[musik] So, also hallo zusammen. Servus. Wir sind Martin und Mark von der Firma Netup und wir möchten euch in einem kurzen Beispiel heute mal zeigen, welche Möglichkeiten es gibt, sich vor Ransomware zu schützen, wenn man mit einem Netup und Tabs System Filervices betreibt. Und bitte nicht wundern, wenn ich ein paar dumme Fragen stelle. Ich bin nämlich Vertriebler, das heißt, ich bin technisch nicht so tief drin wie der Martin, der einer unserer Solution Engineers ist. Das heißt, ich kann mir die eine oder andere naive Frage nicht verkneifen.Genau. Wir kriegen das aber ganz gut zusammen hin. Bevor wir ähm auf eine technische Demo gehen, die wir dann auch zeigen in so einem kleinen Video, ähm starten wir erst noch mal rein in das Thema Überschrift Cyber Security. Mm wenn wir mal ganz ehrlich sind bei wir sind echt gut, was Datenmanagement angeht, egal ob im Rechenzentrum oder in der Public Cloud oder zwischend drin. Ähm, aber das Thema Cyburity, da können wir nicht alles abdecken. Und wenn man jetzt mal Security Berater fragt, was gehört denn eigentlich alles zu dem Thema dazu? Dann ist es brutal viel. Ja, das sind Themen dabei, da haben wir einfach keinen großen Beitrag. Netzwerk Security, super wichtiges Thema. Logging und Monitoring gehört dazu. Natürlich ein wirkungsvoller AVschutz, der sich auch gut in unsere Fallservices integrieren lässt. User, Client, Security, da gehören auch Schulungen und so weiter dazu. Notfallhandbuch.Alle diese Themen sind brutal wichtig und wir können eigentlich, sind wir mal ehrlich, nicht beitrag nur bedingt was beitragen. Genau. Ja. Und dann, wenn man sich das so ein bisschen vorstellt als so eine Zwiebel. Ja. Und wir gehen immer weiter rein in den Kern der Zwiebel. Ganz innen drin ist aber eigentlich dann doch was, mit dem wir sehr gut umgehen können, nämlich eigentlich der Kern äh eines jeden jedes Unternehmens, die Daten. Ja, und da sind wir gut in dem Bereich. Ja, und das wollen wir eigentlich auch heute in dieser kleinen Demo zeigen, was wir gegen Cyberangriffe im Datenbereich tun können. Waskann man alles in dem Bereich machen? Also, ich meine, Ransomware gibt's ja in vielen Formen und Farben irgendwie. Man, im Idealfall kommt sie erst gar nicht rein. Wenn sie reinkommt, muss ich irgendwie erkennen, dass sie da ist. Wenn sie wenn ich erkannt habe, dass sie da ist, muss ich irgendwie wieder gucken, dass ich auf ein gesunden Stand komme. Also wassind da die Teile, die wir bei denen wir helfen können?Genau. Also, dass es auch klar ist, was wir hier zeigen, ist sehr vereinfacht. Wir haben tatsächlich bei Kunden von uns schon Cyberangriffe ähm beobachtet und gemeinsam auch überstanden. Und wir wissen, da ist teilweise ein langer, tagelanger, wochenlanger, teilweise auch monatelanger Prozess dabei. Das ist hier eine vereinfachte Darstellung. Aber die wichtigsten Themen rund um das Thema Ranson sind eigentlich, wir müssen als erstes mal ganz wichtig den Angriff an sich erkennen. Ja, also deswegen Rens Erkennung. Dann gibt's weitere Themen. Wenn wir den Angriff erkannt haben, müssen wir natürlich gucken, wie kommen wir wieder auf dem gesunden Stadt zurück bei Restor? Und das ist ein anderes Thema, müssen wir vielleicht noch mal ein separaten Videoblog machen. Schutz vor Löschungen, aber lass uns mal konzentrieren auf das Thema Ransomware Erkennung, denn da haben wir ein sehreinfaches, voll eingebautes Tool in unserem Betriebssystem und Tab mit drin. Okay, top. Okay, top. Okay, top. Genau.Gut. Bei der Erkennung gibt's verschiedene Möglichkeiten verschiedene Möglichkeiten verschiedene Möglichkeiten eine Erkennung entspringen zu lassen. Ja, es gibt Tools, die von extern auf ein Fervices System drauf schauen. Wir haben hier ein paar dieser Tools auch mal benannt. Es gibt ein Netup eigenes Tool, das nennt sich Workload Security, ist Teil von unserem Cloud Insights. Es gibt von Partnerfirmen wie der Firma Cleontris und Polin auch sehr gute Tools, dieversuchen auf ein verdächtiges Userverhalten hin zu analysieren und dementsprechend dann einen Angriff zu erkennen. Ja, also wenn jetzt ein Benutzer angegriffen wird und der Angreifer im Namen des Benutzers irgendwelche Dateiänderungen, Löschungen und so weiter macht, heiß irgendwas komisches, was der Nutzer halt sonst schon nicht macht. Genau das da sind diese Tools hier sehrwirkungsvoll.Und es gibt aber noch einen zweiten Bereich und zwar geht es dabei um äh verdächtige Dateihalte verdächtige Dateihalte verdächtige Dateihalte und niemand anders kann verdächtige Datei und Fillservices so gut beurteilen wie das Betriebssystem, was die Dateien hält, nämlich das Ontub. Okay.Und wir haben seit einiger Zeit eine Funktion fest integriert in unserem Betriebssystem. Diese Funktion nennt sich autonomous Ransomware Protection. Ja, hier ist auch ein mal geschrieben, die Abkürzung ist ARP und dieses ARP ist ganz clever. Das schaut nämlich auf Dateieigenschaften wie z.B. wir wollen jetzt nicht zu tief technisch gehen, aber die Entropie von Dateien. Das heißt,das kann ich von außen nicht angucken oder wie nicht so richtig gut. Ja, also die Entropie einer Datei zeigt z.B. an, wie gut komprimierbar, deduplizierbar ist eine einzelne Datei. Wenn so ein Angriff stattfindet und typischerweise eine Verschlüsselung von Dateihalten passiert, dann ändert sich die Pilentropie und wir können das mit dem ARP aus unserem Betriebssystem sehrgut erkennen. gut erkennen. Okay, verstehe. Also quasi so ein bisschen die Innensicht und die Außensicht. Genau. Okay. Außensicht.Genau. Okay. Deswegen ist auch unsere Empfehlung nicht entweder das eine oder das andere zu machen, sondern idealerweise eigentlich beides zu tun. Ja, einmal ins Filsystem selber reinzugucken mit dieser sehreinfachen Funktion. Da braucht man auch keine Experte dazu zu sein. Kann man ganz einfach einschalten und gleichzeitig aber mit externen Tools auch das Benutzerverhalten zu beobachten.Also auch wieder Stichwort Zwiebelmodell möglichst vielschichtig. Okay, verstehe. Okay, verstehe. Okay, verstehe. Gut.Also, dann würde ich sagen, gucken wir mal an, was wir an Demo aufgebaut haben. Ja, also auch hier wieder ähm ganz einfaches System.So. Ja. Ähm, waswir gemacht haben, wir gucken uns in der Demo einzelnes Pile Services. Bei uns nennt sich das im ein Volume an. Ja, das kann ein 80 TB großes Volume sein, was PIFs und NFS die verschiedenen Server und Cli versorgt. Ja. Ähm, so und jedes gut gepflegte Netupsystem hat, ohne dass es ein Aufwand oder Performance oder große Kapazität kosten könnte, innerhalb dieser Filservices regelmäßig geschulte Snapshots.Ja.Das heißt, also in dem Fall habe ich jetzt mal ähm angenommen, dass dieser Filservice hier alle 3 Stunden 9 Uhr, 12 Uhr, 15 Uhr, 18 Uhr einfach ein Snapshot erstellt. Der Snapshot ist immer in wenigen Sekunden gemacht, egal wie groß das Fäh das Fäh das Fäh System ist. Ja, und das ist die Grundlage eigentlich bei allen unseren Kunden, die mit dem Unterfilices arbeiten. Also, das ist jetzt mal noch die normale ganz normale Sicht. Ja.Was wir jetzt machen in der Demo, wir gehen gemeinsam drauf. Ja.auf das einfachste Tool, den System Manager, das einfach das Bedien Tool von unserem Ont im Menü. Ja, und wir gucken uns mal an, ist die Lizenz für diese Funktion vorhanden. Die nennt sich Autonomous Renserware Protection Lizenz. Ja,dann schalten wir für dieses File, für diesen Fils Services ARP ein. Okay, müss man tatsächlich einschalten und in der Realität ist es dann so, direkt nach dem Einschalten ähm braucht das System ein paar Wochen, sagen so zwei bis vier Wochen, bis so ein normales Pfeile Dateiverhalten praktisch gelernt wird und nach dieser Zeit kann dann das Onthub mit dieser ARP Analyse tatsächlich auch unnormales Dateiverhalten erkennen. Okay, also quasi System muss erstmal lernen, was ist normal, um dann später erkennen zu können, was ist unnormal. Genau. Ja, Genau. Ja, Genau. Ja, in unserem Demosystem haben wir diesen mehrwöchigen Analyseprozessor schon angestoßen, sonst wäre das Video ein bisschen lang. Ähm, das heißt, wir aktivieren einfach nur noch diese Funktion,ja?Dann simulieren wir eine Attacke. Okay.Und das ist auch sehr,einfach gemacht. Wir haben ein Skript und dieses Script geht in einem äh Ziffshare hin und verschlüsselt einfach ganz normale Office Dateien, Docfiles, PDFs und so weiter. Ja, weiter. Ja, weiter. Ja, damit haben wir die Attacke simuliert und dann gucken wir mal, wie lange dauert es, bis das Ontab mit dieser ARP Funktion die Attacke erkennt. Mhm. M Mhm. M ja, wenn Ont die Attacke erkennt, es geht normalerweise relativ schnell, okay,dann passieren zwei Dinge. Zum ersten, wir werden alarmiert. Das ist eigentlich das allerwichtigste, ja, um überhaupt mal mitzukriegen, wanndieser Angriff stattfindet. Und ähm vielleicht zeichnen wir das hier mal ein. Ich hol mal den Stift. Ähm, also wir nehmen jetzt mal an, die Snapshots laufen hier regelmäßig und nach dem letzten erstellten Snapshot, vielleicht um 18:30 Uhr oder sowas, ähm findet tatsächlich ein Angriff auf das Filsystem statt. Ich zeichne das hier mal mit so einem Pfeile ein. Ja, so.Was passiert, wenn alles sauber funktioniert? Das Ontap schlägt alle an. Das heißt, die Administratoren kriegen Bescheid. Achtung, wir verden Griff. Ganz genau. Und dann passiert ähm automatisch zusätzlich zu der Alarmierung noch äh etwas Weiteres und zwar wird direkt danach ein zusätzlicher Snapshot erstellt, der erstellt, der automatisch vollautomatisch. Genau. Ja, dieser Snapshot hat dann im Namen auch den Titel Ranson Bear Protection Snapshot. Ja, also das ist ein bisschen spezieller außer der Reihe. Warum machen wir denn eigentlich? Sind ja die Daten hier schon mindestens teilweise zerstört. teilweise zerstört. teilweise zerstört. Schadensminimierung.Schadensmung. Genau. Also am Ende des Tages will man normalerweise nach so einem Angriff wieder zurück in die Vergangenheit auf den gesunden Status. Also deswegen brauchen wir eigentlich diesen Snapshot nicht um wieder einen gesunden Status zu drehen. Für ein gesunden Status müssen wir eigentlich zurückgehen auf 18 oder 15 Uhr oder noch früher. Aber was ganz interessant ist, wenn man äh eine spätere Analyse machen will, welche Dateien waren denn jetzt betroffen, dann ist es brutal hilfreich, wenn man zum Zeitpunkt des Angluss eben auch noch mal tatsächlich diesen Status hier abgelegt hat.Okay, das heißt, ich habe mir quasi bewusst einen kaputten Status eingefroren, um später in der Lage zu sein. Äh, okay, wo war das Einfallstor? Waswurde betroffen? Okay, verstehe. Genau. Richtig. Ja. Okay, also das heißt, Ont hat den Idealfall erkannt und alarmiert und dann automatisch erstellt. Okay.Und jetzt bist du als Administrator gefragt, was machst du jetzt aus der Situation? Ja. Und Situation? Ja. Und was wir auch von unseren Kunden gelernt haben, die sich schon mal in so einer Situation befunden haben, Vorbereitung ist alles. Mhm. Also es hilft sicher nicht furchtbar viel, wenn man erst in diesem Augenblick drüber nachdenkt, was sind denn die nächsten Schritte, ja, sondern es ist schon sinnvoll, man hat sich das vorher gut überlegt, was passiert im Falle eines Falles. Ja, und ähm weil normalerweise jetzt auch das Szenario ein bisschen komplizierter ist, also es wird sicher nicht nur ein Fall Service betroffen sein, sondern vielleicht ganz viele, vielleicht sind es Petabytes. Ähm, deswegen macht's normalerweise auch Sinn, dass man sich so ein Recovery vorprogrammiert.Okay.Kann man auf ganz viele Art und Weisen tun.Eine der sehr einfachen Möglichkeiten ist das mit Ensible umzusetzen, Industriestandard Automatisierung. Und ähm das möchten wir jetzt in dieser Demo tatsächlich auch mal durchgehen. Das ist ein kleines Enle Script, ein paar Zeilen Code. Ja, man muss jetzt kein Enl Spezialist sein, um das zu verstehen. Und dann versuchen wir mal uns möglichst effektiv zu währen. Okay.Ja,spannend.Genau. Wie wären wir uns? Ähm, der wichtigste Schritt ist, also wir müssen die Attacke irgendwie beenden. Ja, da kann es das Onthou nichts dazu tun. Beenden wir einfach das Skript, ja, und dann versuchen wir eben sinnvoll wieder aufzuräumen und wieder die Produktion zu enablen. Okay, das heißt jetzt, wenn man es mal überträgt auf ein Szenario in der echten Welt, wir schaffen es über andere Tools oder generell wir schaffen es die Attacke oder den Angreifer zu stoppen und simulieren dann wie gehen wir jetzt voran, wie bekommen wir jetzt unserOnt wieder auf einen gesunden Stand.Genau richtig. Das ist es eigentlich. Jetztschnappe ich mir noch den grünen Schiff. äh hier sauber an können. Also das heißt, was soll nachher unser Recovery Script machen? Das soll einmal dafür sorgen, dass wir auf diesen Snapshot später in aller Ruhe zurückgehen können. Ja, und ähm was eine clevere Art und Weise ist damit umzugehen, ist wir lassen das Skript eine komplette einen komplett neuen Mandanten erstellen. Wir nennen das auch Storage Virtual Machine. Jeder, der mit Netup gearbeitet hat, kennt den Begriff. Ja, also eine SVM, ein neuer Mandant wird angelegt und innerhalb dieses Mandanten legen wir dieses angegriffene Volume einfach noch mal als einen Clone an und können dann später ganz gemütlich eine Analyse machen und schauen, was daran ist denn zerstört worden. zerstört worden. zerstört worden. Kann man das so ein bisschen sehen wie so ein Quarantänetopf? Genau.Richtig. Quarantänetopf Genau. Quarantänetopf Genau.Richtig. Quarantänetopf ist eigentlich genau der richtige Ausdruck. So und dann wollen wir zurückgehen und wollen irgendwann wann den Benutzern möglichst schnell natürlich wieder eine gesunden äh Status, ein gesundes Feilsystem zur Verfügung stellen. Ja, jetzt ist die Frage, wo kriegen wir das her? Also hier nicht von diesem roten Snapshot, da ist sind ja schon Dateien beschädigt. Irgendwas vor der Attacke hat,irgendwas vor der Attacke und da müssen wir jetzt halt einfach eine Annahme treffen, dass von mir aus jetzt der Snapshot um 18 Uhr noch nicht betroffen war. Ja, und dann schnappen wir uns diesen Snapshot, geben dem Script diesen Snapshot mit und sagen, bau mir bitte mit diesem Snapshot wieder ein gesundes Fallsystem, indem wir ein Restore machen.Okay,dieser Restore, der geht immer in Sekunden, auch völlig kapazitätsumabhängig.Das heißt, tatsächlich auch im echten Leben wäre das so, dass man innerhalb von wenigen Sekunden von einem beschädigten Fallsystem wieder in ein gutes Fallsystem übergeben kann. Mhm.Ja,das ist eigentlich die Demo, die wir machen wollen mit diesem Enzript. Okay, verstehe. Okay, verstehe. Okay, verstehe. Gut, top. Gut, top. Gut, top. Also Mark, dann gehen wir jetzt in unsere Live Umgebung rein. Okay, warte, ich gucke mal hier. Okay. Ja, alles klar. Das heißt, ich gehe jetzt hier, melde ich dich an. Okay.Passwort habe ich dir vorher gesagt, das ist das System Manager, also die einfachst mögliche GUI für unser On gibt natürlich noch viele andere Möglichkeiten mit CLI und Automatisierung und hier jetzt das ist Version 912. Okay. 912 nicht die aktuellste, aber eben schon eine, wo diese autonomous Ransomware Protection Funktion mit drin ist. Okay, wenn ich jetzt die Volumes mir anguck, genaudann sehe ich hier Marketing Volume. Genau, ein Beispielvolume, das ist ein ZIFS Share, also einfach ein Filhare für Windows.Und da haben wir schon vor einigen Wochen diesen Learning Prozess en sieht man hier. Okay,jetzt drück mal auf Active Mode. Switch to Active Mode. Ah, jetzt sehe ich schon an Ransomware ist enabled. Genau richtig. Wir sehen hier einige Statistiken noch. ähm mit denen diese Funktion eben dann eben auch versucht ein Angriff rauszufinden. Desher ist jetzt der Share ein ganz einfacher Windows Share. Du siehst ja PDFDateien und Office Dateien und sowas. Das sieht alles ganz normal aus. Okay. aus. Okay. aus. Okay. Und jetzt ähm übernehme ich mal die Maus dasund äh starte mal einfaches Script, was eine Attacke simuliert. Ja, und die Attacke heißt, ich fange jetzt an diese Office Dateien zu verschlüsseln. Das müsste man eigentlich auch gleich sehen. Okay, also so wie wenn jetzt beispielsweise Virus in Troyaner kommen würde und mir halt alles zumacht. Okay, verstehe.Genau. Man sieht auch, da ändern sich schon die Endungen der Dateien. Ja, also offensichtlich hat diese dieser simulierte Angriff, der hat jetzt eben schon stattgefunden. Jetzt dauert's ein paar Sekunden und dann müssten wir eigentlich sehen, jetzt ist passiert. Ja, jetzt hast du wieder die Maus. Ja, hier isted ransomware. Genau, also da wurde jetzt dieser Angriff erkannt. Okay, ich kann reingehen. Genau, du siehst hier auch die ähm verdächtigen Pfeilendungen, dieses LCKD. Mhm. Genau. Also das heißt erstmal erkannt und jetzt hatten wir aber vorher gesagt einmal geht's ja drum, dass der Angriff erkannt wird, aber gleichzeitig auch noch ein automatiser Snapshot. Genau, wir wollten einen automatischen Snapshot machen, dass wir auch Und hier sehen wir den jetzt ganz oben. Der ist auch entsprechend beschriftet. Wird automatisch so benannt. Genau. Dann erkenne ich auch gleich, dass er von der Ransomware, also von der Antiansomware gemacht wurde. Sehr gut. Ja, richtig. Ja, richtig. Ja, richtig. Ja, genau. Okay.Sehr gut. So, und jetzt ähm machen wir mal weiter in unserer Ich mach das mal weg hier. Genau. Also, genau, wirstoppen jetzt den Angriff. Ja, und jetzt geht's als nächstes darum, wir haben ja gesagt, jetzt wollen wir versuchen, ein möglichst züg zügiges Recovery wieder zu machen. Das heißt, wir müssen in irgendeiner Form wieder auf den alten Stand zurückgehen. Wir wollen aber ein bisschen mehr machen. Wir wollen auch den aktuellen Stand und diesen Antiansomware Snapshot einfrieren und später eine Analyse machen. Also hierfür gebe ich dir jetzt mal wieder die Maus, weil dassieht mir hier zu komplex aus. Genau. Also das hier ist ein einfaches En script. ähm besteht nur aus, ich weiß nicht, 30, 40 Zeilen Code. Die sind eigentlich fast selbsterklärend. Und hier steht drin, was wir alles machen. Wir erzeugen Clone, wir machen ähm dann aus dem Snapshot einen Clone und so weiter. Und jetzt zeige ich dir mal, wie dieses Script, was vorbereitet ist, hier in dem Eniple AWX auftaucht. AWX ist die Konsole von Enble. Genau. Richtig. Ja, genau so. Dieses Script wurde schon registriert in Templates. Ransom med Mediation, das ist unser Script. Und jetzt starten wir dieses Script mal an und dann öffnet sich hier so ein einfacher Dialog. Da müssen wir uns ein paar Dinge ausfüllen. Ja, also einmal geben wir ein den Infected Volume Name, dann er muss noch mal kurz zurückgehen zum System Manager und dann holen wir uns hier den Volumen Namen einfach recht rechte Mausty and Paste. Genau.Dann haben wir gesagt, ein clean Snapshot. Also wir müssen ein bisschen weiter in die Vergangenheit zurückgehen. Genau. Also irgende ein Snapshot quasi vor der Attacke. Okay. Jetzt gehst noch mal auf das Volume, dann guck mal, welche Snapshots stehen zur Verfügung und wir nehmen den vor diesem Antiansomware Snapshot. Ja.ganz genau. Den ich mal auch. Copy and Paste. Nehmen wir den Namen hier wieder und dann pastest du denn hier rein bei Clean Snapshot. Okay. Genau. Dann kommt jetzt Ah, das ist der Analyse Snapshot quasi jetzt, wo wir gesagt haben, okay, verstehe.Genau. Also hier bitte auch wieder markieren, Copy Paste und dann in unser Mhm. Feld hier rein pasten. Dann wird automatisiert für die Analyse eine neue Storage Virtual Machine angelegt.SVM1Quarantäne. Ja, Quarantäne. Ja, Quarantäne. Ja, die braucht man nur temporär für eine spätere Analyse, was ich da alles äh verändert hat und welche Dateien angegriffen wurden. Hier logge ich mich noch kurz ein. Next. Genau so. Okay,dann lassen wir es laufen. Ja, dieses Skript, das müsste relativ zügig gehen. Wir versuchen mal im System Manager dann auch nachzuverfolgen, was passiert. Guck mal, als erstes sollte eine neue SVM angelegt werden. Jetzt sind wir sind noch rechtzeitig da. Die taucht noch nicht auf.Okay, das müsste die Quarantäne SVM dann sein, oder? sein, oder? sein, oder? Genau. Und jetzt sehen wir hier ist es passiert. Wenn wir jetzt zurückgehen, müsste eigentlich diese zweite diese neue SVM auftauchen. Dauert vielleicht ein paar Sekunden. Jetzt ist sie da. Jetzt ja. Und in dieser SVM äh ist nur einziges Volume, nämlich eben dieses Filsystem zum Zeitpunkt des Angriffs. Ja,okay, verstehe. okay, verstehe. okay, verstehe. Dafür brauchen wir das dann nachher. So. Und das heißt, wir haben jetzt die Daten für eine spätere Analyse schon mal konserviert und jetzt sollte dieses Skript auf den gesunden Snapshot zurückgehen. Ja, da passiert jetzt ein Clown im Hintergrund. Okay.Und dann ein Restore auf diesen alten Snapshot. Okay, also noch ist hier noch sieht man die genau und jetzt wenn man ein Refresh machen. Okay.Muss noch mal hier im Explorer einen Refresh anstarten. Ja, genau. Einfach noch mal reingehen. Jawohl. Genau. Und jetzt zieht man okay. Alter Stand haben wir wieder zurück. Das heißt, die ganzen Dateien sind wieder in ihrem Originalzustand bereinigt und gleichzeitig habe ich aber jetzt die Quarantäne SVM, um dann irgendwie analysieren, testen zu können, was passiert ist etc. Genau.Richtig. Also, hat soweit funktioniert. Unser einfacher Test. Gut. Jetzt ähm können wir uns vielleicht noch eine Sache angucken. Ähm und zwar ähm ist es ja schon eine Funktion.Also einmal sehen wir hier noch mal diese ähm diese geklonte SVM mit dem Quarantäne äh Fallsystem drin. Da kann ich mal drauf klicken. Okay.Irgendwie will er gerade nicht. Ja, hängt gerade ein bisschen. Genau. Guck mal. Gucken mal hier rein. Ja, genau. Ja, genau. Ja, genau. Ah ja, genau. Das ist jetzt ein neues Fallsystem. Hier könnten wir jetzt diese Funktion auch enabeln. Nach dem Enabeln dauert es eben ein paar Wochen, bis dieser Leinalgorithmus auch tatsächlich zieht. Ja, das sieht man hier noch mal. Und jetzt könnte es ja sein, dass es Sinn macht bei allen File Services Volumes genau diese Funktion hier tatsächlich auch zu aktivieren und da gibt es eine Möglichkeit, das tatsächlich als die Default Einstellung in dem Ontub auch zu aktivieren. Das heißt, dass ich gar nichts mehr enablen muss, sondern dass von Haus aus en ist. Genau richtig. Und dazu muss ich hier auf die Storage VMs, also die SVMs gehen. Ja. und dort auf die Einstellungen.Okay, wie mache ich das? Klicke ich genau. Gehen wir da drauf auf Sm 1, dann auf die Settings. Genau. Und dort gibt es dann einen Eintrag. Wenn du weiter runter gehst, dann findest du hier den Eintrag antiening. Genau, das ist es. Dann kannst du hier auf editieren gehen und hier kannst jetzt sagen auto enable antiansomware von Nass Volumes. Das heißt mit jedem neu erzeugten Nassvolume ist diese Funktion von Anfang an gich aktiv geschakchen hier habe kann ich es auch für alle bestehenden schonquasi scharf schalten. Richtig. Das ist eigentlich die Idee an der Geschichte. Also man sieht schon eine sehreinfache Funktion. Man muss jetzt nichts irgendwie parametrarisieren oder so. einfach einschalten, paar Wochen Analyse laufen lassen und danach ist man eigentlich durch. Also das ging jetzt echt einfach. Das war jetzt echt schnell einfach. Genau.Super.Das ist auch die Idee. Alles klar. Vielen Dank, Mark. Danke dir Martin fürs Zeigen.Vielleichtkann ich ja ich meine, du hast jetzt erklärt und auchtechnisch erklärt, aber vielleicht kann ich es auch noch mal so ein bisschen in meinen Worten zusammenfassen.Ja,also zuerst ist Security nicht nur Net. Security ist nicht nur ARP, sondern eben ganzviel drumherum noch, mit dem wir eigentlich nichts zu tun haben. Ja. Ähm, deswegen Zwiebelmodell. Wir haben aber für den Kern, für die Daten haben wir coole Funktionen, unter anderem das autonomous Ransomware Protection ARP, was mit Ont mitkommt und so wie ich verstanden habe eigentlich inaller Regel für unsere Kunden auch kein nichts kostet. Genau. Wir haben ähm letztes Jahr im Jahr 2023 unser Lizenzmodell modernisiert, sehr zugunsten unserer Kunden. Alle unsere Kunden, die auf einem gewissen Lizenz Level sind, bekommen kostenlos die sogenannte Ontabon Lizenz. Das ist so ein bisschen das All You can Eat Lizenzpaket von Unp. Und da ist schönerweise diese relativ neue Funktion ALP immer mit dabei. Top. Wow, cool. Okay. Gut. Das heißt, wir können auch mit dem ARP unser Snapshot based Recovery, das uns auch in anderen Workloads und seit vielen,Jahren auszeichnet, mit ansteuern. Richtig.Ja.Okay. Wie das aussieht, ganz ehrlich, total abhängig von Umgebung. Es gibt wird Kunden geben, die machen das rein manuell, wenn man halt eine überschaubare Umgebung hat. Es wird aber wahrscheinlich auch viele Kunden geben, die sich gut drauf vorbereiten für groß größere Umgebung und vielleicht tatsächlich ähnlich wie wir das in der Demo gemacht haben, bestimmte Skripts schon vorhalten, damit das wirklich nachher sehr standardisiert, sehr zuverlässig mit hoher Qualität und Sicherheit auch zum Ergebnis führt. Okay, top. Und was wir jetzt noch nicht dazu gesagt haben, so wie ich verstanden habe, können unsere Kunden, unsere Partner das, was wir jetzt gezeigt haben, auch selber und kostenlos nachspielen, nenne ich es jetzt mal, auf unserem Lab on Demand. Ähm und das Lab, waswir jetzt mal als Demo gezeigt haben, heißt Protection Recovery from Ransomware. Das heißt, ähm da können unsere Kunden eigentlich genau das, was wir jetzt getan haben, eins zu eins nachspielen.Genau. Und das Schöne ist, dieses Lab und Demand ist komplett kostenlos für registrierte Kunden. Auch wir selber Netup intern, die Tag hieß, wir verwenden dieses lab und demand.netup.com netup.com sehr gerne um neue Funktionen uns anzueignen. Wir haben eigentlich keine physikalischen Systeme mehr rumstehen, weil es hier alles sehr viel besser geht. Einfach registrieren, sich aus der riesengroßen Liste von Labs das entsprechende raussuchen. Da ist dann immer auch eine gute Anleitung dabei in PDF, was man sich ausdrucken kann und eben eine komplette Demo Umgebung, die man jederzeit auch wieder zurücksetzen kann. Würde sich ja fast anbieten, dass wir so eine Demo noch für andere Themen machen. [gelächter]Ja, vielleicht ist echt eine ganz gute Idee. Könnte ich mir gut vorstellen. Es gibt nämlich noch viel zu erzählen. Ganz genau. [gelächter] Also gespannt bleiben. Ja, bleiben. Ja, bleiben. Ja, alles klar. Sehr gut. In dem Sinne, ciao. Bis zum nächsten Mal. Danke dir. Tschüss.