[ { "start": 7.037, "end": 10.017, "text": "Hallo und willkommen zu einer weiteren Folge von Blue Screen Wissen." }, { "start": 10.497, "end": 14.117, "text": "Ich habe sie in der letzten Folge schon angekündigt. Wir werden uns heute mal" }, { "start": 14.117, "end": 18.737, "text": "damit beschäftigen, wie man denn Protokolle an einem zentralen Ort speichern" }, { "start": 18.737, "end": 20.277, "text": "kann, wie man die auswerten kann." }, { "start": 20.797, "end": 24.757, "text": "Wir reden mal darüber, was bringt denn das überhaupt, sich mit den Protokollen" }, { "start": 24.757, "end": 30.117, "text": "zu beschäftigen. Und ja, natürlich gebe ich auch Tipps, wie man das dann entsprechend machen kann." }, { "start": 30.197, "end": 33.437, "text": "Deswegen Thema unserer heutigen Folge ist SIEM." }, { "start": 34.537, "end": 39.477, "text": "SIEM, diese Abkürzung bedeutet Security Incident and Event Monitoring," }, { "start": 40.057, "end": 44.337, "text": "also eine Überwachung von allem, was irgendwo sicherheitsrelevant ist," }, { "start": 44.457, "end": 51.077, "text": "was an Ereignissen da ist, an Ereignissen, die vielleicht auch einen tieferen Blick wert sind." }, { "start": 51.077, "end": 56.577, "text": "Und da sammelt man natürlich auf den einzelnen Geräten jede Menge Protokolle." }, { "start": 56.577, "end": 60.437, "text": "Wenn man sich heute mal anschaut, es gibt das Ereignisprotokoll von Windows." }, { "start": 61.177, "end": 65.217, "text": "Wir haben auf Firewalls, wie in der letzten Folge gehört, entsprechende Logs." }, { "start": 65.217, "end": 70.497, "text": "Wir haben in Virtualisierungslösungen, in Antiviruslösungen," }, { "start": 70.517, "end": 72.677, "text": "überall entsprechend Protokolle." }, { "start": 73.257, "end": 77.537, "text": "Und das Problem ist, diese Protokolle sind jeweils auf einer eigenen Insel für" }, { "start": 77.537, "end": 81.277, "text": "sich gespeichert. Das heißt, meine Firewall weiß nur, was die Firewall weiß" }, { "start": 81.277, "end": 83.397, "text": "und mein Windows weiß nur, was Windows weiß." }, { "start": 83.637, "end": 88.757, "text": "Ist für mich als Admin natürlich relativ schwierig, das Ganze irgendwie unter einen Hut zu bekommen." }, { "start": 88.957, "end": 93.057, "text": "Vielleicht möchte ich ja auch nachvollziehen, weil ich einen Vorfall hatte im" }, { "start": 93.057, "end": 96.417, "text": "eigenen Unternehmen, wie konnte das denn überhaupt passieren?" }, { "start": 96.903, "end": 101.563, "text": "Und das ist eine doch relativ schwierige Situation, wenn ich halt eben nicht" }, { "start": 101.563, "end": 105.963, "text": "zentral die Möglichkeit habe, diese ganzen Protokolle A zu sehen," }, { "start": 106.103, "end": 109.463, "text": "B miteinander in Korrelation zu bringen." }, { "start": 109.563, "end": 114.323, "text": "Also zum Beispiel zu verstehen, hier kam eine Mail, mein Anwender hat einen" }, { "start": 114.323, "end": 118.823, "text": "Anhang geöffnet, dieser Anhang hat Chartcode beinhaltet, vielleicht ein aktives" }, { "start": 118.823, "end": 120.663, "text": "Element in einem Office-Dokument." }, { "start": 121.403, "end": 126.083, "text": "Dann wurde eine Verbindung aus dieser Excel-Datei mit einem Makro aufgebaut," }, { "start": 126.183, "end": 128.283, "text": "von innen nach außen in die Zone Internet." }, { "start": 128.583, "end": 134.643, "text": "Hier hat ein Download stattgefunden. Diese Software wurde auf dem Endgerät gespeichert, wurde dort gestartet," }, { "start": 134.783, "end": 140.103, "text": "hat dann weitere Prozesse gestartet und dann sich entsprechend auf dem PC eingenistet" }, { "start": 140.103, "end": 144.303, "text": "und hat dann daraufhin folgend weiterhin versucht, sich auf anderen Geräten" }, { "start": 144.303, "end": 145.743, "text": "in meinem Netzwerk auszubreiten." }, { "start": 145.923, "end": 149.583, "text": "Wenn ich kein zentrales Management für sowas habe, kriege ich das tatsächlich" }, { "start": 149.583, "end": 150.883, "text": "wahrscheinlich gar nicht raus." }, { "start": 151.083, "end": 154.463, "text": "Und das ist gerade nach einem Vorfall ein ganz großes Problem." }, { "start": 154.603, "end": 159.443, "text": "Ohne Protokolle, ohne Telemetrie kann man wirklich überhaupt gar nicht oder" }, { "start": 159.443, "end": 163.963, "text": "nur sehr schwer mit sehr viel Aufwand nachvollziehen, wie denn es überhaupt so weit kommen konnte." }, { "start": 163.963, "end": 168.203, "text": "Und damit fehlt mir natürlich auch die Möglichkeit, nächste Schritte oder eine" }, { "start": 168.203, "end": 172.063, "text": "Aufbereitung des Vorfalls zu machen, um zu sagen, was kann ich denn für die" }, { "start": 172.063, "end": 175.483, "text": "Zukunft besser machen, damit sowas eben einfach nicht mehr passiert." }, { "start": 175.683, "end": 180.003, "text": "Und da bietet es sich halt einfach an, ein zentrales Event-Management," }, { "start": 180.143, "end": 182.863, "text": "ein zentrales Log-Management dafür aufzubauen." }, { "start": 183.563, "end": 189.963, "text": "Wie kann ich sowas tun? Nun, es gibt zum Beispiel auf Linux den Syslog-Server, Syslog-NG." }, { "start": 190.083, "end": 195.703, "text": "Den kann man sich einfach in eine Linux-Distribution reininstallieren und dann" }, { "start": 195.703, "end": 199.783, "text": "sammelt der ab sofort sowohl die Protokolle von dem Linux-Server," }, { "start": 199.823, "end": 200.863, "text": "auf dem es installiert ist." }, { "start": 200.963, "end": 205.823, "text": "Man kann aber auch sogenanntes Log-Forwarding einrichten von anderen Linux-Maschinen," }, { "start": 205.983, "end": 211.303, "text": "sodass die dann eben ihre Protokolle zu meinem zentralisierten Syslog-Server übertragen." }, { "start": 211.303, "end": 217.183, "text": "Die Auswertbarkeit davon ist natürlich Linux-artig erstmal, wenn man das nur" }, { "start": 217.183, "end": 219.503, "text": "out of the box verwendet, relativ naja." }, { "start": 219.723, "end": 223.563, "text": "Also damit zu arbeiten macht an der Stelle nicht so wirklich richtig viel Spaß." }, { "start": 223.683, "end": 227.443, "text": "Aber es ist eine kostenlose Möglichkeit, wenn man sagt, ich möchte zentrales" }, { "start": 227.443, "end": 228.583, "text": "Log-Management betreiben." }, { "start": 228.983, "end": 233.823, "text": "Eine gute Alternative, die ich tatsächlich auch in der Vergangenheit immer wieder" }, { "start": 233.823, "end": 235.983, "text": "eingesetzt habe, ist Splunk." }, { "start": 236.573, "end": 240.713, "text": "Splunk gehört mittlerweile zu, ich glaube, IBM," }, { "start": 240.973, "end": 243.793, "text": "Lenovo, Quatsch, das stimmt gar nicht, Cisco hat die gekauft," }, { "start": 243.873, "end": 245.493, "text": "die gehören mittlerweile zu Cisco," }, { "start": 245.653, "end": 250.353, "text": "es gibt aber eine kostenfreie Community-Version, zumindest gibt es die Stand" }, { "start": 250.353, "end": 253.573, "text": "heute immer noch, ich bin mal gespannt, wie lange es die noch geben wird und" }, { "start": 253.573, "end": 259.553, "text": "mit dieser Community-Version kann ich bis zu 500 Megabyte Protokolldaten an einem Tag verarbeiten." }, { "start": 259.553, "end": 264.953, "text": "Heißt also, ich installiere mir den Splunk-Server mit der Community-Lizenz zum" }, { "start": 264.953, "end": 269.073, "text": "Beispiel auf einem Windows-Server, bekomme dann eine Datenbank dort," }, { "start": 269.213, "end": 273.933, "text": "einen Log-Receiver, der eben die Protokolle von anderen Maschinen," }, { "start": 273.953, "end": 276.873, "text": "sei es jetzt Linux oder auch zum Beispiel macOS Windows," }, { "start": 277.133, "end": 281.593, "text": "einer Firewall, einer Storage-System, was auch immer, entsprechend sammelt." }, { "start": 281.593, "end": 285.273, "text": "Und damit bekomme ich dann zusätzlich aber auch einen Webservice." }, { "start": 285.413, "end": 289.913, "text": "Über diesen Webservice kann ich mir dann meine Suchen und meine Abfragen entsprechend" }, { "start": 289.913, "end": 294.773, "text": "zusammenbauen und habe damit dann die Möglichkeit, einfach verschiedene Ereignisse" }, { "start": 294.773, "end": 296.953, "text": "in einen Bezug zueinander zu setzen." }, { "start": 297.773, "end": 301.533, "text": "Ist vielleicht am Anfang nicht ganz einfach, das Ganze zu verstehen," }, { "start": 301.633, "end": 305.033, "text": "wie sowas funktioniert, aber wenn man es mal durchverstanden hat," }, { "start": 305.133, "end": 306.973, "text": "dann kann man damit schon relativ viel tun." }, { "start": 306.973, "end": 310.633, "text": "Ein großer Vorteil, den ich an der Stelle auch immer anbringen kann," }, { "start": 310.773, "end": 316.393, "text": "ist, wenn heute ein Angreifer sich in eurem System irgendwie rumtreibt und vielleicht" }, { "start": 316.393, "end": 320.293, "text": "seine Arbeit erledigt hat, dann wird er versuchen, auch seine Spuren zu verwischen," }, { "start": 320.333, "end": 322.493, "text": "damit man ihm eben nicht so schnell auf die Schliche kommen kann." }, { "start": 323.153, "end": 326.933, "text": "Heißt, der Angreifer wird auf den System, wo er gewesen ist und auf die er Zugriff" }, { "start": 326.933, "end": 328.633, "text": "hatte, versuchen, die Protokolle zu löschen." }, { "start": 328.933, "end": 333.353, "text": "Habe ich ein zentrales Logmanagement, dann sind die Protokolle ja aber schon ganz woanders." }, { "start": 333.533, "end": 339.233, "text": "Das ist ein ganz großer Vorteil, weil ich eben die Protokolle außerhalb von" }, { "start": 339.233, "end": 341.793, "text": "dem eigentlichen betroffenen System speichere." }, { "start": 341.933, "end": 345.713, "text": "Vielleicht gehe ich sogar so weit und betreibe das Logmanagement außerhalb meiner" }, { "start": 345.713, "end": 346.733, "text": "eigenen Infrastruktur." }, { "start": 347.544, "end": 351.624, "text": "Beispielsweise in der Cloud, und dann kann das der Angreifer halt nicht mehr löschen." }, { "start": 351.664, "end": 357.544, "text": "Das heißt, ich bekomme eine unlöschbare, permanente Protokollierung von allem, was mich interessiert." }, { "start": 357.824, "end": 361.384, "text": "Idealerweise sollte man wirklich alles locken, dann hat man es später auch," }, { "start": 361.464, "end": 365.324, "text": "also lieber zu viel als zu wenig, auch wenn das natürlich zu Intransparenz unter" }, { "start": 365.324, "end": 366.624, "text": "Umständen erstmal führen kann." }, { "start": 366.804, "end": 369.964, "text": "Aber diese Locks habe ich dann und damit habe ich auch die Möglichkeit," }, { "start": 370.164, "end": 372.584, "text": "einfach zurückzuschauen, was ist denn passiert." }, { "start": 372.844, "end": 377.404, "text": "Also das ist auch ein ganz wichtiger Punkt. Ja, und mit Splunk beispielsweise" }, { "start": 377.404, "end": 383.584, "text": "kann ich meine Windows-Server-Clients, meine gesamte Infrastruktur an der Stelle schon mal bekommen." }, { "start": 383.724, "end": 387.464, "text": "Wie gesagt, das Limit ist an der Stelle aber 500 MB am Tag." }, { "start": 388.164, "end": 392.684, "text": "Klingt jetzt erstmal wenig. Üblicherweise, dadurch, dass Protokolle ja meistens" }, { "start": 392.684, "end": 396.884, "text": "einfach nur Text sind, kommt man damit aber schon relativ gut über die Runden." }, { "start": 396.884, "end": 401.624, "text": "Wo es schwierig wird, wenn man Virtualisierung zum Beispiel auch noch dort reinloggen" }, { "start": 401.624, "end": 405.144, "text": "lässt, bei VMware das sogenannte Scratch-Log zum Beispiel, wenn man ein Cluster" }, { "start": 405.144, "end": 406.864, "text": "aus drei, vier, fünf Servern hat," }, { "start": 407.484, "end": 413.044, "text": "die sprechen so viel in ihrem Protokoll, dass die definitiv die 500 MB am Tag knacken werden." }, { "start": 413.224, "end": 417.204, "text": "Aber dann kann man sich ja vielleicht noch eine zweite Splunk-Instanz aufsetzen," }, { "start": 417.284, "end": 419.024, "text": "wo halt dann eben diese Logs reinlaufen." }, { "start": 419.264, "end": 422.884, "text": "Meiner Meinung nach wichtig, ich habe die Logs, ich habe sie so," }, { "start": 422.964, "end": 426.724, "text": "dass sie auch keiner löschen kann. Wenn ich sie brauche, kann ich darauf zugreifen" }, { "start": 426.724, "end": 428.864, "text": "und kann einfach damit mal eine Suche starten." }, { "start": 428.904, "end": 433.344, "text": "Ich kann mir zum Beispiel auch vorgefertigte Suchen, wie zum Beispiel nach Begriffen" }, { "start": 433.344, "end": 438.844, "text": "wie Error oder Failed oder Access Denied zusammenbauen, um einfach mal drüber zu gucken," }, { "start": 438.944, "end": 442.504, "text": "was passiert denn eigentlich in meiner Infrastruktur, eben nicht nur auf einem" }, { "start": 442.504, "end": 446.844, "text": "Gerät, sondern über alle Geräte hinweggesucht und damit kommt man zumindest" }, { "start": 446.844, "end": 448.364, "text": "schon mal ein ganz gutes Stück weit." }, { "start": 448.964, "end": 452.804, "text": "Es gibt natürlich auch Alternativen. Greylock ist eine Alternative," }, { "start": 452.804, "end": 456.724, "text": "die Open Source ist. Das Ganze funktioniert dann auch mit Elasticsearch." }, { "start": 456.924, "end": 459.724, "text": "Das heißt, damit kann ich mir auch solche Suchen zusammenbauen," }, { "start": 459.804, "end": 463.744, "text": "ist aber vielleicht ein bisschen sperriger einfach, das Ganze dann zu bedienen." }, { "start": 463.784, "end": 467.184, "text": "Aber es ist auf jeden Fall eine sehr performante und gute Lösung," }, { "start": 467.324, "end": 469.884, "text": "mit der man sich auch Automatisierungen schreiben kann." }, { "start": 471.484, "end": 476.884, "text": "Tja, das Ganze gibt es aber natürlich auch noch in schön, aber halt dann eben" }, { "start": 476.884, "end": 478.084, "text": "nicht mehr in kostenlos." }, { "start": 478.364, "end": 482.444, "text": "Wenn man sagt, okay, ich möchte jetzt vielleicht auch noch meine Protokolle" }, { "start": 482.444, "end": 484.164, "text": "aus einer Cloud-Anwendung haben," }, { "start": 484.264, "end": 488.764, "text": "zum Beispiel habe ich vielleicht bei Amazon in AWS irgendwelche Services laufen" }, { "start": 488.764, "end": 492.844, "text": "oder in der GCP, in der Google Cloud oder in der Microsoft Cloud," }, { "start": 493.004, "end": 494.704, "text": "da habe ich ja auch Protokolle." }, { "start": 494.724, "end": 498.484, "text": "Das heißt, Anmeldungen an diesem Service, Dienstveränderungen," }, { "start": 498.704, "end": 503.304, "text": "neu eingerichtete Services, Zugriffe, was auch immer, auch diese Protokolle" }, { "start": 503.304, "end": 507.004, "text": "möchte ich gerne ja vielleicht haben oder auch von meiner Antivirus-Lösung." }, { "start": 507.676, "end": 512.976, "text": "Und da ist es so, dass wir halt aus der Praxis heraus einfach die Empfehlung tätigen können," }, { "start": 513.636, "end": 516.976, "text": "wenn ein Unternehmen heute zum Beispiel sehr Microsoft-lastig ist." }, { "start": 517.636, "end": 521.016, "text": "Dann würde ich dort auf jeden Fall empfehlen, wenn man zum Beispiel auch den" }, { "start": 521.016, "end": 524.716, "text": "Defender for Endpoint mit dabei hat, der ja auch sehr viel Protokolle schreibt," }, { "start": 524.836, "end": 529.156, "text": "dass man diese ganzen Protokolle dann auch innerhalb des Microsoft-Kosmos einfach" }, { "start": 529.156, "end": 531.636, "text": "lässt und dort einfach aufhebt." }, { "start": 531.976, "end": 537.256, "text": "Dafür gibt es den Azure Sentinel und der Sentinel ist so ähnlich wie Splunk einfach zu sehen." }, { "start": 537.256, "end": 540.356, "text": "Das heißt, der sammelt auch alles, was an Protokollen kommt," }, { "start": 540.556, "end": 544.736, "text": "einmal aus der Cloud, meine ganzen Logins, meine Sachen, die der Defender so" }, { "start": 544.736, "end": 548.196, "text": "macht, was Intune treibt, Firewall-Regeln," }, { "start": 548.216, "end": 551.016, "text": "Auswertung der Firewalls für Services, die auf Azure laufen." }, { "start": 551.376, "end": 557.216, "text": "Zusätzlich kann ich aber auch mit dem Microsoft Arc Agent auf meiner lokalen" }, { "start": 557.216, "end": 560.276, "text": "Infrastruktur arbeiten. Das heißt, ich kann mir dort ein Stück Software installieren," }, { "start": 560.356, "end": 566.196, "text": "was mir dann sämtliche Protokolle von meinen Windows-Servern rüberbringt, auch in den Sentinel." }, { "start": 566.676, "end": 572.076, "text": "Zusätzlich kann der aber auch mit klassischem Syslog, also TCP, UDP, Port 514 umgehen." }, { "start": 572.076, "end": 578.136, "text": "Ich kann also auch hier weiterhin meine Logs weitergeben, Log-Forwarding machen" }, { "start": 578.136, "end": 582.456, "text": "an den Sentinel und damit bekomme ich eben eine Cloud-Lösung," }, { "start": 582.456, "end": 586.016, "text": "die meine Protokolle alle außerhalb des eigenen Hauses speichert." }, { "start": 586.036, "end": 590.276, "text": "Das ist auch nicht löschbar für einen Angreifer und dadurch," }, { "start": 590.356, "end": 593.676, "text": "dass hier natürlich eine ganz andere Form der Intelligenz dahinter steckt." }, { "start": 594.044, "end": 596.784, "text": "Ich sage jetzt nicht KI, aber es ist halt sehr gutes Machine Learning," }, { "start": 596.864, "end": 601.084, "text": "was da einfach drin steckt, weiß dieses System oder lernt dieses System der" }, { "start": 601.084, "end": 604.404, "text": "Sentinel eben auch, wie stehen die Dinge in Verbindung." }, { "start": 604.644, "end": 608.924, "text": "Der Sentinel weiß zum Beispiel auch, was ist eine schadhafte IP-Adresse," }, { "start": 609.044, "end": 611.244, "text": "weil der halt mit solchen Sachen ausgestattet wird." }, { "start": 611.364, "end": 615.884, "text": "Und wenn da wirklich was auftauchen sollte, was ich in meiner Überwachung habe," }, { "start": 616.044, "end": 618.564, "text": "dann bekomme ich automatisch eine Benachrichtigung." }, { "start": 618.664, "end": 622.064, "text": "Ich bekomme die Möglichkeit, das Ganze wie einen Vorfall zu behandeln." }, { "start": 622.064, "end": 625.664, "text": "Ich kann Personen hinterlegen, die sich darum kümmern sollen, bitte." }, { "start": 625.724, "end": 629.584, "text": "Ich kann mir einen automatischen Ticket erstellen lassen und ich bekomme auch Handreichungen." }, { "start": 629.644, "end": 634.184, "text": "Das heißt, ich kann nachvollziehen über den Sentinel, wie ist der Angriff über" }, { "start": 634.184, "end": 636.564, "text": "die Bühne gegangen, wie konnte das Ganze überhaupt stattfinden." }, { "start": 636.764, "end": 641.344, "text": "Diese ganzen Sachen, die bekomme ich mit einer Lösung, zum Beispiel mit dem Microsoft Sentinel." }, { "start": 641.584, "end": 644.204, "text": "Gibt aber auch andere Lösungen, es gibt Alternativen." }, { "start": 644.744, "end": 649.104, "text": "Damit kann ich sowas dann halt tun. Und das ist was, was wirklich eine unglaubliche" }, { "start": 649.104, "end": 652.464, "text": "Transparenz einfach in meinen Datenverkehr reinbringt." }, { "start": 652.544, "end": 656.084, "text": "Und wer mich lange genug kennt und vielleicht auch mit mir schon zusammengearbeitet" }, { "start": 656.084, "end": 658.984, "text": "hat, der weiß, die Aussage von mir, die kommt immer wieder." }, { "start": 659.144, "end": 661.304, "text": "Die Wahrheit liegt am Ende im Traffic." }, { "start": 661.504, "end": 665.044, "text": "Ich muss mich früher oder später sowieso mit dem Traffic auseinandersetzen," }, { "start": 665.124, "end": 667.264, "text": "weil da sehe ich halt alles." }, { "start": 667.524, "end": 670.224, "text": "Na ja gut, wenn es verschlüsselter Traffic ist, vielleicht nicht ganz alles." }, { "start": 670.464, "end": 674.084, "text": "Aber ansonsten, da steckt halt die Wahrheit drin. Und damit kann ich halt auch" }, { "start": 674.084, "end": 676.084, "text": "nachvollziehen, was ist denn überhaupt passiert." }, { "start": 677.224, "end": 680.744, "text": "Vielleicht noch an der Stelle ein Punkt, weil ich es gerade ja schon erwähnt" }, { "start": 680.744, "end": 683.404, "text": "habe. Ich habe es mir jetzt nicht aufgeschrieben. Mir fällt es aber ein an der" }, { "start": 683.404, "end": 685.024, "text": "Stelle, dass man da auch mal drüber reden sollte." }, { "start": 685.604, "end": 691.104, "text": "Das Thema verschlüsselter Traffic, also HTTPS, TLS-verschlüsselter Datenverkehr," }, { "start": 691.144, "end": 695.624, "text": "ist natürlich ein Thema, wo auch ein CM-System nichts mit anfangen kann." }, { "start": 695.744, "end": 699.604, "text": "Also es ist für das System so, wie wenn ihr jetzt zum Beispiel auf eurem eigenen" }, { "start": 699.604, "end": 703.844, "text": "Gerät euch mal ein Wireshark installieren würdet, dann einfach mal im Internet" }, { "start": 703.844, "end": 706.064, "text": "surft und euch dann anguckt, was wurde dort aufgezeichnet." }, { "start": 706.624, "end": 710.364, "text": "Es ist halt nur Datenbrei, weil der Datenbrei halt einfach entsteht," }, { "start": 710.364, "end": 711.464, "text": "weil es verschlüsselt wurde." }, { "start": 711.584, "end": 716.264, "text": "Also da kann auch ein Splunk, ein Sentinel oder wer auch immer nicht reingucken." }, { "start": 716.691, "end": 720.751, "text": "Es gibt aber die Möglichkeit, wenn man das möchte, dass man zum Beispiel an" }, { "start": 720.751, "end": 723.731, "text": "einer Firewall sogenannte SSL-Interception fährt." }, { "start": 723.851, "end": 727.191, "text": "Das heißt, jedes Endgerät, was ich in meiner Infrastruktur habe," }, { "start": 727.331, "end": 728.731, "text": "bekommt ein Zertifikat." }, { "start": 728.951, "end": 734.111, "text": "Dieses Zertifikat kommt von meiner Firewall und die Firewall kann dann den Traffic" }, { "start": 734.111, "end": 737.191, "text": "aufbrechen, kann reinschauen, was wird denn hier gesprochen." }, { "start": 737.511, "end": 742.571, "text": "Und danach, wenn es ausgewertet wurde, wenn das Regelwerk entsprechend gezogen" }, { "start": 742.571, "end": 746.551, "text": "hat und das Protokoll aufgezeichnet wurde, dann mache ich das Paket wieder zu." }, { "start": 746.691, "end": 750.491, "text": "Damit es halt dann nach der Firewall oder dem Gerät, was eben hier SSL Intercept" }, { "start": 750.491, "end": 751.971, "text": "spielt, wieder sicher ist." }, { "start": 752.111, "end": 755.291, "text": "Das bietet natürlich eine gewaltige Transparenz auf der einen Seite." }, { "start": 755.351, "end": 758.131, "text": "Auf der anderen Seite braucht es dazu natürlich aber auch Vertrauen." }, { "start": 758.191, "end": 761.211, "text": "Das heißt, wenn ihr in eurem eigenen Unternehmen darüber nachdenkt," }, { "start": 761.211, "end": 766.111, "text": "sowas wie SSL Interception zu nutzen, dann sprecht bitte definitiv vorher mit der Geschäftsleitung." }, { "start": 766.231, "end": 769.691, "text": "Wenn ihr einen Betriebsrat habt, müsst ihr auf jeden Fall auch mit dem sprechen." }, { "start": 770.591, "end": 774.071, "text": "Und darüber informieren, was dort technologisch möglich ist." }, { "start": 774.071, "end": 776.671, "text": "Weil es ist halt einfach ein Thema, die Leute verlassen sich darauf," }, { "start": 776.951, "end": 780.731, "text": "dass ihre Daten sicher sind, wenn das kleine Schlosssymbol zum Beispiel im Browser da ist." }, { "start": 780.871, "end": 783.631, "text": "An der Stelle brechen wir allerdings die Verschlüsselung auf," }, { "start": 783.711, "end": 788.131, "text": "gucken rein und machen es wieder zu, was theoretisch ein Datenschutzthema sein" }, { "start": 788.131, "end": 790.211, "text": "kann. Und da sollte man auf jeden Fall drüber sprechen." }, { "start": 790.951, "end": 796.391, "text": "Ja, okay. Und damit haben wir jetzt also sozusagen unsere Logs," }, { "start": 796.391, "end": 798.931, "text": "wir haben eine Auswertung, wir haben eine automatische Alarmierung," }, { "start": 798.971, "end": 803.151, "text": "wenn wir das Ganze eingerichtet haben und wir sind jetzt in der Lage nachzuvollziehen," }, { "start": 803.191, "end": 805.111, "text": "was denn im eigenen Netzwerk passiert," }, { "start": 805.371, "end": 809.371, "text": "wer von wo was getan hat und haben dann auch die Möglichkeit," }, { "start": 809.611, "end": 812.931, "text": "wenn es einen Vorfall gegeben hat, hier wirklich nachzuvollziehen," }, { "start": 812.931, "end": 814.271, "text": "warum ist das Ganze passiert." }, { "start": 815.221, "end": 819.661, "text": "Ich kann es nur empfehlen, nutzt das auf jeden Fall. Aus Sicht des Datenschutzes" }, { "start": 819.661, "end": 822.001, "text": "vielleicht an der Stelle auch noch ein kleiner Hinweis." }, { "start": 822.201, "end": 827.161, "text": "Wir sammeln hier natürlich ganz viele Daten und diese Daten sollten halt auch" }, { "start": 827.161, "end": 829.681, "text": "dann nicht für alle Ewigkeiten aufgehoben werden." }, { "start": 829.821, "end": 832.661, "text": "Also auch hier gilt das System der Datensparsamkeit." }, { "start": 832.861, "end": 837.161, "text": "Wenn ihr solche Protokolle aufzeichnet, dann solltet ihr die vielleicht auch" }, { "start": 837.161, "end": 840.801, "text": "nach einem definierten Zeitraum, zum Beispiel nach 90 Tagen oder länger," }, { "start": 840.881, "end": 842.321, "text": "auch wieder wegschmeißen." }, { "start": 842.321, "end": 845.681, "text": "Auf der einen Seite bläst es sonst das System unnötigerweise auf," }, { "start": 845.781, "end": 850.121, "text": "auf der anderen Seite sind wir halt dazu angehalten im Rahmen der DSGVO," }, { "start": 850.301, "end": 855.461, "text": "dass wir diese Daten halt auch nur zum Zwecke der Verarbeitung für den Zeitraum," }, { "start": 855.501, "end": 859.721, "text": "wo wir sie benötigen, aufheben, speichern und danach wieder entfernen," }, { "start": 859.781, "end": 863.841, "text": "weil sich natürlich aus diesen ganzen Protokollen halt auch unter Umständen" }, { "start": 863.841, "end": 864.881, "text": "Profile erstellen lassen." }, { "start": 864.881, "end": 870.341, "text": "Weil, wenn ich weiß, mein Mitarbeiter XY hat immer die gleiche IP-Adresse bei" }, { "start": 870.341, "end": 874.201, "text": "mir im System, der hat immer den gleichen Client, könnte ich natürlich über" }, { "start": 874.201, "end": 877.681, "text": "diese Protokolle in einer Korrelation, in einer guten Abfrage," }, { "start": 877.761, "end": 878.981, "text": "die ich mir zusammenbauen kann." }, { "start": 879.441, "end": 882.501, "text": "Halt natürlich auch sehr viele Schlüsse und Rückschlüsse ziehen," }, { "start": 882.641, "end": 887.001, "text": "die vielleicht jetzt nicht dafür geeignet sind, um einen Sicherheitsvorfall" }, { "start": 887.001, "end": 889.721, "text": "zu analysieren, sondern weil man halt einfach neugierig ist." }, { "start": 889.721, "end": 891.921, "text": "Und das gilt es definitiv zu verhindern." }, { "start": 892.161, "end": 896.061, "text": "Ich bekomme immer wieder auch mal Anfragen von Geschäftsführern," }, { "start": 896.081, "end": 899.601, "text": "ob es denn nicht auch möglich wäre, mit diesen Protokollen zum Beispiel eine" }, { "start": 899.601, "end": 901.161, "text": "Intent-Analyse zu machen." }, { "start": 901.341, "end": 905.821, "text": "Also kriege ich dann raus beispielsweise, ob meine Mitarbeiterin regelmäßig," }, { "start": 905.961, "end": 909.861, "text": "meine Mitarbeiter auf Jobportalen rumsurft, bekomme ich mit," }, { "start": 909.921, "end": 913.901, "text": "wann er das tut oder wann sie das tut und könnte ich daraus nicht ableiten," }, { "start": 913.921, "end": 914.981, "text": "dass die Person gerade..." }, { "start": 915.497, "end": 919.217, "text": "Ja, drauf und dran ist, den Job zu wechseln, sich woanders hin zu bewerben," }, { "start": 919.257, "end": 923.357, "text": "um dann halt dieser Person vielleicht auch jetzt schon Rechte zu entziehen," }, { "start": 923.457, "end": 926.937, "text": "damit sie eben kein Insiderwissen rausträgt und so weiter und so fort." }, { "start": 927.197, "end": 932.657, "text": "Es ist halt, ja, mit Spider-Man gesagt, mit großer Macht kommt auch eine große Verantwortung." }, { "start": 932.997, "end": 936.777, "text": "Das gilt natürlich für diese Protokolle auch, weil das ist halt, das ist das Gold." }, { "start": 936.877, "end": 940.817, "text": "Also diese Daten sind wirklich das, was jeden Tag getan wird und daraus lassen" }, { "start": 940.817, "end": 942.757, "text": "sich halt Rückschlüsse entsprechend ziehen." }, { "start": 942.757, "end": 946.237, "text": "Deswegen bitte an dieser Stelle sauber damit umgehen," }, { "start": 946.357, "end": 950.697, "text": "safe damit umgehen, auch fair mit den Daten umgehen und vor allem im eigenen" }, { "start": 950.697, "end": 954.097, "text": "Unternehmen mit Betriebsrat, mit Datenschutzbeauftragten, mit Geschäftsleitung" }, { "start": 954.097, "end": 956.717, "text": "sprechen und hier auch ganz klar definieren," }, { "start": 956.817, "end": 960.877, "text": "was wird zu welchem Zweck für welchen Zeitraum aufgehoben, wer hat da drauf" }, { "start": 960.877, "end": 964.357, "text": "Zugriff, vielleicht gibt es ja sogar die Möglichkeit ein Vier-Augen-System einfach" }, { "start": 964.357, "end": 967.197, "text": "einzuführen, damit keiner da alleine in diesen Daten rumwühlt." }, { "start": 968.057, "end": 972.397, "text": "Jo, und das war es tatsächlich schon für diese Folge von Blue Screen Wissen." }, { "start": 972.637, "end": 976.437, "text": "Ich hoffe, ihr konntet wie immer was Hilfreiches für euch mitnehmen aus der Folge." }, { "start": 976.617, "end": 980.657, "text": "Ihr könnt mir auch gerne mal Vorschläge dalassen. Ihr habt unten in den Shownotes" }, { "start": 980.657, "end": 982.997, "text": "die Möglichkeit, mir eine Nachricht zukommen zu lassen." }, { "start": 983.397, "end": 986.457, "text": "Nutzt diese Möglichkeiten, schlagt mir gerne auch mal ein Thema vor," }, { "start": 986.557, "end": 990.617, "text": "über was ich sprechen soll. Und ansonsten empfehlt gerne den Podcast weiter," }, { "start": 990.777, "end": 992.437, "text": "empfehlt gerne die Pegasus weiter." }, { "start": 992.577, "end": 994.937, "text": "Das hilft uns ganz ungemein für die Sichtbarkeit." }, { "start": 995.377, "end": 1000.357, "text": "Folgt uns, liked uns, abonniert uns. Wir sind nicht nur im Podcast-Universum" }, { "start": 1000.357, "end": 1002.497, "text": "zu Hause, sondern man findet uns natürlich auch auf YouTube." }, { "start": 1002.677, "end": 1004.957, "text": "Vielleicht guckt ihr auch gerade dieses Video auf YouTube." }, { "start": 1005.177, "end": 1009.157, "text": "Dann klickt doch einfach unten auf die Glocke, folgt dem Kanal, abonniert den Kanal." }, { "start": 1009.517, "end": 1013.277, "text": "Und ja, dann würde ich mich freuen, wenn wir uns auch zur nächsten Folge von" }, { "start": 1013.277, "end": 1016.177, "text": "Blue Screen Wissen wiederhören. Macht's gut, bis dahin. Euer Alex." }, { "start": 1018.0, "end": 1034.135, "text": "Music." } ]