Cyber Security Leadership

00:00:01: Willkommen zu einer neuen Folge von unserem iSource Podcast im Format, wo der digitale Wandel aus Sicht des IT-Dienstleister und Unternehmer genauer anschaut.

00:00:09: Mein Name ist Stefan Lendi und heute reden wir über ein Thema, das aktuell kaum sein könnte.

00:00:13: Wir sprechen über Cybersecurity in Zeiten von künstlicher Intelligenz, hybridem Arbeitsmodell und verwachsender Komplexität.

00:00:21: Komplexitäten sind nicht nur technisch, sondern auch kulturell.

00:00:25: Zwei Experten bei mir im Studio, Toni Fuchsio von iSources, willkommen!

00:00:29: Danke!

00:00:30: Danke.

00:00:31: Und Tobias Ehlenberger, CEO und Partner bei One Consult, einem der führenden Schweizer Unternehmer für Cyber Security.

00:00:37: Tobias Schönders-Tabisch.

00:00:38: Heute schon!

00:00:39: Ein Praxisnäherblick werfen wir zusammen auf die Sicherheitskultur, auf die Rolle von Kai, von kritischen Vorfällen und vor allem von Zukunft der Security

00:00:48: im

00:00:48: Mittelstand.

00:00:55: Willkommen ich mich gerne ganz praktisch anfangen mit euch.

00:00:58: Wie haben beide euch damals eigentlich kennengelernt, wie ist die Geschichte des Standards dieser Zusammenarbeit?

00:01:05: Das kann ich völlig aus dem Blauen heraus sagen.

00:01:08: Wir hatten eine Security-Vorfall, um einen Kunden zu unterstützen.

00:01:13: Und in diesem Rahmen habe ich natürlich gesagt, da muss ein Profi einen im forensischen Bereich wegzanalysieren.

00:01:20: Was ist genau passiert?

00:01:23: Was ist die Ursache und was sind schon sämtliche Resultate, die wir haben, damit man wissen kann, wie man eine Art Technik beheben könnte?

00:01:30: Ich bin auf der Bankkonsum gestoßen und wir führten das Telefon.

00:01:33: Im Telefon musste ich sagen ... Das passt.

00:01:36: Und gerade in einem Sonnenfall ist es menschlicher absolut zentral, dass das passt.

00:01:41: und dort haben wir uns austauscht und den Massnahmen von definieren.

00:01:46: Ich kann sagen aus dem Kays-Usserschluss sind, ist eigentlich eine Freundschaft entstanden.

00:01:52: Das darf man so sagen...

00:01:53: Absolut, ich glaube das ist ein Beispiel von einer guten Zusammenarbeit.

00:01:57: Ich glaube auch wenigstens bei dir essenziell ist es, dass es stimmt.

00:02:02: Das Chemie-Stimm zeigt mir so einfach auf Schweizerdeutsch und da haben wir relativ schnell gemerkt, dass der Kunde im Fokus steht, die Problemlösung im Fokuss steht, einen pragmatischen Ansatz und gleiche Wertungen sind zwischen den zwei Unternehmenden, dass Qualität stimmen muss und dass man drei Sachen wirklich ernst nimmt und zu einer Lösung kommt damit er künftig möglichst schnell wieder reinkommen kann.

00:02:22: Das menschliche ist technisch.

00:02:24: Was braucht es denn noch, wenn es zu einem Cybersecurity-Vorfall kommt?

00:02:29: Dass man das sogenannte Cyber Security-Liedership beweisen

00:02:32: kann?

00:02:33: Ich glaube schon bei den Leidenschaften allgemein.

00:02:35: Es kommt nicht einfach aus dem Nicht, dass man das hat.

00:02:38: Also grundsätzlich in allen Fällen so und das ist kein Ausnahm.

00:02:42: Man kann sich darauf vorbereiten, es ist nicht etwas, was man nicht kennt.

00:02:45: Es ist etwas, das man üben kann, was heute viel vergessen geht.

00:02:48: Wir können die ganzen Vorfälle beüben und regelmässig üben.

00:02:53: Man kann den Learnings daraus ziehen.

00:02:55: Wenn man die Ernst nimmt nach einem Umsatz, wird man immer wie besser.

00:02:59: Also eine Frage der Routine von der Konditionierung vom Lernen aus Erfahrung.

00:03:05: Genau, Erfahrungen und Üben mit dem Üben bringt auch die ganze Vorbereitung ein Thema natürlich mit sich.

00:03:12: Oder du kannst nur üben wenn du vorbereitet bist.

00:03:14: Und das ist im Security-Vorfall genau der Punkt.

00:03:17: Wenn du nicht vorbereitet bist, wem kann ich anrufen?

00:03:20: Was sind meine Lieferanten, was sind Kontaktpersonen?

00:03:23: Was ist vielleicht auch Mediepartner für Kommunikation nach aussen?

00:03:27: Wenn du es erst einmal zusammensuchen musst, dann ist relativ schwierig.

00:03:30: Du wirst unter einem enormen Stress, wenn du so einen Vorfall hast Und dann bist du froh, wenn einfach die Checkliste am Ende schagieren

00:03:37: kann.

00:03:37: Was hat es für Vorfälle gegeben?

00:03:38: Konkrete Vorfällungen ohne Namen zu nennen, wo man dafür erwähnen darf und gemeinsam gemeistert haben?

00:03:44: Ich würde dir da eigentlich auf den Zaun fühlen.

00:03:46: Wie ist das gegangen?

00:03:47: Wie hat das genau funktioniert, dass wir euch das besser verstehen?

00:03:51: Ich glaube ein schönes Beispiel ist wirklich der Initialfall, der einen Mitarbeiter macht.

00:03:56: Das kann man absolut nie im Vorruf machen, auf einen Link klickt.

00:04:01: Dann ist nichts passiert.

00:04:04: Monat darauf wurde das Ganze aktiv und führte zu Meldungen, die er auf E-Gwissen wussten.

00:04:12: Das war ein Vorfall, da haben wir einen Rennsmehrvorfall.

00:04:18: Ich glaube ... Das ist wirklich Initialkontakt und die Initial-Kontakte hat schon so stark gefunden, dass wir sehr schnell in einem prozessualen Ablauf waren.

00:04:26: Wir haben eine super Role Verteidigung gemacht – wer macht das was?

00:04:32: Die Kommunikation mit dem Kondau aufgesetzt haben, also eine Sitzung unter uns, ein Wankensort aber auch mit dem Kundau Stufengerechte Kommunikation.

00:04:43: Das Top-Management mit dem Kunden ist nicht unbedingt IT-Affin, dass man da jetzt eine stufengerechtige Kommunikationskommunikation hat und natürlich ich dort als CEO auch die Management-Kommuniktion übernommen hat zusammen mit dem Kunde in Abstimmung mit den technischen Resultatsinformationen von Tobias im Team der Wandkonsulte.

00:05:05: Tobias, zum noch ein bisschen genauer drinnen Was da die einzelnen Schritte waren, wie man vorgegangen ist.

00:05:11: Die Schritte sind immer eine handliche Sofälse.

00:05:14: Es gab dort einen typischen Ransom-Workcase.

00:05:17: Die unterscheiden sich schon meistens in den Details hin.

00:05:19: Man kann sie dann oft zurückstufen auf diese verschiedenen Datenschafen, wo es geht und endlich zuvor geht ein bisschen.

00:05:27: Typischerweise ist es unter dem Fall als erstes, dass wir über das Telefon kommen können.

00:05:33: Es wird uns geschildert, was die Herausforderung ist und wo man steht.

00:05:35: Und dann gilt es für uns zuerst einmal, diese Führwürde, die wir bei uns haben, das Team in Einsatz schicken.

00:05:42: Die gehen vor Ort, finde ich ganz ein wichtiger Punkt!

00:05:46: Mal gut die Stimmung fühlen und schauen, wo wir überhaupt stehen.

00:05:48: Was wissen wir wirklich?

00:05:50: Was haben wir für Vermutungen, was passiert ist?

00:05:52: Wissen wir vielleicht noch nicht?

00:05:53: Dann geht es um das auch zu erhärten.

00:05:56: Und vor allem ganz wichtig am Anfang mit dem Leadership Team oder wenn man das Thema hat, SIGS von Partner bei DICE-House und aber v.a.

00:06:03: beim Kunden feststellen, hey, was ist das Ziel, was möchte mir jetzt erreichen?

00:06:08: Ganz so laut, da gibt's zwei Richtigen.

00:06:10: Die eine ist ja, wenn wir herausfinden, was genau wirklich passiert ist Oder wenn wir bis zu einem gewöhnlichen Grad darauf verzichten zu wissen, was passiert und einfach möglichst schnell wieder im Daily-Business sein.

00:06:22: Das ist so ein Trade-off, wo man sich überlegt muss um eine Strategie zu recht lecken.

00:06:28: Ja wie können wir zu unserem Ziel nehmen?

00:06:30: Es sind schon alle Partner da brauchen wir noch weitere Partner Und dann die Strategie an mit entsprechenden Massnahmen zum Murenuntersuch verfolgen.

00:06:38: Ich würde es von aussen sagen, möglichst schnell wieder funktionieren.

00:06:42: Das wäre eigentlich das Hauptziel.

00:06:44: und die andere Frage war genau die Ursache und die Frage zum Wissen sind wir dann für Zukunft abgesichert oder können so etwas auch wieder vorkommen?

00:06:52: Ist dies die richtige Überlegung?

00:06:55: Ja, gibt es einen Klassiker?

00:06:56: oder was du sagst ist natürlich in dem ersten Sinn immer sehr naheliegend.

00:06:59: Oder ja man muss einfach wirklich schnell wieder arbeiten.

00:07:02: Dann ist am wichtigsten auch noch etwas zu fragen.

00:07:04: Oder ich meine wenn du nicht weisst wie die Etterschaft reingekommen ist?

00:07:08: Was für eine Sicherheitslöcke das ausgenutzt haben, ob es ein Fishing war oder nicht Dann kann es natürlich passieren, dass du zwar relativ schnell wieder in den Business nachgehen kannst.

00:07:17: Aber dass dich dann gerade noch einmal verwischt, weil der sogenannte Route-Cost Entry Point nicht richtig analysiert wurde.

00:07:23: Wir weiss nicht wie das passiert ist und da läuft mir vor, dass das dann halt gerade wieder passiert.

00:07:29: Es gab durchaus auch so Fälle, wo dann das drei-, viermal noch einander passiert ist bis man dann wirklich gleichzeitig investiert hat zum Feststellen, okay, wieso passiert uns das immer wieder?

00:07:40: Also macht durchaus in Detail genauer eine zu schauen.

00:07:43: Die typische Frage, die als erstes dann eingestellt wird mit unserem Team von Urkund, Selbstfrucht und wie das uns passieren könnte.

00:07:51: Die ist durchaus auch wichtig zum Beantworten.

00:07:54: Und da müssen wir ein Führungsteam abholen.

00:07:56: Das war deine Aufgabe, Toni?

00:07:58: Wie rettet man mit der Geschäftsleitung?

00:08:00: Wie erklärt man was hier passiert ist?

00:08:01: Und wie sensibilisiert man es eben genau für die richtigen Überlegungen, die müssen gemacht werden?

00:08:08: Das heisst ja genau richtig, es ist sensibilisieren.

00:08:11: Geschäftsleitung und Tagpersonen auf der Unterseite sind ja sich nicht gewohnt mit dem Thema umzugehen.

00:08:17: Meistens ist das erst mal – und hoffentlich letztes Mal – also wirklich stufengerecht auch die Kommunikation aufzusetzen und die Progestellern aufzusetten und das Ganze möglichst auch mit Varianten für sie, dass ein Geschäfts- leitiger Auswahl hat.

00:08:32: Auch eine Variante von drei, die wir jetzt vorwärts gehen können Sehr detaillierte Analysen vom Route-Case, wie Tobias gesagt hat.

00:08:40: Die entsprechen auch Kostenverursacht.

00:08:44: Aber unsere absolute Sicherheit gibt es nicht mit innen, wenn man den Route-Kass analysiert und die Schwachstelle behoben hat.

00:08:52: oder halt den Mittelweg geht.

00:08:54: Und ich glaube, da muss man mit der Geschäftsleitung Optionen gehen auf einen Ort, das ist eben auch verstönt auf einer nicht-technischen Harte für ein Managementort.

00:09:03: Also die Szenarien mit Chancen und Risiken aber durch das Gesägen von Stünden natürlich auch Küsten?

00:09:09: Natürlich!

00:09:09: Aber wenn wir einen weiteren Vorfall verhindern können, dann rechnet sich das ja eben auch.

00:09:14: Also auch ein Return on Invest muss kalkuliert werden bei dieser Risikoanalyse, die man

00:09:18: macht.

00:09:19: Ja, ich glaube es ist eine wichtige Betrachtung und dann kann man aus sehr gutem Klassiker festmachen.

00:09:25: Die klassische Frage, die in irgendeines kommt, wenn wir so einen Fall haben an der Rense mehr ja zahlen oder nicht zahlen.

00:09:34: Einer der wenigen, die sagen, diese Frage kann man nicht pauschal beantworten.

00:09:37: Im Grundsatz ist natürlich nichts zu empfehlen und zu zahlen.

00:09:40: Aber es gibt durchaus legitimische Szenarien, in denen wir eine Zahlung betrachten können – oder schlussendlich auch – so viele haben wir bereits überlegt, dass die einzige Lösung ist, um das Weiterbestoff von einem Unternehmenssicherheit zu stellen.

00:09:53: Weil dann halt die Summe, bei der wir gezahlt sind, teuer ist als das, wo wir bezahlen müssen, um die ganze Nachhaltung wiederzubeheben.

00:10:01: Und dann ist es ganz wichtig, dass man die Risikenbetracht zieht.

00:10:05: Wenn wir jetzt zahlen, werden diese Daten beispielsweise wirklich gelöschen und da gibt's halt das gewisse Restrisiko, wo man einkalkurieren muss.

00:10:14: Man kann nicht davon ausgehen, dass das noch eine wirklich alle weg ist und man muss einfach damit rechnen, dass vielleicht noch eine Option sein könnte, die auf jeden Fall zurückfallen

00:10:23: kann.

00:10:24: Das ist natürlich auch ein ganz wichtiger Punkt für sich ein Versicherungsthema.

00:10:29: Viele Kunden sagen, dass es eine Versicherung gibt.

00:10:32: Das ist nicht immer die beste Lösung.

00:10:35: Wenn ich sie in der Versicherung übergebe, gebe ich die ganze Steuerungsmöglichkeit an das Kond aus den Händen.

00:10:41: Weil dann jemand nimmt die ganze Leitung von Keis-Versicherung.

00:10:45: Und sobald der Gebot für die Versicherung ist und der schon legitim ist, wird er eigentlich nicht zahlen oder?

00:10:50: Aber wie Tobias sagt, es gibt Fälle, wo vielleicht zahlen genau diese richtige Option ist.

00:10:54: Ich schließe mich hier völlig an.

00:10:58: Es gibt nicht ein Pauschal, Antworten zahlen oder nicht zahlen sondern es ist case abhängig.

00:11:03: Darum ist eine Figur vorgehensweise.

00:11:06: Das ist meine Aufgabe, die Kunden zu beraten und sichern in das Boot nehmen oder vielleicht halb ins Boot nehmen.

00:11:12: Aber schauen, dass man den Case als Kund führen kann.

00:11:15: Manchmal wird man von Kunde an den Case führen.

00:11:18: Dass man losendlich die Optionen offen pfaltet.

00:11:21: mit welchem Lösungsanwalt gehen wir jetzt weiter.

00:11:24: Und Versicherung dreht sich am Schluss Kosten entweder das, was man zahlt.

00:11:28: Plus noch die ganzen heite Geschichten.

00:11:31: Alles, was ich mache zum Vorfallaufarbeiten oder wenn es eine komplexere Aufarbeitung ist ... Ja?

00:11:38: Dann wird halt selbst auch teurer, wenn man nicht zahlt!

00:11:43: Du bist bei der Versicherung, du bist so etwas zweigespannter Tobias.

00:11:48: Wie siehst du das aus?

00:11:49: Was ist die Rolle von der Versicherheit?

00:11:51: Die Versicherung müsste doch eigentlich ein Interesse haben, dass die Firma möglichst schnell wieder gut aufgestellt ist und nicht einfach nur sagen, wir zahlen nicht.

00:11:57: Ja also es ist sicher stark abhängig davon wer mir als Versicherungspartner hätte ich glaube das ist ein Risiko aus sich zum Teil versichern lassen.

00:12:04: Der TÜV versteckt aber dort wie überall im Detail, also sprich man muss ganz gut darauf schauen was steht genau in dem Vertrag hin wo er mit der entsprechenden Versicherung hat.

00:12:13: Und das unterscheidet sich auch beispielsweise in den EU zu den USA.

00:12:18: wenn wir jetzt die zwei Extreme miteinander vergleichen recht stark was da in der Versicherungsleistung ist.

00:12:24: Wie sieht es aus in der EU?

00:12:25: Wie sehen Sie den US-Aus, dass um dieses Bereich verglichen können?

00:12:28: Grob gesagt, ohne alle möglichen Versicherungsmodelle im Detail zu kennen.

00:12:32: Aber die Versicherung in den USA sind ein Risikobereiter.

00:12:36: Die übernehmen zum gewissen Teil mehr Köst.

00:12:38: Man hatte nicht eine Zeit lang Versicherungen, bei denen auch Transom bezahlt wurde.

00:12:42: Das war in der Schweiz einmal ein kurzes Thema.

00:12:44: Die meisten sind dann wieder davon zurück.

00:12:46: Es gibt dort Ausnahmen.

00:12:48: Und die Obligenheiten, die wir hier im Schweizer Markt haben, sind schon recht klar definiert.

00:12:54: Also sprich, ohne einen Vorbereitung zu haben als Unternehmer selber – wenn ich eine Versicherung abschließe habe, habe ich meine Obliggenheit, also meine verpflichtungen, in denen ich das Unternehmen erfüllen muss.

00:13:04: Also mein System ab-to-date bald beispielsweise ist etwas davon und wenn ich dann nicht nachkomme, dann ist es halt wie in allen anderen Versicherungen auch….

00:13:12: Dann

00:13:12: soll es entsprechend nicht werden, wenn man diese Anforderungen erfüllt hat!

00:13:16: Ungewöhnlich viel Vorarbeit von gefragtes, das ist ein selbste Gehör.

00:13:20: Die Liederschicht ist nicht nur eine Frage, wenn es einen Inzidenz gibt.

00:13:24: Es ist eine grundlegende Frage, um ein System ab-to-date zu halten aus vorbereiten Falls mal etwas passieren würde.

00:13:32: Das geht mit den Schulungen der Mitarbeitenden.

00:13:34: Da ist sehr viel mehr dahinter.

00:13:36: Nur das Inzidentmanagement, wenn dann etwas passiert.

00:13:39: Das ist genau der Punkt und auch natürlich verbunden als die Schulung der Mitarbeiter.

00:13:44: Ich sage immer, das effizientste Mittel aus Kostensicht eigentlich Sachen zu verhindern können.

00:13:51: Wenn Mitarbeiter von Kunden sehen, wie einfach man Webseite auf Hellstam noch ein Passwort eingeht und die Ausnahmen eingeht – dann ist es eindrücklich für die Mitarbeiter.

00:14:06: Und der Hüft hat privat einerseits sensibilisieren, aber natürlich auch im Geschäft Und ich glaube, das ist der Punkt zu sensibilisieren und die technischen Möglichkeiten.

00:14:15: Wenn ich natürlich als Bequemlichkeit sage, dass zwei Faktor-Autentifizierung hier mit dem Handy auch noch müssen gehen muss oder im PCI oder im Notebook geben, dann ist mir es mühsam.

00:14:27: Der Unterlass ist natürlich einfach gewissnisdate auf die Art Technologieeinsatz.

00:14:31: Und da werde ich hafbar!

00:14:32: Also wenn ich heute eine Versicherung will abschliessen und ich das nicht habe, kann ich diese Versicherungen abschließen so essentiell, dass in der Sicherheitslösung einfach so weit geht wie es heute auch technisch sinnvoll ist.

00:14:48: Und wenn ich das nicht mache, habe ich keine Versicherung und wenn ich einen Vorfall habe, dann nimmt die Versicherung allenfalls Regressen.

00:14:53: Aber es ist auch sinnvoll, dass Versicherungen sich dafür einsetzen und sagen, ihr könnt diese Versicherung gerne abschliessen aber da sind mindestens Standards, die man erfüllen muss.

00:15:00: Das ist auch im Interesse des Unternehmens wieder.

00:15:04: Ja absolut!

00:15:04: Ich glaube, wir kommen schön auf ein Thema zurück oder was wir heute in den Potschers.

00:15:09: Das ist eine Aufgabe, die alle zusammen im Unternehmen mittragen müssen.

00:15:16: Und das ist nicht hier mit der Einmalaktion, sondern ein kontinuierlicher Prozess.

00:15:21: Hier gibt es viele schöne Beispiele.

00:15:23: Du hast Awareness erwähnt, ich glaube, du hast sicher ein gutes Mittel zum Awareness zu schaffen.

00:15:28: Bestandteil des Fishingszenarios.

00:15:31: aber jetzt einfach einmal eine Awareness-Schulung oder eine Fishingschulung zu machen und dann sind wir geschützt.

00:15:37: Das ist zu wenig weit gedenkt.

00:15:40: Wenn man die Resultate anschaut von den Fishing-Tests, die wir durchführen ... Irgendeiner klickt immer.

00:15:45: Es hat verschiedene Gründe.

00:15:46: Man kann das entsprechend manipulieren und die Wahrscheinlichkeit steigt.

00:15:50: Dann sind wir im lieben Schritt, wo man sog.

00:15:54: die Sium-Bridge-Szenarien durchdenken muss.

00:15:57: Wir gehen jetzt davon aus, diese Alpakten waren erfolgreich.

00:16:01: Wo befindet sich die Erdenschaften?

00:16:03: In meinem Unternehmen und was können wir von dort her machen?

00:16:06: Und dadurch, dass man diese Szenarien immer weiter denkt und das kontinuierlich macht, ist sein eigener Unternehmen halt besser geschützt.

00:16:15: Und dort finde ich es absolut ... gut, wenn man von mehreren Seiten darauf aufmerksam gemacht wird.

00:16:19: Dass wir Hausaufgaben haben, die zu erledigen sind.

00:16:21: Mehrere Seiten extern?

00:16:22: Das hast du gesagt über die Mitarbeitenden.

00:16:25: Es ist ein Aufgabe vor allem im Unternehmen.

00:16:27: Wo muss das Thema Cyber Security Leadership angesiedelt sein?

00:16:30: Ist es im Verwaltungsrat oder in der Geschäftsleitung?

00:16:33: Also irgendwo in der IT-Abteilung oder bei HR gehört dieses Thema nicht her, oder?

00:16:38: Auch!

00:16:39: Also da werden.

00:16:40: jetzt für das ganze Thema muss überall bis auf den Mitarbeiter muss das angesiedelt sein.

00:16:47: Wie

00:16:47: erreichen wir die?

00:16:48: Ist das von der IT-Abteilung aus, wo dann sagt es versuchen wir da etwas zu machen, Initiativen zu starten oder ist das nicht auch ein GL-Thema?

00:16:55: was hat... Wir schauen eben dass die ganze Firma mitzieht.

00:16:59: Wie hoch oben muss das ansiedeln

00:17:01: sein?

00:17:01: Ich denke es ist schon ein GL Thema weil wenn sie den GL nicht vertreten und verankert sind, dann wird es halbleibig sein oder dann werden diese Ziele nicht erreichen, die ich eigentlich möchte, dass ich möglichst nicht angreifbar bin.

00:17:13: Also es muss hervorgelebt werden von der Geschäftsleitung und es muss eigentlich top-down entsprechend eingeführt werden mit entsprechenden Massnahmen, mit Sensibilisierung bis heuer oder E-Tritzprozess zum Beispiel.

00:17:27: Es gehört einfach heute in einem E-tritz Prozess, dass sie Tavernenschulung machen und das jeder Mitarbeiter auf dem gleichen Stand ist – und eben wie Tobias Richtig sagt, einmal ist kein Mal.

00:17:38: also das muss ich wiederholen Idealerweise kann ich neue Mitarbeiter bereits eine erste Hördenwege nehmen, die man in der Akzeptanz hat.

00:17:49: Das ist ein oder andere kompensierter im E-Logen zum Beispiel, dass er neue Mitarbeiter weiss.

00:17:54: Darum ist das so technisch gelöst und damit eigentlich die Hörde für den Angriff grösser wird.

00:18:00: Was ist die Hürde des Angriffs?

00:18:01: Ich finde es spannend zu sagen, wenn ihr Tests macht ... Was war dein Begriff?

00:18:06: Die Tests machen wir mit Mitarbeitenden.

00:18:10: Fischung, es ist eine mögliche Attacke davon.

00:18:12: Es gibt Sium-Bridge-Szenarien, wo man davon ausgeht, dass ein gewisses Szenario schon eintreten ist.

00:18:18: Irgendjemand klickt immer in einer Firma?

00:18:21: Dass das durchsickelt wird?

00:18:22: Die Frage ist, dort habe ich eine Firmenkultur, die es auch zu erläutern.

00:18:25: Ein Mitarbeiter, der einen solchen Klick macht ... Dann hat die Hand auf und sagt, jetzt ist mir etwas passiert.

00:18:31: Ich habe falsch gelegt!

00:18:32: Das hilft euch bei der Aufarbeitung.

00:18:34: Und das ist wieder eine Frage der Firmen-Kulturen.

00:18:37: Ja, absolut.

00:18:38: Ich glaube das hat sehr stark mit der Firmenkultur zu tun.

00:18:41: Das sieht man auch immer wieder wenn wir Einsätze haben wo es genau um solche Dinge geht.

00:18:47: nicht mehr die Mitarbeitenden ernst.

00:18:49: Und das ist sehr wichtig.

00:18:50: auf deine Frage.

00:18:51: Du sagst ja, wo ist das Thema anzudeln?

00:18:54: Ich würde Salope sagen im Unternehmen.

00:18:56: also da ist Verwaltungs-Roll Geschäftsleidung wie jeder Mitarbeiter in seiner Funktion auch dafür verantwortlich Verantwortlich.

00:19:04: als Stichwort ist ja auch nicht nur der Geschäftsführer für die Unternehmen verantwortlich.

00:19:08: Jeder Einzel, der in dieses Unternehmen gehört, hat seine Verantwortung im Bereich und ich glaube das ist auch so ein secure Bereich wo es genau um diese Themen geht.

00:19:19: Und ja, eine Fishing Simulation mit einer Click-Rate, die zero Prozent ist, haben wir noch nie durchgeführt.

00:19:25: Ich glaube es geht an allen Firmen so und dann geht es eben genau darum, dass man einen Kultur hat wenn das einmal ein Ernstfall ist, damit man sich wirklich allsichtgetrugt.

00:19:35: zu melden, dass man nicht abgebutzt wird sich von einer IT-Abteilung vorgesetzt oder wo auch immer sondern das Thema ernst genommen wird weitergeleitet wird auch untersucht wird.

00:19:47: und typischerweise untersucht mir lieber eine Schmäh als genau im richtigen Fall in eben Zwenig.

00:19:52: Das grosse Fall, den ich vorher geschildert habe, der jemand klickt hat und dann mehrere Monate später erst ist er zum Problem geworden hat sich die Person Wo das vielleicht gemerkt hat, da habe ich etwas Falsches gemacht.

00:20:04: Hat sich die Person gemeldet?

00:20:05: Hat man sogar schlimmeres verhindern

00:20:08: können?

00:20:08: Es war ein spezieller Fall, weil wir es nicht merken konnten, sondern dass wir den ersten monatischen Böten zurückerruieren konnten.

00:20:17: Was ist eigentlich der Ruckhaus gewesen?

00:20:18: und dann kam das E-Mail heran.

00:20:20: Also dort war es nicht irgendetwas.

00:20:25: Man konnte ihn erkennen und wieder als richtig gesagt ... Schlimmsten ist, wenn ich als Vorgesetzte im Mitarbeiter sage, jetzt hast du klickt.

00:20:34: Aber jetzt kommt eine schriftliche Verwarnung über und sagt, nein, der soll den Bonus bekommen.

00:20:38: Er hat es gesagt.

00:20:39: Für das Schlimmmste ist Klicken und nichts sagen.

00:20:42: Der verliehre wertvolle Zeit, dass sich ein Sicherstellersetz vielleicht nichts passiert oder vielleicht auch, dass man analysieren kann.

00:20:50: Passiert überhaupt etwas, wenn ihr darauf klickt?

00:20:52: Nicht immer so!

00:20:54: Oder gibt es die Rents und mehr Gruppenpflicht inzwischen schon nicht?

00:20:57: Und diese Anfragen ins Internet gehen dies lehren.

00:21:00: Also, Mitarbeiter motivieren sofort und zwar ohne Verzögerung sofort zu melden, ob ich auf etwas kriege.

00:21:08: Ich bin jetzt sicher, dass das etwas Schlimmes war oder nicht.

00:21:12: Das ist das Beste, was man machen kann.

00:21:13: Die Mitarbeiter dürfen definitiv nicht bestrafen von irgendwelchen Arten, dann müsste sie auch belohnen.

00:21:19: Hätte ich es eigentlich nach aussen, wenn man Mitarbeiter meldet und bestraft ist?

00:21:23: Dann wird sich garantiert ein weiterer Mitarbeiter nicht mehr melden.

00:21:27: Ja absolut!

00:21:27: Ich glaube in diesem Fall zeigt euch wie komplex die heutigen System- und Infrastruktur sind.

00:21:36: Wir müssen mehrere Möglichkeiten haben.

00:21:40: Angriff aus einem Seiberangriff zu detektieren, weil ein Mitarbeitende in diesem Fall nicht bewusst war, dass er etwas falsch gemacht hat.

00:21:48: Die Meldung ist so gut gemacht und wenn ich das Gefühl hatte, habe ich keine Fehler gemacht.

00:21:52: Was wollte ich dann melden?

00:21:55: Dann ist es wichtig, dass man ergänzend die Massnahmen zusätzliche und sich nicht nur auf Einschutzmassnahmen verläuft.

00:22:02: Sondern dass man dort eine breite Palette hat, eine sinnvolle Palette aus Unternehmensabgestimmung in die Palette.

00:22:08: Also Sicherheitsmaßnahmen damit die Chancen möglichst hoch in der Kette von so einem Angriff sind können zu detektieren.

00:22:15: Was kann dazu gehören zur solchen Palette?

00:22:18: Ja, das ist eine sehr umfangreiche Frage.

00:22:20: Nein also was dort dazu gehört sicher Basischutzmechanismen.

00:22:23: Also sprich Firewall irgendwie ein Anti-Virus Programm soll abgesagt werden.

00:22:28: dann Netzwerkssegmentierungen, Schlausberechtigungskonzepte und ein superes Update im Patchmanagement sind sicher einmal Grundlagen dass man nicht so schlecht ist.

00:22:37: Dann gehört sicher Monitoring dazu, dass man dort auch anschaut und dort vor den Cruxschuat doch an der Tonnei mehr sagen kann sie sind Infrastrukturspezialisten.

00:22:47: Was locken wir sinnvoll?

00:22:49: Was können wir überhaupt anschauen.

00:22:50: Es bringt nichts, alles zu locken und man kann auch keine Dialogfeis nicht analysieren, weil dann weiss man genau gleich viel wie wenn man es nicht aufzeichnet.

00:22:58: Und dort ist sehr wichtig dass man die richtigen Partner an der Hand hat als Unternehmen um für sich eine stimmige Massnahme zu ergreifen wo die Wahrscheinlichkeit möglichst höchst ist das man einen Angriff detektiert aber dass man es auch finanzieren

00:23:12: kann.

00:23:12: Wirklich genau.

00:23:13: Du hast gesagt, dass ich die Lockfälle habe oder Häufig haben wir Lockfälle, aber die werden nicht gesichert.

00:23:20: In einem solchen Vorfall ist es genau wichtig, dass sie gesichern werden und noch verfügbar sind für einen Walkonsult.

00:23:27: Es ist essentiell, wenn man ein Offen zieht oder was passiert.

00:23:32: Was war das Loginversuch?

00:23:33: Und natürlich auch eine zusätzliche Sicherheits-Service, die man implementiert.

00:23:40: Man kann eben redaktieren, wenn auf einem Gerät,

00:23:43: z.B.,

00:23:44: irgendetwas ablauft die nicht sollte.

00:23:47: Oder auf dem Internet etwas abläuft, das eigentlich nicht normal ist.

00:23:50: und es gibt ganz einfach ein Beispiel.

00:23:53: Ein Prinzover, der mit dem Internet kommuniziert.

00:23:56: Das ist nicht normal.

00:23:57: Der kommuniziert nicht mit einem Internet.

00:24:00: Es ist nicht notwendig, er ist Internet.

00:24:01: Er muss drucken oder muss Druckauftrag verarbeiten.

00:24:04: Und das ist genau das Indizum zu sagen hier ist etwas nicht gut.

00:24:07: Und dass man sich damit spezielle Lösungen dedektieren kann, sogenannte Anomalyen Und es wird alarmiert durch die Anomal-Einfestellung.

00:24:16: Dann kann ich frühzeitig agieren, bevor etwas passiert.

00:24:20: Haben wir über das Thema KI geredet?

00:24:23: Bezüglich Cybersecurity bzw.

00:24:25: Cybersecurity-Leidenschaften.

00:24:27: Chancen und Risiko?

00:24:28: Ja sicher, beide.

00:24:30: Wie überall hat die Medaille zwei Seiten.

00:24:33: Bei beiden Seiten muss man ansehen und anschauen, wo wir entsprechend gewinnbringend einnutzen können.

00:24:39: oder einsetzen.

00:24:39: Ich glaube, es gibt dort gerade wenn wir bei der Detektierung bleiben, bei der Auswertung von Logfels beim Analysieren des verhaltensbasierten Szenarien

00:24:47: etc.,

00:24:49: da kann man natürlich eine unglaubliche Datenmenge sammeln, die rein manuell nicht auswärtbar ist und die gehen sicher jetzt mit einem so LLM-Modell oder Aikai wie man sie immer sagen will zusätzlichen Möglichkeiten, dass man dort wirklich schlaue Schlösskanten draussen ziehen kann.

00:25:07: Das Risiko auf der anderen Seite sind dann die Schlüsse, in denen Computer oder Algorithmen daraus herausziehen.

00:25:16: Die wohren Schlüssen wurden richtig interpretiert.

00:25:20: Oder haben wir einen Fählinterpretation von einer Meldung drin.

00:25:25: Also voneinander volles Positiv und negativ.

00:25:27: Ich glaube dort muss man sich gut bewusst sein für was das einsetzt, für welchen Zweck und vor allem auch bewusst sein, was das Resultat ist.

00:25:38: Das braucht entsprechende Fachmann, die genau darauf schaut kann aber natürlich am Fachmann helfen.

00:25:44: Entsprechend Daten oder Big Data, grosse Datenmengen, die da sind zu analysieren und auf mögliche Incidents, auf möglichen Bridges einzuweisen.

00:25:55: Da geht schon ein neues Spektrum auf, von neben den Haufen Chancen, die Kai mit sich bringt.

00:26:05: Schliessendlich haben sie auch Risiken aufgegangen.

00:26:08: Wer darf ein Agent, einen Kai-Agent

00:26:12: z.B.,

00:26:13: benutzen?

00:26:15: Mit welchen Daten nutzt er Kai-Agents?

00:26:17: Also die Dateklassifizierung wird absolut zentral.

00:26:22: Als Beispiel zu nennen, wenn ich als Teamleiter anfrage, was es mit Teams für Salästrukturen und Ausbildungen hat, um hier ein superes Reporting zusammenzusetzen.

00:26:31: Das ist ja das Gute!

00:26:32: Das ist das Versente in das, wo ich eigentlich auch möchte, was passiert, dann sage ich mache mir das Gleiche über den CO oder über den anderen Bereich.

00:26:40: Vielleicht wollte ich das zulassen?

00:26:42: Vielleicht aber auch nicht... Dort gibt es ein neues Gefahrenpotenzial und ich muss viel neu überlegen, welche Daten man überhaupt zugänglich machen möchte.

00:26:52: Ich sage immer, dass Koi sich als Mitarbeiter vielleicht auch anschaut – eben als Agent oder Mitarbeiter.

00:26:58: Er darf Koi Agent eigentlich die Informationen zugreifen einerseits um die Informationen weitergeben in der Person, die einen Roller Nix Y hat.

00:27:08: Das ist eine rechte Herausforderung, die wir uns haben, wenn es ums sensitivere Daten geht.

00:27:13: Ich glaube, das ist zentral, dass wir wirklich weiss für was zu schauen.

00:27:17: Wir haben als One-Consult den nebsten Incident Response Part.

00:27:22: Wir hatten ein Team, der Pentastrate-Team gemacht hat und eine Offensive Security.

00:27:28: Dort gibt es natürlich ein zentrals Thema, genau herauszufinden, wie man einen AI-Bot Agent einverdaten kann, die man vielleicht nicht mehr geplant hat.

00:27:38: Und ich glaube, da ist es ganz wichtig darauf zu schauen.

00:27:41: Was für Daten soll man das System lernen?

00:27:45: Welche Daten sollen dort überhaupt drin sein?

00:27:48: Und der sichere Schutzzeit ist immer, wo man den Risiken sieht.

00:27:51: Wo man sagt, es sei dein Beispiel oder der Lohn vom CEO.

00:27:54: Wenn man nicht bekannt geht, muss man vielleicht überlegen, ob er wirklich auch da drin sein muss oder nicht.

00:27:59: Weil die Systeme sind schon anfällig, beispielsweise sogenannte Print Injections, also wo man dann halt eine geschickte Fragestellung versucht an Informationen zu kommen.

00:28:09: und so eine Dateche sind, während es sehr gut funktioniert.

00:28:12: Das heisst die richtigen Orte abzulegen, das ist sicher schon mal wichtig.

00:28:17: Was gibt es grundsätzlich für Guidelines?

00:28:19: Man kann auch Unternehmen sagen bei uns, da möchte man keine LLMs im Einsatz haben.

00:28:24: Auch dort gibt es Mitarbeitende, wo die LLM's irgendwo im Einsatz auf die einen oder andere handeln.

00:28:29: Also geht es überhaupt noch ohne KI?

00:28:30: Kann man ohne LLm funktionieren?

00:28:35: Muss man es regulieren, muss man es reglementieren!

00:28:38: Grundsätzen geht es natürlich auch ohne Kei.

00:28:41: Die Frage ist, bin ich noch webbewebsfähig?

00:28:45: Für mich ist schon die Frage nicht einsetzen oder nicht einsetten, sondern die Frage ist wenn und wie wir einsetzen, oder wenn eine gewisse Riefe dort ist, dass sie auch Qualität sicherstellen kann – das ist ein anderes Thema!

00:28:58: Ich muss auch beurteilen, dass es da rauskommt.

00:29:01: Es klingt supergut, aber stimmt vielleicht nicht.

00:29:04: Und das ist natürlich bei internen Informationen genau das Gleiche.

00:29:08: Stimmt das überhaupt?

00:29:10: Ich denke, es muss einfach klare Guidelines bestellt werden, damit der Mitarbeiter nicht nur die Chat-Gitibis benutzen kann und alle möglich sind, wenn man noch Personaldaten reinladen kann.

00:29:20: Irgendwelche Bewerbungsunterlagen, die halt vertrechend sind und kann in das Schliessente Chat GTP Krock oder wie sie immer heiss sind, zum Lernen gebraucht.

00:29:30: So dass Sie einfach hier sicherstellen, dass die Daten nicht rausgehen und B auch eine klare Regelung haben, was ist zulässig?

00:29:40: Was darf der Mitarbeiter mitnehmen und was dürfen er nicht?

00:29:42: Ich glaube es ist wichtig, wie beim Secure-Thema die Mitarbeitenden und das ganze Unternehmen mit ins Boot zu holen – ich bin absolut kein Fan von Verbot!

00:29:51: sondern muss aufzeigen, was die Systeme für Schossen bietet und welche Risiken sie haben unter der Ausgabe des gesunden Menschenverstandes von den Mitarbeitenden.

00:30:00: Averness oder wie beim Security-Bereich genau das gleiche Thema.

00:30:04: Das ist eine Konsequenz davon wenn man versucht alle zu verbieten.

00:30:07: Die ist so nicht.

00:30:10: Technisch versucht es auf dem Computer zu verbieten und sagt, er sei nicht Nutzer.

00:30:13: Er nimmt den Mitarbeitenden die Halsmobiltelefonen und schickt sie sich nach Hause, macht die Abfragen daheim.

00:30:20: Und dann ist noch weniger kontrollierbar, welche Daten von mir unternehmen sind in welcher ... von diesen Services entsprechend auffindbar.

00:30:28: Also mit Verboten schafft man zusätzliche Risiken auch, da kommen noch die Geräte zum Einsatz dort und werden eine neue Not verarbeitet weil man sagt im Geschäft möchte man das nicht oder darf das nicht sein.

00:30:38: aber ganz grundsätzlich wir wissen die LLMs die hallucinieren.

00:30:43: das ist ein Problem Ist einfach so, das ist noch nicht abänderbar.

00:30:49: Das heisst auch diese Daten, die ich bei einer Abfrage bin – obwohl Grunddaten, die aus dem Survey hinterlegt haben richtig und gut sind, ein LLM, der im Einsatz ist kann unter Umständen falsche Informationen rausgehen.

00:31:02: Und es braucht nach wie vor die Human Intelligence also den Menschen mit Verantwortung, die Kompetenz hat eben auch die Resultate super anzuschauen.

00:31:12: Und wo kann ich eordnen, was diese Resultaten wirklich aussägen und was nicht?

00:31:17: Ich glaube das ist genau den richtigen Punkt oder der richtige Bemerkung von der Machtchef.

00:31:24: Heute sind wir in einer Situation, wo man es noch nicht beurteilen muss – wieder sind wir im Jahr zwei, drei ausgesehen.

00:31:30: Das wissen wir nicht!

00:31:31: Es ist enorm wie die Entwicklung vor sich geht aber ich bin überzeugt Küssekontrollmechanismus, man will es wahrscheinlich noch lange brauchen.

00:31:41: Ein Mensch muss validieren mit der entsprechenden Fachkompetenz, die er natürlich braucht und kann das sein oder nicht sein, vor allem dort, wo es kritisch ist.

00:31:51: Und den Einsatz von keinem alltäglichen Leben wäre fatal, wenn wir das einfach verbieten.

00:31:57: Absolut bei dir Tobias, sondern du musst einfach Guidelines geben.

00:32:02: Was soll man machen?

00:32:05: Was hat das Unternehmen für eine Strategie?

00:32:08: Was tut man auch schulen, wie man gewisse Geheimöglichkeiten im Unternehmen effizient nutzen kann.

00:32:15: Ich halte dann nichts von einem Fuff-Bot, sondern es geht eigentlich auch richtig sicherlich um die Sensibilisierung.

00:32:19: Es ist wohl auch ein richtiger Stichwort.

00:32:22: Man muss Mitarbeitern sensivisieren.

00:32:24: und was eben passieren kann, wenn ich auf den Link klicken oder neben dem Daten ein Dokument aufgeladen, in den K.I.-Agent, damit die Daten weiter verändern werden können und plötzlich unter Umständen verfügbar sind.

00:32:39: Gibt es einen schönen Sprich?

00:32:41: Oder eine Fool?

00:32:41: In der Tool ist ja eine Fool!

00:32:44: Und was sie raus wollte ... Wir müssen wissen, was wir erwarten können.

00:32:49: Einfach das Beispiel, an dem ich gerade mit der Ausbildung fertig war, als ich einen ersten Schritt gemacht habe, als Systemingenieur in Google aufzukommen.

00:32:56: Und es ist von verschiedenen Seiten so, hey mit Google, da findest du ja alles.

00:32:59: Da findest Du auf jedes Problem eine Lösung.

00:33:02: Euch Eithilern braucht's denn nicht mehr?

00:33:05: Und solche ähnliche Hypothesen sind ja gemacht worden mit

00:33:09: A.I.,

00:33:10: oder die Realität in den letzten fünf zu zwanzig Jahren.

00:33:13: Es hat immer wie mehr Eithiler gebraucht und sich immer als mehr Spezialisten daraus bildet.

00:33:18: Wenn man ein Problem sucht im Google, kommt man sie bei verschiedenen Antworten über.

00:33:22: Sprich, wir brauchen genau gleich noch Experte, die wissen, welche von diesen Antworten ist in der Infrastruktur wichtig.

00:33:28: Auf AI bezogen ... Wo JGPT aufkommt?

00:33:31: Ich habe zwei Jungs daheim, das ist für sie natürlich auch super.

00:33:35: oder so etwas abfragen machen und zum Hausaufgaben lösen etc.

00:33:38: Und um dort ein bisschen an Währnestschaff zu schaffen, habe ich mir mein eigenes AI aufgesetzt, das sagt LNM und hat es selber trainiert.

00:33:44: Was ich heute fast drin trainiert habe, ist, ich habe in diesem System gesagt, eins und eins gibt's eben!

00:33:50: und hat den Jungs zur Ernährung gesetzt.

00:33:51: Ich fragte ihn mal, was geht Eisend Eis?

00:33:53: Sie sind selbst darauf gekommen, es sind sechs Junze einig.

00:33:55: Dann haben die BD gesagt, weissend Eis gibt nicht sieben.

00:33:58: Da haben wir in der Schule schon gelernt.

00:34:00: oder warum weiß das System nicht.

00:34:02: Und für Zuhörer vielleicht von dem Podcast, wo man das ganz einfach an selber üben kann ist, wenn er einem System ... Es ist egal welches eine Frage stellt unter dem Thema, bei dem man absolut keine Ahnung hat.

00:34:14: Und dann kommt man wirklich einen überzeugenden Antwort darauf über Wo man durchaus geneigt ist dazu, den Glauben zu schenken.

00:34:22: Und die nächste Abfrage sieht dann ein Thema sein, wo es sich gerade beruflich damit aus einem Ansatz für eine Herausforderung gibt, in dem auch kontrovers diskutiert wird im Unternehmen und mal schauen was dazugeht.

00:34:33: Und der Effekt ist eigentlich bei den meisten Gruppen, das macht genau dergleich.

00:34:38: Die erste Antwort ist sehr überzeugend.

00:34:40: Das bekommt man glauben und der zweite kommt meistens gleich.

00:34:44: Ja, ja gut!

00:34:44: Die Antwort ist jetzt weit weg von der Realität.

00:34:47: Da muss man natürlich noch abc berücksichtigen und so einfach ist es nicht.

00:34:51: Und ich glaube das ist genau das, was wir lernen müssen.

00:34:53: oder mit dem, was darf ich rechnen?

00:34:56: Und wie muss ich mit dieser Antwort umgehen?

00:34:58: Dann werden wir den Menschen recht lang brauchen dazu.

00:35:01: Ja und der Punkt ist natürlich ... Wir sprechen von Prompten, die ich brauche, um schon endlich Fragen zu stellen und Lösungen überzukommen.

00:35:10: Man kann sich vergleichen, wenn man das Thema diskutiert mit jemandem,

00:35:13: der

00:35:14: null Ahnung hat, dann muss er in dieses Thema einführen, damit er einmal einen Schossen hat können mitschreiten.

00:35:22: Und da ist es sehr ähnlich.

00:35:24: Ich muss eigentlich bei relativ banalen Fragen oder Strategien zum Unternehmen, keine banale Frage.

00:35:31: Das kann sehr umfangreich sein Aber wenn ich einfach sage, wie ein Unternehmer nichts sieht, dann macht man eine Strategie.

00:35:38: Dann kommt Deutsch gesagt Schrott raus.

00:35:40: Ich muss so viele Kriterien von diesem Unternehmen nicht mitgeben, dass der Bront sehr lange wird und in der Fläche fragt, ob es noch zielführend ist um einen Bront zu machen oder ob er sich selbst überlegt hat.

00:35:52: Und Faktell schnitzt draus aus, damit wir keine Versuche anzureichen.

00:35:56: Also Kai PSE ist nicht einfach intelligent, wenn man ihn auch entsprechend intelligent fragt.

00:36:01: Es muss in der Realität wirklich funktionieren können, dass dieser Realitätscheck gemacht werden muss.

00:36:08: Ich finde es immer spannend, wenn wir mit Unternehmer diskutiert und dann sagen, wir führen jetzt Kai bei uns ein.

00:36:13: Jetzt kommen alle Mitarbeiter mit ins Chat-GPT über oder im Copilot an die Seite und dann funktioniert das alles.

00:36:20: Ich bin der Fan des Sandbox-Prinzips, dass man sagt, wo wir einen Engpass haben und was du vorher gesagt hast.

00:36:27: Da habe ich ganz viele Daten, die man manuell nicht auslesen konnte.

00:36:30: Dann schaut man, ob er in den Zugang kommt.

00:36:33: Also anfangs, wo haben wir Engpässe?

00:36:35: Als ein Prozess, weil wir diese Prozesse anpassen.

00:36:38: Und dann habe ich mich kleine Tests, kleine Ausprobieren, dort die Erfahrungen sammeln, daraus lernen, überprüfen mit dem IT.

00:36:46: Mit dem IT-Partner funktioniert also so, dass wir auf einem richtigen Weg sind und dann erst in einen Rollout gehen.

00:36:53: Anstatt grossen Anfangen und mit der grossen Kille nachzudenken.

00:36:56: Das ist der Punkt!

00:36:57: Ich würde sogar noch einen Schritt früher anfangen.

00:36:59: Man muss es einmal in den Leuten, wo ich ein KI-Team hineinnehme.

00:37:03: Und das ist immer meine erste Empfehlung bei Kunden, die ein KI Team definieren können.

00:37:08: Das war nicht PC-es Geschäftsleitig, natürlich auch.

00:37:12: Aber es braucht Leute aus dem Business heraus, die genau wissen, wie diese Prozesse und so weiter funktionieren.

00:37:16: Und dann muss ich zuerst einmal das Gemeinsamstwüsse generieren.

00:37:20: Denn die eine Person hat sich sehr stark mitgearbeitet und kann jetzt die Schädtcheide beiseite verstehen und auswendigen – und die anderen Personen überhaupt nicht!

00:37:28: Also muss sie das Gemeinamt amstwüssen schlussendlich generieren.

00:37:32: Und wenn ich das habe, kann ich in einen Analysenfaktor gehen.

00:37:35: Da muss ich das Unternehmen durchlaufen und erruieren.

00:37:39: Wo habe ich die Themen nicht zu stellen?

00:37:40: Wo habe man viel manuelle Prozesse?

00:37:43: Wenn ich den Schluß Senti aufkomme, dann könnte ich hier ein Modellcase aufsetzen und als Test-Case nach der Reniführung zu schauen, ob es überhaupt etwas bringt.

00:37:53: Es ist gut und recht, aber schlussendlich möchte ich die Kosten sparen, Qualität sichern oder ... in den Mitbewerbern voraus zu sein und nur wegen der Lustung mache ich keine Nähe.

00:38:04: Ich glaube, das ist absolut richtig auszusehen Stefan im Kleinen nach der Anfahre und auch Erfahrungen sammeln.

00:38:10: Das ist ganz wichtig!

00:38:11: Und haben wir diesen Nutzen, die man erreichen möchte?

00:38:17: Was ist das Problem, mit dem wir damit lösen?

00:38:19: Und wieso ist dieses Problem bis jetzt noch nicht gelöst?

00:38:21: Also es gab wirklich keine Schlüssel dazu, die hilft, das Problem zu lösen.

00:38:25: oder ist das probleme noch immer ganz anders.

00:38:27: Beispiel der CRM-System und der ERP-Ssystem werden fast jedes Unternehmen im Einsatz und jeden Schritt hat man heute noch so viele Jahre den Datenintegriertät offen.

00:38:36: Aber sind diese Daten richtig erfasst?

00:38:38: Haben wir überall Daten gleich erfasst

00:38:40: etc.,

00:38:40: also Datenqualität wo HALT muss stimmen, damit man mit dem Business Intelligence Tool auf oben arbeiten kann.

00:38:48: Bei der AI gilt genau das Gleiche.

00:38:50: Das wird mir nicht wundervoll bringen.

00:38:52: Es kann mich natürlich helfen und es ist auch sehr gut wenn wir ITG-Versuch machen.

00:38:57: Und als Beispiel unter Unternehmen oder Leuten, die damit arbeiten.

00:39:00: Das finde ich gut, wenn man den Spieltrieb unterstützt und Möglichkeiten gibt in einem gewöhnlichen Geschützten Rahmen sich auszuprobieren.

00:39:08: Aber wenn dann plötzlich ein Mitarbeiter von Forennen oder als Team mitglied aus der Geschäftszeit, die immer überhaupt nicht auf einer Stufe festzumachen.

00:39:17: Plötzlich anstatt drei Ziele halbe Aufsätze zu schreiben in meinem E-Mailinnen ist das auch nicht mal authentisch und das fällt Demo's List gerade auf und merkt er gerade Uuh!

00:39:26: Hätte es jetzt einfach eine Schnellwelle machen?

00:39:28: Hat er keine Zeit gehabt oder stellt eine ganz andere Frage?

00:39:30: Also das ist ganz wichtig, dass wir jetzt

00:39:32: ... Man kann Vertrauen kaputtmachen und gleichzeitig auch Unglaublich viel Zeitkosten.

00:39:37: Ja, eine Zeit für das falsche Eingesetzte oder

00:39:40: zu spielen.

00:39:42: Ich möchte noch gerne auf die andere Seite kommen, nämlich kann ich wie der eingesetzt von all denen, die gerne mal in den Firmenwürde hineinhecken?

00:39:50: Da ist man auch sehr viel ... Wappnet oder besser gewappnet unterwegs, wenn es um Cyber-Taxi geht.

00:39:57: Also das E-Mail vom Prinz von Persia oder weiss nicht wo, was ich finde... Wir haben hier noch Vermögen offen oder wir sind jetzt Microsoft Hotline, wo alle Leute diese Zeiten, die sind ja vorbei auch weg kann ein.

00:40:11: Ist es schwierig geworden?

00:40:13: Wahnsinnig viel schwieriger geworden, dass wir überhaupt noch erkannten können.

00:40:16: Du hast vorhin in deinem Fall Tony erwähnt gehabt, dass man gar nicht Merken, auf was man hier klickt.

00:40:22: Der Mitarbeiter konnte das gar nicht sehen.

00:40:24: Bringt die Sensibilisierungsmastame heute noch etwas?

00:40:28: Wenn sich eben auch die Hackerinnen und Hacker so stark weiterentwickelt, kann sie einsetzen mit Deepfakes unterwegs sind?

00:40:36: Ich glaube, es ist eine grosse Herausforderung in der heutigen Zeit.

00:40:39: Wie gehen wir mit diesen neuen Risiken um oder mit den neuen möglichen Angriffs-Szenarien?

00:40:45: Seint ihr diese alten Fishingmails vom ... Du hast gesagt, es brennt sich von irgendeinem Land oder einer Gauseu, die verloren gegangen ist und Geld auf den Rückkreis.

00:40:54: Die gibt es heute immer noch.

00:40:56: Und warum gibt's diese noch?

00:40:57: Die funktionieren halt auch immer noch!

00:40:59: Ich glaube wir dürfen uns sicher nicht davon verschliessen, dass sie jetzt auf der Seite des Angriefer genutzt werden kann, wo die Möglichkeiten haben.

00:41:08: In der Kürze ist derzeit präzisere E-Mails zu schicken, also eine sogenannte Berfishing.

00:41:13: Also gibt es Zielsfishing für eine Einzelperson, herauszufinden was diese noch für Hobbys hat.

00:41:19: das E-Mail verpasst, entsprechend an die Schossen höher ist.

00:41:22: Darum ist es besonders wichtig, dass man auf der Verteidigungssite mit den gleichen Mitteln arbeitet oder dass wir mit gleichlängen Speer arbeiten.

00:41:31: Es wäre fallend schon in die City of Coyne zu verteufen und sagen ja, dort hat es überall Schwächen.

00:41:35: Das wird sich aber auch weiterentwickeln.

00:41:38: Wir müssen uns heute Gedanken darüber machen, wie wir das für die Verteidigung nutzen können und dann so halt auch besser gewappnet zu sein.

00:41:45: Aber der einfachste Trick dort kommt in den Halsrug auf den Menschen, und ich glaube, da müssen wir es bringen.

00:41:51: Oder wo spielt der Mensch die entscheidende Rolle?

00:41:53: Und genau bei diesen E-Mails, wenn ich plötzlich ein E-Meil bekommen habe von einer Person, die mir noch nie angeschrieben hat.

00:41:59: Im Namen von vielleicht jemand anderem gibt's ganz einen einfachen Trick.

00:42:03: Ich leute dem schnell an!

00:42:06: Oder ... Wenn wir jetzt wieder vom Home-Office ins Büro zurückkommen, wo das Büro einen Vorteil hat.

00:42:11: Ich kann schnell zum angeblichen Absender, wenn man jetzt intern ist, z.B.

00:42:16: schon überlaufen und sagen, hey, hast du mir ein Mail geschickt?

00:42:19: Und ich glaube, dort haben wir ein enormes Potenzial in uns als Menschen.

00:42:23: Dass man zwar die Tools auch nutzt aber dass wir genauso das Zündlein an der Waage sind wo den Schlusssmann entscheidend ist oder ganz gut oder nicht gut.

00:42:31: Ich finde

00:42:32: es noch lässig, dass du nicht einfach sagst oh da muss man den aufpassen und dann ist das Problem gelöst sondern wechseln den Kanal.

00:42:38: Im Telefon in die Hand schreibst du eine Appgang auf diese Person zu oder lauf ins andere Büro über anstatt dir vor dem Computer eigene Danken machen könnte.

00:42:51: Wenn die Möglichkeit nicht auf die Person zugehen, Klassiker oder die Person in einem Geschäftsreis und nicht erreichbar ist – dann gibt es immer noch sparringpartnerintern in der IT-Abteilung.

00:43:02: Oder auch externen, wo man nachfragen kann!

00:43:06: Ja, ich glaube das ist ein sehr grosses für den rechten Menschen-Fan.

00:43:09: Aber wir müssen die Tools richtig einsetzen und schauen, dass es nicht die Tools sind, die uns steuern, sondern dass wir sie steueren und der Nutzer auszuziehen.

00:43:21: Und dort hat man ein enormes Potenzial in allen Bereichen, also auch die Unternehmerinnen, um mit so Technologien wirklich gewöhnbringend umzugehen und eine enorme Chance gegen einen vorigen Risiko entsteht durch den Einsatz halt als Mensch wieder entsprechend reduzieren, indem wir der Umgang damit lehren.

00:43:39: Die Technologie ist Technologie.

00:43:40: Sie hat Chancen- und Risikopfragung, schwer setzt sie ein – und für was?

00:43:45: Das ist der Punkt und für mich ist es immer gefährlich, wenn man die Technologie einläuft.

00:43:50: Jetzt haben wir vier Feier, wo sie installiert sind und so weiter.

00:43:53: Es ist sicher.

00:43:54: Nein, das ist nicht ... Der Mensch hat auch zu viel Rolle.

00:43:59: Die grösste Gefahr ist aber auch in einer Rolle mit den grössten Stärkern.

00:44:05: Die Größte Gefahr passiert im Schlussente Fälle.

00:44:08: Ich klicke auf irgendetwas, was ich nicht erzählen soll Aber das grösste Potenzial ist auch eine zu schauen, was genau hinter dem Link ist, die ich hier aufklicken kann.

00:44:17: Oder es ist der Absender hier zu sächern, irgendwelche SBB.Cas Beispiel zu nennen oder etwas Kryptisch.IT oder DE, wo einfach nicht SBB sein kann.

00:44:29: Also die Zensibilisierung und die Möglichkeit, dass der Mensch hat... Seruieren kann das sie oder nicht.

00:44:36: Das kann er selber und der absolut, wenn er aber nicht sicher ist.

00:44:41: Und für mich sind heute ein wenig in den Kommunikationsarten die Leute miteinander kommunizieren.

00:44:46: E-Mail ist das allerheilige, wenn es um die Kommunikation geht.

00:44:49: Das Telefon braucht man schon fast nicht mehr.

00:44:52: Einfach das Telefon in die Hand zu nehmen und sagen du... Hast du mir jetzt ein E-Mail geschickt?

00:44:57: Ich wollte es auch einnehmen und schon ist das klar.

00:45:00: Und dann haben wir den Kanalwechsel.

00:45:02: Genau, der Kanalwechsel oder auch die Hinterfragen gebe ich jetzt als Fuchs irgendein Millionenauftrag und sonst bewegen wir uns in paar tausend.

00:45:11: Franklin einfach gesunden Menschenverstand kann das überhaupt sein.

00:45:16: und wenn noch der Faktor, dass es super schnell geht in Überweisung, dann muss doppeltalamiert sein weil einen grösseren Betrag überweisen sehr schnell Das ist ein Widerspruch.

00:45:28: Und da habe ich natürlich schon Möglichkeiten, den Vier-Augen-Prinzip noch einzuführen

00:45:32: usw.,

00:45:33: aber wenn sich der Mensch nicht daran halten und das umgeht und die Überweise gleich sehr schnell macht, dann ist es auch passiert.

00:45:40: Aber auch dort einfach sensivisieren mit Materialcases und einfach gesunden Menschenverstand.

00:45:47: Auch wieder sehr oft in diesen Cases, wenn man hinterfragt wie das passieren könnte.

00:45:51: Man muss sich in den Prozess gehalten.

00:45:54: Man hat im Klienten zum Beispiel den Anglüter, wo die Gewichte überwiesig machen.

00:45:58: Und so passiert es.

00:46:00: Also sich der Anhaltenderprozess und die Transzente eben wie der Holmi gesunden Menschen.

00:46:05: Verstanden?

00:46:06: Kann das sein?

00:46:07: Ist es so?

00:46:09: Was kommt auf uns in Zukunft zu?

00:46:11: Was braucht es im Bereich Cybersecurity-Liedership auf Seite von Firmen oder KMU, um sich weiterzuentwickeln?

00:46:21: Sind diese Themen, die ich sage mit mir, uns damit auseinandersetzen als Experten?

00:46:27: Die Blickung glaskogeln ist schwierig.

00:46:29: Wenn ich sie so beantworten könnte, würde ich sich viel Geld machen im Grundsatz.

00:46:34: Es gibt aber gewisse Konstanten, die wir aus der Vergangenheit nehmen können.

00:46:39: Ich glaube, wir müssen lernen mit dem schnellen Wechsel auch von der Technologie und einer sehr schnellen Weiterentwicklung von Neuem Nicht nur technologiebedingt, sondern auch umweltbedingt.

00:46:51: Die Welt dreht sich so schnell wie wahrscheinlich noch nie.

00:46:55: Das heisst wir kommen so schnell in neue Situationen rein, wo wir uns an unseren Stärken nicht bewusst sind und sagen ja wie gehe ich jetzt mit dem um?

00:47:02: Was machen wir jetzt hier?

00:47:04: Und wenn wir zurückkommen das ist schon diverse mal antäunt wurde es gibt halt eine gewissene Prinzipie die man schon seit X Jahren hat.

00:47:12: Jetzt als kleines praktisches Beispiel Wenn wir unsere Statistik anschauen, in unserem Incident Response Team und die Fälle analysieren – einfach jetzt vom laufenden Jahr und auch vom letzten Jahr.

00:47:24: Was war der Haupteintrittspunkt bei den erfolgreichen Hetterkratt-Attacken?

00:47:29: Dann sind das Schwachstellen im System.

00:47:32: Also ein System, wo zum einen nicht patcht wurden, wo update nicht eingespalt worden sind, wo für alle der Versionen waren etc... Jetzt kann man natürlich einfach sagen, ja gut wir müssen halt die System-Updates auch.

00:47:43: Das ist aber nicht ganz so einfach.

00:47:45: also es gibt hier einen Lanzenbrecher für alle Informatiker und Infrastrukturbetreiber.

00:47:50: Die Infrastrukturen

00:47:51: sind heute auf einem enorm hohen Komplexitätslevel.

00:47:55: Und wir können nicht in allen Fällen einfach so patchen.

00:47:58: Natürlich wäre es vielleicht in gewöhnlichen Fällen möglich.

00:48:01: dann muss man schauen sind ausreichende Ressourcen um etc... Die Zeit, die vergot und schwachstell bekannt ist bis sie durch Däbterschaft ausgenutzt wurde, ist enorm kurz geworden.

00:48:15: Als wir uns kennengelernt haben oder in den noch fünf Wochen geredet haben, wo der Eintritt stattgefunden hat, wurde das Unternehmen bis dann einmal verschlüsselt.

00:48:23: Heute ist das Teil einer Sache von Minuten.

00:48:27: Dann müssen wir schauen, ob wir Lösungen finden ... und zwar nicht neue Lösungen mit einem grossen Marketingprimborium, die dann wieder irgendwo in einer Messe-Dürfe verkauft wird, wo das Problem noch einmal löst.

00:48:38: Wir finden Lösungen für diese wirkliche Probleme.

00:48:41: Also gelegt zu uns in diesen Infrastrukturen zum einen eine gute Leute auszubilden und weiterzubildern, die mit dieser Komplexität schlagen können – und bringen wir diese Komplexitäten raus!

00:48:53: damit wir mit diesen Risiken umgehen können.

00:48:55: Die Hausaufgaben, die wir heute machen sollten, sind ein grosser Teil ähnlich in einem neuen Schluch.

00:49:02: Das werden auch in Zukunft ähnliche Themen sein.

00:49:06: Ja, bei mir als IT-Partner für unseren Kunden ist natürlich schon eine unserer Hauptaufgaben, dass die Systeme aktuell sind patched.

00:49:16: Einerseits und wenn Schwachstellen auftauchen da werden wir von den Software-Lieferanten zeitnah informieren.

00:49:24: Dann müssen wir halt diese Patch sehr schnell einspielen was man auch möchte.

00:49:27: Und ja das gibt dann wieder Unterbrüche auf der Kundenseite.

00:49:30: aber im Sinne der Sicherheit ist es absolut zwingend Und das andere ist natürlich auch im Designverlösung, dass wir als Sicherheitselemente und Sicherheitsüberlegungen einfließen lassen.

00:49:44: Die Komplexität macht die Sicherheit nicht einfacher.

00:49:48: Also vielleicht schauen, wo man Komplexitäten herausnehmen kann, wenn man Systemdesign und Architekturen macht in dem Sinne, dass es auch einfach kontrollierbar ist und somit auch die Sicherheit einfacher umsetzbar ist.

00:50:02: Dann wissen Sie mit welchen Fragen Ihr euch?

00:50:05: auseinanderzählen, dass man den Blick in die Glaskugel nicht machen muss.

00:50:08: Weil sie sich auch in die Glasgugeln schneller dreht und bewegt wie alles andere ebenfalls auch.

00:50:14: Ich danke euch ganz herzlich für unseren Einsatz zum Thema Cyber Security Leadership.

00:50:19: Für diese Blicke in TÜVI, um euch zu arbeiten und vor allem euch zusammenarbeiten.

00:50:24: Merci vielmals!

00:50:24: Vielen

00:50:26: Dank!

00:50:27: Und Ihnen heute Danke fürs Zulassen.

00:50:28: Das war der iSource Podcast.

00:50:30: Ich bin Stefan Lendi.

00:50:31: Bis zum nächsten

00:50:32: Mal!

00:50:36: Weitere Informationen unter

00:50:38: iSource.ch.