Folge 11: Mobile Security im Fokus: So schützt du deine Geräte und Daten richtig

00:00:00: Hi und herzlich willkommen zurück bei einer neuen Folge von Cloud und Deutlich.

00:00:03: Heute wieder mit einem neuen Gast und heute wird das Thema sein Mobile Security.

00:00:08: Also auch wieder ganz spannend, also bleibt dran und viel Spaß mit der neuen Folge.

00:00:13: Hallo und herzlich willkommen zu Cloud und Deutlich, eurem Netplans Podcast rund um die IT-Welt.

00:00:18: Mein Name ist Nicole Wiske und ich bin der Host dieses Podcasts und natürlich freue ich mich, dass du wieder dabei bist.

00:00:24: In unseren Folgen tauchen wir tief in die IT-Welt ein und bringen dir spannende Gespräche, interessante Gäste und wertvolle Einblicke zu aktuellen Themen mit.

00:00:33: Wenn dir der Podcast also gefällt, lasst doch gerne sein Abo da.

00:00:36: Und jetzt viel Spaß mit der neuen Folge!

00:00:40: Hi, neuer Gast!

00:00:41: Ich freue mich sehr, dass du heute dabei bist.

00:00:44: Ich würde gleich einmal ganz kurz eine Vorstellungsrunde machen.

00:00:48: Wer bist du?

00:00:48: Was machst du?

00:00:49: Und du hast ja sehr viele Erfahrungen, genau in diesem Security-Bereich, mobile Security.

00:00:56: Ich bin so gespannt, was du mir heute alles erzählt oder uns erzählt.

00:00:59: Deswegen lass uns gerne teilhaben.

00:01:02: Wer bist du?

00:01:02: Was machst du alle täglich?

00:01:03: Und was machst du ja besonders Spaß in dem Thema?

00:01:06: Mein Name ist René Stiel.

00:01:07: Erst mal vielen Dank für die Einladung.

00:01:09: Ich bin seit

00:01:10: fast

00:01:11: mehr als fünfzehn Jahren im Bereich Enterprise Mobility, Enterprise Security, aber auch Datenschutz unterwegs.

00:01:17: War da in verschiedensten Bereichen schon tätig.

00:01:19: Bin das auch heute noch.

00:01:20: Also mein Kernthema ist eigentlich alles rund um IT Security.

00:01:25: Und genau, mein Ansinn ist eigentlich immer, dass ich so Theorie und Praxis, jeder, der sich mit dem Datenschutz schon mal beschäftigt, weiß, das ist ziemlich viel Theorie.

00:01:32: Und man stellt sich immer die Frage, oh mein Gott, was kann und muss oder sollte ich alles tun?

00:01:37: Und das ist so das, was ich alltäglich tue, Theorie und Praxis zusammenzubringen.

00:01:42: Und dann verstärkt, wie gesagt, dem ganzen Thema Enterprise Security, Enterprise Mobility.

00:01:47: Deshalb bin ich heute hier.

00:01:48: Sehr cool.

00:01:49: Fünfzehn Jahre plus bist du dabei und das ist nicht langweilig, richtig?

00:01:52: Nein, man lernt jeden Tag neu dazu und die Technik entwickelt sich immer weiter.

00:01:57: Also auch da war es angefangen, hat es mit dem ersten Blackberry seiner Zeit.

00:02:03: Das war so toll.

00:02:04: Ja, dann gab es die T-Mobile.

00:02:08: Geräte, so die ersten PDAs und so weiter.

00:02:12: Und dann irgendwann hat sich das weiterentwickelt in Richtung Smartphones.

00:02:15: Windows Phone.

00:02:16: Windows CE Phone, genau.

00:02:18: Und dann hat sich das weiterentwickelt in Richtung Smartphones.

00:02:21: Das, was wir heute alle kennen und auch nutzen.

00:02:23: Also sei es ein Android oder ein iOS-Gerät, Tablet, Smartphone, war es auch immer.

00:02:27: Und das deine Spielwiese, da tupste dich aus.

00:02:29: Das

00:02:30: ist die Spielwiese seit vielen, vielen Jahren.

00:02:32: Ich mache auch noch ganz viele andere Dinge in dem Bereich, aber einen kann... Thema oder einen Kampunkt meiner Arbeit war und ist nach wie vor das ganze Thema Mobile.

00:02:41: Sehr schön.

00:02:42: Und genau deswegen starten wir doch direkt die Frage René.

00:02:45: Darum bist du auch hier, um uns alle mal aufzuklären und was es heute ja geht.

00:02:50: Warum sollte man sich überhaupt beschäftigen mit mobiler Security?

00:02:53: Weil man denkt so, ja, Smartphone, Wow, vielleicht Gerät, Tablet, da ist schon alles safe.

00:02:59: Also

00:03:00: warum?

00:03:01: Was kann passieren, genau.

00:03:02: Tatsächlich kann einiges passieren.

00:03:05: Es ist ja so in dem IT-Alltag.

00:03:08: Wir machen uns sehr, sehr oft Gedanken darüber, wie kann ich meine Infrastruktur schützen, wie kann ich meine normalen Endgeräte, also sei es jetzt ein Laptop oder ein klassischer PC, wie kann ich meine Server schützen?

00:03:19: Da können wir Tage, Stunden mit füllen, aber die mobilen Endgeräte... Die sind da, aber irgendwie hat die kaum jemand auf dem Schirm, dass es da auch bedarf, entsprechende Schutzmaßnahmen zu treffen.

00:03:32: Braut man nicht, gell?

00:03:33: Genau.

00:03:34: Aber warum?

00:03:35: Und du wirst es selbst auch kennen.

00:03:37: In der heutigen Zeit ist es eigentlich so, dass jeder ein Smartphone hat, sei es privat oder vor allen Dingen auch dienstig und dass man heute einfach sagen kann, ich kann ja auch alles auf das Smartphone adaptieren.

00:03:47: Es gibt für alles eine App.

00:03:49: oder im Zweifel ist es webbasiert.

00:03:52: Und dann kann ich es auch so auf ein mobiles Endgerät bringen, heißt aber auch, dass ich immer und zu jeder Zeit Zugriff auf meine zum Beispiel dann Unternehmensdaten habe, egal wo ich bin.

00:04:03: Hashtag Schatten IT.

00:04:05: Zum

00:04:05: Beispiel.

00:04:06: Und das ist eigentlich genau der Punkt, dass das sehr, sehr oft hinten runterfällt und sich da keiner Gedanken macht, obwohl das mittlerweile mit eins der größten Einfahrtstore ist.

00:04:16: Das ist das ganze Thema Mobile.

00:04:19: eben genau aus dem Grund.

00:04:20: Genau, aber warum denkst du, fällt das soweit vom Tisch quasi?

00:04:25: Also was könnte der Grund sein?

00:04:27: Weil das bei vielen, vielen Leuten gar nicht so präsent ist, was dann tatsächlich alles heute geht.

00:04:32: Jetzt wenn wir von Angriffswektoren sprechen, da kommen wir ja vielleicht auch später noch drauf, was man tatsächlich alles machen kann und wie einfach ich dann an Informationen komme.

00:04:45: Und das ist einfach so... Der Grund, denke ich mal, weil das keine Präsenten betrogen sind im Vergleich zu, oh, wir haben jetzt ein Verschüßungsdrojaner, der uns die ganze Server-Infrastruktur dann lahmlegt.

00:04:56: Da kann ja das Groh der IT-Abteilung eher was mit anfangen als, ach so, ich wusste gar nicht, dass ich auf einem mobilen Endgerät auch Exit für einen Z.

00:05:04: ... dann veranstalten können.

00:05:06: Das ist so das Thema.

00:05:07: Das wäre jetzt anschließend direkt meine Frage gewesen, ... ... weil ich als normale Privatperson würde jetzt hingehen, ... ... hey, ich möchte ein neues Handy haben, ... ... suche mir jetzt einen aus, ... ... gerade so zum Beispiel bei einem iPhone oder so, ... ... beim Apple-basierten oder iOS-basierten Gerät, ... ... dann gehe ich dann da hin, ... ... sag okay, beim Einrichten, ... ... ah, Apple Care, sehr cool, ... ... wenn es hinfällt, alles top.

00:05:26: Aber dann gibt es noch diese, ... ... ich weiß nicht wie wir, ... ... du kannst dir am besten sagen, ... ... diese Apple Security, ... ... oder wie heißt das Fachworte dazu?

00:05:32: Ja und nein, also es gibt ... Ich würde es anders definieren.

00:05:35: Es gibt native Sportmittel,

00:05:38: die

00:05:39: ein Gerät entsprechend dann schon mitbringen.

00:05:41: Das wäre der Stelle völlig egal, ob es jetzt ein Apple oder Android-Gerät ist.

00:05:45: Wir können das ja heute ganzheitlich betrachten.

00:05:48: Und das kann man schon sagen, dass die Hersteller sowohl von Hardouts als auch von Software, von Hause aus schon einiges mitbringen.

00:05:56: Sei es sowas wie Secure Bootchain heißt, beim Hochfahren des Geräts wird schon geprüft, ist das Betriebssystem auch valide, ist da kein Manipulationsversuch unternommen worden, dann sowas wie App Sandboxing, gerade im Apple-Bereich ist das sehr präsent heißt, kann man sich so vorstellen, jede Applikation ist eine eigene kleine Galaxie und kann da erst auch mal nicht heraus, sei denn ich möchte das bohektiv.

00:06:20: Kennt jeder, der ein iPhone zum Beispiel hat, Wir installieren Outlook und dann fragt Outlook, ich möchte Zugriff auf deine Kontakte haben.

00:06:29: Möchtest du das erlauben?

00:06:30: Ja oder nein?

00:06:32: Genau.

00:06:32: Das ist das, was da hinten dransteckt.

00:06:34: Im Android-Bereich ist das alles ein bisschen offener.

00:06:38: Das muss man auch unterscheiden.

00:06:39: Also es gibt schon klare Prinzipienunterschiede zwischen einem Apple-Gerät oder einem Android-Gerät.

00:06:44: Apple ist in der Regel das geschlossene System.

00:06:46: Android in der Regel das offene System.

00:06:48: Beides hat seine Vor- und Nachteile.

00:06:52: Und da gibt es dann ganz, ganz viele verschiedene Dinge bis hoch zur Verschlüsselung.

00:06:56: Zum Beispiel dann auch von Geräten.

00:06:58: Auch hier wieder Unterschiede.

00:06:59: Bei einem Apple-Gerät gibst du den Passcode ein, sobald du ihn erstellt hast.

00:07:04: Erstes wichtiges Kriterium, was man immer so machen sollte.

00:07:08: Dann ist das Gerät verschlüsselt.

00:07:09: Auch da gab es ja schon entsprechende Medienberichte mal.

00:07:11: Wenn eine große amerikanische Behörde versucht, ein iPhone dazu entsperren, dann wird das selbst für die schwierig.

00:07:18: Im Android-Bereich gibt es das auch, aber da muss man es halt proaktiv einschalten.

00:07:22: Da reicht der Passcode an sich nicht aus.

00:07:24: Da muss die Verschüßlung dediziert dann aktiviert werden.

00:07:26: Das sind so kleine, aber feine Unterschiede, die man dann wissen muss, je nach Plattform.

00:07:35: Ähm, genau.

00:07:47: Ja, deswegen, also auch ich von mir selber würde sagen, ja, ich vertraue den da schon.

00:07:53: Also ich würde jetzt nicht nochmal irgendwie auf irgendwas anderes setzen, sondern Apple hat da sein Ding oder Android oder iOS.

00:08:00: Und dann würde ich sagen, hey, let's go.

00:08:03: Neues Handy, ich bin glücklich.

00:08:04: Den ist auch im Prinzip erst mal nichts entgegenzusetzen.

00:08:07: Das ist schon so, deshalb sage ich für den Normalgebrauch, man muss da glaube ich ein bisschen unterscheiden, zwischen nutze ich das jetzt privat oder nutze ich das dienstlich oder in der Kombi.

00:08:19: Da gibt es halt ein paar Unterschiede, aber jetzt erstmal im GroPrivat ist da erstmal alles okay.

00:08:26: Da gibt es auch ein paar Hinweise, aber auch das vielleicht dann später im Verlauf des Gesprächs, was man so alles machen kann und vor allem, wo man drauf achten sollte.

00:08:34: Auch als Privatnutzer dann, das sind dann so Dinge, genau.

00:08:37: Und um vielleicht das noch abzurunden, weil am Ende ein Smartphone nutzen wird, damit wir Apps nutzen können.

00:08:44: Auch da sind beide Plattformen der Lage, entsprechende Schutzmaßnahmen von Haus aus mitzubringen.

00:08:48: Das heißt, im App Store ist zum Beispiel so, jede App, die da reinkommt, muss vorher validiert werden und geprüft werden von Apple.

00:08:54: Dieser Zyklus ist auch relativ stramm, sag ich mal so.

00:08:58: Im Android-Bereich gibt es Ähnliches, wobei der Android-Store dann doch ein bisschen offener ist.

00:09:04: Genau.

00:09:05: Okay, lass uns mal weg von diesem privaten Bereich gehen.

00:09:08: Lass uns mal in die Unternehmens- und Unternehmensbereich gehen.

00:09:12: Da kriegst du ja auch immer viel mit wahrscheinlich.

00:09:14: Und ja, also wie kann man sich jetzt zum Beispiel, ja, das Unternehmen entscheidet sich jetzt hier, User, ihr kriegt jetzt damit ihr flexibel seid, überall erreichbar seid, jetzt zu eurem mobilen Gerät, also jetzt zum Beispiel auch ein Laptop oder so, jetzt noch ein Handy.

00:09:28: So, was sollte ein Unternehmen tun?

00:09:31: Wir reden ja heute auch generell so, was kann passieren und was sind so die Angriffe, die da passieren können.

00:09:36: Aber wie könnte man sich ja erst mal jetzt davon schützen?

00:09:39: Also was sollte ein Unternehmen machen, wenn sie sich entscheidet?

00:09:41: Okay, jetzt sind wir ready für Firmgräte.

00:09:44: Genau.

00:09:45: Dann gibt es verschiedene Dinge, die man... machen kann bzw.

00:09:49: machen sollte, noch besser, genau.

00:09:53: Und die Basis von allem ist eigentlich, dass ich sagen würde, die Geräte müssen zwingend verwaltet sein.

00:09:59: Es kommt dann ein bisschen auf den Betriebsmodus an.

00:10:01: Betriebsmodus heißt man beschaltet eigentlich drei verschiedene Formen.

00:10:05: Einmal sogenannte Kobo-Modus, also Corporate Owned Business Only, wie es schon verlauten lässt.

00:10:11: Das ist ein reines Dienstgerät und du darfst es nur für dienstliche Zwecke nutzen.

00:10:15: Dann gibt es den Cope-Modus, Corporate Owned Personal Enabled.

00:10:21: heißt, es ist ein Dienstgerät, aber du darfst es auch für private Zwecke dann nutzen.

00:10:26: Dann hast du halt nur noch ein Gerät.

00:10:29: Und der letzte ist dann das BIOD, mit Sicherheit auch schon mal gehört, also Bring Your Own Device, sprich du gehst irgendwo hin, kaufst dir dein mobiles Endgerät, nach gut dünken und dann wird da ein entsprechender Firmencontainer, so will ich es mal nennen, auf dem Gerät bereitgestellt.

00:10:45: Und dann ist aber umso wichtiger, dass man sich bei allen drei Formen halt auch darüber Gedanken macht.

00:10:51: Welche Rechte und Pflichten haben denn beide Seiten?

00:10:53: Ich nenne das immer so schön.

00:10:54: Dutzungsvereinbarung für mobile Endgeräte.

00:10:56: Einfach ein Schriftstück, was man aufsetzt, wo man dann sagt, okay, wir können das und dafür dürft ihr dieses speziell wichtig, wenn die persönliche Nutzung erlaubt ist oder BYOD, dass man halt wirklich sicherstellt, dass private Daten nicht angefasst werden können.

00:11:12: Also technisch.

00:11:14: Kann ich die Leute hier beruhigen.

00:11:15: Betriebsrat.

00:11:16: Genau, Betriebsrat und andere Kremien.

00:11:18: Das kann man alles so aussteuern und alles so definieren, dass das absolut kein Problem ist.

00:11:22: Es muss halt nur einmal A. technisch ordentlich gemacht sein und B. dann auch einmal verschriftlich sein, dass alle Beteiligten halt eben entsprechend sauber und transparent informiert sind.

00:11:33: Da habe ich direkt mal eine Frage bei diesem Bring Your Own Device.

00:11:36: Du nimmst ein eigenes Handy mit.

00:11:38: Was ist aber, jetzt gerade bei dem Beispiel, du hast ein Handy, das hast du privat schon genutzt, so ein Zeitraum XY, Monate und da ist jetzt wirklich schon irgendwas drauf auf dem Handy, sagen wir so Schadsoftware oder sonst irgendwas.

00:11:51: Und jetzt sagst du, du als User weißt vielleicht gar nicht, weil es irgendwie im Hintergrund läuft.

00:11:55: Da greift schon irgendwas, die Daten ab und so.

00:11:58: Und jetzt kommt dieses Gerät und du sagst, ja, jetzt hab ich ein Bring Your Own Device, jetzt mach ich dein Unternehmensmanagement drauf.

00:12:03: Und was ist dann?

00:12:05: Wären dann irgendwie Daten in den Wett infiziert?

00:12:08: Das

00:12:08: könnte passieren, aber...

00:12:11: Gibt es doch schon Sicherheit?

00:12:13: Das bringt mich dann zum zweiten Punkt eigentlich, was sollte ein Unternehmen tun?

00:12:17: Also... Eine Verwaltungslösung für die Geräte bereitzustellen ist die erste Solidebasis.

00:12:25: Die zweite Geschichte, die man dann machen sollte, ist eine sogenannte MTD-Lösung einzusetzen, also Mobile Thread Defense ausgesprochen heißt es.

00:12:34: Das heißt, das ist eine spezielle Security-Lösung, ähnlich wie der klassische Viren-Scanner, den wir auf den regulären Laptops, PCs und so weiter auch haben.

00:12:44: So was gibt es halt auch dediziert von verschiedensten Anbietern für mobile Endgeräte.

00:12:50: Warum ist es wichtig, so was zu haben?

00:12:52: Da kommen wir ja wahrscheinlich dann gleich auch noch drauf, weil die gezielt darauf ausgerichtet sind, genau das zu tun, was du gerade angesprochen hast, nämlich erstmal zu gucken, ist das Gerät denn sauber oder ist es das nicht?

00:13:04: Das heißt, man könnte dann schon sagen, okay, du hast hier vielleicht ein älteres Gerät, was du schon ewig nutzt und weißt eigentlich gar nicht, was da kräucht und fleucht.

00:13:11: Dann registrierst du das Gerät ins Management.

00:13:13: Über das Management wird diese MTD-Lösung erst mal ausgebracht, die macht ein Scan und sagt dann ok, alles sauber und dann wird der Rest.

00:13:22: der notwendigen Applikationen, Profile und so weiter, dann auf das Gerät gepusht.

00:13:27: Ich kann noch mich so gut daran erinnern.

00:13:29: Ich meine, ich war so lange mit Joachim gar nicht dabei.

00:13:32: Aber als ich damals meine Ausbildung gemacht habe, war genau dieses Thema dieses, ja, ich komme jetzt ins Homeoffice, weil viele Unternehmen mussten ja auf einmal schnell ins Homeoffice und da war ich ja so fast in Anführungszeichen abgekapselt von allen, weil ich hatte ja auch noch keinen Firmenhandy und ich konnte Teams jetzt zum Beispiel nicht auf meinem... privaten Gerät benutzen wegen auch Conditional Access, also zum Beispiel, wo man ja auch gesagt hat, hey auf deinem privaten Gerät hast du keine Firmdaten quasi überhaupt anmelden dürfen, also ich mit meinem Microsoft Account oder Firmengeschäftskonto oder was auch immer.

00:14:06: und dann ging das nicht und dann war ich nur auf meinen quasi Rechner quasi.

00:14:11: Beschränkt.

00:14:12: Genau, richtig.

00:14:13: Beschränkt.

00:14:13: Und das war halt auch so eine Sache, wo ich dachte, ja, für mich ist das ja doof gewesen.

00:14:18: Aber ich merke natürlich jetzt, umso mehr es war für das Unternehmen oder ist immer noch für das Unternehmen wichtig, damit man halt auch immer noch die Datenhoheit hat.

00:14:25: Und zu schauen, wenn da jetzt irgendwas passiert, oh ja, dann knallt es vielleicht.

00:14:29: Und das ist ...

00:14:30: Genau, das ist der Punkt.

00:14:31: Und das ist dann der dritte Themenblock, den man dann quasi sich ... anschauen kann, nämlich wie kann ich denn einen sicheren Zugriff auf meinen Unternehmensdaten bereitstellen.

00:14:44: Also, erster Teil des Geräts ist verwaltet, dann haben wir schon mal einen Teil Kontrolle, können gewisse Dinge vorgeben.

00:14:50: Zweiter Teil, wir haben eine MTD-Lösung.

00:14:52: Dann können wir erstmal verifizieren, ist da alles sauber, alles transparent.

00:14:57: Der dritte Teil ist dann okay.

00:14:58: Und jetzt möchte die Nicole auf Teams, auf Outlook, auf Swan Drive.

00:15:03: Co-Bilot.

00:15:04: Was auch immer, genau.

00:15:06: Copilot, dann auch gerne.

00:15:09: Man muss aber nicht nur Cloud sein, das ist auch immer wichtig.

00:15:11: Das kann auch noch eine Standard-On-Premise-Applikation sein.

00:15:14: Es gibt ja immer noch sehr, sehr viele und das wird ja auch gerade wieder ein Trend Unternehmen und oder öffentliche Institutionen, die halt sagen, okay, wir wollen so ein bisschen... zurück zu den Wurzeln und stellen uns das ein oder andere System dann doch nochmal in Haus hin.

00:15:28: Also sowas kann man natürlich dann auch bereitstellen.

00:15:30: Aber entscheidend ist halt hier, wie man es macht.

00:15:32: Du hast eben Conditional Access angesprochen.

00:15:34: Es ist eine Variante, dass man einfach Kategorien entsprechend definiert, wo man sagt, okay, das Gerät muss mindestens x, y, z. haben, damit ich den Zugriff gewähre, Betriebssystem aktuell, Passcode gesetzt und gewisse andere Dinge, so was.

00:15:49: Und wenn man es dann ganz modern denkt, kann man das noch weiter treiben, dass man so nen sogenannten Zero Trust Ansatz halt fährt, der dann noch weiter geht.

00:15:58: Das passiert dann in der Regel in Echtzeit.

00:16:00: Da ist einfach die Palette der Kategorien und die Art und Weise, wie der Zugriff dann gestaltet wird, noch mal ein bisschen granularer und noch mal ein bisschen sicherer.

00:16:08: Also es gibt verschiedene Wege, wie man es machen will, entscheidend ist, dass man sich für das Basispaket zumindest mal entscheidet in der heutigen Zeit und nicht einfach sagt okay cool.

00:16:16: Wir haben fünfzig Mitarbeiter und alle fünfzig haben jetzt ein Smartphone gekriegt und am Ende können die da zum Beispiel auch das und am Ende können die da alle machen, was sie wollen.

00:16:26: Das wird dann zum Problem.

00:16:28: Genau und neben meiner IT Security-Tätigkeit bin ich auch viele Jahre im Datenschutz, also tatsächlich selbst auch Datenschutzbeauftragter unterwegs und auch da Ich weiß, dass es immer Freude und Leid zugleich, aber auch da gibt es halt in dem Kontext klare Vorgaben, wie Dinge zu tun sind.

00:16:45: Und ein Teil davon, gerade im Kontext Smartphone, ist das Thema Datentrennung auch ein wichtiger Punkt.

00:16:52: Was meine ich damit?

00:16:53: Das heißt, wir müssen dann schon sicherstellen, das kann man relativ einfach machen über etwaige Konfigurationen, die dann über das Management-System verteilt werden, wo wir einfach sagen, es gibt... Firmendaten und es gibt private Daten.

00:17:07: Wenn wir jetzt bei dem Beispiel du hast ein Bleiben, du hast ein Handy und darfst es auch privat nutzen.

00:17:13: Dann muss ich sicherstellen, dass Dienstdienst bleibt und privat privat bleibt.

00:17:18: Heißt einfachstes und bestes Beispiel auch gerade im Kontext der DSGVO, dass WhatsApp zum Beispiel keinen Zugriff auf deine dienstlichen Outlook-Kontakte bekommt.

00:17:28: Weil sonst würden wir ja Kundendaten... wenn man es genau im Amtsdeutschen nennt, in ein nicht-sicheres Drittland übermitteln.

00:17:36: Das hast du sehr gut aus.

00:17:38: Heißt das offiziell?

00:17:39: Ja.

00:17:40: Und tatsächlich ist es aber leider kein Spaß in der heutigen Zeit.

00:17:43: Also ich habe da sehr, sehr viele Kunden betreut und mache es heute immer noch.

00:17:48: Wo ich einfach sagen kann, da versteht die Behörde halt auch keinen Spaß mehr.

00:17:52: Ich weiß natürlich, wie sich das Geschäftsgebaren geändert hat in Zeiten von Social Media und so weiter und so fort.

00:17:59: Dennoch ist es so, sobald WhatsApp auf dem Gerät ist, kann das im Zweifel zum Problem werden.

00:18:07: Und da kommen wir auch direkt zu dem nächsten Punkt.

00:18:09: Und zwar, ja das spannende, das gruselige, war ja gerade erst Halloween.

00:18:14: Ja, was ist das beste wären konkrete Bedrohungen.

00:18:17: Also, wo kann man wirklich sagen, okay, das ist wirklich das Gängigste, wo man jetzt sagt, boah.

00:18:22: Da sollte man auf jeden Fall aufpassen, dass das auf jeden Fall nicht eintrifft, nicht passiert.

00:18:29: Wer hat da die Schuld?

00:18:30: und so weiter, aber wo fängt es an?

00:18:32: bei den Bedrohungen?

00:18:33: Was die kritischste Bedrohung, die es so aktuell quasi gibt, wenn man das so sagen kann?

00:18:39: Die Kritik ist eigentlich Fishing, wenn man es so will, aber es gibt eigentlich noch viel, viel mehr.

00:18:46: Man kann das schön ein bisschen kategorisieren.

00:18:48: Das erste ist eigentlich so die gerätepasierte Kategorie, so will ich sie nennen.

00:18:52: Das heißt, ganz einfache Themen kann man auch wieder schön ins private adaptieren.

00:18:57: Jedes Unternehmen oder jeder auch private Smartphone Nutzer sollte sicherstellen, dass er zwei Dinge in der Basis macht.

00:19:03: Erstens, sein Gerät regelmäßig zu updaten, damit ich halt keine Schwachstellen irgendwie mit mir rumtrage.

00:19:10: will auch heißen, dass ich mich vielleicht auch irgendwann mal im regelmäßigen Zirkus ein neues Gerät zulege.

00:19:16: Warum?

00:19:18: Ist zwar schön, dass ich ein mobiles Endgerät habe, was jetzt irgendwie schon zehn Jahre alt ist, was aber bei Weidem keiner Sicherheits-Updates mehr bekommt, dann habe ich da leider auch ein Problem.

00:19:27: Also das ist so das erste.

00:19:28: Das zweite ist... Gutes

00:19:29: Beispiel vielleicht gerade noch, wenn du es zehn, also

00:19:32: das ist ja auch endoff.

00:19:33: Ähnliches Thema.

00:19:37: Und genau das lässt sich halt auf die mobilen Endgeräte auch eins zu eins zu adaptieren.

00:19:41: Egal, ob es iOS oder Android ist, da gibt es einen gewissen Lebenszyklus und irgendwann muss ich dann halt entweder, wenn ich es kann, nur die Software updaten oder wenn halt die Hardware, die neueste Software nicht mehr unterstützt, dann auch das Gerät.

00:19:53: Haben wir bei Windows Elf ja dann in ähnlichen Zügen auch.

00:19:57: Das zweite ist und das ist eigentlich das Einfachste, was jeder machen kann, ist einen möglichst nicht nur vierstelligen Passcode auf seinem Gerät zu erstellen.

00:20:07: Also sechs Stellen Minimum ist eigentlich so der Standard, den man machen sollte, um es halt einem Angreifer relativ dann schwer zu machen, erst mal so oder so anzukommen.

00:20:17: Natürlich gibt es heute dann auch biometrische Identifizierung, also Face ID, Touch ID, solche Geschichten kann man auch additiv benutzen, aber die Basis ist natürlich immer ein entsprechender Sperrcode auf dem Gerät.

00:20:32: Das sind so die Geräte basierten Dinge, die man so definieren kann.

00:20:36: Die zweite Kategorie, die ich immer ganz gerne nehme, ist, dass man sagen kann, Netzwerk oder Infrastruktur basierte Attacken, die es dann so gibt.

00:20:46: Was meine ich damit?

00:20:49: Auch du warst jüngst wieder auf einer Messe unterwegs, habe ich gesehen, heißt, da wird es mit Sicherheit, wenn du im Hotel warst, einen öffentlichen Hotspot gegeben haben oder mit dem Zug gefahren bist oder im Café, heißt auch da einfach ein bisschen sensibel sein und dann zu sagen, okay, ich weiß, ich habe jetzt gerade eine schlechte mobile Verbindung, also, fünf-G-LTE.

00:21:08: Aber will ich wirklich jetzt auf diesen hier Anmeldeklinge... Zum

00:21:11: Beispiel, ja, oder möchte ich mich in irgendeinem Café oder im Bahnhof irgendwo ins WLAN ein?

00:21:16: klingen warum kann das zum problem werden?

00:21:19: weil ich halt niemals nie weiß wer sitzt da im zweifel und hört mit weil er sich auch eingewählt hat.

00:21:27: oder b ist das tatsächlich ein valider hotspot?

00:21:31: Den Namen kann man ja schnell mal... Genau,

00:21:33: den Namen kann man ja auch faken und kann dann seinen eigenen Hotspot entsprechend dann aufmachen und dann verbindest du dich halt mit dem und ich sitze im Hintergrund und fange halt an mal zu gucken, was du da machst.

00:21:43: Macht das nicht.

00:21:44: Nein, aber das ist halt theoretisch praktisch möglich und dann sind das halt klassisch im Ende der Mittelattacken, SSL Stripping, sowas.

00:21:51: Genau, dann gibt es als drittes zu den Content-basierte oder Inhalts-basierte Bedrohungen, was meine ich damit.

00:21:59: Gerade wenn wir im dienstlichen Kontext widersprechen, dann ist es natürlich für ein Unternehmen auf das Ansinnen, dass zum Beispiel keine chronographischen Inhalte genutzt werden können auf so einem Dienstgerät.

00:22:10: Bis jetzt ein Beispiel, da gibt es noch viel, viel mehr.

00:22:12: Quasi

00:22:13: Firewall mit Waffen und so weiter und so

00:22:15: fort.

00:22:15: Was auch immer.

00:22:17: Genau.

00:22:17: Solche Themen.

00:22:19: dass die halt nicht konsumiert werden können, dass wir vielleicht auch ein bisschen Kontrolle haben über das Thema Roaming.

00:22:25: Klassisches Beispiel.

00:22:26: Wir haben ein Vertriebsmitarbeiter, der fliegt in die USA, vergisst Bescheid zu sagen, kommt wieder, hat eine Rechnung von sechstausend Euro produziert.

00:22:32: Also auch das gibt es relativ oft.

00:22:34: Natürlich gibt es heute Mobilfunktarife, die sowas mit abdecken.

00:22:38: Aber wenn ich jetzt ein gesunder Mittelstandsunternehmer bin, dann habe ich vielleicht auch nicht immer das entsprechende Paket gebucht, weil das natürlich auch immer Kostengründe sind.

00:22:46: So was.

00:22:46: Dann geht da noch, genau.

00:22:50: Dann gibt es App-basierte Bedrohungen, auch das sollte man nicht unterschätzen.

00:22:56: Warum?

00:22:56: Natürlich gibt es Apps noch unnöcher.

00:23:01: Aber und die kommen auch aus, wie wir eben schon gesagt haben, aus den öffentlichen App-Stores.

00:23:05: Die werden auch zum Teil geprüft.

00:23:07: Das heißt aber nicht immer, dass die dann auch sauber sind.

00:23:10: gab es gerade Jungs wieder ein Beispiel, auch wieder WhatsApp, wo dann der Sicherheitslücke war, die ist dann auch innerhalb von vierundzwanzig Stunden gepatched worden, war also weniger ein Thema.

00:23:19: Aber sowas gibt es.

00:23:21: Und genauso gibt es auch Apps, die sind dann zwar im App Store, ich lade mir die runter, aber ich weiß dann trotzdem im Hintergrund nicht, was die tun.

00:23:27: Also jeder wird das schon mal kennen, wenn er im App Store drin war, dann gibt es da eine entsprechende Info, diese App fordert XY-Berechtigungen an Zugriff auf Kalenderkontakte etc.

00:23:38: Am Ende ist es aber so, dass ich als Entwickler da relativ freie Hand habe, was ich da reinschreibe.

00:23:45: Also als Entwickler, was die App dann tatsächlich macht, steht nochmal auf einem anderen Blattpapier.

00:23:50: Das

00:23:51: kleinere, wahrscheinlich kleinere, gedruckter.

00:23:53: Genau.

00:23:54: Und da sollte man auch immer ein bisschen gucken, welche Apps lad ich mir runter, wenn wir es jetzt privat nochmal beziehen.

00:24:01: Was machen diese Apps?

00:24:03: Und im dienstlichen Kontext natürlich auch, welche Apps möchte ich natürlich dann freigeben und welche Zugriffe geben die dann auch.

00:24:09: Gibt ein schönes Beispiel, es gab vor Jahren mal eine Taschenlampenapp, die hat dann Zugriff auf deine Kontakte angefordert, auf deinen Standort angefordert.

00:24:17: Klar, logisch.

00:24:18: Genau, warum?

00:24:20: Um mir Licht zu machen.

00:24:22: Mit deinen Kontakten?

00:24:23: Genau.

00:24:24: Und das sind halt so Punkte, da kann ich halt wirklich nur den Hinweis geben, einfach mal, wenn jetzt Zuhörer da sind.

00:24:31: die dann schon solche Systeme einsetzen, aber einfach nochmal zu gucken, welche Apps haben wir denn eigentlich verteilt?

00:24:37: Was machen die und wissen wir davon?

00:24:40: Oder macht es vielleicht Sinn, da nochmal einmal durchzugehen und dann zu sagen, okay, das und das sollten wir nochmal anpassen.

00:24:46: Und

00:24:46: der letzte und größte Punkt in den Kategorien der Angriffe ist eigentlich das Thema Fishing.

00:24:52: Auch das haben die meisten mit Sicherheit schon mal gehört.

00:24:55: Heißt klassischer Link, der dann zum Beispiel über ... eine SMS, eine E-Mail oder ähnliches verschickt wird.

00:25:04: Papa, ich habe eine deuter Telefonnummer, kannst du dich für mich anruhen?

00:25:07: Das

00:25:08: wäre der einfachst anzunehmende Klassiker, der ja ziemlich bekannt ist.

00:25:12: Tatsächlich geht es aber heute noch viel, viel, viel smarter.

00:25:16: Da muss man auch sagen, KI, unser Freund und Helfer, du hast eben so schön Co-Pilot gesagt.

00:25:20: Kann man natürlich alles nutzen, aber genauso gehen die Angreiver natürlich auch hin und machen sich KI zu Nutze, um halt wirklich extrem ausgereifte Angriffe dazu fahren, sodass du ... auch wenn du lange lange im Geschäft unterwegs bist.

00:25:34: Trotzdem

00:25:34: reinfallen.

00:25:35: Sehr,

00:25:35: sehr schwer nur noch erkennen kannst.

00:25:37: Ist das jetzt fake oder ist das real?

00:25:39: Also es gibt sehr, sehr schöne Beispiele.

00:25:41: Ich nenne jetzt hier keine Namen, wo dann Plattformen quasi imitiert wurden, wo du wirklich sagen musst, das ist so gut gemacht.

00:25:50: Da merkt man selber gar nicht.

00:25:51: Du siehst das nicht mehr.

00:25:52: Ja, nur noch schwierig.

00:25:54: Ich würde jetzt sagen, ich habe da ein bisschen Gefühl dafür.

00:25:56: Gibt es verschiedene Indikatoren, die man da abfragen kann?

00:25:59: oder dann prüfen kann, um zu sehen, ist das fake oder ist es nicht, aber der normale Anwender, der sieht das nicht und dann wird es halt schwierig.

00:26:06: Und die Stufe zwei von dem Thema Fishing.

00:26:10: nennt sich jetzt Quishing, vertraue niemals nie einen QR-Code, weil da wird es noch noch schwieriger zu erkennen, ist das jetzt ein Fake-Qr-Code oder ein realer QR-Code?

00:26:21: Und am Ende machen die Eingreifer eins, die spielen mit dem Faktor Mensch und der menschlichen Psychologie, weil der Mensch ist bequem.

00:26:30: Und natürlich ist jeder von uns, ach cool, ich scann das mal schnell, weil dann habe ich WLAN oder bin irgendwo eingeloggt oder kann meine App runterladen.

00:26:39: Und das wird dann halt brandgefährlich.

00:26:41: Also auch da gibt es echte Kampagnen, die gefahren wurden, wo dann Briefe verschickt wurden, eben vermeintlichen Auftrag von Banken oder ähnlichen.

00:26:50: Wir möchten unsere Security Standards updaten.

00:26:52: Dafür haben wir eine neue App entsprechend entwickelt, QR-Code-Scan runterladen und dann gebe ich halt entsprechend Datenpreis.

00:27:00: Also Leute, passt auch auf, was ihr ja nicht nur Mobilpunk bekommt oder digital auch, ne?

00:27:06: Physische.

00:27:07: Genau, das kann

00:27:08: ein Thema sein.

00:27:10: Also im Zweifel einfach immer noch mal bei der Bank zum Beispiel anrufen und sich das verifizieren lassen, ist das jetzt wirklich ein valide Post-Kampagne, die da gefahren ist oder versucht gerade jemand mich her auszutricksen, so was gibt es tatsächlich.

00:27:24: Das ist eigentlich so das Top-Angriffs-Vektor-Thema, Fishing, Quishing, weil man da halt sehr einfach einsteigen kann und dann extrem einfach auch an benutzen, dann bepasst Wort, aber auch... einen zweiten Faktor kommen kann.

00:27:37: Das ist vielleicht auch noch ein wichtiger Punkt, den man nicht unterschätzen sollte.

00:27:41: Zweiter Faktor, wie es ja eigentlich mal gedacht war und eigentlich gedacht ist, du hast einen Laptop, du möchtest dich an Outlook anmelden, benutzen eine Passwort gibst du ein, dann wirst du nach dem zweiten Faktor gefragt, also nimmst du dein mobiles Endgerät raus, hast du zum Beispiel die Auto Decada App, dann drauf gibst du es frei per Pustan, per OTP, TOTP, wie auch immer, genau.

00:28:05: Das kann man dann sehr schön machen.

00:28:06: Das ist auch okay.

00:28:07: In der Realität, wie es heute aber ganz, ganz oft aussieht, ist, wir haben es eben gesagt, ich kann heute das Business komplett auf mein Tablet oder mein Smartphone adaptieren.

00:28:15: Heißt, ich habe benutzenene Passwort und den zweiten Faktor auf dem gleichen Gerät.

00:28:20: Und was ich ganz oft sehe, ist, dass die meisten dann auch Autofill aktiviert haben.

00:28:24: Heißt, der füllt benutzenene Passwort und den zweiten Faktor.

00:28:29: entsprechend mit aus und da kann ich über entsprechende Angriffe halt auch dann dran gehen, um mir halt das entsprechend dann abzugreifen.

00:28:38: Da empfehle ich immer ein bisschen dann auch Sorgfalt walten zu lassen, dass ich mir einfach überlege, wie und wann verwende ich diesen Authenticator.

00:28:48: oder wenn man es dann ganz... professionell machen will, so will ich das mal nennen, ob man sich vielleicht überlegt, dass man nicht ganzheitlich dann auf sowas wie ein Yubiki oder ähnliches dann umsteigt, weil die halt dann irgendwie abzufischen wird dann doch extrem schwierig und dank USB-C sind die ja heute auch AMO oder NFC, am mobilen Endgerät dann nutzbar und somit dann auch kein Problem im Alltag.

00:29:13: Muss man sich ein bisschen umstellen, ich persönlich nutze die auch, weil ich habe vier Stück von den Teilen, auch privat.

00:29:19: Da muss man sagen, privat ist es so, nicht alle Dienste werden unterstützt.

00:29:23: Das muss man wissen.

00:29:25: Aber mittlerweile ist der Katalog doch extrem groß.

00:29:28: An der Stelle, wie gesagt, völlig egal, ob es ein Ubiqui ist oder ein anderer Security-Ki, da gibt es ja noch ein letzter Hersteller, aber Ubiqui dürfte den meistens so ein Begriff sein.

00:29:36: Und dann kann man da sein Security-Score, um die Microsoft-Aktion einmal zu ziehen, doch extrem nach oben schrauben, um dann einfach zu sagen, okay, ich habe hier wirklich eine resistente Geschichte aufgebaut.

00:29:50: Du hast ja vorhin das Thema WhatsApp oder halt ist ja egal, welche App, aber wenn man da jetzt irgendwie sieht, okay, Sicherheitsbug oder so.

00:29:57: und jetzt hast du gesagt, die haben das in vierundzwanzig Stunden oder so gefixt, dann... Ist man ja Reinterage als User, also es gibt ja dann auch zwei Versionen quasi, entweder geht der User dann da hin, wird gewarnt, hey bitte einmal updaten von dieser App.

00:30:12: oder gibt es dann auch die Möglichkeit zu sagen, jetzt habe ich schon mein MDM, was da sich um das Security kümmert, dass das automatisch quasi macht.

00:30:21: Dann kann es automatisieren.

00:30:23: Genau, das ist ja auch Sinn und Zweck von einem solchen MDM, dass ich halt möglichst viele... Punkte automatisiere, sei es das initiale Enrollment, also wie wird das Gerät ins System aufgenommen, welche Sicherheitsstandards werden direkt mal mit ausgebracht, welche Zugriffe werden gegeben, welche Profile werden gepusht, aber dann auch wie kann ich das Thema Software, also Betriebssysteme, Software, iOS, Android, Core Update oder aber auch App.

00:30:52: Updates, dann entsprechend steuern.

00:30:54: Also da gibt es verschiedene Mittel und Wege, die man nutzen kann, mithilfe eines solchen Systems, um zu sagen, okay, gewisser Satz an Apps ist hier vorgegeben, die sind auf dem Gerät drauf und wir kümmern es dann auch drum, dass die entsprechend geupdatet werden.

00:31:09: Man kann auch entsprechende Insights.

00:31:12: So nennt sich es im Englischen.

00:31:14: Sich ziehen.

00:31:14: Einsichten.

00:31:15: Einsichten, ja.

00:31:16: Transparenz schaffen wäre vielleicht der deutsche Begriff.

00:31:20: Um halt wirklich zu sehen, okay, welche Apps habe ich denn installiert und wie ist die Version?

00:31:24: und was ist auch die Schwachstelle jetzt in einer vielleicht dann nicht sicheren Applikation.

00:31:29: Genau und mir wichtig immer noch mal zu sagen, was eben angesprochen Betriebsrat.

00:31:35: Es geht niemals nie darum, den Mitarbeiter zu überwachen, sondern es geht einfach darum, eine gewisse Transparenz und ein Bewusstsein dafür zu schaffen.

00:31:44: Und das können solche Verwaltungssysteme oder auch Mobile Security-Systeme auch nicht.

00:31:47: Ich kann keine von deinen privaten Fotos einsehen, wenn du jetzt das Gerät auch dienstisch und privat nutzen dürftest.

00:31:54: Ich kann keine Nachrichten von dir lesen.

00:31:56: Das funktioniert alles nicht.

00:31:58: Ich kann auch kein GPS-Tracking machen.

00:32:03: Allein aus DSGVO gründen, wäre das ja schon die trotzende Fähigkeit.

00:32:06: Absolut.

00:32:07: In diesem Moment den Mitarbeiter per GPS-Standard zu verfolgen.

00:32:10: Also es geht alles nicht.

00:32:12: Das muss man ganz klar so definieren, weil da auch leider immer noch ein bisschen ihr glaubt in vielen Ebenen unterwegs ist, was dann doch alles geht.

00:32:19: Aber mittlerweile ist das technisch so ausgereift, dass wir genau das nicht können, sondern eher sagen, wir wollen ja A. den Mitarbeiter schützen und B. natürlich unser... gut als Unternehmen, unsere Daten, unsere Kundendaten etc.

00:32:33: etc.

00:32:34: unsere Produkte, das wollen wir schützen, weil sie eben auf mobilen Endgerät unterwegs sind und weil wir eben nicht immer wissen, wo befindet sich das Gerät gerade, wer nutzt es auch, also auch das kann noch so ein Thema sein, vielleicht.

00:32:47: Bin ich gerade unterwegs mit meinem Partner, meiner Partnerin und muss mal schnell einen Anruf trädigen und sage, okay, dann nimm halt mein Handy und dann weiß ich ja auch nicht ...

00:32:56: Sie scheiß Lücke.

00:32:57: Was wird

00:32:58: da gemacht?

00:32:58: Sie

00:32:58: scheiß Lücke.

00:33:00: Und das ist letztlich bei einem Spaß tatsächlich der größte Punkt von all den Angriffsvektoren und all den Themen, die wir so besprochen haben, nämlich der Faktor Mensch.

00:33:10: Die liebsten.

00:33:11: Mensch.

00:33:12: Die liebsten

00:33:12: nicht, aber grundsätzlich gesprochen ... Die menschliche Physiologie und der Faktor Mensch an sich.

00:33:19: Also da gibt es auch schöne Studien.

00:33:21: Wenn das mal interessiert, da gibt es den Verizon Data Preach Report oder auch die Bitkom Studie.

00:33:26: Da kann man so was schön nachlesen.

00:33:27: Ist alles kostenfrei, kann man sich einfach runterladen.

00:33:30: Und da kann man halt sehr schön sehen, wieso das Verhältnis ist von den Attacken, die dann erfolgreich waren und auf was die zurückzuführen waren.

00:33:38: Und dann sieht man, dass hat mehr als siebzig Prozent auf den Faktor, Mensch zurückzuführen waren, weil man durch verschiedene auch Social Engineering Techniken dann den Anwender dazu verleitet hat, gewisse Dinge zu tun, die dann im Zweifel kritisch waren.

00:33:51: Und man sieht in diesen Studien auch, dass mehr als ein Drittel der Befragten tatsächlich Opfer schon von einem Fishing Angriff geworden sind, der dann auch entsprechend erfolgreich war, weil eben das grode Geräte leider nicht so geschützt war, um halt in Echtzeit zu erkennen, okay, du hast eine E-Mail in SMS, war es auch immer bekommen und hast auf den Link geklickt, bist dann fiktiv auf einer Anmeldeseite weitergeleitet worden, die extrem echt aussah.

00:34:19: und hast dann leider benutzen wir Passwort etc.

00:34:23: dort eingegeben und dann...

00:34:28: Also ich muss auch selber sagen, also ich finde es sogar richtig toll, wenn es die Möglichkeit gibt und wie du ja gesagt hast, es gibt die Möglichkeit, wenn ich jetzt ein Film gerät habe und ich muss mich rein theoretisch um nichts mehr kümmern.

00:34:39: Das heißt, ich kann es privat nutzen, habe da meine Apps, aber habe auch meine Unternehmens-Apps und es wird immer darauf geachtet, gibt es da ein Sicherheitsfeature, weil ich als End-User jetzt mal wirklich... transparent gesprochen hier, also ganz ehrlich, gucke ja nicht immer, oh, im Internet, da ist jetzt eine Sicherheitslücke und da ist ein Bug fix und das muss jetzt updateen oder so.

00:34:59: Ich find das wirklich auch toll, das ist der Vorteil, wenn man sagen kann, hey, das wird alles gemanagt, sehr schön und dann wird das alles geupdated und man ist sicher.

00:35:07: Weil wir selber kriegen das ja nicht mit, wenn dann auf einmal ein Update läuft, was dann halt einfach zur Sicherheit beiträgt.

00:35:12: Deswegen go for it, ich find's toll, also super.

00:35:15: Alles

00:35:16: völlig richtig.

00:35:17: Dennoch sag ich immer, Technik ist das eine.

00:35:21: Und jeder Anwender für sich sollte dann so ein gewisses Bewusstsein.

00:35:25: Das ist auch ein bisschen mein Ansinn, warum ich dann heute gerne der Einladung gefolgt bin, um über dieses Thema mal zu sprechen, einfach ein gewisses Bewusstsein zu schaffen.

00:35:34: Wie gesagt, nicht nur im dienstischen Gebaren, sondern vor allen Dingen auch im privaten.

00:35:40: Welche links klicke ich?

00:35:42: Welche apps installiere ich?

00:35:44: Welche Bildchen empfange ich?

00:35:46: Also auch das gab es mal.

00:35:47: Da hat es gereicht, wenn ich den Bild geschickt habe.

00:35:48: Du hast darauf geklickt und dann konnte ich auf dein mobilen Endgerät gewisse Dinge tun.

00:35:54: Heute geht das nicht mehr so einfach.

00:35:55: Also privat jetzt hier möchte ich bei Weitem keine Angst führen.

00:35:58: Wie gesagt, einfach nur ein gewisses Bewusstsein, dass man einfach ein bisschen guckt, was und wie ich mache.

00:36:06: Und dann bin ich da schon ganz, ganz gut unterwegs.

00:36:08: Deshalb sage ich immer, die Technik ist die eine Seite, aber am Ende der Faktor Mensch und der Anwender ist dann die ganz große andere Seite.

00:36:14: Und da gilt es vielleicht dann auch als Unternehmen, dass man vielleicht mal so eine Schulung aufsetzt und die Mitarbeiterinnen dann entsprechend abholen und sagt, hier, pass auf, ihr habt alle so ein Gerät.

00:36:26: Das haben wir jetzt eingeführt, MDM plus MTD.

00:36:30: Das wollen wir damit dann erreichen.

00:36:34: Und wie ich es eben schon gesagt habe, genauso habt ihr dann aber auch so ein paar... Rechte und so ein paar Flichten, denen ihr bitte nachkommt, einfach ein bisschen bewusster mit dem Gerät umgehen und durch den Alltag das Ganze führen.

00:36:45: Perfekt.

00:36:45: So, jetzt würde ich im Hinblick von unserer Podcast folgen Zeit einmal auch nochmal ein Recap von dir wollen.

00:36:53: Also wie können wir uns jetzt im Endeffekt schützen?

00:36:55: Du hast ja super viele Punkte aufgegeben.

00:36:57: Einfach jetzt nochmal hier.

00:36:59: Was kann ein Unternehmen machen oder wie Privats?

00:37:01: Was können wir machen, um uns zu schützen?

00:37:03: Genau.

00:37:04: Also erstens, sich bewusst sein.

00:37:06: dass ein mobiles Endgerät, egal ob Smartphone oder Tablet, durchaus auch ein Angriffsvektor sein kann.

00:37:13: Das ist schon mal das Wichtigste, dass man das irgendwie verändert sich hat.

00:37:17: Zweitens, die einfachsten Sachen.

00:37:20: Erst mal ein Passcode setzen, das Gerät regelmäßig updaten.

00:37:25: Drittens, wenn wir jetzt auf Unternehmenssicht dann schauen, im Idealfall die Geräte nicht unverwaltet, durch die liebeweite Welt dann ziehen lassen, sondern in welcher Form auch immer, ich habe ja die verschiedenen Betriebsmodi erklärt, sich zu entscheiden, was möchte ich machen und was möchte ich für meine Mitarbeiterinnen entsprechend mitgeben.

00:37:46: Also sowas einführen, dann entsprechend eine MTD-Lösung etablieren.

00:37:50: Auch da gibt es noch ein Nöcher an Angeboten, was man machen kann.

00:37:54: Aber die sollte so gestreckt sein, dass sie wirklich dediziert für die mobilen Endgeräte auch ausgelegt ist und dann am Ende halt einfach zu schauen, wenn ich dann ein Unternehmenszugriff erlaube, dass das entsprechend auch ordentlich und transparent gemacht ist und dass das so läuft, dass es dann schon... Ich nenn's jetzt mal einfach ausgedruckt, kontextbasiert läuft, sodass das System wirklich prüft, okay ist das Gerät aktuell, ist ein Passcode gesetzt, ist da eine risikoperhafte der App installiert und so weiter, sodass ich dann in Echtzeit die Zugriffe entsprechend sprechen kann.

00:38:26: Also, Bewusstsein schaffen, selber ein bisschen sensibel sein mit, ich habe ein Passcode, ich halte mein Gerät aktuell, wenn wir im privaten sprechen, wenn wir im Unternehmen sprechen, die Geräte verwalten, eine MTD-Lösung.

00:38:37: entsprechend einsetzen und das ganze Thema Unternehmenszugriff dann auch damit kombinieren.

00:38:42: Und dann hat man da ein ziemlich rundes Konzept.

00:38:45: Sehr cool.

00:38:45: Danke für den Recap.

00:38:46: Danke auch für deine Zeit, dass du hier warst.

00:38:49: Wenn du jetzt noch eine Sache mitgeben könntest, so in einem Satz.

00:38:52: Was würdest du den Zuhörern, Zuschauern und Zuschauer... Genner mit Steven wollen.

00:39:01: Noch mal ganz kurz.

00:39:02: Dann

00:39:02: würde ich in meinem seit vielen Jahren bestehenden Motto treu bleiben.

00:39:05: Das ist ein Satz.

00:39:06: Und der heißt, never trust, always verify.

00:39:09: Sehr cool.

00:39:10: Und in diesem Sinne, wie gesagt, danke René, dass du dabei warst.

00:39:13: Freue mich super, gerne noch auf eine nächste Folge mit dir.

00:39:16: Kommt gern wieder.

00:39:17: Genau.

00:39:17: Und wenn wir wieder so aktuelle Themen haben, lassen die uns auch mal gerne besprechen.

00:39:21: Also, wenn es vielleicht irgendwie einen Fall gibt, der gerade akut ist oder so, da hört man wieder von einem Sicherheitsfall.

00:39:27: Dann wäre es bestimmt auch einmal interessant zu hören, hey, was hätte man vielleicht machen können, um das halt zu ihm gehen.

00:39:32: Und ich denke, das wird auch eine coole Basis für eine neue Folge sein.

00:39:35: Und da haben wir jetzt einen Ansprechpartner auf jeden Fall für.

00:39:39: Deswegen...

00:39:40: Sehr gerne.

00:39:40: Vielen Dank noch mal für die Anleitung.

00:39:41: Hab mich gefreut und gerne bis zum nächsten

00:39:43: Mal.

00:39:44: Gerne.

00:39:44: Und in diesem Sinne auch für euch natürlich, wenn ihr wieder Fragen habt, vielleicht auch andere Nee, dann lasst uns das auch gerne wissen.

00:39:50: In der Podcast-Beschreibung steht noch einmal eine E-Mail-Adresse.

00:39:53: Meldet euch gerne auch, wenn ihr irgendwelche interessanten Themen habt, die ihr eine Folge haben möchtet.

00:39:58: Und in dem Sinne würde wir sagen, vielen Dank fürs Zuhören oder fürs Zuschauen.

00:40:03: Und wir hören uns bei der nächsten Folge mit dem nächsten Thema wieder.

00:40:06: Bis dann.

00:40:07: Ciao.

00:40:08: Ciao.