112: Politik, Polizei, Palantir? (Gast-Interview beim Treecorder: Cybersecurity heute und morgen)

Speaker2: Podcast von Joshua und Philipp Tri.

Speaker2: Moin Moin Joshua.

Speaker1: Moin Philipp und herzlich willkommen all unseren Zuhörerinnen und Zuhörern zu

Speaker1: einer neuen Tri-Corder-Folge.

Speaker1: Und wir haben heute endlich mal wieder einen Gast und Experten dabei.

Speaker1: Heute soll es nämlich um das Thema Cyber Security und Cyber Security der Zukunft gehen.

Speaker1: Und dafür haben wir natürlich den perfekten Gast mit Alexander Karls. Hallo Alexander.

Speaker1: Wir haben ja schon ein paar Mal miteinander gesprochen, da war ich Gast bei

Speaker1: deinem Podcast und da haben wir so ein bisschen über künstliche Intelligenz

Speaker1: gesprochen und wir hatten auch ein bisschen mehr Kontakt im Vorfeld von meinem Roman Reset,

Speaker1: wo es um Cyber Security geht und ich so einige Fragen hatte.

Speaker1: Und deswegen dachte ich, okay, wir haben in dem Adventskalender in mehreren

Speaker1: Episoden über Datenschutz und Cybersicherheit gesprochen.

Speaker1: Da habe ich schon gedacht, ah, da müssen wir mal einen Experten haben,

Speaker1: weil Philipp und ich sind da definitiv keine Experten. Philipp noch deutlich mehr als ich.

Speaker1: Nicht Expertenlevel, aber ich bin so die komplette Tulpe.

Speaker1: Und also bis auf die Recherchen, die ich halt angestellt habe,

Speaker1: aber was halt eher so die Makroperspektive ist, würde ich mal sagen.

Speaker1: Deswegen freut es mich sehr, dass wir mit dir einen echten IT-Fachmann haben,

Speaker1: der sich auf Cybersecurity spezialisiert hat.

Speaker1: Vielleicht kannst du uns mal so ein bisschen da durchführen,

Speaker1: was ein Experte für Cybersecurity überhaupt macht und was da genau dein Hintergrund ist.

Speaker1: Ich weiß, dass du mir das geschickt hast, aber ich habe nur die Hälfte davon verstanden.

Speaker0: Ich habe mir gerade gedacht, aber Hauptsache ich habe es dir zusammengeschrieben.

Speaker0: Danke für die fünf Minuten meines Lebens. Ja, kann ich natürlich gerne machen.

Speaker0: Ja, wie du gerade gesagt hast, Alexander Karls, Alex gerne.

Speaker0: Ich bin als Senior IT Security Consultant mit über 20 Jahren Erfahrung unterwegs.

Speaker0: Im IT-Bereich macht das Ganze mittlerweile für ein Systemhaus,

Speaker0: also so nennt man ja Unternehmen, die sich darauf spezialisieren,

Speaker0: irgendwie Server, Netzwerke, Kleinstrukturen und solche Sachen aufzubauen.

Speaker0: Das mache ich da seit sieben Jahren mittlerweile und war vorher 14 Jahre lang

Speaker0: IT-Leiter in der großen Autohandelskette.

Speaker0: Da ist das natürlich auch super wichtig, dass man da guckt, dass die Systeme

Speaker0: nicht nur laufen, sondern halt auch sicher betrieben werden.

Speaker0: Und ich habe mich selber in meinen vielen Jahren Erfahrung stark auf das ganze

Speaker0: Thema rund um Microsoft spezialisiert, also Microsoft Cloud.

Speaker0: Wenn jetzt irgendjemand sagt, ich brauche hier irgendwie Office 365,

Speaker0: gut, so heißt es nicht mehr, Microsoft 365, wäre ich zum Beispiel einer von

Speaker0: den Leuten, die bei uns im Haus dazugeholt werden, um die ganze Umgebung sicher zu konfigurieren.

Speaker0: Also mit weiter, weiter, fertig ist da nicht viel getan.

Speaker0: Geht auch, dann hat man halt irgendwann E-Mail und OneDrive und Outlook und

Speaker0: solche Dinge. Aber man hat halt keinen sicheren Betrieb, vor allem hat man keinen Backup.

Speaker0: Also Microsoft sichert einem die Daten nicht weg, sondern da muss man sich halt

Speaker0: schon selbst drum kümmern.

Speaker0: Und was halt jetzt die letzten Jahre immer mehr Phase geworden ist,

Speaker0: ist natürlich das Thema Angriffe auf Unternehmen oder auch Angriffe auf Privatpersonen.

Speaker0: Das ist ein ganz heißes Thema.

Speaker0: Seit der ganzen Nummer da in der Ukraine hat es so wellenförmige Erlebnisse

Speaker0: gegeben. Eine Zeit lang war das richtig wild.

Speaker0: Dann wurde es auf einmal relativ ruhig mit den Angriffen.

Speaker0: Liegt hauptsächlich daran, weil in dem Moment, als die Russen die Ukraine angegriffen haben,

Speaker0: haben halt viele Crews aus der Ukraine, die halt sich auf den Bereich spezialisiert

Speaker0: haben, eben deutsche Unternehmen und auch deutsche Privatpersonen anzugreifen,

Speaker0: zerstritten, weil die halt gesagt haben, ja sag mal, was macht ihr hier?

Speaker0: Wir sagten, wir arbeiten doch hier eigentlich zusammen.

Speaker0: Unser Job ist doch eigentlich, Lieschen Müller morgen nochmal auszunehmen und

Speaker0: nicht, dass ihr jetzt hier irgendwie mit Granaten um mein Haus rumschießt.

Speaker0: Das ist eigentlich nicht Teil der Abmachung.

Speaker0: Ja, und dann gab es halt ein paar Disclosures. Das heißt, manche der ukrainischen

Speaker0: Angreifer haben halt ihre russischen Kollegen in Anführungszeichen verraten.

Speaker0: Und dann gab es auch natürlich ein paar Festnahmen.

Speaker0: Irgendwann hat sich das aber wieder egalisiert. So ein gutes Jahr später fing

Speaker0: es dann wieder von vorne an. Dann gab es auf russischer und auf ukrainischer

Speaker0: Seite entsprechend wieder neue Strukturen, die genau nach dem alten Schema weitergearbeitet

Speaker0: haben. Und das ist das, was wir halt auch merken.

Speaker0: Also wir hängen stark am Weltgeschehen mit dran.

Speaker0: Wenn solche Sachen eben wie jetzt der Ukraine-Krieg stattfinden,

Speaker0: dann erleben wir das Ende der ganzen Geschichte, weil halt Unternehmen angegriffen werden.

Speaker0: Viele Wege führen zurück tatsächlich in Richtung Osten.

Speaker0: Sei es jetzt der Osten eben direkt rechts von uns oder auch noch viel weiter östlich.

Speaker0: Was auch ganz oft ist, ist halt China bei den Angreifern, was wir ganz oft sehen.

Speaker0: Oder irgendwelche anderen Sachen eben. Jetzt hatte ich letztens ganz viel auf

Speaker0: den Philippinen von Angriffen, die daherkommen.

Speaker0: Und ja, da haben wir eben gesagt, wir müssen da eben den Unternehmen und auch

Speaker0: den Bürgerinnen und Bürgern helfen. Und deswegen bin ich als sogenannter Vorfallexperte

Speaker0: beim Bundesamt für Sicherheit auch zertifiziert.

Speaker0: Die haben ein Netzwerk mit Unternehmen wie uns aufgebaut und da gibt es das

Speaker0: Cybersicherheitsnetzwerk.

Speaker0: Innerhalb des CSN, Cybersicherheitsnetzwerkes, gibt es verschiedene Rollen und

Speaker0: da bin ich eben in der höchsten Rolle, die man als Einzelperson haben kann.

Speaker0: Es gäbe noch eine darüber, dass das ganze Unternehmen ein BSI-zertifiziertes

Speaker0: Unternehmen im Bereich Cybersicherheit ist, aber das hat doch ein paar Hürden gegeben,

Speaker0: um dahin zu kommen und wir haben halt gesagt, nee komm, lass das,

Speaker0: wir gucken es uns jetzt erstmal an.

Speaker0: Und ich habe letztes Jahr, ich alleine, also wir sind eigentlich zu dritt,

Speaker0: die das bei uns im Unternehmen machen, ich habe letztes Jahr alleine 70 Vorfälle

Speaker0: bearbeitet und da sind wirklich dramatische Sachen dabei.

Speaker0: Also wirklich, da rufen Leute an, wirklich so Oma Müller, die hat alle ihre

Speaker0: Fotos und all ihre Daten alle zu Microsoft 365 ausgelagert, weil ihr Enkel das halt mal empfohlen hat.

Speaker0: Weil wenn der Computer mal gehackt wird, hin und her, so in dem Fall war nicht

Speaker0: der Computer gehackt, sondern irgendjemand hat ihr halt ihren Zugang zu ihrem

Speaker0: OneDrive geklaut, hat dann das Kennwort geändert, hat sie rausgeschmissen,

Speaker0: auch mit ihrem Handy als sicheres Gerät für Multifaktor-Anmeldungen.

Speaker0: Ja, und jetzt hat Oma Müller halt im Prinzip noch ihren Rechner,

Speaker0: aber was er halt nicht mehr hat, sind ihre ganzen Fotos, die da drin sind.

Speaker0: Und zum Thema Datenschutz, ein größeres Problem, sie weiß ja nicht,

Speaker0: was tun die Angreifer mit den Bildern, die da drin liegen.

Speaker0: Microsoft sagt, puh, hast da Pech gehabt, hättest du mal vielleicht deine Sachen

Speaker0: besser absichern müssen.

Speaker0: War wirklich eine Aussage von Microsoft Support, die haben da nicht geholfen, kein Stück.

Speaker0: Und ja, jetzt haben wir halt jemanden dastehen, eine deutsche Bürgerin,

Speaker0: die gedacht hat, sie macht es jetzt mal richtig.

Speaker0: Und am Ende guckt sie halt auch wieder nur vor die Wand.

Speaker0: Ja, das ist dann schon teilweise wirklich eine krasse Hausnummer,

Speaker0: wenn man dann zu Hause sitzt im Homeoffice, so einen Fall bearbeitet und dann

Speaker0: auch dokumentiert und dann wirklich noch da sitzt, vielleicht noch mit den Ermittlungsbehörden

Speaker0: in Kontakt tritt, die Sache versucht da aufzuklären.

Speaker0: Und das nimmt einen persönlich schon

Speaker0: mit, weil das sind ja alles wirklich Einzelschicksale, die man erlebt.

Speaker0: Oder letztes Jahr auch beispielsweise die Sache hatten wir an Pfingsten.

Speaker0: Ein Kunde von uns fing irgendwie auf einmal an, tausende von E-Mails durch die

Speaker0: Gegend zu schicken. Bei uns kamen auch ein paar davon an.

Speaker0: Wir haben uns dann bei dem gemeldet. Gott sei Dank hatten wir die Handynummer

Speaker0: vom Geschäftsführer und haben gesagt, bei dir ist gerade was los.

Speaker0: Ja, nee, kann nicht sein. Er hat Urlaub. Okay, aber es passiert trotzdem was.

Speaker0: Ja gut, dann gucken wir mal drauf.

Speaker0: Geschäftsführerkonto übernommen worden von irgendeinem Angreifer,

Speaker0: eben Philippinen. Und die haben dann halt eigene Adressen eingestreut auf dem

Speaker0: Postfach, weil Reputation, Geschäftsführer-Reputation ist natürlich super.

Speaker0: Wenn der jetzt was schickt, dann muss ich die Mail natürlich aufmachen,

Speaker0: weil das ist ja der Chef von der anderen Firma.

Speaker0: Ja, oder es ist vielleicht mein Chef, der gerade was schreibt.

Speaker0: Also muss ich die Mail natürlich unbedingt jetzt sofort lesen,

Speaker0: jeden Link anklicken und jeden Anhang öffnen.

Speaker0: Das geht dann halt so lang, bis dann halt die Kuh fliegt. Und das ist in dem Fall auch passiert.

Speaker0: Die sind aus dem Automotive-Zulieferer-Bereich, hat sie am Ende des Tages einen

Speaker0: großen Auftrag von einem großen deutschen Autohersteller gekostet,

Speaker0: weil die auch gesagt haben, wir haben eigentlich einen Vertrag mit euch,

Speaker0: dass ihr euch dazu verpflichtet, sichere IT zu betreiben.

Speaker0: Jetzt schickt ihr uns hier an dem Tag so viele Mails, die offensichtlich nicht richtig sind.

Speaker0: Sorry, mit euch können wir nicht mehr arbeiten. Und das ist halt das Problem.

Speaker0: Also das kann ganz schnell richtig kosten. Das kann aber auch Aufträge kosten und Existenzen.

Speaker0: Und jeder, der da spart an der Ecke, dem muss ich sagen, ja,

Speaker0: du hast aber auch eine Verantwortung als Geschäftsführer, denn du bist ja derjenige,

Speaker0: der dafür sorgen muss, dass deine Mitarbeiter nächsten Monat Gehalt bekommen.

Speaker0: Weil die haben halt nicht Millionen über Millionen irgendwo in der Ecke,

Speaker0: sondern die haben nur dieses eine Gehalt vielleicht.

Speaker0: Und wenn du nicht zahlen kannst, weil deine Firma halt cybertechnisch gerade

Speaker0: kaputt ist, müssen die Leute nach zwei Monaten vielleicht ausziehen. Und das ist ein Problem.

Speaker0: Also auch die Ethik, die Verantwortung dahinter, das sind alles so Punkte,

Speaker0: die uns halt auch immer miterwischen.

Speaker1: Vielleicht können wir da ja mal kurz reingehen, weil viele von uns,

Speaker1: ich sage jetzt nicht alle, wissen, man sollte solche Links nicht anklicken in

Speaker1: Mails, die einem komisch vorkommen.

Speaker1: In dem Fall war es jetzt ja so, dass die Mail, die nicht komisch vorkamen,

Speaker1: weil es halt von der Geschäftsführer das kam, klar.

Speaker1: Aber was passiert denn dann wirklich, wenn man auf diesen Link klickt?

Speaker1: Wie müssen wir uns das vorstellen?

Speaker2: Da würde ich gerne nämlich noch was ergänzen, weil du hast jetzt mehrmals gesagt, also Cyberangriffe,

Speaker2: Ich denke dann immer an sowas wie Hackers und irgendjemand macht so ein Terminal

Speaker2: auf und tippt da ganz viel Code rein und fünf Minuten später heißt es, ich habe es gehackt.

Speaker2: Aber so ist es ja wahrscheinlich nicht. Deswegen möchte ich mich kein Joshuas Frage anschließen.

Speaker2: Was ist denn eigentlich so ein Cyberangriff? Wie funktioniert das per Mail oder

Speaker2: sonst wie? Don't try this at home.

Speaker0: In erster Linie sind das halt Sachen, die auf Masseneffekte gehen.

Speaker0: Also wenn man sich das vorstellt, mit Videospielen zum Beispiel,

Speaker0: so Clustern, Streubomben, die treffen auch irgendetwas.

Speaker0: Die werden schon irgendwas kaputt machen und die werden auch wahrscheinlich

Speaker0: irgendeinen Menschen oder NPC treffen.

Speaker0: Und so funktioniert das bei diesen Mails auch. Du schießt halt einfach eine

Speaker0: Masse von veränderten Mails raus.

Speaker0: Die sollten möglichst gut aus schauen. Also wenn wir, wir machen auch solche

Speaker0: Angriffe, wenn wir dazu beauftragt werden, einfach um zu beweisen,

Speaker0: dass es in dem Unternehmen noch Probleme gibt, die uns dazu beauftragen.

Speaker0: Wir nehmen echte Mails von Amazon, von PayPal, von irgendwas,

Speaker0: ziehen die da in unser System rein,

Speaker0: Dann ist es immer noch eine echt aussehende Mail und wir verändern nur die Links.

Speaker0: Die Links zeigen dann zu einem System von uns zum Beispiel.

Speaker0: Dieses System von uns tut auch so, als ob es die Amazon-Login-Seite wäre oder

Speaker0: PayPal oder Ebay oder was auch immer.

Speaker0: Und das, was wir versuchen zu sammeln, sind halt Zugangsdaten,

Speaker0: Benutzername und Kennwort. Das wäre so der Klassiker.

Speaker0: Aber häufig ist ja das nicht mehr der Fall. Das reicht ja nicht.

Speaker0: Viele Leute, so ihr wie ihr wahrscheinlich auch, haben halt Multifaktor-Authentifizierung

Speaker0: an mit einem Authenticator oder einem Sicherheitsschlüssel.

Speaker0: Da kommt ja noch eine zusätzliche Komponente dazu.

Speaker0: Da ist ja nicht ausreichend zu sagen, ich bin dieses Konto mit diesem Kennwort,

Speaker0: sondern ich habe auch noch einen Sicherheitsmechanismus. Wenn ich mich jetzt

Speaker0: mit MFA, also Multifaktor-Authentifizierung, anmelde, wird ein Token erzeugt.

Speaker0: Der Web-Server, wo ihr hinwollt, gibt quasi euch als Benutzer eine Datei,

Speaker0: die wird in den sogenannten Cookies abgelegt und dieser Cookie liegt auf eurem Rechner.

Speaker0: Und dieser Cookie hat eine Gültigkeit von, sagen wir mal, 90 Tage.

Speaker0: So, der ist so lange gültig, bis die 90 Tage rum sind oder ihr aktiv in der

Speaker0: Webseite sagt, abmelden.

Speaker0: Deswegen ist das ganz wichtig, man sollte sich wirklich immer abmelden,

Speaker0: weil das egalisiert auch die Gültigkeit von Cookies.

Speaker0: Dann selbst wenn jemand nach euch an den Rechner rangehen würde und den Cookie

Speaker0: wegkopiert, hilft ihm nichts.

Speaker0: So, und das ist das, worauf eben Angreifer abzielen, die nehmen das Cookie,

Speaker0: indem sie auch das Cookie selber ausstellen. Das ist ein sogenannter Man-in-the-Middle-Angriff.

Speaker0: Diese ganze Kommunikation mit Anmeldung und Cookie läuft nicht über die echten

Speaker0: Systeme von Amazon, sondern über das System von uns oder von den Angreifern.

Speaker0: Solange ich das Token habe, brauche ich keinen Benutzernamen und kein Kennwort.

Speaker0: Ich kann mich mit dem Token an der Seite anmelden. Und das ist echt spannend.

Speaker0: Das bekommt der User nicht mal mit.

Speaker0: Wenn man dann wirklich das richtig hart durchziehen möchte, geht mal als nächstes

Speaker0: her, kriege ich dann eine Info hier, zum Beispiel über Discord.

Speaker0: Hier ist ein neues Cookie oder ein neuer Token. Viel Spaß.

Speaker0: Dann nehme ich den, schicke den Cookie an die Seite, wo der User eigentlich

Speaker0: hin wollte, bin dann angemeldet und dann bin ich drin. Also das kriegt der Benutzer nicht mit.

Speaker0: Ich schmeiße dann zum Beispiel die Authentifizierungsmethoden alle weg,

Speaker0: also alle Handys, alle Token, die noch sonst wie ausgestellt worden sind und so weiter.

Speaker0: Und dann bin ich quasi dieser Benutzer.

Speaker0: Und der Benutzer kriegt es halt in keinster Weise mit. Und das ist schon cool.

Speaker0: Also cool aus Sicht der Angreifer ist es, weil dann bin ich halt da,

Speaker0: wo ich hin will. Dann kann ich Zeug darüber bestellen.

Speaker0: Ich kann zum Beispiel das an meine andere Adresse schicken lassen,

Speaker0: die ich hinterlege an irgendeine Packstation.

Speaker0: Dann habe ich Dinge gekauft, die ich dann wiederum zum Beispiel verkaufen kann.

Speaker0: Also das ist so Kleinkriminalität.

Speaker0: Oder ich versuche halt bei einem System wie Microsoft A65 dann dieses Postfach

Speaker0: dafür zu missbrauchen, weitere solcher Mails zu verschicken.

Speaker0: Wichtig ist halt bei sowas die

Speaker0: E-Mail-Adresse und auch der Kontakt sollte möglichst lange bestehen schon.

Speaker0: Also ein frisches Konto, was erst seit zehn Minuten existiert,

Speaker0: da ist die Aufmerksamkeit und die,

Speaker0: Der Zweifel an dem, was da passiert, bei den meisten Systemen viel zu hoch.

Speaker0: Wenn es eine Adresse schon seit fünf Jahren gibt, super.

Speaker0: Auch Firmen-Domains, die teilweise seit 20, 30 Jahren existieren,

Speaker0: ist super, weil da ist die Aufmerksamkeit viel geringer von irgendwelchen Schutzsystemen.

Speaker2: Joshua? Das heißt, ein Cyberangriff ist nicht so, wie wir uns das jetzt in Literatur

Speaker2: oder Fernsehen so klassisch vorstellen.

Speaker2: Da sitzt jetzt einer im dunklen Kämmerlein und ist sozusagen direkt am Port

Speaker2: meines Rechners und versucht sich da reinzuschleichen,

Speaker2: sondern da betreibt irgendjemand oder du hattest vorhin gesagt ganze Gruppen

Speaker2: Software und Systeme, die in großen Massen einfach erstmal Köder auswerfen in

Speaker2: Form von E-Mails und wenn jemand anbeißt,

Speaker2: dann geht eine, du meintest, dann schmeißt du das in eine Software rein,

Speaker2: das klingt ja schon so halbautomatisiert,

Speaker2: dann geht so eine richtige Maschinerie los, die sich quasi gar nicht auf meinem

Speaker2: Rechner, sondern jetzt in deinem Beispiel dann in meinem Amazon-Konto oder Microsoft

Speaker2: 365-Konto oder so abspielt.

Speaker2: Hast du das richtig verstanden?

Speaker0: Richtig, das sind aber auch selten Einzeltäter. Das darf man nicht vergessen.

Speaker0: Da sitzen teilweise, ich weiß nicht, ob ihr Beekeeper gesehen habt,

Speaker0: den Film mit den Stattern.

Speaker0: Wo er dann am Ende dieses Gebäude in die Luft jagt. Also es sind wirklich Callcenter.

Speaker0: Das sind Menschen, die da sitzen, die kommen morgens zur Arbeit,

Speaker0: die sind wirklich so business casual gekleidet, die haben auch so Keykarten

Speaker0: an ihrem Hosenbund und da sind einfach in einem Großraumbüro sitzen Leute,

Speaker0: die halt nichts anderes tun als das.

Speaker0: Ja, das sind welche, die halt den Erstanruf zum Beispiel machen,

Speaker0: die dann versuchen, jemanden zu überzeugen, ja, hier ist der Microsoft-Support

Speaker0: oder jetzt neu durch KI abgespielte Notsituationen.

Speaker0: Hatte ich letztens hier bei uns im Haus erst den Fall, da hat auch eine Frau

Speaker0: einen Anruf bekommen und da war vermeintlich ihre Tochter dran.

Speaker0: Und die hat geheult und geschrien, Mama, ich brauche sofort deine Hilfe,

Speaker0: bla bla bla, Autounfall hin und her.

Speaker0: Und es war nicht so erfolgreich der Eingriff, weil die Tochter saß neben mir auf dem Sofa.

Speaker0: Aber so funktioniert es halt leider heute. Das ist das Problem.

Speaker0: Es wird durch Angst und Panikmacherei irgendwie versucht, dass man Dinge tut.

Speaker0: Ob irgendwo draufklicken, irgendeine Webseite ansurfen oder irgendwelche Codes

Speaker0: einzugeben. Und so funktioniert das.

Speaker0: Also einfach durch Angstmacherei Leute zu einer Handlung zu bewegen.

Speaker0: Und das ist die große Problematik.

Speaker0: Wir versuchen auch bei Schulungen den Leuten immer beizubringen,

Speaker0: raus aus dem schnellen Denken, dieses Reaktionäre.

Speaker0: Es gibt Kahnemann, das ist ein Psychologe und Verhaltensforscher und der hat

Speaker0: dieses System schnelles Denken und langsames Denken aufgestellt.

Speaker0: Schnelles Denken ist, ich kriege eine Mail von meinem Chef, wichtig,

Speaker0: sofort tun, Ausrufezeichen, zehn Ausrufezeichen.

Speaker0: Im Text steht auch, hier geheimer Deal, bitte überweis mal auf dieses Konto

Speaker0: 10.000 Euro, aber sag niemandem was, das muss wirklich unter uns bleiben.

Speaker0: Das ist das, wo eine normale Buchhaltungsperson, die halt obrigkeitshörig ist,

Speaker0: sagen würde, oh ja, der Chef hat das gesagt, der hat es mir persönlich geschrieben,

Speaker0: ich bin gerade auch eine Person of Interest, scheinbar.

Speaker0: Ja, hier mache ich dir sofort, zack, Geld überwiesen. Wo wir hin möchten,

Speaker0: ist eigentlich das langsame Denken.

Speaker0: Nochmal drüber nachdenken, kann das sein? Haben wir sowas schon mal jemals getan?

Speaker0: Macht unser Chef solche Sachen? Ist es vielleicht, ist irgendwas kaputt,

Speaker0: wenn ich jetzt den Hörer in die Hand nehme, den Chef anrufe und sage,

Speaker0: hey, du hast mir gerade diese Mail da geschickt, ich bin irgendwie ein bisschen skeptisch.

Speaker0: Weil was soll im schlimmsten Fall passieren? Der Chef sagt, ja,

Speaker0: spinnst du? Na, freilich habe ich dir die Mail geschickt, mach.

Speaker0: Das ist hier, habe ich doch geschrieben, das ist wichtig. Die Chance,

Speaker0: dass das so sein wird, ist sehr gering. und jedes Mal, wenn wir das empfohlen

Speaker0: haben, ist genau das dabei rausgekommen, eben, hä, welche Mail?

Speaker0: Und das ist genau der Punkt. Und manchmal sind die Angreifer auch zu gierig, das hatten wir auch.

Speaker0: Da ging es um einen Autoklassiker aus den USA, das angeblich gekauft worden

Speaker0: ist und jetzt wartet man auf die Rechnung, dass die bezahlt wird.

Speaker0: Die Rechnung, die ist längst bezahlt worden, aber an eine andere IBAN.

Speaker0: Da ist halt auch das Nächste, wenn die Angreifer schon auf einem Postfach sitzen

Speaker0: von jemandem und jede Mail lesen können.

Speaker0: Dann ist natürlich die Gefahr, dass man eine Mail, eine Rechnungsmail,

Speaker0: sich schnappt, rausholt aus dem System und einfach nur die IBAN verändert.

Speaker0: Und dann bezahlt natürlich der gute Deutsche seine Rechnung.

Speaker0: Bloß, dass die IBAN halt nicht zu der Firma gehört, wo man die Ware hergekauft hat.

Speaker0: Und dann sind die Angreifer zu gierig, weil denen ging es dann nicht schnell

Speaker0: genug und haben dann wirklich angerufen, haben gesagt, hier,

Speaker0: pass mal auf, wir haben die Rechnung noch nicht bezahlt bekommen.

Speaker0: Und dann schreibt die Buchhaltung zurück an die.

Speaker0: Ja, ihr wisst doch, in Deutschland gehen Überweisungen am Stück nur bis 100.000

Speaker0: Euro. Die nächsten 70.000 werden wir euch morgen überweisen.

Speaker0: Oh, ja, okay, ja, danke.

Speaker0: Und dann ist die Buchhalterin zum Chef gegangen und hat gesagt,

Speaker0: sag mal, hier, der Harry mit dem Auto da, der spinnt aber schon ein bisschen, oder? Warum?

Speaker0: Ja, so und so. Hä? Ja, haben wir das Geld denn schon bekommen?

Speaker0: Nein, beziehungsweise haben wir denn überhaupt was bezahlt? Nö,

Speaker0: ich habe noch nichts bezahlt. Dann meint die Kollegin, doch,

Speaker0: ich habe es bestern bezahlt.

Speaker0: Haben sie die IBAN geprüft, die ging halt nach MT und das ist halt Malta.

Speaker0: Da müsste man halt auch vielleicht mal ein bisschen Mitdenken voraussetzen,

Speaker0: wenn eine Buchhaltungsperson von einer deutschen Firma nach einer deutschen

Speaker0: Firma Geld überweist, von DE nach DE, wieso sollte das Konto auf einmal mit MT beginnen?

Speaker0: Muss man halt vielleicht zweimal drüber nachdenken. Aber man will ja keine Fehler

Speaker0: machen, das ist immer das.

Speaker0: Man versucht die weiße Weste zu behalten, weil man keine Fehler macht und es schnell tut.

Speaker0: Und am Ende stellt sich dann raus, ja, blöd, jetzt sind halt 100.000 Euro weg.

Speaker0: Den Rest haben sie natürlich nicht überwiesen.

Speaker2: Ist denn das rechtlich? Hast du Pech gehabt? Also wenn mir eine Firma eine Rechnung

Speaker2: schickt, weil deren System gehackt wurde, schicken die mir eine Rechnung mit einer anderen IBAN.

Speaker2: Und ich überweise das, was die mir halt in der E-Mail geschickt haben.

Speaker2: Dann habe ich Pech gehabt?

Speaker0: Ja. Das ist im Rahmen der ordnungsgemäßen Buchführung so. Du musst dich da drum

Speaker0: kümmern. im Zweifelsfall Nachfragen.

Speaker0: Ja, ganz gemein ist es bei solchen Fällen, wenn es nach Malta oder sonst wo

Speaker0: ins Ausland geht, ins EU-Ausland, weil das Geld ist am nächsten Tag weg.

Speaker0: Bei DE-Konten ist es ein bisschen praktischer, da liegt es ein paar Tage,

Speaker0: weil die deutschen Banken ja gerne auch an Zins verdienen möchten.

Speaker0: Und da ist es dann auch für die deutschen Ermittlungsbehörden relativ einfach,

Speaker0: weil meistens gehören solche Konten irgendeinem Obdachlosen.

Speaker0: Das ist total krank eigentlich.

Speaker0: Da gibt es wirklich die Fälle, da geht man zum Bahnhof oder wo man halt sonst

Speaker0: so Obdachlose halt findet und sagt, hier, pass mal auf, ich brauche deine Hilfe.

Speaker0: Ich möchte ein Bankkonto eröffnen.

Speaker0: Kriegst von mir 500 Euro oder 1000 Euro und noch eine Flasche Schnaps und eine Kiste Bier.

Speaker0: Passt das? Dann werden die meisten sagen, super, okay, pass auf,

Speaker0: gib mal deinen Ausweis her, tipptipptipp, so jetzt bitte mal hier ins Handy

Speaker0: reinschauen und wenn die das sagen, den Ausweis mal so kippeln für diese Dings-Hologramm

Speaker0: und dann hat man ein Konto.

Speaker0: Dann kriegt derjenige halt seine Kohle und seine Bounty, damit er das gemacht hat.

Speaker0: Das Konto gehört aber dann den Angreifenden und die benutzen dieses Konto dann

Speaker0: so lange, bis es auffliegt.

Speaker0: Demjenigen, der dafür seinen Ausweis hergegeben hat, der ist genauso mitstrafbar an der Stelle.

Speaker0: Am Ende geht er halt ins Gefängnis. Ob das jetzt für denjenigen,

Speaker0: der auf der Straße lebt, gut oder schlecht ist, kann ich nicht bewerten,

Speaker0: weil viele leben ja freiwillig auf der Straße.

Speaker0: Haben wir zumindest hier auch bei uns in Regensburg einige, die freiwillig auf der Straße sind.

Speaker0: Aber gut, es ist halt wirklich perfide, weil die ziehen damit halt auch unschuldige

Speaker0: Leute mit in ihr System rein und das Geld ist oft dann weg.

Speaker0: Jetzt im Fall von dieser Malta-Überweisung, die Kohle war auch fort,

Speaker0: keine Chance, kam man nicht mehr ran.

Speaker0: Und wir haben es dann bei der Polizei gemeldet. Ich war dann auch mit dabei,

Speaker0: auch als Zeuge genannt und Aussage des Polizisten war, ja, und das Auto haben

Speaker0: sie übers Internet verkauft.

Speaker0: Ja, das weiß man doch, dass man im Internet nichts verkaufen und kaufen darf.

Speaker0: Da wird man doch betrogen. Und dann haben wir bloß gedacht, okay,

Speaker0: also Schulung würde auch mal helfen. Das ist schon eine heiße Aussage.

Speaker2: Ja, das würde einen großen Prozentsatz unserer Wirtschaft lahmlegen,

Speaker2: wenn wir nichts mehr online machen würden.

Speaker1: Du hast ja jetzt schon angedeutet, dass das gut organisiert ist,

Speaker1: wenn man sich nicht vorstellen muss, das sind die Chips futternden Snacker,

Speaker1: wie im Film Hackers, die sich dann zusammentun und irgendwas in Anführungsstrichen Cooles machen.

Speaker1: Also mein Laienwissen ist, okay,

Speaker1: Hacking im großen Maßstab geht vor allem von Failed States aus,

Speaker1: wie Nordkorea oder Russland, die halt das gewerbsmäßig quasi machen,

Speaker1: weil das neben Drogenhandel zum Beispiel ein großer Einkommensfaktor ist für diese Staaten.

Speaker1: Und dass die anderen Akteure staatliche Geheimdienste sind, die auch selber sowas machen.

Speaker1: Also fällt mir Israel jetzt als erstes ein und Stuxnet im Iran.

Speaker1: Kann man sich das wirklich so vorstellen? Also ist es im Prinzip wie so ein

Speaker1: Schattenkampf zwischen denen oder wie muss ich mir das vorstellen jetzt auf einer globalen Ebene?

Speaker0: Ja, also die helfen sich halt auch gegenseitig. Das ist der Punkt. Es ist jetzt nicht so,

Speaker0: dass da irgendwie großartige Konkurrenz da ist, sondern mittlerweile werden

Speaker0: halt Daten auch gehandelt, die funktionieren.

Speaker0: Also ganz häufig ist es so, manche sind halt so die sogenannten Access Broker,

Speaker0: die verkaufen halt geleakte Zugänge, die halt funktionieren.

Speaker0: Wenn ich jetzt heute sage, okay, ich habe jetzt Bock irgendwie Privatmenschen

Speaker0: anzugreifen, ich weiß nicht, wie es geht,

Speaker0: ich habe auch keinen Bock, das zu lernen, dann informiert man sich halt im Darknet

Speaker0: beispielsweise oder halt auf einschlägigen Foren, hey, was gibt es denn da?

Speaker0: Du hast gerade Stuxnet schon gesagt, es gibt solche Angriff-Tool-Kits, fertig zu kaufen.

Speaker0: Ich kann dann zum Beispiel Affiliate von so einer Gang werden und dann ist der

Speaker0: Deal so, dass stehen 15, 20 Prozent von dem Umsatz, den ich generiere mit dieser Software,

Speaker0: halt als Provision quasi an die Leute geht, die die Software geschrieben haben.

Speaker0: Das ist mal der eine Teil.

Speaker0: Am meisten ist da Ransom Hub bekannt dafür. Mittlerweile ist Ransom Hub wieder

Speaker0: dicht gemacht worden durch Ermittlungsbehörden.

Speaker0: Aber es dauert meistens nicht lang, dann kommen halt die Nächsten.

Speaker0: Dann gibt es Play oder Sarcoma zum Beispiel oder Miauleaks oder Killsack.

Speaker0: Da kann man hingehen, kann sagen, hier, ich brauche eure Software,

Speaker0: ich kenne mich nicht aus. Okay, dann ist es das.

Speaker0: Das sind diejenigen, die halt Software haben dann gibt es die nächsten Gruppen,

Speaker0: die halt wirklich Zugänge kaufen oder verkaufen eben auch Ransom Hub ist da

Speaker0: auch so eine Plattform gewesen,

Speaker0: und dann das sind dann auch sogenannte Access Broker und ich baue mir halt mein

Speaker0: Bild zusammen ich brauche ein Softwareprodukt, was was kann und ich brauche

Speaker0: ein paar Kollegen und ich brauche gültige Zugangsdaten oder valide Informationen,

Speaker0: also Kreditkartendaten zum Beispiel,

Speaker0: die sind auch immer recht beliebt und die kosten gar nicht mal so viel also da sollte man,

Speaker0: Ich wundere mich immer, wie günstig eigentlich Kreditkartendaten sind,

Speaker0: inklusive der Aussage, wie wenig oder wie viel Umsatzvolumen da auf der Karte im Monat möglich ist.

Speaker0: Das kostet eigentlich nichts. Also es ist wirklich verblüffend.

Speaker0: Ja, und dann fängt man halt an und überlegt sich, auf welches Ziel möchte ich

Speaker0: jetzt schießen. Jetzt habe ich alles zusammen, was ich gerne hätte.

Speaker0: Ja, und dann Feuer frei. Dann geht das Ganze los. Und die Akteure,

Speaker0: die solche Sachen machen, sitzen halt dann, wie du gerade gesagt hast,

Speaker0: irgendwo in Korea oder in Russland oder auch in China, Taiwan.

Speaker0: Ihr könnt es leider nicht sehen. Ich habe es gerade vor mir offen,

Speaker0: weil ich ein bisschen querlese aus meinen Unterlagen, die ich auch für Schulungen benutze.

Speaker0: Man kann einfach mal beim FBI auf die Webseite schauen oder auch beim FBI.

Speaker0: Secret Service der USA, da gibt es Steckbriefe von Leuten, die wirklich wegen Cyber besucht werden.

Speaker0: Und da ist teilweise auch das Kopfgeld, das ist nicht uninteressant.

Speaker0: Also ich habe hier einen offen, den Tim Vakaj Stigal, auch genannt Key.

Speaker0: Auf den ist eine Million US-Dollar Kopfgeld ausgesetzt. Ich weiß nicht,

Speaker0: ob sie den schon haben, aber das ist schon nicht ohne.

Speaker0: Jetzt habe ich hier geguckt, da ist der Typ zuletzt in New York gesehen worden.

Speaker0: Der ist so alt wie ich, wie ist jedes Bounty auch.

Speaker0: 10 Millionen Dollar, auch nicht schlecht.

Speaker0: Und dann hätte ich noch einen Asiaten, auch 10 Millionen Dollar.

Speaker2: Die Top 10 der Ransomware und Hacker-Anführer.

Speaker0: Einfach mal Sheriff's Department oder Secret Service oder FBI.

Speaker0: Da gibt es Steckbriefe zu allen möglichen Vergehen und natürlich auch Cyber.

Speaker2: Ja, okay, wir haben also aktuell schon eine super aktive,

Speaker2: also weltweit offensichtlich vernetzte und sehr, sehr aktive Gruppierung oder

Speaker2: diverse Gruppierungen und wie Joshua schon gerade meinte, sowohl aus dem,

Speaker2: ich sag mal, illegalen Milieu als aber auch staatliche Akteure,

Speaker2: teilweise in Bereichen, wo das auch verwischt.

Speaker2: Und jetzt hattest du vorhin in deinem einen Beispiel schon angeteasert KI und

Speaker2: dass sich dadurch einiges ändert, zum Beispiel, dass es plötzlich Telefonanrufe

Speaker2: gibt, wo die eigene Tochter anruft.

Speaker2: Wie war das eigentlich in dem Fall? Haben sie die Stimme der Tochter auch gefakt,

Speaker2: weil sie irgendwelche Audioaufnahmen von der hatten oder haben sie?

Speaker0: Die haben auch die Stimme gefakt.

Speaker2: Was siehst du da jetzt so in der nahen Zukunft auf uns zukommen?

Speaker2: Was ist so das, was an Risiken sich jetzt entwickelt durch die technischen Veränderungen,

Speaker2: die für dich jetzt schon so absehbar sind?

Speaker0: Das Thema KI und Deepfake ist schon ein Riesenproblem.

Speaker0: Also ich habe bei uns in der Familie festgelegt, wir brauchen ein Codewort,

Speaker0: so wie das früher an der Burg, am Burgtor. Wenn du das Codewort nicht sagen

Speaker0: kannst, dann kommst du hier nicht rein. Ganz einfach.

Speaker0: Und das muss dann auch im Privaten so sein, dass wenn jemand jetzt mich hier

Speaker0: anruft und angeblich meine Frau ist oder mein Sohn und kann mir das Codewort

Speaker0: nicht sagen, dann muss ich auflegen.

Speaker0: Es ist völlig wurscht, welches Story da gerade gesponnen wird.

Speaker0: Ich muss einfach auflegen. Es geht dann nicht mehr.

Speaker0: Und das ist genau der Punkt. Da muss man eben raus aus dem Ganzen.

Speaker0: Und das wird noch ein riesiges Problem.

Speaker2: Man etabliert dann irgendwie ein Codewort Oklahoma oder so.

Speaker2: Und wenn man das nicht sagen kann, dann legt man auf.

Speaker2: Clevere Idee eigentlich. Das darf ich aber wahrscheinlich nicht über einen Messenger

Speaker2: oder so verschicken oder bin ich jetzt zu paranoid, wenn ich das sage?

Speaker0: Nein, sollte man nicht. Also ich sage auch immer an der Stelle,

Speaker0: betrachtet alle Kommunikationswege, die da sind, als kompromittiert. Immer, sofort.

Speaker0: Also niemals irgendwelche Informationswege Informationspakete,

Speaker0: Benutzername, Kennwort irgendwie über einen Messenger.

Speaker0: Jetzt nicht irgendwie über WhatsApp oder auch die Kombination kann schwierig

Speaker0: sein, wenn ich jetzt sage, ich schicke den Benutzernamen über WhatsApp und das Kennwort über Signal.

Speaker0: Ja, es kommt halt darauf an, wer es wissen will. Also ich sage mal eine US-Behörde,

Speaker0: die halt entsprechend Zugriffe haben könnte, würde ich jetzt unterstellen,

Speaker0: dass die daraus kein Problem damit hat, mit diesen Daten irgendwie umzugehen

Speaker0: mit denen, die ich da geschickt habe.

Speaker0: Weil wenn sie es wissen wollen, sind sie wahrscheinlich sowieso schon auf dem Postfach drauf.

Speaker0: Also das ist vielleicht paranoid, aber wir haben auch im Fall eines Vorfalles,

Speaker0: sagen wir immer wieder, wenn ihr wisst, dass bei euch die Angreifer im System

Speaker0: drin sind, schreibt keine E-Mails von dem System aus.

Speaker0: Lasst die Finger aus Teams raus, benutzt euer WhatsApp nicht mehr,

Speaker0: macht für die Notfallkommunikation irgendwas Neues auf.

Speaker0: Keine Ahnung, geht alle zu Telegram oder Signal, registriert euch da neu,

Speaker0: teilt euch gegenseitig in einem Raum. Da müssen halt mal die Menschen in ein Zimmer kommen.

Speaker0: Das ist das Sicherste. Und dann miteinander reden.

Speaker0: Zeigt euch gegenseitig eure Signalcodes oder eure Handynummern.

Speaker0: Vernetzt euch darüber. Einfach muss eine neue Informationsplattform sein oder

Speaker0: eine Plattform, um sich halt miteinander auszutauschen.

Speaker0: Weil alles andere geht wahrscheinlich nach hinten und los.

Speaker2: Okay, also Codewort gegen Deepfakes und KI ist so ein erstes Ding für die Zukunft.

Speaker2: Und Deepfakes, klar sind für alles, was Social Engineering im Hacking angeht,

Speaker2: wahrscheinlich kaum zu toppen.

Speaker2: Je besser die Technik wird, gerade jetzt auch wenn ein Video dazukommt.

Speaker2: Gibt es weitere Bereiche, in denen du von absehen kannst, da tut sich was,

Speaker2: da kommt was in der nahen Zukunft auf uns zu?

Speaker0: Naja gut, das Thema mit Deaktivieren von Infrastruktur haben wir jetzt in Berlin gesehen.

Speaker0: Wie leicht sowas geht, mit so einem kleinen Brandsatz auf einer Kabeltrasse.

Speaker0: Das ist natürlich auch ein Riesenproblem. Wir bauen unsere gesamte Struktur,

Speaker0: unser ganzes Leben, alles auf diese Technologien auf.

Speaker0: Und wir haben jetzt in Berlin gesehen, wie schnell das gehen kann,

Speaker0: dass auf einmal gar nichts mehr funktioniert.

Speaker0: Gerade jetzt im Winter natürlich blöd, wenn dann auf einmal Heizungen nicht

Speaker0: mehr gehen oder fließendes Wasser oder Toilettenspülung.

Speaker0: Die Leute vergessen immer wieder.

Speaker0: Er hat letztens auch mit jemandem darüber diskutiert, sagt er,

Speaker0: ohne Strom geht halt auch kein Klo. und sagt er, wieso, was hat denn das Klo mit Strom zu tun?

Speaker0: Naja, die Pumpen in der Wasserversorgung laufen mit Strom.

Speaker0: Das heißt, irgendwann ist kein Wasserdruck mehr da. Also hast du natürlich ein Riesenproblem dann.

Speaker0: Also ohne Strom keine Klospülung. Ja, und jetzt, sage ich, alte Prepper-Weisheit.

Speaker0: Gelb darf, nee, wie war das?

Speaker0: Gelb bleibt stehen, braun muss gehen. Das ist eine ganz einfache Logik.

Speaker0: Alles, was du an Wasser irgendwo zusammenträgst, über den Tag aus Flaschen,

Speaker0: den eigenen Urin, irgendwo andersweitiges Wasser, heb das auf.

Speaker0: Kipp es nicht weg, nimm es zum Klospülen. Weil wenn dein Klo nicht mehr spült

Speaker0: und du auch nicht mehr spülen kannst, hast du ganz schnell keinen Bock mehr

Speaker0: in deiner Wohnung zu sein. Das ist einfach so.

Speaker0: Das ist halt auch ein Punkt. Wir sind halt auch stark orientiert am Katastrophenschutz.

Speaker0: Und der Katastrophenschutz in Deutschland hat schon lange so kleine Heftchen ausgegeben.

Speaker0: Da steht einfach drin, was solltest du haben, mindestens zu Hause,

Speaker0: Also wie sieht es aus mit Essensvorräten, mit Batterien, mit Licht,

Speaker0: mit Kerzen und so weiter.

Speaker0: Und da steht auch drin, und in vielen Städten gibt es das, wo sind die Alarmsammelstellen?

Speaker0: Was muss ich tun, wenn irgendwie ein Szenario eintritt?

Speaker0: Informiert euch darüber und geht dahin, wenn das Szenario eintritt,

Speaker0: aber bereitet euch trotzdem vor.

Speaker0: Weil ich habe letztens auch mit jemandem vom Katastrophenschutz gesprochen,

Speaker0: der hat auch gesagt, die Leute kommen zu uns und glauben, jetzt wird hier,

Speaker0: da ist erstmal der schöne vorgewärmte Wohnzimmer mit einem offenen Kamin.

Speaker0: Mit dem Bärenfell davor und ja, dann kriegt man halt erstmal irgendwie einen

Speaker0: schönen leckeren Glühwein serviert oder so. Und so geht es halt nicht.

Speaker2: Ja, aber Joshua hat glaube ich gerade noch irgendeine Frage auf der Lippe gehabt.

Speaker1: Ja, also beim Thema KI und Cybersicherheit fällt mir natürlich immer Palantir ein.

Speaker1: Wir haben auch da schon ganz kurz über Discord mal drüber gesprochen.

Speaker1: Ist ja der Shootingstar am Aktienmarkt, aber keiner weiß so richtig,

Speaker1: also ich glaube von den Anlegern wissen 99 Prozent, also der Privatanleger,

Speaker1: muss ich dazu sagen, nicht so richtig, was die tun und was die machen.

Speaker1: Einige wissen vielleicht noch, dass der Alex Carp halt so ein sehr untriebiger,

Speaker1: schillernder Typ ist mit Wuschelkopf, wie man das sich so ein bisschen aus der

Speaker1: Startup-Szene der 80er Jahre vorstellt und dass Peter Thiel ein früherer Investor ist.

Speaker1: Aber ich habe mir da nicht so viele Gedanken darüber gemacht,

Speaker1: weil ich immer dachte, okay, die arbeiten vor allem für Innenministerien weltweit

Speaker1: in der Terrorismusbekämpfung und so weiter.

Speaker1: Und dann habe ich aber einen Artikel gelesen über den Alex Pratt,

Speaker1: den Krankenpfleger, der in den USA erschossen wurde, von Eisbeamten.

Speaker1: Und da kam raus, dass der schon mal mit den Behörden in Kontakt war,

Speaker1: in Anführungsstrichen, weil die ein ganzes Dossier über ihn angelegt haben.

Speaker1: Und dann hat irgendeine Software, wahrscheinlich steckt da Palantir hinter, wurde da gemunkelt,

Speaker1: hat dann angeschlagen und ihn irgendwie als Terroristen, also als möglichen

Speaker1: Terroristen gebranntmarkt, was aber gar kein, also was halt einfach ein falsches,

Speaker1: ein false positive war quasi.

Speaker1: Du hast dich ja mit Palantir schon beschäftigt. Was machen die überhaupt?

Speaker1: Was steckt dahinter und warum macht dir das so große Sorgen?

Speaker0: Die Frage ist gut gestellt. Ja, Palantir ist eine Software, wie du gerade schon

Speaker0: gesagt hast, die eben für Profiling da ist.

Speaker0: Also ganz simpel gesagt für jeden Menschen, der sich mit Film und Fernsehen beschäftigt.

Speaker0: Im Prinzip ist das so eine Art Vorstufe zu dem, was beim Minority Report passiert.

Speaker0: Also du wirst schon verhaftet, bevor du überhaupt einen Scheiß angestellt hast. Und das ist das.

Speaker0: Also wie bei dem Fall da vorletzte Woche, das ist halt wirklich shoot first, ask later.

Speaker0: Wir haben ja genügend Beweise. Oh, die Beweise stimmen aber doch nicht, das ist jetzt aber doof.

Speaker0: Ja, und dieses Softwareprodukt ist durchaus in Frage zu stellen,

Speaker0: weil das halt einfach Profiling ist, was da betrieben wird.

Speaker0: Es wird alles über jeden gesammelt und im Grunde ist das der feuchte Traum der

Speaker0: Überwacher, die ja jedes Jahr mit dem gleichen Thema um die Winterzeit anfangen.

Speaker0: Wir müssen Vorratsdatenspeicherung machen.

Speaker0: Wir brauchen Chatkontrolle. Das war jetzt so Ende 25, das heiße Eisen.

Speaker0: Chatkontrolle und dann aber immer irgendwie Schwurbelgrund hier einsetzen.

Speaker0: Keine Ahnung, gegen Terrorismus.

Speaker0: In den meisten Fällen ist es aber eigentlich Blödsinn, die Gründe,

Speaker0: die da vorgebracht werden. Und ich bin seit, ich habe es letztens nachgelesen,

Speaker0: glaube ich seit 2012 gehe ich für dieses Thema auf die Straße.

Speaker0: Damals war es noch ACTA, hieß das noch, das war auch dieses Vorratsdatenspeicherungsthema.

Speaker0: Ja, und das darf man eigentlich so nicht hinnehmen. Und bei uns brauchst du

Speaker0: Gott sei Dank noch keinen Sorgen machen, dass du abgeknallt wirst.

Speaker0: Ich war damals im Winter 2012 in der Nürnberger Altstadt auf einer Riesendemo gegen ACTA.

Speaker0: Damals war das natürlich eine gute Abkürzung, einfach aus ACTA FAKTA zu machen. Ja.

Speaker0: Und so zieht sich das halt durch.

Speaker0: Also Vorratsdatenspeicherung und Massenüberwachung ist nicht in Ordnung.

Speaker0: Also egal zu welchem Zweck sich hier unter Generalverdacht stellen zu lassen,

Speaker0: finde ich ehrlich gesagt nicht in Ordnung.

Speaker0: Und ich finde es auch so nicht in Ordnung, dass das einfach getan wird.

Speaker0: Also Hessen hat es eingeführt unter dem großen Begriff Hessendata.

Speaker0: NRW hat es eingeführt unter dem Überbegriff DAR, Datenbankübergreifende Analyse und Recherche.

Speaker0: Also das müssen Deutsche sein, die das so abkürzen, das finde ich fantastisch.

Speaker0: Und die Bayerische Polizei hat es 2024 eingeführt, da nennt sich das Ding VERA,

Speaker0: Verhaltensübergreifende Recherche- und Analyseplattform.

Speaker0: Also sie haben es nicht eingeführt in dem Sinne, aber sie haben es beschlossen

Speaker0: und geplant. Genauso wie Baden-Württemberg.

Speaker0: Und das ist halt ein Problem.

Speaker1: Weil... Wird Palantir eigentlich auch von deutschen Behörden benutzt?

Speaker0: Ja, habe ich gerade gesagt, deutsche Polizei.

Speaker1: Also das sind die, okay, okay.

Speaker0: Also Hessen, NRW, Bayern...

Speaker1: Ich weiß nicht, ob es generell um Vorratsdatenspeicherung und so weiter geht

Speaker1: oder wirklich die spezifische Software auch benutzt wird.

Speaker0: Ich verstehe halt nicht, warum sowas auf Länderebene entschieden werden darf.

Speaker0: Also jetzt einmal auch aus ökonomischen Gedanken heraus, wäre es nicht besser,

Speaker0: wenn es ein Deutschland-Palantir geben würde, Weil dann hätte man alle Daten

Speaker0: an einer Stelle. Also wäre natürlich auch falsch.

Speaker0: Und wenn jemand solche Sachen mir gegenüber jetzt äußern würde,

Speaker0: würde ich denjenigen erstmal anbrüllen.

Speaker0: Von wegen, ja, ist mir schon klar, ihr Überwacher wollt natürlich alles von

Speaker0: allen Bürgern, nicht nur auf Länderebene.

Speaker0: Aber eigentlich ist es verwunderlich auch, dass solche eingreifenden Sachen

Speaker0: überhaupt auf Länderebene entschieden werden dürfen.

Speaker0: Das ist schon, finde ich, sportlich. Vielleicht ist es aber auch eben so wild,

Speaker0: dass es auch nicht auf Bundes-Ebene entschieden werden kann.

Speaker0: Ich weiß es nicht. Es ist auf jeden Fall eine Schweinerei.

Speaker1: Weißt du denn, wie die Software möglicherweise funktioniert?

Speaker1: Also ich weiß, es ist super geheim und fast schon mythenumwoben, aber...

Speaker1: Kann man was darüber sagen, wie die wahrscheinlich funktioniert und aufgebaut ist?

Speaker0: Naja, also du sammelst halt entweder über eine Zielperson, gezielt so rasterfahndungstechnisch,

Speaker0: alles was du finden kannst, jetzt.

Speaker0: Oder du sammelst halt einfach schon im Vorfeld, weil du halt in eine gewisse

Speaker0: Gefährderlogik zum Beispiel reinpasst.

Speaker0: Die haben, keine Ahnung, du gehst auf eine Demo, Freiheit für Autoren und Scheiß

Speaker0: Bücher, Bücherzoll, der da abgegeben werden muss, dann wirst du halt von irgendjemandem

Speaker0: mit einer Bodycam gefilmt und wie du aussiehst, beißt man ja.

Speaker0: Also beißt man, Joshua Tree war auf dieser Demo. Dann wirst du relativ schnell,

Speaker0: weil andere Leute auch auf dieser Demo waren, die wahrscheinlich richtig Randale

Speaker0: machen und Autos anzünden und Mülleimer und sagen,

Speaker0: ja, lass die Autoren in Frieden, dann gehörst du auf einmal ins linke Spektrum,

Speaker0: weil da halt Leute aus dem linken Spektrum auf der Demo waren.

Speaker0: Und das ist das Problem. Du wanderst dann halt unabsichtlich in ein Gefährderprofil

Speaker0: linksautonomer Verrückter, der Autos und Mülleimer abwackelt,

Speaker0: obwohl du überhaupt nichts gemacht hast. Und das ist halt ein Problem.

Speaker0: Also wir haben Bodycams, wir haben auf Demos jedes Mal Polizisten,

Speaker0: die mit einer Kamera rumlaufen.

Speaker0: Wir haben auf großen Plätzen mittlerweile, wie man es halt aus Südafrika und

Speaker0: auch aus England kennt, irgendwelche Kameras hängen.

Speaker0: Verständlicherweise, ja, die Leute wollen halt sicher sein.

Speaker0: Jetzt auch gerade bei uns hier im Bahnhofsumfeld ist das schon ein Problem.

Speaker0: Die Leute wollen Sicherheit. Also macht man überall Lampen hin und Kameras.

Speaker0: Mit diesen Informationen und Daten kann ich aber arbeiten, weil es sind ja auch

Speaker0: vielleicht biometrische Daten, die dabei sind. Und das ist halt ein großes Problem.

Speaker0: Und wenn ich dann sage, okay, jetzt plopst du auf einmal hoch,

Speaker0: weil du halt ein neues Buch verkauft hast oder vorgestellt hast und jetzt ist

Speaker0: dein Name einfach mehr Treffer in irgendwelchen Suchmaschinen.

Speaker0: Also in der Anreicherung ist dein Name mehr gesetzt als meiner zum Beispiel,

Speaker0: weil du halt einfach eine Person der Öffentlichkeit bist.

Speaker0: Und dann könnte ein Algorithmus sagen, was ist denn da los? Warum ist dieser

Speaker0: Mensch denn jetzt auf einmal so populär?

Speaker0: Ach, das ist diese Linksradikale von der Demo in Frankfurt neulich.

Speaker0: Und dann guckt man mal genauer hin, weil vielleicht planst du ja irgendwas so. Remember, remember.

Speaker0: Weißt du, wie ich meine? Das ist das Problem. du wirst unter Generalverdacht

Speaker0: gestellt und dann guckt man halt auch deine ganze.

Speaker0: Digitalaktivität an und schaut sich mal an, was schreibst du denn da so,

Speaker0: was schreibst du denn da vielleicht, ja, also auch diese Podcast-Folge heute,

Speaker0: die ist ja gefundenes Fressen dafür.

Speaker0: Wenn man so das Ganze monitoren und profilen würde über dich,

Speaker0: ist diese Folge hier der beste Beweis dafür, was du eigentlich für ein linksliberaler

Speaker0: Mensch bist. Hast du deinen Stempel schon?

Speaker1: Okay, das heißt, wenn jetzt das Innenministerium NRW, sage ich mal,

Speaker1: diese Software benutzt,

Speaker1: dann wird die Software mit den Daten gefüttert, die zur Verfügung stehen,

Speaker1: also sei es von Bodycams, von öffentlichen Überwachungskameras und so weiter und so fort.

Speaker1: Und da hat dann eigene Algorithmen, die das Ganze analysieren und ein Gefährderprofil

Speaker1: zum Beispiel erstellen.

Speaker1: Und das dann, also ist die Software dann auch ans Internet angeschlossen,

Speaker1: dass sie quasi das Internet crawlen kann, um zu gucken, was ich sonst noch mache. Ja.

Speaker0: Genau das.

Speaker1: Vermute ich mal, ne?

Speaker0: Ja, wahrscheinlich. Ich meine, keiner hat da jemals reingeguckt.

Speaker1: Ja, aber also die Frage ist ja, also wie viel Macht hat das Unternehmen?

Speaker1: Also wenn die die Software zur Verfügung stellen, machen die auch die ganze

Speaker1: Softwarewartung und so weiter.

Speaker1: Das heißt, die ganzen Daten werden wahrscheinlich auch in die USA gehen, schätze ich mal.

Speaker0: Boah, das ist dann das Nächste, ne? Also Souveränität sieht dann auch anders aus.

Speaker0: Und auch das Thema Datenhaltung. Warum müssen die jetzt in den USA Datenhaltung machen?

Speaker0: Wieso kann ich mir das nicht einfach in Deutschland hinstellen?

Speaker0: Ich möchte ja gar nicht, dass irgendwelche Drittländer da reingucken.

Speaker1: Puh.

Speaker0: Ja, absolut. Du hast es damals in dem E-Savio mit mir gesagt,

Speaker0: wenn die KI, wenn es mal aufs Internet losgelassen wird, obwohl man eigentlich

Speaker0: weiß, man sollte es eigentlich nicht tun,

Speaker0: hast du halt relativ schnell eine KI, die halt sich ein eigenes Bild und einen

Speaker0: eigenen Geschmack über die Menschen macht.

Speaker0: Und das ist das Risiko, was wir hier auch haben.

Speaker1: Also ziemlich anstrengend. Also, wenn man sich die Science Fiction der letzten

Speaker1: 40 Jahre anguckt und alles, was sich irgendwie mit KI beschäftigt hat,

Speaker1: war immer die große Warnung, niemals ans Internet anschließen, egal was es ist.

Speaker1: Und das war einfach der erste Schritt von JGTBD.

Speaker1: Als ich das gesehen habe, jetzt ist es halt auch im Internet.

Speaker1: Da dachte ich, okay, krass, einfach so.

Speaker0: Also ich benutze das Beispiel, was du mir damals gesagt hast,

Speaker0: auch gerne in Gesprächen mit Kunden, die auch die Frage stellen.

Speaker0: Du hast damals gesagt, wenn du eine KI hast, die die perfekte Handschrift lernen

Speaker0: soll und irgendwann stellt die KI aber fest, dass Papier von Bäumen kommt und

Speaker0: wir holzen als Menschen Bäume ab, sind wir quasi die Nummer eins Bedrohung für die Grundressource,

Speaker0: die die KI braucht, um ihren Job zu erfüllen.

Speaker0: Also logische Schlussfolgerung, die Menschen müssen weg. Das ist nachvollziehbar.

Speaker1: Ja, das gruselt mich so sehr das Beispiel, weil es so unverfänglich daherkommt.

Speaker1: Das zeigt, dass wir schlecht darin sind, die Folgen abzusehen am ersten Schritt.

Speaker1: Okay, jetzt haben wir darüber gesprochen, wie dystopisch es aussehen kann.

Speaker1: Richtig. Was sind denn Sachen, die du Privatanwendern wie uns empfehlen würdest

Speaker1: zu tun, um sich da halbwegs zukunftssicher aufzustellen?

Speaker0: Ja, Anonymisierung von allem, was man anonymisieren kann. Auch da bitte aufpassen,

Speaker0: das ist schon wieder das Nächste.

Speaker0: Wenn ich jetzt sage, okay, ich möchte so anonym wie möglich im Internet sein.

Speaker0: Ich möchte verschlüsseln.

Speaker0: Ja, okay, ich möchte VPNs benutzen. Ich benutze Tor, den Tor-Browser,

Speaker0: der ja auch dafür da ist, um ins Darknet zum Beispiel zu gelangen.

Speaker0: Damit macht man sich natürlich schon erstmal unsichtbar, ein gutes Stück weit.

Speaker0: Wobei, ob das wirklich so unsichtbar macht, weiß man nicht, wenn solche Technologie

Speaker0: wie Palantir im Einsatz ist.

Speaker0: Das ist mal die eine Sache. Aber auf der anderen Seite macht man sich natürlich

Speaker0: damit schon wieder interessant.

Speaker0: Weil wer sich unter dem Radar bewegt, ist doch natürlich interessant.

Speaker0: Es gibt da diesen einen Menschen, diesen Joshua Tree.

Speaker0: Ich finde von dem aber nichts, weil eigentlich heißt er ja privat anders.

Speaker0: Ich finde nichts zu der Privatperson, die dahinter steckt.

Speaker0: Also da stimmt doch irgendwas nicht, könnte man jetzt implizieren.

Speaker0: Du hast es natürlich gut gelöst, weil du halt alles unter diesem Alter Ego machst.

Speaker0: Aber ein normaler Mensch, wie ich jetzt, der jetzt heute damit anfangen würde,

Speaker0: du machst dich interessant, also zu unsichtbar sein ist vielleicht gar nicht gut.

Speaker0: Und das andere ist, wenn du dann verschlüsselst, obwohl eigentlich nicht verschlüsselt

Speaker0: werden sollte, das ist ja das Thema Chatkontrolle, das ist ja im Grunde genommen

Speaker0: ein Verbot von Verschlüsselungstechnologie, weil sonst können ja die Überwacher nicht reingucken.

Speaker0: Machst du dich im Grunde genommen schon mal vorab ein Stück weit strafbar im

Speaker0: Bereich der Beweismittelvereitelung? Das ist kein Quatsch.

Speaker0: Weil wenn du die Überwacher nicht reingucken lässt, dann musst du ja was zu

Speaker0: verbergen haben und wenn die es nicht sehen können, hast du einen Straftatbestand,

Speaker0: nämlich Beweismittelvereitelung. Und das ist schon auch wild.

Speaker2: Ich würde da Joshua's Frage nochmal weiterführen wollen.

Speaker2: Also Anonymisierung ist die eine Sache,

Speaker2: also möglichst wenig Spuren hinterlassen und du hast auch schon Techniken dafür

Speaker2: genannt, wie zum Beispiel VPN oder sowas wie den Tor-Browser zu verwenden.

Speaker2: Gibt es noch weitere Tipps und Tricks für das Thema Sicherheit für Privatleute

Speaker2: und uns zukunftssicher aufzustellen?

Speaker1: Ja, okay. fällt mir da noch ein, muss ich schnell sagen.

Speaker1: Das wird ja häufig beworben von YouTubern, dass sie quasi Datenspuren im Internet

Speaker1: löschen in unserem Auftrag.

Speaker1: Ist das Augenwischerei oder funktioniert das wirklich?

Speaker0: Ich brauche es nicht. Ich würde es nicht ausprobieren. Aber ob das wirklich

Speaker0: gemacht wird oder nicht, keine Ahnung.

Speaker0: Also das Recht auf Vergessen existiert ja faktisch. Also ich weiß nicht,

Speaker0: ich kenne die Werbung oder den Clip dafür, aber ich weiß nicht, was die dann tun.

Speaker0: Vermutlich gibst du denen dann eine Freikarte, die dann sagen hier,

Speaker0: wo auch immer du dieses Handle von mir findest, kümmere dich darum, dass das verschwindet.

Speaker0: Also Recht auf löschen und vergessen wird dann damit einfach nur ausgespielt.

Speaker0: Die sagen dann hier, ich habe den Auftrag von Philipp.

Speaker0: Der hat gesagt, überall, wo ich mit dem Pseudonym, keine Ahnung,

Speaker0: Kettensäge 97 unterwegs gewesen bin, bitte diese Identität löschen.

Speaker0: Hier, ich habe einen Auftrag, mach das jetzt.

Speaker2: Jetzt habe ich mal nur einen Nick nehmen, fürs nächste Mal zocken.

Speaker0: Okay.

Speaker2: Ja, wobei ich mich da frage, du hast uns ja vorhin klar gemacht,

Speaker2: dass so die ganz sensiblen Daten von uns,

Speaker2: wenn wir da Pech haben, sind die bei irgendwelchen Ransomware-Brokern im Darknet

Speaker2: oder auf irgendwelchen dubiosen Foren zu finden.

Speaker2: Da wird wahrscheinlich auch das Recht auf Löschen und Vergessen nicht wirken.

Speaker0: Nein, das wirkt da nicht.

Speaker2: Spätestens da wird so ein Service ja enden.

Speaker0: Es ist dann immer so wie dieser Witz, wir haben alle deine Daten.

Speaker0: Echt? Ja, cool. Ich bräuchte die Steuererklärung von 1998, bitte.

Speaker0: Und ansonsten halt Daten sparsam.

Speaker0: Das ist ja das, was bei,

Speaker0: bei Datenschutz allgemein immer auch angegangen werden sollte.

Speaker0: Datensparsamkeit. Muss ich jetzt wirklich unbedingt diese Information irgendwo

Speaker0: teilen? Muss ich die jetzt mit irgendwem zusammen bearbeiten?

Speaker0: Ist das jetzt wirklich notwendig, dass ich das mache? Oder wäre es auch möglich,

Speaker0: es nicht zu tun? Oder anderweitig diese Informationen zu tauschen?

Speaker1: Muss ich mein ganzes Leben auf Social Media teilen?

Speaker0: Danke, genau das. Ganz genau das. Wir haben letztes Jahr im Rahmen der Aktion

Speaker0: Türen auf mit der Maus teilgenommen mit unserem Unternehmen und wir hatten mehrere

Speaker0: Stationen, auch unter anderem zum Thema Datensparsamkeit.

Speaker0: Und in einem unserer Schulungsräume haben wir ein Video von der Telekom laufen lassen.

Speaker0: Da gibt es das, also kennt ihr vielleicht, dieses Mädchen, was im Kino zu seinen

Speaker0: Eltern spricht. Hi Mom, hi Dad, hier ist Emma.

Speaker0: Ich weiß, dass ihr das total gerne auf Social Media teilt, irgendwelche Fotos

Speaker0: von mir, bla bla bla bla bla.

Speaker0: Und dann geht die Herleitung quasi her, dass das Mädchen dann sagt,

Speaker0: ja, aber mit jedem dieser Fotos besteht das Risiko, dass ihr mir meine Zukunft

Speaker0: verbiegt und versaut, weil halt jemand das gegen mich benutzen kann.

Speaker0: Entweder durch Hass und Hetze oder halt dann später auch einfach durch irgendwelche

Speaker0: Deepfakes, die am Ende des Tages auf irgendwelchen Pornoseiten landen und halt

Speaker0: auch einen Social Score kaputt machen können. Und das ist halt ein Problem.

Speaker0: Also du als Eltern kannst das verhindern, indem du es einfach nicht tust.

Speaker0: Und das war echt interessant. Ich bin beim ersten und zweiten Durchlauf des

Speaker0: Videos in dem Raum geblieben.

Speaker0: Und hinten dran saß eine Mutter, die hat Rotz und Wasser geheult.

Speaker0: Die konnte nicht mehr. Ich habe dir dann so eine große Packung Zevertücher gebracht. Die war fertig.

Speaker0: Weil durch dieses Video der Telekom ist ihr erst bewusst geworden,

Speaker0: was sie da eigentlich jeden Tag macht.

Speaker0: Und ich kann dieses Video auch nicht sehen. Mir stellt es alle Haare auf, die ich habe.

Speaker0: Das ist wirklich so gruselig. Ich habe euch vorhin zu den Ermittlungsbehörden schon Links geschickt.

Speaker0: Ich schicke euch auch dazu mal einen Link auf Facebook, auf YouTube.

Speaker0: Könnt ihr mal vielleicht in euren Shownotes.

Speaker2: Ja cool, nehmen wir mit in die Shownotes.

Speaker0: Genau. Es ist auf jeden Fall richtig krass und die Leute wissen gar nicht, was sie da machen.

Speaker0: Und deswegen Datensparsamkeit.

Speaker1: Okay, Datensparsamkeit, ja, heißt also nicht so viel Spuren hinterlassen im

Speaker1: Internet, aber das ist ja auch eine Frage jetzt zum Beispiel,

Speaker1: wir hatten das Thema ja mit Philipp und dem Umstieg auf Linux,

Speaker1: wahrscheinlich auch grundlegender, welches Betriebssystem benutze ich überhaupt, oder?

Speaker0: Ja, natürlich, das spielt natürlich auch eine Rolle.

Speaker0: Wenn man natürlich ein Spionagebetriebssystem wie Windows benutzt,

Speaker0: dann ist man an der Stelle halt auch selber schuld.

Speaker0: Äh, gut, viele Leute können halt nichts anderes.

Speaker2: Sagt unser Microsoft-Experte.

Speaker0: Ja, die Leute, naja, was haben die Leute? Die Leute haben das,

Speaker0: was sie kennen und das, was sie brauchen und was sie brauchen können.

Speaker0: Und das ist halt einfach natürlich Microsoft, ganz klar. Oder Apple.

Speaker0: Und das Zeug funktioniert ja. Braucht man nicht drüber reden.

Speaker0: Also, wenn man mal guckt, von der Verbreitung der Produkte her,

Speaker0: das, was am meisten angegriffen wird, ist das, was auch halt natürlich da ist.

Speaker0: Also warum sollen sich Angreifer jetzt einen spezialisierten Angriff überlegen

Speaker0: auf irgendein Ubuntu in einer Version drei Stufen rückwärts,

Speaker0: wenn es eh keiner benutzt.

Speaker0: Jeder, der Ubuntu benutzt, hält sein System auf dem Laufenden.

Speaker0: Und jetzt zu sagen, ja gut, dann gehe ich halt auf Windows im Allgemeinen,

Speaker0: da ist es halt einfacher.

Speaker0: Und ja, also genutzt wird das, was da ist. Und da muss man halt den Angreifern

Speaker0: auch eine gewisse Ökonomie zugute halten, weil warum sollten die was angreifen, was keiner nutzt?

Speaker1: Da habe ich gleich noch eine Frage zu. Also Apple ist ja so ein Thema,

Speaker1: das hat sich ja lange damit gerühmt, dass es viel, viel sicherer wäre als Windows,

Speaker1: also als Microsoft-Produkte.

Speaker1: Und es gibt ja super viele Datenschutzeinstellungen, die man bei Apple machen

Speaker1: kann. Ich habe wieder mal ein bisschen recherchiert, jetzt mit dem neuen iPhone

Speaker1: geguckt, okay, wie kann ich das möglichst datenschutzfreundlich einrichten.

Speaker1: Da gab es auch super viele Optionen.

Speaker1: Und Apple rühmt sich ja auch damit, dass sie sehr, sehr datenschutzfreundlich

Speaker1: seien und mit den Daten ihrer Nutzer extrem vorsichtig umgehen.

Speaker1: Stimmt das überhaupt oder ist das nur Marketing?

Speaker0: Also ich hatte lange Zeit MacBook. Da ist nie irgendwas wirklich gewesen.

Speaker0: Es kann jetzt sein, weil ich halt vorsichtig bin, aber grundsätzlich haben die

Speaker0: schon länger das Verständnis umgesetzt, das was halt der Linux-Gedanke auch ist.

Speaker0: Also niemals arbeiten als Admin, niemals irgendwelche Rechte und Systemrechte aufreißen.

Speaker0: Die es halt einfach nicht braucht. Also das ist schon gut.

Speaker0: Also der grundlegende Ansatz, auch nach Admin-Zugangsdaten zu fragen,

Speaker0: bevor man jetzt einfach irgendwie davon ausgeht, dass der User,

Speaker0: der davor sitzt, schon wissen wird, was er tut, finde ich schon einen guten

Speaker0: Ansatz. Und es hat die Linux-Logik.

Speaker0: Also damit kann man eigentlich nicht so viel falsch machen.

Speaker1: Und das ist sicherer als die standardmäßige Option, die E-Mail zu verschleiern.

Speaker1: Also das nutze ich auch jedes Mal.

Speaker1: Immer wenn ich mich irgendwo anmelde, nutze ich diese generierte Apple-Adresse

Speaker1: dafür, wo dann alles, was zurückkommt, erst über Apple geht und dann an mich geschickt wird.

Speaker0: Ja, genau. Das ist schon eine gute Sache.

Speaker2: Dann muss man Apple aber natürlich auch maximal vertrauen.

Speaker1: Genau. Genau, deswegen auch meine Frage.

Speaker0: Ja, deswegen mache ich das auch nicht. Ich bin seit längerem bei ProtonMail

Speaker0: mit meinen ganzen Mail-Sachen.

Speaker0: Die sitzen in der Schweiz und ziehen jetzt aber aus der Schweiz weg,

Speaker0: weil die Mitgründer sagen halt, Proton, ja, die Schweiz ist halt gar nicht so

Speaker0: souverän und unabhängig, wie man es vielleicht gerne hätte.

Speaker0: Also auch da geht der Weg in Richtung Überwachungsstaat gefühlt.

Speaker0: Ich kann es nicht bestätigen oder dementieren, aber das ist halt ein Punkt aktuell.

Speaker0: Deswegen sagt Proton, sie gehen aus der Schweiz weg.

Speaker1: Und wo gehen wir hin?

Speaker0: Das weiß ich noch nicht. Wartet jeder, der Proton benutzt, der hat er auf.

Speaker0: Das ist eine spannende Frage. Aber was man auf jeden Fall tun könnte.

Speaker2: Proton habe ich schon seit Ewigkeiten.

Speaker0: Ja, Proton, aber ich habe die Bezahlversion, weil da auch ein VPN-Client mit

Speaker0: dabei ist und eine VPN-Lösung und ein verschlüsseltes, ja, sowas wie OneDrive halt.

Speaker0: Und das kannst du auch in sich nochmal verschlüsseln, das ist ziemlich cool.

Speaker0: Deswegen benutze ich das an der Stelle. Was man aber tun könnte direkt,

Speaker0: wenn man jetzt das Ganze hört, wäre einfach mal zu gucken, ob man selber denn

Speaker0: vielleicht schon Opfer geworden ist.

Speaker0: Würde jetzt hier ganz gut passen an der Stelle. Dazu gibt es mehrere kostenlose

Speaker0: Dienste. Einmal HaveUpInPont.

Speaker0: Das ist ein australischer Anbieter. Die überprüfen für euch,

Speaker0: ob denn eure E-Mail-Adresse schon in irgendeiner Form geleakt worden ist.

Speaker0: Ob die irgendwo im Handel schon ist.

Speaker0: Und da könnt ihr einfach mal unten auf den... Ich weiß nicht,

Speaker0: wo eure Shownotes nachher sind. Bei uns sind die immer unten.

Speaker0: Deswegen könnt ihr dann mal, wo auch immer, in die Shownotes gucken.

Speaker0: Das wäre die eine Möglichkeit. Den Link schicke ich natürlich durch.

Speaker0: Und das andere wäre der Identity-Leak-Checker vom Hasso-Plattner-Institut.

Speaker0: Da sind wir sogar bei einer deutschen Plattform.

Speaker0: Und die haben insgesamt für 14 Millionen Nutzerkonten 1986 Leaks und jeden Tag

Speaker0: kommen neue 1,5 Millionen Leak-Accounts dazu.

Speaker0: Das ist schon stark, was da zusammenkommt. Also da auch gerne mal reingucken.

Speaker1: Und was macht man dann, wenn man da auftaucht?

Speaker0: Erstmal Panik bekommen. Wir haben so schöne Aufkleber auf unseren Notebooks.

Speaker0: Da steht, no, God, no, God, please, no, no, no, no.

Speaker0: Das steht auch auf meinem Aufkleber, auf meinem Laptop drauf.

Speaker0: Oder die Fuck-Fuck-Fuck-Ente.

Speaker1: Die Office-Fans, sehr gut.

Speaker0: Genau. Und die Fuck-Fuck-Fuck-Fuck-Ente habe ich auch zum Beispiel noch, sogar eine Tasse davon.

Speaker0: Quasi, es war der Moment, als ihm aufgefallen ist, dass er alles falsch gemacht

Speaker0: hat. Fack, fack, fack, fack, fack.

Speaker0: Einfach mal gucken, ob man da möglicherweise betroffen ist und wenn man da was findet,

Speaker0: bei den Leaks hergehen und von diesem Konto am besten sofort an jedem Account

Speaker0: anmelden, weil es ist ja auch so, viele benutzen ja die gleiche Mailadresse

Speaker0: für alle möglichen Konten mit dem gleichen Kennwort. Das ist super.

Speaker0: Beste Idee aller Zeiten, wenn ich jetzt zum Beispiel sage, a.karls.de.

Speaker0: Wenn ich jetzt das gefinde als geleaktes Konto und dann muss ich halt rausfinden,

Speaker0: wo benutze ich das überall.

Speaker0: Wird halt ohne Passwortdepot schwierig, aber ich muss mich halt dann durchtesten.

Speaker0: Okay, Google, ja. Ebay, nein. Amazon, ja.

Speaker0: Und so weiter. Und überall das, wo ich es identifiziert habe,

Speaker0: bitte das Kennwort bei diesem Service ändern und nicht immer aufs Gleiche,

Speaker0: sondern jeder Dienst hat ein eigenes Kennwort. Das ist super wichtig.

Speaker0: Zugangsdaten sind dann gut und sicher, wenn sie einmalig sind und komplex.

Speaker0: Also jetzt dann nicht irgendwie Kennwort Hallo123, sondern schon ein komplexes Kennwort.

Speaker0: Also Passwort-Manager. Ja, macht am meisten Sinn. Passwort-Manager,

Speaker0: die generieren solche Kennwörter.

Speaker0: Dann muss ich es mir auch nicht merken. Und auch sowas wäre bei Proton zum Beispiel mit dabei.

Speaker0: Gibt es auch als Add-in für iOS, dann muss ich es mir nicht merken.

Speaker0: Wenn ich dann in Safari beispielsweise oder in jedem anderen Browser auf eine Anmeldeseite gehe,

Speaker0: dann hängt er an der gleichen Schnittstelle wie das Passwörter von Apple selbst

Speaker0: und kann dann aus dem Proton-Passwort-Depot das Kennwort rausholen,

Speaker0: was ich da halt hinterlegt habe.

Speaker0: Ich kenne viele Kennwörter überhaupt nicht von mir. Genau.

Speaker1: Okay. Aber ich habe mit dem Passwortmanager schon mal einiges richtig gemacht, immerhin.

Speaker0: Der sollte aber bei einem Anbieter sein, dem du vertraust. Oder liegt der lokal?

Speaker2: Oder man, genau, ich wollte gerade sagen, oder man nutzt KeyPassXC und hat es

Speaker2: lokal. Dann muss man nur sich vertrauen.

Speaker1: Ja, ich nutze OnePassword. Wurde mir empfohlen.

Speaker0: Hatten die nicht auch erst einen Vorfall?

Speaker1: Ich glaube, das liegt bei denen. Ich weiß es aber nicht.

Speaker0: One Passport, Cyber, Cyber...

Speaker1: Sag das jetzt nicht.

Speaker0: Die hatten doch irgendwas.

Speaker2: Ich schaue mal schnell. Ja, Joshua. Wo ist die Ente, wenn man sie braucht?

Speaker0: Ich schicke dir eine Tasse davon vorbei. Nee, die... Ja, bitte.

Speaker1: Ja, das ist doch gut. Das wollte ich hören.

Speaker0: Und zwar... Die hängen an dem Anmeldedienst Okta.

Speaker0: Und Okta hatte 2023 ein Problem und hier die schreiben, das Unternehmen habe

Speaker0: verdächtige Aktivitäten auf der

Speaker0: Okta Instanz im Zusammenhang mit ihrem Support-System entdeckt. Naja gut.

Speaker0: Keine Passwort-Zugangsdaten aufzugreifen worden. Naja gut.

Speaker2: Das meine ich hätte ich damals sogar in der ECT gelesen oder so und die hatten

Speaker2: das glaube ich auch so bewertet, dass es wahrscheinlich keinen Zugriff auf die Passwort-Daten gab.

Speaker0: Ja, okay.

Speaker1: Die Tasse nehme ich natürlich trotzdem.

Speaker1: Ist doch klar. Okay, gibt es sonst noch was, worüber wir sprechen sollten,

Speaker1: was die Zuhörerinnen und Zuhörer unserer heutigen Episode tun können,

Speaker1: um ihre Risiken zu minimieren?

Speaker0: Ja, also Vertrauensfrage stellen ist schon immer eine gute Sache und mal überlegen,

Speaker0: kann ich diesem Dienst überhaupt vertrauen oder muss ich den Dienst überhaupt haben?

Speaker0: Das ist teilweise aber auch echt schwierig im echten Leben.

Speaker0: Wenn du guckst, fahr doch einfach mal in eine größere Stadt und parke.

Speaker0: Versuch zu parken. Finde mal einen Parkautomaten, der noch Münzen nimmt. Gibt es nicht.

Speaker0: Die meisten nehmen Kreditkarte. Okay, bin ich komplett okay mit?

Speaker0: Kreditkarte funktioniert gerade, aber heute vielleicht nicht.

Speaker0: Dann steht da noch, ja, dann benutze unsere App.

Speaker0: Irgendeinen QR-Code. Muss ich jetzt wirklich jeden blöden QR-Code meine Kamera

Speaker0: drüber halten? Und das ist auch ein Angriffspunkt. Dann leitet das wieder irgendwo hin.

Speaker0: Weil was weiß denn ich, wie die App ausschaut von EasyPark oder wie die ganzen Dinge alle heißen.

Speaker0: Dann habe ich schon wieder ein Abflussthema. Dann zahle ich halt dort mit Kreditkarte.

Speaker0: Ja, für was denn? Für nix.

Speaker0: Dann kommt noch ein Kontrolleur vorbei und da stehe ich natürlich nicht in der Datenbank.

Speaker0: Dann kriege ich noch einen Strafzettel und meine 25 Euro und meine Kreditkartendaten

Speaker0: sind auch noch weg, weil ich Idiot halt irgendwo meine Kamera über den QR-Code

Speaker0: halte. Also auch da wirklich ganz vorsichtig mal umgehen.

Speaker0: Wenn es geht, knibbelt und schaut mal, ob der QR-Code nicht über einem anderen QR-Code klebt.

Speaker0: Also man muss den Angreifenden schon auch.

Speaker1: Mal den Hut ziehen. Stimmt, ja, das habe ich tatsächlich gesehen.

Speaker0: Man muss den Hut ziehen vor den Angreifenden, mit welch einer Kreativität die teilweise vorgehen.

Speaker0: Ich finde das, also auch wenn es gemein ist für den Einzelnen,

Speaker0: wenn er Opfer wird, aber ich finde diese Kreativität schon wirklich beachtenswert.

Speaker2: Mir wird auch eine Sache einfallen aus deiner Anfangsgeschichte,

Speaker2: als du von der Dame und ihren Fotos erzählt hast.

Speaker2: Super oldschool, aber Backups.

Speaker2: Also, Daten-Backup jenseits der Cloud zu haben, empfinde ich zumindest,

Speaker2: ich weiß nicht, wie du das einschätzt

Speaker2: als Experte, aber empfinde ich als durchaus beruhigend zu wissen,

Speaker2: dass ich die wichtigsten Daten auf zwei Festplatten an zwei verschiedenen Orten auch nochmal habe.

Speaker0: Ja, absolut, ja. Wenn man dran denkt, ist das super.

Speaker2: Jetzt guckt Joshua ein bisschen mitreden.

Speaker1: Ja, also ich habe natürlich auch eine externe Festplatte, auf der ich Sachen

Speaker1: gespeichert habe, die mir wichtig sind.

Speaker1: Aber ja, ich werde auf jeden Fall mit meinem Windows-Rechner jetzt auch auf Linux umsteigen.

Speaker0: Sehr gut.

Speaker2: Ich kann sagen, meine Erfahrung, ich schulde das ja noch dem Discord,

Speaker2: da einen Bericht reinzupacken.

Speaker2: Ich habe mir überlegt, das mache ich am ersten Sonntag zum Digital Independence

Speaker2: Day, weil ich meinen Akt des Independent-Seins veröffentlichen mit Linux.

Speaker2: Aber ich bin jetzt ja schon über einen Monat dabei und ich muss sagen,

Speaker2: das ist mein dritter Umstieg auf Linux.

Speaker2: Zwei vorher sind also gescheitert und es war noch nie, also wirklich noch nie so einfach wie jetzt.

Speaker2: Und wer es geschafft hat, so wie ich, ein bisschen zu verstehen,

Speaker2: wie Windows funktioniert, versteht auch mit ein bisschen Interesse superschnell,

Speaker2: wie Linux funktioniert. und ich bin noch lange gar kein Experte da drin,

Speaker2: aber ich musste auch keiner werden.

Speaker2: Ich habe kein einziges Mal die Kommandozeile gebraucht. Ich konnte mir alles zusammenklicken.

Speaker2: Und ich habe die Kommandozeile nur verwendet, wenn ich es irgendwie,

Speaker2: wenn ich wusste, was ich da machen will und wusste, dass es schneller geht.

Speaker2: Aber die Hürde ist so niedrig geworden, es ist großartig.

Speaker0: Ja, das stimmt.

Speaker2: Und ich habe schon diverse Male mein System geupdatet. Linux Mint habe ich genommen.

Speaker2: Also auf Debian basierend, Ubuntu, weil das einfach von der Oberfläche doch

Speaker2: sehr an Windows angelehnt ist.

Speaker2: Und das hat mir den Umstieg total vereinfacht.

Speaker0: Ja, also die Zeiten der Kommandozahlenklopferei sind Gott sei Dank vorbei.

Speaker0: Manche Sachen funktionieren noch nicht so gut. Also mein 3D-Drucker zum Beispiel,

Speaker0: der mag das gar nicht so gern mit dem Linux.

Speaker0: Aber dafür gibt es auch Datenträger. Also ich habe jetzt halt angefangen,

Speaker0: STL-Dateien halt auszuerzeugen und dann per Datenträger an meinem Drucker anzuschließen.

Speaker0: Dann druckt er die halt. Dem ist es wurscht, wo die herkommen.

Speaker2: Ja, ich habe auch so ein bisschen Hardware, die ich noch nicht zum Laufen bekommen

Speaker2: habe. Aber ansonsten, Linux funktioniert.

Speaker2: Also Joshua, go for it.

Speaker1: Mach ich. Okay, gibt es irgendein Thema, was wir noch nicht angesprochen haben,

Speaker1: was aber unbedingt in einer Folge über Cyber Security drin sein bzw. vorkommen sollte?

Speaker0: Ja, also Backup ist richtig, aber dann sollte man schon richtig Backup machen.

Speaker0: Also ich empfehle da an der Stelle 3.2.1.

Speaker0: Drei Kopien auf zwei verschiedenen Datenträgern, wobei eine extern aufbewahrt

Speaker0: wird, wäre der richtige Weg.

Speaker0: Also schon zwei verschiedene Datenträger und,

Speaker0: Jeweils drei Kopien und einen außer Haus. Also im Unternehmen würde man sagen,

Speaker0: in einem anderen Brandabschnitt.

Speaker0: Gut, ist jetzt in der Wohnung schwierig. Da hat man üblicherweise keine Brandabschnitte.

Speaker0: Aber der Keller sollte wahrscheinlich nicht der gleiche Brandabschnitt sein wie die Wohnung.

Speaker0: Außer man wohnt im Keller. Dann ist es alles ein Bereich.

Speaker0: Ja, cool. Gut.

Speaker2: Dann würde ich sagen, packen wir es ein an der Stelle.

Speaker0: Ja.

Speaker1: Ich muss ja schnell mit meiner Frau sprechen, um ein Codewort auszumachen.

Speaker0: Ja, unbedingt.

Speaker2: Ja, Alex, vielen, vielen herzlichen Dank.

Speaker2: Wir werden deinen Podcast Blue Screen nochmal in die Shownotes mitpacken.

Speaker2: Das heißt, für alle, die noch tiefer ins Thema einsteigen wollen, können das da machen.

Speaker2: Und an der Stelle möchte ich auch nochmal ganz kurz auf unsere aktuell immer

Speaker2: noch laufende Umfrage verweisen.

Speaker2: An all unsere Hörerinnen und Hörer. Ihr seid alle herzlich eingeladen,

Speaker2: wenn ihr noch nicht teilgenommen habt, umfrage.trecorder.de Link dazu gibt es auch in den Shownotes.

Speaker2: Schenkt uns zwei, drei Minuten eurer Zeit. Das bringt uns weiter in der Planung, wie es hier weitergeht.

Speaker2: Vielen Dank dafür an alle, die schon teilgenommen haben und noch teilnehmen werden.

Speaker2: In diesem Sinne sage ich, vielen Dank fürs Zuhören. Ciao, ciao und bis zum nächsten Mal. Tschüss.

Speaker1: Ciao.

Speaker0: Ciao.

Speaker2: Das war eine weitere Episode vom TRECORDER. Schön, dass du dabei warst.

Speaker2: Vielen Dank fürs Zuhören und wir haben noch eine Bitte an dich.

Speaker2: Wenn dir der Tricorder gefällt, dann hinterlass doch bitte eine 5-Sterne-Bewertung

Speaker2: auf der Podcast-Plattform deiner Wahl.

Speaker2: Das motiviert uns zum Weitermachen und hilft auch noch allen anderen Interessierten,

Speaker2: den Podcast kennenzulernen.