Was findet der Auditor beim Drucker?

00:00:00: Mr.

00:00:00: Ciso und Mr.

00:00:01: AI im Gespräch.

00:00:03: Der Podcast versichere und zuverlässige Digitalisierung.

00:00:10: Hey, herzlich willkommen zu unserem neusten Podcast Volk Tobi.

00:00:17: cool dass wir hier wieder zusammen aufnehmen dürfen.

00:00:19: Du warst schon mit der Ferie, wie waren deine Ferien?

00:00:22: Es war super!

00:00:23: Ja, jetzt sind wir endlich mal offline gewesen.

00:00:25: Meine KI hat tatsächlich keine Informationssicherheit Und du hast währenddessen noch fleißig gearbeitet, oder?

00:00:33: Genau.

00:00:35: Sicher pautet ja!

00:00:37: Der Laptop eine Woche im Dresel, woher habe ich gehört?

00:00:39: Ja ja, physische Sicherheit,

00:00:41: gell?!

00:00:41: Aha voilà!

00:00:42: Auf mein Laptopp!

00:00:43: Top!

00:00:44: Sind wir auch schon voll beim Thema... genau der Tobi auch ohne Kai, dann haben wir recht und machen doch mal Erfolg.

00:00:51: Auch ohne Kai heute mit dem Thema.

00:00:53: Tobi hat jetzt schon an die hieseren physischen Sicherheit in dieser digitalen Welt.

00:00:58: Ich bin gespannt.

00:00:59: Da bist du der Experte, ich bin eher das Opfer manchmal je nachdem.

00:01:02: Mal gucken, was du da so für Story sagst und wie man das machen kann?

00:01:05: Ja, gerne!

00:01:05: Ich gebe dir doch mal einen Einblick also von sich.

00:01:08: wo ist es eingezogen im Bereich Informationssicherheit.

00:01:12: Also wenn wir uns eben eine Zwanzigdusung redet gibt's tatsächlich ein ganzes Capitum zum Thema physische Sicherheit.

00:01:19: Das sind insgesamt vierzehn Kontrollen aus dem Standard raus, die sich um physische Sicherheit... Dreiert.

00:01:26: Wir können nicht auf alle eingehen heute, aber da kann man ein paar rauspickt und eine gute anschauliche Beispiele dazu haben.

00:01:33: Ja vielleicht fragt ich dich, wenn du an physische Sicherheit gehörst, was denkst du hier?

00:01:39: Spontan sicher mal das Laptop oder der ist einfach Tor Nummer eins.

00:01:42: Wenn jemand in mein Laptob kommt, dann ist es nicht gesichert.

00:01:44: Was passiert dann?

00:01:46: Das andere ist so spontan.

00:01:47: Er hat eine Bildschirmschutzfolie drauf oder man ist vielleicht unterwegs irgendwo, vielleicht telefoniert man... Das kann jemand drauf zugreifen.

00:01:53: Und das dritte ist so spontan der physische Sicherheit dann wirklich auch für das Büro oder für uns selber, wer hat einen Zugriff drauf?

00:01:59: Wer kann sich da irgendwann melden und vielleicht was mitnehmen?

00:02:01: Ja!

00:02:02: So die spontanen drei Sachen, die werden fallen...

00:02:04: Ja du bist schon voll auf den richtigen Spur um was es hier geht in diesen Isothemen zur physischen Sicherheit.

00:02:11: Wie ich gesagt habe im neuen Standard jetzt ein ganzes Kapitel dazu also die Massnahmen vorerst schon.

00:02:17: Sie haben jetzt einfach im neuesten Die Struktur ist gewählt, dass dort wirklich ein eigenes Capitou ist.

00:02:23: Und ich finde das eine ganz gute Sache, so geht es nicht.

00:02:27: Aber für den Themen her, eines hast du schon gesagt... Also vom Capitow her ist das Capitoo sieben oder Annex sieben.

00:02:34: Thema Clear-Test.

00:02:36: Aber etwas, was ich in der Aldi zu oft gesehen

00:02:40: habe.

00:02:40: Bin ich auch ja.

00:02:41: Eine Erfahrung noch?

00:02:42: Genau.

00:02:45: Wenn du so Büro spazierst, sind wir heute viel... paperless unterwegs, aber man steht manchmal hier wie viele Unterlagen immer noch umliegen.

00:02:55: Der Klassiker, den das Auditor immer macht beim Drucker-Verbeilaufen und schauen was die aktuellen Ausgabefachen in der Leit sind.

00:03:02: Es

00:03:03: ist spannend auch im Kontext wenn du jetzt irgendwo in shared office spaces unterwegs bist oder nicht nur für diese Unternehmen.

00:03:12: Das heisst Sachen du ausdruckst und dann bei dem Drucker liegt.

00:03:15: Dort musst du dich entsprechend, also es ist ein entsprechender Prozess haben.

00:03:19: Follow Me Printing ist eine Möglichkeit oder eine Maßnahme, die du machen kannst.

00:03:23: Oder dass es nicht ausdrückt, sondern dass du zum Druckerrennen musst und entsprechender Befehl ausführen.

00:03:29: Und das führt eben... Oder kommt vom Thema her sicher jetzt Perimeter.

00:03:33: Das schaust du, wie sind deine verschiedenen Zonen im Büro?

00:03:36: Wer hat wo der Zugriff?

00:03:38: Wo darfst du allen fallen, wenn für den rolligen Projekt auch Sachen liegen?

00:03:42: Also muss ich auch gut können, so ein Delta-Meeting-Räum, wo vielleicht auch noch andere... Kunden oder andere unterwegs sind und wenn die nachher Sachen bliebend lecken, ist das immer sehr unschön.

00:03:55: Und unnötige Datenexpositionen.

00:03:58: Das war

00:03:58: auch so ein Klassiker beim ISO-Audit damals.

00:04:00: der Auditor kommt rein und guckt man das Flip-Chat an und dann schnell mal die letzten Aufzeichnungen an.

00:04:06: Es ist aufgeräumt worden und steht vielleicht vom letzten Meeting noch irgendwas vom Whiteboard drauf oder so.

00:04:12: Das ist auch so meine Erfahrung mit dem auch physisch für sich erhält.

00:04:16: Was auch bei physischer Sicherheit ist, ist ein Beispiel aus dem Thema Verkabelung.

00:04:22: Das ist ein Lay-Rise.

00:04:24: Bist du noch verkabelt?

00:04:26: Ja tatsächlich!

00:04:29: Ich arbeite im Homeoffice und habe das Büro eingerichtet und arbeite sehr oft von dort.

00:04:36: Ich bin auch kabelgebunden... das Internet tatsächlich nur über Skabu und da habe ich von einer Zeit Erfahrung gemacht, dass ich hier eine Zeugung habe.

00:04:48: Aber die Annahmeidings staubern immer.

00:04:51: was ist da los?

00:04:55: Du bist mit rein gewesen!

00:04:57: Es war noch einigermassen einen wichtigen Kohl mit einem wichtigen Steakhalger.

00:05:06: Der Call immer, und das nervt natürlich mega an.

00:05:09: Und du schaust extra ab, ist da mit dem Kabel verbunden im Internet... ...und dass ich nicht irgendwie mit dem Funken

00:05:19: oder den Willen das Problem habe.

00:05:21: Genau, genau!

00:05:21: Und dann haben wir mal ein Route-Cos-Analysis gemacht und haben... Mal schauen, ob es mir... Ja, genau, eben Lay Race, Cabo... ...dann sah ich ja recht unten... und das Kabel durchläuft.

00:05:36: Das sieht relativ verbissen aus, genau!

00:05:39: Da hat sich unsere Katze daran gearbeitet... Genau.

00:05:47: Massnahmen, die wir für diesen Risiko hatten, also der Fred Actor Red Dog Katz war.

00:05:52: Die

00:05:53: Massnahme, die ich gemacht habe, ist einfach dieses Kabel natürlich ersetzt und entsprechend obendurch gezogen und dann am Boden.

00:06:01: nachher Ist die

00:06:02: Katze entsorgt oder was?

00:06:04: Nein, das wäre eine Katzerverbot.

00:06:06: Genau!

00:06:06: Das wären andere, die ich in der Massage sehe.

00:06:11: Du hättest immer noch bei uns aufs Kabel geholt und es nicht mehr anders zu tun.

00:06:15: Auch

00:06:15: kein WLAN, sondern aus dem Kabel geblieben.

00:06:16: Hey, nach wie vor, ja... genau so.

00:06:19: ein einfaches Beispiel.

00:06:21: Es ist nicht immer ein digitaler Issus, sondern eben eine physische Sicherheit.

00:06:26: Genau.

00:06:27: Manchmal ist es nur das Kabel.

00:06:30: Ja, unerwartet aber.

00:06:32: Das ist eine Möglichkeit.

00:06:34: Ich finde es super.

00:06:35: Ein

00:06:36: anderes wichtiges Thema, das ich noch darauf eingehe, ist Entsorgung.

00:06:42: Das sind

00:06:42: sieb vierzehn im Standard-Innen und ein Pausel aufessen zu können.

00:06:47: Eine sehr lustige Geschichte.

00:06:49: Was kann passieren wenn der Prozess fehlt?

00:06:51: Ich war mit einem Kunden unterwegs.

00:06:54: So klassische Audit.

00:06:56: oder was passiert mit den Standortbestimmungen?

00:06:59: Was passiert mit euch in einem Gerät, wo ihr eure Hard-Discs und die Erechnung nicht mehr gebraucht habt.

00:07:07: Da sind wir einen Raum hinter uns spaziert und da gab es einen Raumfall Elektro-Schrott.

00:07:15: Und das ist alles, was sich in der letzten acht, neun Jahre angestellt hat.

00:07:20: und dann sieht man, dass das Problem ist... Wir haben noch keinen Prozess, wie wir die Sachen entsorgen.

00:07:25: Sicher entsorge!

00:07:27: Wir hatten hier immer wieder einen Vorfall.

00:07:30: Ich glaube, ich weiss nicht mehr, welchen Kanton das war.

00:07:32: Ich wollte keine Bläume, wenn es nicht stimmt.

00:07:36: Darum sage ich können.

00:07:37: Aber jetzt hat es auch einen vorfallgeheimen Kanton, in dem man ein Zorgungsinstitut gegeben hat und dann das Nichtfachrecht entsorgt.

00:07:44: Jetzt sind nachher irgendwelche unverschlüsselte Festplatten... irgendwo umgelegen und wieder auftaucht, weil man es nicht korrekt entsorgt hat.

00:07:53: Also Disposal of Hardware Assets, das ist auch bei physischen Sicherheit drin.

00:08:00: Wenn ein Prozess falsch sein kann durch das Passieren, dass im ganzen Stapel von alten Festplatten irgendwie lager ist bis klar ist wie du kannst.

00:08:09: Das kennt ihr auch noch so eine Story.

00:08:10: Im Abfassammelhof war er uns am Ort gewesen mit einem geschauten Papier, mit dem Erdpapier entzockt.

00:08:16: Liegt man zum Kündigungsschreiben drin von irgendjemandem?

00:08:18: Ja, genau.

00:08:19: Kündigungen sowieso aufgrund von Diebstahl, sowieso wirklich mit Namen und Adressen alles... Also Assets können auch Papierdokumente sein.

00:08:26: Solche Sachen gehören definitiv nicht in normaler Entsorgung.

00:08:29: Gute Punkt!

00:08:30: Aber das sind so die Edge-Cases im digitalen Bereich.

00:08:34: Das ist nicht alles... Es geht um Informationssicherheit.

00:08:36: Da sind nicht nur die digitalen Assets oder digitale Informationen sondern eben noch alles.

00:08:42: Alles geschrieben, handgeschrieben Um das Druck, genau.

00:08:45: Oder eben den Tatware wo die digitale Assets drauf sind?

00:08:49: Ja und dann hat ihr noch den letzten Punkt.

00:08:50: Da haben wir Security of Assets Off-Premises also einfach was passiert mit unseren Assets wo nicht in unserem Büro sind etc... Was kommt denn in diesen Datenbearbeitung, Verarbeitung ausserhalb vom Büro?

00:09:02: Was ist da der klassische Room oder Epfel stattfindet?

00:09:06: Also für mich der Klassiker wird spontan einfällt und wir auch damals geschult haben.

00:09:09: Das mache ich im Zug wenn ich da telefonieren muss oder arbeiten

00:09:12: muss.

00:09:13: Genau, da sind wir schon darauf eingegangen.

00:09:16: Es ist unglaublich wie viele Sachen, die nicht in der Öffentlichkeit gehören oder diskutiert.

00:09:22: Ich finde, du hast dann noch zwei oder drei gute Tipps gegeben.

00:09:25: Was man dann machen soll, wenn man das machen muss, weil es halt gerade irgendwie wichtig

00:09:28: ist?

00:09:28: Genau!

00:09:28: Das Thema war, darfst du überhaupt im zogengeschäftlichen Kontext...

00:09:33: ...erwähnen

00:09:34: und so?

00:09:34: Ja, selbstverständlich darfst Du das einfach entsprechend mit passenden Massnahmen.

00:09:38: Also der Privacy Filter ist der Klassiker also eine Folie auf dem Bildschirm, dass nicht jeder darauf schaut, sehr einfache, pragmatische Massnahmen.

00:09:47: Und hier, laptopcenters inzwischen auch.

00:09:50: Es passiert, dass du das Knapp drücken kannst und dann wird die Bildschirm Blurge von der Seite nicht mehr ersichtlich.

00:09:58: Cool!

00:09:58: Und wenn Geschäftliche Telefoniere keinen Namen schlagen, also wenn der Name von Leuten noch einen Namen von Firmen ist oder hat nur den Vornamen?

00:10:08: Ja, ja.

00:10:09: Wenn es ein Laptop mit diesem Logo drauf ist und eine Firma aufpassen will, dann bist du auch automatisch...

00:10:14: Hey komplett!

00:10:15: Komplett,

00:10:16: ja hier noch eine Erfahrungsschicht vom letzten Mal.

00:10:19: Das ist nicht die Informationssicherheit, aber ich möchte das doch noch erwähnen.

00:10:24: Dass du immer auf jemandem unterwegs bist und in der Öffentlichkeit unterwegs bist.

00:10:28: Ein Jugendlicher, der sehr ausschweifend über seine Gras-Anbaustation bezahlt hat daheim mit seinem Kollegen im Zug.

00:10:41: Er hatte jetzt ein T-Shirt an, mit Namen gestanden.

00:10:45: Dann habe ich den Namen genauer angeschaut.

00:10:47: Und das war der Firmenname.

00:10:49: Okay, abpasst nicht.

00:10:51: Genau

00:10:52: und ich habe kurz googlitten wer der Firmenchef ist... ...und dann habe ich den Stinkfrecht darauf angesprochen ob er die Person und einen Namen vom Firmen-Chef genannt hat.

00:11:03: aber er hätte ja können.

00:11:04: Da habe ich gesagt Ja da kann er.

00:11:07: und dann habe er gesagt

00:11:10: Ich auch.

00:11:11: Dann ist natürlich Knaro da gelaufen.

00:11:14: Aber als wir sehr gut, sehr reif gefunden haben Er hat dann noch gesagt, dass er mich aufhielt.

00:11:20: Ich habe etwas gelernt.

00:11:23: Das

00:11:23: ist schon mal gut!

00:11:25: Ich glaube wirklich, ich habe etwas gelehrt.

00:11:26: Ja,

00:11:27: ob der hat Glück

00:11:28: gehabt.

00:11:28: Wir haben hier gesehen, dass sich sein Chef nicht nur von der Homepage gekönnt hat.

00:11:33: Aber genau das geht zum Sensibilisieren.

00:11:35: Ich wollte nicht bloßstellen, aber auch so ein Maß.

00:11:38: Wenn Leute darauf ansprechen, wenn sie ein Verhalten haben ... Informationen priesgen in die Öffentlichkeit, die nicht in der Öffentlichkei gehören.

00:11:48: Also die Tote der Mut haben oder die Leute darauf nicht belehrenden, aber einfach die Menschen darauf sensibilisieren?

00:11:54: Ja, das finde

00:11:55: ich super!

00:11:56: Cool!

00:11:56: Aber irgendwann so edge case von Physico Security.

00:11:59: Ja also super ja cool sehr gut vielen Dank!

00:12:03: Danke dir Tobi für diese Frage.

00:12:05: mal ohne KI!

00:12:07: Nur ein bisschen Informationssicherheit.

00:12:09: genau sehr gut bin gespannt Bis zum nächsten Mal!