00:00:04
Ingo Lücker: Ja herzlich willkommen, liebe Carina. Klasse, dass wir uns heute hier zum Interview zusammengefunden haben. Mich interessiert nämlich vor allen Dingen, mehr heute über das Thema zu erfahren, wie ihr denn eigentlich damit umgeht bei euren Kunden die Absicherung um Angreifer, wenn die sich in das System, ja nicht, verirrt haben, sondern in das System vorgedrungen sind, trotz aller Absicherungen. Wie wird dann damit umgegangen? Wie geht man dann auf diese Angreifer ein? Oder wenn zum Beispiel auch ein Mitarbeiter selbst sich Zugriff verschaffen will auf Bereiche, die ihn eigentlich gar nichts angehen. Da setzt er ja gewisse Lösungen ein. Welche sind das denn?
00:00:43
Carina Motzet: Hallo Ingo. Ja, danke für das Gespräch heute. Ich freue mich total, dass ich da ein bisschen was darüber erzählen kann. Weil das Thema ist: Mit dem Thema IT-Security beschäftigen sich mittlerweile ja die meisten. Für viele bedeutet das aber wirklich die Absicherung von außen. Das heißt, es geht um Firewalling, es geht darum, Eindringlinge von außen abzuhalten, was total wichtig ist und auf keinen Fall außer Acht gelassen werden darf. Trotzdem sollte man immer auch die andere Seite betrachten, wie du gerade gesagt hast: „Was passiert, wenn ein Angreifer schon bei mir im System ist?“ Aber wie kann ich auch mich präventiv davor schützen, dass ein Mitarbeiter seine Rechte ausweitet, dass irgendwelche Sachen passieren, die ich so in meinem Netzwerk gar nicht haben möchte? Wir setzen hier auf die Kombination verschiedener Lösungen, die auch verschiedene Seiten betrachten. Zum einen ist es das Thema Alerting, zum anderen ist es das Thema Logging. Dazu vielleicht später einfach noch ein bisschen mehr.
00:01:32
Carina Motzet: Konkret setzen wir hier auf die Lösungen vom Hersteller Quest und zwar den Active Administrator. Zum einen aus der AD-Betrachtung heraus auf den Change Auditor. Aus der Betrachtung dann für andere Systeme erzähle ich gleich ein bisschen mehr dazu. Der Active Administrator, da geht es wirklich darum: Ich gucke mir das AD an, ich gucke mir meine administrativen Zugriffe an, die Sachen werden mitprotokolliert, mitgeloggt. Ich kann mir Alertings einstellen, wenn zum Beispiel sich ein Admin globale Adminrechte gibt, weil es ja vielleicht etwas ist, was man zum einen ja brauchen kann, dann kann ich die Meldung ignorieren, zum anderen aber vielleicht auch ungewollt sein kann, dass irgendwer im Netzwerk versucht, seine Rechte auszuweiten, um irgendwelche Tätigkeiten vorzunehmen. Genauso ist es aber eben auch wichtig, dass ich die Protokollierung habe, dass ich nachvollziehen kann, welche administrativen Tätigkeiten denn tatsächlich bei mir im Netzwerk, in meinem AD gemacht worden sind, um bestimmte Sachen auch nachzuvollziehen oder auch zu sehen: „Okay, wo ist vielleicht etwas passiert? Wo wurden bestimmte Sachen erledigt, die vielleicht keinen von uns betroffen haben und auch von wem?
00:02:38
Carina Motzet: Hier ist auch das Thema dann ganz wichtig: Dass man wirklich die administrativen Zugriffe immer personalisiert macht, können wir gerne ein anderes Mal noch genauer dazu sprechen. Die andere Seite ist der Change Auditor, der auch ganz viel Logging umfasst und da geht es mehr um die Bereiche der anderen Systeme. Ich nehme jetzt als Beispiel den File-Server, das wäre dann der Change Auditor für File-Server. Hier werden ganz viele Dinge protokolliert, wo Änderungen gemacht worden sind, wo Dateien verschoben worden sind. Ich kann mich alarmieren lassen, eine große Menge Dateien auf einmal gelöscht oder verschlüsselt wird, was vielleicht ja gar nicht in meinem Sinne ist, um hier dann eben präventiv eingreifen zu können beziehungsweise dann halt zu reagieren.
00:03:19
Ingo Lücker: Im Zuge von diesen Lösungen wird ja auch immer wieder gerne von einem goldenen Ticket gesprochen beziehungsweise die Erkennung, wenn sich jemand so ein goldenes Ticket ausgestellt hat. Was muss ich mir darunter vorstellen?
00:03:29
Carina Motzet: Das ist dann die Kombination aus den beiden Lösungen, die ich gerade kurz angeschnitten habe. Hier habe ich die Möglichkeit, wenn jemand sich ein Golden Ticket ausstellt, da will er ganz viele Rechte haben. Er will die Möglichkeit haben durch verschiedene Authentifizierungsmöglichkeiten mit diesem Golden Ticket einfach durchzurutschen. Und so etwas muss ich natürlich vermeiden. So etwas nutzen Angreifer immer wieder, um eben auch verschiedenste Sachen vorzunehmen. Und um das eben zu vermeiden, lasse ich mich frühzeitig benachrichtigen, wenn solche Tätigkeiten stattfinden, um das dann zu verhindern beziehungsweise direkt zu sperren.
00:04:08
Ingo Lücker: Ja, gerade wenn so ein Schaden dann passiert ist, ist es ja wichtig, da ist ja immer so der Begriff der „Forensik“ sehr gerne im Raum, der forensischen Berichte. Das ist eine Möglichkeit, die wir hiermit ebenfalls in Betracht ziehen können und nutzen können?
00:04:25
Carina Motzet: Auf jeden Fall. Da ist eben genau das Thema „Logging“ dann ganz wichtig, weil die ganzen Themen, die ganzen Vorgänge werden über die Tools protokolliert. Ich kann die speichern, ich kann die bei mir archivieren und habe so im Nachgang die Möglichkeit wirklich, – auch wenn jemand bei mir in das Netzwerk eingebrochen ist, wenn ich es erst einmal nicht erkannt habe, weil der irgendwelche Lücken genutzt hat, wo ich noch nicht auf die Idee gekommen bin, mich auch alarmieren zu lassen –, dass ich dann trotzdem die Möglichkeit habe zu sehen: „Okay, wo sind denn vielleicht Veränderungen vorgenommen worden, die darauf zurückzuführen sind“?
00:04:55
Ingo Lücker: Wie werden denn eigentlich die IT-Verantwortlichen informiert, wenn jetzt solche Vorgänge im Netzwerk erkannt werden? Also gerade zum Thema „Mobile Office“. Viele IT-Verantwortliche befinden sich jetzt ja auch nicht mehr stetig vor Ort und da ist es natürlich wichtig, dass die dann auch sehr zeitnah agieren können und auch reagieren können auf die Dinge, die dort erkannt worden sind. Was stehen dort für Benachrichtigungsfunktionen zur Verfügung?
00:05:24
Carina Motzet: Genau, also das ist das Alerting, von dem ich vorhin gesprochen habe. Zum einen gibt es natürlich die ganz klassische Weise, dass ich mich per E-Mail benachrichtigen lasse. Da kann ich einen Empfängerkreis hinterlegen, wer für bestimmte Sachen benachrichtigt werden soll. Zum anderen gibt es aber auch die Möglichkeit, andere Systeme anzubinden, über die ich dann zum Beispiel an die mobilen Geräte gelangen kann. Über SMS wäre jetzt so ein Beispiel, wenn ich sage: „Okay, E-Mail funktioniert bei dem einen oder anderen nicht oder soll vermieden werden“, weil vielleicht einmal ein E-Mail-System auch gehackt worden ist, möchte ich einfach noch eine andere Möglichkeit haben, über die ich alarmiert werde. Dann sind das so die Themen, die man abbilden kann und worüber ich am Ende natürlich alarmiert werde, liegt dann in meiner Hand, als Kunde zu entscheiden beziehungsweise beraten wir dann natürlich gerne auch dazu, indem man entweder bestimmte Vorlagen, die dort sind, einfach schon benutzt und für sich aktiviert. Aber man kann sich natürlich auch jederzeit eigene Regeln erstellen für ganz spezifische Thematik.
00:06:16
Ingo Lücker: Zusammenfassend könnte man also sagen, dass im Prinzip die Lösung hier vor allem, die Kombination von Quest mit dem Active Administrator und dem Change Auditor, tatsächlich eine präventive Absicherung geben, aber auch im Nachhinein natürlich geguckt werden kann, wenn dann ein Schaden passiert ist und geschaut werden kann: „Was ist passiert, wer war dafür verantwortlich?“, und man damit eine vernünftige Protokollierung hat? Wenn ein Kunde auf euch zukommt mit genau so einem Bedarf, wie geht ihr da vor? Wie kann sich ein Unternehmen, ein Interessent das vorstellen vom Ablauf her?
00:06:55
Carina Motzet: Wir sind da Freunde eher so vom Hands-on-Ansatz. Das ist jetzt, klar, kann ich gleich von Anfang an ein Angebot schreiben, aber das bringt mir erst einmal nichts, wenn ich noch kein Feeling für das Produkt habe. Aus dem Grund sieht bei uns ein erster Termin immer so aus, – wenn der Kunde sich wirklich für das Produkt interessiert –, wir machen einen Termin mit einem unserer Consultants. Da wird es dann eine Live-Demo wirklich im Live-System geben, wo einem gezeigt wird: „Was gibt es denn schon alles für Möglichkeiten? Was kann ich denn alles einstellen? Was für verschiedene Abschnitte gibt es denn in dem Programm? Was kann ich alles betrachten? Aber auch zum Beispiel was für Alerts kann ich mir einstellen? Wirklich, das man ein Feeling dafür bekommt was das alles umfasst. Und das ist so der erste Schritt. Im Nachgang, wenn das Produkt dann weiterhin interessant ist, schreibe ich natürlich jederzeit gerne ein Angebot für den Kunden, damit er auch für den Preis ein Gefühl bekommt. Und wenn sie mir dann sagen: „Okay, das kann man sich vorstellen“, dann gehen wir gerne immer dazu über, dass wir sagen: „Okay, wir machen ein PoC, also ein Proof of Concept. Der Kunde kann das einen gewissen Testzeitraum ausprobieren. Wir installieren das vor Ort und am Ende wird dann entschieden: „Okay, das Produkt bringt uns etwas, wir haben es getestet, es wird für gut befunden, dann wird es einfach weiter benutzt und lizenziert. Oder man schaltet das Ganze eben ab und sagt: „Okay, war ein netter Test, aber war jetzt nicht das Richtige für uns“.
00:08:08
Ingo Lücker: Das hört sich sehr rund an, perfekt. An welche E-Mailadresse darf man sich denn wenden, wenn jetzt ein Kunde dazu Interesse hat und Kontakt zu euch aufnehmen möchte?
00:08:20
Carina Motzet: Da darf man sich bei uns jederzeit gerne an die vertrieb@esko-systems.de wenden. Das ist der Pool von uns Vertrieblern, dort wird sich immer zeitnah jemand bei Ihnen melden. Genau. Und wir würden dann zeitnah auf Sie zukommen, können, ersten Termin ausmachen oder einfach noch einmal über das Produkt sprechen und genauere Fragen beantworten.
00:08:39
Ingo Lücker: Super Klasse! Ich freue mich schon auf das nächste Interview mit dir, Carina. Und bis bald!
00:08:44
Carina Motzet: Klasse Ingo. Vielen lieben Dank auch dir. Einen schönen Tag noch. Ciao.
00:08:47
Ingo Lücker: Danke. Tschüss.