Get Cyber Resilient Ep 1 | Australische Cyberkriminelle Ringe, gefälschte CEOs und PayID-Hack mit Mitch Owens, CTO bei Gilbert Tobin

Die Get Cyber Resilient Show, ein Podcast von Mimecast, ist die perfekte Möglichkeit, sich über die neuesten Entwicklungen im Cyberbereich in Australien und Neuseeland zu informieren. Ihre Moderatoren Gregor Jeffery und Garrett O'Hara bieten Ihnen Einblicke und echte Geschichten von IT- und Sicherheitsverantwortlichen, genau wie Sie.

Ärgern Sie sich nicht über Ausfallzeiten und Datenschutzverletzungen, sondern machen Sie sich cyber-resilient!

Hören Sie es auf Spotify, Apple Podcasts, Anchor oder klicken Sie einfach oben auf "Play".

Notizen anzeigen:

In dieser Folge sprechen Gregor Jeffery und Garrett O'Hara über einen australischen Cyberkriminellenring, der es auf Superannuation-Konten abgesehen hat, über Betrüger, die die Stimmen von CEOs fälschen, und über den jüngsten PayID-Hack, von dem die vier großen Banken betroffen waren. Garrett interviewt auch Mitch Owens, CTO bei Gilbert + Tobin Lawyers.

Die Get Cyber Resilient Show wird Ihnen von mimecast.com präsentiert.

Die Get Cyber Resilient Show Episode 1

Abschrift

Gregor Jeffrey: [00:00:00] Wir alle wissen, dass es eine Herausforderung sein kann, sein Unternehmen abzusichern, besonders wenn man nur wenig Zeit hat. Die Get Cyber Resilient Show, die von Mimecast veranstaltet wird, ist die perfekte Möglichkeit, sich über die neuesten Entwicklungen im Cyberbereich in Australien und Neuseeland zu informieren. Egal, ob Sie diesen Podcast beim Pendeln, Radfahren, Joggen oder beim Spaziergang mit dem Hund am Wochenende hören, Sie werden echte Geschichten von IT- und Sicherheitsverantwortlichen hören, die genau wie Sie sind. Ärgern Sie sich nicht über Ausfallzeiten und Datenschutzverletzungen, sondern machen Sie sich Cyber Resilient. Ich bin Ihr Gastgeber, Gregor Jeffrey, Enterprise Marketing Manager bei Mimecast, und mein Co-Moderator, Garrett O'Hara, Hauptberater bei Mimecast, aber Sie können ihn Gar nennen. Gar, wie geht es dir heute?

[00:00:43] Garrett O'Hara: Ja, mir geht es gut Gregor, danke. Wie geht es Ihnen?

[00:00:46] Ja, es läuft ziemlich gut. Ähm, ich frage mich nur, ob wir jedes Mal, wenn wir uns treffen, nachsehen, welche Socken der andere anhat, weil wir immer Verkäufer-Socken tragen. Welche Hersteller-Socken haben Sie heute an?

[00:00:56] Garrett O'Hara: Ich unterstütze die Heimmannschaft. Ich bin in diesen bösen Jungs, dem Mimecast [Überschneidung 00:00:59].

[00:00:59] Du hast Mimecast-Socken an. Nun, ich habe die Octa-Socken an.

[00:01:02] Garrett O'Hara: Sie sind sehr hübsch. (lacht).

[00:01:03] Von unseren Freunden bei Octa. Willkommen zu unserer ersten Folge der "get cyber resilient show". Heute erörtern wir mehrere wichtige sicherheitsrelevante Themen, darunter eine Cyberkriminelle Bande, die es auf australische Rentenkonten abgesehen hat. Und wir sehen uns auch die von der KI generierten Stimmen von CEOs an. Wow, das klingt ja wirklich faszinierend. Wir sprechen auch mit Mitch Owens, dem CTO der Anwaltskanzlei Gilbert and Tobin.

[00:01:28] Okay, diese Monate der Unsicherheit. Also, Gar, lass uns diesen australischen Cyberkriminellenring, der es auf Rentenkonten abgesehen hat, genauer unter die Lupe nehmen.

[00:01:37] Garrett O'Hara: Ja, das war eine interessante Sache. Es handelt sich um eine Frau aus Melbourne, die erst 21 Jahre alt ist und wegen insgesamt 53 Betrugsdelikten angeklagt ist. Zum jetzigen Zeitpunkt gehen sie von 1,73 Millionen aus, die sie aus Super- und Börsenfonds abgezogen hat, aber sie gehen davon aus, dass die Betrügereien, die sie untersuchen, wahrscheinlich mehr als 10 Millionen ausmachen werden. Es ist also eine ziemlich beträchtliche Geldsumme, die sie auftreiben konnte.

[00:02:00] Mensch, und das sind die Notgroschen der Leute, die sie... ja. (lacht).

[00:02:05] Garrett O'Hara: Das ist es - [lacht] das ist es sicherlich. Es ist, äh, es ist irgendwie schockierend. Sie... es ist diese Frau, und dann ermitteln sie auch noch gegen fünf andere Personen. Es sind also die AFP und der ACIC. Das alles geschieht unter dem Deckmantel der Task Force für schwere Finanzkriminalität. Aber, ähm, ja, sieh mal... es scheint so, als ob sie im Grunde genommen ein Identitäts-Makeover gemacht hat. Sie hat also offensichtlich Informationen über Personen gefunden und diese betrügerischen Identitäten erstellt, dann Bankkonten für diese Personen eingerichtet und dann die Gelder über die Schmuckmärkte ins Ausland gebracht, um so das Geld aus Australien zu waschen.

[00:02:41] Ja.

[00:02:41] Garrett O'Hara: Also, das ist eine beträchtliche Menge an Schmuck. Viele, viele Tiffany-Sachen und Armbänder werden von Leuten gekauft, die Internetkriminalität betreiben.

[00:02:50] Wow. Das ist eine Menge... Du würdest wie Mr. T aussehen, wenn du durch den Flughafen kommst, möglicherweise.

[00:02:55] Garrett O'Hara: Ja. (lacht). Sicherlich würden Sie das tun, denn heutzutage ist es einfach, die Angreifer zu erkennen, wenn sie viel Schmuck tragen.

[00:03:00] [lacht]. Also, ich denke, dass diese Art von Aktivitäten auf australischen Rentenkonten normalerweise nicht vorkommt. Wäre das denn fair?

[00:03:08] Garrett O'Hara: Ja, ich denke, das ist definitiv eines der Dinge, die wir sehen. Was Angriffe auf die Cybersicherheit betrifft, so ist das Finanzwesen ein offensichtliches Ziel. Und wenn man bedenkt, wie viel Geld in Superfonds und Börsenfonds steckt, könnte das als Ziel tatsächlich Sinn machen. Ich vermute also, dass wir angesichts ihres bisherigen Erfolgs möglicherweise noch mehr davon sehen werden. Ich meine, die Realität ist, dass die beteiligten Firmen, und das sind einige der größeren Namen, neue Cybersicherheitsmaßnahmen ergriffen haben. Es könnte also sein, dass es beim nächsten Mal nicht mehr so einfach sein wird.

[00:03:40] Ja.

[00:03:41] Garrett O'Hara: Aber wie Sie und [lacht] und ich gut wissen, ist es ein, ein Whack-a-mole.

[00:03:45] Ja.

[00:03:45] Garrett O'Hara: Also, wissen Sie, sie könnten diese neuen Sicherheitsmaßnahmen hinzugefügt haben, die garantieren, dass jemand einen neuen Weg findet, einen neuen Ansatz, um etwas Ähnliches zu tun, möglicherweise für größere Geldbeträge.

[00:03:55] Ja.

[00:03:55] Garrett O'Hara: Also, ja, beobachten Sie diese Stelle.

[00:03:57] Und ich schätze, typischerweise sind Rentenfonds nicht immer... sie sind nicht die ersten Unternehmen, an die man denkt, wenn es um Technologie oder Cybersicherheitstechnologie geht, oder liege ich da falsch? Ich denke, ich habe gesehen, dass viele Pensionsfonds ihren monatlichen Newsletter herausgegeben haben. Sie hatten diesen großen Eimer Geld, den sie mit verschiedenen Mitteln verwalten mussten. Einige von ihnen haben sich bei der Einführung von Online-Portalen für ihre Mitglieder zurückgehalten. Sie wissen, dass sie traditionell alles per Post abgewickelt haben. Jetzt müssen sie sich wirklich an die Spitze der Cybersicherheit stellen.

[00:04:35] Garrett O'Hara: Hmm.

[00:04:36] ... weil sie so große Guthaben von Mitgliedern, äh, ähm, ja, Geld, das geschützt werden muss, angesammelt haben. Es ist eine Art Schatten... nicht ganz Schattenbankwesen, aber ja, es ist ein ganz anderer Teil der Finanzdienstleistungsbranche.

[00:04:49] Garrett O'Hara: Ich, ich denke, es ist nicht nur super. Wenn man sich einige der Backend-Systeme in vielen Finanzunternehmen ansieht, dann laufen sie auf alten Mainframes der alten Schule. Sie haben eine riesige Menge an technischen Schulden. Und wenn es dann an der Zeit ist, diese aufzurüsten oder zu aktualisieren, ist der kurzfristige Betrag, der aufgewendet werden müsste, um die Systeme so weit zu bringen, dass der durchschnittliche CSO von heute ein gutes Gefühl dabei hat [lacht], oft sehr hoch. Ich würde sagen, dass es in vielen dieser Unternehmen eine große Menge an technischen Schulden gibt. Nicht nur Super, sondern auch die vier großen Banken hatten viele der gleichen Probleme.

[00:05:22] Ja.

[00:05:22] Garrett O'Hara: ... auf diesen, ähm, diesen Altsystemen laufen. Ich meine, man sieht es oft, wenn man seinen Führerschein verlängern will, oder wenn man einen Blick auf den Bildschirm hinter dem Kassierer wirft, der an einem Mac sitzt. Aber wenn man auf den Bildschirm schaut, sieht man diese altmodische technische Weltraumschnittstelle.

[00:05:38] Mm-hmm [bejahend].

[00:05:38] Garrett O'Hara: Ähm, ich war erst gestern in einer ziemlich großen Krankenkassenorganisation-

[00:05:41] Ja.

[00:05:41] Garrett O'Hara: ... etwas zu tun und, ähm, der Typ sagte: "Ja, hören Sie, ich kann Ihnen einen Brief ausdrucken, in dem steht, wonach ich gesucht habe." Und ich konnte den Bildschirm sehen [lacht], und er sah wirklich aus wie etwas aus den 80er Jahren. Sie können sich also vorstellen, wie viel davon da draußen existiert.

[00:05:55] Ja.

[00:05:55] Garrett O'Hara: Und, ähm, es sind Themen, die 'Ursachen' sind... Wie Equinox war das perfekte Beispiel, weißt du?

[00:05:59] Ja.

[00:05:59] Garrett O'Hara: Jeder hat es irgendwie versucht. Ich will damit nicht sagen, dass es keine Fehler gab [lacht], aber wenn man sich die Systeme ansieht, die es gab, dann haben viele Organisationen da draußen sehr ähnliche Systeme und sind wahrscheinlich für dieselben Bedrohungen anfällig. Da die Tentakel dieser Altsysteme dort sitzen, sind die Kosten für das Unternehmen, um sie rückgängig zu machen und moderne Ansätze nachzurüsten, oft einfach zu hoch.

[00:06:25] Hmm.

[00:06:25] Garrett O'Hara: Stattdessen schieben sie es auf die lange Bank, und dann passieren solche Sachen.

[00:06:28] Ja. Bei meiner Autoversicherung entschuldigen sie sich jedes Mal, wenn ich sie anrufe, weil ihre Computer so langsam sind.

[00:06:35] Garrett O'Hara: Mm-hmm [bejahend].

[00:06:36] Äh, ich dachte, vor fünf Jahren, äh, fünf Jahre später, wäre das immer noch nicht der Fall, aber es scheint so zu sein.

[00:06:41] Garrett O'Hara: Es ist das, und die ungewöhnlich hohe Anzahl von Anrufen, die sie-

[00:06:44] Oh, ja.

[00:06:44] Garrett O'Hara: ... immer zu erleben.

[00:06:46] [lacht].

[00:06:46] Garrett O'Hara: Es ist ziemlich bizarr. Ja, ja.

[00:06:47] Zumindest, ähm, kann mein Anruf zu Schulungszwecken verwendet werden.

[00:06:52] Garrett O'Hara: Mm-hmm [bejahend].

[00:06:52] Das ist immer hilfreich.

[00:06:53] Garrett O'Hara: Und wissen Sie, was sie tun könnten? Sie könnten sogar Ihre Stimme aufzeichnen.

[00:06:56] Ah, das können sie. Da wir gerade von Stimmen sprechen, die aufgezeichnet werden [lacht], äh, wir haben eine Geschichte über gefälschte KI, ähm, die benutzt wird, um die Stimme eines CEOs zu erzeugen.

[00:07:08] Garrett O'Hara: Ja.

[00:07:08] Ähm, und, u- gegen sie verwendet.

[00:07:09] Garrett O'Hara: Ich liebe diese Geschichte. Das... das kitzelt einfach meine Fantasie, äh, auf so viele Arten. Es handelt sich also um einen CEO eines britischen Energieunternehmens, der einen "Anruf" von seinem Chef erhielt. Ähm, und das war ein Typ, der von einer deutschen Muttergesellschaft aus für sie arbeitete, aber es war nicht wirklich der, äh, der Chef, es war eigentlich eine tiefe Nachahmung der, äh, Stimme dieser Person. Sie hatten also KI eingesetzt und sich die Fähigkeit angeeignet, diese Art von gefälschtem Telefonanruf an den CEO zu tätigen, und es geschafft, eine beträchtliche Geldsumme zunächst an einen ungarischen Lieferanten und dann nach Mexiko zu überweisen. Und, ähm, der Grund, warum ich diese Geschichte liebe, ist, weil sie wahrscheinlich darauf hindeutet [lacht], wohin die Dinge gehen werden.

[00:07:54] Mm-hmm [bejahend].

[00:07:55] Garrett O'Hara: Ähm, weißt du, du denkst über das tiefe Fälschen von Stimmen nach, und ich glaube, es gab vor einiger Zeit ein tiefes Fälschen von Joe Rogan, und-

[00:08:00] Ja. Also, sag mir, was genau ist eine tiefe Fälschung.

[00:08:03] Garrett O'Hara: Ja.

[00:08:04] ... für die Hörer da draußen.

[00:08:05] Garrett O'Hara: Es ist, es ist die Situation, in der man Teile der Stimme von jemandem aufnehmen kann. Und wenn Sie an den durchschnittlichen leitenden Angestellten denken, sind sie wahrscheinlich auf Veranstaltungen unterwegs. Heutzutage gibt es eine Tendenz, dass sie in gewisser Weise öffentlich sind. Es ist also nicht schwer, ihre Stimmen in öffentlichen Foren einzuholen. Wissen Sie, wenn Sie auf YouTube gehen, werden Sie wahrscheinlich irgendwo die Stimme dieser Person finden.

[00:08:26] Und dann wird mit Hilfe von künstlicher Intelligenz eine simulierte Version von ihnen erstellt, aber man kann diese Stimme mit allem füttern. Sie können also den, in diesem Fall den, ähm, den Chef in der deutschen Muttergesellschaft dazu bringen, zu sagen, was immer Sie wollen, dass er sagt. Wenn Sie also aus der Sicherheitsperspektive keine guten Prozesse haben, können Sie einen Anruf tätigen und sagen: "Hey, wir müssen dieses Geld an diesen Zulieferer überweisen." Und dann ist es im Grunde genommen Social Engineering [lacht], aber eine ziemlich hohe und fortgeschrittene Version von Social Engineering, aber es ist in etwa das Gleiche. Das ist eine beängstigende Technologie, und wir werden wahrscheinlich an den Punkt kommen, an dem man das auch beim Fälschen von Videos sehen wird.

[00:09:02] Ja.

[00:09:02] Garrett O'Hara: Ähm, weil das ist wahrscheinlich, wo die, die durchschnittliche Person auch hingeht. Sobald ich sie auf einem VC-Bildschirm sehe, ist das cool. Ich weiß, es ist Gregor, aber was, [lacht] was passiert, wenn wir an den Punkt kommen, an dem es genug Video von Gregor gibt...

[00:09:13] Ja.

[00:09:14] Garrett O'Hara: ... dass wir eine perfekte Version von dir zusammensetzen können, wie du dieses Gespräch mit mir führst, und ich als Mensch gar nicht unbedingt merke, dass das nicht du bist.

[00:09:23] Ja.

[00:09:24] Garrett O'Hara: Es ist eigentlich ein, ein Betrüger.

[00:09:25] Se- scheint eine große Unbekannte für, für uns in der Zukunft zu sein. Ich denke, aus der Videoperspektive brauchen sie nur zwischen 30 und 60 Minuten, um nahtlose Fälschungen zu machen.

[00:09:40] Garrett O'Hara: Hmm.

[00:09:41] Ähm, und ich glaube, es gab eine chinesische App im App-Store, die, ähm... ähnlich wie die, ähm, eine der Gesichtsaustausch-Apps, die kürzlich herauskam, ähm, und die nur 10 Sekunden Video, ähm, von, von dir selbst brauchte und dann konntest du dein, ähm, dein Gesicht auf, du weißt schon, den neuesten, ähm, Videoclip eines, ähm, deines Lieblingspopstars, und so weiter, überlagern. Sie prognostizieren also, dass in den nächsten 12 bis 36 Monaten gefälschte Videos nicht mehr von echten Videos unterschieden werden können.

[00:10:10] Garrett O'Hara: Hmm.

[00:10:11] Äh, also, wissen Sie, wir kommen in diese Vorstellung von dem, was real ist und [lacht] was nicht, besonders wenn man über diese digitalen Medien kommuniziert.

[00:10:17] Garrett O'Hara: Jep, 100%. Ich weiß, dass wir schon einmal darüber gesprochen haben, aber eines der Dinge, die mir das sagt, ist, dass es immer noch ein gewisses Vertrauen in die Idee von Menschen, Prozessen und Technologie geben muss, und das erscheint mir wirklich altmodisch. Wir haben da draußen eine Menge guter Technik. Wir haben viele gute Leute da draußen, aber es gibt diese Vorstellung, dass Prozesse wirklich wichtig sind. Und in diesem Fall handelt es sich um ein Verfahren, bei dem ein Telefonanruf nicht ausreicht, sondern ein anderer Überprüfungsprozess oder eine Sache, die vor einer Überweisung dieser Größenordnung stattfinden muss.

[00:10:50] Jawohl.

[00:10:50] Garrett O'Hara: ... tatsächlich, äh, stattfindet.

[00:10:52] Wow. Ist, ist Blut der nächste, ähm, Mechanismus für die Zwei-Faktor-Authentifizierung?

[00:10:58] Garrett O'Hara: Ich, ich hoffe wirklich nicht. Ähm, ich habe kein Problem mit Daumenabdrücken und Iris-Scanning, aber ich...

[00:11:03] Ja.

[00:11:03] Garrett O'Hara: ... ich muss mir nicht in den Finger stechen lassen.

[00:11:04] Weißt du, zupf dir einfach ein Haar aus dem Kopf.

[00:11:06] Garrett O'Hara: Ja. Wer weiß? Wir werden alle mit einer Glatze herumlaufen, weil wir

[00:11:09] [lacht].

[00:11:09] Garrett O'Hara: ... wir authentifizieren.

[00:11:11] Man hat nur so viele Authentifizierungsschlüssel...

[00:11:14] Garrett O'Hara: Ja. (lacht).

[00:11:14] ... in deinem Leben.

[00:11:15] Garrett O'Hara: Ja.

[00:11:15] Äh, okay. Als Nächstes haben wir einen Hack auf das PayID-System in Australien gesehen.

[00:11:21] Garrett O'Hara: Haben wir, ja. Das ist das Myki-System. Ähm, äh, sorry, das PayID-System, ähm, wo sie... Ja, es gab ein Leck bei den Telefonnummern, den BSBs und den Kontonummern von, ich glaube, es waren etwa 10.000 Kunden der großen vier Banken. Wenn Sie also bei einer der vier großen Banken arbeiten, hätten Sie davon betroffen sein können, obwohl Sie darüber informiert worden wären.

[00:11:42] Ähm, sehen Sie, für mich weist das auf ein Problem hin, das wir heutzutage in Bezug auf die Speicherung von Daten haben, die an und für sich harmlos zu sein scheinen. Bei so etwas wie einer Telefonnummer denkt man: "Ja, ist das wirklich so wichtig?" Es wird eine große Sache, wenn es für etwas wie eine PayID-Überweisung verwendet wird. Wenn Sie also an die Daten denken, die Sie bei vielen anderen Plattformen speichern, also nicht nur bei Ihrer Bank, sondern auch an anderen Stellen, dann ist das für sich genommen in Ordnung. Ein sehr offensichtliches Beispiel ist Facebook, wo die Leute ihr Geburtsdatum angeben.

[00:12:14] Ja.

[00:12:15] Garrett O'Hara: Die Leute machen das auf LinkedIn und machen das sogar öffentlich. Wie oft gehört Ihr Geburtsdatum zu den Informationen, die abgefragt werden, wenn Sie anrufen, um zu beweisen, dass Sie Gregor sind?

[00:12:24] Ja.

[00:12:24] Garrett O'Hara: Die ganze Zeit, richtig? Das Gleiche gilt für den Namen Ihres Haustiers, die Stadt, in der Sie aufgewachsen sind - das alles wird auf Plattformen gespeichert. In diesem Fall gibt es ein ziemlich strukturiertes Format und eine Datenbank, aber Sie werden sehen, dass dies bei anderen Angriffen auftaucht. Und, ähm, sehen Sie, eines der Beispiele, es ist irgendwie peripher verwandt, nur in Bezug darauf, dass es ein Social-Engineering-Angriff ist.

[00:12:46] Ich meine, diese PayID, als sie, äh, Phishing-SMS verschickt haben, um nach weiteren Informationen zu suchen, aber, ähm, Sie haben vielleicht von den Sextortion-E-Mails gehört, die vor einer Weile im Umlauf waren? Sie nutzten den Schatz an Zugangsdaten, die aus früheren Einbrüchen auf der ganzen Welt bekannt sind. Und sie fügten eines Ihrer alten Passwörter bei, um zu beweisen, dass sie wirklich eine Webcam hatten, die...

[00:13:10] Ja.

[00:13:10] Garrett O'Hara: ... eingeschaltet und, Sie wissen schon, Sie könnten gesehen haben, wie Sie etwas tun, was der Rest der Welt nicht... ähm, von dem Sie vielleicht nicht wollen, dass der Rest der Welt [lacht] es irgendwie erfährt. Perfekte Erpressung, perfektes Social Engineering. Das ist eine ähnliche Sache. Wenn sie also mit dieser SMS die Telefonnummer und die Informationen haben, können sie diese Informationen nutzen, um zu sagen: "Wir kennen diese Informationen über Sie bereits, das beweist, dass wir die Lücke für Ihre Bank füllen. Sagen Sie uns Ihre PIN-Nummer, setzen Sie Ihr Passwort zurück, was auch immer es sein mag". Und schon sind sie weg. Für mich deutet das auf eine ganze Reihe von Dingen hin. Er verweist auf die Anforderungen, die für eine gute Regulierung - äh, Regulierungs-, ähm, Gesetzgebung - erfüllt sein müssen.

[00:13:53] Ja.

[00:13:53] Garrett O'Hara: ... um auf eine sichere Lagerung und Wartung dieses Materials zu drängen. Ich denke, es zeigt, wie wichtig selbst harmlose Daten sein können, wenn sie gespeichert werden und dann möglicherweise von Angreifern genutzt werden. Und ich will ehrlich sein, und Gregor, du kennst mich, ich bin nicht sehr vertrauensselig, wenn es um Plattformen von Dritten geht [lacht]. Ich würde mir wünschen, dass unsere australischen Bürger und die Neuseeländer und die Menschen in dieser Region ein bisschen weniger Vertrauen in... es klingt schrecklich, aber in alles.

[00:14:23] Wenn sie also eine SMS erhalten, überprüfen sie das noch einmal. Wenn es ein Problem gibt, rufen sie die Telefonnummer ihrer Bank an, die auf der Website der Bank angegeben ist. Sie nehmen nicht die in einer SMS enthaltene Nachricht, auf die sie sich immer wieder berufen, um sie als Quelle der Wahrheit zu bezeichnen, was heutzutage in der Regel die Bank, das Unternehmen, die Website der Plattform ist, und nutzen dies als Möglichkeit, mit einem Kundenbetreuer zu sprechen, um das Problem direkt mit der Bank zu klären, und nicht auf einen Link in einer SMS zu klicken oder irgendetwas zu tun, um das man zum Beispiel in einer E-Mail oder SMS gebeten wird.

[00:14:55] Ja. Sehen Sie, es ist sehr schwierig für diejenigen, die technisch nicht so versiert sind, diese doppelten Stichproben zu machen... diese Stichproben, ähm, und immer, ja, zu wissen, welche Nummer man anrufen und zurückrufen muss. Es geht darum, dass sich das Verhalten in der gesamten Gemeinschaft ändert.

[00:15:14] Garrett O'Hara: 100%.

[00:15:15] Ähm, es ist, es ist großartig. Ich schätze, dass wir für Unternehmen verschiedene Möglichkeiten haben, um bei dieser Art von Sicherheitstraining zu helfen. Für die normale Mutter und den normalen Vater hingegen ist es eine echte Herausforderung, und auch, was ihre Kinder anklicken.

[00:15:31] Garrett O'Hara: Hmm.

[00:15:31] ... und einfach, ähm, Sie wissen schon, direkt anrufen.

[00:15:33] Garrett O'Hara: 100%, ja. Meine Eltern machen mir Sorgen. Mein Vater bucht zum Beispiel viele Reisen online, und ich warte nur auf den Anruf, weißt du, den schrecklichen Anruf, der lautet: "Ja, unsere Kreditkarten sind kaputt und einige..." weißt du, diese schrecklichen Dinge sind passiert, weil er, wie auch immer, jetzt in seinen 70ern ist.

[00:15:48] Jawohl.

[00:15:49] Garrett O'Hara: Und er ist nicht das, was wir einen Digital Native nennen würden.

[00:15:51] Ja.

[00:15:51] Garrett O'Hara: ... aber er nutzt das Internet, um...

[00:15:53] Ja.

[00:15:53] Garrett O'Hara: ... diese Dinge des Lebens, was viele Leute heutzutage tun. Also, ähm, ja, das ist, das war schon immer meine Sorge, nur die breitere Bevölkerung und das, das, das ziemlich einfache Social Engineering, das zu schrecklichen Ergebnissen führen kann.

[00:16:04] Ja. Ja. Als Nächstes haben wir eine Geschichte über das Verkehrsministerium von Victoria, ähm. Sie haben tatsächlich gegen die Datenschutzgesetze verstoßen. Sie dachten, sie würden es richtig machen. Die Daten, die sie weitergaben, waren anonymisiert worden, und sie gaben sie an das Ministerium für Premierminister und Kabinett weiter, das einen Hackathon veranstaltete, allerdings für Daten, also einen Datathon. Der Datensatz, der uns zur Verfügung gestellt wurde, nämlich die Myki-Reiseaufzeichnungen von 15 Millionen Reisenden, verstieß gegen unsere Datengesetze. Erzählen Sie mir mehr darüber, Gar.

[00:16:43] Garrett O'Hara: Ja, das ist für mich aus so vielen verschiedenen Gründen interessant... Der Gedanke, dass Datensätze für Dinge wie die Forschung nützlich sind, ist meiner Meinung nach berechtigt. Der Gedanke, dass man zum Beispiel demografische Informationen hat, die zum Beispiel aus einer Volkszählung stammen, und diese dann als Möglichkeit nutzt, um Trends zu analysieren, was mit über 40-Jährigen in Bezug auf Krankheiten oder Dinge, die im Leben eines jeden passieren können, passiert, ist wirklich nützlich. Aber das Problem ist, dass man diese "de-identifizierten" Datensätze oft identifizieren kann, indem man sie mit etwas anderem korreliert, das nicht Teil dieses Datensatzes ist.

[00:17:23] In diesem Beispiel konnten einige der Forscher tatsächlich einen Tweet von einem der Abgeordneten verwenden. Sein Name ist Anthony Carbines. Auf diese Weise konnten sie die Daten de-identifizieren, sie mit diesem "de-identifizierten" Datensatz von Myki abgleichen und diesen Datensatz grundsätzlich identifizieren. Sie sprechen auch davon, dass sie Mitreisende beobachten können, weil sie gleichzeitig ein- und ausschalten usw. Das Konzept der de-identifizierten Datensätze kann also für Forscher aus vielen guten Gründen sehr nützlich sein. Die Gefahr besteht darin, dass man diese sekundäre Information oder dieses sekundäre Ereignis dazu verwenden kann, einen identifizierten Datensatz oder eine Reihe von Daten über eine Person oder mehrere Personen aus diesem Datensatz zu ziehen.

[00:18:12] Ein anderes Beispiel dafür sind die... in London sind die Daten der schwarzen Taxis ziemlich bekannt, also die GPS-Daten der schwarzen Taxis in London. Ähnliche Sache. Wir dachten: "Hey, lass uns das öffentlich zugänglich machen. Das ist ein wirklich interessanter Datensatz. Mal sehen, was die Leute aus diesem Datensatz herausholen können." Man schaut sich also Dinge an wie, äh, wo fahren die Taxis am häufigsten hin, ganz ähnlich wie bei Myki. Sie können sich vorstellen, dass es nützlich ist, wenn es um Investitionen in neue Züge geht oder um diese Art von Diskussionen und Entscheidungen auf breiterer Ebene.

[00:18:43] Ähm, also mit den GPS-Daten in Großbritannien hat sich ein cleverer Mensch ein Paparazzi-Foto angesehen, auf dem ein schwarzes Taxi zu sehen ist, dessen Nummernschild deutlich zu erkennen ist, als ein Prominenter aus einem Nachtclub in London Stringfellows, [lacht] oder wo auch immer die Leute heutzutage hingehen, ich weiß es nicht, es ist schon eine Weile her. Aber jetzt haben Sie plötzlich diese GPS-Daten, Sie haben ein Foto von einem schwarzen Taxi mit dieser Person...

[00:19:08] Ja.

[00:19:08] Garrett O'Hara: ... und du hast das Nummernschild, und los geht's. Jetzt kann diese Person diese GPS-Daten nutzen, um herauszufinden, wo der Prominente wohnt. Für mich ist das ziemlich beängstigend.

[00:19:17] Ja, es ist sehr beängstigend. Ich habe den Eindruck, dass wir nicht viele Daten brauchen, um jemanden zu identifizieren oder zu wissen, was er tut. Vielleicht sind es nur zwei oder drei Dinge, die gebraucht werden. Ist das richtig?

[00:19:30] Garrett O'Hara: Ja, definitiv. Und es ist wahrscheinlich weniger, als die Leute oft denken. Wissen Sie, man denkt, dass man da draußen einigermaßen anonym ist, aber oft haben die Leute Dinge wie ihr Geburtsdatum, zum Beispiel, [lacht] auf Dingen wie Facebook oder LinkedIn. Was verwenden die Leute zum Beispiel, wenn sie anrufen, um sich zu vergewissern, dass es sich um ihr Geburtsdatum handelt?

[00:19:49] Ja.

[00:19:49] Garrett O'Hara: Ich habe das bereits erwähnt.

[00:19:50] Jawohl.

[00:19:50] Garrett O'Hara: Ähm, es...es ist dieses Zeug. Man nimmt also diesen Datensatz, einen Tweet des Abgeordneten oder ein Foto von einem Paparazzi und los geht's. Sie wissen wahrscheinlich, dass Banken Dinge wie Ihre Tastatureingaben nutzen können, um eine Signatur zu erstellen.

[00:20:09] Ja.

[00:20:09] Garrett O'Hara: ... zu dem, was du bist. Gregor tippt also mit einer bestimmten Geschwindigkeit. Und wenn er von einem G zu einem I übergeht, gibt es eine gewisse Lücke dazwischen, die oft versehentlich auch das O trifft, weil es direkt neben dem I auf der Tastatur liegt, und plötzlich haben wir eine Art biometrische Unterschrift von Ihnen, die auf Ihrem Tippen basiert. Man kann also so etwas nehmen und es mit etwas anderem korrelieren und das dann zur Nachverfolgung oder De-Identifizierung von Daten verwenden.

[00:20:31] Okay. Führen einige dieser fortschrittlichen KI-Plattformen für Cybersicherheit einige dieser Dateneingaben zusammen, wenn sie Anomalien in Netzwerken feststellen?

[00:20:42] Garrett O'Hara: Ähm, Sie, Sie werden sicherlich sehen, dass KI bei dieser Art von Dingen eine immer größere Rolle spielen wird. Sie können Dinge erkennen, die Menschen nicht erkennen können. Ähm, und das... wie das Beispiel mit den Tastenanschlägen ist ein perfektes Beispiel. Wenn ich mich hinsetze und dir beim Tippen zuschaue, werde ich dich nie aus dem Bild nehmen können und dann sehen, wie du auf die Tasten tippst und sagen: "Das ist Gregor, so tippt Gregor." Aber wenn man maschinelles Lernen in diese Situation einführt, kann man plötzlich ein Bild erstellen und es nutzen, um die identifizierenden Signaturen eines Menschen wie Gregor herauszufinden.

[00:21:15] Okay. Ich sehe die Zukunft der Cybersicherheit, ähm, der Hunde möglicherweise in diesem Bereich der Identifizierung, ähm, der Identifikation. In der Lage zu sein, zu überprüfen, wer die Benutzer an den verschiedenen Enden der Linie sind, weil jeder einen einzigartigen Geruch hat, und Hunde, wissen Sie...

[00:21:32] Garrett O'Hara: Richtig!

[00:21:32] ... oder ein Herzschlag, äh, sie könnten, könnten möglicherweise verwendet werden. Wissen Sie, wir haben bereits Hunde, die bei der Polizei eingesetzt werden.

[00:21:38] Garrett O'Hara: Warum nicht? Ein Wuff ist also gut, zwei Wuffs sind schlecht?

[00:21:40] Ich glaube schon.

[00:21:40] [lacht].

[00:21:40] Garrett O'Hara: Wie funktioniert das?

[00:21:40] Ich glaube schon. Äh, ja. Geben Sie den Passcode ein, oder der Welpe bekommt ihn. Ja, ja.

[00:21:47] Garrett O'Hara: Wow, das ist eine wirklich düstere Idee. (lacht).

[00:21:50] Was diese de-identifizierten Datensätze anbelangt, so gibt es zum Beispiel für einen Hackathon eine Menge Datensätze im Internet, die die Leute in Tableau oder anderen Plattformen für Massendaten ausprobieren können. Ist es wirklich eine gute Idee, dass einige dieser Unternehmen, insbesondere staatliche Organisationen, diese Datensätze bereitstellen? Ist es eine gute Idee, das zu tun oder nicht?

[00:22:23] Garrett O'Hara: Äh, sehen Sie, es ist, es ist wahrscheinlich eine persönliche Meinung. Ich denke, dass es für die Gesellschaft in vielerlei Hinsicht nützlich ist, wenn es erst einmal kontrolliert wird und wenn die Daten gut anonymisiert werden, und lustigerweise kann man dafür auch Dinge wie ML verwenden. Es gibt also eine Kraft für das Gute und maschinelles Lernen, äh, Entschuldigung, KI. Ähm, das können Sie also tun. Und sehen Sie, meine persönliche Meinung ist, dass der Nutzen für die Gesellschaft durch die Bereitstellung dieser Datensätze manchmal die potenziellen Probleme mit dem Datenschutz überwiegt, aber es kommt wieder auf die gute Praxis an.

[00:22:56] Ja.

[00:22:56] Garrett O'Hara: Ähm, und wissen Sie, in Bezug auf die Kontrolle der Daten gebunden zu sein-

[00:22:59] Ja.

[00:22:59] Garrett O'Hara: ... und klug zu sein, wenn es darum geht, ob es de-identifiziert werden kann?

[00:23:02] Ja.

[00:23:02] Garrett O'Hara: Sie wissen schon, diese zynischen Fragen stellen. Wenn ein Abgeordneter seinen Standort twittert [lacht], können wir dann anhand der Myki-Daten seine Reise herausfinden?

[00:23:10] Ja.

[00:23:10] Garrett O'Hara: ... in diesem Beispiel?

[00:23:11] Also, was hätte das Verkehrsministerium in diesem Fall tun sollen? Ähm, wissen Sie, ob es... ob sie diese Daten für diesen, äh, Datenmarathon überhaupt nicht hätten teilen sollen? Gibt es eine Möglichkeit, die Daten in größerem Umfang zu deanonymisieren? Sie haben also nur... vielleicht verwenden Sie eine Stichprobengröße von nur 5 % dieser Daten und nicht die vollständigen Reiseaufzeichnungen. Sie haben also nur diese kleine Stichprobengröße, oder Sie stoßen immer noch auf einige der gleichen Herausforderungen, die es gibt.

[00:23:37] Garrett O'Hara: Also, ich bin kein Datenwissenschaftler [lacht], also ist das in vielerlei Hinsicht nur eine Vermutung von mir, aber ich vermute, was passieren würde, ist, dass sich der Wert der Daten vom Nützlichen wegbewegen könnte.

[00:23:49] Jawohl.

[00:23:49] Garrett O'Hara: ... wenn man zu sehr in die Richtung geht, dass man es anonymisiert oder de-identifiziert. Ich glaube, dass es einige gute Algorithmen gibt, die das tun und gute Arbeit leisten. Es kommt also wahrscheinlich auf die Qualität der Datenwissenschaftler an, die daran arbeiten, die Informationen zu de-identifizieren.

[00:24:10] Mimecast ist ein Anbieter von Cybersicherheitslösungen, der Tausenden von Unternehmen weltweit dabei hilft, E-Mails sicherer zu machen, Vertrauen wiederherzustellen und die Widerstandsfähigkeit im Internet zu stärken. Mit der Mimecast CloudSuite können Unternehmen eine umfassende Cyber-Resilience-Strategie umsetzen. Von E-Mail- und Web-Sicherheit, Archivierung und Datenschutz bis hin zu Awareness-Schulungen, Gewährleistung der Betriebszeit und mehr. Mimecast hilft Unternehmen, Cyberangriffen, menschlichem Versagen und technischem Versagen zu trotzen.

[00:24:38] Gehen Sie zu mimecast.com/demo um noch heute eine persönliche Demonstration mit einem unserer Teammitglieder zu buchen, und Sie werden herausfinden, warum sich mehr als 30.000 Unternehmen auf Mimecast verlassen, wenn es um Cyber Resilience geht.

[00:24:51] Als Nächstes haben wir Mitch Owens von Gilbert and Tobin, der mit Gar darüber spricht, wie es ist, ein CTO für eine Anwaltskanzlei zu sein.

[00:24:59] Garrett O'Hara: Also Mitch, äh, schön, dich heute zu sehen, und danke, dass du uns zu einem Gespräch eingeladen hast. Können wir damit beginnen, Ihre Rolle hier bei Gilbert und Tobin kurz zu umreißen?

[00:25:09]Mitch Owens: [00:25:09] Ja. Hier bei Gilbert und Tobin bin ich also der Chief Technology Officer, also im Grunde für die gesamte Technologie verantwortlich. Die Struktur des Führungsteams hier sieht so aus, dass ich dem COO unterstellt bin. Ich habe also die Gesamtverantwortung für die Technologie, wir haben keinen CIO. Ähm, und dann gibt es unter mir die Standardbereiche für den Technologiebetrieb, wie z. B. Service Desk, Sicherheit, Infrastruktur, Schulung, Anwendungsunterstützung.

[00:25:36] Garrett O'Hara: Yup. Also, sozusagen alles?

[00:25:38] Jawohl.

[00:25:38] Garrett O'Hara: Ja, gute Zeiten.

[00:25:39] Alles in allem.

[00:25:40] Garrett O'Hara: Ja. Und wie lange sind Sie schon auf Cybersicherheit spezialisiert, wenn man sich [inaudible 00:25:45] ansieht?

[00:25:46] Äh, hören Sie, ich... Das ist eine interessante Frage. Ich glaube, Sie meinen, dass jeder ein Generalist ist, wenn es um Cybersicherheit geht, wenn man heutzutage im Technologiebereich arbeitet. Ich bin sozusagen mein ganzes Leben lang in der Technologiebranche tätig gewesen, 25 Jahre lang. Ich bin in den letzten drei bis vier Jahren in diese Rolle hineingewachsen und habe die CTO-Rolle aufgegeben. Es gab einen großen Fokus auf Cyberspace. Dafür gibt es eine Reihe von Gründen. In einer Anwaltskanzlei ist man natürlich im Besitz vieler Daten und ist auch dafür verantwortlich. Man muss also die Art und Weise ändern, wie man an die Dinge herangeht. Es geht also nicht mehr nur um Systeme und Abwehrmaßnahmen.

[00:26:26] Garrett O'Hara: Mm-hmm [bejahend].

[00:26:26] ... es geht auch um Menschen. Also.

[00:26:27] Garrett O'Hara: Hmm. Da Sie seit 25 Jahren im Geschäft sind, haben Sie in dieser Zeit sicher viele Veränderungen erlebt?

[00:26:33] Ja. Ich sage Ihnen, die große Veränderung, die ich sehe, betrifft die Art und Weise, wie die Menschen die Technologie nutzen. Sie wollen also eher eine konsumorientierte Art der Technologieversorgung.

[00:26:43] Garrett O'Hara: Ja.

[00:26:43] Also, früher habe ich für Organisationen gearbeitet, bei denen es so war, dass alle Banken, du hast deinen Desktop, alles ist abgesperrt, du kannst nichts machen. Es gibt ein Bild, und jetzt sind es Menschen mit Laptops, Handys und iPads. Sie wollen in der Lage sein, ihre Daten zu konsumieren, egal ob es sich um ein Arbeitsgerät oder ein privates Gerät handelt, und wie trennt man diese Art von Daten. Es hat sich also ein großer Wandel in der Art und Weise vollzogen, wie die Menschen Technologie konsumieren. Und ich denke, dass dies zu einem großen Teil auf die technologischen Fortschritte im Cyberspace zurückzuführen ist.

[00:27:06] Garrett O'Hara: Ja, definitiv. Sehen Sie, wenn wir mit den Leuten sprechen, manchmal ein gewisses Spannungsverhältnis zwischen den Erwartungen der Leute, ihre eigenen Geräte mitzubringen, ihre eigenen Anwendungen zu entwickeln, Sie wissen schon, funktionale Bereiche innerhalb eines Unternehmens, einfach loszuziehen und ihr eigenes Ding zu machen?

[00:27:19] Ja, sehen Sie, ich denke, das ist eine Herausforderung, denke ich, aber die, die, die Ansicht, die ich vertrete, dass, wenn, wenn ich ein Hindernis für Leute werde, die Technologie auf unterschiedliche Weise konsumieren wollen, ähm, es ist, es ist irgendwie wie... Wissen Sie, eine Menge angestellter Leute vermeiden es, wissen Sie, Technologie in diese Diskussion zu bringen. In dieser Hinsicht bin ich also ziemlich offen, ich arbeite gerne mit den Leuten zusammen und sage: "Na gut, was willst du machen? Lassen Sie uns Ihnen helfen, eine Lösung zu finden". Das ist der Ansatz, den wir hier verfolgen.

[00:27:45] Garrett O'Hara: Yup. Und ich nehme an, dass Sie dadurch ein paar Freunde in der Branche gewinnen, wenn Sie nach [unhörbar 00:27:49] einer Straßensperre suchen?

[00:27:48] Äh, ja, sehen Sie, sehen Sie, das ist es. Ich meine, einige der Produkte, die ich verwendet habe, wissen Sie, was ich meine? Wir waren damals sozusagen die ersten Verbraucher dieser Produkte in Australien oder Asien, wissen Sie, was ich meine?

[00:28:01] Garrett O'Hara: Hmm.

[00:28:01] Denn ich habe sie gesehen, ich finde sie wirklich gut.

[00:28:02] Garrett O'Hara: Yup.

[00:28:03] Und die wollen wir mal ausprobieren.

[00:28:04] Garrett O'Hara: Yup.

[00:28:04] Wissen Sie, die Art und Weise, wie man heute Technologie kauft, ist nicht mehr an Dreijahresverträge gebunden, Sie wissen schon, pro Person, pro Monat, so etwas.

[00:28:12] Garrett O'Hara: Ja.

[00:28:12] Es ist also sehr einfach, es zu versuchen und zu scheitern.

[00:28:15] Garrett O'Hara: Ja, absolut. Haben Sie das Gefühl, dass das die Chancen für die Verkäufer erhöht, da man relativ leicht davonkommen kann? Haben Sie das Gefühl, dass sie sich vor allem bei den SAS-Modellen verbessert haben, um Ihr Geschäft jedes Jahr neu zu gewinnen?

[00:28:25] Ja. Es hat sich also ein massiver Wandel in der Vorgehensweise der Kundenbetreuer vollzogen, die jetzt versuchen, mit Ihnen eine Partnerschaft einzugehen, die über den reinen Verkauf hinausgeht.

[00:28:33] Garrett O'Hara: Ja.

[00:28:34] Man bekommt viel mehr Zugang zu den Technologie-Leuten hinter den Kulissen, und das ist der Punkt, an dem wir wirklich sein müssen, denn Sie haben ein SAS-Angebot, wir haben ein anderes SAS-Angebot, wir müssen sie miteinander reden lassen.

[00:28:44] Garrett O'Hara: Yup.

[00:28:44] SO, wir, wir brauchen wirklich Produkte, die miteinander kommunizieren, im Gegensatz zu den Lösungen, die man im eigenen Haus entwickelt.

[00:28:50] Garrett O'Hara: Ja, ich verstehe.

[00:28:51] Aber ja, wir haben dort eine Menge Veränderungen gesehen.

[00:28:52] Garrett O'Hara: Sie sprechen da einen interessanten Punkt an, denn die Integration und die Idee dieser Security Fabrics, Referenzarchitektur, Sie wissen schon, was auch immer Sie für einen Begriff verwenden wollen, haben wir in den letzten drei... nein, 12 bis 18 Monaten definitiv gesehen.

[00:29:04] Ja.

[00:29:04] Garrett O'Hara: ... immer mehr Unternehmen sehen das als eine Möglichkeit, ihre Sicherheitslage zu verbessern. Haben Sie ein Programm zur Integration von Punktlösungen aus der Sicherheitsperspektive entwickelt?

[00:29:13] Ja, sehen Sie, das tun wir. Sie wissen also, dass wir, Sie wissen schon, letztendlich alle hinten auf denselben Bahnsteig gehen müssen. Sie wissen, was ich meine? Alles, was wir jetzt einführen, das irgendeine Art von Anwendung für das Benutzerverhalten hat, hat eine Art von Log-in, ein Log-in dafür. Wissen Sie, all unsere anderen Plattformen rund um das Thema Sicherheitsbewusstsein, und davon gibt es inzwischen Tausende.

[00:29:30] Garrett O'Hara: Mm-hmm [bejahend].

[00:29:30] Ähm, aber wissen Sie, wir achten immer darauf, dass etwas, das wir einführen, mit unserem bestehenden Zustand zusammenarbeitet. Wir wollen nicht alles in Stücke reißen.

[00:29:37] Garrett O'Hara: Yup.

[00:29:37] Ähm, und es gibt einen großen Fokus auf diese Integrationspunkte, äh, ob es nun SAP ist oder einfach nur der allgemeine Technologiekonsum.

[00:29:42] Garrett O'Hara: Yup. Gehen Sie auf jeden Fall hin. Würden Sie also die Cybersicherheit als ein kritischeres Thema für Ihr Unternehmen betrachten als für andere?

[00:29:51] Äh, alle... Ich denke, jedes Unternehmen, bei dem Cyberfragen nicht zu den obersten ein oder zwei Prioritäten gehören, sei es im Technologieteam oder im Unternehmen als Ganzes, hat wahrscheinlich die falschen Dinge im Blick. Auf jeden Fall G&T i - es ist eine sehr große Sache, auf die wir uns konzentrieren, und zwar aus mehreren Gründen. Wir arbeiten mit vielen Kunden zusammen, die in regulierten Umgebungen tätig sind.

[00:30:12] Garrett O'Hara: Yup.

[00:30:12] ... wenn sie uns also ihre Daten anvertrauen, müssen wir dafür sorgen, dass wir sie gemäß ihren Datenstandards pflegen und schützen. Das bedeutet, dass wir nicht mehr nur eine Anwaltskanzlei sind, sondern fast eine Art Mini-Bank-Sicherheit.

[00:30:27] Garrett O'Hara: Yup.

[00:30:27] Ähm, ja, da sind also die großen Leute dabei. Und da wir jetzt eine Anwaltskanzlei sind, arbeiten wir auch viel in Unternehmensangelegenheiten. Es gibt viel marktsensibles Material, und es ist seit vielen Jahren bekannt, dass Anwaltskanzleien ein kritischer Teil der Lieferkette sind, wenn es darum geht, mit diesen Kunden zu arbeiten, muss man seine Daten schützen, und es ist wie das alte Sprichwort: Daten sind das neue Öl.

[00:30:52] Garrett O'Hara: Ja. (lacht).

[00:30:52] Äh, wissen Sie, was ich meine? Das ist die Richtung, in die es gehen wird.

[00:30:54] Garrett O'Hara: Yup. Ja, das höre ich auch immer wieder. Was die praktischen Ansätze betrifft, was machen Sie jetzt anders angesichts des zunehmenden Drucks durch Vorschriften und die Einhaltung von Bestimmungen?

[00:31:05] Oh, sehen Sie, ich denke, es ist, es ist, es bedeutet, dass jeder sein Spiel verbessern muss.

[00:31:08] Garrett O'Hara: Yup.

[00:31:08] Äh, und weißt du, was ich meine? Als Anwaltskanzlei bin ich schon seit langem auf dem Weg, unsere Umwelt zu verbessern. In den sechs Jahren, die ich hier bin, und definitiv in den letzten vier, ähm, und ich denke, alle Kanzleien tun das, ich denke, jeder tut das im Allgemeinen. Wenn uns also ein Kunde Daten übergibt, kann er sicher sein, dass wir die gleichen Kontrollen durchführen, die er auch in seinem eigenen Unternehmen durchführen würde. Wir werden also sozusagen zu einer Erweiterung ihres Geschäfts, während sie ein gewisses Risiko eingehen, wenn sie uns etwas vor die Tür schicken, wenn Sie verstehen, was ich meine.

[00:31:44] Garrett O'Hara: Ja. Ich verstehe das auf jeden Fall, denn wir hören von Lieferkettenbetrug.

[00:31:49] Ja.

[00:31:49] Garrett O'Hara: ... und, und, und, wissen Sie, die Vorstellung von, äh, Ihrer Abhängigkeit von den Leuten, mit denen Sie arbeiten und mit denen Sie Partner sind.

[00:31:54] Jawohl.

[00:31:54] Garrett O'Hara: Äh, ist das etwas, das Sie nachts wach hält? Ähm [Crosstalk 00:31:57].

[00:31:56] Äh...

[00:31:57] Garrett O'Hara: Wie gehen Sie damit um?

[00:31:58] Ja, weißt du, was ich meine? Es ist immer einfach. Du kannst... du, du, du bist nur so gut wie dein schwächstes Glied.

[00:32:04] Garrett O'Hara: Yup.

[00:32:04] Weißt du, was ich meine? Aus technologischer Sicht verbringen wir viel Zeit damit, Abwehrmaßnahmen zu treffen und sicherzustellen, dass die Daten auf den Geräten geschützt sind, wo sie sich befinden und wer sie verwendet. Ähm, wissen Sie, was ich meine? Es gibt immer, und das gilt für jedes Unternehmen, eine Bedrohung durch Insider, verstehen Sie, was ich meine?

[00:32:20] Garrett O'Hara: Yup.

[00:32:20] Das ist wahrscheinlich die Sache, die mich nachts wach hält. Die Insider-Bedrohung ist wahrscheinlich eine. Und dann gibt es natürlich noch ein paar andere Dinge, die mit staatlicher Förderung zu tun haben, vor allem, wenn man im Bereich marktsensibler Informationen arbeitet.

[00:32:32] Garrett O'Hara: Hmm.

[00:32:32] ... warum zur Bank gehen, wenn man zur Anwaltskanzlei gehen kann, um diese Art von Informationen zu bekommen. Diese Dinge halten mich also nachts wach, und ich arbeite intensiv mit meinem Team und den Sicherheitsteams einiger unserer Kunden zusammen, um sicherzustellen, dass wir ihren Verpflichtungen nachkommen.

[00:32:48] Garrett O'Hara: Yup. Ja [unhörbar 00:32:49]. Ähm, in Bezug auf Ihre Mitarbeiter, die Ihnen direkt unterstellt sind, nehme ich an, und dann in der breiteren Organisation, wie sehen Sie sie und wie werden sie mit dem, nennen wir es Cyber-Bewusstsein, oder dem Sicherheitsbewusstsein und, Sie wissen schon... Wo stehen sie?

[00:33:03] Äh, äh, sehen Sie, die... ich... es ist heutzutage die Verantwortung eines jeden für das Sicherheitsbewusstsein in einem Unternehmen. Wissen Sie, was ich meine? Wir als Unternehmen führen jährlich obligatorische Schulungen zum Thema Cyber-Awareness durch.

[00:33:13] Garrett O'Hara: Yup.

[00:33:13] ... oder Schulungen zum Sicherheitsbewusstsein, die nicht nur die Cybertechnologie, sondern auch die physische Sicherheit abdecken.

[00:33:18] Garrett O'Hara: Yup.

[00:33:18] Ähm, und wir führen auch viele Tests durch, äh, das ganze Jahr über. Ob es nun Penetrationstests sind, Sie wissen schon, monatlich, jährlich und so weiter. Und dann führen wir auch regelmäßig monatliche Sicherheitsschulungen mit den Benutzern durch, um ihnen einige Informationen zu geben, die sie im Hinterkopf behalten können. Ähm, wissen Sie, und das ist ziemlich gut angekommen bei, äh, wissen Sie, wir haben jetzt eine Menge Benutzer, äh, die das Personal anrufen, weil sie denken, "Ah, es ist etwas, das ein bisschen komisch ist, das ich irgendwie eskalieren muss." Weißt du, oft ist es ein falsches Positiv.

[00:33:51] Garrett O'Hara: Yup.

[00:33:51] ... aber wir wissen das jetzt zu schätzen, wenn wir darüber nachdenken.

[00:33:53] Garrett O'Hara: Yup. Ja, ja. Bei Fehlalarmen hören wir oft, dass die SOC-Analysten des Sicherheitsteams viel Zeit damit verbringen, Rauch zu jagen.

[00:34:05] Ja. Ja, ja.

[00:34:05] Garrett O'Hara: Weißt du, da ist eigentlich nichts. Ist das ein Problem für euch? Was denken Sie... was sind Ihre Gedanken zu [Überschneidung 00:34:10]?

[00:34:10] Äh, ja, weißt du, was ich meine? Das ist es. Ich glaube, dass es in diesem Bereich der Technologie eine Menge falsch positiver Meldungen gibt.

[00:34:18] Garrett O'Hara: Mm-hmm [bejahend].

[00:34:18] Ähm, es ist ein Schwerpunktbereich für unser Geschäft. Denn wenn man die falsch positiven Ergebnisse abtut und sagt, dass alles ein falsches Positiv ist, werde ich nicht stichprobenartig prüfen, ob nur ein positives Positiv, Sie wissen schon, ein Verstoß oder was auch immer, durchkommt. Und als Unternehmen ist Ihr Ruf so schlecht...

[00:34:37] Garrett O'Hara: Ja.

[00:34:37] Falschmeldungen können zwar als Ressourcen-, Zeit- und Geldverschwendung angesehen werden, aber es gibt sie aus gutem Grund. Egal, ob es sich dabei um die Schulung des Personals oder um die Schulung des SOC-Analysten handelt, damit er weiß, was passiert, und es wahrscheinlich etwas schneller verarbeiten kann.

[00:34:53] Garrett O'Hara: Yup.

[00:34:53] Ähm, aber dann können sie die tatsächlichen Bedrohungen viel schneller erkennen, weil sie diese Art von Trainingsprogrammen zur Vermeidung von Fehlalarmen absolviert haben. Ich werde es also so sehen.

[00:35:02] Garrett O'Hara: Yup. Ja, ja. Verstanden. Um noch einmal auf die Sensibilisierung der Nutzer und die Ausbildung der Mitarbeiter zurückzukommen: Machen Sie irgendetwas anders als andere Organisationen, was die Ausbildung betrifft? Um-

[00:35:16] Ja, hören Sie, wir haben kürzlich dieses fantastische Produkt namens Ataata Security Awareness Training auf den Markt gebracht.

[00:35:22] Garrett O'Hara: Okay.

[00:35:22] Ähm, und es... sieh mal, es ist wirklich gut angekommen, weil Cybersicherheitsschulungen von Natur aus ziemlich langweilig sind.

[00:35:31] Garrett O'Hara: Ich denke schon, ja.

[00:35:32] Jeder wird davon gelangweilt. Und was wir bei einigen dieser Trainingsmodelle festgestellt haben, ist, dass sie sehr [unhörbar 00:35:37] sind.

[00:35:37] Garrett O'Hara: Yup.

[00:35:38] ... also wissen Sie, sie, sie, sie machen ein bisschen Witze über das Thema, aber es, es bringt die Leute zum Nachdenken, und sie sagen: "Oh, eigentlich sehe ich mir diese Videos gerne an, und sie sind ziemlich lustig." Aber die Art und Weise, wie es geliefert wird, wissen Sie, was ich meine? Das ist ein Ergebnis von, Sie wissen schon... Ich glaube, wir sind jetzt seit etwa fünf Monaten dabei. Die Leistung der Menschen und die Art und Weise, wie sie Bedrohungen erkennen, ob sie nun falsch positiv sind oder nicht, hat sich dramatisch verbessert. Also...

[00:36:06] Garrett O'Hara: Ja, das ist schön zu hören. Woher bekommen Sie Informationen? Offensichtlich haben Sie einen ziemlich komplexen Job, und man hört in dieser Branche jeden Tag eine Lawine von Informationen.

[00:36:16] Ja.

[00:36:17] Garrett O'Hara: Es passiert so viel in dieser Branche, dass sie wahrscheinlich eine der sich am schnellsten bewegenden der Welt ist.

[00:36:21] Jawohl.

[00:36:21] Garrett O'Hara: Äh, wohin gehen Sie, um herauszufinden, was wichtig ist?

[00:36:24] Ich lese eine Menge Newsletter, die mir jeden Tag in den Posteingang geliefert werden, und auch Themen, die mir gefallen. Ich spreche auch mit einer Menge Leute. Innerhalb der Rechtsabteilung gibt es eine gute Bruderschaft von CIOs aus der Rechtsabteilung, und wir tauschen uns ein paar Mal pro Woche aus, sogar per E-Mail.

[00:36:45] Garrett O'Hara: Yup.

[00:36:45] ... bestimmte Dinge. Und wissen Sie, am Wochenende gab es sogar eine, bei der es um den Sexploitation-Betrug ging.

[00:36:52] Garrett O'Hara: Richtig!

[00:36:52] Am Montagmorgen ist eine E-Mail im Posteingang, und alle fragen sich: "Na gut, was ist hier passiert? Wurden Sie davon getroffen? Was machst du da?" Und so weiter. Wir halten uns also gegenseitig auf dem Laufenden über das, was in unserer Sache passiert. Es hilft ihnen also auch irgendwie. Ich habe auch ein paar vertrauenswürdige Anbieter, mit denen ich zusammenarbeite, und auch Integratoren, mit denen ich viel Zeit verbringe, um mit ihnen zu sprechen und, wie Sie schon sagten, auf die Sicherheitsstruktur und solche Dinge zurückzugreifen. Also, Fragen zu stellen wie: "Okay, wenn wir diesen Weg gehen wollen, wie passt das irgendwie hierher?"

[00:37:21] Garrett O'Hara: Yup.

[00:37:22] Sie wissen also, was ich meine? Man kann heutzutage nicht mehr alles selbst machen, weil es so viel gibt. Man muss sich also auf einige vertrauenswürdige Leute verlassen, die einen auf diesen Weg bringen. Und, wissen Sie, das ist nichts, wo man einfach zum Telefon greift oder mit einem Anbieter spricht und sagt: "Hey, gib uns etwas", und schon ist das Problem gelöst. Man muss da runtergehen, mit ihnen in den Graben gehen und ein bisschen was für sie tun, dann hat man einen Nutzen davon.

[00:37:43] Garrett O'Hara: Yup. Haben Sie das Gefühl, dass die Zusammenarbeit in den letzten 25 Jahren besser geworden ist und... Ich meine, wenn ich zurückdenke, hatte ich das Gefühl, dass die Unternehmen oft isoliert sind und nicht...

[00:37:55] Ja.

[00:37:55] Garrett O'Hara: ... über diese Dinge zu kommunizieren, und Sicherheit war nicht wirklich ein Thema. Haben Sie das Gefühl, dass Sie Ihre Herangehensweise so gestalten müssen, dass Sie Gleichgesinnte in anderen Organisationen haben? Und-

[00:38:03] Ja, ich glaube, ich glaube schon. Wahrscheinlich war es am Anfang sehr ähnlich. Wenn also etwas in der Branche passiert, war es sehr ruhig.

[00:38:11] Garrett O'Hara: Hmm.

[00:38:11] Ähm, und was meinst du? Es wurde nichts veröffentlicht, oder man hat es nicht publik gemacht, weil man diesen negativen Beigeschmack nicht haben wollte. Selbst die Kommunikation, die wir jetzt haben, und einige der Dinge, über die wir sprechen, bedeuten nicht, dass etwas Böses im Unternehmen passiert, aber hey...

[00:38:26] Garrett O'Hara: Hmm.

[00:38:27] ... es ist ein bisschen Spam oder Phishing oder...

[00:38:28] Garrett O'Hara: Ja.

[00:38:29] ... Sie wissen schon, einfach eine Massen-E-Mail, äh, äh, eine Drohung. Und, wissen Sie, wir tauschen diese Art von Informationen in der Gruppe aus, um alle auf dem Laufenden zu halten. Dann können wir mit einigen unserer Anbieter zusammenarbeiten und sagen: "Also gut, das ist passiert, wir verwenden alle Anbieter I. Was können wir tun, um uns beim nächsten Mal zu schützen?" In dieser Hinsicht ist es also ganz gut, weil man dann sozusagen ein Volumen in Zahlen bekommt, wenn Sie wissen, was ich meine.

[00:38:53] Garrett O'Hara: Ich verstehe dich. Ja, ja.

[00:38:53] Es gibt also eine Zusammenarbeit, die das betrifft. Und zum Beispiel haben wir 2018 ein paar große Sicherheitslücken mit Wannacry und...

[00:39:05] Garrett O'Hara: Richtig.

[00:39:05] [unhörbar 00:39:06] und solche Sachen. Ähm, aber du weißt schon, wie die Leute zusammen waren, als das passiert ist, du weißt schon...

[00:39:10] Garrett O'Hara: Mm-hmm [bejahend].

[00:39:11] Da kam jemand auf uns zu und sagte: "Alles klar, können wir Ihnen helfen, was brauchen Sie?"

[00:39:14] Garrett O'Hara: Ja.

[00:39:14] Und wissen Sie, die Leute versuchen einfach, anderen Unternehmen zu helfen, sich zu erholen und auch von etwas zu lernen. Das hat aber ganz gut funktioniert.

[00:39:20] Garrett O'Hara: Yup. Und, und das hängt irgendwie damit zusammen, aber dann die Vorstellung, wenn Dinge schief gehen, ich würde gerne Ihre Meinung dazu hören, ob sie... die Wahrnehmung, wenn Dinge schief gehen, ich glaube, es gab immer ein bisschen Schuldzuweisung...

[00:39:32] Ja.

[00:39:32] Garrett O'Hara: ... ich meine, du weißt schon, "Oh, sieh sie dir an, sie haben es vermasselt".

[00:39:33] Ja.

[00:39:34] Garrett O'Hara: Ich habe das Gefühl, dass sich das zu ändern beginnt-

[00:39:36] Ja.

[00:39:36] Garrett O'Hara: ... wo ich denke, dass wir alle irgendwie erkennen, dass es jeden von uns treffen könnte.

[00:39:39] Ganz genau. Heutzutage gibt es so viele Angriffsvektoren. Und wenn man die einfachen Dinge richtig macht, kann man sich bis zu einem gewissen Grad selbst schützen. Aber wissen Sie, Sie haben recht, wenn Dinge schief gehen, wo es früher hieß: "Äh, ja, ja". Aber jetzt schauen alle: "Na gut, was ist da drüben los? Sind wir hier drüben geschützt?"

[00:40:00] Garrett O'Hara: Yup.

[00:40:01] Wissen Sie, man ist sozusagen... man ist dann ständig wachsam, und man steigert die Anforderungen und, wissen Sie, diese Art von Dingen. Und wissen Sie, Sie wollen nicht auf der Titelseite einer Zeitung stehen, wenn Ihnen hier etwas passiert, das will niemand.

[00:40:11] Garrett O'Hara: Ja.

[00:40:11] Es gibt also keine, äh, Schuldzuweisungen mehr, glaube ich, denn die Bedrohungen sind real.

[00:40:16] Garrett O'Hara: Yup. Ja, ja. Verstanden. Und habt ihr auch eine Cyberversicherung? Oder was, was denken Sie darüber? Denn ich weiß, dass es da einige Vor- und Nachteile gibt.

[00:40:24] Ja, sehen Sie, ich denke, ähm, also ja, als Unternehmen haben wir eine Cyberversicherung. Wir haben heute das große Glück, dass wir nie einen Antrag auf "Touch Wood" stellen mussten. Aber sie sind aus einem bestimmten Grund da, nicht wahr? Sollte es also zu einem Cyberangriff kommen, können die Kosten für die Wiederherstellung und Untersuchung des Schadens erheblich sein.

[00:40:44] Garrett O'Hara: Yup.

[00:40:44] Ähm, Sie wissen schon, ob es sich um einen Imageschaden für das Unternehmen handelt, oder ob es nur darum geht, die Technologie wieder betriebsbereit zu machen, und all diese Dinge. Das ist sozusagen der Grund, warum wir das haben, und die meisten Unternehmen haben das auch. Und noch einmal: Es ist eine Versicherungspolice. Sie meinen also, um diese Versicherungspolice aufrechtzuerhalten, kann man nicht einfach auf die Straße gehen und sie sich holen.

[00:41:03] Garrett O'Hara: Yup.

[00:41:03] Wissen Sie, man braucht ein gewisses Maß an Sicherheit und, Sie wissen schon, einen Prozess und, und, und Leute, die sagen: "Na gut, Sie sind ein akzeptables Risiko, um Ihnen eine Versicherungspolice zu geben."

[00:41:16] Garrett O'Hara: Yup.

[00:41:17] Die Tatsache, dass du sie bekommst, bedeutet also, dass du trotzdem etwas tust, denn ja, wenn du ein echtes Risiko wärst, würde die Versicherungspolice, egal wie viel sie dir dafür berechnen, wenn es dich erwischt, das Zehnfache kosten. Sie werden sie also nicht an jeden ausgeben, es ist nicht wie bei einer Vollkaskoversicherung für Autos.

[00:41:33] Garrett O'Hara: Ja. Bewerben Sie sich quasi online.

[00:41:34] Ja, ja.

[00:41:34] Garrett O'Hara: Es ist ein bisschen mehr als das. Was die Cyber-Versicherung angeht, sehen Sie, dass diese in Verträgen auftaucht und für die Organisationen, mit denen Sie zusammenarbeiten, zur Pflicht wird?

[00:41:45] Ähm, das habe ich nicht gesehen, nicht in den Stücken, in die ich involviert bin, wenn es um Ausschreibungen geht und so weiter.

[00:41:52] Garrett O'Hara: Hmm.

[00:41:53] Ähm, aber was ich zunehmend sehe, ist, dass sie aus organisatorischer Sicht Zertifizierungen wollen, Sie wissen schon, ISO27001, ISMS, SSAE SOC2 und dergleichen. Ich denke also, dass es irgendwann zum Standard werden wird, dass man eine Cyberversicherung haben muss. Ich glaube, dass die Kunden im Moment versuchen, eine Zertifizierung zu erzwingen, weil sie wissen, dass man, wenn man die Zertifizierung hat, jährlich extern geprüft wird, dass man ein bestimmtes Niveau an Prozessen, Verfahren und Plattformen zum Schutz der Daten anwendet. Ich denke also, dass dies der erste Schritt ist, aber ich kann mir durchaus vorstellen, dass es weitergehen wird.

[00:42:31] Garrett O'Hara: Yup. Und auf welche Konferenzen gehen Sie?

[00:42:35] Uh-

[00:42:36] Garrett O'Hara: Und dann wahrscheinlich ein zweiter Teil der Frage, warum, warum wählen Sie diese speziellen Konferenzen?

[00:42:39] Ja, also ich komme gerade von einem zurück. Im August war ich auf der ILTA con, die dieses Jahr in Florida stattfand, das ist die International Legal Technology Association Conference. Das ist wie Disneyland...

[00:42:54] Garrett O'Hara: Yup.

[00:42:54] ... für, Sie wissen schon, juristische Techniker. Und lustigerweise war das in Disneyland in Florida.

[00:42:58] Garrett O'Hara: Richtig! Gute, gute Zeiten. (lacht).

[00:43:00] Gute Zeiten. Aber ja, da gehe ich hin. Ich war dieses Jahr und letztes Jahr dort, aber ich habe mir vorgenommen, jedes Jahr dorthin zu gehen. Denn man lernt eine Menge, es geht um Benutzer, um Bildung, um die Vernetzung mit Gleichgesinnten, um neue Produkte von Anbietern.

[00:43:16] Garrett O'Hara: Hmm.

[00:43:16] Und einfach allgemeine Diskussionen über alles und jedes. Ob es nun um Sicherheit geht oder allgemein um Rechtstechnologie und andere Dinge. Ich versuche auch, jedes Jahr an der Law Tech teilzunehmen, die in Australien stattfindet. Ich sollte eigentlich zum RQ gehen, das ist momentan eines meiner Ziele, aber ich schaffe es dieses Jahr nicht dorthin. Und im Allgemeinen führen viele unserer Anbieter spezielle Produktaktualisierungen oder Ähnliches durch. Also, ähm, ich werde zu denen kommen, die ich für passend halte.

[00:43:46] Also, ich, ich habe wahrscheinlich fünf oder sechs Kernprodukte in meinem Cyber-Arsenal, wie ich es nenne, und ich werde sicherstellen, dass unser Arm über sie, wissen Sie. Und ich bin sehr detailverliebt in solchen Dingen. Wahrscheinlich sogar mehr als der normale CIO oder CTO. Ich weiß sozusagen, wie sie arbeiten, was sie tun und wie sie für sie arbeiten, denn das ist ein großer Teil dessen, was mein Team zu tun und zu sein hat und wofür es verantwortlich ist.

[00:44:10] Garrett O'Hara: Yup. Jawohl. Und was sind Ihre Ziele für dieses Haushaltsjahr?

[00:44:15] Ähm, also schau mal, meinst du, äh, dieses, dieses Jahr haben wir, wir waren generell ein großer Einkauf bei [inaudible 00:44:23]. Ich habe den Wandel geleitet, also haben wir viele der Backend-Plattformen geändert, die die Technologie-Nutzer verwenden. Dieses Jahr steht für mich also ganz im Zeichen der Nutzerakzeptanz. Es geht also nur darum, einige der Plattformen, die wir haben, zu nutzen, damit die Nutzer sie besser verwenden. Allerdings gibt es noch ein paar andere Dinge, mit denen wir uns befassen, z. B. mit ISO-Zertifizierungen. Ähm, und wissen Sie, ich habe gerade einen Blick auf, ähm ... wahrscheinlich versuchen, ein bisschen mehr zu tun, um, ähm, Daten und Datensicherheit, äh, und Datenanalyse a- als auch.

[00:44:54] Bei der Datensicherheit geht es also darum, die Daten zugänglich zu machen und trotzdem sicher zu sein, und wie schaffen wir das? Und Sie wissen, dass die Daten dort liegen, wo sie sind. Und wenn Sie wissen, dass jemand in der Organisation leiht, stellen Sie sicher, dass das alles erfasst wird. Sie meinen also, es ist Kontrolle, aber es wird darauf zugegriffen.

[00:45:09] Garrett O'Hara: Also, Mitch, wenn du einen Zauberstab hättest, äh, oder sogar einen Flaschengeist, äh, was ist der eine Wunsch, den du dir für die Cybersicherheit wünschen würdest?

[00:45:17] Äh, sehen Sie, ich habe vorhin schon erwähnt, dass Daten das neue Öl sind. Und für mich dreht sich alles um die Sicherheit der Daten. Eine Sache, die ich gerne machen würde, ist das, was ich [TomBOM 00:45:28] Daten nenne.

[00:45:30] Garrett O'Hara: Sehr schön.

[00:45:30] [00:45:30] ... wenn Sie Ihre E-Mail dort eingeben, geht sie hier hin, geht sie dort hin, richtig? Und es ist zur richtigen Zeit in den richtigen Händen, aber aus irgendeinem Grund muss man den Zugang dazu irgendwie widerrufen. Sie wissen schon, als Digital Rights Management, ich nenne es ein Digital Rights Management Off Network.

[00:45:43] Garrett O'Hara: Jap.

[00:45:44] SO, wisst ihr, was ich meine? Er wird Kunde bei Ihrer Bank mit Verfallsdatum? Sie können ihn nicht öffnen und nichts damit machen. Ich denke, das wäre das, was ich als Allheilmittel oder Utopie bezeichnen würde.

[00:45:55] Garrett O'Hara: Jap.

[00:45:55] Das wäre - das würde das Leben für alle viel einfacher machen, weil... Weißt du, was ich meine? Wenn die Daten in die falschen Hände geraten, könnte man diesen Mechanismus gewissermaßen erzwingen, und schon ist man wieder da, wo man sein muss.

[00:46:04] Garrett O'Hara: Yup. Und haben Sie das Gefühl, dass die Cybersicherheit heutzutage von ehemaligen COs und leitenden Angestellten anders gesehen wird?

[00:46:12] Ja, sehen Sie, das tue ich definitiv. In vielen Organisationen, insbesondere in unserer, liegt der Schwerpunkt also auf der Vorstandsebene.

[00:46:19] Garrett O'Hara: Ja.

[00:46:20] Äh, denn jetzt, mit den Änderungen bei der Haftung von Geschäftsführern und dergleichen, wenn es darum geht, ein Unternehmen zu führen, sind sie persönlich haftbar. Verstehen Sie, was ich meine? Und Cyber ist eine erhebliche Bedrohung für viele Unternehmen. Deshalb müssen sie Schutzmaßnahmen von der Vorstandsebene bis hin zu den Führungskräften durchsetzen.

[00:46:40] Wo es also vor fünf Jahren noch schwierig war, solche Dinge durchzusetzen, wird es heute, wenn man einen Business Case hat, der stichhaltig ist und das Unternehmen schützen soll, vom Vorstand ziemlich gut überwacht. So, so...

[00:46:54] Garrett O'Hara: Richtig! Haben Sie das Gefühl, dass Ihre Planung dadurch einfacher geworden ist? Du hast eine lautere Stimme in...

[00:46:58] Oh, sehr, sehr viel sogar. Wie bei allem, was man tut, gibt es immer Raum für Verbesserungen. Ähm, aber wissen Sie, bei diesen Dingen, über die wir speziell im Zusammenhang mit Cyber gesprochen haben, ähm, wissen Sie, nur der allgemeine Schutz des Unternehmens, wissen Sie, und manchmal, wissen Sie, und es ist nicht das, was ich wirklich will, aber man muss etwas in eine Kontrolle einbauen, das tatsächlich die Fähigkeit von jemandem einschränkt, etwas so zu tun, wie er es vorher getan hat. Es verändert also den Prozess und die Arbeitsweise der Menschen. Zuvor hatte sich der Prozess der Menschenfunktion vielleicht durchgesetzt, weil er zu aufdringlich war. Jetzt heißt es: "Oh, Sie müssen sich einfach an die neue Arbeitsweise gewöhnen."

[00:47:33] Garrett O'Hara: Yup. Ja, das Risiko ist zu hoch.

[00:47:35] Ja.

[00:47:35] Garrett O'Hara: Gibt es eine wichtige Sache, die Sie als Leiter der Cybersicherheit jeden Tag tun, etwas, das Sie uns mitteilen könnten?

[00:47:42] Ähm, ja, ich denke, es geht um Bewusstsein und Sichtbarkeit. Man muss also nur wissen, was vor sich geht. Ich spreche also viel mit meinem Sicherheitsteam. Ich spreche auch oft mit meinen Leuten vom Kundendienst. Und einfach nur verstehen, was in der Branche passiert, in Ordnung? Was sind die häufigsten Probleme, mit denen wir heute konfrontiert sind? Und, wissen Sie, wir machen jeden Morgen Berichte über die Geschäftsbereitschaft und ich lasse mir von meinen Sicherheitsleuten eine Infografik oder eine visuelle Grafik schicken, ". In Ordnung, was ist in den letzten 24 Stunden auf unseren Perimeter getroffen? Was sehen wir?"

[00:48:10] Ähm, und dann bitte ich sie gleichzeitig, mir die fünf besten Extrakte aus den Simulationsprotokollen zu nennen und solche Sachen. Oder was sind die Dinge, mit denen wir uns in den letzten 24 Stunden befasst haben. Diese Art von Dingen mache ich wahrscheinlich täglich.

[00:48:23] Garrett O'Hara: Yup. Fantastisch. Und Sie sind sich natürlich des Fachkräftemangels im Bereich der Cybersicherheit bewusst.

[00:48:29] Ja.

[00:48:29] Garrett O'Hara: ... und das ist etwas, worüber wir als Branche sehr viel reden.

[00:48:32] Ja.

[00:48:32] Garrett O'Hara: Ähm, wie haben Sie es geschafft, nicht die richtigen Leute zu feuern [lacht], sondern sie einzustellen?

[00:48:37] Ähm, also, sehen Sie, da gibt es ein paar Dinge, richtig? Also haben wir die Sicherheit gelöst. Äh, das ist so ähnlich wie bei [KOK 00:48:45], äh, wissen Sie, man konnte gar nicht genug IT-Leute haben, weil wir nicht wussten, was passieren würde.

[00:48:49] Garrett O'Hara: Hmm.

[00:48:49] Das Gleiche passiert jetzt in der Sicherheitsbranche, und es wird zu einem Wettrüsten, denn sie können von einer Anwaltskanzlei kommen oder für AWS oder Google oder eine Bank arbeiten, die ein Millionen- und Milliardenbudget für diese Sicherheitssache hat. Äh, also so in der Art von diesem Stück. Bei einigen Dingen arbeite ich eng mit Anbietern zusammen oder stütze mich auf mein Anbieternetzwerk. Ähm, wir bieten auch einige verwaltete Dienste an. Und dann suche ich mir intern Leute aus, die sich in meinem Geschäft auskennen, und versuche, sie auszubilden, denn sie haben Potenzial und können den Job machen. Ich investiere also die Zeit, das Geld und die Ausbildung in sie, weil ich weiß, dass sie das Gefühl haben, eine Chance zu bekommen, und so kann ich sie etwas länger behalten.

[00:49:33] Ähm, so musste ich es machen, ich konnte nicht einfach auf die Straße gehen und einen CSO einstellen. Ich musste also sozusagen mit einer Mischung aus allem da rausgehen. Das ist ein bisschen mehr von all dem, ein bisschen von meiner Rolle als Leiter der Infrastruktur, wir machen zusammen diese CSO-Funktion, und dann haben wir Leute, die irgendwie auch dazu passen.

[00:49:50] Garrett O'Hara: Ja. Was denken Sie, wenn Sie Leute im Sicherheitsteam haben, über die Debatte zwischen Erfahrung und Qualifikation? Wenn also jemand eine CISSP-Qualifikation erwirbt, während er, Sie wissen schon, Erfahrung in der Praxis hat oder eine Kombination aus beidem? Was denkst du?

[00:50:05] Äh, sehen Sie, also, ich denke, ich denke, Qualifi- Qualifikationen sind gut, weil sie Ihre Erfahrung bestätigen. Sie können sich also nicht qualifizieren, wenn Sie keine Erfahrung haben. Und, weißt du, du fängst deine Reise an, sei es an der Universität, ähm, weißt du, du kommst mit einem Abschluss irgendeiner Art heraus, aber dann, wenn du ins Geschäft kommst, sagst du: "Alles klar, ich will in die Sicherheit gehen. Ich brauche einen CISSP oder was auch immer das ist."

[00:50:27] Garrett O'Hara: Hmm.

[00:50:28] Ähm, du wirst also irgendwie beides gleichzeitig machen. Es ist sehr unwahrscheinlich, dass Sie jemanden mit einer Qualifikation finden, der keine Erfahrung hat. Dennoch bevorzugen wir erfahrungsgemäß Qualifikationen auf einem bestimmten Niveau, denn man möchte, dass die Leute wissen, wie sie arbeiten können. Ja, ich, ich, ich mache keine Mikromanagement-

[00:50:46] Garrett O'Hara: Jap.

[00:50:47] ... Ich gebe meinem Team ein, ein breites Spektrum an Aufgaben, und wie man das macht, ist mir egal.

[00:50:53] Garrett O'Hara: Jap.

[00:50:54] ... aber es liegt an dir, es zu schaffen. Und da kommt die Erfahrung gerade recht, denn wenn man keine Erfahrung hat, verbringt man viel Zeit mit Händchenhalten, und ich habe keine Zeit zum Händchenhalten.

[00:51:02] Garrett O'Hara: Mitch, dann ein paar kurze Fragen. Und diese sind in gewisser Weise weniger ernst, nehme ich an. Ich bin wirklich sehr daran interessiert, etwas über Sie zu erfahren - was Sie außerhalb Ihrer Rolle sind. Ähm, ich wollte nur wissen, was Sie außerhalb Ihrer Arbeit machen?

[00:51:16] Äh, außerhalb der Arbeit bin ich sehr beschäftigt. Ich habe drei Kinder, eine Frau, das Haus, den Pool. Ich habe also viel Zeit mit ihnen verbracht, indem ich die Kinder nach der Schule zum Sport und zu anderen Aktivitäten gefahren habe. Meine Frau macht viel, aber ich mache den "Wir"-Sport am Wochenende. Ich helfe bei der Leitung einiger Fußballmannschaften und ähnlichen Dingen und treffe mich mit Freunden und Familie, wenn ich kann.

[00:51:37] Garrett O'Hara: Fantastisch, fantastisch. Und was, ähm, was lesen Sie gerade?

[00:51:41] Also das aktuelle Buch, das ich lese, ist dieses [unhörbar 00:51:43] des Nicht-Aufgebens?

[00:51:44] Garrett O'Hara: Brillant.

[00:51:44] Äh, das ist großartig. Äh, weißt du, es ist nur...

[00:51:47] Garrett O'Hara: [lacht].

[00:51:48] Jeder sollte es lesen, denke ich.

[00:51:49] Garrett O'Hara: Ja.

[00:51:49] Also, es ist sehr lustig.

[00:51:50] Garrett O'Hara: Ist das...ist es Mark Manson? Ist das der Autor?

[00:51:52] Das ist richtig. Ja, ja. Ja, ja. Ja.

[00:51:53] Garrett O'Hara: Richtig!

[00:51:53] Also, ich glaube, es war eine Zeit lang auf der New Yorker Bestsellerliste. Er hat noch ein weiteres Buch, das ich noch nicht gelesen habe, aber es geht in die gleiche Richtung.

[00:52:00] Garrett O'Hara: Richtig! Ja, das habe ich auf dem Flughafen gesehen.

[00:52:02] Ja.

[00:52:02] Garrett O'Hara: Es ist die orange Farbe?

[00:52:03] Ja, das ist sie.

[00:52:03] Garrett O'Hara: Ja, dazu muss ich unbedingt mal kommen. Welche Art von Musik hören Sie?

[00:52:07] Äh, also ich höre mir eigentlich alles an. Auf der Zugfahrt zur Arbeit habe ich Spotify sozusagen im Dauereinsatz. Normalerweise gebe ich die Nummer-eins-Hits von 2019 ein. Ich mag viele Foo Fighters, australischen Rock und solche Sachen. Mein mittlerer Sohn, Harry, liebt Musik und Tanzen und solche Dinge. Er hat also immer etwas zu tun im Haus.

[00:52:28] Garrett O'Hara: Und Sie haben ein paar Mal Sport erwähnt, und, und Sie leiten ein Team, sagten Sie?

[00:52:31] Ja. Ja, ja. Mein Ältester, Kuba, spielt Rugby-Liga, und deshalb bin ich dieses Jahr sozusagen der Manager seiner U13-Mannschaft. Die Saison ist gerade erst zu Ende gegangen. Sie gingen als kleiner Premierminister durch die Saison, verloren aber im großen Finale. Es war also ein schwerer Schlag für ihn, aber man kann nicht alles gewinnen. Also -

[00:52:47] Garrett O'Hara: Definitiv nicht.

[00:52:48] ... viel Spaß.

[00:52:48] Garrett O'Hara: Spielst du selbst oder...

[00:52:49] Äh, ich spiele selbst eine Menge Sport für alte Männer. Also, im Winter spiele ich über 35 Fußball...

[00:52:55] Garrett O'Hara: Jap.

[00:52:56] Und dann habe ich gerade angefangen, äh, jetzt im Sommer, spielen wir Sommerfußball. Also ein weiteres Sommer-Fußballcamp für über 35-Jährige an einem Mittwochabend mit ein paar Kumpels. Also, ja, es ist gut [inaudible 00:53:05].

[00:53:04] Garrett O'Hara: Nun, vielen Dank für Ihre Zeit, Mitch. Ich weiß das wirklich zu schätzen. Ich denke, es war ein schönes Gespräch für mich. Ich möchte Ihnen also auf jeden Fall ein großes Dankeschön aussprechen.

[00:53:12] Keine Sorge.

[00:53:16]Gregor Jeffrey: [00:53:16] Was für ein tolles Interview mit Mitch Owens von Gilbert und Tobin. Hören Sie, ich fand es wirklich interessant. Er hatte einige großartige Erkenntnisse darüber, wie er jetzt mit der C-Suite über Cybersicherheit sprechen kann, und sie haben ein besseres Verständnis. Der Fachkräftemangel im Bereich der Cybersicherheit ist immer ein interessantes Thema. Und vor allem, wenn man sich die Qualifikationen derjenigen ansieht, die im Bereich der Cybersicherheit arbeiten, im Vergleich zu ihrer Erfahrung.

[00:53:41] Äh, also, wissen Sie, egal wie viele verschiedene Buchstaben hinter Ihrem Namen stehen oder wie viele Universitätskurse Sie absolviert haben, das ist nicht... wissen Sie, Sie können das nicht gegen Zeit im Feld eintauschen und in der Lage sein, diese Bedrohungen da draußen zu identifizieren. Ich glaube, was mich wirklich interessiert hat, war, was Mitch über die Zeitbomben-Daten zu sagen hatte. Man kann den Zugriff auf diese Daten widerrufen oder sie buchstäblich selbst zerstören, so dass sie nicht mehr verfügbar sind. Ich halte das für ein hervorragendes Konzept, aber ich bin mir nicht sicher, ob es wirklich möglich ist.

[00:54:11] Garrett O'Hara: Ich stimme Mitch zu, es wäre toll, wenn es so wäre. Und vielleicht gibt es ja eines Tages einen Flaschengeist oder einen Zauberstab, der das tatsächlich möglich macht. Aber ähm... Sehen Sie, und ich denke, die Realität ist, dass mit der Verbreitung von Dingen wie Mobiltelefonen, Kugelschreibern, Sie wissen schon, wenn Sie ganz altmodisch sein wollen. Schließlich können die Menschen Informationen abschreiben, sie können Fotos von Dingen machen. Und, ähm, ich denke, dass die Datenkontrolle... Ich habe das schon einmal gesagt, das einzige Mal, dass ich gesehen habe, dass es sehr gut oder richtig gemacht wurde, war in einem Callcenter, äh, in Übersee, wo man, wenn man reinkam, im Grunde alles, was nicht organisch war, den Sicherheitsleuten geben musste.

[00:54:43] Sie lassen dich durch einen Sicherheitsdetektor oder Metalldetektor laufen und das war's. Sie konnten also nichts einführen. Und selbst dann, wenn Sie ein gutes Gedächtnis hätten, könnten Sie sich immer noch an eine Kreditkartennummer oder etwas Wichtiges erinnern. Ich stimme also mit Mitch überein, aber ich glaube, es bräuchte einen Geist, um das tatsächlich zu erreichen.

[00:54:59] Stimmt. Snapchat hat es auf jeden Fall versucht, mit der Art und Weise, wie sie Videos teilen, und dass sie nur zeitlich begrenzt sind. Ich selbst habe Snapchat noch nie benutzt.

[00:55:10] Garrett O'Hara: Klar, hast du nicht. (lacht).

[00:55:11] Aber ich habe verstanden, dass die App, sogar auf Betriebssystemebene, die Aufnahme von Screenshots beim Teilen einer Nachricht unterbinden würde, aber das kann man einfach umgehen, indem man ein anderes Handy zum Filmen benutzt.

[00:55:25] Garrett O'Hara: Los geht's. Ja, ja.

[00:55:26] Es gibt also immer eine Möglichkeit, am Ende des Tages etwas zu fotokopieren. Ob es...

[00:55:29] Garrett O'Hara: [lacht]. Doch, das ist ziemlich altmodisch.

[00:55:30] Ja. Sei es mit einem alten Fotokopierer oder mit deinem Gedächtnis, wie du gesagt hast, Gar.

[00:55:35] Garrett O'Hara: Ja.

[00:55:36] Okay. Das ist das Ende dieser Folge der Get Cyber Resilient Show. Die Musik dieser Folge stammt von dem Melbourner Künstler Jeff Monye und kann auf Spotify gefunden werden. Wenn du in der IT- oder Sicherheitsbranche arbeitest und deine eigene Musik machst, würden wir sie gerne in der nächsten Folge vorstellen. Melde dich einfach bei uns per E-Mail an gcr@mimecast.com.

[00:56:01] Wenn Ihnen die Show Get Cyber Resilient gefallen hat, besuchen Sie getcyberresilient.com, ein neues Online-Ziel für Cyber-Experten in Australien und Neuseeland. Wir alle kennen die ständigen Kämpfe und Herausforderungen im Bereich der Cybersicherheit. getcyberresilient.com ist ein Ort, der die lokale Cyber-Community zusammenbringt, um gemeinsam Probleme durch innovative Lösungen zu lösen. Begleiten Sie uns auf eine Reise, die uns hilft, den Herausforderungen und Risiken des Internets besser zu begegnen. Rufen Sie mit Ihrem bevorzugten Webbrowser die Seite getcyberresilient.com auf.