Cyber Security Teil 1 – Faktor Mensch: Awareness, Prävention, Emotion

Thomas Sinnwell: Herzlich Willkommen zu unserem neuen Podcast in der Rubrik Technik über dem Tellerrand. Heute geht es um das Thema Cybersecurity und wir produzieren die erste Folge einer Dreierreihe. Ich habe heute Frau Prof. Dr. Mana Mojadadr zu Gast. Neben Ihrer Professur an der Hochschule für Technik und Wirtschaft des Saarlandes, ist Mana Mojadadr Innovationsberaterin, Unternehmerin und Aufsichtsrätin. Und trägt den Titel Professorin des Jahres 2021. Dort erreichte Sie den zweiten Platz in Deutschland. Herzlich Willkommen.

Mana Mojadadr: Ich danke dir Thomas.

Thomas Sinnwell: Schön, dass du da bist. Sei doch bitte so nett und stell dich ganz kurz vor, dass unsere Zuhörerinnen da noch ein bisschen ein besseres Bild bekommen können.

Mana Mojadadr: Ja. Gerne. Wie du schon beschrieben hast im Hauptberuf bin ich Professorin. Habe unfassbar viel Freude daran jungen Menschen, nicht nur betriebswirtschaftliche Themen beizubringen, sondern aus der Praxis, aus der Unternehmenslandschaft aktuelle Problemstellungen mit den jungen Menschen zusammen zu arbeiten und Lösungen gemeinsam zu finden.

Thomas Sinnwell: Ja Mana. Ich würde gerne das Stichwort aus der Praxis aufgreifen und unseren Zuhörern die Chance geben, einen Betroffenen zu hören und dank deiner Vermittlung, da habe ich mich sehr darüber gefreut, war es ja möglich, dass wir uns mit Herrn Storb von der LEG-Services GmbH unterhalten durften. Und er hat uns berichtet, wie es ihm erging, als sein Unternehmen gehackt wurde.

Andreas Storb: Für mich war dieser Angriff eine fürchterliche Erfahrung. Ich möchte so etwas nicht wieder erleben. Wir sind gehackt worden, obwohl wir ein Informationssicherheitsmanagementsystem eingeführt und seit mehreren Jahren aufrecht erhalten haben. Im Falle eines Hacks wir einem schlagartig klar, in welchem Maße eine Organisation von der Verfügbarkeit von IT- Systemen anhängig ist. Wenn Telefonie, E-Mail Kommunikation und Zugriff auf Daten oder Buchungssysteme unmöglich ist, ist die Organisation quasi Handlungsunfähig. Hierzu kommt das auch nach einem Hack mit Hinblick auf die Strafverfolgung auch Forensische Untersuchungen stattfinden die auch eine gewisse Zeit in Anspruch nehmen. Man kann sich auf vieles Notfallmäßig vorbereiten, allerding stößt die Schaffung von Redundanzen auch an Wirtschaftliche Grenzen.

Thomas Sinnwell: Mana. Ich möchte jetzt gemeinsam mit dir auf die sehr naheliegende Frage eingehen. Sind Cyber- oder Hackerattacken unvermeidbar oder kann man sich darauf vorbereiten?

Mana Mojadadr: Ich denke man kann sich definitiv vorbereiten. Ich glaube die hundertprozentige Sicherheit gibt es nicht. Und das ist auch mittlerweile ein Spruch, der sich irgendwo etabliert hat. Ich gebe zu Geschäftsführende, Vorstände, Aufsichtsräte können das auch so nicht mehr hören. Warum? Weil es dann oft heißt, wir bereiten uns vor. Und ich freue mich sehr, dass wir heute ein bisschen darüber sprechen können. Und oft wird verwechselt Cybersicherheit bedeutet eben nicht, ich muss ein Techy sein. Es bedeutet auch nicht, dass ich unbedingt ein IT-Führerschein brauche. Es bedeutet eher, wie kann ich als Unternehmen auch mit meinen Mitarbeitenden, egal welchen Job sie tagtäglich durchführen, mich vorbereiten und eben bewusster mit dem Thema umgehen, um die Risiken zu minimieren.

Thomas Sinnwell: Ja. Du sprichst da sehr wichtige Themen an, die ich auch gerne vertiefen möchte. Zuvor würde ich aber gerne meiner Neugierde freien Lauf lassen und ich denke, dass ist dann auch im Sinne unserer Zuhörenden. Wie kommt man denn, wenn man mit BWL startet, so zielgerichtet zu Cybersecurity?

Mana Mojadadr: Wie das so richtig gekommen ist, weiß ich auch nicht. Vielleicht hat es etwas mit einem Helfersyndrom zu tun. Beruflich gesehen war mir klar, nach der Promotion im Bereich Wirtschaftsprüfung, dass ich in die große weite Welt hinaus will. Da es aber unfassbar wichtig ist, nicht nur das was man gelernt hat, irgendwie als Expertin ausleben zu können, sondern eher zu schauen, wo bewegt sich denn momentan der Markt hin? Wie kann ich auch von anderen Geschäftsmodellen, anderen Branchen lernen? Und da war es für mich irgendwie klar, dass ich unbedingt in die Software-Branche möchte. Damals durfte ich dann beim Vorstand und Aufsichtsrat als Vorstandsassistentin der SAP in Waldorf beginnen zu arbeiten. Und da war es unfassbar spannend zu sehen, was da alles zusammenkommt. Und nicht nur um Software, IT oder Innovation zu verkaufen, sondern eigentlich, wie kann ich helfen? Wie kann ich Prozesse, Menschen dabei unterstützen ihren tagtäglichen Ablauf besser zu gestalten?

Thomas Sinnwell: Ja. Das war denke ich dann auch eine superspannende Phase so in deinem Werdegang. Und aber du bist dann auch ein bisschen weitergegangen. Was machst du jetzt in diesen Bereichen?

Mana Mojadadr: Ja. Also danach war ich selber auch Geschäftsführende in Italien bei der Tochtergesellschaft von SAP und habe dort auch im Mittelstand helfen können. Also da durfte ich auch ein bisschen die Flughöhe ändern von ich sage mal ganz großen internationalen Konzernen als Kundschaft zu Mittelstand, klein bis mittelgroß. Italien war ein sehr schwieriger Markt und bedeutet auch vieles, was in der Wirtschaft da nicht funktioniert, hat eben nicht unbedingt nur mit Software ausgleichen zu tun. Sondern vielmehr auch unter Umständen miteinander zusammen zu erarbeiten. Wie können wir Dinge anders machen? Innovativer machen? Besser machen? Sicherer machen? Und-.

Thomas Sinnwell: Der Neugierde halber, gab es da von der Mentalität her einen Unterschied bei diesen Themen? Im Umgang mit diesen Themen?

Mana Mojadadr: Ja also ja. Irgendwo schon glaube ich. Also es hat schon was mit den Kulturen zu tun. An einigen Stellen würden vielleicht die Deutschen sagen, die Italiener sind uns etwas hinterher. Ich war überrascht an einigen Stellen zu sehen, dass die italienische Branche vieles auch vorgemacht hat. In Mailand gibt es auch eine große Bankenbranche und dort sind ja auch die Banken, sei es jetzt Finanzmarkt-seitig sehr stark reguliert, aber auch was das digitale Thema angeht. Aber auch was die Sicherheitsthematik angeht sind sie doch einiges vorausgewesen, weil es ebenso stark und streng reguliert war.

Thomas Sinnwell: Ja jetzt würde ich gerne auf das Thema zu sprechen kommen, wie es denn ist, wenn man gehackt wird. Lass uns dazu doch zur Einstimmung in unseren Mitschnitt des Gesprächs mit Herrn Storb reinhören.

Andreas Storb: Am frühen Morgen des 03.11.2020 erhielt ich einen Anruf eines Systemadministrators, der mir mitteilte, dass ein Verschlüsselungstroyaner erfolgreich entpackt wurde und große Datenmengen verschlüsselt hat. Der kriminelle Angreifer hat eine sechsstellige Lösegeldforderung hinterlassen. Diese Forderung hat sich nach 10 Tagen automatisch verdoppelt. Ich habe daraufhin unmittelbar die Geschäftsführung informiert. Es wurde sodann eine Dringlichkeitssitzung der Geschäftsführung anberaumt bei der entschieden wurde, dass erstens die Leg Service auf die Lösegeldforderung nicht eingeht, dass eine Strafanzeige gestellt wird, dass das unabhängige Datenschutzzentrum zunächst telefonisch, später schriftlich informiert wird, dass ein Team zusammengestellt wird, welches unter meiner Leitung den sicheren Wiederaufbau der zerstörten Systeme umsetzt und dabei war auch externe Expertise mit einzubeziehen. 

Thomas Sinnwell: Mana. Jetzt hast du ja auch Mandanten, die Opfer eine Cyberattacke wurden und hast entsprechende Gespräche geführt. Wie ist denn deine Wahrnehmung, wie sich das für die Betroffenen anfühlt, wenn sie feststellen, dass ihr Unternehmen gehackt wurde? Kannst du uns dazu noch ein wenig erzählen?

Mana Mojadadr: Ja. Gerne. Ich meine natürlich ist es so, dass einige meiner Mandanten nicht gerne darüber sprechen. Ich denke es braucht mehr solcher Events und Diskussionen, um auch genauer aus den Erfahrungen zu lernen. Und oft, wenn man in die Presse schaut, hört man oder liest man nur, da wurde wieder irgendetwas gehackt. Irgendwie steht der Laden still. Irgendwie scheint da irgendetwas nicht zu funktionieren. Dann ist oft von Erpressungsgeld die Rede. Und das war es dann meistens auch. Und dann wird auch viel mit Angst gespielt, was meines Erachtens den Hackern oder den Organisationen, die genau darauf aus sind, unfassbar in die Karten spielt. Auf der tatsächlichen Betroffenenseite, sprich ein IT-Leiter, ein Admin, die geschäftsführenden Vorstände, aber auch Mitarbeiter, sind oftmals richtig traumatisiert, wenn ihnen so etwas passiert. Weil es oft diesen Effekt hat, eigentlich passiert uns das doch nicht. Das ist doch irgendwo so ein Cyberwar irgend so eine Thematik, wie gesagt so ein Techy-Thema. Was hat das mit uns zu tun? Wenn es dann passiert und das Kind in den Brunnen gefallen ist, ist es oft unfassbar schwierig so schnell wie möglich zu schauen, wie können wir wieder eine Normalität schaffen? Das heißt technisch, aber auch an dem Miteinander und natürlich auch damit der Laden nicht stillsteht.

Thomas Sinnwell: Ich bin jetzt in der glücklichen Lage selbst eben Gott sei Dank nicht Betroffener zu sein. Habe bisher wenig Gelegenheit gehabt wirklich mit Betroffenen sprechen zu können. Meine Wahrnehmung aber bei den wenigen Gesprächen, die ich durchführen durfte, ist, dass das Thema schambehaftet ist. Und das ist vielleicht sogar auch ein starker Begriff, aber auch die Anmutung von Missbrauch hat. Da wird ja wirklich was Zwangshaft durchgeführt und die Leute haben in dem Moment keine Chance sich da irgendwie dagegen zu währen.

Mana Mojadadr: Absolut. Es hat ja auch was mit dem großen Gefühl zu tun, habe ich jetzt den Fehler verursacht? Bin ich jetzt die Schwachstelle in diesem ganzen Konstrukt? Und das ist dann auch meistens das Problem bei der Fehlerbehebung. Oder wenn man schnell die Schwachstelle eigentlich ausgleichen möchte. Hacker handeln in Sekundenschnelle oder wenn es Systeme automatisch ausgeführte Schadsoftware sind, da geht es ja auch um Sekunden. Und wenn es dann darum geht, dürfen wir bitte an der Ursache nochmal arbeiten. Wo war denn jetzt die Schwachstelle? Kommt natürlich auch der Faktor Mensch an der Stelle etwas unbequem, wie du sagst, schambehaftet einfach hoch. Weil es eigentlich nur darum geht, bitte lass uns daran arbeiten. Und es kann aber sein, dass Mitarbeitende an der Stelle gar nicht wirklich helfen können oder wollen, weil sie denken, vielleicht war ich es. Vielleicht bin ich Schuld, dass es meinem Unternehmen gerade richtig schlecht geht.

Thomas Sinnwell: Ja. Je nachdem was für eine Kultur in einem Unternehmen herrscht, brauchen sich die Leute auch nicht zu sagen, ich glaube ich habe da auf den falschen Link gedrückt. Und das wäre eigentlich dann aus meiner Sicht jetzt so aus dieser technischen Sicht ein sehr guter Zeitpunkt zu sagen, hallo Leute möglicherweise bin ich da gerade an eine falschen Stelle geraten. Dann hat die IT durchaus noch oder sie kann eine Chance haben da noch das Ganze zu begrenzen. Und wenn man sechs Wochen wartet, dann wird es auch wirklich schwierig. Ja. Insofern hat es doch glaube ich ganz viel mit Mindset zu tun und insofern halte ich es für enorm wichtig, dass man darüber spricht. Und ich habe am Anfang ganz bewusst so diese Frage gestellt, ist das unvermeidlich? Da können wir noch ein bisschen tiefer einsteigen. Ich denke man kann sich vorbereiten, aber auf der anderen Seite, das ist heutzutage eine ganz reale Bedrohung. Das trifft eben nicht nur die anderen, da kann man auch selbst ganz schnell ins Fadenkreuz geraten und oder auch einfach Opfer eines Zufallsangriffs werden. Das ist ja nicht alles zielgerichtet, was da läuft.

Mana Mojadadr: Ja absolut. Ja. Und wir sehen es in den Statistiken. Du hast den Lagebericht der Nation der IT-Lage in Deutschland mitgebracht. Da wurde uns ja auch die rote Karte in der Bundesrepublik Deutschland gezeigt was sozusagen der Status auf Wirtschaftsebene, also sprich in Unternehmen angeht. Was die Vorbereitung eben genau für solche Angriffe zählt und die schwarze Ziffer, die irgendwo immer über einem schwebt, ist, wahrscheinlich ist jeder schon gehackt worden nur eben noch nicht alle haben es tatsächlich verstanden, dass sie gehackt worden sind.

Thomas Sinnwell: Oder bemerkt. Oder es passiert demnächst. Oder aber der Code schlummert schon in den eigenen Netzen. Ja ich habe in der Tat die Lage zur IT-Sicherheit in Deutschland 2021 nochmal mitgebracht und da stehen wahnsinnig viele spannende und beängstigende Aspekte drin. Und das wäre jetzt völlig deplatziert, dass hier im Podcast durchzukauen. Aber ich habe einfach für die Zuhörer mal schon eine Zahl mitgebracht, die ich spannend finde oder die einem wirklich dann auch klarmacht, das ist ein reales Risiko. Und zwar so in dieser Rubrik neue Schadprogrammvarianten. Das ist so die große Challenge. Die werden recht häufig generiert und auf der Abwehrseite muss man schauen, kann ich denn diesen neuen Schadcode irgendwie erkennen, irgendwie abwehren? Habe ich denn da eine Chance? Und vom BSI wurde jetzt ein Beobachtungszeitraum gewählt von Juni 2020 bis Mai 2021. In dieser Zeit, in diesem Berichtszeitraum, gab es 144 Millionen neue Schadcodevarianten. Das muss man sich wirklich mal auf der Zunge zergehen lassen. Und ich denke so eine Zahl macht dann schon klar, ja das ist ein ganz reales Risiko. Das kann grundsätzlich jeden treffen. Ich habe aber auch noch eine zweite Sache gefunden, und zwar im Mix-Magazin bei Heise. So beim Durchlesen ist mich das Ganze angesprungen und die beziehen sich auf den SonicWall-Cyber Report 2022, also auch ganz aktuell. Und da geht es speziell um Ransomware-Angriffe und im Jahr 2021 sind zum Vergleich zu 2020  diese Ransomware-Angriffe um 105 Prozent gestiegen. Das ist eine echte Hausnummer.

Mana Mojadadr: Aber in der Wahrnehmung wird das jetzt wieder kontraproduktiv sein. Ich sage mal so, Mitarbeitende, die jetzt in der Buchhaltung-. Ich sage mal einen klassischen Job im Backoffice durchführen, werden eher sagen, ok Schadsoftware irgendwelche Varianten, was habe ich jetzt damit zu tun? Was hat das jetzt denn nochmal mit meinem tagtäglichen Doing zu tun? Und wie kann ich denn jetzt tatsächlich unterstützen, dass eben das Risiko minimiert wird? Und wie du schon gesagt hast, ist es ganz viel Schulungsthematik, vorbereiten, viel Kommunikation, viel an der Kultur arbeiten, um eben dann eher darauf aufmerksam zu machen. Es kann jeden Tag eigentlich passieren und es gibt gewisse Spielregeln, wenn ihr irgendwo digitalen Zugriff habt, sei es, dass ihr euch anmeldet am Computer. Sei es, dass ihr ins Buchungssystem geht. Sei es, dass ihr irgendein anderes System benutzt. Dann gibt es dort Spielregeln von Passwortsicherheit bis hin zu, wie und wo darf ich mich wie einloggen? Und wo hebe ich auch bestimmte Dinge auf, die zu schützenswert sind. Backup-Themen sind auch noch ein ganz wichtiges Vorbereitungsthema bei der Thematik. Aber das kann ich auch nicht erwarten. Das ist auch eben nicht ein IT- oder Techy-Thema.

Andreas Storb: Die LEG Service hat die Aufgabe des zentralen IT- Dienstleisters für mehrere Landesgesellschaften übernommen. Nach einer Phase der Konsolidierung und Standardisierung von Infrastruktur und Prozessen, musste die Kritikalität betrachtet und Risiken bewertet werden. Wir haben dies Konsequent, haben uns Auditieren und zertifizieren lassen und sind jetzt im Frühjahr 2022 erfolgreich rezertifiziert worden. Im Auditierungsprozess spielte das Thema Awareness eine sehr wichtige Rolle. Wir haben ein Konzept aufgesetzt, dass quasie als ersten Schritt eine Interview Reihe mit Beschäftigten verschiedener Gesellschaften mit unterschiedlichen zuständigkeitsbereichen vorgesehen hat. Ausgehend von den Ergebnissen wurden folgende Maßnahmen abgeleitet, deren Umsetzung von unserer Taskforce Cybersicherheit kontinuierlich Begleitet wird. Die online Schulungen zur Informationsicherheit und Datenschutz sind, beginnend bei den Führungskräften, jetzt Flächendeckend angelaufen. Hier erfahren die Beschäftigten unter anderem mehr zu sicheren Passwörtern, das Arbeiten im Homeoffice und den Datenschutz auf reisen.

Thomas Sinnwell: Ja Mana und lass uns doch da kurz darüber sprechen. Wie unterstützt du in diesen Bereichen deine Mandanten?

Mana Mojadadr: Also vielfältig. Oft ist das so, und ich komme ursprünglich so ein bisschen aus der Strategieberatung, Restrukturierungsberatung, meine Ansprechpartner sind deswegen oder Auftraggeber sind oft eben Vorstände, Geschäftsführende, aber auch IT-Leiter. Und von dort habe ich oft den Auftrag, unterstütze uns doch. Coach uns. Unterstütze uns bei der Kommunikation auch. Und es kann in Richtung Schulung gehen. Es kann aber auch in Richtung Sensibilisierungsthematik gehen. Dort arbeite auch gerne mit Experten und Expertinnen zusammen, die mich dann wiederum unterstützen zu sagen, da gibt es zwar sehr komplexe Gesetzesregelung, was wir einzuhalten haben. Und dann bin ich immer happy, wenn jemand noch da ist, der sagt, Mana in einfacher Sprache. Die Mitarbeitenden müssen es in einfacher Sprache erklärt bekommen. Und das kann man schulen. Da muss man aber auch regelmäßig sensibilisieren. Wenn jetzt natürlich ein Notfall passiert ist, dann geht es natürlich auch viel um schnelles Reagieren, schnelle Schadensbehebung. Manchmal auch ein bisschen zu unterstützen, welche Schritte müssen wir wie einhalten? Da hat man auch nach DSGVO einen gewissen Katalog zu folgen. Wissen viele Unternehmen eben nicht.

Thomas Sinnwell: Aber da würde ich eben nochmal gerne gesondert darauf kommen. Lass uns bitte noch so bei, ich sage mal, bevor es passiert ist bleiben. Was man dann machen sollte. Ich habe jetzt mitgenommen Awarenesstrainings. Ein großes Thema. Was ist denn Awareness? Im Kontext von Cybersecurity.

Mana Mojadadr: Awareness oder Sensibilisierung bedeutet, dass ich mir als Organisation ganzheitlich Gedanken machen muss, wo stehe ich? Nicht nur technisch gesehen vorbereiten, sondern auch auf Mitarbeitenden-Ebenen, um eben diese Angriffstypen zu üben. Kann ich denn ein Angriff erkennen? Weiß ich denn, dass da etwas eben Schadsoftware oder ähnliches unterwegs ist? Ist es so, dass vielleicht auch jemand versucht gerade meine Zugangsdaten sich zu schnappen, um irgendwo an goldene Daten oder ähnliche Systeme zu kommen. Und wie kann ich mich für den Ernstfall vorbereiten? Und wenn mir etwas auffällt es natürlich auch der IT-Abteilung oder den entsprechenden Experten dann melden.

Thomas Sinnwell: Wie machst du das? Was sind da deine Schwerpunkte? Dein Ansatz?

Mana Mojadadr: Ja. Also es gibt ganz viele Sensibilisierungskampagnen oder man macht Werbung im Internet oder versucht den Kontakt auch, wie soll ich sagen, zu den Mitarbeitern zu suchen auf den verschiedenen Ebenen. Wir haben ganz gute Erfahrung mit Einzelgesprächen gemacht. Also oft im Zusammenhang mit, lass uns doch mal eine Bestandsaufnahme machen. Wo steht ihr momentan im tagtäglichen Doing mit dem Thema? Und lasst uns mit verschiedenen Mitarbeitenden aus verschiedenen Abteilungen mit unterschiedlicher Verantwortung über das Thema ganz offen sprechen. Und da wenden wir so eine Art vier Augen Gespräch an, Interviews an, wo wir ganz authentisch mal darüber sprechen wollen, wisst ihr überhaupt was schützenswert ist? Und wie schützt ihr das? Wo braucht ihr Hilfestellung? Habt ihr noch Ideen? Also hat natürlich auch was mit Innovation zu tun, aber auch natürlich mit Schwachstellen-Erkundung. Aber um es so vertrauensvoll anzugehen. Und da spiegeln sich oft aus der Organisation ein Bild wieder von dem man dann weiß, ok an einigen Stellen muss man ran. Und womit hat das zu tun? Das hat oft damit zu tun, dass einige Mittelständler sich mittlerweile vorbereiten. Es gibt Richtlinien zur Sicherheit. Informationssicherheit. Datenschutz. Es gibt vielleicht sogar Technologie über die IT-Abteilung, die im Einsatz ist. Und dann gibt es oft dieses verzerrte Bild, warum kommt das in der Organisation aber nicht an? Ich habe doch alles getan, auch bürokratisch, um mich vorzubereiten. Vielleicht bin ich sogar zertifiziert. Und wir versuchen dann aber auf eben der anderen Seite herauszufinden, ist das denn alles tatsächlich angekommen? Sei es schulungsseitlich, sei es kommunikativ, sei es, dass es jetzt eben nicht nur ein theoretisches Techy-Thema bleibt oder etwas von dem man sagt, ich will damit nichts zu tun haben, sondern eben ich kann auch dazu beitragen, dass wir sicherer sind.

Thomas Sinnwell: Ja. Wie siehst du denn diesen Ansatz, der mir jetzt schon öfter mal begegnet ist, dass dann Awarenesstrainings durchgeführt werden und dann kommt dann anschließend die Überprüfung. Hat das denn funktioniert? Wie ist denn da deine Sicht darauf auf diese Vorgehensweise?

Mana Mojadadr: Also gar kein Training durchzuführen ist schon mal ein No-Go. Jetzt gibt es, ich vermute mal das meinst du auch, E-Learnings, die man vielleicht einmal im Jahr durchrollt-.

Thomas Sinnwell: Ja. Oder Dienstleister, die dann harmlosen Schadcode einspielen und man bekommt dann wunderbar in die Auswertung, wer ist denn mal wieder darauf reingefallen.

Mana Mojadadr: Ja. Das wäre aber die nächste Stufe. Also einige Organisationen sind noch gar nicht so weit, dass sie wirklich in der Bandbreite das Mindestmaß, das einmal eins geschult haben. Das würde ich auch immer erstmal empfehlen, bevor ich dann noch gleichzeitig anfange Notfälle zu simulieren, weil wenn ich für meine Kommunikationsprozesse keinen Notfallplan vorbereitet habe, meine Mitarbeitenden nicht vorbereitet habe darauf oder die IT-Abteilung vielleicht sogar. Vielleicht möchte ich die auch mal ein bisschen testen. Dann ist das aber kontraproduktiv und wird eher im Vertrauen schaden, als dass ich wieder Vertrauen aufbauen kann. Deswegen ist es ganz wichtig erstmal ein Fundament nochmal zu legen. Nochmal zu sensibilisieren. Ein Mindestmaß an Schulung vorzubereiten und dann aber auch durchaus mal anzukündigen, in jetzt nicht bekannten Abständen werden wir vielleicht sogar technisch, aber auch im Social-Engineering-Bereich. Es probiert eventuell mal jemand von außen einzudringen oder euch ein bisschen auszutricksen. An eure Zugangsdaten beispielsweise zu kommen. Das kann passieren. Wir kündigen es nur nicht mehr direkt an. Aber ich bereite euch vor und das dient uns für den Notfall. Einfach um zu testen, wie schnell reagieren wir denn, wenn dann doch mal der Bluthochdruck ein bisschen steigt.

Thomas Sinnwell: Ja. Was mir da ganz speziell gut gefallen hatte bei einem Ansatz das war, dass es spielerisch gemacht wurde. Dass eigentlich so die Person herausgestellt wurde, die das am allerbesten erkannt hatte. Also gar nicht so dieser, wie noch klassisch in der Schule, das hast du aber falsch gemacht. Sondern umgekehrt das hast du sehr gut gemacht. Aus meiner Sicht ist das glaube ich bei diesem Überprüfen auch ein wichtiger Aspekt, um einfach diese Akzeptanz für das Thema nicht zu verlieren.

Mana Mojadadr: Hat aber auch wieder einen Effekt, der sehr behutsam zu berücksichtigen ist. Es kann auch nach hinten losgehen. Also es gibt mittlerweile auch Untersuchungen, dass zu viele Simulationen eher sogar ein bisschen abstumpfend wirken können auf eine Organisation, weil man dann sagt, gut das ist jetzt schon wieder die hundertste Feuerübung. Und im Endeffekt ist mir doch egal. Ich habe gerade keine Lust mitzuspielen so ungefähr. Und da gibt es auch mittlerweile Statistiken und Studien dazu, die sogar nachweisen, dass eventuell Simulationen eben nicht unbedingt helfen können. Ich denke das Wichtigste für Organisationen ist für sich selbst einfach ein eigenes Rezept zu bauen. Wie sind wir? Finden wir unsere Kultur wieder? Wie können wir am Vertrauen arbeiten? Aber natürlich. Lasst uns auch uns selbst auf die Probe stellen immer wieder mal, aber bitte zusammen und konstruktiv und eben nicht nur, indem wir jetzt nur Spiele daraus machen. Oder es eben tatsächlich dazu kommt, dass wir eventuell auch bestimmten Mitarbeitern zeigen wollen, dass sie es eben noch nicht so richtig können.

Thomas Sinnwell: Ja. Gut jetzt würde ich noch gerne auf weitere Aktivitäten, die Unternehmen durchführen können, zu sprechen kommen, die dann auch organisatorischer Natur aber auch teilweise technischer Natur sind. Und wir hatten jetzt als erste Stufe eine Awareness zu schaffen. Würde ich unterschreiben. Absolutes Topthema. Damit sollte man auf alle Fälle starten. Alles andere in nachgelagert. Du hast aber auch schon einen zweiten Punkt angesprochen. Bestandsaufnahme. Was habe ich eigentlich? Was ist schützenswert? Was würde denn richtig wehtun, wenn es nicht mehr funktioniert? Oder womit könnte man notfalls noch leben? Weil meiner Erfahrung nach sind die Budgets für IT-Security- Maßnahmen auch begrenzt. Die sind nicht unerschöpflich. Und dann muss ich mir schon überlegen, was mache ich denn mit dem Geld? Und ich soll das vielleicht auch in einer sinnvollen Reihenfolge machen.

Mana Mojadadr: Absolut. Und da fällt mir auch so ein witziger Spruch ein, der vor ein paar Jahren mir jedenfalls immer wieder entgegengeworfen wurde. Aus dem Mittelstand, wir wissen selbst gar nicht, wo unsere Daten sind. Also ist das doch der beste Schutz auch vor Hackern, die wissen selbst dann auch nicht, wo sie es finden. Da hat sich aber auch einiges getan inzwischen. Und da merke ich auch, dass einige wirklich daran arbeiten wollen. Also auch Vorstände, Geschäftsführende sich vorbereiten wollen. Auch verstanden haben, ok ich muss jetzt technologisch nicht unbedingt auf dem High-End-Status sein. Ich muss aber nachweisen, auch meinen Partnern und meinen Kunden und meinen Mitarbeitenden gegenüber, dass ich sorgfältig auch mit den entsprechenden Themen umgehen will. Und einige die das clever machen finde ich, die sehen das oder behandeln das ganz ähnlich wie ein Compliance-Management-System. Die sagen, es gibt auch in unserer Branche oder in der Art und Weise wie wir Dinge tun, auch klare Governance-Regeln. Sei es extern vorgegeben über den Gesetzgeber. Oder eben, weil wir bestimmte Richtlinien für uns haben. Und dieses Thema wollen wir ganz ähnlich angehen. Und da ist auch klar, dass man aber ganz deutlich nochmal nachschauen muss, wo sind denn die schützenswerten Prozesse und die Daten. Und das ist viel Arbeit. Also da braucht es auch Workshops dazu. Das kann man aus dem Stegreif oft gar nicht beantworten und ist oft auch gerade bei dem Mittelstand ein Thema, weil er sich oft auch wenn es gut geht am Wachsen ist und dann selbst natürlich Dinge sich einfach entwickeln. Und der Prozess selbst, wenn man den überhaupt definiert hat, auch irgendwo mitschwirrt. Und dann ist es schon ein bisschen Arbeit zu gucken, wo ist denn der goldene Schatz, der zu schützen ist an der Stelle.

Thomas Sinnwell: Ok. Wenn man jetzt seine Hausaufgaben dem Bereich gemacht hat und man kennt seine Kronjuwelen, die es zu schützen gilt, dann bin ich ganz natürlich bei der nächsten Stufe. Jetzt baue ich dann meinen Schutz auf. Das, was den Leuten sofort einfällt, was auch absolut richtig und Valide ist, ist die Firewall. Was mir oft begegnet sind Aussagen, wir haben jetzt eine supertolle Next-Generation- Firewall gekauft alles ist gut. Hast du diese Erfahrung auch schon gemacht? Oder?

Mana Mojadadr: Ja. Auch ein Spruch. Wir haben doch einen Antivirensystem. Da hat doch mein IT-Leiter noch gerade erst Budget dafür bekommen. Eine Firewall. Ja. Und dann werden auch Begriffe miteinander vermengt und dann weiß man gar nicht, ist das jetzt der Spam-Filter die Firewall oder was auch immer. Aber darauf kommt es auch vielleicht gar nicht an. Und das reicht eben nicht, warum? Weil ich vergleiche das oft mit einem Haus, wo ein Einbrecher eben irgendwie sich einen Schlüssel verschaffen konnte, um eben doch ganz normal sich Zugriff zu verschaffen durch den Haupteingang, ohne dass ein Alarm losgehen würde, weil er eben diesen Schlüssel hatte. Im Prinzip hat er sich ausgegeben als die Hausherrin oder den Hausherren. Durfte rein. Also würde die Alarmanlage an der Stelle eben nicht losgehen. Und worüber wir eigentlich sprechen, was jetzt den größten Schaden auch in der Statistik des BSI nachweist, sind eben diese sehr professionellen Angriffstypen, die über Monate hinweg offenbar Zugangsdaten, Passwörter von Accounts von Mitarbeitenden oder eben Geschäftsführenden oder Admins bezwecken, wo man eben mehr Zugangsrechte hat. Und dann sich anfängt von System zu System fortzubewegen. Ich spähe erstmal die Landschaft aus. Ich spähe mal erstmal, was ist denn so auf dem Backup-Server? Was ist denn da in der Datenbank? Wer greift denn, wie, worauf genau, wie oft denn eigentlich zu? Und da ein Frühwarnsystem zu schaffen technologischer Natur, dass eben diese-. Ich sage mal, da durfte zwar jemand sich bewegen, weil er das Passwort und den entsprechenden Zugang hatte, den Schlüssel hatte, aber bewegt sich in diesem System oder in dem Haus auf eine ungewöhnliche Art und Weise. Also beispielsweise kopiert plötzlich zu Uhrzeiten bestimmte massenhaft Daten irgendwo raus? Das Schlimmste ist, wenn es schon überschrieben wird, dann ist es schon der Notfall meistens. Dann sprechen wir auch von dem Verschlüsseln von Daten. Aber viel spannender ist es technologisch Systeme einsetzen zu können, die frühzeitiger schon ein anormales Verhalten erkennen können und dann sagen, schau doch bitte nochmal genauer hin. Vielleicht darf die Person das tatsächlich, aber sie tut es gerade in einem sehr unüblichen Verhalten und guck doch bitte nochmal genauer hin. Und das sind professionelle Frühwarnsysteme. Ich glaube du arbeitest auch an so einem Frühwarnsystem. Was es mehr und mehr brauchen wird, was aber auch mitlernen muss mit den entsprechenden Angriffstypen.

Thomas Sinnwell: Thema Anomalie Erkennung hast du angesprochen. Ist unser Steckenpferd. Ist ein ganz spannendes Thema und im Grunde genommen ist es so wie du sagtest bei diesem Einbruch ins Haus.Angreifer hinterlassen Spuren. Und die gilt es zu entdecken. Ist nicht immer ganz einfach. Bei der Komplexität der Netze. Bei den hohen Datenraten. Und da braucht man gute Ansätze, aber auch da schlägt wieder der Faktor Mensch zu. Die Systeme müssen beherrschbar sein, das heißt die IT- Kollegen,die davor sitzen, sollten damit was anfangen können. Oder andere Variante, das möchte sich aber auch nicht jeder leisten, man hat einen Dienstleister, der diesen Job übernimmt. Und insofern ist da die Produktauswahl auch aus meiner Sicht eine wichtige Fragestellung. Gut. Ja. Wenn man das jetzt aber auch alles gemacht hat. Die Kronjuwelen sind geschützt. Man hat vielleicht sogar noch eine Anomalie Erkennung etabliert. Kann es ja trotzdem passieren. Und jetzt kommt es zu einer erfolgreichen Attacke und das Kind, wie du eben sagtest, liegt jetzt im Brunnen. Wie ist denn da deine Wahrnehmung, wie das bei Unternehmen abläuft?

Mana Mojadadr: Am besten hat man wie schon gesagt immerhin sich einen gewissen Notfallplan mal gemacht. Und Notfallplan klingt so ähnlich wie bei einer Feuerübung. Also ich habe mir ganz klar notiert, Schritt eins, Schritt zwei und so weiter. Wer darf was machen? Wen erreiche ich auch vielleicht über eine andere Telefonnummer? Also es beginnt auch mit ganz normalen organisatorischen Themen. Wenn jetzt zum Beispiel der IT-Leiter nicht zu erreichen ist auf der Privatnummer und das System ist jetzt von Voice-Over-IP oder was auch immer erstmal zerstört oder lahmgelegt, habe ich ja schon das Problem, wen erreiche ich denn, wie? Und da muss es ganz klar neben den technischen Lösungen, neben der Überlegung, wie muss ich Systeme separieren? Wann darf ich wieder welches System hochfahren, weil es eventuell noch Schad behaftet ist? Ich brauche einen ganz klaren Plan und der hat viel mit Organisation zu tun. Geht auch und das hatten wir eben angesprochen, auch in Richtung, wo muss ich welche Anzeige tätigen? Oftmals ist dann klar, ich muss das LKA rufen. Da gibt es auch mittlerweile eine Cybercrime-Station, wenn man zum Glück es vorher notiert hat, weiß man auch welche Direktnummer man wählen kann. Und man muss beim Datenschutz sich auch melden. Und das ist auch wieder schambehaftet und unfassbar unangenehm, weil man eigentlich dort nachweisen muss, ich wurde hier gehackt und eigentlich müsste man auch wissen, wie ist das passiert? Und welche Daten sind eventuell beeinflusst worden? Weil es dann auch um Schutz von Kundendaten, Partnerdaten oder Mitarbeitenden Daten geht. Aber das funktioniert in der Regel gut, wenn ich einen Notfallplan habe. Den auch ein bisschen trainiert habe. Trotzdem ist Aufregung da. Trotzdem ist ein gewisses Trauma damit verbunden. Aber allein das hilft schon. Es wird nicht die Sicherheit sein, aber es wird bedeuten, ich kann daran arbeiten, auch wenn wir unter Stress gesetzt sind als Organisation, wie wir gemeinsam nochmal mit dem Thema umgehen können.

Thomas Sinnwell: Ja. Das, was du da ansprichst, das ist aus meiner Sicht ein ganz wichtiges Thema. In dem Moment, wenn dann die Schadsoftware zuschlägt, dann passieren teilweise dramatische Dinge. Und du hast das Telefon angesprochen. Es kann weg sein. Ich kann plötzlich meinen IT-Leiter gar nicht mehr anrufen. Ist vielleicht noch im Gebäude. Schließsysteme können betroffen sein. Ich komme gar nicht in die Werkhalle rein. Ich muss mir dann außen rum irgendwo noch eine Tür suchen, die ein mechanisches Schließsystem hat, um da reinzukommen. Es setzt eine Panik bei Mitarbeitern ein. Es kommen plötzlich 1000 Fragen hoch und in so einer Atmosphäre hilft so eine Checkliste, die ich abarbeiten kann. Mein Notfallplan. So hast du es glaube ich bezeichnet, ist natürlich ungemein hilfreich. Und es ist dasselbe wie in jedem Flugzeug, wenn da eine Katastrophe passiert, schlägt der Co-Pilot auch das Handbuch auf. Da ist dann die Checkliste und die wird dann eins zu eins abgearbeitet. Es setzt voraus man hat so eine Checkliste mal erstellt.

Mana Mojadadr: Genau. Das geht auch nur, wenn sie da ist-.

Thomas Sinnwell: Ja. Und das ist dann auch wieder ein Bereich, in dem du da auch unterstützt.

Mana Mojadadr: Ja. Sehr gerne. Ja. Natürlich freut es mich, wenn es eben nicht zum Notfall kommt. Ich arbeite viel lieber in der Prävention, also eben sich vorzubereiten für den Ernstfall. Aber wenn es so ist, natürlich. Dann steht man auch zur Verfügung. Das BSI hat ein ähnliches Konzept ins Leben gerufen. Das nennt sich glaube ich digitale Rettungskette. Aber auch da. Das funktioniert nur, glaube ich, wenn man einfach auch einen direkten Bezug zu dieser Person, sei es jetzt beratend, extern oder intern hat. Und eben Teil dieser Reaktion und der Kommunikation in dem Moment auch sein kann. Also wichtiger ist, ich habe für mich, mit meinen Leuten von IT bis hin zu Sekretariat bis zu Geschäftsführenden ganz klar die Schritte definiert. Wer hat was zu machen? Und wie können wir uns zusammentreffen? Und dann wird es eher mal physisch sein. Wie du sagst, dann fehlen Zugriffe, digitale Zugriffe in alle Richtungen. Ich kann auch nicht auf einen Kalender zugreifen. Ich werde auch nicht wissen, welchen Kunden muss ich wann treffen. Also das sind auch oft solche Geschehnisse, dass ich erstmal zwar mit dem Schaden beschäftigt bin. Mit dem Trauma beschäftigt bin. Gleichzeitig aber der Laden wirklich auch allein aus organisatorischen Themen raus einfach stillsteht, weil ich gar nicht weiß, wo habe ich vielleicht noch einen Behördengang? Mit wem muss ich noch wie reden? Es ist alles weg erstmal.

Thomas Sinnwell: Ja. An der Stelle habe ich auch noch einen Tipp für unsere Zuhörer, was man unbedingt machen sollte. Seinen Notfallplan, diese Dokumentation der Prozesse, was dann ablaufen soll, die braucht man auch irgendwann in ausgedruckter Form. Wenn sie auf dem Laufwerk liegen, das verschlüsselt ist und ich komme da gar nicht mehr drauf, weil mein Computer gesperrt ist. Ich habe keine Chance. Dann kann ich all diese Dinge gar nicht nutzen. Insofern brauche ich da wirklich ganz klassisch es in Schriftform oder es liegt an einem ganz anderen Ort. Aber dann muss ich IT-technisch dann auch ein bisschen was clever anstellen, dass die Schadsoftware gar nicht mitbekommt, dass da noch irgendwas liegt. Da kann man vieles tun, aber das ist dann schon ein bisschen, ich sage mal, fortgeschrittener. Dann Thema Kommunikation. Du hast es angesprochen. Aus Datenschutzgründen muss ich letztendlich, wenn Kundendaten betroffen sind, ich muss es anzeigen. Aber ich muss das dann aber auch mitbekommen, dass das betroffen ist. Wie ist denn da deine Erfahrung?

Mana Mojadadr: Das ist ein Widerspruch in sich. Warum? Aus Behördensprache heraus muss das LKA sofort an die Staatsanwaltschaft berichten. Das bedeutet auch bei der Ermittlungsarbeit. Wo kam welcher Hacker woher? Du hast die Fußspuren angesprochen. Eventuell finde ich etwas. Ich darf aber dann mit dem IT-Leiter oder dem entsprechenden Geschäftsführenden an der Stelle auch gar nicht unbedingt sprechen. Wenn ich Glück habe, gibt es noch ein paar Hinweise oder ich kriege Andeutungen mit, aber eigentlich ist die strikte Berichterstattung, IT-Forensiker, LKA, Staatsanwaltschaft. Und gleichzeitig bin ich aber als Geschäftsführender verpflichtet dem Datenschutz zu melden, was eigentlich passiert ist. Und da liegt die Krux. Wir haben auch mal versucht mit der Datenschutzbehörde mal zu sprechen, weil ich auch heiß auf die Daten war. Weil ich überlegt habe, welche Statistik habt ihr denn da? Habt ihr da Erfahrungswerte? Gibt es vielleicht bestimmte Angriffstypen, die in bestimmten Regionen häufiger auffallen? Wie wurde damit umgegangen? Und im Endeffekt ist die Datenbasis nicht besonders hilfreich, weil dann auch die Datenschutzbehörde zurecht sagt, entweder melden es nicht unbedingt alle, obwohl sie müssen. Die, die es melden wissen aber meistens selbst nicht wirklich, was passiert ist. Meistens sind die Fußspuren auch nur noch teilweise da. Oder weil dann schon ermittelt worden ist relativ schnell, haben die Organisationen auch dort keinen Mehrwert aus den Erfahrungswerten. Und das ist wiederum die Krux. Und deswegen ist es so wichtig über das Thema auch offen zu sprechen, weil man eben durch die Presse, da ist was passiert, oder das ist unfassbar schlimm. Das schürt nur Ängste. Das bereitet nicht vor. Und man lernt irgendwie nicht wirklich voneinander.

Thomas Sinnwell: Das voneinander Lernen ist sicherlich ein absolut wichtiger Aspekt. Und ich glaube ebenso wie du, dass da offenes miteinander sprechen wichtig ist. Und so ein Bericht, wie wir ihn von Herrn Storb bekommen haben den halte ich in diesem Kontext für ungemein hilfreich. Und superspannend fand ich die Tatsache, dass die LEG-Services enorm konstruktiv mit dem Erlebten umgegangen ist. Lass uns dazu doch nochmal in unsere Gesprächsaufzeichnung reinhören.

Andreas Storb: Wir haben aus dieser schlimmen Erfahrung gelernt wir konnten uns und unsere Infrastruktur neu Aufstellen und haben Maßnahmen organisatorischer und technischer Art ergriffen um unsere Informationen zu schützen. Von unseren Erfahrungen können auch andere profitieren. Das Saarland hat Anfang 2022 zusammen mit Kommunen einen neue Gesellschaft gegründet, die LEG Kommunal. Diese Gesellschaft bietet den Beteiligten Kommunen neben Dienstleistungen im Bereich Projektsteuerung bei kommunalen Erschließungs- und Baumaßnahmen auch die Unterstützung bei der Einführung von Informationssicherheitsmanagementsystem an, damit Kommunen ihre Dienstleistungen für Wirtschaft, Bürger und Behörden zuverlässig und sicher erbringen können und damit das Risiko Opfer eines Cyberangriffs zu werden, minimiert werden kann.

Thomas Sinnwell: Ja. Wie wir gerade hören durften, ist aus der Cyberattacke bei der LEG-Services dann doch etwas richtig Gutes entstanden. Die LEG-Kommunal. Also für mein Dafürhalten ein tolles Beispiel für Wissensaustausch und Kommunikation.

Mana Mojadadr: Absolut. Und über allem schwebt finde ich die Kommunikation. Miteinander reden. Miteinander üben. Auch bitte nicht der IT-Abteilung alleine nur die Kommunikation überlassen und sagen, ich trainiere dich in die Richtung. Sondern, wenn es so weit ist oder auch beim tagtäglichen Doing, wer hat wie bestimmte Dinge zu melden? Auffälligkeiten zu melden. Und wer kann helfen?

Thomas Sinnwell: Ja. Ich würde unseren Podcast gerne vielleicht mit zwei persönlichen Tipps beenden wollen. Was ist denn dein Top-Tipp für Zuhörer? Was sie denn tun sollten, wenn sie sich dem Thema Erhöhung der Cybersicherheit nähern?

Mana Mojadadr: Also, wenn sie noch gar nichts gemacht haben trotzdem einfach schon mal ein Aufklärungsgespräch führen. Sich ein bisschen informieren. Wenn es so ist, dass die IT-Leitung selbst ein bisschen propagieren muss, bitte hilf mir doch. Bitte stell mir Budget zur Verfügung. Dann auch die Geschäftsführenden mit dazu nehmen. Eben nicht alleine das Thema angehen. Und umgekehrt genauso. Idealerweise kommt Geschäftsführende und IT-Leitung auf entsprechende Berater zu oder Expertinnen. Und versuchen da erstmal ein Aufklärungsgespräch. Und dann wird es sicherlich schnell zu einer Art Bestandsaufnahme kommen und zu den Schritten, die du eben beschrieben hast.

Thomas Sinnwell: Jetzt hast du mir meinen Top-Tipp schon gleich weggenommen. Aber dieser Aspekt, dass man wirklich alle Einheiten im Unternehmen einbindet, das ist für mich so eine ganz wichtige Geschichte. Das ist kein reines IT-Thema und das kann auch nicht von der IT alleine getrieben werden. Da gibt es wichtige Aufgaben zu machen. Es muss auf alle Fälle bei der Geschäftsführung verortet sein. Da muss auch eine Awareness entstehen. Und ein Verständnis dafür, was da läuft und was im eigenen Unternehmen passieren kann und was man dann tun sollte. Und da ist es aus meiner Sicht auch ganz hilfreich, wenn man sich professionelle Dienstleister sucht, die einem da zielgerichtet auf die Punkte aufmerksam machen. Und vielleicht so die Schritte vorgeben, die man einfach dann nur noch ablaufen muss. Ja. Dann herzlichen Dank für dieses sehr interessante Gespräch. Also da könnten wir uns glaube ich noch Stunden darüber unterhalten. Sehr komplexe Thematik. Hat mir sehr viel Freude gemacht. Vielen Dank, dass du da warst.

Mana Mojadadr: Ich danke dir Thomas.

Thomas Sinnwell: Ja. Und an die Zuhörer, ich freue mich schon auf die nächste zweite Folge zum Thema Cybersecurity und da geht es dann letztendlich um die Perspektive des Angreifers. Wie arbeiten die eigentlich? Was machen die? Wie funktioniert das? Und daraus kann man dann auch ein bisschen denke ich ableiten, was man auf der anderen Seite, wenn man da betroffen ist, denn von der Struktur her, wo ich zuerst investiere? Was ich zuerst angehe? Einiges ableiten. Vielen Dank. Bis dann. Tschüss.

Mana Mojadadr: Bis bald. Tschüss.

Das war's schon wieder von uns. Wir hoffen die heutige Folge hat euch gefallen und dass wir euch das Thema Cybersecurity etwas näher bringen konnten. Weiterführende Links zur aktuellen Folge findet ihr in den Shownotes. Und wenn ihr euch für die wunderbare Welt der Technik und Software-Entwicklung interessiert freuen wir uns natürlich, wenn ihr uns abonniert. In der nächsten Folge sind wir zurück mit Teil zwei zum Thema Cybersecurity. Host Dr. Thomas Sinnwell ist wieder für euch am Start und hat einen weiteren Experten im Gepäck. Bis zum nächsten Mal. Wir freuen uns auf euch.