.jpg)
Cybersecurity Basement – der Podcast für echten Security-Content
Herzlich Willkommen im Cybersecurity Basement. In unserem Podcast spricht Michael Döhmen alle 14 Tage mit spannenden Gästen über Themen aus dem Bereich Cybersecurity. Dabei legen wir großen Wert auf Objektivität gelegt. Kein suresecure-Feature-Fucking, sondern ein seriöser, authentischer und ehrlicher Austausch aus Theorie und Praxis.
Der Podcast richtet sich an IT- und Security-Entscheider und alle, die es mal werden wollen. Hier gibts kein Blabla, sondern Security als Handwerk. Ehrlich auf den Tisch. Dabei übersetzen die Protagonisten Security in Business-Sprache und umgekehrt.
Zudem werden auch Gäste eingeladen, um andere Blickwinkel oder auch Kundenstimmen einzufangen. So geht es noch mehr in die Praxis und der Podcast bewegt sich auf Augenhöhe mit dem Zielpublikum.
Cybersecurity Basement – der Podcast für echten Security-Content
Security Overengineering im Unternehmen: Wenn zu viele Security Tools zum Risiko werden
Use Left/Right to seek, Home/End to jump to start or end. Hold shift to jump forward or backward.
Viele Unternehmen investieren kontinuierlich in neue Security Lösungen. Neue Tools versprechen mehr Sichtbarkeit, bessere Erkennung und stärkeren Schutz. Doch irgendwann stellt sich eine entscheidende Frage: Wann wird Cybersecurity überengineered?
In dieser Folge von Cybersecurity Basement sprechen Michael und Andreas über ein Phänomen, das in vielen Organisationen Realität ist: überladene Security Stacks mit dutzenden Tools, die kaum noch beherrschbar sind. Studien zeigen, dass große Unternehmen im Schnitt über 80 Security Lösungen parallel betreiben. Doch mehr Technologie bedeutet nicht automatisch mehr Sicherheit.
Gemeinsam diskutieren sie, warum Security Tool Landschaften oft schneller wachsen als die operative Reife der Organisation, welche Risiken ein unkontrollierter Tool-Stack mit sich bringt und warum Prozesse, Verantwortlichkeiten und Ressourcen oft der eigentliche Engpass sind.
Wir freuen uns auf dein Feedback!
Möchtest du mehr über unseren Podcast wissen? Dann wirf einen Blick in unser Media Kit. Dort findest du alles Wichtige:
Cybersecurity Basement - Media Kit
Du findest uns auch auf:
(2) suresecure GmbH: Ihr Unternehmen | LinkedIn
@suresecure_de • Instagram-Fotos und -Videos
suresecure (@suresecure_de) | TikTok
Michael: Herzlich willkommen zu einer neuen Ausgabe von Cybersecurity Basement, dem Podcast für echten Security Content. Heute wollen wir sprechen über das Thema Security Overengineering. Das klingt ein bisschen sperrig, meint aber: Gibt es eigentlich den Punkt, wann ich zu viele Security Tools im Einsatz habe? Was ist ein gesundes Maß? Greife ich besser auf eine Plattform zurück oder setze ich auf Best of Breed?
Michael: Über diese Dinge wollen wir heute sprechen und ich habe mir einen bekannten Gast eingeladen, mittlerweile wieder Stammgast bei uns im Podcast. Ich sag Hallo, herzlich willkommen, Andreas Papadaniil.
Andreas: Ja, danke, dass ich regelmäßig hier sein darf. Es ist mir eine Ehre und Freude zugleich.
Michael: Wow. Zu viel der Ehre. Zu viel der Ehre. Ja, lass uns gerne auch direkt mit unserem Topic starten. Eine Einstiegsfrage: Was glaubst du, wie viele Security Tools hat eine große Organisation parallel im Einsatz? Da gibt es tatsächlich eine Studie von IBM und das würde mich mal interessieren, wie nah du an dem Wert der Studie dran bist.
Michael: Was würdest du schätzen? Also ich spreche von großen Organisationen.
Andreas: Ja, es kommt auch sicherlich darauf an, was man alles darunter versteht. Aber ich würde jetzt mal grob zwischen 20 und 40 schätzen.
Michael: Okay, 83.
Andreas: Hallelujah.
Michael: 83 ist im Durchschnitt die Nummer an Security Solutions, die innerhalb großer Organisationen, zumindest die, die Teil dieser Studie sind, von insgesamt 1000 Firmen da im Einsatz haben. 83 Stück. Und da kann man sich jetzt schon vorstellen, die zu managen, ist vielleicht nicht so einfach, am Ende des Tages führbar.
Andreas: Führbar. Kann ich dir ein Lied von singen. 50 Jahre lang tun?
Michael: Muss jahrelang tun.
Andreas: Hast du dir jetzt gerade vorgestellt, wie ich ein Lied singe?
Michael: Und wie du 83 Security Tools händelst zum Beispiel, habe ich mir gerade vorgestellt. Ja, so ein Wesen.
Andreas: Das mit zwei Händen.
Michael: Diese sakralen.
Andreas: Agenten dieser Zeit.
Michael: Krake mit acht Armen an verschiedenen Computern gleichzeitig. Gibt es denn einen kausalen Zusammenhang zwischen mehr Security Tools? Erhöhen automatisch auch die Sicherheit?
Andreas: Würde ich jetzt nicht so unterschreiben. Nein, es kommt immer darauf an. Du musst aber natürlich erst mal verstehen: Was sind denn deine Problemfelder, sage ich jetzt mal, für die du Tools benötigst? Du musst überlegen, wie viele Ressourcen habe ich für das Operating, um das Ganze betreiben zu können? Und deswegen ist es von Organisation zu Organisation so ein bisschen unterschiedlich, wie viele Tools du da so machen kannst.
Andreas: Aber im Grunde genommen kann man das nicht automatisch sagen. Ich habe halt auch viel gesehen in the wild, weil es ist relativ einfach, ein Tool einzukaufen. Das ist eine Unterschrift. Du bestellst das Ganze, kriegst eine Lizenz ausgeliefert. Es ist auch noch einfach, das Tool zu installieren. Das macht wahrscheinlich schon in der Regel ein Dienstleister, der setzt den Management Server auf und macht dir auch so eine Grundeinstellung nach Best Practices.
Andreas: Best Practice heißt aber auch immer: funktioniert für die meisten ganz gut. Heißt nicht unbedingt, funktioniert für dich ganz gut. Und dann bist du eigentlich so auf dich alleine gestellt im Tagesbetrieb, dass du dann das Tool so auf dich einstellst. Also gute Consultants helfen dir noch so ein bisschen, stellen dir Fragen und sagen: ja, in die Richtung, in die Richtung, und stellen es dir vor.
Andreas: Aber dann bist du so auf dich gestellt. Und dann erlebe ich oft, wenn ich ein Jahr später wieder ins Unternehmen gekommen bin, um dann Updates zu installieren, dass viele Settings und viele Sachen einfach noch so sind, wie sie sie verlassen haben, weil da nicht mehr viel Zeit mit verbracht wurde. Und wenn man erst mal sagt, durchschnittlich in diesen Großorganisationen hast du vielleicht zwei bis drei Security, also technische Security Leute, die solche Tools bedienen, aber 80 Tools, da kannst du dir ausrechnen, wie viel Zeit in der Woche bleibt, um diese Tools zu bedienen.
Andreas: Und in der Regel müssen die ja noch eine ganze Menge andere Sachen machen, wie Weiterentwicklung der Security oder dann kommen irgendwelche Anfragen: Hallo, ich habe hier ein Virus, vielleicht möglicherweise noch eine verdächtige E Mail, kannst dir das mal angucken, pipapo. Also das ist eine Menge mit dabei und man kann sich vorstellen, wie viel Zeit dann für die Tools überbleibt und parallel noch andere Sachen, die man machen kann, nämlich einfach auch eine gehärtete Infrastruktur fahren, als Beispiel.
Michael: Da kommen wir gleich noch zu. Jetzt noch was du sagst, denn jedes Tool, was ich mir einkaufe, hat ja quasi den Anspruch, auch etwas zu finden oder etwas zu tun, etwas zu machen, und spuckt dann quasi ein Ergebnis aus. Also wenn ich 83 Tools habe, bekomme ich auch irgendwie 83, was auch immer, Meldungen, Dinge, mit denen ich umgehen muss.
Michael: Da sagst du ja ganz richtig: Ja, das muss erst mal irgendwie gemacht werden. Ansonsten bleiben halt auch ganz viele Dinge, und das sehen wir leider auch immer wieder, liegen und werden einfach nicht berücksichtigt.
Andreas: Und das ist jetzt so erklärt, Erkennung. Jetzt denk mal dran, die meisten Tools, die gekauft werden, die haben ja irgendwie den Zweck, Prevention zu machen, also etwas zu unterbinden. Eine Firewall scannt deinen Datenverkehr, soll dann anhand des Regelwerks entscheiden, welcher Verkehr ist zugelassen und welcher nicht. Der Virenscanner guckt sich Dateien an und soll anhand von Patterns entscheiden, welche Datei ist okay, welche nicht.
Andreas: Und zu 100 Prozent wird es dazu kommen, dass irgendwas blockiert wird, was eigentlich okay ist, wo dein Tool gesagt hat, ist bösartig. So ein Volkssport, wie man das nennt. Und dann ist halt der Mensch gefordert, der sich das anguckt und analysiert und das Regelwerk so anpasst, dass es wieder geht. Und das alleine nimmt einen hohen Zeitaufwand mit sich, das ganze Tagesgeschäft am Laufen zu halten.
Michael: Ich saß letztens beim Friseur, hier beim lokalen Barber, hab darauf gewartet, dass ich drankomme. Da war ein Bekannter, der saß da auch. Wir haben dann angefangen, so zu sprechen. Wie läuft es bei dir, was ist los bei mir? Und dann haben wir auch über Security gesprochen, tatsächlich. Er ist eher ITler, also Techniker, und hat mir dann von einer Geschichte erzählt bei einem Großunternehmen, wo er gearbeitet hat, wo die Security Lösung am Ende wieder ausgebaut wurde, weil die Security Lösung das höhere Risiko war, als diese Lösung nicht zu haben. Also wenn man Security Lösungen halt einfach nur einsetzt, aber die Zusammenhänge, wie diese beschrieben, halt nicht erkennt, dann können so Security Lösungen ja auch, sage ich mal, produktive Prozesse behindern. Ja, und dann ist natürlich am Ende gar nichts gewonnen.
Michael: In dem Punkt wird Security dann ja irgendwie gar nicht mehr produktiv, sondern eben kontraproduktiv. Ja, ist dann kein Ablauf, sondern eine Barriere im Unternehmen. Und dafür finde ich es natürlich auch schwer, eine Lobby. Was glaubst du denn? Da wollte ich daran anknüpfen, weil du es eben schon skizziert hattest. Warum ist immer das Gefühl da, dass die Tool Stack Landschaft im Unternehmen schneller wächst als die eigentlich operative Reife?
Michael: Also will sagen: Ich habe ein Tool, keine Ahnung, das spuckt mehr als 2000 Leads am Tag aus. Bevor ich aber ein System entwickelt habe, wie ich diese 2000 Leads vernünftig handle, habe ich schon das zweite und dritte Tool und packe quasi immer mehr auf diesen Berg drauf. Stellt man sich vielleicht die falschen Fragen oder woran glaubst du liegt es?
Andreas: Erstens eine schnelle Lösung und dann hat man auch noch ein gutes Marketing und sieht diese Sache. Unser Board, das ist ja top. Also das ist genau, was wir brauchen. Und du packst eine Softwarelösung obendrauf. Und ich meine, wir sind ja auch Reseller von Software. Nehmen wir jetzt mal so ein Beispiel: Schwachstellen Scanner gibt es schon ewig, ewig lang und sollte aus meiner Sicht auch zum ABC der Cybersecurity gehören. Du musst regelmäßig dein Netzwerk auf Software Schwachstellen scannen.
Andreas: Was jetzt aber passiert ist: Der Software Schwachstellen Scanner wird gekauft. Der Consultant richtet dir dann auch noch einen Job ein, dass du sagst, einmal die Woche läuft es hier durch, dann kriege ich meinen Report und er wird dann an die E Mail Adresse Support an so und so geschickt.
Andreas: Und dann habe ich einmal die Woche meinen Scan und arbeite mich daran durch. Was du da erlebst ist, dass diese Reports einfach nicht mehr angeguckt werden, sie gar nicht angeguckt werden oder dass sie nicht verstanden werden. Weil eigentlich muss ich jetzt diese Reports hernehmen und dann brauchst du so eine Art Projektmanager, der sagt: Okay, ich hab hier eine Applikation im Unternehmen, die hat zwölf Schwachstellen, die super hoch und kritisch sind und die müssen jetzt gefixt werden. Und dann muss ich auf den Application Owner zugehen, der für die Applikation verantwortlich ist, und sagen: Hör mal zu, die müssen jetzt gefixt werden.
Andreas: Und dann wird er sagen: Oh nein, das geht aber nicht, weil dies, weil das, weil da ist, da muss man das durcharbeiten und ich habe ja keine Downtime, wann soll ich denn den Rechner neu starten? Und dann kommen 1000 Ausreden. Und dann muss man irgendwo einen Weg finden und sagen: Dann und dann können wir es machen. Vielleicht nicht morgen, aber in zehn Tagen. Da haben wir ein Fenster und regeln das Ganze, managen das Projektmanagement Schwachstellenmanagement. Man managt das ganze Thema, bis es erledigt ist. Das findet echt sehr selten statt, weswegen auch gerade diese Applikationen mit hohen Abhängigkeiten oder auch kritischen Assets nur in der Produktion, 24 mal sieben, eben auch nie gepatcht werden.
Andreas: Und jetzt kommt dann ein neuer Hersteller, paar Jahre später, mega geiler Hersteller übrigens, Pentera, die machen das Thema automatisierte Tests. Super geile Idee. Wenn aber deine Organisation nicht die Reife besitzt und nicht in der Lage ist, deine Schwachstellen zu managen und zu beheben, und du sagst dann: Ich mache ja auch Pentesting und das macht jetzt automatisiertes Testing, das ist viel effizienter und ich kann das jeden Tag, keine Ahnung wie oft, über alle meine Standorte und habe dann immer super geile Testergebnisse. Und ich sehe nicht nur Schwachstellen, die auf meinen Applikationen sind, sondern ich sehe auch direkt: Bin ich in der Realität angreifbar und ich kann reale Angriffsszenarien nehmen und auf meine Umgebung fahren. Das ist aber ein tolles Tool.
Andreas: Du kaufst das, du installierst das. Du kriegst erst mal einen Bericht von Pentera und du sagst: Wow, der Hammer. Jetzt stehst du aber eigentlich da, wo du schon gestanden hast. Nur dass du zwei Tools hast, die dir sagen, du hast offene Schwachstellen, hast aber immer noch keinen vernünftigen Prozess, deine Schwachstellen zu managen und zu reduzieren. Und damit hast du Schwachstellen und eine Lösung, die dir Woche für Woche sagen: Du hast noch mehr Schwachstellen, du hast noch mehr Schwachstellen.
Andreas: Und was die meisten relativ gut machen, sind die, ich habe mal so Microsoft Schwachstellen, weil das so ein früherer WSUS Server, ich weiß nicht, ob es das noch gibt, aber das Update Server Central, du hast eine Windows Domäne und kannst relativ easy automatisiert Patches in deiner Umgebung ausrollen. Das ist alles, was da so Microsoft Standardapplikationen sind, kannst du relativ easy damit patchen, aber dann kommst du so auf Oracle Datenbanken, SQL Datenbanken und so spezielle Anwendungsszenarien, wo es ein bisschen tricky wird, die du nicht mal eben so abdecken kannst.
Andreas: Und die bleiben dann sehr lange Tage. Oder auch das Thema, für die es eben gar keine Updates mehr gibt, weil du noch Windows XP im Einsatz hast und so weiter. Und jetzt hast du zwei Tools, die dir immer wieder sagen: mehr Schwachstellen, mehr Schwachstellen, mehr Schwachstellen. Welchen Gewinn hast du?
Michael: Da wird es gerne zu einem Thema, was man weglegt, zur Seite legt. Na, ich kann's eh nicht bearbeiten. Erst mal irgendwo hin, wo ich es nicht jeden Tag sehe. Ich verstehe schon, dass die dann auch eine Organisation einfach überfordern können an der Stelle. Wann werden denn überhaupt Security Tools angeschafft? Oder was man ja seltener tut, man schafft Security Tools ab, zum Beispiel die CrowdStrike Thematik, die wir hatten. Ich weiß gar nicht, wie lange es schon wieder her ist. Das hat ja jetzt auch nicht dazu geführt, dass viele Unternehmen gesagt haben: Na ja, jetzt schmeiß ich das aber raus.
Michael: Also lass vielleicht erst darüber sprechen: Wann werden Security Tools in der Regel angeschafft? Was gibt es dafür für Use Cases? Und wann würde es vielleicht auch Sinn machen, einfach mal wieder abzuschaffen? Starten wir mit dem ersten Part.
Andreas: Ja, also es gibt natürlich auch so ein ABC an Security Tools, wo keiner mehr diskutiert, wo man sagt, das ist Grundvoraussetzung, um eine IT sicher betreiben zu müssen oder zu wollen. Das sind Firewalls zum Beispiel, das sind Virenscanner, wo keiner mehr drüber diskutiert, dass das so sein muss. Da sagt auch keiner: Ich habe schon eine bestimmte Lösung, ich brauche keinen Anschnallgurt in meinem Auto, den brauchen wir auch nicht auf meinen Desktop PCs. Ist doch logisch.
Andreas: Und da ist eher die Frage der Wechsel. Neue Technologien kommen auf den Markt, neue Hersteller kommen auf den Markt, der Markt verändert sich. Man sagt, ich wechsle jetzt zu einem anderen, weil er einen besseren Preis für mich hat oder eine bessere Lösung für meine Infrastruktur hat. Und dann gibt es noch mal dieses Thema innovative Lösungen. Es kommt eine Security Lösung auf den Markt, die ein Problem löst, was bisher noch nicht gelöst werden konnte oder ein Feld besetzt.
Andreas: Ich sage mal, automatisiertes Testing ist auch nicht für jeden was, braucht auch nicht unbedingt jeder. Ist für mich zum Beispiel interessant, wenn ich jetzt im Konzern bin mit 20 Niederlassungen und ich möchte weltweit immer wieder alles testen, automatisierter. Da habe ich einen Hebel, das ist ein super Ding. Wenn ich jetzt eine 100 Mann Firma bin mit einem Standort, dann reicht es mir vielleicht aus, einmal im Jahr einen Tester vorbeikommen zu lassen. Da kann ich mit dem Dienstleister so arbeiten. Da habe ich jetzt nicht den riesigen Gewinn durch die Software vielleicht. Und das muss man halt abwägen.
Andreas: Aber es gibt immer wieder Lösungen, die auf den Markt kommen, die etwas tun, was kein anderer tut oder besonders gut tun. Axonius zum Beispiel ist eine Lösung, die Asset Management macht, aber aus meiner Sicht besser als viele bestehende Lösungen. Und dann siehst du halt das Tool: Das löst mir mein Problem, was mein bestehendes Asset Management mir nicht löst. Oder ich habe vielleicht noch gar keins, weil ich mit der Excel Tabelle arbeite, und dann werden diese Tools eingeführt.
Andreas: Aber bitte auch immer mit einer Testphase. Ich sage mal, gerade bei einem Virenscanner ist das eigentlich das Schlimmste, was du tun kannst: einen Virenscanner nicht zu testen und auf deine Umgebung loszulassen. Gerade wenn du selbstgeschriebene Applikationen hast oder sehr spezielle Applikationen. Kann eben sein, dass der Virenscanner, der bisher nie ein Problem damit hatte, jetzt aber ein neuer mit einer anderen Engine und einer anderen Erkennungsmechanik auf einmal sagt: Deine Applikation hier ist bösartig. Und der schießt ja dazwischen. Da kannst du Probleme bekommen. Also immer schön testen lassen. Und das sind dann schon auch wieder Gründe, die zur Ausführung führen.
Andreas: Du holst dir ein Security Tool, was du nicht ausreichend in deiner Umgebung getestet hast, und du merkst plötzlich, es ist gar nicht praktikabel für deine Architektur, auf deiner Applikationsbasis. Es funktioniert so nicht bei dir, wie es im Werbeversprechen vielleicht war. Und solche Fälle können immer stattfinden.
Michael: Also haben wir: Ich habe einen ungedeckten Bedarf oder Use Case, wofür ich aktuell noch keine Lösung habe. Ich habe den Fall, dass ich mir eine Alternative einkaufen will, weil vielleicht Pricing nicht mehr passend ist oder aber auch die Lösung veraltet oder gefühlt veraltet. Ich hätte noch das Thema regulatorisch, wenn mich quasi eine Richtlinie dazu bringt, etwas tun zu müssen und ich habe dafür eben nichts. Okay, bin ich eigentlich auch beim ungedeckten Bedarf. Aber es ist eben getrieben von extern, nicht von intern.
Michael: Und mir fällt noch ein, das Thema Inzidenz, wo es glaube ich ja schon so ist, dass ich eine reaktive Kaufentscheidung habe nach einem Vorfall, weil dann eben sehr transparent Schwachstellen offengelegt wurden durch extern und ich dann natürlich auch gefordert bin, teilweise durch den Vorstand, wie auch immer, dass ich nachbessern muss.
Andreas: Ja, definitiv. Es kann sein. Eben was auch relevant ist: Diese Security Tools, die entwickeln sich ständig auch weiter. Also die Hersteller bringen dann neue Versionen, neue Lizensierung, neue Paketierungen raus und natürlich ist man dann als Endkunde nicht immer auf dem aktuellsten Stand quasi. Und das haben wir auch erlebt, dass es von einem Sicherheitsvorfall kommt und es gab dann mittlerweile schon acht neue Funktionen der Software, die aber nicht nachlizensiert wurden, wo keiner aufgeklärt hat und wo man sagen müsste: Mit der Aktivierung dieser ganzen Funktionen wäre es gar nicht zu diesem Sicherheitsvorfall gekommen.
Andreas: Der Kunde wusste es aber einfach auch nicht. Das ist wieder das Thema, auch operativer Betrieb. Er ist auch schlecht beraten, weil du als Partnerunternehmen vielleicht noch mal sagen solltest: Hallo, es gibt neue Funktionen, neues Update und musst du das nicht mal einspielen, damit du sicherer bist? Aber auf der anderen Seite auch Operating, weil wenn du als Dienstleister dann verkauft hast und die Software installiert hast und du hast keinen Managed Service Vertrag, dann ist der Endkunde auch verantwortlich, das Ganze zu betreiben. Und dann musst du auch Personal vorhalten, das, wenn Updates rauskommen, sich damit auseinandersetzt. Was ist denn da drin? Was gibt es für neue Funktionen? Was muss ich vielleicht aktivieren? Das Ganze zu testen, wie sich das verhält an den neuen Funktionen.
Andreas: Und wenn du natürlich einen Hersteller hast, wo keine Weiterentwicklung mehr stattfindet und er diese neuen Funktionalitäten gar nicht mit sich bringen kann, dann ist auch ziemlich klar: Okay, das macht ja keinen Sinn, da muss ich auf einen anderen Hersteller wechseln.
Michael: Das mit den Funktionen finde ich auch ganz spannend, dass du das ansprichst. Also wir haben ja eben schon über das Thema der Überforderung gesprochen. Ich glaube, früher, als die ganzen Lösungen noch on prem waren, wurde man besser begleitet, was Updates oder Upgrades der Lösung angeht. Dann gab es, glaube ich, immer auch ein paar fest geplante Beratungstage. Wie verhalten sich die neuen Funktionen? Worauf hat das Einfluss? Da wurde noch mehr gecoacht.
Michael: Und man kennt es ja von sich selber. Du hast irgendwann eine gewisse Art und Weise entwickelt, wie du zum Beispiel mit dem Betriebssystem Microsoft umgehst. Und auch Microsoft bringt ja dann irgendwie Feature hier, Feature da, Copilot hier und dies und jenes und du kommst gar nicht hinterher, das alles zu nutzen. Aber beim Betriebssystem, klar, kannst du vielleicht eine Arbeitsweise effizienter gestalten, aber es ist nicht so kritisch. Bei Security Tools ist ja, glaube ich, noch mal was anderes. Wenn neue Funktionen da sind, dann sollte man zumindest wissen, was die tun.
Michael: So ein Gespür dafür vielleicht in Prozent, weil Lösungen werden ja immer komplexer. Jetzt bauen sie auch überall noch AI ein und keiner weiß: Was macht eigentlich AI jetzt in dieser Lösung? Wie viel Prozent der möglichen Funktionen werden denn eigentlich tatsächlich genutzt? Grober Daumen oder schwer zu sagen.
Andreas: Ist schwer zu sagen. Vielleicht, also in den Fällen, wo ich, aber wir haben auch einen Hersteller gehabt, der sehr viel, also auch im Endpoint Security Bereich, sehr viel umsetzen konnte, was dem Kunden meist gar nicht bewusst war. Wir haben da richtig viel rausholen können. Sagen wir, vielleicht 50 Prozent des Funktionsumfangs wurde genutzt. Weil du musst auch überlegen, gerade die Funktionalitäten, die dich sicherer machen, aber sehr scharf geschaltet sind, auch deine Produktivität einschränken könnten, das sind die Sachen, die standardmäßig natürlich nicht aktiviert sind und die nur mit einem speziell angepassten Regelwerk auch zu aktivieren sind.
Andreas: Das heißt, wenn der Hersteller dir auch im Marketing out of the box Experience verspricht, installierst du die Software, läuft alles von alleine, nee, du musst auf jeden Fall noch nachjustieren und anpassen. Und das findet dann oft nicht statt, auch vielleicht aus Sorge vor der Konsequenz. Wenn ich das jetzt aktiviere, kann das vielleicht meinen Rechner langsamer machen. Und was da wirklich viele verschiedene, also noch mal konkret zu benennen, so eine Endpoint Security heute, die hat den Virenscanner, eine Sache, die macht Reputationsservices. Also da kommt eine Datei oder eine Webseite wird aufgerufen und dann geht ein externer Aufruf an eine Datenbank raus, um zu sagen: Ist es gut oder ist es böse beispielsweise, zusätzlich reputationsbasiert.
Andreas: Dann haben wir Thema maschinelles Lernen oder Heuristik. Ich gucke mir an, wie die Datei sich verhält. Dann habe ich das Thema Sandboxing. Ich schicke die Datei in die Sandbox weg, warte auf die Analyse, gibt dann eine Rückmeldung. Dann habe ich Device Control, wo es heißt, USB Stick erlaubt, nicht erlaubt. Dann habe ich DLP Komponenten, wo ich mir angucke, sind sensible Daten in Dokumenten drin, darf das auf den USB Stick oder nicht? Dann ist da drin zack, zack, zack und plötzlich bist du bei zehn Funktionalitäten.
Andreas: Und teilweise im Hintergrund auf der Maschine arbeiten drei, vier verschiedene Agenten, weil Teile dieser Sachen wurden eigenentwickelt, Teile wurden aber aufgekauft, auch von einem anderen Hersteller, dann irgendwie mit eingebaut. Und du hast nach vorne, in deinem PC hast du unten rechts ein Icon von einem Hersteller, aber eigentlich laufen drei, vier verschiedene Agenten, verschiedene Technologien, die auch gegenseitig sich mit beeinflussen auf deinem System.
Andreas: Und wenn das alles nicht richtig eingestellt ist, sei es vom Hersteller oder in der Konfiguration bei dir, dann kann es auch dein System in die Knie zwingen. Gleiches gilt für Firewalls, die mittlerweile ja auch UTM heißen, Unified Threat Management, wo es eine Firewall, eine Firewall soll eigentlich nur Datenverkehr scannen, Pakete scannen und einem Regelwerk sagen: Das lasse ich durch, das lasse ich nicht durch. Jetzt soll so eine Firewall aber auch noch Identity Management machen, dass man herausfindet, welcher Benutzer ist denn da gerade unterwegs in diesen Datenpaketen. Jetzt kann ich gleich 10.000 Sachen aufzählen, die da passieren, und je mehr du davon auch aktivierst, umso mehr geht die Performance runter.
Andreas: Und gerade diese Sachen richtig fein zu justieren und einzustellen, brauchst du eigentlich gute Consultants, die am laufenden Band nichts anderes machen und das für dich übernehmen oder eigenes Personal, das das tut. Aber wie gesagt, da sehe ich bei 80 Tools und drei Mitarbeitenden in deinem Unternehmen, es ist kaum möglich, in diese Tiefe zu kommen.
Michael: Gute Überleitung zum nächsten Punkt. Habe ich im Intro schon gesagt: Plattform was versus Best of Breed. Ich meine, die Diskussion ist ja auch keine neue. Wobei man aber auch sagen muss, dass sich diese Plattformen natürlich in den letzten drei, vier Jahren noch mal gefühlt sehr, sehr stark in die Breite gestreckt haben. Wie siehst du das? Wann ist eine Plattform vielleicht doch sehr sinnvoll, wann ist aber eine Plattform vielleicht auch nicht so sinnvoll oder gar gefährlich? Welchen Ansatz bevorzugst du ganz persönlich, Andreas?
Andreas: Es kommt darauf an.
Michael: Es kommt darauf an, ist immer eine gute Antwort.
Andreas: Unternehmensgröße. Ja, jetzt mal ganz ehrlich: Bist du ein Unternehmen mit 150 Mitarbeitern und du hast einen in der IT, was so üblich ist, vielleicht hast du sogar zwei da sitzen, die aber alles machen, nicht nur IT Security, sondern eine komplette IT schmeißen, dann schnapp dir beispielsweise eine Firewall mit einem Sophos Endpoint und Sophos weiß ich nicht was und mach All in One und du kommst damit klar.
Andreas: Ist ein Unternehmen aber größer, wirst du plötzlich feststellen, dass diese Firewalls eben nicht mehr in der Lage sind, den Durchsatz zu schieben, dass dir Funktionalitäten fehlen, die du brauchst in einem größeren Unternehmen und dass die Administration auch ausgerichtet ist, simpel, auf kleine Unternehmen. Da musst du dann wieder wechseln und du wirst auch merken, dass deine Netze und deine IT komplexer sind und du einfach mehrere Lösungen benötigen wirst. Nicht daran vorbei.
Andreas: Und auch diese Plattform Hersteller, die machen Endpoint Security, die machen E Mail Security, die machen einen Web Proxy zum Surfen, die machen noch Cloud Security, die machen noch das. Und in der Regel haben die immer irgendwelche Bereiche, in denen die einfach nicht gut sind. Muss man einfach sagen. Also das Gesamtwerk hört sich gut an, dass man alles über eine Plattform orchestrieren kann, aber es gibt immer diese Schwachstellen, die die haben, wo die Software einfach nicht deine Anforderungen erfüllt. Und da wird es automatisch passieren.
Andreas: Sagen wir, Illumio zum Beispiel ist einer der Hersteller, der gerade richtig durch die Decke geht, der das Thema auch Netzwerksegmentierung, Zero Trust und so weiter abbildet. Und alle Unternehmen, die sie kaufen, haben ja gerade auch schon Firewalls. Und mit Firewalls kannst du auch den Netzwerkverkehr steuern und mit Firewalls kannst du auch ein Zero Trust Ding aufbauen. Trotzdem investieren die noch mal viel in Illumio, weil sie das Ganze einfach besser lösen, effizienter, besser, mehr Visibilität et cetera. Und da kommt es automatisch mit dazu.
Andreas: Und diese Anforderungen, wenn dein Netzwerk halt klein ist und wenig komplex ist, da kann ich das Thema in meiner Firewall abbilden. Bei der Komplexität, die wir hier haben in größeren Konzernen, reicht das dann auf einmal nicht mehr aus und da wirst du automatisch dahin kommen, dass du Best of Breed Solutions brauchst oder haben möchtest. Und da gibt es aber auch Sachen, die du tun kannst, indem du zum Beispiel eine solche Lösung nimmst aus Security Orchestration Automation, die du obendrüber hängst, um all deine einzelnen Security Lösungen damit in einer zentralen Plattform orchestrieren und automatisieren zu können.
Andreas: Damit holst du dir quasi diesen Vorteil der Plattform wieder zurück, sagen wir es mal so. Auch noch, meistens haben diese Plattformen sehr viel mehr an Möglichkeiten der Automatisierung als diese Plattformdinger von einem Hersteller. Aber auch da ist dann wieder das Thema: Hast du das Personal oder kannst du einen Managed Service Provider nehmen, der das für dich macht? Weil ansonsten hast du eine SOAR Plattform, die nicht konfiguriert ist, die automatisieren könnte, es aber nicht tut.
Michael: Okay, wir halten also fest. Es ist ein bisschen wie mit dem Dönerladen, der da plötzlich auch noch Pizza anbietet und Schnitzel mit Pommes. Kann auch schmecken, muss aber nicht. Besser ist es manchmal, wenn man das eben dann auch gemanagt bekommt, sich den Döner im Dönerladen zu holen und die Pizza bei der Pizzeria. Da schmeckt es dann einfach mal besser.
Andreas: Sehr schönes Bild, muss ich dir sagen.
Michael: Wenn wir über Security Overengineering, Lösungen und so weiter sprechen, Integration, Implementierung in die eigene Infrastruktur, müssen wir natürlich auch irgendwann zum Thema kommen des Budgets. Denn jede dieser Investitionen kostet Geld, muss irgendwo eingeplant werden. Und da mal meine Frage: Es gibt ja ein paar Lösungen, die sind, du hast ja heute auch schon viele aufgezählt, die man da alle integrieren und kaufen kann. Welche 20 Prozent von Lösungen liefern vielleicht 80 Prozent der Wirkung? Kann man so was sagen?
Michael: Also ich habe ja quasi meine klassische Infrastruktur. Wir sind jetzt Mittelständler, haben natürlich irgendwie Endpoints, ich habe Server, ich habe Firewalls, ich habe eine kleine Produktion, wo meine Produkte hergestellt werden. Was sind die wichtigsten Tools, die ich nun mal haben muss? Manche werden ja schon mit dem Betriebssystem geliefert, Defender, um sage ich mal so eine 80 Prozent Abdeckung hinzubekommen.
Andreas: Ja, du musst deine Eintrittstore schützen. Es gibt eigentlich drei Wege, die gängig sind, wie der Angreifer am liebsten bei dir reinkommt. Der größte ist immer noch E Mail, das heißt, du brauchst eine vernünftige E Mail Security Lösung, definitiv, damit du dafür sorgst, dass diese E Mails nicht durchgestellt werden an deine Mitarbeitenden.
Andreas: Du brauchst irgendwas, Mitarbeiter surfen im Internet, laden sich Sachen runter oder Dateien runter, sage ich jetzt mal. Oder was wir auch haben, sind so Drive by Infektionen. Ich gehe auf eine Webseite, da wird ein Werbebanner runtergeladen und über dieses Runterladen wird mein Rechner infiziert. Dafür brauchst du, wenn deine Mitarbeiter im Internet surfen, irgendwo die Möglichkeit, diesen Verkehr auch analysieren zu können.
Andreas: Und das Dritte sind Software Schwachstellen, vor allem bei oder generelle Schwachstellen bei Systemen, die nach außen gerichtet sind, die von außen verfügbar sind. Und da rede ich dann von Cloud Security oder Absicherung deiner DMZ, wenn du aus deinem Rechenzentrum Sachen nach außen zur Verfügung stellen willst. Und da musst du schauen, wie du IPS Systeme beispielsweise einsetzt, also Prevention, die dazwischengehen, wenn du von außen angegriffen wirst, wenn deine Schwachstellen von außen angegriffen werden. Weil sobald irgendwas im Internet steht, wird das angegriffen, sobald irgendwas verfügbar ist. Da sind Bots dahinter, die rund um die Uhr alles beschießen, was irgendwo da draußen ist. Und da musst du was dazwischen setzen.
Andreas: Das sind so die Wege von außen. Dann musst du natürlich in einem Unternehmen, wo sagen wir mal deine E Mails versagen, die Mails durchkommen oder weil Surfen, der eine Link war noch nicht bekannt, die eine Webseite, und trotzdem konntest du sie öffnen, du wurdest irgendwie infiziert, brauchst du ja drinnen auch was in deinem Unternehmen. Und da sind natürlich Firewalls, die du einsetzt, auch für eine interne Segmentierung, damit eben, wenn du eine Teilinfektion hast oder ein Rechner wurde infiziert und du willst weiterkommen, dass du netzwerkseitig das Ganze abfangen kannst. Nicht zu vergessen natürlich Antivirus, damit, wenn es reingekommen ist, zumindest auf deinem Rechner noch was passiert.
Andreas: Du siehst, das Ganze ist einfach mehrstufig, was du da aufbauen musst, weil du musst immer davon ausgehen, dass eine Linie versagen kann. Und dann bleibt ganz zum Schluss, wenn du diese ganze Prevention Kette durchgegangen bist, weil ich will ja immer, egal wo, verhindern, dass ich angegriffen werde. Ob die E Mail rausgegangen ist, okay, ich konnte E Mail nicht rausbringen, ist jetzt auf dem Rechner gelandet, dann hat die Endpoint Security auch nicht geklappt, Verbreitung findet statt über mein Netzwerk, die Firewalls erkennen das nicht, alles irgendwie versagt. Dann musst du auch anerkennen: Okay, ich muss mich konzentrieren auf Detektion und Reaktion. Und da brauchst du eine Möglichkeit, ob es jetzt ein SIEM oder ein XDR oder eine EDR Komponente ist, brauchst du eine Möglichkeit, diese verschiedenen Events zu korrelieren, detektieren zu können. Das ist es ja. Dass jetzt ein Angriff, den ich nicht verhindern konnte, in meinem Netzwerk gerade sich ausbreitet, um dann ein automatisiertes Regelwerk zu haben, was dazwischengeht, um das zu unterbinden und damit die ganze Kette Prävention, Detektion, Reaktion abbilden zu können.
Michael: Sehr gut. Das klingt nach einem richtig guten Leitfaden. Eine abschließende Frage zu dem Block: Was würdest du sagen, ist aus deiner Sicht eine extrem underrated Lösung im Bereich Security und was ist eine extrem overrated Lösung im Bereich Security? Also was wird aktuell vielleicht ein bisschen zu heiß gemacht, welches Thema, und welches hat man aber etwas zu wenig auf dem Schirm, hat aber eigentlich einen extrem guten Nutzen?
Andreas: Auf Anhieb würde ich sagen Asset Management, weil die meisten Unternehmen, also immer wieder sehen wir, dass die ihre Assets nicht unter Kontrolle haben. Entweder wird Asset Management noch in Excel Tabellen gemacht, was zu dem Zeitpunkt, wo du in die Excel Tabelle schreibst, eigentlich schon wieder veraltet ist. Und ich sage mal so, die alten Tools kommen der Anforderung auch nicht so recht nach. Aber wenn du deine Assets im Griff hast und du weißt, welche Systeme habe ich, in welchen Betriebssystemen, mit welchen Patchständen und so weiter, dann hast du einen sehr guten Überblick über deine Attack Surface. Also wo kann ich angegriffen werden und wo nicht? Die meisten Probleme entstehen ja da, wo du IT Systeme hast, die du gar nicht auf dem Schirm hast.
Michael: Stichwort Schatten IT.
Andreas: Das kann natürlich was in der Cloud sein, wo dann Leute sich da was zur Verfügung stellen, ohne dass du es mitbekommen hast. Nicht im Management, Virenscanner nicht drauf installiert oder es wurde nicht kontrolliert, welche Passwortrichtlinie da drauf ist und du hast ein Passwort 123 auf einer Cloud Instanz, die von außen verfügbar ist. Das sind so Szenarien, da schmunzelt man, aber die finden halt statt. Das passiert genau so. Und das sind so Assets.
Andreas: Und du hast aber auch Assets in deiner Umgebung. Gerade in der Produktion sehe ich das, wo du dann oftmals via Windows XP oder Windows 7 Betriebssysteme noch hast, die dann irgendwo auch nicht in deine Domäne angebunden sind, aber trotzdem im Netzwerk verfügbar sind und erreichbar sind. Dann hast du solche Systeme, die dann in Vergessenheit geraten und nie wieder geupdatet werden oder nichts, du kannst sie ja nicht mehr updaten, die aber dann auch nicht isoliert werden oder geschützt werden. Aber es gibt immer noch eine Möglichkeit, auch solche Systeme zu schützen. Du musst sie aber managen können und dafür musst du wissen, dass du diese Systeme in Betrieb hast. Asset Management, simple but good.
Michael: Das ist die Lösung. Welche würdest du sagen, ist ein bisschen zu präsent?
Andreas: Also was gerade ein bisschen zu präsent ist, ist eigentlich das gesamte Thema AI und künstliche Intelligenz. Jeder schreibt sich natürlich jetzt von außen das Thema auf die Fahnen und sagt: Wir sind super, die Cybersecurity AI Solution. Und warum? Klar, weil aktuell jeder versteht, es ist Effizienzsteigerung. Wenn die AI benutzen, dann muss es besser sein als ohne AI. Und der andere Effekt ist einfach Bewertung des Unternehmens. Jede Unternehmensbewertung steigt gerade höher, wenn ich AI draufschreibe. Und keiner fragt aber danach: Was heißt das denn eigentlich im Detail? Was machst du denn da eigentlich mit AI?
Andreas: Und ich sehe dann solche Softwarehersteller, die bieten dann einen Chatbot an als Support für den Kunden. Und die sagen ja, wir haben hier AI mit integriert. Du kannst aus der Webkonsole unserer Lösung direkt mit einem Chatbot schreiben, der dir da weiterhilft. Das lässt mich relativ kalt, ehrlich gesagt. Und da sollte man sich, es gibt auf der anderen Seite aber mega geile Lösungen, auch agentic, wo du mit einem Agenten Automatisierungen durchführen kannst, die dir das Leben im Alltag in der Cybersecurity erleichtern. Aber da muss man dann wirklich gucken, wenn ein Hersteller sagt, wir haben hier AI, reinzuschauen und was macht AI wirklich? Was sind die Use Cases und wo erlebe ich dann eine Erleichterung oder eben auch Kosteneinsparungen? Weil darum soll es ja dann am Ende gehen. Effizienzsteigerung führt gleichzeitig dazu, Kosten runter, und dir die Use Cases anzugucken. Nicht einfach zu sagen: Diese Lösung hat AI, die muss gut sein.
Michael: Okay, das sehe ich tatsächlich auch so. Das wird vor allem im Marketing extrem ausgeschlachtet, das Thema, und steht fast auf jeder Lösung drauf. Okay, dann lass uns noch mal kurz über das Thema Rollen und Führung sprechen, weil wenn ich Security Lösungen einkaufe, dann gibt es ja verschiedene Leute, die sich dafür interessieren könnten. Natürlich kann einerseits der IT Leiter eine Security Lösung einkaufen, es kann aber auch der CISO, der CEO kann das vorantreiben, vielleicht auch sogar der CSP, der so was treibt, oder aber auch es ist eine Entscheidung aus dem Management heraus, also Geschäftsführungsebene. Gibt es Dinge, wo du sagst: Ja, also wenn ihr überlegt, so eine Lösung einzukaufen, dann sollte das definitiv im Management abgestimmt und entschieden werden, weil sie vielleicht in so viele Bereiche reingreift?
Andreas: Also im Optimalfall tatsächlich bei jeder Lösung sollte das passieren. Also du hast da irgendwo einen Schutzbedarf oder du sagst, ich möchte hier was besser schützen als bisher, ich muss eine neue Lösung haben. Und das muss natürlich abgestimmt sein, auch mit deinem Business und den Business Prozessen. Wenn du es obendrauf legst.
Michael: Heißt, jede Lösung, die im Security Bereich, also die für den Security Bereich eingekauft wird, sollte im Management entschieden werden, deiner Meinung nach. Bildet das die Realität ab?
Andreas: Nein, da würde ich sagen, fast kaum eine. Also kaum eine Lösung wird im Management verabschiedet und es kann oft auch gut gehen, dass du davon nichts mitbekommst. Aber du musst dich dann halt hinterher nicht wundern, wenn die Lösung dann ausgerollt wird und aktiviert wird und dann plötzlich die Abteilungsleiter Beschwerden haben von ihren Mitarbeitern, die dann sagen: Hey, irgendwie ist alles langsamer und funktioniert alles nicht richtig und weiß ich nicht, da ist ja diese neue Security Lösung. Das sollte schon mit abgestimmt werden, dass du sagst: Okay, was ist auch unser Business Nutzen? Was ist unser Risiko? Dass das Management dahintersteht.
Andreas: Wenn nämlich dann der Vertrieb als Beispiel dir die Tür einrennt und sagt: Verdammt, wir brauchen aber unsere USB Sticks, weil da sind unsere ganzen Präsentationen drauf und wenn wir nicht mehr, wir können nicht mehr verkaufen. Diese Device Control Lösung, die die USB Wechselmedien kontrolliert, die muss weg. Das Ganze kannst du ein bisschen vorher machen, indem du halt einfach dann auch mit dem Management drüber redest. Okay, wir haben vor, eine Device Management Lösung zu implementieren, weil Risiko weiß ich nicht, wir müssen die ISO Zertifizierung machen und wir müssen das Risiko der Wechseldatenträger mitregulieren. Das haben wir vor.
Andreas: Und dann würde der Vertriebsleiter aufhorchen und sagen: Ey, warte mal, das geht aber nicht, weil wir brauchen die. Und dann kann man drüber diskutieren. Ich sag mal so: Gibt es vielleicht einen anderen Weg, diese Präsentation zum Kunden zu bringen? Kann man vielleicht nicht statt einem Wechseldatenträger, den man überall reinsteckt, sagen, wir machen ein Cloud Share in OneDrive oder Dropbox oder ein whatever und wir legen diese Präsentation darauf und stellen dann dem Kunden einen Link zur Verfügung? Und dann kommen wieder Einwände und dann wird gesagt: Nein, das geht nicht online, weil wir sind ja irgendwo im Ausland und dann ist die Datenverbindung dünn und blablabla und dann kommt die nächste Geschichte.
Andreas: Ja, wir können es doch lokal synchronisieren und offline vorhalten, wenn ihr dann da seid und die Notebooks dabei habt. Und dann heißt es plötzlich: Ja, okay, das können wir so machen. Du hast dann die Akzeptanz des Businesses, du hast abgestimmt, also nicht nur eine Tür zugemacht, sondern auch eine Tür aufgemacht und Business Prozess, sage ich mal, verändert und abgestimmt. Und das Ganze hilft dir einfach weiter, anstatt hinterher Brände löschen zu müssen, wenn alle aufschreien und sagen: Ey, das funktioniert ja aber gar nicht. Deswegen macht das Sinn. Und deswegen sollte man sich auch die Zeit nehmen, wenn der CISO, sage ich mal jetzt, weiß, dass Security Lösungen einzuführen sind, mit dem Business zu besprechen und zu sagen: Was ist das Risiko, was wir damit mitigieren und was ist der Impact auf die Belegschaft und auf die Mitarbeitenden?
Andreas: Und du wirst dann auch merken, wenn du den CEO aufgeklärt hast und gesagt hast: Ja, wir brauchen die ISO Zertifizierung und deswegen Wechseldatenträger Kontrolle und wir brauchen die ISO Zertifizierung, weil wir Lieferant sind für den und den und das ist für den Voraussetzung. Ansonsten fliegen wir raus und da hängt sehr viel Umsatz dran, den wir machen. Dann wird er auch sagen: Akzeptanz gegeben. Das Ding setzen wir um. Anstatt dass es ausgerollt wird und der CEO steigt auf die Decke und sagt: Meine Vertriebler können nicht mehr arbeiten, wir verlieren viel, viel Geld, und du musst es dann nacharbeiten. Auch das habe ich alles schon erlebt. Das war so ein Beispiel, was ich selber schon erlebt habe, wo es Sinn macht, frühzeitig das Management mit einzubeziehen.
Michael: Sehr gut, sehr nachvollziehbar. Wir haben ja jetzt über Security Overengineering gesprochen und die verschiedenen Themen sind wir einmal durchgegangen. Gibt es denn Dinge, woran ich das irgendwie frühzeitig erkennen kann? Also wann ist es vielleicht die eine Lösung zu viel? Ist es was, was ich mit dem Betrieb bespreche, also mit der operativen Einheit? Ist es was, was ich mit dem IT Leiter oder dann auch wieder im Management diskutiere oder auch erkennen kann? Was muss ich mir vielleicht reporten lassen, damit ich ein Gefühl für das Thema Overengineering bekomme? Denn es am Budget festzumachen ist wahrscheinlich überhaupt nicht hilfreich. Ich will ja, wie du es schon mal so schön formuliert hast, am Ende sicher nur dafür sorgen, dass Angriffe keinen großen Schaden anrichten. Das heißt, muss sie halt früher erkennen können, mitigieren können und so weiter. Aber woran mach ich es fest?
Andreas: Also als Erstes: Jede Softwarelösung adressiert ja einen oder mehrere Pain Points, die du hast in deiner Cybersecurity. Und da würde ich erst mal sagen, was sind meine Pain Points? Würde ich mir aufschreiben und würde dann eine Zuordnung machen der Security Tools. Also einer meiner Pain Points ist dann zum Beispiel, ich möchte meinen E Mail Verkehr sauber halten. Und jetzt habe ich ein E Mail Gateway vorgeschaltet, ich habe noch mal was auf den Datenbanken, was scannt, und ich habe einen E Mail Schutz auf meinem Endpoint, dass, wenn ich in Outlook was öffne auf meinem Endpoint, dann noch mal was dazwischengeht. An mehreren Stellen habe ich das Ganze. Und das erst mal visibel zu machen.
Andreas: Und dann hast du auch immer Lösungen, die mehrere Sachen adressieren können und du weißt es manchmal gar nicht. Oder du kaufst dir die tolle E Mail Security Lösung mit dazu, du hast aber schon irgendwelche Lizenzen bei dir, die so was mit abbilden könnten. Und da einen Überblick zu verschaffen. Sagen wir es mal so: Aus 80 Tools, haben wir gerade drüber gesprochen, schreibst du dir die Pain Points auf und ordnest diese 80 Tools den verschiedenen Pain Points zu und merkst dann einmal, wo hast du Tools, die doppelt, also auf den gleichen Pain Point zielen? Wo kannst du dann reduzieren? Wo fehlt dir vielleicht noch was? Und da erst mal von der Seite einen Überblick zu verschaffen, weil meist ist es so, dass du historisch über die Jahre immer mehr dazukaufst und du dann teilweise doppelt und dreifach Lösungen hast für das gleiche Problem.
Andreas: Und dann machst du mal eine Zuordnung und sagst: Ich habe so und so viele Applikationen, 80 Applikationen, und ich habe x Mitarbeiter. Und jetzt mal wirklich, wenn Security Applikationen, dann bitte, wir brauchen da Security Personal, nicht irgendwie denjenigen, der im Helpdesk arbeitet und der Mitarbeiter ruft an und sagt: Hier, mein Rechner ist eingefroren, kannst du mir weiterhelfen? Und ich habe mein Passwort vergessen. Du brauchst schon Security Engineers, die wissen, damit umzugehen.
Andreas: Und wenn du dann sagst, ich habe zwei, drei Leute und ich habe 80 Produkte, dann muss dir eigentlich klar sein, wenn du das mal drüberlegst, wie viel Zeit habe ich, wie schon gesagt, wie viel Zeit bleibt einem Mitarbeiter über, sich mit dieser Softwarelösung zu beschäftigen? Und was kannst du da erwarten an Qualität? Also immer auch, wenn du Tools aufstockst, musst du eigentlich Personal hochstocken oder eben Service Provider. Aber auch da muss man sagen: Service Provider ist kein Selbstläufer. Du brauchst dahinter auch immer bei dir im Unternehmen jemanden, der natürlich in Kontakt bleibt mit den Service Providern und das Ganze monitored, Informationsaustausch und so weiter. Das heißt nicht, dass du jetzt zehn Lösungen und zehn Service Provider einkaufst und du nichts damit zu tun hast. Du trägst immer noch am Ende die Verantwortung für die Cybersecurity und musst deine Service Provider auch steuern, Reportings mit denen durchgehen, Anpassungen an der Struktur besprechen. Da ist auch was zu tun.
Michael: Ja, da ist was zu tun. Also im Prinzip wie auch, wenn ich als Privatperson mal wieder mich frage, wofür bezahle ich die ganze Versicherung? Mal wieder so einen Check machen, den Stack prüfen und überlegen: Sind das noch die richtigen für mich? Muss ich vielleicht was anpassen? Muss ich vielleicht auch eine austauschen? Ist eine vielleicht sogar überflüssig, weil eine andere sie mit abdeckt?
Michael: Also ich hoffe, diese Folge hat euch ein bisschen den Anreiz gegeben, das Ganze mal auf den Prüfstand zu stellen. Und wenn ihr mit einer Fachkraft drüber sprechen wollt, dann ruft uns doch gerne an. Wir stellen gerne jemanden zur Verfügung, der das gemeinsam mit euch tut. Ansonsten hoffe ich, ihr habt auch aus dieser Folge einiges Spannendes mitgenommen.
Michael: Andreas, ich sage vielen Dank, dass du die Fragen wie immer authentisch und on point beantwortet hast, dass wir hier gemeinsam durch das Thema Security Overengineering geritten sind. Wenn es dazu Fragen gibt, kontaktiert uns gerne und ich sage vielen Dank fürs Zuhören. Bleibt sicher und gesund.
Michael: Wir haben jetzt noch dieses große Thema, das spielen wir ja auch in der Cyberkriminalität. Wie wirkt sich das vielleicht auch auf den Markt aus? Also kannst du was vom Markt, Zusammenhänge sagen, wenn man das überhaupt so nennen mag?
Andreas: Ja, es gibt so ein paar Dynamiken, die man betrachten kann. Auch natürlich Abwerbung von Experten. Dass dann Gruppen versuchen, sich gegenseitig die Leute abzuwerben. Das findet man natürlich da. Ich habe jetzt noch keine M&A Prozesse gesehen, also dass einer den anderen aufkauft, das würde vielleicht weit gehen. Dabei bekommt man es mit Sicherheit auch nicht immer mit.
Andreas: Was man so mitbekommt ist, dass die entscheidenden Schlüsselfiguren in verschiedenen Organisationen wieder auftauchen. Weil du hast immer diese Gruppen, die fahren Kampagnen und da machen sie das drei, vier Monate. Dann holen sie die Kohle raus, dann machen sie das Ding zu und dann tauchen sie unter anderem Namen wieder auf, als Beispiel, und mit einer neuen Kampagne und neuer Malware und neuen Strukturen. Die reißen immer wieder die Strukturen ein und ziehen neue hoch, um auch natürlich die Nachverfolgung schwieriger zu machen. Aber die Personen einfach nur, die bleiben. Und die tun sich dann auch in verschiedenen Vereinigungen wieder zusammen und sammeln sich so. Also dass auch die Guten Bösen mit den guten Bösen arbeiten, das sieht man schon.