„ANGRIFFSLUSTIG – IT-Sicherheit für DEIN Unternehmen“

Transkript

Zurück zur Episode

00:00:00: Angriffslustig!

00:00:01: IT-Sicherheit für dein Unternehmen.

00:00:04: Der Security Podcast der Go Security.

00:00:07: Mein

00:00:07: Name ist Sandro Müller und mit mir am Mikrofon Andreas Wiesler.

00:00:11: Mit ihrer Firma Go Security sind sie die Firewall Fizikunternehmen.

00:00:15: Wir haben ja schon eine Lösung, wieso soll ich jetzt noch was dazu machen?

00:00:19: Sensibilisierung zum Beispiel.

00:00:21: Sandro und Andreas sind die IT Sicherheitsexperten in der Schweiz

00:00:26: seit

00:00:26: über zwanzig Jahren schon

00:00:28: Komm.

00:00:28: wir versuchen noch ein wenig auf zu zeigen,

00:00:30: wie geht es

00:00:30: dann besser.

00:00:31: Bist du bereit für ein neues

00:00:33: Update?

00:00:34: Herzlich willkommen zu einer neuen Ausgabe.

00:00:37: Angriffslustig!

00:00:38: Heute wieder mal einen Interview und zwar habe ich die Freude mit Tobias Ellenberger von der Wammkanzalt zusammenzusitzen.

00:00:46: wir haben jetzt in der Vorbereitung schon fast eineinhalb Stunden über diverse Themen diskutiert und irgendwann mussten wir sagen jetzt müssen wir doch mit dem Podcast beginnen.

00:00:56: also das wird ein spannendes Thema zwar über Incident Response.

00:01:02: Aber bevor wir starten, Tobias stelle dich doch gerne unseren Zuhörenden zuhören vor.

00:01:07: Sie haben deine Stimme schon mal gehört aber vielleicht mögen sie sich nicht mehr erinnern?

00:01:12: Ist schon eine Weile her, Jaffi!

00:01:14: Herzlichen Dank Andreas dass ich erneut dabei sein darf in eurem tollen Podcast.

00:01:20: Halt ganz kurz zu meiner Person, ich darf die One-Consult-Gruppe leiten.

00:01:25: Was wir machen ist, wir simulieren Heckerattacken oder helfen Unternehmen wenn sie Opfer einer solchen geworden sind.

00:01:32: Sehr gut und ihr seid ja anders als wir auch in Deutschland unterwegs?

00:01:38: Genau!

00:01:38: Wir haben eine Niederlassung in München, ja in der schönen guten Stadt München.

00:01:44: Ja, Inzidenz-Response ist ein Thema das man vielleicht nicht gerade kennt.

00:01:49: Man weiß vielleicht was ein Sock macht aber was genau ist ein Incident Response?

00:01:55: Was erwartet man wenn man dich anruft?

00:02:01: Mehrheit der Kunden oder potenziellen Kunden die Anruf, die erwartet eine schnelle Antwort und eine schneelle Hilfeleistung weil es ein Problem gibt.

00:02:10: Das Thema gelangläufig unter Incident Readspons beinhaltet verschiedene Aspekte.

00:02:16: da gibt's auch verschiedene Disziplinen, verschiedene Teildiszipline.

00:02:20: zu meinen Personen die sich technisch darum kümmern herauszufinden was ist passiert.

00:02:26: dann gibt's Personen die mehr darum kümmern.

00:02:29: ja wie organisieren wir?

00:02:31: Was ist der richtige nächste Schritt?

00:02:33: Was haben wir für eine Strategie, was für eine Taktik.

00:02:37: Wie setzen wir diese um?

00:02:38: also wie operationalisieren wir diese?

00:02:40: das geht dann mehr unter Incident Management.

00:02:42: da gibt es auch noch die Kommunikationsschiene, die Verhandlungsschiene

00:02:46: etc.,

00:02:47: was alles irgendwie unter dieser Incident Response läuft genau.

00:02:52: Sind das Kunden die euch anrufen können oder kann jeder Mann und jeder Frau anrufern?

00:02:59: Grundsätzlich gibt es eine Notfallnummer auf der Webseite, wenn ich ganz kurz ein bisschen Werbung machen darf.

00:03:06: Wir haben Verträge mit Kunden, wo man sich auch Reaktionszeiten sichern kann... One-Consult innerhalb oder unser CSR innerhalb einer bestimmten Zeit reagiert, also so wie ein SLA.

00:03:21: Es gibt aber auch einige die sich auf die Suche machen im Internet mit AI oder Google oder was man heute benutzt genau und zu schauen ja wer macht so etwas überhaupt?

00:03:32: das sind der meisten Unternehmen die sich leider erst mit der Thematik beschäftigen wenn ein Vorfall bereits passiert

00:03:39: ist.

00:03:40: Ich kann mir vorstellen, für euch ist es noch schwierig, wenn einfach jemand anruft.

00:03:46: Ihr kennt das Unternehmen nicht, ihr kennt die Personen nicht.

00:03:50: Wie viel Fortlauf braucht ihr dann, dass ihr überhaupt helfen könnt?

00:03:55: Das kommt ein bisschen auf den Fall an.

00:03:57: Es gibt ja viele Fälle, wo man nicht wieder alles neu durchdenken muss.

00:04:03: Wenn wir als Beispiel Ransom werden nehmen die Maßnahmen, die man zuerst ergreifen muss sind meist etwas ähnlich.

00:04:11: natürlich hilft es wenn man darauf vorbereitet ist.

00:04:14: also wenn wir das Unternehmen nicht kennen und nicht wissen wer sind die wichtigen Partner?

00:04:19: Wer sind die richtigen und wichtigen Ansprechpersonen?

00:04:25: einen Entscheidfällen, der größere Auswirkungen auf das Unternehmen hat und so weiter.

00:04:31: Und sofort verliert man wichtige Zeit.

00:04:33: Ja, es ist aber nicht

00:04:36: unlösbar.".

00:04:38: Also das Gefühl, dass die Unternehmen relativ schnell dich anrufen oder erst wenn's wirklich nicht mehr anders geht?

00:04:47: Das kann ja auch einen Einfluss dann auf eure Hilfestellung haben!

00:04:54: Fälle, wo sehr schnell Fachpersonen gesucht werden.

00:04:58: Also Kunden die irgendwie wissen ja... Da gibt es Spezialisten dafür.

00:05:04: Oft ruft man an, wen einem zuerst in den Sinn kommt.

00:05:07: Das ist dann auf der einen Seite oft der IT-Partner, der vielleicht mal etwas versucht und sagt, nein ich bin nicht der richtige oder vielleicht ist er auch der richtige?

00:05:17: Das kann auch sein!

00:05:19: Was wir auch oft erleben, ist dass man jemanden kennt wo das auch schon passiert ist und schnell um die Mobiltelefonnummer bittet.

00:05:29: Du hast mir heute Vorbereitung gesagt, ihr arbeitet ja auch mit einer Versicherung zusammen.

00:05:34: Hat das einen Einfluss dann auf die Dienstleistung?

00:05:38: Ist da irgendwas anders?

00:05:41: Es gibt ja das Gerücht, wenn ich von einer Versicherungen aufgeboten werde, da muss sich im Sinne der Versicherung arbeiten und nicht im Sinne des Kunden.

00:05:50: Nein!

00:05:52: ist nicht so, also auch für die Versicherung steht der Kunde im Vordergrund.

00:05:56: Also dass möglichst schnell die Situation entsprechend bereinigt ist und der Kunden wieder arbeiten kann.

00:06:02: ich kann jetzt ja nicht für jede Versicherung sprechen.

00:06:05: natürlich gibt es da die einen und die anderen aber das Grundanliegen der Parteien die involviert sind in dem Sinne schon Ja wie kriegen wir jetzt das Opfer?

00:06:15: In dem Sinne möglichst schnell wieder in einem Zustand dass die Arbeit wieder möglich ist

00:06:22: Also ich mich auf heute vorbereitet habe, ist so eine Frage in den Fokus gerückt.

00:06:27: Ja wie ist die Lage heute?

00:06:30: Was hat sich verändert?

00:06:31: Die macht ja das schon lange.

00:06:33: Siehst du irgendeinen Tendenz und in den letzten fünf Jahren irgendwas was klar im Fokus zurück ist?

00:06:41: Ich glaube wenn wir jetzt spezifisch die letzten paar wenigen Jahre nehmen dann lässt sich feststellen... zu meinen, dass die Geschwindigkeit massiv zugenommen hat.

00:06:53: Also auch aufgrund der überall erwähnten künstlichen Intelligenz, die natürlich auch von den Täterschaften eingesetzt wird das erlaubt ist diesen Tätigkeiten die vorhin mit einem Skript oder noch manuell gemacht wurden viel, viel schneller durchzuführen.

00:07:11: Also sei es von der Suche nach einer potentiellen Schwachstelle diese dann auszunutzen entsprechend die Daten zu exfiltrieren und noch schnell zu schauen ja finde ich irgendwo noch ein Backup System das sich auch noch löschen konnte.

00:07:26: also die Geschwindigkeit dort hat sicher massiv zugenommen.

00:07:31: Das ist was Die Entwicklung, also ich glaube diese Entwicklung und die Weiterentwicklung dieser Ransomware-Business-Modelle schreitet nach wie vor schnell voran.

00:07:40: Und das wird auch in Zukunft so sein dass sich das weiter entwickelt als Unternehmen.

00:07:46: Für mehr zehn in den letzten Jahren ist nicht noch mehr Ransomeware sondern was für uns der Rising Star ist in den Insiderattacken die wieder vermehrt aufkommen.

00:07:59: Insbesondere aufgrund von unzufriedenen ehemaligen Mitarbeiter oder Mitarbeitern, die anschließende das Unternehmen verwasseln bis hin zu Spionage?

00:08:10: Wie muss ich mir dann das vorstellen als ehemale Mitarbeiter, dass sie vielleicht noch Zugriffe haben und dann etwas kaputt machen oder dass die im Internet einen Aufruf starten, greift mal dieses Unternehmen an.

00:08:23: was sind so Schäden durch ehemalige Mitarbeitende?

00:08:27: Da gibt es verschiedene Fälle.

00:08:29: Was eine Klassiker ist, ist dass jemand in der IT unzufrieden ist mit der Situation sich damit gewisse Forderungen stellt und wenn er sich dann nicht einigen kann macht er sich noch Zugang zum Unternehmen auf, damit er auch nach dem Austritt noch entsprechend agieren kann.

00:08:51: Das ist etwas, was wir sehen.

00:08:54: oder dass sich jemand ungerecht behandelt fühlt.

00:08:57: Oder mit gewissen Entscheidungen ethisch nicht vertreten kann und sich dann beweise sichert um diese anschließend publik zu machen.

00:09:08: So gerade wenn du erzählst macht es sich eine Bektor eigentlich.

00:09:13: das die gefunden wird ist ja relativ.

00:09:18: Ich sage jetzt nicht von der Zeit her, aber dass man nachher weiß wer das war liegt ja ziemlich auf der Hand.

00:09:24: Ist es nicht genau ich und so ein IT-Verantwortlichen?

00:09:28: Ja, obsitzt der Verantwortliche zu einer der Mitarbeitenden?

00:09:31: also wenn wir vom großen IT Abteilung sprechen ist schon teilweise schwer herauszufinden weil doch die Berechtigungen dann relativ hoch sind, wenn man in der IT arbeitet.

00:09:45: Nicht alle Firmen haben ein ausgeklügeltes Berechtigungskonzept das solche Angriffe oder möglichen Threads auch berücksichtigt Und man kann das natürlich, wenn man die entsprechenden Berechtigungen hat auch so verschleiern mit Hilfe von Exceptions oder Aktivierungsmöglichkeiten in einer solchen Reaktion, dass sie dann schon sehr schwer zu entdecken sind.

00:10:07: Zum Teil fallen diese auf.

00:10:09: oft sehen wir es aber, dass es dann auffällt, wenn ein Schaden entstanden ist, also Daten abgeflossen sind, Systeme teilweise... mutwillig heruntergefahren wurden, um so Systemunterbrüche zu provozieren und auch produzieren.

00:10:25: Und wenn man sich dann auf die Suche macht wie konnte so etwas passieren?

00:10:30: Dann findet man her.

00:10:31: also das war jetzt nicht ein externer Angreifer der das machen wollte sondern es war jemand, der sich mit den Systemen auskannte.

00:10:39: Wie würdest du sagen was unterscheidet jetzt eine Untersuchung gegenüber einem Renzemwehr Angriff.

00:10:46: Beim Ransomware-Angriff habe ich die Daten nicht mehr zugreifen, weil sie verschlüsselt sind aber beim Innenseit ist doch das viel aufwendiger.

00:10:54: Es ist auf der einen Seite komplexer.

00:10:59: insbesondere muss man am Beginn dieser Attacke oder zu Beginn der Untersuchung also was allgemein bei internen Untersuchungen gilt muss man sich überlegen wie gehen wir vor?

00:11:10: Also was ist unser Ziel dass wir erreichen möchten?

00:11:13: Was ist unsere Strategie?

00:11:15: Und dann stellt sich irgendwann die Frage ja eine von vielen Fragen, die man sich stellen kann.

00:11:21: Wollen wir diesen Zugriff jetzt unterbinden?

00:11:25: Wo mit auch auffällt oder dass etwas passiert

00:11:29: ist?

00:11:29: Genau!

00:11:29: Oder wollen wir zuschauen?

00:11:31: Weil wenn wir zuschauern und wissen okay da ist jemand der will uns etwas... Wahrscheinlich böses Tun durch die Aktivitäten, die Dokumente, die gesucht werden.

00:11:41: Die Zugriffe, die für sich verschaffte teilweise auch sogenannte Anti-Forensics also das Verwischen von Spuren und an den Forensikern auch das Leben etwas schwerer zu machen.

00:11:52: Das gibt immer auch Hinweise darauf.

00:11:54: hey wer könnte es sein?

00:11:57: Und das kann dann die Suche oder auch die Beweissammlung um ein entsprechendes Verfahren zu führen, wenn eine Anklage dann zu starten kommt erleichtern.

00:12:07: Von daher ist dir die Komplexität, würde ich jetzt mal sagen gegen einer Standart Ransomware-Attacke schon höher.

00:12:16: Du hast erwähnt, Spionage ist auch ein großer Teil, jetzt haben wir ja Daten werden gestohlen, da weiß man es schon.

00:12:24: aber wenn du diese nicht kennst, wann kommen dann die Kunden auf euch zu?

00:12:30: Wann ist so ein Indiz?

00:12:32: Da haben wir ein Problem.

00:12:35: Das hilft vielleicht unseren Zuhörern zu hören was könnten Indizien sein dass etwas krumm läuft?

00:12:42: Zum Teil sind das, dass in den Medien plötzlich ein Produkt eines Mitbewerbes auftaucht.

00:12:47: Das sieht sehr ähnlich aus wie das, was man selbst am entwickeln ist.

00:12:54: Das ist ein Fall, dass Informationen gelegt werden.

00:12:58: Beispielsweise, dass Jahresabschlüsse publiziert werden bevor diese offizielle Announced werden hat dann teilweise noch ... muss man dann gut schauen, was wurden da noch für Transaktionen getätigt vorher oder nachher?

00:13:12: Genau.

00:13:12: Also das gibt es viele verschiedene Motive und wenn man davon nichts weiß oder nicht damit rechnet, hat man oft auch nicht die entsprechenden Maßnahmen im Unternehmen ergriffen, damit man so etwas frühzeitig detektieren könnte.

00:13:27: Das macht es dann schwierig.

00:13:29: Wir hatten im vergangenen Jahr verschiedene Fälle, zum Teil ist das über Datenklau von Daten die man für die Entwicklung von Produkten beispielsweise braucht oder von Dienstleistungen bis dahin das bewusst auch Mitarbeitende ins Unternehmen eingeschläust wurden über den regulären HR-Prozessen.

00:13:49: so etwas ist natürlich ganz schwer zu entdecken.

00:13:53: Spannendes Szenario über das HR-Gewandereinschmuggeln.

00:13:57: Früher hat man so von der Putzfirmen gehört, die da Daten abzügeln aber über den HR-Prozess.

00:14:03: Das finde ich auch noch eine clevere Idee.

00:14:04: Ja, das sind keine Einzelfälle... Ja, leider öfter.

00:14:11: Dass man jemanden anstellt hier dann und auch durch Remote Work immer noch aktiv ist, ist es auch schwer zu entdecken.

00:14:19: Aber auf deine Frage zurück von vorher für die Zuhörende, das finde ich schon, wie kann man so etwas entdeckern?

00:14:25: Und ich komme da oft auf den alten... Fuchteutsch wird das nicht funktionieren, aber der XMV, also der gesunde Menschenverstand hilft.

00:14:35: Also wenn sich eine Person die in einem gewissen Gebiet angestellt ist, sei es Marketing.

00:14:43: Irgendetwas IT-Sohn, die interessiert sich plötzlich komischerweise extrem für die Research and Innovation Abteilung und was den dort genau gemacht wird.

00:14:55: Da gibt's schon so Hinweise wo man dann plötzlich ein ungutes Bauchgefühl hat und denkt etwas is da nicht... Nicht ganz okay.

00:15:06: Oder wenn sich ein System plötzlich komisch verhält, dass man nicht einfach sagt einen Reboot tut immer gut, er hat mir auch schon mit dem Aufnahmegerät und das denkt hey ok etwas verhält sich komisch.

00:15:18: lass uns Zeit investieren nachzuschauen Was ist genau, was das jetzt aufgelöst hat?

00:15:25: Also nicht davon ausgehen.

00:15:26: Ja es kann mal passieren und da lohnt es sich meist an die Zeit zu investieren.

00:15:31: Vielleicht investiert man vier-fünfmal Zeit in etwas, dass nichts ist aber beim sechsten Mal kann man dann enorm viel Aufwand sparen wenn man so frühzeitig entdeckt.

00:15:40: Da stimmt jetzt wirklich etwas nicht.

00:15:42: Ich habe ein bisschen die Frühwarnsignale ernst nehmen.

00:15:47: Du hast vorhin gesagt KI wird vermehrt genutzt und durch das wird es auch schneller.

00:15:54: Ich habe mal irgendwo gelesen, heute wenn du an Fishing Mail klickst, drei Sekunden, fünf Minuten später wird schon drauf zugegriffen.

00:16:04: Sind das solche Dinge die du meinst?

00:16:07: Ja jetzt in diesem Fall müsste man schauen wer genau auf was zugegriffen hat.

00:16:12: Wenn du die Credentials rausgibst, dass getestet wird ob sie auch funktionieren

00:16:17: Ja, das

00:16:17: kann ich auch.

00:16:19: Ja, ich glaube das ist schon hoch automatisiert auch Scanner die üblicherweise testen.

00:16:24: also wir machen teilweise bei uns auch so Versuche wo man wieder mal einen Honigpot ins Netz stellt mit Standart was werden und schaut wie schnell dass sie dann tatsächlich gehackt sind.

00:16:34: Und es ist schon oft in Sekunden oder sehr wenigen Minuten wo dann die ersten Zugriffe und es ist dann oft nicht nur einer dann sprechen stattfinden.

00:16:42: Also dort hat der Speed wie gesagt extrem zugenommen.

00:16:47: ja muss ja dann nicht immer ein Manu zugegriff sein?

00:16:50: schon, wo man etwas prüft und kann einfach die Überprüfung sein.

00:16:52: Sind wir da wirklich drin?

00:16:55: Funktioniert der Zugriff grundsätzlich

00:16:56: oder nicht?

00:16:59: Beim Vorbereiten hatte ich noch eine Frage, die ich mir notiert habe.

00:17:04: Das ist das Bezahlen!

00:17:06: Wir wachen jetzt keine Diskussion über Sinn- und Unsinn von bezahlen, dass wieder eine eigene Folge ergeben.

00:17:14: So aus deiner Erfahrung gibt es in der Schweiz viele Firmen, die wirklich bezahlen.

00:17:20: Ja, meine persönlichen Meinung nach sollte man das bezahlen immer als Option mitdenken.

00:17:27: Das heißt nicht dass man bezahlen muss oder soll.

00:17:30: Grundsätzlich ist auch davon abzuraten.

00:17:32: aber ja es gibt in der Schweiz immer noch eine relativ hohe Anzahl von Unternehmen die auch bezahlen.

00:17:41: Es gab ja vor kurzem, ich weiß nicht ob es gesehen hast, Schweizer Fernsehne-Dokumentation über ein Unternehmen das gehackt wurde.

00:17:49: Und da ging sie dem ganzen Nach und da wurden mehrere Millionen bezahlt.

00:17:54: Das ist eher schon die Ausnahme auch in der Schweiz.

00:17:59: Hast du nicht auch das Gefühl wenn ich bezahle unterstütze dieses Businessmodell?

00:18:06: Ja, ein bisschen ist das so.

00:18:09: Natürlich bezahlt man Geld, dass die Täterschaften auch weiterhin unterstützt.

00:18:15: Die haben ihren Business aufgezogen und leben davon.

00:18:20: Grundsätzlich, denke ich, darf man dort ein bisschen egoistisch sein.

00:18:22: Muss sich überlegen was heißt es für mein Unternehmen?

00:18:27: Weil das Unternehmen die eigenen Mitarbeitenden sollten höchste Priorität haben.

00:18:31: und wenn man irgendwann mal in solche Fälle gibt ist zum Punktkontext die Geschäftsführung kann nicht fortgesetzt werden wir können nicht mehr produzieren.

00:18:40: was dann heißt ja unter dem Mitarbeitende stehen auf der Straße, dann ist es durchaus legitim sich darüber Gedanken zu machen.

00:18:49: ja was heißt?

00:18:50: das gleiches gilt bei Rufschädigung.

00:18:52: also wenn ein Unternehmen vielleicht nicht mal böswillig opfer wird.

00:18:55: Nicht weil sie irgendetwas vernachlässigt haben oder was auch immer gibt da verschiedene Möglichkeiten, so etwas passieren kann.

00:19:02: Und die Rufschaden wäre so groß, dass sie den Betrieb einstellen müssen.

00:19:07: Dann denke ich und das ist das was ich meine sollte immer als Option mitgedacht werden.

00:19:11: Das heißt nach lange nicht, dass man es macht.

00:19:14: Aber einen Fall kann sich so oder so entwickeln und wenn man irgendwann mal zum Schluss kommt dann darf man durchaus... auch so egoistisch sein zu sagen, hey unser eigenes Unternehmen das wir über die letzten hundert Jahre aufgebaut haben ist jetzt wichtiger und am Leben zu erhalten als die durchaus berechtigte etische Komponente von ja was für ein Geschäftsmodell unterstützen wir.

00:19:38: Ich finde ich ein sehr gutes Argument.

00:19:41: Ich habe letztendlich gehört dass heute kein Angriff mehr stattfindet ohne Datentiebstahl.

00:19:49: bemerkst du sowas auch bei euren Untersuchungen?

00:19:54: Ja, ich glaube es ist... schon das typische Operation-Model, dass Daten gestohlen werden.

00:20:01: Was teilweise aufgehört hat ist, dass man verschlüsselt weil dann weiß das Opferhalt, was jetzt etwas passiert ist.

00:20:07: Oft geschieht vorhin noch das Teilen von Credentials im Darknet also dass man sagt hey wir haben alles erreicht Wir verkaufen den Zugang zu diesem Unternehmen noch pro Gigabyte Datum oder pro Stunde die du zugreifst fällt ein Betrag an.

00:20:25: genügend ausgereizt wurde und dann verkauft man den Zugang noch zum Verschlüsseln.

00:20:29: Also da gibt es verschiedene Möglichkeiten.

00:20:32: Manchmal kann es sein, dass man die Früh waren, Signale erkennt und noch keine Daten abgezogen wurden.

00:20:39: Was wir auch schon erlebt haben ist das wir in dem Kotak getreten sind mit der Täterschaft um über die Ransom zu diskutieren, zu schauen okay gut was haben sie wirklich?

00:20:53: Wie viel Geld wollen Sie wirklich?

00:20:54: Weil das kann man ja auch drastisch reduzieren.

00:20:59: Und dann ist die Antwort zurückgekommen, sorry guys we have no time for you.

00:21:04: There are too many victims.

00:21:06: Also

00:21:06: wo du

00:21:07: da stehst und dir denkst okay gut sind wir wenigstens nicht die einzigen oder unser Gute.

00:21:12: Wo dann halt einfach auch Fachkräfte machen sag ich jetzt mal aufseiten der Täterschaft war Dann kriegt man halt keine Antwort Ja und das ist dann das andere vielleicht auch einfach keine Zeit war, die Daten zu stellen.

00:21:28: Noch eine letzte Frage wenn du so zurück denkst was war einer der spannendsten Fälle den ihr hattet?

00:21:41: Ja, für mich gibt es einige.

00:21:43: Jetzt muss ich schauen, dass wir die anonymisiert kriegen.

00:21:48: Es kommt immer darauf an, von welcher Perspektive man das Ganze ausschaut.

00:21:52: Schon

00:21:53: aus Forensikersicht?

00:21:54: Genau!

00:21:55: Insidentmanagementperspektive gab's einige Fälle, die wir betreuen durften von wirklich größeren Unternehmen wo es dann wirklich auch Entscheidende gibt... gefällt werden müssen, die eine relativ hohe Tragweite haben oder hätten.

00:22:12: Es gab auch Fälle bei kritischen Unternehmen, also Unternehmenskritischer Infrastruktur.

00:22:21: wir froh waren, dass die Täter nicht gemerkt haben wo sie eigentlich wirklich sind.

00:22:26: Weil dann hätte man anders agieren können.

00:22:30: da merkt man dann das bis heute eigentlich das immer noch ein Mastengeschäft ist und nicht ein gezieltes Vorgehen.

00:22:36: wenn jetzt Ransomer haben.

00:22:38: aber so für mich persönlich der spannendste Fall wo ich involviert war da ging es tatsächlich darum das war eine internationale Holding Und dort war dir verdacht da, dass geheim eingestufte Daten entwendet wurden aus verschiedenen Gründen.

00:23:00: Da kann ich jetzt nicht davon aus was dort an der Plan war und der Verdacht lag unter anderem auf Führungspersonen in Reitzi.

00:23:09: Und da muss man sich sehr gut überlegen, wie kommen wir jetzt im laufenden Geschäft quasi an die... Beweise heran, dass man den Verdacht auf erhärten kann um dann auffällige Maßnahmen zu ergreifen.

00:23:26: Und das war schon so wie eine James Bond-Szenario oder wo man sich Gedanken machen muss und das am Schluss ist sehr spannend.

00:23:36: Super!

00:23:37: Danke vielmals, dass du dir die Zeit genommen hast.

00:23:40: Sehr spannende Eindrücke aus deinem Alltag.

00:23:43: Ich denke uns beiden wird es nicht langweilig.

00:23:45: Nein, das glaube ich nicht.

00:23:47: Trotzdem hast du Zeit zu viel Werbung darauf sein einen Buch zu schreiben.

00:23:50: Herzliche Gratulation dazu und ich bin dann froh werde sicherlich auch reinlesen und gratuliere dir herzlich dazu!

00:23:58: Danke vielmals!

00:23:58: Schön!

00:24:00: Jan, danke dass du auch mit dabei warst.

00:24:04: wenn du noch Fragen hast sehr gerne nutze die Möglichkeit.

00:24:07: ich leite sie dann an Tobias weiter und ich freue mich auf das nächste Mal.

00:24:12: und dir herzlichen Dank Tobias!

00:24:28: Tschüss!

00:24:35: gibt's in den nächsten Folgen mit Andreas Wiesler und Sandrum Müller.

00:24:39: Abonniere jetzt den Podcast!

00:24:42: Weitere Updates & Tipps auf gosecurity.ch.