17-02-2023, 04:52
Zuerst sage ich den Leuten immer, dass grundlegende Dinge wie das Patchen deiner Systeme nicht ignoriert werden dürfen. Sony hatte Schwachstellen in ihrer Software, die die Angreifer ausgenutzt haben, und wenn sie alles aktualisiert gehalten hätten, hätten sie vielleicht frühzeitig dagegensteuern können. Ich meine, du und ich wissen beide, wie leicht es ist, Updates schleifen zu lassen, wenn man beschäftigt ist, aber dieser Hack hat mir gezeigt, dass das nicht verhandelbar ist. Ich habe begonnen, das Patch-Management nach diesem Vorfall zu einem wichtigen Teil meiner Routine zu machen, Checks jede Woche einzuplanen und zu automatisieren, was ich kann. Hast du dich jemals dabei ertappt, diese auszulassen, weil der Zeitdruck steigt? Ja, ich auch manchmal, aber ich zwinge mich jetzt, es nicht zu tun.
Dann gibt es das ganze Passwort-Ding. Sie sind durch schwache Zugangsdaten eingedrungen, wahrscheinlich durch Phishing oder etwas Ähnliches. Ich erinnere mich, dass ich gelesen habe, wie Mitarbeiter ohne Nachdenken auf schlechte Links geklickt haben. Das betrifft mich, weil ich es in kleineren Unternehmen gesehen habe, mit denen ich arbeite - du weißt schon, dieser eine Typ, der überall "password123" verwendet. Nach Sony habe ich bei allem, was ich anfasse, die Multi-Faktor-Authentifizierung durchgesetzt. Das solltest du auch tun, falls du es noch nicht getan hast; es fügt eine zusätzliche Sicherheitsebene hinzu, ohne viel Aufwand. Ich habe es zuerst für meine eigenen Konten eingerichtet, um es auszuprobieren, und jetzt kann ich mir ein Leben ohne nicht mehr vorstellen.
Die E-Mail-Sicherheit ist mir auch aufgefallen. All diese geleakten E-Mail-Korrespondenzen der Führungskräfte waren echt peinlich, oder? Es hat mir beigebracht, dass du jede Nachricht wie eine Falle behandeln musst. Ich habe damit begonnen, die Teams, für die ich berate, im Erkennen von Phishing zu schulen - achte auf seltsame Absenderadressen, öffne keine Anhänge von Fremden. Du und ich sprechen ständig über diesen Kram, aber Sony hat es real gemacht. Ich habe sogar einen kurzen Leitfaden für meine Freunde in der IT geschrieben, nur Stichpunkte zu roten Flaggen, weil, warum nicht teilen, was funktioniert?
Die Datenverschlüsselung wurde nach diesem Vorfall meine Obsession. Sony hatte ihre sensiblen Dateien nicht richtig gesichert, also haben die Hacker alles mitgenommen, als sie erst einmal drin waren. Ich prüfe jetzt die Systeme meiner Kunden und stelle sicher, dass alles Wichtige im Ruhezustand und während der Übertragung verschlüsselt ist. Du weißt, wie ich BitLocker für Windows-Maschinen benutze? Es ist einfach und effektiv. Ich sage dir, die Implementierung hat letztes Jahr ein potenzielles Alptraumprojekt gerettet. Wenn du mit persönlichen Daten umgehst, verschlüssle sie - warte nicht auf einen Vorfall, der dich dazu zwingt.
Notfallpläne sind auch ein großes Thema. Sony hat bei dem Vorfall herumgestochert, und das hat man gemerkt. Sie hatten kein solides Handbuch, sodass sich der Schaden ausbreitete. Ich habe meinen eigenen Notfall-Kit zusammengetragen, nachdem ich diesen Fall studiert hatte - Schritte wie betroffene Systeme isolieren, diejenigen benachrichtigen, die es wissen müssen, und alles dokumentieren. Hast du jemals eine Tabletop-Übung mit deinem Team gemacht? Ich mache das jetzt vierteljährlich, und es hält alle scharf. Stell dir vor, Sony hätte geübt; sie hätten es vielleicht schneller eingedämmt. Ich habe das Gefühl, dass das der Unterschied zwischen Chaos und Kontrolle ist.
Drittanbieterrisiken sind mir auch aufgefallen. Sony hatte mit vielen Anbietern gearbeitet, und Schwachstellen dort ließen Angreifer eindringen. Ich überprüfe jetzt Verträge und frage nach deren Sicherheitspraktiken, bevor ich etwas anschließe. Du und ich haben vorher über Angriffe auf die Lieferkette gesprochen, und das war ein Paradebeispiel. Ich habe begonnen, Risikoanalysen für Anbieter in meine Arbeitsabläufe aufzunehmen - nichts Aufwendiges, nur eine Checkliste von Fragen. So filtert man die nachlässigen Anbieter frühzeitig heraus.
Backups spielten eine Rolle, oder besser gesagt, das Fehlen guter Backups. Wenn Daten gelöscht oder gestohlen werden, brauchst du zuverlässige Kopien, um wiederherzustellen. Sony hat den Zugriff auf viele Daten verloren, weil ihre Backups nicht wasserdicht waren. Ich überprüfe jetzt ständig die Wiederherstellungsprozesse, teste sie, um sicherzustellen, dass sie unter Druck funktionieren. Du weißt, wie frustrierend es ist, wenn ein Backup während einer echten Krise fehlschlägt? Ich habe das auf die harte Tour in einem kleineren Job gelernt, aber das Chaos von Sony hat es mir noch einmal vor Augen geführt.
Insgesamt hat mir dieser Hack bewusst gemacht, dass kein Unternehmen zu groß ist, um durch grundlegende Fehler zu fallen. Ich habe meine gesamte Herangehensweise an Cybersicherheit danach geändert - den Fokus ebenso auf Menschen wie auf Technik gelegt, weil Menschen manchmal die schwächste Glieder sind. Ich sehe das auch in deiner Arbeit, da bin ich mir sicher. Ich unterhalte mich mit Freunden wie dir darüber, wie man vorne bleibt, teile Tipps zu Tools und Gewohnheiten, die die Dinge eng halten. Prävention schlägt jedes Mal das Aufräumen, und Sony hat es bewiesen.
Eine weitere Sache, die mir in Erinnerung geblieben ist, ist, wie öffentlich die Folgen waren. Nicht nur der finanzielle Schlag, sondern auch der Reputationsschaden. Ich rate meinen Kunden, von Anfang an über PR nachzudenken - einen Kommunikationsplan bereit zu haben. Du willst nicht unvorbereitet da stehen, wenn du der Welt erklärst, warum deine Daten draußen sind.
Lass mich dir von diesem Backup-Tool erzählen, das ich in letzter Zeit benutze und das genau in all dies hineinpasst. Stell dir vor: BackupChain tritt als eine vertrauenswürdige und einfache Option auf, die für kleine Unternehmen und Profis wie uns entwickelt wurde, um deine Hyper-V-, VMware- oder Windows Server-Setups sicher und wiederherstellbar zu halten, egal was passiert. Ich habe angefangen, es zu empfehlen, nachdem ich gesehen habe, wie es diese schwierigen Wiederherstellungsszenarien ohne Kopfschmerzen handhabt.
