sie mit dir in Kontakt treten können?

Speaker1:[44:56] Sehr gerne. Das hat es wahrscheinlich auch wieder eine Risikokomponente. Auf LinkedIn immer gerne, kann man mich gerne anpicken. Ich kriege zwar ganz viele Anfragen, natürlich auch kommerzieller Art, Aber ich gucke da immer rein. Ich poste auch immer ganz spannende Sachen oder hoffentlich spannende Sachen zu den Themen Psychologie und Cybersecurity und Cybercrime. Und da kann man mich gerne anschreiben. Aber auch da muss man vorsichtig sein, denn auch das, da gibt es Angriffsmethoden, nämlich Fake-Profile zum Beispiel. Aber ich werde also zweimal hingucken, wenn mich jemand addet. Aber ansonsten sehr gerne.

Speaker2:[45:26] Niklas, vielen, vielen Dank für die Zeit. Danke, dass du heute unser Gast warst. Hat sehr viel Spaß gemacht.

Speaker1:[45:32] Ebenso. Vielen Dank, dass ich da sein durfte.

Speaker2:[45:34] Das war der Digital Pacemaker Podcast über die Frage, warum der Mensch im Mittelpunkt der Cybersicherheit stehen sollte. Zu Gast war Dr. Niklas Hellemann, Mitgründer und CEO von SoSafe. Weitere Informationen zur Folge findet ihr in unseren Shownotes. Und wenn ihr mit uns über Themen diskutieren wollt, dann kommentiert unsere LinkedIn-Post oder schickt uns eine Nachricht. Der Digital Pacemaker Podcast erscheint alle 14 Tage, dienstags auf Spotify, Apple und überall dort, wo es Podcasts gibt. Klicke jetzt auf Folgen oder Abonnieren, um keine Folge zu verpassen. Viel Spaß und bis bald, euer Uli und Markus.

Speaker0:[46:05] Rock’n’Roll.

Music:[46:06] Music

 

Leave A Comment

Related Posts