Im FBI-Playbook

Raghu Nandakumara 0:12

Hallo zusammen. Also willkommen zurück zu einer weiteren Folge von The Segment. Dieses Mal freue ich mich sehr, mit Brian Boetig zu sprechen. Inzwischen kann Brian auf eine lange Karriere zurückblicken — 35 Jahre Erfahrung in den Bereichen nationale Sicherheit, öffentliche Sicherheit und Beratung, unter anderem als stellvertretender Direktor des FBI, Diplomat der Vereinigten Staaten, CIA-Verbindungsbeamter, Beamter der Staats-, Kommunal- und Universitätspolizei sowie als Partner einer internationalen Unternehmensberatungsfirma. Derzeit ist er Principal Advisor bei Global Trace, einem maßgeschneiderten Beratungsunternehmen. Das sind also eine Menge Akronyme mit drei Buchstaben, an denen er gearbeitet hat, und ich freue mich sehr darauf zu sehen, welche Geschichten er heute mit uns teilen kann. Brian, willkommen bei The Segment.

Brian Bötig 1:01

Nun, vielen Dank, dass du mich eingeladen hast. Es war sehr nett für die Einladung, und ich freue mich darauf, einige der Geschichten zu teilen, die schon oft erzählt wurden, und einige, die vielleicht nicht erzählt wurden oder nicht so relevant waren wie vor Jahren, sodass sie vielleicht in der heutigen Umgebung zu finden sind.

Raghu Nandakumara 1:16

Fantastisch. Wir können es kaum erwarten. Also, es ist interessant, gerade als wir das aufnehmen, Brian, ich war, ich bin irgendwie süchtig nach einem bestimmten Podcast, den ich kürzlich entdeckt habe, „The Rest is Classified“, der, glaube ich, von einem ehemaligen britischen Geheimdienstagenten und, glaube ich, einem ehemaligen US-CIA-Agenten moderiert wird, oder? Es ist fantastisch. Und genau so, wie sie verschiedene Aspekte des Spionagehandwerks und einige echte, echte Missionen besprechen. Also, ich fand das wirklich interessant. Sagen wir also, teilen Sie uns mit, dass Ihnen wahrscheinlich eine Geschichte gefällt, die Sie aus Ihrer Erfahrung teilen können. Warum fangen wir nicht dort an, um zu sehen, wie es dich geprägt hat?

Brian Bötig 1:52

Nun, ich werde dir eine der seltsamsten Geschichten erzählen, von denen ich einmal erzählt habe, als ich in DC war. Das war, das war tatsächlich vor dem 11. September mit Robert Hanssen. Und Robert Hanssen war der FBI-Spion, der kürzlich im Gefängnis gestorben ist, aber verurteilt und lebenslang ins Gefängnis gebracht wurde, aber er gab Informationen an die Russen weiter. Und die Geschichte wird wahrscheinlich nicht dahin gehen, wo du denkst, dass sie hinführt, aber meine Frau und ich waren in DC mit unserem Dackel spazieren. Das war, bevor wir Kinder hatten, und ein Herr kam auf mich zu, und er hatte auch einen Dackel. Er wollte diesen Dackel züchten. Also, meine Frau hatte ein Gespräch mit ihm, während ich das ganze Gespräch irgendwie ignorierte. Und dann erzählte sie mir von diesem Gespräch, ich saß im Park, während sie ging, und dachte nicht daran, bis ich nach Hause kam. Und wieder, das ist früh, das ist 2000, kurz nachdem Robert Hans verhaftet wurde. Aber vor dem 11. September, und als ich nach Hause kam, hatte ich drei Anrufe auf meiner Anrufer-ID-Box von der Russischen Föderation, im Grunde genommen von der russischen Botschaft. Es stellte sich heraus, dass der Typ mit dem Dackel ein Russe war, der in der Botschaft gearbeitet hat. Und alles, woran ich denken konnte, war, während dieser Ära von Robert Hans, als die Leute stärker unter die Lupe genommen wurden, und jetzt war ich in dieses Ereignis mit den Russen verwickelt, die, wissen Sie, jetzt bei mir zu Hause anrufen. Ich finde heraus, welcher Typ. Also musste ich zurückgehen und das dem FBI melden. Und es war wirklich lustig, denn ich habe ihre Anleitung befolgt und sie haben gefragt, weißt du, ich habe sie gefragt, was ich tun sollte. Und sie sagten, nun, „Lass uns das weitermachen“. Und so ging ich am nächsten Wochenende mit meinem Hund vor der russischen Botschaft spazieren, weißt du, hin und her. Und ich dachte einfach weiter, jeder schaut das zu, von den Russen, von den US-Spionagebehörden, irgendjemand, irgendjemand muss mich beschützen. Und es war einfach, es stellte sich heraus, dass es eine der peinlichsten Situationen war. Dann kam er und wir gingen zurück in den Park, und die Hunde haben sich nicht ganz so engagiert, wie wir es wollten. Es mag eine, möglicherweise eine Sprachbarriere gegeben haben, ich weiß nicht, was es war, aber es war einfach, es war einfach der Zeitpunkt von allem. Und wissen Sie, viele Ihrer Zuhörer erinnern sich wahrscheinlich an die Anrufer-ID-Box und kamen einfach zurück und sahen sie zu einer Zeit, als die Russen nur genauer unter die Lupe genommen und das Bewusstsein geschärft wurden, was nicht damit aufgehört hat, wissen Sie, als ich in London war, als ich drüben in London stationiert war, hatten wir den Nervengasangriff mit Novichok. Das war 2018 und, wissen Sie, schauen Sie sich den heutigen Krieg in der Ukraine an und wo er stattfindet, und irgendwie ein Teil des Engagements der USA in, Sie wissen schon, in letzter Zeit. Es ist einfach lustig, dass das Spionagespiel niemals aufhört. Und es kann dich jederzeit treffen, wenn du es am wenigsten erwartest.

Raghu Nandakumara 4:30

Unbedingt! Oh, das. Das ist brillant. Was ist all diese Art von russisch-amerikanischem Engagement? Oh, nichts. Unsere Hunde wollen einfach nur züchten. Das ist alles. Es ist nur ein Hundezuchtring.

Brian Boetig 4:38

Das Schwierige war, dass ich nicht wirklich, ich konnte meiner Frau auch nicht sagen, was wir machten, also hatte sie, sie hatte Pläne für das nächste Wochenende, aber wir hatten bereits vereinbart, dorthin zurückzukehren. Aber ich fühlte mich einfach unwohl, einfach vor der russischen Botschaft in DC hin und her zu laufen, mit diesem Hund Gassi zu gehen und zu denken, dass ich irgendwann den Hund aufheben und ihn einfach über das Tor werfen werde, weißt du, und da reinrennen und etwas tun werde. Aber nur das Spionagespiel ist einfach, es führt dich auf sehr seltsame Wendungen, die du nie erwarten würdest. Und weißt du, viele dieser Fernsehsendungen, die du siehst und die du für ziemlich unrealistisch hältst, ich schaue sie mir manchmal an, und vielleicht sind einige der dramatischen Elemente unrealistisch, aber nichts ist zu klein, um daraus eine Art von Gefecht oder Spionageabwehr zu machen.

Raghu Nandakumara 5:26

Das ist brillant! Okay, Brian, ich werde jetzt sagen, zweifellos ist das die beste, nicht nur das Intro, das uns einer unserer Gäste jetzt in der dritten Staffel des Podcasts gegeben hat, sondern wahrscheinlich auch zweifellos die beste Geschichte. Also, jeder unserer ehemaligen Gäste, wen auch immer ich Sie herausfordere, soll vorbeikommen und ein amüsanteres und verrückteres Erlebnis teilen als das.

Brian Bötig 5:53

Sie brauchen nur einen Dackel zu kaufen und schon geraten Sie in solche lächerlichen Situationen.

Raghu Nandakumara 5:59

Das ist hübsch, ich meine, ich komme nur zurück zu dem Podcast, über den ich gesprochen habe, und tatsächlich basiert er auf der aktuellen Episode, die ich gerade höre, basiert auf dem Buch. Ich bin sicher, Sie haben The Billion Dollar Spy gelesen. Und nur die Beschreibung der verschiedenen Spionagefähigkeiten, die sie zu verwenden versuchen, um zuerst mit dem Asset in Kontakt zu treten und dann Informationen auszutauschen. Die Kreativität ist unglaublich, oder? Es fühlt sich an wie Spiele, die Kinder spielen, oder? Um Informationen auszutauschen in einem der wohl angespanntesten Kinos, oder zu dieser Zeit in den 80ern der Welt.

Brian Boetig 6:33

Ja, der Rekrutierungsprozess der Crew ist sehr, sehr kreativ, und du wirst Wochen und Monate damit verbringen, manchmal nur Rollen zu spielen, zu engagieren und über eine Interaktion zu diskutieren, über die du einfach glücklich bist, du hoffst nur, als zufällige Begegnung mit dem Pinsel irgendwo, die weniger als fünf Sekunden dauern wird, aber manchmal hast du, du weißt schon, fünf, sechs Monate Arbeit investiert, nur um sicherzustellen, dass diese zufällige Begegnung mit dem Pinsel in einem Lebensmittelgeschäft oder im Verkehr erfolgreich ist. Die Menge an Kreativität, aber auch logistischer Arbeit, die dahinter steckt, ist unglaublich.

Raghu Nandakumara 7:13

Absolut. Also, ich meine, weil vor allem, wenn wir es in Filmen sehen und wieder, richtig, was wir konsumiert haben und irgendwie in den Medien und in Büchern, so viel Spionagekunst ist eigentlich so, dass es all diese Art von psychologischem und physischem Kontakt usw. Wie sieht das dann aus, wenn die Welt zunehmend Cyberkriminalität ist, oder? Und Spionagefahrzeuge dringen in den Cyberraum vor, wie ändert sich das? Wie entwickelt sich das Spionagewesen, um mit der Cyberwelt Schritt zu halten?

Brian Boetig 7:44

Interessant ist, dass es immer noch ein sehr verhaltensbezogenes Element gibt. Sogar im Cyberbereich und beim FBI gibt es eine Gruppe, die jeder aus Jahrzehnten von Criminal Minds kennt, die Behavioral Analysis Unit, und sie haben eine Gruppe, die sich auf Cyberkriminalität spezialisiert hat. Denn selbst wenn es Leute gibt, die Malware und andere Arten von Code produzieren, ist da eine Signatur drin. Das ist, weißt du, die Art, wie Leute eine Hand mögen, einfach eine Frage stellen, eine Handschriftanalyse dokumentieren, da ist eine Signatur im Code. Und verschiedene Codeschreiber geben entweder versehentlich ihren Namen da rein, irgendwo oder etwas, das sie identifiziert, oder sie tun es nicht, aber sie tun es nicht versehentlich, aber sie fügen ihn unbewusst ein, die Art, wie sie es schreiben, die Art, wie Sie den Buchstaben A auf ein geschriebenes Dokument schreiben, wissen Sie, genauso, wie jemand das im Code schreiben würde, hilft zu identifizieren, wer sie sind. Das Lesen von geschriebenem Code und Skripten hat also ein Verhaltensanalyseelement, das heißt, es ist ein wachsendes Feld, das einfach absolut beeindruckend ist.

Raghu Nandakumara 8:55

Ich denke, es ist auch da, wie bei anderen Verhaltensweisen, und es gibt, wie Sie sagen, diese Art von Signaturen, diese verräterischen Anzeichen dafür, dass Angreifer sie hinterlassen oder helfen, sie zu identifizieren. Aber wie haben Sie bemerkt, dass sich die Taktik oder das Verhalten von Cyberangreifern im Laufe der Jahre weiterentwickelt haben?

Brian Boetig 9:13

Es gibt ein Geschäftsmodell, das wirklich aus Cyberkriminalität heraus entstanden ist. Wir, wenn ich auf die Anfänge zurückblicke, als ein Großteil der Arbeit, die wir geleistet haben, die ersten Cyberangriffe nur noch die Verunstaltung von Websites waren, was jetzt als Unternehmen so kleinlich und leicht zu verkraften scheint, aber es ist wirklich zu einem Geschäftsmodell geworden. Ich habe, wissen Sie, die letzten 10 Jahre mit Ransomware gearbeitet, sowohl, Sie wissen schon, beim FBI als auch dann als Berater, und Sie müssen erkennen, dass hier immer noch Menschen dahinter stecken und ein Unternehmen führen. Und es ist dasselbe. Mein erster Auftrag, als ich zum FBI kam, habe ich in der extraterritorialen Abteilung gearbeitet, in der wir die außerterritoriale Zuständigkeit der FBI-Leute bearbeitet haben. Denke manchmal daran. Außerirdisch, aber es ist extraterritorial. Also draußen, außerhalb der Vereinigten Staaten, wo wir zuständig sind, also in Ländern, in denen Menschen ermordet oder entführt werden, und das FBI, die US-Regierung, ist zuständig, diese jetzt zu untersuchen, haben wir viele Entführungen durchgeführt, wissen Sie, gegen Lösegeld, viele von ihnen, wissen Sie, in Afrika, wo Sie wussten, welche Gruppe jemanden entführen würde, und Sie wussten genau, was sie wollten. Weißt du, sie verlangten 10 Millionen und du wusstest, du könntest dich mit fünf zufrieden geben und du kriegst die Leute unversehrt zurück, und nur weil du Intelligenz in dieser Gruppe hattest, würdest du das wiederholt, du weißt schon, Amerika-Touristen antun. Genau wie das, was heutzutage bei Ransomware passiert, passiert auch Ihnen eine Ransomware. Du gehst rein, du findest es heraus, okay, das ist, welche Gruppe es auch sein mag. Und weißt du, okay, ich habe mit all meinen Kollegen im FBI oder in den anderen Beratungsfirmen gesprochen, um das zu verstehen. Genau so werden sie operieren. Innerhalb von 24 Stunden werden sie die Folge-E-Mail senden. Sie werden damit drohen. Sie werden 10 Millionen verlangen. Folgendes zahlen andere Leute, wenn sie bezahlen. Das passiert. Wissen Sie, entweder sind sie fertig und klar, so klar wie Sie bei einer Ransomware sein können, oder dann bekommen Sie die sekundäre, Sie wissen schon, stellen Sie fest, dass wir jetzt, Sie wissen schon, wir haben Ihre Computer entsperrt. Aber jetzt, wenn Sie Ihre Daten vernichten wollen, so verstehen Sie den Kreislauf. Es ist also wirklich ein Geschäft, und Cyberkriminalität hat sich zu einem Geschäftsmodell entwickelt. Schauen Sie sich an, schauen Sie sich an, was Nordkorea, ich meine, Nordkorea durch geringfügige Cyberkriminalität Spenden sammelt, und so, so finanzieren sie ihr Land derzeit. Also, ich betrachte Cyberkriminalität wirklich als Geschäft, selbst in einigen der Stalkingfälle oder, du weißt schon, Exen, die, du weißt schon, schmutzige Fotos von ihren privaten Fotos von ihren, du weißt schon, Exen und dergleichen aufhängen. Es ist, es ist Rache, es ist Rache. Aber es steckt auch ein gewisses Maß an Geschäft dahinter. Sie versuchen, etwas aus dieser Person herauszuholen, egal ob es sie noch mehr frustriert oder, Sie wissen schon, möglicherweise dazu bringt, ihnen Geld zu zahlen. Also muss man es wirklich einfach als Geschäftsmodell betrachten, und das ist der beste Weg, dem irgendwie entgegenzuwirken.

Raghu Nandakumara 12:04

Das ist wirklich interessant, oder? Weil ich denke, dass man dann quasi in der Lage ist, das Geschäftsmodell zu replizieren, oder zumindest auf der Seite der Verteidiger, und irgendwie herauszufinden, wo es am besten platziert ist, um das Geschäft im Grunde kaputt zu machen, richtig, oder das zu behindern, was das Geschäft behindert, wie, wo in dieser Kette platzieren Sie Ihr Tun, legen Sie Ihren Fokus, um zu verhindern, dass sie produktiv sind? Gehen Sie das so an?

Brian Boetig 12:29

Das tue ich, und wenn man es vom Geschäftsmodell her betrachtet, ein Krimineller zu sein, ist es um einiges sicherer. Wenn Sie einbrechen würden, ich verwende dieses Beispiel ziemlich oft, wenn Sie in ein Lebensmittelgeschäft einbrechen würden, wissen Sie, in Großbritannien, Sie wissen schon, in ein Lebensmittelgeschäft im Test, wenn Sie Geld von Tesco in Großbritannien gestohlen haben, oder 711 uns. Du bist eingebrochen und hast entweder den Angestellten physisch beraubt, oder wenn sie nicht da waren, bist du in den Tresor gegangen und hast 50$ gestohlen, und eine Armee von Polizisten würde auftauchen, weil das für die Polizei sehr angenehm ist, und sie nehmen Fingerabdrücke, sie werden interviewen, sie werden ein Video machen. Aber wenn bei demselben Tesco, demselben 711 jemand eine halbe Million Dollar gestohlen hat, wissen Sie, an Cyberkriminalität, wissen Sie, aus einer Cyberperspektive, einbrechen und stehlen, könnten Sie die Polizei rufen, und in den meisten Ländern wird die Polizei ihre Hand heben und sagen, ich weiß nicht, was zu tun ist. Das ist, das ist was wir tun. Wenn Sie es sind, wenn Sie es sind, versuchen wir hier natürlich nicht, Kriminellen Ratschläge zu geben, aber Sie neigen viel eher dazu, in der physischen Welt erwischt zu werden als in der Cyberwelt. Es ist ein Job von zu Hause aus. Sie können es von Ihrem Computer aus tun. Die Herausforderung besteht also darin, dass Sie Menschen in der Cyberwelt schikanieren, die geografisch bedingt ist. In der physischen Welt musst du irgendwohin gehen und etwas tun, sodass dein Opferpool zur Welt wird, und nicht nur zu der Stadt oder Gemeinde, in der du lebst, oder du musst nicht reisen und irgendwohin gehen. Aus diesem Grund sehen Sie intelligente Organisationen, die traditionell in verbotenen Motorradbanden waren, und Sie haben gesehen, wie sie in die Cyberkriminalität übergehen. Weißt du, sie nehmen immer noch viel Drogen und viel Gewalt, aber sie machen auch Cyberkriminalität, weil es sicher ist und es dieses Geld eingebracht hat. Also einfach eine interessante Welt, die es zu tun gibt. Aber ich betrachte Cyberkriminalität immer zuerst als Geschäft, weil es einfacher zu verstehen ist, und dann versuche ich, Teile des Geschäfts auf diese Weise auseinanderzunehmen.

Raghu Nandakumara 14:21

Ja, ich stimme zu, und ich mag Ihre Analogie oder die Art und Weise, wie Sie gesagt haben, dass Cyberkriminalität das ultimative Geschäft für die Arbeit von zu Hause aus ist, oder? Sie können sehr, sehr weit von Ihrem, ich schätze, letztendlich, was Ihren Gewinn generieren wird, sehr sicher davor sein, aber behalten Sie es irgendwie, nehmen Sie es jeden Tag mit nach Hause, oder?

Brian Boetig 14:40

Ich war an einer Universität, einer Stadt und einem Bundesstaat, wissen Sie, Polizist, bevor ich zum FBI kam, und Sie konzentrieren sich wirklich auf Ihre Zuständigkeit. Wenn Sie also jemanden haben, der genauso ist, wissen Sie, im Vereinigten Königreich, wissen Sie, ist das Vereinigte Königreich mit nur 43 Behörden und ein bisschen mehr Koordination ein bisschen besser, aber Sie haben 17.000 Strafverfolgungsbehörden in den Vereinigten Staaten. Und. Und sie machen sich Sorgen über Dinge, die bluten und, weißt du, Dinge, die physisch aus den Häusern der Leute gestohlen werden. Und wenn es einmal irgendwo anders von einer Stadt in einen anderen Bundesstaat übergeht, würde es einfach die Ressourcen einer Polizeibehörde erschöpfen, um das tun zu können. Es gibt also nur diese dunkle Schattenseite der Cyberkriminalität, die nicht durchgesetzt wird. Und selbst die höheren Verbrechen erreichen manchmal nicht die Schwelle für eine strafrechtliche Verfolgung auf Bundesebene. Wenn Sie also die Analogien gestohlen haben, um sie zu nennen, wenn Sie, Sie wissen schon, 100 Pfund Marihuana an der US-Grenze gefunden haben, vielleicht in Montana oder Idaho, ist das ein großer Fall. Weißt du, wenn du die Grenzpolizei bist und 100 Pfund Marihuana bei jemandem an der Südgrenze findest, ist das wie eine Warnung, wie: „Hey, Leute, gießt das aus. Werde es los.“ Wissen Sie, es ist einfach jeder Bundesdistrikt und der Ort, an dem das Verbrechen passiert, und der damit verbundene Dollarwert treibt sozusagen die Staatsanwaltschaft an. Also, wissen Sie, Sie werden nicht in New York City, dem südlichen Bezirk von New York, wahrscheinlich nicht Wirtschaftskriminalität für 50.000 oder 100.000$ strafrechtlich verfolgen, sie haben wahrscheinlich eine Millionen-Dollar-Schwelle, bevor sie überhaupt einen Fall eröffnen, und dann, wenn Sie wissen, wo das sitzt, können Sie dort operieren und die Arbeit wirklich größtenteils ungestraft bekommen.

Raghu Nandakumara 16:18

Ja, mir hat wirklich gefallen, wie du das ausdrückst, oder? Wenn man aus einer Art von operiert, wenn man etwas ins Visier nimmt, das außerhalb dieses Zuständigkeitsbereichs liegt, entzieht man sich fast nicht der Strafverfolgung, aber die Kosten der Strafverfolgung, etwas dagegen zu unternehmen, werden einfach so viel höher, was bedeutet, dass man Dinge fast immer wieder tun kann, bis der Wendepunkt erreicht ist.

Brian Boetig 16:43

Sie sehen es physisch in Kalifornien, in Kalifornien, wo sie die Messlatte für das, wofür Sie verhaftet wurden, wegen Ladendiebstahls, Sie wissen schon, es waren 950$ oder alles andere darunter war nur ein Ticket, wissen Sie. Und so ging der Ladendiebstahl durch die Decke, weil alle sagten: „Nun, wir schaffen das. Sie werden nichts dagegen unternehmen.“ Das heißt, wir sind in der Cyberkriminalität. Es gibt nicht genug Leute, die etwas dagegen unternehmen.

Raghu Nandakumara 17:03

Also denkst du, so einfach, nur zu diesem Thema, dann richtig? Wir bekommen oft, ich werde oft danach gefragt, ich glaube, es passiert fast jeden Monat, es gibt einen anderen Artikel oder ein Journalist sagt: Oh, richtig. Also, okay, Ransomware, sollten Unternehmen zahlen oder sich weigern zu zahlen, richtig, und sollten sie mit einer Geldstrafe belegt werden, wenn sie zahlen? Aber sollten wir ein Gesetz verabschieden, das besagt, dass Ransomware niemals bezahlt werden darf? Ein Lösegeld muss gezahlt werden, oder? Wo sitzt du darauf?

Brian Boetig 17:33

Als ich beim FBI war, konnte ich nicht darauf sitzen, und ich durfte es nicht sagen, während wir an den Fällen arbeiteten. Ich durfte einem Unternehmen oder einer Organisation diese Anleitung nicht geben, sie mussten diese Entscheidung selbst treffen. Dann wechselte ich zur Cybersicherheitsberatung, und ich landete ziemlich oft an diesem Ort, und ich konnte auf den Sitzen sitzen und den CEOs und CFOs zuhören, die diese Entscheidungen getroffen haben. Es kommt wirklich individuell an. Ich glaube nicht, dass Sie pauschal sein können, denn wir hatten, wissen Sie, wir haben einen Fall bearbeitet, in dem eine Anwaltskanzlei Opfer einer Ransomware wurde, und wenn sie nicht bezahlt hätte, würde sie nicht mehr existieren. Richtig? Genau, ihre firmeneigenen Informationen, Informationen über Mandanten von Anwälten, wurden gestohlen, und so schadet es dem Ruf, dass sie veröffentlicht wurden. Abgesehen davon, dass sie keinen Zugriff auf ihre Daten hatten, konnten sie aus geschäftlicher Sicht einfach nicht ohne diese Rückseite existieren, und die einzige Möglichkeit, sie zurückzubekommen, war die Zahlung des Lösegeldes. Es gibt andere, die es besser gemacht haben, Backups zu haben und nicht. Eines der schlimmsten Dinge, die ein Unternehmen tun kann, ist einfach Daten zu speichern, von denen sie wissen, dass sie sie nicht mehr benötigen, und sie einfach zu speichern. Denn wenn Sie dann Opfer einer Art von Eindringlingen oder Ransomware werden, verfügen Sie über jahrzehntelange Daten, die Sie jetzt dafür verantwortlich sind, Millionen von Kunden zu benachrichtigen, die Sie nicht kennen sollten. Ihre Ex-Kunden, sie sind nirgends Ihre Kunden. Sie haben nichts mehr mit ihnen zu tun, aber jetzt sind sie Opfer eines Verbrechens, weil Sie es nicht losgeworden sind, aber Sie haben Unternehmen, die sehr gut darauf vorbereitet sind. Sie tun gut mit ihrer Datenverwaltung und bereinigen das, und wenn sie dann doch einmal von Ransomware betroffen sind, können sie sich selbst wiederherstellen und neu aufbauen und verlieren möglicherweise einen Arbeitstag, anstatt Ihrer Monate. Also habe ich gesessen und beide Seiten gesehen. Ich würde niemals sagen, dass du niemals das Lösegeld zahlen wirst. Und wenn ich auf das Beispiel von entführten Amerikanern zurückkomme, weißt du, an dem ich gearbeitet habe, erpresste manchmal Lösegeld. Weißt du, Lösegeld wurde gezahlt, weil du es auf 5.000$ herunterdrücken würdest, hey, nochmal 5.000$, dazu konnten wir immer noch keine Anleitung geben. Als Regierungsbeamter mussten die Leute ihre individuellen Entscheidungen darüber treffen, aber manchmal war das wirklich der beste Weg, um einen Vorfall zu lösen.

Raghu Nandakumara 19:47

Ich schätze, das Letzte zu diesem, diesem speziellen Punkt, ist, dass, dann dieses Gerede über das Inkrafttreten von Ransomware-Zahlungsverboten, ich denke, dass das wahrscheinlich nicht so produktiv ist, wie die Leute es annehmen, weil sie das Gefühl haben, dass es die Kriminellen abschrecken wird. Tatsächlich denke ich jedoch, dass es für Unternehmen schwieriger sein wird, eine differenzierte Position einzunehmen und das zu tun, was in ihrem besten Interesse ist.

Brian Boetig 20:13

Es wird ein wichtiges Instrument vom Tisch nehmen, und wenn, überraschenderweise. Im Rahmen einer Beratung habe ich herausgefunden, dass viele Menschen keine Strafverfolgungsbehörden einschalten wollen, wenn sie Opfer einer Ransomware werden. Also selbst die, die ich beim FBI gesehen habe, wusste ich von denen. Aber es gibt so viele, dass ich dort gearbeitet habe, wo keine Strafverfolgungsbehörden tätig waren. Das Unternehmen hat die strategische Entscheidung getroffen, es einfach alleine zu machen. Wenn Sie also diese Zahlung vom Tisch nehmen, könnten Sie möglicherweise jemanden doppelt schikanieren, der Opfer eines Opfers geworden ist, eine Geschäftsentscheidung getroffen hat und jetzt plötzlich wird er es sein, der erneut bestraft wird. Es nimmt also wirklich ein Geschäftstool vom Tisch. Du könntest einen Anreiz dafür schaffen. Und es gibt Möglichkeiten, das zu tun, um sicherzustellen, dass die Cyberversicherung eine Art wilder Westen ist, Sie wissen schon, von Zahlungen und wer bezahlt und wie sie zahlen, was Sie getan haben, bevor sie zahlen. Sie wissen also, Sie könnten Anreize für Zahlungen auf bestimmte Weise verringern. Aber ich weiß nicht, ob ich es geschafft habe, weißt du. Und noch einmal, wenn Ihr Kind entführt wurde und es von, Sie wissen schon, ISIS festgehalten wurde, und das sollten Sie als Amerikaner nicht, wir sollten ISIS kein Geld geben, wissen Sie, wenn der Weg, mein Kind zurückzubekommen, eine Zahlung wäre, und obwohl ich dann einer Terrororganisation materielle Unterstützung leisten würde, bekomme ich mein Kind zurück, wissen Sie. Ich weiß also nicht, ob es für Unternehmen besser sein wird, Optionen vom Tisch zu nehmen.

Raghu Nandakumara 21:43

Ja, nein, ich stimme zu, oder? Und ich denke, dass es diese Flexibilität geben muss, damit Unternehmen die beste und umsichtigste Entscheidung treffen können. Ansonsten haben sie wohl nicht die Waffenkammer oder die verfügbaren Optionen, um die Dinge vollständig zu durchdenken, oder? Und das ist es, und sie verfolgen möglicherweise einen suboptimalen Ansatz. Sie haben Cyber-Versicherungen angesprochen. Und Sie haben, Sie haben ziemlich viel über Versicherungen gesprochen und so, und das ist so eine Grauzone, oder, als Cybersicherheitsanbieter, oder? Es ist, es ist immer interessant, diese Gespräche zu führen, zum Beispiel, ob eine Kontrolle vorhanden ist? Treibt es die Cyberversicherung zum Erliegen? Um wie viel? Was ist die Verpflichtung des Versicherers in verschiedenen Szenarien, Auszahlungen usw.? Also, was ist Ihre Sicht auf Cyberversicherungen im Allgemeinen, den heutigen Markt, unabhängig davon, ob sie für Unternehmen von Vorteil sind, bieten sie den richtigen Versicherungsschutz? Das ist ein so umfangreiches Thema. Was sind deine Gedanken?

Brian Boetig 22:45

Es ist sehr mühsam und ich glaube, ich habe alles bemerkt, was ich dir gebe. Ich nehme es für eine Sekunde mit in die reale Welt. Also, ich habe zwei Fahrer im Teenageralter und einen Fahrer in ihren jungen Zwillingen, die in meiner Versicherung sind. Also meine Autoversicherung, falls sie fahren und einen Unfall haben. Es gibt sogar, wenn sie ihren Sicherheitsgurt nicht anlegen, was sie sollten, und ich hoffe, dass sie es tun. Die Versicherung deckt es irgendwie immer noch ab. Selbst wenn wir an einem Unfall schuld sind, ist er trotzdem versichert. Ich habe bei Cyberversicherungen festgestellt, dass es eine Anfangsphase gibt, in der viele Anbieter und Makler nachschauen, ob etwas nicht getan wurde, was wir verlangt haben? Jetzt müsste ich zurückgehen und meinen Cybercode lesen, aber meine Autoversicherungspolice, und da steht wahrscheinlich, dass Sie Ihren Sicherheitsgurt anlegen müssen. Sie sollten und sollten Ihren Sicherheitsgurt tragen. Aber die Cyberversicherung kommt rein, und ich habe bei einigen von ihnen herausgefunden, dass sie als Erstes versuchen herauszufinden, wie wir da rauskommen werden. Hatten Sie nicht etwas, das daran lag, dass die Kosten für eine Auszahlung auf einen Cyber so hoch sind, und dann ist es auch sehr begrenzt, was sie tun werden. Also werden sie jemanden hinzuziehen, aber sie werden dir nur helfen, entweder herauszufinden, was schief gelaufen ist, und diese spezielle Sache zu beheben, selbst wenn sie 10 andere Dinge falsch gefunden haben, oder sie werden dich wieder zum Laufen bringen, aber dann sind sie nicht, weißt du, Backup und Betrieb ist etwas anderes als wiederhergestellt, weißt du, und Resilienz, da gibt es normalerweise, du weißt schon, monatelange Reparaturen. Es deckt also einen begrenzten Teil ab, was hilfreich sein kann. Aber so oft haben wir einen Vorfall vier oder fünf Tage hinter uns und versuchen immer noch herauszufinden, ob Cyberversicherungen etwas zahlen werden oder wie sie das tun werden. Also, es ist ein sich entwickelnder, Sie wissen schon, Bereich, der einfach so teuer geworden ist, weil Sie ein Lösegeld von 3 Millionen $ auszahlen, wissen Sie, ist unser Lösegeld, außer dass es durch unsere Police abgedeckt ist? Nun, das sind sie, wenn du das getan hast. Ich finde also, dass die Richtlinien kompliziert sind und immer komplizierter und eingeschränkter werden und verlangen, dass Unternehmen, wissen Sie, wenn ich, wenn meine Kinder die Straße entlang fahren, einen Kotflügel bekommen, sie Ihren Sicherheitsgurt nicht anlegen, wäre das so, nun, tut mir leid, Sie müssten Ihren Sicherheitsgurt anlegen. Das haben Sie, Sie sprechen die medizinischen Kosten an und alles andere, also zahlen wir diese nicht. Oder, ja, du, du hast diese spezielle Verkehrsregel nicht befolgt. Nun, deswegen hatten wir einen Unfall. Also, ja, es ist einfach eine sehr komplizierte Welt, und ich denke, wenn Sie, wenn Sie jetzt eine Cyberversicherung haben und diese Police behalten können, würde ich sie behalten, weil ich nur garantieren kann, dass sie teurer wird.

Raghu Nandakumara 25:14

Ich meine, genau das, was Sie dort über die Komplexität von Cyberversicherungen in Bezug auf das, was sie tatsächlich abdecken, zum Ausdruck gebracht haben, und nur weil, wie wir alle wissen, richtig, die Zahl der Cybervorfälle buchstäblich täglich zunimmt. Und um das zu spüren, kaufen wir immer mehr Cyberversicherungen ab, aber ich denke, Ihre Kommentare deuten irgendwie darauf hin, dass ein Großteil dieser Investitionen in Cyberversicherungen uns wahrscheinlich nicht den Versicherungsschutz bietet, von dem wir glauben, dass er es tut. Was meiner Meinung nach besorgniserregend ist, denn ich denke, die Erwartung ist, dass ich wahrscheinlich auf dieser Ebene abgesichert bin, während Sie in Wirklichkeit hier abgesichert sind, was bedeutet, dass das eine riesige Lücke ist, die nur eine Person zahlt, und das ist nicht der Versicherer.

Brian Bötig 25:59

Es gibt viele Missverständnisse in Bezug auf Cyberversicherungen. Eine Sache, die wir als Berater getan haben, war, einen Cybervorfall und die Cyber-Versicherungspolice durchzugehen. Interessanterweise war es für das Unternehmen manchmal am schwierigsten, eine Police zu finden. Und das war der Zeitpunkt, an dem die Systeme noch nicht einmal alle mit einer Ransomware blockiert wurden. Weißt du, ich dachte, okay, wo ist die Cyber-Versicherungspolice. Ich weiß nicht, wer es hat, DC hat es. Nein, niemand kann es finden. Also nur das von der Seite eines Beraters, das war großartig, weil Sie ihnen vier Stunden in Rechnung stellen können, während sie nur versuchen, eine Police zu finden. Aber es dann herauszuziehen und zu versuchen, durchzugehen und zu verstehen, was abgedeckt ist und was nicht, war sehr, sehr kompliziert. Und dann gab es viele, viele Folgeanrufe, die Sie entgegennehmen mussten, und manchmal sogar der Makler, wissen Sie, „nun, wenn Sie dies oder das getan haben“. Es ist sehr kompliziert, und in den meisten Fällen, in denen Cyberversicherungen für Aufträge in Anspruch genommen wurden, bei denen ich als Berater tätig war, mussten sie am Ende jemanden einstellen oder aus eigener Tasche für zusätzliche Arbeit bezahlen, die nicht durch die Police abgedeckt war, um, wissen Sie, es gibt ihnen eine Reaktion auf Vorfälle, aber es deckt nicht unbedingt die gesamte Wiederherstellung und die Resilienz ab, die später Monate dauern. Für die Anwaltskanzlei, von der ich zuvor gesprochen habe, hatten sie keine Cyberversicherung, aber wir mussten am Ende ein völlig neues Netzwerk für sie aufbauen, während wir The Ransomware machen. Wir erstellen ein völlig neues Netzwerk, damit sie mit ihren Kunden kommunizieren konnten, und es war einfacher, das alte System einfach zu verschrotten und ein neues aufzubauen, aber das wäre nie durch eine Versicherungspolice abgedeckt worden.

Raghu Nandakumara 27:32

Das ist verrückt. Ich meine, das ist im wahrsten Sinne des Wortes das schlimmste Szenario für ein Unternehmen, in dem Ihre gesamte Infrastruktur buchstäblich wertlos ist, weil Sie einfach nichts vertrauen können, was Sie dort haben, und Sie müssen es von Grund auf neu aufbauen. Ich meine, das ist etwas, was du niemals tun musst, tun willst. Aber dann frage ich mich, weil es offensichtlich das ganze Konzept der Cyberversicherung gibt, und es ist so, die Frage ist, haben Sie als Organisation das? Ist es wie und es gibt offensichtlich, dass es nicht nur Teil Ihrer allgemeinen Versicherungspolice sein sollte. Sie benötigen eine spezielle Cyber-Versicherung, die den richtigen Versicherungsschutz bietet. Aber glauben Sie, dass wir dadurch wahrscheinlich untergehen, oder nehmen wir tatsächlich schlechte Angewohnheiten an? Und damit meine ich, dass wir versuchen, die Risiken, die wir in unserer Umwelt haben, zu mindern, richtig, und investieren in diese. Stattdessen konzentrieren wir uns viel mehr darauf, eine Cyber-Versicherung zu finden, die das Risiko dieser im Wesentlichen Sicherheitslücken, die wir nicht haben und die wir nicht behoben haben, im Wesentlichen akzeptiert oder einfach übertragen wird. Denken Sie, wir versuchen, das falsche Problem zu lösen?

Brian Bötig 28:45

Ja, denn eine Versicherung wird niemals die Lösung sein. Ja, genau wenn wir über Risiken sprechen, kannst du sie entweder akzeptieren, du kannst sie eliminieren, du kannst sie übertragen, und sie zu übertragen ist nichts für die meisten Unternehmen, mit denen ich zu tun hatte, du weißt schon, irgendein Fortune-500-Unternehmen, damit kannst du nicht umgehen. Und die meisten, Sie wissen schon, mittelständischen Unternehmen wollen dieses Risiko nicht einfach übertragen, weil Sie im Grunde sagen, ich bin bereit, mein Unternehmen aufzugeben. Ich hoffe, du zahlst es mir am Ende des Tages einfach aus. Es sollte ein Weckruf für die Investitionen sein, die in eine reguläre Routine umgewandelt werden müssen. Es ist die Infrastruktur, die Sicherheit und der Datenschutz, die regelmäßig innerhalb einer Organisation stattfinden. Das Problem ist, je besser Sie darin sind, desto unwahrscheinlicher ist es, dass Sie einen Vorfall haben. Und dann, ohne dass es zu einem Zwischenfall kommt, hast du kaum etwas vorzuweisen: „Oh, sieh mal, wovor ich dich gerettet habe.“ Es ist also, äh, es ist quasi dieses zweischneidige Schwert, aber in einer Welt, die so vernetzt ist, in der jedes Unternehmen irgendwie, Sie wissen schon, Verantwortung für die Mission und die Vision dieser Organisation trägt, kann man einfach nicht in sie investieren müssen. Sie müssen genauso viel in sie investieren, wie Sie in Ihre Belegschaft und Personalentwicklung investieren würden und. Ich schicke Leute zu verschiedenen Trainingseinheiten für Dinge, die Soft Skills sind. Schickst du Leute zu Führungstrainings oder schickst du ihnen andere Dinge vor, die keine technischen Fähigkeiten sind, nicht wie man eine Richtlinie schreibt oder wie man einen Motor repariert? Aber in einige dieser Soft Skills zu investieren, ist quasi das funktionale Äquivalent dazu, aus einer größeren Perspektive, von einer Organisation aus, in sie zu investieren.

Raghu Nandakumara 30:23

Und ich denke in diese Richtung, oder? Ich meine, Sie haben unter anderem über Dinge wie die Nationale Cybersicherheitsstrategie in den USA gesprochen. Und ich weiß, dass es in diesem Teil um interne Angelegenheiten geht, also darum, wie es den USA geht, und das sind der öffentliche und der private Sektor. Die Kontrollen und Verteidigungen werden stärker, oder? Also, wie sind solche Strategien? Wie kommen sie dann zu einer echten Hinrichtung, richtig? Wir sehen also gewissermaßen, dass sich dieser Schritt bei der Reduzierung des Cyberrisikos ändert.

Brian Bötig 30:57

Es ist wirklich auf der C-Suite-Ebene. Es muss von oben nach unten sein. Was lustig ist, als ich beim FBI war und in den Jahren 2012-13 die National Cyber Investigative Joint Task Force leitete, der 40 US-Behörden angehörten. Dann haben wir ein paar ausländische Agenturen mitgebracht und bei einer Vielzahl verschiedener Bedrohungen zusammengearbeitet, wobei wir uns hauptsächlich auf China, Russland und Nordkorea sowie auf einige andere, Sie wissen schon, einige andere Orte konzentriert haben. Aber früher haben wir ständig CEOs hinzugezogen, und es war irgendwie so, dass wir in dieser Zeit im Cyberbereich gerade anfingen, den privaten Sektor einzubeziehen. Und davor gingen wir zu einer Firma und sagten, hey, wir wollen Sie nur wissen lassen, dass Russland in Ihrem Netzwerk ist. Und sie würden sagen: Nun, was meinst du? Und sag: „Nun, mehr kann ich dir nicht sagen. Es ist alles geheim, aber nur damit du es weißt.“ Und da drüben hat es quasi Alarme ausgelöst. Und dann haben wir angefangen zu geben, wir haben den Prozess begonnen, für einen Tag Genehmigungen erteilen zu können. Wir bringen Leute rein und geben ihnen vertrauliche Briefings und sagen ausdrücklich: Das ist, was passiert. Dann haben wir angefangen, die Führungsebene zu informieren, um zu sagen, hey, wir haben erkannt, dass wir unsere Gelegenheit brauchen, um zu erfahren, was auf der Welt vor sich geht, dass der private Sektor, der Opfer vieler dieser Eingriffe und Probleme war, uns das zurückgeben kann. Sollen wir die C-Suite reinbringen? Und wieder, vor etwas mehr als einem Jahrzehnt, hatten einige dieser CEOs absolut keine Ahnung, dass das in ihrer IT-Abteilung vor sich ging. Zu dieser Zeit hieß es nur „Oh ja. Ich habe Ja. Meine IT sagt, ich habe es.“ Es war, es war Vertrauen, aber nicht vertrauen und verifizieren. Es war einfach „Oh ja, die IT“, war die Antwort auf alles, war der „IT-Typ, oh, der IT-Typ, der IT-Typ“. Aber sie konnten dir nicht sagen, wer der IT-Typ war. Obwohl er immer noch ein hochrangiges Mitglied der Organisation war, wurde er nicht in den Club aufgenommen. Also, ich habe diesen Wandel in den letzten zwölf Jahren miterlebt, in dem sich die C-Suite viel stärker mit Cybersicherheit befasst. Nun, erstens, weil sie es müssen, weil es durch die SEC und andere Leute reguliert wird. Also, ich denke, das wäre ein Beispiel für eine gute staatliche Intervention oder eine regulatorische Lösung eines Problems, weil ich mich erinnere, dass ich wieder viele dieser Fortune-500-Unternehmen hinzugezogen habe, und die CSOs hatten einfach wirklich keine Ahnung. Also ich denke, wir, ich glaube, wir haben, ich glaube, wir haben eine Art von Cyberabwehr, weißt du, es ist, als hätten sie keine Ahnung. Aber jetzt sehen Sie, es gibt einen ganzen Markt von Beratern, die rausgehen und einfach die C-Suiten kurz informieren und die Leute auf dem Laufenden halten, Sie wissen schon, Cyber-affin, ich schätze, auf C-Suite-Ebene. Aber wenn auf der Führungsebene nicht daran geglaubt wird, wird sich nie darum kümmern. Eine Organisation wird sich nie darum kümmern. Sie können es nicht erhöhen, weil es kein, es ist kein, es ist ein Umsatzgenerator, ja, aber es ist ein versteckter, indirekter Umsatzgenerator.

Raghu Nandakumara 33:45

Ja, ja, absolut, ja. Und ich stimme zu, oder? Und ich denke, dass dieser Wandel in der Art von Cyberwesen hin zu einem Begriff, der zu oft verwendet wird, ein Anliegen auf Vorstandsebene, und nicht nur ein Problem der IT-Funktion, meiner Meinung nach, erhebliche Auswirkungen hatte, aber ich denke, wir sind es auch, wenn ich das aus einer anderen Perspektive betrachte, der Sicherheitsleiter, der CSO, der CSO, der CSO, unabhängig von ihrem Titel, eines der Dinge, über die sie sich Sorgen machen, ist, dass Sicherheit oft eine Funktion, die nicht unbedingt unter einem Mangel an Budget leidet, oder? Aber worunter es leidet, ist, woher weiß ich, dass das Budget, das Sie verwenden, das mit Ihrer Investition, zu einer echten Reduzierung der Bedrohung oder des Risikos eines Angriffs führt, oder? Weil wir alle möglichen Grafiken sehen, oder? Wenn Sie die neueste Umfrage zur Cyberlandschaft aufrufen, sehen Sie zwei gerade Linien, oder? Eine davon ist eine Investition in Cyber, oder? Nett oder wie ein nettes, quasi exponentielles Wachstumschart und dann die Kosten von Cyberangriffen, oder? Ist auch ein nettes Wachstumschart, oder? Also, wann tut es. Diese Änderung. Wann beginnen die Cyberinvestitionen, die zu Kosten für Cyber-Flatlining führen?

Brian Boetig 35:07

Ich denke, es gibt eine Voraussetzung, um wirklich ein Unternehmensrisiko einzugehen. Wissen Sie, das Strategiemanagement für Sie muss Cyber zusammen mit allen anderen Risiken eines Unternehmens berücksichtigen. Auf diese Weise müssen sich alle Unternehmensleiter, also auch diejenigen, die unabhängig vom Marketing, der Lieferung oder der Lieferkette oder was auch immer das Unternehmen tun muss, wirklich unternehmensweit damit befassen. Auf diese Weise wissen Sie, dass Sie bei der Bewertung von Risiken feststellen werden, dass die IT alles beeinflusst. Weißt du, wenn du die Personalabteilung leitest und für alles verantwortlich bist, von der Rekrutierung bis zur Pensionierung, also von der Wiege zur Wiege bis zur Bahre. Personalabteilung, es gibt so viele HR-Funktionen, die IT-Risiken bergen, aber die IT-Leute können das nicht, der CISO kann nicht das ganze Risiko übernehmen. Die Personalabteilung muss dieses Risiko tragen. Sie müssen sagen: „Oh, wir stellen hier falsche nordkoreanische Remote-Mitarbeiter ein, und wir dachten, sie wären alle, Sie wissen schon, in Indien ansässig.“ Weißt du, das ist, das ist ein Personalproblem. Das birgt jedoch ein IT-Risiko. Oder der Finanzvorstand, der, Sie wissen schon, outsourct und vielleicht für Verträge verantwortlich ist und feststellt, dass wir, Sie wissen schon, hinters Licht geführt wurden. Schauen Sie sich das also von einem Unternehmen aus an und lassen Sie den CISO sagen: „Hey, ich bin nicht der Eigentümer dieses Risikos. Ich bin hier, um Ihr Berater zu sein und Ihnen bei all diesen Risiken zu helfen. „Anstatt es zu einer einzigen oberflächlichen Funktion zu machen, dass Sie für alles IT verantwortlich sind, alles in einer Organisation. Ist die IT, egal ob es um Personal oder Finanzen geht, aber aus der Perspektive der Unternehmensrisikostrategie betrachtet, denke ich, die einzige Möglichkeit, viele dieser Risiken einzugehen, die wir einfach Risiko nennen, weil es wirklich kein IT-Risiko ist, das ist ein Personalrisiko, oder das ist ein finanzielles Risiko, oder das ist ein Lieferkettenrisiko, das nicht meins als CISO ist, nur weil es Nullen und Einsen und Drähte hat, ist dein Risiko. Ich bin hier, um Ihnen bei der Bewältigung dieses Risikos zu helfen, aber nicht die gesamte Last und Verantwortung auf den CISO abzuwälzen.

Raghu Nandakumara 37:17

Ich denke, das ist ein gutes Argument, denn ich denke, auch hier denke ich, dass das, was Sie hier beschreiben, nur eine Art Weiterentwicklung der Unternehmensperspektive ist, oder? So wie diese Art von Entwicklung, bei der Sicherheit mehr als nur ein IT-Problem ist, müssen wir auch Cyberrisiken viel ganzheitlicher als Kernbestandteil des Unternehmensrisikos betrachten und wie Cyberrisiken zu diesen anderen Dingen führen, sodass nichts in der Wirkung isoliert ist.

Brian Bötig 37:46

Ja, als ich das FBI-Büro in Buffalo, New York, leitete, und das tat ich, jeden Montagmorgen, hatte ich meine gesamte Führung dort. Es waren also ungefähr 40 Leute im Raum, und wir gingen herum und diskutierten verschiedene Themen. Und es war wie, du warst in einem Saturday Night Live-Skip, weil du herumgehst und der Typ, der über Terrorismusbekämpfung gesprochen hat, und dann hat die Person über kriminelle und dann Spionageabwehr gesprochen und du hast die Person für öffentliche Angelegenheiten und dann kamst du zum Saturday Night Live, dem IT-Typ. Und man könnte fast sehen, wie jeder seinen Kopf senkt und anfängt, sich Notizen zu machen, etwa so, weißt du, wann er über etwas so Technisches sprechen wird, und mir ist das egal. Wenn unsere IT nicht funktionierte, wurden die Leute nicht bezahlt, weil sie ihre Zeit nicht investieren konnten. Ja, du konntest die Autos nicht reparieren, weil du weißt, du musstest dein Auto über eine App planen, und der IT-Typ war der wichtigste Typ im Raum, und die Leute erkannten einfach nicht, dass ihr ganzer Job, ihre gesamte Funktion darauf beruhte, dass sie ihre Finger auf eine Tastatur schlagen und etwas tun konnten. Egal, ob es darum geht, Informationen über, Sie wissen schon, im Dark Web nach unserem Analysten zu suchen, aber Sie könnten es fast, Sie wissen schon, Sie würden es sehen. Jeder würde sich dann, wissen Sie, diese Zeit nehmen, um, Sie wissen schon, seine Sitze und alles andere neu anzuordnen, aber zu erkennen, dass seine Funktion alles andere in der Organisation unterstützt, erhöht wirklich die Bedeutung dessen, was diese Person tut. Und das Risiko, dass etwas schief geht, ist es wirklich seins? Ich meine, wenn die Computer ausfallen, ja, er ist der Typ. Er wird angeschrien werden, aber die Autos werden nicht repariert, die Fälle werden nicht bearbeitet und die Leute werden nicht bezahlt.

Raghu Nandakumara 39:17

Ja, ja, absolut. Und tatsächlich, richtig, wenn wir über eine Art von Risiko und Risikomanagement sprechen. Es gibt tatsächlich etwas Interessantes. Sie haben es erst vor ein paar Tagen aus Ihrer Zeit in London auf LinkedIn gepostet. Und das war quasi kurz nach der Tragödie im Grenfell Tower, einer der großen menschlichen Tragödien hier. Und um Sie oder Ihr LinkedIn zu zitieren, sagten Sie: „Als ich auf dem Weg zu einer Veranstaltung draußen am Grenfell Tower in London vorbeifuhr, wurde ich Zeuge eines schrecklichen Infernos, das auf tragische Weise viele Menschenleben forderte, und dieses verheerende Ereignis war das Ergebnis mehrerer Misserfolge, die auf der Annahme beruhten, dass Worst-Case-Szenarien bloße Unwahrscheinlichkeiten sind. Als Risikomanagement-Experten in der Sicherheitsbranche sind wir dafür verantwortlich, erkenne das bis zu einem gewissen Grad an. Maßnahmen zur Eindämmung sind von entscheidender Bedeutung, auch wenn die Wahrscheinlichkeit einer Katastrophe gering erscheint.“ Und ich denke, und der Grund, warum ich das zitiere, ist, weil ich denke, dass das so wichtig ist, wenn wir Cyberrisiken und Cyberangriffe anwenden, weil ich denke, dass die Wahrscheinlichkeit eines erfolgreichen Angriffs gering ist, aber nicht Null. Und die Herausforderung, vor der wir stehen, besteht darin, dass wir uns so sehr bemüht haben, zu verhindern, zu verhindern, dass wir nicht richtig darauf vorbereitet sind, wenn diese Prävention versagt. Und wenn es scheitert, scheitert es in großem Umfang, weshalb wir viel mehr in die Minderung investieren müssen, in die Art und Weise, wie wir die Auswirkungen eindämmen können? Richtig? Ist das deine Perspektive?

Brian Bötig 40:53

Ist es. Ich nehme Sie mit zu den beiden schockierendsten Vorfällen in meiner Karriere als Strafverfolgungsbeamter, die mein Gewissen wirklich schockiert haben, die unglaublich waren. Es war 1995 der Bombenanschlag auf Oklahoma City. Ich war zu der Zeit Polizist in Alabama, aber ich erinnere mich, dass ich die Nachrichten einschaltete und mir nur das Gebäude ansah und einfach nicht dachte, dass das überhaupt möglich wäre. Und dann, weißt du, 9/11, weißt du, ich war zu der Zeit in DC, ich sah, wie das erste Flugzeug den Turm traf, es war eine schreckliche Tragödie. Schlimmer Unfall dort. Dann schlug der andere zu. Ich wusste, okay, das ist schlimm. Und dann war ich Ersthelfer im Pentagon. Aber das hat mein Gewissen wirklich nur schockiert. Daran habe ich nicht gedacht, die Möglichkeit, dass das jemals passieren könnte. Ich meine, das ist es, wovon du sprichst, winzige Möglichkeiten. Jetzt bin ich irgendwie auf alles vorbereitet, was Sie sich in der Versicherungs- und Gesundheitsbranche ansehen. Wir hatten gerade den Mord an einem CEO, an die Hinrichtung, wissen Sie, daran wurde wahrscheinlich nicht gedacht. Das war eine dieser winzigen Möglichkeiten, dass das passiert, und es ist passiert, und jetzt ändert es das Verhalten. Wir haben es den Leuten wieder erzählt, zurück zu meiner Zeit, als wir CEOs informiert haben. Es war, ich habe versucht, es irgendwie humorvoll zu machen, fast wie ein AA-Treffen, bei dem ich sie sagen ließ: „Es ist okay, Opfer eines Cyberangriffs zu werden. Es ist in Ordnung, Opfer eines Cyberangriffs zu werden.“ Weil das quasi der Standard war, oh, wir waren noch nie, wissen Sie, das ist, nochmal, die Entwicklung dessen, was im Bereich Cyberkriminalität geschah, und die Anerkennung war, dass wir nie, wir können nicht das Opfer sein, weil wir nicht das Opfer irgendwelcher Art von Angriff sein können. Sie würden also sagen, dass wir nicht das Opfer sein können. Und so viele Unternehmen waren es, und dann ging ich mit ihnen ins Hinterzimmer und sagte, hey, nun, wir zeigen dir, wo wir das sehen. Wissen Sie, China richtet Pop-Points in Ihrem Netzwerk ein. Oh mein Gott. Es ist also in Ordnung, Opfer eines Cyberangriffs zu werden. Es ist nicht in Ordnung, nicht darauf vorbereitet zu sein, diesen abzuwehren und darauf zu reagieren. Also jedes Unternehmen, ich meine Sie, jedes einzelne Unternehmen war Opfer eines Cyberangriffs, ob sie es wissen oder nicht, und das ist es nicht, es war früher irgendwie ein Makel für Ihren Ruf. Jetzt ist es okay, dass sie Opfer eines Cyberangriffs geworden sind, aber sie haben 10 Jahre lang Daten aufbewahrt, oder sie haben keine Kundendaten verloren oder sie wurden ordnungsgemäß verschlüsselt. Also, wenn du es schaffst, hier bin ich, ich bin 30, du weißt schon, 32, 32-jähriger Typ mit einer Waffe. Ich kann immer noch Opfer eines Verbrechens werden, wenn ich die Straße entlang gehe. Nun, wie ich darauf reagiere, würde diktieren, wissen Sie, wenn ich auf den Boden falle und einfach anfange, Sie wissen schon, die Position des Fötus einzunehmen, anfangen zu weinen, wissen Sie, das ist sozusagen das eine Ende. Aber weißt du, jemand hat mir eine Pistole ins Gesicht gehalten, und ich habe keine Waffe, um darauf zu antworten, dann gebe ich meine Brieftasche. Ich gebe ihnen, was sie wollen. Ich gehe. Ich bin am Leben. Ich gewinne. Ich kann dann meine Kreditkarten, meinen Führerschein und alles andere zurückerhalten. Also, wie reagieren Sie auf diesen Angriff? Aber ein Opfer zu sein, war früher ein Makel für Ihren Ruf, oder zumindest dachten die Leute das. Also einfach zu erkennen, dass du es sein kannst, aber wie du auf dieses Ereignis reagierst, wird bestimmen, wie die Leute dich ansehen.

Raghu Nandakumara 43:51

Ja, ich denke, das ist brillant in Ordnung gebracht, und ich denke, das ist sehr viel, worüber wir sprechen, quasi ein Zero-Trust-Konzept, um zu informieren, wie Sie Ihre Cybersicherheitsabwehr aufbauen. Und noch einmal, ich denke, das ist auch darin verwurzelt, oder? Es ist darauf zurückzuführen, dass der Angreifer einen Weg findet, in die Umgebung Ihres Unternehmens einzudringen, oder? Also ein Zero Trust, bei der Einführung von Zero Trust geht es darum, wie wir sicherstellen, dass sie sich dann nicht frei bewegen und auf Dinge zugreifen können, oder? Sind wir darauf vorbereitet, dass jemand ein Eindringling ist, sich in unserer Umgebung aufhält und einschränken kann, was er tun kann? Und ich denke auch, dass das ganze, etwa das zunehmende Streben nach Cyber-Resilienz, das wir beobachten, in Wirklichkeit quasi vom Weltwirtschaftsforum abwärts getrieben wird, oder? Auch hier stimmt sehr viel damit überein, dass es absolut okay ist. Tatsächlich werden Sie wahrscheinlich Opfer eines Cyberangriffs werden, aber Sie können absolut nicht sagen, dass Sie nicht bereit sind, damit umzugehen. Ich denke, die Aussage, Brian, die du gegeben hast, ist super stark. Also, schätze das sehr. Und eigentlich der Punkt vor uns. Lassen Sie mich zusammenfassen, es gibt eine Sache, die ich Sie fragen möchte, Sie haben extraterritorial erwähnt, aber Sie hatten einen Versprecher und haben Außerirdisch erwähnt. Also, was ist wirklich in Area 51?

Brian Bötig 45:13

Nun, ich kannte den Sheriff, der dort gearbeitet hat. Ja, es war tatsächlich einer der Schüler, eine der Klassen. Es ist lustig, weil es diese Sendung gab, an die Sie sich vielleicht erinnern, namens The X Files, und das wird sie wahrscheinlich sein, sie wird wahrscheinlich hin und her regeneriert werden. Das FBI hatte, sie haben keine X-Akten. Es gibt keine X-Dateien. Sie haben keine Dateien, wohin du sie sendest. Manchmal wird sie auch als Runddatei oder Papierkorb bezeichnet. Aber alles, was reinkommt, wird aufgenommen und gespeichert. Und es gab, ich bin einmal auf einen Vorfall gestoßen, bei dem jemand berichtete, er habe etwas Außerirdisches gesehen. Weil sie es getan haben, haben wir es aufgeschrieben und in eine Datei mit Null geschrieben, und dann drehte sich die Person um und reichte eine Anfrage nach dem Freedom of Information Act ein, um zu sehen, ob wir irgendwelche Informationen darüber hatten. Und weil wir es in die Nulldatei geschrieben haben, gab es eine und dann bestätigte das seine eigene Besorgnis. Er sagte: „Oh, sie haben Informationen darüber“, aber es waren nur seine Informationen. Dann würden wir es mir zurückgeben und sagen, Oh, du musst mehr haben. Aber weil er dem Sprecher Informationen zur Verfügung gestellt hatte, gab es jetzt mehr wegen der Anfrage, die eingegangen war. Es war also nur diese zirkuläre Berichterstattung. Und der Typ würde sagen, nein, sie haben, ja, sie haben Informationen dazu. Nun, es ist genau ja, also es ist lustig, wie sich das irgendwie abspielt. Aber in der heutigen Welt der unbemannten Luftflugzeuge und was Sie über New Jersey gesehen haben oder darüber berichtet wurde, gibt es und, Sie wissen schon, die Gründung der Space Force in den USA, Sie wissen schon, die Gelegenheit, viel mehr zu erfahren und zu sehen, was passieren wird. Weißt du, wir haben über die, ich habe viel über die physische Welt im Cyberspace gesprochen, aber es gibt eine Welt über dem Boden und über den Gebäuden, die, wenn du dir Uber und andere Unternehmen ansiehst, du weißt schon, anfangen, fliegende, du weißt schon, herumfliegende, du weißt schon, Menschen von Ort zu Ort zu beobachten. Es ist also, es ist eine ganz neue Welt, die wieder in die Lanze dessen eindringt, was ich über Oklahoma City und den 11. September gesprochen habe, irgendwie schockierend für das Bewusstsein, als Sie das erste Mal jemanden sehen, Sie wissen schon, meine Tochter ist vom Flughafen abgesetzt, wissen Sie, und in einer fliegenden Drohne, die hier vor der Tür steht. Ich meine, wir sind nicht, wir sind nicht zu weit von solchen Dingen entfernt.

Raghu Nandakumara 47:16

Absolut, nun, Brian, es war mir eine Freude, mit dir zu sprechen, um von deinen Erfahrungen zu hören, dass du uns die amüsanteste Geschichte erzählt hast, die wir im Podcast hatten. Aber darüber hinaus gibt es einfach so viele wirklich aufschlussreiche Perspektiven zu Cyberversicherungen, zur Minderung von Cyberrisiken, zum Aufbau von Widerstandsfähigkeit und dazu, wie wir über Angreifer denken. Vielen Dank für deine Zeit.

Brian Bötig 47:43

Nun, vielen Dank für die Gelegenheit und vielen Dank für das, was Sie tun, um sicherzustellen, dass andere Menschen über die bestmöglichen Informationen verfügen, um die bestmöglichen Entscheidungen für sich und ihr Unternehmen zu treffen. Also danke.

Raghu Nandakumara 47:53

Vielen Dank, Brian. Vielen Dank, dass Sie sich die dieswöchige Folge von The Segment für noch mehr Informationen und Zero-Trust-Ressourcen angesehen haben. Besuchen Sie unsere Website unter illumio.com. Sie können sich auch auf LinkedIn und Twitter unter Illumio mit uns in Verbindung setzen. Wenn Ihnen das heutige Gespräch gefällt, finden Sie unsere anderen Folgen überall dort, wo Sie Ihre Podcasts abrufen. Ich bin dein Gastgeber, Raghu Nandakumara, und wir werden bald zurück sein.

‍