Mimecast Logo
Jetzt starten
Angebot einholen
    Ressourcen
    Alle Themen
    Email Security
    Web Security
    Security Awareness Training
    Brand Protection
    Archive and Data Protection
    Threat Intelligence
    Podcast
    Bedrohungsanalyse

    Get Cyber Resilient Ep 124 | Den richtigen Cyber-Versicherungsschutz finden mit Dan Elliott

    Zu Gast ist diese Woche Dan Elliott, Principal for Cyber Security Risk Consulting bei Zurich, Mitglied von CyAN (Cybersecurity Advisors Network) und ehemaliger Geheimdienstmitarbeiter.

    CR_podcast_DAN_elliot.png

    In dieser Folge erläutert Dan die Entwicklung der Cyberversicherung und wie Unternehmen über Cyberversicherungen nachdenken sollten. Zum Abschluss des Interviews erläutert Dan seine Sicht auf die Sicherheitskonvergenz und deren Vorteile.

     

    Die Get Cyber Resilient Show Episode #124 Transkript

    Gar O'Hara: Willkommen zum Get Cyber Resilient Podcast auf Gar O'Hara. Dan Elliot, Leiter der Cybersecurity-Risikoberatung in Zürich, Mitglied von CyAN, dem Cybersecurity Advisors Network, und ehemaliger Geheimdienstmitarbeiter, ist heute bei uns. Dan ist in der Cyberbranche weltweit als klarer Denker bekannt, der ein umfassendes Verständnis von Risiken in modernen Unternehmen hat. Durch seine frühere Tätigkeit und seinen Wechsel in die Privatwirtschaft verfügt er über eine ziemlich einzigartige und abgerundete Perspektive auf das Thema Cyberspace und die Welt der Unternehmensrisiken.

    Heute sprechen wir über Cyber-Versicherungen und decken eine Vielzahl von Marken ab. Dan führt uns durch die Entwicklung der Cyber-Versicherung, wie Unternehmen über Cyber-Versicherung nachdenken sollten, was sie oft nicht tun, Risikoprofilierung, Sicherheitsverletzungen und wie Cyber-Versicherung an "schlechten Tagen", wie Dan es nennt, helfen kann. Wir haben das mit seiner Perspektive auf Sicherheit, Konvergenz und deren Vorteile verglichen. Zurück zum Gespräch.

    Willkommen zum Podcast "Get Cyber Resilient". Ich bin Gar O'Hara. Heute habe ich Dan Elliot zu Gast, Berater für globale Cybersicherheitsrisiken und ehemaliger Geheimdienstmitarbeiter. Wie geht es Ihnen heute, Dan?

    Dan Elliott: Es läuft gut, danke.

    Gar O'Hara: Fantastisch. Es ist so schön, dass Sie hier sind. Wir haben viele, viele gute Gespräche geführt, wahrscheinlich im letzten Jahr, vielleicht sogar mehr, und, ähm, wir können endlich auf Aufnahme drücken und, äh, na ja, ich wollte Band sagen, es ist kein Band mehr, nicht wahr? Wie Einsen und Nullen, aber schön, dass du heute hier bist, Dan. Hey, die erste Frage, die wir immer stellen, ist: Wie sind Sie dahin gekommen, wo Sie heute sind? Und ich freue mich auf diese, weil ich deine Vorgeschichte irgendwie kenne [lacht], also, äh, ich freue mich auf eine gute Geschichte.

    Dan Elliott: Ja, es ist, wissen Sie, es ist gut, endlich etwas zu besprechen, denn wir haben so viel geredet, als ich noch in der Regierung war, dass jetzt Dinge herauskommen können. Es ist also großartig, dies zu haben. Danke, dass ich dabei sein durfte, Gar. Ich bin jetzt bei Zurich Canada, wo wir seit Herbst letzten Jahres belastbare Lösungen anbieten. In dieser Funktion berate ich im Grunde alle unsere Kunden, interne und externe, zu ihren Cyberprogrammen, untersuche ihre Risikolage und helfe ihnen, ihre Widerstandsfähigkeit zu verbessern. Davor war ich jedoch 15 Jahre lang im öffentlichen Dienst Kanadas tätig, die letzten sechs Jahre davon beim CSIS in unserem Zweig des ASIO, mit dem Sie sicher besser vertraut sind.

    Während dieser Zeit hatte ich eine Reihe vertraulicher Aufgaben, die ich vor Ort wahrnahm, um, ich meine, es ist kein großes Geheimnis, alles von der Terrorismusbekämpfung bis zur Spionageabwehr und staatlich gesponserten Bedrohungen zu untersuchen. Ich hatte auch eine Rolle im Büro, und dabei habe ich im Risikomanagement und bei Risikodienstleistungen gearbeitet, wo es keinen direkten Bezug gibt, aber ich habe mir angeschaut, was der Dienst macht und, und die potenziellen Risiken und, und wie wir das bewerten und wie wir das ausgleichen.

    Das war also eine gute Zeit und viele Dinge, auf die ich im Podcast nicht eingehen werde. Tut mir leid, aber das haben Sie verpasst.

    Gar O'Hara: [lacht].

    Dan Elliott: [lacht] aber ich meine, davor, ähm, war ich bei, äh, einem Haufen verschiedener, äh, Strafverfolgungs-Akronyme in Kanada, äh, arbeitete in, äh, nationaler Sicherheit und, und grenzüberschreitendem Terrorismus und organisiertem Verbrechen. Ich habe früher verdeckt gearbeitet, und dann habe ich in einem integrierten Vollzugsteam gearbeitet, das Terroristen in Groß- und Kleinstädten Kanadas gejagt hat und Verhöre und Festnahmen durchgeführt hat, und, Sie wissen schon, Online-Ermittlungen gegen das organisierte Verbrechen, die wir in den frühen Tagen durchgeführt haben, ich glaube, in den frühen Tagen, als es um kompromittierte Geschäfts-E-Mails und Oma-Betrügereien ging und wir mit den Deutschen und den Amerikanern und einem Haufen anderer Leute zusammengearbeitet haben. Es waren also gute 15 Jahre, das kann ich sagen [lacht].

    Gar O'Hara: Jetzt haben Sie den Wechsel vollzogen, oder? Sie sind sozusagen in die Privatwirtschaft gewechselt. Wie ist es Ihnen ergangen? Was sind einige der Unterschiede, die Sie festgestellt haben?

    Dan Elliott: Wissen Sie, es war der richtige Zeitpunkt zu gehen. Ich liebe den Auftrag und das Mandat, das der CSIS hatte, und ich liebe meine Arbeit, aber es gibt einen bestimmten Weg. Ich meine, jeder in diesem Beruf kennt seinen Fahrplan für die nächsten 10, 15, 20 Jahre. Dann beschloss ich, eine andere Richtung einzuschlagen und in die Privatwirtschaft zu gehen. Es ist viel mehr, ich hasse es, den Begriff immer wieder zu verwenden, aber es ist die grüne Wiese, wissen Sie? Solange du eine Möglichkeit siehst, etwas aufzubauen und zu entwickeln und es entweder für die Organisation oder für die Kunden besser zu machen, werden sie dir den Raum dafür geben, verstehst du? Sie, sie, selbst ein so großes Unternehmen wie Zürich, das im Grunde ein Land für sich ist, ähm, da gibt es viele, viele Möglichkeiten für mich, zu sehen, wie wir die Art und Weise, wie wir mit Kunden arbeiten, verändern können, wie wir Dinge aufbauen können, wie wir uns als Organisation entwickeln können, und diese Flexibilität ist ganz anders als die Art und Weise, wie der öffentliche Sektor arbeitet.

    Gar O'Hara: Ja, fantastisch. Und die Cyber-Versicherung ist ein interessantes Thema und eine Art Cyber-Bereich, der, wie ich annehme, immer wieder umstritten war. Es gab einige interessante Dinge, die in den Medien verbreitet wurden, Sie wissen schon, der Wert und die Positionierung. Ich denke, es ist eindeutig sehr, sehr wichtig, aber es hat sich geändert. Und ich würde gerne wissen, wie sich das Thema in den letzten, sagen wir, fünf Jahren entwickelt hat, denn es scheint, dass es heutzutage eine ganz andere Art von Gespräch ist.

    Dan Elliott: Ja, ich denke, es ist immer noch eine Art Blackbox. Ich habe bei einigen Gelegenheiten die Gelegenheit, mit einer Reihe von CISOs und IT-Direktoren, die nicht unbedingt unsere Kunden sind, in Kontakt zu treten und sie zu befragen, um eine Vorstellung davon zu bekommen, wie sie es sehen. Ähm, und, und es gibt immer noch eine Menge Gerüchte, wo die Leute denken, "Hey, ich habe von diesem Typen gehört, dass, du weißt, alles, was ich brauche, das ist, und ich kann es gedeckt bekommen," oder, oder, "Es gibt einen 200-seitigen Bericht, den ich ausfüllen muss, nur um, um durch die Vordertür zu kommen," und es ist, es ist alles, was du nicht hören willst. Und ich sitze da und denke: "Ich will keine 200 Seiten lesen und ich will nicht sehen, wie Sie mit zwei, zwei Risikokontrollen zur Tür hinausgehen und Ihnen sagen, dass Sie den Rest übertragen sollen."

    Ich meine, ich denke, dass wir als Industrie ein bisschen das Pferd von hinten aufzäumen, und es ist ein bisschen verallgemeinernd, aber ich habe gesehen, dass viele Leute in den ersten Tagen den Risikotransfer, die Risikoversicherung als ersten Teil der Risikobewertung oder der Risikomanagement-Gleichung und der Risikominderung und des Risikobesitzes betrachtet haben, als sie sich an die Tröge setzten. Also heißt es: "Mal sehen, was wir von der Risikoversicherung abdecken können, von der Cyberversicherung, und was wir übertragen können, und dann werden wir den Rest abfedern." Und was ich zu sehen beginne, und ich denke, dass es viel durch, Sie wissen schon, große Sicherheitslücken und, und Auszahlungen in den Medien angetrieben wurde, ist, dass ...

    Gar O'Hara: Hmm.

    Dan Elliott: ... das Risiko versichert, dass die Versicherung gestiegen ist und es für die Menschen schwieriger geworden ist, sie zu bekommen, was bedeutet, dass sie stattdessen schauen mussten: "Okay, was können wir abmildern? Was können wir zuerst intern tun, bevor wir uns auf den Weg machen, um das, was übrig ist, zu übertragen, um die Versicherung für das andere Stück zu bekommen?" Ich denke, das ist eine gesündere Gleichung, denn ich höre ständig von Leuten in der Branche, die sich Sorgen machen: "Nun, bevor ich zugestimmt habe, ist das alles, was ich an Finanzierung bekommen kann, um mein Programm nach einem Verstoß zu verbessern. Sie wissen schon, die Kasse öffnet sich und ich kann all das ausgeben und all diese Kontrollen." Und ich glaube nicht, dass das damals eine gute Gleichung war, vor allem, wenn sie Geld für Versicherungsprämien ausgeben mussten. Nun, man muss, man muss eine Mischung finden, wo "Okay, wir geben Geld für bessere Kontrollen aus. Wir sind dabei, uns intern widerstandsfähiger zu machen, aber wir wissen, dass wir etwas übertragen müssen. Wir müssen etwas davon haben, ob es sich nun um Betriebsunterbrechungen oder um Vermögenswerte handelt, die durch Versicherungen finanziell abgesichert wurden."

    Gar O'Hara: Ja, das macht, äh, na ja, das macht sehr viel Sinn und es fühlt sich an wie, ähm, die andere Richtung. Das ist eine interessante Psychologie, nicht wahr? Die Art der Risikoübertragung und die Vorstellung, dass man einfach mit Geld um sich werfen kann, ohne die Arbeit zu machen, ist zu stark vereinfacht. Ähm, Sie haben es hier schon angesprochen, aber was glauben Sie, was Unternehmen tun, wenn sie sich hinsetzen und denken: "Okay, nun, Cyber-Versicherung, wir, Sie wissen schon, wir müssen darüber nachdenken und es irgendwie angehen." Woran sollten sie denken und was sollten sie in Betracht ziehen, wenn sie ihre Herangehensweise an die Cyber-Versicherung bewerten und vielleicht sind sie versichert und wollen eine Police ratifizieren oder ändern? Was sind die Dinge, über die sie Ihrer Meinung nach nachdenken sollten?

    Dan Elliott: Ich denke, das hängt von der Größe und dem Umfang der Organisation ab ...

    Gar O'Hara: Richtig.

    Dan Elliott: ... aber das erste, was ich sagen würde, ist, dass sie intern Gespräche führen sollten. Und ich sehe, dass es die ganze Bandbreite abdeckt. Und wenn ich mit den Leuten bei einem Bierchen gesprochen habe oder ein Meeting oder ein Interview mit ihnen hatte, kam immer das Gleiche heraus, nämlich, dass einige von ihnen, ob es nun der CISO, der IT-Direktor oder wer auch immer ist, einfach den Fragebogen vom Risikomanager in die Hand gedrückt bekommen: "Bitte füllen Sie das aus. Wir müssen uns mit dem Versicherer oder dem Makler treffen,", und dann sehen Sie die andere Seite, wo sie im Laufe der letzten Jahre ein Gespräch geführt haben, um zu verstehen, wo ihr Programm steht, und um diese Art der Zusammenarbeit zu haben, damit es als Geschäftsrisiko bewertet wird und nicht nur als IT-Problem mit einem IT-Fragebogen, der dann durch die Versicherung geht.

    Ich denke also, dass man idealerweise ein internes Gespräch führen sollte, so dass das IT-Team oder das ITIS-Team die Geschäftsrisiken versteht, für die es eine gewisse Verantwortung übernimmt, und dann alle diese Diskussion führen, um zu sagen: "Okay, was tun wir, um dieses Risiko zu mindern oder einen Teil dieses Risikos intern auszugleichen und uns selbst zu schützen und unsere Kronjuwelen zu betrachten? Und dann, wissen Sie, wie teuer wird es für uns werden, wenn wir gehen," weil es sein wird, wenn, "wenn wir untergehen, wenn wir getroffen werden, wissen Sie, und wie lange kann das dauern?" Auf diese Weise können sie ein realistisches Gespräch mit ihrem Makler oder ihrer Versicherung führen und sagen: "Okay, ich sehe, dass es mich pro Tag so viel kosten wird, wenn wir runtergehen, und so müssen wir vorgehen. Das ist es, was wir von unseren RTOs erwarten. Das ist es, was wir erwarten, und was es kosten wird."

    Hey, ich glaube, oft werden diese Gespräche nicht [inaudible 00:10:45]. Sagen wir mal so: In den weniger reifen Organisationen finden diese Gespräche nicht statt. Wenn sie dann anfangen, mit mir oder einem Underwriter zu sprechen, stehen sie wie ein Reh im Scheinwerferlicht da und wissen nicht, was ihre Kronjuwelen sind. Sie haben nicht wirklich darüber nachgedacht, was es sie kostet, und Sie sprechen mit einem CISO, der nicht weiß, was es kostet, wenn das Netzwerk einen Tag, eine Woche oder einen Monat lang ausfällt. Ich meine, das sind Zahlen, die sie wissen wollen, denn wenn sie mit dem Vorstand sprechen, müssen sie das auch sagen können. Und wenn sie mit ihrem Versicherer oder ihrem Makler sprechen, sollten sie in der Lage sein zu sagen: "Nun, ich weiß, wenn unser primäres Netzwerk ausfällt, wenn unser OT-System ausfällt, wird es auf einer täglichen oder wöchentlichen Basis so viel kosten."

    Gar O'Hara: Denken Sie, dass diese Art von Dingen ... Sie haben den Ausdruck "Deer in headlights (Hirsch im Scheinwerferlicht)" verwendet, und ich verstehe das irgendwie, und, wissen Sie, selbst wenn man nur die Oberfläche einiger der Ansätze für die Risikoanalyse ankratzt, wissen Sie, wenn man in den quantitativen/qualitativen Bereich vordringt, kann es ziemlich knorrig und ziemlich schwierig werden. Und ich vermute, dass viele Teams bereits unter Wasser stehen und einfach nur darum kämpfen, ihre tägliche Arbeit zu bewältigen, und dann sagt jemand: "Nun, wissen Sie, wie viel wird es pro Tag kosten?" Und, wissen Sie, es ist diese Art von, "Oh, mein Gott, wie können wir überhaupt anfangen, die tatsächlichen finanziellen Kosten und Wahrscheinlichkeiten und Auswirkungen anzugehen?" Wie sieht die Lösung aus? Wenn Sie ein kleines Team oder ein erfahrenes Team haben, ist das etwas, bei dem Ihre Teams helfen können?

    Dan Elliott: Ja, ich denke, dass es für Organisationen sehr hilfreich ist, externe Hilfe in Anspruch zu nehmen. Es ist immer von Vorteil. Das wird ihre Position stärken. Ich glaube, es gibt eine Tendenz der Führung, eine Tendenz der Vorstände, diese Außensicht, diesen Außenbericht zu nehmen, bevor sie dem Berichterstatter oder den Anweisungen ihres CISO oder ihres IT-Teams folgen. Und ich bin mir nicht sicher, woher das kommt, ob es die Idee ist, dass sie nicht dieselbe Sprache sprechen oder nicht alle Ziele des Unternehmens verstehen, aber ich sehe es immer wieder, wenn ein CISO mir sagt: "Nun, das ist es, was wir zu tun versuchen. Das sind die Ziele, die wir erreichen wollen," oder "Das ist die Risikokontrolle, die ich einführen will," und dann machen wir eine Bewertung, kommen zu demselben Ergebnis und plötzlich gibt es Mittel für diese Ziele oder diese Kontrollen.

    Es ist also vorteilhaft, aber ich würde auch sagen, dass, wenn Sie das nicht tun wollen oder wenn Sie ein wirklich kleines Geschäft sind, ein KMU, sich das nicht leisten können, was auch immer der Fall sein mag, schauen Sie sich Ihren Gewinn an, richtig? Wenn Sie sich nur ansehen: "Okay, wie hoch sind meine Einnahmen über das Jahr hinweg, und im schlimmsten Fall, wenn wir morgen zum Stillstand kommen," weil, Sie wissen schon, vergessen Sie, dass die Daten der elektronischen Mitarbeiter-HR zur Tür hinausgehen, "Wenn, wenn wir morgen nicht arbeiten können, wie viel Umsatz verlieren wir dann täglich?" Und selbst wenn man mit dieser, Sie wissen schon, "der Himmel stürzt ein"-Zahl anfängt und diese ausrechnet, zumindest in einer vereinfachten Sichtweise, gibt Ihnen das einen Ausgangspunkt für "Wie viel kostet es mich, wenn wir getroffen werden und wenn wir keine Vorkehrungen getroffen haben?"

    Gar O'Hara: Äh, nein, das macht absolut Sinn. Und, um auf deinen Punkt mit der Stimme von außen einzugehen, ähm, in Irland musstet auch ihr nach Amerika gehen, bevor die Iren merkten, dass sie eine gute Band waren, dasselbe gilt für die Cranberries. Also, da ist etwas dran. Ich könnte meiner Frau hundert Mal etwas sagen, was ich für eine gute Idee halte, und sie würde nicken und es wäre, "Jawohl, cool, was auch immer." Eine unserer Freundinnen sagt es einmal, und sie sagt: "Weißt du, Bob hat das gerade gesagt, und ich denke, es ist eine wirklich gute Idee." Ich sage: "Du verarschst mich?" Als ob ich das nicht schon seit sechs Monaten gesagt hätte. Wie auch immer, dies ist kein Therapie-Podcast. Das ist...

    Dan Elliott: [lacht] Ich, ich werde genauso viel Ärger bekommen, also werde ich mich einfach ruhig verhalten [lacht].

    Gar O'Hara: (lacht) Ja, äh, also, ich meine, Sie haben ja schon einiges davon angedeutet, aber der Unterschied zwischen kleinen und mittleren Unternehmen oder sogar kleinen Läden und einem sehr großen Unternehmen und der Wert, den sie aus dem Cyberspace ziehen. Ich gehe davon aus, dass es einige Unterschiede bei der Komplexität, den Prämien und dem Wert gibt, Sie wissen schon, diese Art von Worst-Case-Szenario und Sie müssen sich auf eine Art Cyberversicherung stützen, da wird es einige Unterschiede geben. Was sind sie? Was haben die Großen Ihrer Meinung nach?

    Dan Elliott: Also, die meisten unserer Kunden, mit denen wir arbeiten, sind eher im mittleren Marktsegment angesiedelt. Sie rechnen also mit 10 bis 20 Millionen Umsatz pro Jahr und, und, und. Das ist also ein leicht zu bewertender Bereich, denn sie können sich schnell ein Bild davon machen: "Wie viel ich einnehme und wie viel mich eine Betriebsunterbrechung kosten würde, wenn ich für drei Wochen oder drei Monate ausfalle. Es wird mehr kosten, als unsere Eigentümer oder unsere Aktionäre tragen wollen. Also, gehen wir dorthin." Wenn Sie in den KMU-Bereich und kleiner einsteigen, müssen Sie wirklich abwägen, was es Sie kostet, nach unten zu gehen, im Vergleich zu dem, was Risikokontrollen wert sind und was Sie sich leisten können, um sie einzurichten. Und ich denke, eine der Herausforderungen in diesem Bereich ist, dass ein großer Teil des Versicherungsmarktes für den mittleren Markt und aufwärts, für den großen Maßstab, Sie wissen schon ...

    Gar O'Hara: Ja.

    Dan Elliott: ... ja, keine acht- oder neunstelligen Unternehmen, in die man einsteigen kann, denn die Frage ist, dass alle Bewertungen auf, Sie wissen schon, ich, ich, ich sage nicht, einem Goldstandard für, für NIST oder ISO, aber definitiv einem Silberstandard, richtig [lacht]? Und, und Mama und Papa schauen sich, Sie wissen schon, Dinge wie die ASD Essential 8s an und, Sie wissen schon, "Können wir dieses halbe Dutzend bis, bis ein Dutzend Dinge in die Wege leiten, um uns einfach um unseren Alltag zu kümmern?" Und ich denke, da sollte man sich wirklich ansehen, was man täglich tut und "Kann ich die Grundlagen schaffen?" oder "Kann ich das auf andere Weise ausgleichen?" Ich arbeite mit einigen der kleineren Versicherer zusammen, die in diesem Bereich tätig sind, und sie stellen fest, dass die eigentliche Versicherung für ihre Größe gar nicht so teuer ist, wenn sie einen Kunden vermitteln können, aber ...

    Gar O'Hara: Ja.

    Dan Elliott: ... sie führen keine Kontrollen durch. Viele von ihnen sitzen also in einem Raum, in dem sie das Passwort 123 haben, unsere Standardpasswörter für ihre Wi-Fi-Netzwerke im Geschäft. Und ich denke, wenn man zuerst einige Risikokontrollen durchführt, ist es viel einfacher, mit einem Versicherer oder einem Makler darüber zu diskutieren, was ich tatsächlich ausgleichen muss.

    Gar O'Hara: Und, und das ist ein wirklich guter Punkt, entschuldigen Sie, eines der Dinge, über die wir ein wenig gesprochen haben, ist das Risikoprofil einer Organisation, wenn Sie oder Ihr Team zur Tür hereinkommen, werden Sie vermutlich in verschiedenen Organisationen unterschiedliche Dinge sehen, aus all den Gründen, die wir alle in unserer Branche kennen, wenn es um den menschlichen Prozess, die technologische Seite der Dinge und Cyber-Überlegungen geht und wie sie überhaupt über Risiken denken. Wissen Sie, selbst auf der Anbieterseite bin ich manchmal in Gesprächen mit CISOs verblüfft, die frustriert sind, weil ihr Besitzer ein iPad hat, das nicht einmal einen PIN-Code hat und auf dem alle Unternehmens-E-Mails gespeichert sind. Und, ähm, man denkt irgendwie, "Nun, das ist die Art von Zeit, in der wir leben."

    Wie auch immer, wenn Sie zur Tür reinkommen, wenn Sie nach einem Risikoprofil suchen, was sind die Dinge, auf die Sie achten, wenn Sie und Ihr Team anfangen zu bewerten, wie hoch die Prämien einer Organisation letztendlich sein werden?

    Dan Elliott: Ich befinde mich also in einer wirklich glücklichen Lage bei den Risikodienstleistungen, in der die Underwriter die Möglichkeit haben, zu beurteilen, "Okay, das sind unsere versicherungsmathematischen Tabellen, und das sind die Prämien, die wir berechnen."

    Gar O'Hara: Mm-hmm.

    Dan Elliott: Ich darf in dem Raum sitzen, in dem ich sie berate. Ich schließe meine Augen und halte mir die Ohren zu, wenn sie anfangen, die Premium-Nummern zu nennen, denn manchmal ist das beängstigend. Und, und ich denke ...

    Gar O'Hara: Ja.

    Dan Elliott: ... es ist manchmal beängstigend, weil Unternehmen so lange nicht in Risikokontrollen investiert haben, dass jetzt die Erwartung besteht, dass sie in der Reifekette nach oben gerutscht sind und sie nicht so weit sind, wie sie gerne wären. Wenn ich also reingehe und mich zuerst mit ihnen unterhalte, schaue ich mir an: "Okay, was sind deine Kronjuwelen? Welche Schwachstellen gibt es in diesem Bereich? Welche Risikokontrollen haben Sie eingerichtet?" Von diesem Punkt aus baue ich diese Schichten auf und schaue mir dann die Grundlagen an. Und, und ich sage wirklich, die Grundlagen sind, "Nun, wie sehen Ihre Backups aus? Führen Sie MFA durch? Wie sieht Ihr Identitäts- und Zugriffsmanagement aus? Wie sieht zum Beispiel Ihr Sicherheitstraining aus? Handelt es sich dabei um einen einmaligen Klick-Klick-Fragebogen, oder müssen Ihre Mitarbeiter diesen das ganze Jahr über ausfüllen?" Also ich meine, es gibt ...

    Und oh, Mann, Governance und Politik, das könnte eine ganze Diskussion über die vielen Telefonbücher geben, die ich gesehen habe, als wir, Sie wissen schon, Gespräche über "geführt haben. Und wie sieht dann Ihr Plan für die Reaktion auf Zwischenfälle aus?" Und sie wetteifern darum, wer von ihnen dicker sein wird. Es ist also eine große Bandbreite. Ich würde also sagen, dass ich mit unserem Team dazu neige, zu schauen, "Okay, was sind die nackten Grundlagen, die wir sehen wollen, du weißt schon, jeder muss im Grunde nur auftauchen, du weißt schon, 'Das ist dein Einstieg in das Spiel.'" Und dann schauen wir uns an: "Welche spezifischen Risiken bestehen für Ihr Unternehmen und was tun Sie? Wie gut verstehen Sie die Schwachstellen Ihres Kerns, Ihres Kerngeschäfts, Ihrer Kronjuwelen, damit Sie in der Lage sind, den Betrieb aufrechtzuerhalten?"

    Und es gibt eine Menge Organisationen, die NIST verstehen und die Liste der Kontrollen verstehen, die sie haben wollen, aber man kann mit ihnen nicht darüber reden, "Okay, was sind Ihre Kronjuwelen? Was wird das Geschäft in seinen Bahnen stoppen? Und wie gehen Sie damit um?" Ich denke, wenn man ein Unternehmen sieht, das diese beiden Gespräche führen kann, fühle ich mich viel wohler, wenn ich zum Underwriter gehe und sage: "Okay, sie, wissen Sie, sie vermissen diese Dinge oder sie haben all diese, aber sie verstehen, wissen Sie, was los ist." Offensichtlich gibt es dort also ein Gebäude.

    Gar O'Hara: Ja, verstanden. Das wird die Gespräche, die ich diese Woche hatte, ruinieren. Eigentlich war es diese Idee, und ich denke, wir werden dazu in einem späteren Teil des Gesprächs kommen, mit der Idee eines reifen Gesprächs über Risiken und dass es auf einer Skala von Null bis 100 liegt. Und heutzutage kann man sagen, dass sie sich wahrscheinlich in Richtung, Sie wissen schon, einer Wahrscheinlichkeit von eins entwickelt hat. Und die Psychologie, die dahinter steckt, ist ganz anders als die ... Wir werden einen Haufen Kontrollen einführen und alles wird gut werden. Und ich sage das, weil das, was Sie gerade gesagt haben, die Idee ist, dass sie die Dinge verstehen, die fehlen, und dass sie mit den Erwachsenen darüber gesprochen haben, wo sie stehen und ob das in Bezug auf das Geschäft passt und womit sie sich wohl fühlen.

    Glauben Sie, dass sich dadurch die Psychologie der Rolle des CISO oder des Sicherheitsteams ändert, weil von ihnen nicht erwartet wird, das Unmögliche zu tun oder im Grunde einen bestimmten Punkt auf der Skala zu treffen?

    Dan Elliott: Ja. Äh, und leider, und ich denke, in Australien zu Kanada und, und Kanada zu den USA, ich, ich sehe Unterschiede geographisch und, und in den Märkten ...

    Gar O'Hara: Ja.

    Dan Elliott: ... wenn ich mit Leuten spreche, denn Kanada war, äh, ich werde, ich werde mich statistisch gesehen verletzen ...

    Gar O'Hara: [lacht].

    Dan Elliott: ... wenn ich das sage, aber Kanada hatte nicht das Ausmaß an, das AUS pro Kopf der Bevölkerung hatte und die USA hatten ...

    Gar O'Hara: Ja.

    Dan Elliott: ... nur aufgrund des Umfangs und der Medien. Ich stelle also fest, dass viele CISOs, die einen schweren Schlag erlitten haben und glücklicherweise immer noch in ihrem Unternehmen beschäftigt sind, nun ein viel reiferes Gespräch mit ihrem Führungsteam führen können. Und ihre Rolle hat sich verändert, denn es geht nicht mehr um eine Kostenstelle, zu der ich jedes Mal gehen und erklären muss, warum ich Geld für dieses Tool oder diese Kontrolle oder dieses Sicherheitsprogramm ausgeben muss, sondern die Führung und die Geschäftsleitung verstehen jetzt, wie sie in die Gesamtstruktur des Unternehmens passen und das Unternehmen am Laufen halten und voranbringen.

    Und ich glaube, ich sehe eine Menge Unternehmen in diesem Bereich. Der Prozentsatz der Unternehmen, in denen der CISO oder der IT-Direktor diese Beziehung zu den Führungskräften vor dem Einbruch noch hat, ist nicht so hoch. Und ich denke, das liegt daran, dass wir zumindest in Kanada nicht so viele Schlagzeilen in den Medien hatten, die deutlich gemacht haben, dass jeder kurz davor ist, getroffen zu werden, so wie man eine Beziehung zu seinem CISO oder seinem IT-Direktor haben muss, wo man sich regelmäßig mit ihnen über die Schwachstellen, die Bedürfnisse und die...

    Gar O'Hara: Mm-hmm.

    Dan Elliott: Sie wissen, dass es sich nicht um zwei unterschiedliche Gruppen handelt.

    Gar O'Hara: Ja, ja, das macht definitiv Sinn. Hey, bei den Anforderungen, die wir heutzutage für Cyber-Versicherungen sehen, gibt es sogar Verträge mit anderen Unternehmen, und man sieht, dass sie immer häufiger auftauchen. Und, ähm, wissen Sie, natürlich, die Dinge, die dort vor sich gehen, Sie sehen, dass, Sie sehen die, die Art der Auswirkungen der Prämien und für Cyber, ähm, Versicherungen auf der Grundlage der Art der Reife und Sie haben bereits eine Menge davon erwähnt. Und Sie haben dies bereits angedeutet, aber sehen Sie diese Art von Anreiz für bessere Cybersicherheitskontrollen und bessere Ansätze von Vorständen, wenn es um Risiken in Unternehmen geht? Glauben Sie, dass die Cyber-Versicherung ein so guter Hebel ist?

    Dan Elliott: Ja, ich, ich, wissen Sie, und, und, es, äh, ich bin neu genug in der Branche, dass ich, ich will nicht ganz wie der Prügelknabe klingen, wenn ich das sage, aber ich denke ...

    Gar O'Hara: [lacht].

    Dan Elliott: ... das ist der Fall, bei dem die Cyber-Versicherung den Kopf dafür hinhalten musste, wo die Leute schon früher hätten investieren sollen.

    Gar O'Hara: Ja.

    Dan Elliott: Cyber-Versicherungen waren also günstig, und die Leute haben einfach... "Na ja, wir werfen sie da rein. Ich muss nicht in unsere eigenen Kontrollen, unsere eigene Verteidigung in der Tiefe investieren." Und jetzt sind Cyber-Versicherungen plötzlich richtig teuer, weil die Branche Geld verloren hat und "Hey, vielleicht sollten wir in die internen Kontrollen investieren," und, und das hat die Mischung verändert. Und, und, wissen Sie, ich, Versicherungen haben nie einen guten Namen. Ich meine, wann ist jemals jemand aus der Versicherungsbranche auf eine Party gegangen, und ich bin mir ziemlich sicher, dass ich, ich hatte vor vielen Jahren eine Deckung, wo ich sagte, dass ich in der Versicherungsbranche bin, und niemand wollte mit mir reden. Also, ähm ...

    Gar O'Hara: [lacht].

    Dan Elliott: ... ich meine, es ist ein ruhiger Ort, um zu sein. Du bist nicht der Mittelpunkt der Party. Und wenn doch, dann meist aus den falschen Gründen. Aber ich denke, dass die Menschen dadurch gezwungen wurden, andere Möglichkeiten in Betracht zu ziehen. Sie wissen, dass es ein Problem gibt, dass es eine Bedrohung gibt und dass eine Versicherung vielleicht nicht die einzige Möglichkeit ist, dies zu tun, oder dass ich mehr von diesem Risiko behalten muss, bevor ich es versichern kann. Ich sehe das so, als ob Sie eine Kfz-Versicherung hätten und im nächsten Jahr plötzlich wieder eine abschließen müssten, und man sagt: "Okay, die ersten 5.000 Dollar eines Unfalls müssen Sie aus eigener Tasche bezahlen."

    Gar O'Hara: Mm-hmm.

    Dan Elliott: Du fährst ein bisschen tiefer, weißt du [lacht]? Wie Sie, Sie könnten, Sie könnten einen anderen Weg finden, um in und von und, und ich denke, das ist der Unterschied zwischen ... Ich hatte dieses Gespräch, in dem ich den Leuten gesagt habe, "Okay, wenn jetzt deine Selbstbeteiligung 500 Dollar oder 1.000 Dollar für deine Autoversicherung beträgt, und, du weißt schon, deine Versicherung wird den Rest übernehmen, solange du nicht wie ein Idiot fährst. " Nun, ich denke, was sich geändert hat, ist, dass es plötzlich teurer geworden ist und man die ersten 1.000, 5.000, 10.000 aufheben muss. Nun, es verändert die Art und Weise, wie man Dinge tut, und die Cyberversicherung hat die Art und Weise verändert, wie die Menschen ... Man kann die Art und Weise, wie man Gewinne erwirtschaftet, nicht ändern, also muss sich die Art und Weise ändern, wie man seine eigene Verteidigung und die Art und Weise, wie man sein Geschäft kontrolliert, betrachtet.

    Gar O'Hara: Und wir werden in Kürze vom Thema abschweifen, aber ich nehme an, dass der letzte Teil, wenn die schlimme Sache passiert. Offensichtlich geht es bei dieser ganzen Diskussion um die Bewertung von Cyber-Versicherungen und um diese Art von Vorfällen in vielerlei Hinsicht, aber wenn das Schlimmste passiert, wird es wahrscheinlich passieren. Ähm, was macht eine Versicherungsgesellschaft? Wie, womit könnt ihr helfen?

    Dan Elliott: Also, es, es, es ist eine schöne, "Es kommt darauf an." Ich liebe diesen Raum. Ich liebe es, alles beantworten zu können, "Es kommt darauf an." Ich würde sagen, ich hoffe, dass es lange vor diesem schlechten Tag ein Gespräch mit dem Versicherer gab, oder? Wie ...

    Gar O'Hara: Ja.

    Dan Elliott: ... wenn Ihr Versicherer eine Schadenabteilung hat, die bereit ist, mit Ihnen zu sprechen, was sie normalerweise tut, dann sollten Sie dieses Gespräch von Anfang an führen. Ich habe mit einer Menge Leute in unserer Schadenregulierungsgruppe gesprochen und unabhängig davon, wo wir darüber gesprochen haben, "Okay, also, wie sieht ein schlechter Tag aus? Und wissen Sie, ob Sie diese Leute auf einer Anrufliste haben? Brauchen Sie Hilfe bei der Suche nach diesen Personen? Und was wirst du tun, damit dein schlechter Tag nicht so schlimm ist?"

    Gar O'Hara: Mm-hmm.

    Dan Elliott: Nehmen wir an, Sie haben das getan. Wenn ein schlechter Tag eintritt, wird Ihr Versicherer wahrscheinlich einer der ersten sein, den Sie anrufen. Und je nachdem, ob es eine Liste von Dienstleistern gibt, an die Sie sich wenden müssen, sollten Sie sich bereits mit diesen Gruppen in Verbindung gesetzt haben, um herauszufinden, mit wem Sie zusammenarbeiten wollen. Und das sind all die Teile, bei denen wir als Versicherer oder als die Risikodienstleistungsgruppe, die einem Versicherer angegliedert ist, den Leuten dabei helfen, sie wirklich schnell zu erreichen, weil diese Verzögerungszeit oder tote Zeit für Sie wirklich teuer werden kann [lacht]...

    Gar O'Hara: [lacht] mm-hmm.

    Dan Elliott: ... und, und wirklich stressig. Wir sehen, ich sehe viel mehr graue Haare bei den Organisationen, die keine Anrufliste haben, wer ihr Notfallreferent sein wird, als bei denen, die es bereits herausgefunden haben, die es getestet haben, die, Sie wissen schon, Tabletops durchlaufen haben. Und sie haben mit ihrem Versicherer darüber gesprochen, was sie tun müssen. Ich denke also, dass ein frühzeitiges Engagement der Schlüssel ist, und dann, wissen Sie, melden Sie es Ihrem Versicherer, wenn es passiert, und wenn Sie wirklich mit heruntergelassenen Hosen erwischt werden und keine Ahnung haben, keine Liste, dann wird Ihr Versicherer sagen, dass unsere Versicherung, unsere Versicherungsvertreter, unsere Underwriter, unsere Schadenbearbeiter so viele davon gemacht haben.

    Als ob sie wüssten, mit wem sie reden müssen. Wir wissen, wer uns helfen wird, also sind wir sehr schnell bereit, jemanden zu beauftragen, denn je schneller ein Unternehmen wieder auf die Beine kommt, und ich will nicht egoistisch sein, aber je schneller es wieder läuft, desto billiger ist es für den Versicherer, und ich persönlich bin der Meinung, dass es die bösen Jungs schneller über den Tisch zieht [lacht].

    Gar O'Hara: Ja, es ist, äh, äh, entschuldigen Sie, ähm, es scheint, als gäbe es hier so viele Analogien zu Autos und, wissen Sie, wenn man an einen Autounfall denkt, ist fast der erste Anruf, den man macht, der an die Versicherungsgesellschaft, richtig? Und sie sind diejenigen, die wissen, wo man das Auto am besten reparieren lassen kann und wo man es am besten bekommt... Ja, es ist ein beruhigendes Gefühl, denn wenn man das selbst machen müsste, wäre es ein verdammter Albtraum. Es wäre also nicht dasselbe und, ähm, und eine Art kleiner ... Lassen Sie uns hier ein wenig schwenken. Und Sie haben vor kurzem, ich glaube, korrigieren Sie mich, es war Anfang des Monats, einen Artikel über Sicherheitskonvergenz veröffentlicht, den ich sehr interessant fand, aber es wäre toll, wenn Sie uns erklären könnten, was Sicherheitskonvergenz eigentlich ist.

    Dan Elliott: Sicher. Also, ich liebe es, weil es nach etwas Neuem klingt, obwohl es schon ein Jahrzehnt alt ist, und, weißt du, es dreht sich einfach weiter, während die Leute entscheiden, was sie damit machen wollen. Es geht im Grunde darum, die Silos zwischen Ihren physischen und Ihren Cybersicherheitsgruppen zu überbrücken ...

    Gar O'Hara: Ja.

    Dan Elliott: ... die in der Regel getrennt voneinander arbeiten und nicht miteinander reden und oft völlig unterschiedliche Führungsteams und völlig unterschiedliche Ziele haben. Es geht darum, sie so zusammenzubringen, dass sie gemeinsam an einem Ziel arbeiten, anstatt sich gegenseitig zu behindern, und dass sie Informationen austauschen. Und sie tauschen oft Informationen über Risiken und Bedrohungen aus. Und sie haben zumindest ein allgemeines Wissen darüber, was die andere Gruppe regelmäßig tut. Aus der 20.000-Fuß-Perspektive betrachtet man sein Sicherheitsteam als digitalen und physischen Teil einer einzigen Gruppe und nicht als "Wo ist meine physische Sicherheit und wo ist meine IT-IS-Gruppe?"

    Gar O'Hara: Ja, das macht Sinn. Und welche Art von Ergebnissen gibt es? Sie haben also über die Konvergenz gesprochen, aber vermutlich tun Sie das nicht zum Spaß, es sei denn, diese Leute lieben es, zusammen zu feiern, und vielleicht tun Sie es zum Spaß, aber ich nehme an, dass es [lacht] einige wichtige Vorteile geben wird, die sich aus der Umstellung auf das Konvergenzmodell ergeben werden.

    Dan Elliott: Ja, ich meine, es geht im Grunde um Informationsaustausch und Krisenmanagement. Es ist, es ist ...

    Gar O'Hara: Ja.

    Dan Elliott: ... indem wir die Fähigkeiten von all diesen hin und her nutzen. Ich sehe es so, dass ich, ohne Namen zu nennen, manchmal in ein Gebäude eindringen musste, um Zugang zu einem Netzwerk oder zu einem Raum zu erhalten. Und die Organisationen, die wirklich unterschiedliche Sicherheitsgruppen haben, machen es viel einfacher, weil sie nicht über Kreuz denken, wissen Sie, "Wer kommt in ein Gebäude und wie sieht unsere Sicherheit für den Zugang dort und die physische Kamerasicherheit aus, und, wissen Sie, Türzugangspunkte gegenüber der Netzwerksicherheit und dem digitalen Risiko, dem Sie gegenüberstehen?"

    Und dann beschäftige ich mich mit der Unternehmenssicherheit, wenn es um Bedrohungsdaten geht, wo wir Bedrohungsdaten sehen, die Ihren Namen, Ihr Geburtsdatum, Ihre Privatadresse, den Namen Ihrer Familie und Ihrer Frau und all diese lustigen Dinge enthalten, die im Dark Web herumschwirren und für die Sicherheitsabteilung des Führungsteams auf Reisen sehr nützlich sein können. Und ich denke, dieses Hin und Her, dieser Informationsaustausch und das Bewusstsein, das ist derselbe Grund, warum ... Als ich in der Welt der Geheimdienste gearbeitet habe, haben wir eine Menge Sicherheitsschulungen für alle unsere Mitarbeiter durchgeführt.

    Und die Diskussion ging dahin, dass ich, wenn ich in Ohio war und versuchte, jemanden anzusprechen, als ich im Nachrichtendienst arbeitete, nicht einen anderen Nachrichtendienstler ansprechen würde, um zu versuchen, ihn anzuwerben. Ich würde versuchen, jemanden aus der Personal- oder Finanzabteilung oder auf einer anderen Ebene einzustellen, der Zugang hatte, aber nicht zu den harten Zielscheiben gehörte und nicht alles wusste, was ich wusste, um es auszugleichen. Und das hier ist dem ähnlich. Wenn ich mich mit physischer Sicherheit befasse, möchte ich so viele Menschen wie möglich auf meinen Standard bringen. Wenn ich mich mit digitaler Sicherheit und Cybersicherheit beschäftige, möchte ich so viele Menschen wie möglich an mein Niveau heranführen.

    Und wenn man Leute hat, die bereits ein Sicherheitsbewusstsein haben, nur in einem anderen Bereich, ist es viel einfacher, sie zu engagieren und zu sensibilisieren, so dass ich jetzt meine Belegschaft verdoppelt habe, ich habe meinen Informationsaustausch und mein Bewusstsein verdoppelt, es ist viel einfacher, Champions für das Bewusstsein für Cybersicherheit zu bekommen, wenn man alle Leute für physische Sicherheit hat, die auch daran interessiert sind. Ich denke, wir können über Kosteneinsparungen und Effizienz und all das reden, und ich meine, die Personalabteilung würde sich darüber freuen, und die Führungskräfte würden sich darüber freuen, aber in Wirklichkeit geht es darum, ob ich das Engagement steigern kann und mehr Leute bekomme, die ...

    Gar O'Hara: Mm-hmm.

    Dan Elliott: ... und es gibt coole Geschichten, ich habe früher einige, Sie wissen schon, private Unternehmen angesprochen und kritische Infrastrukturen angesprochen, über Kriegsgeschichten gesprochen und jeder fand es cool, egal ob ich über Cyberangriffe oder über physische, äh, Gebäudeverletzungen gesprochen habe und jeder findet die Arbeit des anderen cool, also engagieren Sie diese Gruppen, um... "Ja, vielleicht trinken sie gerne zusammen, wer weiß?" Aber ...

    Gar O'Hara: Ja.

    Dan Elliott: ... diese Gruppen professionell zusammenbringen, damit sie verstehen, was der andere tut, und dann verdoppelt man sein Team.

    Gar O'Hara: Ja, ich habe mir gerade ein Bild gemalt, ein bisschen wie Dolly oder, Sie wissen schon, es gibt die physische Sicherheit und die Cyber-Leute, die sich einfach blind betrinken und, ähm, wie diese Art von Cyber-Angreifern einfach in das Gebäude gehen und sich direkt in die Matrix einklinken. Man muss es einfach lieben.

    Dan Elliott: Ich wette, das wäre eine großartige Art, ein Team zu gründen, wissen Sie? "Hey, lasst uns den CSO alle Jungs zusammenbringen und in einer Nacht trinken lassen."

    Gar O'Hara: [lacht].

    Dan Elliott: "Niemand ist im Laden." Ja, das ist der Moment, in dem meine ganze Theorie zu, äh, sehr schnell wird.

    Gar O'Hara: [lacht]. Ich liebe es. Nun, ich meine, Sie haben ein ziemlich überzeugendes Bild gezeichnet, Sie wissen schon, Verbündete, wenn es um jede Art von Initiative in einer Organisation geht, und das ist eine gute Sache. Es ist klar, dass dies nicht so oft geschieht, wie Sie es vielleicht gerne hätten. Was glauben Sie, was dort vor sich geht? Warum gibt es eine gewisse Zurückhaltung oder Langsamkeit bei der Annäherung?

    Dan Elliott: Äh, äh, ich denke, äh, von den Gruppen, mit denen ich gesprochen habe, gibt es ein paar Dinge. Ich glaube, die Leute wissen nicht, wo sie anfangen sollen, also haben Sie vielleicht einen Chief Security Officer, vielleicht. Vielleicht haben Sie nur einen Sicherheitschef, der nicht unbedingt weiß, an wen er sich innerhalb der IT-Direktor-Gruppe oder der CISO-Gruppe oder wem auch immer wenden soll. Es geht also darum, nicht zu wissen, "Wie können wir das zusammenbringen?" weil sie sich in völlig unterschiedlichen Kanälen bewegen. Einer ist wahrscheinlich dem COO unterstellt. Man untersteht dem CIO oder dem CFO. Und dann gibt es noch das Problem der Annahmen in der Kommunikation: "Ich gehe davon aus, dass der Typ, der für die Gebäudesicherheit zuständig ist, oder das Sicherheitspersonal keine Ahnung hat, was ich schützen muss." Und der Sicherheitsbeauftragte des Gebäudes sieht sich die IS-Gruppe an und sagt: "Na ja, ein Haufen Computertypen, die haben keine Ahnung von Sicherheit." Und ich sehe diese Art von Profilen, die hin und her gehen, weil sie zu viel ferngesehen haben, was die andere Person tut. Sie glauben also, dass ...

    Gar O'Hara: Richtig.

    Dan Elliott: ... entweder ist das zu kompliziert oder zu einfach. Und sie führen keine realistischen Gespräche darüber, wo sich ihre Aufgaben überschneiden. Ich habe immer gesagt, dass, ähm, ähm, wie oft ich in einem Film gesehen habe, wie jemand ein Schloss mit einer Haarnadel knackt, jeder davon ausgeht, dass er weiß, wie er das macht, bis er es tatsächlich versuchen muss. Aber jedes bisschen Sicherheitskontrolle und jedes Mal, wenn man jemanden sieht, der entweder ein Netzwerk schützt oder in ein Netzwerk einbricht, sieht es aus wie in The Matrix. Sie wissen also: "Mit wem kann ich mich leicht und mit wem kann ich mich nicht verständigen?" Und ich denke, wenn man diese Gespräche in diesen Silos aufbricht, ist es viel einfacher, eine Annäherung zu erreichen.

    Gar O'Hara: Ja, es, es ist definitiv ... Nun, Sie sagten, da würden bei mir ein paar Glocken läuten. Es gibt einen YouTube-Typen, der sich "Lock Picking Lawyer" nennt und der für jeden faszinierend ist, der sich auch nur im Entferntesten für das Knacken von Schlössern interessiert, was ich vielleicht bin. Ähm, aber es, ja, es wird sehr deutlich. Da geht es um mehr als nur [lacht] um eine Haarnadel oder eine Kreditkarte, wie man sie in den Filmen sieht. Und dann auf der Cyber-Seite, ich meine, es sind diese berühmten Hacking-Szenen, aber ich, ich, [lacht], aber ich denke, es ist NCIS oder eine dieser Serien, wo sie buchstäblich zwei [lacht], zwei Leute auf derselben Tastatur tippen, um schneller zu hacken. Es ist, äh ...

    Dan Elliott: Ja.

    Gar O'Hara: ... es ist ein...

    Dan Elliott: Ich liebe den Ausblasbildschirm. [lacht] Ja, die wie ... Es ist, mein Favorit ist immer noch bis heute Hacker, wo, wissen Sie, dieses Alter mich ein wenig, wo Sie sehen, alle von, den Code in den Himmel um sie herum wie, "Oh, das ist, was sie tun."

    Gar O'Hara: [lacht].

    Dan Elliott: Ja, und es ist erstaunlich, wie wenig sich der Eindruck in den Medien in den letzten 40 Jahren verändert hat.

    Gar O'Hara: Ja, ich glaube, Mr. Robot hat es irgendwie verstanden, wenn man sich die Details anschaut, sogar einige der Sachen, die eingetippt wurden. Es, es, es war eigentlich [inaudible 00:38:13] sinnvoll und es ist kontextbezogen. Dan, es war mir wie immer ein großes Vergnügen, mit Ihnen zu sprechen, und ich bin froh, dass wir endlich einen kleinen roten Kreis haben und es uns gelungen ist, das Gespräch aufzuzeichnen. Also vielen Dank, dass Sie sich die Zeit genommen haben, und wir haben das Publikum, ähm, sehr, sehr zu schätzen gewusst, und, und hoffentlich, wenn es etwas ist, was Sie interessiert, plaudern wir in Zukunft weiter.

    Dan Elliott: Vielen Dank, dass ich dabei sein durfte. Wir haben schon viel zu viele Gespräche ohne den roten Punkt geführt. Es ist also toll, wieder einzusteigen, und ich kann jederzeit wiederkommen.

    Zurück zum Anfang