Folge 17: Schwachstellen schließen, Infrastruktur schützen & Cyberangriffe abwehren

00:00:00: Hi und herzlich willkommen zurück bei einer neuen Folge von Cloud & Deutlich.

00:00:03: Und dieses Mal haben wir den Hendrik Po, den Schwachstellen-Scan-God mit dabei!

00:00:08: Wir hatten einmal eine Folge aufgenommen wo es genau um diesen Fall geht also Schwachstellenanalyse was man alles so erlebt am Tag und soweit und sofort.

00:00:16: und diesmal schauen wir uns aber eher an wie man diese schwachstellen schließen kann anhand eines Angriffes der erfolgreich war.

00:00:24: Also viel Spaß bei der neuen Folge.

00:00:26: und let's go nach dem Intro.

00:00:29: Hallo und herzlich willkommen zu Cloud & Deutlich, eurem Netplans Podcast rund um die IT-Welt.

00:00:33: Mein Name ist Nicole Wiske und ich bin der Host dieses Podcasts und natürlich freue mich, dass du wieder dabei bist!

00:00:39: In unseren Folgen tauchen wir tief in die IT Welt ein und bringen dir spannende Gespräche, interessante Gäste und wertvolle Einblicke zur aktuellen Themen mit.

00:00:48: Wenn dir der Podcast also gefällt, lass doch gerne sein Abo da.

00:00:51: – und jetzt viel Spaß mit der neuen Folge!

00:00:55: Hi Nicole.

00:00:56: Schön, dass du wieder dabei bist und mit mir über ein Thema sprichst was super wichtig ist, super Interessantes Und natürlich auch eine Fortsetzung von unserer letzten gemeinsamen Folge über die Schwachstellen.

00:01:09: Wir haben ja schon von dir gelernt Du besuchst Unternehmen gehst da ein bisschen rum schaust mal zum Beispiel auch wenn du vor Ort dann da bist.

00:01:17: Was sind da so viele schwachstellen generell?

00:01:20: Stöpselst dich mal irgendwo an, wo du dich anstöpsen kannst ist nicht so gut, weil ich komm überall rein.

00:01:27: Und das soll ja eben nicht so sein.

00:01:29: und deswegen find' ich super cool dass wir heute auch generell mal darüber sprechen wie man denn überhaupt diese Schwachstellen schließt also damit wir uns auch mal ein Bild machen können wo fängt das ganze an?

00:01:41: Wo hört das Ganze auf?

00:01:43: So...und meine erste Frage die dann auch schön für den Start natürlich gilt ist Wie sieht denn überhaupt so einen Angriff aus?

00:01:52: Was ist überhaupt ein Ziel, wenn einen Angreifer sagt hey dein Unternehmen ist jetzt dran was möchte der anderen Greifer überhaupt?

00:01:59: Genau das glaube ich ein guter Start weil es ist wichtig zu wissen was die...was das Ziel ist von diesen angreifern von dem man so hört und was die Motivation auch dahinter ist.

00:02:09: In dem einfach so klassischen Ransom-Werfall also sowas man leider sehr oft auch liest in der Zeitung oder im Internet um welche Fälle am Klassisches ... klassische Titelfirma XY-Unternehmen wurde verschlüsselt, ... ... Lösergeldforderung XY steht im Raum.

00:02:24: Aber worum geht's denn genau?

00:02:25: Also den Angreifern geht es eigentlich darum letzten Endes... ... das ist deren schon mal täglich, täglich Brot sag ich mal.

00:02:31: damit verdienen je Geld und die wollen einfach Unternehmen verschlüsseln dass sie nicht mehr arbeitsfähig sind.

00:02:37: Gleichzeitig in der Regel exfiltrieren Sie auch alle Daten, die im Unternehmen online sind.

00:02:42: also sämtliche Dateien werden quasi rauskopiert einmal Und dann gibt's eine Lösegeldforderung im Sinne von hey, liebes Unternehmen.

00:02:50: Du wurdest gerade gehackt vom Ende der Gruppe.

00:02:53: bitte kontaktiere uns im Darknet unter diesem Link und dann gibt es ne sehr klare Löse Geldforderungen.

00:03:00: darum gehts.

00:03:01: darum ist ganz klassische Erpressung wenn du nicht zahlst kannst du deinem System nicht wiederherstellen.

00:03:08: und wie verkaufen deine ganzen Daten?

00:03:10: im Internet oder im Darknet.

00:03:12: Und das ist einmal so ganz grob zusammengefasst, dass was ein klassischer Rensome-Angriff ist oder das Ziel dahinter zumindest.

00:03:19: Okay!

00:03:20: Jetzt müssen wir auch wissen... okay, sagen mal jetzt, wir bröseln ja gerade so einen Angriff einfach mal komplett auf.

00:03:25: also wir gehen jetzt mal einfach davon aus, dass wir in Unternehmen sind.

00:03:31: Angriffe war jetzt erfolgreich, wir wurden verschlüsselt.

00:03:34: Was ist jetzt der nächste Schritt, den man machen sollte?

00:03:39: Oder was ist eigentlich normale Weise der nächste Schritt.

00:03:43: Naja ich glaube in dem Moment wenn du morgens auf die Arbeit kommst und nix geht mehr es ist ja schon ein bisschen zu spät.

00:03:47: und dann ist aber auch wichtig gerade in diesen Momenten auch wenn man da steht und ich sag mal das Kind ist im Grund gefallen und nichts funktioniert mehr.

00:03:57: Es ist halt super wichtig einen Plan zu haben.

00:03:59: Das ist glaube ich keine Situation die angenehm ist und keine Situation wo man noch ... rational denken kann, vor allem nicht wenn man vielleicht die Verantwortung über die IT hat.

00:04:07: Oder als Geschäftsführer und Verantwortung für das ganze Unternehmen... ...und die Mitarbeitenden hat.

00:04:11: So ein Angriff kann ja auch immer schwerwiegende Folgen haben.

00:04:14: Und dann ist es glaube ich umso wichtiger dass man in dem Moment auch einen Plan hat was man machen muss.

00:04:18: Ein Plan kann man fast wörtlich nehmen.

00:04:19: also da gibt's beispielsweise Notfallhandbuch oder ein IT-Notfallhand Buch wo eben den Ablauf beschrieben ist was in solchen Fällen zu tun ist.

00:04:28: Also das nennt man so eine Art Leitfarben Und das hilft, da so ein bisschen die Ruhe zu bewahren.

00:04:34: Wenn man so weiß okay wir gehen jetzt strukturiert vor und ich glaube wichtig ist aber auch sich da Unterstützung zu holen.

00:04:41: Einfach Forensikunternehmen oder instant response Unternehmen was dann einfach

00:04:46: auch

00:04:47: naja das Ganze begleitet und dann ja hilft bei der Aufarbeitung.

00:04:52: Und diese Notfallhandbücher beschreiben aber auch vielleicht Situation schon.

00:04:56: wenn ein Angriff erkannt wird, wenn es noch gar nicht soweit ist bis zum worst case sage ich mal was zu tun ist.

00:05:01: Deswegen glaube ich ein Thema das oft vernachlässigt wird weil das halt sagt man keine technische Komponenten sind.

00:05:08: in dem Sinne lasse ich etwas absichere eher was organisatorisches oder strukturelles aber das erlebe ich ganz oft dass so einen Notfallhandbuch gar nicht existiert.

00:05:16: oder das heißt ja sind wir dran wollen wir schon seit drei Jahren machen aber haben wir noch nicht angefangen.

00:05:24: Ja, immer andere Sachen vielleicht im Vordergrund standen.

00:05:26: Aber es ist glaube ich noch mal wichtig zu sagen dass das wirklich was sinnvoll ist zu haben.

00:05:32: Würdest du

00:05:33: so aus dem Bauchgefühl aber auch sagen die die einen Notfallplan haben sind dann tatsächlich sei jetzt mal das Unternehmen wurde trotzdem also beide Unternehmen wurden ja trotzdem erfolgreich irgendwie verschlüsselt?

00:05:45: Dass das Unternehmen aber mit einem Notfall plan tatsächlich besser wieder oder schneller ... ans Arbeiten kommt, oder wie sieht das da aus?

00:05:54: Das glaube ich schon.

00:05:55: Ja also...

00:05:56: Ich glaub pauschal ist es schwierig

00:05:58: zu sagen aber darum geht's ja auch weil auch Zeit ist Geld leider in dem Taximabüterersatz, aber ... ... wenn jetzt mal Produktions- oder produzierendes Unternehmen die Bänder stehen stillen dann müssen wir so krass, dass ja auch Zeit is Geld und wenn ich halt einen Plan hab im besten Fall kommt natürlich gar nicht soweit, aber wenn ich damit ein Plan habe wie ich vorgehe in so einem worst case ist man halt ... viel effizienter, der wie die Herstellung vielleicht auch... ... oder den Maßnahmen, die man ergreifen muss.

00:06:23: Oben hat wieder ans Laufen zu kommen

00:06:24: etc.,

00:06:25: gibt es dann verschiedene Abstufungen was alles in so einem Notfallhandbuch im Begriffen ist.

00:06:28: aber... ... da kann man drüber streiten, ob es jetzt wieder Anlaufplanen noch mal extra gibt etc.

00:06:32: Aber mir geht's halt darum, dass man allgemein sich darüber Gedanken macht und auch eben diese Pläne halt hat... ...und auch aktuell vorhält.

00:06:38: das ist ja auch ein wichtiges Thema.

00:06:40: Ich stelle mich immer so was vor.

00:06:42: Wenn jetzt irgendwann mal rauskommen sollte, man wurde zum Beispiel verschlüsselt oder so,... ...da gehts bei mir aus oder sieht es bei mir so aus wie mit Spongebob?

00:06:52: Wenn dann irgendwas merkt und dann einfach nur noch wild überall rumläuft und alles,... ...so stelle ich mir das dann... einfach vor, ohne Plan.

00:06:59: Also man läuft wie so ein blindes Huhn irgendwo hin und denkt sich oh mein Gott was machen wir jetzt alle Server abklappen?

00:07:04: Und was machen weh?

00:07:05: Da haben wir zum Beispiel ein tolles Video selbst von Netplans mal gemacht dieses Security-Video aber es ist halt einfach.

00:07:14: irgendwie also klar so einen Plan zu haben ist toll Aber das muss man halt einfach machen Wie du schon sagst, also ... Du bist ja Befürwörter dafür.

00:07:25: Auf jeden Fall.

00:07:26: Es gibt einen Grund, warum man so was machen sollte.

00:07:28: Aber es ist schön einfach an die Hand genommen zu werden.

00:07:31: Ist auch tatsächlich ein gutes Thema

00:07:33: für Videoern.

00:07:33: Deswegen Unterstützung zu holen, weil das keine Situation ist, in der man stecken möchte und ich glaube, das hilft ungemein wenn noch einer von externem bisschen nüchterner betrachtet, weil man dann vielleicht anders an die Sache rangeht in dem Moment.

00:07:48: Definitiv.

00:07:49: Und dann, wie du schon sagst Zeit ist Geld, es ist ein dobes Sprichwort und da gibt's auch noch ein anderes Sprichwort das heißt kein Backup, kein Mitleid oder in dem Fall einfach wenn das Unternehmen verschlüsselt ist.

00:08:02: kann man denn sagen oder davon ausgehen eventuell dass das Backup auch unsere letzte Hoffnung

00:08:08: ist?

00:08:09: Es ist leider so, also wenn jetzt mal ein klassischer Ransomware Angriff sehr erfolgreich war und wirklich alle Systeme ... um wiederruflich verschlüsselt sind, dann ist es der letzte Strohhalm, den du halt hast.

00:08:21: Und deswegen ist es umso wichtiger ein valides und ransomware-sicheres Backup zu haben.

00:08:27: Bei der Überprüfung meiner Sicherheitsanalysen stelle ich auch immer wieder fest, dass es Backups gibt.

00:08:32: Klar das ist doch gut und es ist doch wichtig aber es die vielleicht nicht unbedingt, ich sag mal Ransomware sicher sind.

00:08:37: Das ist auch die Frage ab wann ist ein Backup ransomware sicher?

00:08:40: Es muss halt so geschützt sein, nicht manipulierbar ist, wenn sich ein Angreifer im Netz bewegt und gewisse Berechtigungen schon hat.

00:08:48: Darauf kommen wir gleich noch zu sprechen.

00:08:51: Es muss halt so wie gesagt geschützt sein dass es dem Angreifern nicht möglich ist das Backup zu kompromittieren oder zu verändern, zu löschen etc... Und am besten Fall habe ich dann auch nicht nur einen Back-Up was irgendwo online ist also auf irgendwelchen Storages sondern zusätzlich das noch Auslagere sei es auf Tape oder in der Cloud etc.

00:09:12: Sie mehr Backup-Ziele ich habe, das wäre die Wahrscheinlichkeit, dass im Falle eines erfolgreicher Angriffs irgendein Back up noch valides und vollständiges und nicht kompromittiert ist?

00:09:23: Im besten Fall!

00:09:26: Da gibt es ja auch so ein paar Endanführungszeichen... Ich weiß gar nicht ob man das Regeln nennt oder nicht aber man sagt dir teilweise das oder man sollte das machen.

00:09:36: Das ist eine kleine wie nennt man das?

00:09:40: Wir fällt das Wort nicht ein,

00:09:42: bitte.

00:09:42: Härtung?

00:09:44: Ja schon!

00:09:44: Also dass es zum Beispiel so ist... ...dass der Backup-Server nicht Mitglied der Domäne sein soll.

00:09:51: Aus welchem Grund?

00:09:52: Also einfach nur damit du's auch mal...

00:09:54: Richtig, ja guter Punkt.

00:09:55: Wir kommen gleich noch drüber zu sprechen, warum das Thema Active Directory wirklich sehr wichtig ist und das auch zu schützen.

00:10:03: Weil Ziel vom Angreifer ist ja ich hatte ihm ganz kurz erläutert die Daten zu exfiltrieren ... in der Regel und die Systeme zu verschlüsseln.

00:10:11: Um das zu erreichen, muss ich halt... Ich sag mal eine hohe Berechtigungsstufe im Netzwerk erreichen,... ...das ist in der Regel der Domänen-Apnistrator oder zumindest die Berechtigung eines Domänappnistrators irgendwie erhalten,... ...damit ich die Möglichkeit habe,... ...die Systeme zur Verschlüsselung und an den Daten heranzukommen.

00:10:27: Wenn das mein primäres Ziel ist während dieser Angriffsphase.... Und ich sehe als Angreifer... ... das Backup oder der Backupserver ist Domainmitglied.

00:10:36: Und ich habe ja sowieso als Ziel, die Domäne zu komprimitieren.

00:10:39: Ja super!

00:10:39: Zwei fliegen mit einer Klappe.

00:10:40: aber dann muss ich mich ums Thema Back-Up gar nicht mehr so kümmern, weil ich bin schon... ...durch mein Domain ab dem Stratobackup-Server in den Domänen kann ich auch direkt ...die Back up Jobs löschen und keine Ahnung was die Back ups löscht.

00:10:50: Wenn ich weiß, nahe die Daten werden ...keine Ahnung.

00:10:54: im Monat lang irgendwie noch offline aufbewahrt oder so,... ...dann manipuliere ich einfach den Job und das haben wir leider auch schon gesehen dass es passiert.

00:11:01: Die Angreife sind ja auch Sehr gut in dem, was sie tun.

00:11:04: Manchmal nicht alle aber es gibt sehr gute leider die manipulieren dann den Backup Job das der noch valide aussieht warten dann sag mal dreißig Tage mit dem finalen Angriff bis dann die Retention also diese Vorhaltezeit vom Back up abgelaufen ist schlagend anders zu.

00:11:21: Dann denkt man erst mal im Moment, okay ich habe ja ein Backup was archiviert ist.

00:11:24: Leider nur dreißig Tage vielleicht und es stellt dann fest dass er das Back-Up die letzten dreizig Tage gar nicht mehr richtig geklappt hat oder nur noch schwachsinn gesichert worden ist.

00:11:32: auch das haben wir schon gesehen.

00:11:34: und dann stehst du da.

00:11:35: Das heißt der Back up Job he is eigentlich sonst wie sonst auch immer aber die Daten die dann am Ende in Anführungszeichen nicht gesichern wurden

00:11:42: Es war ein Umweltschidat, mit dem man nichts anfangen konnte.

00:11:44: Ah krass!

00:11:45: In diesem Fall hat doch keiner irgendwie geübeprüft... ...nachseinander zu Themen und deswegen ist es halt umso wichtiger den Backup-Server an sich schon mal abzusichern.

00:11:53: Gibt's ja verschiedene Maßnahmen auch da.

00:11:56: zum Thema Back up der hat mein Kollege oder unser Kollege Bastian Reis die sehr interessanten Podcasts auch mit ihr aufgenommen.

00:12:01: also da gerne nochmal rein hören.

00:12:03: liebe Grüße und genau

00:12:07: Ja.

00:12:07: dann habe ich auch die nächste Frage Backup sollte sicher sein.

00:12:11: Also wir haben jetzt erst mal gelernt, es sollte nicht in der Domäne sein, wenn man eh angegriffen wird und der dann zufälligerweise auch den Domänenatmen hat.

00:12:21: Schlecht!

00:12:22: Wie sieht's denn aus mit MFA?

00:12:24: Jetzt gerade auch im Back-Up Bereich.

00:12:26: Ja, MFA ist ein wichtiges Thema, das hört man überall.

00:12:28: Wir werden mir gleich noch einmal darauf zurückkommen im Verlauf aber auch beim Backupserver.

00:12:33: So was sollte entsprechend abgesichert sein, dass selbst Wänzenangreifer schafft an die Credentials, also an die Zugangsdaten von einem Abmeld-Munitzer.

00:12:42: Von der Wien-Konsolennismen oder Backup-Konsole zu kommen, dass man das auch noch mit dem zweiten Faktor schützt einfach um eine zusätzliche Hürde zu haben, dass der Angreifer es nicht schaffen kann im besten Fall des Backups zu manipulieren.

00:12:56: und wie gesagt gibt es verschiedene Maßnahmen die man treffen sollte und treffen kann um das Backup zu immunisieren und zu härten.

00:13:05: und auch da haben wir zum Beispiel bei uns sehr entsprechende Techniker, die eben genau das tagtäglich machen.

00:13:11: Backups-Härten in den Umgebungen mit dem Kundensgespräch gehen?

00:13:14: Wie können wir es backup-sicherer gestalten?

00:13:16: Wie kann man's aufbauen?

00:13:17: Weil da gibt's ja auch nicht pauschale Aussage, so muss ich's machen!

00:13:20: Das muss man doch immer individuell für jedes Unternehmen betrachten und genau...

00:13:25: Und wenn wir jetzt über all das sprechen aber wie kommt denn überhaupt der Angreifer ins System wo wir gerade schon mal kurz über das AD gesprochen haben?

00:13:38: Naja, nebenbei an der Angreifer ist schon irgendwie ein Netzwerk drin und will jetzt Domain-Appnistrator werden damit er halt seine Angriffe fortsetzen kann.

00:13:48: Da kann man sich leicht und schwer machen.

00:13:50: ich sage mal muss dem angreifer so viele Hürden wie es nur geht in den Weg legen Und das fällt mir zumindest bei unseren Überprüfungen oft auf die Active Directory Umgebung nicht immer Naja, in einem gewissen State of the Art der aktuellen Zeit irgendwie an Sicherheits-Einstellungen aufweist und dass gewisse Sachen nicht beachtet werden.

00:14:14: Zum Beispiel das veraltete Authentifizierungsprotokolle genutzt werden.

00:14:17: Und damit hat ein Angreifer schon relativ leicht einen Camber dazu kommen.

00:14:20: Was wäre das

00:14:22: zum Beispiel?

00:14:23: So was wie Intel MV-I, wo Microsoft selbst sagt bitte nutzt es nicht mehr das Protokoll sehen tatsächlich immer noch sehr häufig, dass es im Einsatz ist Und das macht, wie gesagt im Angreifer relativ leicht dann damit irgendwie auch einen Angriff vorzufahren.

00:14:37: Anderes Thema wäre auch sowas organisatorisches, dass zum Beispiel eben, sag mal innerhalb der IT nicht jeder irgendwie gleichzeitig Domänenabnestrator ist.

00:14:48: Das sind auch so Sachen, dass man beispielsweise ein Admin-Tiering Konzept einführt also ein Rollenkonzept, Domain-Administratoren gibt, aber die bitte dann auch nur genutzt werden um gewisse Tätigkeiten zu machen bei der Verwaltung der Domäne.

00:15:02: Aber dass sie jetzt nicht genutst werden um ein Programm auf einen Klein zu installieren.

00:15:06: also davon muss man weg das man wirklich diesen Benutzer oder einem Benutzen mit dieser hohen Berechtigung für alltägliche Dinge nutzt.

00:15:13: Das muss einfach aufhören weil es macht den Angreifer wieder leichter je mehr diese Ja, diese Appnistrate oder Appnistertoren mit dieser Berechtigung angemeldet sind und angemelt werden.

00:15:23: Es gibt immer irgendwelche Angriffsszenarien um an die Chemöter zu kommen.

00:15:28: Jetzt mal ganz einfach dargestellt.

00:15:30: Und deswegen macht es Sinn ein Rollenkonzept einzuführen.

00:15:33: Das machen wir unseren Kunden auch in Zuge der AD-Herzungen, die wir bei den Kunden einführen, dass wir dann beispielsweise vierstufiges rollen, atmen Rollenkonzept einführen.

00:15:42: Und das ist glaube ich schon ja ein sehr wichtiger und guter Schritt Genau.

00:15:47: Und dann gibt es allgemein bei der Überprüfung Formadie sind verschiedene Sachen, die wir einfach durchgehen mit dem Kunden und die Umgebung prüfen, dann Empfehlungen aussprechen was wir dann noch ändern würden ums einfach noch sicherer zu machen.

00:15:58: per se

00:16:00: Was ich noch aus meiner Technik Zeit kenne, wow!

00:16:02: Ich bin jetzt auch nicht so alt und noch nicht so lange da weg.

00:16:04: aber Was ich auch immer miterlebt habe, ist ja auch gerade über das Admin-Tiering und alles Sprichs.

00:16:11: Ich find's so für mich persönlich.

00:16:13: das Erste was ich immer gemerkt hab is, wenn jetzt ein User selber oder selbstständig sich Programme auf seinem Firmelaptop installieren kann also dass der User selber so gefühlt alles machen kann.

00:16:25: Also LocalAdmin ist auf seinem PC.

00:16:28: Das ist ja schon nicht toll!

00:16:30: Das überprüfen wir tatsächlich auch und das kommt immer mal wieder vor.

00:16:35: Ich sag mal die normalen Benutzer auf ihrem Endpoint, auf dem Laptop.

00:16:40: Beispielsweise lokale Administratorenrechte haben.

00:16:44: In der Vergangenheit hat man das öfter gemacht.

00:16:46: Das ist relativ einfach weil dann kann sich jeder installieren was er will.

00:16:50: aber es birgt natürlich auch das Risiko wie wenn ein Angreiferschaft ist irgendwie auf den Laptops Zug zu greifen oder mit diesen anmeldeten Daten von den Benutzern und hat direkt schonmal zumindest lokale Berechtigungen und hat ja auch nochmal eine ganz andere Auswirkung als wenn er sie noch nicht hätte.

00:17:04: ... das zum einen und zum anderen sehen wir auch, ich hatte letztens tatsächlich ein Fall.

00:17:10: Es war Speerfishing bei einem Unternehmen... ...und der Geschäftsführer hat Fishing Mail bekommen,... ...hat da drauf geklegt.

00:17:18: die Potential sind quasi einmal abgeflossen... ....und er war Domain-Administrator.

00:17:22: Und das geht in der heutigen Zeit also ist es eigentlich als No Go zu bezeichnen.

00:17:28: Das

00:17:28: muss man natürlich vermeiden und dann müssen einfach die Leute auch dahingehend entsprechend beraten und aufklären dass das Wichtigste... Einfach das nicht mehr zeitgemäß.

00:17:37: Richtiger Punkt!

00:17:38: Kommen wir aber auch gleich zu, bevor du mir meine Punkte wegnimmst... Aber wie kann man denn jetzt erkennen?

00:17:44: Okay, jetzt haben wir zum Beispiel dieses Admin-Tiering eingerichtet also dass es verschiedene Rollen gibt als Administratoren und nur bestimmte User haben zum Beispiel diese Rechte.

00:17:54: Wie kann man dann jetzt trotzdem so feststellen okay irgendwas sieht denn doch gerade im Hintergrund komisch aus.

00:18:00: Also wie kann mal das überhaupt einsehen?

00:18:02: Also gibt es da überhaupt irgendwas

00:18:04: Genau, so ein Active Directory ist das halt wichtig.

00:18:06: Man hat auch Monitoring drauf zu haben,

00:18:09: dass

00:18:10: auch so Anmeldepfalten, wenn sich plötzlich einen Domain-Up in den Strater irgendwo anmeldet und das ist was man jetzt als untypisch achtet weil die Uhrzeit untypy wäre oder das Gerätwollsicht darauf anmeldet einfach untyping wäre für dieses Unternehmen.

00:18:25: also gibt es verschiedene Sachen die man monitoren kann

00:18:27: Auch die Location?

00:18:29: Woher sich dieser User anmeldet?

00:18:32: Das wäre dann im Kontext von Microsoft-Microsoft.de mit GU-Blocken oder so.

00:18:38: Genau, das wäre auch eine Anomalie, die zu erkennen sollte man auch erkennen.

00:18:41: Es ist also in vielen Bereichen ein wichtiger Punkt eben diese Visibilität zu haben und dass man eben solche Anmeldeverhalten oder generell Anomalien ob es jetzt im Netzwerk ist oder in Active Directory, das mir die erkennt.

00:18:53: Und das ist per Default hat erstmal nicht so.

00:18:55: Das heißt wir müssen auch irgendwie dieses Monitoring erst mal haben.

00:18:59: doch das haben wir bei unserer AD-Härtung, führen wir auch in der Regel dieses AD Monitoring ein.

00:19:05: Da ist eben solche Sachen alarmiert werden und das ist auch unheimlich hilfreich.

00:19:10: und das deckt auch wenn man es einführt schon die eine oder andere Überraschungen auf und man sagt hoch was passiert da denn die ganze Zeit?

00:19:17: Das ist immer ganz praktisch.

00:19:18: dann fällt das mal auf wenn man das mal einführt weil man dann erstmal die Daten hat und sieht was passiert.

00:19:25: Das ist zum einen das Thema, dass man halt wie gesagt Beispiel im Active Directory eben das Monitor hat.

00:19:31: Genauso wie du es auch schon gesagt hast, Thema Microsoft three-fünf-sechzig, wenn mal der Lock in ist plötzlich aus dem Land und ich sage mal ob jetzt Fernost oder USA und derjenige sitzt aber sonst nur in Deutschland.

00:19:42: Es ist ja auch ein untypisches Verhalten.

00:19:44: Und

00:19:44: macht gerade nicht zufällig Urlaub?

00:19:46: Genau!

00:19:47: Das wäre dann okay.

00:19:48: Aber dann ist ja die Frage A, ist es per sie schon mal laubt?

00:19:51: Das wäre auch schlecht.

00:19:52: Dann kommen wir zum Thema konditionellen Exists und dass man das eben auch einschränkt aber auch, dass man alarmiert wird wenn so ein Lock-in versucht aus dem anderen Landfleisch kommt.

00:19:59: also das hat auch wichtig das zu sehen.

00:20:02: Kann ich mir das aber so vorstellen da muss immer irgendjemand wie man das so aus den Filmen kennt mit fünfzehn Monitoren da sitzen und sich die ganzen Loggings, also die ganzen Loks anschauen oder... Wie wird sowas, also würde sowas direkt dann irgendwie gemeldet oder muss man immer irgendwie da drauf schauen

00:20:18: aktiv?

00:20:19: Genau.

00:20:20: Es kommt ein bisschen auf die Lösungen aber die Lösung diese Funktion bieten, die melden das dann.

00:20:24: Also du kannst es nachgucken.

00:20:26: Du kannst natürlich auch gerne den ganzen Tag auf dem Monitor starten und es gibt doch bestimmte gewisse Bereiche wenn ich dann so eine Zockbänke das mache.

00:20:34: Nein, aber es gibt natürlich entsprechende Detektionen bei dem System dahinter weil der Lösung nicht einsetzen die das eben sehen und richtig darstellen können und alarmieren.

00:20:44: Und wir hatten ja auch, ich hoffe du kannst dich noch daran erinnern dass auch dein tägliches Brot... Warum?

00:20:51: Auch in dem Falle jetzt okay wir haben jetzt schon ein paar Sicherheitseinstellen durchgeführt und jetzt sind wie die schon durchgegangen.

00:20:57: aber viele Unternehmen habe immer noch klassische Antivirenprogramme warum die jetzt nochmal immer noch nicht quasi ans Limit kommen also einfach nicht mehr ausreichen.

00:21:09: Ja, auch ein wichtiger Punkt.

00:21:10: Das ist ein klassischer AV-Schutz oder Antibienprogramm.

00:21:15: Wenn es sehr klassisch ist, entdeckt er halt Viren und Pattern basiert.

00:21:18: Und das ist nicht mal das was man heutzutage als Angreifer gar nicht mehr machen

00:21:22: kann.

00:21:22: Mit KI und den ganzen Kram?

00:21:23: Genau!

00:21:23: Es sind ganz fancy Kram gar nicht können.

00:21:25: Dann erkennst du aber auch nicht wenn ein Angreiver sich irgendwie fileless im Netz weg bewegt... Also es gibt ja nicht mehr der Virus der ausgeführt wird wie das mal vorzig Jahren war sondern es wird sich dann irgendwie.

00:21:36: Also die taren sich auch gut.

00:21:37: Und wenn sie mal Zugriff auf ein System hatten, versuchten sie halt unbemerkt... ...auch teilweise nutzen so vielleicht valide Programme in Anführungszeichen und es brauchen diese einfach.

00:21:45: Das ist dann nochmal schwerer zu erkennen.

00:21:47: Dann versuchen dann dadurch Befehle, vielleicht Remote auszuführen also so Remote Execution oder sowas.

00:21:52: Und pfeiles Angriffe sehen wir halt immer häufiger.

00:21:55: Und das erkennt einen sag mal in jahrelang gekommenen Antivierenschutz.

00:21:59: halt nicht.

00:22:00: Da brauchst du schon ein bisschen mehr.

00:22:01: daraus eine Anomalieerkennung.

00:22:04: Die erreicht halt ... auch da wieder durch ... ... Logs, die absolut liebsten Monitoring vom AD.

00:22:09: Das ist so ein bisschen ähnlich wie auch auf dem Endpunkt... ... also auf einem Server oder auf einem Laptop, auf einem Client,... ... dass eben nennt man dann XDR-Telemetriedaten... ... analysiert werden und da Auffälligkeiten erkannt werden.

00:22:21: Wenn sie zum einen richtig erkannt wären das... ... gibt ja auch Sachen, die sind valide und das man auch im richtigen Moment sagt... ... und zwar automatisiert, das wird der Punkt damit keiner auf die Monitor geguckt.

00:22:31: ... automatisiert erkennt, okay ich habe jetzt das gesehen und darauf ist das gefolgt.

00:22:35: Und das in Summe ist ein komisches Verhalten.

00:22:37: Jetzt ... ... hier stelle ich immer eine Workbench mit Critical und da muss sich das jemand angucken.

00:22:41: Okay.

00:22:42: Und dann gibt es ja auch zum Glück von den gängigen Herstellern eben ... ... so genannte Managed Services wenn man dann ... und dann auch Endpunkt isoliert, User sperrt etc.

00:22:55: um Stimmeres zu verhindern.

00:22:57: also müssen die Angriffe flüteitig erkannt werden weil so habe ich die Chance es zu stoppen bevor es zu spät ist.

00:23:03: man muss dann sofort auch eingrenzen und einen dämmen muss zu sehen, dass der Angreifer raus ist.

00:23:09: Ich finde es halt so crazy wie groß sich dieses ganze Security-Thema überhaupt zieht weil zum Beispiel du kannst auch nicht den ganzen Tag irgendwie nur auf Logs gucken und bist ja auch mit vielen weiteren Unternehmen beschäftigt und musst die auch retten oder halt nicht retten aber halt einfach sicher gestalten und alles und das da extra nochmal ein anderes Team drin also wo jetzt gerade XDR oder halt diese Managed Services erwähnt hast, dass da einfach wirklich ganze Teams die nur tagtäglich gucken.

00:23:41: Okay das sind Anomalien, Blablabla und darauf dann reagieren.

00:23:45: Das finde ich irgendwie so faszinierend weil Security...und da merkt man gerade erst so, Security ist nicht einfach mal Bup!

00:23:51: Firewall hingestellt und alles ist in Ordnung sondern da steckt so unglaublich viel mehr hinten dran.

00:23:57: Das ist schon crazy.

00:23:58: Aber das muss ich dir ja nicht erzählen!

00:24:00: Genau, bei Firewolken gibt es Stichwort weil jetzt haben wir über das Monitoring vom AD gesprochen und XDA-Telemetrie von Servern und Clients also da wo ein Agent drauf ist.

00:24:09: aber es gibt auch viele im Netzwerk viele Systeme die du keinen Agent installieren kannst gerade im Zeitjahr der IoT.

00:24:16: Es ist alles irgendwie im Netzwerk und keiner weiß was die Geräte machen.

00:24:19: dann kann sich auch kein Viren-Scan an Anführungszeichen installieren.

00:24:22: deswegen ist er umso wichtiger eine Anomalieerkennung für den Netzwerk zu haben.

00:24:27: Und das nächste Thema ist dann auch, wenn ich was erkenne... Na ja.

00:24:32: Was mache ich denn?

00:24:33: Wie weiß ich denn, was passiert ist?

00:24:35: und es ist mir wieder das Thema diese Telemetriedaten-Loks zu haben und lange aufzubewahren.

00:24:42: Wenn die nach ein paar Tagen nicht mehr verfügbar sind, kann ich es schlecht analysieren weil manchmal dauert's da so ein bisschen auch.

00:24:48: Das heißt, die Retention ist sehr wichtig dass sich die Loks lang genug vorhalte im Falle, wenn man es mal brauchen, analysieren muss oder forensisch betreiben muss ... noch da ist es wichtig, dass ich aber das Thema Beispiel Locksoft einer Firewall.

00:25:01: Das wird halt...

00:25:02: Also

00:25:03: auch manchmal vernachlässigt,... ... dass sich da entweder gar keinen Logging aktiv habe,... ... deshalb leider vor ein paar Wochen auch einen erfolgreicher Ransombe-Angriff von einem Unternehmen,... ... und wir wollten uns die Locks von der Firewall ziehen,... ...und zwar gar keine Locks angeschaltet.

00:25:19: Wir haben im Dunkeln getappt, wo nicht was passiert ist, wir hatten null Daten.

00:25:24: Weil das vielleicht einfach... ... irrelevant erschienen ist oder?

00:25:27: Ja, weiß ich nicht.

00:25:28: Hat sich vielleicht da keine Gedanken gemacht früher... ... es war auch kein Kunde den wir irgendwie betreut haben aber... ... wir achten immer schon drauf und beraten noch dahingehend das ist wichtiges Loks zu haben.

00:25:42: Und auch nicht nur irgendwie für... ... gibt ja manchmal sowas wenn man jetzt sich nicht um Loks Speicher kümmert dediziert... ... oder die Loks irgendwo hinschiebt und sieben oder was es auch immer alles gibt.

00:25:51: ... dass ich dann aber nicht die Loks nach einem Neustart der Fireball verliere.

00:25:56: Oder sie nur drei Stunden vorhalten kann, weil es im Kirch gespeichert wird und so viele Loks anfallen... ...dass sich das irgendwo nicht vorhalten können.

00:26:02: Man muss weiß ich immer ein bisschen darum kümmern.

00:26:03: Und auch da ist es natürlich auch unsuflich,... ...die Kunden daran gehen zu beraten wie wichtig es sind diese Loks auch zu haben.

00:26:09: Das macht's auch einfacher.

00:26:10: Egal ob ich jetzt einen Fall habe und einen Verdacht auf den Angriff.

00:26:14: Wenn ich keine Loks hab was soll ich denn prüfen?

00:26:16: Ja.

00:26:16: Genauso wie wenns eilat dann zu spät ist und der Eindruck erfolgreich war umzugucken.... Was ist denn überhaupt passiert?

00:26:22: Wie kann ein Angreifer rein, um es dann irgendwie voran sich analysieren zu können?

00:26:26: und ohne Datengrundlage kann ich das halt nicht tun.

00:26:29: Manchmal hat man ja auch gehört, dass eine Angreiffer sich schon viel, viel länger in dem ganzen System quasi breit gemacht hat.

00:26:37: aber es ist irgendwie noch nie so zu diesem Ausschlag gebliebenen Punkt gekommen, dass man jetzt so wirklich merkt oh wir sind jetzt verschlüsselt sondern der lebt einfach da so ein bisschen.

00:26:45: deswegen wäre jetzt tatsächlich auch meine Frage gewesen Die Logs, also gibt's da gar keinen Zeitlimmer.

00:26:54: Würdest du quasi sagen die Logs sollten einmal angeschaltet werden und niemals ausgeschaltet werden?

00:26:58: Also auch mit dem Speicher so ... Wie kann ich mir das vorstellen?

00:27:01: Es wird ja irgendwann voll aufnügendwann.

00:27:03: Genau,

00:27:04: es wäre natürlich ein Traum wenn die Loggs ... Ich kenn das System, dann kannst du sieben Jahre

00:27:07: ... Ja genau!

00:27:09: Deswegen, ja.

00:27:10: Wär super.

00:27:11: Das sprengt halt in den Rahmen.

00:27:13: Kostennutzen muss man irgendwie gucken.

00:27:15: Weil so ein Logsspeicher ... ... beicher, das ist dann auch wieder ein Kostenthema.

00:27:23: Da hast du die Frage also... Man sollte schon um ihn gucken, dass man vielleicht mehr als neunzig Tage locks hat.

00:27:29: Aber da gibt es wahrscheinlich verschiedene Meinungen und auch da kann man keine pauschale Aussage treffen würde ich sagen.

00:27:35: Das muss man dann auch individuell gucken.

00:27:37: Wichtig ist vor allem was man sehr hart gewissen Zeitraum auch mindestens hat.

00:27:43: Ja

00:27:43: cool aber jetzt das ganze Thema erstmal okay ... nochmal antivieren, Programme Firewall auch wieder ganz wichtig.

00:27:52: Aber ich glaube einer der noch wichtigeren Punkte zusätzlich dazu ist ja auch General Awareness.

00:27:59: User awareness, generell Awareness im Unternehmen zu schaffen.

00:28:02: Was sind da so deine Tipps oder in Anführungszeichen Tricks wie das Ganze auch ein bisschen besser quasi angenommen werden kann?

00:28:09: Das ganze Thema?

00:28:11: Ich glaube Wichtiges ist dass man beim Thema Awareness das gut rüberbringt und auch die mitarbeitenden Das klingt jetzt ein bisschen nötig, aber auch klar macht.

00:28:20: Also auch wieder ein bisschen erzählt was ist es denn überhaupt?

00:28:23: Also nicht Angst zu schüren sondern einfach so ein bisschen erklärt die Leute mit abholt warum man auch gewisse Maßnahmen in Unternehmen ergreift.

00:28:30: Du bist wie zwei Faktautentifizien wo die User sagen her toll.

00:28:32: Oh lästig!

00:28:33: Genau!

00:28:34: Ist auch erklären warum man das macht und auch diese so awareness Kampagnen.

00:28:38: Klar ist das vielleicht nervig aber da muss ich auch einfach dort abholen und sagen hey... ... das hilft euch auch im privaten Umfeld.

00:28:43: Richtig!

00:28:44: Also zu wissen, was machen Angreifer?

00:28:46: Was betrifft ihr auch leider nicht nur Firmen... ... sondern auch privat wird man ja vielleicht mal... ... kriegt man dann eine Fishing-Mail

00:28:51: etc.,

00:28:51: und das ist auch wichtig zu verstehen, vielleicht... ... naja worauf es ankommt und worauf ich achten muss... ...und was man auch privat für Maßnahmen ergreifen kann.

00:29:01: Und auch das Thema ob jetzt Passwort, Hygiene,... ... zwei Faktor, Authentifizierung

00:29:05: etc.,

00:29:06: das kann man ja auch alles privat.

00:29:07: ... aneignen.

00:29:08: Das sind ja auch Tipps, die man da für den Alltag mitnehmen kann und ich glaube das ist auch mehr wert wenn man das in Sprechen transportiert... ...und gut rüberbringt oder aber auch klar dass es fürs Unternehmen wichtig ist.

00:29:19: uns gibt fischen Kampagnen beziehungsweise awareness Trainings worum?

00:29:22: Die sind gut gemacht und andere weniger gut.

00:29:24: Man kann's dann vielleicht auch koppeln mit guten automatisierten awareness Kampagne zusammen vielleicht noch mit einem awareness Workshop so face-to-face Dass sich einfach mal ein Profi hinstellt und man mit den Leuten ins Gespräch geht weil das kommt auch nochmal ganz anders rüber.

00:29:39: Und ich glaube, das auch wichtig ist.

00:29:42: die Admin schimpft nur so ein bisschen auf die User, die wieder irgendwo draufgeklickt haben.

00:29:45: Fingerpointing!

00:29:49: Zum einen auch da die Frage wie kann man es richtig machen?

00:29:52: Ich glaub wenn mal einer klickt und obsetzt nur innerhalb von der Simulation oder nicht... ... da jetzt irgendwie danach mit dem ... ... Finger auf einen zu zeigen oder ...

00:30:00: ... genau,

00:30:02: Abwarnung ist raus.

00:30:02: Dann irgendwie ein bisschen Druck aufzubauen und dann irgendwie ... ... auf den Mitarbeitern loszugehen.

00:30:07: Das hilft auch überhaupt nicht ... ... physiologisch, das habe ich ja auch schon mal festgestellt... ... dass die Leute erst einmal Ärger kriegen nach der Technologie.

00:30:12: Ich drück jetzt nicht mehr auf links drauf ... ... und ich bearbeite deine Aufgaben nicht mehr, weil es hieß ja ... ..."Ich darf auf keine Links

00:30:18: verklicken.".

00:30:18: Entweder so rum?

00:30:19: Oder es heißt, ich schicke jetzt jeden Link ... ... nach dem Auto erstmal prüfen, dann wird die IT ... ... zugebombt mit Prüfungen oder andersrum.

00:30:25: Na ja, wenn es doch noch mal passiert.

00:30:27: Man klickt nun wo drauf und denkt dann hoch das war vielleicht nicht so gut?

00:30:30: Man traut sich gar nicht mehr der IT zu sagen ich habe mir glaube nur darauf geklickt weil man denkt man sich ich kriege wieder nur Ärger.

00:30:35: Ich verheimliche das mal.

00:30:37: Noch da ist wieder Zeit zum Thema bei meinem dann nicht sofort was macht und gegen was da mal greift und nur weil derjenige oder diejenige sich traut dass quasi zu sagen weil man weiß okay ich hab beim letzten Mal so Ärger gekriegt.

00:30:48: also man muss vernünftig mit den Leuten reden.

00:30:51: Das ist glaube ich ein ganz wichtiger Punkt.

00:30:54: Was wir auch sehen, dass oftmals die IT-Abteilungen von diesen Arrangement Strings rausgenommen werden oder bei den Workshops.

00:31:01: Gerne die IT Kollegen, die abends da mit Beteiligen lassen weil... Auch die machen Fehler und das kann uns allen mal passieren wenn es gut gemacht ist.

00:31:11: Nobody is perfect!

00:31:12: Wow!

00:31:12: Also was auch immer fieser wird ist ja Absender prüfen.

00:31:17: Ist immer so ein Thema.

00:31:18: Prüft einen Absender, prüft ihn absender, guckt auf die Mail Adresse.

00:31:22: Aber wir sehen halt immer wieder diese Lieferkettenangriffe, dass irgendwelche Partner von Firmen kompromittiert sind.

00:31:27: Die Postfächer gehackt wurden und von da aus dann wieder Mails geschickt werden... ...und das ist dann fies auf validem Mailverlauf der tatsächliche Stadt findet.

00:31:35: Und wenn die sich da auch beziehen sagt klick mal jetzt hier drauf.

00:31:37: Da denkst du, ja komm vom Maya-Müller XY, ahja kenn ich, da bezieht sich auf die Rechnung, klicke ich drauf!

00:31:44: Ja, dann sag ich, ich hab einen Absender geprüft.

00:31:46: Mittlerweile muss man da halt auch leider bisschen umdenken, weil das hilft in solchen Fällen leider nicht mehr.

00:31:54: Okay User awareness eigentlich in jedem Punkt super wichtig egal ob man ein neues Thema einführt, egal ob es jetzt mit Sicherheit zu tun hat.

00:32:03: also wenn man die Leute im Unternehmen nicht mitnimmt dann läuft's immer gleich und die User wissen nichts davon oder halt eben auch Atmens oder wer auch immer.

00:32:13: Und dann geht das Ganze irgendwie nicht so geplant weiter, wie man es eigentlich erhofft hat.

00:32:18: Am Ende möchte ja eigentlich jedes Unternehmen sicher bleiben.

00:32:20: also... Ich glaube ich würde jetzt und du auch jetzt nicht davon ausgehen.

00:32:25: im Geschäftsführer wacht jetzt auf.

00:32:26: Ja!

00:32:27: Jetzt habe ich heute Bock verschlüsselt zu werden.

00:32:29: Richtig Bock!

00:32:30: Dann rufen wir dich mal an den Hendrik und verbringen ein paar Wochen zusammen um das ganze wieder aufzuräumen.

00:32:38: Was ich mich dann immer noch stelle ist, wir haben jetzt super viel mit Fishing, Mails und ja gut, ich kriege einen Link.

00:32:44: Gut ist und drückt da drauf.

00:32:46: Oh je!

00:32:47: Jetzt werde ich verschlüsselt.

00:32:48: Ist natürlich kacke aber wie geht es denn?

00:32:51: Also was gibt's denn sonst auch irgendwie für Angriffsvektoren?

00:32:55: also unabhängig von dem was wir jetzt alle schon besprochen haben?

00:32:59: Ja das ist auch ein wichtiger Punkt weil Fishing ist halt nicht das eine.

00:33:02: Das ist wahrscheinlich unter das größte Einfallstor.

00:33:04: ... die letzten Wochen wieder vermehrt festgestellt.

00:33:08: Ein anderes Thema sind natürlich ... ... Schwachstellen, die auf System vorhanden sind... ...die extern erreichbar sind.

00:33:15: Das kann jetzt verschiedenes sein.

00:33:17: also angefangen als Beispiel von der Firewall,... ...die irgendwie extern erreichbar ist und vielleicht die ... ... Administrationswebseite auch von außen erreichba... ...nicht gut abgesichtet hat auch wieder da die Lock-ins ohne Multifaktortifizierung... ...als Beispiel eine veraltete Firmware, also veraltetes Software auf der FireWall noch da.

00:33:33: ... alles, was von außen erreichbar ist.

00:33:35: Immer in Frage stellen muss es überhaupt ... ... erreichba sein?

00:33:38: und wenn ja ... ... von überall oder vielleicht nur von gewissen ... ... IPs oder kann man irgendwie eingrenzen?

00:33:44: Und auch dann schauen aber okay, dann ... ... ist denn da der aktuelle Sicherheitspatch drauf... ... und gibt's Schwachstellen dafür, muss ich ... ... irgendwas tun, muss sich etwas patchen, ... ... muss ich das vielleicht mal offline nehmen, keine Ahnung was.

00:33:54: Das müssen wir immer bewerten!

00:33:57: Die Feierwoll um bei dem Beispiel zu bleiben ... ... stellt ja auch Dienste bereit wie zum Beispiel VPN.

00:34:02: Ja.

00:34:02: Da ist wieder wichtig ... zwei Faktor-Authentifizierung.

00:34:05: Das macht man ja nicht, um die Leute zu ärgern, dass es beim Anmeld länger dauert, sondern einfach wenn ein Angreifer schafft an Zugangsdaten zu kommen durch vielleicht eine Fishing-Mail, wo man dann Credentials preis gibt...

00:34:15: Muss noch ne Hürde sein!

00:34:16: ... und das man dann auch einen zweiten Faktore hat.

00:34:19: Das ist glaube ich unheimlich wichtig, einfach aufzuverstehen warum wir das halt brauchen.

00:34:22: Dass es auch einfach sein muss.

00:34:25: Und dann noch nen Schritt weiter ... Conditional Access oder sowas wie Zero Trust Network Access einzuführen.

00:34:32: Also das heißt, dass ich selbst wenn ich schaffe den zweiten Fakt dazu umgehen was ja auch machbar ist je nach... also nicht per se aber auch machba sein kann,... ...dass man sich nicht von irgendwo aufschalten kann oder anmelden kann ob es jetzt Forbans oder Microsoft three-fünfsechzig und vor allem auch Geoblocking für das eine Thema als Beispiel aber auch gekoppelt mit nur auf Unternehmens Bezogene Geräte erlauben.

00:34:57: Das heißt, wenn ich jetzt mit einem fremden Laptop mich anmelden will dass das gar nicht geht.

00:35:01: nur wenn das Gerät was weiß ich mit wie eine Domäne ist der gibt es ja verschiedene Szenarien die man abbilden kann.

00:35:06: und das ist aber ein wichtiger Punkt weil wenn man durch Fishing and Credentials kommt Beispiel wieder Microsoft Dreifundsechzig und schaffst den Session Talken mit zu Carpern was wir bei unseren Schwachstellen Scans auch machen dann habe ich halt die Möglichkeit mich einfach anzumelden ohne einen zweiten Faktor Es sei denn es ist und das ist ja das Zielkonditionale Exist so eingestellt, dass ich nur unternehmensbezogene Geräte wie zum Beispiel Domain-Gechointe-Geräte anmelden kann als Beispiel.

00:35:32: Es gibt verschiedene Sachen die man machen kann.

00:35:34: Und es ist jetzt halt wichtig, dass man sich die Gedanken macht und es soweit wie möglich ihr einschränkt die Anmeldung auf valide Geräten.

00:35:43: Ein anderes Thema ist auch, dass irgendwelche Server von außen erreichbar gemacht werden vielleicht.

00:35:47: Das mag ein WebServer sein oder... Keine Ahnung, was.

00:35:50: da gibt es ja verschiedene Beispiele.

00:35:52: In welcher Systeme wo einfach ein Zugriff vom Internet per se möglich ist auch David hinterfragen muss das von überall aus sein?

00:35:59: Wenn ja Wo steht denn der Server?

00:36:00: steht da einfach in meinem normalen Netzwerk oder Server-Netzwerk?

00:36:05: Da wäre natürlich auch die Frage musste es sein und dann könnte man den mit dem Z isolieren.

00:36:09: also wenn der server kompromittiert wird nicht direkt das ganze Netz als Kompromittier zu bezeichnen mehr sondern noch mal eine Hürde gibt.

00:36:16: wiederum Und auch da dazwischen nochmal schaut, sich das irgendwie die Kommunikation ab oder mit dem Reverse Proxy etc.

00:36:22: Da gibt es ja auch Möglichkeiten aber dass man sich eben die Gedanken macht und nicht nur einfach einen Zuge von Außenschaft ohne den richtig abzusichern oder soweit es geht zumindest abzusickeln.

00:36:31: Und noch da wieder ist das System was von außen erreicht bestgen... ... gepatched oder läuft ein Webserver, der mit einer alten Version... ... mit fünfzig Schwachstellen drauf, die ich wieder auszutzen kann.

00:36:40: Also es dreht sich eigentlich immer um das Gleiche?

00:36:42: Genau!

00:36:42: Es ist immer patchen-patchen-packen, MFA wo's geht... ... sind immer die gleichen Themen.

00:36:47: und ich glaube wenn wir das auch noch erreichen zusammen mit der User Awareness dann haben wir glaube ich eine gute Basis dass es eben gar nicht so weit kommt, dass ein Angreifer irgendwie von außen reinkommt.

00:36:58: Richtig.

00:36:58: Das hast du schön gesagt und hiermit sind wir eigentlich auch schon am Ende der Folge angekommen, also ich würde dich ja gar nicht immer nach einem Abschlusswort außer du hast noch irgendwas was du gerne den Zuhörern oder Zuhöhrerinnen sagen möchtest mitgeben möchtes.

00:37:13: Patschen sie ihre Systeme und führen Sie Multifaktordefizierung ein!

00:37:16: Richtig

00:37:16: und wichtig!

00:37:18: Genau und wir freuen... Also Hendrik dankeschön dass Du wieder dabei warst immer wieder gerne.

00:37:22: Sicherheit ist das Sound um Unternehmen weil keiner hat Lust Zeit ist Geld.

00:37:27: Verschlüsselung braucht man einfach nicht.

00:37:29: Nicht privat, nicht im Unternehmen.

00:37:31: Keine Art und Lust drauf!

00:37:33: Und dementsprechend sagen wir herzlichen Dank dass ihr auch wieder zugehört habt oder zugeschaut habt.

00:37:38: Wir haben nämlich natürlich auch das ist nicht nur ein Podcast wo ihr uns nur sprechen hört sondern auf YouTube haben wir sogar einen Videopodcast.

00:37:46: also wenn ihr uns auch mal live in Farbe sehen möchtet könnt ihr auch dort schauen.

00:37:50: da haben wir noch einmal ein ganzes Video hochgeladen für euch.

00:37:55: Das heißt, wenn ihr wissen möchtet wie der Schwachstellen-Scan-God aussieht klickt einfach das nächste mal auf YouTube und in diesem Sinne freuen wir uns ganz herzlich dass sie dabei war.

00:38:04: und wenn ihr Fragen oder noch irgendwelche Ideen habt für die nächste Folge oder ein Thema interessiert euch absolut dann schreibt doch gerne unter die Podcasts die mehr Adresse.

00:38:13: und bis dahin wünsche mir euch viel Spaß mit den anderen Folgen die ihr euch auch noch anhören könnt.

00:38:18: also bis dahinn macht's gut!

00:38:20: Ciao ciao.