profile

Michael Mayer

Zombie Land

Published 1 day ago • 2 min read

Halloween ist zwar erst nächste Woche, aber es wäre langweilig, am 1. November noch einen Grusel-Newsletter zu lesen. Daher gibt es ihn schon diese Woche! 🧟🎃

Was ist schlimmer als Stillstand? Auf einem Zombie-Pferd zu reiten! Damit meine ich keine schlecht selektierten Tools, sondern falsche Schlussfolgerungen.

Die Logik, dass das Netzwerk sicher ist, weil bisher noch nichts passiert ist, ist genauso schwachsinnig wie die Vorstellung, unsterblich zu sein, nur weil man noch nicht gestorben ist. 👻

Die hirntote Konsequenz

Wie erklärst du einem Zombie, dass er tot ist, ohne dass er dich auf der Stelle zerfleischt? Oder einem Raucher, dass er mit dem Rauchen aufhören soll, weil es ungesund ist?

Als Beweis wird die Abwesenheit der Konsequenz verwendet. Der Zombie bewegt sich, der Raucher atmet und die IT läuft. Der Gedanke ist weit verbreitet und gefährlich. Man wiegt sich in falscher Sicherheit.

Wenn du vom Gegenteil ausgehst, hast du eine Beweislastumkehr. Dann musst du den Nachweis erbringen, dass es nicht so ist.

  • Beim Zombie wurde noch kein Puls gemessen.
  • Dem Raucher wurde der Lungenkrebs noch nicht ausreichend attestiert.
  • Wir haben den Angreifer noch nicht entdeckt.

Dazu gibt es einen Fachbegriff: "Self-Confirming Attribution Error". Die eigene Realität wird so lange verzerrt, bis sie sich irgendwann als Wahrheit bestätigt. Das kommt dir sicher genauso bekannt vor wie mir. 😉

Statt zuzugeben, dass man sich geirrt hat und man die Software-Lösung nicht richtig absichern kann, macht man stur weiter und knallt immer wieder gegen die Wand.

Aber wie kann das sein? Der Sales-Manager des Software-Herstellers hat es einem doch garantiert, dass es passt. Wer trägt die Schuld? Vielleicht hat die IT wieder Mist gebaut? Der Druck wird erhöht, die Compliance verstärkt, und irgendwelche Quick-Fixes implementiert, bis es erneut kracht.

Schuld war alles, nur nicht das eigentliche Problem.

Tödliche Gewohnheit

Was ist schrecklicher als jeder Horrorfilm? Alltagstrott! 😱 Wenn aus spannenden Routinen, todlangweilige Gewohnheiten werden. Nach über 3 Jahrzehnten Zähneputzen, hat die Begeisterung bei mir auch ein wenig nachgelassen. Auch Zahnpasta in Halloween-Design hilft da nicht.

Was noch viel schlimmer ist: Wenn keine Rückfragen mehr gestellt werden. Prozesse werden nicht mehr geprüft und Budgets nur noch nach Gefühl verlängert. Es ist so, als ob Firmen schon gewonnen hätten und ihre Innovationen nur verwalten würden.

Versteh mich nicht falsch, ich liebe Routinen. Sie geben mir einfach mehr Freiraum, um in anderen Bereichen fokussierter, oder kreativer zu sein. Aber man sollte sie trotzdem nicht vernachlässigen.

Der eiskalte Wind der Veränderung

Spätestens wenn es wehtut oder wenn du zur jährlichen Kontrolle beim Zahnarzt bist, wird deine Routine auf die Probe gestellt. Vielleicht hätte man die paar Minuten jeden Tag doch mehr Aufmerksamkeit schenken sollen, anstatt währenddessen alles Mögliche zu machen.

Wenn du in deinem Trott steckst, merkst du die Fehler im System nicht. Erst wenn du drei Schritte zurücktrittst, hast du eine Chance. Oft nicht mal dann, denn wir alle werden mit der Zeit zu betriebsblind.

Die beste Möglichkeit ist es, dass du dir frischen Wind von außen holst:

  • Externe Security Audits für die Infrastruktur
  • Peer-Reviews von IT-Strategien
  • Unabhängige Risikoanalysen

Wenn ein Externer deine IT-Umgebung bewerten soll, dann muss er sich auch kein Blatt vor den Mund nehmen. Wenn der IT-Leiter seine Mitarbeiter beauftragt die IT zu prüfen, dann kannst du dir kein unabhängiges Ergebnis erwarten.

Wenn du es intern lösen möchtest, dann sei durchaus neugierig und hinterfrage das "Warum", wie zum Beispiel:

  • Warum machen wir das überhaupt so?
  • Warum machen wir es nicht wie alle anderen?
  • Warum gibt es Lebkuchen schon vor der Halloween-Deko?

Fazit

Du brauchst nicht immer neue Augen, oft reicht ein frischer Blickwinkel. Self-Confirming Attribution Errors sind bittere Wahrheits-Wölfe, die sich als Erfolgs-Schafe tarnen.

Es liegt an dir, ob du jetzt was tust, oder wartest, bis du als Untoter aufwachst. 🪦

Michael Mayer, Modecenterstraße 22, Wien, 1030
Abbestellen · Einstellungen

Michael Mayer

Ein Security-Nerd schreibt Klartext

MACH dir deine Security selbst. Jeden Samstagmorgen, teile ich anwendbare Strategien und Anekdoten aus der Welt der Cyber Security. Ganz ohne Fachchinesisch!

Read more from Michael Mayer

Niemand klatscht, wenn nichts passiert. Keine standing Ovations, wenn das automatisierte Patching wie jeden Monat nahtlos durchläuft. Es gibt auch keinen Bonus, wenn der Spam-Filter keine Phishing-Mails durchlässt. Wenn nachts um 03:00 Uhr der Alarm losgeht und der heldenhafte Incident-Responder ausrückt, obwohl der Angriff vermeidbar gewesen wäre, gibt es ein fettes Dankeschön der Geschäftsführung und Kuchen für alle. Willkommen bei Security Tetris. Wo Erfolg niemals zählt, aber kleinste...

9 days ago • 3 min read

Warst du als "Kind" (hüstel 😅) auch so verrückt nach Super Mario und hast es tausende Stunden gespielt wie ich? Viele verschiedene Welten, viele Gegner, Fallen, Geheimwege und herausfordernde Endbosse. Am Ende winkt die Prinzessin als Belohnung. Da schlägt das kompetitive Spielerherz gleich höher. Aber stell dir jetzt einfach mal vor: Mario ist nicht der Held, sondern der Angreifer. Und dein Netzwerk ist das Spielfeld. Wirst du durchgespielt? Viele in der IT-Security denken, dass ihr Netzwerk...

16 days ago • 4 min read

Wenn du Cyberangriffe auf deine Infrastruktur stoppen möchtest, dann ist das wie eine Sisyphusarbeit. Du hast dich dazu verdonnert einen riesigen Felsbrocken einen steilen Berg hinaufzurollen. Aber so wie damals im alten Griechenland, wirst du diesen Gipfel aber niemals erklimmen… Perfection kills Progress Manchmal habe ich das Gefühl, als gäbe es in Cybersecurity Branche nur 0 und 1. Also faktisch, nicht binär. 😅 Die einen möchten nichts tun, oder fast nichts. Die anderen sind totalitär...

23 days ago • 3 min read