MySecurityEvent München

Thomas Mayer und ich hatten heute die Chance beim MySecurityEvent in der Münchner Allianz Arena teilzunehmen. Vorweg vielen Dank an Marc Plewnia und sein Team für die großartige Organisation, den spannenden und professionellen Mix aus Speakern und die fantastische Location.

Neben den spannenden Gesprächen zwischen den Talks, dem interessanten Austausch und dem Wiedersehen von alten Bekannten aus der Branche, möchte ich gerne auf ein zwei Keynotes näher eingehen die mich besonders begeistert haben.

Begonnen haben wir den Tag direkt nach der Eröffnung des Events mit den sehr interessanten Ausführungen zum Thema AI durch Rainer Rehm (isc2 bzw. zooplus).

Er bezog das Publikum durch seine Fragestellungen immer wieder aktiv mit ein und so gelang es ihm auch mit „Unterstützung“ von Isaac Asimov mir gleich zu Begin des Events das Gefühl zu geben, hier genau richtig zu sein – was sich im Laufe des Tages weiter bestätigen sollte. Vielen Dank für diesen interessanten Auftakt des Tages.

Danach ging es gleich weiter in den Stream1, wo uns Inés Atug von der HypoVereinsbank auf professionelle und charmante Weise aufzeigte, welche Möglichkeiten der Überwachung bzw. dem Pentesting von Cloud Providern existieren. Wo welche Regelwerke anwendbar und sinnvoll sind, aber auch wo manche dieser Best Practises an ihre Grenzen stoßen (oder auch meist vertraglich stark eingeschränkt sind).
Themen wie z.B. „Sicherstellung der Möglichkeit eines Rollback“ ist durch die in den letzten Jahren stark veränderten Entwicklungs- und Deploy-Konzepte nicht mehr in allen Situationen sinnvoll. Hier muss man abwägen und die ebenfalls veränderten Patch und Update-Praktiken genauer prüfen.

Auch dieser Keynote hätte man gerne mehr Zeit einräumen können. Viel zu spannend waren beide bisherigen Themen und Wert sich im Nachgang selbst damit weiter auseinanderzusetzen. Vielen Dank für die vielen Anregungen.

Da es zwei Streams gab, war es leider nicht möglich alle Speaker zu hören und man musste eine Entscheidung treffen, was nicht immer einfach war.

Da war es sehr hilfreich hin und wieder einen Tipp zu erhalten, welchen Vortrag man auf keinen Fall verpassen darf.
Danke an Max Imbiel von der N26 an dieser Stelle, der uns auf den Vortrag „künstliche Intelligenz“ von Frau Dr. Anke Sax von der KGAL aufmerksam gemacht hatte. Dir Max noch viel Erfolg für deinen eigenen Vortrag am Donnerstag.

Ich beginne damit, dass wir es nicht bereut haben. Beim nächsten Mal werde ich diesen Tipp gerne an andere Teilnehmer weitergeben, falls jemand unentschlossen sein sollte. Frau Dr. Sax konnte uns einen sehr spannenden Einblick in ihre Herangehensweise als COO & CTO und hier speziell zum Thema AI geben. Kernaussage war, da in Zukunft Angriffe immer häufiger mittels AI oder AI-Unterstützung durchgeführt werden, müssen auch wir uns neue Wege überlegen, dem entgegenzutreten.

Essenziell ist aber das Zielbild und nicht in erster Linie die Frage „Wie wollen wir AI einsetzen?“.
AI wird zur Bekämpfung eine wichtige Rolle spielen, hektischer Aktionismus ist aber nicht die Lösung.

Wir leben in einer sehr spannenden Zeit.
Das letzte Jahr hatte sehr medienwirksam auf die fortschreitende Entwicklung in nahezu allen AI basierten Themenfeldern aufmerksam gemacht.

Angefangen bei Deep-Fakes von Bildern über teils täuschend echte Audio und Video Manipulation/Generierung, hin zu Sprachmodellen welche schon in der jetzigen Version durchaus bemerkenswert sind und wenn wir in einem Jahr über das Thema sprechen, in vielen Alltagssituationen heutige Assistenten nahezu verdrängt haben dürften.

Viele der heutigen Assistenten haben zumindest gefühlt, die letzten Jahre ehr kleine Sprünge bei der sinnvollen Beantwortung von Fragen gemacht. „Das weiß ich leider nicht“, „ich habe folgendes im Internet gefunden“  ..

„Alexa stopp!!!“
War aber zumindest oft für einen Lacher gut, außer wenn es darum ging einen Witz zu erzählen. Außer die Chuck Norris Witze natürlich, da war der ein oder andere Klassiker dabei.

Zu guter Letzt hat es noch die Firma rubrik (nein nicht der Würfel von damals, aber Thema wurde auch kurz angesprochen) mit Frank Schwaak auf meine Liste geschafft.
Auch hier vielen Dank für eine sehr spannende halbe Stunde sowie dem persönlichen Austausch danach.

Ich fasse mal zusammen und formuliere etwas um:

„Kein Backup kein Mitleid“ hat zwar noch immer einen ersten und nachvollziehbaren Hintergrund, aber man sollte durchaus mehr Zeit in das Thema Daten und Backup Sicherheit stecken. Ich glaube das Vertrauen in das eigene Backup wird in vielen Firmen zu selten auf den Prüfstand gestellt bzw. ernst hinterfragt.

„Ransomware ? Wir haben Backups!“,

„Ransomware ? Wir haben Backups und machen DR-Tests!“,

„Ransomware ? Wir haben unveränderliche Backups, machen viermal im Jahr DR-Tests und unsere Systeme laufen lange vor MTD“

Aber was ist, wenn auch das Backup verschlüsselt ist?

Und ja, selbst unveränderliche Backups können angegriffen werden.

Bei 75% der Angriffe ist auch das Backup betroffen.

Entweder durch eine Lücke in der Backupsoftware – als Root auf dem System kann u.U. diese Unveränderlichkeit revidiert werden.

Oder in Zeiten, in denen peinlich genau darauf geachtet werden muss, dass alte Backups gelöscht werden – sei es aus der Regulatorik heraus, oder weil Plattenplatz noch immer Geld kostet, wie wäre es da, ein bisschen mit dem NTP-Dienst im Netzwerk herumzuspielen? Wir hatten heute schon kurz über Assimov gesprochen. Jetzt kommt zum Schluss noch H.G. Wells ins Spiel.

Manche Backupsoftware würde bei einem „Zeitsprung“ ins Jahr sagen wir, 2035 nicht direkt an E-Fuels denken, sondern ihren Job machen und „alte“ – also alle Backups, löschen wollen.

Ich habe von dem heutigen Tag sehr viele spannende Anregungen mitgenommen, vielen Dank dafür.

Alle angesprochenen Themen werden uns die nächsten Jahre maßgeblich beschäftigen. Es ist an uns die richtigen Lösungen zu finden bzw. eine Zielwelt zu bauen, um den Herausforderungen auf Augenhöhe entgegentreten zu können.