// IT-Leiter & Techniker

Technische Deep-Dive Präsentation

Zielgruppe: CTO, IT-Manager, Systemadministratoren, Security Engineers
45-90
Minuten Gesamtdauer
12
Technische Slides
Live
Demo möglich
API
Integration Ready
01

Technisches Intro & Agenda

Warum sind wir heute hier?
3-5 Min

root@security:~# cat /etc/agenda.conf

# AIM-IT Cyberschutz - Technical Deep Dive

01. Aktuelle Bedrohungslandschaft (technisch)

02. Attack Vector Analysis

03. Incident Response Timeline

04. AIM-IT Security Stack

05. Integration & API

06. Implementation Roadmap

[OK] Ready to deploy knowledge

💬 Sprecher-Notizen

  • "Als ITler kennen Sie die täglichen Herausforderungen - wir sprechen heute auf Augenhöhe."
  • "Ich zeige Ihnen keine Marketing-Folien, sondern technische Details und echte Logs."
  • "Fragen jederzeit - je technischer, desto besser."
  • Optional: "Ich kann auch Live-Demos zeigen wenn gewünscht."
02

Aktuelle Bedrohungslandschaft

Was passiert gerade in DACH?
5-8 Min
78%
Anstieg Ransomware-Angriffe 2024
11 Sek
Ransomware-Angriff weltweit
287
Tage avg. bis Erkennung
4.5M €
Avg. Kosten pro Breach
# Top Attack Vectors 2024/2025 (BSI Report)

ATTACK_VECTORS = {
    "phishing_emails": 41%,      # Credential Harvesting
    "exposed_rdp": 23%,          # Brute Force / CVE
    "supply_chain": 18%,         # SolarWinds-Style
    "unpatched_systems": 12%,    # Exchange, Log4j, etc.
    "insider_threat": 6%         # Malicious/Negligent
}

🔧 Technischer Hinweis

Die meisten erfolgreichen Angriffe nutzen keine Zero-Days. 85% exploiten bekannte Schwachstellen, für die bereits Patches existieren. Das Problem: Patch-Management in komplexen Umgebungen.

💬 Sprecher-Notizen

  • "287 Tage Mean Time to Detect - das bedeutet, Angreifer sind fast ein Jahr in Ihrem Netzwerk."
  • "Exponierte RDP-Ports sind immer noch ein massives Problem - prüfen Sie mal Shodan für Ihre IP-Range."
  • "Die Supply-Chain-Angriffe sind besonders kritisch - MOVEit hat gezeigt, wie schnell das gehen kann."
  • Link zeigen: "Aktuelle Vorfälle aus DACH finden Sie in unserer Übersicht."
🔗 Echte Vorfälle DACH → Detaillierte Fallstudien ansehen
03

Anatomie eines Ransomware-Angriffs

Schritt für Schritt zum Desaster
8-12 Min
T+0 Minuten
Initial Access - Phishing E-Mail
Mitarbeiter klickt Link in "Rechnung.pdf.exe" - Loader wird ausgeführt. AV erkennt nichts (polymorphic payload).
T+15 Minuten
Persistence & Discovery
Scheduled Task erstellt, Registry Run Key. BloodHound/SharpHound mapped das AD. Domain Controller identifiziert.
T+2 Stunden
Privilege Escalation
Mimikatz dumpt Credentials. NTLM-Hashes gesammelt. Service Account mit Domain Admin Rechten gefunden.
T+6 Stunden
Lateral Movement
PsExec/WMI zu weiteren Systemen. Backup-Server identifiziert und kompromittiert. Shadow Copies gelöscht.
T+24 Stunden
Data Exfiltration
200GB Daten via Mega.nz/Dropbox exfiltriert. Verschlüsselung beginnt auf allen Systemen. Game Over.
# Was im SIEM hätte auffallen müssen:

DETECTION_OPPORTUNITIES = [
    "Event 4688: Unusual child process of WINWORD.EXE",
    "Event 4624: Multiple Type 3 logins from single source",
    "Event 4672: Special privileges assigned to new logon",
    "Outbound: Large data transfer to cloud storage",
    "VSS: Volume Shadow Copy deletion attempt"
]

💬 Sprecher-Notizen

  • "Das Zeitfenster zum Stoppen ist klein - meistens 2-6 Stunden nach Initial Access."
  • "Ohne EDR/XDR sehen Sie die Events 4688 oft gar nicht - Standard Windows Logging reicht nicht."
  • "Frage ans Publikum: Wann haben Sie zuletzt Ihre Shadow Copies / Backups auf Isolierung geprüft?"
  • "Der Angriff auf [aktuelles Beispiel aus cyberangriffe.html] lief genau so ab."
04

Tag X: Was alles nicht mehr funktioniert

Die technische Realität
5-7 Min
🔐

Active Directory / Authentifizierung

Keine Logins möglich. Kerberos-Tickets ungültig. GPOs greifen nicht. MFA-Provider nicht erreichbar.

📧

E-Mail / Kommunikation

Exchange/M365 verschlüsselt oder isoliert. Keine E-Mails senden/empfangen. Teams/Slack offline.

🗄️

Datenbanken / ERP

SQL Server verschlüsselt. SAP/NAV nicht startbar. Keine Auftragsbearbeitung, keine Buchhaltung.

💾

File Server / Dokumentation

Alle Shares verschlüsselt. Projektdaten weg. Kein Zugriff auf Verträge, Zeichnungen, Anleitungen.

🏭

OT / Produktion (falls betroffen)

SCADA-Systeme offline. Produktionssteuerung unmöglich. Maschinen im Notbetrieb oder Stillstand.

admin@dc01:~$ net user

Access denied. The system cannot log you on.

admin@dc01:~$ dir \\fileserver\shares

The network path was not found.

admin@dc01:~$ ping backup-server

Request timed out.

admin@dc01:~$ _

💬 Sprecher-Notizen

  • "Stellen Sie sich vor: Montagmorgen, 200 Mitarbeiter vor verschlossenen Türen - keiner kann sich anmelden."
  • "Das AD ist der Single Point of Failure in den meisten Umgebungen."
  • "Haben Sie ein Offline-Admin-Konto dokumentiert? Wissen Sie das Passwort auswendig?"
  • "Die Frage ist nicht OB, sondern WANN Sie einen Plan brauchen."
05

Recovery: Die harte Wahrheit

Backup ist nur die halbe Miete
5-7 Min
23
Tage avg. Recovery Time
73%
Backups auch verschlüsselt
46%
zahlen trotz Backup
3-2-1
Regel oft nicht umgesetzt

Recovery-Realitätscheck

?
Haben Sie ein dokumentiertes Wiederherstellungsverfahren? Kritisch
?
Wann war der letzte erfolgreiche Restore-Test? Kritisch
?
Sind Backups netzwerkmäßig isoliert (Air Gap)? Kritisch
?
Wie lange dauert ein Full Restore des AD? Wichtig
?
Existiert ein Offline-Admin mit dokumentiertem Passwort? Wichtig

💬 Sprecher-Notizen

  • "73% der Backups sind im Ernstfall auch verschlüsselt - weil sie im selben Netzwerk hängen."
  • "Restore-Tests: Viele machen einen Test-Restore einzelner Dateien. Aber wer testet einen kompletten AD-Restore?"
  • "Die Frage: Wenn JETZT alles verschlüsselt wäre - wie lange bis Sie wieder produktiv sind?"
  • "Air-Gapped Backups: Tape oder Cloud mit separaten Credentials - nicht das gleiche AD!"
06

AIM-IT Security Stack

Defense in Depth Architecture
8-12 Min
🌐

Layer 1: Perimeter Security

Next-Gen Firewall, IPS/IDS, Web Application Firewall, DNS Filtering, E-Mail Security Gateway

🖥️

Layer 2: Endpoint Protection

EDR/XDR mit AI-basierter Erkennung, Behavioral Analysis, Ransomware Rollback, Application Whitelisting

🔐

Layer 3: Identity & Access

MFA für alle Systeme, Privileged Access Management, Just-in-Time Admin, AD Hardening

📊

Layer 4: Monitoring & Detection

24/7 SOC Monitoring, SIEM/SOAR Integration, Threat Intelligence, Anomaly Detection

💾

Layer 5: Backup & Recovery

Immutable Backups, Air-Gapped Storage, Automatisierte Recovery Tests, Disaster Recovery Plan

Realtime Threat Detection

AI-basierte Erkennung von Zero-Day-Angriffen. MITRE ATT&CK Mapping für jede Detection.

Automated Response

Automatische Isolation kompromittierter Endpoints. Playbook-basierte Incident Response.

Compliance Ready

Reports für ISO 27001, NIS2, DSGVO. Audit-Trail für alle Security Events.

Integration First

REST API für alle Funktionen. Webhook-Support. SIEM-Connector out of the box.

💬 Sprecher-Notizen

  • "Kein einzelnes Tool löst das Problem - Defense in Depth ist der einzige Weg."
  • "Unsere EDR-Lösung hat eine Detection Rate von 99.8% bei nur 0.2% False Positives."
  • "Alles per API steuerbar - Sie können das in Ihre bestehende Automatisierung integrieren."
  • "Die Layers sind modular - Sie müssen nicht alles auf einmal kaufen."
07

Technische Features Deep-Dive

Was unter der Haube passiert
8-10 Min
# AIM-IT EDR Detection Engine - Pseudocode

class ThreatDetector:
    def analyze_process(self, process):
        # Behavioral Analysis
        behavior_score = self.ml_model.predict(process.behavior)

        # MITRE ATT&CK Mapping
        techniques = self.map_to_mitre(process.actions)

        # Reputation Check
        reputation = self.threat_intel.check(process.hash)

        if behavior_score > 0.85 or reputation == "malicious":
            self.isolate_endpoint(process.host)
            self.alert_soc(priority="critical")
            self.create_forensic_snapshot(process.host)

Detection Capabilities

Technik Erkennung Response MITRE Mapping
Credential Dumping Realtime Auto-Block T1003
Lateral Movement Realtime Auto-Isolate T1021
Ransomware Realtime Rollback T1486
Data Exfiltration Realtime Block + Alert T1041
Persistence Realtime Remove + Alert T1547

🔧 Live Demo möglich

Ich kann Ihnen die Detection Engine live zeigen - z.B. wie ein simulierter Mimikatz-Angriff erkannt und automatisch blockiert wird.

💬 Sprecher-Notizen

  • "Die ML-Engine wurde mit über 50 Millionen Malware-Samples trainiert."
  • "Jede Detection ist MITRE-mapped - das hilft beim Reporting und Forensik."
  • "Bei Ransomware-Erkennung: Automatischer Snapshot und Rollback möglich."
  • Optional: Live-Demo von Atomic Red Team Tests
08

Integration & API

Nahtlose Einbindung in Ihre Umgebung
5-7 Min

Unterstützte Integrationen

📊
Splunk
🔍
Elastic SIEM
☁️
Azure Sentinel
🎫
ServiceNow
💬
Slack / Teams
📧
PagerDuty
🔧
Ansible/Puppet
🐳
Docker/K8s
# API Example: Endpoint Status abrufen

curl -X GET "https://api.aim-it.at/v2/endpoints" \
    -H "Authorization: Bearer ${API_KEY}" \
    -H "Content-Type: application/json"

# Response
{
    "endpoints": [
        {
            "id": "ep-001",
            "hostname": "WS-FINANCE-01",
            "status": "protected",
            "last_scan": "2024-01-15T10:30:00Z",
            "threats_blocked": 12
        }
    ]
}

💬 Sprecher-Notizen

  • "Volle REST API - Sie können alles automatisieren was wir können."
  • "Webhook-Support für alle Events - direkt in Ihre Ticket-Systeme."
  • "Swagger/OpenAPI Dokumentation verfügbar - Developer-friendly."
  • "Frage: Welche Tools setzen Sie aktuell ein? Ich zeige Ihnen die Integration."
09

Implementation Roadmap

Von 0 auf Protected in 4 Wochen
5-7 Min
Woche 1
Assessment & Planning
Bestandsaufnahme Ihrer Infrastruktur. Gap-Analysis gegen Best Practices. Priorisierung der Maßnahmen.
Woche 2
Core Deployment
EDR Rollout auf kritische Systeme. AD Hardening Basics. MFA Aktivierung für Admins.
Woche 3
Full Rollout
EDR auf alle Endpoints. SIEM Integration. Backup-Validierung. Erste Playbooks aktiviert.
Woche 4
Tuning & Training
False-Positive Tuning. Admin-Schulung. Übergabe an Ihr Team. Dokumentation.

Voraussetzungen auf Ihrer Seite

Netzwerkplan / Asset-Liste (grob reicht) Wichtig
Admin-Zugang zu Endpoints (für Rollout) Kritisch
Firewall-Freigaben für Cloud-Kommunikation Kritisch
Ansprechpartner für Rückfragen Nice-to-have

💬 Sprecher-Notizen

  • "4 Wochen ist der Standard-Zeitrahmen - bei Dringlichkeit geht es auch schneller."
  • "Wir arbeiten mit Ihrem Team zusammen - kein Vendor-Lock-in."
  • "Nach Go-Live: 24/7 Support und optionales Managed Service."
  • "Die technische Doku bleibt bei Ihnen - Sie sind nicht von uns abhängig."
10

Warum AIM-IT vs. DIY

Build vs. Buy Analyse
5-7 Min
Aspekt Inhouse / DIY AIM-IT Managed
Initiale Kosten €€€€ (Tools + Expertise aufbauen) €€ (sofort einsatzbereit)
Time-to-Value 6-12 Monate 4 Wochen
24/7 Coverage Schwer (Schichtbetrieb nötig) Inklusive
Threat Intel Updates Selbst pflegen Automatisch
Skill Requirements Security-Spezialisten benötigt Basis-IT reicht
Compliance Reporting Manuell erstellen Automatisiert

💡 Hybrid-Modell möglich

Sie wollen Kontrolle behalten? Wir bieten auch ein Co-Managed Modell: Ihre Admins haben vollen Zugriff, wir unterstützen bei Incidents und 24/7 Monitoring.

💬 Sprecher-Notizen

  • "Die Frage ist nicht ob Sie Security brauchen - sondern wie Sie es am effizientesten bekommen."
  • "Ein Security-Analyst kostet €60-80k/Jahr - und Sie brauchen mindestens 3 für 24/7."
  • "Mit uns haben Sie sofort ein ganzes Team - ohne Recruiting-Stress."
  • "Volle Transparenz: Sie sehen alles was wir sehen - keine Black Box."
11

Preismodell & Lizenzen

Transparent und skalierbar
3-5 Min
Per Seat
Einfache Kalkulation pro Endpoint
All-In
Updates & Support inklusive
Monatlich
Keine Vorab-Investition
Skaliert
Rabatte bei größeren Deployments
# Beispielkalkulation: 100 Endpoints

BASE_PRICE = €X.XX # pro Endpoint/Monat

PACKAGES = {
    "Essential": ["EDR", "Email Security", "Basic Reporting"],
    "Professional": ["+ 24/7 SOC", "+ SIEM", "+ Incident Response"],
    "Enterprise": ["+ Custom Playbooks", "+ Dedicated Analyst"]
}

# TCO-Vergleich: Individuelles Angebot auf Anfrage

💬 Sprecher-Notizen

  • "Konkrete Preise bespreche ich gerne im Detail - abhängig von Ihren Anforderungen."
  • "Keine Hidden Costs: Was im Paket steht, ist drin."
  • "Flexible Laufzeiten: 12/24/36 Monate mit entsprechenden Konditionen."
  • "POC möglich: 30 Tage kostenlos testen auf bis zu 20 Endpoints."
12

Next Steps & Q&A

Wie geht es weiter?
5+ Min

Empfohlene nächste Schritte

1
Security Assessment: Kostenlose Analyse Ihrer aktuellen Security-Lage
2
POC Setup: 30 Tage Test auf 20 Endpoints - kostenlos
3
Workshop: Technischer Deep-Dive mit Ihrem Team
4
Angebot: Individuelles Angebot basierend auf Ihren Anforderungen

you@company:~$ ./start_security_journey.sh

[*] Initiating contact with AIM-IT...

[+] Assessment scheduled

[+] POC environment prepared

[+] Your infrastructure: PROTECTED

you@company:~$ # Questions?

💬 Sprecher-Notizen

  • "Jetzt sind Sie dran - welche Fragen haben Sie?"
  • "Ich kann auch spezifische technische Themen vertiefen wenn gewünscht."
  • "Assessment ist unverbindlich - Sie bekommen einen Bericht auch ohne Kauf."
  • "Technische Ansprechpartner: Ich stelle Sie gerne unserem Engineering-Team vor."

📚 Weiterführende Materialien

🔒 Cyberangriffe DACH Echte Vorfälle aus der Region 📊 Gesamtdokumentation Alle Details zu unseren Lösungen 👔 GF-Präsentation Business-fokussierte Version 🎯 Alle Präsentationen Übersicht aller Zielgruppen