Podcast
    Bedrohungsanalyse

    Get Cyber Resilient Ep 116 | BlackBerrys Schwenk in den Cyber-Bereich mit Shishir Singh, Executive VP und CTO bei BlackBerry Cyber Security

    In der aktuellen Folge spricht Gar mit Shishir Singh, Executive VP und CTO bei BlackBerry Cyber Security.

    CR_podcast_Shishir_Singh.png

    Shishir ist ein weltweit anerkannter Cybersecurity-Experte mit einer über 30-jährigen Karriere.

    In diesem Gespräch sprechen wir über BlackBerrys Einstieg in die Bereiche Cyber, IOT und den Schutz von EVs. Anschließend besprechen wir die Ergebnisse des BlackBerry-Bedrohungsberichts 2022, einschließlich der Schwachstellen, mit denen KMUs konfrontiert sind.

     

    Die Get Cyber Resilient Show Episode #116 Transkript

    Garrett O'Hara: Willkommen zum Get Cyber Resilient Podcast. Ich bin Garrett O'Hara. Shishir Singh ist ein weltweit anerkannter Cybersecurity-Experte, der auf eine über 30-jährige Karriere zurückblicken kann und zuvor bei McAfee, Intel und Cisco tätig war. Heute ist er Executive VP und CTO bei BlackBerry Cybersecurity. In dieser Folge sprechen wir mit ihm über BlackBerrys Schwenk in Richtung Cyberspace, IOT und den Schutz von Elektrofahrzeugen. Wir sprachen über die jüngsten Untersuchungen zur Cyber-Versicherung des BlackBerry-Bedrohungsberichts für 2022 und über Beobachtungen für KMUs.

    Wir hatten einige Probleme mit der Aufnahmequalität und der Internetverbindung, daher bitte ich um Entschuldigung für die Aussetzer, die ihr hören werdet. Es liegt nicht an Ihnen, es liegt an uns. Zurück zum Gespräch. Willkommen zum Get Cyber Resilient Podcast. Ich bin Garret O'Hara, und heute ist Shishir Singh bei mir. Er ist Executive VP und CTO bei BlackBerry Cybersecurity. Herzlich willkommen zu unserem heutigen Podcast.

     Ich danke Ihnen vielmals

    Shishir Singh: Garret, dass ich dabei sein darf.

    Garrett O'Hara: Es ist mir ein Vergnügen, Sie hier zu haben. Und ich habe gehört, dass Sie Australien besuchen, also hatten wir Glück, dass Sie hier waren. Danke, dass Sie sich die Zeit genommen haben

    Shishir Singh: aus.

     (lacht) Ja, danke. Ich danke Ihnen für die Einladung.

    Garrett O'Hara:

    Es wäre schön, wenn wir Sie den Zuhörern vorstellen könnten, um ein Gefühl dafür zu bekommen, wie Sie zu der Position gekommen sind, die Sie heute bei BlackBerry als Executive VP und CTO innehaben.

    Shishir Singh: Ja, ja. Ich bin im Januar 2022 zu BlackBerry gekommen und habe BlackBerry von McAfee und aus der Zeit der Cybersicherheit beobachtet. Und das Unternehmen hatte schon lange vor diesem Moment auf IOT-Software umgestellt. Aber ich habe, wie gesagt, diesen Wandel während meiner beruflichen Laufbahn mit großem Interesse beobachtet, oder? Und das ist eine Marke, die uns allen sehr, sehr am Herzen liegt, wie ich finde. Wir wissen das, und ich würde sagen, dass dies wahrscheinlich eine der am meisten unterschätzten Marken im Bereich Cybersicherheit und IOT ist.

    Und das ist vielleicht eines der Dinge, die mich am meisten gereizt haben, in dieses Unternehmen zu kommen. Und, wissen Sie, ich bin von McAfee [inaudible 00:02:11] dazugekommen, wie BlackBerrys fast 40 Jahre Sicherheit und Datenschutz erfolgreich mit den KI- und maschinellen Lernfähigkeiten von Cylance integriert wurde, das 2018 übernommen wurde, wie Sie wahrscheinlich wissen. Und das ist wirklich spannend, denn jetzt bin ich dafür verantwortlich, die Strategie der BlackBerry Cybersecurity-Abteilung voranzutreiben und zu entscheiden, was wir als nächstes tun. Ich denke, es wird von uns allen abhängen, wie wir die Sache vorantreiben können.

     Ja, ja,

    Garrett O'Hara: Absolut. Das ist ein guter Einstieg in das heutige Gespräch, Shishir, denn ich weiß, dass der Übergang von Smartphones zur Cybersicherheit sehr interessant war, und für viele von uns, zu denen ich gehöre, ist das auch so. Ich erinnere mich sehr gerne an BlackBerry-Geräte, die ich viele Jahre lang zur Kommunikation genutzt habe. Und ich weiß, dass dieses Jahr, eigentlich erst dieses Jahr war, oder? Dass Sie die Infrastruktur und die Software, die das BlackBerry-Telefonbetriebssystem unterstützten, außer Betrieb genommen haben.

    Es ist also noch gar nicht so lange her, dass das wirklich verschwunden ist. Es wäre schön, ein Gefühl dafür zu bekommen, wie und warum BlackBerry diesen Übergang zur Cybersicherheit vollzogen hat.

    Shishir Singh: Nein, absolut. Ich meine, wenn man sich die Ankündigung unseres CEO John Chen über das Ende der Lebensdauer von BlackBerry-Geräten ansieht, dann hat sich das vielleicht für viele von uns so angefühlt, ich meine, viele von uns, wie wir gerade darüber gesprochen haben, dass "Hey, wir haben diese Smartphones benutzt, wir sind wirklich verliebt in dieses Ding." Dies war die erste sichere E-Mail-Plattform für Unternehmen, die uns allen als Gerät zur Verfügung gestellt wurde. Aber diese Ankündigung könnte erst der Anfang für Millionen von Kunden sein, die wir bereits bedienen, von Bundesbehörden bis hin zu kleinen Unternehmen.

    Ich weiß nicht, ob Sie es wissen, aber BlackBerry schützt heute über eine halbe Milliarde vernetzte Endgeräte, und seine Software ist in über 215 Millionen Fahrzeugen installiert. Und ich spreche mit so vielen Menschen, die eine Geschichte über ihren ersten BlackBerry haben und wie sie dem Informationsaustausch mit diesem Gerät vertraut haben. Ich meine, was die Produktivität angeht, sagen einige, sie könnten E-Mails unter dem Schreibtisch schreiben, während sie sich mit jemandem unterhalten, weil die Tastatur so ikonisch ist, das kennen wir alle.

    Das war eine der wichtigsten Neuerungen der gesamten Plattform. Aber das Vertrauen, die Mobilität, die Sicherheit und der Schutz der Privatsphäre sind mit dem Gerät verbunden, aber es ist auch das Unternehmen, das all diese Vorteile in der Software nutzt. Denken Sie also daran, dass wir von einem physischen Gerät zu einer digitalen Transformation übergegangen sind. Wir oder die Menschen sehen das vielleicht nicht in der physischen Form oder haben das Gerät nicht, aber es ist alles um uns herum vorhanden.

    BlackBerry ist heute mehr Teil des Lebens der Menschen als früher, sie sehen es nur nicht in einer physischen Form, wie ich schon sagte. Richtig? Das Auto, das Sie fahren, der Laptop oder das Telefon, das Sie bei der Arbeit benutzen, oder sogar Ihr Energieversorger oder vielleicht die angeschlossenen Sonnenkollektoren, die wir alle auf unseren Häusern haben. BlackBerry ist überall um uns herum. Um also Ihre Frage zu beantworten: Warum haben wir es umgestellt? Das war vor meiner Zeit, ich kenne also nicht alle Zusammenhänge, aber die Wettbewerbslandschaft änderte sich offensichtlich Anfang der 2000er Jahre mit der Einführung des iPhone.

     Mm-hmm.

     Und, wissen Sie, das ist alles dokumentiert, weil das meiste von den Unternehmen zu den Verbrauchern und so weiter verlagert wurde. Es ist also interessant, aber ich würde sagen, dass der Vermögenswert, das IP, die gesamte sichere Konnektivität, die Infrastruktur, die eine Art BlackBerry-DNA ist, immer noch bei uns verbleibt.

     Mm-hmm.

     Und wir werden dies sowohl aus der Sicht der IOT-Geräte als auch aus der Sicht der Cybersicherheit einsetzen. Und das sind die beiden Geschäfte, die wir derzeit bei BlackBerry haben, wie wir sie betreiben, und beide sind fantastisch. Wenn man sich die Synergieeffekte ansieht, wie diese ganze KI-E-Mail in beiden Landschaften genutzt werden kann, ist das sehr interessant.

    Garrett O'Hara: faszinierend.

     Ja, auf jeden Fall. Es wäre gut, ein Gefühl dafür zu bekommen. Ich meine, dieser Übergang hat offensichtlich stattgefunden. Gab es irgendwelche Erkenntnisse, die BlackBerry aus der Welt der Smartphones in die Welt der IOT mitgenommen hat, und zwar als eine Art Übergang

    Shishir Singh: passiert?

     Ich meine, ich würde sagen, vom Standpunkt des Lernens aus gesehen, wie ich schon gesagt habe, ist der große Teil davon, die ganze Konnektivität, ich denke, das ist eine, sagen wir, und wir haben das als Teil der KI integriert, die wir 2018 erworben haben. Das Unternehmen Cylance.

     Mm-hmm.

     Und die Absicht war, dass wir viele dieser Dinge nutzen können, um die Sicherheit auf ein Niveau zu heben, das wir bei der digitalen Transformation, im Zusammenhang mit der Einführung der Cloud und all dem nutzen können. Ich würde also sagen, dass die DNA als Teil unserer BlackBerry-Produktreihe und des Portfolios, das wir jetzt führen, definitiv überall bleibt.

    Garrett O'Hara: Jepp. Ja, auf jeden Fall. Und sehen Sie, ein Teil dieses Übergangs ist natürlich, dass Sie eine enorme Präsenz in der Automobilindustrie und insbesondere im Bereich der Elektrofahrzeuge haben, die immer beliebter werden. Es ist klar, dass Elektroautos eine wichtige Rolle für die zukünftige Gesundheit der Anlage spielen, aber man muss auch darüber nachdenken, wie man die Versorgungskette eines Landes schützen kann, wenn man eine Verteilung nutzt, die mit erneuerbaren Energien und Elektroautos betrieben wird, usw.

    Da Elektrofahrzeuge eine immer größere Rolle in der Lieferkette und im physischen Vertrieb spielen, wäre es gut, ein Gefühl dafür zu bekommen, wie Sie das Risiko einschätzen, wenn es um den Schutz von Elektrofahrzeugen geht.

    Shishir Singh: Nein, das ist wirklich eine gute Frage. Und ich weiß nicht, ob Sie es wissen, aber wir alle wissen, dass BV mit 50 Automobilherstellern zusammenarbeitet. Wir arbeiten mit 24 von 25 EV-Herstellern zusammen, und sie alle verlassen sich auf BlackBerry-Software für ein breites Spektrum kritischer Systeme, für die Fahrzeuge von heute und für die nächste Generation softwaredefinierter Fahrzeuge der Zukunft, die wir IBY nennen. Dies ist eine Plattform, die wir in der Cloud bereitstellen. Abgesehen davon ist es interessant, dass es bei jeder Software auch Schwachstellen gibt, oder?

    Und wir müssen sicherstellen, dass wir einige dieser Software, die auf diese Weise verwendet wird, auf die gleiche Weise schützen, da sie eher wie ein Host wirkt. Sie haben es mit Exploits zu tun, Sie haben es mit Malware zu tun, Sie haben es mit Bedrohungen zu tun, Sie haben es mit sehr viel gezielteren Angriffen zu tun. Und es wird sogar noch wichtiger, weil es tatsächlich um ein Menschenleben geht, nicht wahr?

     Mm-hmm.

     Denn wenn Sie ein Auto mit hundert Meilen pro Stunde fahren und plötzlich jemand die Steuerung Ihres Wagens entführt und all das, dann reden wir jetzt über...

     Mm-hmm.

     ... eine sehr, sehr gefährliche Situation. Dabei geht es nicht nur um die Blaupause Ihres Bildschirms, sondern auch um Menschenleben, die auf dem Spiel stehen. Wir können also all diese Erkenntnisse nutzen und die KI/ML von Cylance als Teil der DNA verwenden, um zu sehen, wie wir eine integrierte Lösung anbieten können, die sowohl IOT/OT als auch einige der traditionellen Netzwerk- und Unternehmensunternehmen einbeziehen kann.

    Garrett O'Hara: Ja. Das macht absolut Sinn. Und natürlich haben wir gerade über EV gesprochen, aber es gibt hier ein größeres Thema, bei dem es um Ihre Präsenz im Bereich IOT im Allgemeinen und, wie ich annehme, im Besonderen bei medizinischen Geräten geht, bei denen, wenn Sie über das Risiko für ein Menschenleben sprechen, weil jemand die Kontrolle über das Auto übernimmt, vielleicht durch einen Einbruch oder eine Kompromittierung, wenn Sie an medizinische Geräte denken, ist der Einsatz noch höher und das Risiko noch größer. Wie denken Sie über die Sicherung von Medizinprodukten? Was sind die Dinge, über die Sie nachdenken, die sich vielleicht von EV oder einfach von IOT im Allgemeinen unterscheiden?

    Shishir Singh: Ich meine, das Gesundheitswesen und einige dieser Geräte, über die wir bereits gesprochen haben, Cylance AI, der Endpunkt-Agent, Sie wissen schon, die signaturlosen oder die KI/ML-basierten Techniken werden bereits in einigen dieser Gesundheitsgeräte eingesetzt. Um Ihre Frage zu beantworten, denke ich, dass die meisten dieser Geräte sehr speziell angefertigt werden oder ein sehr proprietäres Protokoll haben. Wir müssen also...

     Mm-hmm.

     ... eine Lösung anbieten, die viel mehr in einer ER-Lückenumgebung liegt. Und wir versuchen... Wir werden, wir sollten in der Lage sein, eine Lösung zu finden, mit der einige dieser Krankenhäuser und einige dieser Geräte, die verwendet werden, für unsere Kunden viel effektiver sind. Es geht also nicht nur um den Schutz, sondern auch darum, sicherzustellen, dass einige der, ich würde sagen, Intrusion Prevention oder einige der netzwerkbasierten Analysen, einige der verhaltensbasierten Analysen auch zusammen mit dieser durchgeführt werden, so dass wir tatsächlich-

     Mm-hmm.

     ... verstehen, wie der Angriff abläuft, und wir können ihn verhindern, bevor der Angriff stattfindet, können wir viel besser vorausschauend handeln, was... In diesem Sinne können wir viel proaktiver sein.

     Ja, ja.

    Garrett O'Hara: Das ist auf jeden Fall eine gute Sache, insbesondere wenn es um medizinische Geräte geht. Wissen Sie, IOT, IOT ist heutzutage einfach überall. Wenn ich mich in meinem Büro umsehe, kann ich wahrscheinlich 10 Stellen nennen, an denen ich vermute, dass eingebettete Geräte und IOT im Spiel sind. Es wäre gut, Ihre Gedanken dazu zu erfahren. Was die Sicherheitszertifizierungen oder -standards für IOT angeht, so weiß ich, dass das Verteidigungsministerium in den USA damit begonnen hat, ihre Zertifizierungsstufen für IOT-Geräte einzuführen, wenn man an die US-Regierung oder das Verteidigungsministerium verkaufen will.

    Und Australien hat Grundsätze eingeführt, die jedoch nicht verbindlich sind. Was denken Sie über Sicherheitszertifizierungsstandards für IOT, sei es für Verbraucher, Unternehmen oder sogar Behörden?

     I,

    Shishir Singh: Ich denke, die Sicherheitszertifizierung ist auf jeden Fall erforderlich, aber es ist ein bisschen komplizierter, weil es keine Einheitsgröße gibt, die für alle passt, oder? Sie müssen also sehen, wie diese IOT- und OT-Geräte segmentiert sind, damit wir viel effektiver bei der Zertifizierung sein können und unseren Kunden die Gewissheit geben können, dass sie sicher und gesund sind, richtig?

    Und wie ich bereits sagte, werden die BlackBerry QNX-Lösungen bereits in mehr als 50 Arten von medizinischen Geräten eingesetzt, nicht wahr? Zum Beispiel Operationsroboter, Infusionspumpen und Herzschrittmacher. Und sie sind lebensrettend, davon spreche ich. Und, und, und wenn man den Zertifizierungsprozess für einige dieser Dinge durchläuft, denke ich, dass sie hundertprozentig genau sein müssen. Wir müssen also jedes Detail verstehen, wie wir sicherstellen können, dass die Zertifizierung effektiv ist und nicht nur eine Plattform bietet, sondern auch einen Ansatz für die Kunden, damit sie sich ein wenig mehr sicher sein können, dass die Zertifizierung ihnen alles bietet, was sie brauchen. Richtig?

     Mm-hmm.

     Aber das macht Sinn, denn ich denke, dass die medizinische Fertigungsindustrie in einem sehr viel intensiveren Umfeld arbeitet. Es besteht ein enormer Druck, sehr, sehr strenge Sicherheitsvorschriften und Bedenken wegen Cyber-Bedrohungen. Wir müssen also all diese Dinge zusammenbringen, um das Zertifikat zu erhalten, aber ich denke, irgendwann werden wir keine andere Wahl haben, als es zu erreichen.

    Garrett O'Hara: Ja, nein, absolut. Ich habe mit Leuten aus der Gesundheitsbranche gesprochen und mit Leuten, die als Cybersecurity-Fachleute im Gesundheitswesen tätig sind, und eine der Bemerkungen, die sie über medizinische Geräte gemacht haben, ist, dass die Möglichkeit, sie zu aktualisieren, oft durch die Notwendigkeit einer Neuzertifizierung des Geräts auf der Ebene des gesamten Geräts behindert wird. So sind beispielsweise Betriebssysteme sehr alt, denn wenn man ein System aufrüstet oder patcht, muss es eine vollständige Neuzertifizierung durch die TGA hier in Australien durchlaufen.

    Also, es ist schon seltsam. Ich weiß nicht, ob Ihnen dazu etwas einfällt, z. B. zu der Idee, medizinische Geräte oder IoT-Geräte zu zertifizieren, aber das ist dann tatsächlich ein Hindernis für gute Sicherheitspraktiken, weil man jedes Mal, wenn es eine Änderung am Gerät gibt, den Standard neu zertifizieren oder neu... Sie wissen schon, den Standard bekommen muss?

    Shishir Singh: Ja, ich meine, die Messlatte liegt sehr, sehr hoch, und deshalb gibt es auch so viele, Sie wissen schon, strenge Vorschriften. Aber ich würde sagen, dass, selbst wenn man nur einen kleinen Teil des Codes oder eine kleine Komponente ändert, der gesamte Rezertifizierungsprozess ein wenig übertrieben sein könnte, aber ich denke...

     Mm-hmm.

     ... es ist notwendig, angesichts des Einsatzes, was wir dort durchmachen. Ich meine, ich kann Ihnen sagen, dass ich mich gerade mit einigen unserer Kunden aus dem Gesundheitswesen hier in Australien getroffen habe, und das wichtigste Ergebnis war, dass sie alle, ich würde sagen, den ersten Versuch unternommen haben, zu einem Ansatz zu gelangen, bei dem die Prävention im Vordergrund steht. Sie wollten sicherstellen, dass...

     Mm-hmm.

     ... dass sie eine moderne Technologie wie KI und ML-Software einsetzen, die ihnen den Schutz bieten kann, den sie wirklich brauchen, und dass sie sich von der ständigen Übertragung von Inhaltssignaturen auf die Geräte wegbewegen, weil das eine Menge Veränderungen mit sich bringt. Und die Gesundheitsfürsorge ist eines der Dinge, mit denen sie nicht sehr glücklich oder zufrieden waren. Ich glaube also, dass sie sich in die richtige Richtung bewegen. Sie gehen definitiv in die richtige Richtung, aber ich würde sagen, dass die Zertifizierung und auch einige dieser Dinge viel ganzheitlicher betrachtet werden sollten.

    Sie denken vielleicht, ich ändere nur einen kleinen Teil des Codes, warum muss ich mich zertifizieren lassen? Aber ich denke, das ist es, was [inaudible 00:15:53] dieses Risiko eingeht.

    Garrett O'Hara: Mm-hmm. Ja, ja. Und manchmal hat eine kleine Änderung im Code tatsächlich eine große Auswirkung auf die Gesamtfunktion eines Geräts und, ja...

     Das ist richtig.

     Ja, das macht Sinn. Lassen Sie uns ein wenig ausholen. Ich weiß, dass BlackBerry einige Untersuchungen zu Cyber-Versicherungen durchgeführt hat, und das Thema ist sehr aktuell. Ich weiß, dass die Prämien von Jahr zu Jahr höher und höher werden. Und in Ihrer Untersuchung wurden einige der Probleme genannt, mit denen Unternehmen tatsächlich konfrontiert sind, wie z. B. fehlende Deckung oder Unterversicherung, d. h. es besteht zwar eine Versicherung, aber sie deckt vielleicht nicht alles ab, was benötigt wird. Was waren die wichtigsten Ergebnisse der Forschung, die BlackBerry

    Shishir Singh: Ja?

     Ja, ich meine, da haben wir viel recherchiert. Und ich möchte sagen, dass die meisten Kriminellen viel skrupelloser geworden sind, oder? Sie werden Drohungen wiederholen und geduldig abwarten, um maximalen Schaden anzurichten, richtig?

     Mm-hmm.

     Und für nicht versicherte oder unterversicherte Organisationen bedeutet dies möglicherweise eine große Gefahr, nicht wahr? Der Cyber-Untergrund tauscht zunehmend seine Erkenntnisse aus und geht Partnerschaften ein, um Bedrohungen so effizient wie möglich zu gestalten, oder? Sie arbeiten also auf eine sehr koordinierte Weise, richtig?

     Mm-hmm.

     Und ich würde sagen, die KMUs spüren jetzt die Hitze... Die Unternehmen mit weniger als 1.500 Angestellten oder, Sie wissen schon, sie haben nur 14% der Co-Deckung, die die Überschreitung von 600.000 $ begrenzt und solche Dinge, richtig? Der jüngste Forrester-Bericht schätzt, dass ein typischer Datenschutzverstoß ein durchschnittliches Unternehmen zwischen 200 und 2,4 Millionen Dollar kosten würde, um ihn zu untersuchen und zu beheben.

     Mm-hmm.

     Mehr als ein Drittel, etwa 37 % der Befragten, sind derzeit nicht für Zahlungsforderungen von Ransomware versichert, während 43 % nicht für Zusatzkosten wie Code-Gebühren und Ausfallzeiten der Mitarbeiter und all das versichert sind. Gleichzeitig ist es schwieriger geworden, eine Cyberversicherung abzuschließen, weil die Versicherungsmakler höhere Anforderungen an die Software stellen. Ich würde sagen, dass mehr als ein Drittel, etwa 34 % der Befragten, die Deckung verweigert wurde, weil sie bestimmte Anforderungen an die Endpunkt-Erkennungssoftware nicht erfüllen. Vielleicht haben sie das EDR-Gerät in ihrer Umgebung, aber sie nutzen es nicht effektiv.

     Mm-hmm.

     Und das setzt, Sie wissen schon, erhöhte Anforderungen oder einen erhöhten Druck, der jedoch keine wirkliche Auswirkung auf die Verringerung der Lösegeldzahlungen hat, es ist keine Lösung, es nimmt nicht ab, richtig? Denn sie haben zwar alle möglichen Geräte, aber sie nutzen sie nicht richtig. Ich würde also sagen, dass wir, die Cyber-Versicherungsunternehmen, eng mit den Cybersicherheitsunternehmen zusammenarbeiten müssen, um sicherzustellen, dass sie die Lücken verstehen, dass sie verstehen, wo die Konfigurationen optimiert werden können, um die Bedrohungen am effizientesten zu erkennen, damit wir unseren Kunden einen besseren Schutz und ein besseres Verständnis bieten können.

    Wenn sie eine Police über einen hohen Betrag erhalten, was können sie dann tun, um diesen Anteil zu verringern? Wie können sie die Risiken und all das abmildern? Wir haben also viel geforscht und arbeiten mit einigen dieser Unternehmen zusammen, um zu sehen, wie wir uns gegenseitig helfen können, oder? Die Kunden und auch die Cyber-Versicherungsgesellschaften.

     Ja, ja. Als

    Garrett O'Hara: sie, da sie zusammenarbeiten. Ja, ja. Sehen Sie, das macht absolut Sinn. Und ich denke, das ist eine interessante Sache, weil ich glaube, dass die Cyberversicherung ein guter Katalysator für eine bessere Cybersicherheit ist. Wie Sie schon sagten, werden sie eine Organisation analysieren und prüfen, bevor sie die Versicherung anbieten. Ich hoffe also, dass das ein gutes, ein gutes Ergebnis ist. Eines der Dinge, die wir hier in Australien beobachten, aber ich weiß, dass es sich um ein globales Problem handelt, sind die in die Höhe schießenden Cyberversicherungsprämien.

    Sie steigen sehr, sehr stark an. Und gleichzeitig stellen wir fest, dass die Cyberangreifer diese Informationen weitergeben. Sie sprachen vorhin davon, welche Unternehmen eine Versicherung haben, und von der Annahme, dass, wenn man eine Cyberversicherung hat, man wahrscheinlich auch zahlen wird. Und das ist ein wirklich gutes Beispiel für den so genannten COBRA-Effekt oder diese Art von perversem Anreiz. Man denkt [lacht], dass es gut ist, eine Cyberversicherung zu haben, was es auch ist, aber in Wirklichkeit gibt es diese unbeabsichtigte Folge. Wie wird sich das Ihrer Meinung nach entwickeln? Wie sehen Sie die Entwicklung der Cyber-Versicherung im Allgemeinen in den kommenden Jahren durch diese Brille?

     Ja, ja,

    Shishir Singh: Ich meine, ich habe das Gefühl, dass das Cyber-Risiko jetzt mit dem Geschäftsrisiko gleichzusetzen ist, oder? Die Umfrage zeigt, dass Cyber-Vorfälle oder das Fehlen von Cyber-Vorfällen Auswirkungen auf die Geschäftspraktiken haben.

     Mm-hmm.

     Drei von fünf Befragten, etwa 60 %, gaben an, dass sie es sich noch einmal überlegen würden, eine Partnerschaft oder einen Vertrag mit einem anderen Unternehmen oder Lieferanten einzugehen, wenn das Unternehmen nicht über umfassende Cyber-Vorfälle verfügen würde. Mehr als zwei Drittel, d. h. 68 % der IT-Entscheidungsträger, werden wahrscheinlich eine Neubewertung der Partner- oder Lieferantenvereinbarung aufgrund ihrer Cybersicherheitspraktiken vornehmen. Die Versicherungsgesellschaften haben also Schwierigkeiten, die Sicherheitsmaßnahmen von Unternehmen zu verstehen und zu erklären, was... auch wenn ein Unternehmen sie vielleicht einsetzt, aber wie ich schon sagte, ist der Versicherer nicht in der Lage festzustellen, ob sie sie richtig einsetzen oder nicht, richtig?

     Mm-hmm.

     Ich würde also sagen, dass es in Zukunft eine etwas engere Koordinierung zwischen den Cyber-Versicherungsunternehmen und den Cyber-Sicherheitsunternehmen geben wird, damit sie wirklich gut zusammenarbeiten und das richtige Ergebnis erzielen können. Und das richtige Ergebnis ist meiner Meinung nach, unseren Kunden eine sichere Umgebung zu bieten. Und sie können anfangen zu vertrauen, sie fangen an zu glauben, dass die Police, die sie bezahlen, tatsächlich auf bestimmten Bedingungen oder auf bestimmten Sicherheitslücken und Ähnlichem basiert. Und sie können, sie werden, sie werden mehr Anreize haben, um das im Laufe der Zeit zu verbessern, wissen Sie.

    Garrett O'Hara: Ja, absolut. Und, und das haben Sie ja schon angesprochen, aber wenn... wie Sie das angesprochen haben, gibt es da Möglichkeiten oder Dinge, die Sie Organisationen empfehlen könnten, um sich so aufzustellen, dass sie niedrigere Prämien bekommen und auch sicherstellen, dass sie nicht unterversichert sind, dass sie einen guten Versicherungsschutz haben?

    Shishir Singh: Ja, nein, absolut. Ich habe dafür einen Rat, und ich würde sagen, dass selbst für... Ich würde sagen, dass KMUs auf jeden Fall zuerst an Prävention denken sollten, als ersten Schritt in die richtige Richtung, oder?

     Mm-hmm.

     Vergewissern Sie sich, dass sie über eine sehr moderne Art und Weise verfügen, sich zu schützen, denn das ist das Wichtigste. Der zweite Teil ist, dass ihre Vermögenswerte, ihre Anwendungen, ihre Nutzer, ihre Dienste, alle auf eine Weise segmentiert sind, die viel strukturierter ist, richtig? Und es braucht nicht viel Aufwand, um das zu tun. Es geht nur darum, darüber nachzudenken und sicherzustellen, dass sie Unternehmen wie uns einbeziehen, die einen technischen Gesundheitscheck durchführen können, die Empfehlungen geben können, was zu tun ist.

    Und drittens würde ich sagen, dass sie angesichts der ganzen Cybersicherheit und des Mangels an Fachkräften auf dem Markt auslagern können und sagen: "Hey!

     Mm-hmm.

     ... Unternehmen, stellen Sie bitte sicher, dass Sie meine treue Socke sind. Richtig? Sie können auf Vorfälle reagieren, Sie können zurückkommen und mir Informationen darüber geben, ob mein vertikales, mein Segment angegriffen wird und was ich anders machen sollte oder, oder, Sie wissen schon, geben Sie mir die Lösung", damit wir diese Dinge früher in Angriff nehmen können, so dass sie tatsächlich keine Probleme oder Angriffe erleben müssen.

    Und wenn sie die richtige Infrastruktur, den richtigen Aufbau ihrer Sicherheitsumgebung haben, dann können sie sicher zu ihrer Versicherungsgesellschaft gehen und sagen: "Hey, ich habe alles vorbereitet. Das sind alle bewährten Verfahren, von denen ich von den Unternehmen gehört habe. Ich habe das umgesetzt. Jetzt sagen Sie mir, welche Lücken ich habe und wie Sie meine Prämie senken können." Ich meine, das ist der richtige Ansatz, und ich denke, das ist es, was ich empfehlen würde.

    Garrett O'Hara: Fantastisch. Ja, das ist ein wirklich guter Ratschlag. Ich möchte noch einmal kurz auf Ihre Bedrohungsberichte eingehen, die Sie für 2022 erstellt haben und die sehr, sehr detailliert sind. Es wurde ein sehr breites Spektrum an Themen aus dem Bereich Cyber abgedeckt. Ich hatte das Gefühl, dass Sie so viele, so viele Dinge angesprochen haben. Was waren die großen Themen oder die Trends, die man im BlackBerry-Bedrohungsbericht für

    Shishir Singh: 2022?

     Ja, ich meine, wenn Sie sich den BlackBerry Threat Intelligence Report ansehen, würde ich sagen, dass es zwei Bereiche der Internetkriminalität gibt, richtig? Die... Eine ist eine finanziell motivierte und APTs Regierungen all das. Australien auch, was [unhörbar 00:24:56]. Wissen Sie, mir fallen gerade ein paar Dinge ein, wissen Sie, das erste ist Red Ladon. Ich weiß nicht, ob Sie schon davon gehört haben. Es handelte sich um einen Phishing-Angriff auf Mitarbeiter der US-Regierung. Die zweite war die Agent-Ransomware. Es ging im Wesentlichen um Bildung und Gesundheit in Australien, Thailand und einigen anderen asiatischen Ländern.

    Der dritte, der kürzlich in unserem Bericht auftauchte, war der Mustang Panda, ich weiß nicht, ob Sie davon gehört haben. Sie versteckten im Grunde genommen Code in legitimer Software-Umgehungstechnik. Wir beobachten also einen neuen Trend, bei dem einige dieser Codes, einige dieser Schadprogramme in der Software versteckt werden, die im Grunde von den großen Softwareanbietern signiert wird, richtig?

     Mm-hmm.

     Die Leute zweifeln also nicht daran. Aber die Cyber-Kriminellen arbeiten eher wie Teilnehmer eines Partnerteams, die Geld dafür verlangen, dass sie Zugang zu den Netzwerkinformationen eines bestimmten Unternehmens erhalten.

     Mm-hmm.

     Und das ist der Grund, warum der Diebstahl von Zugangsdaten so stark zunimmt, nicht wahr? Und, und, und die Daten werden an Gruppen wie Nationalstaaten und dergleichen verkauft. Sie werden also sehen, dass die Cloud in den nächsten Jahren stark genutzt werden wird. Wenn sie erst einmal in Ihrer Umgebung angekommen sind, wird es eine Menge seitlicher Bewegungen geben, wissen Sie. Mir wurde unter anderem gesagt, dass wir in den letzten neun Monaten fast 11 272 Malware gesehen haben, die von BlackBerry entdeckt wurde.

    Und das ist ein Blick in die Umgebung der Mieter unserer Kunden, richtig? Und wir waren in der Lage, unseren Kunden die Informationen zukommen zu lassen und ihnen zu sagen: "So sieht es aus, darauf haben es die Hacker abgesehen. Und Sie können tatsächlich etwas dagegen tun." Sie wissen, was ich meine? Ich meine, das sind die Züge, die wir dort weiterhin sehen werden.

     Ja, das stimmt. Nein,

    Garrett O'Hara: Absolut. Ganz genau. Als ich mich auf das heutige Gespräch vorbereitete, ging ich natürlich den Bericht durch, aber eines der Dinge, die mir auffielen, war... Ich werde eigentlich nur den Bericht zitieren, also werde ich einfach vorlesen, was ich, was darin steht. "Während Angriffe auf große Organisationen den Nachrichtenzyklus des Jahres 2021 dominierten, waren auch kleine und mittlere Unternehmen (KMU) von zahlreichen Angriffen betroffen, sowohl direkt als auch über die Lieferkette." Sie haben das gerade irgendwie erwähnt.

    "Die BlackBerry-Bedrohungsforschung hat herausgefunden, dass KMUs im Durchschnitt 11 bis 13 Bedrohungen pro Gerät erleiden, eine Zahl, die viel höher ist als bei Unternehmen." Das finde ich wirklich interessant. Was glauben Sie, was dort vor sich geht?

    Shishir Singh: Ich denke, ich würde sagen, dass es vor allem an den Technologien liegt und an den Lücken im menschlichen Bereich. Die Bedrohungslage hat sich verschärft. Und die Cloud hat definitiv eine ganz andere Angriffsfläche geschaffen, was die Sache einfacher macht. Der Grund dafür ist, dass bei einigen DevOps-Sachen die Dringlichkeit besteht, den Code so schnell wie möglich in die Cloud zu bringen.

    Die Sicherheitspraktiken werden nicht als Teil des Entwicklungsprozesses integriert und so weiter. Die zweite Sache, die ich sagen würde, ist, dass einige der älteren Maschinen im Labor, die nicht gepatcht werden und, Sie wissen, dass jemand nicht aufpasst und einige... Sie wissen, es ist in Ihrem Netzwerk, das wird ein leichtes Ziel.

     Mm-hmm.

     Hacker suchen also nach diesen schwächeren Verbindungen. Das Arbeiten von überall aus hat eine weitere Möglichkeit geschaffen, einige der VPN-bezogenen Schlupflöcher auszunutzen, oder? Das sind also die Bereiche, in denen die Hacker meiner Meinung nach versuchen, einzudringen. Das sind die Trends, die sie sehen, und das ist der Grund für den Anstieg der Kriminalität und der Bedrohung.

    Garrett O'Hara: hier.

     Ja, das macht absolut Sinn. Da die Zeit hier bald abgelaufen ist, habe ich noch eine letzte Frage. Aber das ist ein wirklich interessanter Bereich, der meiner Meinung nach allmählich viel mehr Beachtung findet, nämlich die Welt des Post-Quantum-Computing und einige der Dinge, die dort passieren, was das Risiko für Dinge wie PKI angeht. Der Bedrohungsbericht befasst sich natürlich auch mit diesem Thema, und er enthält eine, wie ich finde, etwas kontroverse Sichtweise auf das Risiko des Post-Quantum-Computing für die derzeitige Verschlüsselung und PKI, nämlich dass das Risiko des PK-Post-Quantum-Computing zunächst durch Prävention minimiert wird.

    Könnten Sie uns diese Perspektive erläutern, denn sie scheint der heute sehr populären Philosophie des "Zero Trust" ein wenig zuwiderzulaufen?

    Shishir Singh: Ja, ich meine, Zero Trust, ich würde sagen, wenn wir Zero Trust verstehen, würde ich sagen, dass es drei Teile von Zero Trust gibt. Eine davon ist die sichere Konnektivität von verwalteten und nicht verwalteten Geräten, richtig? Sie stellen sicher, dass Sie eine Verbindung zu den Anwendungen herstellen, für die Sie eine Zugangsberechtigung haben, richtig? Es gibt also eine Unterscheidung zwischen der Authentifizierung und der Autorisierung.

    Ich würde auch sagen, dass die Außenstellen und Zweigstellen ebenfalls in diese Kategorie fallen. Sobald Sie diese sichere Konnektivität eingerichtet haben, müssen Sie sicherstellen, dass Sie den richtigen Schutz vor Bedrohungen und Daten und das richtige Bewusstsein für Daten vor dem Hintergrund der Hyper-Scale-Edge haben, die viel effektiver skaliert werden kann, richtig? Der dritte Teil von Zero Trust besteht darin, dafür zu sorgen, dass Ihre SaaS-Anwendungen, Ihre IS-Anwendungen, Ihre privaten Anwendungen, Sie wissen schon, all das ist so organisiert, dass Sie Ihr Risiko tatsächlich verringern können.

    Wenn Sie also diese drei Teile von Zero Trust sehen, das Quantencomputing und einige dieser Dinge, über die wir sprechen, definitiv die Kryptographien und einige dieser Dinge, wissen Sie, wir haben RSAs, CC und Sie wissen, diese Art von DSE und all diese Techniken schon immer benutzt, richtig? Und diese basieren alle auf dem öffentlichen Schlüssel und dem Teil der Infrastruktur. Ich sage, dass das PQC ein gewisses Risiko darstellen könnte, aber ich denke immer noch, dass es eine Zeit gibt, in der diese Algorithmen bewiesen werden müssen, die Rechenleistung, was auch immer man braucht, um diese Algorithmen zu entwickeln, Krypto-Algorithmen.

    Weil das alles auf einem sehr interessanten Pseudo-Zufallsgenerator-Algorithmus basiert, der einem sehr [inaudible 00:31:44] Verteilungsmodell folgt, wenn man dem folgt. Wir sprechen hier von einer sehr logarithmischen Art der Datenverarbeitung, bei der sowohl die Verschlüsselung als auch die Authentifizierung auf die gleiche Weise erfolgen kann. Ich denke, die Zeit wird es zeigen.

    Ich beobachte dieses Feld sehr, sehr genau, würde ich sagen. Und eines der Dinge, von denen ich Ihnen sagen kann, dass sie für mich ein wenig aufregender werden, ist das Konzept der Erstellung von Pseudo-Zufalls-Passwörtern, die nicht dem normalen Weg der... Ich kann sehen, dass es eine Veränderung gibt, aber ich habe immer noch das Gefühl, dass es Zeit ist, diese Dinge zu beweisen.

    Garrett O'Hara: Jepp. Ich glaube, das war's mit dem Post-Quantum-Computing. Ich denke, es ist an der Zeit, und es ist nur eine Frage des Wie und Wieviel [lacht]. Aber, apropos Zeit, Shishir, wir haben so gut wie keine Zeit mehr. Aber ich wollte Ihnen vielmals dafür danken, dass Sie heute bei uns sind. Es war großartig, Einblicke in die Aktivitäten von BlackBerry, die Cyber-Versicherung und natürlich in Ihren Bedrohungsbericht zu erhalten. Vielen Dank also, dass Sie heute bei uns sind.

     Vielen Dank, Garrett,

    Shishir Singh: Danke, dass ich dabei sein durfte, und wirklich gute Fragen. Schätzen Sie

    Garrett O'Hara: es.

     Vielen Dank an Shishir, dass er zu uns gekommen ist, und wie immer vielen Dank, dass Sie sich den Get Cyber Resilient Podcast angehört haben. Stöbern Sie in unserem Episodenkatalog, abonnieren Sie uns und hinterlassen Sie uns bitte eine Bewertung. Bis dahin bleiben Sie sicher und ich freue mich darauf, Sie in der nächsten Folge zu sehen.

    Zurück zum Anfang