Desinformation, Cybercrime und hybride Kriegsführung - Wie Organisationen ein Lagebild gewinnen
Shownotes
Webseite Filigran: https://filigran.io/
Transkript anzeigen
00:00:00: Ein Angreifer braucht nur ein einziges Mal Erfolg zu haben.
00:00:03: Verteidiger muss jedes mal Erfolg haben!
00:00:08: Herzlich willkommen zur neuesten Ausgabe des Web&Tech-Podcast mit Infos und Interviews zur Digitalisierung heute mit Oliver Keitsers von der Open Source Firma Filigran, die ihren Kunden Werkzeuge gegen Cyberthreads und Desinformation an die Hand gibt Und mit mir Freddy Staudt von Web&tech PR als Moderator.
00:00:27: Wir widmen uns heute der Frage Wir können Unternehmen, aber vor allem auch Behörden angesichts all der Masse an Bedrohungen, Desinformationen, Einflussnahme, Cybercrime, Interviewiltration, Sabotage-Hybride Angriffe sich einen Überblick verschaffen.
00:00:41: Wie schaffen sie es die Cyberthreads zu identifizieren?
00:00:44: Die Sie wirklich betreffen und Angriffs abzuwähren!
00:00:48: Viel Spaß mit der heutigen Folge.
00:00:54: Herzlich willkommen zum Web&Tech Podcast heute mit Oliver Keitzers von Filigran.
00:01:01: Thema, wenn der Feind unsichtbar bleibt.
00:01:03: Desinformation, Cybercrime, hybride Kriegsführung
00:01:07: und
00:01:08: die Organisation das Lagebild zurückgewinnen.
00:01:11: Herzlich willkommen Oliver!
00:01:13: Toll dass du hier bei uns in München bist.
00:01:16: Wir kennen uns so seit drei vier Jahren.
00:01:19: Ich habe uns auf einer IT-Zahn kennengelernt, der IT Security Messe haben dann mehrere Jahre zusammen gearbeitet bei deiner letzten Position Und machen es vielleicht früher oder später bei Filigran auch.
00:01:30: derzeit Nicht!
00:01:32: Wir nehmen diese Folge auf am twenty-fünfsten März gegen Viertel nach
00:01:37: zwölf.
00:01:39: Oliver, du arbeitest bei Filigran.
00:01:42: Brancheninsider schätzen euch als Cyber Threat Management Anbieter und das Besondere bei euch ist ja seit der einzigen europäische Anbiete in dem Bereich und der einzige auf Open Source Basis.
00:01:55: Ganz besonders interessant finde ich bei euch den Bereich
00:01:58: Femi
00:01:59: Foreign Information Manipulation und Interference, also der Kampf gegen Disinformation in Cyberspace durch ausländische Akteure.
00:02:07: Darüber sprechen wir noch gleich ausführlich aber erzielt auch erstmal die Basics.
00:02:12: zu Filigran Was ist eure Geschichte?
00:02:14: Warum gehen Firmen mit euch ins Geschäft?
00:02:20: Die Geschichte ja.
00:02:21: erst mal schön dass ich da sein darf.
00:02:23: Ich finde das toll!
00:02:23: Ich habe großen Spaß daran.
00:02:26: Die Geschichte von Filigran begann lange bevor filigran existierte.
00:02:34: Er war für Threat Intelligence zuständig, hat festgestellt wir haben endlos viele einzelne Quellen.
00:02:46: Wir haben aber keine Möglichkeit all diese einzelnen Informationshäppchen vernünftig zusammenzufassen um daraus dann weitere Ergebnisse zu ziehen oder diese auf andere Art und Weise verwerten zu können.
00:02:59: Und er ist hingegangen und hat mit einigen anderen unter anderem unserem zweiten Gründer Co-Gründer gesagt, wir müssen das Ganze mal auf eine vernünftige Plattform stellen.
00:03:11: Eine Threatntail-Plattform schlussendlich, auf der alle möglichen Informationen zusammenfließen können.
00:03:18: und das Interessante ist man hat von vornherein so ein paar Grundsatzentscheidungen getroffen.
00:03:22: die erste Grundsatze Entscheidung war Open Source.
00:03:25: Open Source heißt ich habe eine riesengroße eine weltweite Community die daran mitarbeiten kann den großes Interesse daran hat dass das Produkt auch gut funktioniert.
00:03:35: Die zweite Grundsatzentscheidung ist, es ist nur die Plattform.
00:03:39: Es geht nicht um Threat Intel, es geht nicht darum einzelne Veeds spezifisch anzubinden oder schon von vornherein zum Teil des Produktes zu machen.
00:03:47: und du hattest mich vorhin auf das Thema Femme angesprochen.
00:03:51: Da haben wir dasselbe Prinzip aber vollkommen andere Informationen.
00:03:55: Das heißt die Platform verarbeitet verdaut dietet an egal was das für unterschiedliche Arten von Informationen sind Und das macht's ganz interessant.
00:04:04: Und wenn wir dann weiter schauen, das war ursprünglich ein Open Source Projekt und sagen mal so einen Hobby in der Anführungsstrichen.
00:04:10: Dann hat man es zwanzig-zweiundzwanzig gemerkt.
00:04:13: Warte mal!
00:04:13: Das ist jetzt so groß geworden?
00:04:15: Das müssen wir auf irgendeine Art und Weise professionalisieren.
00:04:18: Daraus wurde dann das Unternehmen filigran gegründet in Paris.
00:04:22: also wir sind ein französischer Hersteller besonders wichtig gerade auch mit dieser ganzen Diskussion über digitale europäische Souveränität.
00:04:30: da hilft es sehr Ja, und das ist heute.
00:04:33: Wir haben das Jahr zwanzig- sechsenzwanzig ein Unternehmen mit zwei Hundertfünfzig Mitarbeitern.
00:04:39: Einige an Geld auch, dass Investoren reingepackt haben unter anderem sie dort Telekom einer unserer Investoren.
00:04:46: Und das ist super spannend!
00:04:48: Du bist jetzt verantwortlich für den Vertrieb von Filigran in Zentraleuropa?
00:04:54: Wie bist du in die Welt der Cyber-Sicherheit geraten?
00:04:56: War da sein gerade Weg?
00:05:00: Nein... Der Weg fängt, wenn wir jetzt mal in die Ur-Suppe gehen wollen.
00:05:04: Ich habe sich angefangen an die Akademie der Wissenschaften von DDR zu verkaufen.
00:05:10: Das ist so lange her, dass wir darüber nicht reden wollen.
00:05:14: Vor der Wende?
00:05:16: Nee, es war Zuwändezeiten und Nachwändezeit.
00:05:20: Für die Zuhörer, die mich nicht sehen, sind einige graue Haare mittlerweile dazu gekommen.
00:05:25: seitdem und viel Zeit in der Branche Security-Welt war damals ja noch sehr überschaubart.
00:05:34: So ein Viren-Scanner, eine dreieinhalb Zoll-Diskette und vielleicht ne Firewall and that's it!
00:05:39: Das hat sich ja massiv aufgefächert seitdem.
00:05:42: ich habe dann irgendwann Anfang der zweitausender für einige Unternehmen gearbeitet.
00:05:47: Hab einiges im Bereich Identity & Access Management gemacht, hab einiges in dem Bereich Forensik gemacht immer irgendwo im Kontext Cybersecurity oder Security.
00:05:56: Der Mikrocyber hat mir später davor gesetzt.
00:05:58: Ja, was soll ich sagen?
00:05:59: Kann halt nichts anderes!
00:06:00: Aber es macht auch Spaß und das ist das Schöne dabei.
00:06:03: Ich genieße diese Branche sehr.
00:06:04: Ich habe große Vorteile daran.
00:06:07: Und wer der auf LinkedIn folgt, der sieht dass du privat gern Gleitschirm fliegst und da auch gerne mal eine Parallele zum Business ziehst – was ist die wichtigste
00:06:17: Parallelle?!
00:06:18: Also wenn ich jetzt eine Parallele zu filigranziehe, dann ist die wichtigste Parallelle dass ich beim Gleitschirm fliegen genau so ein Lagebild brauche.
00:06:27: Mein Lagebild heißt Wetterbericht.
00:06:30: mein Leben hängt an einigen sehr dünnen Leinen plus ein bisschen Stoff oberhalb und unter mir um ja tausend oder zweitausend Metern.
00:06:39: nur Luft die hält nicht.
00:06:41: das heißt wenn ich mich in die luft begebe und nicht weiß wie der Wetter bericht ist Dann habe ich ein Problem.
00:06:49: Wenn wir das jetzt mal übertragen auf das Lagebild Threat Intelligence, dann habe ich genau dasselbe Thema bei beiden Welten.
00:06:57: in dem Wetterbericht gibt es jede Menge Sensoren Es gibt Rechenmodelle und Informationen die irgendwie zusammengefasst werden Und als Leitschirmflieger will ich ja nicht die Wetterdaten von irgendeiner Station haben, wie ewig weit entfernt ist sie aber vielleicht das Gesamtwetter beeinflusst.
00:07:13: Sondern ich möchte schon spezifisch für den Bereich in dem ich gerade fliege wissen ob mich jetzt demnächst ein Unwetter erwartet.
00:07:20: Ob dort die Windwerte plötzlich ansteigen werden?
00:07:23: Ob wir reinbrechenden Föne in den Alpen haben oder sonst irgendetwas.
00:07:27: und wenn aus dem Blickwinkel Threat Intelligence anschauen, dann habe ich jede Menge unterschiedliche Feats.
00:07:33: Ich hab Informationen die als um für den Techniker zu sprechen als Taxifeed vorliegen oder als RSS-Feed oder als PDF Datei oder ich hab einen Blog Post den ich irgendwo gelesen habe oder was auch immer.
00:07:48: Die muss sich alle irgendwie zusammenfügen und braucht das große Bild und dieses große Bild ist der Wetterbericht oder eben andersherum.
00:07:55: Das Lagebild auf Basis dessen, ich fliege und es gibt interessanterweise endlos viele Analogien die man zum Fliegen ziehen kann aber das ist glaube ich wahrscheinlich die beste.
00:08:04: Was ist beim Fliegen ein Punkt im Lagebericht der dich davon abhalten würde loszufliegen?
00:08:13: Zum Beispiel für einen Einbruch?
00:08:15: also wenn ich weiß da kommt dann Gewitter, da kommt ein Starkwind Da kommt eine sich stark verändernde Wetterlage.
00:08:22: auf mich zu tue ich gut daran, entweder nur einen schnellen Abgleiter von der Viertelstunde einzuplan.
00:08:27: Also möglichst wieder unten zu sein oder eben gleich bleiben zu lassen und nach Hause zu laufen im Zweifelsfall.
00:08:34: Und wenn du das überträgst auf die Cyber-Sicherheit?
00:08:37: Was würde das bedeuten für ein CISO?
00:08:40: Naja es ist eine Vielzahl von unterschiedlichen Bereichen wie ich propagiere immer die Aussage dass Threat Intelligence nicht nur in den Maschinenraum gehört also gut ist oder dort nutzen bringt, sondern ich denke dass das Lagebild und wenn ich Threat Intelligence nehme erstelle ich damit dieses Lagebild insbesondere in das Management gehört.
00:09:04: Ich brauche Wissen über die Dinge die da draußen passieren um vernünftige Entscheidungen treffen zu können.
00:09:11: Ich gebe ein ganz einfaches Beispiel wir bewegen uns irgendwo im Bereich Mergers and Acquisitions.
00:09:17: So, jetzt will ich ein Unternehmen kaufen und Finance arbeitet daran.
00:09:20: Aber Finance weiß gar nicht dass dieses Unternehmen bereits Lost Credentials hat Dass es bereits angegriffen wurde das ist bereits auf der Liste von irgendeinem Angraf versteht oder whatever.
00:09:30: Das heißt Ich habe dieses zusätzliche Risiko worüber ich gegebenenfalls Auf Basis von Threat Intel Dark Web Daten oder sonst irgendetwas Bescheid wissen könnte.
00:09:42: aber wenn ich es nicht tue dann hab' ich ein Problem.
00:09:46: Du sprichst mit Civil Level Managern in Deutschland, Österreich und der Schweiz.
00:09:51: Was brennt denen unter den Nägeln?
00:09:56: Ich glaube die große Herausforderung liegt darin dass wir in der Vergangenheit in Anführungsstrichen reaktiv gehandelt haben.
00:10:04: wenn man noch mal wieder zurückgehend zum erneuernden neunundachtzig Zeit da hat man gesagt okay ich kaufe mir ein Firewall dann bin ich nach außen hin sicher.
00:10:11: Ich wusste aber gar nicht was von außen kommt, sondern ich habe mich einfach mal generalistisch vorbereitet.
00:10:16: und genau so passiert es heute auch noch sehr oft.
00:10:18: Dann kommt jemand der guten Gewissens mir sagt also das und dass sind ganz viele Risiken die du da hast und dafür brauchst du jetzt die Kiste, die Software den Knopf und was auch immer.
00:10:31: Aber damit bin ich unspezifisch.
00:10:33: Wenn ich jetzt aber hingehe und sagen kann, warte mal.
00:10:35: Ich bin ein Unternehmen im herstellenden Gewerbe das in Deutschland sitzt, dass eine IT-Infrastruktur auf Basis von Microsoft und SAP hat.
00:10:45: Was sind denn mögliche Angreifer?
00:10:47: Und was sind die Werkzeuge dieser Angreife?
00:10:49: Und wie sind die Taktiken diese Angreifern verwenden?
00:10:52: Dann kann ich sehr spezifisch meine Security Investments ausrichten weil ich dann genau dagegen auch vorgehen kann.
00:11:01: Das heißt es geht darum... diese Invest in die Cyber-Sicherheit einfach perfekt zu priorisieren?
00:11:08: Das ist auf jeden Fall, wenn wir jetzt nochmal wieder aus dem Blickwinkel einer Geschäftsführung schauen.
00:11:13: Ein Riesenvorteil.
00:11:15: und wenn ich das mal kurz einwerfen darf, wenn uns jetzt nicht zwei Jahren schauen dann ist genau das eine der Hauptanforderungen.
00:11:21: und du musst Risiko basiert und auf Basis von Wissen deine Investitionsentscheidungen treffen.
00:11:28: und du kannst nicht mehr hingehen und sagen Abgehakt habe ich gekauft, haben wir implementiert und fertig ist.
00:11:33: Ich bin raus aus der Verantwortung Die Zeiten haben sich geändert.
00:11:38: Und wenn man dann nochmal das Ganze eine Ebene tiefer anschauen Wenn ich irgendwo als Soccanalyst etwas finde in meinem Datenstrom In meiner IT Das riecht so ein bisschen.
00:11:53: Es ist ja schön zu wissen dass es irgendwie komisch ist.
00:11:57: Aber es wäre viel schöner zu wissen Wenn ich dieses Fragment nehme und das dann abgleichen kann, dann sagen kann, ah!
00:12:03: Dieses Fragments finde auch bei folgenden Angreifergruppen.
00:12:07: Das finde ich in folgendem Kampagnen oder was auch immer.
00:12:11: Damit kann ich zumindest davon ausgehen, dass gegebenenfalls auch noch folgende nächste Schritte kommen werden.
00:12:17: Und dann bin ich im Lied gegenüber dem Angreifer.
00:12:21: Ich kann schon reagieren auf etwas, was kommen wird oder zumindest kommen könnte und stehe nicht einfach nur da und sage Hier riecht es ein bisschen komisch.
00:12:32: Und du gehst in deinen Ausführungen immer im Management Level aus, Du siehst Cyber-Sicherheit eigentlich nicht mit in der IT Abteilung angesiedelt?
00:12:41: Naja das Doing auf jeden Fall ganz klar!
00:12:44: Am Ende des Tages ist Threat Intel immer noch etwas was dem jeweiligen Sockanalisten respektive dem Verteidiger am weitesten Sinne hilft.
00:12:53: Das Problem ist aber wenn es nur da unten im Maschinenraum hängen bleibt dann wirkt es oben nicht und Das ist das, was ich eigentlich gerne rüberbringen möchte.
00:13:02: Es ist etwas, was dem Gesamtunternehmen aus den unterschiedlichsten Blickwinkeln hilft.
00:13:07: und wenn wir nochmal wieder zurückgehen zu diesem Plattformgedanken, den wir am Anfang hatten dann kann ich ja auf Basis dieser, sagen wir mal Datendrehscheibe die unterschiedlichen Informationen reinpacken.
00:13:18: es gibt regelmäßig Kennedy's Law zum Beispiel veröffentlicht Risikoreporte oder Risikoberichte.
00:13:24: Es gibt regelmäßig die unterschiedlichste Quellen dort auch mit reinbringen kann, um damit dann auch strategische Entscheidungen unterstützen und vorbereiten zu können.
00:13:34: Und nicht nur die taktische Entscheidung.
00:13:36: was macht jetzt der Sockanalyster als nächstes?
00:13:39: Wenn wir nochmal zurückgehen zu dem Sockanalyssten gibt es ein Beispiel.
00:13:44: das fand ich ganz spannend.
00:13:45: Das ist im Herbst letzten Jahres gab's eine Lücke die sich auf Notepad++ bezogen hat Und einer unserer MSSP-Partner, der Filigren, also der OpenCTI einsetzt ist hingegangen und hatte weil er eine ganze Menge Automation auch schon vorher reingebaut hat.
00:14:04: Hatte die Gelegenheit die jeweiligen IOCs, Indicators of Compromise also das quasi Jagdwerkzeug vorzubereiten für Notepad++ Also für diesen spezifischen Angriffsvektor und hat das auf seinen Kunden ausgerollt.
00:14:20: Der hat Ich kann mich nicht mehr ganz genauer erinnern.
00:14:23: Ich glaube, siebzehn Fälle oder so gefunden wo die Angreifer die Schadsoftware als solche also die Backdoor als solche bereits deploy hatten aber noch nicht weiter aktiv waren.
00:14:35: da hat nur die Chance gehabt diese sagen wir mal wirklich, es waren siebzehn Fälle zu finden weil er einerseits aufgrund von Automation die Zeit gehabt hat und andererseits in der Lage war das Ganze dann auch auf seinen vierzigfünfundvierzig Kunden auszurollen.
00:14:52: Und das sind so Dinge.
00:14:53: da hilft mir eine Threadsignal Plattform ganz gewaltig.
00:14:57: aber da können wir gerne noch auf den Details eingehen.
00:14:59: wenn du möchtest
00:15:00: Ja genau, dann sprechen wir doch gleich einmal kurz über euer Produktportfolio.
00:15:04: Im Zentrum ist dieses OpenCTI Die Spread Intelligence, ihr habt aber noch weitere Produkte und auch ein Hub einer Art Plattform oben drüber unten drunter.
00:15:16: Beschreib uns das doch
00:15:17: mal!
00:15:19: Dazwischen steckt eigentlich eine ganze Menge KI, aber das ist noch wieder ein anderes Thema.
00:15:24: Also das Ganze hat angefangen mit OpenCTI ganz klar.
00:15:26: Das ist der Ort an dem die ganzen Daten zusammengefasst verarbeitet und dann wieder aufbereitere Respektive angeboten werden.
00:15:33: Darf ich da nochmal fragen?
00:15:35: Ihr seid eigentlich selbst nicht der Anbieter der Information, sondern ihr bündelt die Informationen, die von anderen Quellen kommt.
00:15:41: Korrekt!
00:15:42: Stellt es dir wie?
00:15:43: Keine Ahnung.
00:15:44: was fällt mir jetzt als gut zum Beispiel ein.
00:15:45: Stellt sie wie ein Lkw vor Der Lkwa hat keine Ladung Wir bringen keine Ladungen mit Sondern wir transportieren Ladungen von A nach B. Also wir daten in dem Augenblick von A NachB
00:15:54: Und typischerweise wäre das was die Kunden dann darin einspeisen einen Mix aus öffentlichen Informationen und wahrscheinlich kommerziellen Informationen von entsprechenden Anbietern.
00:16:07: Ja, das sind einerseits Open Source Feeds oder der Militärin spricht man vom Begriff O-Sint, Open Source Intelligence.
00:16:17: Das können auch Paid Feeds sein, das kann keine Ahnung, LD World Crowdstrike was auch immer sein.
00:16:22: Das ist eine Anbindung an das Sieben des jeweiligen Unternehmens.
00:16:26: da kriege ich dann natürlich auch die einzelnen Findings aus dem Unternehmen selber her.
00:16:31: Das kann aber auch, es gibt ganz interessanten Browser Pluck-Innen.
00:16:35: damit kann ich dann zum Beispiel einen Blog Post automatisiert einlesen und sagen so was weiß ich davon schon?
00:16:41: Und was sind neue Informationen?
00:16:43: und wenn ich jetzt diese neuen Informationen auf die Plattform gebracht habe... Was hat das für Konsequenzen?
00:16:48: wie geht's denn damit weiter?
00:16:49: da steckt eine ganze Menge drinnen an einerseits Automation und andererseits KI.
00:16:55: Wie wird solche unstrukturierte Informationen wie aus einem Blog-Post dann da eingespeist?
00:17:02: Naja, der Blog- Post als solcher ist ja schon strukturiert.
00:17:04: Es ist ja keine Ansammlung von beliebigen Wörtern die zufällig hintereinander stehen sondern für den lesenden Menschen ergibt das Sinn was dort geschrieben wird und dass es der Vorteil von der KI übernimmt.
00:17:16: natürlich die einzelnen Wörter aber sie übernimmt auch die Zusammenhänge zwischen den einzelnen Wertern also die Relationen angreifer.
00:17:25: x benutzt tool y um bei z irgendetwas anzustellen und dann hast du eine ganz klare Zuordnung zu den einzelnen.
00:17:36: Das war OpenCTI, ihr habt weitere Elemente in eurem Portfolio?
00:17:40: Genau, bauen wir das mal so ein bisschen einem Bild auf.
00:17:44: Ich bin eine Stadt, ich verantworte Verwalter einer Stadt.
00:17:47: Und Open City Eye ist quasi der Speer, der oben auf den Stadtmauern steht und raus guckt und sagt das sind die Angreifer?
00:17:53: Das sind die Werkzeuge, die die Anggreifer haben und das sind vielleicht auch die Intentionen, die diese Angreifers haben.
00:17:58: Wenn ich jetzt aber sehe, ich habe ne dicke Stadtmauer und der Angreiffer hat nur ein Speer dabei dann ficht mich das eigentlich nicht wirklich weiter an weil da kommt er nicht mit durch die Stadtmower durch.
00:18:10: Das heißt, ich muss auch immer mir anschauen wie ist meine eigene Angriffsoberfläche?
00:18:15: und dafür gibt es ein Produkt das nennt sich OpenAEV.
00:18:18: AEV steht for adversarial exposure validation also die Bestätigung sozusagen meiner eigenen Angriffsoberfläche oder meiner eigenen Schwachstelle gegenüber dem Angreifer.
00:18:32: Das heißt, ich gehe hier hin und sage Ich weiß das folgende Tools von den Angreifern verwendet werden.
00:18:36: Ich weiß dass es folgende Praktiken oder Techniken gibt Und gucke jetzt inwieweit die auf mich spezifisch zu treffen.
00:18:43: Jetzt gehen wir mal wieder von dem Beispiel vorhin aus Deutsches Manufacturing Windows oder Microsoft und SAP Super und ich stelle jetzt fest, dass dieser Angreifer aber überhaupt gar nicht auf solche Systeme geht sondern was v.a.
00:18:59: anderes macht ist das selbe Beispiel wie der Speer vor der Stadtmauer.
00:19:02: dann ist das für mich erst einmal irrelevant.
00:19:05: Dann kann ich darauf reagieren.
00:19:06: Andersherum brauche ich dort auch die Möglichkeit Trainingsvorzunehmen.
00:19:10: Ich will ja auch ausprobieren Was passiert denn wenn wirklich etwas kommt?
00:19:16: Da gibt es ein Beispiel, das kann ich gleich noch kurz berichten.
00:19:19: Aber vorerst nochmal den Sprung zurück weil dann gibt's ja auch noch den Stadtrat sozusagen, das Kontrollgremium die gucken dass alles richtig gemacht wird und das ist das große Thema Governance Risk and Compliance GRC.
00:19:33: Das ist ein Produkt das kommt jetzt im Verlauf dieses Jahres raus OpenGRC Und dann ist eigentlich der Kreis auch schon geschlossen.
00:19:39: Ich habe auf der einen Seite mein Lagebild, ich habe auf einer anderen Seite meine Angriffsoberfläche Und ich habe die Kontrolle, die Risikomanagement-Kontrolle daraus und verklebe verbinde.
00:19:50: Ich ziehe alles zusammen über KI – das ist XTM One bzw.
00:19:56: der XTM Hub als Vereinende oder Verbindende Oberfläche.
00:20:03: Und ja macht das alles als Open Source?
00:20:05: Siehst du das im Augenblick eher als Vorteil im Vertrieb oder als Nachteil?
00:20:09: Es ist ein zweischneidiges Schwert!
00:20:11: Das muss man glaube ich ganz klar sagen.
00:20:14: Wir haben irgendwas um die sechstausend Kunden da draußen, wobei der Begriff Kunde auch dehnbar ist.
00:20:22: Anwender sagen wir mal.
00:20:24: Und ein Teil und fairerweise im Bruchteil davon sind dann wirklich auch zahlende Kunden.
00:20:31: Es gibt jede Menge Beispiele von... finde ich persönlich auch etwas enttäuschend vom Großunternehmen, grösst Unternehmen von denen.
00:20:39: Ich weiß dass sie spezifische Open CTI einsetzen das aber mit der Community Edition tun.
00:20:44: also die Community Edition ist die Open Source Version, die jeder einsetzen kann, die dann aber sagen wir mal gebogen wird damit Sie in die Strukturen eines Großunternehmens reinpasst.
00:21:00: Das finde ich unfair für die gesamte Community weil das Geld, was wir einnehmen nicht dazu verwendet wird einen nächsten Ferrari zu kaufen sondern um damit Entwickler zu bezahlen die wieder herum an der Open Source Version arbeiten.
00:21:15: An der Community Edition arbeiten und wenn man halt durchaus zahlungsfähiges Großunternehmen sagt nö bestellt investieren wir nicht aber die Vorteile daraus wollen wir haben dann entspricht es nicht so ganz meinem moralischen Konvers.
00:21:28: Aber das ist eine Diskussion.
00:21:29: hier kann man nochmal separat führen
00:21:31: Und da seid ihr ja auch noch relativ frisch dabei.
00:21:34: Ich bin seit November dabei und sehe durchaus aber auch schon, dass sich da einiges getan hat.
00:21:40: Interessanterweise wenn wir jetzt über Besucherzeitenwände und andere Geschichten reden tut sich insbesondere im Bereich öffentlicher Verwaltung endlos viel.
00:21:53: Da gibt es und da kommen vielleicht auch auf den Kontext FIMI oder eben Desinformation.
00:21:59: Da gibt es eine ganze Menge Maßnahmen, die die Bundesregierung oder eben auch die Länder ergreifen und ergriffen haben wo wir einfach perfekt mit reinpassen.
00:22:10: Ja ihr arbeitet für eine Menge Behörden.
00:22:12: das habe ich mitbekommen ist ein offenes Geheimnis.
00:22:14: wenn's überhaupt ein Geheimniss ist weiß ich nicht.
00:22:17: soweit ich weiß europäische Kommission auch amerikanische Geheimdienste.
00:22:24: Das schweizerische Außenministerium gehört zu euren Kunden.
00:22:28: Was kannst du uns dazu erzählen?
00:22:29: Also das Außenministerium, ich hatte vorhin so ein bisschen angeteasert.
00:22:33: Da gibt es eine interessante Geschichte, dass das EDA, das eidgenössische Departement für auswärtige Angelegenheiten, die haben nämlich kein Außen-Ministerium,
00:22:41: d.h.,
00:22:42: zumindest nicht so... Die haben Open AW beschafft um Krisenübungen damit zu machen und jetzt muss man sich das so vorstellen, sie haben irgendwas, so ein Hundertsiebzig was auch immer Standorte weltweit wo sie natürlich auch ihren Mitarbeitern, die vor Ort sind nahebringen müssen.
00:22:59: Was passiert eigentlich wenn Kommunikation ausfällt?
00:23:02: Was passiert, wenn ein Angriff kommt?
00:23:04: Was ist passiert, es brennt was auch immer und solche Szenarien kann man auf Papier erstellen dann ist das ein entsprechender Aufwand mal hundertsiebzig oder ich kann sie digital abbilden und kann solche Krisenkommunikationsübungen auf Basis von OpenAEV machen.
00:23:22: Das heißt, das Thema Angriffsoberfläche ist einerseits ein technisches.
00:23:25: Angriffsoberfläche is aber auch ein Humanes und es ist auch ein kommunikatives.
00:23:29: Und wenn ich die Möglichkeit habe sowas zu automatisieren – da gibt's bei uns auf der Webseite auch einen ganz interessanten Anwenderbericht dazu vom EDA – dann hilft das schon sehr.
00:23:40: Du sagst das offene Geheimnis?
00:23:42: Ich mach mir so'n kleines bisschen.
00:23:44: Name-Dropping des FBI setzt uns zum Beispiel ein!
00:23:48: das belgische Verteidigungsministerium und das japanische zum Beispiel auch.
00:23:53: Das Interessante ist, wir wissen nicht wofür?
00:23:56: Das sind typischerweise sogenannte Ergäptomgebungen.
00:23:59: also die sind abgetrennt von der Welt da draußen, das sind die Kunden die ihre Software selber betreiben, die dort irgendwelche Informationen reinpacken um irgendwelchen Informationen wieder raus zu bekommen.
00:24:09: Das macht es super spannend auf der einen Seite, aber natürlich auch sehr komplex.
00:24:13: Auf der anderen Seite ums dann zu supporten und weiterzuentwickeln usw.
00:24:20: Gut man kann jetzt immerhin mit gutem Grund mutmaßen dass die euch für dieses Thema FIMI einsetzen foreign information manipulation and interference also in der Arbeit gegen staatlich gesteuerte Desinformation.
00:24:36: Wie stellt sich dann dieses Thema in den letzten Jahren dar und wer sind die Akteure?
00:24:41: Das Thema wird immer größer.
00:24:44: Fake News wurde ja gerne und oft geschrien, trauriger war sie eigentlich auf der falschen Seite des Tisches weil die fake news kommen primär aus Den, ich sag mal üblichen Spielern.
00:25:01: Das ist Russland das ist der Iran.
00:25:04: Das is China Nordkorea weniger aber die gehören ansonsten auch zu den übliche Spielern.
00:25:09: Die Nordkorean ist mehr daran interessiert Geld zu machen als als irgendwas anderes.
00:25:14: Aber da gibt es eine ganze Menge auch hinreichend bekannter Gruppen Ghostwriter oder auch Fancy Bear Charming Kitten Als iranische Gruppe die versuchen öffentliche Meinung zu manipulieren, sagen wir es mal ganz allgemein so.
00:25:31: Um für ihr eigenes Interesse irgendetwas zu erreichen und da gab es und gibt das immer noch eine Maßnahme der EU.
00:25:40: also die EU hat auch so eine Art Außenministerium dass das EAD
00:25:47: aus dem Beauftragte
00:25:48: genau Und die haben diesen hingegangen und gesagt, warte mal wir müssen irgendwie verstehen was da draußen eigentlich passiert in der Information.
00:25:56: Wenn man durch den ganzen Wald an unterschiedlichen Quellen, an Botschaften, an Kommunikationswegen und sonst irgendetwas durchmöchte muss man ihn dokumentieren.
00:26:09: Da landen wir wieder bei OpenCTI weil ist der Angreifer, dass die Nachricht als solche ist die Malware und so weiter und so fort.
00:26:20: Ich kann also Konzepte, die ich aus Threat Intelligence brauche vollkommen einfach auch auf FIMI, also auf Desinformationen anwenden und hat plötzlich die Möglichkeit durch diesen Wald durchzublicken.
00:26:34: Und dann wirklich auch einen vernünftigen Gesamtüberblick zu haben.
00:26:38: Das macht in Deutschland eine Projektgruppe im Innenministerium.
00:26:41: Kann ich ganz entspannt darüber reden weil da steht auch auf der Webseite drauf kann man auch googeln pgc am Zentralstelle für Erfassung ausländischer, ich weiß gar nicht was aber kann man ja geholt.
00:26:54: Manikulation?
00:26:56: Wahrscheinlich!
00:26:59: So ähnlich wie du es vorhin bei CTI beschrieben hast wird mehr oder weniger die gleiche Open Source Plattform genutzt um quasi diese ganze Disinformation zu bündeln und dadurch auch ein genaueres Bild zu bekommen.
00:27:12: Diese Disinformation wurde zwanzigmal gepostet auf diesen zehn Kanälen und die andere fünfhundert mal auf diesen dreißig Kanäle, um sie einfach besser zuordnen zu können auch stärker einzuordnen können wie stark die gepusht wird.
00:27:28: Und vielleicht zu interpretieren woher die kommt?
00:27:31: Naja das eine ist überhaupt erstmal Verständnis wer was wie womit.
00:27:35: das hilft mir um darauf reagieren zu können und das andere ist eben genau auch Reaktion.
00:27:40: So wie ich zurückkommend auf den Speer im Seifelsfall mich mit einem Schild schützen kann oder zurückkommt, auf den klassischen IT-Angreifer.
00:27:49: Ich mich mit entsprechender Technologie schützen können so kann ich mich gegen Desinformationen mit Information schützen.
00:27:55: das heißt ich kann direkt solche Mythen aufgreifen und kann die Wahrheit erzählen oder kann die Falscheid des Mythos dieser Nachricht darstellen um dann anderen Menschen auch zu ermöglichen, zu verstehen wo jetzt der Unterschied liegt.
00:28:48: Insgesamt ist es ja so, dass Geopolitik und Cyber-Sicherheit viel stärker zusammenwachsen oder sehr viel miteinander zu tun haben.
00:28:55: Wie verändert das auch für Unternehmen die Art wie sie ihre Risiken bewerten müssen?
00:29:01: Ich war letztens auf einer Veranstaltung, da sprach der Präsident des BKA Holger Münch und hat – ich glaube es waren ein Bitkom-Studie, die sehr suffisant zitiert und sagte, achtzig Prozent der deutschen Unternehmen wissen dass sie schon mal Opfer eines halben Angriffs waren.
00:29:18: Siebzehn Prozent gehen davon aus!
00:29:21: Und die restlichen drei Prozent träumen.
00:29:24: Fand ich sehr schön.
00:29:25: das Problem liegt glaube ich genau darin keine lokalen Angreifer.
00:29:31: Es sind immer geopolitische Angreifern, ich habe vorhin das Thema Nordkorea erwähnt.
00:29:36: die Nordkoreaner wollen Geld haben.
00:29:38: klar wenn ich von dem größten Teil der Welt sanktioniert werde und kein Geld einen nehmen kann dann muss er gucken dass es irgendwo abreißen kann.
00:29:45: Die Russen wieder herum oder auch die Chinesen.
00:29:48: Nehmen wir anschaue es gab zwanzig vierundzwanzig eine Kampagne die die amerikanische ZISA offen gelegt hat, eine chinesische Kampagne die darauf abzielte langfristig Schadcode still und leise in Unternehmen unterzubringen um dann im Krisenfall diesen Schad Code zu aktivieren.
00:30:12: Die denken einfach in vollkommen anderen Zeitdimensionen.
00:30:16: Der klassische Cyberkriminelle der geht hin haut drauf holt raus und ist wieder weg.
00:30:23: aber Es gibt ein wunderbares Beispiel, ich glaube die Firma Nordhell war es.
00:30:27: Von chinesischen Hackern vor vielen Jahren infiltriert komplett um ihr gesamtes Fachwissen entleert worden ausgesogen und Nordhell existiert heute nicht mehr.
00:30:40: Die sind schlicht und einfach weg.
00:30:41: Interessanterweise sind dann so Unternehmen wie der andere auch aus China plötzlich so groß geworden.
00:30:47: im Netzwerkbereich also in einem Schelben wäre der Argus bedingt.
00:30:53: Oliver, wenn jemand über eure Software jetzt meint eine ungute Geschichte auf die Spur gekommen zu sein.
00:31:02: Wie geht die Story dann weiter?
00:31:04: Naja das sind zwei verschiedene Richtungen sozusagen.
00:31:07: Das Eine ist weil du sagst ungute Sache.
00:31:11: ich lese zum Beispiel irgendwo im Blog post und niegelnagel neu.
00:31:17: Ich weiß nicht ob du es mitbekommen hast.
00:31:19: am Wochenende hat die Polizei einige deutsche Unternehmen besucht, um ihnen zu sagen Leute ihr habt in euren Steuerungssystemen ein Zero-Day.
00:31:34: Das ist schon mal sehr ungewöhnlich dass die Polizei loszieht und Unternehmen warnt.
00:31:39: das ging jetzt letztes Wochenende Montag dann durch die Presse.
00:31:43: aber nehmen wir vielleicht mal nicht den ganz so krassen Fall wie da steht die Polizei vor der Tür und sagt Achtung sie haben doch einen Loch sondern ich lese irgendwo ein Blog-Post, da ist ein Zero Day beschrieben.
00:31:55: Das kommt mir so vor als wenn das vielleicht auch auf uns zutreffen könnte.
00:31:58: was mache ich denn dann eigentlich?
00:32:00: Dann habe ich ja erstmal nur Papier respektive eine Zeilenwüste oder eine Textwüße irgendwo auf dem Webserver.
00:32:08: Dann importiere ich mir diese Daten Über, wie gesagt ein Browser-Plugin in OpenCTI suche mir dazu die weiteren Informationen raus und habe dann erst einmal eine Grundlage auf Basis derer ich jagen gehen kann.
00:32:23: Also ich weiß, ich suche bestimmte Snippets, ich Suche bestimmten Malware Teile Ich suche bestimmte Dateinamen oder was auch immer in dem Augenblick als Jagdgrundlage dienen kann.
00:32:36: Das Jagen selber mache ich mit irgendeinem IDA, also irgendeim Endpoint Detection and Response Tool.
00:32:44: Da gibt es etliche, die muss jetzt gar nicht alle nennen und hole mir dann dort Informationen aus meiner Umgebung, aus meinem Endpoint und sage, ah dieses für mich relevante Dokument oder diese für mich relevante Datei finde ich da und dort und dann kann ich wieder herum anfangen und sagen was habe ich denn noch wenn ich das jetzt schon gefunden habe?
00:33:04: Aber was hab' ich denn?
00:33:06: Informationen, die sich aus dem Blogpost und aus anderen korrelierten und aggregierten Daten ergeben.
00:33:12: Worauf muss ich noch achten?
00:33:14: Und fang dann wieder an zu suchen und kann mich so immer rein-und raus aus der Plattform hangeln indem ich dann jedes Mal wieder weitere Informationen dazu nehmen kann.
00:33:24: Umgekehrt funktioniert es natürlich auch genauso wenn irgendwo etwas finde, was erst mal Fischie aussieht.
00:33:29: Wo ich gar nicht weiß, was das ist Sondern da tut irgendeine Software Da tut irgend einen Code Snippet, irgendetwas Was mein IDR erstmal als Wagenommen hat.
00:33:39: Dann nehme ich diese Informationen Schmeiß überhaupt ein CTI rein und sage Okay Das ist die Angreifergruppe typischerweise Die folgendes Vorort Und dann habe ich wieder herum eine Möglichkeit weiterzuarbeiten.
00:33:52: Das heißt, ich brauche eigentlich immer Informationen und kann mit diesen Informationen dann in nächste Schritte planen.
00:33:59: Wie ist denn typischerweise die Cyber Security in Kundenorganisation gestaltet?
00:34:06: Haben die meistens ein voll ausgebildetes Sock oder ein externes Sock?
00:34:11: Oder ist es manchmal noch ein bisschen hemsärmlich?
00:34:15: Jeder macht's anders.
00:34:17: Was ich aber leider sehr oft sehe, ist eine Siloisierung.
00:34:22: Da gibt es die Truppe, die die Endpunkte macht, da gibt es diese Truppe die Threats Intel macht und da gibt das die Trupe die irgendwas anderes macht.
00:34:31: Und da glaube ich fehlt in zumindest vielen Fällen, die ich sehe noch eine größere Kooperation.
00:34:39: und dann gibt's natürlich den Mittelstand der sehr oft sagt ja dafür habe keine Zeit, keine Ressourcen und kein Geld.
00:34:46: Kein was auch immer.
00:34:47: Das gebe ich jetzt an der MSSB raus und der soll das alles für mich machen.
00:34:51: Das kann man tun.
00:34:51: Das funktioniert bis zu einem gewissen Grad aber es ist halt nicht die eierlegende Wollmilchsaum.
00:34:57: Und im Gegensatz gibt es nicht eine Antwort die auf alle passt weil jedes Unternehmen auch anders gestrickt ist.
00:35:03: Viele sind mittlerweile gerade wenn sie noch nicht ganz so lange am Markt sind.
00:35:07: sind sie cloud native dann habe ich vollkommen andere Anforderungen als keine Ahnung, irgendjemand der seit hundertfünfzig Jahren am Markt ist und noch irgendwo gerade im Bereich OT also im Bereich Produktions-IT.
00:35:21: Noch habe ich vor einer Zeit gesehen in Windows drei Elfen, Windows für Workgroups drei elf.
00:35:25: Ich hab gedacht, ich fall vom Glauben ab gibt es endlos viel.
00:35:29: da habe ich natürlich vollkommen andere Probleme damit.
00:35:31: Wagen wir einen Ausblick?
00:35:33: Was glaubst du oder was glaubt Filigran wie sich die Cyber Sicherheitslage global verändern wird in den nächsten zwei bis drei Jahren und wie bereitet ihr euch darauf vor?
00:35:45: Also es ist schwer zu sagen, wie die Gesamtlage sich verändern würde.
00:35:49: Aber wenn ich mir jetzt nur die Situation im Iran anschaue dann ist das schon sehr deutlich dass man feststellt, dass nach oder seit dem Angriff der Amerikaner unter Israelis auf den Iran die Aktivitäten der iranischen Hackergruppen massiv angestiegen sind.
00:36:06: Die greifen hauptsächlich im Bereich Finance an und Handel, um einfach dann auch quasi im Hinterland für Schaden zu sorgen.
00:36:15: Das ist ein Prinzip was wir sehr stark weiter sehen werden, was ausgebaut werden wird.
00:36:20: Da gehe ich fest voraus.
00:36:21: auf der anderen Seite Ich glaube im Augenblick kann jedes drei Wochen alte Kind schon das Wort KI sagen.
00:36:29: Das ist das große Thema, da wird viel Automation kommen.
00:36:35: Da wird die KI quasi die Kleebe zwischen den vorhin genannten Silos werden also die Verbindung dazwischen so dass sich bestimmte Dinge vollständig automatisiert ablaufen lassen können.
00:36:47: auf der
00:36:47: Verteidiger Seite meinst du?
00:36:48: Auf der Vertreiberseite genauso aber auch auf der Angreifer-Seite also auf der Red Teaming Seite dass ich regelmäßige Tests gegen meine Umgebung vollautomatisiert fahren kann.
00:36:58: Da gibt es jetzt schon Konzepte, eins nennt sich SETAM Continuous Threat Exposure Management was darauf hinausläuft eben regelmäßig und nicht nur einmal im Jahr durch ein Pen-Test und dann habe ich irgendwo einen Dokument und dann kann ich sagen Hach!
00:37:12: Ich bin aber jetzt kompleint sondern regelmäßig heißt Jede Woche, jeden Tag schlimmstenfalls auch.
00:37:18: Meine eigene Verteidigung aufs Korn nehmen und mir überlege komme ich da irgendwie rein?
00:37:23: weil das wird sich nie ändern.
00:37:26: Ein Angreifer braucht nur ein einziges mal Erfolg zu haben.
00:37:29: Ein Verteideger muss jedes Mal Erfolg haben!
00:37:32: Und das zeigt alleine schon dieses Missverhältnis.
00:37:35: immer versus einmal... Da müssen Verteider sich schon verdammt lang machen.
00:37:40: Wir haben über verschiedene Aspekte der Cyber-Sicherheit gesprochen.
00:37:45: Es gibt einerseits klar den kommerziell orientierten Cybercrime, es gibt die Desinformationen, die ich jetzt eher in politisch einordnen würde und die Britenangriffe von extern.
00:37:57: Ihr seid in all diesen drei Welten zu Hause und werdet von Organisation gegen all diese Probleme eingesetzt?
00:38:04: Ja weil das Prinzip immer wieder dasselbe ist!
00:38:06: Ich habe Informationen egal ob die Information Desinformationes oder die Information irgendeine Threat Intel-Information ist, also irgendein Feed oder was auch immer.
00:38:16: Oder ob sie sich im Kontext gerade wenn wir jetzt über hybride Angriffe reden dann sind es immer auch technische Angriffs auf keine Ahnung Wasserversorgung Stadtwerke sonst irgendetwas.
00:38:27: Diese Information muss immer aufbereitet werden.
00:38:29: diese Information muss korreliert, normalisiert irgendwie in eine Datenbank gebracht und verarbeitet werden.
00:38:36: Und dann natürlich hinten dran auch wieder daraus Aktionen getroffen werden.
00:38:40: Also Threadntail, egal in welchem Kontext nur für den Nutzen von Threadintel ist nutzlos.
00:38:48: Ich muss die actionable machen wie es so schön heißt.
00:38:50: ich muss damit etwas erreichen können und das gilt egal ob ich.
00:39:04: Wenn
00:39:09: man euer Angebot interessant findet, wie kommt man mit euch am besten in Kontakt?
00:39:12: Wo findet man euch?
00:39:14: Naja, dadurch dass wir Open Source sind kann natürlich jeder erstmal in Anführungsstrichen rumspielen.
00:39:19: Filigran-Punkt Ja aber wir haben es noch ein bisschen einfacher gemacht.
00:39:24: Also Open Source würde ja normalerweise heißen ich lebe mir irgendwo ein Paket runter und installiere das Ganze irgendwo und muss erst mal eine Infrastruktur zur Verfügung stellen.
00:39:32: kann man machen geht auch heute weiterhin so Aber wenn man nur mal ein bisschen an Anführungstrichen spielen will.
00:39:37: dann gibt man auf filigran.io.
00:39:40: da gibts den Hub.
00:39:41: dort kann ich jederzeit eine komplett funktionsfähige Umgebung für mich hochfahren, kann in der spielen und alles ausprobieren.
00:39:49: Kann mir angucken wie es funktioniert, kriege jede Menge Dokumentation dazu, kriegere Anwenderbeispiele oder irgendetwas anderes und kann da ganz entspannt mit umgehen.
00:39:58: Und wenn ich dann sage jetzt will ich es aber genauer wissen, wie läuft eigentlich meine Umgebungen?
00:40:02: Weil ich will noch eine Anbindung an mein SIAM haben oder ich habe eigene Feeds die ich anbinden möchte und ziehe mir das Paket runter, installiere das Ganze und arbeite damit.
00:40:12: Und soll man dich anrufen, anmähnen, Kontaktformular ausfüllen?
00:40:18: Ja also wenn jemand jetzt meine Stimme so sympathisch findet dass er mich unbedingt persönlich kennenlernen möchte.
00:40:26: Link ist immer ein sicherer Weg.
00:40:29: das funktioniert am einfachsten.
00:40:32: Wenn du im Bereich Sabersicherheit heute einen einzigen Tipp geben dürftest einem Geschäftsführer einer mittelständischen deutschen Firma Was wäre dieser Tipp?
00:40:43: Na, ich komme wieder zurück auf mein Stadtbeispiel.
00:40:45: Stellen Sie sich einfach mal selber oben auf den Turm und gucken Sie mal raus was da draußen passiert oder andersherum.
00:40:51: auch
00:40:51: das Management braucht ein Lagebild.
00:40:54: Es ist vermessen zu denken dass man alle Probleme aus dem Maschinenraum heraus lösen kann.
00:40:59: schaffen sie sich einen Überblick eben auch einen Überblick über all die Dinge die da draußen passieren und nicht nur einen Überglück über die Dinge, die im Unternehmen selbst passieren.
00:41:06: verstehen sie?
00:41:10: Nutzen Sie diese Chance, damit dann auch entsprechend informierte Entscheidungen zu treffen.
00:41:17: Vielen Dank Oliver!
00:41:19: Das war sehr spannend.
00:41:20: Gerne.
00:41:21: Wir sehen uns bald hier und ich freue mich, dass du heute wartest.
00:41:26: Vielen vielen Dank, ich hab Spaß dabei.
Neuer Kommentar