Breach FM - der Infosec Podcast | Breaches sind Definitionssache ft. Johannes Kresse

Was ist eigentlich ein Breach? Zusammen mit Johannes Kresse, CEO der sequrium GmbH, startet Robert in ein neues Jahr Breach FM - jetzt wieder alle 2 Wochen! Johannes und Robert hätten heute noch stundenlang reden können, aber leider war heute nicht Wünsch dir was. Trotzdem haben wir einige spannende Fragen diskutiert:

👉 Wieso sind sich viele Unternehmen so unsicher, was die Mehrwerte ihrer Managed SOC Provider angeht?

👉 Mythen rund um “Ihr müsst die Daten aber schon 2 Jahre vorhalten!”

👉 Was sind die Vorteile standardisierter Datenquellen?

👉 Sollten Managed SOC Anbieter offensiver Mindestanforderungen an Unternehmen formulieren?

Vielen Dank an Johannes für seine Offenheit! Wenn ihr Breach FM unterstützen wollt, liked, teilt die Episode und gebt eine gute Bewertung auf der Podcast-Plattform eurer Wahl!

Johannes auf LinkedIn: https://www.linkedin.com/in/johanneskresse/
sequrium GmbH: https://sequrium.com/

Creators & Guests

Host

Robert Wortmann

Guest

Johannes Kresse

What is Breach FM - der Infosec Podcast?

Ransomware Attacken, Phishing oder DDoS - jeden Tag aufs Neue werden Unternehmen Ziel von Angriffen. Was sind die Geschichten dahinter, wie laufen die Attacken ab und wie kann Schaden verhindert werden? Kim und Robert haben tagtäglich Einblicke in die Info Sec Welt und teilen in diesem Podcast mit Euch ihre Erfahrungen. Schaltet ein, wenn ihr regelmäßige Updates zu aktuellen Sicherheitslücken, Diskussionen zu Technologie Trends oder anderen Themen aus der Welt der Info Sec haben möchtet!

Hallo, wie ihr wahrscheinlich gesehen habt oder auch nicht gehört habt,

ich wollte schon sagen gehört habt, haben wir seit einiger Zeit keine neue Folge rausgebracht.

Das hatte schlicht und einfach den Grund, dass sowohl Kim als auch ich eben

besonders November und Dezember einfach komplett überarbeitet waren.

Sagen wir wie es ist, ich familiär, wie auch in der Arbeit, Kim als Incident

Response Koordinator natürlich immer arbeitstechnisch und wir hatten dann noch zwei Absage von Gästen,

die jetzt zum Glück dieses Jahr zugesagt haben, wovon wir eine Folge auch bereits

aufgenommen haben, was uns sehr freut. Es hat einfach nicht hingehauen.

Uns freut es sehr, dass ihr immer wieder nachgefragt habt und auch wirklich

gefragt habt, wie läuft es und kommt es noch? Ja, es kommt wieder.

Es wird nur eine kleine Veränderung geben. Kim hat mich persönlich darum gebeten,

eine erst mal längere Pause von Preach FM einzulegen.

Es gibt kein böses Blut oder sonstiges Kim und ich arbeiten weiterhin täglich

zusammen und tauschen uns über unser geliebtes Tool Microsoft Teams aus das

heißt, wer hier irgendwas.

Blödes reininterpretieren möchte, der kann das gerne machen,

sowas prallt dann uns ja ganz gerne ab, nein, also es ist alles gut,

Kim hat um eine längere Pause gebeten, ich habe.

Völliges Verständnis dafür wie gesagt, ich habe Ende des Jahres auch einfach

eine Pause benötigt Kim hat die sich jetzt genommen, das ist völlig okay und

ich freue mich ich jetzt einfach erstmal auf die neuen Folgen.

Das heißt, wer immer nur ein Fan von Kim war und nur wegen Kim eingeschaltet

hat, der wird eine schwierige Zeit haben.

Die nächsten Folgen werden nämlich auf alle Fälle mit mir und natürlich dann

jeweils einem Gast sein.

Wir haben die ersten drei Folgen bereits aufgenommen. Das heißt,

wir werden jetzt wieder alle zwei Wochen Preach FM veröffentlichen.

Zumindest ist das jetzt das Ziel. Ob das immer klappt,

Das werden wir sehen, aber in der Regel hoffen wir, dass das so funktioniert.

Und ja, es geht jetzt erstmal sonst nahtlos weiter.

Wie gesagt, es ist schade, dass Kim sich jetzt diese Pause genommen hat,

aber es freut mich sehr, dass er sich diese Pause genommen hat und natürlich

gewähren wir ihm als ganze Community das.

Heute werden wir gleich als Thema wieder das Thema Security Operations haben,

so einen kleinen Rückblick auf das letzte Jahr, auch einen kleinen Ausblick

auf dieses Jahr, auf verschiedene Themen rund um, wie effizient ist es denn

überhaupt, wie kann ich die Effektivität von so einem Sock vielleicht auch messen.

Wir haben so ein bisschen über die ganze Definition, was ist überhaupt ein Vorfall

geredet, mit einem ganz spannenden Gast, der ja auch schon mal war,

der sich aber gleich selbst vorstellen wird.

Genug geredet, wir springen rein in die Folge.

Ja, willkommen zurück. Erste Folge Breach FM im Jahre 2024.

Ich habe ja gerade schon ein bisschen eine Einleitung gesprochen,

deswegen springen wir auch gleich rein. Wie angekündigt, wir haben heute einen Gast.

Einen Gast, der auch schon das zweite Mal hier ist, worüber ich mich sehr freue

und der sich jetzt trotzdem nochmal vorstellen darf, weil wir immer wieder Hörerinnen

und Hörer haben, die doch jetzt erst nach einiger Zeit einschalten und um Gottes

Willen nicht alle alten Folgen hören.

Johannes, stell dich doch einfach mal vor. Wer bist du, was machst du und freust du dich auf heute?

Ja, na klar freue ich mich auf heute. Also ich bin der Johannes Kresse,

ich bin der Geschäftsführer der Securium GmbH.

Das ist ein Beratungsunternehmen für Incident Response und Incident Readiness.

Wir bauen Prozesse und führen Security so ein, dass sie auch lebbar und effizient

und auch messbar eingesetzt werden kann.

Ich habe mich sehr auf heute gefreut. Wir stehen ja immer mal wieder so im kurzen

Austausch, hatten leider auch länger nicht mehr das Vergnügen,

mal länger miteinander zu sprechen.

Ich glaube, wir schauen beide manchmal ganz gerne mit so einem gewissen Lächeln

auf die Industrie und das,

was da auch passiert und erlauben uns gerne manchmal so ein bisschen,

glaube ich, auch einen Spaß über diese ganzen Buzzwords und den deutschen Datenschutz,

wenn es zu Security Operations beispielsweise kommt.

Wir sind jetzt am Anfang von 2024.

Was war denn für dich in 2023 jetzt mal rein auf dieses Thema Security Operations,

vielleicht auch Incident Response?

Was waren da so die großen Themen, bei denen sich deiner Meinung nach wirklich

spürbar vielleicht auch was bewegt hat außerhalb von dem, was immer auf LinkedIn

oder sonst wo geschrieben wird, sondern wo hat sich wirklich in der Praxis was getan?

Was waren vielleicht so Trends, wo du auch sagst, boah, da hat sich echt was

zum Positiven gewandelt oder vielleicht auch wirklich zum Negativen?

Also da fällt mir jetzt schwer, einen Fokus darauf zu geben,

auf einzelne Themen, aber man hat gemerkt, dass es einmal eine Verbesserung

gibt in der Verständnis, was überhaupt getan werden muss und was nicht getan werden muss.

Das ist zum einen, das liegt daran, dass die Fehlerhäufigkeit jetzt auch gestiegen

ist und man hat gemerkt, man muss besser mit dem Thema umgehen.

Man muss Arbeitsverfahren effizienter machen und man muss generell darauf schauen,

wie konfiguriere ich denn mein komplettes Setup rund um Tools,

rund um das Team und wie sie zusammenarbeiten, also die Prozesse.

Weil das so nicht weitergehen kann, wie wir bis jetzt gearbeitet haben.

Sehr, sehr viel Reibungsverlust und sehr, sehr viel Zeit, welche ins Land geht,

um Inzidenz zu bearbeiten.

Zum anderen habe ich gemerkt, dass eine Professionalisierung stattfindet in

der Zusammenarbeit zwischen einzelnen Companies beziehungsweise zwischen einzelnen

Branchen innerhalb der Security-Industrie.

Und ich nehme da mal die Versicherer beziehungsweise die Makler mit rein,

die jetzt langsam merken, okay, was wir bis jetzt gemacht haben,

das geht so nicht ganz gut und die finden sich jetzt alle zusammen.

Also ich habe festgestellt, die Makler von Versicherungen bieten eigene Beratungsleistungen

an, helfen somit den Versicherungen,

die Versicherungen sind besser bedient und der Kunde am Ende ist auch besser

bedient und dieses Dreieck erweitert sich mit einem weiteren Teil,

das ist der Incident Responder, die typischen Reinblut-D4-Experten,

die dort mit reinkommen und da trennt sich gerade so die Spreu vom Weizen, wer ist da gut,

wer ist da nicht gut, wer möchte mit wem zusammenarbeiten, das ist gerade mindestens passiert,

wir können noch ewig weiterreden über die Tool-Welt, aber das ist so das,

was ich mal mitgenommen habe.

Da habe ich schon ein paar Sachen gehört, die ich auch sehr ähnlich sehe.

Was für mich immer sehr auffällig ist, ich weiß nicht, ob ich da irgendeine

Wahrnehmungsstörung habe oder einfach in den falschen Situationen unterwegs bin.

Wenn ich online unterwegs bin, ich sage mal in unserer Bubble,

Menschen, die irgendwie Beratung leisten, Projekte machen, wird mir immer suggeriert,

dass die meisten Unternehmen, mit denen sie arbeiten, die wollen gar nicht und

der will nicht und die wollen nicht mehr Security.

Ich habe besonders im letzten Jahr das genaue Gegenteil wahrgenommen.

Also natürlich spreche ich auch immer noch mit Unternehmen, die in gewisser

Weise, ich würde es jetzt gar nicht unbelehrbar sind, aber eine sehr starke

eigene Meinung haben zu dem Thema.

Ich habe aber auch immer mehr Unternehmen gesehen, die sehr offen eben dafür

sind, mehr zu machen, auch wenn sie vielleicht noch gar keinen Vorfall oder einen Breach hatten.

Also ich habe im letzten Jahr das genaue Gegenteil wahrgenommen und hatte ganz

viele wirklich tolle Gespräche bis auf Geschäftsführer-Ebene und mir wird online

immer was anderes suggeriert. Wie nimmst du das denn wahr?

Exakt gleich. Also kann ich nur teilen. Und ich interpretiere jetzt da mal rein,

dass das vielleicht von ein paar dunklen Seiten daherkommt, die man interpretieren

müsste als vielleicht Verkaufsmisserfolg.

Also wenn ein Dienstleister oder ein Produkthersteller seinen Zeugs nicht verkauft

kriegt, dann haut der öfter mal so Kampagnen raus wie, wir machen zu wenig.

Also ergo, ihr kauft zu wenig von mir. Und das ist definitiv,

wie du gesagt hast, nicht der Fall.

Ja, also das ist, wie gesagt, es mag immer diese Situation geben,

ich habe sie auch, so ist es nicht, aber die meisten Firmen,

mit denen ich rede, von klein bis sehr groß, machen sich sehr wohl Gedanken.

Ich sehe aber auch, wie du, immer mehr Beratungsdienstleistungen,

die mir vorgelegt werden mit, wir sind jetzt nicht die Experten hier in Haus,

aber wir haben jetzt nicht das beste Gefühl bei dem Ergebnis,

was uns hier geliefert wurde.

Oder egal ob Beratung, Produkt oder Sonstiges.

Und dann schaue ich drüber und es ist teilweise Hanebüchen. Also das sind Konzepte,

die wären entweder 2017 schon nicht mehr wirklich zeitgemäß gewesen oder es

sind wirklich Luftschlösser, die so ein Unternehmen niemals integrieren kann.

Irgendwelche To-Do-Pläne bestehend aus 120 Seiten gefühlt, was einfach keinen Erfolg haben wird.

Siehst du das auch, dass immer häufiger die Firmen zwar nicht genau wissen,

was jetzt daran falsch ist, aber immer mehr zweifeln an dem,

was ihnen vorgelegt wird?

Du meinst jetzt von der Produktseite oder von der Beratungsseite?

Beides, beides. Also ich sehe es wirklich auf beiden Seiten,

dass nicht mehr so blind, also blind wurde noch nie vertraut,

aber es wird sehr viel mittlerweile hinterfragt.

Ja, genau. Also es wird ein Konzept hinterfragt und es werden auch die,

ja wie soll ich sagen, der Modus operandi von einem SOC oder von einem Security Team hinterfragt.

Nicht nur wegen den Kosten, sondern auch eben wegen der Messbarkeit und wegen dem Outcome.

Und es wird besonders da sichtbar, wo du halt tatsächlich auch schon mal ein

Setup ein Jahr lang laufen hast, wo dann trotzdem noch Dinge passieren,

die per Design hätten nicht passieren sollen, die per Design aber dann doch passieren.

Und dann fragen sich dann alle und gucken sich betroffen an, wieso ist das so?

Was haben wir falsch gemacht? Von wem wurden wir schlecht beraten?

Und dann noch zum anderen, wir sind ja in der, ich behaupte das mal,

in der Security nicht ganz fertig.

Also wir haben tatsächlich noch nicht ganz fertig entwickelt,

auch was Prozesse und Zusammenarbeit gewisser Tools und Menschen angeht.

Und wir, ich sage mal, wir intellektualisieren ganz gerne mal.

Du schaust dir das Konstrukt an, was das BSI vorschlägt.

Du schaust dir andere Frameworks an und stellst fest.

Wo wird denn das genau so umgesetzt und hat das schon mal jemals in der Form

so funktioniert, dass alle KPIs wirklich passen?

Und es ist halt nicht der Fall und deswegen hinterfragen immer mehr Kunden,

ja, machen wir das jetzt richtig?

Ja, ich stehe zwar hier, aber ist das denn so korrekt? Das kann ja fast nicht sein.

Ja, dann sind wir, wo wir sind.

Ja, und ich glaube ein Thema, was da sicherlich mit rein spielt,

du hast es gesagt, besonders gegebene Konstrukte auch mal zu hinterfragen.

Ich sehe das ganz häufig bei diesen typischen Managed Sock Verträgen, die auch mal vor zwei,

drei Jahren abgestoßen wurden, meistens mit irgendeiner Art von SIEM dahinter

und das soll jetzt gar kein Blaming in Richtung SIEM sein, sondern das waren

Verträge, die waren für die Firmen ein unglaublich großes Investment.

Also, wenn man sich anschaut, wie viel die davor investiert haben,

ist das ein unglaubliches Investment, besonders im deutschen Mittelstand.

Dann haben die von diesem Service Provider teilweise seit anderthalb,

zwei Jahren wenig bis gar nichts gehört.

Was jetzt gar nicht mal heißen soll, die haben nichts von dem Breach gehört,

wenn keiner geschehen ist, ist keiner geschehen.

Aber auch so in Sachen, wie effektiv funktioniert das Ganze denn?

Kriegen wir hier nur Tickets rübergeworfen ohne jede Kontextualisierung oder

macht ihr wirklich was im Hintergrund?

Und oftmals sagen mir die Unternehmen, wir wissen es nicht, wir wollen ihnen

gar nichts Böses unterstellen, vielleicht machen die im Hintergrund einen super

Job, aber es ist null visibel für uns dafür, wie viel Geld wir dafür bezahlen.

Ich glaube, das ist ein massives Problem, wo sich der Markt auch wirklich mal

fragen muss, wie können wir jetzt mal außerhalb von irgendwelchen theoretischen

KPIs, sondern wirklich die Wertigkeit dessen, was wir hier liefern,

auch noch mehr darstellen.

Ja genau, also das ist tatsächlich ein großes Problem. Ich habe jetzt gesehen

im letzten Jahr drei Firmen, die ihren Sockanbieter genau aus diesem Grund gewechselt haben.

Und mit der größte Punkt der Kritik schlägt da rein, du hast es gerade angesprochen,

die wissen gar nicht, was der MSSP, der SOC-Anbieter macht.

Und da wäre doch mal hilfreich, wenn man da hergeht und sagt,

hey, auch wenn du keine Alarme bekommen hast, der Grund liegt daran,

hey, du hast nichts von uns gehört.

Das liegt daran, dass wir neue Detection Rules einbauen, wir prüfen gerade was,

wir machen für dich Tests, wir checken gerade, ob Mitra in der Form,

wie wir es umgesetzt haben, sinnvoll ist und so weiter.

Das passiert halt viel zu wenig und man muss die MSPs natürlich auch ein bisschen in Schutz nehmen.

Wir haben einen Haufen Arbeit und die Nachfrage ist groß,

aber es ist zu wenig, es ist noch am Markt zu wenig Investment,

zeitliches und gedankliches Investment in dem Kunden vorhanden,

dass man versteht, okay, wie tickt denn der,

was macht der und kann ich mich in andere Abteilungen mit reinversetzen?

Ich muss das mal kurz ausführen.

Man hat ja meistens diese Konstrukte, ich habe einen Kontakt zur IT oder ich

habe einen Kontakt zur internen Security und das war es dann.

Und teilweise haben wir aber auch Firmen, die so operieren, dass du als SOC

schon viel mehr Schlagkraft zum Kunden rein brauchst.

Du brauchst ein größeres Mandat, du müsstest eigentlich Rückfragen bei der Personalabteilung

stellen können oder jemand muss es koordinieren intern und der muss darauf vorbereitet

sein, der muss intern das Mandat haben beim Kunden.

Und sowas passiert zu wenig und die MSSPs sorgen nicht genug dafür,

dass das ordentlich und effektiv umgesetzt wird, damit der Incident Response

Prozess im Ganzen auch klappt durch alle Phasen durch.

Und das ist der Grund, warum dann die meisten Unternehmen sagen,

für das Geld, was wir bezahlen, mal exklusive Lizenzen, was ja auch nochmal

schweineteuer ist, sind wir jetzt enttäuscht und wir gucken mal,

ob das woanders irgendwie dasselbe ist und dann wechseln die.

Ja, das ist natürlich immer so die Ultima Ratio am Ende dann zu wechseln,

was ich auch gesehen habe und da muss ich dann wiederum die MSSPs wiederum in

den Schutz nehmen, ist, dass immer häufiger Firmen, selbst wenn sie selbst dafür,

ich würde jetzt mal sagen, gar nicht so die Skills haben,

dann selbst anfangen, irgendwelche Red Teaming Engagements zu machen.

Bei denen ich mich manchmal dann schon schwer tue, die Red Teaming Engagements

zu nennen, die machen dann halt super entweder Low Level Sachen,

also fangen dann an irgendwo ein Mimikatz abzulegen, also wirklich plain abzulegen,

dann wird das Ding geblockt und dann sagt halt auch der MSSP,

wenn er danach, ja wieso habt ihr uns nicht angerufen, dann sagt er,

naja, war halt nur ein Mimikatz, was irgendwo abgelegt wurde,

sonst ist nichts passiert,

wir haben das untersucht, da wurde nichts gedumpt, gar nichts,

wir haben das davor geblockt.

Wenn wir euch jedes Mal wegen sowas melden würden in der Nacht,

dann hätten wir ein Problem.

Oder es werden umfangreichere Dinge durchgeführt, habe ich selbst schon erlebt.

Du wirst mit dem Endergebnis konfrontiert, was einfach nur heißt,

ihr habt nichts gesehen, aber nie mit, was wurde denn überhaupt durchgeführt?

Also welche Technik habt ihr verwendet? Welche IOCs waren irgendwo?

Hätten wir sehen müssen? Wenn ein Unternehmen dann eine Stellungnahme möchte,

eine saubere Stellungnahme, dann muss es halt auch Daten liefern.

Und das ist so die andere Seite der Medaille, die ich immer häufiger sehe,

ist, dass man irgendwie sauer ist auf dem MSSP, weil man ein schäbses Bauchgefühl

hat und dann einfach irgendwas macht.

Und ich glaube, es sollte freistehen, sowas zu testen. Die Frage ist nun mal,

wie testet man das Ganze und wie konfrontiert man denjenigen damit?

Will ich ein Ergebnis haben oder will ich dem anderen, auf deutsch gesagt,

einfach nur ins Bein pinkeln?

Siehst du sowas auch? Ja, genau.

Das ist, ja klar, ich sehe genau diese Engagements oder diese Initiativen sehr oft mittlerweile.

Wir testen jetzt mal, also was hat man früher gemacht? Man hat früher gesagt,

okay, wir haben gar nichts, jetzt gehen wir mal her und machen einen Pentest. Das ist genauso falsch.

Und jetzt haben wir irgendwie einen Sock gekauft, der ist jetzt ein Jahr dabei,

der MSSP hat ja ein paar Detections ausgerollt und jetzt gucken wir mal, was der so alles sieht.

Jetzt holen wir dieselbe Pentester-Truppe oder vielleicht irgendeine renommierte,

Red-Team-Firma, die dann herkommt und dann um sich schießt.

So und dann, klar, wird der MSSP mit dem Ergebnis konfrontiert und da sprechen

die beiden teilweise eine komplett andere Sprache.

Der eine ist darauf bedacht, möglichst viel rot zu machen, von wegen ich bin

cool, ich habe ganz viel angegriffen, du hast ganz wenig gesehen und der andere

ist darauf bedacht so viel wie möglich auszuschließen so wenig wie möglich Forts Positives zu haben.

Und eine gute Meantime to Respond und Meantime to Eradicate,

00:16:32.451 --> 00:16:38.211