Tabletop-Übungen

00:00:00: Willkommen zum IT Security Podcast

00:00:02: von KyroSec,

00:00:03: dem bekanntesten Anbieter von IT Security-Beratung Pentes, Red Teaming und Incident Response.

00:00:09: In dieser Episode sprechen wir über Tabletop Übungen – realitätsnahe Simulationen

00:00:14: von Sicherheitsvorfällen

00:00:15: bei denen Prozesse, Kommunikation und

00:00:17: Verantwortlichkeiten

00:00:18: im Ernstfall getestet werden ohne das tatsächlich etwas passiert.

00:00:23: Teams üben dabei wie sie richtig

00:00:24: reagieren, Informationen sammeln,

00:00:27: Entscheidungen treffen und Stakeholder einbinden!

00:00:41: Wir

00:00:44: haben letzte Woche eine Tabletop-Übung gemacht.

00:00:48: Wie war das für dich?

00:00:50: Das war super spannend.

00:00:52: Normalerweise machen wir beide immer die Vorbereitung für die Tabletor-Bübung, wenn wir mit unseren Kunden machen und diesmal durften wir tatsächlich einfach auf den Zuschauerrängen sitzen und zuschauen wie die anderen arbeiten.

00:01:04: Wir müssen nicht nur dafür sorgen dass es bei unserem Kundengut läuft mit dem Incident Response sondern auch wir müssen natürlich intern schauen.

00:01:09: was wird das?

00:01:09: Auch wenn bei uns normalerweise wenig passiert Wenn etwas passiert muss es halt laufen.

00:01:14: Deshalb haben wir das letzte Woche geübt Und Micha kann zu grob erzählen was das Ausgangsszenario war.

00:01:20: So angefangen hat die Übung damit, dass die Kollegen aus unserer Incident Response Bereitschaft eine Benachrichtigung auf ihre Benachichtigungs App bekommen haben und dann entsprechend ein Windows Defender Alert da war der angedeutet hat das Ausgehend von unserer Firewall Anmeldeversuche auf einem internen System stattgefunden haben.

00:01:43: Und dann hat sich das sofort gesetzt, dass die Anmeldeversuche natürlich nicht direkt von der Firewall ausgelöst wurden.

00:01:49: Das war ein Umweg!

00:01:50: Sondern, dass es wohl einen Angriff ausgehend vom VPN für Pentests genutzt wurde.

00:01:57: Da sieht man jetzt schon, dass dieses Szenario relativ spezifisch für uns war und ganz schön tricky war weil... Nicht jeder sich mit dieser Umgebung so gut auskannte und da doch einige überraschende Dinge mit drin waren.

00:02:12: Und entsprechend war das dann von der Vorfallsbehandlung eine relativ langer Zeitraum, die abgedeckt wurde.

00:02:19: aber Das Spiel hat tatsächlich nur zweieinhalb Stunden etwa gedauert.

00:02:23: Micha...das ist Ich finde es spannend weil was denkst du wie lange hätten wir in der Realität gebraucht um so einen Vorfall in den Griff zu bekommen?

00:02:30: Naja also ich meine wir haben ja die Zeit auch grob simuliert, dass halt mehr Zeit vergeht während der tatsächlichen Spielzeit oder Übungszeit.

00:02:38: Und da haben wir es grob mal mit abends begonnen und dann bis in den Mittag vom nächsten Tag die Analyse und dann Nachbereitung von dem ganzen durchaus malen Tag, den man da investieren kann.

00:02:50: aber spannend ist natürlich auch wenn man sich schon dieses Szenario mal anguckt und man sieht vorher dieses Drehbuch das Konzept für die Übung Verhältnismäßig klein, das ist doch einfach ja nichts Großes.

00:03:04: und dann ist dieses selbst kleine Szenario dauert in der Übung schon wieder zweieinhalb Stunden die man damit verbringt.

00:03:11: Also da gibt es so drei Ebenen irgendwie an Zeit die da mit rein spielen.

00:03:16: Ja ich glaube vorbereitet hatten sie zwanzig Powerpoint Folien mit Informationen die man im Rahmen des Spiels erfassen konnte.

00:03:24: Bei einer Schulung würde ich für zwanzig Folien halt keine halbe Stunde brauchen, aber in der Übung.

00:03:28: Weil ja für jede Folie steckt eine Geschichte dahinter, die man...die die Analysten dann erfassen können aus denen sie dann Entscheidungen ableiten können und dann über diese Entscheidungen diskutieren müssen, die Entscheidungen weitergeben müssen, Entscheidungen umsetzen müssen natürlich alles auf der Tonspur.

00:03:44: wir sprechen hier von einem Tabletop.

00:03:46: das bedeutet dass tatsächlich in der Realität überhaupt nichts passiert und Alles was passiert müssen Sie quasi gemeinsam im Gespräch erarbeiten und dann den Spieleiter fragen, was passiert eigentlich?

00:03:58: oder welche Informationen können wir jetzt hier wenn wir an der Stelle schauen bekommen.

00:04:01: Und diese zwanzig Folien die füllen dann halt locker.

00:04:05: diese zweieinhalb Stunden Um diese zwanzig Folien vorzubereiten, kommt natürlich eine ganze Menge davor.

00:04:12: Vielleicht sollten wir erst mal erzählen wie so eine Tabletop-Übung insgesamt aufgebaut ist und der ganzen Weg von.

00:04:19: Wir wollen eine Tabeltoppübung machen bis wir haben am Ende herausgefunden was wir jetzt gut können und wo wir doch Verbesserungspotenzial haben.

00:04:25: Du

00:04:25: meinst so quasi initial mal abstecken?

00:04:28: Was ist eigentlich der Rahmen für die Übung und wie sieht dieses Drehbuch aus?

00:04:31: Ja lass uns mit dem Drehbuch anfangen und ich glaube wir müssen dann ganz klar erzählern was bei der Übung selbst passiert und was unsere Erwartung an so eine Übung ist.

00:04:40: Also, ich glaube das wichtigste bei einem Drehbuch ist eben dass das Drehbuch tatsächlich auf des jeweilige Unternehmen und die jeweiligen Situationen konkret zugeschnitten ist weil am Ende ist es ja so die Übung passiert nur im Kopf und wenn etwas nur im kopf passiert dann muss es entsprechend einen bild erzeugen eine realität erzeugt mit der man sich identifizieren kann und deswegen wichtig, dass am Ende auch so feine Aspekte wie Systemnamen und sowas mit aufgegriffen werden um einfach direkt eine Relevanz fürs Unternehmen herzustellen.

00:05:14: Aber grundsätzlich ist bei dem Drehbuch eben die Idee man überlegt sich einen Einstiegspunkt in dieses Szenario.

00:05:21: was will ich eigentlich üben?

00:05:23: Und was wäre ein valider Einstieckspunkt dafür?

00:05:26: Dann entwickle ich sozusagen ne Hintergrundstory erst mal dazu Wie es ist denn überhaupt dazu gekommen das dieser Vorfall aufgetreten ist.

00:05:35: Und ausgehend von diesem Alarm überlege ich mir dann, naja was ist denn eigentlich alles nach dieser Kompromittierung oder nach dem Vorfall?

00:05:42: Aufgetreten!

00:05:43: Was hat denn der fiktive Angreifer eigentlich alles gemacht?

00:05:47: und daraus entsteht ein Drehbuch, das sowohl die Hintergrundstory darstellt als aber auch letztendlich die Schritte, die der Angreiver durchgeführt hat und auch die erwarteten Schritte enthält, die letztendlichen Kollegen die die Übung quasi maßgeblich mitgestalten, also die Teilnehmer.

00:06:05: Die sie dann ... Wahrscheinlich ja muss man sagen abarbeiten werden?

00:06:10: Genau, die große Kunst ist vorherzusehen was werden Sie tun?

00:06:14: weil für alle Fragen, die die Teilnehmers haben müssen wir irgendwie eine Antwort parat haben.

00:06:19: Wir müssen wissen was man auf einem System an Artefakten findet.

00:06:23: Wir müssen im Prinzip auch wissen wen werden die Teilnehmer bei der Übung, wen wären die Analysten?

00:06:27: oder wen wird der Incidentmanager am Ende hin zuziehen um diese Fragen beantworten zu können.

00:06:32: Zum Beispiel wird der Incident Manager gegebenenfalls andere Personen hinzuziehen, die entscheidungsbefugt sind weil er das selbst gar nicht ist?

00:06:38: und es müssen wir voraus wissen, weil wir die Frage auch stellen naja an welcher Stelle sollen denn Simulationen durchgeführt werden?

00:06:46: Und dann welcher stelle soll was tatsächlich passieren?

00:06:49: zum beispiel machts durchaus Sinn dass jemand mal an tatsächlich angerufen wird weil er der asset owner ist.

00:06:54: genau da merkt man schon einfach das an der stelle Wenn man das jetzt für ein Unternehmen macht, indem er nicht selber tätig ist.

00:07:01: Also wir haben jetzt eine Übung für Keroset gemacht da.

00:07:03: es ist einfach, da kennt man das Unternehmen, da weiß man das.

00:07:05: Wir

00:07:06: waren trotzdem an manchen Stellen überrascht

00:07:08: Stimmt Aber wenn man jetzt das Ganze für den Kunden macht Dann kommt man natürlich als Externe rein und man kennt es nicht.

00:07:15: Und da ist es super hilfreich, die Prozesse definiert zu haben weil dann kann man sich bei der Definition des Drehbuches und was könnte denn passieren?

00:07:23: Wie sollte denn die Vorfallsbearbeitung ablaufen?

00:07:25: genau daran orientieren und deswegen macht das einfach Sinn dieses Drehbuch gemeinsam mit dem Kunden in einem Workshop grob zu entwickeln und danach auszugestalten.

00:07:36: Genau, nicht nur die Prozessebene ist relevant bei der gemeinsamen Ausgestaltung sondern auch die technische Ebene ist relevant.

00:07:41: Wenn in einem Unternehmen nur Linux Server stehen und wir mit einem Windows-Szenario kommen dann passt es halt nicht so ganz.

00:07:47: aber das kann da durchaus weiter ins Detail gehen weil wir am Ende eine plausible Angriffskette beschreiben müssen.

00:07:53: Das Szenario soll so plausibel wie möglich sein dass alle die diese Analyse durchführen sich am ende in der Geschichte wiederfinden.

00:08:01: Das bedeutet auch eine technische Analyse im Rahmen dieser Tabletop-Vorbereitung, weil wir müssen plausibles Sachen beschreiben können.

00:08:08: Das heißt wenn da spezielle Mechanismen zur Angriffserkennung oder Verhinderungen unterwegs sind dann kann es für uns schwieriger werden sonst Szenario zu bauen und man darf die nicht völlig ignorieren.

00:08:19: Wir haben im Tablethop Freiheiten!

00:08:20: Wir dürfen sagen hier ist ne Schwachstelle, sonst würden an vielen Stellen die Angriffsketten gar nicht funktionieren dass wir in den tatsächlich funktionierten Angriff direkt in der Definition der Übung finden, eher unwahrscheinlich.

00:08:31: Dann machen wir kleine Annahmen aber das große Gesamtbild muss stimmen.

00:08:36: Da habe ich was Lustiges erlebt.

00:08:37: bei einer Tabletop-Übung ist uns direkt in die Vorbereitung auf der Tonspur quasi aufgefallen, dass hier eine weitreichende Kompromittierung auf ne sehr einfache Art und Weise möglich wäre.

00:08:48: Wir konnten es natürlich an der Stelle nicht technisch validieren Aber wir konnten es annehmen Und das hat natürlich wahnsinnig geholfen, um ein implausibles Szenario zu bringen.

00:08:55: Das Schöne war am Ende gab es nicht nur Lessons learned für die Institute of Response sondern eben auch als ein lessons learnt dass hier eine weitreichende Kompromittierung auf einem relativ einfachen Weg möglich wäre.

00:09:06: Ja, das ist cool.

00:09:07: Das ist ja auch eine Erkenntnis die zum Beispiel bei uns als Ergebnis am Ende rauskam.

00:09:11: Auch da haben wir ja nur theoretisch darüber nachgedacht und trotzdem haben wir Defizite, technische Defiziten identifiziert wo wir sagen können hey da können wir unser Logging noch weiter schärfen oder da gibt es noch einen blinden Fleck der war vorher gar nicht so klar.

00:09:25: also von daher lohnt sich immer auch sowas einfach mal auf dem Papier durchzuspielen.

00:09:30: Hast du ein paar Beispiele dass man's einfach ein bisschen besser greifen kann?

00:09:36: Was sind denn so die gängigsten Einstiegsvektoren für eine Übung?

00:09:39: Also welche Szenarien nimmt man ganz gerne mal an.

00:09:43: Wir denken im Normalfall aus zwei Richtungen gleichzeitig, wir haben einerseits als Perspektive natürlich das Ziel dass wir am Ende einen Alarm haben.

00:09:51: also wir brauchen am ende irgendeinen Einstiehspunkt der den Incident Response Prozess anstößt, also typischerweise irgendwie der Defender meldet was und das ist die Einrichtung aus der wir denken.

00:10:00: Und da ist es halt super dankbar irgendwie einen Klein zu haben auf dem was passiert jetzt.

00:10:04: in unserem Szenario war's die Firewall.

00:10:05: Das ist eher ein Punkt der selten vorkommt bei den Szenarien Die ich jetzt mit Kunden mache.

00:10:10: meistens denkt man tatsächlich vom Kleint oder Server her wo halt des DDR ist weil das DDR Im normal Fall die Komponente ist mehr mit der das incident response Team am meisten interagiert und dass da auch am wichtigsten ist

00:10:22: oder die Sockmeldung, die reinkommt quasi wenn man externen Sockanbieter hat.

00:10:26: Genau.

00:10:27: und dann die andere Sicht aus der Perspektive.

00:10:29: was ist eigentlich passiert?

00:10:31: Das hängt jetzt voll davon ab in welche Richtung man schauen will.

00:10:35: Wenn man jetzt was viele wollen einen Standard Rance Invest Szenario haben möchte, Das Ding, was am exponiertesten ist der Kleint.

00:10:43: D.h.,

00:10:43: wir versuchen ins Szenario zu bauen wo es vom Kleint ausgeht d.h.

00:10:47: Fishing Angriffe irgendjemand lädt sich Team-Viewer runter wird dann per Social Engineering dazu gebracht eine Team Viewersitzung aufzubauen.

00:10:54: solche Ideen haben wir dann aber die Ideen sind vielfältig und müssen jeweils an das was tatsächlich geübt werden soll angepasst werden.

00:11:02: Wir hatten auch schon Szenarien da wurde gemeldet dass ein Innentäter Daten exfiltriert hat und es wurde irgendwie über Data Lost Protection identifiziert.

00:11:11: Und dann kam halt von da die Meldung, das ist ein ganz anderes Szenario als die anderen Szenarien also das ist auch wieder völlig individuell.

00:11:19: Ich glaube das ist der wesentliche Aspekt den man eben bei der Drehbucherstellung ja immer berücksichtigen muss.

00:11:25: Was soll denn eigentlich geübt werden?

00:11:27: Welche Zielgruppe habe ich für die Übung eigentlich?

00:11:30: ist es eine Übung, die sich primär auf die Kommunikation stürzt.

00:11:33: Es ist eine Übung, die aber auch letztendlich technische Aspekte oder die konkrete Playbooks führen ein bestimmtes Szenario vorsehen prüfen soll.

00:11:44: und du hattest mal ne Übung da die war ganz fern ab davon von dem was wir sonst machen.

00:11:50: Da ging's darum dass letztendling die iPhones kompromitiert wurden, wenn ich mich richtig erinnere.

00:11:57: Richtig!

00:11:58: Da hatten wir gesagt es gibt eine Meldung das es eine Schwachstelle in iPhones gibt die eine weitreichende Kompromittierung des Geräts erlaubt und denn Indikator für so ne Kompromettierung ist eine SMS mit seltsamen Zeichen.

00:12:12: und genau mit sowas haben wir dann angefangen.

00:12:15: und da war halt die Frage ja was machtes Team damit?

00:12:17: Und dann wurden Meldungen an alle Benutzer raus geschickt dass sie solche seltsam SMS melden sollen kam eine Benachtung, dass ein Vorstand betroffen ist und dann ging es so weiter.

00:12:28: Und das hat die Frage was macht man in dem Fall?

00:12:29: Wenn man eigentlich völlig blind ist und technisch wenig Möglichkeiten hat?

00:12:33: und na dann muss man sich halt voll auf die Prozesse... also dann fokussiert sich die Übung voll auf den Prozess.

00:12:38: Dann ist die Frage mit wem muss man kommunizieren?

00:12:40: wer wird informiert?

00:12:41: wer trifft Entscheidungen?

00:12:43: auch wenn man an der Stelle jetzt nicht wirklich Entscheidungen treffen kann weil Naja auf die iPhones hat man nicht indem aus Einfluss die Option ist dann alle iPhones abzuschalten.

00:12:51: aber

00:12:51: ich finde das ist wieder so ein typisches Beispiel für das Szenario ist eigentlich ganz klein gewählt, aber die Implikationen, die daraus entstehen und was man tatsächlich am Ende tun muss wird schnell sehr groß.

00:13:04: Und dieses Schnellsehrgroßwerden ist auch etwas wo wir wenn wir mit Kunden sprechen und die sagen hey können wir mal darüber reden eine Tabletopübung zu machen, wo wir oft sage ich mal ein bisschen bremsen müssen weil Kunden kommen ganz oft zu uns und sagen Ich hätte gern dass die Welt brennt!

00:13:23: Und das ist quasi natürlich ein Szenario, was groß ist.

00:13:28: Was aber am Ende auch immer einen riesen Rattenschwanz mit sich bringt und wo man dann eben sagen muss klar Das kann man auf jeden Fall alles üben oder sollte man auch mal üben.

00:13:38: Aber es ist wahrscheinlich nicht die beste Idee dass als allererste Tabletop Übung zu machen.

00:13:42: also wir empfehlen immer Mal ein bisschen kleiner anzufangen einfach auch weil man dieses Konzept, Tabletop-Übung.

00:13:48: Dieses ist passiert nur auf dem Papier was man hat keinerlei Aktivitäten die in irgendwelchen Systemen tatsächlich durchgeführt werden erst mal verstehen und auch greifen muss.

00:13:58: und Kunden sind am Ende eigentlich fast immer überrascht genau über diesen Effekt.

00:14:05: kleines Szenario ach Gott doch so viel Aufwand und doch soviel Zeit und dochso viele Erkenntnisse die da rausfallen.

00:14:10: das finde ich cool.

00:14:11: ja und ich finde auch das Schöne bei den kleinen Szenarien ist wie kann man gewinnen Wenn der Domainatmen fällt, dann ist alles vorbei.

00:14:19: Da kommt niemand mehr aus der Übung raus und sagt ja wir haben das geschafft!

00:14:23: Bei den kleinen Szenarien hat man die Chance es zu gewinnen.

00:14:26: Und ein Spiel, dass man verliert, das motiviert nicht wirklich.

00:14:30: Mein Ziel ist schon immer, dass diese Spiele in irgendeiner Form am Ende erfolgreich abgeschlossen werden.

00:14:35: Klar, zu lernen gibt's immer.

00:14:37: was aber das Spiel zu verlieren?

00:14:40: Dann ist die Abneigung gegen dieses Spiel danach riesig.

00:14:45: Jeder will, dass diese Spiele gern gespielt werden.

00:14:47: Weil aus diesen Spielen man wahnsinnig viel Routine gewinnen kann!

00:14:51: Ich hab Kunden die ich lange begleitet habe jedes Jahr mit einem neuen Tabletop und die Routine die sich da eingespielt hat ist beeindruckend.

00:15:00: also... Da is ne Tabletopszenare das auf drei Stunden geplant ist plötzlich in eineinhalb Stunden abgehandelt weil einfach diese Kommunikationswege sitzen Die Schritte, die durchzuführen sind sitzen einfach.

00:15:14: Es ist dann alles da und dann wird es für uns relativ schweren ins Szenario zu bauen das halt trotzdem dazu führt dass jeder mit einbezogen ist weil eigentlich wissen alle genau was zu tun ist.

00:15:26: Ja aber es ist am Ende ist es trotzdem immer wieder so dass man eigentlich was findet wie's gut funktionieren kann.

00:15:34: Und ich würde schon sagen dass auch etwas ist wo man diese Routine ... positiv merkt.

00:15:41: Also gerade am Anfang ist dieses, ich muss erst mal mit dem Szenario oder mit dieser Idee Tabletop klarkommen und noch ein Szenario haben.

00:15:48: das überfordert oft auch in der ersten Durchführung ein bisschen und es führt auch zu Stress und das ist ja auch gewünscht dass quasi so eine Tabletoppübung Stress auslöst... Und dieser Stresspegel berichten quasi Leute die das durchgeführt haben dann oft Der kommt auch durch diese Personalisierung, nämlich dass man wirklich das Gefühl hat mein eigenes System oder den Server.

00:16:10: Den kenn ich der ist betroffen und das war ja das für das Feedback was wir bei einer Übung bekommen wo sie gesagt haben Das war krass.

00:16:17: Nach fünf Minuten, ich war so drin.

00:16:20: Ich habe vollkommen vergessen, dass das eine Übung ist und wenn man das geschafft hat dann hat man eigentlich quasi den Job gut gemacht und schon gewonnen für die

00:16:27: Übung.".

00:16:27: Und man könnte jetzt denken, dass wir als Spielleiter die Teilnehmer in den Übungen da immer ein bisschen rausreißen weil wir ja quasi dann so die Stimme aus dem Off des Ganzen noch mal... ...in die Ferne rücken.

00:16:37: aber das ist gar nicht so, weil wir gar nichts so viel sagen im Rahmen von so einer Übung.

00:16:41: Man könnte jetzt erwarten, dass bei dem Spiel, wenn es dann begonnen hat Meistens wir geben eben eine Sorgmeldung raus oder es kommt ein Alert.

00:16:49: Und dann leiten wir das Spiel und sagen den Teilnehmern, was sie jetzt zu tun haben.

00:16:53: Aber das ist überhaupt nicht der Fall sondern die Meldung geht an denenjenigen, der in der Realität diese Meldungen auch bekommen würde.

00:17:01: Der bekommt jetzt die Melldung und muss mit dieser Meldkung handeln.

00:17:05: Nicht wir handeln, sondern das Team handelt!

00:17:07: Er entscheidet jetzt wen er mit reinbezieht.

00:17:10: Er entscheidet jetzt, was er für Aktionen trifft... was er jetzt für weitere Analysen durchführt.

00:17:16: Das heißt, wir tun gar nichts!

00:17:18: Wir managen nicht das Spiel.

00:17:20: Der Vorfall wird vom Incidentmanager gemanagt und der IncidentManager ist im Wesentlichen der, der das Spiel vorantreibt weil er delegiert, er verfolgt die Aufgaben nach, er sagt hey aber die Aufgabe haben wir noch nicht erfüllt.

00:17:31: lasst mal die Analyse machen.

00:17:33: Im besten Fall ja.

00:17:33: im schlechtesten Fall bleibt die Aufgabe bis zum Ende liegen.

00:17:37: Und dann gibt es noch ein Alert und dann denkt man wieder an die Aufgabe... ...und dann kommt das Team und sagt wir machen jetzt Die Analyse auf dem System, was finden wir in den Logs?

00:17:47: und dann kommen wir als Spieleiter wieder ins Spiel.

00:17:49: Wir legen jetzt eine Folie auf oder erzählen das auf der Tonspuren nicht für jede Eventualität haben wir das vorbereitet.

00:17:55: aber auch wir sind so in der Immersion drin weil wir uns diese Systeme visualisiert haben.

00:18:04: mehr oder weniger im Kopf.

00:18:05: Auch uns geht manchmal was schief, auch wir verwechseln manchmal bestimmte Artefakte und dann kommen wir auch ganz schön ins Schwitzen bei solchen Übungen.

00:18:12: aber im Normalfall klappt es am Ende auch.

00:18:14: und dann sagen wir den Teilnehmern ja ok hier auf dem System findet ihr einen Login der von einer IP-Adresse auszugehen scheint Und dann sind die Teilnehmer wieder dran.

00:18:23: Wir geben nur diese kleinen Impulse und das Spiel entwickelt sich vollständig in den Händen der Teilnehmer.

00:18:27: und je besser die Immersion ist desto natürlicher ist die Übergabe zwischen den Teilnehmern.

00:18:34: Läuft dieses Spiel bei den Teilnehmern, bis sie denken Sie hätten eine Eindämmung hinreichend geschafft.

00:18:39: Oder bis ein anderes definiertes Ziel das wir vorher festgelegt haben erreicht ist.

00:18:43: Das heißt die Eindämmung, sei es die vollständige Wiederherstellung oder sei es auch nur dass die Eskalation bis zu einer bestimmten Stelle funktioniert hat völlig individuell.

00:18:51: aber Wir sind im Wesentlichen nicht beteiligt!

00:18:53: Wir sitzen neben dran und werfen immer mal wieder einen kleinen Ball rein Aber wir hören zu.

00:18:59: Genau deswegen machen wir es auch immer mit zwei Personen, einer der wirklich protokolliert und alles mitschreibt sich schon mal eine Notiz macht.

00:19:06: Hier gibt's Verbesserungspotenzial da ist was da sollte man im Nachgang noch einmal drüber sprechen und der andere ist letztendlich in dieser Spielleiterrolle Der übernimmt auch die Simulation von Teilnehmern, weil das hatten wir anfangs einmal gesagt nicht alle Rollen muss man immer mit reinziehen.

00:19:23: Nicht jeder Dienstleister macht damit.

00:19:25: dass heißt es gibt bestimmte rollen bestimmten Personen die man einfach auch simuliert und so kann man auch noch mal zwischendurch ein bisschen den Druck erhöhen in so einer Übung wenn man jetzt eben sagt Ähm, hier sind mal Leute.

00:19:37: Ich bin jetzt der Manager.

00:19:39: Wir haben doch gesagt ich will auf den laufenden gehalten es ist jetzt hier vierzehn Uhr.

00:19:42: wir haben gesagt, ich will um zwölf Uhr ein Status-Meeting.

00:19:45: wie sieht's denn eigentlich aus?

00:19:46: und dann kommt man wieder in die Situation.

00:19:48: ah herrichtig!

00:19:48: Man musste das ja zusammen fassen.

00:19:50: Ich muss nochmal kurz eine Zusammenpassung geben... ...und dann ist man wieder genau in diesem Modus drin.

00:19:55: Wie es ja auch in der Realität ist?

00:19:57: Man kriegt immer von links und rechts noch einmal einen Interrupt rein.

00:20:00: Das ist nie stringent und ich kann hier komplett meinen mein machen, sondern man kriegt immer noch mal eine Anfrage von links oder rechts und das ist was, was glaube ich bei den Teilnehmern auch eigentlich immer gut

00:20:11: angeht.

00:20:11: Ein klassisches Beispiel dafür ist wenn die Teilnehmer vergessen hinreichend zu kommunizieren dann ruft halt jemand an und beschwert sich warum ist mein System nicht mehr verfügbar?

00:20:19: Und naja wer im Rahmen der Vorfallsbehandlung eine geeignete Informierung passiert Dann wäre diese Nachfrage nicht gekommen hätte weniger Stress erzeugt und man wär insgesamt besser durchgekommen.

00:20:29: Das lernt man.

00:20:30: Ich

00:20:31: glaube ein Punkt der bei Tableton so bisschen schwierig ist, das Thema Dokumentation.

00:20:36: Einfach weil natürlich man hat einen sehr kurzen Zeitraum, man redet über zwei, zweieinhalb Stunden plus Minus die die Übung dauert aber da passiert ja sehr viel.

00:20:45: in der Realität hätte man natürlich genügend Zeit um auch ordentlich zu dokumentieren Dinge aufzuschreiben und zu tracken.

00:20:52: Das ist so'n bisschen was.

00:20:52: dann muss man einfach lernen mit Umzugehen.

00:20:55: deswegen gibt's bei SoLessonsLearn auch immer so eine Art Ich nenn's mal Befund quasi, wo man sagt hey das und das habt ihr nicht gemacht aber das ist einfach dem Tabletop Charakter geschuldet denkt einfach in der Realität da dran.

00:21:10: Das ist so.

00:21:11: diese weiche Befund nenne ich jetzt einfach mal.

00:21:14: Aber es gibt natürlich auch Aspekte die einfach auffallen.

00:21:16: wenn man sagt ey das ist ein Defizit dann muss man daran arbeiten.

00:21:20: am Ende

00:21:21: Also diese, dass mal IOCs runterfallen und vergessen werden oder mal einzelne Aufgaben nicht mehr durchführt.

00:21:27: Eben weil es die Tabletop-Übung ist und man nicht eine Liste der Aufgaben drin hat.

00:21:31: Man hat halt irgendein System das man nutzt ein Ticketsystem oder sowas in der Realität und dafür haben wir keine Zeit bei der Tabletoppübung.

00:21:37: Niemand schafft es in der Geschwindigkeit.

00:21:39: Na man kann das schon schaffen.

00:21:40: aber in der realität in der Tabeltopp Übung ist es eher selten dass es wirklich geschafft wird alle Aufgaben sinnvoll zu dokumentieren.

00:21:46: Vielleicht in manchen Fällen klappt's mit einem Whiteboard?

00:21:50: Und es wird sehr stringent dokumentiert.

00:21:52: Aber wenn man es wirklich vor allem über die Diskussion macht, dann wird es relativ schwer und auch da sieht man die Notwendigkeit seine Gedanken sinnvoll zu strukturieren und seine Tätigkeiten sinnvoll aufzuschreiben.

00:22:03: das ist was wirklich wichtig ist aber halt in einem Tabletop.

00:22:06: Das würde die Sache sehr verzögern und ist da nicht unbedingt angebracht.

00:22:10: Da kann man sein eben zur anderen Übung wie zum Beispiel im Wargame gehen.

00:22:14: Wenn ich jetzt so eine Übung fertig habe, woher weiß ich dann wie das lief?

00:22:18: Das Spannende ist, das wissen die eigentlich immer schon selber ganz gut.

00:22:21: Also man kriegt während der Übung als Teilnehmern ein gutes Gefühl dafür... Was lief gut?

00:22:27: Wo hat's gehakt?

00:22:28: Wo haben mir Informationen gefehlt?

00:22:30: Wo habe meine Prozesse nicht so funktioniert wie sie hätten funktionieren sollen?

00:22:34: Wo hab ich einfach auch vergessen dass ich einen Prozess dafür habe und gar nicht das Notfallhandbuch rausgeholt zum Beispiel.

00:22:41: Deswegen machen wir bevor wir in die Lessons learned einsteigen ja eigentlich immer genau den Modus für sagen hey teilnehmer was sind denn die Erkenntnisse für euch persönlich?

00:22:52: und lässt erstmal die Teilnehmer berichten.

00:22:54: Und da kommen, ich würde sagen zu achtzig Prozent Deckungsgleich die Aspekte raus, die man sich selber auch notiert hat im Sinne von das sind Defizite Die haben wir gesehen, die haben wir mit protokolliert.

00:23:07: und dann kommt nochmal von uns die Punkte, die den Teilnehmern auch nicht auffallen unbedingt wo man noch mal so ein paar weitere aspekte ergänzen kann.

00:23:15: Und deswegen ist es auch schön, selbst wenn man ein großes Team hat.

00:23:18: Es kann nicht immer alle mit beteiligt sein, weil ... Man kann ja die Aufgaben nicht wirklich parallel bearbeiten bei einem Tabletop, sondern man hat immer so eine sequenzielle Abfolge der Natur der Sache geschuldet.

00:23:30: in der Praxis würde man sie parallelisieren und dann hätte man von mehr Personen einen Benefit.

00:23:36: Bei der Tabletoppübung ist das halt nicht so.

00:23:39: aber das bedeutet nicht dass die Person dann einfach nicht dabei sein können, sondern die können als Beobachter dabei sein.

00:23:45: Und das ist auch super wertvoll weil sie eben dann mitbekommen ach das macht die Rolle dafür.

00:23:51: ist die Person überhaupt da?

00:23:53: oder ach so?

00:23:53: ja da hätte ich auch nicht dran gedacht die anzurufen.

00:23:56: oder wie in unserem Fall man sitzt da guckt zu und denkt sich so jetzt Ruf doch endlich da an!

00:24:02: Hol dir doch den Kollegen, der kennt sich doch damit aus.

00:24:05: Das ist doch genau sein System und man fiebert so mit.

00:24:08: aber das gibt einem einfach noch mal selbst wenn man nicht aktiv eine Rolle hatte ein gutes Gefühl für die Zukunft weil man sagt okay dann werde ich beim nächsten Mal dran denken.

00:24:16: Ich

00:24:17: habe mich bei der Übung bei uns so geärgert.

00:24:18: Ich wusste ok jetzt hier an dieser Stelle würde ich richtig gut weiterhelfen können.

00:24:23: ruft mich an und dann sagen sie rufen mich an Und werden so ein Modus das gewürfelt wurde ob dass hinzuziehen erfolgreich ist.

00:24:31: Dann haben sie gewürfelt und sie hätten kleiner gleich fünfzehn auf einem zwanziger Würfel würfeln müssen, und sie haben die sechzehn gewürbelt.

00:24:38: Und ich durfte nicht mitspielen!

00:24:39: Ich bin weiter in der Beobachterrolle geblieben.

00:24:42: Das fand ich sehr schade.

00:24:43: Ich hätte echt gern aktiver teilgenommen.

00:24:45: Gut aber das ist genau wie in der Realität auch.

00:24:48: Man hat vielleicht eine Schnüsselposition oder Schnüsselperson an dieser Stelle ... Die ist auch mal im Urlaub, die ist auch krank.

00:24:56: Das ist die Realität.

00:24:59: Zufall mit Würfeln erzeugen, quasi wie bei Dungeons & Dragons.

00:25:03: Es ist ja am Ende nichts anderes vom Spielkonzept her genau das was die Realität auch widerspiegelt und so kann man wunderbar Aspekte abbilden.

00:25:13: Wie sieht es denn eigentlich aus wenn ich jetzt eine Übung plane die außerhalb meiner Bereitschaftszeiten oder außerhalb meiner Kernarbeitszeiten stattfindet?

00:25:21: Erreiche ich dann die Personen überhaupt?

00:25:23: habe ich den eine Eskalation, die dann noch greift.

00:25:26: Oder hab ich einfach Defizite an dieser Stelle?

00:25:29: Ist cool!

00:25:30: Ja das bringt nochmal so ein bisschen den Chaos-Faktor rein.

00:25:33: und der Unvorhersehbarkeit.

00:25:35: Das macht echt Spaß.

00:25:36: Ganz wichtig ist aber manchmal macht es auch Sinn tatsächlich Menschen hinzuziehen.

00:25:42: nicht alle die vorgesehen sind im Spiel müssen auch von Anfang an am Tisch sein oder überhaupt Bescheid wissen dass eine Übung stattfindet.

00:25:50: Manchmal macht es anzurufen.

00:25:55: Dann hat man natürlich das Risiko, sie sind nicht erreichbar sowie in der Realität.

00:25:59: aber dann ist es besonders wichtig ganz am Anfang zu sagen Achtung!

00:26:02: Das ist eine Übung und wenn man voll drin ist im Spiel, dann geht das manchmal verloren.

00:26:08: Das stimmt für's Thema angekündigt versus Nicht-angekündig ist ja auch ne Standarddiskussion.

00:26:15: auch da einfach... Ich bin großer Fan davon, am Anfang gerade wenn man das erste zweite dritte mal macht die Übung anzukündigen dass die Leute sich darauf einstellen können.

00:26:25: Dass sie einen Termin im Kalender haben und es nicht so.

00:26:27: dieser Stressfaktor ist mit ich werde aus dem Tagesgeschäft für eine Übung rausgerissen weil am Ende will man, dass dieses Projekt diese Übung... ...ne Erfolg ist!

00:26:37: Nicht nur im Sinne von ich habe meine Prozesse richtig eingehalten sondern auch dass die leute sagen Hey, das war cool.

00:26:42: Das hat Spaß gemacht!

00:26:43: Lass uns das noch mal machen, das hat mir richtig was

00:26:45: gebracht.".

00:26:46: Und da kommen wir zu diesem Thema Frustfaktor.

00:26:49: Spiele müssen gewinnbar sein und sollen gewinnbare sein und auch dieses Thema... Ich will nicht ohne überhaupt wissen, was das ist in irgendwas reingeworfen werden wo ich gar keinen Plan habe.

00:27:00: wie funktioniert denn dieses Spiel überhaupt?

00:27:02: Was soll denn das überhaupt sein?

00:27:03: Jetzt soll ich hier irgendetwas tun.

00:27:05: D.h.,

00:27:05: da lohnt es sich einfach am Anfang das nochmal anzukündigen.

00:27:08: Es ist ja auch eine Wertschätzung der Zeit weil diese Tabletop-Übung benötigt Zeit und die Zeit muss halt irgendwo aus dem Tagesgeschäft.

00:27:17: geholt werden.

00:27:18: Das heißt, das Transparenz zu machen ist auf jeden Fall hilfreich!

00:27:21: Hast du eigentlich eine bevorzugte Form der Durchführung?

00:27:24: Ist ja auch ne Standardfrage, machen wir das vor Ort im Raum oder machen wir es über Teams und Remote als Webkonferenz?

00:27:31: Also für mich als Teamleiter ist es deutlich schöner vor Ort zu sein weil einfach wenn Fragen- oder Analysen stattfinden sollen dann werde ich angeschaut da kommt so ein fragender Blick und dann wird gesagt Ich schaue auf dem System nach den Locks Und dass funktioniert bei Teams nicht ganz so gut.

00:27:47: Allerdings macht halt eine Übung vor Ort bei einem Team, das eh nur remote arbeitet überhaupt keinen Sinn.

00:27:52: Dann würde ich es auf jeden Fall per Teams machen.

00:27:54: aber wenn man die Möglichkeit hat das vor Ort zu machen und es auch realistisch ist dann würde ich's auf jeden fall vor Ort machen was einfach viel viel schöner ist und viel viel eingängiger.

00:28:02: Man hat weniger Verzögerungen Es ist klarer wer mit wem kommuniziert.

00:28:05: man hat weniger Kommunikation am Spiel vorbei weil manche Teilnehmer dann doch über teams nebenher chatten Und dann Informationen oder Gedanken austauschen nicht für alle sichtbar sind.

00:28:18: Deshalb würde ich da immer die Vorortübung bevorzugen.

00:28:22: Ja, geht mir auch so... Ich meine man hat natürlich auch da immer noch so ein Aspekt bei einem Tabletop.

00:28:27: Wenn man die Variante fährt das alle Teilnehmer direkt von Anfang an mit im Raum sind dann hören natürlich auch immer alles mit.

00:28:37: Das heißt wenn sich zwei Personen untereinander austauschen und sagen hey du pass auf wir haben da diesen und jenen Vorfall dass und das ist die aktuelle Situation dann hören die anderen das unweigerlich.

00:28:46: Und die nehmen es mit und unterbewusst, nehmen sie dann auch... ...implizit ja Informationen an, die ihnen vielleicht quasi bei der Übergabe gar nicht mitgegeben wurden.

00:28:56: Das heißt auch solche Sachen... da achtet dann der Protokolland drauf, dass man sagt hey!

00:29:00: Die Übergabe war nicht vollständig.

00:29:02: Es ist aber was einfach nachher diesem Tabletop-Charakter geschuldet ist.

00:29:06: Und wo's dann wenn man reifer ist, wenn man's öfter gemacht hat natürlich der Vorteil entsteht.

00:29:10: alle wissen was ein Tabletob isst.

00:29:12: Und man kann genau sagen Hey pass auf wir machen Ein kurzes Onboarding, die Übung findet statt.

00:29:16: Alle gehen wieder raus und dann werden nun die Personen reingeholt, die quasi dann dazu geholt werden... ...und dann hat man diese Situation nicht mehr so krass!

00:29:24: Aber das ist was, das würde ich am Anfang doch schon auch machen, dass man die Leute alle mit rein holt.

00:29:29: Und von Anfang an das ganze Spiel begleitet wird, dass eben jeder auch sieht, was eigentlich passiert und wie es funktioniert bei so einer Übung?

00:29:37: Ja!

00:29:38: Wem würdest du empfehlen solche Übungen

00:29:40: durchzuführen?!

00:29:41: Also grundsätzlich ist das was sollte glaube ich einfach jeder machen, weil es einfach ist und super viele Erkenntnisse dabei rauskommen.

00:29:54: Aber natürlich ist es deutlich einfacher etwas zu üben was man schon mal irgendwie definiert und aufgeschrieben hat.

00:30:01: Wenn man selber noch am Anfang steht und sagt Ich habe mir noch nie darüber Gedanken gemacht was sich eigentlich tun würde wenn dann kann man davon ausgehen dass die Übung tendenziell eher chaotisch laufen wird.

00:30:13: Das heißt, wenn man schon mal sich überlegt hat ich habe einen Prozess und so könnte oder sollte das ... Laufen, das hab' ich mir überlegt dann wär's ein guter Zeitpunkt also einfach mal mit einer Tabletop-Übung zu üben.

00:30:27: Wenn man sagt Mir liegt der Fokus tatsächlich gerade noch eher auf irgendwie technischen Use Cases Und funktioniert meine Alarmierung krieg ich nen Alarm von dem und dem System in meiner EDR Konsole dann ist Tabletop nicht die richtige Wahl.

00:30:42: Weil es passiert nur auf dem Papier, nicht auf dem System selber, dann wär's tatsächlich das Wargame an der Stelle.

00:30:50: Kurz zur Erklärung bei einem Wargame passieren die Angriffe tatsächlich.

00:30:54: Da ist auch wieder eine wahnsinnige Vorbereitung dabei weil hier jetzt tatsächliche Systeme vorbereitet werden müssen, auf denen die beschriebenen Angriffs eben tatsächlich funktionieren und am Ende zu Alarm führen.

00:31:04: Und dann erfolgt die Vorfallsbehandlung anhand dieses Szenarios des von einem Angreifer in echt durchgeführt wird.

00:31:11: Also ein simulierter Angreifer natürlich, aber technisch passiert es an der Stelle wirklich und das dauert dann auch von der Vorfallsbehandlung her deutlich länger.

00:31:18: Da muss man nicht nur zwei bis drei Stunden rechnen sondern vielleicht sogar einen ganzen Tag bis der Vorfall abgeschlossen

00:31:23: ist.

00:31:24: Vielleicht machen wir da einfach noch mal eine Podcast-Folge zu?

00:31:27: Würde sich anbieten!

00:31:29: Ja was ist für dich ne gute Tabletop?

00:31:31: mich ja also wann denkst du als Spieleiter aus so ner Sache raus und denkst ja das hat richtig gut geklappt.

00:31:37: Ich gehe immer dann daraus, wenn der Ablauf zu dem gepasst hat.

00:31:45: Was ich mir vorher überlegt habe und das ist das eine, wenn einfach das Drehbuch funktioniert hat.

00:31:53: Und das andere ist dann, wenn tatsächlich die Teilnehmer am Ende sagen, krass!

00:32:00: Das fühlte sich so echt an... Das ist das, was ich vorhin schon gesagt habe.

00:32:05: Wo die eine gesagt hat, ich war noch fünf Minuten, war ich so drin?

00:32:10: Dann hab' ich einen guten Job gemacht.

00:32:13: Sehr schön!

00:32:13: Für dich

00:32:14: auch?!

00:32:14: Ja, ich find' immer cool wenn ich seh', dass sie Teilnehmer und vielleicht auch ich wirklich noch etwas dazugelernt haben – was essentielles.

00:32:22: Und das passiert vor allem bei so Schnittstellen-Sachen.

00:32:25: Ich hatte eine Übung... Da ging es dann um den Innentäter.

00:32:28: und dann war es total spannend zu sehen, wie in dem Unternehmen mit dem Innentäter umgegangen wurde.

00:32:32: Da kann auch die Rechtsabteilung dazu und hat Hinweise dazu gegeben was man jetzt mit diesem Innentater machen darf und wie man mit den Daten umgehen darf, die dabei entstanden sind.

00:32:41: Und da haben die Teilnehmer wahnsinnig viel gelernt weil das für sie ein völlig neues Feld war Mit diesen Überlegungen was an der Schnittstelle passiert.

00:32:48: Da hatten die überhaupt keine Berührungspunkte davor.

00:32:50: Und für mich war das auch wahnsinnig spannend, weil einfach diese Perspektive eine ganz andere war als bei den anderen Übungen.

00:32:55: Aber so für eine normale Übung, bei der sowas Absurdes nicht passiert ist es genau dieses Ding.

00:33:00: Wenn die Immersion geklappt hat und sich alle wohlfühlen bei der Sache und alle das Gefühl hatten, wow wir haben was Gutes geschafft ... dann war das ne schöne Übung!

00:33:10: War das letzte Woche bei uns ne schöne Über?

00:33:12: Also, ich hatte Spaß.

00:33:14: Und ich war tatsächlich direkt drin!

00:33:16: Es hat nicht lange gedauert wobei ich fairerweise dazu sagen muss Ich wurde vorher auch mit einbezogen.

00:33:23: Ich kannte schon grob das Drehbuch Aber dadurch dass die Vorbereitung ja doch sich ein bisschen zieht Muss ich einfach auch geschehen habe schon mal den ganzen Details vergessen.

00:33:34: Ohja, das ist ein ganz wichtiger Punkt.

00:33:35: Eigentlich hätte Micha ja tatsächlich bei der Durchführung der Übung eine Rolle spielen können.

00:33:41: Da muss man immer bei der Vorbereitung aufpassen.

00:33:43: Die Personen, die vorbereiten, sollten nicht aktiv an der Übung teilnehmen und das ist manchmal ein bisschen Problem.

00:33:50: wenn man da nicht genügend Personen hat, die tatsächlich die internen Strukturen also auf technischer Ebene so gut kennen dass sie die Vorbereitungen begleiten können und dann aber zu wenig Personen hinten dran bei der vorfalles Behandlung hat Dann wird es ein bisschen eng.

00:34:05: Dann müssen wir uns ein bisschen Freiheiten nehmen und ein paar Sachen noch zurückhalten, dass man nicht jeden Kniff vorher kennt.

00:34:11: Aber auch das ist am Ende machbar.

00:34:14: Ja,

00:34:15: wir haben es schon oft genug gemacht würde ich sagen an der Stelle.

00:34:19: Ich denke auch irgendwie klappt's am Ende immer.

00:34:21: Benny war das das letzte Wort?

00:34:23: Glaubt schon!

00:34:23: Ja hat Spaß gemacht.

00:34:25: Fand ich auch bis zum nächsten Mal.

00:34:27: Bis

00:34:27: zum nächsten mal.

00:34:28: Thema Wargaming.

00:34:29: Das war die dreizinte Folge unseres IT Security Podcasts.

00:34:33: Wenn Sie sich weiter informieren möchten, schauen sie gerne rein auf

00:34:36: www.kirosec.de

00:34:39: und seien Sie gespannt auf

00:34:40: die nächste Folge!