Cybersecurity Basement – der Podcast für echten Security-Content
Herzlich Willkommen im Cybersecurity Basement. In unserem Podcast spricht Michael Döhmen alle 14 Tage mit spannenden Gästen über Themen aus dem Bereich Cybersecurity. Dabei legen wir großen Wert auf Objektivität gelegt. Kein suresecure-Feature-Fucking, sondern ein seriöser, authentischer und ehrlicher Austausch aus Theorie und Praxis.
Der Podcast richtet sich an IT- und Security-Entscheider und alle, die es mal werden wollen. Hier gibts kein Blabla, sondern Security als Handwerk. Ehrlich auf den Tisch. Dabei übersetzen die Protagonisten Security in Business-Sprache und umgekehrt.
Zudem werden auch Gäste eingeladen, um andere Blickwinkel oder auch Kundenstimmen einzufangen. So geht es noch mehr in die Praxis und der Podcast bewegt sich auf Augenhöhe mit dem Zielpublikum.
Cybersecurity Basement – der Podcast für echten Security-Content
Autonomes SOC: Realität oder Marketing-Mythos? Threat Intelligence, KI & operative Cyberabwehr
Use Left/Right to seek, Home/End to jump to start or end. Hold shift to jump forward or backward.
In dieser Folge von Cybersecurity Basement spricht Michael mit Robert Wortmann, Principal Security Strategist bei TrendAI, über die Zukunft von Threat Intelligence, den realen Mehrwert von KI im SOC und die Grenzen autonomer Security.
Gemeinsam ordnen sie aktuelle Cyberangriffe im geopolitischen Kontext ein, diskutieren den Unterschied zwischen technischer und politischer Attribution und beleuchten, warum Threat Intelligence mehr ist als nur IOC-Feeds. Was bedeutet strategische Bedrohungsanalyse im operativen Alltag? Wo hilft KI heute bereits bei Triage, Detection Rules und Kontextualisierung? Und warum ist ein vollständig autonomes SOC derzeit eher Vision als Realität?
Hier gibt's mehr Infos über TrendAI https://www.trendmicro.com/de_de/business.html und Cybertron https://www.trendmicro.com/de_de/business/ai/cybertron.html.
Wir freuen uns auf dein Feedback!
Möchtest du mehr über unseren Podcast wissen? Dann wirf einen Blick in unser Media Kit. Dort findest du alles Wichtige:
Cybersecurity Basement - Media Kit
Du findest uns auch auf:
(2) suresecure GmbH: Ihr Unternehmen | LinkedIn
@suresecure_de • Instagram-Fotos und -Videos
suresecure (@suresecure_de) | TikTok
Michael: Herzlich willkommen zu einer neuen Ausgabe von Cybersecurity Basement, dem Podcast mit echtem Security Content. Wir nehmen heute auf am 13. Februar 2026. Der Tag liegt so einen Tag nach Altweiber – für all die, die aus dem Rheinland kommen – ein Tag vor dem Valentinstag. Und tatsächlich ist heute auch der Start der Münchner Sicherheitskonferenz. Dort wird – auch neben allen geopolitischen Themen – natürlich wieder über Cybersecurity gesprochen.
Michael: Und deshalb wollen wir das heute auch wieder tun. Die heutige Ausgabe befasst sich mit einem leichten Fokus auf das Thema Threat Intelligence. Da wollen wir heute den Fokus drauf legen und uns fragen: Wie entsteht das eigentlich? Und vor allem aber: Wie kann man Intelligence im operativen Betrieb auch wirklich spüren – also dass es einen Mehrwert bietet? Und macht am Ende die Integration von KI im Bereich Threat Intelligence das wirklich besser oder einfach nur schneller?
Michael: Da ich am Ende nur oberflächlich Ahnung von diesem ganzen Thema habe, bin ich sehr glücklich darüber, dass wir einen hochkarätigen Gast für diese Folge motivieren konnten. Er hat seine Stärken definitiv im Bereich Research und bewegt sich beruflich irgendwo zwischen geopolitischer Einordnung in Intelligence und der Frage, wie viel Autonomie wir eigentlich einem SOC geben sollten. Er ist Principal Security Analyst bei Trend Micro bzw. neuerdings Trend – und zudem selber Host von einem sehr guten Podcast, nämlich Breach FM.
Michael: Eine große Empfehlung an der Stelle direkt – und passend zum Trailrunner. Und wenn es darum geht, Bedrohungen nicht nur technisch, sondern auch strategisch zu verstehen, dann kommt man an ihm vorbei. Ich sage herzlich willkommen, Robert Wortmann.
Robert: Danke dir. Ja, Freitag, der 13. Hoffen wir, dass das heute alles gut geht. Ist mir gerade auch erst aufgefallen, als du die Daten so eingeordnet hast, dass heute der schwarze Tag ist. Aber ja – das war mir nicht bewusst. Aber glaube ich schon.
Michael: Ja, wo dieser Mythos herrührt, das weiß ich tatsächlich gar nicht. Bin ich nicht so im Thema. Vielleicht direkt eine lockere Einstiegsfrage: Was ist für dich denn eigentlich nervenaufreibender – Sicherheitsvorfälle oder ein 80-Kilometer-Trailrun?
Robert: Gute Frage. Ähm, ich würde sagen der „Chiron“, weil da bin ich direkt emotional betroffen. Bei den Sicherheitsvorfällen muss man ganz offen sagen: Das kann ich meistens von außen betrachten. Das macht es für die Opfer nicht weniger schlimm – aber das bringt oft mehr emotionale Distanz, die, glaube ich, in den Fällen – das wisst ihr ja auch – manchmal notwendig ist.
Robert: Und wenn ich da meine eigenen Ultraläufe habe, da habe ich keine emotionale Distanz, weil da leide ich dann über die ganzen Stunden einfach sehr viel.
Michael: Das kann ich sehr gut nachempfinden. Ich selbst bin auch Läufer, aber tatsächlich geringere Distanzen – über Halbmarathon geht es da nicht hinaus. Finde ich sehr, sehr beeindruckend, diese Distanzen da noch im Bergigen zurückzulegen. Deswegen: Ich kann das sehr gut teilen. Was ist denn eigentlich für dich persönlich – du bist ja schon recht lange in der Branche aktiv – was ist für dich die größte Faszination am Thema Cybersecurity? Und hat sich die im Laufe der Jahre verändert oder ist sie immer noch identisch geblieben, trotz all der Veränderungen außenrum?
Robert: Ich glaube, das verschiebt sich natürlich immer so ein bisschen. Ich sage mal ganz offen – da wundern sich die Leute drüber – es bleibt für mich ein Beruf. Also wenn ich abends irgendwann spät abends den Notebook zuklappe, dann gibt es tatsächlich wie das Laufen noch Dinge, die mich doch noch mal mehr interessieren. Aber ich glaube trotzdem, dass ich es einfach spannend finde, dass man ja diesen Impact auf die echte Welt einfach hat.
Robert: Also wenn wir jetzt einfach sehen: Unternehmen sind in Krisensituationen. Es ist natürlich nicht schön, aber man kann in dem Moment wirklich einfach Individuen extrem helfen. Das ist das, was sicherlich die letzten zehn Jahre bei mir sehr, sehr stark ausgemacht hat – und besonders in den letzten Jahren. Und da werden wir heute auch stark drüber sprechen, ist dieses ganze geopolitische Thema natürlich auch noch super interessant geworden.
Robert: Es war immer im Bereich Cyber, aber das hat natürlich in den letzten Jahren noch mal massiv zugenommen. Und da dann diesen Scope auch einfach noch mal zu erweitern auf andere Events, das in einem größeren Kontext zu sehen – nicht nur in der reinen Technik, die absolut notwendig ist, sondern auch wirklich als Basis von so vielem, was in dieser Welt passiert – halte ich einfach für super spannend.
Michael: Ja, definitiv. Kann ich so mitgehen. Wenn man deinen Titel so liest, ist vielleicht nicht jedem direkt klar, was du eigentlich konkret so tust. Kannst du es recht simpel in zwei, drei Sätzen zusammenfassen?
Robert: Beschreiben ist es manchmal auch nicht ganz bewusst. Deswegen wird es wahrscheinlich nicht so einfach. Ich werde ganz oft dazu geholt, wo wir mit unseren Produkten, mit unserer Plattform, mit unseren Services dann so ein bisschen aufhören. Das heißt: wo der eigentliche Verkauf auch des Produkts aufhört, wo die Integration aufhört – sondern wo es wirklich darum geht: Was machen wir dann im Alltag damit?
Robert: Also: Wie fügen wir es in gegebene SOC-Strukturen ein? Wie wird das in der Notfallplanung beispielsweise verwendet? Aber dann auf der anderen Seite auch ganz oft deutlich früher: überhaupt mal den Bedarf festzustellen. Also dass man nicht irgendwas sich einkauft, sondern dass man wirklich ganz genau schaut: Was ist denn der situative, persönliche Bedarf von so einem Unternehmen, von einer Organisation?
Robert: Es gibt natürlich immer Dinge, die sind mehr oder weniger gottgegeben – die muss man heutzutage einfach machen, egal wer man ist. Aber es gibt natürlich auch viele Dinge, da muss man einfach sagen: Wie soll das große Bild ausschauen und wie können wir uns da einfügen? Das heißt, ich komme einfach ganz oft dazu bei uns, wenn es nicht direkt um unsere Produkte geht, sondern wirklich um dieses große Bild dahinter.
Robert: Das ist jetzt immer noch sehr schwammig, aber ich glaube, das ist immer noch so die beste Beschreibung. Das kann von Tabletop-Übungen bis zu Roadmap-Sessions gehen. Das kann in den Bewertungen sein im Nachhinein. Ich muss mir ganz oft Beiträge von anderen Firmen durchlesen und gebe dann so meinen Senf dazu. Also es ist wirklich eine Vielfalt von Dingen.
Michael: Also hat es immer eine eher beratende, strategische Komponente, genau, wo du unterwegs bist. Gut. Ich habe kürzlich noch einen Beitrag von dir gelesen, der handelt so ein bisschen davon – zu dem Link den Beitrag – dass du ganz froh bist, dass du mal mit so ganz operativen handwerklichen Dingen in der IT aufgewachsen bist und dann irgendwann rüber in diese Cybersecurity-Welt.
Michael: Wenn du so an sich – was braucht es denn heute, um erfolgreich in der Cybersecurity-Branche zu starten? Also würdest du immer empfehlen, erst mal einen anderen Weg zu gehen und dann rüber zu wechseln, oder?
Robert: Ich glaube, es gibt kein richtig oder falsch. Ich glaube trotzdem, dass wir in den letzten Jahren einerseits sehr positive Entwicklungen gesehen haben, in denen es reinrassige Security-Studiengänge gibt, forensische Studiengänge. Ich würde mal sagen, dieser geradlinige Weg in diese Branche ist deutlich leichter geworden und wir dadurch sicherlich im Top-End – und ich betone ganz stark: in der Theorie – noch mal ein ganz neues Expertenlevel dazubekommen haben, insbesondere von Berufseinsteigern.
Robert: Also wir haben heute einen Level an rein theoretischem Wissen – das hätte ich mir damals gewünscht, das muss man ganz klar sagen. Würde ich deswegen jedem empfehlen, immer diesen geradlinigen Weg zu gehen? Nö. Ich glaube einfach, dass es verschiedene Wege gibt und dass ich einfach sehe, dass durch diese positiven Entwicklungen im Grundsatz wir aber an anderer Stelle auch verloren haben.
Robert: Und das ist eben dieses Verständnis für die darunterliegenden Applikationen, die Infrastrukturen, die Identitäten. Das heißt, ich merke immer häufiger, wenn ich zum Beispiel so Konzepte querlese – was ich relativ häufig mache – die sind in der Theorie total gut, da kann man nix gegen sagen. Die sind aber in der Realität eines Unternehmens, einer Organisation – das leider kein Greenfield ist, sondern wo wir halt auf teilweise jahrzehntelange Infrastrukturen aufbauen – oftmals einfach nicht umsetzbar und utopisch.
Robert: Und da einfach mal zu wissen: Wieso sind die Dinge so, wie sie sind? Schon mal ein Storage-System in den Händen gehabt zu haben, schon mal – auch wenn es jetzt vielleicht kein Netzwerk bei einem DAX-Unternehmen ist – aber zumindest schon mal irgendwo ein Routing aufgesetzt zu haben: Das halte ich einfach für teilweise unglaublich wichtig, um dann eben praxisnähere Konzepte, Schutzkonzepte, Prozesse aufzusetzen – und auch zu wissen, wie ich mit den Stakeholdern kommunizieren muss.
Robert: Wir können nicht in so einem luftleeren Raum Security machen. Wir müssen mit Menschen klarkommen, damit das Ganze funktioniert. Und deswegen noch mal: Ich finde es total gut, was wir als Industrie gemacht haben die letzten Jahre oder das letzte Jahrzehnt. Aber es bringt natürlich auch einige Schmerzen mit sich. Deswegen: Wenn man mich fragen würde, muss man diesen Weg gehen – diesen geradlinigen – ich kann es nicht.
Robert: Man kann auch in Administration anfangen, man kann in der Architektur anfangen und kann trotzdem, glaube ich, ein super guter – vielleicht sogar noch besserer – Security Consultant werden.
Michael: Sehr, sehr ausführliche, gute Antwort, weil man ja auch immer überlegen muss: Was bewirkt es im operativen Betrieb am Ende, wenn ich so eine Lösung dann eingeführt habe? Genau. Und man muss sich in der Kommunikation – so angesprochen – auch immer eine Lobby für die Themen irgendwie mühsam erarbeiten, damit die Dinge im Unternehmen auch gelebt werden können. Aber genau diese Jobs brauchen wir halt in der heutigen Zeit.
Michael: Ich habe noch mal ein paar Schlagzeilen aus der Presse mitgebracht – von dieser Woche. Die Welt schreibt: „Schon nach 20 Stunden Blackout droht in Deutschland der Stillstand.“ Das Handelsblatt: „Deutsche Wirtschaft fürchtet ernste Krise durch hybride Angriffe.“ Der Spiegel schreibt: „Umfrage zum Sicherheitsempfinden: Deutsche blicken sorgenvoll in die Zukunft.“ Auch komplett auf Cybersecurity bezogen. Die Deutsche Bundesbank schreibt: „Wir erleben jede Minute mehr als 5000 Cyberangriffe.“
Michael: Also bewegen wir uns hier in einem Umfeld … Du guckst so, als würdest du der Aussage nicht so richtig zustimmen wollen – oder die Glaubwürdigkeit in Frage stellen.
Robert: Nein, nicht die Glaubwürdigkeit. Ich halte aber nichts von diesen Zahlen, weil ich glaube, wir alle wissen, dass das natürlich nicht 5000 zielgerichtete Angriffe sind, sondern dass das irgendwelche Sachen sind, die in irgendeinem Perimeter „gejobbt“ werden, die halt die ganze Zeit reinlaufen. Und ich weiß ja, wie ernst die Lage ist und wie auch diese Organisationen unter Beschuss stehen.
Robert: Ich weiß manchmal nicht, ob man der Sache gut tut, indem man dann noch irgendwelche Fabelzahlen da vorstellt. Die finde ich zumindest eine Menge Kontext bräuchten, um es mal so zu nennen.
Michael: Na ja, das ist ja schon sehr, sehr stark in der Presselandschaft: diese Angriffe – sei es einzelne, sei es Studien, Auswirkungen, die Schäden sind immens usw. Mal dein Gefühl befragt: Gehen wir vielleicht etwas zu schnell dazu über, das auch oftmals in eine politische Richtung zu schieben – und verwässert das so ein bisschen die operativen Schwächen, die die Unternehmen eigentlich haben?
Michael: Also du kannst ja immer in so eine Richtung drücken, von wegen: Das kam jetzt aus der Ecke. Wie ist also dein Empfinden?
Robert: Man kann im Prinzip wirklich beides machen und man muss wahrscheinlich auch beides machen. Also natürlich: Wenn ein – in Anführungsstrichen, und das gibt es wahrscheinlich nicht – aber ein normales Unternehmen, wir sagen einfach mal ein Mittelständler, der jetzt nicht großartig sich irgendwo politisch positioniert, eingemischt oder Sonstiges hat, Opfer von einer relativ normalen Ransomware-Attacke wird, die von einer großen Gruppe kommt, die – ich würde mal sagen – industrieweit ihre Attacken streut:
Robert: Dann kann man natürlich erst mal sagen: Für euch selbst hat es politisch erst mal wahrscheinlich relativ wenig Einfluss. Also da hat es vermutlich kein staatlicher Akteur darauf angelegt, genau euch zu kompromittieren. Und wie du schon sagst: Ich will überhaupt kein Victim Blaming machen. Aber: Lasst uns unsere Hausaufgaben machen. Also nicht negativ gemünzt, sondern wirklich positiv gemünzt – und lasst uns alles dafür tun, dass diese Attacken einfach nicht passieren.
Robert: Und da spielt der politische Kontext für dieses Opfer für mich erst mal wenig Rolle. Müssen wir aber selbst auf diese Attacken im größeren Kontext politisch schauen? Ja, schon, weil viele dieser Attacken kommen nun mal – selbst wenn sie rein in Anführungsstrichen finanziell motiviert sind – aus Staaten, die das im Mindesten dulden, dass diese Dinge passieren. Wir haben natürlich immer so eine Mannigfaltigkeit von Duldung über sehr freundliche Duldung, sage ich mal – weil da wird ein Schaden angerichtet im Westen, um es mal zu spezifizieren, den man zumindest hinnimmt – bis hin zu orchestrierten Attacken, was dann schon noch mal etwas anderes ist.
Robert: Und natürlich müssen wir da auch geopolitisch, politisch drauf schauen und sagen: Im Mindesten: Das geht nicht. Also ihr könnt nicht diesen Menschen bei euch Unterschlupf bieten oder sie nicht strafrechtlich verfolgen. Wir wissen auch, wie wenig Wirkung wahrscheinlich solche Ansagen haben. Trotzdem halte ich es für wichtig, dass sich eine Politik damit befasst und auch doch noch mal klare Ansagen intern wie extern macht.
Robert: Deswegen ja: Einerseits beschäftigen wir uns sicherlich als Opfer manchmal zu viel damit. Wir beschäftigen uns wiederum auf der politischen Ebene manchmal zu wenig damit.
Michael: Gibt es denn Dinge, an denen man irgendwie genau feststellen kann: Okay, ist das jetzt hier ein staatlicher Angriff oder sind es wirklich nur rein kriminelle Interessen? Auch wenn die natürlich irgendwie politische Elemente haben können – weil hier wird Schaden angerichtet, was du sagst – aber es muss ja auch nicht sein. Es kann ja wirklich einfach nur eine kriminelle Bande sein, die Geld erpressen will, und fertig.
Michael: Keinerlei politische Interessen. Gibt es irgendwelche Wege, das dann wirklich zu validieren? Oder vermischt sich das mit der Zeit?
Robert: Also die Grenzen verschwimmen – besonders die letzten Jahre mehr und mehr. Also wir haben selten Angriffe, wo wir sagen können: Allem Empfinden nach, das sind rein finanziell motivierte Angriffe. Wie gesagt: Wir haben zumindest die Komponente ganz oft Duldung in den Heimatländern. Auch das ist einfach eine politische Komponente, die vielleicht nicht die Motivation ausdrückt, aber zumindest in Sachen Strafverfolgung es unglaublich schwierig macht, diese Dinge zu unterbrechen.
Robert: Wir haben auch vereinzelt Angriffe, wo man wahrscheinlich wirklich drauf schauen kann und sagen kann: Da ist überhaupt gar kein größeres politisches Motiv dahinter – und auch keine politische Komponente dahinter, die das duldet. Wie verlässlich kann man es sagen? Mal weniger, mal mehr verlässlich. Ich würde mal sagen: Aus rein technischer Natur kann man das in vielen Fällen noch einigermaßen verlässlich sagen.
Robert: Also wirklich diese Art Attributionen. Wir haben beispielsweise – ich glaube erst gestern – Artikel darüber veröffentlicht bei Trend Micro, wie wir Attributionen machen: also wie wir beispielsweise probabilistisch vorgehen, wie sicher wir uns sein müssen, wie wir dann die Benennung machen. Es ist ein sehr, sehr schöner, transparenter Artikel. Das ist aber eine technische Attribution. Wir haben auch immer noch das zweite Level einer politischen Attribution.
Robert: Also wenn dann wirklich beispielsweise ein Außenminister vor die Presse tritt, ein Innenminister vor die Presse tritt – wie auch immer, wo auch immer der Angriff gerade war – und dann sagt: Wir bestellen beispielsweise – wie vor zwei Jahren geschehen – den chinesischen Botschafter ein. Das ist eine politische Attribution. Das heißt nicht, dass die technische Attribution nicht vielleicht schon vor anderthalb Jahren stattgefunden hat.
Robert: Es wird ja ganz oft in unseren Kreisen lächerlich gemacht mit: „Oh, das hat jetzt drei Jahre gebraucht, bis man herausgefunden hat, dass es Russland war.“ Und dann muss man schon immer dazu sagen: Das wusste man vermutlich rein technisch gesehen schon eine Woche danach oder vielleicht in dem Moment sogar schon. Aber das ist nicht die politische Ebene der Attribution. Das sind zwei verschiedene Dinge. Und da muss man sich einerseits relativ sicher sein und andererseits muss man auch wissen: Was bewirkt jetzt eine öffentliche Attribution? Was will ich damit erreichen?
Robert: Und deswegen: Ja, man kann das feststellen. Es gibt sicherlich Fälle, da ist es einfacher, und Fälle, da ist es schwerer. Aber die technische Attribution ist etwas, das können wir im Grundsatz eigentlich ganz gut.
Michael: Die politische Attribution: Ist es dann so, dass man Sorge vor den Konsequenzen hat, wenn man das zu breit tritt auf der öffentlichen Ebene? Oder gibt es andere Motive?
Robert: Es ist auch da wieder mannigfaltig. Wir haben sicherlich Angriffe, da will man vielleicht dem anderen gar nicht zeigen, dass man das Ganze gemerkt hat. Also wenn es keine Presseberichte davor darüber gab und jetzt beispielsweise eine Schwachstelle genutzt wurde, die auch so noch gar nicht bekannt ist, man den Angriff aber bemerkt hat, dann kann es sogar sein, dass man strategisch sagt: Wir wollen es eben nicht sagen, damit die Welt eben nicht weiß – und insbesondere der Gegner nicht weiß –, dass wir ihn bemerkt haben, sondern wir wollen ihn weiterhin tracken, wollen durch dieses Tracken seine Infrastrukturen besser kennenlernen und Sonstiges.
Robert: Weil wenn wir ihm heute sagen: „Wir haben dich gesehen“, dann findet das halt nicht mehr statt. Und auf der anderen Seite, wenn man das Ganze macht: Ich glaube gar nicht, dass es so sehr darum geht: Was löst man jetzt negativ damit aus? Sondern man muss sich eher fragen: Was kann man im Positiven für das eigene Land damit auslösen?
Robert: Also ist es in Anführungsstrichen nur ein Präsentieren von Stärke – was ein total valides Argument ist? Ist es vielleicht auch wirklich Druck zu erzeugen auf jemanden, dass dieses Land das sein lässt? Das, würde ich mal sagen, wird bei den Großen meistens nicht so erfolgreich. Wie gesagt: Die Motivationen können vielfältig sein, wieso man dann so eine öffentliche Attribution macht.
Michael: Hast du diesbezüglich eine Erwartungshaltung an die Münchner Sicherheitskonferenz, dass sich da irgendetwas im Mindset verändern wird?
Robert: Ich glaube manchmal, dass wir in unserer Branche den Wert von Cyber so ein bisschen überschätzen. Nicht, dass es nicht wichtig wäre – also ich würde diesen Job nicht machen, wenn ich es nicht wichtig fände –, sondern in ganz vielen geopolitischen Konflikten ist Cyber halt ein weiteres Mittel. Also neben kinetischen Angriffen: das, was auf See passiert, was in der Luft passiert, was vielleicht in Space passiert – ist Cyber eben noch mal eine weitere Komponente.
Robert: In den allerwenigsten Fällen, wenn wir über politisch getriebene Cyberangriffe sprechen, sprechen wir darüber, dass man Cyber um des Cyberwillens macht, sondern man macht es, weil es in diesem Moment vielleicht einfacher ist, den Gegner zu stören. Man macht es in Teilen auch, weil Cyber weniger eingeordnet ist – also beispielsweise eine niedrigschwellige Sabotage via Cyber: Man weiß nicht so wirklich, wie die anderen das einschätzen.
Robert: Zumindest wird es nicht per se, jetzt mal, als Bündnisfall oder so eingeordnet. Das heißt, man kann mit Cyber vielleicht auch ein Stück weiter gehen, weil die internationalen Normen in vielen Teilen vielleicht auch noch nicht so weit sind. Von daher: Es ist halt eine weitere Komponente. Und es wird auf diesen Konferenzen auch immer mehr betont, dass der Cyberspace eben ein unglaublich wichtiger, defensiv wie offensiv, ist.
Robert: Ich glaube, wir machen uns nur manchmal ein bisschen was vor, dass jetzt die Hälfte der Konferenz gefühlt Cyber wird. Also die Kriege, die wir derzeit sehen, die haben Cyberkomponenten. Aber wenn wir auf das Leid in der Ostukraine und anderen Teilen der Ukraine schauen, dann ist es größtenteils weiterhin kinetischer Krieg. Und da sterben Menschen, weil tausende Drohnen jede Nacht über den ukrainischen Luftraum fliegen.
Michael: Ja, das stimmt. Dann lass uns mal rüber wechseln zum Thema: Wie können wir uns davor schützen vor diesen Angriffen? Threat Intelligence im Intro schon ein paar Mal erwähnt – das klingt immer total fancy. Wir sollen uns dann überlegen, wie nutzt man das eigentlich richtig? Vielleicht ganz zu Beginn mal einzuordnen diesen Begriff. Wenn man jetzt irgendwie auf der Straße fragen würde, jemand, der nicht unbedingt so im Cyber-Thema drin ist, der würde vielleicht sich irgendwie noch herleiten können: Okay, es ist wahrscheinlich so eine Sammlung von Informationen, auf die ich dann am Ende zugreifen kann.
Michael: Aber im Kern: Es geht ja so in die Richtung – wie wird daraus jetzt am Ende aber eine Intelligenz für mich, die ich auch nutzen kann?
Robert: Wir sprechen ganz vereinfacht gesagt darüber, dass wir wissen wollen, wie die, vor denen wir uns schützen, arbeiten. Und das fängt an, indem wir eine strategische Betrachtung von Intelligence machen. Also indem wir beispielsweise überhaupt erst mal uns damit befassen: Für wen sind wir denn überhaupt interessant? Das ist zum Beispiel so eine Komponente, die wird ganz oft – zumindest in der freien Wirtschaft, wenn wir weggehen von sehr großen Unternehmen – fast so ein bisschen missachtet: dass man sich überhaupt erst mal über diese strategische Komponente Threat Intel Gedanken macht.
Robert: Also einerseits: Für wen könnte ich denn überhaupt interessant sein? Welche Ziele verfolgen diese Akteure? Das ist natürlich auch unglaublich wichtig, dass ich mir meine eigenen Präsenzen anschaue: Wo bin ich denn aktiv? Wo könnte ich beispielsweise vielleicht auch ein politisches Ziel sein? In welchen Supply Chains bin ich – und werde dadurch vielleicht ein politisches Ziel, obwohl ich als Firma selbst vielleicht gar nicht so interessant für diese Akteure wäre?
Robert: Also diese strategische Betrachtung von Threat Intel: Das ist für mich eigentlich immer der erste Schritt. Es war der Schritt, der relativ häufig dann gar nicht gemacht wird oder zumindest relativ schnell abgetan wird.
Michael: Aber das – kurze Zwischenfrage, sorry – hängt das vielleicht auch damit zusammen, dass man ja oft gesagt bekommt, als Unternehmen: Also die schießen eigentlich immer mit der Gießkanne. Jedes Unternehmen ist quasi relevant oder kann betroffen sein oder ist interessant für Angreifer, sofern sie sich Zugang verschaffen können natürlich.
Robert: Also es gibt eine Gruppe von Angreifern, und es sind insbesondere typischerweise Initial Access Broker – also die, die sich überhaupt nur initial Zugriff verschaffen wollen, um den dann an weitere Gruppen zu verkaufen. Das sind die typischen Cybercrime-Gruppen, die ja breit gestreute finanziell motivierte Angriffe machen. Da kann man relativ klar sagen: Die sind für fast jeden interessant. Also da kann ich eigentlich, wie du schon sagst, kaum Ausnahmen machen. Aber das sind natürlich nicht die einzigen.
Robert: Also wir sprechen natürlich auch darüber, dass sich ein Betreiber einer kritischen Infrastruktur teilweise auch noch mal mit anderen Akteuren beschäftigen muss. Also dass die sich durchaus beispielsweise auch mit staatlichen Akteuren beschäftigen müssen, die erst mal gar keinen Schaden anrichten wollen, sondern die sich nur pre-positionieren. Wenn wir jetzt über das Motiv sprechen: Also die wollen sich positionieren. Die bewegen sich da so still, wie man sich nur bewegen kann.
Robert: Damit im Falle eines zukünftigen Konflikts eben schon eine Basis da ist, um den Gegner zu schwächen. Und da muss sich dann rein technisch, rein in der Art und Weise, nach was ich suche, auch noch mal anders vorgehen. Ist das jetzt die Priorität für jedes mittelständische Unternehmen, was zumindest nicht in einem größeren geopolitischen Kontext agiert – also nicht im Bereich Defence agiert oder Sonstiges? Eher nicht.
Robert: Man kann es nicht ausschließen, aber da muss ich nicht so viel Priorität darauf setzen, wie beispielsweise Anbieter kritischer Infrastruktur im Bereich Energie. Weswegen ja: Im Grundsatz sage ich den Leuten immer, ihr zielt wahrscheinlich mit 60–70 % den gleichen Advisories. Darüber hinaus kann es dann teilweise eben doch unterschiedlich werden, und das ist diese strategische Betrachtung.
Michael: Also wenn ich jetzt mal von dem kleineren Energieversorger ausgehe, irgendwo im Rheinland gelegen: Dann habe ich ja wahrscheinlich nicht mal das Know-how, dass sich jemand so intensiv mit den Pfaden der relevanten Angreifer auseinandersetzt oder diese ersten strategischen Überlegungen überhaupt durchführt. Und dennoch haben die wahrscheinlich alle Tools im Einsatz, die Intel irgendwie integriert haben.
Michael: Also wie läuft das dann? Im operativen Doing ist es rein so, dass ich mir IOC-Feeds reinziehe und durchlaufen lasse oder was? Wie viel Prozent von diesem Threat Intel kann ich als Mittelständler in Deutschland überhaupt dann vernünftig nutzen? Also wo liegen die Mehrwerte aus dieser Anbindung?
Robert: Also diesen letzten Punkt, den du jetzt gesagt hast – also diese IOCs, also die typischen Indicators of Compromise: IP-Adressen, Hashwerte, Sonstiges – das ist ja wirklich der allerletzte Schritt. Da sage ich auch immer: Das ist das, das bekommt man immer her. Das bieten einem die Security-Produkte, die man hat, erst mal schon on board. Und wenn ich da noch was Besonderes brauche, kann ich mir noch sogenannte Feeds dazukaufen.
Robert: Das ist für mich immer der unspannende Teil. Wenn du jetzt auf dieses Beispiel kleinerer Energieversorger im Rheinland eingehst: Wir hatten erst im Januar einen Bericht über dezentrale polnische Energieerzeuger – also beispielsweise Windkraftwerke, Solar und Sonstiges –, bei denen eben rauskam: Das ist aller Voraussicht nach, dass es da Zugriffe aus Russland gegeben hat, die auch dazu führen sollten, dass es da wirklich zu Disruption kommt.
Robert: Ist ein relativ interessanter Bericht, der erst mal zeigt: Auch bei Energieversorgern geht es nicht immer nur darum, diesen zentralen Knotenpunkt auszuloten, sondern vielleicht auch wirklich – desto mehr wir in Richtung Energiewende kommen – auch in Richtung dieser dezentralen Energieerzeuger zu kommen. Und natürlich hast du völlig recht: Ein kleiner Energieerzeuger kann sich nicht ganz das leisten – und vielleicht bekommt er auch das auf dem Jobmarkt gar nicht, was da vielleicht auch gebraucht wird.
Robert: Trotzdem müssen die sich Gedanken darüber machen: Für wen sind wir interessant und wie gehen die vor? Im Grundsatz – also genau diese erste strategische wie taktische Sicht von Threat Intel. Ich nenne dir ein Beispiel: Chinesische Akteure haben sich unglaublich gut darauf spezialisiert, sehr, sehr gut Infrastructure Access zu bekommen. Das heißt beispielsweise Perimeter-Firewalls zu exploiten, wenn es da neue Schwachstellen gibt – und das teilweise in sehr, sehr kurzer Zeit.
Robert: Also muss man sich als dezentraler Versorger natürlich schon fragen: A) Habe ich die Möglichkeiten, diese Firewalls innerhalb der ersten 24 Stunden nach Aufkommen von so einer Schwachstelle auch wirklich zu patchen – ohne dass wir jetzt über IOCs sprechen, sondern wirklich: Wie kann ich dieses Patch-Fenster genau an diesen neuralgischen Punkten nach unten bringen, weil diese Akteure genau darauf abzielen?
Robert: Oder B) Kann ich vielleicht sogar noch was davor stellen, was im Zweifel mir dieses Patch-Fenster so ein bisschen erleichtert, indem es so eine IPS-Lösung beispielsweise – Netzwerktraffic, der nach Exploit-Traffic aussieht – abfedert?
Robert: Und das ist genau diese strategische und wie auch taktische Betrachtung. Wir sprechen noch gar nicht über IOCs, und da sprechen wir auch noch nicht über Personal, was diese IOCs durchlaufen lässt. Noch mal: Das ist der eher unspannendere Teil.
Michael: Verstehe. Also die Basis, die jeder irgendwie hat, auf die jeder zugreifen kann: Ist das auch qualitativ bei allen Herstellern ungefähr in einem ähnlichen Rahmen? Kommen die Daten alle aus einer zentralen Datenbank?
Robert: Ich würde mal sagen, die Qualität hat sich grundsätzlich angeglichen – über die letzten Jahre, übers letzte Jahrzehnt. Sie kommen aber natürlich nicht aus einer reinen Zentrale. Also man merkt beispielsweise, dass es immer noch Herstellerunterschiede gibt, rein wenn man auf Geolocation schaut. Also die Hersteller sind alle relativ gut, was Europa und Nordamerika angeht – da gibt es auch Unterschiede –, aber grundsätzlich sind alle relativ gut.
Robert: Wenn wir dann beispielsweise nach Asien schauen, wenn wir in große Länder wie Japan schauen, in große Industrien schauen, da gibt es dann teilweise schon wieder Unterschiede. Da haben wir zum Beispiel eine große Stärke, weil wir die mit Abstand größte „…“ dort haben, weil wir auch auf Consumer-Geräten einfach sehr, sehr stark drauf sind. Wiederum gibt es andere Anbieter, die in Emerging Markets – wie beispielsweise in Afrika – vielleicht relativ gut aufgestellt sind.
Robert: Aber da komme ich wieder zu meinem Punkt zurück: Ja, erst die letzte Betrachtungsweise ist zwar diese technische Komponente, das Threat Intel. Ich muss mich davor eben genau befragen: Wie hoch ist meine Priorität, in Asien die beste Art Intel zu haben? Wie hoch ist die Priorität beispielsweise in Emerging Markets eine gute Abdeckung zu haben? Also wie ist meine Supply Chain aufgestellt?
Michael: Also damit Threat Intel Entscheidungen beeinflussen kann, muss ich mir eigentlich strategische Fragen stellen – und zwar ganz am Anfang dieser Geschichte. Und dann habe ich eine Chance, dass das Ding auch einen wirklichen Mehrwert für mein gesamtes Konzept bildet. Genau. Perfekt.
Robert: Also wie gesagt: Diese technische Komponente ist super wichtig. Aber auch hier: Das wird immer schnelllebiger. Die IP-Adressen wechseln immer schneller. Der Angreifer – die reine Malware – spielt immer noch eine Rolle, aber nicht mehr diese überragende Rolle, die sie mal gespielt hat. Also die gehen mehr in Sachen Living-off-the-Land-Attacken. Und da muss man dann eher wissen: nicht IOCs, sondern man nennt es ganz gerne IOAs – also Indicators of Attack oder Indicators of Anomaly.
Robert: Was ist normal und was ist nicht normal? Und da geht es dann eben nicht mehr so einfach, dass ich eine IP-Adressliste gegen meine Funde durchlaufen lasse. Da muss ich im Zweifel auch wirklich mal jemand damit beschäftigen, zu unterscheiden: Ist das gerade normal oder ist das nicht normal? Und da kommen wir halt schon wieder aufs Thema Personal.
Michael: Eine andere Rolle im Bereich spielt ja auch mittlerweile KI. KI hält ja sowieso Einzug – manchmal sogar in den Unternehmensnamen wie bei euch. Ich will mal kurz darauf schauen, ob uns das jetzt wirklich direkt hilft: Also was macht es konkret besser oder macht es Dinge einfach nur schneller? Denn auch eine strategische Entscheidung kann ja eine KI nicht übernehmen.
Robert: Sie kann sie übernehmen. Ob ich das immer möchte, ist eine völlig andere Frage. Kann im Prinzip derzeit schon relativ viel. Die große Frage ist, ob man es möchte. Also KI – auch da wieder muss man natürlich spezifizieren. Wir als Hersteller setzen Machine Learning, um mit diesen großen Datenmengen klarzukommen – ja, nicht erst seit ChatGPT, die rauskam, und seit dieser ganze mediale Hype angefangen hat.
Robert: Also dass wir grundsätzlich diese Technologien nutzen, um diesem unglaublichen Datenwust Herr zu werden: Das ist bei uns wie bei anderen Herstellern seit ewigen Zeiten so. Aber genau da sehe ich erst mal das, was eben auch schon bewährt ist: Also genau mit unglaublich großen Datenmengen klarzukommen.
Robert: Mit all den Daten, die man als Hersteller sammelt – blöder Begriff, weil wir natürlich in dem Sinne keine Rohdaten sammeln – aber trotzdem all die Funde, die wir haben, die IOCs – darüber haben wir schon gesprochen – die wir haben: IP-Adressen. Das geht gar nicht mehr ohne Dinge wie zumindest Machine Learning.
Robert: Abseits von KI, da wo es dann, glaube ich, wirklich interessant wird, in Anbetracht der letzten 30 Jahre, seit wir eben diesen KI-Hype haben, ist dann eben wieder die Umsetzung dieser Daten in Richtung: Wie finde ich Dinge? Ein gutes Beispiel ist, Detection Rules zu schreiben auf Basis dieser Erkenntnisse – eben nicht nur: „Such nach dieser IP-Adresse“, sondern: „Such nach dieser Art des Verhaltens.“
Robert: Das kann in Teilen dann schon relativ kompliziert und langwierig werden, dieses Regelwerk zu schreiben – YARA-Rules zu schreiben für irgendwelche neuen Dinge, die wir vermuten, die es gibt. Und da kann generative KI heute schon, ich würde mal sagen, relativ viel machen. Und ganz oft geht’s in die Richtung, dass, wenn ich mir zum Beispiel Regelwerk erstellen lasse, dass das relativ häufig so eine 80-%-Lösung ist, die dabei rauskommt.
Robert: Die muss ich dann noch verfeinern, da muss ich vielleicht noch irgendwas abändern – aber ich habe mir in ganz vielen Fällen eben schon relativ viel Arbeit gespart. Wie gesagt: Das ist ganz oft einfach Code. Und wenn KI eins relativ gut kann, ist es, Code zu ergänzen. In den Fällen gar nicht mal so Code von der Pike zu erstellen, aber Code zu ergänzen auf Erkenntnissen, die in den Modellen heute schon sind.
Robert: Also da kann im Bereich Threat Intel KI oder generative KI insbesondere heute natürlich schon immens helfen.
Michael: Jetzt bewegen wir uns im Security-Bereich ja in einem recht sensiblen Areal. Wie groß schätzt du hier die Gefahr ein von Fehlinterpretationen oder Halluzinationen? Klar, kommt auch immer darauf an, wie gut man sich selbst mit Prompting und Co. auskennt.
Robert: Ich habe gar nicht so Angst vor diesen typischen Halluzinationen. Da müssen wir auch mal aufpassen: Viel wird Halluzination genannt, was in dem Sinne eigentlich gar keine Halluzination ist. Wovor ich mehr Angst habe – was eben auch leider oft als Halluzination bezeichnet wird – sind eher so Dinge wie Context Limit.
Robert: Die KI sagt es einem nicht. Also ich weiß nicht, ob du schon mal größere Dateien – also größere Texte oder so – wir haben schon über das Trailrunning gesprochen: Ich lasse zum Beispiel mal so sehr große GPX-Files zu meinen Läufen auswerten und lasse mir Oberflächen anzeigen von Strecken beispielsweise, um – ohne dahinzufliegen – schon mal ein besseres Gefühl für eine Strecke zu bekommen.
Robert: Und man merkt immer häufiger: Das hat vor zwei Jahren noch super gut funktioniert und funktioniert mittlerweile schlechter, obwohl die Technologie eigentlich besser ist. Also ganz oft merke ich: Ey, du hast es nicht zu Ende gelesen. Also ich sage dann noch: Ich gebe dir, du hast maximal 30 % dieses Files eingelesen. Dann kommt zurück: „Oh, da hast du mich aber ertappt.“
Michael: Wie das oft so ist.
Robert: Ja, genau. Und die Hersteller sagen: Man hat ein Context Limit erreicht. Dann sage ich: Na ja, aber ich habe dieses Kontextlimit mit der gleichen Datei vor zwei Jahren nicht erreicht. Kann es einfach sein, dass ihr euch sparen wollt?
Robert: Das ist im privaten Umfeld ärgerlich und nervend. Wenn ich jetzt allerdings sage – kommen wir zu dem Beispiel zurück – ich habe eine riesige Datenmenge, die ich analysiert haben möchte, und dann liest er sich nur 15 % des Ganzen durch und sagt mir dann: „Hey, ist alles tipptopp“ – dann muss ich mich ja darauf verlassen, dass der 100 % des Files gelesen hat und nicht nur 15 %.
Robert: Und das ist eben keine Halluzination, sondern Context Limit, dass ich vielleicht stoße und dass ich nicht erwartet habe. Und das ist zum Beispiel so eine Gefahr, die ich sehe. Ich habe SOCs gesehen, die haben im besten Wissen und Gewissen sich selbst einen Chatbot gebaut und den Backend an ein großes Sprachmodell angebunden.
Robert: Das ist total löblich und es kann total Sinn machen in Operations, aber man hat eben nicht daran gedacht. Und auch da hat man dann gesagt: „Lies noch mal das ganze File“, und dann kam auch zurück: „Oh, da hast du mich aber erwischt.“ Und das ist so eine Sache.
Robert: Und das zweite ist natürlich auch dieser Bias. Also mittlerweile wird ja berechtigterweise darüber gewitzelt, dass ChatGPT immer so „Yes“-sagend ist, um es mal sehr nett auszudrücken.
Robert: Also wenn ich mit ChatGPT rede, dann denke ich immer, ich bin der hübscheste, schlauste, größte Typ, den es irgendwie auf der Welt gibt. Und dann spreche ich daheim mit meinen Kindern und ich werde wieder zurück auf den Boden der Tatsachen geholt.
Robert: Auch da: Das mag nervig bzw. charmant sein im persönlichen Umfeld. Aber jetzt sagen wir mal, du bist ein Security Analyst und willst dich „ressourcen“ mit einer KI und willst einfach sagen: „Hey, ich glaube, das ist ein False Positive aus den und den Gründen, überprüfe das doch mal“, dann will ich, dass dieses Ding mir im Zweifel auch wirklich widerspricht.
Robert: Wenn es das aber nicht macht, sondern sagt: „Oh, das hast du aber toll gemacht, du bist ein toller Security Analyst“, dann ist das ein massives strukturelles Problem. Und deswegen: Ich will gar nicht immer so sehr über Halluzinationen reden. Ich will eher über strukturelle Schwächen reden, die im privaten Umfeld vielleicht nervig sind, aber uns da echt zu einem Genickbruch führen können – im Zweifel.
Robert: Und das Gute ist: Im Gegensatz zu vielen Halluzinationen kann man das ganz gut überwinden. Aber ich muss eben darauf gefasst sein, dass ich A) vielleicht noch mal eine zweite Rückfrage stelle, dass ich B) Kontext niemals aus dem Auge verliere. Also das sind einfach sehr, sehr wichtige Komponenten dabei.
Robert: Und deswegen sehe ich es eben sehr kritisch, dass in unserer Branche mittlerweile man einfach irgendwo einen Chatbot reinknallt – um jetzt mal ganz übertrieben gesagt – eine Rechtfertigung dafür zu finden, 20 % mehr Lizenzkosten zu verlangen. Und das geht halt nicht. Sondern wenn wir KI nutzen, dann müssen wir es wirklich sinnvoll nutzen.
Michael: Sehr gute Punkte. Also ich kann zu dem, was man im privaten Bereich auch beschäftigt, exakt die gleichen Dinge sagen. In der Regel mehr mit Marktforschung usw., aber auch da: Wenn du nicht alles wirklich kritisch hinterfragst, dann hast du am Ende eine Marktanalyse, die z. B. dich super findet, die aber weit an der Realität vorbeigeht. Und das bringt ja dann am Ende einfach nicht wirklich viel.
Michael: Wenn wir dich schon mal im Podcast haben, dann sollten wir natürlich auch über das SOC sprechen – wir als SOC-Provider und du als Experte für SOCs. Lass uns sprechen über das, was ja auch stark durchs Marketing wahrscheinlich getrieben wird: die autonomen Modelle, die es in Amerika zum Teil schon zu kaufen gibt. Ist das autonome SOC eher eine Illusion oder kann das irgendwann dann doch noch Realität werden?
Michael: Wie realistisch schätzt du dieses Szenario ein?
Robert: Also ich glaube, dass das Security sicherlich irgendwann autonomer wird. Also wie autonom das am Ende wirklich wird, das weiß ich nicht. Ich würde mal sagen: So sehr mir das hier gerade Spaß macht, dann müsste ich wahrscheinlich nicht an einem Freitag um 12:00 Podcast aufnehmen. Muss man an sich nicht. Wäre ich jetzt mit meiner Family irgendwo auf einer Insel.
Robert: Ich weiß nicht, wie autonom es wird. Ich gehe davon aus, dass es sicherlich autonomer wird – wie in ganz vielen anderen Dingen auch. Ich bin mir heute noch nicht bewusst darüber, wie schnell das voranschreiten wird. Und dann ist natürlich auch wieder die Frage: Was bewerten wir als autonom?
Robert: Also für mich wäre schon unglaublich viel geholfen – als in einer kompletten Industrie –, wenn wir nicht einfach irgendwelche hingeklatschten Alarme hätten, sondern wenn 90 % der Unternehmen, die das eben nicht selbst können, schon mal eine Analyse, eine Triage vorgenommen bekommen – und das da in natürlicher Sprache steht: Was ist Sache und was musst du jetzt machen?
Robert: Also bin da auch wirklich zum Beispiel Plan steht. Das könnte allenfalls positiv sein, um herauszufinden, ob das ein False Positive ist. „Frag doch mal folgenden Kollegen, ob er in den letzten 20 Stunden das und das gemacht hat.“ Also dieser Einzug von natürlicher Sprache, von vorbereitenden Dingen – und bei denen ich auch immer wieder sage: Dinge, die man nicht prompten muss.
Robert: Es gibt Dinge, die sollten einfach schon vorbereitet sein, wenn sich jemand in sein … einloggt. Das wäre für mich schon – das ist natürlich keine Autonomie, aber das wäre ein unglaublicher Gewinn für den kompletten Schutz unseres Binnenmarktes, wenn wir die Sachen an den Stellen vereinfachen würden.
Robert: Auch mit der Gefahr, dass wir vielleicht mal eine Halluzination haben. Aber dann sage ich den Unternehmen auch immer: Wollt ihr lieber eine 96-%-Lösung oder wollt ihr weiterhin gar nichts machen? Das ist einfach eine valide Frage, die man sich stellen muss.
Robert: Und ich glaube, da wird viel passieren. Ich glaube, wo wir noch sehr lange brauchen, ist, dass zum Beispiel die Agenten autonom reagieren – also wirklich autonom: Verbindungen abschießen, Clients isolieren, beispielsweise auch irgendwelche Benutzer sperren. Und das scheitert, glaube ich, gar nicht so sehr an der Technologie selbst – KI –, sondern mehr daran, was wir für eine Datengrundlage haben, weil wir halt das typische Prinzip „Garbage in, garbage out“ genauso bei KI haben.
Michael: Weil es natürlich auch gefährlich sein kann, wenn Zusammenhänge nicht erkannt werden. Und so etwas, was im schlimmsten Fall eine Produktion stilllegt oder so, das ist natürlich ein enormer Schaden. Aber noch mal auf den Punkt mit Klartext: Das finde ich ja eine ganz charmante Idee, weil das würde wahrscheinlich dazu motivieren, dass die Alerts sich vielleicht auch häufiger im Detail angeschaut werden und die Leute natürlich dann auch wissen, was zu tun ist.
Michael: Hast du so was denn schon mal erlebt, dass es irgendwo umgesetzt wurde?
Robert: Ja. Ich weiß, dass es Teams gibt, die damit selbst schon – wie gesagt – vor der Zeit alle schon rumexperimentiert haben. Also so Voranalysen, Triage, dass „Layer 1“ im Grunde genommen so ein bisschen abgefedert wird durch KI in einigen SOCs.
Robert: Wir als Hersteller machen da mittlerweile auch sehr viel, indem eben sogenannte Guided Response, der mittlerweile reingekommen ist, dem auch wirklich gesagt wird – auf natürlicher Sprache –: Was ist da passiert? Wie schätzen wir das Ganze ein? Und was würden wir als nächste Schritte machen?
Robert: Und noch mal: Das sollte meiner Meinung nach einfach vorbereitet sein, wenn man das möchte. Weil, wie du schon sagst, dann hat man vielleicht eher Motivation, sich das anzuschauen. Und dann halte ich es aber auch für wichtig, dass man auch reaktiv Fragen stellen kann.
Robert: Und ich bin da für so eine – nennen wir es – ganz große Demokratisierung von Cyber. Dass man auch mal ganz naive Fragen stellen kann. Wie gesagt: „Nenn mir doch mal fünf Fragen, die ich dem Herrn Müller stellen kann oder der Frau Müller, ob das ein False Positive ist oder nicht.“ Und dann formuliert er diese drei, vier Fragen. Also wirklich auch diese Naivität mal an den Tag legen zu können – das wäre für viele Unternehmen, und da meinen wir jetzt eben nicht das DAX-SOC, sondern eben das typische deutsche Mittelstandsunternehmen, unglaublich hilfreich.
Michael: Ja, das denke ich auch. Ihr positioniert euch ja mit Trend eh schon recht stark in Richtung künstlicher Intelligenz. Und ich habe dann gelesen über Cybertron – mir als Fan von Marvel und Co. fällt dann natürlich direkt der Planet Cybertron ein. Das ist damit natürlich mitnichten gemeint. Vielleicht hat man bei der Wortfindung daran gedacht. Kannst du uns vielleicht ein paar Insights zu Cybertron geben? Also was ist das rein technisch betrachtet?
Robert: Rein technisch betrachtet ist es eben unser eigenes Large Language Model in verschiedenen Parametergrößen, das wir intern einsetzen, das wir in älteren Versionen auch als Open Source rausgeben – dann mit kleineren Parametern natürlich. Und es ist halt ein reinrassiges Cybersecurity-…
Michael: Ähm.
Robert: Wenn man jetzt mal in die großen Modelle schaut – à la OpenAI oder Sonstiges – da findet sich auch schon überraschend viel Cyber wieder, weil die natürlich auch diese Dinge mit angelernt haben. Wir haben natürlich trotzdem noch mal anderes Wissen.
Robert: Also wir können natürlich Incident Reports – ganz wichtig: anonymisierte Incident Reports – und alle, die wir haben, die wir halt in einer bestimmten Struktur schreiben, da auch mit reinlernen lassen. Weil wir eben sagen wollen: Wir wollen ja genau diesen Dingen ausweichen. Wir wollen Lessons Learned damit reinpacken. Wir wollen wissen, wie bei uns ein Managed Response Analyst auf einen bestimmten Threat antwortet.
Robert: Nicht nur, wie der Threat aussieht – das kann man vielleicht noch ganz gut durch Echtzeitdaten oder durch ein großes Modell machen –, aber wie ein bestimmter Analyst auf einen bestimmten Threat dann auch geantwortet hat: Was lief gut, was lief schlecht? Das ist dann genauso dieses situative, spezifische Wissen, was wir als Firma mit über 35 Jahren Wissen haben. Und diese über 35 Jahre Wissen finden sich eben in diesem „…“ wieder.
Robert: Und dieses wird dann eben überall in dieser Plattform genutzt, um Dinge zu kontextualisieren, um Entscheidungen zu vereinfachen, um Dinge zu … reagieren. Das ist der zentrale Bestandteil, auf dem nicht alles aufgebaut wird – nein. Wir haben ja auch viele Dinge, die haben sich einfach so bewährt. Aber wo eben insbesondere diese „…“-Module ihren Mehrwert finden.
Michael: Wie lang hat es gedauert, das zu entwickeln? Wie lange habt ihr daran gearbeitet?
Robert: Ich weiß es, um ehrlich zu sein, gar nicht. Ich weiß, dass wir schon KI-Hacking-Wettbewerbe in 2016 in Japan hatten. Und das Thema – wie gesagt – wir nutzen Machine Learning seit Jahren, Jahrzehnten. Das ist integraler Bestandteil.
Robert: Ich würde mal sagen: Dieses Modell, was dann dabei rausgefallen ist für uns selbst, das ist mehr so eine logische Konsequenz, als dass das ein monumentales Projekt in irgendeiner Form wäre.
Robert: Es sind ganz viele Parameter, die wir schon immer hatten, die wurden da dann eben in ein Modell gegossen – und das ist das viel Wichtigere – von einer Plattform und von Plattform-Modulen nutzbar gemacht. Einfach nur das LLM hinzuklatschen, das kriegt man hin. Man kann die Sachen anlernen, dafür braucht man Hardware, dafür braucht man Menschen, die das irgendwie in die Wege leiten können.
Robert: Wichtig ist, dass man die Daten, die dann darin liegen, auch nutzbar macht. Und das ist das deutlich Aufwendigere in diesem Projekt.
Michael: Damit habt ihr aber auch wieder ein schönes Differenzierungsmerkmal am Markt. Also noch nicht so viele Hersteller gesehen, die das mit einem eigenen Modell quasi abbilden. Dazu ein ganz cooler Name, wie ich finde. Wie siehst du das Thema der Verantwortung? Ich meine, wenn ihr jetzt ein eigenes Modell bereitstellt, steht ihr natürlich auch komplett in der Verantwortung, was das Ding am Ende ausspuckt.
Michael: Fahrt ihr selber dann auch härtere Tests gegen euer eigenes System?
Robert: Also das ist am Ende eine zentrale Plattformkomponente. Die muss getestet werden, die muss auch selbst verwendet werden. Es muss klargestellt werden – wie bei jedem anderen, der ein Modell hostet –, dass die Daten, die reinkommen, die Trainingsdaten beispielsweise, nicht vergiftet sind.
Robert: Also das sind alles zentrale Komponenten, wo wir als Hersteller natürlich – oder als Plattformanbieter – eine unglaubliche Verantwortung haben. Und wie gesagt: Deswegen sind wir ja auch noch sehr, sehr vorsichtig, was beispielsweise autonome Response-Mechanismen angeht, weil wir eben sagen: Nicht, das steckt in den Kinderschuhen – das glaube ich gar nicht. Wir sind da schon deutlich weiter als in den Kinderschuhen. Aber wir müssen eben auch noch lernen: nicht nur, wie wir Dinge und Daten in Modelle packen, sondern wie sie dann genutzt werden.
Robert: Und ich glaube, zu dieser Verantwortung gehört dann eben auch dazu, nicht an Tag vier zu sagen: „Wir haben jetzt hier eine autonome Cybersecurity-Plattform“, sondern auch ganz klar zu sagen: Das, was da drin ist, müsst ihr euch noch anschauen. Also auch dem Kunden zu sagen: Auch ihr habt eine Verantwortung in der Nutzung des Ganzen. Wenn unsere Verantwortung in Trainingsdaten, Testing und Sonstigem erfüllt wird.
Michael: Dann noch eine Frage zur Nutzung, weil du es gerade ansprichst: Dieses Cybertron LLM findet quasi jetzt Einzug in bestimmte Module bei euch, in dem Produktportfolio. Also wenn ich jetzt Vision One zum Beispiel mir vorstelle, dann kann es da jetzt Module geben, die dieses Cybertron quasi mit integriert haben, sodass ich es nutzen und testen kann.
Robert: Ja. Also Cybertron ist nichts, was ich visibel habe, wo ich draufdrücke und sage: „Das ist jetzt Cybertron“, sondern das ist eben die Basis für ganz viel, was wir machen. Also wenn beispielsweise irgendwo ein Alert reinkommt in eine sogenannte Workbench und ich habe schon über diese Guided Response gesprochen, wo eben schon mal zusammengefasst wird: Was sagt denn dieser Alarm aus? Was könnte es denn sein? Was soll denn als nächstes gemacht werden? Dann kommen diese Infos eben unter anderem auch aus Cybertron.
Robert: Also das ist im Grunde genommen die Intelligenz, die im Hintergrund läuft. Wenn wir über die Bewertung von Schwachstellen sprechen – also ein Impact Scoping oder Sonstiges – von der KI, da wird natürlich viel im Hintergrund durch so ein Modell gemacht. Das ist nichts, was ich mir dazukaufen muss. Das ist nichts, was ich anklicken muss, sondern es ist einfach ein integraler Bestandteil dieser Module in dieser Plattform.
Michael: Perfekt. Also unterstützt es euer komplettes Ökosystem quasi. Genau.
Robert: Aber auch da: Man muss nicht alles auf Zwang machen. Machine Learning, was sehr gut davor funktioniert hat – da muss man das Rad nicht neu erfinden. Sondern es soll eigentlich da helfen, wo wir in der Industrie vielleicht so ein bisschen am Ende unseres Lateins waren und den Kunden einfach noch mehr helfen wollen. Eben. Und das ist ganz wichtig für mich: natürliche Sprache.
Michael: Das ist mir ein paar Punkte vorher schon mal, dass das sehr dabei helfen kann, die Motivation zu steigern, sich mit diesen Dingen auch auseinanderzusetzen, die dann am Ende da rausfallen. Wir nähern uns so langsam dem Ende der Folge. Ich muss schon mal sagen: Es ist extrem spannend, sich mit dir über die Dinge zu unterhalten. Man merkt, wie gut man sich auskennen kann.
Michael: Ich bin ja kein Security Consultant, deshalb habe ich heute auch wieder eine Menge dazugelernt. Es ist sehr, sehr spannender Input. Vielen Dank schon mal an der Stelle. Am Ende lass uns noch mal ein bisschen sprechen über das Thema Führung und Verantwortung – gerade im Zeitalter von künstlichen Intelligenzen und deren Nutzung. Wir haben gerade schon über euer Element gesprochen und die Verantwortung dort.
Michael: Mit Blick auf die Vorstände und Geschäftsführungen im deutschen Mittelstand, die ja diese Lösungen am Ende dann auch nutzen sollen: Was würdest du denen raten beim Thema Integration von künstlichen Intelligenzen in die eigenen Prozesse oder gegebenenfalls sogar Produkte? Worauf muss man mit Blick aus der Security-Richtung am meisten achten?
Robert: Gesunder Menschenverstand ist, glaube ich, so das Allerwichtigste. Also zum Beispiel nicht zu denken, dass wir – auch wenn das vielleicht irgendjemand behauptet – uns eine komplett autonom arbeitende Lösung hinstellen. Sich dann einfach mal die Frage zu stellen: Wo funktioniert denn irgendwas komplett autonom? Also wirklich produktiv autonom in Sachen KI? Also wieso soll Cyber jetzt der erste Bereich sein, ohne dass wir es wissen, der als AGI irgendwie agiert? Schwer komisch und ist einfach nicht der Fall.
Robert: Natürlich auch: sich darüber in dem Moment dann auch bewusst zu sein, dass nicht nur ein Hersteller Verantwortung trägt. Das ist unglaublich wichtig. Das gilt nicht nur für Security-Firmen. Es gilt genauso für OpenAI, Shopify oder sonst wen, sondern auch wir am Ende in der Bewertung dessen, was daraus wird, auch noch eine Verantwortung haben – dass wir uns da nicht mit Fingerpointing rausziehen können und sagen können: „Es hat mir über die KI gesagt.“
Robert: Das heißt auch: dieses Shared Responsibility, was wir seit Jahren in Sachen Cloud besprechen, auch da im Hinterkopf zu haben.
Robert: Und natürlich auch – und das ist aus Geschäftsführungssicht wichtig, die Diskussion hatte ich jetzt ein paar Mal die letzten Wochen – nicht zu glauben, dass ich ein Team, was davor schon komplett unter Wasser war mit Aufgaben, Verantwortlichkeiten und Aktivitäten, ich jetzt noch mal verkleinern kann, weil ich mir magische KI reinhole. Sondern im besten Falle kann diese KI dafür sorgen, dass diese Menschen einen ruhigeren Alltag haben, dass sie sich mehr auf Dinge konzentrieren können, die jetzt nicht passieren, und dass ich ihnen einfach so ein bisschen mehr Ruhe bieten kann, damit ich die Effizienz in diesen Teams steigern kann.
Robert: Nicht, dass ich irgendwie sagen kann: Ein eh schon knappes Budget, Facharbeiter kann ich jetzt auch noch mal eindämmen. Vielleicht kommt das irgendwann, ich weiß es nicht, ich hoffe es nicht. Aber Stand heute ist es nicht so.
Robert: Der letzte Punkt ist auch: nicht komplett kontra zu sein, weil diese Dinge werden uns auf absehbare Zeit dabei helfen, eben genau effizienter zu werden. Und wenn dann die Argumente kommen: „Ich habe eine Studie gelesen, dass es nur zu 96 % richtig ist.“ Na ja, dann mach doch mal den Test mit deinen zwei Leuten, die völlig überarbeitet sind und deswegen ständig krank sind: Wie effizient die Leute noch sind und wie oft die die richtige Entscheidung treffen. Das ist nichts gegen die Menschen, sondern es ist was gegen das Setup, in dem sie agieren.
Robert: Und ja, es ist nicht einfach zu beantworten. Aber es hat was zu tun mit Verantwortung. Es hat was zu tun mit nicht nur völlig ablehnender Haltung. Es hat aber auch was damit zu tun, realistisch zu bleiben, was diese Technologien Stand heute können.
Michael: Exakt. Dass die KI Personen ersetzt, das liest man ja leider viel zu häufig. Ich glaube, gerade im SOC-Bereich ist es halt einfach ein gutes Mittel, um Effizienz zu steigern, Wirksamkeit zu steigern. Und wie du schon sagst: Dann können sich die SOC-Analysten auf das konzentrieren, was dann wirklich kritisch ist – und die Fälle im Detail durchdringen.
Michael: Und andere Dinge werden dann vielleicht auch von der KI bearbeitet. Ja, Robert, vielen Dank für deinen Besuch bei uns im Podcast.
Robert: Für die Einladung.
Michael: Ich hoffe, liebe Zuhörerinnen und Zuhörer, ihr habt ein bisschen was mitgenommen. Wir schreiben noch eine kurze Zusammenfassung in die Shownotes und verlinken euch alles rund um das Thema Trend Micro und auch Cybertron. Schaut euch das gerne an. Und wenn es dazu noch Rückfragen gibt, meldet euch gerne bei uns, teilt die Folge. Ich sage: Danke fürs Zuhören – und bleibt sicher und gesund.
Robert: Danke.