109: Einstieg ins Hacking! Mit Marco Achhammer

Speaker0: Hi und herzlich willkommen zu einer weiteren Folge von Blue Screen,

Speaker0: dem Tech-Podcast der IT-Vente-VG.

Speaker0: Ich bin wie immer Alex und habe wieder einen spannenden Gast für euch heute

Speaker0: zu mir in mein virtuelles Studio eingeladen.

Speaker0: Thema der heutigen Folge ist Einstieg ins Hacking, Tipps und Erfahrungen mit

Speaker0: Marco Achammer von Marco Achammer IT Security Consulting.

Speaker0: Blue Screen, der Tech-Podcast. Ja, schön, dass du die Zeit gefunden hast, Marco.

Speaker0: Den Termin haben wir ja doch recht oft verschoben, was hauptsächlich an mir lag.

Speaker0: Ja, du bist seit kurzem selbstständig, muss man dazu sagen, was mich sehr freut.

Speaker0: Also Marco und ich, wir kennen uns von meinem ehemaligen Arbeitgeber.

Speaker0: Da war er als eine Art Leiharbeiter im Einsatz. Also wir hatten damals gesagt,

Speaker0: wir machen den ganzen IT-Support, den wollen wir auslagern, weil wir selber

Speaker0: halt kaum Zeit hatten für diese ganzen Sachen.

Speaker0: Also wirklich so die Standard-Brot-und-Butter-Tätigkeiten in der Administration.

Speaker0: Und da hat man mir dann unter anderem den Marco zur Verfügung gestellt.

Speaker0: Und Marco, ich muss sagen, mich hat das damals schon sehr begeistert,

Speaker0: wie tief du dich in Themen reinknien kannst.

Speaker0: Du hast damals auch eine kleine Lösung gebaut, um so typische Probleme wie Kennwort-Zurücksetzung

Speaker0: und User-Neuanlage im Active Directory und so halt mit einer einfachen Oberfläche abzuwickeln.

Speaker0: Und genau, danach bist du dann nach deiner Ausbildung nach Nürnberg beruflich

Speaker0: gewechselt. Ich glaube, das darf man sagen, ja?

Speaker1: Ja, darf man sagen. Ist ja öffentlich einsehbar.

Speaker0: Genau, da warst du dann bei Norris Network und mittlerweile hast du dich selbstständig

Speaker0: gemacht im Bereich IT Security Consulting, was ich natürlich nachvollziehen

Speaker0: kann, weil das ist ein sehr großes Spielfeld, in dem wir uns da aufhalten.

Speaker0: Und du hast da natürlich auch eine Menge Zeit in deine Zertifizierung reingesteckt.

Speaker0: Magst du uns mal kurz erzählen, welche Zertifikate du aktuell so innehast?

Speaker1: Gerne. Also aktuell, ich habe auch angefangen mit dem EJPT.

Speaker1: Das ist ein Einsteigerzertifikat für Interessierte.

Speaker1: Ich sage mal, da brauchst du jetzt erstmal ein paar Grundlagen aus der IT, um das zu bestehen.

Speaker1: Dann den ECPPT. Das ist jetzt schon ein fortgeschritteneres Zertifikat.

Speaker1: Auch dann speziell auf Pentesting, dann den CRTP, da geht es eher um Active

Speaker1: Directory und Active Directory Certificate Services und den OSCP,

Speaker1: was so der Meilenstein eigentlich war.

Speaker1: Das war, als wir uns kennengelernt haben, du hast das ja vorher schon erwähnt,

Speaker1: Früher eigentlich schon so mein Traum und Ziel, diesen OSCP irgendwann zu bestehen,

Speaker1: weil da einfach in der Szene so alles,

Speaker1: das ist ein Einsteigerzertifikat, aber schon ein sehr schweres Einsteigerzertifikat

Speaker1: und ja, den habe ich jetzt mittlerweile,

Speaker1: ich glaube 23 bestanden und ja, seitdem bin ich jetzt in der IT-Security mit

Speaker1: aktiv und in der IT bin ich ja auch schon,

Speaker1: wie du schon gesagt hast, seit über zehn Jahren und in der IT-Security seit

Speaker1: knapp zehn Jahren und vor allem interessiert in der IT-Security.

Speaker1: Und um es nochmal abzurunden, wie du es schon gesagt hast, ich habe Systemadministration

Speaker1: gelernt, war dann bei dir mit ausgeliehen, habe dann bei euch mitgearbeitet,

Speaker1: habe danach bei der Notis Network gearbeitet als IT-Security-Analyst,

Speaker1: das ist dann so die Verteidigerseite, um Unternehmen zu schützen und bin jetzt,

Speaker1: ich nenne mich IT-Security-Consultant,

Speaker1: man hat da ganz viele Tätigkeiten, aber ein Themenschwerpunkt von mir ist eben

Speaker1: das Penetration-Testing.

Speaker0: Ja, das ist, wie gesagt, halt ein sehr, sehr großes Spielfeld.

Speaker0: Da kann man sich richtig austoben. Und gerade das Thema OSCP,

Speaker0: ich habe den damals auch mal versucht zu machen.

Speaker0: Und das ist ja schon eine recht zeitaufwendige und nervenaufreibende Prüfung.

Speaker0: Man hat wie viel Zeit insgesamt?

Speaker1: Also du hast insgesamt 48 Stunden fürs Zertifikat und davon 24 Stunden,

Speaker1: also die ersten 24 Stunden für den praktischen Teil.

Speaker1: Das kann man sich so vorstellen, dass man einfach VPN-Zugriff auf eine Umgebung

Speaker1: bekommt und muss dann da sich durch die ganzen Maschinen, durch das Lab hacken und muss Flags sammeln.

Speaker1: Und nach den 24 Stunden wird einem dieser Zugriff eben abgedreht und man muss

Speaker1: einen Report schreiben.

Speaker1: Und in diesem Report, das ist dann ja wie ein Pentest-Report eben ist, ausführlich.

Speaker1: Und man muss dann eben beschreiben, was man gemacht hat, was man gefunden hat

Speaker1: und auch Empfehlungen geben, was man eben dagegen machen kann.

Speaker0: Ja, macht ja auch definitiv Sinn. Und das Ganze auf Englisch, nach NIST-Standard.

Speaker0: Und das ist schon, daran bin ich damals zerbrochen an dieser Aufgabe,

Speaker0: weil ich war so durch nach den ganzen Labs, dass ich dann einfach das nicht

Speaker0: mehr auf die Pfanne gekriegt habe, diese Doku noch zeitnah zu schreiben.

Speaker0: Weil irgendwann bist du halt auch platt, willst schlafen und du willst dir ja

Speaker0: keine Infusion mit Red Bull legen, damit du das nicht schaffst.

Speaker0: Das ist dann genau der Punkt gewesen bei mir. Aber wirklich spannend.

Speaker0: Darf ich mal fragen, wie alt bist du aktuell?

Speaker1: Ich bin jetzt 32.

Speaker0: Ja, das ist geil. Also das finde ich wirklich beachtenswert,

Speaker0: wenn man in dem Alter jetzt schon so weit ist mit diesen ganzen Zertifizierungen

Speaker0: und das Ganze wirklich so leben kann.

Speaker0: Du hast ja gerade aufgrund der Zertifikate das auch schon gesagt.

Speaker0: Schwerpunkte bei dir, Active Directory, Schwachstellenmanagement und Ethical Hacking.

Speaker0: Und das ist halt wirklich genau das, was die Welt, glaube ich,

Speaker0: aktuell braucht, weil wir machen ja ähnliche Dinge bei uns.

Speaker0: Und es wäre so viel vermeidbar, wenn man sich damit mal beschäftigen würde im

Speaker0: Unternehmen, dass man halt wirklich mal diesen Blick von außen hinbekommt,

Speaker0: um zu schauen, wo haben wir eine offene Flanke mit Internetrichtung oder Internetfacing?

Speaker0: Wie sieht es bei uns in unserem Verzeichnisdienst aus? Und wie verwundbar ist

Speaker0: denn unser Personal, also Schwachstelle Mensch, die Human Firewall,

Speaker0: wie es marketingtechnisch ja gerne mal genannt wird?

Speaker0: Und genau, da freue ich mich, dass du dir heute die Zeit nimmst,

Speaker0: weil ich glaube oder hoffe für dich, dass du jetzt mit deiner neu gegründeten

Speaker0: Firma auch durchaus da gefragt bist für an dem ganzen Thema.

Speaker0: Deswegen Thema heute, Einstieg ins Hacking. Da hoffe ich, dass du uns so das

Speaker0: eine oder andere Thema erzählen würdest oder kannst.

Speaker0: Und dann hätte ich hier schon mal die erste Frage für dich, wie du da reingekommen

Speaker0: bist in das Ganze. Haben wir jetzt gerade im Prinzip schon aufgebröselt über

Speaker0: die Noris und halt eigenes Interesse.

Speaker0: Gab es denn einen Schlüsselmoment oder ein prägendes Erlebnis auf deiner Reise dahin?

Speaker1: Thema Einstieg ins Hacking. Ich fand damals Hacking, dieser Begriff Hacking,

Speaker1: war schon immer so mystisch, war so negativ behaftet, war böse,

Speaker1: war interessant für mich.

Speaker1: Aber wenn man in die Materie einsteigt, dann stellt man eigentlich schnell fest,

Speaker1: dass Hacking eigentlich eher so ein Werkzeug ist und dieses Interesse weckt,

Speaker1: Sachen erstmal kaputt zu machen und zu verstehen.

Speaker1: Warum und wie Sachen funktionieren und dieses, ich mache etwas böswillig kaputt,

Speaker1: das sind eigentlich so die Cracker.

Speaker1: Also das ist einfach nochmal so ein anderer Begriff.

Speaker1: Und ja, Hacking fand ich, wie gesagt, schon immer interessant.

Speaker1: So wirklich eingetaucht bin ich, als ich mit der Ausbildung fertig war.

Speaker1: Also, dass ich in die Richtung Pentesting gehen will, das war für mich eigentlich

Speaker1: schon früh klar. und bei der Recherche über das Pentesting ist mir auf YouTube

Speaker1: der Daniel Mrisko ist aufgefallen. Den kennst du ja auch mittlerweile.

Speaker1: Und das war für mich so ein Meilenstein in meinem Leben, weil er hat so YouTube-Videos

Speaker1: über Pentesting gemacht und ich habe da immer gesehen, er könnte da bei dem

Speaker1: einen oder anderen Thema dann

Speaker1: noch Hilfe brauchen, weil er da so eine Schulungsplattform gelauncht hat.

Speaker1: Und ich habe ihm da dann meine Hilfe angeboten 2017 und das war so für mich

Speaker1: dann ja auch so ein Schlüsselmoment, Und wie ich dann in dieses Thema tiefer eingestiegen bin,

Speaker1: weil ich jetzt seit 2017 auch eng mit Daniel eben befreundet bin und wir so

Speaker1: gut wie täglich auch Kontakt haben.

Speaker1: Und aus meiner Kindheit habe ich noch einen Schlüsselmoment.

Speaker1: Das war, weil ich ja schon immer ja auch viel am PC verbracht habe damals.

Speaker1: Und ja, das ist ja immer so, den Eltern passt es ja nicht, wenn die Kinder dann

Speaker1: so viel Zeit am PC verbringen und mein Vater hat dann irgendwann die Fritzbox,

Speaker1: also das WLAN ausgeschalten und was macht man?

Speaker1: Man zieht ein 10-Meter-LAN-Kabel rüber und dieses ganze Zeug,

Speaker1: immer das zu umgehen, dieses Katzen-Maus-Spiel, das war dann sehr interessant

Speaker1: und hat mich jetzt bis jetzt auch noch dran gehalten, einfach an diesem Thema dran zu bleiben.

Speaker0: Kann ich nachvollziehen. Das sind so diese Überlegungen, wie kann man was umgehen?

Speaker0: Und das finde ich gerade bei Kindern und Jugendlichen sehr spannend.

Speaker0: Wir hatten das mal im Bekanntenkreis, wo auch die Kinder die ganze Zeit an dem

Speaker0: Handy der Mutter hingen und irgendwas gespielt haben.

Speaker0: Hat sie dann irgendwann die Mutter gesagt, jetzt habt ihr noch zwei Minuten

Speaker0: und dann geht nichts mehr.

Speaker0: Und ich habe mir bloß gedacht, na, schauen wir mal. Und da gab es irgend so

Speaker0: eine Parent Chill Control App, da hat sie das irgendwie eingestellt und ich

Speaker0: habe dann auf die Uhr geguckt, nach zehn Minuten waren die Kinder immer noch am Spielen.

Speaker0: Habe ich gesagt, du, das mit deiner App da hat aber nicht funktioniert.

Speaker0: Nee, die können nicht mehr spielen. Dann sage ich, ja, guck doch mal, die spielen immer noch.

Speaker0: Ja, okay, dann schalte ich das jetzt aus, drückt drauf, sagt,

Speaker0: so, jetzt geht gleich nichts mehr.

Speaker0: Die spielen weiter, spielen weiter. Dann sage ich, lass mich mal.

Speaker0: Ich sage, Jungs, könnt ihr mal bitte das WLAN an dem Handy wieder einschalten? alle geschockt, warum?

Speaker0: Naja, das Signal von der App der Mutter kommt halt nur an, wenn das Gerät halt

Speaker0: auch gerade Internetzugang hat irgendwie. Also...

Speaker0: Tja, aber das finde ich halt genau, das ist das Interessante,

Speaker0: wenn man halt wirklich guckt, wie kann man irgendwas umgehen,

Speaker0: was irgendwie standardisiert so und so funktionieren sollte,

Speaker0: wie kann man Sachen manipulieren,

Speaker0: verändern, das ist auch gerade im elektronischen Hardware-Bereich so,

Speaker0: so Themen wie Mod-Chips irgendwo in eine Spielekonsole reinbauen,

Speaker0: ich habe jetzt tatsächlich meine Switch,

Speaker0: meine 1er-Switch erst mit einem Mod-Chip ausgestattet,

Speaker0: mir macht auch Löten Spaß, muss ich sagen, von dem her, das ist halt schon cool,

Speaker0: einfach um zu sehen, es gibt Leute, die machen sich Gedanken,

Speaker0: wie kann ich was so manipulieren, dass es danach andere Sachen tut,

Speaker0: als das, wofür es eigentlich da war.

Speaker1: Ja.

Speaker0: Das ist schon richtig cool. Ja, der Daniel, weil du den gerade angesprochen

Speaker0: hast, den kenne ich tatsächlich auch, weil der halt verdammt gute Dokumente

Speaker0: schreibt und Vorlagen baut aus dem Bereich Compliance,

Speaker0: Prozessbeschreibungen oder auch Zeitabschätzungen.

Speaker0: Weil ganz häufig ist ja so, Leute wie du und ich, wir sagen halt,

Speaker0: ihr müsst Aufgabe XY in euer Tagesgeschäft mit aufnehmen. Zum Beispiel Härten

Speaker0: von Servern, Serversysteme.

Speaker0: So, das ist jetzt mal eine Aussage und dann steht es halt im Report drin und

Speaker0: der Auftraggeber sagt dann, ja cool, muss man machen. Okay, habe ich verstanden.

Speaker0: Aber nirgendwo steht halt, wie viel Zeitaufwand steckt dahinter.

Speaker0: Und das finde ich beim Daniel wirklich geil, weil er halt die Aufgabe sehr detailliert beschreibt.

Speaker0: Was heißt denn das überhaupt und wie viel Zeit muss ich dafür einplanen?

Speaker0: Und dann stellt sich ganz schnell raus, wenn man mehr solcher Tasks in seinem Report drin hat,

Speaker0: dass du eigentlich einen Admin einstellen musst oder einen externen Dienstleister

Speaker0: brauchst, weil du das mit deiner eigenen Mannstärke oder deinem eigenen Personal

Speaker0: gar nicht abdecken kannst, was da gefordert wird.

Speaker0: Und deswegen mag ich die Dokumente von ihm so gern. Werde ich auch unten in

Speaker0: die Shownotes mit reinschreiben. Guckt euch das an.

Speaker0: Ihr könnt euch diese ganzen Dokumente auch auf GitHub runterladen beim Daniel

Speaker0: auf seiner Website. Da sind auch die Links zu seinem Git-Repository.

Speaker0: Da kann man die Sachen dann auch direkt in die eigene Produktion mit aufnehmen.

Speaker0: Also das ist schon super.

Speaker0: Ja, danke erstmal dafür. Und was waren denn so deine größten Herausforderungen

Speaker0: jetzt gerade bei Gründung? Du bist ja jetzt ein Startup sozusagen.

Speaker1: Ja, nicht ganz. Also ich bin schon seit 21 eigentlich selbstständig,

Speaker1: aber da im Nebengewerbe.

Speaker1: Aber vor allem dieser Drive, da jetzt wirklich durchzustarten,

Speaker1: das hat dann mit Corona eigentlich dann gestartet.

Speaker1: Also auch da habe ich dann angefangen, diese ganzen Zertifikate zu machen.

Speaker1: Und eigentlich war ich da im Nebengewerbe schon selbstständig,

Speaker1: hatte einen Fulltime-40-Stunden-Job bei der Noris und habe nebenbei noch Vollzeit

Speaker1: an diesen ganzen Zertifikaten gearbeitet.

Speaker1: Also so Herausforderung ist

Speaker1: einfach Zeitmanagement, weil man hat ja auch noch Familie mit zu Hause.

Speaker1: Aber grundsätzlich ist die Herausforderung, in diesen ganzen Dschungel erstmal klarzukommen, weil,

Speaker1: wie du es vorher schon ein paar Mal gesagt hast, Es gibt in der IT oder allgemein

Speaker1: oder auch in der IT-Security so viele unterschiedliche Themen und wenn man sagt,

Speaker1: ich will jetzt mit dem Penetration-Testing anfangen,

Speaker1: dann wird man erstmal auf 100 Themen stoßen, die interessant sind,

Speaker1: aber man jetzt keinen direkten Einstieg findet, weil man ja alles lernen muss.

Speaker1: Und ja, das war eigentlich so eine Herausforderung, diese Informationsflut, die es in der IT gibt.

Speaker1: Es berichtet ja jeder über alles, sag ich mal. Und man muss sich da erstmal

Speaker1: sortieren und ein bisschen ordnen.

Speaker1: Was gefällt mir? Woher komme ich? Also, was sind denn auch so meine Kenntnisse,

Speaker1: die ich bereits schon habe? Und ja, einfach diese Informationsflut,

Speaker1: dass man eben nicht weiß, was es alles gibt und womit man anfängt.

Speaker1: Das war eigentlich so die größte Herausforderung. Und ein Beispiel ist hier.

Speaker1: Welche Programmiersprache soll ich lernen? So, da kann man ja nicht antworten

Speaker1: mit lerne die und die Sprache, weil es kommt immer darauf an,

Speaker1: was man denn damit machen will.

Speaker1: Und genau so ist es eben auch im Ethical Hacking oder in der IT-Security allgemein.

Speaker0: Ja, das kann ich auf jeden Fall bestätigen und unterschreiben und das ist natürlich

Speaker0: auch leider viel Marketing-Shi-Shi, was da draußen so unterwegs ist.

Speaker0: Egal welche Hersteller, die versuchen natürlich ihre Kunden irgendwie zu beraten

Speaker0: und auch Interesse da irgendwie dafür zu wecken. wenn man auf der ITSA jetzt

Speaker0: mal drüber gegangen ist, hat ungefähr jeder Stand irgendwie ein Thema abgedeckt.

Speaker0: Und das habe ich erst neulich in dem letzten Interview hier bei uns auf dem Kanal gesagt.

Speaker0: Da wird sich mit Sachen beschäftigt, da haben wir noch gar nicht drüber nachgedacht.

Speaker0: Da werden auf einmal Lösungen für Probleme aufgetan, die wir noch gar nicht

Speaker0: als Problem erkannt haben.

Speaker0: Und deswegen ist das halt gerade so interessant.

Speaker0: Und man muss halt auch eins dazu sagen, viele Kunden von uns haben halt auch

Speaker0: kein Verständnis dafür, für warum ein Pentest jetzt wichtig wäre.

Speaker0: Manche wissen es vielleicht und die kommen dann mit einer klaren Aussage und

Speaker0: sagen, ich möchte mal einen richtigen Pentest haben.

Speaker0: So richtig, mit Zeitfenster und Scope-Definition und ja, mach mal.

Speaker0: Und wenn du dann von außen drauf guckst, siehst du schon, oje,

Speaker0: also hier ist wirklich die Burg, die hat keine Mauern, da ist wirklich absolut offene Flanke.

Speaker0: Und dann könnte man sagen, okay, ich mache jetzt den Pentest,

Speaker0: der kostet euch jetzt 10, 15, 20.000 Euro und du bist halt innerhalb von,

Speaker0: keine Ahnung, zwei Tagen schon drin.

Speaker0: In dem System. Und da sage ich ganz oft zu solchen Interessenten und solchen

Speaker0: Anfragen, lass uns erst mal ein bisschen niedriger, niedrigschwelliger anfangen

Speaker0: und mal ein bisschen klopfen und gucken.

Speaker0: So wie beim TÜV, ja, also Türschweller, der durchgerostet ist,

Speaker0: wo ich mit dem Finger schon durchkomme.

Speaker0: Da braucht man jetzt nicht großartige Überprüfung machen und Eintragung,

Speaker0: weil du wirst sowieso nicht bestehen. Du kriegst hier keine Plakette von mir.

Speaker0: Und das ist genau der Punkt.

Speaker0: Also der super duper Pentest mit Hardcore-Hacking und sonst was und vielleicht

Speaker0: auch noch Infiltration in Gebäude, der ist häufig gar nicht nötig und das ist

Speaker0: ganz oft halt auch Geld und Zeitverschwendung.

Speaker0: Also jetzt nicht für uns, aber für den Kunden halt.

Speaker0: Ich erkläre dann auch ganz oft, wenn es dann halt so mit irgendwelchen hochgestochenen

Speaker0: Sicherheitslösungen schon gearbeitet wird, du hast da irgendwie intern einen

Speaker0: SQL-Server, der in einem eigenen Segment steht und in einer eigenen Zone und

Speaker0: vielleicht steht da auch nochmal eine Firewall davor,

Speaker0: die halt in der Lage ist, wirklich nach verschiedenen Mechanismen zu erkennen,

Speaker0: was passiert hier gerade, also macht hier gerade jemand einen Port-Scan,

Speaker0: dann blocke ich das quasi weg Und dieser SQL-Server hat aber im Test irgendwie

Speaker0: eine Schwachstelle mit einem CVE-Score von 10.

Speaker0: So, dann muss ich sagen, ja, das ist mir relativ wurscht, ob das jetzt CVE-10

Speaker0: ist oder EUVD-10 ist, weil das Ding steht nicht direkt im Internet.

Speaker0: Wenn du aber auf der anderen Seite irgendwo ein ERP-System oder irgendwas anderes

Speaker0: für deine Kunden aufgesetzt hast, das Ding steht direkt in der Zone Internet,

Speaker0: hat 10.000 Schwachstellen, die in der Kombination wesentlich dramatischer sind

Speaker0: und ich über den Weg mir sozusagen über das zweite Bein in die Zone internes

Speaker0: Netz und LAN einen Zugang auf dein internes Netz verschaffen kann,

Speaker0: dann kümmere dich doch lieber mal um das, weil das ist halt einfach wichtiger.

Speaker0: Die Wahrscheinlichkeit, dass diese Schwachstelle ausgenutzt wird,

Speaker0: ist wesentlich größer als dieser SQL-Server.

Speaker0: Da muss ich ja erstmal rein, damit ich das überhaupt hinbekomme.

Speaker0: Also ich brauche einen Foothold in der Umgebung, damit ich diese Schwäche ausnutzen

Speaker0: kann und dann habe ich halt deinen SQL-Server. Cool.

Speaker0: Dann kann ich noch Datenexfiltration vielleicht machen, wenn dann noch irgendwie

Speaker0: so Billo-Absicherung wie SA und Password benutzt wird.

Speaker0: So, und dann bin ich halt auf der Datenbank, dann mache ich einen Dump von den

Speaker0: Daten und sage dann, du pass auf.

Speaker0: Hier, ich habe deine Daten geklaut, ich erwarte jetzt von dir 10 Bitcoins,

Speaker0: weil ansonsten werde ich das Ganze halt entsprechend in, weiß ich nicht,

Speaker0: in 5 Tagen werde ich es veröffentlichen.

Speaker0: Dann kriegt natürlich das Opfer erstmal Panik.

Speaker0: Hätte man natürlich vermeiden können, wenn man den SQL-Server halt mal gepatcht

Speaker0: hätte oder richtig konfiguriert hätte.

Speaker0: Aber das sind genau diese Punkte und da muss man viel erklären, merke ich zumindest.

Speaker1: Ja, also merke ich auch. Ich habe immer Anfragen mit, ja, wir brauchen einen

Speaker1: Pentest und dann ist immer so die erste Frage, so warum braucht ihr einen Pentest

Speaker1: und wie kommen die denn überhaupt darauf?

Speaker1: Und oft stellt sich dann heraus, haben sie halt gehört, dass man sowas braucht

Speaker1: oder es ist eine regulatorische Anforderung.

Speaker1: Aber wie du schon sagst, man muss immer erst gucken, was hat denn der Kunde

Speaker1: überhaupt schon im Einsatz, was für Sicherheitsmechanismen und da ist dann ein

Speaker1: Pentest gar nicht immer die erste Wahl, weil ich sag mal,

Speaker1: einfache Schwachstellen, die kann man eben mit einem Schwachstellen-Scan beispielsweise schon,

Speaker1: also diese Low-Hanging-Fruits, die kann man eben mit einem Scan schon abdecken

Speaker1: und wenn die Firma jetzt noch keinen Schwachstellen-Scan oder sowas implementiert

Speaker1: hat oder noch gar kein EDR, XDR oder irgendwie eine zentrale Aufwand hat,

Speaker1: V-Lösung, dann braucht man da, oder kein Patch-Management,

Speaker1: dann braucht man da mit einem Pentest erst gar nicht draufschießen,

Speaker1: weil da würde man dann so viel kleines Zeug auch finden,

Speaker1: damit sich halt diese Zeit am Ende vom Tag wirst du ja,

Speaker1: Also man kann ja das ja, wie du es vorher schon gesagt hast mit dem Autobeispiel,

Speaker1: du kannst jetzt zu einem TÜV-Prüfer gehen und sagen, such eine Stunde lang nach

Speaker1: allen Sachen, die du findest, oder nimm dir vier Tage Zeit und nimm das Auto

Speaker1: auseinander und am besten ist es natürlich, wenn er so die

Speaker1: schwersten Findings, also die kritischen Findings mit aufdeckt und ja,

Speaker1: das ist eben dann so der Punkt,

Speaker1: wenn es dann so viele ganz kleine Sachen gibt, die werden in dem Pentest schon

Speaker1: auch gefunden, aber dann hast du wahrscheinlich nicht mehr die Zeit,

Speaker1: um halt die großen Probleme, noch die tieferen Probleme zu finden.

Speaker0: Das ist auch noch ein ganz wichtiger Aspekt, den du ansprichst,

Speaker0: es muss ja auch noch nachher lösbar sein,

Speaker0: weil wir haben das ganz häufig, wenn wir so richtig mit einer Analyse starten,

Speaker0: so ein typischer Report bei mir hat meistens so zwischen 70 und 90 Seiten und

Speaker0: da stecken eine Menge Aufgaben drin. Es gibt natürlich auch eine Tabelle dazu.

Speaker0: Was ist der Punkt? Wie sollte man es lösen? Wer ist dafür zuständig?

Speaker0: Oder wie kann ich es durch ein Produkt möglicherweise lösen,

Speaker0: wie so ein Pflaster, was ich draufklebe auf das Loch,

Speaker0: Und es muss ja irgendjemand auch noch

Speaker0: A, bezahlen und B, auch zeitlich hinbekommen, das Ganze dann zu lösen.

Speaker0: Und das ist auch wieder der falsche Weg, die Leute zu überfrachten,

Speaker0: weil das führt dann zu so einer Security-Fatigue auf Seiten der Auftraggeber,

Speaker0: weil die Admits sagen, oh, was soll ich noch alles machen?

Speaker0: Ich führe hier gerade Windows 11 ein, ich habe gar keine Zeit.

Speaker0: Oder die Geschäftsleitung sagt, ja super, jetzt hatten wir doch jetzt die letzten

Speaker0: zehn Jahre kaum Geld ausgegeben für IT.

Speaker0: Jetzt haben wir einmal jemanden beauftragt und jetzt kostet das jeden Monat

Speaker0: Geld oder die kostet in Summe so und so viele Betrag X im fünf-,

Speaker0: sechsstelligen Bereich. Das ist ja alles Kacke, will ich ja gar nicht haben.

Speaker0: Und damit haben wir im Prinzip genau das Falsche geschafft, nämlich,

Speaker0: dass ein sicherer Betrieb möglich wird, bedeutet natürlich, man muss sich erstmal

Speaker0: lang machen, damit es überhaupt funktioniert.

Speaker0: Und damit kann man die Leute auch verjagen.

Speaker1: Also ich kenne das ganz gut. Meistens ist es so, dass die IT-Abteilung eigentlich

Speaker1: schon ganz genau weiß, wo sie steht, nur eben das Budget für solche Tests oft nicht da ist.

Speaker1: Und was ich dann immer gerne mache, ist, so ein Report hat ja immer ein Executive

Speaker1: Summary, was eben für die Management-Ebene da ist und da kann man dann schon auch reinschreiben,

Speaker1: wie es denn um die IT steht und dass eben die Ressourcen, die aktuell dafür aufgewendet werden,

Speaker1: nicht im Verhältnis stehen zu dieser Sicherheitsschicht, die sie jetzt aktuell haben.

Speaker1: Das heißt, da muss man ganz klar eben darauf hinweisen, dass ja die IT-Sicherheit,

Speaker1: wie sie jetzt gerade gelebt ist, ja mit zu wenig Budget ausgestattet ist.

Speaker1: Und auf der anderen Seite hast du im Report dann noch so eine Technical Summary,

Speaker1: was dann diese technische Zusammenfassung ist, wo du dann eben für die Techniker

Speaker1: und für die IT-Abteilung erklärst, was denn technisch das Problem ist.

Speaker1: Und du hast jetzt von dieser Fatigue gesprochen.

Speaker1: Also ich kenne das zu gut und was ich hier immer gerne mache,

Speaker1: ist, wenn du eine Vielzahl oder eine große Anzahl an Findings hast,

Speaker1: dann hast du die Möglichkeit, zwischen kurzfristigen, mittelfristigen und langfristigen

Speaker1: Lösungen zu unterscheiden.

Speaker1: Und das gibt, also wenn ich merke, dass es da, dass der Test dann zu,

Speaker1: der Reaper zu groß wird und zu lang wird, dann weiß ich im Voraus schon,

Speaker1: ja okay, das lesen sie sich einmal durch,

Speaker1: aber am Ende vom Tag haben sie Fragezeichen im Gesicht und da nutze ich dann

Speaker1: eben diese kurzfristigen und Quick-Wins, die man eben machen kann,

Speaker1: um im Nachgang den Prozess zu etablieren, weil große Prozesse wie Patch-Management,

Speaker1: das ist nichts, was man auch von heute auf morgen etablieren kann,

Speaker1: Aber man muss es natürlich irgendwie ansprechen und erwähnen und da gebe ich

Speaker1: eben gerne Quick Rings mit,

Speaker1: weil man da ja schon einen Großteil an Sicherheit gewonnen hat und das deutlich

Speaker1: weniger Zeit in Anspruch nimmt, als jetzt alle langfristigen Lösungen umzusetzen.

Speaker0: Ja, wichtig, was du gerade gesagt hast, die IT-Abteilung weiß es ganz häufig

Speaker0: schon, wenn die sich ein bisschen damit auseinandersetzen.

Speaker0: Ganz häufig kriege ich aber auch mit, dass denen das überhaupt nicht bewusst

Speaker0: ist, was sie für Löcher haben in ihrer Infrastruktur.

Speaker0: Großer Vorteil ist halt mit so einem Report, der dann auch natürlich an die

Speaker0: Geschäftsleitung und den Datenschutzbeauftragten und so weiter geht oder den

Speaker0: Vorstand, damit ist es kommuniziert.

Speaker0: Weil das merke ich halt auch immer wieder, es ist oft die Scheu davor,

Speaker0: diese Probleme anzusprechen, weil gerade die Admins, die schon länger das Ganze

Speaker0: machen, die Befürchtung haben, dass dann jemand ihnen vorwirft,

Speaker0: ja, warum machst du deinen Job nicht?

Speaker0: Ich beschäftige dich hier für viel Geld jedes Jahr und jetzt kommt da jemand

Speaker0: von extern und sagt, das ist bei euch alles falsch.

Speaker0: Und dann kann man halt sagen, nee, den Leuten darfst du keinen Vorwurf machen,

Speaker0: weil die haben halt nur ihre 40 Stunden und wenn man die nicht regelmäßig auf

Speaker0: Schulung schickt und ihnen die Zeit gibt, dass sie sich mit den Sachen auseinandersetzen,

Speaker0: woher sollen sie es wissen?

Speaker0: Ja, gerade Active Directory ist da so der Klassiker. Wenn du das Ding aufsetzt,

Speaker0: weil du irgendwo auf einem Kurs warst, zum Beispiel bei der Q-Skills,

Speaker0: schöne Grüße nach Nürnberg oder bei der MITSM in München,

Speaker0: auch dahin schöne Grüße, dann lernt ihr halt, wie man einen Windows-Server installiert

Speaker0: und wie man Active Directory aufsetzt.

Speaker0: Aber diese typischen Pitfalls, die danach noch da sind, das ist auch ein langer

Speaker0: Weg, den Active Directory Server sicher zu konfigurieren.

Speaker0: Das ist da halt häufig nicht Bestandteil dabei.

Speaker0: Und wenn wir halt kommen und halt so ein Audit aufs AD fahren,

Speaker0: da gibt es eine lange Liste an Sachen, die man noch tun muss.

Speaker0: Aber ganz oft ist es dann so, ach so, ja, das habe ich nicht gewusst. Ja, woher denn auch?

Speaker0: Wenn du dich nicht mit der Materie beschäftigt hast bis jetzt.

Speaker1: Ja, also ich kenne das auch zu gut und deswegen nutze ich auch immer so die

Speaker1: Möglichkeit, persönlich bei dem IT-Team, bei dem Pentest mit vor Ort zu sein,

Speaker1: um eben von Anfang an gleich klarzustellen, ich bin nicht da,

Speaker1: um jetzt gleich mit dem Finger auf euch zu zeigen, um zu sagen, hey,

Speaker1: du hast da und da Mist gebaut, sondern wie du schon sagst, das AD,

Speaker1: das ist ja meistens auch strukturell gewachsen, also man installiert ja nicht alle zwei Jahre,

Speaker1: das ist ja ein AD neu, sondern manche ADs sind halt um die Zeit 2000 entstanden

Speaker1: und das wird halt dann in place immer geupgradet und was eben State of the Art

Speaker1: war und Best Practice vor fünf Jahren,

Speaker1: kann eben heute schon eine fatale Fehlkonfiguration sein und wenn man dann eben

Speaker1: nicht regelmäßig auf einer Schulung ist oder eben weiß, was denn so die modernen Best Practices sind,

Speaker1: dann kann man da schon auf die Nase fallen.

Speaker0: Ja, da ist der Klassiker des Kerberos-Kennwort vom Kerberos, K-R-B-T-G-Account.

Speaker0: Wenn ich dann sage, ja, das müsstet ihr regelmäßig ändern, ja, machen wir.

Speaker0: So, und dann guckst du halt im Audit rein, das Ding wurde zuletzt vor 10.000

Speaker0: Tagen geändert, das ist halt 27 Jahre, Glückwunsch.

Speaker0: Also, so viel zum Thema machen wir regelmäßig, sorry, macht ihr nicht,

Speaker0: also kümmert euch da bitte drum, macht es zu einer Aufgabe, einmal im Quartal

Speaker0: dieses Ding einmal zu resetten.

Speaker0: Da gibt es schöne PowerShell-Skripte, fertige dafür, lass das einmal im Quartal

Speaker0: laufen und prüfe, ob danach noch alles geht und dann ist dieses Thema doch schon erledigt.

Speaker0: Also ja, die Erklärkurve, die Erklärnotwendigkeit ist da doch relativ hoch.

Speaker0: Und manchmal wird man auch so angeguckt, als ob man irgendwie nicht ganz dicht

Speaker0: wäre, weil man irgendwie Gespenster sieht in der Umgebung.

Speaker0: Aber ja, das ist halt nun mal so.

Speaker1: Ja, kenne ich zu gut. Um wieder auf unser Thema zurückzukommen.

Speaker1: Wir hatten ja gesagt, Einstieg ins Ethical Hacking oder Hacking allgemein.

Speaker1: Das Ethical Hacking an sich beschreibt ja eigentlich so dieses ethische,

Speaker1: den verantwortungsvollen Umgang mit dem Hacking und ein paar Grundlagen,

Speaker1: wie man in dieses Ethical Hacking einsteigen kann.

Speaker1: Da gibt es jetzt ja ein paar Grundkenntnisse, die man mitbringen kann und sollte

Speaker1: und grundsätzlich ist das eigentlich alles, was sich mit der IT beschäftigt,

Speaker1: also Netzwerkgrundlagen,

Speaker1: Betriebssystemgrundlagen,

Speaker1: Programmierkenntnisse,

Speaker1: also alles, was auch so eine Fachinformatikerausbildung beispielsweise mitbringt,

Speaker1: ist perfekt geeignet, um in so ein Thema einzusteigen.

Speaker1: Ich kenne jetzt aber auch ganz viele, die in der IT eben als Quereinsteiger tätig sind,

Speaker1: weil es für die endgültige Arbeit, die man dann leistet, nicht unbedingt notwendig

Speaker1: ist, aber um große Probleme dann eben zu verstehen oder um was zu troubleshooten,

Speaker1: um Angriffspfade zu verstehen, ist es eben dann schon sinnvoll,

Speaker1: ja, Netzwerkkenntnisse zu haben, wie funktioniert ein Web-Server,

Speaker1: also da ist es dann eben schon sinnvoll, ja, generelles Wissen aufzubauen.

Speaker1: Aber dieses generelle Wissen kann man eben nicht von heute auf morgen aufbauen.

Speaker1: Also es gibt hier leider keine Abkürzung, wie man sagt, wie kann ich jetzt schnell

Speaker1: in dieses Thema einsteigen, sondern der Weg ist auf jeden Fall eher steinig

Speaker1: und schwer und da gibt es, wie gesagt, keine Abkürzung dafür.

Speaker1: Man muss einfach Disziplin mit aufbringen und die Themen sauber abarbeiten nach und nach.

Speaker0: Das stimmt.

Speaker0: Eine Frage hätte ich allerdings noch zum vorherigen Punkt. Wie wirst du denn

Speaker0: wahrgenommen? Weil du hast gesagt, du redest dann mit den IT-Teams.

Speaker0: Die gleiche Frage habe ich dem Janis Kienast hier schon gestellt und dem Donald

Speaker0: Ortmann, die ja auch im Bereich Pentesting aktiv sind.

Speaker0: Und ich erlebe das immer wieder aus meiner Perspektive, dass man halt manchmal

Speaker0: so ein bisschen Anfeindung erlebt.

Speaker0: So, ja toll, jetzt haben sie da irgendwem viel Geld bezahlt.

Speaker0: Jetzt kommt der und zeigt überall mit dem Finger drauf, was wir falsch gemacht

Speaker0: haben. Wie geht es dir da so?

Speaker1: Also habe ich jetzt auch schon erlebt, war jetzt aber, also ist jetzt nicht

Speaker1: meine hauptsächliche Wahrnehmung und schon gar nicht die Wahrnehmung von der

Speaker1: ganzen Abteilung, sondern du hast immer mal wieder ein paar Leute dabei,

Speaker1: wo du dann schon siehst so,

Speaker1: ja okay, der will mir was Böses, aber grundsätzlich wissen die Leute schon,

Speaker1: das ist halt, also ich kommuniziere jetzt auch immer ganz offen so,

Speaker1: ich werde höchstwahrscheinlich, werde ich was finden.

Speaker1: Und wir werden auch denjenigen rausfinden, der das dann gemacht hat.

Speaker1: Aber das steht jetzt nicht im Mittelpunkt, sondern im Mittelpunkt steht eigentlich

Speaker1: nur die Sicherheit dahinter und was man besser machen kann.

Speaker1: Also ich habe das jetzt noch nicht so wahrgenommen, dass es da wirklich so Anfeindungen

Speaker1: gibt. Klar, du wirst jemanden merken, der dann vielleicht ein bisschen bockig

Speaker1: ist, wenn man mit ihm über das Problem spricht, was er da eigentlich vermurkst hat.

Speaker1: Aber grundsätzlich bin ich da schon so offen, um ihm zu sagen,

Speaker1: hey, das ist halt einfach so.

Speaker1: Man kann eigentlich gar nicht alles richtig machen, weil es immer wieder neue Best Practices gibt.

Speaker0: Ja, das ist das Problem mit dem Prophet im eigenen Land, der selten gehört wird.

Speaker0: Ich sage dann an der Stelle meistens dazu, bleibt mal ein bisschen cool,

Speaker0: wir sind eine Art Enthaftungsmittel für euch.

Speaker0: Ihr dürft mir jetzt alles erzählen, was ihr wisst, was irgendwie Probleme sind in dieser Umgebung.

Speaker0: Und dann schreibe ich das in meinen Report rein und damit ist es kommuniziert

Speaker0: nach oben und dann kann keiner mehr sagen, habe ich nichts von gewusst.

Speaker0: So, und damit seid ihr auch raus. Also das Thema Haftung ist ja auch im beruflichen Umfeld ein Thema.

Speaker0: Wenn dann irgendwo wirklich was passiert und dann geht es in die Forensik,

Speaker0: dann wird festgestellt, da ist dieses und jenes Update nicht gewesen und deswegen

Speaker0: konnte der Eingriff erfolgreich durchgeführt werden.

Speaker0: Dann kann vielleicht jemand mal auf die Idee kommen zu sagen,

Speaker0: ja, wer hätte denn den Job gehabt, das zu machen? Ah ja, der Herr Müller.

Speaker0: Ja, wenn der Herr Müller seinen Job gemacht hätte, dann wäre jetzt das nicht

Speaker0: passiert. Deswegen gehe ich mal zu einem Rechtsanwalt für Arbeitsrecht und versuche

Speaker0: mal, den Herrn Müller zu verklagen.

Speaker0: So, vielleicht hat er irgendwie Privathaftung, vielleicht ist das ja möglich.

Speaker0: Und dann kann man sagen, nee, nee, nee, hier guck mal in dem Bericht von Marco,

Speaker0: damals stand drin, dies und das wäre zu tun, hat sich keiner für interessiert.

Speaker0: Ich bekomme nicht die Zeit und auch nicht die Mittel, um das zu lösen.

Speaker0: So, was hätte ich jetzt tun sollen? Und das ist schon ein wichtiger Aspekt.

Speaker0: So ein Bericht ist ein Enthaftungsmittel für alle Beteiligten in dieser Kette

Speaker0: und nach NES 2 natürlich auch ein Thema nach oben gesprochen.

Speaker0: Wir haben die Verpflichtung, sobald die NES 2 rechtskräftig und gültig ist,

Speaker0: dass auch die Geschäftsleitung sich mit IT-Sicherheitsthemen zu beschäftigen

Speaker0: hat, damit die auch verstehen, wovon wir reden.

Speaker0: Weil häufig ist es ja wirklich klingonisch, was wir so von uns geben für die.

Speaker0: Du hast jetzt gerade schon gesagt, eine klassische Ausbildung,

Speaker0: formaler Bildungsweg, IT-Systemelektroniker oder Fachinformatiker ist hilfreich.

Speaker0: Absolut gebe ich dir recht.

Speaker0: Gerade so, wenn man dann sagt, ja, jetzt bin ich auf dem Server.

Speaker0: Wie komme ich jetzt in das Netzwerk? Naja, guck mal, vielleicht hat der ja zwei

Speaker0: Zonen, zwei Netzwerkkarten. Wenn ich auf dem Server drauf bin,

Speaker0: kann ich ja versuchen, über die zweite Netzwerkkarte, die halt im LAN-Segment

Speaker0: steht, vielleicht mich durchzuhangeln.

Speaker0: Wenn man noch nie sich damit auseinandergesetzt hat, dass es überhaupt möglich

Speaker0: ist, mehr als eine Netzwerkkarte und wenn es eine virtuelle Netzwerkkarte ist

Speaker0: in irgendeiner Virtualisierungsumgebung wie Proxmox oder VMware,

Speaker0: dann werde ich mich natürlich schwer tun, diesen Angriffspfad halt auch zu sehen und zu verstehen.

Speaker0: Also da gebe ich dir absolut recht. Jetzt kann man ja auch viele Sachen aus

Speaker0: Büchern oder Online-Plattformen wie TryHackMe lernen. Wie schaut es da bei dir aus?

Speaker0: Kannst du mit Büchern überhaupt lernen? Weil ich muss sagen, ich kann es nicht.

Speaker1: Also, schwierig. Dadurch, dass ich diesen Prozess hier, also es gab zu der Zeit,

Speaker1: wo ich angefangen habe, ja einfach auch keine so eine klare Linie und die gibt es immer noch nicht.

Speaker1: Diese klare Linie, wo man sagt, okay, du machst jetzt genau das und danach bist

Speaker1: du Hacker, sage ich mal, oder Pentester allgemein, was man damit machen will.

Speaker1: Aber ich habe auch am Anfang viel über YouTube geguckt und dann,

Speaker1: weil das immer verboten worden ist mit der Zeit, die ganzen Hacking-Themen auf

Speaker1: YouTube, vor allem im deutschen Raum,

Speaker1: bin ich dann auch auf TryHackMe gewechselt und HackTheBox ist noch so eine Plattform

Speaker1: und Vulnhub ist eine Plattform, die wurde aber jetzt mittlerweile von HackTheBox

Speaker1: gekauft. War auch immer ganz spannend.

Speaker1: Da waren vorgefertigte virtuelle Maschinen, also ISOs eben, hochgeladen worden,

Speaker1: um diese Maschinen dann selber in seinem Lab zu hosten, um sie dann anzugreifen.

Speaker1: Und das fand ich immer ganz spannend, wird jetzt aber mittlerweile mit TryHackMe

Speaker1: und HackTheBox eigentlich perfekt funktioniert.

Speaker1: Und wenn es jetzt darum geht, einzusteigen in dieses Thema,

Speaker1: dann würde ich da auch ganz klar auf TryHackMe verweisen, weil da gibt es schon

Speaker1: so vorgefertigte Pfade,

Speaker1: das kostet auch nichts, das kann man, soweit ich weiß, sind diese Pfade auch

Speaker1: zum größten Teil kostenlos und man hat da dann eben schon Themen vorgegeben,

Speaker1: um diese ganzen Grundlagen zu lernen.

Speaker1: Und da würde ich jetzt mittlerweile einsteigen, weil, wie du schon sagst,

Speaker1: Bücher, ich habe immer diese Humble Bundles gekauft, wenn du das kennst.

Speaker1: Und das sind ja meistens so diese Paktbücher.

Speaker1: Und das sind halt einfach Schinken immer.

Speaker1: Und das ist ja kein Roman, sag ich mal, den man spannend lesen kann,

Speaker1: sondern das ist einfach nur reine Technik.

Speaker1: Und um mal was nachzugucken, fand ich diese Packbücher ja schon auch cool,

Speaker1: aber um daraus zu lernen, ja, war immer schwierig dran zu bleiben.

Speaker1: Also da finde ich einfach diese Praxis, die man durch Try Hack Me oder Hack

Speaker1: the Box hat, ja deutlich angenehmer, weil man direkt sieht, was das eben auswirkt,

Speaker1: was man jetzt gerade lernt.

Speaker1: Und um nochmal auf die Bücher zurückzukommen, es gibt eine Buchreihe von Sparkflow.

Speaker1: Ich weiß nicht, ob du die überhaupt kennst.

Speaker1: Die heißen alle How to Hack, Like a Legend oder Like a Rockstar,

Speaker1: Like a Pornstar, irgendwie sowas.

Speaker1: Die sind eher so romanartig geschrieben und beschreiben Angriffspfade,

Speaker1: wie sich Threat-Aktoren eben in eine Bank einhacken.

Speaker1: Und das ist, ich finde es ziemlich geil, weil du einmal dieses Außenrum hast,

Speaker1: dieses Spannende hast, wie wir da als nächstes vorgehen, aber du hast auch wirklich

Speaker1: immer die technische Seite dazu.

Speaker1: Also da hast du dann auch wirklich Command-Lines dazu, wie was funktioniert.

Speaker1: Und selbst wenn du da nicht im Thema bist, dann sind das natürlich Hieroglyphen,

Speaker1: diese Command-Lines, aber die sind dann gar nicht so wichtig,

Speaker1: um zu verstehen, was das dann alles macht, weil das sauber beschrieben ist.

Speaker1: Und das fand ich eigentlich immer, das ist so der Kompromiss zwischen einem Fachbuch,

Speaker1: wo ich auch wirklich was vom Hacking lerne und einfach einem Roman,

Speaker1: wo irgendwas beschrieben wird, weil ich lese schon gerne Bücher,

Speaker1: aber ich will immer diesen,

Speaker1: ich will einen Mehrwert fürs Hacking mit dabei haben, sage ich mal,

Speaker1: wenn ich sowas lese und das ist so wirklich der Kompromiss und das fand ich immer ziemlich geil.

Speaker0: Ja, da gebe ich dir recht. Um ein allgemeines Verständnis zu bekommen,

Speaker0: ist so eine romanartige Darstellung schon super.

Speaker0: Da ging es mir mit den Büchern von Kevin Mitnick so.

Speaker0: Also gerade zum Beispiel Kunst des Einbruchs, Kunst der Täuschung,

Speaker0: da lernt man halt sehr viel über menschliche Faktoren oder eben auch seine eigene

Speaker0: Lebensgeschichte, Ghost in the Wires, die es leider nicht auf Deutsch gibt,

Speaker0: aber gut, wir sollten eigentlich alle Englisch können.

Speaker0: Da kriegt man halt sehr viel mit, wie man Leute halt so hinmanipulieren kann

Speaker0: oder einfach Vertrauenssituationen ausnutzt, um dann eben sich zum Beispiel

Speaker0: auch irgendwo mal reinzusneaken.

Speaker0: Gerade solche Sachen wie Tailgating. Du musst einfach nur so aussehen,

Speaker0: als ob du dazugehörst und dich halt auch entsprechend verhalten.

Speaker0: Dann halten dir die Leute auch die Tür auf, auf der er riesengroß steht.

Speaker0: Immer bitte einzeln eintreten und mit der Karte die Tür öffnen.

Speaker0: Das funktioniert überraschend oft und sehr gut. Also man muss nur so wirken,

Speaker0: als ob das richtig wäre, was man da gerade tut.

Speaker0: TryHackMe bin ich definitiv bei dir, nutze ich selber sehr gerne.

Speaker0: Das funktioniert für mich gut. Umsonst ist es nicht, da muss ich eine kleine Korrektur einwerfen.

Speaker0: Es gibt kostenfreie Kurse, es gibt aber auch viele mittlerweile, die halt Geld kosten.

Speaker0: TryHackMe kostet 14,99 Dollar im Monat, finde es aber auch ganz gut.

Speaker0: Das kann man gut verschmerzen, weil mit einem bezahlten Konto hat man halt auch

Speaker0: seinen Lernfortschritt und auch die Zertifikate und Auszeichnungen von TryHackMe,

Speaker0: die man dann ausdrucken kann. Die hast du nämlich sonst nicht.

Speaker1: Ah, okay, das weiß ich gar nicht.

Speaker0: Naja, da gibt es eine Menge Zertifikate, das man nachweisen kann,

Speaker0: vielleicht bei einer Bewerbung, dass man sich mit dem Thema Windows Server Hacking

Speaker0: oder Linux oder sonst was beschäftigt hat.

Speaker0: Was ich noch gerne benutze, ist Backdoors and Breaches für Termine mit Geschäftsführern

Speaker0: und Entscheidern, um einfach mit einem Kartenspiel, entweder in physikalischer

Speaker0: Kartenform, also ich habe die auch hier liegen,

Speaker0: mit so einem 20-seitigen Würfel, kennt man ja aus so typischen Rollenspielen,

Speaker0: Dungeons & Dragons und Co., das zu machen.

Speaker0: Oder das gibt es auch im Browser, da kann man das dann auch machen,

Speaker0: gerade gut für Teams-Termine, dass man einfach sagt, okay, ich bin jetzt hier

Speaker0: Game Master, ich gebe euch eine Situation vor und ihr habt jetzt diese 10 oder 20 Methodenkarten.

Speaker0: Ja, wenn ich sage, keine Ahnung, bei euch ist das und das passiert,

Speaker0: dann sollten die Admins so intelligent sein und die Karte Log-Analyse spielen

Speaker0: und vielleicht auch automatische Log-Analyse, damit halt dieses Problem das

Speaker0: nächste Mal auftauchen würde.

Speaker0: Weil wenn ich kein solches System nicht habe, irgendwie ein CM mit einer vernünftigen Integration.

Speaker0: Dann kann ich den Log sammeln, bis ich schwarz werde, aber wenn mir halt keiner

Speaker0: sagt, hier ist ein Log oder eine Korrelation aus verschiedenen Logs,

Speaker0: von der Firewall übers LAN bis hin zu irgendwelchen Port Scans oder versuchen,

Speaker0: sich anzumelden mit einem Standard-Account oder einem Standard-Kennwort,

Speaker0: wenn ich das nicht mitkriege, dann kann ich es halt auch nicht verteidigen, die Situation.

Speaker0: Und das sind halt alles so Sachen, um halt auch Produkte oder Lösungen oder

Speaker0: Ansätze mal ein bisschen besser zu verdeutlichen. Das finde ich an der Stelle auch ganz gut.

Speaker0: Ansonsten benutze ich gerne neben Hack the Box, hast du ja auch gerade schon

Speaker0: gesagt, zum Beispiel Wargames Over the Wire.

Speaker0: Das finde ich ganz gut. Das sind sehr kleine Labs, die halt tatsächlich noch

Speaker0: über Tellnet gespielt werden.

Speaker0: Das finde ich ganz cool und ansonsten habe ich noch, was war das noch ich gucke gerade auf meine Liste,

Speaker0: Threadgen und Education Arcade das ist von Cyber Security Gamification und Cyber

Speaker0: Security Awareness ich verlinke das alles unten in den Shownotes und Code Bashing

Speaker0: war auch eine ganz hilfreiche Plattform.

Speaker1: Ne, sagt mir alles nichts also das Over the Wire, das sagt mir noch was

Speaker0: Das ist das mit der Katze Ja.

Speaker1: Genau und wie du schon sagst es sind diese ganz kleinen Lipsen,

Speaker1: die man sich dann immer einwählt.

Speaker1: Also ich habe auch so angefangen mit so kleinen Sachen, aber irgendwann hast

Speaker1: du, das hatte ich ja vorher schon erwähnt, diese Informationsflut,

Speaker1: irgendwann willst du mal so einen Pfad eben entlangschreiten,

Speaker1: um dich auch mal technisch dann eben ja zu verbessern.

Speaker1: Und da war dann für mich schon Anfang an klar,

Speaker1: Okay, jetzt müssen eben mehr Zertifikate her, weil meistens ist so ein Zertifikat

Speaker1: auch mit einem Theorieanteil, das heißt, du bekommst erst ein,

Speaker1: zwei, drei Monate Zugriff auf die Lernplattform und dort lernst du dann auch

Speaker1: diese ganzen Inhalte und im Nachgang musst du dann eben eine praktische Prüfung

Speaker1: und ich habe meistens Zertifikate gemacht,

Speaker1: die eben diese praktische Prüfung haben, plus ein Reporting.

Speaker1: Weil das Reporting ist hier halt ja eigentlich genauso wichtig wie das Praktische,

Speaker1: weil das ist das, woran du gemessen wirst am Ende vom Tag, wenn du in diesem

Speaker1: Berufsfeld eben arbeiten willst.

Speaker1: Dem Kunden ist es ja fast egal, was du praktisch dann drauf hast.

Speaker1: Am Ende vom Tag ist der Report das, was du dem Kunden übergibst und das ist

Speaker1: die Arbeit, die der Kunde dann sieht.

Speaker1: Und dieses ganze Dokumentationsthema war mir auch schon bei den Zertifikaten

Speaker1: immer wichtig, weil, wie du schon sagst,

Speaker1: praktisch kann man immer super sein und praktisch sind auch viele ITler super,

Speaker1: aber diesen Dokumentationssprech und das dann auch eben sinnvoll und verständlich

Speaker1: für Laien, sag ich jetzt mal, zu erklären,

Speaker1: das ist nochmal eine andere Spur und das war mir immer ganz wichtig,

Speaker1: dass das bei den Zertifikaten, die ich mache,

Speaker1: auch mit dabei ist, dass man halt einfach so ein Report mit abgeben muss.

Speaker0: Jetzt hast du natürlich eine Menge Zertifikate gemacht. Macht das für Einsteiger Sinn?

Speaker0: Sollte man sich direkt mit den Zertifizierungen auseinandersetzen oder würdest

Speaker0: du sagen, nee, also muss man nicht?

Speaker0: Irgendwas davon könnte man auch weglassen zum Beispiel.

Speaker1: Ja, generell. Also wenn es um das Thema Zertifizierungen geht,

Speaker1: da gibt es vom Paul Jeremy eine Zertifikatsroadmap.

Speaker1: Ich weiß nicht, ob du die schon mal gesehen hast. Also die ist ganz interessant, weil da es gibt ja...

Speaker1: Ganz, ganz, ganz viele unterschiedliche Themen in der IT-Security,

Speaker1: weil ich sage mal, Netzwerk und Firewalling gehört ja auch zur IT-Security,

Speaker1: hat jetzt aber erstmal wenig mit meinem Pentester-Zeug zu tun.

Speaker1: Deswegen kann man sich an so einer Zertifikatsroadmap eben orientieren,

Speaker1: Auf welcher Ebene, also wie schwer ist so ein Zertifikat und für welchen Bereich ist es denn geeignet.

Speaker1: Also ist es eher ein Compliance-Thema, ist es eher ein IT-Security-Thema im

Speaker1: Bereich Firewalling oder ist es dann DevOps, SysOps oder dann dieses Pentesting-Thema,

Speaker1: also Verteidigung und Angriff.

Speaker1: Und auf dieser Roadmap sieht man dann eben unterschiedliche Zertifikate und

Speaker1: ob man die jetzt alle machen sollte oder muss, das ist immer so ein persönliches Thema,

Speaker1: weil man sich natürlich persönlich für bestimmte Themen dann ja mehr interessiert,

Speaker1: wie ich sage jetzt mal API-Pentesting oder Web oder OSCP, was jetzt eher so

Speaker1: ein Netzwerk-generelles Thema ist.

Speaker1: Oder wie dieser CRTP, den ich gemacht habe, der sich jetzt aktiv auf Active

Speaker1: Directory und auf ADCS beschränkt.

Speaker1: Also ob man die machen muss, würde ich sagen nein, ganz klar,

Speaker1: aber sie sind ein sehr, sehr wichtiger Schritt in deiner Entwicklung,

Speaker1: weil du weißt, wenn du so ein Zertifikat gemacht hast,

Speaker1: das deckt immer einen super Rahmen eben ab an einem Skillset, das man da erwirbt.

Speaker1: Und deswegen, ich persönlich mache gerne Zertifikate, weil man dann eben den

Speaker1: Anfang und das Ende kennt und sonst kann

Speaker1: Ja, also empfehlen, wenn man jetzt ganz neu ist,

Speaker1: Würde ich erstmal mit TryHackMe und sowas anfangen, aber der EJPT von Elend

Speaker1: Security, was ja so ein Junior Penetration Testing Zertifikat ist,

Speaker1: der ist auch schon am Anfang seiner Karriere, sag ich mal,

Speaker1: machbar, weil er auch nur, ich sag, 200 Dollar oder sowas kostet.

Speaker1: Also das ist jetzt auch nicht das Geld, wo man sagt, okay, nee,

Speaker1: wenn das dann nichts wird, dann habe ich einen Haufen Geld versenkt,

Speaker1: wie beim OSCP, wo du eher so im 2.000-Euro-Bereich bist.

Speaker1: Und das Schöne ist, beim ERPT, du hast unterschiedliche Fragen,

Speaker1: dazu hast du Multiple-Choice und musst diese Multiple-Choice-Fragen beantworten,

Speaker1: indem du eben in einem praktischen Lab Sachen suchst.

Speaker1: Und da hast du dann immer durch diese Multiple-Choice-Antworten ja schon so

Speaker1: eine grobe Richtung, wo es hingeht.

Speaker1: Also du bist nicht ganz aufgeschmissen, sage ich mal.

Speaker1: Und das fand ich vor allem als Anfänger

Speaker1: ziemlich geil, weil das ganz basic Werkzeugbenutzung auch eben ist.

Speaker1: Und ja, die Erfolge, die man halt dann immer feiert, wenn man sagt,

Speaker1: okay, ich habe mich jetzt einen Monat bis ein Jahr reingekniet und habe für

Speaker1: das Zertifikat gelernt und am Ende vom Tag habe ich es dann bestanden.

Speaker1: Ich fand das immer super Erfolge und ich werde da auch weitermachen.

Speaker1: Also ich habe auch noch ein paar Zertifikate in Aussicht, die ich machen will,

Speaker1: aber es muss natürlich auch immer, also es kostet einfach auch unglaublich viel

Speaker1: Zeit, die nebenbei einfach so mitzumachen.

Speaker0: Einmal das und manchmal ist die Prüfungssituation halt auch nicht ganz so einfach.

Speaker0: Das lerne ich immer bei den Microsoft-Zertifikatsprüfungen, wenn man dann noch

Speaker0: irgendwie so einen Online-Proctor dabei hat, der einem halt über die Kamera zuschaut.

Speaker0: Das stresst mich dann schon immer, weil ich genau weiß, da guckt jemand jetzt, was ich da tue.

Speaker0: Dann musst du einmal die Kamera durch den Raum schwenken, dass nicht irgendwer

Speaker0: unterm Tisch mit einem Spiegel sitzt und die Fragen für dich dann irgendwie

Speaker0: beantwortet oder einsagen kann, die Antworten dazu.

Speaker0: Und du darfst dann nicht essen und trinken, während der Prüfung und du darfst

Speaker0: auch nicht rauchen oder irgendwas und ich qualme ja gerne E-Zigaretten,

Speaker0: wer mich kennt, der weiß das.

Speaker0: Habe ich schon erlebt, du sitzt da gerade in deiner Prüfung,

Speaker0: überlegst und dann greifst du halt einfach, weil es die Gewohnheit ist,

Speaker0: zur Dampfe und dann geht ein Chatfenster auf und dann steht dann da,

Speaker0: Sir, please stop smoking.

Speaker0: Und dann denke ich mir auch, was willst du jetzt? Ich bin hier in der Prüfung,

Speaker0: geh mir nicht auf den Keks.

Speaker0: In einem echten Prüfungsschulungszentrum würdest du auch nicht in dem Raum qualmen,

Speaker0: insofern verstehe ich das schon.

Speaker0: Aber es ist halt ein bisschen nervig, gerade in so einer Prüfungssituation.

Speaker1: Ja, also ich kenne das auch. Also vor allem OSCP war so ein Zertifikat mit Proctor.

Speaker1: Und wie du schon sagst, man muss dann mit seiner Kamera den ganzen Raum zeigen,

Speaker1: unter dem Tisch, hinter einem, neben einem.

Speaker0: Die Ohren, ob man nicht irgendwie was drin hat im Ohr.

Speaker1: Ja, also fand ich schon auch komisch. Aber ich meine, am Ende vom Tag gibt es

Speaker1: halt trotzdem viele, die dann hier bescheißen wollen.

Speaker1: Und das soll ja nicht der Anspruch sein, wenn man so ein Zertifikat eben macht.

Speaker0: Ein Bekannter von mir, der hat damals sich die Google Glass mit Sehstärke machen

Speaker0: lassen und der durfte deswegen nicht in der Prüfung teilnehmen.

Speaker0: Er hat die aber gebraucht, er hatte keine andere Brille. Er hat dann Pech gehabt,

Speaker0: weil es ist eine Cam drin und es ist ein Mikro und ein Kopfhörer drin. Insofern, blöd.

Speaker0: Verstehe ich dann auch, dass er da angedockt ist oder aufgelaufen ist an der

Speaker0: Stelle, weil es halt trotzdem zu einfach wäre.

Speaker0: Ja, gut. Ja, TryHackMe als erste Möglichkeit, um reinzuschnuppern,

Speaker0: glaube ich, ist für das, wenn man gerade am Anfang steht, schon gut,

Speaker0: dass man sich da mal ein Bild verschaffen kann, sich selber seine Rolle überlegt anhand dieser,

Speaker0: Skill-Matrix bei TriHackMe, wenn man sagt, man möchte jetzt Red-Teamer werden, was ist das überhaupt?

Speaker0: Oder man will irgendwie Blue-Team und Defender sein und dann entsprechend die

Speaker0: Labs mal durchmacht, um auch zu sehen, wie hoch ist denn die Anforderung?

Speaker0: Oh, jetzt brauche ich hier PowerShell, hier brauche ich jetzt auf einmal Pearl

Speaker0: oder irgendwas oder irgendeine andere.

Speaker0: Programmierer-Geschichte, ist mir zu hoch, verstehe ich nicht,

Speaker0: dann brauche ich eigentlich nicht den ganzen Pfad anfangen, wenn ich nicht in

Speaker0: der Lage bin, mich da irgendwie einzufinden.

Speaker0: Also ich sage mal, wer jetzt wirklich da Bock drauf bekommt,

Speaker0: während dieses Gesprächs und jetzt auf der TryHackMe-Seite schon steht,

Speaker0: gebt die 14 Dollar mal aus oder 15 und guckt euch das einfach an,

Speaker0: um da mal rein zu grätschen.

Speaker0: Und ich glaube, ein typischer Fehler, den viele machen, die jetzt da am Anfang

Speaker0: sind, die wollen halt einfach zu viel,

Speaker0: Und scheitern und zerbröseln dann daran, dass es halt einfach eine Truckload

Speaker0: an neuen Themen ist. Und das sage ich auch immer zu unseren Lehrlingen.

Speaker0: Lest nicht die CT, lest die IX. Nehmt das schwierigste Thema für euch raus, was es gibt.

Speaker0: Das, wo ihr am wenigsten von versteht und dann fangt an zu recherchieren.

Speaker0: Ja, googelt das Ganze oder fragt mal ChatGPT oder so.

Speaker0: Wie geht das denn, um da irgendwie einen Einstieg reinzufinden?

Speaker0: Also die eigene Fähigkeit sollte nicht die Messlatte sein, sondern wirklich

Speaker0: irgendwas Komplizierteres, um auch das Lernen wiederzulernen.

Speaker0: Weil das ist auch was, wenn man länger irgendwo schon aus der Schule raus ist,

Speaker0: tut man sich möglicherweise sehr schwer, wieder zu lernen und konzentriert wirklich

Speaker0: ein paar Stunden am Computer zu hocken und sich in irgendein Thema reinzuknien.

Speaker0: Weil die Zeit hat man als normaler Admin nicht und dadurch verlernt man das auch.

Speaker0: Merke ich immer wieder, durch diesen typischen Support werden die Leute halt

Speaker0: drauf getaktet, schnell zu reagieren, am besten bei Themen, die sie schon kennen.

Speaker0: Also Passwort-Resets nach dem Volksfest sind ein beliebtes Thema,

Speaker0: weil die Leute ihr Passwort einfach vergessen haben, weil die zwölfte Maß einfach zu viel war.

Speaker0: Und ja, das kann man natürlich schnell und easy machen. Das kriege ich auch

Speaker0: nötig, ein Lehrling am zweiten Tag auf die Reihe, dass der halt in der Lage

Speaker0: ist, solche Tickets zu lösen.

Speaker0: Aber sich wirklich konzentriert hinsetzen und sich in irgendein Thema reinzuknien,

Speaker0: das muss man auch können und wollen.

Speaker1: Vor allem beim OSCP ist ja diese Try-Harder-Mentalität sehr ausgeprägt und das

Speaker1: ist was, wo viele Leute auch dran zerbrechen.

Speaker1: Es gibt da einfach trotzdem viele Rabbit-Holes, wo man sich dumm und dämlich

Speaker1: sucht, weil es da eigentlich gar nicht weitergeht, weil es eine Sackgasse ist.

Speaker1: Aber wenn man dann trotzdem weiterkommt und dann die richtige Schwachstelle

Speaker1: findet, das ist halt dann schon wieder ein Adrenalinschub, sage ich mal,

Speaker1: wenn man dann eben weiterkommt.

Speaker1: Und ja, das ist aber in der IT so.

Speaker1: Also wenn man einen IT-Beruf hat, das ist auch ein Handwerk,

Speaker1: aber die Technologien, die wandeln einfach so schnell.

Speaker1: Das heißt, wenn man in diesem Beruf wirklich Fuß fassen will und auch drinbleiben

Speaker1: will, dann gehört eigentlich so eine Weiterbildung, eine dauerhafte Weiterbildung immer dazu.

Speaker1: Weil ich sag mal jetzt mit KI ist der neueste Trend jetzt dann kommen wieder

Speaker1: Quanten, was weiß ich was alles kommt, da gibt es ja jedes Jahr jetzt was Neues,

Speaker1: was man lernen muss und ja vor allem auch die Verteidiger und Angreifer,

Speaker1: das ist ja auch wieder so ein Katze-Maus-Spiel die Angreifer finden wieder irgendeine

Speaker1: Möglichkeit einzubrechen, die Verteidiger schließen das wieder,

Speaker1: es kommt wieder eine neue Technologie, die Angreifer finden wieder was und die

Speaker1: Verteidiger schließen es wieder und da muss man schon dranbleiben und Und wie

Speaker1: du schon sagst, Lernen ist eigentlich ein sehr wichtiges Skill.

Speaker1: Und was ich hier noch dazugeben kann, anfangs hatte ich immer nach viel deutschen

Speaker1: Resource und Content gesucht, aber Englisch ist ja einfach so die Sprache der

Speaker1: Wahl und man muss eigentlich schon zwingend Englisch können,

Speaker1: damit man in diesem Bereich auch Fuß fassen kann.

Speaker1: Weil egal, ob es jetzt Werkzeuge sind, also Tools, die man benutzt,

Speaker1: oder Artikel, also Recherche, die man betreibt, Es ist der Großteil,

Speaker1: ich würde sagen, 90 Prozent ist eigentlich Englisch.

Speaker0: Ja, absolut. Also ich empfehle auch den meisten wirklich, installiert euer eigenes

Speaker0: Betriebssystem mit Englisch als Standardsprache, auch Server,

Speaker0: weil dann findet man auch leichter einfach was.

Speaker1: Weil die Begriffe halt einfach Englisch sind. Also auch, wenn man jetzt Deutsch

Speaker1: spricht, wird man einen Großteil die englischen Begrifflichkeiten dafür verwenden,

Speaker1: weil die halt einfach so heißen.

Speaker0: Jetzt hatten wir vorhin schon mal Ethical Hacking gesagt.

Speaker0: Warum ist denn die Ethik beim Hacking, beim Ethical Hacking,

Speaker0: so ein wichtiges Thema? Warum ist das eine zentrale Rolle?

Speaker1: Mit großer Macht kommt große Verantwortung. Also man hat einfach einen...

Speaker0: Danke, Onkel Ben.

Speaker1: Also die Werkzeuge, die man eben beim Hacking benutzt,

Speaker1: die kann man eben auch böswillig einsetzen und das ist ja wie Kampfsport oder

Speaker1: wenn man jetzt eine Schusswaffe führt als Polizist,

Speaker1: es kommt immer darauf an, was man damit macht und ein Polizist wird jetzt auch

Speaker1: nicht so rumlaufen und wahnlos Leute abschießen.

Speaker1: Also das ist eigentlich genau die gleiche Verantwortung, die man auch beim Hacken

Speaker1: hat, weil man kann, wenn man will,

Speaker1: böswillige Sachen damit machen und das Problem daran ist,

Speaker1: wir wollen ja auch ein Vertrauen in die Branche ausstrahlen damit,

Speaker1: also mit unseren Fähigkeiten und man sieht ja in Deutschland mit diesem Hackerparagrafen,

Speaker1: dass es anscheinend noch nicht angekommen ist,

Speaker1: warum wir diese Werkzeuge eben benutzen müssen, wie wir sie benutzen.

Speaker1: Und wenn wir da von Ethical Hacking sprechen, dann ist das eben ein sorgsamer

Speaker1: und verantwortungsvoller Umgang mit diesen Werkzeugen, weil man eben ganz schnell

Speaker1: ins negative Licht gerückt wird.

Speaker1: Und aktuell ist es ja wieder dieses ganze Drohnenthema beispielsweise und das

Speaker1: ist vergleichbar mit dem Hacking-Thema, weil ich bin,

Speaker1: Also ich fliege auch Racing-Drohnen, aber da ist es eben jetzt nicht so,

Speaker1: dass man jetzt ein Kilometer weit von seinem Ort wegfliegt, sondern man fliegt

Speaker1: eigentlich nur 20, 30 Meter um sich selber rum, um damit zu fliegen.

Speaker1: Aber durch diese ganzen Drohnensichtungen jetzt wird eben so dieses Hobby eben

Speaker1: auch kaputt gemacht oder auch die gewerbliche Anwendung von Drohnen,

Speaker1: weil natürlich immer, oh, da fliegt jemand, ich rufe die Polizei, sage ich mal.

Speaker1: Also es ist jetzt auch ganz schwierig, da eben zu fliegen und so ist es beim Hacking auch.

Speaker1: Also das ist ja im Endeffekt ein Beruf, aber man kann diesen Beruf gar nicht...

Speaker1: Und sorgfältig ausüben, weil man hat jetzt in der Vergangenheit ja schon öfter

Speaker1: gesehen, dieses Modern-Solution-Thema,

Speaker1: wo dann diese Hausdurchsuchung bei diesem IT-Spezialisten eben war oder auch

Speaker1: von der Lilith Wittmann gab es auch ein paar interessante Themen,

Speaker1: die eben da viral gegangen sind.

Speaker1: Also das ist in der deutschen Politik noch nicht so angekommen,

Speaker1: dass das eigentlich sehr wichtig wäre, den IT-Sicherheitsforschern hier ein

Speaker1: bisschen mehr Freiraum zu geben.

Speaker1: Und deswegen ist es wichtig, dass man damit eben mehr verantwortungsvoll umgeht

Speaker1: und diesen verantwortungsvollen Umgang, den kann man auch trainieren.

Speaker1: Also man soll natürlich jetzt nicht wahllos irgendwelche Systeme hacken,

Speaker1: sondern in der Regel hat man ja eine Erlaubnis von seinem Auftraggeber,

Speaker1: der eben sagt, okay, du darfst das eben angreifen und du darfst das testen.

Speaker1: Und wenn man das nicht hat, dann gibt es ja Bug-Bounty-Programme,

Speaker1: wo man sich anmelden kann,

Speaker1: wie HackerOne beispielsweise und da schreiben Firmen eben aus,

Speaker1: was man angreifen darf und das wären auch so Anlaufstellen, die man dann eben, ja ich sag mal,

Speaker1: hacken kann, weil es juckt natürlich in den Fingern, wenn man sagt,

Speaker1: okay, ich sehe da jetzt schon irgendwas und da könnte jetzt was dahinter sein,

Speaker1: aber am Ende vom Tag muss man damit eben verantwortungsvoll umgehen.

Speaker1: Und das ist dann eben der Unterschied zwischen legalen und illegalen Aktivitäten, die man macht.

Speaker0: Ja, danke dir. Gerade die Analogie zu den Drohnen passt da fantastisch dazu.

Speaker0: Finde ich, ist eine gute Brücke.

Speaker0: Ich werde das Thema Modern Solution und Lilith Wittmann auf jeden Fall unten

Speaker0: mit in die Shownotes reinpacken.

Speaker0: Da könnt ihr euch das mal in Ruhe durchlesen für den Kontext,

Speaker0: was da genau gewesen ist. Und ja...

Speaker0: Von dem her, glaube ich, gut erklärt. Das sage ich auch in meinen Kursen.

Speaker0: Also ich halte ja zu diesen Sachen auch Schulungen bei uns über die IQ,

Speaker0: unsere Schulungstochter.

Speaker0: Ich zeige euch eine Menge Sachen, die man machen kann. Aber wenn ihr jetzt was

Speaker0: ausprobiert, dann geht jetzt nicht her und macht mal irgendwie irgendwelche

Speaker0: Angriffe auf Volkswagen.de oder so.

Speaker0: Das wäre jetzt nicht gut, weil damit könnte es relativ schnell Ärger geben.

Speaker0: Und wenn ihr sowas tun wollt, dann macht das bitte von eurer privaten IP zu Hause.

Speaker0: Das ist dann euer Bier, weil bitte nicht aus dem Incorporate-Netz,

Speaker0: weil das kommt ein bisschen blöd, wenn dann auf einmal die Polizei dasteht und

Speaker0: sagt, ja, wir haben hier einen Portscan und Angriffsversuch gesehen von dieser

Speaker0: IP-Adresse, was macht ihr hier?

Speaker0: Das wirkt halt doch relativ schlecht und geschäftsschädigend insofern.

Speaker0: Dafür gibt es Plattformen, die haben wir jetzt auch schon ein paar Mal genannt,

Speaker0: wo ihr solche Sachen ausprobieren könnt, auch schadfrei ausprobieren könnt.

Speaker0: Da gibt es extra virtuelle Maschinen, die halt Schwachstellen haben,

Speaker0: damit man mal ausprobieren kann, wie es denn geht.

Speaker0: Ja, gut. Mal so eine Frage Richtung Ende heute, weil ich muss so ein bisschen

Speaker0: mit dem Blick auf die Uhr hier arbeiten.

Speaker0: Ich habe mir ein Uber bestellt, das kommt in einer Viertelstunde.

Speaker0: Was würdest du heute anders machen, wenn du neu anfangen würdest?

Speaker1: Also was ich anders machen würde, ich würde von Anfang an gleich TryHackMe als

Speaker1: Richtung, sage ich mal, nehmen, so einen Pfad eben auswählen und mich in so

Speaker1: einen Pfad einarbeiten, egal ob das jetzt in die IT-Security,

Speaker1: also in die Verteidiger-Richtung geht, als Analyst,

Speaker1: als in die digitale Forensik oder in die Pentester-Richtung.

Speaker1: Ich würde mir einen Pfad aussuchen und eben diesen Pfad durcharbeiten,

Speaker1: weil man nur so auch dann den Einblick in diesen Pfad bekommt und ich würde

Speaker1: anfangen, gleich von Anfang an sauber zu dokumentieren.

Speaker1: Also man lernt eben Werkzeuge kennen. Diese Werkzeuge bestehen dann aus Befehlen,

Speaker1: ich sage jetzt mal Nmap oder so ein Deerbaster,

Speaker1: was eben ganz klassische Werkzeuge sind, die man benutzt und das würde ich von

Speaker1: Anfang an gleich sauber dokumentieren, damit man schnell auch wieder auf seine

Speaker1: Befehle zugreifen kann.

Speaker1: Weil ich habe das zu oft gehabt, dass man eigentlich ja das ganze Thema schon

Speaker1: zehnmal gemacht hat, aber dann seine Befehle nicht mehr findet und ja,

Speaker1: das kann ich eigentlich nur mitgeben, also saubere Dokumentation und gleich

Speaker1: von Anfang an mit TryHackMe anfangen, um ja so eine grobe Richtung schon vorgegeben

Speaker1: zu haben, was für Lerninhalte wichtig sind.

Speaker0: Ja, ergänzend zu dem, was du gerade gesagt hast, bitte verlasst euch nicht zu

Speaker0: sehr auf irgendwelche KIs bei diesem ganzen Thema.

Speaker0: Wenn ihr jetzt irgendwie meint, ich lasse mir jetzt da mal einen Code machen,

Speaker0: weil ich es schaffe, irgendwie Claude oder Chat-GPT davon zu überzeugen,

Speaker0: dass ich legitimiert bin, diese Sachen zu machen, die ich da vorhabe,

Speaker0: dann gibt es dann irgendwie einen Output zu eurem Prompt und der funktioniert

Speaker0: dann vielleicht jetzt gerade.

Speaker0: Wenn ihr das aber dann im echten Fall mal braucht, müsstet ihr entweder in eurer

Speaker0: Chat-History in der jeweiligen KI suchen.

Speaker0: Und ich finde es auch besser, kein Copy-Pasting zu machen, sondern das Zeug wirklich zu tippen.

Speaker0: Dann lernt man auch so ein bisschen, wie funktionieren denn Befehle in der jeweiligen Shell.

Speaker0: Und das ist auf jeden Fall auch was, was ich regelmäßig sehe,

Speaker0: dass Leute dann meinen, haha, ja, es gibt auch immer so Walkthroughs zu diesen

Speaker0: TryHackMe-Sachen, wo man dann einfach mal eben gucken kann, wenn jemand das

Speaker0: Lab schon gemacht hat, dann kann man einfach Copy-Pasten die Antwort.

Speaker0: Und da finde ich es gut, dass TryHackMe die Labs öfters ändert.

Speaker0: Das heißt, Antworten aus irgendeinem Walkthrough funktionieren vielleicht in

Speaker0: einem halben Jahr nicht mehr.

Speaker0: Und dann sitzen die Teilnehmer bei mir im Kurs ganz verzweifelt.

Speaker0: Bis dahin waren es die vollen Sprinter.

Speaker0: Und auf einmal hängen sie total hinterher. Und dann sage ich,

Speaker0: na, die richtige Antwort im Walkthrough nicht gefunden? Ja.

Speaker0: Dann vielleicht selber den Kopf benutzen. Das könnte hilfreich sein,

Speaker0: weil dann lernt man auch was dafür dabei.

Speaker0: Gut, ja, nochmal vielen Dank, dass du dir heute die Zeit genommen hast für das Interview.

Speaker0: Ich fand es sehr aufschlussreich und falls jemand jetzt Interesse hat,

Speaker0: das Ganze lernen zu wollen, guckt in die Shownotes.

Speaker0: Wenn jemand Interesse hat, einen Pentest zu beauftragen, ihr findet den LinkedIn-Link

Speaker0: zu Marco auch unten in den Shownotes. könnt ihr euch gerne mit ihm vernetzen

Speaker0: und vielleicht kommt ja da tatsächlich mal ein Auftrag dabei zustande.

Speaker0: Ansonsten sind wir natürlich auch da.

Speaker0: Wir bieten solche Leistungen auch, nachdem wir erstmal im Kleinen von draußen

Speaker0: drauf geguckt haben und da könnt ihr euch natürlich auch gerne bei mir melden.

Speaker0: Meine Kontaktdaten sind auch wie immer in den Shownotes und falls ihr jetzt

Speaker0: sagt, Mensch, die beiden haben einen Krampf erzählt, dann lasst mir gerne einen Kommentar da,

Speaker0: entweder als Text unterhalb von der Folge, wenn ihr das Ganze auf Spotify hört,

Speaker0: da gibt es die Feedback-Funktion oder Oder halt auch gerne über den Speakpipe-Link,

Speaker0: der in den Shownotes steht, dann lasst mir eine Sprachnachricht da.

Speaker0: Da gehe ich dann natürlich auch sehr gerne drauf ein.

Speaker0: Und damit sind wir tatsächlich schon wieder am Ende von dieser Folge Blue Screen.

Speaker0: In der nächsten Folge, ich verspreche es jetzt noch nicht, weil ich nicht weiß,

Speaker0: ob das tatsächlich zustande kommt, weil auch da ist die Terminfindung nicht

Speaker0: so einfach, werde ich mich über das Thema digitale Souveränität mit dem Professor Dr.

Speaker0: Dennis Kenji Kipka mal austauschen. Den kennt ihr vielleicht.

Speaker0: Der ist auch regelmäßig im Fernsehen zu sehen, bei Tagesschau und Tagesthemen,

Speaker0: eben als Experte für das Thema Cyber-Resilienz und Compliance und auch Souveränität.

Speaker0: Der sitzt auch zusammen mit dem Gast, den wir auch schon dieses Jahr hier hatten,

Speaker0: mit dem Manuel Attuk in der AG Kritis, ist auch als Berater im Bundestag regelmäßig aktiv.

Speaker0: Und ja, sofern denn die Podcast-Götter und die Kalender-Götter wollen,

Speaker0: wird dieses Interview das nächste, was ich euch hier zur Verfügung stellen kann.

Speaker0: In diesem Sinne, macht's gut, bleibt gesund, bleibt vor allem sicher und aufmerksam

Speaker0: und ich freue mich, wenn ihr dann auch das nächste Mal wieder einschaltet bei uns hier.

Speaker0: Marco, dir noch einen wunderschönen Tag und bis zum nächsten Mal.

Speaker1: Jawohl, herzlichen Dank auch für die Plattform hier.

Speaker0: Gerne, ciao.

Speaker1: Ciao.