Dan Lohrmann: Ich meine, es geht immer um die Kommunikation und wie man kommuniziert. Wer wird mit wem sprechen? Wann? Was machst du zuerst? In welcher Reihenfolge? Wie machen Sie das? Sind Sie vorbereitet? Wie funktionieren Ihre Playbooks? Sie bringen zu diesen Übungen, diesen Tabletop-Übungen, diesen Übungen im großen Maßstab Ihre Spielbücher mit, damit Übung wirklich den Meister macht, richtig?
Dan Lohrmann: Und so wie eine Feuerwehr das Löschen von Bränden übt, möchten Sie nicht, dass jemand, der zum ersten Mal den Schutzanzug anzieht, zu Ihrem Haus kommt, wenn Ihr Haus niederbrennt. Sie möchten, dass die Person weiß, was sie tut und weiß, wohin sie gehen muss und was sie tun muss und wie sie es je nach Situation tun muss.
Sprecher 2: Hallo und willkommen bei Security Visionaries, moderiert von Jason Clark, CSO bei Netskope. Sie haben gerade von unserem heutigen Gast Dan Lohrmann gehört, dem Field Chief Information Security Officer von Presidio.
Sprecher 2: Die Idee, „Auf alles vorbereitet“ zu sein, entsteht nicht über Nacht wie von Zauberhand, es erfordert Übung, Wiederholung und Fleiß. Und es wird immer Betrüger geben, die mit New Methoden testen, wie gut Sie vorbereitet sind. Als Sicherheitsverantwortliche ist es unsere Aufgabe, auch auf die unerwartetsten Herausforderungen vorbereitet zu sein. So wie ein Feuerwehrmann nicht ohne entsprechende Vorbereitung in ein brennendes Gebäude stürmen würde, müssen Sicherheitsverantwortliche digitale Brände auf ähnliche Weise betrachten. Um sich in die Lage des Hackers zu versetzen, sind Training und Rollenspiele erforderlich. Versuchen Sie, immer mehrere Schritte voraus zu sein, denn kein Unternehmen möchte in die Schusslinie geraten, ohne den Anzug jemals anprobiert zu haben. Bevor wir uns also in Dans Interview stürzen, hier ein kurzes Wort von unserem Sponsor.
Sprecher 3: Der Security Visionaries-Podcast wird vom Team von Netskope betrieben. Netskope ist der führende SASE Anbieter und bietet alles, was Sie für eine schnelle, datenzentrierte und Cloud-intelligente Benutzererfahrung benötigen, die der Geschwindigkeit des heutigen Geschäfts entspricht. Weitere Informationen finden Sie unter Netskope.
Sprecher 2: Genießen Sie ohne weitere Umschweife die Folge von „Six Security Visionaries“ mit Dan Lohrmann, Field Chief Information Security Officer von Presidio, und Ihrem Gastgeber Jason Clark.
Jason Clark: Willkommen bei Security Visionaries. Ich bin Ihr Gastgeber, Jason Clark, Chief Strategy and Security Officer bei Netskope. Heute habe ich einen ganz besonderen Gast bei mir: Dan Lohrmann. Dan, wie geht es dir?
Dan Lohrmann: Mir geht es wunderbar. Danke, Jason.
Jason Clark: Ich glaube, wir kennen uns seit ungefähr 15 Jahren.
Dan Lohrmann: Genau. Ich erinnere mich an unser erstes Treffen in den Websense-Tagen. Und damals, als ich Chief Information Security Officer in Michigan war, waren Sie eine großartige Führungskraft mit großer Kundenorientierung. Ich weiß, dass Sie das auch heute noch sind, daher ist es toll, mit Ihnen zusammen zu sein.
Jason Clark: Das ist das, was ich an all diesen Podcasts liebe: Man kommt irgendwie wieder mit allen in Kontakt. Und besonders in den verrückten Zeiten der Pandemie. Beginnen wir also mit der Frage: Was war Ihr erster Job im Bereich Cybersicherheit, Dan?
Dan Lohrmann: Ich habe mein Studium an der Valparaiso University abgeschlossen, einen Abschluss in Informatik gemacht und bei der National Security Agency angefangen. Das alte Klischee, das wir verwenden, lautet: Wenn ich Ihnen sage, was ich getan habe, müsste ich Sie töten. Aber ich war in Computernetzwerken tätig, und das ist nicht geheim, aber in meinem ersten Job Ende der 80er Jahre habe ich wirklich mit einer Vielzahl unterschiedlicher Anbieter und im Bereich Interoperabilität gearbeitet.
Dan Lohrmann: Damals gab es also nicht nur TCP/IP oder IP Version 4, IP Version 6 und den ganzen Hokuspokus. Aber es war wie S&A, und wir hatten DECnet und wir hatten all diese Unterschiede. Im Grunde geht es also darum, Netzwerke miteinander zu verbinden, von IBM über DEC und Digital bis hin zu Sun SPARCstations und all diesen Dingen. Und ich leitete dieses Labor. Und wir haben Netzwerke auf der ganzen Welt aufgebaut, bevor es überhaupt ein Internet gab, was ziemlich cool war.
Jason Clark: Das klingt sehr nach meinem Job, als ich beim Militär anfing. Es ging lediglich darum, die Netzwerke zum Reden zu bringen. Es war ein schwerer Banyanbaum. Und dann haben wir sozusagen auf NT 4.0 und Active Directory umgestellt. Und es hat viel Spaß gemacht. Es ist ein großer Unterschied, ob man als CSO die Technologie verwaltet oder nicht. Ich bin sicher, es gibt Tage, an denen Sie es wahrscheinlich vermissen. Sie sagen ihm, was es tun soll, und es tut es nicht.
Dan Lohrmann: Ich stimme zu. Und ein praktisches Stück, das habe ich vermisst. Aber danach sind wir nach England gefahren. Ich werde dort nicht die ganze Geschichte erzählen, sondern nur, wie alle an den Netzwerken beteiligt waren und es gibt ein paar verrückte Geschichten darüber, wie wir beinahe einen Satelliten zum Absturz gebracht hätten. Und das war ziemlich beängstigend, aber es war alles gut. Und ich liebe auch die praktischen Dinge, einiges davon vermisse ich.
Jason Clark: Ich habe die Neuigkeiten zur New Rolle bei Presidio gesehen. Also, ich würde auf jeden Fall gerne davon hören.
Dan Lohrmann: Ja. Danke. Ich bin der Chief Information Security Officer im Außendienst und konzentriere mich hauptsächlich auf den öffentlichen Sektor. Wie Sie wissen, habe ich viele verschiedene Rollen als CSO und CTO in der Regierung von Michigan übernommen. Die letzten sechs, sieben Jahre war ich bei Security Mentor als Chief Security Officer tätig.
Dan Lohrmann: In dieser Rolle arbeitet Presidio also mit Netskope und einer Reihe anderer Unternehmen zusammen und bietet der Führungsebene Beratung, die sich hauptsächlich auf SLED sowie staatliche, lokale und behördliche Bildung konzentriert, aber ich habe auch mit anderen Regierungen zusammengearbeitet. Und hören Sie sich wirklich ihre Probleme an, bieten Sie Lösungen an und arbeiten Sie mit Partnern zusammen, um eine End-to-End-Lösung für ihre Cyber-Anforderungen bereitzustellen.
Dan Lohrmann: Und deshalb bin ich wirklich aufgeregt. Ich trinke gerade aus einem Feuerwehrschlauch. Ich bin erst seit etwa fünf Wochen hier, aber ich liebe die Arbeit, die Leute und lerne schon eine Menge. Also, ja. Es ist ziemlich cool.
Jason Clark: Regierungen, insbesondere SLED, waren in der Vergangenheit immer dafür bekannt, dass sie bei der Einführung von Technologie und Transformation deutlich langsamer vorgingen. Wie sieht das im Moment aus? Wie verändert sich das, insbesondere mit einigen der New Executive Orders zur Cybersicherheit, ganz allgemein? Ich würde gerne Ihre Meinung dazu hören.
Dan Lohrmann: Ja. Ich meine, genau wie bei allen anderen auch, ist es zunächst einmal so, dass die Bedrohungslandschaft einfach verrückt spielt. Wir werden also hart von Ransomware und ähnlichen Dingen sowie Cyberangriffen getroffen. Und die gute Nachricht ist aufregend. Ich meine, wir bekommen im Cyberspace nicht viele gute Nachrichten. Aber die gute Nachricht ist, dass wir gerade die New speziellen Cyber-Zuschüsse für die Landesregierungen und Kommunen erhalten haben. Es handelt sich um eine Milliarde Dollar über fünf Jahre. Ich denke, das wird vielen Landes- und Kommunalverwaltungen wirklich helfen.
Dan Lohrmann: Ehrlich gesagt ist das größte Problem derzeit die blutende Landesregierung und die lokalen Behörden, die es nicht schaffen, die Talente der Leute zu halten. Und da überschreiten sie die Grenze. Das sehen wir auch im privaten Sektor. Aber ich höre CSO sagen: „Dan, das können wir einfach nicht.“
Dan Lohrmann: Ich meine, ein Team, das ich kenne, ein großer Staat, hat seit Anfang des Jahres die Hälfte seiner Leute im Cyber-Team verloren. Das ist also einfach eine riesige Herausforderung. Ich denke, sie verstehen es, sie müssen es wirklich begreifen, denn mit der Colonial Pipeline sind in diesem Jahr all die verschiedenen Dinge passiert, es steht so im Mittelpunkt und die digitale Transformation, die wir während COVID erlebt haben, war einfach so gewaltig.
Dan Lohrmann: Der Bedarf ist also da, die Umstellung auf Homeoffice ist da, all das ist da, aber im Moment ist es trotzdem noch eine wirklich, wirklich schwierige Herausforderung.
Jason Clark: Wenn wir also über die Milliarde Dollar sprechen, richtig? Wenn Sie sich SLED und die Bundesregierung im Allgemeinen ansehen, was ist Ihrer Meinung nach die größte Schwachstelle, die ihnen derzeit nicht bewusst ist? Die Frage besteht aus zwei Teilen: Entweder sind sie sich dessen nicht bewusst oder wo sollten sie den Großteil dieser Dollars anlegen?
Dan Lohrmann: Ich denke, Sichtbarkeit. Das alte Klischee, das wir bei der NSA immer sagten: „Man weiß nicht, was man nicht weiß.“ Und da es einen großen Wechsel in die Cloud gegeben hat, was großartig war, verlagert sich jetzt alles in die Cloud.
Dan Lohrmann: Ich meine, der Widerstand gegen die Cloud ist einfach nicht mehr so groß wie vor einem Jahrzehnt. Ich meine, alles wandert in die Cloud und das ist großartig. Ich glaube, die Herausforderung besteht einfach darin, nicht zu wissen, wo sich alle Daten befinden. Die Sichtbarkeit der Daten ist also nicht gegeben, ohne dass man alle verschiedenen End-to-End-Teile dieser Reise kennt. Und ich glaube, die Leute wollen Zero Trust. Sie wollen SASE machen. Das wollen sie tun. Und ich kann sagen, dass die Herausforderungen, mit denen sie derzeit konfrontiert sind, meiner Meinung nach die menschliche Seite betreffen. Es geht immer um Menschen, die Technologie verarbeiten. Es ist, es ist immer das.
Dan Lohrmann: Aber Sie wissen ja sehr gut, was Sie tun. Sie sagen einfach: „Wir werden es in die Cloud stellen und es Microsoft übergeben.“ Wir werden es an AWS übergeben.“ Löst das Problem nicht. Das höre ich ziemlich oft. Nun, ich kenne AWS oder Microsoft, und das sind gute Unternehmen. Ich mache niemanden schlecht. Ich sage es nur. Sie denken, sie seien größer und leistungsfähiger und könnten es deshalb besser machen als wir, und vielleicht können sie das auch, aber man muss wirklich über die Konfigurationen nachdenken. Sie müssen wirklich von einem Ende zum anderen denken. Sie müssen wirklich über das Ganze nachdenken, über die Endpunkte und natürlich über das Identitätsmanagement, das gesamte Stück von Anfang bis Ende. Und ich glaube, genau darin liegen die Herausforderungen. Und manche machen es gut, es gibt immer Anführer, Mitläufer und Nachzügler. Es gibt drei Gruppen. Manchen Leuten geht es wirklich gut, und manche haben wirklich zu kämpfen.
Jason Clark: Ja. Ich meine, wie Sie gerade sagten, Sie haben gerade über die großen Unternehmen gesprochen, als wir in die Cloud gingen. Es ist seltsam, manchmal bekommt man den CIO, so nenne ich es. Nun, wir gehen einfach davon aus, dass sie für die Sicherheit gesorgt haben, oder? Im Gegensatz dazu: Nein, Sie sind für Ihre Daten verantwortlich. Sie übernehmen keine Verantwortung für Ihre Datensicherheit, beispielsweise für Ihre Konfigurationen.
Jason Clark: Und ich denke, dass man in diesem Bereich viel mehr Bewusstsein schaffen muss. Es liegt also hoffentlich, wie Sie sagten, an der Sichtbarkeit. Es erhält die volle Transparenz, insbesondere wenn Dinge in die Cloud verlagert werden.
Jason Clark: Wie stark konzentrieren sich die Bemühungen auf die Menschen? Ist etwas von dieser Milliarde Dollar dafür bestimmt, den Leuten mehr zu zahlen oder ihnen zu helfen, mehr auszulagern? Ich meine, wie Sie sagten, es ist das Hauptproblem. Also, wie wird die Milliarde Dollar dafür verwendet?
Dan Lohrmann: Nun, und ich denke, die Anleitung kommt. Das Gesetz, das vom Präsidenten unterzeichnet wurde, besagt, dass man einen Plan haben muss. Was gut ist. Viele Leute haben keine Pläne. Daher ist nicht klar, ob jeder Staat einen Plan haben muss und die Kommunen dann in den staatlichen Plan einfließen können, oder ob jede Stadt, jeder Landkreis, jede Gemeinde ihren eigenen Plan haben muss. Das ist vom DHS und CSA noch nicht klar, das wird noch geklärt.
Dan Lohrmann: Ich denke, es wird auf den Ergebnissen basieren. Und ich denke, ein Teil davon wird nach der Bevölkerungszahl aufgeteilt, und es wird Listen geben, für welche Dinge man das Geld ausgeben kann, und für welche Dinge es zulässig ist und welche nicht. Und es wird einen Wettbewerbsaspekt geben, der besagt: „Okay, der Staat, der den besten Plan für X, Y, Z hat, kann mehr Geld bekommen.“
Dan Lohrmann: Ich denke, dass viele dieser Details noch bekannt gegeben werden. Ich begrüße es. Weil es sich dem Cyberspace widmet. Und ich weiß, dass in der Vergangenheit im Laufe der Jahre andere Zuschüsse für Cyber-Anwendungen hätten verwendet werden können, aber viele Staaten konnten dieses Geld nicht aufbringen. Es wurde für andere Dinge verwendet. Ich glaube auch, dass es sich dabei eigentlich um eine Anzahlung handelt, Jason, denn ich glaube, das wird, ich würde sagen, ein Jahrzehnt dauern, wahrscheinlich den Rest unseres Lebens, und das ist das Problem. Es wird da draußen sein, und die Staaten und die Kommunen werden ebenfalls einen Teil dazu beitragen müssen. Sie müssen jedes Jahr 90, 10, 80, 20 Spiele absolvieren. Es steigt um 10 %, wie viel die Einheimischen nachgeben müssen.
Dan Lohrmann: Aber es wird auch keinen wirklichen operativen Beitrag leisten, um das zu bezahlen, nachdem die New Sachen installiert sind. Ich denke also, dass es helfen wird. Ich glaube, es wird den Ball über das Fußballfeld bewegen. Es wird wahrscheinlich nicht das Ganze sein.
Jason Clark: Um ein wenig das Thema zu wechseln, Dan. Ich möchte über etwas sprechen, das Sie begeistert, und zwar Ihr New Buch. Und das ist gerade im November bei Wiley erschienen. Und es heißt „Cyber Mayday und der Tag danach“. Ich liebe den Namen. Ich werde es auf jeden Fall lesen. Ich habe es noch nicht getan. Ich werde eine Hörbuchversion machen, wie wir besprochen haben. Aber ich möchte einfach nur Ihre Meinung dazu hören, worum es geht und warum jeder es lesen sollte.
Dan Lohrmann: Ja. Vielen Dank. Und ich bin einfach so begeistert davon. Es heißt „Cyber Mayday und der Tag danach“ und dann der zweite Teil, der im Kleingedruckten den Titel trägt: „Ein Leitfaden für Führungskräfte zur Vorbereitung, Bewältigung und Wiederherstellung nach unvermeidlichen Geschäftsunterbrechungen.
Dan Lohrmann: Und nun nur ein ganz kurzer Hintergrund zum Buch. Ich bin Co-Autor mit Shamane Tan. Shamane befindet sich eigentlich in Sydney, Australien. Sie ist wirklich der Star der Cyber-Frau des Jahres. Sie hat gerade erneut einen Preis in Australien für ihre Führungsqualitäten im Cyberbereich gewonnen. Und sie hat Cyber-Meetups in ganz Australien, Japan und Singapur ins Leben gerufen. Sie ist also in Asien wirklich groß. Und sie hat ihr erstes Buch geschrieben. Ich habe dazu eine Reihe von Geschichten aus meiner Zeit als CSO beigetragen. Und sie sagte: „Dan, lass uns gemeinsam an etwas arbeiten.“
Dan Lohrmann: Also vor etwa einem Jahr, genauer gesagt am 20. August, mitten in der COVID-Pandemie. Sie streckte die Hand aus. Wir haben darüber gesprochen, aber das war vor dem Aufkommen von SolarWinds, vor dem Aufkommen von Colonial Pipeline, vor dem Aufkommen von JBS. Worüber wollen wir schreiben? Und was unserer Meinung nach schon damals angesichts der ganzen Ransomware-Angriffe und Cyberangriffe wirklich fehlte, waren wahre Geschichten darüber, was wirklich passiert, nicht nur mit den CSOs, den Sicherheitsverantwortlichen oder CTOs, den Technologieverantwortlichen, sondern auch mit den Führungskräften in der obersten Führungsebene. Was passiert, wenn Sie von Ransomware betroffen sind, wenn Sie einen Cyberangriff erleben, wenn Sie mittendrin sind?
Dan Lohrmann: Es gibt also viele Checklisten da draußen. Es gibt viele kostenlose Ressourcen. Wir verweisen tatsächlich am Ende des Buches auf alle davon. Nicht alle. Ich kann nicht alles sagen. Viele der großen, die es gibt, sind also kostenlose Ressourcen. Und es gibt viele tolle Checklisten, Leitfäden und Whitepaper. Wir versuchen, auf möglichst viele davon zu verweisen und Sie in die richtige Richtung zu weisen.
Dan Lohrmann: Aber wir dachten, die eigentliche Idee besteht darin, drei Teile vor, während und nach einem Vorfall zu verbinden. Was können Sie also vorher tun? In vier Kapiteln des Buches geht es um die Vorbereitung und alles von Spielbüchern und Übungen bis hin zu Planspielen und wahren Geschichten. Was die Leute gelernt haben und das Gute, das Schlechte und das Hässliche.
Dan Lohrmann: Dann während der Vorfälle, mittendrin, echte Geschichten darüber. Und was ist dann am Ende danach? So wie das letzte Kapitel aus Cyber-Zitronen organisatorische Limonade macht. Es geht also wirklich darum, wie wir das Gelernte in unseren Plan, unsere Spielbücher und unsere Szenarien einfließen lassen und uns so verbessern und verbessern können. Und das Ziel bestand wirklich darin, den Menschen zu helfen, aus den Erfahrungen anderer zu lernen. 35 wahre Geschichten aus aller Welt, etwa die Hälfte davon stammen aus der Regierung, die andere Hälfte aus dem privaten Sektor, aus kleinen, mittleren und großen Organisationen. Und das eigentliche Ziel besteht darin, den Leuten zu helfen, sich sozusagen in die Lage eines anderen zu versetzen, aber nur kleine Ausschnitte dessen zu vermitteln, was passiert ist, als Sie getroffen wurden?
Jason Clark: Das ist unglaublich. Nun, von allen Organisationen da draußen, richtig? Nennen wir es einfach „alles, was groß ist“. Wenn Sie einfach aus der Hüfte schießen würden, wie viel Prozent von ihnen sind Ihrer Meinung nach gut vorbereitet?
Dan Lohrmann: Gut vorbereitet. Wow. Es ist wirklich schwer... Und das ist eine große Organisation, oder ist das alles?
Jason Clark: Ich würde sagen, jede Organisation mit über 5.000 Mitarbeitern.
Dan Lohrmann: Ich sage nur halbherzig, aus der Hüfte geschossen.
Jason Clark: Ich würde sagen, es ist weniger. Ich glaube sogar, dass es sogar noch weniger ist.
Dan Lohrmann: Nun, es hängt auch davon ab, was Sie mit „gut vorbereitet“ meinen, denn Sie denken, Sie sind bereit, aber Sie sind nie genau auf das vorbereitet, was passiert. Und es gibt so viele Geschichten über ... Ich erzähle sogar die Geschichte, einige der Geschichten sind meine persönlichen. Ich gehe weit zurück und die meisten davon sind neueren Datums. Aber selbst wenn wir auf den Stromausfall von 2003 zurückblicken und auf die Ereignisse während meiner Amtszeit in der Regierung von Michigan, denke ich, dass wir beide in der Vergangenheit darüber gesprochen haben.
Dan Lohrmann: Aber im Nordosten gab es einen kompletten Stromausfall, und das war kein Cyberangriff. Obwohl es dabei viele Cyber-Komponenten gab. Und wohin wir gingen, was wir taten, wir hatten unsere Y2K-Pläne, wir hatten diesen Plan, wir hatten einige Planspiele gemacht. Letztendlich sind wir also ganz gut davongekommen, es war nicht so, als wären wir von Ransomware getroffen worden. Das war anders. Aber es gab Gutes, Schlechtes und Hässliches. Ich denke also, dass einige Organisationen besser vorbereitet sind als andere. Also sind es vielleicht weniger als 50 %.
Jason Clark: Nennen Sie vielleicht noch ein Beispiel für eine Ihrer Lieblingsgeschichten.
Dan Lohrmann: Lassen Sie mich Ihnen eines vorlesen. Denn ich möchte Ihnen nur einen Abschnitt vorlesen. Und das ist aus Kapitel fünf, ich lese Ihnen nur schnell zwei Seiten vor. Ich werde versuchen, schnell zu lesen. Aber der Kapiteltitel lautet: „Wo waren Sie, als die Sirenen losgingen?“ Aber dies ist eine wahre Geschichte.
Dan Lohrmann: „Ihr Netzwerk wurde gesperrt. Sie müssen jetzt 30 Millionen US-Dollar zahlen!" Das Folgende war eine tatsächliche Verhandlung im wirklichen Leben zwischen einer Ransomware-Bande und einem 15 Milliarden US-Dollar schweren Opferunternehmen, das im Januar 2021 mit einer Lösegeldforderung von 28,75 Millionen Dollar konfrontiert wurde.
Dan Lohrmann: Nach einigen Runden zählte das betroffene Unternehmen 2,25 Millionen, was bei den Ransomware-Kriminellen auf eine harsche Reaktion stieß. Um es hier zu paraphrasieren: Es ist sehr lustig zu beobachten, wie einige Ihrer Administratoren versuchen, den MS Exchange-Server in drei Tagen zu installieren und es nicht schaffen. Wir haben 5.000 Ihrer 6.000 Server verschlüsselt. Wenn wir einige einfache Berechnungen durchführen, betragen Ihre Ausgaben etwa 50 USD pro Stunde, oder vielleicht sind Sie sogar großzügig und zahlen 65 USD pro Stunde. Wenn man also die 24 Stunden, die man für die Wiederherstellung eines Servers benötigt, mit der Anzahl der von uns verschlüsselten Server multipliziert, ergibt das allein für die Arbeitskosten etwa 10 Millionen Dollar.
Dan Lohrmann: Es ist interessant zu beobachten, wie diese Ransomware-Banden einen effektiven Weg gefunden haben, die finanziellen Auswirkungen der durch Cyberangriffe verursachten Geschäftsunterbrechungen zu kommunizieren und zu demonstrieren, wie ihre Opfer ihre Verluste begrenzen, indem sie ihren Forderungen nachkommen. Sie haben weitergemacht, aber vergessen Sie nicht, dass Sie die ganze Zeit mit der Installation verbracht haben. Ups, Sie können nicht einmal Ihre Daten wiederherstellen. Kannst du? Denn es ist für die nächsten tausend Jahre verschwunden. Sie fügten am Ende der Nachricht den Zeitfaktor Druck hinzu, zeigten gleichzeitig aber auch etwas Gnade.
Dan Lohrmann: Die Zeit läuft ab und in den nächsten acht Stunden wird Ihr Preis auf 60 Millionen Dollar steigen. Entweder Sie nehmen unser großzügiges Angebot an und zahlen uns 28,75 Milliarden, oder Sie investieren in Quantencomputer, um den Entschlüsselungsprozess zu beschleunigen. Als das Unternehmen um zusätzliche Arbeitszeit bat, rechneten die Gauner mit einem Rückzieher: „Ich glaube nicht, dass Sie arm waren und Sie sind keine Kinder.“ Wenn du vermasselt bist, musst du die Konsequenzen tragen.
Dan Lohrmann: Einen Tag später, als es dem Unternehmen endlich gelang, die Zahlung von 4,75 Millionen zu erzwingen, erklärte sich der Erpresser bereit, seine Forderung auf 12 Millionen zu senken. Voraussetzung ist, dass der Restbetrag innerhalb von 72 Stunden bezahlt wird. Nach einigen weiteren Nachrichten einigten sie sich darauf, dass die Kriminellen vier schnelle Dinge versprachen. Die Hacker würden keine New Angriffe starten. Das Unternehmen würde die Tools erhalten, um die Daten vollständig zu entschlüsseln. Die Hacker würden das Netzwerk vollständig verlassen und es nie wieder angreifen. Die Hacker würden dem Unternehmen Zugriff auf Daten gewähren, damit diese diese selbst löschen könnten. Daten würden niemals veröffentlicht oder weiterverkauft. Und die Hacker würden einen vollständigen Bericht über ihre Aktionen vorlegen, wie sie in das Netzwerk gelangt sind, wie der Angriff jetzt durchgeführt wurde, einschließlich Tipps zur Verbesserung der Sicherheit der Organisation und zum Schutz vor dem Eindringen anderer Hacker. Das Unternehmen zahlte schließlich 11 Millionen Dollar Lösegeld.“ Wir werden hier aufhören. Aber das ist eine Geschichte, sie geht noch weiter und wird noch detaillierter. Aber ja.
Jason Clark: Ich hatte vor Kurzem ein Meeting mit einem CIO aus der Reisebranche. Ich werde mit zwei konkreten Reise- und Freizeitunternehmen zu tun haben. Und mittendrin steckte Ransomware, und die ist groß, mitten in der Pandemie. Sie sprechen wie im Mai oder Juni letzten Jahres. Sie verlangten 20 Millionen Dollar, woraufhin der CIO antwortete: „Wir haben derzeit keine Einnahmen und es gibt auch keine Prognosen für zukünftige Einnahmen.“ Wir haben im Moment nichts zu verlieren. Wir haben kein Geld. Wir haben keine Kunden."
Jason Clark: Es handelte sich also eher um einen Systemausfall als um vertrauliche Informationen. Es waren keine personenbezogenen Daten. Aber ja, am Ende haben sie wegen COVID etwa 10 Riesen bezahlt. Aber ich liebe es, ich meine, ich denke, diese Geschichten zum Leben zu erwecken, das ist eines der Dinge, die man nicht nur Sicherheitsleuten und CSOs zum Lesen geben möchte, sondern auch Unternehmensleitern.
Dan Lohrmann: Dies ist wirklich für die Führungsebene, aber auch für alle anderen Unternehmensleiter geschrieben. Wenn Sie ein kleines Unternehmen haben, könnten Sie … besitzen. Mein Bruder Steve wurde vor einigen Jahren von Ransomware angegriffen. Er hat jetzt ein Exemplar des Buches. Er besitzt 20 Immobilien in Ocean City, Maryland, in denen er 10 Mitarbeiter beschäftigt, und wurde von Ransomware getroffen. Und zum Glück war es damals noch Anfang der Geschichte. Und er musste 1.200 Dollar zahlen. Das war vor etwa drei, vier Jahren.
Dan Lohrmann: Ich meine, der Punkt ist, das kann jedem passieren. Und dies ist wirklich für die Geschäftswelt sowie die Technologie- und Sicherheits-Community geschrieben.
Jason Clark: Wie lange haben Sie für das Schreiben dieses Buches gebraucht?
Dan Lohrmann: Also, wir haben angefangen und den Vorschlag geschrieben. Wir haben uns im vergangenen Oktober darauf geeinigt, es zu tun. Wir haben jeweils ein Kapitel geschrieben und den Vorschlag zusammengestellt. Wir hatten beide schon früher Bücher geschrieben. Dies ist also mein drittes Buch. Wir hatten den Vorschlag im Winter fertig, haben ihn herumgereicht und drei Verlage wollten ihn machen. Wiley. Wir hatten eine Vereinbarung mit Wiley und hatten den ersten Entwurf des Buches am 1. Mai fertig. Und die Colonial Pipeline schlug ein. Es kamen Änderungen herein, bla bla. Das endgültige Manuskript war am 1. Juli fertig.
Dan Lohrmann: Also, das meiste davon haben wir in etwa drei Monaten geschrieben. Aber eigentlich dauerte der gesamte Prozess etwa neun Monate. Und wir haben es mithilfe von JBS Meats, Colonial Pipeline und SolarWinds aktualisiert, aber der Stichtag war im Juli dieses Jahres.
Jason Clark: Ich meine, es macht es im Moment für jeden extrem relevant.
Dan Lohrmann: Oh, es geht direkt durch Colonial, direkt durch JBS und Solar Winds und einige andere. Die Sache ist die, Jason, die Leute merken nicht, dass die Aussage vor dem Kongress gerade besagt, dass es im Jahr 2021 mehr Ransomware gab als in den letzten 10 Jahren zusammen, was mir verrückt erscheint. Das steht übrigens nicht im Buch, das kam erst vor ein paar Wochen in einer Aussage vor dem Kongress heraus. Diese Zahlen hauen mich einfach um, weil ich weiß, wie groß 19 und wie groß 20 war. Und es waren große Jahre für Ransomware. Und im Moment wird es immer schlimmer. Leider steigen darüber hinaus die Lösegeldforderungen und sie verlangen immer mehr. Dies ist sicherlich ein großes Problem, mit dem Organisationen konfrontiert sind.
Jason Clark: Ich meine, das ist ein Banküberfall, oder? Das sind einfach Banküberfälle aus dem Vorbeifahren, nur jetzt neu erfunden. Um das Thema etwas zu wechseln, Sie sprechen darüber: Warum sind Planspiele und sogar Cyber-Übungen im großen Maßstab so wichtig, anstatt sie zu planen und durchzuführen?
Dan Lohrmann: Ich meine, zunächst einmal geht es darum, alle einzubeziehen. Denn der größte Teil davon besteht sicherlich darin, dass Sie über die technischen Teile verfügen, dass Sie das große Ganze und all das haben. Aber ich meine, das größere Problem ist wirklich die Kommunikation. Und wie kommunizieren Sie innerhalb der Führungsebene? Wie kommunizieren Sie unternehmensweit? Wie kommunizieren Sie Ihren Investoren, der Community und der Öffentlichkeit alles nach oben, unten und seitwärts? Ich sage Ihnen, die Art und Weise, wie Sie kommunizieren, reicht 20 Jahre zurück. Und jeder, der sich mit dem Katastrophenschutz für Brände, Überschwemmungen und Tornados beschäftigt, würde sagen, seit Hunderten von Jahren. Ich meine, es geht immer um die Kommunikation und wie man kommuniziert. Wer wird mit wem sprechen? Wann? Was machst du zuerst? In welcher Reihenfolge? Wie machen Sie das? Sind Sie vorbereitet? Wie funktionieren Ihre Spielbücher?
Dan Lohrmann: Sie bringen zu diesen Übungen, diesen Planspielen und diesen Großübungen Ihre Spielbücher mit, um wirklich fast schon Übung macht den Meister, nicht wahr? Und so wie eine Feuerwehr das Löschen von Bränden übt, möchten Sie nicht, dass jemand, der zum ersten Mal den Schutzanzug anzieht, zu Ihrem Haus kommt, wenn Ihr Haus niederbrennt. Sie möchten, dass die Person weiß, was sie tut und weiß, wohin sie gehen muss und was sie tun muss und wie sie es je nach Situation und Szenario tun muss, und dass sie Injektionen und all das braucht. Das ist es, was Sie wirklich tun müssen.
Dan Lohrmann: Und so viele Leute denken: „Oh, wir haben unsere Daten gesichert.“ Ich erzähle Ihnen kurz eine Geschichte: Ja, aber sie hätten sechs Wochen gebraucht, um es wiederherzustellen, weil ihnen die Bandbreite und die Verbindungen fehlten. Und so mussten sie am Ende das Lösegeld zahlen, weil sie nicht wirklich an alles gedacht hatten. Sie dachten, sie hätten eine Lösung, hatten den gesamten Prozess jedoch nie wirklich durchlaufen. Und sie wussten einfach nicht, was sie nicht wussten.
Jason Clark: Was glauben Sie, wie viel Prozent der Unternehmen zahlen und wie viel Prozent nicht?
Dan Lohrmann: Ich denke, dass mittlerweile mehr als 50 % der Lohn sind. Das Schlimme daran, Jason, sind diejenigen, die es nicht melden.
Jason Clark: Was am meisten ist.
Dan Lohrmann: Genau. Und ich meine, die, die das FBI ... Die Zahlen, die wir haben, wie zum Beispiel die Berichte in all den technischen Zeitschriften, Forbes und all den anderen, wie viele Ransomware-Angriffe es gibt, werden Sie in den Jahresendberichten sehen. Ich schreibe meinen jährlichen Vorhersage-Blog. Und alle diese Zahlen zum Jahresende basieren auf dem, was wir wissen. Wenn jedoch ein kleines Unternehmen ein Lösegeld in Höhe von 20.000 US-Dollar zahlt und dies nie den Strafverfolgungsbehörden meldet, wird dies nicht einmal gezählt. Damit steigt diese Zahl auf weit über 50 %. Ich meine, ich denke, 70, 80 %, wegen derer, von denen wir nichts wissen.
Jason Clark: Und wie Sie bereits sagten, werden die Zahlen für 2021 zehnmal so hoch ausfallen wie je zuvor. Ich denke, es ist deutlich höher.
Dan Lohrmann: Es ist höher als wir wissen.
Jason Clark: Nur eine kleine Zusammenfassung dazu. Weil Sie gerade Ihre Vorhersagen erwähnt haben. Also, was sind Ihre Lieblingsvorhersagen für das nächste Jahr?
Dan Lohrmann: Ich meine, ich kann Ihnen so viele nennen. Ich gehe sie gerade alle durch. Wie Sie wissen, haben wir beide bereits seit einigen Jahren hintereinander darüber gesprochen. Zunächst einmal handelt es sich hierbei nicht um die Vorhersagen von Dan Lohrmann. Ich stelle die meiner Meinung nach wichtigsten Prognoseberichte aller Top-Unternehmen zusammen. Also von Trend Micros und FireEyes, und ich meine nicht diese.
Dan Lohrmann: Es gibt bestimmte Unternehmen, die wirklich großartige Prognoseberichte herausgeben und dafür buchstäblich Zehn- und Hunderttausende von Dollar ausgeben, und sie sind wirklich gut gemacht. Und es ist nicht so, als würde man sich einfach die Hand ins Ohr stecken und raten, dass es morgen schneien könnte. Ich meine, sie betreiben wirklich Forschung und versuchen, die Zusammenhänge zu erkennen und zu sagen: „Es ist klar, dass es zu weiteren Datenschutzverletzungen kommen wird.“ Es ist klar, dass es mehr Ransomware geben wird. Es ist klar, dass es zu weiteren Angriffen auf kritische Infrastruktur kommen wird.“ Jedes Jahr gibt es Vorhersagen über einen großen Cyber-11. September, und die Leute wollen etwas Spektakuläres hören.
Dan Lohrmann: Das wurde in den letzten Jahren etwas abgeschwächt, weil niemand hören will, dass das ganze Internet ausfällt oder Tausende von Menschen in irgendeinem Krankenhaus sterben. Denn, nun ja, ich denke, wir werden später darüber sprechen, dass die Modebotschaft bei CSOs nicht unbedingt eine erfolgreiche Botschaft ist. Ich meine, wir möchten etwas genauer darauf eingehen, welche Art gezielter Angriffe auf Sie zukommen. Viele Berichte und meine derzeit liebsten Vorhersagen drehen sich darum, wie künstliche Intelligenz und Kriminelle maschinelles Lernen und künstliche Intelligenz nutzen, um diese Unternehmen auf sehr raffinierte Weise anzugreifen und auf unterschiedliche Weise ins Visier zu nehmen. Und auf Einzelheiten aus technologischer Sicht werde ich jetzt nicht näher eingehen.
Dan Lohrmann: Aber die Suche nach diesen Schwachstellen, die Suche nach bekannten Zero-Day-Sicherheitslücken, die Suche nach bekannten Problemen und dann das Durchforsten des Internets ist wie die Suche nach einem Rohdiamanten oder nach der Nadel im Heuhaufen. Aber wenn Sie aus der Perspektive des maschinellen Lernens und der künstlichen Intelligenz über die richtigen Tools verfügen, sind sie sehr, sehr effektiv.
Dan Lohrmann: Die Angriffe werden also gezielter und spezifischer. Die Leute machen ihre Hausaufgaben, und es ist nicht so, als ob es weit von dem entfernt wäre, was vor einem Jahrzehnt war, als ich Sie kennenlernte, als ob man die Welt mit Spam überhäuft und hofft, dass jemand darauf klickt. Einiges davon läuft noch, einiges funktioniert noch. Aber vieles davon ist viel zielgerichteter. Und ich habe erst kürzlich gehört, dass das Darknet voller Passwörter und Anmeldeinformationen ist und die Leute immer noch keine Zwei-Faktor-Authentifizierung verwenden, was verrückt ist, oder Multifaktor-Authentifizierung, MFA. Und dann hacken sie nicht einmal, sie melden sich einfach mit den Anmeldeinformationen an, was verrückt ist, aber es passiert. Zukunft
Jason Clark: Und an alle Zuhörer: Jede einzelne App, die Sie haben, sollte mehrstufiger Natur sein, Punkt.
Dan Lohrmann: Auf jeden Fall.
Jason Clark: Ehrlich gesagt, was die Sicherheit betrifft, machen Sie Ihren Job nicht.
Dan Lohrmann Richtig.
Jason Clark: In dieser Zeit. Denn das ist ein-
Dan Lohrmann: Gut gesagt. Das ist völlig richtig.
Jason Clark: Und Sie haben Recht. Es existiert. Es gibt viele Produkte, also viele SaaS-Apps, die MFA noch nicht einmal unterstützen. Weil sie noch am Anfang stehen, weil sie jung sind, weil sie 28 Mitarbeiter haben, die beispielsweise eine HR-App entwickelt haben, aber weil sie sehr große Unternehmen bedienen. Denn eigentlich wird das Ganze von der Schatten-IT vorangetrieben, und wenn die Sicherheitsabteilung es schließlich herausfindet, heißt es: „Kumpel, wir sperren dich ab, wenn du diese Funktionalität nicht aufbaust.“ Es muss in unsere Lösung integriert werden, wie Okta-Zahlungen usw. Richtig?
Dan Lohrmann: Absolut. Und zu diesem Thema erinnere ich mich, dass ich vor einem Jahr bei einer … ich werde den Namen der Bank nicht nennen. Ich war bei einer Bank, bei der ich buchstäblich die Karriereleiter hinaufstieg. Ich möchte eine Multifaktor-Authentifizierung durchführen, bei einer Bank gab es keine Multifaktor-Authentifizierung. Und ich bin den ganzen Weg zum CSO gegangen und wurde schließlich tatsächlich zu ihrem Pilotprojekt hinzugefügt. Und eigentlich bin ich immer noch dabei. Sie verfügen jetzt flächendeckend über MFA. Wenn Sie jedoch über eine Versicherung bei einem Finanzinstitut, Finanzkonten jeglicher Art oder Handelsgeschäfte verfügen und diese nicht auf Multifaktoriell basieren, suchen Sie sich jemand anderen.
Jason Clark: Jetzt werde ich mich etwas mehr mit IR befassen. Sie haben viele verschiedene Dinge getan. Sie haben an allen möglichen Aspekten der Sicherheit gearbeitet. Was ist Ihre Lieblingsdomäne? Denn Sie haben auch viel zum Thema Sicherheitsbewusstsein getan. Was ist Ihr Lieblingsbereich in der Cybersicherheit?
Dan Lohrmann: Mir hat das Thema Sicherheitsbewusstsein sehr gut gefallen. Ich war sieben Jahre lang darin. Und Security Mentor ist ein großartiges Unternehmen, und dazu noch eine kleine Randbemerkung. Aber ich liebe sie immer noch, sie sind ein großartiges Unternehmen. Was mir daran gefiel, war, dass es für den alltäglichen Gebrauch sehr praktisch war. Ich könnte mit den Leuten in meiner Kirche, in meiner Gemeinde und bei Weihnachtsfeiern darüber sprechen, welche drei Dinge ich jetzt tun könnte. Ich meine, eine Multifaktor-Authentifizierung, aktivieren Sie 2FA für Facebook und Gmail.
Dan Lohrmann: Und das hat mir gefallen, weil es für hundert Prozent der Gesellschaft relevant war, wenn man anfängt, über viele Dinge zu sprechen, die Sie bei Netskope und den Unternehmen, mit denen ich gerade bei Presidio zusammenarbeite, großartige Arbeit leisten, und Netskope ist eines davon, aber auf jeden Fall AWS und CrowdStrike und verschiedene Leute, Okta und andere. Und die Wahrheit ist, dass es aus der Perspektive eines Laien schwieriger ist, den Leuten das zu erklären. Was mir an meiner aktuellen Rolle gefällt, ist, dass sie umfassender ist – und fragen Sie mich in ein oder zwei Jahren noch einmal. Und ich komme wirklich zurück auf die Fähigkeit des vollständigen Umfangs-
Jason Clark: Vollständiger Lösungssatz.
Dan Lohrmann: Ja, genau.
Jason Clark: Sie können Menschen bei allem helfen. Du hast ein Problem, ich kann es lösen, oder?
Dan Lohrmann: Das ist es. Genau. Und das liebe ich. Hören Sie, ich liebe es einfach, ehrliche Gespräche mit CSOs und CIOs zu führen. Und ich muss Ihnen sagen, mir ging es im Guten wie im Schlechten so, die Leute sagen, ich sei verrückt, weil es dort wahrscheinlich viel mehr Geld gibt, und zwar im privaten Sektor.
Dan Lohrmann: Aber ich war schon in beiden Bereichen tätig, seit meiner Zeit bei der NSA, sogar in England bei Lockheed und ManTech, und dann beim Staat Michigan. Ich konzentriere mich wirklich sehr auf die Regierung und ich liebe die Regierung und helfe ihr gern. Ich meine, einfach die Leidenschaft, zur Verbesserung der Gesellschaft beizutragen. Meiner Meinung nach sind sie unterfinanziert und in vielerlei Hinsicht Außenseiter. Aber ehrliche, offene Gespräche mit dem öffentlichen Sektor und der Regierung sind mir, das muss ich Ihnen sagen, auch sehr wichtig. Denn ich meine, sie sind da draußen an der Front gerade Helden. Und es ist schwer. Es ist hart. Und sie arbeiten sieben Stunden am Tag, sieben Tage die Woche, 14-, 16-Stunden-Tage, und sie schwitzen. Und ich fühle mit ihnen. Es ist ein harter Job.
Jason Clark: Es ist ein sehr harter Job, weshalb sie im Allgemeinen nicht mehrere Jahre bleiben und häufig den Job wechseln. Und der Stress ist immens. Es ist. Sie können beispielsweise keine Mitarbeiter finden, die Bedrohung entwickelt sich so schnell, das Unternehmen verlagert sich in die Cloud, aber Sie müssen sich vor Ort weiterhin schützen. Und jetzt haben Sie die doppelte Angriffskraft, die dreifache Angriffskraft, aber nicht das dreifache und doppelte Budget. Ich meine, es ist ein sehr, sehr, sehr harter Job, daran besteht kein Zweifel.
Dan Lohrmann: Das ist es. Und dann verlieren Sie Ihre besten Leute. Sie stellen ein Team zusammen und sagen: „Dieses Team ist …“ Und dann konnten wir … Ich liebe meine … es waren glorreiche Zeiten, aber das ist 14 Jahre her, als ich mein erstes Buch schrieb. Wir hatten ein Team in der Regierung von Michigan. Damals herrschte dort eine ganz andere Wirtschaft, eine ganz andere Cyberwelt. Ich weiß, dass wir ein großartiges Team hatten, denn alle 10 Leute, die mir einfielen, sind heute CSOs auf der ganzen Welt und leisten großartige Dinge.
Dan Lohrmann: Es ist also so, dass man ein solches Team nicht mehr zusammenhalten kann. Ich meine, das geht einfach nicht, weil sie ständig Angebote bekommen. Und gerade in der Regierung ist es wirklich schwierig, man muss auch ein Motivator sein. Sie müssen ein Cheerleader und Motivator sein.
Jason Clark: Es ist tatsächlich bekannt, dass diese Organisation Talente der Regierung und auch des Staates abwirbt. Ich habe Jonathan Troll aus Colorado engagiert, weil er brillant ist und man ihn sich beim ersten Mal immer leisten kann.
Jason Clark: Apropos Talent, richtig? Und Sie sind, wie wir gerade besprochen haben, ein Krater voller CSOs. Ich glaube, es war einer der größten Faktoren, die als Maßstab für persönlichen Erfolg dienen können, wie viele Leute direkt nach ihrer Tätigkeit bei Ihnen eine Führungsposition übernehmen, nicht wahr? Eine unserer Aufgaben besteht darin, die Talentbasis zu erweitern und Menschen bei ihrer Karriere zu unterstützen. Aber was wäre Ihr wichtigster Ratschlag für einen CSO, der zum ersten Mal dabei ist?
Dan Lohrmann: Suchen Sie sich einen Mentor. Um genau auf das zurückzukommen, was Sie gerade gesagt haben, Jason: Suchen Sie sich einen Mentor, der hoffentlich außerhalb Ihrer aktuellen Organisation steht, dem Sie aber vertrauen können und der nicht versucht, Ihnen etwas zu verkaufen. Ich meine, ich spreche nicht von einem Mentor, der – zumindest wenn es sich hoffentlich um einen Verkäufer handelt – aus seiner Rolle heraustreten und Ihnen einfach etwas Einfluss auf Ihr Leben und auf Sie nehmen kann. Sie legen es einfach offen dar, denn sie haben schon viel in Ihren Schuhen gesteckt. Sie wissen, wie es ist. Es geht um Politik. Es gibt Büropolitik. Ich spreche nicht von Republikanern und Demokraten. Ich meine, das spielt manchmal auch eine Rolle. Aber ich meine, jede Organisation hat etwas mit Politik zu tun.
Jason Clark: Jedes Unternehmen hat Politik, Punkt. Ich glaube übrigens, dass die politische Seite der Dinge eines der größten Probleme ist, mit denen alle CSOs zu kämpfen haben. Denn Sie müssen dem Geschäft Reibung hinzufügen, Sie können es also nicht einfach reibungslos haben. Sie werden einfach alles tun. Und so ist es, dieses Gleichgewicht zu haben. Ich spreche mit vielen CSOs, die sagen: „Oh ja, ich gehe den Flur entlang und die Leute drehen sich um und gehen in die andere Richtung, weil sie Angst vor mir haben.“ Ich dachte: „Das ist nicht gut.“
Dan Lohrmann: Ja. Und das wäre die zweite Sache. Ich meine, ich gebe Ihnen vier oder fünf. Aber ich meine, Beziehungen, Beziehungen, Beziehungen. Ich meine, das ist die Bedeutung davon. Unsere ursprüngliche Socke in Michigan hieß Batcave. Hängen Sie nicht die ganze Zeit nur in der Batcave herum. Dieser Typ sagt: „Das ist großartig. Ich bin in der Bathöhle."
Dan Lohrmann: Aber Sie müssen Beziehungen rund um die Uhr pflegen. Sie werden also danach beurteilt, wie Sie mit Ihren Leuten, Ihren Kollegen und natürlich auch mit Ihrem Management zusammenarbeiten, aber auch danach, wie Sie mit der Lieferantengemeinschaft und den Kunden zusammenarbeiten. Und deshalb sind diese Beziehungen entscheidend.
Dan Lohrmann: Und es ist schwer. Ich meine, es gibt nicht viele CSOs. Und ich hatte manchmal Schwierigkeiten. Und ich weiß, dass es schwierig ist, zu jedem eine gute Beziehung zu haben, denn wie bei allem im Leben kann man nicht mit jedem befreundet sein. Aber gute Beziehungen zu haben, ist eine andere Sache. Und das ist leicht gesagt, jeder sagt es, aber es ist schwer umzusetzen. Und es ist sehr schwer, es gut zu machen. Und es dauert Jahre. Es erfordert Erfahrung.
Dan Lohrmann: Man tritt einen New Job als CSO nicht einfach an, ohne bereits seit fünf Jahren im Geschäft zu sein, denn man hat noch nicht fünf Haushaltszyklen, fünf Weihnachtsfeiern und die Preisverleihungen zum Jahresende miterlebt. Ich meine, man lernt Gutes, Schlechtes und Hässliches, man lernt. Und hoffentlich bekommen Sie die Zeit, wirklich in Ihre Rolle hineinzuwachsen.
Dan Lohrmann: Aber da kann ein Mentor helfen. Ein Mentor kann Ihnen dabei helfen, den Sumpf zu durchqueren, denn Sie werden einige Dinge gut machen. Es gibt Dinge, die die meisten CSOs anfangs gut machen, aber es gibt auch Dinge, mit denen sie normalerweise zu kämpfen haben.
Jason Clark: Was würden Sie anders machen, wenn Sie in der Zeit zurückreisen könnten?
Dan Lohrmann: Es gibt eine Geschichte, die auf das Jahr 2004 zurückgeht, als ich CSO im Bundesstaat Michigan war und Teri Takai meine Chefin war. Und Teri war CIO in Michigan. Später wurde sie CIO in Kalifornien. Anschließend wurde sie CIO des US-Verteidigungsministeriums. So sehr berühmt. Habe für viele Gouverneure, Arnold Schwarzenegger und Jennifer Granholm gearbeitet, die jetzt Energieministerin ist.
Dan Lohrmann: Wie dem auch sei, man sagt, dass es in jeder New CSO-Beziehung immer eine Art Forming-, Storming-, Norming- und Performing-Ding gibt, nicht wahr? Nun, das war unser stürmisches Gesicht. Also, um Ihnen das Ende zu verraten, Teri und ich sind am Ende gute Freunde geworden.
Dan Lohrmann: Aber trotzdem. Mittendrin wollte Teri, dass ich alle unsere staatlichen Konferenzräume mit WLAN ausstatte. Und ich war gegen WLAN. Ich bin der NSA-Typ. Und ich hatte all diese Whitepaper. Ich hatte alle meine Hausaufgaben gemacht. Und ich war bei der CIA, der NSA und dem FBI. Ich hatte all diese Whitepaper. WLAN ist eine schlechte Idee. Wir fahren, Leute brechen im Home Depot
Jason Clark: [Übersprechen 00:38:10].
Dan Lohrmann: All das Zeug. Wie dem auch sei, unterm Strich bin ich zu diesem Meeting gegangen. Teri sagt: „Okay, Dan …“ In diesem großen Konferenzraum der Regierung waren ungefähr zehn Leute versammelt. Ungefähr 20 Minuten nach Beginn dieses Konferenzraums findet Teris Mitarbeiterbesprechung statt, die wöchentliche Mitarbeiterbesprechung. Und wir haben das Tagesordnungspunktforum. Und sie sagt: „Dan, also, wie machen wir das?“ Und ich sagte: „Also, Teri, das ist eine schlechte Idee. Wir werden dieses Projekt abbrechen." Und so verteilte ich diese Blätter Papier und ließ sie im Raum herumgehen. Und ich sagte: „Ich habe hier all diese Whitepaper, die das belegen. Ich möchte nur zusammenfassen, warum wir das nicht tun sollten."
Dan Lohrmann: Also sagt Teri: „Stopp.“ Ich möchte, dass alle den Raum verlassen, außer Dan.“ Also stehen alle auf und rennen aus dem Raum. Ich habe noch nie erlebt, dass die Regierung [unverständlich 00:38:55] so schnell abgezogen ist. Um es kurz zu machen: Sie sieht mir in die Augen und sagt: „Dan, wenn das Ihre Antwort ist, können Sie nicht der CSO in Michigan sein.“ Und ich sagte: „Warte mal, Teri, lass es mich erklären.“ Sie sagte: „Nein, nein, kein Stopp.“ Sie sagte: „Wir wissen, dass Sie klug sind. Sie haben einen Master-Abschluss und so weiter, und das alles von der NSA, das bekommen wir auch." Sie sagte: „Aber ich war bei Dow Ford, Chrysler und GM und alle haben WLAN in ihren Konferenzräumen.“ Was wissen sie, was Sie nicht wissen?"
Dan Lohrmann: Sie sagte: „Ich gebe Ihnen eine Woche Zeit, das herauszufinden, oder ich verlange Ihren Rücktritt.“ Und das war ein schockierender Moment für mich. Ich meine, es war ein lebensverändernder Moment. Ich meine, meine Karriere zog wie ein Blitz vor meinen Augen vorbei. Natürlich sind wir zurückgegangen und haben mit Dow Ford, Chrysler und GM gesprochen. Wir haben in allen staatlichen Konferenzräumen WLAN. Zwei Jahre später gewinnen wir den Preis für das sicherste WLAN in der Regierung des ganzen Landes, bla bla bla. Aber die wichtigste Lektion für mich war, dass man zu einem „Ja, aber“ oder „Ja und“ kommen muss und sich die Optionen ansehen muss. Sie müssen Gold, Silber und Bronze vergeben. Und es geht natürlich nicht nur um WLAN, es könnte auch die Cloud sein. Das könnte sein-
Jason Clark: Es gibt immer einen Weg.
Dan Lohrmann: Genau. Es geht um die Cloud, das IoT oder die KI, was auch immer das New heiße Thema ist. Die Sicherheitsantwort lautet immer Nein. Und Sie müssen herausfinden, was andere Leute wissen, was Sie nicht wissen. Manchmal muss die Antwort „Nein“ lauten, Jason, darüber haben wir bereits gesprochen. Aber der Punkt ist, dass Sie wirklich ... Und es hat meine Einstellung wirklich verändert. Wie kann ich ein Wegbereiter sein? Von diesem Zeitpunkt an war ich mit den richtigen Artikeln beschäftigt. O5, ein Wort. Wie verändert man Kulturen, um eine förderliche Cybersicherheit zu erreichen? Und ich weiß, dass Netskope das auch macht. Wie ermöglichen Sie es den Menschen, die Cloud sicher zu nutzen?
Jason Clark: Toller Rat, Dan. Das ist alles, wofür wir heute Zeit haben. Dan, das war großartig. Und danke. Und ich habe das Gefühl, dass wir das problemlos noch viele, viele Stunden hätten machen können. Aber bevor ich Sie gehen lasse, erstens: Wo können die Leute Sie finden und Ihr Buch bekommen? Und möchten Sie sonst noch etwas mit auf den Weg geben?
Dan Lohrmann: Sicher. Nun, vielen Dank. Und nochmals vielen Dank, Jason. Danke, Netskope. Vielen Dank, dass ich hier sein darf. Es ist mir wirklich eine Ehre, in Ihrer Sendung dabei zu sein. Und Sie sind ein echter Vordenker und Experte in der Branche. Also, ich bewundere Sie sehr und was Sie getan haben.
Dan Lohrmann: Cyber Mayday and the Day After ist der Name des Buches. Sie können es bei Amazon bekommen. Es ist da draußen. Außerdem schreibe ich für staatliche Technologiemagazine. Ich habe also ein wöchentliches Blog. Es ist jeden Sonntag und Montag verfügbar. Es ist die Titelgeschichte am Montagmorgen im Magazin Government Technology. Dort sehen Sie mich, Lohrmann, zum Thema Cybersicherheit. Auch @govcso auf Twitter. GOVCSO, @govcso ist mein Twitter-Handle.
Dan Lohrmann: Und Sie können sich auch einfach über LinkedIn mit mir vernetzen, weil ich gerne Kontakte zu Profis und sogar New Leuten in der Branche knüpfe. Ich kann nicht jedem als Mentor zur Seite stehen. Ich bekomme viele Anfragen, Menschen zu betreuen. Ich bin zwar für einige Leute als Mentor tätig, würde mich aber gerne mit Ihnen vernetzen. Also zögern Sie nicht, sich über LinkedIn an Dan Lohrmann zu wenden.
Jason Clark: Ja. Hören Sie alle zu, Sie verstehen sich definitiv mit Dan. Er möchte einfach nur den Menschen helfen. Er möchte diese Branche verbessern und den Gemeinden helfen. Das ist eine Sache, die ich an Dan liebe. Es dreht sich alles um die Gemeinschaft. Also danke, Dan. Und wir sehen uns alle in einer Woche.
Dan Lohrmann: Vielen Dank, Jason. Ich weiß das zu schätzen.
Sprecher 3: Der Security Visionaries-Podcast wird vom Team von Netskope betrieben. Suchen Sie nach der richtigen Cloud-Sicherheitsplattform für Ihre digitale Transformation? Mit der Netskope Security Cloud können Sie Benutzer sicher und schnell direkt mit dem Internet verbinden, von jedem Gerät aus mit jeder Anwendung. Erfahren Sie mehr auf Netskope.
Sprecher 2: Vielen Dank, dass Sie Security Visionaries zugehört haben. Bitte nehmen Sie sich einen Moment Zeit, um die Show zu bewerten und zu rezensieren, und teilen Sie sie mit jemandem, dem Sie gefallen könnten. Bleiben Sie dran für Episoden, die alle zwei Wochen veröffentlicht werden. Und wir sehen uns im nächsten.
){kind=icon}
