IT-Security und Arbeitskultur
Robert Haneberg und Alexander Benoit waren zu Gast bei dem ITCS Pizzatime Podcast und erzählen neben technischen Fakten auch aus dem sepaogo Alltag.
Im Folgenden ist der Podcast zum Nachlesen zusammengefasst.
ITCS Pizzatime Podcast – Cheesy Questions and Juicy Answers for the Tech Community
„Das schwächste Glied wird hier häufig identifiziert und die Komplexität ist halt relativ heftig.“
„Und wenn ich dafür sorge, dass eben nicht allem vertraut wird und dass ein Angreifer es nicht schafft, eben mit der einen Lücke, die er gefunden hat, oder dem einen Weg, den er gefunden hat, alles lahm zu legen, dann bin ich schon ganz gut dabei.“
Durch die Pandemie ist auch das Thema Cybersecurity deutlich in den Vordergrund gerückt: Mehr Geräte, mehr Netzwerke, mehr Plattformen und Programme, also auch mehr potenzielle Sicherheitslücken.
Wenn jemand von Cloud spricht, dann zieht meistens irgendjemand anderes die Augenbrauen hoch und murmelt irgendwas von Sicherheit. Wir sprechen heute über Supply-Chain-Angriffe und warum da die Cloud sicherer ist. Ich spreche mit Alexander Benoit und Robert Haneberg von der Firma sepago. Und die beiden sind im Security-Bereich tätig.
Wer seid ihr, was macht ihr genau bei sepago?
Robert Haneberg: Mein Name ist Robert Haneberg, ich bin seit neun Jahren Berater bei der sepago für Microsoft Lösungen, in erster Linie für den Bereich Infrastruktur. Dort habe ich angefangen, das sind so meine Themen gewesen, rund um Monitoring, Client-Management, Migration und Co.. Ich bin vor ein paar Jahren auf das Thema Cloud aufgesprungen, als die meisten in Deutschland noch eben mit diesen Augenbrauen gezuckt haben und gesagt haben: Cloud, das geht an uns vorbei – da können wir bestimmt drauf verzichten. Das hat sich über die Zeit ein bisschen geändert. Und seit zwei Jahren leite ich auch das Team Cloud Solutions in der sepago, das sich eben auch um Infrastruktur, Migration in die Cloud kümmert und dort auch vor allen Dingen mit Security-Themen konfrontiert ist, und natürlich dafür sorgen muss, dass auch der Cloud-Part einigermaßen sicher betrieben wird.
Alexander Benoit: Und mein Name ist Alex Benoit. Ich leite bei sepago die Security Services. Da geht’s um, aus der ersten Perspektive, Bedrohungsschutz im Generellen, plus zusätzlich das Thema Informationsschutz, Datenschutz im Generellen und Compliance.
Wir wollen heute über das Thema Supply Chain und insbesondere über Angriffe auf diese Supply Chain sprechen. Zu Beginn eine grundsätzliche Frage: Was versteht man unter der klassischen Supply Chain in der IT?
Alexander Benoit: Vielleicht erst mal generell über den Begriff Supply Chain. Da dieses Format Pizzatime heißt, hatten wir uns gedacht, wir erklären das auch anhand einer Pizza. Wenn eine Supply Chain quasi vom Ende her aufgerollt wird, dann ist das Endergebnis die Pizza, die beim Kunden landet. Aber davor, wenn man nur entlang der Tomate schaut, hängt dann vielleicht noch der eine, der die Tomaten eben schon geschält und in Dosen verkauft, der andere, der vielleicht die Tomaten am Stück verkauft – falls es sich um eine klassische Tomaten-Mozzarella-Pizza handelt. Davor hängt vielleicht noch der Tomatenbauer und davor hängt vielleicht noch derjenige, der das Feld bestellt hat. Das ist quasi die Supply Chain. In der IT ist da die Analogie im Endeffekt ähnlich. Wir als Beratungsunternehmen sind irgendwo in dieser Supply Chain des Endprodukts. Das Endprodukt ist dann vielleicht, der Kunde beziehungsweise Mitarbeiter der mithilfe der Cloud arbeitet. Davor steckt der Dienstleister, davor steckt der Software-Hersteller, davor stecken die Entwickler und so weiter.
Robert Haneberg: Klassischerweise spricht man da über alles im Unternehmen, was überbetriebliche Prozesse sind. Also sobald ich mit Partnern, mit Kunden, mit irgendwem interagiere, hängt das irgendwie mit der Supply Chain zusammen. Weil das mache ich ja nicht umsonst, sondern damit, um irgendwas für meine Wertschöpfungskette zu tun. Und von daher ist sogar dieses überbetriebliche Thema da auch die Definition.
Wie kommt jetzt die Sicherheit da rein oder die Sicherheitsfrage? Welche Angriffsflächen existieren hier für die Supply Chain?
Robert Haneberg: Grundsätzlich kann man erst mal sagen: Alles. Also alle, die in dieser Supply Chain involviert sind, haben irgendeine Angriffsfläche. Sowohl in der IT als auch in der Nicht-IT, egal ob es jetzt Identitäten sind oder Systeme, Software, Hardware, was auch immer. Ich glaube, das Besondere dabei ist es, dass wenn es mich treffen soll, wenn ich das Ziel bin, dass es eben alle meine Partner treffen kann, und die in erster Linie das dann weiterverbreiten. Zu denen habe ich ein Vertrauensverhältnis und das ist das große Risiko eben auch bei Supply-Chain-Angriffen, dass eben dieses Vertrauensverhältnis dann mir zum Verhängnis wird.
Das heißt, im Grunde habt ihr dann nicht mit einem Kunden zu tun, sondern im Grunde immer mit der ganzen Kette? Also mit dem, der vor und nach dem Kunden kommt, um diese Vertrauenskette dann auch zu schließen.
Alexander Benoit: Vor ein paar Tagen gab’s in der IT 2020 ein Riesen-Aufsehen, weil zum ersten Mal eine Security Firma reportet hatte, dass da ein recht großer Security Incident war. Im Endeffekt hat sich diese Security Firma geoutet, haben gesagt: Hey Leute! Es sieht so aus, als wären wir gehackt worden von etwas ziemlich Guten und ziemlich Großen.
Also gut im Sinne von professionell?
Alexander Benoit: Gut im Sinne von sehr professionell, ja. Und auch groß im Sinne von, viele Ressourcen. Das ging um den ganzen Globus und jeder hat sich gewundert, dass FireEye gehackt worden ist, da das Unternehmen tatsächlich schon sehr, sehr lange in diesem Markt drin ist. FireEye ist ein Hersteller, dem viele vertrauen und der auch sehr repräsentativ ist und sicherlich auch nicht irgendwie lax mit Security-Internem umgeht. Dadurch wurden Security-Schwachstellen bekannt gegeben beziehungsweise der Hersteller selbst hat diese relativ schnell disclosed, die die Internen für ihre Research hatten. Das heißt, es war ein unfassbarer Multiplikator, dass nicht nur der Hersteller gebreacht worden ist, sondern grundsätzlich auch deren Tools, deren Wege in unterschiedliche Betriebssysteme in unterschiedliche Umgebung rein. Ein paar Tage später hat sich ergeben, dass der Einfallsvektor, den die Angreifer in diesem konkreten Fall genutzt haben, basierend auf einer Supply Chain Attack ist. Quasi eine von einem ganz anderen Hersteller kompromittierte Komponente.
Das heißt, ich suche mir als Hacker dann einen Zulieferer aus, von dem ich weiß, dass der in dieser Kette steckt und mein eigentliches Angriffsziel direkt verbindet. Über diese Schwachstelle komme ich dann unter Umständen auch an ein Unternehmen, das eigentlich eine sehr gute Security-Strategie hat?
Alexander Benoit: Genau. Und häufig ist das wirklich das schwächste Glied. Wir haben uns gestern ein anschauliches Beispiel für den Zuhörer überlegt und zwar das Thema Arzt oder Medizinbranche im Generellen. Da würde ich mir als Angreifer nicht zwingend das Charité in Berlin raussuchen, die sicherlich aufgrund von Politikern aus anderen Ländern oder auch generell ihrer Forschung, immer wieder sehen, dass Angreifer versuchen, durch die Tür zu kommen – mehr oder weniger. Sondern ich würde mir eventuell einen Zulieferer raussuchen, der irgendwas in der Medizinbranche macht, sei es irgendwelche Ampullen oder vielleicht noch einmal ganz stumpf gesagt, irgendjemanden, der irgendeinen Zugriff auf IT-Systeme des Charités hat. Das könnte natürlich auch der Facharzt sein, der eigentlich gar nicht so viel von IT versteht. Dieser schickt seine Daten an irgendwelche Server des Charités, die das dann für die beispielsweise Weiterbehandlung von einem Patienten nutzen, also auch wieder die klassische Supply-Chain-Analogie. Das wäre dann vielleicht der Einfallsweg.
Robert Haneberg: Und das ist vielleicht so auch der Kern tatsächlich. Also ich kann noch so viel Geld ausgeben, noch so eine große Firma sein, Security machen und so dicht sein wie nur möglich meine Perimeter zu machen, wenn ich vertrauensvolle Zulieferer habe, welche in der Kette mit drinhängen und aus dem KMU-Bereich sind, aber das Geld und die Ressourcen nicht haben, um eben Security auf einem höchsten Level zu betreiben, dann kann es einfach passieren, je nachdem wie ich die in meine Systeme und meine Organisation reinlasse, dass natürlich darüber der Angriffsvektor gemacht wird. Und das ist eben das große Risiko.
Und wahrscheinlich auch, dass bei vielen Beteiligten gar kein Interesse an dem Thema besteht. Ich könnte mir vorstellen, dass der Facharzt, der einfach nur genervt ist, dass er irgendwie die Daten nicht auf den Rechner bekommt, das Problem vielleicht auch an dieser Komplexität nicht versteht. Der findet dann irgendeinen Weg, seinen USB dann doch irgendwo im Netzwerk unterzubringen.
Alexander Benoit: Der Facharzt will einfach nur seiner Arbeit nachgehen und am Ende des Tages so wenig wie möglich technischen Aufwand damit haben, die Daten in das nächste Element in dieser Kette zu submitten. Das kann auch dann nochmal ein Beispiel sein, dass es der Allgemeinarzt ist und nicht der Facharzt, der dann an den Facharzt eine Überweisung schreibt und dafür digital die Daten zur Verfügung stellt. Und wichtig ist hier die Quintessenz: Das schwächste Glied wird hier häufig identifiziert und die Komplexität ist halt relativ heftig. Robert und ich hatten auch gesagt, dass eine Analogie zu diesem Szenario das vorherige Produkt CCleaner darstellt. Das ist im Endeffekt ein Tool, mit dem man den Rechner, also so ein klassisches Windows bereinigen kann von sowas wie Verlauf im Browser oder irgendwelche Temp-Dateien, irgendwelche Missstände in der Registry und sowas. Und dieses Tool hatte bis vor einigen Jahren eine sehr hohe Markt-Sichtbarkeit. Also besonders im Consumer-Bereich, sprich, Papa und Mama, Oma und Opa, die auch einen PC haben, aber auch diverse IT-Kleinbetriebe haben dieses Tool genutzt, um quasi die Performance des Rechners vermeintlich eben zu erhöhen. Dieses Tool war auch einmal Opfer einer Supply-Chain-Attack. Und warum ich diesen Punkt mache, ist, dass quasi wir als Endnutzer genauso wenig auf den Code von diesem Produkt eingehen würden, um uns davor zu schützen, wie beispielsweise ein Krankenhaus auf die Produkt-Ressourcen, den Code von einem Security-Produkt zugreifen kann. Also das ist einfach sehr, sehr schwer auch am Ende des Tages sich davor zu schützen.
Also man kann noch so viel tun, aber irgendwo findet immer wieder jemand einen Weg, irgendwo passiert immer wieder was Neues. Lauft ihr nicht auch ein Stück weit hinterher?
Robert Haneberg: Naja, ist ja ein bisschen auch das Grundprinzip von Security. 100 % Security bedeutet, alles ausschalten und aufhören zu arbeiten. Das gibt’s halt einfach nicht. Ich kann nur so gut wie möglich dagegen agieren und eben dafür sorgen, dass der Schaden begrenzt ist. Also wenn ich dafür sorge, dass eben nicht allem vertraut wird und dass ein Angreifer es nicht schafft, eben mit der einen Lücke, die er gefunden hat, und dem einen Weg, den er gefunden hat, alles lahm zu legen, dann bin ich schon ganz gut dabei. Ich glaube, das ist ein ganz wichtiger Punkt an der Stelle eben dafür zu sorgen, dass nicht mein ganzes Unternehmen lahmgelegt wird, weil ich allem und jedem vertraue und im Unternehmen zum Beispiel auch dafür sorge, dass ich mit einem Passwort und einem User auf einmal alles steuern kann. Das ist so das Worstcase-Szenario, dass man versucht, an der Stelle auch so gut es geht auszunutzen, so viel Rechte wie möglich zu bekommen und so viel wie möglich damit anstellen zu können.
Ihr habt jetzt schon so ein paar Beispiele genannt, was so typischerweise passiert. Habt ihr noch mehr Beispiele, welche Arten von Angriffen es in eurem Bereich gibt?
Alexander Benoit: Ich möchte in diesem Zusammenhang das Thema COVID aufgreifen, da dieser Punkt sehr vielfältig ist. Und da sehen wir tatsächlich einen dramatischen Anstieg von Angriffen, die speziell auf Corona oder beziehungsweise auf die Pandemie Corona ausgelegt sind. Was ich damit meine, ist, dass zu Beginn der Pandemie, also im Februar, März und April 2020, wir im Bereich des Security Operation Center, also des Monitorings, indem wir mehrere hunderttausend Endpunkte von verschiedenen Kunden, aber auch Identitäten und Cloud Services überwachen, sehr viel im Bereich Phishing im Generellen gesehen haben – dazu komme ich aber gleich noch einmal. Dazu kamen auch verschiedene Varianten, sowas wie, dass zum Beispiel Fake-Seiten hochgegangen sind, die vermeintlich stark betroffenen Menschen helfen, die unter der Corona-Pandemie leiden. Also klassische Aufrufe zu spenden, hat man sehr viel gesehen. Aber auch generell das Thema Corona-Tests, welche im Gegensatz zu heute nicht so handelsüblich waren. Heute kannst du in die Apotheke gehen oder bei anderen vertrauenswürdigen Verkäufern den Test erwerben. Im März/ April 2020 war das teilweise so, dass Corona-Tests nicht nur im normalen Netz sondern eventuell auch auf Darknet-Marktplätzen erworben werden konnten. Dann haben wir sehr viel im Bereich Phishing im Generellen gesehen, wobei das Abgefahrenste ein Corona-Tinder war. Also Tinder kennen ja alle so mit rechts und links swipen, von Match oder Nicht-Match. Bei Corona-Tinder wurde quasi eine Excel-Liste rumgeschickt. Generell kann man sagen, dass es einen dramatischen Anstieg gab, wobei es Corona-Spotter, jeden auf der John Hopkins Seite mit F5 gesmasht haben, um zu ermitteln, wo quasi die nächsten Keimherde hochgehen. Da gab’s ja eine sehr hohe Aufmerksamkeit. Angriffe sind besonders im Bruch zwischen der digitalen und der reellen Welt erfolgreich. Dabei haben Menschen aus einer Region eine Excel-Liste zugesendet bekommen, welche fälschlicher Weise als eine offizielle Liste der Stadt / des Landes deklariert war. Hier konnte der Nutzer seine Postleitzahl eintragen und hat daraufhin Corona-Infizierte in der Umgeben angezeigt bekommen. Das hat natürlich eine unheimlich hohe Erfolgschance gehabt, weil die Leute sehr neugierig sind, welcher Nachbar Corona hat. Und gegen solche Dinge ist es eben schwer zu schützen. Die einen sagen, wir unterbinden per se Makros, aber wir wissen alle, dass das nur ein Angriffsvektor ist, den man schließen kann. Heutzutage ist es so, dass das Corona Treatment, also quasi Vaccine, sprich Impfstoff, das ist, was am erfolgreichsten ist. Hierbei beißen genau die 0,5 % an, die verzweifelt auf der Suche nach einer Lösung sind, um nahestehenden Personen zu helfen, die einen schweren Krankheitsverlauf haben. Und At Scale, einfach basierend auf der Masse der Menschen, die es auf der Welt gibt, ist das immer noch eine verdammt große Zahl pro Kampagne, also pro Lauf von so einer Phishing-Kampagne.
Das sind jetzt Beispiele gewesen, wo sich der Angriff gegen den Einzelnen richtet, also um an dessen Passwörter und an dessen Rechner zu gelangen. Welche Rolle spielt denn der Versuch über die Mitarbeiter, die im Homeoffice arbeiten und eventuell keine perfekte Absicherung haben, an das jeweilige Unternehmen zu kommen? Was jetzt ganz speziell wieder hier unser Thema Supply Chain vom Seiteneingang ist.
Alexander Benoit: Ja, also was da eben ein wichtiger Punkt ist, du sagtest es ja gerade schon total richtig: Homeoffice ist natürlich dann noch mal eine Challenge, ganz klar. Was wir sehen, ist natürlich, dass viele Organisationen, viele Unternehmen, eben keine Homeoffice-Kultur vor der Pandemie hatten. Was sich in unterschiedlichen Dingen ausprägt, zum einen, dass vielleicht die Infrastruktur des Unternehmens gar nicht darauf ausgelegt ist, und zum anderen auch keine Homeoffice-Kultur herrscht. Was im Endeffekt bedeutet, dass bei vielen Organisationen erst einmal die Produktivität nach unten gegangen ist, weil keine Best Practices oder keine Kultur dazu herrscht, wie man eben Projekte digital umsetzt. Und das ist erst einmal eine neue Situation, die wir in der Masse sehen. Ich glaube, grundsätzlich ist der einzige Weg, den wir gehen können, das Thema Zero Trust. Ich glaube, das kannst du, Robert, noch mal besser erklären als ich, oder?
Robert Haneberg: Ja, vom Prinzip her hat der Alex schon Recht, gerade bei dem Weg ins Homeoffice. Dadurch, dass der so schnell und so unvorhergesehen passiert ist, passieren natürlich auch viele Fehler beziehungsweise Dinge werden einfach auch nicht zu Ende gedacht. Das heißt, die Systeme werden schnell angebunden, ohne die entsprechenden Mechanismen dahinter zu haben. Zero Trust bedeutet im Endeffekt, nichts und niemandem mehr zu vertrauen, auch meinen eigenen Systemen nicht mehr. Und gerade, wenn ich im Homeoffice bin, bedeutet das auch, meinen Mitarbeitern nicht mehr zu vertrauen. Das heißt, Mechanismen zu entwickeln, damit er sich nicht einfach nur mit Benutzername und Passwort anmeldet, sondern vielleicht einen weiteren Faktor hat. Das ist immer ein wichtiger Punkt. Genauso ist es wichtig, dafür zu sorgen, wir nennen das Conditional Access, dass es einfach bestimmte Richtlinien dafür gibt, wie er sich anmelden kann. Das heißt, dass der Mitarbeiter nicht von überall aus jedem Land arbeiten kann und dazu angehalten ist nur noch mit dafür vorgesehenen Geräten, welche bestimmte Standards erfüllen und eine bestimmte Software drauf haben, zu arbeiten. Diese Geräte sollen vor allem auch die Sicherheit gewährleisten. Und das wird aber an vielen Stellen einfach nicht gemacht, denn alle mussten schnell reagieren und haben irgendwas gemacht, um eben diese Homeoffice-Arbeit herzustellen. Die meisten Mitarbeiter sind mit der Umstellung überfordert, da es keine simplen Mechanismen wie Single Sign-on gibt. Meist gibt es hier noch eine zweite Identität, mit der man arbeiten muss, um sich bei den jeweiligen System wie zum Beispiel Microsoft oder Zoom anzumelden. Und das ist dann eine neue Identität, die steht dann aber schon auch auf einer kleinen Notiz irgendwo am Rechner, noch besser irgendwo digital. Das sind nötige Mechanismen, um ein Homeoffice auch einigermaßen sicher gestalten zu können.
Alexander Benoit: Ich glaube, dass das ein sehr wichtiges Principle für die Sicherheit darstellt – vergleicht man die Analogie mit der Bastion. In der Vergangenheit hatten wir große Burgen mit hohen Mauern, um Angreifer abzuwehren. Aber wenn der Angreifer einen Weg in das Innere kannte, sozusagen ein Schlupfloch gefunden hatte, dann fiel die ganze Burg. Und das hat ja schon in der Ritterzeit nicht so gut funktioniert. Robert und ich sprechen mit vielen Unternehmen, welche Microsoft Teams als Collaboration-Plattform nutzen und dennoch bei uns in der Incident-Response Thematik aufschlagen, quasi einen dicken Security-Vorfall haben, welcher dann entweder über die Kriminalpolizei oder vielleicht sogar über Interpol aufschlägt, welche dann vielleicht beispielsweise über Zoom gebreacht worden sind. Zoom steht hier nicht im Fokus, da gab‘s diverse Vorfälle, auch bei anderen Plattformen beziehungsweise Herstellern. Und das Spannende dabei ist, dass die Unternehmen das gar nicht auf der Agenda haben. Also Schatten-IT, quasi von zu Hause aus arbeiten, da haben die wenigsten wirklich einen Schutz davor, weil sie gar nicht beispielsweise Zoom im Blick haben, weil für die Organisation Teams genutzt wird. Aber beispielsweise für das Homeschooling der Kinder oder den Yoga-Kurs wird eine andere Plattform genutzt.
Oder das Treffen mit den Freunden, irgendjemand hat ja in den letzten Monaten immer Zoom reingeschleppt. Also das konnte doch jeder von uns erleben.
Alexander Benoit: Ganz genau. Family Call.
Ja, wie kriegen wir den Bogen zur Cloud?
Alexander Benoit: Im Endeffekt sind die zwei Principals wichtig: Zero Trust und das kontinuierliche Aktualisieren von nicht nur dem Betriebssystem, sondern eben auch Applikationen. Das sind alles Faktoren, welche in vielen Organisationen aktuell zur Überforderung führen. Gerade bei der Verlagerung von verschiedenen kritischen Infrastrukturen, welche eben nur über die Cloud gemacht werden können, bei dem jemand anderes in allererster Linie mit höheren Sicherheitsstandards und Prozessen das Management übernimmt.
Laienhaft ausgedrückt bedeutet das: Ich nehme den einzelnen Gliedern aus der Kette quasi ihre IT weg und verlagere diese in die Cloud. Dort hat dann jemand wie ihr alles im Blick hat und muss nicht darauf vertrauen, dass einzelne Unternehmen, die vielleicht wieder von anderen oder gar nicht betreut werden, diese ganze Kette dann zu zerreißen drohen?
Robert Haneberg: Genau. Also ich selbst kann das natürlich nicht, das muss das Unternehmen, also der Teil der Supply Chain, schon für sich selber entscheiden. Ich kann es höchstens forcieren, wenn ich, ich sag mal, der Große in der Supply Chain bin, von dem alle abhängig sind. Da kann man natürlich entsprechende Auflagen und Richtlinien für entwerfen. Ich meine, Automobilhersteller machen das ja schon immer so, dass sie ihre Zulieferer mit bestimmten Richtlinien dazu bewegen, bestimmte Maßnahmen und Sicherheitsbestimmungen einzuhalten. Und ich glaube, das ist in der Industrie auch gang und gäbe. Der große Vorteil einfach ist, wenn ich als Unternehmen, wer auch immer, KMU, nicht die erforderlichen Ressourcen habe, um in dem Maße Security zu betreiben, dann ist Cloud tatsächlich ein Mechanismus, um das Ganze zu verbessern. Denn ich gebe eben meine Infrastruktur ab an ein großes Rechenzentrum, das per se schon mal sehr geschützt ist, einfach weil es Hunderttausende von Kunden hält und von einem großen Unternehmen betrieben wird, also wir reden hier von klassischen Public Cloud Hyperscalern wie Microsoft, Google, Amazon und Co.. Und wenn ich dort halt meine Infrastruktur hingebe, habe ich per se erst mal schon einen Schutz. Einfach nur dafür, dass sie da ist.
Und wahrscheinlich auch eine andere Haftungsfrage, ne?
Robert Haneberg: Klar!
Stefan: Also das ist ja wahrscheinlich auch ein entscheidender Punkt, dass ich dann nicht verantwortlich bin für die Schäden, die von meinem Unternehmen ausgehen, von meiner Unternehmens-IT, sondern im Zweifelsfall mich halt darauf verlassen muss, dass dieser Anbieter funktioniert und sicher ist.
Robert Haneberg: Genau. Ganz klar. Dafür gibt’s ja dann die Vereinbarungen und Verträge an der Stelle. Alles, was dann auf dem Layer passiert, auf dem ich wieder Zugriff habe und wo ich meine Maschinen und meine Services eben konfiguriere, habe ich dann wieder unter meiner Verantwortung. Und da habe ich aber auch den Vorteil, dass die Cloud Services, welche sehr breitbandig und sehr groß sind, dafür ausgelegt sind, sich auch mit etwas anderem zu connecten. Dadurch kann man leicht wieder sehr sichere Maßnahmen entwerfen, um sich mit anderen Unternehmen zu verbinden, die eben in meiner Supply Chain drin sind. Sei es das Identity Management, dass ich andocken kann, die Maßnahmen wie MFA, die ich einfach dazu buchen kann, ohne gleich einen neuen Server dafür aufbauen zu müssen.
Was ist MFA?
Robert Haneberg: Multifaktor-Authentifizierung. Also wenn ich mit einem zweiten Faktor arbeiten will, auch dafür brauche ich kostenpflichtige Services und Lösungen und Know-how, den ich dafür aufbauen muss. Das ist in der Cloud auf jeden Fall schon mal deutlich generischer und breiter aufgestellt und eben so, dass es sehr viel kompatibler zu allem anderen ist, was so existiert. Natürlich hat auch das alles seine Vor- und Nachteile, auch das ist immer noch kompliziert, auch das muss getan werden, auch da steckt eine ganze Menge Arbeit hinter. Aber natürlich ist es was anderes, als wenn ich im kleinen Office mit 30 Leuten sitze und auf einmal mir Gedanken drüber machen muss, ein neues Rechenzentrum zu bauen, um alle Auflagen zu erfüllen, oder eben einfach in die Cloud gehe und dort die entsprechenden Services dafür konsumiere. Also da kann es mir schon deutlich helfen, gerade wenn ich eben nicht so weit bin und nicht die Ressourcen dafür habe.
Alexander Benoit: Und vielleicht einfach auch noch einmal, um einen Maßstab zu setzen. Also wir bei sepago sind in Summe, glaube ich, aktuell, Robert help me out, 85 Mitarbeiter …
Robert Haneberg: So um den Dreh. Ja.
Alexander Benoit: … in Hamburg, Köln und München. Wir sind hochspezialisiert auf genau diese Themen. Und vergleichbar können wir immer noch sagen, dass es uns auch hier und da quasi schwerfällt oder eine Herausforderung ist, in der Breite bestimmten Mitarbeitern verschiedene Perspektiven der Bedrohungskarte aufzuzeigen, weil man eben nur eine bestimmte Expertise haben kann. Vielleicht ist meine Expertise im Bereich Identitätsmanagement, ich kann sehr große Unternehmen damit versorgen, quasi Active Directory, einen großen Verzeichnisdienst mit verschiedenen Sicherheitskriterien und so weiter zu machen. Dann kann ich zeitgleich unmöglich auch ein Experte sein für den Bereich Endpunkt und den Bereich Infrastruktur. Als ein Beispiel. Und was man im Bereich Security immer verstehen muss, ist, man lernt jeden Tag, man hat nie ausgelernt. Es ist immer so, dass sich zum einen die Anforderungen der Organisation weiterentwickle, weil Homeoffice, weil vielleicht neue Technologie, weil vielleicht neuer Schwerpunkt, vielleicht auch neue Akquisition. Und zum anderen eben auch das Thema Cloud-Technologie, also Robert und ich können ein Lied davon singen, wie schnell Microsoft als einer der Hersteller neue Technologien, neue Funktionen in diese Technologie, in diese Lösung reinbringt. Wie oft haben wir, Robert, schon, das Dashboard morgens aufgemacht, in einem Kunden-Workshop und gesagt, jetzt erklären wir folgendes, ah nee, das hat Microsoft umgezogen. Das kennen wir alle. Und zum anderen eben auch das Thema, man muss verstehen, Angreifer sind natürlich die Script Kiddies, die irgendwo mal in irgendeinem Darknet-Forum irgendein Ransomware-Service finden und das einfach mal laufen lassen.
Und die einfach nur nerven.
Alexander Benoit: Genau. Aber es sind auch hochprofessionelle Geheimdienste, Hackergruppen, also ich würde sagen, sogar Hacker-Firmen, die nichts anderes machen als ihre Mitarbeiter, überspitzt gesagt, zu schulen, in Unternehmen einzubrechen. Und all das zieht an der Security. Und es ist manchmal sogar ein gegenläufiges Ding, weil Cloud-Technologie in die eine Richtung geht, aber der Angriffsvektor von verschiedenen Hackergruppen, die zu diesem Zeitpunkt gerade aggressiv und stark sind, vielleicht in einer ganz anderen Ecke ist. Und das alles im Gesamten zu sehen, das halte ich für eine sehr sportliche Herausforderung, nicht nur für das kleine Unternehmen oder den Mittelständler, sogar für die Enterprise-Unternehmen, große Automobilhersteller oder hier, alles über 100.000 Mitarbeitern. Selbst die haben ihre Herausforderung in diesen Bereichen, sei es Banken, sei es Health Care, sei es Automotive. Alle haben sie ihre Herausforderungen, weil es eben ein so schnelllebiges Geschäft ist.
Welchen Kundentyp beratet ihr hier? Wir haben jetzt sehr verschiedene Angriffsszenarien beschrieben und je nachdem werden es wahrscheinlich auch ganz andere Gruppen von Kunden sein. Wer ist hier für die Cloud-Technologie innerhalb der Supply Chain relevant und wie wirkt sich das auf die Sicherheit aus?
Alexander Benoit: Also nicht nur in der Supply Chain, sondern auch generell kann man sagen, gibt es kein Vertical, keine Branche, die uns als Dienstleister für Cloud-Technologie und Security verschlossen bleibt. Referenz-Stories sind einfach schwierig. Wir haben eine Referenz-Story, die jeder finden kann, die heißt „Notruf aus dem Krankenhaus“, ist dann direkt der erste Link mit Microsoft gemeinsam. Da ging es um ein Krankenhaus, was wir gemacht haben im Incident-Response-Bereich mit dem Schwerpunkt Ransomware. Das Krankenhaus war von Ransomware betroffen und wir haben geholfen, alles wieder in Betrieb zu nehmen, Schaden zu minimieren und wieder hochzufahren. Kennen wir auch aus aktuellen Medien, ist allerdings ein paar Tage her. Generell muss man aber sagen, Referenz-Stories mit Kunden oder Referenzkunden zu nennen in der Security ist schwer. Weil keiner möchte genannt werden, wenn es darum geht, hatten gerade einen Ransomware-Vorfall oder werden regelmäßig gebreacht im Bereich Identitäten oder so. Das heißt, alle Branchen sind da, wir sind auch als sepago sehr stark im Enterprise-Segment. Das heißt, also häufig beginnen unsere Projekte ab 500 Mitarbeitern und nach oben hin keine Grenzen. Wir sind auch recht international, also wir haben auch verschiedene Länder mit verschiedenen Sprachen und Kulturen bei uns in den Teams drin, sind darauf auch sehr stolz, eben diese Diversität zu haben. Und das kann man, glaube ich, zu den Projekten sagen. Robert, hast du noch eine Ergänzung?
Robert Haneberg: Nein. Auf jeden Fall zum Bereich auch Cloud-Sicherheit kann man sagen, dass wir auch da grundsätzlich alle mit drin haben und dass es bei allen gleich ist: Erst kommt Cloud, dann kommt Sicherheit.
Alexander Benoit: Ja.
Dann noch einmal ein bisschen was über sepago. Ihr habt ja einen ganz guten Ruf als Arbeitgeber und ich denke, das ist auch eine Voraussetzung, um gerade so vertrauensvoll mit Kunden, aber auch untereinander arbeiten zu können. Was macht das aus bei euch? Wie könnt ihr diese Unternehmenskultur halten?
Robert Haneberg: Das ist eine sehr gute Frage. Ich bin jetzt schon neun Jahre da, es muss einen guten Grund geben, warum ich das so lange mache in derselben Firma. Für mich in erster Linie, weil es ein sehr angstfreier Raum ist. Das ist, glaube ich, ganz wichtig, gerade auch im Beratungsgeschäft. Das heißt, es ist gar kein Problem, Fehler zu machen, ist kein Problem, seine Meinung zu sagen und mit allen offen und ehrlich umzugehen. Auch man selbst zu sein, auch das ist im Beratungs-Business gar nicht so normal. Von daher ist das etwas, wo ich sage, ja, ich habe halt hier so meine Freiheiten, meine freie Entfaltung und ohne, dass mir jemand ständig auf die Finger haut und mir sagt, ich soll doch bitte was anders machen. Selbstbestimmung ist auch in unserem Beraterjob ein ganz guter Faktor. Das heißt, wir sind immer wenig von anderen getrieben, sondern in unseren Projekten sehr, sehr selbstbestimmt unterwegs mit dem Kunden zusammen. Und das sorgt auch dafür, dass wir einfach mit dem Kunden zusammen einfach besser arbeiten können, dadurch dass wir eben wenig von außen geführt werden, was die Projekte angeht. Das wären so meine zwei Sätze dazu.
Alexander Benoit: Bei mir sind es die People, glaube ich. Ich bin einfach immer wieder total angetan von den Menschen, die bei sepago arbeiten. Wir sind in ganz unterschiedlichen Disziplinen unterwegs und dennoch schaffen wir es immer wieder, gemeinsam erfolgreich sehr spannende und herausfordernde Projekte zu meistern. Und das wirklich in einer Miteinanderkultur, ohne dass da jetzt einer irgendwie sich besonders profilieren muss, was häufig einfach auch nicht möglich ist. Was ich total spannend finde, vielleicht ein Aspekt dazu jetzt in der Security, wir haben von dieser Schnelllebigkeit gesprochen, und per se, sage ich mal, ist es natürlich immer ein Vorteil, wenn du lange Erfahrung hast und verschiedene Dinge gesehen hast. Aber in unserem Team beispielsweise herrscht auch eine Kultur, wo ein junger Experte, der frisch von der Uni kommt, sich in ein Thema reingefuchst hat, genauso gut in eine seniore Rolle schlüpfen kann und sagen kann: Hey! By the way, ich habe mich in der Uni beispielsweise mit Kryptografie beschäftigt. Lasst mich das mal erklären. Und dann sitzen die Ü40-Jährigen, by the way auch recht junges Durchschnittsalter, sitzen die Ü40, Mitte-30-Jährigen, die 20-Jährigen und wer auch immer, quasi Mann, Frau am Tisch und hören dem Youngster am virtuellen Tisch zu, was er an der Stelle eben zu erzählen hat und von seiner Analyse, von seiner Forschung an der Uni oder was auch immer. Und das finde ich halt einfach eine sehr offene Kultur und dieses Miteinander schaffen wir auch, in internationale Projekte zu bringen. Und das zeichnet uns, glaube ich, auch als sepago aus.
Wie sieht euer Arbeitsalltag aus? Sitzt ihr in irgendwelchen Kellerräumen hinter Bildschirmen an Schreibtischen und versucht irgendwelche Hacks zu lösen? Oder wie muss ich mir das vorstellen?
Alexander Benoit: Das beschreibt‘s sehr gut, oder? Kellerräume …
Robert Haneberg: Pizza und Red Bull.
Alexander Benoit: Pizza und Red Bull.
Ich bin eher der Weintrinker, Robert eher der Biertrinker. Nein, bei uns ist es so, Robert und ich, wir sind eigentlich Menschen, die sehr gerne gereist sind und das auch wieder tun werden, sobald dieser ganze Spuk hier vorbei ist, oder?
Robert Haneberg: Auf jeden Fall. Ja. Das ist immer noch so eine Kernkompetenz unseres Beraterjobs, zu Kunden zu fahren, Workshops zu machen, mit denen zu interagieren. Zuzuhören ist ein wichtiger Faktor. Wir werden fürs Reden bezahlt, aber das Zuhören sorgt dafür, dass wir wieder bezahlt werden im besten Fall. Das heißt, so ein ganz wichtiger Aspekt, da ein offenes Ohr zu haben. Und Reisen gehört ganz klar dazu, auch wenn es weniger geworden ist logischerweise, und auch weniger bleiben wird. Also dieses Remote-Ding wird sich vermutlich auch in unserem Job immer mehr und mehr niederschlagen. Aber so initial zu Kunden zu fahren und dort Workshops zu machen, ist schon noch so etwas, was zu unserem Arbeitsalltag gehört und was auch fast am meisten Spaß macht.
Alexander Benoit: Aber vielleicht auch dazu, wir haben echt auch in den letzten Monaten extrem gut gelernt, mit dieser virtuellen digitalen Meeting-Welt gut umzugehen. Wir haben verschiedene Formate entwickelt, wie zum Beispiel so eine Art Hangout-Lobby, wo halt jeder reingehen kann, wenn er gerade mal irgendwie was macht, was jetzt nicht seine hundertprozentige Aufmerksamkeit braucht. Wir haben tägliche Check-In oder Check-Outs, je nach Projekt oder Kundensituation, wo es einfach darum geht: Hey! Was habe ich gestern erreicht? Was steht heute auf der Agenda? Wir haben virtuelle Formate wie das Bier um Vier oder eben auch, sage ich mal, sowas wie ein Gaming-Abend, wo man sich austauscht. Das einfach auch dazu beiträgt, dass diese Situation, die, glaube ich, für uns alle auch im Moment hart ist und gegebenenfalls heute noch härter wird, mit einer Verhärtung des Lockdowns, einfach da Hilfestellung zu geben, die auch über dieses gemeinsame Arbeiten hinausgeht und eine Vereinsamung, wie auch immer sie auch aussehen mag, was einfach auch ein Thema ist, wie performant der Mitarbeiter ist, eben auch vorzubeugen und zu unterstützen.
Robert Haneberg: Einfach auch, damit dass Zusammengefühl stehenbleibt. Also wenn ich über Monate im Homeoffice sitze, dann weiß ich schon gar nicht mehr, also dann ist es fast egal, für welche Firma ich arbeite, dann mache ich ja einfach nur noch meinen Job. Und einfach die Kommunikation zu halten und sie nicht nur auf Businessebene zu halten, sondern auch so ein bisschen Smalltalk und Privatgespräche dort mit rein zu bringen, dafür sind halt so Formate einfach auch wichtig, um das nicht verlorengehen zu lassen. Und das kriegen wir eigentlich bis jetzt ganz gut hin.
Alexander Benoit: Ja.
Sehr spannend – immer mit so einem leicht unwohlen Gefühl bei diesen Security-Themen, aber ich glaube, bei euch hat man das Gefühl, ihr habt die Sache ganz gut im Griff. Und vor allem realistisch im Griff, das ist viel wichtiger.
Das waren Alexander Benoit, Lead Security Analyst, und Robert Haneberg, Senior IT Consultant, von der Firma sepago in Köln.