Humans against Cyber - Human Error - Stimmt das so? - EP2

Eva: und herzlich willkommen zur zweiten Episode vom Cyber Wellness Podcast Staffel 1 Humans Against Cyber. Moin, lieber Nermin.

Nermin: Servus liebe Eva!

Eva: Da sind wir wieder. Es ging schneller als gedacht. Es hat richtig Spaß gemacht letzte Woche. Wie ist es dir ergangen?

Nermin: Yay!

Nermin: Ja, in der Tat, es war, wir hatten ein paar Anläufe gehabt und wir haben beide festgestellt, wir sind nichts für Skripts. Bei uns muss es fließen. Von daher war das wirklich sehr schön. Von Feedback bin ich mehr als überrascht. Schätze, wir werden auch noch mal in den Detail irgendwie eingehen. Aber für alle, die enttäuscht sind, ich bin wieder bei der Eva im Podcast.

Eva: Ja.

Eva: Gar nicht. Ich habe so viel Gutes von dir an Feedback zurückbekommen. Also erstmal liebe Community, vielen Dank. Ich fand es richtig toll, dass ihr euch so zurückgemeldet habt. Das ist eine Freude, dass ihr mitmacht und von Glückwünschen über, also das Schönste ist tatsächlich, ich muss das vorwegnehmen, ist, dass das, wovon wir ja auch ein Stück weit träumen, das einfach auch ganz normale Leute nicht aus der Security Bock haben, unseren Podcast zu hören. Und das zum Beispiel meine zwei Freundinnen, liebe Grüße hier an der Stelle, Julia und Nadja, die wirklich überhaupt nicht, ich sag das jetzt auch genauso offen, technik-affin sind, geschweige denn in IT, also gar nichts davon, das wirklich verstanden haben und wir ins Gespräch zusammengekommen sind über Cyber Wellness. Das fand ich so geil. Also... Und das hat mich so richtig glücklich gemacht, tatsächlich. Also das war richtig schön. Und ja.

Nermin: Ist das nicht schön? Eigentlich genau das wollten wir erreichen. Und Ähnliches habe ich auch von meiner Seite, liebe Freundin, von meiner Seite, die für sich hat das tatsächlich resoniert, dieses Thema, was wir gesprochen haben, dass es ja durchaus Menschen gibt, die dieses ganze Thema digital eher suspekt sehen und alles irgendwie schwierig ist und eher so aus der Perspektive der Angst irgendwie angehen und deswegen gehemmt und auch schnell genervt von dem Thema sind, dass man sich da wiedergefunden hat. Um auch vorwegzunehmen, wer schafft das mit der ersten Folge unter Platz 34 der Apple Podcast zu kommen. Von daher vielen, vielen Dank an alle, die zugehört haben.

Eva: In der Kategorie Technologie, um das zu ergänzen. Nicht gesagt, aber es ist toll. Nein, richtig toll. Cool. Ja Mensch, also ich würde am liebsten auch direkt erstmal, weil ihr seid die Wichtigsten, ihr Zuhörer, am liebsten auch direkt mal auf ein Hörerfeedback eingehen. Und zwar, ich habe hier eine Nachricht bekommen.

Nermin: Ja, nicht gesamte. Das wäre natürlich die nächste Krönung, aber gut. Wir kommen dahin.

Eva: Was ich total schön fand, weil die gleich kontrovers auf eins unserer Bilder aus der letzten Folge eingegangen ist, magst das noch mal ganz kurz so rekapitulieren, dass wir wieder an der Stelle sind, wo wir hinwollen.

Nermin: Ja, sehr gerne. Ich hatte ja das Bild gemalt, audiativ das Bild gemalt, dass dieses ganze Thema, wie wir in Unternehmen mit Sicherheit umgehen und dieses Thema der Firewalls, ja im Grunde genommen so ein bisschen auch die Parallele dazu gezogen zu den Burgmauern, die wir früher hatten und mit offenen Fenstern und Türen von zu Hause und dass ja quasi diese Selbstverständlichkeit eigentlich herrschen sollte, dass man Türen zusperrt, dass Fenster nicht offengelassen werden. Und ja, da gehabt ist ja ein Hörer, der uns da so ein bisschen challengen.

Eva: Genau, ich lese das hier an der Stelle mal vor. Und zwar hat mich folgende Nachricht erreicht. Das Hausbeispiel finde ich halt schwierig und oft ist leider auch tatsächlich der User schuld. Tatsächlich frage ich mich oft, warum Leute, die hinter dem Haus einen Wintergarten ohne Verriegelung oder Lichtschächte mit Fenstern von Anno Dazumal haben, dann mittlere, vierstellige Beträge für eine einbruchsichere Haustüre ausgeben. Da ist halt viel Wohlfühlaktionismus dabei. Aber wenn sich die Leute nicht interessieren, was willst du denn dann machen? Ich habe neulich gelesen, dass viele Teenager heute nicht mehr wissen, dass ein Smartphone auch nur ein normaler PC ist. Eine Entwicklung, die die Generation meiner Eltern mit dem Fernseher auch schon durchgemacht hat.

Nermin: Tja, man kann sagen, so wie es gesagt wurde, ist alles richtig. Und irgendwie dann auch nicht. Daher jetzt die Kontroverse. Ich fange mal eben, ich nehme jetzt meine These an und gerne kannst du mich auch dazu noch mal challengen. Aber ich finde nicht dafür, dass man immer den User verantwortlich machen kann. Und.

Eva: Das mach ich.

Nermin: Das was ich auch letztes Mal irgendwie versucht habe rüber zu bringen, es geht das ganzheitliche und das heißt ganzheitlich meine ich...

Eva: Warte, warte, er schreibt oft. Oft, nicht immer. Oft ist der User schuld.

Nermin: Ja, aber auch oft, auch oft, wie gesagt, quantifizieren kann man, kann man hinlassen. Das Problem ist einfach nicht, dass es, dass es nicht ganzheitlich geführt wird. Das ist in Grunde genommen nicht nur einseitig als Maßnahme ergriffen wird. Und die Leute, die sich vierstellige Summen für einbruchssichere Türen machen, aber da gibt es einen Wintergarten und, und, und Kellerschächte und sonst irgendwas, die hat man nicht aufgeklärt. Ich bin überzeugt davon, dass man sie nicht aufgeklärt hat, dass das Teil der Angriffsfläche sein könnte. Dass es Leute gibt, die nicht mehr durch die Tür kommen, sondern sich potentiell den Weg nimmt des geringsten Widerstands. Dass vielleicht mal ein Wintergarten ist oder eine Kellertür oder was auch immer es ist. Die sind halt einfach nicht aufgeklärt worden, dass das ein Problem darstellen kann. Oder man hat sie, und das ist auch wieder eine Parallele zu unserer Industrie, Man hat sie so aufgeklärt, dass Ihnen niemand gesagt hat, du musst eigentlich eine vierstellige Summe für eine Tür ausgeben, damit du sicher bist, weil man die Tür verkaufen wollte. Und deswegen sage ich, kann man das nicht? Es ist so ein Blame Game, wo wir eigentlich gar nicht hingehen sollten. Wer es ist, es geht halt Aufklärung und Vorleben. Und ich finde, davor, diese Parallele zieht, sollte man irgendjemanden aufklären, was eine mögliche Einbruch in ein Haus ausschauen könnte. wie er ausschauen könnte und welchen Weg man nimmt, dann sind die Leute sensibilisiert, dann verstehen sie das und dann werden die mit Sicherheit, weil es zum Schutz des eigenen Hauses ist und des eigenen Wertes ist, werden sie sicher Maßnahmen greifen. Und ich denke, das ist etwas, was wir dann auch transportieren sollten wieder ins Unternehmen, das nicht zu sagen, was kann ich schon machen, wenn Unternehmensdaten verloren gehen, sind ja nicht meine Daten. Und ich glaube, das ist etwas, wo wir sagen, was ist mein Arbeitgeber? verdiene damit irgendwie auch mein Geld, es ist ein Stück weit auch meins und nicht irgendwie jemand anderes Problem und dann ist man natürlich anders motiviert, das zu schützen, weil ich will ja weiterhin Geld verdienen, ich will den Großteil meiner Zeit irgendwie eine schöne Zeit haben.

Eva: Hmm.

Eva: Da kann man dann schon das nächste Fass aufmachen, wobei wir da wahrscheinlich zu sehr abdriften. Mein Klassiker, das nein, es ist Montag und endlich Freitag Problem, was ich ja immer wieder finde, wo ich sage, okay, also ein bisschen Spaß sollte der Job ja schon machen und auch eine gewisse Identifikation bedeuten. So, und deshalb finde ich das schön, was du sagst. Also wieder das, was bedeutet das eigentlich für mich? Also dieses... What is in it for me? Ich benutze das immer wieder so gerne, weil das ist, auch bei diesem Hörerbeispiel zu bleiben, wenn wahrscheinlich ist das für mich okay, den Aufwand zu betreiben, durch die Haustür, durch eine Panzertür zu gehen und mehrere Schlösser aufzumachen. Weil da gehe ich ja, ja, ich habe meine Einkaufstüte oder irgendwie sowas, aber in meinen Garten habe ich keinen Bock drauf. Da darf ich einfach rein und raus latschen, damit ich meine Gartenarbeit machen kann, draußen, die Kinder spielen können. Ich möchte es einfach einfacher haben. Mein Ablauf ist da theoretisch auch so was Kompliziertes nicht ausgelegt. Und dann sind wir eigentlich auch schon wieder im Unternehmen. Also wie kompliziert sind Policies? Wie nah dran am Leben ist es? Und was ist meine Risikoabwägung? Aber... Was ich richtig cool fand, Nermin, deswegen würde ich dich bitten, ich musste darüber wirklich schmunzeln, das ist wieder das, wurde doch nur nicht aufgeklärt und das fand ich so witzig, du hast eben mir von einem LinkedIn -Artikel erzählt und kannst du das doch mal teilen, weil ich das so cool fand mit der Hannelore, mit der lieben Hannelore.

Nermin: Genau, es spielt eigentlich ganz schön in Hand mit dieser ganzen Geschichte und was wir für Maßnahmen ergreifen, sowas zu mitigieren. Einen schönen Gruß an den Herrn Doktor Michael Gschwender Bei LinkedIn einen schönen Artikel geteilt, übrigens alias Root Cat, finde ich total geil. Tatsächlich einen, und wir werden es ja verlinken, kann jeder noch mal folgen und sich das nochmal durchlesen, aber er hat dann eine sehr... malerischen Art und Weise beschrieben, wie das Thema so ist und wie viel wir von diesem Blame Game haben. Und hat so ein Gedankenexperiment gemacht. Über einen Marvin, der in einer Medienabteilung eines Atomkraftwerks arbeitet, der hunderttausende Mails am Tag kriegt, diverse Teamsnachrichten, Einladungen, WhatsApps und was auch immer. Und wenn Marvin ein einziges Mal auf einen gut gemachten Phishing -Link klickt, dann ... explodiert das Atomkraftwerk und schaboom Baby alles in Tod und er hat Schuld. Genau. Das heißt, diese eine Awareness -Maßnahme, obwohl wir so viel irgendwie an Fishing -Aufklärung getrieben haben, hat trotzdem dazu geführt, dass hier ein Teil der globalen Lebensfläche ausradiert wurde. Und die Frage ist, kann das sein? Kann das wirklich sein, dass unsere Maßnahmen wirklich auf das

Eva: Er hat Schuld.

Nermin: abzielen, dass jemand darauf nicht klicken darf und ob das alleine tatsächlich ausreicht. Dann hat er auch ein schönes Beispiel der Hanne Lore gemacht. Das ist die Hanne Lore. Es war jetzt so dieses Beispiel eben, was machen wir an Schulungsmaßnahmen? Wir versuchen, jemanden, der nicht IT -affin ist, der diese IT -Mittel nutzen muss für seine tägliche Arbeit, ihm auch zu klären, dass es doch eigentlich ganz einfach ist, Phishing zu erkennen, indem man in seinem E -Mail -Programm, das ist eh schon schwer zu bedienen, dass da noch mal sich irgendwelche Header anschauen muss und dann sich irgendwelche Domains raussuchen muss und mal irgendwie nach dem Origin der Mail zu gucken und ob irgendwelche Domains Rechtschreibfehler haben. Ist es tatsächlich realistisch, das von jemandem zu erwarten, der dieses Mittel nur nutzt, seine tägliche Arbeit zu machen und irgendwie zu korrespondieren, statt irgendwie Analyse zu treiben? Und das ist das, für mich bringt dieser Artikel, dass das auf den Punkt... dass wir dieses ganze Security -Awareness -Thema zu einem reinen Phishing -Thema verkommen haben lassen. Dass es gar nicht mehr darüber geht, irgendwie auf zu klären über warum und weshalb und was bringt es uns denn, und von was bewahrt uns das, statt einfach nur zu sagen, du musst einfach nicht drauf klicken. Ist es wirklich so einfach? Machen wir es uns so einfach?

Eva: Hehehe.

Eva: Ja, also ich kenne ja nun auch, also beruflich bedingt, tatsächlich ja nun auch sehr, sehr, sehr viele Awareness -Kampagnen und ich habe richtig coole gesehen. Ich hoffe, dass wir in der Zukunft auch mal den ein oder anderen Vorreiter aus der Community hier auch einladen werden und der auch Bock hat mitzumachen. Aber ich meine, am Ende des Tages, genau das Beispiel der Hannelore ich habe das, die technischen Erklärungen, ich übertrage es nicht, aber... Ich stelle jetzt mal eine ganz ketzerische These auf und zwar ich war auf einem Event und da habe ich erst gedacht, was ist das denn? Also mittelständisches Unternehmen hier in Deutschland und ich war dann noch für ein Vendor unterwegs und dann ging es so darum zu ermitteln, wie viele Mitarbeiter dann überhaupt da Technik nutzen und so weiter. Und hatte also der Sicherheitsbeauftragte mir auch glatt geantwortet und gesagt, du also. Bei uns haben wir nur drei E -Mails und im Grunde genommen haben wir alles aufs Minimum runtergefahren, weil das war im Baubereich ein Betrieb, wo man aber wirklich effizienter mit Sicherheit auch durch Technologieeinsatz arbeiten könnte. Ich meinte, wir haben bewusst entschieden, dass wir uns lieber analog hier bewegen, weil die Sicherheitsrisiken, die wir alle haben und was wir alles an Geld ausgeben dafür... uns vor dem, was wir da benutzen, gleichzeitig wieder zu schützen, nebst das das keine Sau versteht, weil die gar nicht vom Fach sind, erlauben wir es gar nicht. Und ich war so, das kann ja wohl nicht sein, aber das ist eine wahre Geschichte. Und das ist ein Mittelständler, also mit 100 Mitarbeitern, wo drei Leute E -Mail haben dürfen. So, damit war das Problem gelöst.

Nermin: Tja.

Nermin: Das funktioniert auch nur in Deutschland, weil wir nach wie vor das Fax haben, womit dieses Unternehmen wahrscheinlich seine Aufträge kriegen kann. Und das am besten auf Thermopapier, damit es sich... Genau. Funktioniert laminiertes Thermopapier? Ich glaube nicht, oder? Ich glaube, das wird dann relativ schnell als verschlüsseltes Fax gelten. Aber das ist eben so der Punkt. Statt irgendwie zu sagen, okay, wir...

Eva: Ja! Was wir laminieren, hoffentlich. Ich weiß es nicht, nein.

Nermin: dieses Risiko als Chance zu nehmen, dass wir uns ja besser aufstellen müssen, wir müssen mit unseren Unternehmen auch standhalten, wir müssen ja irgendwie neue Aufträge zu bekommen, uns ja visibler machen. Einfach dann zu sagen, wir machen das andersrum, wir gehen zurück, Stift und Papier und arbeiten halt so weiter. Und es gab auch mal diesen Kommentar von wegen, was soll ich machen, wenn die Leute einfach keinen Bock dazu haben, sich da zu involvieren. Und... Ja, die gibt es, aber was kann man da machen? Man kann natürlich in sentives machen oder irgendeine Art von Anerkennungsprogramm. Und das muss ja nicht immer monetär sein, aber irgendwie irgendwas, wo man auch diese Leistung und diese Zeit und Aufwand halt irgendwie auch von den Mitarbeitern anerkennt und den Dank dafür, dass er ein Teil dieser Security -Wertschöpfungskette ist. Und ich glaube, was viel öfter halt einfach nicht passiert ist, dass man hier dieses Lead by example, dass du also irgendjemanden im Unternehmen ganz oben das halt auch vorlebt und sagt, okay, uns ist das auch nur ein Wert, es ist nicht so, dass wir das euch nur aufobstruieren, wir wollen es auch leben und das tatsächlich ganzheitlich zu machen. Und es wird immer noch die Leute geben, die es nicht machen wollen, aber gerade wenn ich das irgendwie als Initiative baue, werden diese Leute, und ich glaube immer noch, dass es nur wenige sind, halt dann irgendwie auch visibel, das heißt, ich weiß, wo die Leute sind. in welchen Verantwortungsbereichen diese Leute sitzen, die so agieren und so denken. Und dann kann ich das Risiko für mich auch bewerten. Was bedeutet dieser Mitarbeiter, der permanent keine Lust hat, für mich als Unternehmen Risiko und kann mit dem versuchen, einzeln zu sprechen. Was Sie meinen damit ist tatsächlich, diese Sichtbarkeit zu erlangen. Wo sitzen denn diese Leute? Warum sind es die Leute, die keine Lust haben? Woran liegt es? Ist es tatsächlich wirklich diese Policies oder hindert Ihnen das irgendwie? Das heißt auch ... in dieser Kommunikation und mehr die Kollaboration fördern mit diesen Leuten und wirklich dann Fragen geben, was wäre denn eine Maßnahme, die dich motivieren würde, das zu tun, statt immer in Richtung von Punischment zu gehen? Wie kann ich die bestrafen, die diejenigen, die es nicht machen?

Eva: Ich sehe das so, jemand, der sich wirklich einfach verweigert, trotz wiederholter, sag ich mal, Aufforderung. Da hast du keine Wahl, irgendwann musst du auch nicht... Weil manche Sachen sind halt auch einfach so, wie sie sind, wie im Privatleben auch. Wenn ich das dritte Mal zu schnell gefahren bin, auch wenn es keinen Sinn macht für mich, dann irgendwann muss ich halt die Strafe zahlen und so sehe ich das da auch. Manche Sachen musst du... Das ist halt auch das Leben... Du sollst natürlich im großen Teil sagen, warum sind Dinge so, aber manche Dinge sind dann auch nicht mehr im Verhältnis, sie auch nochmal das Warum und wieso, weshalb und das durchzusprechen. Da finde ich, darf man auch aus Security -Sicht auch sagen, so das ist jetzt gerade einfach so. Und dann, wenn jemand das ignoriert, finde ich schon auch eine Maßnahme einleiten, weil das ja auch ein großes Ganzes gefährden kann. Nichts, dass du trotzt, das stimme ich dir 100 Prozent zu. Es ist ja so, und das ist auch schon immer so, es ist bei Kindern wieder, du hast die Analogien überall hin. Ja, also wenn ich dir erkläre, warum es nicht so cool ist, Süßigkeiten zu essen und dir auch eine Alternative hinstelle, die viel gesünder ist für dich und du vielleicht auch dann erfahren und lernen und erleben kannst, dass es für dich besser ist, dann... haben die ja durchaus Bock ihr Verhalten anzupassen. So und ich glaube, ob Kind oder auch wenn man größer ist, ist eigentlich immer das Gleiche, auch als Erwachsene, junge Erwachsene. Wir wollen natürlich verstehen, warum das so ist, gerade wenn es Aufwand macht oder erstmal unbequemer ist. Und ich hatte, ich finde ein Beispiel ganz cool, das hat mich selber beeindruckt, weil ich es damals nicht wusste. Ich habe, wenn du auf deinem iPhone und wenn du ein Foto schießt, ein ganz normales und das nicht vorher deaktivierst, dann hast du ja ein GPS -Daten darauf gespeichert. Und da habe ich gedacht, also ich habe da selber so ein praktisches Labor gemacht und dann ist mir erst klar geworden, was das eigentlich fürs alltägliche Leben bedeutet, weil ich eine Sicherheitseinstellung quasi für mich nicht vornehme, auch privat, nämlich ich verzichte auf den Komfort vor,

Eva: Zum Beispiel, dass ich in meiner Fotosuche alle Fotos aus Spanien, dass ich das lieber abschalte, weil sobald ich zum Beispiel in sozialen Medien unterwegs bin, Und Klassiker, junge Leute lernen sich über Tinder kennen, über Facebook, über was weiß ich was, über Insta, TikTok, keine Ahnung. Und tauschen einfach Bilder aus und denken, sie sind aber trotzdem an sich anonym, dass, wenn sie das nicht beachten und das verschicken, dass das Gegenüber, das Unbekannte im schlechtesten Fall weiß, wo du wohnst, weil du gerade dort dein Bild geschossen hast. Und das sind so Beispiele, die finde ich halt so hilfreich, weil sie einfach auch... privat totale Relevanz haben und ich mich davor bewahren kann. Ja, es ist ein bisschen unbequemer in der Suche, aber wenn ich halt solche Medien benutze, dann sollte ich das vielleicht doch auch deaktivieren, ja, und muss halt auch nochmal anders durch meine Fotos suchen gehen.

Nermin: Das ist halt wieder so dieser Fluch und Segen Wenn man es jetzt aus der Privatsphäre sieht, wäre das wahrscheinlich lohnenswert, sowas irgendwie abzuschalten. Wenn man es auf der anderen Seite sieht, sind einiges an kriminellen Vorfällen, Situationen tatsächlich aufgelöst worden, weil man Zugriff auf diese Metadaten hatte, weil man aus Bildern sehen konnte, wo irgendwelche Sachen passiert sind und dann durch tatsächlich... auch Kriminelle vorgeführt hat oder gefunden hat, indem man diese Daten mit ausgewertet hat, weil man diese Möglichkeit eben auch hat, den irgendwie zu verfolgen und zu finden, wo der ist. Und das ist ja gerade bei diesen ganzen Cyberkriminellen, diese ganzen Gruppen, irgendwo gibt es immer einen und man sieht das bei diversen Ransower -Gruppen, die kürzlich erst irgendwie so ausgehebelt worden sind, hat man die Leute oft auf diesen Weg gefunden, weil der Typ sich dann irgendwo auf den Malediven

Eva: forensisch.

Nermin: auf einem Pool irgendwie gefeiert hat, wie viel Kohle er da irgendwie gemacht hat, hat man ihn halt dann auch gefunden, dass er halt an Bord ist und konnte ihn halt dann finden. Und das ist, ja, das ist halt Technologie. Es ist Fluch und Segen. Das ist Fluch und Segen. Je nach dem, es wird immer, und das sieht man bei diesen Themen mit A .I. ja auch, Kriminelle sind immer schneller in dem Adaptieren von diesen neuen Sachen, weil sie schneller diesen Vorteil für sich finden.

Eva: Das ist spannend!

Nermin: Statt die normalen, die erst mal skeptischer sind und das irgendwie langsam machen. Und dadurch verlieren wir quasi einfach so an Zeit, weil die anderen nutzen das, was effektiver und schneller geht. Und wir könnten das gleiche nutzen, präventiv besser zu werden. Aber wir glauben dem erstmal.

Eva: Ja du, das ist ja, da sprichst du ja, weißt du ja, mein Herzensthema an. Das hat mich ja in unserer Branche schon oft auch geärgert, ganz generell. Das ist jetzt vielleicht dann auch doch nur wieder bedingt für jedermann, aber Also welcher Hacker macht halt erstmal ein Zertifikat und geht mal kurz zum Training zwei Tage und sagt: "So, jetzt plane ich hier nach genau dem Playbook meinen Angriff". So läuft das ja nicht. sondern... Das sind praktisch fitte Leute, die den ganzen Tag nichts anderes machen als von den Besten. Inzwischen kann es ja auch in YouTube, es gibt überall Erklärungen für etliche kriminelle Handlungen, wenn du sie machen möchtest. Der Zugang ins Darknet ist einfach. Selbst in Drogenkurier kann ich mir theoretisch, wenn ich mein Telegram öffne und nicht deaktiviere die Umgebung, da sind die sichtbar. Also das ist so einfach. Und wir sagen... Weil wir das irgendwie so gelernt haben, eher noch von früher, so wie im, ich sag immer so schön, im Mittelalter, so. Da hatte ich nicht die Information alle direkt zur Hand, sondern da musste ich ja Sachen auch wirklich dann so auswendig lernen und so was alles. Und dann gehe ich in so ein Training, mache am besten noch ein Multiple -Choice -Zertifikat. So, und dann soll ich jetzt plötzlich befähigt sein. Wie soll man denn so den Kriminellen gegenüber standhalten können? Das ist jetzt aus Unternehmensbrille wieder, wo das ja auch wirklich richtig, also da tun mir auch die Leute einfach leid, weil es einfach schwer ist, sich dagegen zu bäumen mit dem Umfeld, was du da gestellt bekommst. Ich finde, das muss noch viel, viel praktischer sein und viel realitätsnaher, dass du auch eine Chance hast, dich irgendwie darauf vorzubereiten.

Nermin: Ja, und da würde ich tatsächlich gerne auch wieder dieses Beispiel von dem LinkedIn -Artikel, den wir gerade gesagt haben, von dem Marvin, der in dem Atomkraftwerk arbeitet. Und ich glaube, es ist einfach dieses Narrativ, das sich da irgendwie so gebaut hat, dass das Atomkraftwerk explodiert, nur weil Marvin auf die Mail geklickt hat. Und eigentlich nicht die ganze Geschichte erzählt, weil... Man kann nicht verhindern, dass hier jemand vielleicht auf eine Mail klickt. Beziehungsweise, dass was dahinter nach Marvin steht, sollte in der Lage sein, wenn der Marvin draufklickt, dass es abgefangen wird. Deswegen in dieser ganzen Angriffssfläche ist Marvin nur der Einstieg. Das, was dahinter ist, ist das, was eigentlich verhindert werden müsste. Und nicht, dass Marvin zwangsläufig auf diese Mail klickt oder nicht klickt. Das dahinter muss stabil genug sein, so was zu erkennen. da hat jemand was draufgeklickt und da passiert irgendwas Komisches. Und so ist es auch in der Realität. Es ist nie so, kein Angriff passiert, in dem nur jemand auf eine Mail klickt, sondern diejenigen, die das rausrecherchiert haben, und das sind Recherchen, die über Monate und Jahre gehen, was dieses Atomkraftwerk angeht, was ist denn hinter Marvin denn noch? Wie kann ich das, was hinter Marvin ist, noch umgehen, damit ich tatsächlich das Atomkraftwerk zum Explodieren bringen kann? Das heißt, Marvin ist für

Eva: Das war viel Recherche.

Nermin: Das ist viel Recherche und oft über vielleicht auch Insiderwissen oder ähnliches. Aber das ist nicht so, dass einfach nur Marvin auf irgendwas klicken kann. Im Idealfall klickt er drauf und es passiert nichts. Aber wieder, man will ja versuchen, da irgendwie auch weiterzukommen, was hinter Marvin ist. Und deswegen erzählt man, und das ist keine Ahnung, ob das aus diesen ganzen Filmen kommt, wo man dann irgendwelche Hacker sieht und irgendwelche Fireball zu überwinden und ach, ich bin drin. Und dann ist alles offen und ich kann alles machen. Es gibt Unternehmen, wo sowas der Fall ist.

Eva: Stimmt.

Eva: Hahaha!

Nermin: Aber das ist tatsächlich nicht der Regelfall. Deswegen, das, was dahinter kommt, ist viel Arbeit. Und dadurch, dass es für den Angreifer viel Arbeit ist, gibt es dem Unternehmen auch viel Zeit, so was frühzeitig zu erkennen. Das heißt, es passiert nicht innerhalb von Sekunden, sondern es geht vielleicht über ein paar Tage, Wochen, vielleicht sogar über Jahre, bis man tatsächlich dahin kommt, wo man eigentlich hin will, irgendwas irgendwie zu nehmen oder ... kaputt gemacht, es ist irgendwie schnell. Aber das ist nicht die Geschichte, die man einfach erzählt, sondern man blämt Marvin dafür, dass das Ganze passiert ist. Aber man stellt nicht in Frage, was hinter Marvin war. Warum hat denn das Unternehmen nicht auf bestimmte Maßnahmen reagiert? Warum ist denn so eine Anomalie nicht erkannt worden, dass Marvin sein Rechner auf einmal an irgendwelchen Atomkraftwerkventilen, es jetzt ganz plakativ zu sagen, halt irgendwie rumfuscht, sollte ja eigentlich passieren. Und deswegen die Ganzheitlichkeit.

Eva: Ja, und das ist halt genau dieser Interessenkonflikt, und den kann ich halt auch verstehen. Du hast halt, wie das meinte ich, auch dieses mangelnde Verständnis von unterschiedlichen Abteilungen. Also die Security wird daran gemessen, dass eben alles sicher ist, so, dass nichts passiert. Dafür braucht die Security ihre Leute. Deshalb sagt die Security, das kann ich auch verstehen, ja, so mein Gott nochmal, warum machen die denn einfach nicht mit, wenn dann doch so was kommt, ja. Und helfen uns sozusagen, das ist doch so simpel, weil das natürlich in deren Welt ganz simpel ist. Für Analoge aber nicht. So. Und so, glaube ich auch, ist auch ein großer Schlüssel. Und da kannst du wieder eine Analogie auch ins Private schlagen, ist halt wirklich diese Empathie wieder, ja? Also dieses Verständnis füreinander. Das ist auch nebenbei Security unabhängig sogar, finde ich. Also dieses Verstehe -doch -mal -was den anderen wichtig ist und der andere idealerweise auch, was für dich wichtig ist. Und dann versucht man, einen gemeinsamen, einen gehbaren Weg zusammen zu finden. Und das ist, wenn du als unterbesetzte Security -Team da hängst und die Geschäftsführung, sag ich mal, Investitionen vielleicht auch nur bedingt gerne so machen möchte, kann ich emotional sozusagen schon auch solche Aussagen. nachvollziehen. Ja, also sagen, Mann, also mach doch einfach mal mit. Und die anderen sagen, ey, ihr behindert mir immer nur mein Leben. So. Und da wäre irgendwie schön, wenn man da mal so eine Brücke schafft zu schlagen und da auch mehr Verständnis einfach füreinander erzeugen kann. Da würde, glaube ich, schon viel geholfen sein.

Nermin: Man kann ja nicht nur sagen, mach doch mal mit, sondern man muss ihnen erklären, warum es sinnvoll ist, dass er auch mitmachen würde und dass er nicht in Grunde genommen nicht alleine ist oder dass das ein Teil von dieser ganzen Kette sein sollte. Deswegen meinte ich jetzt, wenn man braucht halt da eine, letztens habe ich tatsächlich auch mal darüber geschrieben und mal darüber diskutiert, was ist denn der Unterschied zwischen ein Plan haben und eine Strategie haben.

Eva: Mhm.

Nermin: einen Plan haben, das macht man schnell. Man spricht oft von irgendwelchen Incident Response Plans und wenn das passiert, dann machen wir das.

Eva: Halt, warte, was? Warte, warte, jetzt haben wir normale Hörer. Was ist ein Incident Response Plan?

Nermin: ja, dann soll ich mal eine eigene Sendung über Buzzwords machen. Incident Response Plan ganz kurz einfach so eine Art Plan. Was mache ich, wenn irgendwas passiert? In dem Fall, wenn ein Vorfall passiert, wie ist meine Antwort auf diesen Vorfall? Und diese Pläne sind halt oft so ein bisschen Bullet Points. Das ist passiert, also machst du als nächstes das. Wenn du das gemacht hast, machst du jenes. Und wenn das passiert ist, machst du vielleicht das noch. Und sollte das alles nicht funktioniert haben, dann brauchst du jemand, der dir den neuen Plan schreibt.

Eva: Ja.

Eva: Okay.

Eva: Also so.

Eva: Also so ein bisschen wie, okay, das Haus brennt und ich muss raus, ja? Und ich weiß, was zu tun ist. Okay, alles klar.

Nermin: Falls du weißt, wo dieser Plan überhaupt ist.

Nermin: In jedem Unternehmen sieht man es auch. Neben jedem Feuerlöscher steht drin die Reihenfolge der Meldekette. Was musst du machen? Und das ist in Grunde genommen so eine Art Incident Response Plan. Wenn es brennt, kannst du mit dem Feuerlöscher versuchen zu löschen. Ansonsten schau, dass du in Sicherheit kommst, wähl den Notruf und erklär genau, was passiert ist. Und das ist so der, kann man sagen, der Incident Response Plan im Fall von Feuer. Aber in dem Fall ist es tatsächlich dann auch so, dass man vielleicht so einen Plan hat.

Eva: Stimmt. Ja. Okay.

Eva: Okay cool.

Nermin: und der vielleicht sogar noch durchgespielt ist. Aber wenn die Leute nicht verstanden haben, dass sie zu dem Thema einen Plan haben, aber keine Strategie, indem man den Leuten erklärt hat, warum hat man denn diesen Plan? Und wer ist denn tatsächlich alles involviert in diesem Plan und warum sind sie involviert und wer macht was tatsächlich daraus, dass es Teil unserer Strategie ist? Marvin klickt nicht auf die Mail, sollte er aber auf die Mail klicken und du das und das erkennst, dann wäre die folgenden Sachen das, was du machen musst. ruft die Feuerwehr, sperr Marvin ein oder was auch immer. Aber in Grunde genommen, tatsächlich diese Abfolge, es ist immer gut Pläne zu schreiben und man kann ja Pläne kaufen. Das ganze Internet ist voller Pläne. Du hast ja die YouTube University auch gesagt, auch da wird irgendwie erzählt, wie man Internet Response macht. Aber alles Plan ohne Strategie. Und deswegen und Strategie bauen halt nicht die Leute. Das baut nicht die Handelore und das baut nicht den Marvin, sondern irgendjemand drüber muss sagen, das ist Was es uns wert ist, dass es Teil unserer Strategie ist, dass wir Leute aufklären, warum es blöd ist, auf Mail zu klicken, aber nicht ihnen so viel Angst machen, dass im Grunde genommen die Welt nicht mehr existiert, nur weil er danach auf die Mail geklickt hat, sondern dass es Maßnahmen gibt, die wir gemeinsam schaffen, Technologie, Mensch, aber wirklich als Strategieeinstellung und nicht als Maßnahme. Wer hat eine letzens geschrieben? Du kannst mit der Gießkanne nur Bäume gießen, aber keine Pflanzen. Und das finde ich tatsächlich so, du kannst es nicht einfach nur nur nur streuen und sagen einfach mit der Masse und denken, dass du damit deinen Garten bewässerst, nur weil du irgendwie nur deinen eigenen Baum da gegossen hast und du gehst keine, sondern das muss halt sehr gezielter halt irgendwie sein. Und dieses ganze Thema der Security Awareness weg von diesem Thema Fishing und mehr in die Richtung Aufklärung als Unternehmen. Warum ist wichtig ist fürs Unternehmen und warum es dir, liebe Mitarbeiter, auch wichtig sein sollte, ein Teil dieser Verteidigungsstrategie zu sein und nicht nur eine. die Schlüsselmaßnahme zu sein.

Eva: Das ist doch ein sehr schönes Schlusswort, lieber Nermin Und ich würde gerne in der nächsten Folge mit dir, weil ich finde, dass es da auch wichtig ist, dass wir uns in der nächsten Folge mal darum kümmern oder darüber sprechen, wie ist denn das eigentlich überhaupt möglich? Also Aufwand -Nutzen -Verhältnis, Kosten Nutzen, wie kann ich sowas umsetzen? Ich bin ein Konzern, ein kleines Unternehmen, das wird sicherlich auch Unterschiede bedeuten. oder ich bin eine Familie und möchte gerne ein paar Regeln zusammen aufstellen. Da würde ich mich freuen, wenn wir das in der nächsten Folge zusammen besprechen. Und ja, ich hätte noch was, ein bisschen Housekeeping nächste Woche, bin ich auf der Take -Aware. Und freue mich, euch da zu treffen. Vielleicht ist ja der eine oder andere Hörer von euch auch vor Ort. Und ich werde Ausschau halten nach dem Cyberwellness Ambasadorin des Events. Also, wer schaut, wer schafft es, Security -Themen auch verständlich mit viel Herz und Engagement zu transportieren. Und ich dann versuchen, worum das ist, die Person zu cashen und ein paar Worte zu entlocken.

Nermin: Ja, es ist schon schade, dass du kommst nach München und ich bin nicht da. Das ist wirklich enttäuschend. Da hätte man, wir sehen mal, mal eine Live -Folge aufnehmen können. Mal mit dem verrückten Mikrofon durch die gegen laufenden Leute über das Thema interviewen. Aber du wirst das schon machen. Ich bin im Urlaub, ich entspann mich. Von daher freue ich mich mal auf die nächste Folge. Und ja, wahrscheinlich...

Eva: Ja, das ist ein Trauerspiel. Ja, stimmt.

Eva: Herrlich!

Nermin: vielleicht ein anderes Feedback, was wir bekommen haben, dass mein Redeanteil immer größer ist als der von Eva. Ich verspreche hiermit hoch und heilig, wir werden das ändern.

Eva: Eheh.

Eva: Nein, wir wollen dich genauso weiter hören. Alles ist super. Also, lieber Nermin ich wünsche dir einen wunderschönen Tag. Vielen Dank, liebe Hörer. Vielen Dank für eure Zeit.

Nermin: Danke auch von meiner Seite. Bis zum nächsten Mal. Englisch:

Eva: ...and welcome to the second episode of the Cyber Wellness Podcast, Season 1: Humans Against Cyber. Hi, dear Nermin.

Nermin: Hello, dear Eva!

Eva: Here we are again. It happened faster than expected. Last week was really fun. How have you been?

Nermin: Yay!

Nermin: Yes, indeed. We had a few attempts, and we both realized we are not script people. Things need to flow naturally for us. So, that was really nice. I was more than surprised by the feedback. I guess we will go into detail at some point. But for everyone disappointed, I am back on the podcast with Eva.

Eva: Yes.

Eva: Not at all. I received so much positive feedback about you. So first, dear community, thank you very much. I found it really great that you responded so enthusiastically. It’s a joy that you’re participating and sending congratulations. The best thing, actually, I have to say upfront, is that what we are partially dreaming of... is happening: regular people, not just those from the security sector, are excited to listen to our podcast. For example, my two friends, greetings here to Julia and Nadja, who are really not, I say this openly, tech-savvy or in IT at all, understood it and we started discussing Cyber Wellness. I found that so cool. It really made me happy. So, that was really nice.

Nermin: Isn't that great? That’s exactly what we wanted to achieve. I’ve had similar feedback from my side, dear friend. People found the topic we discussed resonated with them, especially those who find the whole digital subject rather suspect and difficult. They approach it from a perspective of fear, which makes them inhibited and quickly annoyed by the topic, feeling represented by what we talked about. And to take it further, who makes it to place 34 in Apple Podcasts with their first episode? So, many, many thanks to everyone who listened.

Eva: In the technology category, to add. Not overall, but it’s great. Really great. Cool. So, I’d actually like to directly respond to some listener feedback because you are the most important, you listeners. I received a message here.

Nermin: Yes, not overall. That would be the next pinnacle, but we’re getting there.

Eva: Which I found really nice because it immediately addressed one of our images from the last episode. Do you want to briefly recap that so we’re back on track?

Nermin: Yes, gladly. I had painted a picture, an audio picture, about how we handle security in companies and the topic of firewalls. I drew a parallel to the castle walls we used to have and the open windows and doors at home, suggesting it should be as common sense to lock doors and windows. And there was a listener who challenged us a bit on that.

Eva: Exactly, I’ll read it here. I received the following message: "I find the house example difficult and often, unfortunately, the user is to blame. I often wonder why people who have a conservatory without locks or basement windows from ages ago would spend several thousand euros on a burglar-proof front door. There's a lot of feel-good actionism involved. But if people don't care, what can you do? I recently read that many teenagers today don't know that a smartphone is just a regular PC. A development similar to what my parents' generation experienced with the TV."

Nermin: Well, you can say that what was said is correct. And somehow, it’s not. Hence the controversy. I'll start with my thesis, and feel free to challenge me. But I don't think you can always blame the user.

Eva: I will.

Nermin: What I tried to convey last time is about being holistic, and by holistic, I mean...

Eva: Wait, wait, he wrote "often." Often, not always. Often, the user is to blame.

Nermin: Yes, but even often, as I said, quantifying can be tricky. The problem is that things are not managed holistically. Measures are taken one-sidedly. And people who spend four-figure sums on burglar-proof doors but have conservatories and basement windows are not informed. I’m convinced they haven’t been informed that this could be part of the attack surface. That people don’t just come through the door but might take the path of least resistance. Maybe it's a conservatory or a basement door or whatever. They just haven't been informed that this could be a problem. Or, and this parallels our industry, they were informed in a way that no one told them they need to spend four figures on a door for security because someone wanted to sell the door. That’s why I say we can't blame them. It’s a blame game we shouldn't get into. Instead, it’s about education and setting examples. Before drawing such a parallel, one should inform them about potential house break-in methods. how it might look and which way they might take, then people are sensitized, they understand, and they will certainly take measures because it's about protecting their own house and value. And I think that’s something we should convey back to companies, not just saying, "What can I do if company data is lost, it’s not my data." I believe that we should see it as part of our own, not just someone else’s problem. And we would be more motivated to protect it because I want to keep earning my salary, I want to have a good time at work.

Eva: Hmm.

Eva: You could open another can of worms here, but we might digress too much. My classic "it's Monday and finally Friday" problem, which I keep finding, where I say, okay, a job should be somewhat enjoyable and have some identification. So, I like what you say. Again, what does this actually mean for me? This... What is in it for me? I like to use this phrase often because, to stay with the listener example, maybe it’s okay for me to go through the effort of unlocking a heavily secured door and multiple locks. Because I have my shopping bag or something, but I don’t want to deal with it in my garden. I just want to go in and out easily for gardening or so the kids can play outside. I want it to be simpler. My routine isn't designed for such complications. And then we are back in the company. How complicated are the policies? How close to real life are they? What is my risk assessment? But... What I found really cool, Nermin, and I would like you to share this because I had to laugh, is that, again, it's about not being informed. And I found it so funny when you told me about the LinkedIn article. Can you share that because I found it so cool with Hannelore, dear Hannelore?

Nermin: Sure, it fits nicely with this whole story and what measures we take to mitigate this. Dr. Michael Gschwender shared a nice article on LinkedIn, alias Root Cat, which I find really cool. In the article, he beautifully described the topic and the blame game we play. He conducted a thought experiment. About Marvin, who works in the media department of a nuclear power plant, receiving hundreds of thousands of emails a day, various team messages, invitations, WhatsApp messages, and so on. If Marvin clicks on a well-made phishing link once... the nuclear power plant explodes, and boom, baby, everyone is dead, and he is to blame. Exactly. Despite all the phishing awareness measures, it still led to the annihilation of part of the global living area. And the question is, can that be? Can it really be that our measures aim at preventing someone from clicking on a mail and whether that alone is enough? He also provided a nice example with Hannelore. That’s Hannelore. The example was about our training measures. We try to explain to someone who is not IT-savvy but has to use IT tools for their daily work that it's really simple to recognize phishing by... checking headers in their email program, which is already hard to use, looking at domains, and checking for spelling mistakes. Is it realistic to expect someone to do that, someone who uses these tools just for their daily work and correspondence, rather than for analysis? This article perfectly illustrates that our security awareness topic has degenerated into a purely phishing topic. It’s no longer about educating on why and what benefits it brings and what it protects us from, but just about saying, "Don’t click on the link." Is it really that simple? Are we making it that simple?

Eva: Hehehe.

Eva: Yes, I know many awareness campaigns professionally, and I have seen some really cool ones. I hope we can invite some pioneers from the community here in the future, those who are eager to participate. But in the end, exactly the example of Hannelore, I translate it technically, but... I’ll make a very provocative thesis now. I was at an event and initially thought, what is this? A medium-sized company in Germany, and I was there as a vendor, and we were discussing how many employees use technology and so on. The security officer told me bluntly, "You see, we have only three emails, and we have minimized everything because it’s a construction company where we could work much more efficiently with technology." But he said, "We decided to stay analog because the security risks and the money we spend on protection, besides the fact that no one understands it because they are not experts, we don't allow it." And I was like, "That can’t be true," but it is a true story. This is a medium-sized company with 100 employees, where only three people are allowed to have email. And that solved the problem.

Nermin: Tja.

Nermin: That only works in Germany because we still have the fax machine, through which this company probably receives its orders. And preferably on thermal paper, so it... Exactly. Does laminated thermal paper work? I don’t think so, right? I think that would be quickly considered encrypted fax. But that’s the point. Instead of seeing the risk as an opportunity to position ourselves better, to withstand, to get new orders, to make ourselves visible, we simply say, "We’re going back to pen and paper." And there was a comment, "What can I do if people simply don’t want to get involved?" And... Yes, there are those people, but what can you do? You can create incentives or some form of recognition program. It doesn’t always have to be monetary, but something that acknowledges and appreciates the effort and time employees put in, recognizing them as part of the security value chain. And often, what doesn’t happen is this "lead by example" approach, where someone at the top of the company also lives it, saying, "This is important to us, not just something we impose on you. We want to live it too." And actually doing it holistically. There will always be people who don’t want to do it, but when I build it as an initiative, those people will become visible. I will know where these people are. in which areas of responsibility these people are who act and think like this. And then I can assess the risk for myself. What does this employee, who consistently doesn’t want to participate, mean as a risk for me as a company? I can try to talk to them individually. What they mean by that is actually gaining visibility. Where are these people? Why are they the ones who don’t want to participate? Why is that? Is it really the policies, or is it something hindering them? This means fostering more communication and collaboration with these people and really asking, what would be a measure that would motivate you to do this, instead of always going towards punishment? How can I punish those who don’t comply?

Eva: I see it this way: someone who really refuses repeatedly, despite reminders, well, at some point you have no choice. Some things are just the way they are, like in private life. If I speed three times, even if it doesn’t make sense to me, at some point I have to pay the fine. And I see it the same way. Some things you... Of course, you should explain why things are the way they are, but some things are beyond explaining why and discussing it again. I think, from a security perspective, you can also say, "This is just how it is." And if someone ignores it, I do believe a measure should be taken because it can endanger the bigger picture. But I agree with you 100%. It’s the same with children; you see the analogies everywhere. If I explain why it’s not cool to eat sweets and also provide an alternative that is healthier for you, and you might experience that it’s better for you... then they are quite willing to adapt their behavior. And I believe whether as a child or an adult, young adults, it’s always the same. We want to understand why, especially if it involves effort or is initially uncomfortable. And I think an example is really cool, which impressed me because I didn’t know it at the time. If you... take a photo with your iPhone, a normal one, and you don’t disable it beforehand, it will have GPS data stored. And I thought, I did a practical lab on this and then realized what it means for everyday life if I don’t adjust security settings, even privately. For example, I forego the convenience of... searching all photos taken in Spain because I should perhaps disable that feature if I use social media and share photos. Because when young people meet via Tinder, Facebook, Instagram, TikTok, whatever, and exchange pictures thinking they are anonymous, the other person, the stranger, could know where you live because you took the photo there. These examples are helpful because they have total relevance in everyday life, and you can protect yourself. Yes, it’s a bit inconvenient for searching, but if you use such media, you should perhaps disable it.

Nermin: That’s again the curse and blessing. If you look at it from a privacy perspective, it’s probably worthwhile to disable something like that. On the other hand, many criminal cases have been solved because you could access these metadata from pictures, see where things happened, and track down criminals using that information. This has happened with many ransomware groups that have been busted recently because someone celebrated how much money they made by posting a poolside picture from the Maldives, and that’s how they were caught. So, it’s technology. It’s a curse and a blessing. Criminals are always faster to adapt these new things because they see the advantage.

Eva: Forensics.

Nermin: Forensics, yes. We, on the other hand, are more skeptical and slower to adopt. And we lose time because others use what’s more effective and faster. We could use the same technology to be more preventive, but we don’t trust it initially.

Eva: Yes, you’re touching on my favorite topic. It’s something that has often annoyed me in our industry. This may not be for everyone, but... No hacker takes a certification course and says, "Okay, now I’ll plan my attack exactly according to the playbook." That’s not how it works. Instead... These are practically skilled people who do nothing all day but learn from the best. You can find explanations for many criminal activities on YouTube. Access to the dark web is easy. Even as a drug courier, I can theoretically open Telegram and, if I don’t disable location, see them. It’s that easy. And we say... Because we learned it that way from the past, in the Middle Ages, where information wasn’t readily available and had to be memorized. Then I take a training course, best with a multiple-choice certificate. So, now I’m supposed to be competent. How can we stand up to criminals that way? That’s from a company perspective, where it’s hard to defend against the environment you’re given. It needs to be much more practical and realistic so you have a chance to prepare.

Nermin: Yes, and I’d like to refer again to the LinkedIn article about Marvin in the nuclear power plant. It’s just this narrative that the plant explodes because Marvin clicked on a mail. It doesn’t tell the whole story because... You can't prevent someone from clicking on a mail. What’s behind Marvin should be capable of catching it. Marvin is just the entry point. The real work is in what’s behind Marvin. That should recognize an anomaly and respond. That’s how it is in reality. No attack happens just because someone clicks on a mail. The attackers spend months or years researching how to bypass what’s behind Marvin to make the plant explode. So, Marvin is just the entry point.

Eva: It takes a lot of research.

Nermin: It’s a lot of research, often with insider knowledge. It’s not just Marvin clicking on something. Ideally, he clicks, and nothing happens. But attackers aim to get past Marvin. It’s a narrative built by movies where hackers bypass firewalls and say, "I’m in," and then everything is open. That’s not usually the case.

Eva: True.

Nermin: It’s not the norm. The real work starts after Marvin. That’s why companies have time to detect and respond, not within seconds but over days, weeks, or even years. The focus shouldn’t be on Marvin clicking but on the system recognizing and responding. The holistic approach.

Eva: Yes, and that’s exactly the conflict of interest. I can understand it. Different departments have different understandings. Security is measured by nothing happening. Security needs its people to comply. That’s why security says, understandably, "Why don’t they just comply when something comes up?" And help us, it’s so simple in their world. For non-tech people, it’s not. So, I think empathy is key. Understanding each other. This is true beyond security. Understanding what’s important to each other and finding a workable path together. When an understaffed security team struggles and management is hesitant to invest, I can emotionally understand such statements. "Just comply." And the others say, "You’re just making my life harder." Building bridges and mutual understanding would help a lot.

Nermin: It’s not just "just comply," but explaining why it’s beneficial to comply and that they are part of a chain, not alone. Recently, I discussed the difference between having a plan and having a strategy.

Eva: Mhm.

Nermin: A plan is quick to make. We often talk about incident response plans.

Eva: Wait, what? Wait, wait, now we have regular listeners. What’s an incident response plan?

Nermin: We should have an episode on buzzwords. An incident response plan is a plan for what to do when something happens. When an incident occurs, how do we respond? These plans are often bullet points: if this happens, do that. If that doesn’t work, do this. And if all fails, get someone to write a new plan.

Eva: Yes.

Eva: Okay.

Eva: So...

Eva: Like, the house is on fire, and I need to get out. I know what to do. Okay, got it.

Nermin: If you know where the plan is.

Nermin: In every company, there’s a plan by the fire extinguisher with the chain of command for emergencies. That’s an incident response plan for fire. In this case, it’s a plan, maybe even rehearsed, but without a strategy. People must understand why there’s a plan, who is involved, why, and how it fits into the strategy. If Marvin clicks, and you detect it, what do you do next? Call the fire department, lock Marvin up, whatever. But explaining that the plan is part of the strategy. Plans can be bought online. You mentioned YouTube University; there, you can learn incident response. But without a strategy. Strategy isn’t built by Hannelore or Marvin, but by someone above, saying it’s worth educating people why it’s bad to click on a mail but not scaring them that clicking means the world ends. Measures should be in place behind Marvin, technology, and people working together in a strategy, not just as an action. As someone said, you can water trees with a watering can but not plants. You can’t just scatter it around and think you’re watering your garden. It needs to be targeted. Security awareness should go beyond phishing and educate on why it’s important for the company and employees to be part of the defense strategy, not just the frontline measure.

Eva: That’s a very nice conclusion, dear Nermin. And I’d like to discuss in the next episode how it’s possible at all. Effort-benefit ratio, cost-benefit, how to implement it in a corporation, a small business, or a family setting rules together. I’d love to discuss that with you in the next episode. Also, some housekeeping: next week, I’ll be at the Take Aware event. I look forward to meeting you there, maybe some listeners too. I’ll be looking for the Cyber Wellness Ambassador of the event, the one who can convey security topics with heart and engagement.

Nermin: Yes, it’s a shame you’re coming to Munich, and I won’t be there. That’s really disappointing. We could have recorded a live episode, running around with the crazy microphone, interviewing people about the topic. But you’ll manage. I’m on vacation, relaxing. Looking forward to the next episode. And...

Eva: Yes, that’s a tragedy. Yes, true.

Eva: Wonderful!

Nermin: Another feedback we received is that my speaking time is always greater than Eva’s. I solemnly promise we will change that.

Eva: Hehe.

Eva: No, we want to hear you just as much. Everything is great. So, dear Nermin, I wish you a wonderful day. Thank you, dear listeners. Thank you for your time.

Nermin: Thanks from my side too. Until next time.