Mimecast Logo
Jetzt starten
Angebot einholen
    Ressourcen
    Alle Themen
    Email Security
    Web Security
    Security Awareness Training
    Brand Protection
    Archive and Data Protection
    Threat Intelligence
    Podcast
    Email Security

    Get Cyber Resilient Ep 105 | Zero Trust kennenlernen mit Lee Roebig Customer CISO für Sekuro

    Lee Roebig, Customer CISO bei Sekuro, ist diese Woche zu Gast im Podcast, um über Zero Trust zu sprechen.

    CR_podcast_LeeRoebig.png

    Wir sprechen darüber, was Zero Trust wirklich ist, welche Vorteile es hat und wie Zero Trust mit anderen bekannten Frameworks zusammenpasst.

    Anschließend gehen wir darauf ein, für welche Art von Unternehmen Zero Trust geeignet ist, und runden die Folge mit Lees Ratschlägen für die Verfolgung einer Zero Trust-Strategie ab.

     

    Die Get Cyber Resilient Show Episode #105 Mitschrift

    Garrett O'Hara: Willkommen zum Get Cyber Resilient-Podcast, ich bin Garr O'Hara. Heute haben wir Lee Roebig, den CISO des Kunden Sekuro, zu Gast. Lee kommt zu seiner jetzigen Rolle, nachdem er auf der anderen Seite des Tisches gestanden hat. Als Praktiker hat er Unternehmen abgesichert, indem er in großen Unternehmen in der APAC-Region Cybersicherheitsstrategien, Architekturen, Sicherheitsteams und End-to-End-Sicherheitsprogramme aufgebaut und geleitet hat. Heutzutage unterstützt er die Kunden von Sekuro bei der Architektur von Cybersicherheitsstrategien, der Beratung von Führungskräften, Zero Trust und den damit verbundenen Technologien. Wir sprechen darüber, was ZT wirklich ist, was Lester über die Vorteile denkt, wie ZT mit anderen bekannten Frameworks zusammenpasst und für welche Art von Unternehmen ZT geeignet ist. Abschließend gibt Lee noch Ratschläge für die Verfolgung einer ZT-Strategie. Zurück zum Gespräch.

    Willkommen zum Get Cyber Resilient-Podcast. Ich bin Garr O'Hara, und heute ist Lee Roebig bei mir, der Kunden-CSO von Sekuro. Wie geht es Ihnen heute, Lee?

    Lee Roebig: Es läuft gut, danke, Garr. Danke, dass ich dabei sein durfte.

    Garrett O'Hara: Ein absolutes Vergnügen. Wir haben vor ein paar Monaten miteinander gesprochen. Und die Begeisterung über die Arbeit, die Sie im Rahmen von Zero Trust leisten, war sehr deutlich zu spüren. Und ja, zum Glück konnten wir das Gespräch irgendwie einrichten, also vielen Dank, dass Sie heute bei uns sind.

    Lee Roebig: Großartig.

    Garrett O'Hara: Also die... Sehen Sie, die erste Frage, die wir so ziemlich jedem stellen, ist: Wie sind Sie dahin gekommen, wo Sie heute sind? Ich denke, es ist nützlich, damit die Leute Ihre Perspektive verstehen können und wie Sie dazu gekommen sind, jemand zu sein, auf den wir alle hören sollten.

    Lee Roebig: Ja, okay. Das ist eine gute Frage. Wie Sie bereits erwähnt haben, bin ich also der Kunden-CSO von Sekuro. Der Titel ist etwas seltsam, also kann ich wahrscheinlich zuerst erklären, was das bedeutet. Ich helfe unseren Kunden also direkt bei der Beratung zur Cybersicherheitsstrategie und den damit verbundenen Technologien, um sie bei ihrem Cybersicherheitsfahrplan zu unterstützen. Außerdem berät unser internes KMU im Bereich Zero-Trust zahlreiche Zero-Trust-Strategien für viele verschiedene Branchen in Australien, z. B. für das Gesundheitswesen, Versicherungen, Banken, das Baugewerbe, die verarbeitende Industrie und für mehrere an der ASX notierte Unternehmen. Wie ich hierher gekommen bin, habe ich die meiste Zeit meiner Karriere auf der, wie man wohl sagen würde, nicht-beratenden Seite des Zauns verbracht. Auf der Kundenseite, wie ich es gerne nenne, bin ich seit etwa 16 Jahren in den Bereichen Technologie und Cybersicherheit sowie in Führungspositionen tätig.

    Und wie ich hierher gekommen bin: Ich hatte eine Stelle als Leiter der Informationssicherheit eines globalen Unternehmens in der APAC-Region inne. Und zu dieser Zeit habe ich eine kleine Pause eingelegt und gesagt: "Okay, was kommt als Nächstes für mich? Ob ich..." Zuerst habe ich mich für ähnliche Rollen wie die, die ich bisher gemacht habe, entschieden. Und dann wurde ich, ich glaube, es war ein Personalvermittler, von einem Beratungsunternehmen für Cybersicherheit angesprochen, das an jemandem wie mir interessiert war. Ich habe mich hingesetzt und überlegt, was ich an meiner Rolle liebe. Und was ich daran am meisten liebe, ist, dass man eine Organisation schützt, indem man sie schützt... Sie könnten möglicherweise Tausende von Mitarbeitern und Millionen von Kunden schützen, und ich denke, das ist ein sehr lohnender Teil der Aufgabe.

    Und ich dachte mir, dass ich diese Befriedigung immer noch bekommen kann, und das sogar in größerem Umfang, indem ich als Berater für viele verschiedene Organisationen tätig bin. So bin ich sozusagen dort gelandet, wo ich heute bin. Und ja, es hat mir gefallen. Ich bin jetzt ein Jahr dabei.

    Garrett O'Hara: Das ist sehr cool. Und ich denke, dass die Erfahrung aus der Praxis in einer solchen Rolle, in der man die Situation von der anderen Seite her kennt, entscheidend sein wird. Ich weiß also ungefähr, wie es ist, auf der anderen Seite des Tisches zu sitzen. Ich vermute, das hilft sehr.

    Lee Roebig: Ja, absolut. Ich denke also, dass es eine Menge Beziehungen zu Kunden oder anderen Kollegen in der Branche aufbaut, mit denen ich so ziemlich sofort spreche, weil wir Kriegsgeschichten austauschen können und wissen, dass wir beide bis zu einem gewissen Grad die gleichen Schlachten schlagen oder durch die gleichen Schlachten gegangen sind.

    Garrett O'Hara: Auf jeden Fall. Und Sekuro ist... Es ist irgendwie interessant, diese Entwicklung in der letzten Zeit zu beobachten. Ich habe viele Freunde in der Branche kennengelernt, die sich aus der Untergruppe der Unternehmen zusammengefunden haben, die ein sehr interessantes Spiel spielen.

    Lee Roebig: Ja. Das ist wirklich interessant. Viele wissen vielleicht nicht, dass Sekuro eine Art Anbieter von Cybersicherheits- und digitalen Transformationslösungen ist. Wir helfen unseren Kunden vor allem dabei, einen strategischen Ansatz für Cybersicherheit und Risikominderung zu wählen und gleichzeitig die digitale Transformation zu erreichen. Das Entscheidende bei uns ist, dass wir ein Zusammenschluss von vier Unternehmen sind, die sich zusammengetan und ihren eigenen Weg gefunden haben. Und als Ergebnis haben wir die besten Teile dieser vier verschiedenen Unternehmen, die sich zusammengetan und Sekuro gegründet haben, so dass wir... Und, sorry, diese vier Unternehmen haben alle unterschiedliche Dinge in Bezug auf die Cybersicherheit gemacht.

    Jetzt verfügen wir über ein erfahrenes GRC-Team mit Technologie und Plattformen, ein Team, ein offensives Sicherheitsteam, das Sicherheitsdienste verwaltet, und auch Teams, die das Team verstärken, so dass wir für die gesamte 360-Grad-Reise, die jeder Kunde benötigt, da sein können. In der Vergangenheit mussten viele dieser Marken dem Kunden zwar bei einigen Dingen helfen, ihn aber an einen völlig anderen Partner weitergeben oder ihn woanders hinschicken. Aber jetzt können wir ihnen von Anfang bis Ende helfen, egal, was sie brauchen, und das ist sehr gut.

    Garrett O'Hara: Ja. Sehr cool. Ja, ja. Shamans Hann war eine der ersten Personen, die auf der Kapsel waren. Ich glaube, sie war eine der, ja, sicherlich einstelligen Episoden.

    Lee Roebig: Ja.

    Garrett O'Hara: ... das war vor langer Zeit. Es ist also gut, das Gespräch mit euch fortzusetzen, was großartig ist. Was hat Sie dazu bewogen, Null Vertrauen zu haben?

    Lee Roebig: Ja, das war eigentlich ein Zufall. Also [lacht] einer der... Wie ich bereits sagte,

    Garrett O'Hara: Okay.

    Lee Roebig: Ja. Ich war also einige Jahre lang Sicherheitschef einer Organisation, und die war komplett On Premise. 100 % aller für das Unternehmen wichtigen Vermögenswerte oder Daten befanden sich innerhalb des Perimeters. Unser Sicherheitsprogramm war dementsprechend. Dann wechselte ich von dieser Organisation in eine andere, in eine andere Führungsrolle im Bereich Cybersicherheit. Und ich hatte dieses plötzliche böse Erwachen, als ich feststellte, dass es in diesem Unternehmen keine Anlagen vor Ort gab, sondern dass die Benutzer die ganze Zeit von unterwegs arbeiteten. Es gab keine statischen IPS, es gab keine statischen Domänen. Es gab keine...

    Garrett O'Hara: Mm-hmm.

    Lee Roebig: ... Standardbetriebsumgebungen und Images für Workstations und Server. Es gab keine Gruppenrichtlinien und Firewalls an jedem Standort, und das Ganze war auch noch über fünf Länder verteilt. Also habe ich irgendwie... Meine alte Trickkiste würde wirklich nicht mehr funktionieren. Ich musste also einen Schritt zurücktreten und dachte: "Okay, ich muss meinen Ansatz jetzt anpassen." Ich habe also eine Reihe von Nachforschungen angestellt und einen Plan ausgearbeitet, wie wir die Organisation weltweit schützen können, ohne auf Netzwerke, Domänen und/oder direkten Zugang zu Dingen angewiesen zu sein. Und wir haben sozusagen... Damals war es etwas mühsam, denn vor einigen Jahren war dies ein ziemlich neuer Ansatz. Aber wir haben die Technologien gefunden, die unserem Plan und unserem Cybersicherheitsprogramm entsprechen. Wir haben also damit begonnen und über ein Jahr lang mit meinem Team daran gearbeitet. Und wir hatten sehr viel Erfolg. Und dann, obwohl es Zero Trust schon lange gibt, begann Zero Trust wirklich an Fahrt zu gewinnen und in vielen verschiedenen Kreisen diskutiert zu werden.

    Also habe ich mich mit Zero Trust befasst, wie ich es bei allen Schlagwörtern tun würde, und dachte: "Oh. Genau das haben wir auch getan." Und von diesem Zeitpunkt an war ich voll dabei. Ich dachte mir: "Okay, großartig. Es gibt einen Namen für dieses moderne Sicherheitskonzept, bei dem man nicht mehr von diesen Annahmen ausgeht und sich auf die internen Netzwerke und Perimeter verlässt." Und das war's dann auch schon. Eher zufällig. Aber jetzt bin ich in der Branche als Mr. Zero Trust bekannt, weil ich nie aufgehört habe, darüber zu reden. (lacht)

    Garrett O'Hara: Gutes Zeug. In der Branche ist das eine lustige Sache, stimmt. Und ich denke, dass wir im Cyberbereich dazu neigen, uns über Dinge aufzuregen, und, um Ihr Wort zu benutzen, wie Schlagworte, es ist erstaunlich, dass etwas herauskommt und in jeder Broschüre steht, wenn man zur ORSA oder zur Black Hat geht, Sie wissen schon, jeder hat es, Sie wissen schon, AI als Zero Trust. Und ich glaube, was ich beobachtet habe, ist, dass die wirklich, wirklich nützlichen Ansätze, aber wir sind mit den Broschüren irgendwie zu weit gegangen. Und tatsächlich, um auf Ihren Punkt zurückzukommen, sind das manchmal Dinge, die es schon seit geraumer Zeit gibt, über die wir aber nicht wirklich gesprochen haben oder für die es nicht wirklich einen Namen oder ein Etikett gab. Was, was ist... Wie, so null Vertrauen, ich... Das ist so ein lustiges Thema, weil, weißt du, wenn man auf Podiumsdiskussionen ist, und ich weiß, dass du das auch hast, und das ist ein Thema, das viele Leute haben, was ist das wirklich? Es gibt verschiedene Geschmacksrichtungen. Es gibt zum Beispiel keine Definition für Nullvertrauen, oder? Worum geht es für Sie bei Zero Trust eigentlich?

    Lee Roebig: Ja. Ich denke, Sie haben den Nagel auf den Kopf getroffen, dass jeder behauptet, es zu wissen oder vielleicht die Antwort darauf zu haben und all diese Dinge. Und es ist viel mehr als nur etwas, das sich leicht zusammenfassen lässt. Ich sage den Leuten immer, wenn wir es auf ein möglichst kurzes Konzept in einem Satz zusammenfassen müssen, dann sage ich in Anführungszeichen, dass es ein Konzept ist, zu dem niemand und nichts Zugang hat, solange nicht bewiesen ist, dass man ihm vertrauen sollte. Und wir müssen bei der Entscheidung über das Vertrauen auch den Kontext berücksichtigen.

    Garrett O'Hara: Mm-hmm.

    Lee Roebig: Aber das ist nicht sonderlich hilfreich. Ich erkläre dann, dass es eine Art... Es ist viel mehr als das. Es ist auch eine Denkweise, die die Art und Weise, wie wir an die Sicherheit in unseren Organisationen herangehen und darüber nachdenken, sowohl jetzt als auch in der Zukunft, beeinflussen sollte. Insgesamt handelt es sich um einen modernen Ansatz für die Sicherheit in einer Welt, in der Datennutzer und -geräte nicht mehr innerhalb unserer Grenzen liegen und jederzeit durch direkten Netzwerkzugriff kontrollierbar und erreichbar sind. Wenn man sich den alten Sicherheitsansatz ansieht, bei dem wir Image-Computer mit SOEs, Dateiservern an Standorten, On-Premise-Exchange, die Analogie, die häufig verwendet wird, aber sehr treffend ist, um es zu erklären, ist, dass eine Organisation und Vermögenswerte eher wie eine Burg waren. Es gab eine Brücke, oder vielleicht auch zwei ID-

    Garrett O'Hara: Jepp.

    Lee Roebig: ... das physische Gebäude oder das V- oder ein VPN, das Sie sparsam ausgeben würden. Und dann gab es riesige Mauern um alles Wertvolle im Inneren. Und für uns Cybersecurity-Teams war es einfacher, die Angriffe zu stoppen, weil wir wussten, dass es nur ein oder zwei Stellen gab, an denen sie eindringen konnten. Und wenn Sie ein sicheres Gebäude errichten und das VPN nur sehr sparsam einsetzen oder es richtig konfigurieren können, dann haben wir die meisten unserer Bedrohungen von außen abgeschwächt. Damals haben wir also in Technologien und Kontrollen investiert, die auf einer Grundannahme beruhten. Wir hätten jederzeit Zugang zu all diesen Dingen, um sie sichern zu können. Damals war der Gedanke, dass man aufstehen, aus dem Büro gehen und dort weitermachen könnte, wo man aufgehört hatte, ziemlich unbekannt, außer vielleicht in den modernsten Unternehmen.

    Aber wenn man sich anschaut, wo wir jetzt stehen, und offensichtlich hat die Pandemie dies exponentiell beschleunigt, weshalb jetzt alle darüber reden. Meiner Meinung nach haben die Unternehmen die Technologie genutzt, um eine beispiellose Produktivität zu erreichen. Und sie haben eine Menge starker...

    Garrett O'Hara: Jepp.

    Lee Roebig: ... eine Art geschäftlicher Nutzen, aber als Nebeneffekt auch eine Menge Risiken. Die Analogie, die ich verwendet habe, um zu erklären, wie eine Organisation typischerweise aussieht, gleicht jetzt eher einem Wolkenkratzer in einer Stadt als einer Burg mit Mauern drum herum. Der Grund, warum wir das sagen, ist, dass wie in einer Stadt jetzt überall so viel los ist, dass es schwer ist zu unterscheiden, was eine Bedrohung ist und was unschuldig ist. Es gibt mehrere Möglichkeiten, unser Hochhaus aus allen Richtungen zu betreten und zu verlassen. Und schließlich werden unsere Informationen in vielen umliegenden Gebäuden gespeichert, die sich unserer Kontrolle entziehen, so dass es schwierig ist...

    Garrett O'Hara: Mm-hmm.

    Lee Roebig: ... wir sehen uns das Gebäude einfach von außen an und sagen: "Ja, das scheint sicher zu sein. Aber wenn ich nicht da drin bin, weiß ich nicht, wie sicher das Innere des Gebäudes ist." Und das ist wirklich eine große Analogie dafür, dass E-Mail und Dateispeicherung jetzt überall verfügbar sind. Die meisten unserer kritischen Daten werden heute von Dritten gehostet und sind über einen Browser von jedem Ort der Welt aus zugänglich. Auch tragbare Geräte wie Laptops, Telefone und Tablets sind heute eher die Norm als die Ausnahme. Ich erinnere mich, dass es noch nicht allzu lange her ist, dass nur Führungskräfte und IT-Mitarbeiter schöne tragbare Laptops bekamen. Und heute kenne ich keinen Mitarbeiter mehr, der nicht am ersten Tag einen Laptop bekommt.

    Und auch die Mitarbeiter erwarten, dass sie jederzeit und von überall aus arbeiten können, und selbst wir in den Cybersecurity-Teams, die risikoscheuesten Leute in einem Unternehmen, nutzen das für die Talentakquise, oder? Im Moment ist es schwer, Leute einzustellen. Wir gehen also...

    Garrett O'Hara: Mm-hmm.

    Lee Roebig: ... "Sie können von überall aus arbeiten, Sie können von einem anderen Land aus arbeiten. Sie müssen jetzt nicht mehr in der gleichen Hauptstadt wie der Hauptsitz sein." Das Hauptproblem besteht also darin, dass sich unsere Sicherheitskontrollen auf diese Annahme stützen. Alles, was wichtig war, befand sich in Armeslänge, und so hatten auch unsere Sicherheitskontrollen nur einen Arm zum Greifen. In der Praxis bedeutet das, dass wir uns auf eine Menge Proxys, Hardware, Netzwerkfilter, Antivirenprogramme und Gruppenrichtlinien verlassen, die nur funktionierten, wenn die Benutzer vor Ort waren und die Anlagen vor Ort waren.

    Garrett O'Hara: Jepp.

    Lee Roebig: Wenn die Leute sich außerhalb dieser Reichweite wagen, haben wir... Diese Dinge werden entweder nur sehr begrenzt oder gar nicht geschützt und sichtbar gemacht. Und das war früher unser größter Sicherheitsalptraum, und insbesondere die Pandemie hat dies noch beschleunigt. Aber im Laufe der Jahre kamen Technologien auf den Markt, die das erkannten, wahrscheinlich bevor wir anfingen, so viel über Zero Trust zu reden. Und diese Technologien ermöglichen diese Art von Sicherheit überall auf der Welt, indem sie eine Art von cloudbasierten Sicherheitstechnologien einsetzen. Und das war der Zeitpunkt, an dem Zero-Trust wirklich zu seinem Recht kam, denke ich.

    Garrett O'Hara: Auf jeden Fall. Du, du... Sie haben das Wort erwähnt, von dem ich im Moment besessen bin, nämlich Kontext. Und wissen Sie, die Idee des Null-Vertrauens ist für mich, wie Sie sagten, zum großen Teil kontextabhängig. Es geht darum, was in diesem Moment für diesen bestimmten Benutzer oder dieses bestimmte Gerät vor sich geht, je nachdem, worüber wir sprechen. Was sind einige der kontextbezogenen Dinge, auf die eine Organisation wie Sie achten würde, um in diesem Moment Entscheidungen zu treffen, z. B. ob eine Genehmigung erteilt wird oder ob dies in Ordnung ist oder nicht? Was denken Sie, sind die... Gibt es eine Liste mit den besten Dingen, die Sie in diesem Moment für Ihre Entscheidung nutzen können?

    Lee Roebig: Ja, ich würde sagen, wir haben früher einfach so... Früher verließen wir uns auf die Passwörter der Endnutzer, und es war lange bewiesen, bevor Zero Trust aufkam, dass das nicht mehr ausreicht, oder? Also.

    Garrett O'Hara: Ja.

    Lee Roebig: Dann haben wir noch Multifaktor hinzugenommen. Aber dann sind wir den Weg des geringsten Widerstands gegangen und haben uns für die einfachste Lösung entschieden, die wir für die Benutzer einführen können. Und wir haben uns normalerweise auf SMS verlassen. SIM-Swapping-Angriffe gibt es schon lange. Aber sie sind noch nicht ganz so alltäglich, aber wie viel Zeit haben wir, bis sie ganz alltäglich werden und wir anfangen, uns darüber Sorgen zu machen oder andere Schwachstellen darin zu finden. Daher glaube ich auch, dass wir bei der Verbindung eines Benutzers mit einem System sowohl extern als auch intern das Gerät berücksichtigen müssen, von dem aus er sich verbindet. Handelt es sich um ein Firmengerät oder nur um ein BYOD-Gerät, und behandeln Sie den Zugriff je nach dem unterschiedlich. Wir mussten uns auch den Ort ansehen, von dem aus die Verbindung hergestellt wird.

    Nur weil sie ein Firmengerät benutzen, können sie von einem Ort aus eine Verbindung herstellen, von dem aus sie noch nie eine Verbindung hergestellt haben oder von dem aus sie, wie wir es nennen, eine mögliche Reise antreten. Sie müssen Superman sein, um so schnell dorthin zu gelangen, oder? Wir behandeln diese also anders. Und manchmal verweigern wir sie sogar ganz. Und das sind die Zusammenhänge, die Sie berücksichtigen, glaube ich. Worauf greifen die Nutzer also zu? Welches Niveau eines Multifaktors haben sie in Bezug auf ihre Sicherheit erreicht? Von welchem Gerät aus wird die Verbindung hergestellt, und ist dieses Gerät auch tatsächlich konform? So können Sie viele andere Tools und Systeme dazu bringen, mit Ihrem Identitätssystem oder was auch immer Sie verwenden, zu kommunizieren, um eine Entscheidung darüber zu treffen, ob diesem Benutzer Zugang gewährt werden soll oder nicht.

    Garrett O'Hara: Auf jeden Fall. Ich weiß... Mir gefällt die Idee, dass das Gerät den Vorschriften entspricht oder nicht. Ich habe vor ein paar Wochen mit jemandem gesprochen, der einen sehr eleganten Ansatz verfolgte, bei dem der Netzzugang buchstäblich verweigert wurde, wenn ein Gerät - in diesem Fall waren es Laptops - nicht mehr den Vorschriften entsprach, weil die Leute ihre Laptops nicht neu starteten. Und ich weiß, dass viele meiner Kollegen hier sich der Sache schuldig machen, wenn sie darüber scherzen, wie lange ihr Laptop schon ohne einen Neustart in Betrieb ist. Und ja, diese Person hat gesagt, dass sie tatsächlich... Sie schieben sozusagen ein Toaster-Pop-up auf den Rechner und sagen: "Hey, du, du - du hast im Grunde heute noch Zeit, und morgen wird dein Rechner neu gestartet oder du verlierst den Netzwerkzugang, such dir was aus." Und sie haben gesehen, dass die Rückgangsrate bei den nicht konformen Geräten einfach beeindruckend ist. Also ja, sehr cool.

    Die... Sehen Sie, die Art und Weise, wie Sie reden, Lee, und, wissen Sie, ich denke, es ist ziemlich gut verstanden. Wir reden hier nicht über Produkte, richtig? Sie haben erwähnt, dass Sie eine Strategie entwickelt haben, die der Terminologie "Zero Trust" (Null Vertrauen) vorausgeht, aber es hörte sich so an, als ob Sie nach technischen Kontrolllösungen gesucht hätten, um einen soliden Weg zum Schutz der Organisation zu finden. Was ist Ihr Gedanke in Bezug auf Null Vertrauen? Wir reden hier nicht über ein Produkt, richtig? Ich kann kein Nullvertrauen kaufen.

    Lee Roebig: Das ist richtig, ja. Es handelt sich definitiv nicht um ein Produkt. Und das ist ein Gespräch, das ich ziemlich oft mit Leuten führe, und sogar mit Leuten, die zugeben oder zustimmen, dass es kein Produkt ist. Sie denken, dass sie nur ein paar Produkte kaufen müssen.

    Garrett O'Hara: Mm-hmm.

    Lee Roebig: Sie denken also, ich besorge mir einfach ein gutes Identitätssystem und nehme eine Netzwerksegmentierung vor, dann habe ich null Vertrauen, richtig? Und ich muss die Leute immer wieder daran erinnern, dass es definitiv nicht so ist. Ich kann es den Leuten nicht verübeln, dass sie dieses Missverständnis haben, denn ich denke, dass der Begriff ZT auf dem Markt leider schon so oft verwendet wurde, dass die Fachleute für Cybersicherheit ihn nicht mehr hören wollen. Sie glauben, dass es nur ein weiteres Modewort ist, wie Sie sagten, Garr, oder, oder Marketingfluff oder, oder etwas in dieser Richtung, was ich schade finde, denn wenn eine Organisation es vollständig versteht und, und es sich zu eigen macht, wird es sich für jede Organisation über Jahre hinweg wirklich auszahlen.

    Und es wird in gewisser Weise, ich meine, ich hasse das Wort zukunftssicher, aber es ist das Beste, was mir einfällt, um es zu erklären. Es wird das Sicherheitsprogramm viel besser für die Zukunft absichern als einige unserer Sicherheitsansätze. Aber um auch das klarzustellen, ich meine, man kann viele der Kontrollen, die man braucht, nicht wirklich erreichen, ohne dass einem die Technologie dabei hilft, richtig. Aber das ist, das ist...

    Garrett O'Hara: Ja.

    Lee Roebig: ... das war schon immer der Fall. Das ist keine neue Sache, der man nicht vertrauen kann. Es geht um jede Art von Cybersicherheitsprogramm. Es wird ziemlich schwierig sein, wenn man keine Kontrolle über die Technologien hat, die einem zur Seite stehen. Was ich hier also sagen will, ist, dass die Technologien vieler Anbieter Ihnen die Möglichkeit geben, Teile einer umfassenden Zero-Trust-Strategie zu unterstützen. Aber keiner kann alles von Anfang bis Ende erledigen. Und die, die... Um die Menschen in die richtige Stimmung zu bringen, was die, die Art von... Ich weiß nicht, ob man das als Analogie bezeichnen kann, aber was ich ihnen vor Augen führe, ist, dass alle Sicherheitstechnologien immer behauptet haben, unsere Organisation zu schützen, richtig? Aber wir alle wissen automatisch, dass mein Unternehmen natürlich nicht sicher ist, weil ich diese eine Technologie gekauft habe, von der es hieß, sie würde mein Unternehmen sichern. Wenden Sie einfach dieselbe Denkweise an, die Sie schon immer für diese Art von Dingen hatten, wenn es um Nullvertrauen geht. Und Sie werden sich jedes Mal daran erinnern.

    Garrett O'Hara: Jepp. Ja, ja. Ein wirklich guter Punkt. Wie ich es schon gehört habe, und ich glaube, Sie haben es vorhin sogar selbst gesagt, ist es eine Philosophie, ein Ansatz und nicht ein...

    Lee Roebig: Ja.

    Garrett O'Hara: ... ein Produkt oder sogar eine Reihe von Produkten, ja. Wir haben viel über die Sicherheitsaspekte gesprochen, und das ist natürlich ein sehr wichtiges Ergebnis. Aber was noch? Ich meine, dass diese Art von Ansatz vermutlich mehr als nur Sicherheit bietet.

    Lee Roebig: Ja, absolut. Also... Und das ist, das ist eigentlich das, was ich... Das ist mein Lieblingsthema bei Zero Trust. Ich meine, man kann den ganzen Tag über die coole Sicherheitsarchitektur und den Schutz, den man davon hat, reden und so weiter. Aber ich glaube, etwas... Das Problem, das wir alle in der Vergangenheit als Sicherheitsverantwortliche hatten, ist, dass wir oft irgendwie... Die, die... Ich glaube, es war schon immer so, dass die Unternehmen umso mehr Risiken eingehen, je flexibler sie ihre Anzeigen gestalten. Also -

    Garrett O'Hara: Mm-hmm.

    Lee Roebig: ... Sicherheit und Sicherheitsverantwortliche waren in der Vergangenheit und vielleicht auch heute noch in vielen Organisationen als die Störenfriede bekannt, weil wir diejenigen waren, die sagten: "Langsamer. Bleiben Sie dran. Das kann man nicht einfach so machen. Das bedeutet ein enormes zusätzliches Risiko und so weiter und so fort." aber jetzt, wo es kein Vertrauen mehr gibt, können wir irgendwie sagen: "Sicher, lass uns helfen... Lass uns... So können wir Ihnen helfen, das zu tun, was Sie tun wollen, aber auf sichere Weise."

    Garrett O'Hara: Mm-hmm.

    Lee Roebig: Das ist gut für den Ruf des Sicherheitsteams und auch für das Unternehmen selbst. Also einige Beispiele für... Einiges davon fällt unter den Begriff "Secure Business Enablement", wie ich es nenne. Einige Beispiele hierfür sind Fusionen und Übernahmen. Es ist also immer ein gewisser Sicherheitsalptraum, wenn ein Unternehmen sie durchführt, oder die Sicherheit wird oft vernachlässigt. Und das lag früher daran, dass die Sicherheit darauf warten musste, dass Netzwerke angeschlossen, Domänen hinzugefügt, Arbeitsstationen abgebildet und alle möglichen anderen beweglichen Teile zusammengefügt wurden, bevor die Sicherheit ihre Tentakel überhaupt zum Schutz einsetzen konnte. Und sobald das Papier unterschrieben ist, fällt im Allgemeinen alles, was danach passiert, wie z. B. Sicherheitsverletzungen, in die Verantwortung der Muttergesellschaft.

    Wir können es uns also nicht leisten, dass die Sicherheit so weit hinten ansteht. Und [lacht] ich weiß nicht, wie es bei anderen ist, aber bei allen Fusionen und Übernahmen, bei denen ich für ein Unternehmen gearbeitet habe und die ich miterlebt habe, ist es reines Wunschdenken zu glauben, dass die technische Integration überhaupt in einem Jahr abgeschlossen sein wird, geschweige denn in ein paar Monaten, wo man hofft, dass die Sicherheit dazukommt. Da wir also nicht mehr auf diese Dinge angewiesen sind, wie Netzwerke und Domänen und Bilder von Workstations und so weiter, können wir... Die Sicherheit kann wirklich an erster Stelle stehen. Und wir können im Grunde die Sicherheit vom ersten Tag an gewährleisten, was meiner Meinung nach das Wichtigste ist, wenn eine Fusion oder Übernahme stattfindet. Und ich nehme an, dass dies auch mit der Erfahrung der Mitarbeiter zusammenhängt. Du denkst, dass es besser ist...

    Garrett O'Hara: Mm-hmm.

    Lee Roebig: ... die Erfahrung der Mitarbeiter und die Sicherheit, diese beiden Dinge, das ist wie ein Oxymoron oder so, sie passen nicht zusammen, richtig. Da wir aber nicht mehr von einem Perimeter-Ansatz ausgehen, können die Nutzer jetzt überall sicher arbeiten. Die Sicherheitskräfte werden nicht diejenigen sein, die ihnen das verbieten. So profitieren sowohl die Mitarbeiter als auch das Unternehmen von der Produktivität und Flexibilität, die das Sicherheitsprogramm ermöglicht, was sehr gut ist. Abgesehen davon würde ich sagen, dass das Team zusammenhält. Ich denke, dass ein häufiges Problem bei Cybersicherheitsteams darin besteht, dass in der Branche alle von Burnout und all diesen Dingen sprechen, und dass es schwierig ist, alle Talente zu halten.

    Garrett O'Hara: Mm-hmm.

    Lee Roebig: Und ich glaube, das liegt daran, dass Sicherheitsteams oft nicht weiterkommen. M: Die meisten Mitarbeiter eines Sicherheitsteams sind sehr erfahren. Sie waren wahrscheinlich jahrelang in der IT und in technologiebezogenen Bereichen tätig, bevor sie schließlich in die Cybersicherheit wechselten. Es sind also wirklich kluge Leute, oder?

    Garrett O'Hara: Mm-hmm.

    Lee Roebig: Und wenn Sie ihnen sagen, dass sie sich monatelang durch Patches und eine riesige Liste von Schwachstellen arbeiten sollen, werden sie diese Arbeit nicht als sehr lohnend empfinden und weiterziehen wollen, weil sie das Gefühl haben, dass sie sich verzetteln, denn was passiert, wenn Sie die Liste der Schwachstellen endlich abarbeiten und dann zwei Monate vergehen und die Liste wieder wächst, richtig? Es wird also nie besser. Wenn ich mit einer Organisation eine Null-Vertrauens-Strategie durchführe, konzentrieren wir uns im Allgemeinen eher auf präventive Kontrollen als auf korrigierende und detektivische. Sie sind also ein Teil davon, aber sie kommen später. Meiner Meinung nach werden dadurch die Sicherheitsanstrengungen auf angenehmere und lohnendere Bereiche wie Netzwerksegmentierung, Identitäts- und Zugriffsmanagement und Anwendungskontrolle verlagert. Das bedeutet, dass viel weniger Zeit für die mühsame und nervenaufreibende Arbeit der Schwachstellenverwaltung und des Patchings aufgewendet werden muss, die meiner Meinung nach der Schlüssel zum Ausbrennen eines Teams sind. Also ja. Ich könnte wahrscheinlich noch eine letzte Geschichte erzählen, in der ich das in Aktion sehe.

    Garrett O'Hara: Mm-hmm.

    Lee Roebig: In einer Organisation, für die ich gearbeitet habe, habe ich gesagt, dass wir sozusagen aus Versehen Null Vertrauen haben. Ich hatte das Glück und das Pech zugleich, für diese Organisation zu arbeiten, als COVID zuschlug, oder? Und es handelte sich um eine Organisation, in der viele Leute jederzeit zur Stelle sein mussten. Sie war also stark betroffen von dieser plötzlichen Situation, dass jeder aus der Ferne arbeiten muss. Und es gab 10.000 Mitarbeiter, es war also nicht einfach. Nun mussten sich alle Bereiche des Unternehmens, nicht nur die Technologie- und Cybersicherheitsteams, sondern auch alle anderen, Gedanken darüber machen, wie wir das schaffen können. Wie werden wir dafür sorgen, dass dieses Unternehmen auch aus der Ferne funktioniert?

    Und viele Unternehmensleiter gingen durch das Unternehmen und berieten sich mit den einzelnen Abteilungen darüber, was erforderlich war, damit dies funktionierte. Und sie fürchteten sich davor, zum Cybersicherheitsteam zu kommen, weil sie dachten: "Das ist die eine Person oder die Leute, die viel Schlechtes über diese Sache sagen werden." Aber wir waren diejenigen, die, als sie zu uns kamen, sagten: "Ja, da gibt es für uns nicht mehr viel zu tun. Geben Sie jemandem einfach einen Laptop und gehen Sie nach Hause, und er bleibt genauso geschützt wie vor Ort." Und das war tatsächlich ein Höhepunkt meiner Karriere, denn sie sagten: "Was meinen Sie damit, dass wir das wirklich tun müssen?" Ich sagte: "Ja. Das ist genau richtig." Denn wir verlassen uns nicht darauf [lacht], um Sicherheit zu gewährleisten. Es ist also eine Geschichte aus erster Hand, die zeigt, wie sie das Geschäft sicher machen kann.

    Garrett O'Hara: Oh, gut. Bist du das... Ich schätze, die Leute haben dir dafür auf der Straße zugejubelt. Denn ich weiß, dass es andere Geschichten gab, in denen die Organisationen überhaupt nicht so aufgebaut waren. Und wissen Sie, es gab Horrorgeschichten von Leuten, die sich verzweifelt bemühten, Laptops zu kaufen, weil sie diese großen Desktop-Computer, diese alten Türme, benutzten. Und, und, und, und um auf Ihren Punkt zurückzukommen, alles war in einer Art von Legacy-Architekturen aufgebaut, mit, Sie wissen schon, Perimeter und, und man musste vor Ort sein, um sicher zu sein, ohne ein Konzept, jemals von zu Hause aus zu arbeiten. Also ja, gut, das zu hören. Wenn dieser Rahmen bereits vorhanden ist und von vielen Organisationen genutzt wird, dann ist das Teil der Abmachung. Man lässt eine Art Programm laufen, man bekommt, ich weiß nicht, eine Art CSF und ISO, was auch immer man sich vorstellen kann, oder man arbeitet mit einer Art Rahmen. Was sind die Vorteile, wenn man sich in solchen Situationen mit ZT beschäftigt?

    Lee Roebig: Ja. Das würde ich sagen, und das ist eine Frage, die mir in letzter Zeit oft gestellt wird. Wir erfüllen bereits die Anforderungen von X, warum brauchen wir also null Vertrauen oder...

    Garrett O'Hara: Mm-hmm.

    Lee Roebig: ... wir müssen uns an X's Zero Trust halten, um dieses Problem zu lösen.

    Garrett O'Hara: Jepp.

    Lee Roebig: ... was ich sagen würde, und was ich den Leuten sagen würde, wenn sie danach fragen, ist, dass viele der Frameworks in der Branche stark auf die Einhaltung von Vorschriften ausgerichtet sind, was, verstehen Sie mich nicht falsch. Es ist wichtig für Unternehmen und für die Cybersicherheitsfunktion, aber wir können nicht... Die Einhaltung von Vorschriften wird oft mit Sicherheit verwechselt. Zero Trust ist meiner Meinung nach sehr auf Sicherheit ausgerichtet, die mit Kontrollen und Prävention zu tun hat. Und wenn man sich einige der größten Unternehmen oder sogar die kleinen Unternehmen ansieht, bei denen es weltweit zu Sicherheitsverletzungen gekommen ist, dann war jedes einzelne von ihnen, entschuldigen Sie, jedes einzelne von ihnen konform mit den...

    Garrett O'Hara: Jepp.

    Lee Roebig: ... Frameworks, die sie in die Finger bekommen konnten, und dennoch war es nicht genug, denn ich denke, ein Problem bei einigen dieser bekannten Frameworks ist, dass sie sehr breit und auf hohem Niveau angewendet werden müssen. Was bedeutet, dass einige der Ergebnisse in der Reporter ein wenig unklar mit genau das, was Sie tun müssen. Und so mit... Und wenn man die Einhaltung der Vorschriften nur auf der Grundlage des Ansatzes sowie eines unklaren Endziels oder zumindest des Weges dorthin betrachtet, kann es oft als eine Art Suche nach dem Weg des geringsten Widerstands betrachtet werden, nur um ein Kästchen zu erfüllen. Und-

    Garrett O'Hara: Jepp.

    Lee Roebig: ... eine Organisation ist dadurch möglicherweise nicht sicherer, obwohl sie wer weiß wie viel Geld und Zeit investiert hat, um konform zu werden und was auch immer sie tun muss. Und ich denke, dass eine ZT-Strategie stark auf Kontrollen ausgerichtet sein sollte und darauf abzielen sollte, Technologie an den richtigen Stellen zu integrieren und gleichzeitig das zu verstärken, was man derzeit hat. Es geht nicht darum, alles, was Sie haben, zu erneuern und mit neuem Personal zu besetzen. Die Grundsätze des Null-Vertrauens lassen sich definitiv auch auf vieles anwenden, was wir bereits haben. Und genau so gehen wir bei Sekuro mit der Zero-Trust-Strategie um und so gehe ich auch mit meinen Kunden um. Ein allgemeines Motto, das ich dabei immer im Hinterkopf behalte, ist, dass jede Empfehlung in einer Zero-Trust-Strategie oder einem Zero-Trust-Ansatz klar, realistisch, nützlich und umsetzbar sein muss. Es kann nicht nur um eine Zeit gehen, die zwar schön wäre, die eine Organisation aber nicht zu erreichen hoffen kann. Es muss in etwas Verdauliches aufgeschlüsselt werden, damit...

    Garrett O'Hara: Ja, ja, ja.

    Lee Roebig: ... ich denke, das kann ich erreichen.

    Garrett O'Hara: Ja. Und mir gefällt Ihr Hinweis auf die Idee der Kontrolle der Existenz im Gegensatz zur Wirksamkeit sehr gut. Und wissen Sie, ich denke, das ist ein großes Problem, wenn man sich jeden Rahmen ansieht. Es ist... Wenn man mit den Leuten spricht, sitzen sie in riesigen Audits und erstellen Dokumentationen über ihre Arbeit und zeigen auf das Kästchen, aber es steht nichts über die Konfiguration oder die Effektivität drin, und ich denke, das ist...

    Lee Roebig: Mm-hmm.

    Garrett O'Hara: ... eine so treffende Beobachtung. Und hier noch eine Frage. Ich glaube, wenn die Leute an Dinge wie Zero Trust denken, denken sie wahrscheinlich, dass das etwas für große Organisationen ist, weil es sich nach viel Arbeit anhört, aber...

    Lee Roebig: Ja.

    Garrett O'Hara: ... was halten Sie davon? Wie passt das zu Organisationen anderer Größenordnung oder sogar zu kleineren Organisationen?

    Lee Roebig: Ja, das ist, das ist eine gute Frage. Um es gleich vorweg zu nehmen: Ein großer Teil der von mir durchgeführten Zero-Trust-Strategien bezieht sich auch auf kleinere Organisationen sowie auf...

    Garrett O'Hara: Richtig.

    Lee Roebig: ... die große Endstadt. Und Sie können jederzeit...

    Garrett O'Hara: Jepp.

    Lee Roebig: Wir verfolgen jeweils unterschiedliche Ansätze, aber beide können das für diese Art von Organisation angemessene Maß an Nullvertrauen erreichen. Aber ich denke, was hier am wichtigsten ist, ist, dass Null-Vertrauen kein Alles-oder-Nichts-Ansatz ist und nicht zu 100 % in Stein gemeißelt werden kann. Kleinere Organisationen können also immer noch einen großen Nutzen daraus ziehen, selbst wenn sie sich nur auf einen Bereich von Zero Trust konzentrieren, in dem es sinnvoll ist und sie über ein Budget und die nötigen Ressourcen verfügen. Und sie können auch immer noch die Null-Vertrauens-Mentalität in allem, was sie tun, übernehmen und davon profitieren, gerade bei der Entscheidungsfindung und bei dem, was sie planen und programmieren. Als wir den Zero-Trust-Strategierahmen aufstellten, sahen wir schon von weitem, dass es eine ganze Reihe von Organisationen geben würde, die nicht das gleiche Maß an Fähigkeiten, Ressourcen und so weiter haben würden wie andere. Wir haben also mehrere Reifegrade geschaffen, etwa einen Reifegrad eins, zwei, drei über acht verschiedene Säulen von Zero Trust.

    Auf diese Weise kann man es anpassbar und machbar machen, und natürlich wird der Schwierigkeitsgrad der zu erreichenden Ziele höher, je weiter man zur dritten Stufe aufsteigt. Auch Organisationen können diesen Ansatz verfolgen und herausfinden, wo es für sie sinnvoll ist, und dies tun. Und ein Ratschlag, den ich neulich Abend gegeben habe, als ich vor einem Publikum einen Vortrag über Nullvertrauen gehalten habe, war, dass man nicht gleich alles mit Nullvertrauen machen muss und einfach alles, was man hat, wegwerfen sollte. Sie können sich überlegen: "Okay, wo ist es sinnvoll, Nullvertrauen zu haben?" Schauen Sie sich Ihre gesamte Cybersicherheitslage an, die jeder Sicherheitsverantwortliche in seinem Unternehmen sehr gut kennen wird. Sie... Was sie mehr als alles andere wissen werden, ist diese Schwachstelle. Das sind die Stellen, die zurückgelassen wurden, weil sie aus verschiedenen Gründen vernachlässigt wurden.

    Das ist der Bereich, auf den Sie sich zuerst konzentrieren sollten, und überlegen Sie, wie Sie dort einen auf Null Vertrauen ausgerichteten Ansatz verfolgen können. Das Beispiel ist, wenn eine Organisation sehr gute Identitätspraktiken hat, ihre Personensicherheit sehr gut verwaltet hat und Dinge wie Endpunktsicherheit und dergleichen sehr gut gemacht hat, aber sie wissen genau, dass sie ihr Netzwerk intern sehr flach gelassen haben. Nun, wenn sie bereits mit den anderen gut zurechtkommen, selbst wenn sie nicht vollständig auf Zero Trust ausgerichtet sind, aber ihr Netzwerk in einem schrecklichen Zustand ist, dann ist das Szenario, dass sie alle, "Nun, wie kann ich einen Zero Trust Ansatz verfolgen? Und brauche ich eine Technologie, die mir hilft, diesen Ansatz in meinen Netzen umzusetzen? Denn selbst wenn jemand sechs Monate lang an einem Bereich seines Unternehmens arbeitet, um ein Null-Vertrauen zu erreichen, in dem es vorher sehr schwach war," wird das dem gesamten Cybersicherheitsprogramm weitaus mehr Wert verleihen als der Versuch, Bereiche zu verbessern, in denen es bereits 60 oder 70 Prozent Übereinstimmung gibt.

    Garrett O'Hara: Ja. Das führt irgendwie zu mir... Ich denke, das ist wahrscheinlich unsere letzte Frage, aber wissen Sie, Sie machen die praktische Seite davon. Ich weiß, dass Sie das Thema bereits ansatzweise behandelt haben, aber es wäre interessant zu erfahren, wie Sie und Ihr Team in der Praxis vorgehen, um eine Strategie für ein Unternehmen zu entwickeln. Wie sieht das konkret aus, also wie lange es dauert? Wie sieht das praktisch aus, wenn Sie und Ihr Team in eine Organisation gehen, der Sekuro mit der ZT-Strategie helfen kann?

    Lee Roebig: Ja, also ich denke, was... Wir sind bei Sekuro auch in einer vorteilhaften Position, weil es eine Menge Anbieter gibt, die eine Art von Zero Trust Alignment oder so etwas anbieten. Aber das Problem ist, dass sie zwangsläufig immer eine Agenda haben werden, dass ihre Lösung natürlich das ist, was empfohlen wird, um Ihnen eine bessere Ausrichtung mit Null Vertrauen zu geben, richtig. Und die Anbieter gehen auch nicht gerne in einen Bereich, in dem sie sozusagen andere Anbieter empfehlen, es sei denn, es besteht eine spezielle Partnerschaft. Und manchmal wollen die Anbieter auch nicht in den Bereich der Beratung gehen. Das Zitat, das ich dazu gerne verwende und das eine Art Witz ist, ist, dass wir uns alle daran erinnern, wenn wir unser Finanzinstitut anrufen. Und das erste, was man Ihnen sagt, ist: "Unsere Informationen sind allgemeiner Natur und berücksichtigen nicht Ihre persönliche Situation." Die Liste lässt sich beliebig fortsetzen, und wir alle müssen das anerkennen, bevor wir weitermachen können, richtig?

    Ich denke, dass sich unsere Anbieter leider in einer solchen Situation befinden, in der alle Informationen, die sie Ihnen außerhalb ihres Angebots geben, allgemeiner Natur sind. Die persönliche Situation der Organisation wird dabei nicht wirklich berücksichtigt. Bei Sekuro hingegen können wir... Da wir nicht an bestimmte Anbieter oder Technologien oder ähnliches gebunden sind und wir einen strategischen Hintergrund haben, ist es eher das Gegenteil davon. Unsere Informationen sind sehr spezifisch und berücksichtigen genau die persönliche Situation eines Unternehmens. Es ist also... Sehen Sie, unser Ansatz für Zero Trust, um auf Ihre Frage zurückzukommen, ist, dass wir glauben, dass Zero Trust in einer Organisation ganzheitlich betrachtet werden muss. Und so kamen wir auf acht Säulen des Null-Vertrauens, und ich weiß, dass es andere Ansätze gibt, die vielleicht etwas weniger Säulen haben und so weiter.

    Aber unsere Säulen sind unserer Ansicht nach Menschen, Identitäten, Endgeräte, Netzwerke, Infrastruktur, Anwendungen, Daten und Analysen. Und dann gibt es, wie schon gesagt, diese drei Reifegrade, so dass eine Organisation sich für eine dieser Säulen entscheiden kann. Im Allgemeinen geben wir jedem... Nur weil eine Organisation klein ist, heißt das nicht, dass sie sich nicht an einem hohen Reifegrad orientieren kann, denn es ist eigentlich ein kleiner Zwiespalt, denn es mag zwar so aussehen, als hätte eine kleine Organisation weniger Fähigkeiten, aber sie hat auch weniger Komplexität. Und manchmal...

    Garrett O'Hara: Jepp.

    Lee Roebig: ... das ist das Hindernis, um einen hohen Grad an Sicherheitsreife zu erreichen, richtig?

    Garrett O'Hara: Mm-hmm.

    Lee Roebig: Wenn Sie 50.000 Benutzer haben und wer weiß, wie viele Beteiligte Sie bei Laune halten müssen, während Sie dieses Zeug ausrollen, können Sie vielleicht viel weniger erreichen als Ihr Cybersicherheitsprogramm im Vergleich zu jemandem, der 500 Mitarbeiter hat, und,

    Garrett O'Hara: Ja.

    Lee Roebig: ... Sie wissen schon, ein paar Leute aus dem Sicherheitsteam, die das steuern. Und das sehen wir immer wieder. Im Allgemeinen werden wir also eine Reihe von Fragen stellen. Ich glaube, wir haben über 155 verschiedene Kontrollen. Wir führen sie durch und dann gibt es Ja oder Nein, während wir von Stufe eins, zwei oder drei über jede dieser Säulen arbeiten, sie bekommen auf dem Weg ein Gefühl. Und das gilt natürlich auch für uns. Was für sie am sinnvollsten ist.

    Garrett O'Hara: Ja,

    Lee Roebig: ... denn wenn wir zu den Fragen der dritten Ebene kommen, werden sie sagen: "Hmm, ja. Wir machen kein Nein, Nope. Das klingt nicht nach etwas, das wir tun können," und so weiter. Und dann helfen wir ihnen bei der Entscheidung über unseren zukünftigen Zustand und geben ihnen eine Strategie an die Hand, mit der sie sich auf das ausrichten können, was sie sich vorgenommen haben. Und im Allgemeinen geht es um die Kontrolle, nicht wahr? So sagt sie es... Ich glaube, dass die, Sie wissen schon, eine Null-Vertrauens-Strategie und müsste ganz praktisch und ganz buchstäblich mit dem, was sie tun müssen, richtig sein. Sagen Sie ihnen genau...

    Garrett O'Hara: Ja.

    Lee Roebig: ... was sie tun müssen. Geben Sie ihnen keine hochtrabende Empfehlung, wie z. B. die Verwaltung Ihres Vermögens. Was bedeutet das eigentlich, richtig. Sagen Sie ihnen genau, was sie tun sollen, schlagen Sie ihnen eine Technologie vor, wenn sie nicht wissen, wonach sie suchen sollen, um diese Dinge zu unterstützen. Und schlagen Sie auch Zeitpläne vor. Ein weiteres Problem, das ich bei der Erstellung von externen Berichten hatte, als ich noch auf der Kundenseite tätig war, war, dass man einen riesigen Bericht mit Empfehlungen erhält, in dem alles mit hohem, mittlerem und geringem Risiko versehen ist. Was aber nicht klar ist, ist, dass es 50 hochriskante oder kritische Dinge gibt. Sind sie tatsächlich kritisch, weil es 50 von ihnen sind? Was ist kritischer als das andere? Deshalb haben wir uns vorgenommen, diese Art von Terminologie bei einer ZT-Strategie nicht zu verwenden. Und wir gehen den Weg der Zeitlinien, was müssen Sie vor etwas anderem klären? Also in der ersten...

    Garrett O'Hara: Ja.

    Lee Roebig: ... was sind, zuallererst, Quick Wins, was können Sie mit dem, was Sie derzeit haben, tun, das keine Probleme in Ihrem Unternehmen verursachen wird, sondern Ihnen im Grunde nur kostenlose Sicherheit verschafft? Und dann fangen Sie damit an, was Sie in den nächsten drei bis sechs Monaten, sechs bis 12, 12 bis 18 und dann 12 bis 20, pardon, 18 bis 24, in Angriff nehmen und klären müssen. Im Allgemeinen handelt es sich also um einen zwei- bis zweieinhalbjährigen Fahrplan, den die meisten Unternehmen durchlaufen, je nachdem, wie viel ihnen fehlt und worauf sie sich ausrichten wollen.

    Garrett O'Hara: Ja. Ausgezeichnet. Ich liebe den praktischen Ansatz. Lee, es war mir eine große Freude. Ich bin sehr froh, dass wir das endlich tun können. Es hat ein bisschen gedauert, aber es hat geklappt,

    Lee Roebig: Ja.

    Garrett O'Hara: ... ich bin Ihnen sehr dankbar, dass Sie sich heute Zeit genommen haben, und ich danke Ihnen im Namen der Zuhörer sehr für Ihren Einblick.

    Lee Roebig: Vielen Dank, Garr. Vielen Dank für die Einladung.

    Garrett O'Hara: Danke, Lee, dass Sie bei uns sind. Und wie immer vielen Dank, dass Sie sich den Get Cyber Resilient-Podcast angehört haben. Und stöbern Sie in unserem Episodenkatalog und liken Sie, abonnieren Sie und hinterlassen Sie uns bitte eine Bewertung. Bleiben Sie vorerst sicher. Und ich freue mich darauf, Sie in der nächsten Folge wiederzusehen.

    Zurück zum Anfang