Cyber Security Teil 3 – Security vs. Attacks: Wie Technik hilft

Thomas Sinnwell: Herzlich willkommen zu unserem neuen Podcast. Heute produzieren wir die dritte Folge in der Reihe Cybersecurity. Und ich habe einen ganz besonderen Gast. Und zwar spreche ich heute mit Herrn Kriminalhauptkommissar Marc Schmitt vom Dezernat Cybercrime des LKA in Saarbrücken. Herzlich Willkommen, Herr Schmitt.

Marc Schmitt: Danke schön.

Thomas Sinnwell: Herr Schmitt, Sind Sie doch bitte so nett und stellen Sie sich kurz vor, damit unsere Zuhörerinnen und Zuhörer wissen, mit wem ich heute sprechen darf.

Marc Schmitt: Das mache ich natürlich gerne. Mein Name ist Marc Schmitt. Ich bin stellvertretender Dezernatsleiter im Dezernat Cybercrime beim Landespolizeipräsidium, gleichzeitig auch Verantwortlicher für die Zentrale Ansprechstelle Cybercrime. Bin seit 2013 im Dezernat, seit Gründung sozusagen Gründungsmitglied und bin dahin gekommen, da ich den Bereich Cybercrime Cyber Security schon vorher begleitet habe in einem anderen Bereich und habe das dann fortgeführt. Logischerweise.

Thomas Sinnwell: Ja, besten Dank. Ich würde nachher auch noch gerne ein bisschen tiefer eintauchen, was das Dezernat genau macht oder insbesondere auf die Zentrale Ansprechstelle für Cybercrime zu sprechen kommen. Aber zuvor will ich noch einen kleinen Rückblick geben für die Zuhörenden, die vielleicht die Folge eins und Folge zwei nicht gehört haben. In Folge eins sprach ich mit Professorin Mana Mojadadr auch natürlich zum Thema Cybersecurity. Da stand allerdings der Mensch im Mittelpunkt. Themen waren da: Ja, wie ist das eigentlich, wenn man gehackt wird? Was passiert denn dann? Wie fühlt man sich dann? Aber auch ganz wesentliche Punkte in dieser Folge waren: wie kann ich denn ansetzen beim Thema Mensch? Wie kann ich Awareness schaffen und wie schaffe ich es, meine Mitarbeitenden zu einem ganz wichtigen Baustein in meiner Abwehr gegen Cyberattacken aufzubauen? Und das war der  Schwerpunkt der Folge eins. In Folge zwei hatte ich als Gesprächspartner Prof. Holz vom CISPA und gemeinsam haben wir da einen totalen Perspektivenwechsel vollzogen und sind auf die dunkle Seite der Macht gegangen und haben uns die Frage gestellt. Ja, wie agieren Hacker? Was verwenden die an Tools, wie funktioniert das, was sind deren Zielsetzungen? Heute, in der Folge drei, möchte ich gemeinsam mit Herrn Schmitt noch mal herausarbeiten, was können Unternehmen tun, um sich auf Cyberattacken vorzubereiten? Und um es vielleicht mal an der Stelle vorwegzunehmen. So meine Sicht der Dinge ist nicht die Frage werde ich angegriffen, sondern die Frage ist, wann werde ich angegriffen. Bevor wir jetzt in das eigentliche Thema eintauchen, möchte ich aber die Gelegenheit nutzen und Sie bitten, die zentrale Anlaufstelle Cybercrime für die Wirtschaft vorzustellen. Genau über diesen Weg haben wir uns kennengelernt. Und ich muss gestehen, ich weiß auch erst seit einem Jahr, was sich hinter denen der Abkürzung ZAC verbirgt.

Marc Schmitt: 2013, mit Gründung des Dezernat Cybercrime im Landes Polizeipräsidium hat man auch eine Stelle, eine Ansprechstelle für Wirtschaftsunternehmen und andere Institutionen geschaffen, damit diese nicht mehr bei verschiedenen Polizeiinstitutionen hintereinander ihren Sachverhalt anzeigen müssen, sondern einen direkten Ansprechpartner haben, um dort ihren Sachverhalt anbringen zu können. Vorher hat man die Erfahrung gemacht, dass Firmen bei einer Polizeiinspektion oder einem Polizeiposten einen Cybercrime Sachverhalt angezeigt haben, wurden dann bis zur verantwortlichen Stelle mehrfach weiter verbunden. Das wollte man umgehen mit dieser direkten Ansprechstelle Cybercrime, mit einem Single Point of Contact bei der Polizei, bei dem auch seit Gründung Informatiker bedient sitzen, so dass man hier Besonderheit hat, dass Polizeibeamte den polizeilichen Part abbilden bei Cybercrime Sachverhalten und die Informatiker den technischen Part. Also man schafft Synergieeffekte, um diesen speziellen Bereich von Straftaten abzubilden. Weiter hat man auch mit der Zentralen Ansprechstelle Cybercrime eine Ansprechstelle geschaffen, die rund um die Uhr erreichbar ist. Sprich - die Firmen können sozusagen Tag und Nacht anrufen und werden, wenn es der Fall notwendig macht, dann mit Fachleuten verbunden, die gegebenenfalls auch in die Firmen vor Ort kommen, um mit den Geschädigten oder den Verantwortlichen der Firma dann zu schauen, was ist von polizeilicher, von staatlicher Seite zu machen.

Thomas Sinnwell: Dann haben sie ja fast schon, je nachdem wann ein Unternehmen anruft, eine Idee, wo der Angriff herkommen könnte?

Marc Schmitt: Ja, das kann man, kann man.

Thomas Sinnwell: Ist mir gerade so beim Zuhören durch den Kopf gegangen. Je nach Zeitzone.

Marc Schmitt: Ja je nach Branche ist kann man sich die Angriffsherkunft tatsächlich schon, ich sage es mal, zusammenreimen. Je nachdem, was das Unternehmen macht oder auch was sage ich mal politisch momentan in der Tageslage ist, dann kann man schon, sage ich mal, von der Erfahrung her eins und eins zusammenzählen und weiß, was möglich ist. Das muss ich nicht immer bewahrheiten, aber das ist tatsächlich der Fall.

Thomas Sinnwell: Ja, okay, hatte ich mir so gedacht. Wie ist das denn jetzt beim ZAC? Kommt das ZAC erst ins Spiel, wenn das Kind im Brunnen liegt? Oder ist auch das Thema Prävention da beim ZAC verortet?

Marc Schmitt: Das ist ein wichtiger Punkt, den Sie ansprechen. Die ZAC fühlt sich für zweierlei verantwortlich. Zum einen, wie Sie sagen, wenn das Kind in den Brunnen gefallen ist, schneller Ansprechpartner und kompetenter Ansprechpartner innerhalb der Polizei für Unternehmen, für Wirtschaftsunternehmen, zu sein. Zum anderen, wie auch von Ihnen trefflich jetzt dargestellt; in der Vorphase, bevor das Kind in den Brunnen gefallen ist, ein Ansprechpartner für Firmen zu sein. Wie kann ich mich schützen? Was kann ich tun? Wohin kann ich mich wenden? Nicht nur bei der Polizei, sondern auch insgesamt, wenn ich dem Ganzen vorbeugen will, Prävention durchführen will. Das heißt, der präventive Aspekt liegt darin, mit Firmen abzusprechen, was kann ich tun, um für den Fall der Fälle gewappnet zu sein? Zum anderen, welche Stellen kann ich in dem Moment ansprechen, um Zeit zu sparen? Was kann ich bereithalten, zum Beispiel z.B. auch für die Polizei, wenn die ein Strafverfahren einleitet? Was braucht die Strafverfolgung dafür und was kann ich als Firma schon vorhalten, sodass da kein Zeitverzug mehr entsteht?

Thomas Sinnwell: Da stellt sich mir jetzt gerade die Frage, was passiert denn konkret, wenn ein Unternehmen jetzt feststellt, es ist gehackt worden, kommt seinen Informationspflichten nach, informiert dann je nachdem, wie der Vorfall aussieht, wie der eigene Kenntnisstand ist auch durchaus Datenschutzbehörden und wendet sich jetzt an das ZAC. Was passiert denn dann konkret? Ich glaube, da gibt es auch ganz nebulöse Vorstellungen, was dann - ist ja eher von den Medien geprägt- was dann im Unternehmen los ist. Wie sieht es denn wirklich aus?

Marc Schmitt: Als geschädigte oder betroffenes Unternehmen ruft man die Polizei an. Das kann geschehen durch die 110, dass man den Notruf wählt. Aber auch über eine ZAC Hotline, über eine Hotline Nummer, die wir speziell für Firmen, wenn sie von IT Vorfällen betroffen sind, geschaltet haben. Wie eben schon erwähnt, ist diese Nummer Tag und Nacht erreichbar. Dann wird seitens des Unternehmens der Vorfall gemeldet und tagsüber direkt bei uns im Dezernat wird sich damit befasst und geschaut, welche Maßnahmen sind zu regeln. Nachts gehen ebenso fachkundige Beamte dran und schauen, müssen Sofortmaßnahmen getroffen werden oder ist es vielleicht ein Sachverhalt, wo man dann sage ich mal am nächsten Tag ausgeruht rangehen kann? Und wenn es notwendig ist, kommt dann auch nachts von uns Kollegen des Dezernats vor Ort. Wie gesagt, wenn es notwendig ist und versuchen mit den Firmenverantwortlichen erste Maßnahmen zu treffen, um den Schaden kleinstmöglich zu halten. Was man eindeutig sagen muss. Sie sprachen eben an –nebulös- was macht die Polizei? Es herrscht immer noch eine sehr, sehr große Angst. Die Polizei kommt zu meinem Unternehmen beschlagnahmt alle Rechner und alle Server und das Firmenleben, die Firmenaktivität kommt zum Erliegen. Das ist mitnichten der Fall. Wir schauen immer als Polizei als ZAC, dass das in Einvernehmen mit den Unternehmen passiert. Wir wollen natürlich Beweismittel sichern, aber nur insoweit, als das Firmenherz, so will ich es mal nennen, nicht angehalten wird, die Firma weiter ihrem täglichen Geschäft nachgehen kann. Und so wird notfalls von uns auch im laufenden Betrieb Beweismittel gesichert. Das ist bisher immer in guten Einvernehmen mit Firmen oder Wirtschaftsunternehmen so gehandhabt worden.

Thomas Sinnwell: Ich glaube, das ist eine ganz wichtige Info für unsere Zuhörenden, weil ich habe da auch von dem einen oder anderen einfach Sorge vernommen: Ja, ich werde dann jetzt lahmgelegt, aber das ist ja dann offensichtlich nicht der Fall und ist natürlich auch aus meiner Sicht absolut der richtige Ansatz. Jetzt sind wir ja schon nahtlos bei dem Thema angekommen. Jetzt liegt das Kind im Brunnen, es ist etwas passiert und na ja, dafür tragen ja letztendlich Cyberkriminelle dann in letzter Konsequenz dann die Verantwortung, dass das passiert. Auch da habe ich die Feststellung gemacht, dass oft so ein Bild vorherrscht, oder auch wenn man sich vielleicht ihre Fernsehkollegen anschaut, wenn es mal in einem Tatort oder in einem Krimi um das Thema Cyber Security geht. Da ist da immer der böse Hacker und dann bricht er ganz zielgerichtet ein ein Unternehmen ein. Und das weiter fortgesponnen führt dann aus meiner Sicht dann auch schon mal zu der Sichtweise -Na ja, mein Unternehmen ist ja nicht interessant für den Hacker. Stimmt das Bild?

Marc Schmitt: Das Bild stimmt nicht. Man kann sagen, im kleinen Saarland ist alles gut, da passiert gar nichts – aber auch das Saarland ist beispielsweise Ort von Cybercrime. Schon gar nicht darf man sich auf Fernsehbilder verlassen. Im Fernsehen wird immer alles etwas verzerrt oder oft verzerrt dargestellt. Jedes Unternehmen ob es ein zwei Mann Unternehmen ist oder ein großer Weltkonzern, kann von Cybercrime betroffen sein. Hier ist niemand vor gefeit. Sogar der Privatmensch neben den Firmen, neben dem Wirtschaftsunternehmen ist von Cybercrime betroffen, sodass man sich als Unternehmen nicht sicher sein kann. Ich bin so klein und unbedeutend. Mich greift schon kein Cyber-Krimineller an. Man hat verschiedene Qualitäten der Angriffe sehr wohl. Zum einen hat man Anfänger, Script Kiddies, welche nutzbare Tools aus dem Internet runterladen und probieren was aus. Von denen geht auch ein großes Schadenspotenzial aus, aber die machen oft so viele Fehler, dass man da schnell solchen Kriminellen auf die Spur kommt. Und dann haben wir eine Skala nach oben, wo es immer professioneller wird.

Thomas Sinnwell: Bis zum bitteren Ende, dann auch die Nachrichtendienste.

Marc Schmitt: Genau. Die hinterlassen viele Spuren im Internet, die man dann aufnehmen kann und so kann man auch solche Täter leichter ermitteln. Das geht dann weiter zu professionelleren Hackern. So will ich es mal nennen, die sich geschickter fortbewegen, ihre Spuren auch geschickter verschleiern oder auch verwischen, bis hin zu staatlichen Akteuren oder den Staatsführungen nahestehenden Akteuren, die sehr professionell vorgehen, wo es wirklich schwierig wird, solche Akteure zu identifizieren und dann auch letztendlich zu strafverfolgen.

Thomas Sinnwell: Ja, ich würde jetzt gern noch vielleicht auf eine andere Strukturierungsebene eingehen und einfach diese Art der Angriffe vielleicht noch mal thematisieren. Wenn wir jetzt da am oberen Ende der Fahnenstange bei Nachrichtendiensten ankommen oder bei sehr professioneller Cyberkriminalität, dann bin ich ja eher so in diesem Bereich der zielgerichteten Angriffe, wo ja auch viel Energie reingesteckt wird. In dem Fall, glaube ich, kann man dann wiederum zwei Zielsetzungen unterscheiden. Das, was Sie angesprochen haben - Sabotage. Ich mache irgendwas kaputt. Schade einem Unternehmen, einem Land oder ich versuche an Informationen heranzukommen. Und dann bin ich ja ganz schnell beim Thema Wirtschaftsspionage, versuche vielleicht was zu besorgen, was ein Marktbegleiter weiß und das, was ich halt selbst wissen möchte. Ist es richtig, dass aber so diese Aussage, dass der größere Ungemach eigentlich von diesen eher nicht zielgerichteten Angriffen ausgeht, zumindest mal was die breite Masse an Unternehmen betrifft? Und da denke ich jetzt gerade so an das Thema Ransomware.

Marc Schmitt: Genau das ist ja angesprochen. Ransomware ist die größte Bedrohung, schon relativ für den Digitalbereich oder Cyber Bereich lange andauernd, weil es für die Täter so lukrativ ist, im Bereich Ransomware Unternehmen zu schädigen, zu erpressen. Hier ist es so, dass die Täter zum Teil sehr professionell vorgehen. Sie haben es angesprochen, diese staatlichen Akteure, die wirklich ganz gezielt vorgehen. Hier haben wir auch professionelle Täter, die letztendlich heutzutage strukturiert sind, wie reale Firmen. Es findet eine Arbeitsteilung statt in diesen Ransomware Gruppierungen von Entwicklern, Vertrieblern in Anführungsstrichen bis hin zu einem Support, den man dem Opfer anbietet, so dass da ein Chef irgendwo im Hintergrund, der CEO sozusagen steht und koordiniert und leitet und dann auf mehrere Schultern das Ganze verteilt ist. Das Ganze nennt sich Ransomware as a Service, so dass ich hier verschiedene Strukturen habe, die jeweils in ihrem eigenen Gebiet Fachmänner sind. Es ist leider so lukrativ, da das Sicherheitsniveau bei vielen Firmen immer noch so ist, dass das es letztendlich Angriffspunkte gibt, mit denen diese Gruppierungen Firmen infiltrieren können, Daten verschlüsseln können und dann, wenn dann nicht vernünftig Vorsorge getroffen wurde, sind diese Firmen letztendlich, wie der Bereich Ransom auch trefflich beschreibt, dann erpressbar.

Thomas Sinnwell: Wenn Sie jetzt so zurückblicken auf die Fälle, die Sie jetzt so begleiten durften, was ist denn dann aus Ihrer Sicht vielleicht so die größte Schwachstelle, die diese Angriffe ermöglicht?

Marc Schmitt: Die größte Schwachstelle insgesamt, das kann man eigentlich recht deutlich sagen, ist immer noch der Mensch, der vor der Maschine sitzt. Ich kann die Maschine, den Computer, die Netzwerke versuchen mit Software Hardware hundertprozentig zu sichern. Wenn der Mensch, der das Ganze bedient, vorher nicht entsprechend sensibel ist, beispielsweise alles öffnet, alles anklickt, was in dem Computerbildschirm aufgeht, dann habe ich hier die größte, die größte Schwachstelle. Es geht oder steht und fällt der Schutz mit dem Faktor Mensch, der sensibel sein muss, gerade heutzutage für bestimmte Sachen im Bereich Cybercrime.

Thomas Sinnwell: Ich denke, das ist ein wunderbarer Punkt, den wir da jetzt erreicht haben, um so in dieses Kernthema einzusteigen. Was man natürlich jetzt gleich schon sagen kann, als Unternehmen in eigene Mitarbeiter zu investieren, dann eine Sensibilisierung zu schaffen, für das Thema Cyber Security, Mitarbeiter weiterzubilden, so dass man auch vielleicht bei E-Mails mal genauer hingucken kann – gezielter – . Ist die echt oder ist die manipuliert? Oder auch in Richtung, dass man sich traut mal nachzufragen, haben Sie mir jetzt wirklich gerade den Auftrag erteilt, an die Kontonummer 1,68 Millionen zu übertragen? Das macht ja, denke ich, dann auf alle Fälle Sinn. Und ist ein ganz wesentlicher Punkt.

Marc Schmitt: Genau, das ist in dem ganzen Kontext sich zu schützen, ein sehr wichtiger Punkt, wie Sie gerade beschrieben haben, dass der Mitarbeiter weiß, was macht er. Heutzutage ist Schadsoftware so ausgefeilt, dass wenn ein System kompromittiert ist, zum Teil auf bestehende E-Mail-Konversation zurückgegriffen wird. Also ich bekomme eine E- Mail vorgehalten, die aus einer realen Frage Antwort oder Konversation stammt und in die E- Mail ist eingearbeitet ein Dokument oder ein Schadsoftware Dokument, welches ich dann öffnen soll. Diese Sensibilität, zu erkennen oder wenn das Bauchgefühl mir sagt, das stimmt doch nicht oder das ist so lange her. Diese Sensibilität zu schaffen, das ist das Wichtige, dass derjenige dann sein Gegenüber anruft und nicht vertraut. Aha, das wird schon, wird schon wichtig oder seriös sein, sondern dem Gefühl dann auch nachzugeben, das Gegenüber anzurufen, nachzufragen. Und dann entweder zu erfahren von mir kam gar keine Mail und dann haben wir diese Sensibilität geschaffen, dass Schadsoftware nicht zum Zuge kommt. Das ist der wesentliche Faktor. Der andere Faktor auf der Hardware Seite sozusagen entsprechenden Schutz zu schaffen, ist genauso wichtig, eine Sensibilität bei den Leuten herzustellen, dass man System schützen muss, nicht darauf sich verlassen soll. Wir sind so klein oder was weiß ich, so unbedeutend, uns wird schon nichts passieren.

Thomas Sinnwell: Das Thema würde ich jetzt gerne auch systematisch aufbauen. Sie haben natürlich vollkommen recht. Wenn ich meine Mitarbeiter sensibilisiere, sie schule, Awareness - Trainings durchführe, dann habe ich - sicherlich - sehr gute erste Verteidigungslinie und die kann mir eine Menge Ungemach vom Hals halten. Aber diese Sachen sind ja teilweise so gut gemacht: Die E-Mail, die ein Mitarbeiter bekommt, erweckt den Eindruck, sie ist aus dem eigenen Haus versandt worden. Da steht die richtige Signatur drin, wie Sie eben sagen. Das bezieht sich vielleicht sogar auf einen stattgefundenen E-Mail-Wechsel. Und es ist jetzt da noch mal eine Antwort drauf oder eine Weiterleitung. Und das kann ja sehr perfide, sehr raffiniert sein. Und egal wie gut ich geschult bin, es kann passieren, dass der falsche Link angeklickt wird und dass das Ganze seinen Lauf nimmt. Insofern sind natürlich diese technische Maßnahmen und das ist ja auch ein Thema, das uns ganz stark umtreibt, natürlich dann ganz wichtig in der zweiten Linie. Jetzt würde ich gerne dieses Thema mal systematisch aufbauen. Ich selbst bin ja so ein Fan vom Fünfphasenmodell, vom National Institute of Standards and Technology. Ist durchaus vergleichbar, was die amerikanischen Kollegen machen, was das BSI macht. Das Modell gefällt mir so gut, weil die die Jobs, die ich zu machen habe, in den fünf Phasen so furchtbar genau beschrieben sind. Jetzt will ich aber unsere Zuhörenden nicht irgendwie schon das Gefühl vermitteln, oh Gott, geht es jetzt so ganz tief in medias res oder in irgendwelche Modelle. Ich würde auch noch gerne einen zweiten Aspekt beleuchten, und zwar ein Minimalszenario betrachten, was vielleicht ganz praktisch schon für ein erhöhtes Maß an Cyber Security sorgt. Wie ist denn da Ihr Minimalszenario, was Sie einem Unternehmen empfehlen würden?

Marc Schmitt: Das Minimal oder Basisszenario für Unternehmen schließt sich erst mal an, an dem Jedermannschutz sozusagen, dass man sichere Passwörter wählt, dort wo es möglich ist, Auch eine Zwei Faktor Authentifizierung, sprich eine doppelte Sicherung, zwei Schlösser sozusagen bildlich gesprochen nutzt.

Thomas Sinnwell: Kennen ja die meisten von ihrem Onlinebanking. Da ist es ja mittlerweile durchaus Standard.

Marc Schmitt: Genau. Dass man weiter, was wirklich wichtig ist, dass auch Unternehmen die aktuellen Patches, die aktuellen Softwareversionen nutzen, dass man, wenn ein Update angeboten wird, dies auch einspielt und nicht sagt "Brauche ich das unbedingt?" sondern es hat immer den … .

Thomas Sinnwell: Machen wir nächste Woche.

Marc Schmitt: Genau und das ist noch sehr sehr oft bei auch verschiedenen Angriffspunkten, wo man oder wo auch das BSI beispielsweise bei Überprüfungen siehe Microsoft Exchange als Beispiel ein halbes oder 3/4 Jahr später feststellt, dass noch hunderttausende Unternehmen auf Deutschland komplett gesehen vorhandene Updates oder vorhandene Patches noch nicht eingespielt haben. Das ist also ein aktuelles System, das ist sehr wichtig. Was elementar wichtig ist, auch für Firmen, sind Backups, und zwar Backups - also Sicherungen ihrer Software der Softwarestände zu einem gewissen Zeitpunkt -, die nach Möglichkeit nicht an dem laufenden System dauerhaft hängen sollen. Weil sie im Falle zum Beispiel von Ransomware mit verschlüsselt werden. Und dann brauche ich auch kein Backup, wenn das dauerhaft dranhängt und dann auch verschlüsselt ist. Das sind beispielsweise Punkte, die ich auf jeden Fall beachten soll, um ein Basisschutz und Basisschutz ist auch für viele Firmen nahezu kostenfrei oder kostenlos über zum Beispiel das BSI recherchierbar oder zu erhalten. Wo ich mir anschauen kann, ich muss mich oder ich muss nur die Bereitschaft haben, Zeit zu investieren, mich mit dem Thema zu befassen und dann kann ich einen Basisschutz schon für sehr wenig Geld oder sogar kostenlos für mein System bereitstellen oder einstellen.

Thomas Sinnwell: Ja, ich denke, das ist eine ganz, ganz wichtige Info für die Zuhörenden unseres Podcasts. Man muss nicht Unsummen investieren, um einen wirksamen Schutz aufzubauen und insbesondere das von Ihnen angesprochene Backup - was natürlich auch mal ausprobiert werden sollte -,  ob man es denn einspielen kann und ob es dann wieder funktioniert. Weil - wenn ich das zum Ersten Mal im Falle eines Falles mache und es funktioniert nicht, dann war die ganze Arbeit umsonst. Aber wenn man das mal gecheckt hat, dass das funktioniert, ja, dann bedeutet es vielleicht je nach Unternehmensgröße. Dann stehe ich vielleicht ein Tag, zwei oder eine Woche und spiele Systeme wieder neu auf und verliere nicht allzu viel von der erbrachten Arbeitsleistung. Und wenn ich als Unternehmen Wochen oder Monate stehe, entstehen ja Kosten, die den meisten ja das Knick brechen.

Marc Schmitt: Das ist genau ein wichtiger Punkt, den Sie angesprochen haben, dass man es eben probiert, dass man einen Plan hat. Wir hatten zu Beginn über diese Prävention gesprochen, dass ich als Unternehmen einen Notfallplan habe, sozusagen, dass ich schaue, funktioniert der Plan auch. Weiter wichtiger Punkt für Unternehmen ist, je größer sie werden, dass man seine Systeme, seine Netzwerke segmentiert, dass dort nicht ein System für alles verantwortlich ist, dass es Lottogewinn sozusagen für die Täter, wenn. Sie auf ein System gelangen, wo alles in einem System läuft, dann ist auch die ganze Firma, wie Sie gerade gesagt haben, steht still. Oder das bricht den Firmen dann wirklich oft auch nahezu das Genick. Mit einer Segmentierung der Systeme kann ich hier schon den Täter zumindest viel schwerer machen, die ganze Firma zu kompromittieren.

Thomas Sinnwell: Gut, vielleicht noch für unsere Zuhörerinnen und Zuhörer, noch so zur Erläuterung zum Thema Segmentierung: Man schafft sozusagen, man hat nicht ein großes Netzwerk, was ganz flach ist und wenn ich da mal drin bin, kann ich von einem Punkt lustig zum nächsten springen. Und der Schadcode kann freien Lauf nehmen und viele Systeme erreichen und die dann auch schädigen. Sondern ich habe Strukturen und ich komme erst mal von der einen Struktur in die andere nicht so einfach rüber. Und wenn ich dann irgendwo Schadcode habe, ist es für den Schadcode oder wenn da wirklich noch ein Mensch involviert ist, der hintendran steht, schafft er das nicht so einfach in das nächste Segment reinzukommen oder gleich die ganze Firma lahmzulegen. Aber das ist jetzt vielleicht auch eine gute Gelegenheit, auf das von mir angesprochene fünf Phasen Modell zu sprechen zu kommen. Ich erläutere das mal ganz kurz für unsere Zuhörerinnen und Zuhörer. Da werden einfach fünf Phasen unterschieden, in denen man ganz unterschiedliche Aufgaben zu erledigen hat, um im Bereich Cyber Security möglichst gut aufgestellt zu sein. Das erste nennt sich jetzt - im Englischen - IDENTIFY. Da geht es also in dieser ersten Schicht oder Phase darum, überhaupt mal zu wissen, was habe ich denn in meiner Firma an IT Infrastruktur, indem man da wirklich eine Bestandsaufnahme macht. Wenn man es professioneller macht, kann man auch so was wie eine CMDB betreiben. Da habe ich dann alle Informationen hinterlegt, aber ich brauche auf alle Fälle einen aktuellen Überblick und dann kann ich mir natürlich als zweites überlegen, wenn ich das habe, was ist denn besonders wichtig? Oder was wäre denn ganz schrecklich, wenn das jetzt abhandenkäme, das Wissen, das ein den Systemen gespeichert ist oder was wäre ein Desaster, wenn das System nicht mehr funktioniert? Und wenn ich dann meine Risiken kenne, kann ich natürlich überlegen, wo setze ich denn jetzt mit den Schutzmaßnahmen an. Das meint so Phase eins. Ich würde jetzt eigentlich noch dazu ergänzen, da passt für mein Dafürhalten, wenn man sich darum kümmert, überhaupt mal festzustellen was habe ich, was will ich schützen, das Training der Mitarbeiter oder diese Sensibilisierung. Wir hatten ja drüber gesprochen. Aus meiner Sicht ein ganz günstiger Punkt. Das kann man auch mit Dienstleistern machen, manche Unternehmen machen das auch in Eigenregie, aber es ist erst mal nicht so kostenintensiv und bringt schon mal viel Wirkung. Sehen Sie das auch so?

Marc Schmitt: Das ist ein wichtiger und richtiger Punkt, dass in den Unternehmen, in den Wirtschaftsunternehmen sensibilisiert wird, wie Sie es gerade geschildert haben. Wichtig ist auch, dass ich alle sensibilisiere in den Unternehmen, angefangen von demjenigen der Reinemachefrau beispielsweise, die aber auch einen, um im Intranet der Firma beispielsweise nachschauen, nach Informationen schauen zu können, bis hin zur Führungskraft, zur Geschäftsführung, dass ich alle sensibilisiere, die über einen Zugang zum Intranet oder zum Firmennetzwerk verfügen, das jeder weiß oder jeder sensibel ist für Nachrichten. Wir haben es eben angesprochen, wenn eine Mail kommt mit Anhang, dass man nicht einfach drauf klickt, dass man nachfragt, dass alle Awareness haben in dem Unternehmen. Und alle wissen, dass es möglich ist, dass eine E-Mail kommt vielleicht vom Chef, die aber nur so aussieht, als wäre sie vom Chef. Und in Wahrheit ist es dann wie eben schon besprochen Schadsoftware. Diese Sensibilität ist für alle wichtig.

Thomas Sinnwell: Jetzt muss ich gerade dran denken, ich war letzte Woche noch auf einer Veranstaltung von CYBR360. Das ist jetzt so, letztendlich war im saarländischen Wirtschaftsministerium initiiert ein Zusammenschluss von Unternehmen, aber auch Anwendern, die sich mit dem Thema Cyber Security beschäftigen und anderen Akteuren. Und da habe ich von vielen Anwendern einfach gehört. Wichtig wäre es, wenn es der Chef dann auch mal so richtig nachvollziehen könnte. Das heißt, da wurde gleich das Thema Awareness-Training. Ja, das muss aber auch der Chef wissen, weil sonst habe ich keine Chance in meinem Unternehmen. Ich bekomme es nicht durch, weil da habe ich keine Rückendeckung. Insofern glaube ich, ist das ein ganz, ganz wichtiger Punkt, dass auch in den Chefetagen, in Vorstandsetagen dafür ein Bewusstsein entsteht und auch Know-how aufgebaut wird. Sonst haben die Ebenen drunter es wahnsinnig schwer.

Marc Schmitt: Genau. Es ist wirklich so, dass oft von oben Awareness empfohlen wird. Aber man hört dann irgendwo bei einer Hierarchieebene unter der Geschäftsführung hört es auf. Und der Chef an sich ist der Meinung, er kennt sich gut aus, aber das ist eben oft auch nicht der Fall. Cybercrime oder Cyber-Straftaten sind speziell. Die Täter gehen sehr perfide oder sehr geschickt vor und man ist eben nicht gefeit. Und deshalb sollte, wie eben gesagt, in jeder Ebene Awareness vorherrschen, auch in der Chefebene sozusagen und diese sollten nicht ausgenommen sein und genauso den Anhang nicht einfach drauf klicken wie die Mitarbeiter.

Thomas Sinnwell: Dann würde ich gern nahtlos zu dieser zweiten Phase des Modells übergehen, die sich dann PROTECT, also schützen nennt. Weil wir haben ja festgestellt, ich kann meine Mitarbeiter sensibilisieren, aber Angriffe sind dermaßen gut gemacht, es kann trotzdem was passieren. Und es gibt da noch andere Möglichkeiten. Es gibt Innentäter. Je nachdem, wie eine Firewall konfiguriert ist, kommt man da, wenn man gut genug ist, vielleicht auch noch durch. Es gibt das Internet, es gibt die gefakte Webseite, die E-Mails. Es ist ja eine riesen Palette, wie ich mir so Cyber Security Probleme ins Haus holen kann. Also muss ich mich schützen. Was kann man machen? Wir hatten ein wichtiges Thema angesprochen: kein flaches Netz aufbauen, sondern Segmentierung. Jetzt ist es so, wenn man dann jetzt zuhört oder sich dann vielleicht gerade jetzt die Frage stellt, ist das mal eine gute Testfrage in der eigenen IT: Haben wir ein flaches Netz - wenn ich es nicht weiß - oder sind wir segmentiert? Und wenn ich mit Dienstleistern arbeite, ist das vielleicht auch eine Frage "Können die mir helfen, mein Netz zu segmentieren?" Wenn dann auf der anderen Seite ein Schulterzucken kommt, sollte man vielleicht über ein Dienstleisterwechsel mal nachdenken. Weil viele Unternehmen sind ja auch von IT Dienstleistern abhängig. Ja, was brauche ich noch zum Schutz? Firewall. Das ist das erste, was den Menschen einfällt. Ist natürlich eine ganz wichtige Geschichte. Da gibt es das Ganze noch in einer erweiterten Form, nennt sich dann Next Generation Firewall. Und dann habe ich noch eine Intrusion Detektion da drin. Auch durchaus, würde ich sagen, jetzt State of the Art; sicherlich was empfehlenswertes und Virenschutz. Klar, das ist natürlich auch so ein Grund muss was ich so an Schutz aufziehen kann aber dann habe ich ja noch mehr Möglichkeiten. Sie hatten zwei Faktor Authentifizierung angesprochen und das geht ja auch so ein bisschen in diese Richtung, so Zero-Trust Ansätze, dass ich erst mal dem davon ausgehe, dass ich keiner technischen Komponente vertrauen kann. Da kann man eine ganze Menge machen, aber das ist dann alles schon advanced. Und ich habe es bewusst mal so in dieser Reihenfolge, wie ich es wahrnehmen aufgezählt, um den Zuhörerinnen und Zuhörern einfach mal eine Idee zu geben, wo kann man starten, wo endet es dann eher? Dann können wir aber auch schon nahtlos in die Phase drei übergehen. Die nennt sich dann DETECT und letztendlich ja Detektieren, was mitbekommen. Da geht es ja darum, wenn jetzt schon durch den Faktor Mensch oder durch eine technische Schwachstelle, ein Problem entstanden ist und sich Schadcode breit macht in meinem Unternehmen, dann ist es natürlich entscheidend, wie lange dauert es, bis ich das mitbekomme. Das heißt und das kriege ich ja nicht das Handauflegen raus, das muss ich jetzt, irgendwie brauche ich Tools Hilfsmittel, wäre aus meiner Sicht dann so die nächste Stufe dessen, was man machen kann und vielleicht auch machen sollte. Wie stehen Sie dazu, so aus Ihrer Erfahrung - jetzt?

Marc Schmitt: Wie gesagt, alle Regeln oder alle Bereiche, die Sie jetzt angesprochen haben, sind sehr wichtig, insbesondere bei Unternehmen, dass Sie eben im Vorfeld oder sich, wenn Sie einen Plan entwickeln, wie schütze ich mich, dass Sie feststellen, so ist mein Zustand jetzt, das ist die Normalität. Diese Daten, je nach Unternehmen sind der Normal Fluss. So das dann mit. Sie haben es gerade festgestellt oder dargelegt, dass Unternehmen eben mit Tools oder entsprechenden Mechanismen festlegen, wenn dies nicht mehr der Fall ist. Also es ist kein normaler Fluss mehr in der Überprüfung oder in den Daten da, dann liegt eine sozusagen Anomalie vor, wo ich genauer draufschauen muss, wo dann praktisch derjenige, der das betreut, auch sensibel ist. Aha. Oder ein Alarm, Bildlich gesprochen auf einem Monitor auftaucht. Jetzt ist unnormaler Zustand. Schau nach, was ist da genau passiert? Und dann habe ich auch eine relativ schnelle Reaktion auf einen Schadsoftware Vorfall, der das System immer in irgendeiner Art und Weise - sage ich mal -verändert. Und diese Veränderung festzustellen, das ist wichtig und deshalb ist es elementar wichtig, auch einen Plan, wie Sie eben gesagt haben, das NIST Modell ist also dieses fünf Phasen Modell ist da für sehr geeignet, das festzustellen. Ich habe eine Anomalie und kann direkt darauf reagieren.

Thomas Sinnwell: Also jetzt gerade, wo Sie das Thema Anomalie ansprechen, aus meiner Sicht ist das der Tipp, den ich jetzt unseren Zuhörern und Zuhörerinnen mitgeben möchte. Wenn man sich jetzt Gedanken macht um Monitoring Systeme - es gibt so viele - um jetzt einfach mal ein paar Vokabeln reinzuwerfen, so am Anfang die Intrusion Detektion oder wenn dann so Signatur-basiert so ein Angriff detektiert wird – Signatur-basiert heißt, der ist schon irgendwo auf der Welt passiert -, ist in der Datenbank drin und der Anbieter meines Intrusion Detektion Systems kennt den, hat diese Signatur auf mein System geladen und dadurch erkennt das System, wenn so ein Angriff reinkommt und wenn es dennoch sperren kann, dann ist es halt in Intrusion Prevention. Ansonsten sehe ich es erst mal nur und dann ist es Intrusion Detection. Dann geht das aber ja lustig nahtlos weiter. Dann kann man Sandbox Systeme einsetzen. Vielleicht eher ein Thema für größere Unternehmen, so klassischerweise. Dann gibt es diesen Bereich Network Detection und and Response; das ist eigentlich die Schiene, da .Da schaue ich so in den Netzwerkverkehr in der Nord Süd -, Ost West - Verkehr und kann da natürlich durchaus auch Änderungen feststellen, Anomalien, die man sich anschauen muss. Es gibt ganz stark Machine Learning - basierte Anomalie-Erkennungsverfahren, die muss ich beherrschen können, dann brauche ich das entsprechende Team. Die sind sehr mächtig und sicherlich, was die Erkennung von Zero Day Exploits betrifft, vielleicht die beste technische Möglichkeit, aber die hat einen Preis. Sie ist für kleine Strukturen eigentlich nicht beherrschbar. Und wenn ich dann weitermache und am Ende der Kette komme ich dann irgendwann ja auch noch bei End Point Protection an, wenn ich so einen was weiß ich einen deutschen Antivirenhersteller habe oder auch so große amerikanische, dann habe ich eigentlich schon End Point Protection. Da gibt es natürlich noch Systeme, die gehen da noch einen Tick weiter und ganz am Schluss gibt es noch die SIEM -Systeme. Das ist jetzt ein Technik-Zoo und da würde ich jedem mitgeben wollen, wichtig ist, dass wenn das System was meldet, dass ich als Mensch, der davorsitzt, was damit anfangen kann, weil sonst ist das, was Sie eben angesprochen haben, gar nicht möglich. Ich sehe oh Gott, ein Problem, eine Attacke, hohe Kritikalität. Aber jetzt kommt ja die entscheidende Frage, was mache ich denn dann? Und das ist dann auch nahtlos der Übergang zu dieser vierten Phase im Modell RESPOND, also irgendwie da zu reagieren. Und das ist ein entscheidender Punkt. Insofern ist das für mich ein ganz wichtiges Kriterium bei Monitoring System; helfen die mir auch nicht nur das Problem zu sehen, sondern vielleicht was an die Hand zu geben - was mache ich denn jetzt am besten?

Marc Schmitt: Genau da kommen wir jetzt auf einen wichtigen Punkt oder mitunter vielleicht auch den wichtigsten Punkt hier, wie reagiere ich auf einen solchen Vorfall? Auch da möchte ich nochmals erinnern an diesen Plan, den ich mir als kleines Unternehmen, mittleres oder großes Unternehmen machen sollte, den Notfallplan. Notfall-IT-Plan sozusagen für den Ernstfall jetzt, wenn ich darauf reagiere auf diesen Vorfall, dann muss ich wissen, wen kann ich anrufen?, wo kann ich anrufen? Idealerweise, wer ist mein Ansprechpartner? Vielleicht hat man sich schon vorher mal besprochen, was mache ich, was braucht derjenige hier? Kommen wir auch als Polizei oder als ZAC? Das ist ein Mittel, was die ZAC bereitstellen will, ein Ansprechpartner. Man hat sich vorher schon mal besprochen, man weiß, die Gesichter kennen sich, dann geht alles schneller. Ich als Betroffener weiß auch schon im Rahmen dieses Ablaufes ist dieser Stufen, was muss ich bereithalten, was kann ich der Polizei oder der Strafverfolgung direkt anheimgeben? Wen informiere ich diesen Plan, wenn ich den schon in der Schublade habe? Dann kann ich auf einen Vorfall immer viel, viel besser reagieren, als wenn ich feststelle, wie Sie es gerade geschildert haben. Oh, es ist was, eine Anomalie ist aufgetreten. Was mache ich denn jetzt? Und jetzt mache ich erst mal Brainstorming oder überlege wertvolle Zeit, die verloren geht, die ich, wenn ich einen Plan aus der Schublade ziehe, schon überbrückt habe und kann direkt in die sozusagen in die Vorfallsbekämpfung einsteigen. Deshalb ist diese Response oder Reaktionsphase unheimlich wichtig, auch zu wissen, praktisch ein Notfallplan zu haben.

Thomas Sinnwell: Genau. Und da würde ich jetzt gerade noch mal so - da fallen mir nämlich jetzt Sequenzen aus dem ersten und zweiten Podcast zum Thema Cybersecurity ein. Dann schlägt nämlich der Faktor Mensch auch zu. Wenn man das plötzlich feststellt, oh je, bin ich schuld, habe ich das …? Was mache ich jetzt eigentlich? Oh Gott, was passiert denn da? Vielleicht ist meine Telefonanlage auch schon verschlüsselt. Ich kann noch nicht mal anrufen. Und dann entsteht schnell Panik. Wenn ich dann keinen Notfallplan habe, ist es sehr schwer, noch rational und vernünftig zu agieren. Aber wenn ich die Checkliste habe, kann ich die ablaufen. Jetzt mache ich das, dann mache ich das, dann mache ich das. Und das hilft ungemein.

Marc Schmitt: Genau da will ich auch nochmal kurz eingreifen. Deshalb ist es auch wichtig. Sie haben gerade gesagt, vielleicht ist die Telefonanlage verschlüsselt oder das ganze System verschlüsselt. Deshalb ist es auch immer ratsam, diesen Notfallplan oder die Notfallkontakte in der digitalen Zeit auch analog vorzuhalten, einen Notfallordner im Regal sozusagen zu haben, den ich rausziehen kann, wo ich die Notfallnummern, die Kontaktdaten hab von egal wem, dem BSI, der Polizei, meiner IT Firma, die mich betreut, damit ich diese noch weiß und nicht nur alles im dann verschlüsselten Computer habe, der mir dann nicht mehr weiterhilft. Deshalb ist das auch wichtig, diesen Plan analog ausgedruckt im Schrank stehen zu haben.

Thomas Sinnwell: Absolut. Da würde ich das gerne auch als Anlass nehmen, zum letzten Punkt des Fünfphasenmodells zu kommen. Zu dem Bereich Recover. Wenn es denn jetzt wirklich passiert ist und der Schadcode hat sich breitgemacht und vielleicht habe ich Glück und habe ein segmentiertes Netz und vielleicht habe ich sogar noch Monitoring Lösungen, die mir helfen, nachvollziehen zu können, welches Segment ist denn überhaupt betroffen? Und vielleicht sind es dann nur zwei von meinen fünfzehn? Ja dann muss ich aber die Systeme in diesen zwei Segmenten, die betroffen sind, noch mal neu aufsetzen. Dann brauche ich das funktionierende Backup. Ich brauche das Know-how oder den richtigen Dienstleister. Und das sind all die Dinge, die man in dieser letzten Phase macht. Ich denke, jetzt haben wir ja doch nun doch recht breiten Durchstich durch diese ganzen Möglichkeiten gemacht. Und wenn man das so hört und nicht vom Fach ist, mag das irgendwie so - vielleicht ein bisschen - oh Gott, was, das ist ja so komplex, aber da brauche ich ja gar nicht erst anzufangen. Ich glaube, man kann das in kleinen Schritten machen. Und kann man da auch schon auf das ZAC zukommen, wenn man so diese ersten Schritte macht, um sicherer zu werden, um sich vielleicht den einen oder anderen Rat noch einzufangen.

Marc Schmitt: Die Polizei oder die Zentrale Ansprechstelle Cybercrime ist für alle Firmen da, für alle Wirtschaftsunternehmen, ob klein, mittel oder groß. Wir unterscheiden nicht und sagen erst, wir werden erst tätig, wenn ein Unternehmen fünfzehn oder fünfzig Mitarbeiter hat. Auch kleine Firmen, die eine Frage in dem Bereich haben, können sich über diese ZAC Hotline oder über die Telefonnummer an uns wenden. Wir können natürlich nicht die Beratungsfunktion einer Cyber-Sicherheitsfirma übernehmen. Das wollen und dürfen wir auch nicht. Aber auch eine solche Firma, ich hatte es anfänglich erwähnt, wird darauf hingewiesen, dass es Möglichkeiten zum Beispiel über das BSI oder verschiedene Institutionen, Vereine gibt, die zum Teil kostenlos, zum Teil günstig, dann nach oben wie in allen Bereichen sind ...

Thomas Sinnwell: … oben offen.

Marc Schmitt: Nach oben offen, Geld kostenmäßig sich informieren können und dann sichern können. Aber wir haben es ja anfänglich schon besprochen. Ein Basisschutz auch für ganz kleine Unternehmen ist eigentlich so gut wie kostenlos realisierbar. Und das ist diese Informationsleistung, die wird von der ZAC, da wird nicht unterschieden, ist ja ein Unternehmen klein oder groß. Was man nochmals sagen muss Die zentrale Ansprechstelle Cybercrime richtet sich an Wirtschaftsunternehmen und Institutionen oder Behörden. Sie richtet sich eher nicht an Privat Bürger, weil das einfach ein zu großer Kreis wäre für eine Beratungsunternehmung. Aber damit hat man jetzt seitens dieser Vereinigung oder seitens dieses Cyber 360 eine Möglichkeit geschaffen, wo sich auch der Privatmensch informieren kann, hier im Saarland über gewisse Schutzmöglichkeiten. Aber wie gesagt, für Firmen stehen wir Kleinen wie Großen zur Verfügung.

Thomas Sinnwell: Das ist schön und das ist vielleicht ein guter Punkt um jetzt ein Fazit zu ziehen und ich würde es gerne in der Form machen. Was würden Sie denn gerne unseren Zuhörerinnen so zum Schluss unseres Podcasts noch mit auf den Weg geben wollen? Ja, so im Kontext einfach mehr Cyber-Resilienz im eigenen Unternehmen erzeugen zu können.

Marc Schmitt: Zum einen was mir wichtig mitzugeben ist, die Polizei als Partner aufzufassen. Wie gesagt, wir sind ja präventiv und repressiv tätig, das heißt präventiv, sich an uns zu wenden, keine Scheu zu haben, sich an die Polizei zu wenden, auch wenn ein Vorfall passiert ist, dass man sich an die Polizei wendet. Wir legen keine Systeme platt sozusagen, oder wir kommen in die Firma und holen alles mit. Sondern wir arbeiten immer mit dem Unternehmen zusammen. Auch wenn ein externes Sicherheitsunternehmen von der Firma engagiert wird, dann machen wir das in Zusammenarbeit mit dem jeweiligen Dienstleister, so dass die Polizei hier immer abwägt zwischen Beweismittel Sicherung und Lebensfähigkeit des Unternehmens. Zum anderen ist es wichtig zu wissen, eine weitere Angst heutzutage, wenn ich mich an die Polizei wende, stehe ich morgen irgendwo in der Presse oder im Rundfunk oder im Internet. Die Polizei macht keine eigene Pressearbeit ohne Rücksprache mit dem Unternehmen selbst. Wenn wir angefragt werden, verweisen wir immer auf das betroffene Unternehmen und sagen nicht natürlich, fahren wir zu dem Unternehmen XY, dort ist ein Cyber-Vorfall passiert, dann wird uns nie mehr ein geschädigtes Unternehmen benachrichtigen. Elementar wichtig ist, um Informationen zusammenführen, Sachen anzuzeigen. Die Denkweise, das ist mir passiert, da kommt eh nichts bei raus, die Täter sitzen irgendwo XY auf einem anderen Kontinent. Wenn das viele denken, dann kommt Jahre später irgendwas durch Zufall ans Licht und wertvolle Informationen, um vielleicht Strukturen zu erkennen, gehen verloren. Das heißt anzeigen, wenn eine Sache vorgefallen ist, auch wenn man selbst im ersten Moment denkt, es passiert, es passiert nichts oder es wird Niemand ermittelt. Trotzdem ist es wichtig im Kontext, um solche Sachen, um Informationen zusammenzuführen. Damit mit den Informationen steht und fällt der Ermittlungserfolg. Und wie gesagt, Firmen sollten sie schützen. Man sollte sich Gedanken machen mit dem Thema Cybersicherheit, um nicht erst dann sich damit zu befassen, wenn das Kind, wie Sie es gesagt haben, in den Brunnen gefallen ist.

Thomas Sinnwell: Da würde ich jetzt gerne noch einen Gedanken anfügen, der mir jetzt gerade beim Zuhören Ihres Fazits so durch den Kopf gegangen ist. Und zwar komme ich da noch mal auf diese Veranstaltung zurück bei CYBR360. Da wurde auch aus dem Auditorium so der Aspekt reingebracht, naja, man hat ja auch eine gesellschaftliche Verantwortung und in dem Kontext finde ich das dann sogar ganz passend, weil mir so was als Unternehmen passiert, kann ich, wenn ich mich rechtzeitig auch an die Polizei wende, wenn es eine  Indiziensicherung gibt, kann ich durchaus einen Beitrag leisten oder es gibt eine Chance, dass es dann anschließend nicht noch allzu vielen Unternehmen passiert, weil es gelingt ja auch immer wieder Tätergruppen zu ermitteln und neben dem Aspekt halte ich es auch für wichtig, dass man dann ruhig offen darüber spricht. Das ist keine Schande. Es kann jedem Unternehmen passieren und egal, in welchem Stadium ich in diesem fünf Phasen Modell bin habe, bin ich gerade gestartet oder bin ich schon voll professionell aufgestellt. Es kann jeden treffen. In dem Sinne hoffe ich, dass wir ein bisschen Aufklärungsarbeit für unsere Zuhörerinnen und Zuhörer leisten konnten. Mir hat es viel Spaß gemacht, Herr Schmitt, mit Ihnen zu sprechen. Vielen Dank, dass Sie mich unterstützt haben.

Marc Schmitt: Dankeschön! Ich bedanke mich für die Einladung hierher.

Thomas Sinnwell: Ja, an unsere Zuhörerinnen und Zuhörer. Das war jetzt die letzte Folge in unserer Dreierreihe zum Thema Cyber Security. Ich hoffe, dass es meinen Gesprächspartnern und mir gelungen ist, jeden Zuhörer, jeder Zuhörer doch etwas mit auf den Weg geben zu können, um mehr Cyber Security zu erreichen. Wir gehen jetzt erstmal in die wohlverdiente Winterpause. Habt eine gute Zeit, bleibt gespannt. Tschüss.

Marc Schmitt: Tschüss.

Liebe Zuhörer und Zuhörerinnen. Wir hoffen, ihr seid gut ins neue Jahr gekommen. Das consistec-Team verabschiedet sich an dieser Stelle, da wir eine Pause von unserem Querverlinkt Podcast machen. Wir hoffen, das Staffelfinale hat euch gefallen und dass wir das Thema Cyber Security von unterschiedlichen Perspektiven aufzeigen konnten. Wie immer findet ihr weiterführende Links zur aktuellen Folge in den Shownotes. Und wenn ihr mehr darüber erfahren wollt, was wir bei consistec so treiben, dann könnt ihr uns gerne auf unseren Social Media Kanälen folgen. Wir wünschen euch ein wunderbares 2023. Bis dann. Tschüss!