Humans against Cyber- Purple Teaming und die Rolle der psychologischen Komponente bei Cyberangriffen - EP8

Eva: Hallo und herzlich willkommen zu eurem Cyber Wellness Podcast Staffel Nummer 1 Humans Against Cyber Episode Nummer 8. Moin, lieber Nermin.

Nermin: Servus, liebe Eva

Eva: Na, da sind wir schon wieder. Ja, nix mit Sommerloch hier. Die Welt geht unter uns. Die Unwetter des Lebens haben gestern getobt. Ich gestern, wollte ich von München nach Hamburg fliegen und ich habe richtig Glück gehabt. Also unser, unser Flieger

Nermin: Yay! Von wegen Sommerloch geht hier munter weiter.

Eva: der hat eine Genehmigung bekommen, dass er bis noch kurz vor 0 Uhr landen durfte, weil nicht selber verschuldet. Durch die ganzen Unwetter durften wir oder durften ganz viele nicht starten und das Personal durfte nicht raus und abfertigen, weil überall die Blitze einen herumschossen. Das war schon echt beeindruckend. Und ich gebe zu, der Flug selber, den fand ich ziemlich beschissen, weil das hat Also wir stehen dann, also wir haben die ganze Zeit gewartet und dann stehen wir, er sagt so jetzt können wir los, alle sind noch gefreut, dass wir überhaupt los durften, weil am Gate nebenan, da wurde der Flugrad wieder gecancelt, ja. Und dann guckst du aus dem Fenster und siehst wieder überall die Blitze. Und ich war so, wollen wir nicht doch lieber unten bleiben? So. Und so gern fliege ich ja auch einfach nicht. Und dann ist der Scheiß da echt gestartet. Und ich hatte so einen Schiss, weil wir waren da uns herum, nur Blitze, Blitze, aus so einem Winkel habe ich das noch nie gesehen. Noch nie. Und das war so unheimlich. Und überall war der Himmel immer wieder hell, hell. Und der Flieger hat ordentlich gewackelt, als wir dann oben waren. Und ich mochte das gar nicht. Und dann kam noch on top, wenn du diesen Flug entspannt gemacht hättest, wäre es wahrscheinlich der schönste Flug des Lebens geworden, weil du überall diese Blitze gesehen hast. plus Sternschnuppen. Da sind im Massen Sternschnuppen runtergerauscht vom Himmel, was du genau gesehen hast. Und das war, das war, ich fand es total krass. Also nach dem Flug war ich völlig fertig, bin gelandet und dachte, lieber Gott, Gott sei Dank unten. Das erste Mal auf einem Linienflug von München nach Hamburg haben alle Passagiere geklatscht und die Frau, die war so süß, das Crewmitglied, die so...

Nermin: Stimmt, war ja auch, ja.

Eva: So meine Damen und Herren, das haben wir hier alle gemeinsam geschafft und wir sind sicher in Hamburg gelandet. Also Gott sei Dank, ja, weil alle starten nur aus diesem Fenster und haben diese Blitze uns herum angeguckt. hat über ganz Deutschland geblitzt. Das war der Wahnsinn.

Nermin: Ja, aber ist doch mal schön wiederzusehen, dass ein Mensch gar nicht so wichtig ist. Dass du ein ganz kleines Rädchen bist. Wenn du da oben bist, bist du einfach ausgeliefert und kannst nur hoffen, dass dich herum alles passiert. Und der Pilot hat wahrscheinlich noch für sein CV noch einen Schlechtwetterflug gebraucht. Komm, das machen wir jetzt.

Eva: Ja! Ja voll, ne also das war echt krass. Also von da ich bin richtig glücklich, dass wir jetzt gemeinsam im Podcast sitzen und das überhaupt machen können. ja, Menschen, haben wir in letzten Folge, haben wir eine Umfrage gestartet oder besser gesagt diese angekündigt und wir haben die auch in LinkedIn eingestellt in unserem Cyber -Walness -Channel. Über Homeoffice haben wir gesprochen. Und wir waren mal neugierig, wie ihr das so seht, dass wenn euer Arbeitgeber euch zurück ins Office rufen würde, wie ihr darauf reagieren würdet und erstaunlich ist, also die Abstimmung läuft noch, macht weiter gerne mit, ist das bisher niemand für euch, die ins Office zurückgehen, akzeptieren gestimmt hat. Also Null. Also das ist schon mal auf jeden Fall ein Statement und im Moment ist die Mehrheit bei, ich würde ein hybrides Modell verhandeln. Da ist im Moment die Mehrheit und Look for a new job. Allerdings ist dem wirklich dicht auf den Fersen bisher. Also die These, wir verlieren Talente, wenn wir das einfach mal abschalten. scheint sich derzeit zu bestätigen. Aber macht weiter mit, die Umfrage läuft noch.

Nermin: Für mich nicht überraschend. Ich hatte es heute Morgen auch. Ich musste heute morgen halb sieben in München sein. Und du siehst ja nur auf der Straße und öffentlichen Verkehrsmittel, eigentlich nur genervte Gesichter. Und ich glaube tatsächlich, dass ein Großteil davon, wahrscheinlich so 30 Prozent von denen, forciert wird wieder ins Büro zu fahren. Vielleicht an bestimmten Tagen, weil...

Eva: Ja, das stimmt. Alla Akro.

Nermin: hybrides Modell vereinbart, aber eigentlich gar keinen Bock drauf haben. Und es ist einfach wirklich immens viel Zeit, was da drauf geht. Rein von Produktivität, bleibe dabei, ist das Office pur keine adäquate Lösung mehr nach vorne. Es gibt sicher Industrien und Branchen, wo man sowas braucht, schon rein irgendwie aus Datenschutzgründen, Finanzcenter, Steuerberater oder sonst irgendwas.

Eva: Vielen Dank.

Nermin: Das wahrscheinlich schwieriger, weil in Deutschland ja noch alles in Papier ist, diese ganzen Aktenordner irgendwie auch zu Hause zu haben. Aber wir haben auch, glaube ich, genug Branchen, wo sowas tatsächlich möglich ist. Von daher bin ich gespannt auf das endgültige Ergebnis. Aber die Stimmung, glaube ich, ist recht klar.

Eva: Ich bin auch gespannt, wie es ausgeht. Ja, definitiv. Ja, Mensch, für heute, ihr Lieben, haben wir uns überlegt, ziemlich cooles Thema anzugehen, finde ich. Wir gehen weiter auf der Mission Security zu entmystifizieren und haben uns gemeinsam heute entschieden, also die drei Was wurde hier, die viele bestimmt schon gehört haben, aber vielleicht viele auch noch gar nicht. Die berühmten Red Timer, Blue Timer, Purple Timer aus unserem Feld und Ivan Jamin, da werde ich dich jetzt heute mal ausfragen.

Nermin: Ich hab schon angedroht, dass heute Grillzeit ist. Barbecue mal anders.

Eva: Ja, heute wird gegrillt. Ja Mensch, also alle für unsere Branchen Fremden Zuhörer, was ist denn Redteamer? Was ist das? Redteaming?

Nermin: ist eh schon so warm.

Nermin: Also woher das tatsächlich kommt, man hat ja immer so als Unternehmen stellt man sich oft irgendwie die Frage oder auch die Frage auch von außen gestellt, wie sicher seid ihr eigentlich? Und dann gab es immer so verschiedenste Möglichkeiten, wie verifiziere ich, wie mache ich das hier irgendwie quantifizierbar, wie mache ich das messbar, wirklich zu prüfen, wie sicher bin ich denn, wie man Sicherheits auch immer definieren mag.

Eva: Mhm.

Nermin: Oft sucht man dann vielleicht einfach mit irgendwelchen Lösungen nach internen Schwachstellen und versucht das dann irgendwie in Kontext zu bringen. Aber im Endeffekt ist es dann quasi ein rein theoretisches Ergebnis, weil man weiß ja nicht, wie es und ob ich es jemandem ausnutzen würde. Und aus dieser Idee ist tatsächlich dann geboren, wie schaffe ich das tatsächlich objektiv von jemandem externen eine Einschätzung zu bekommen, eben aus der Perspektive eines Angreifers zu gehen. tatsächlich so einen Angreifer zu simulieren und dann okay, wenn du jetzt Angreifer wärst und ich wäre dein Ziel, wie würdest du vorgehen und wie weit würdest du kommen? Und es ist in Grunde genommen so was wie eine Angriffaufbestellung.

Eva: Das heißt, also damit ich mir das vorstellen kann, ich betreibe meine Firma und möchte wissen, wenn ein böser Blackhat, heißen die, also jemand, ein Hacker, der schlechte Absichten hat, bei mir einbrechen wollen würde, will ich herausfinden, ob das klappen würde.

Nermin: Genau, wie Blackheads und Hacker, kann man jetzt wieder weitere Methodologie wälzen, wieder weitere Buzzwords. Aber im Prinzip genau richtig, so ein Hacker ist ja in Grunde genommen kein Krimineller. Ursprünglich ist der Hacker eigentlich derjenige, der versucht, Sicherheitsmaßnahmen zu umgehen, aber fürs Gute, indem er quasi darauf hinweisen möchte, hör zu, das was ich gemacht habe, vielleicht auch andere machen, mit der Motivation dir zu schaden. Alles andere sind Kriminelle.

Eva: Hmm?

Nermin: Das darf man nicht in einen Topf werfen, Hacker und das sind nicht gleichzeitig auch die Kriminelle. Hacking ist eher die Technologie bzw. die Methodik, Sicherheitsmaßnahmen zu umgeben. Aber warum heißt es RED? Und das kommt tatsächlich eher aus dem Militärischen. Wie viele sind der Cybersecurity? Es hat irgendwie alles seinen Ursprung irgendwo im Militärischen. RED -Teaming eben auch. Und das war genau eben auch so

Eva: Mhm.

Eva: Ja.

Nermin: Verteidigungsmaßnahmen zu üben, bräuchte man immer irgendjemanden, der den potenziellen Angreifer simuliert und sagt, wir werden angegriffen, zeigt noch mal, wie ihr euch verteidigen würdet. Und damit diese Angreifer als Befreundete erkannt werden, haben die irgendwas Rotes an sich getragen. Weil Rot so Signalfarbe ist, nicht, dass du das verwechselst mit einem richtigen Angreifer und vielleicht tatsächlich auch, ihn schießt oder ähnliches. Aber dann in Grunde genommen wurde das dann quasi verhindert.

Eva: okay, das muss ich nicht, ja.

Nermin: im militärischen Fase auch andersherum zu sehen, damit ich weiß, eigentlich der befreundete Verteidiger eigentlich ist, haben die halt eine andere Farbe bekommen. Und das war halt so irgendwie, keine Ahnung, in der Kontrastdenke wohl blau. Deswegen gibt es auch die Blue Teamer, auf die wir dann vielleicht auch noch zu sprechen können. Das sind quasi die Verteidiger, die quasi diesen simulierten Angriff im Idealfall abwehren sollen. Das ist so, ja.

Eva: Eine Frage ist, denn so, dass ein Blutthema nur simulierte Angriffe abwehrt oder auch echte? Wären die auch Blutthema?

Nermin: Das ist genau die Frage, wie weit möchte man die Realitätsschraube weiter hochdrehen. In Grunde genommen kann ich sagen, ich suche mir irgendwie einen, der diesen simulierten Angreifer macht und ich als Unternehmen kann entscheiden, möchte ich denn tatsächlich meine Verteidiger, wenn man es so sagen will, tatsächlich darüber informieren, dass wir einen simulierten Angriff haben werden oder möchte ich die überraschen, damit sie einfach nicht

Eva: Mhm.

Nermin: ein Stück weit an den Tagen irgendwie sensibler sind und irgendwie auf die Suche gehen und am Rest des Tages einfach nur Kaffee trinken, weil sie in das Büro gezogen wurden, wieder eine Bestimmung zu machen für die Umfrage. Genau. Oder es soll sich tatsächlich einfach, es soll sie überraschen. Es soll sich in den Tag einfach mit einblenden. Sie wissen nicht wann, sie wissen nicht wie. Und tatsächlich ein realistisches Ergebnis zu bekommen, was würde passieren?

Eva: Du bist ja im Homeoffice.

Nermin: wenn für so einen Fall tatsächlich sowas einbringt.

Eva: Das macht ja viel mehr Sinn, oder? Also ich finde, angekündigt macht doch eigentlich keinen Sinn, oder? Weil das dann ja gar kein echter Test ist.

Nermin: Ja, ist, genau, es ist, und glaube ursprünglich ganz am Anfang war das tatsächlich auch so und hat das irgendwie auch so Penetrationstest genannt. Penetrationstest war quasi diese angekündigte Form und war im Vergleich zu diesem eigentlichen Red Teaming immer quasi an irgendein Ziel gebunden. Ich habe hier einen neuen Shop, teste mal den Shop. Und das war quasi, dann ist es eher so als Penetrationstest gesehen, weil es irgendwie einen bestimmten Scope hat, den es halt verfolgen soll. Das Red Teaming war einfach

Eva: Mh.

Nermin: Nutze alle Möglichkeiten, die du hast, tatsächlich irgendwie Internas zu erreichen oder Sicherheitsmaßnahmen zu umgehen. Ist es egal, ob du dann den Shop nutzt, du, wie wir es ja in den vorherigen Folgen irgendwie hatten, irgendwie Social Engineering oder halt Fishingangriffen oder so was macht, sondern nutze alles, das was du denkst nutzen zu können, Internas zu erlangen. das ist also der Unterschied zwischen den angekündigten und nicht angekündigten Sachen.

Eva: Okay.

Nermin: Und daraus ist sehr viel Frust entstanden. Und zwar sehr viel Frust auf der Verteidigerseite, auf diesem Bluteamer. Das sind eigentlich die Leute, die tagtäglich ihre Aufgabe haben, irgendwelche Anomalien zu erkennen und entsprechend darauf zu reagieren. Und der Frust entstand dadurch. Und das ist so das Sinnbild eigentlich dieser ganzen Industrie, dass du ein fehlendes Gleichgewicht hast. weil der Angreifer quasi immer diesen informatischen Vorsprung hat, weil er den Überraschungsmoment an seiner Seite hatte und du als Verteidiger irgendwie auf alles gucken musst und der Angreifer sich ja quasi nur auf eine Sache fokussieren kann.

Eva: der vorher schon ausgekundschaftet hat in Ruhe, unbemerkt.

Nermin: Genau, es sind ja lange Phasen davor, zu schauen, wie man das am besten und am geräuschlosesten macht. Und in der Regel hat es immer frustrierte interne Mitarbeiter hinterlassen, weil sie immer quasi so bisschen vorgeführt wurden, dass sie nichts gesehen haben und der Angreifer quasi ihr Ziel erreicht hat.

Eva: Jetzt habe ich noch mal eine dobe Frage. Also ja, verstehe ich, dass die frustriert sind, aber so ist es doch, oder? Also ich meine, wenn ein Angreifer kommt, dann ist das ja nicht, hi, ich greife dich morgen an.

Nermin: Ja, von der Erkenntnis ist es so und das ist ein wichtiges Erkenntnis. Die Frage ist, was mache ich mit der Erkenntnis? Wenn ich das quasi einfach nutze und bei diesem Frustmoment lasse, dann bleibt das einfach Frust und spiegelt vielleicht tatsächlich irgendwie auch meine Arbeitsqualität wieder. Wenn ich tatsächlich das aber nutze, tatsächlich das zu verbessern, wenn ich sage, ich knöpfe an dieses Ergebnis, irgendeinem Plan dahinter, wie möchte ich denn, wie kann ich diese Wissens, Erfahrungs - Technologie -Lücken vielleicht schließen, für den nächsten Fall oder für den realen Fall tatsächlich vorbereitet zu sein. Und das ist das, was eigentlich in den seltensten Fällen gefolgt ist. Und gerade bei diesen Penetrationstests hat man das irgendwie oft gemacht, irgendwie eine Checkbox zu haben für ein Auditor oder ähnliches. Man sagt, wir haben eine Sicherheitsüberprüfung gemacht. Und es gibt immer irgendwas gefunden und vielleicht es ein Geschirrliegen oder nicht, aber es landet dann in irgendeiner Schublade und ist dann

Eva: Okay, also...

Nermin: Ergebnis des Jahres und nächstes Jahr machen wir es wieder.

Eva: Und wieder führen wir wieder die Verteidiger vor, sagen wieder Mensch, oder sie schaffen es. Also das kann ja auch passieren. Und das ist dann quasi daraus ist dann Purple, lila, oder?

Nermin: Genau.

Nermin: Genau, das ist eben einfach so aus der Idee, wie schafft man das tatsächlich aus dieser wichtigen Erkenntnis einen Lernfaktor zu schaffen und zu sagen, wie kann ich mich tatsächlich denn verbessern? Weil, und das ist so ein bisschen auch diese Red -Team, diese Angreifer auf Bestellung sind oft tatsächlich so ein bisschen, ich will jetzt mal sagen, nicht A -Löcher, aber durchaus egomanen.

Eva: Mhm.

Nermin: die durchaus auch nicht teilen wollen, wie sie das geschafft haben, weil es quasi ihre eigene Kunst war. Und deswegen haben wir so bisschen recherchiert und du hast es, glaube ich, auch vorhin gesehen, wird da irgendwie von Ninjas gesprochen, weil es eher ein Mysterium und ich möchte das tatsächlich irgendwie geheim halten. Ich will nicht offenbaren, was ich genutzt habe, da irgendwie reinzukommen. Ich habe einfach mein Ziel erreicht und kann es beweisen. Und das tatsächlich ist so bisschen aufzubrechen, einmal auf der einen Seite nicht

Eva: Ja.

Eva: Hmm.

Nermin: diesen Frust aufkommen zu lassen, tatsächlich daraus eine Möglichkeit zu schaffen, wie ich mich weiterentwickeln kann. Daraus ist eben ein Mix aus diesen roten und blau geworden, was dann in diese Farbe lila Münzen und zwar ist es dann quasi ein bedrohungsinformiertes Test. Läuft ähnlich ab, ich bestell irgendjemanden, der macht es, aber mit den großen und wie ich finde, und ich bin großer Fan von Purple, mit dem wichtigen Unterschied, dass ich das sogenannten bedrohungsinformiert macht. Also fred inform defense, wieder ein bisschen Anglicismen dazu, aber quasi diese bedrohungsinformierte Verteidigung weg von diesem Dilemma, dass sich ein Verteidiger grundsätzlich irgendwie auf alles fokussieren muss, sondern er soll sich fokussieren auf das, was am sehr wahrscheinlichsten ausgenutzt werden kann. Quasi einfach so ein bisschen zu berücksichtigen, diese klassische Risikoperspektive, was ist quasi die, die Wahrscheinlichkeit am größten ist, dass es uns treffen würde. Basierend auf unserer Angriffsfläche oder Schwachstellen, wir haben. Auf was würde sich ein Verteidiger fokussieren und darauf auch quasi die Angreifer fokussieren, damit die auch meine Verteidigung darauf fokussieren kann. Und das sind dann Leute, tatsächlich dann ihre Mission dann irgendwie schaffen, aber tatsächlich danach in so einen Workshop dann reingehen und sagen, okay, das und das haben wir zuerst gemacht. Das und das wären die Möglichkeiten gewesen,

Eva: Okay.

Nermin: uns zu finden oder diese Erkenntnisse darauf hättet ihr gucken können, dann hättet ihr gemerkt, dass da vielleicht irgendwas passiert. Und in dieser Kette, Zusammenhänge quasi durch das Teilen, was wurde gemacht, was hat es für Erkenntnisse hervorgerufen, wie hätte man das erkennen können, dass man das kollaborative macht, ist das, was daraus quasi dann diese Bedrohung informiert. Okay, dann habe ich danach so einen Plan, so sind sie vorgegangen, da hätte ich hingucken sollen, dann hätte ich es vielleicht gesehen.

Eva: Kann man sich vorstellen, wie eigentlich ich lern empathie, also fachliche Empathie, wenn man das so lang kann. Ich gehe in die Schule des anderen, zu verstehen, was mich erwartet, fachlich, aber ja vielleicht sogar nicht nur fachlich, vielleicht ist ja auch interessant, wenn ich dich das fragen darf, bei Angriffen, Cyberangriffen, wie viel Mental kommt da eigentlich rein?

Nermin: Es ist sehr viel. Wir haben das mal angesprochen gehabt bei dieser Burnout -Folge. Auch diese Folgen von diesen Frust, die können durchaus auch irgendwie verheerend sein. Und gerade in einem richtigen Sicherheitsvorfall, wenn man sagt, man hat das Gefühl, versagt zu haben, man hat das Gefühl, keinen Plan zu haben, man weiß nicht, was man tun soll. Das kann viel weitreichender als nur fachliche Folgen haben. Es gibt da Leute, die durchaus im Bestfall vielleicht die Branche wechseln, weil sie einfach sich nicht mehr in der Lage fühlen, damit irgendwie klarzukommen von irgendwelchen Depressionen und sonst irgendwas mal zu schweigen. Aber ja, das ist genau...

Eva: Warte, warte, ganz kurz, ich meinte die Frage anders. Also ich meinte das so, dass also als Beispiel, wenn ich diese beiden Lager zusammenbringe, ich habe hier das Verteidigungsteam und das Angriffsteam. Also im realen Kampf sozusagen, da ist ja auch mentale Taktik wichtig. Mich interessiert, ob das in Cyberangriffen auch eine mentale Komponente deiner Meinung nach gibt. Also

Nermin: Hm.

Eva: Ist es nützlich zu wissen als Verteidiger, wie mein Angreifer denkt, aber nicht nur fachlich, kann man da auch was Mentales reinbringen? Das finde ich total interessant. Ich glaube nämlich nicht, oder?

Nermin: Ja, also ich will es nicht als psychologische Kriegsführung nutzen. Was man eher nutzen will, menschliche Eigenschaften wie Neugier oder grundsätzlich einfach mal relativ leicht ablenkbar zu sein durch irgendwelche Sachen. quasi bei jeder ist so bisschen Aufmerksamkeit zu haschen und das ist etwas, ausgenutzt werden kann in der Angriffstaktik.

Eva: psychologische Kriegsführung, die Angreifer nutzen, gibt es da was?

Eva: Eigenschaften.

Nermin: In den seltensten Fällen geht es tatsächlich Leute, die mental zu zermürben, damit sie das hinterlagern. Oft startet man vielleicht zwei verschiedene Arten von Angriffen. Einen, der relativ laut ist, der sofort sichtbar ist, aber auch an sich bindet. So diese klassischen DDoS -Geschichten, wo man tatsächlich irgendeine Seite mit unheimlich vielen Zugriffen bombardiert, was sehr transparent sichtbar und sofort effektiv ist. langsamer wird und Leute nicht mehr zugreifen können. Und das bindet dann quasi Aufmerksamkeit und diese Zeiten nutzt man tatsächlich dann ganz gerne, andere Sachen zu machen, quasi so lange die anderen abgelenkt sind, vielleicht dann schon andere Sachen vorzubereiten. Und oft sind dafür einfach gesagt, keine Ahnung, Feiertage sind immer ganz gut, vor Weihnachten, wo man weiß grundsätzlich, ist die Personaldecke dünn und deswegen passieren auch so die meisten Geschichten Freitagnachmittag.

Eva: Ja, interessant. Mir ist aufgefallen, dass in unserer Branche immer mehr Psychologen auch zur Rate gezogen werden, was ich persönlich nämlich auch sinnvoll finde in allen möglichen Belangen. Das würde ich auch in diesem Pöppelbereich an sich ansiedeln, wo es darum geht zu sagen, ich habe die Angreiferseite, ich habe die Verteidigerseite. Wie bringe ich das jetzt zusammen, dass man sich gegenseitig hilft, zu verstehen,

Nermin: weil die Leute ja schon abschalten.

Eva: in welchen Schuhen der andere steckt und darauf basierend Erkenntnisse wissen, ja, einfach zu generieren und zu sagen, aha, so kann ich es in der Zukunft besser machen. Und ich glaube schon, auch diese psychologische Faktor, also zum Beispiel genau wie du sagst, ich habe vielleicht gleich mehrere Angriffe, das löst ja auch einen Stress aus beim Verteidiger so. Und wenn ich als Verteidiger darüber in Kenntnis bin, dass die extra mich in Stress setzen durch gezielte, unterschiedliche Angriffe zum Beispiel, dann habe ich ja die Chance, ein Tool zu lernen, eigentlich auch wieder wie bei Militär, ist dann ja hier auch, dass ich weiß, wie kann ich damit umgehen, trotzdem die richtigen Prios setzen und mich auf den richtigen Angriff auch fokussieren und nicht das Ablenkungsmanöver sozusagen an einer anderen Stelle. Ist das so? Also kann man das so? Purple zuordnen, dieser ganzen Psychologiebereich.

Nermin: Ja, und ich würde tatsächlich sogar noch ein Stück weitergehen. gesagt, wir besprechen bei diesen Red und Blue und Purple ja immer noch nur von dem, sag ich mal, von dem Techie -Part eines Unternehmens. Das geht ja im Grunde genommen viel weiter, dass diese Erkenntnisse ja nicht nur

Eva: Stimmt.

Nermin: Wie kannst du technologisch versuchen, irgendwie in den Griff zu bekommen, sondern tatsächlich auch unternehmerisch? Das heißt, du musst auch mit dem, dem, keine Ahnung, Geschäftsführer oder irgendwelchen Leitern da auf jeden Fall auch sprechen, damit sie erkennen, dass das ein potenzielles Business Risiko hat und die in Grunde genommen auch dieser Art von, Situationsverständnis zu vermitteln und die auch vorbereitet zu lassen oder vorbereitet überhaupt oft.

Eva: Ja.

Nermin: Das ist ja eigentlich der Grund, warum wir als Industrie in dieser aktuellen Lage sind, weil es so bisschen an dieser unternehmerischen Ernsthaftigkeit fehlt, sich mit dem Thema auseinanderzusetzen, weil man das oft nur als Technologieproblem gesehen hat und wir brauchen nur ein bisschen mehr Tools und ein paar Leute und Automatisierung und das wird dann alles gut. sondern es fehlt uns da einfach an unternehmerischer Reife, das von Haus aus mit als Aspekt zu berücksichtigen. da finde ich tatsächlich, dieses, und hat, ja, gesagt, meistens auf diesem Management eben hat das dann doch viel mit Psychologie dann auch zu tun, wie man sowas artikuliert, wie man sowas tatsächlich dann auch nahebringt. dass das ja ein unternehmerischer Faktor ist, der sie berücksichtigen wollen. Sei es, dass sie Personaldecke an bestimmten Tagen aufrecht halten müssen, dass sie für diese Leute, die mit solchen Stressfaktoren arbeiten, auch irgendwelche Ausgleichsprogramme schaffen oder irgendwie ihren Arbeitsalltag entsprechend zu gestalten, dass sie sich nicht nur ausgebrannt fühlen.

Eva: Wer ist denn Purple Team? Also was für ein Profil. das ist das... Wer ist Purple Teamer?

Nermin: Du hast nach wie vor die... Genau, du hast nach wie vor Nerds. Du hast diese Nerds auf beiden Seiten. Das sind die, halt ihre schicken, coolen Angriffsmuster da irgendwie fahren, irgendwelche Pläne stricken, wie sowas gemacht wird. Aber oft ist es so, dass man quasi so einen Purple -Teaming -Head hat, der zwischen diesen Teams steht und auch so bisschen beobachtet und auch ein bisschen sieht, wie sie reagieren, vielleicht auch ein Hinweise geben, wenn sie irgendwie gar nichts erkennen. diesen Frucht zu schaffen. Das heißt, du brauchst immer so Art Mediator, der zwischen dem Zielunternehmen und dem Dienstleister steht. Können auch komplett externer sein, der muss nicht zwangsläufig von diesen Tester kommen. Es kann irgendjemand anders auch sein, der einfach sagt, ich habe hier vielleicht meinen Partner, der solche Penetration -Tests oder vielleicht dieses Red -Teaming tatsächlich macht. Aber ich habe eine unabhängige Stelle,

Eva: Okay.

Nermin: informiert ist und die mir hilft tatsächlich daraus diese diese Erkenntnisse zu schaffen, Pläne zu strecken, Strategien aufzubauen, wie ich mich quasi vorbereiten kann. Und das kann durchaus eine weitere Entität sein. Es muss nicht zwangsläufig jemand sein von diesen Nerds. Von daher hast du quasi immer die tatsächlichen Ninjas, wenn man es so sagen will, die tatsächlich diese Angriffe machen. Du hast auf der anderen Seite irgendwie noch das potenzielle Ziel, aber du hast irgendjemanden, der das mediate und einfach der sagt, das sind die Erkenntnisse, das wäre es einfach objektiv teilt, ohne dieses Fingerpointing zu betreiben, aber das habt ihr wieder nicht gesehen und das wäre easy gewesen und habt wieder gepennt, sondern tatsächlich langfristig eine Strategie, Pläne zu schaffen, als Unternehmen besser gewappnet zu sein.

Eva: Ja, okay, also das bedeutet für mein Verständnis, Purple Teamer sind der Key, ne? Also ich meine, die bringen die Erkenntnis, die bringen den Fortschritt, die bringen die Awareness, die bringen die, das Verständnis, den Fortschritt. Das bringt einen, das trifft einen noch besser. Also die bringen die Weiterentwicklung, den Fortschritt für beide Seiten, weil sich beide Seiten verstehen, aber auch für alle, weil letztlich eben auch für alle da raus, an der Erkenntnis gezogen werden kann. Also wenn wir jetzt mal, können wir wieder eine Analogie finden? Wir haben doch so oft unser Haus hier. Also da kommt jetzt der Red Teamer und will durch meine Haustür einbrechen. Wir melden das aber an, dass ich schon weiß und mich dahinter verbarrikadier und sag so, okay, ich bin jetzt der Blue Teamer und der will da durch. Und Purple macht jetzt in dem Bild was? beobachtet.

Nermin: Ja, nee, ich glaube tatsächlich, wenn man so die Analogie ins richtige Leben schaffen will, ich glaube, tatsächlich die meisten Polizeidienststellen sowas auch anbieten, dass sie quasi einfach so eine Art Hausbegehung dann machen, die sich die Tür anschauen, die sich die Fenster anschauen, die sich irgendwie, keine Ahnung, den Garten angucken, welche Möglichkeiten gibt der GBS denn tatsächlich ins Haus zu kommen und dann auch so eine, ich glaube, wir machen auch Versicherungshäuser einfach auch eine Bewertung zu stellen, sagen, es gibt ja auch

Eva: Okay.

Nermin: gewisse Schutzklassen für Türen, gibt Schutzklassen für Fenster. Hinter diesen Schutzklassen verbirgt sich ja auch meistens so diese, wie viel Werkzeug und wie viel Zeit bräuchte denn tatsächlich ein Angreifer ein Fenster zu überwinden. Und das ist etwas, was quasi von diesen Stellen, ich würde es mal sagen, wahrscheinlich bei der Polizei objektiver als beim Versicherungshaus, weil das Versicherungshaus hat sich ja irgendwie eine andere Idee dahinter.

Eva: Stimmt.

Nermin: Aber tatsächlich, auch wirklich klar zu machen, okay, hör zu, dieses Fenster kann jemand aushebeln ohne Werkzeug innerhalb von 10 Sekunden. Dann hast du als Inhaber diese Erkenntnis und kannst daraus halt irgendwie eine Aktion machen, indem dir empfohlen wird, die Holzfenster gegen Aluminiumfenster oder irgendwie andere verstärkte Fenster zu schaffen oder halt irgendwie mit, was weiß ich, wie viel Verschlüsseln und Schlüssel und sonst irgendwas. Aber das ist das, du sukzessive quasi das einfach so aufbauen kannst, basierend auf einer objektiven Einschätzung, was theoretisch machbar ist. Aber es greift jetzt keiner irgendwie trefflich ins Haus rein.

Eva: Ganz kurz für mein Verständnis, das heißt, ich erspare mir dann eigentlich die Erfahrung. ich mache, ich umgehe sozusagen, dass einer mir zeigt, guck mal, ich bin in einer Minute in deinem Haus drin und habe dein Fenster kaputt gemacht und ich als Inhaber oder der, der das eigentlich verteidigen soll, da hat es nicht hingekriegt und danach sage ich so, haha, siehst du, so ist das, sondern ich erzähle jetzt als Purple schon vorher, wie es ist, damit ich es vorher abstellen kann, so oder? Nee.

Nermin: Ja, doch, doch, ist, das ist, aber es ist tatsächlich die Frage, wie realistisch reich dir als Hausinhaber die Erkenntnis, dass dir jemand, den du hoffentlich vertraust, dir sagt, dieses Fenster bietet dir einen Widerstand von zehn Sekunden. Oder brauchst du wirklich diese Erkenntnis, dass einer sagt, okay, er ist 12 Uhr, steht er neben deinem Bett und sagt, haha, ich bin in deinem Haus. Und oft ist es, und das ist tatsächlich auch in den Unternehmerischen, es ist auch so, dass diese

Eva: Ich hab's noch nicht ganz.

Eva: Ja, okay, verstanden.

Nermin: Red Teamer im Idealfall ja nichts kaputt machen sollen. ist etwas, ja vorher besprochen wird. Wie, wie, was ist das Ziel? Keine Ahnung, irgendwelche Dateien zu finden, wo man belegen kann, dass sie drin waren oder tatsächlich irgendeine Nachricht irgendwo zu hinterlassen, wo sie eigentlich nicht hätten hinkommen sollen. Aber man soll es ja nicht kaputt machen. Man will ja nicht in den Unternehmen nur durch den Test lahmlegen, weil man sagen kann, ich könnte es, sondern es wird immer ein gewisses Portion bleiben, so okay, wir sind bis dahin gekommen.

Eva: Ja.

Eva: stimmt.

Nermin: Und theoretisch wäre das der nächste Schritt, der euch keine Ahnung, entweder alles verschlüsseln würde oder das keine Ahnung, euer EEP unbrauchbar machen würde oder was auch immer. Das heißt, es geht nie bis zum wirklichen Schaden, sondern immer quasi bis zu diesem realitätsnahen Schritt. Was wäre der nächste Schritt? Der nächste Schritt wäre Schaden gewesen. Und diese Schadensroutine ist etwas weg. Und das wird auch im Privaten auch so. Du willst ja niemand, dass er deine Haustür kaputt macht und sagt, okay, stimmt. Also es waren jetzt nicht zehn Sekunden, waren elf.

Eva: Okay, verstanden.

Eva: Ja.

Nermin: Aber deine Hostel ist kaputt. Von daher gesagt, geht eher tatsächlich so bisschen auch die Einschätzung, wie es dann irgendwie weitergeht. Aber wie gesagt, immer mit dieser Erkenntnis, was kann ich denn machen, es irgendwie besser zu machen. Und das ist, ich, das Wichtigste. Und deswegen finde ich dieses Purple -Teaming essentiell. Ich weiß, dass viele Red -Teaming -Unternehmen das nach wie vor vielleicht noch nicht so sehen, weil, ja, aus Verständnis, die geben ja was Preis, was ja bis dato quasi ihr Alleinstellungsmerkmal war.

Eva: voll.

Nermin: Aber ich glaube, dass unsere Branche mittlerweile so viel an fundamentalen hat, dass sie jetzt gar nicht so tief in die Trickkiste greifen müssen, irgendwelche magischen Tricks zu machen, sondern oft sind es tatsächlich fundamentale Basics -Sachen, die da ausgenutzt werden, da irgendwie reinzukommen.

Eva: Ja mega, das ist ein super schöner Abschluss, lieber Nermin. ihr könnt euch vorstellen, auch anhand unseres Gesprächs, wir mögen Purple Teamer, als sehr, sehr, sehr viel Sinn macht und die Weiterentwicklung auch ist von etwas Vorherigen. Und ja, es dauert, denke ich, nicht mehr lange.

Nermin: Wir liegen sie.

Eva: Wir wollen dich, du weißt, wer du gemeint bist, hier haben wir einen Podcast, dass du nochmal ein bisschen tiefer einsteigst, wirklich auch aus deiner fachlichen Perspektive, was Purple Teaming eigentlich bringt. ja, genau. Da kommt der echte Deep Dive dazu. ja, hast du ein schönes Schlusswort heute, Naomi?

Nermin: Ja, endlich mal mit Profis sprechen, nicht nur hier so, mich hier Kompetenzsimulation betreiben.

Nermin: Ich freue mich auf den Gast, der hoffentlich zusagt und hier ein bisschen mehr dunkel ins Spiel bringt, weil ich glaube, ist wirklich so der sogenannte Game -Changer, quasi alles, das so in dieser Industrie tatsächlich ein bisschen was verändern kann zum Guten. Und wir brauchen sowas. Und von daher freue ich mich, umso mehr mal wieder Experten in der Runde zu haben.

Eva: Ja, da freue ich mich auch ganz doll drauf. Ja Mensch, dann vielen Dank ihr Lieben fürs Zuhören. Wir wünschen euch einen richtig guten, schönen Tag und wir hören uns ganz bald. Tschüss!

Nermin: Ciao, ciao!