069: Welche Vorteile bieten Pentesting und Red Teaming für die Cyber-Sicherheit von Unternehmen, Donald Ortmann?

00:00:01: Habt ihr euch nicht auch schon mal gefragt, was Pentester eigentlich machen?

00:00:04: Leute, die sich gar nicht so richtig auskennen mit dem ganzen Cybersecurity-Bereich,

00:00:09: die könnten vielleicht glauben, dass die Kugelschreiber ausprobieren und ab

00:00:12: und zu auch mal Bleistifte.

00:00:13: Wir wollen das heute mal ein bisschen aufklären für Leute, die nicht so technisch

00:00:18: versiert sind, aber auch vielleicht für die technisch Interessierten,

00:00:20: die schon wissen, was Pentesting und Red Teaming so bedeutet.

00:00:23: Und ja, das hört ihr in unserer heutigen Folge. Viel Spaß!

00:00:34: Ja, und ich habe mir jemanden zu uns heute in die Session reingeholt,

00:00:39: der sich da richtig gut auskennt mit dem Thema Pentesting, Red Teaming und so weiter.

00:00:44: Und deswegen ist die Frage der heutigen Folge, welche Vorteile bringen denn

00:00:48: eigentlich diese ganzen Sachen für die IT- und Cybersicherheit von Unternehmen?

00:00:52: Und diese Frage richtig an niemanden geringen als den Donald Ortmann von Don

00:00:56: Luigi. Hi Donald, schön, dass du heute Zeit gefunden hast.

00:00:59: Moin Alexander, vielen Dank für die Einladung und noch einmal herzlichen Glückwunsch

00:01:03: zur bestandenen Prüfung auch zum BSI-Vorfallexperten.

00:01:06: Ich freue mich sehr und wenn es hier demnächst vielleicht sogar noch einen weiteren

00:01:10: offiziellen BSI-zertifizierten IT-Sicherheitsdienstleister im Cybersicherheitsnetzwerk

00:01:15: geht, ist das sicherlich nochmal ein Extrakredit für uns.

00:01:17: Ja, vielen Dank dafür, Donald. Für die, die mir nicht auf LinkedIn folgen,

00:01:21: der Donald ist mein Trainer, also nicht nur mein Trainer, sondern der trainiert

00:01:25: ganz viele Leute für verschiedene Dinge.

00:01:28: Und der Donald hat den Christian, Kollegen von mir und mich eben vorbereitet

00:01:33: auf die Prüfung für die Zertifizierung zum IT-Vorfall Experten im Cybersicherheitsnetzwerk des BSI.

00:01:40: Das Ganze hat er im Rahmen einer Schulung gemacht.

00:01:43: Die hat die Q-Skills aus Nürnberg dann entsprechend auch organisiert.

00:01:46: Und ja, dank der Unterstützung von dir, Donald, haben wir es tatsächlich geschafft. Anfang April.

00:01:51: War nicht ohne, war auch knackig, war eine Menge Stoff, aber auch an der Stelle

00:01:54: nochmal hier im Podcast. Vielen Dank dafür, dass du uns so toll vorbereitet hast. Genau, gern.

00:02:00: Gut, Donald, erzähl doch mal so ein bisschen über dich. Was tust du,

00:02:04: was tut Don Luigi und was hat das Ganze mit dem Thema unserer Folge zu tun?

00:02:08: Ja, vielleicht erst mal, warum bin ich hier? Auch das gerne.

00:02:13: Grundsätzlich bin ich ein bisschen öffentlichkeitsscheuig tatsächlich für größeres

00:02:17: Publikum, aber ich freue mich sehr, mit dir jemanden gefunden zu haben,

00:02:20: der ähnlich viel Herzblut in das Thema Informationssicherheit und gerade eben

00:02:25: auch in dieses Spiel von Angriff und Verteidigung gibt.

00:02:28: Und Treffen mit so Leuten ist dann eben auch ein wenig, als wenn man sich im

00:02:32: Alltag, wenn man eben so diesem Job hier unterwegs ist, dann ist das häufig,

00:02:37: als wenn man so ein Einhorn ist, das durch so einen dunklen Wald läuft.

00:02:40: Und dann kommt man eben manchmal auf so eine lichte Wiese voller Einhörner und

00:02:44: das ist dann natürlich sehr schön.

00:02:46: Deshalb freue ich mich, hier zu sein. Ja, wer bin ich? Eigentlich schnell erklärt.

00:02:50: Ich habe recht spät im Alter von 15 Jahren meine Leidenschaft auch für Computer

00:02:55: entdeckt und begann dann eben auch recht schnell mit Freunden eigene Systeme

00:02:59: zusammenzubauen, zum Laufen zu bringen, zu vernetzen, an die eigenen Bedarfe anzupassen.

00:03:04: Auf LAN-Partys haben wir dann die ersten Hacks entwickelt, um in den Netzwerkspielen

00:03:09: eben auch so Performance-Vorteile zu bekommen.

00:03:11: Wir waren neugierig, wir waren jung, also ich kann Skript-Kiddies verstehen

00:03:15: in ihrer Motivation, eben über Grenzen auch hinauszugehen. Und wir haben aber

00:03:19: auch Troubleshooting gemacht natürlich, um alles am Laufen zu halten.

00:03:22: Und daraus ergab sich dann diese Leidenschaft, die jetzt bis heute mein Leben

00:03:26: über 30 Jahre schon bestimmt, für dieses lebendige Wesen eines Netzwerks aus

00:03:31: vielen Systemen und eben auch die Manipulationsmöglichkeiten,

00:03:34: die solche Systeme haben.

00:03:35: Heute habe ich ein kleines Unternehmen mit dem hohen Anspruch,

00:03:39: immer die aktuellsten Angriffsmethoden auch abbilden und nachvollziehen zu können,

00:03:44: Abwehrmaßnahmen auch nach Wirksamkeit irgendwie testen zu können und so können

00:03:49: wir eben auf der einen Seite mit wirklich sehr aktuellen Methoden in unseren

00:03:52: Tests angreifen, auf der anderen Seite ganz pragmatische Empfehlungen zur Ergänzung

00:03:56: der vorhandenen Maßnahmen geben.

00:03:58: Wenn ich sage wir, wir sind ein Haufen von Enthusiasten, ein kleiner Haufen

00:04:02: tatsächlich, nur eine Handvoll, aber eben aus sehr unterschiedlichen Blickwinkeln.

00:04:06: Der eine Kollege, der hat seine Karriere in ein Ministerium hingeworfen,

00:04:10: der wäre da wirklich fast an der Landesspitze der Informationssicherheit schon

00:04:13: gewesen und hat dann festgestellt, er will lieber seiner Leidenschaft für das

00:04:17: Hacken folgen und seine Divergentenfähigkeiten weiterentwickeln.

00:04:21: Ein anderer, der hat in seinem Leben drei hochwertige IT-Ausbildungen tatsächlich

00:04:26: sehr erfolgreich auch absolviert, verfügt über unglaublich tiefes Wissen im

00:04:30: Bereich von Mikrocontrollern,

00:04:32: hat aber aufgrund seines Lifestyles à la War Holland tatsächlich nie einen Job behalten können.

00:04:38: Also der ist manchmal wochenlang weg, wenn ihn irgendeine Idee umtreibt,

00:04:41: schließt sich ein und kommt dann nach drei Wochen wieder, als wäre er nie weg gewesen.

00:04:45: Und bisher hat er damit eben noch nie wirklich die Toleranz eines Arbeitgebers

00:04:50: nicht überfordern können.

00:04:51: Und bei uns hat er jetzt halt irgendwie auch seine Insel gefunden und ist eben

00:04:55: wirklich ein sehr tüchtiger Forscher. Und ich selbst habe noch eine andere Motivation.

00:04:59: Ich habe so ein sehr ausgeprägtes Helfer-Syndrom und tatsächlich die Fähigkeit

00:05:05: mitzuleiden mit Menschen, die dann in solchen Hacker-Angriffen stecken und in

00:05:09: solchen Situationen nicht weiter wissen, das zerreißt mich tatsächlich jedes

00:05:13: Mal und das motiviert mich wirklich sehr.

00:05:14: Dann eben auch diese ganzen präventiven Arbeiten nach vorne zu bringen und da

00:05:18: eben dann auch Diskussionen zu führen.

00:05:20: Und dann arrangieren wir uns eben auch darüber hinaus, sei das eben im Chaos

00:05:24: Computer Club, sei das im IBCRM, bei der CISO Alliance, aber auch große Communities,

00:05:31: sowas wie Black Hat, DEF CON.

00:05:34: B-Side Festivals, die wir begleiten in London, Las Vegas, Washington,

00:05:39: wo auch immer, sich Leute treffen, die eben ähnliche Leidenschaften haben.

00:05:42: Dann versuchen wir eben auch dabei zu sein.

00:05:44: Und ja, dann sind wir natürlich auch stolz mit diesem Wissen aus der Praxis,

00:05:48: aus Pentests, aus Sicherheitsvorfällen, dann

00:05:50: eben auch sowas wie so eine Vorfallexpertenausbildung liefern zu können.

00:05:54: Oder ich bin jetzt auch Lehrbeauftragter noch an der Hochschule in Ansbach für

00:05:59: das Thema Ethical Hacking und

00:06:00: versuche da eben den jungen Menschen zu vermitteln, worum es im Kern geht.

00:06:03: Ja, das ist definitiv auch eine ganz, ganz wichtige Aufgabe.

00:06:07: Erstmal vielen Dank dafür, dass du das so zusammengefasst hast.

00:06:09: Man sieht das auch gerade bei so Veranstaltungen wie Deutschlands bester Hacker,

00:06:14: wo jetzt auch die Frau Plattner vom BSI die Schirmherrschaft übernommen hat,

00:06:19: dass das halt auch ein super wichtiges Thema ist.

00:06:21: Also viele, die ja Hacker hören, die haben ja immer noch diese Kapuzen,

00:06:25: Pulli tragenden Typen bei Oma oder Mama im Keller im Kopf.

00:06:29: Aber Hacken hat ja in dem Sinne einen Ursprung von ich probiere so lange rum,

00:06:34: bis es etwas tut, der Gegenstand oder das System, was es eigentlich nicht tun

00:06:39: sollte, um halt dann nicht unbedingt einen Vorteil rauszuziehen.

00:06:42: Du hattest gerade die LAN-Partys erwähnt.

00:06:44: Das würde man heute Cheaten mit nennen an der Stelle, wenn man es im Wettbewerb

00:06:47: treibt. Aber auch das ist natürlich ein Thema.

00:06:50: Ein Anbieter stellt ein System, was auch immer das ist, zur Verfügung oder auch

00:06:54: ein Gegenstand wie ein Vorhängeschloss und behauptet, das ist sicher.

00:06:57: Und dann kommen halt Leute wie du, die probieren dann so lange rum,

00:07:00: bis sie dann sagen, nee, das ist eben doch nicht sicher.

00:07:02: Also finde ich, gehört auch dazu, dass man hier eine gewisse Transparenz auch

00:07:07: einfach reinbringt, weil sonst muss man halt letzten Endes das glauben,

00:07:10: was einem ein Hersteller oder ein System vermittelt.

00:07:13: Ich habe in, wer mit mir richtig vernetzt ist, in meinem WhatsApp-Profil habe

00:07:17: ich auch so ein schönes Bild drin mit einem UFO, also Akte X mäßig und da steht

00:07:21: halt auch drauf, wer nicht forscht, muss alles glauben. Das ist halt an der Stelle genau der Fall.

00:07:25: Man muss sich da schon mit beschäftigen und Hacken ist jetzt in dem Kontext,

00:07:29: wo du mit deiner Firma unterwegs bist und auch in deinem Netzwerk, ja nichts Böses.

00:07:33: Also ihr tut ja nichts, um Leuten damit letzten Endes zu schaden,

00:07:37: sondern ihr sorgt ja dafür, dass eben Schwachstellen aufgedeckt werden,

00:07:40: weil, das hast du auch vorhin gesagt,

00:07:42: die normalen Menschen, wenn man sie mal so nennen will, halt eben mit dem Einhorn-Sprech

00:07:47: und dem, wie wir uns auch unterhalten, überhaupt nichts anfangen können.

00:07:51: Das merkt man im Bekanntenkreis.

00:07:53: Wir hatten letzten Spieleabend und da waren halt auch zwei Leute dabei,

00:07:56: die auch aus diesem Segment stammen.

00:07:58: Und wenn du mit denen anfängst zu reden, dann steigt der Rest des Tisches relativ

00:08:01: schnell aus, weil du könntest jetzt auch einfach Japanisch oder Russisch sprechen.

00:08:05: Es versteht einfach keiner mehr. Und genau da ist es halt wichtig,

00:08:08: die Schnittstelle zu schaffen, auch in die allgemeine Bevölkerung,

00:08:11: finde ich, um da eben für Transparenz zu sorgen.

00:08:14: Also definitiv ein ganz wichtiger Job. Was bietet ihr denn für Services an?

00:08:19: Was kann ich denn bei Don Luigi beauftragen?

00:08:22: Vielleicht noch kurz der Einstieg, warum fällt es Herstellern häufig so schwer,

00:08:27: Schwachstellen tatsächlich vollumfänglich zu sehen?

00:08:29: Zum einen liegt es daran, weil die Systeme einfach so komplex geworden sind,

00:08:33: dass immer irgendwo versteckte Fehler drinstecken.

00:08:36: Und es nur eine Frage der Zeit ist, bis diese Fehler irgendwie zufällig oder

00:08:40: eben systematisch gefunden werden.

00:08:42: Dann basieren eben auch viele Technologien auf Geheimnissen und wenn diese Geheimnisse

00:08:47: jemand erbeuten kann und das Geheimnis liegt oft nicht in,

00:08:50: sondern auch manchmal neben der Technologie, zum Beispiel im Tresor des Herstellers,

00:08:53: auch dann werden eben Technologien nachträglich unsicher und dann muss jeder,

00:08:58: der diese Technologie vielleicht vor fünf,

00:09:01: sechs, sieben Jahren bei sich eingeführt hat, darüber nachdenken oder müsste

00:09:04: darüber nachdenken, habe ich diese Technologie damals gekauft,

00:09:08: die jetzt unsicher geworden ist und wie wirkt sich das bei mir aus?

00:09:12: Und diese Komplexität, die wollen wir den Leuten einfach abnehmen.

00:09:15: Und dafür ist es eben ganz wichtig, dass wir eben nicht nur konvergent arbeiten,

00:09:19: also nicht nur strukturiert Listen abarbeiten, wie man das dann zum Beispiel

00:09:23: auch in Audits kennt, sondern dass wir eben tatsächlich auch versuchen, divergent zu denken.

00:09:28: Dass wir also versuchen, out of the box, könnte man sagen, mit einem frischen

00:09:33: Geist an diese Dinge heranzugehen und dann eben auch Dinge zu testen,

00:09:38: die der Hersteller nicht im Blick gehabt hat.

00:09:40: Und das ist tatsächlich eine andere Art zu arbeiten.

00:09:43: Und erst die Verbindung aus dem technischen Wissen auf der einen Seite und dieser

00:09:48: Fähigkeit zum out of the box Thinking, das ist das, was tatsächlich dann dazu

00:09:52: führt, dass man viele Schwachstellen auch finden kann oder viele Ausnutzungsszenarien entwickeln kann.

00:09:58: Absolut, absolut, ja.

00:10:17: Genauso wenig beherrschen, wie die Unternehmen, die sagen, wir hatten jetzt

00:10:21: vielleicht gerade irgendeinen Erwachungsmoment und wollen uns dieses Themas annehmen.

00:10:25: Weil beide haben bisher aus dieser Perspektive nicht geguckt,

00:10:28: wer eben in dem Themenfeld neu ist und sich zum Beispiel den IT-Grundschutz

00:10:32: hernimmt und versucht, damit Sicherheit zu schaffen. der arbeitet sich eben durch komplexe Listen.

00:10:37: Wer mit den CIS-Benchmarks arbeitet, der arbeitet sich durch noch viel mehr

00:10:42: Listen, wie man eben Systeme härtet, wie man Maßnahmen vorbereitet,

00:10:46: wie man seine Organisation vorbereiten muss und so weiter.

00:10:48: Aber dabei ist es eben in der Regel gar nicht möglich, alles umzusetzen,

00:10:52: was theoretisch möglich wäre, sondern praktisch ist es immer so,

00:10:56: dass man sich entscheiden muss, was mache ich?

00:10:57: Was sind so diese 20 Prozent, die ich erstmal leisten muss, um 80 Prozent der Angreifer abzuhalten?

00:11:03: Und da versuchen wir eben zu unterstützen und das sowohl durch eben dann Tests,

00:11:07: dass wir konkret zum Beispiel jemand sagt,

00:11:09: wir haben eine neue Firewall, dann gucken wir uns an, ist die Firewall so konfiguriert,

00:11:13: eingehend, ausgehend, dass sie uns ernsthaft auffällt oder aber mit einem Red

00:11:16: Teaming da rein zu gehen, dass jemand sagt,

00:11:18: naja, ich habe meinen Tafelsilber, ich habe meine Kronjuwelen,

00:11:21: die möchte ich geschützt wissen, welche Wege seht ihr.

00:11:25: Also welche Möglichkeiten seht ihr hier eben anzugreifen Und gerade diese Letzteren,

00:11:31: in der Regel sitzen wir da eben einem Verteidigerteam gegenüber.

00:11:34: Wir selbst würden uns dann eben als Red-Teamer definieren. Manchmal sind wir

00:11:39: aber auch nur ergänzend als sogenannte Purple-Teamer.

00:11:42: Also wir sitzen quasi zwischen den Teams und schauen aus der Angreiferperspektive,

00:11:46: was der Verteidiger jetzt noch tun könnte, um eben tatsächlich die Kronjuwelen zu schützen.

00:11:51: Und das ist natürlich viel beweglicher, weil man hier eben nicht nur auf der

00:11:55: Technologie rumreitet oder auf einem bestimmten kleinen,

00:11:58: schmalen Geltungsbereich unterwegs ist, sondern weil man dann eben wirklich

00:12:02: frei wie ein Angreifer in diesem Profitmodell denken darf.

00:12:06: Ja, ich finde, es ist halt auch einfach ein ganz wichtiger Aspekt,

00:12:10: dass wenn man mit automatisierten Werkzeugen rangeht, und das machen ja wir

00:12:14: hauptsächlich bei unseren Kunden,

00:12:16: dass wir eben Schwachstellen-Scannings machen auf die extern erreichbare Infrastruktur

00:12:21: oder auch mal ins Active Directory gehen,

00:12:23: dass wir hier auch mal dem Kunden einfach aufzeigen, pass auf,

00:12:27: du bist zwar von außen ganz gut geschützt von mir aus, aber wenn dann trotzdem

00:12:30: irgendwie mal eine Mail kommt,

00:12:32: wo jemand raufklickt, dann installiert sich irgendwas, weil er zu viel Rechte hat, der Benutzer.

00:12:35: Vielleicht ist er auch der Admin und dann kann sich halt ein Schadcode oder

00:12:38: eine Ransomware oder was auch immer in deinem Active Directory austoben.

00:12:43: Das heißt, von außen bist du gut gesichert, du fährst zwar ein Auto,

00:12:46: das hat Türen, aber du hast keinen Sicherheitsgurt und auch keinen Airbag und

00:12:49: du hast auch keinen Plan, was du tun sollst, wenn es denn mal passiert.

00:12:52: Und da finde ich das immer total wichtig, dass man dann auch am Ende nochmal

00:12:56: jemanden drüber gucken lässt, der halt noch viel tiefer in der Materie drin

00:13:00: ist, weil das können wir selber auch gar nicht leisten. Wir gehen halt wirklich immer

00:13:05: nur in Anführungszeichen ran und sagen, das könnte passieren aus unserer Sicht,

00:13:09: aber wenn wir dann irgendwann mal fertig sind, wenn die Sicherheitsjourney des

00:13:13: Kunden mal soweit gereift ist, empfehle ich jedem Kunden auch immer wieder,

00:13:17: so und jetzt lass es mal bitte ausprobieren, weil ich möchte mich auch nicht

00:13:21: darauf verlassen, dass wir jetzt alles zu 100% richtig gemacht haben.

00:13:24: Haben, vielleicht haben wir mit unseren Werkzeugen auch gar nicht den Blick

00:13:28: auf alle möglichen Schwachstellen, weil das Werkzeug das auch gar nicht hergibt.

00:13:31: Das gibt es immer wieder und ganz richtig, du sagtest gerade,

00:13:35: wo fange ich denn heute an?

00:13:37: Es gibt da ja verschiedenste Modelle, aber das habe ich letztens auch im anderen

00:13:41: Podcast gesagt beim Nico Werner,

00:13:42: wenn du den BSI-Grundschutz jetzt als Vorlage nimmst und sagst,

00:13:45: so jetzt fangen wir mal bei Seite 1 an, gehe ich davon aus, dass du nach Seite

00:13:49: 50 schon überhaupt keine Lust mehr hast, dich damit weiter zu beschäftigen.

00:13:52: Das ist Mal das eine, weil es einfach viel zu viel ist.

00:13:55: Auf der anderen Seite ist es ja auch gar nicht vielleicht der richtige Ansatz,

00:13:59: von oben nach unten sich durchzuarbeiten, sondern vielleicht sollte man sich

00:14:02: erst mal mit den Kronjuwelen beschäftigen.

00:14:05: Wie schütze ich das Wichtigste und das, was am schwierigsten wiederherstellbar ist?

00:14:08: Das, was den größten Impact auch verursacht, wenn jetzt ein Angreifer an diese

00:14:12: Daten kommt oder diese Systeme abschaltet, das ist dann das,

00:14:16: was auch richtig Geld kostet, weil es Umsatzverluste bedeutet.

00:14:19: Weil es auch irgendwelche Konventionalstrafen oder auch irgendwelche von einem

00:14:23: Gericht verhängten Bußgelder nachher bedeutet,

00:14:25: dass man halt wirklich erstmal daran geht oder was wir auch manchmal machen, dass wir sagen,

00:14:30: okay, wir wissen zwar, die Kronjuwelen, die sind nicht so richtig ideal geschützt,

00:14:35: aber lass uns trotzdem erstmal die low-hanging fruits bedienen,

00:14:38: die Systeme, die internet-facing sind, erstmal härten und schärfen,

00:14:42: damit dann eben die Chance,

00:14:44: dass was passiert, kleiner ist. Also da gibt es ja verschiedenste Ansätze.

00:14:47: Aber um es dann wirklich zu prüfen, da braucht man halt dann eben Leute wie

00:14:52: euch, die wirklich ausprobieren, wie weit kommt man denn dann tatsächlich.

00:14:56: Und das ist meiner Meinung nach in dem Prozess einer Systemhärtung und auch

00:15:00: einer Vorbereitung auf einen möglichen

00:15:02: Vorfall tatsächlich schon noch eine notwendige Maßnahme an der Stelle.

00:15:07: Also sehr interessant zu sehen, wie sich dieses Spiel entwickelt.

00:15:11: In den letzten Jahren einerseits geändert hat und doch bestimmte Grundmechanismen

00:15:15: immer gleich geblieben sind.

00:15:17: Sei es eben dieses Prinzip, wenn man eben mit so einem Thema beginnt,

00:15:20: dass man meistens von außen nach innen erstmal durchhärtet.

00:15:23: Und das ist nichts anderes, als wenn ich hier morgens das Frühstücksei mache.

00:15:28: Das wird auch erst von außen, beziehungsweise bringt ja schon eine gewisse Härtung mit.

00:15:31: Sonst wäre das Ganze flüssig und so kommt es halt quasi im Ei geliefert.

00:15:35: Und dadurch, dass es quasi auf der richtigen Temperatur gekocht wird oder dass

00:15:39: es eben zum Kochen gebracht wird, wird es dann eben nach und nach hart.

00:15:42: Und wenn ich ein Ei vernünftig lang genug durchgehärtet habe,

00:15:45: dann ist irgendwann auch egal, ob jemand die Hülle ansticht,

00:15:48: da läuft nichts mehr aus.

00:15:49: Und das ist ein schönes Bild eigentlich

00:15:52: für das, was wir mit Informationsverbunden quasi schaffen müssen.

00:15:55: Also die Hürden auf dem Weg zum Dotter entsprechend höher hängen.

00:15:59: Und hier ist es so, wenn wir beim strukturierten Vorgehen, also ich mache eine

00:16:04: Strukturanalyse, ich mache meine Schutzbedarffeststellung und dann gucke ich,

00:16:08: was ist wichtig. Selbst da gibt es ja unterschiedliche Schwerpunkte.

00:16:11: Also der IT-Grundschutz geht das Thema ja auch ganz anders an,

00:16:14: als zum Beispiel die ISO 27000-Welt es betrachtet mit diesem risikobasierten Fokus.

00:16:19: Und deshalb ist es eben auch beim BSI so, dass die irgendwann gesagt haben,

00:16:24: naja, dann versuchen wir erstmal verschiedene Modelle, sowas wie eine Basisabsicherung,

00:16:28: was quasi der äußere Ring ist, oder sowas wie eine Kernabsicherung,

00:16:32: das Konzentrieren auf die Kronjuwelen, auf die Dinge, die richtig wehtun und

00:16:37: die eben nicht in Angreiferhände fallen dürfen.

00:16:40: Und bevor wir eben mit so einem allgemeinen Informationsverbund-weiten System starten.

00:16:45: Was wir wie gesagt dabei versuchen, ist eben zu prüfen, aus diesem anderen Blick

00:16:50: heraus zu prüfen, aus diesem divergenten Blick außerhalb der Checkliste zu prüfen,

00:16:55: wo ist eben eine Verknüpfung von kleinen Stellen,

00:16:59: von kleinen weichen Stellen möglich, um eben doch tiefer vorzugehen und hier

00:17:03: ist es tatsächlich ganz viel Wissen um Technik, praktische Erfahrung,

00:17:07: was funktioniert und man muss eben auch sagen.

00:17:10: Häufig haben wir in solchen Tests so das Gefühl, dass man testen will,

00:17:14: ob wir wirklich Tester sind.

00:17:16: Also ja, weil manchmal wird es einem doch so einfach gemacht.

00:17:20: Es gibt immer noch Systeme in hochkritischen Informationsverbunden,

00:17:24: die teilweise sich lokale Administratoren mit sechsstelligen Kennwörtern und

00:17:28: solche Sachen, wo man dann eben auch glaubt, warum habt ihr euch nicht vorbereitet?

00:17:32: Also warum seid ihr quasi hier mit einem Messer zur Schießerei gekommen?

00:17:35: Und unsere Aufgabe ist es natürlich, sowas abzuarbeiten. Und hier dann einmal

00:17:40: aufzuzeigen, was für Tests haben wir durchgeführt, welche dieser Tests haben uns weitergebracht,

00:17:47: welche dieser Tests sind fehlgeschlagen, was waren Sackgassen,

00:17:50: wo wir nicht weitergekommen sind.

00:17:52: Auch das zu zeigen, ist ja wertvoll, um zu verstehen, ob die eigenen Maßnahmen gut funktionieren.

00:17:57: Aber dann eben auch die detektiven Fähigkeiten mit zu testen bei so einem Pentest.

00:18:02: Also wir bieten zum Beispiel Kunden an, dass wir nach jedem Schritt,

00:18:06: den wir gehen, einmal reporten, was wir gemacht haben.

00:18:09: Wenn sie von sich aus quasi nicht responden, wenn sie von sich aus nicht reagieren

00:18:13: und sagen, wart ihr das jetzt gerade? Dann melden wir quasi und sagen,

00:18:16: hey, wir haben da gerade was gemacht.

00:18:18: Hat eure Managed Detection das gesehen? Habt ihr gemerkt,

00:18:22: dass wir gerade zum Beispiel die Berechtigung in eurem Active Directory ausgelesen

00:18:26: haben oder dass wir auf einen Rechner gesprungen sind und dort die Berechtigung

00:18:30: eines höherwertigen Benutzers erbeuten konnten oder dass wir euer Netzwerk gerade

00:18:34: abschnüffeln und da dann eben Zertifikate oder Systeme gefunden haben?

00:18:38: Seht ihr das eigentlich?

00:19:08: Oder wenn der autorisierte Bediener ausgetauscht wird durch einen bösartigen

00:19:13: Angreifer oder aus irgendeinem Grund vielleicht einer der autorisierten Bediener

00:19:17: selbst zum bösartigen Angreifer mutiert.

00:19:19: Das sind ja alles Möglichkeiten, die bestehen und hier ist es in der Regel eben

00:19:23: wirklich diese Verquickung aus präventiven und detektiven Fähigkeiten,

00:19:27: die eben dann die Reaktionsfähigkeit herstellt und das eben auf dieser großen Oberfläche.

00:19:32: Und deshalb ist uns eben nicht nur wichtig zu gucken, wo wir die präventiven

00:19:35: Maßnahmen durchknacken können, sondern auch, ob unser Auftraggeber in der Lage

00:19:41: wäre, uns jetzt eben quasi zu identifizieren, zu isolieren und dann auch wieder rauszuwerfen.

00:19:47: Ja, eine weitere ganz wichtige Geschichte, die ja da auch noch eine Rolle spielt,

00:19:51: du hast gerade gesagt schon, vielleicht ist es ja auch der Mitarbeiter,

00:19:55: der sauer ist aufs Unternehmen und deswegen jetzt anfängt Schaden zu verursachen.

00:19:59: Eine weitere wichtige Geschichte und die vernachlässigen, glaube ich,

00:20:02: auch sehr viele Kunden, ist natürlich auch das, wie kommt denn der Angreifer rein?

00:20:07: Wir reden hier meistens über irgendwelche technischen Schwachstellen,

00:20:09: wo automatisierte Angriffe von irgendwelchen Botnetzen oder wem auch immer halt

00:20:15: ausgeführt werden. Das sind aber dann halt häufig auch Zufallstreffer.

00:20:19: Wenn man mal guckt, wie viele Exchange-Server zum Beispiel noch direkt im Netz

00:20:22: stehen, ungepatcht mit einem uralten Softwarestand. Das ist aber nur die eine Seite.

00:20:26: Gerade auch bei Unternehmen, die ja auch der Meinung sind, sie haben eine physikalische

00:20:30: Perimetersicherheit durch Zutrittskontrollen.

00:20:33: Sie glauben, wenn man einen Mitarbeiterausweis oder einen Besucherausweis den

00:20:37: Leuten aushändigt und da läuft jetzt jemand rum, der keinen Ausweis hat,

00:20:41: dann werden schon meine Mitarbeiter dafür sorgen, den anzusprechen.

00:20:43: Aber in der Praxis sieht es halt häufig einfach ganz anders aus.

00:20:47: Und da habe ich an der Stelle auch immer wieder die Leseempfehlung,

00:20:51: eigentlich jedes Buch von Kevin Mitnick sich mal vorzunehmen.

00:20:55: Die gibt es sowohl auf Deutsch als auch auf Englisch. Das Einzige,

00:20:58: was es nicht auf Englisch gibt, ist Ghost

00:20:59: in the Wires, wo er seine eigene Lebensgeschichte ja nochmal erzählt.

00:21:01: Aber die Kunst des Angriffs, die Kunst der Täuschung, diese Bücher,

00:21:05: die sollte man wirklich mal gelesen haben,

00:21:08: weil ich bin mir relativ sicher und ich gehe davon aus, das wirst du mir auch

00:21:12: bestätigen, die theoretischen Maßnahmen mit einem Zettel an der Tür,

00:21:16: jeder muss sich einzeln auf der Tür anmelden, damit er durchgeht.

00:21:20: Und das funktioniert halt in der Praxis sehr häufig nicht.

00:21:23: Und auch dieses Glauben an Uniformen, dieses Glauben an ein offizielles Auftreten,

00:21:29: da nehme ich immer so das Beispiel,

00:21:30: zieh dir einfach eine gelbe Weste an und geh mal auf die Laderampe von irgendeinem

00:21:33: Möbelhaus und guck mal, wie lang es dauert, wenn du da mit Helm und Weste und

00:21:37: Klemmbrett unterm Arm rumläufst, ob dich überhaupt jemand anspricht oder ob

00:21:41: du da nicht hinten eine komplette Couchgarnitur in deinen Sprinter laden kannst.

00:21:44: Das ist halt einfach, ja, die Leute sind halt auch zu sehr in ihrem eigenen

00:21:49: kleinen Mikrokosmos gefangen und diese Situation, dass das passieren kann,

00:21:54: die haben die auch gar nicht auf dem Radar recht häufig.

00:21:56: Also das Bewusstsein, wir sprechen eben hier gern von Survivorship Bias,

00:22:01: also das nennt sich Überlebensirrtum, ist die Konfrontation mit Ereignissen,

00:22:06: die man so noch nicht wahrgenommen hat,

00:22:08: beziehungsweise Ereignisse, die man eben überproportional warnen,

00:22:11: weil sie an einen herangetragen werden und dabei relevante Ereignisse übersieht.

00:22:15: Und ich selbst habe einige Dutzend gute Ausweise.

00:22:19: Das sind Mitarbeiterausweise, Besucherausweise, die so im Laufe der Jahre zusammengekommen sind.

00:22:24: Eine der wesentlichen Themen, wenn man versucht, an Daten ranzukommen,

00:22:28: ist zu verstehen, dass man drei Hürden überwinden muss. Das ist einmal die Zutrittskontrolle,

00:22:34: das ist die Zugangskontrolle und die Zugriffskontrolle.

00:22:37: Und das Thema Zutritt lässt sich gerade seit Corona,

00:22:41: seit der digitalisierten Welt kaum noch sicher beherrschen, weil einfach dieser

00:22:46: physische Perimeter, davon abgesehen, dass auch in unseren Tests der physische

00:22:50: Perimeter noch nie wirklich gehalten hat.

00:22:53: Also wir haben wirklich schon Tests gemacht bei hochkritischen Infrastrukturen

00:22:56: mit meterhohen Sicherheitszäunen, mit vielen Kameras, mit Schranken und Vereinzelungsanlagen.

00:23:03: Und trotzdem gibt es immer irgendwie eine Möglichkeit und zwar keine langfristige Möglichkeit.

00:23:08: Ich bin niemand, der wirklich solche Erkundungen über Wochen betreibt,

00:23:12: sondern ich nehme mir wirklich nie mehr als maximal einen Tag Zeit zu erarbeiten,

00:23:17: wie man irgendwo reinkommt, weil einfach auch noch nie mehr nötig war.

00:23:20: Und die Kunst dessen, was wir tun, ist dann eher dafür zu sorgen,

00:23:24: gerade wenn ich eben Menschen mit in Tests involviere, wie kann ich zukünftig

00:23:29: dafür sorgen, dass meine Human Firewall besser wird.

00:23:32: Nur zu zeigen, was nicht funktioniert, ist in der Regel ein deprimierendes Erlebnis.

00:23:37: Und deshalb bin ich irgendwann dazu übergegangen, auch aufbauende Erlebnisse

00:23:42: in solche Tests zu integrieren.

00:23:44: Also wenn ich seit einer Dreiviertelstunde in verbotenen Bereichen herumschleiche.

00:23:48: Dann erhöhe ich einfach meinen Dreistigkeitslevel so lange, bis dann doch irgendwann

00:23:52: mich jemand anspricht und sagt, wer sind Sie, was machen Sie hier?

00:23:56: Und dann könnte ich mir natürlich versuchen, mich rauszureden mit der Geschichte,

00:24:00: mit dem Pretext, den ich vorbereitet habe.

00:24:02: Stattdessen nehme ich mir die Person dann aber zur Seite und sage,

00:24:05: hey, super, Sie sind der Erste, der mich hier anspricht. Sie haben es geschafft.

00:24:08: Sie sind das Vorbild quasi hier für alle anderen. Und so ist dann,

00:24:11: wenn dieser Test hinterher in Awareness-Maßnahmen ausgegliedert wird,

00:24:15: weil das passiert wirklich jedes Mal.

00:24:17: Wenn wir irgendwo reinkamen, wenn wir irgendwo solche Tests durchgeführt haben,

00:24:21: ist das in der Regel immer ein sehr lehrreiches Erlebnis.

00:24:24: Es ist uns auch wichtig, dass ein Pentest nicht mit dem Bericht beendet ist,

00:24:27: sondern dass diese Lessons learned, Briefing, das ist die entscheidende Phase,

00:24:31: wo die Verbesserung kommt.

00:24:32: Und da kann es eben sein, dass hinterher Vereinzelungsanlagen eingeführt werden,

00:24:36: neue Zutrittssysteme eingeführt werden, man eben die Zugangssicherheit erhöht,

00:24:41: dass eben die Systeme zukünftig nicht nur mit Benutzername Kennwort,

00:24:44: sondern eben mit einem echten zweiten Faktor wie einem FIDO2-Key oder ähnlichen

00:24:49: Dingen zugänglich gemacht werden.

00:24:50: Das sind so diese Maßnahmen, die hinten rauskommen.

00:24:53: Aber gerade bei dem Thema menschliche Verbesserung, also wie verbessere ich

00:24:56: das menschliche Schutzschild meines Unternehmens, da ist es eben wichtig,

00:25:00: auch mit Vorbildern zu arbeiten.

00:25:01: Und dann ist es eben gut, dass der eine Mitarbeiter, der einen anspricht,

00:25:05: dann eben durchaus belohnt wird für sein Arrangement, um eben hier auch den

00:25:09: anderen ein gutes Vorbild sein zu können.

00:25:11: Und auch den Skeptikern, die sagen, naja, der Ortmann, das ist ja so ein Profi,

00:25:14: der macht das seit Jahren, den kann ja gar keiner entdecken.

00:25:17: Doch der eine, der Kollege da, der hat mich entdeckt.

00:25:20: Naja, klar. Man muss natürlich gar nicht so weit gehen, habe ich auch schon ganz oft erlebt.

00:25:25: Ich meine, klar, das ist natürlich der ideale Ansatz, wenn man es dann wirklich

00:25:28: mal am lebenden Objekt ausprobiert.

00:25:30: Aber was wir auch schon gelernt haben, was ganz häufig hilft,

00:25:33: sind einfach auch Tabletop-Übungen. Dass man wirklich hergeht und mit den Leuten

00:25:37: eine Situation schafft und sagt, okay, wir gehen jetzt davon aus,

00:25:41: jetzt ist der Strom ausgefallen. Man muss ja gar kein Angriff sein.

00:25:44: Es kann ja auch ein Vorfall, vielmehr, nein, das darf ich ja nicht sagen,

00:25:47: es ist ja kein Vorfall, sondern eine Störung. Wir wollen im BSI-Sprechbleiben.

00:25:51: Wenn es eine Störung ist, was tun wir jetzt? So, und dann einfach diese Frage

00:25:56: in den Raum zu stellen und dann die Leute erst mal überlegen zu lassen,

00:25:59: wie würde ich denn vorgehen?

00:26:00: Und da prüft man natürlich dann auch relativ schnell ab, gibt es denn überhaupt ein Konzept?

00:26:05: Wo würde das denn stehen, wenn die Person jetzt gar nicht da ist,

00:26:08: die mir die Antwort gegeben hat?

00:26:09: Gibt es da noch eine Möglichkeit für einen zweiten, dritten,

00:26:12: für den Geschäftsführer oder andere Menschen, diese Entscheidungskette überhaupt

00:26:16: jetzt irgendwo sich zu besorgen?

00:26:19: Ja, das liegt als Word-Dokument auf unserem File-Server. Ja,

00:26:22: der funktioniert jetzt aber gerade nicht, weil du hast keinen Strom und die USV ist auch schon alle.

00:26:26: Also nächste Frage, wie kriege ich die Informationen sonst noch her?

00:26:29: Und so baut man halt einfach darauf auf, weil man einfach diese Fragen stellt,

00:26:34: die eben, und das hast du ja gerade vorhin auch schon erwähnt,

00:26:37: dieser Irrglaube, man weiß schon, wie es geht.

00:26:40: So, ich bin jetzt mit meinem Flugzeug abgestürzt, so lostmäßig und ich weiß

00:26:44: schon, wie das geht. Das wird schon passen.

00:26:46: Ich habe ja Castaway gesehen und hoffentlich gibt es irgendwo einen Handball,

00:26:50: dann habe ich schon mal einen Gefährten, so auf die Art, aber in der Praxis

00:26:54: sieht es halt komplett anders aus und diese Situations-Awareness,

00:26:57: die ist natürlich ein ganz wichtiges Element auch dann eben in der Nachbearbeitung

00:27:02: oder auch, wenn man es jetzt grundsätzlich auf dem Schreibtisch vorbereitet.

00:27:05: Und ja, das große Problem, was ich halt immer merke, gerade in unseren Kundensegmenten,

00:27:11: wo wir unterwegs sind, es existiert ganz häufig halt einfach eine Hilflosigkeit,

00:27:16: weil es halt einfach auf den ersten Blick viel zu viel ist, was man tun müsste.

00:27:20: Das weiß man irgendwie im Hinterkopf auch schon.

00:27:22: Aber der innere Schweinehund hindert einen dann auch daran, da wirklich mal jetzt loszulegen.

00:27:27: Auf der anderen Seite ist natürlich auch immer die Angst davor,

00:27:30: dass das alles exorbitant teuer wird. Und ja, da höre ich dann immer einen meiner

00:27:35: alten Chefs, wie viele Gegenstände kann ich dadurch mehr verkaufen?

00:27:39: Was bringt mir das denn an Umsatz nachher?

00:27:41: Weil meistens ist es ja so, dass man als Entscheider gerne hätte,

00:27:45: dass die IT kommt und sagt, wir machen jetzt das und dann steigern wir unsere

00:27:49: Performance um so und so viele Prozentpunkte.

00:27:51: Aber man muss, glaube ich, an der Stelle auch mal vermitteln,

00:27:54: es geht hier eigentlich eher um präventive Schadensbegrenzung in einer theoretischen

00:27:59: Übung, um dann eben schneller reagieren zu können.

00:28:02: Aber das ist halt einfach auch für die Admins und IT-Entscheider häufig ein

00:28:06: sehr, sehr schwieriges Thema.

00:28:07: Wie erlebst du das denn bei dir in deinen Tests oder bei deinen Kunden?

00:28:11: Also sehr häufig ist es so, dass gar nicht das Budget für die Verbesserung in

00:28:16: Frage gestellt wird oder die große Rolle spielt, sondern dass tatsächlich das

00:28:21: quasi das, was wie der Teufel das Weihwasser gefürchtet wird,

00:28:24: ist Prozesse verändern zu müssen.

00:28:25: Weil man immer fürchtet, damit ein Stück weit die Mitarbeiter zu verärgern,

00:28:29: Prozesse ineffizienter zu machen, also das Geschäftsmodell durch neue Sicherheitsmaßnahmen

00:28:34: aus der Wettbewerbsfähigkeit ein Stück weit zu nehmen oder aus der Beweglichkeit nehmen zu können.

00:28:39: Das sind eher die Dinge, die tatsächlich wehtun. Und da ist natürlich so,

00:28:43: dass ein Startup, das barfuß oder Lackschuh, bar jeder Sicherheitsmaßnahme erstmal

00:28:47: versucht, sich am Markt zu etablieren, einen riesen Vorteil hat,

00:28:50: weil es faktisch ja erstmal nichts zu verlieren gibt.

00:28:53: Das ändert sich aber in dem Augenblick, wo man eben die ersten Gewinne gemacht

00:28:56: hat, wo man die ersten Fründe sichern möchte und dann eben feststellt,

00:29:00: okay, jetzt sind wir an dem Punkt, wo wir eben bestimmten Protektionismus auch anfahren müssen.

00:29:05: Und dann alles umzubauen, dann eben alles mit Regelwerken zu versehen,

00:29:10: mit Kontrollmechanismen zu versehen, die dann notwendig werden,

00:29:13: das ist das, was eben eher die großen Diskussionen dann anschließend verursacht.

00:29:17: Aber deshalb ist eben der Test ein Stück weit schöner als das Audit.

00:29:20: Im Audit versucht man immer quasi Maßnahmen auf das notwendige Minimum zu beschränken.

00:29:25: In Tests merkt man, wie sehr diese Strategie dann eben funktioniert hat oder

00:29:30: eben auch nicht funktioniert hat und dann geht es eben eher darum zu gucken,

00:29:35: was sind die Dinge, die uns wichtig

00:29:37: genug sind, um eben auch unbequeme Veränderungen dafür in Kauf zu nehmen.

00:29:41: Das glaube ich tatsächlich auch. Was halt doch dann sehr häufig einfach das

00:29:46: Thema Prozessveränderung angeht, weil du es gerade ansprichst,

00:29:49: ist dann auch eben die Situation, dass wir dann auch natürlich damit konfrontiert

00:29:53: werden, dass Kunden sagen,

00:29:54: ja, ja, das passt schon alles, mach ruhig weiter.

00:29:56: Aber ich sage halt, wenn wir es nicht vorher durchgeplant haben und strukturiert

00:30:00: haben, dann fangen wir eigentlich gar nicht erst an, weil wir sehen das ja schon

00:30:03: aufgrund der Erfahrungen, dass das in eine Katastrophe ausufern kann.

00:30:07: Und lieber sage ich dann, du lieber Kunde, dann geh bitte zu jemandem, der das für dich macht.

00:30:12: Es gibt immer einen, der es billiger macht oder der es jetzt sofort kann,

00:30:16: obwohl bei uns erst mal Planung und Prävention eine Rolle spielt.

00:30:19: Und dann geh woanders hin, aber wir machen dir das nicht. Nur um jetzt des Geldes

00:30:23: wegen sehenden Auges eine Katastrophe heraufzubeschwören, das macht keinen Sinn

00:30:27: und das hat auch was mit Ethik zu tun.

00:30:29: Leider gibt es halt in unserem Markt sehr viele Anbieter und Menschen,

00:30:33: die halt sagen, du musst dies und das kaufen und dann bist du sicher.

00:30:37: Und dieses Mindset wird halt gerade bei den Geschäftsführern natürlich sehr gerne angenommen.

00:30:41: Ja, es ist tatsächlich verrückt, wie sehr,

00:30:45: also wir hatten so in den 2000ern damals, hatten wir so eine Bubble,

00:30:50: wo viele Menschen, die damals in einer schwierigen Jobsituation waren,

00:30:54: umgeschult wurden auf Webdesigner und Grafikdesigner und danach hatten wir irgendwie

00:30:58: eine Welt voller Webdesigner und Grafikdesigner.

00:31:00: Und dasselbe habe ich ein bisschen das Gefühl passiert gerade in der Informationssicherheit.

00:31:04: Wir haben gerade unglaublich viele Menschen, die quasi so eine Notschulung auf

00:31:08: das Thema bekommen haben und danach selbst auch teilweise sehr überzeugend missionierend

00:31:13: durch die Welt gehen, wo es aber relativ wenig Substanz gibt.

00:31:16: Ich lehne das gar nicht ab, weil man wird ja nicht mit Erfahrung geboren. Die muss man machen.

00:31:21: Ich finde nur wichtig, dass man dann die Teams entsprechend zusammenstellt,

00:31:25: dass man eben auch wirklich hier quasi die neuen Besen und die erfahrenen alten

00:31:30: Hasen quasi in den Teams richtig miteinander portioniert,

00:31:33: um eben quasi dieses tiefen Wissen zu verbinden mit modernen Methoden und mit

00:31:38: dem neuesten Stand, der eben da draußen auch vermittelt wird.

00:31:41: Ich finde immer schwierig, wenn so ein rein verkopfter Ansatz versucht wird,

00:31:45: im Bereich Informationssicherheit umzusetzen.

00:31:48: Genauso wenig, wie eben so eine Hemdsärmeligkeit mit 90er-Wissen besonders zielführend

00:31:53: ist für sich alleine, sondern es ist tatsächlich meistens die Mischung derer,

00:31:56: denen man sich da anvertrauen kann. Das bringt mich direkt zur nächsten Frage.

00:32:00: Wenn jetzt jemand, der unseren Podcast hört, sich denkt, Mensch,

00:32:04: das klingt eigentlich ja alles total cool und irgendwie hätte ich da auch Bock

00:32:07: drauf, in dem Bereich IT Security mehr zu machen.

00:32:11: Ich möchte Security-Profi oder Pentester oder whatever gerne werden.

00:32:15: Was kannst du denn da empfehlen? Was wäre denn ein erster Ansatz,

00:32:19: um in dem Bereich Fuß zu fassen?

00:32:21: Also wir führen tatsächlich auch für mehrere Institute Basisschulungen durch.

00:32:26: Bei Q-Skills ist es eben unsere Cyber Security Foundation Schulung,

00:32:29: die eben erstmal so ein Ground Level geben soll.

00:32:32: Das ist tatsächlich gedacht, noch nicht mal unbedingt für angehende Security

00:32:36: Professionals, sondern eben überhaupt für jeden, der das Thema Informationssicherheit

00:32:41: bei sich selber verständlich haben möchte.

00:32:42: Wo wir dann wirklich in zwei Tagen mal so um diesen Planeten Informationssicherheit

00:32:46: rumfliegen und uns die verschiedenen Themenbereiche wirklich so aus 10.000 Meter

00:32:50: Höhe mit 800 kmh angucken.

00:32:52: Um erstmal diese Welt zu verstehen und um erstmal so ein bisschen die weißen

00:32:56: Flecken kleiner zu machen, die man eben noch nie gedacht hat in dem Bereich.

00:33:00: Weil das ein gewisses holistisches Verständnis von diesem gesamten Themenbereich

00:33:04: gibt, der sonst ja vom Weiten unglaublich komplex und ereignisreich ist.

00:33:08: Auch zu verstehen, dass die Angreifer, die da draußen sind, auch nur Menschen

00:33:12: sind und auch nur mit Wasser kochen.

00:33:14: Dafür helfen dann eben auch mal durchaus einen Hacking-Kurs zu besuchen und

00:33:18: eben nicht nur den ISO-Implementer-Kurs, sondern auch mal quasi aus der anderen

00:33:22: Seite zu gucken, wie funktionieren diese Methoden.

00:33:24: Was heißt eigentlich Frusttoleranz beim Versuch, in Unternehmensverbunde einzudringen und ähnliche Themen?

00:33:30: Und dann natürlich auch ein bisschen zu gucken, in welchem Bereich ist so mein

00:33:34: Steckenpferd? Was ist das, was ich tatsächlich können möchte?

00:33:36: Und wie weit soll das hier gehen, was ich haben möchte?

00:33:39: Und wer natürlich irgendwie Feuer und Flamme ist, grundsätzlich empfehle ich

00:33:43: jede Informationssicherheitstechnische Ausbildung,

00:33:45: um gewisse Hackerskills dann eben auch zu erweitern, um eben diese Perspektive,

00:33:50: selbst wenn man diese Tests nicht selber durchführt, aber nachvollziehen zu können.

00:33:54: Ja, wir haben sehr häufig, dass das, was in den Reports von Pentests steht,

00:33:58: also wir werden häufig beauftragt bei Unternehmen, die haben schon Dutzende

00:34:00: Pentests durchgeführt oder auch entsprechende Red-Teamings gemacht oder gegen sich laufen lassen.

00:34:07: Aber was hier eben häufig hinterher nicht passiert, das ist,

00:34:10: dass man mehr gemacht hat, als die Management-Summary zu lesen und das Ganze abzuheften.

00:34:13: Also dass quasi dieselben Testversuche zwei Jahre später zu den gleichen Findings

00:34:20: führen, das ist eigentlich der Teil,

00:34:22: an den glaube ich viele ran müssen und deshalb hilft es eben den Verantwortlichen,

00:34:26: den übergeordneten Verantwortlichen für das Thema Informationssicherheit und

00:34:29: das beginnt auf der Management-Ebene, da wo eben der CIO zum Beispiel wirkt,

00:34:33: so ein Grundverständnis dafür zu kriegen,

00:34:35: was ist eigentlich die Gefährlichkeit und was ist das Ausnutzungspotenzial,

00:34:38: das wir hier individuell für uns kleiner kriegen müssen.

00:34:42: Ja, absolut. Was ich persönlich da noch mit hinzufügen möchte,

00:34:46: sind so Plattformen wie Hack the Box oder Try Hack Me, wo man einfach auch sehr

00:34:50: schön an der Hand genommen wird, um einfach sich da mal vorsichtig ranzutasten.

00:34:55: Man kriegt auch ein gutes Grundverständnis vermittelt, wenn man jetzt überhaupt

00:34:58: zum Beispiel noch gar nichts mit einer Shell irgendwie in seinem Leben mal zu

00:35:01: tun hatte. Was ist denn das eigentlich?

00:35:03: Wie funktioniert die Bash? Wie funktioniert PowerShell?

00:35:06: Wie benutze ich das denn jetzt für mich? Und das finde ich tatsächlich auch

00:35:10: immer einen sehr schönen Ansatz.

00:35:11: Es gibt dann auch immer schöne Badges, die man sich dann irgendwo rankleben

00:35:14: kann, um zu zeigen, dass man sich dort entwickelt hat in dem Bereich.

00:35:17: Und das ist auch eine ganz coole Geschichte. Ja, natürlich auch,

00:35:21: um es einfach nochmal zu sagen, Deutschlands bester Hacker, gerade wenn jetzt

00:35:23: jemand sagt, ich glaube, ich kann schon was, ist das, glaube ich,

00:35:26: auch ein ziemlich cooles, kompetitives Modell, wo man mal gucken kann,

00:35:30: wo stehe ich denn eigentlich,

00:35:31: um im Wettbewerb gegen andere mal wirklich auch legal so Capture-the-Flag-Szenarien durchzuführen.

00:35:37: Und ja, wer noch weitergehen möchte, der könnte zum Beispiel die Offensive Security

00:35:41: Professional Ausbildung anfangen, wobei die ist bärig.

00:35:44: Also ich habe sie selber schon mal durchgezogen und ich finde,

00:35:48: das ist dann schon, das kann einem fast dann schon den Spaß nehmen,

00:35:51: weil es halt wirklich brutal schwer wird.

00:35:53: Also der Schwierigkeitsgrad gerade eben in dem Bereich, naja,

00:35:56: Sie sagen ja auch immer, try harder, wenn es auf die Nase gefallen ist,

00:35:59: dann mach es einfach nochmal.

00:36:00: Aber das braucht schon eine Menge Enthusiasmus. Aber es gibt Möglichkeiten auf

00:36:04: jeden Fall. Also grundsätzlich TrackMe bietet eben auch kostenfrei bereits Einstiegsmöglichkeit

00:36:10: legal, sich da mal auszuprobieren. Es gibt viele andere Möglichkeiten.

00:36:13: Also wer das wissen will, darf gerne auf dich zukommen. Ich liefere dir gerne

00:36:16: mal so eine Liste mit verschiedenen Empfehlungen, wo man eben kostenfrei in

00:36:19: verschiedene, sei das eben überhaupt dieses Verständnis, wie kann ich zum Beispiel

00:36:24: nur mit Python bestimmte Abfragen provozieren, die mich dann weiterbringen.

00:36:28: Da gibt es so ein cooles Testmodell, wo man eben wirklich quasi durch 30 Level

00:36:32: sich arbeiten kann und selbst gute Securities steigen meistens bei Level 16,

00:36:37: 17 nachher aus, weil es dann doch komplex wird.

00:36:39: Man erbeutet quasi in jedem Level den Schlüssel, um ins nächste Level zu kommen

00:36:44: und das eben wirklich gleichzeitig so ein kleiner Python-Trainingskurs in Verbindung

00:36:49: eben mit diesem out-of-the-box denkenden Ansatz.

00:36:51: Solche Spielchen, da gibt es einige von, die eben tatsächlich kostenfrei und gut funktionieren.

00:36:56: Das, was Offensive Security da anbietet mit dem OSCP, ist natürlich ein Titel,

00:37:01: der zeigt, dass jemand in den Maßgaben von Offensive Security das Thema versteht

00:37:06: und Offensive hat da viel drauf.

00:37:07: Offensive Security betreibt ja zum Beispiel auch die Exploity Bee,

00:37:11: eine Schwachstellendatenbank, die wirklich hochaktuell gute Beschreibungen liefert,

00:37:16: wie Schwachstellen ausnutzbar sind.

00:37:18: Offensive Security baut das Kali Linux System, um eben hier mit vielen Tools,

00:37:23: die hier liebevoll eingearbeitet werden in dieses spezielle Linux-Format,

00:37:28: eben um dann angreifen, verteidigen, was auch immer zu können.

00:37:31: Jetzt ist aber natürlich auch Offensive viel mit den eigenen Tools und da sind

00:37:35: sie zu Recht stolz drauf, auch verhangen, wenn sie da einen Titel dranhängen wollen.

00:37:38: Und Try Harder, wir machen das gern.

00:37:41: Also wir haben zum Beispiel zwei unserer Jungs haben letzten Sommer die Zertifizierung

00:37:45: zum Black Hat Certified Pentester gemacht.

00:37:48: Das ist eine Prüfung, die quasi wie Zeitschach, wo man wirklich nur acht Stunden Zeit hat.

00:37:53: Vier Stunden Webhacking, vier Stunden Netzwerkhacking, um wirklich Aufgaben

00:37:57: zu lösen, wo man eben zum Beispiel bei Offensive Security deutlich größere Zeitrahmen,

00:38:02: also eine Aufgabe, die normalerweise so mit ein bis zwei Stunden einbepreist ist,

00:38:07: muss hier in 20 Minuten gelöst werden, sonst hat man keine Chance,

00:38:10: hier so ein Badge am Ende zu erbeuten.

00:38:12: Das ist schon richtig, richtig, also wir mögen harte Herausforderungen in dem

00:38:17: Bereich grundsätzlich,

00:38:18: weil wir dem auch spielerisch natürlich ein Stück weit gegenüberstehen und ob

00:38:22: jetzt da so ein Zettel an der Wand klebt oder nicht, da geht für uns die Welt nicht unter,

00:38:26: es versucht zu haben und hier einzusteigen und am Ende dann eben vielleicht

00:38:30: auch erst im zweiten Versuch durch so eine Prüfung zu kommen,

00:38:32: das ist für uns auch völlig fein.

00:38:34: Aber dieses Grundverständnis erstmal zu entwickeln dafür, was eben Ausnutzung ist.

00:38:40: Und das ist eben kein ganz technisches Thema, sondern das ist eben auch ganz

00:38:44: viel auf der prozessualen Ebene, dass man eben Prozessverschränkungen denkt.

00:38:48: Und da gibt es ein paar schöne Einsteigeraufgaben. Wie gesagt,

00:38:51: ich liefere die gern an und dann gern zur Weitergabe.

00:38:55: Unbedingt. Würde ich sogar tatsächlich dann auch hinten unten dann in den Shownotes

00:39:00: mal deine Kontaktdaten, wenn das okay ist, mit reinschmeißen,

00:39:03: damit man sich auch an dich wenden kann.

00:39:05: Weil vielleicht sagt ja jetzt auch der eine oder andere Hörer oder Hörerin,

00:39:09: Mensch, das ist echt cool und ich glaube, wir müssen uns da auch mal prüfen

00:39:12: lassen. Wie gesagt, wir gehen auch gerne miteinander zu euch.

00:39:16: Also wenn ihr jetzt Kunde der Pegasus seid, dann nehmen wir auch gerne den Donald mal mit.

00:39:20: Also da sind wir natürlich komplett offen.

00:39:23: Andere Frage an der Stelle. Jetzt leben wir ja in dem Zeitalter der KI.

00:39:28: Wie stark hat das denn eigentlich euer Tun verändert?

00:39:32: Jetzt ist es so, dass wir mit diesen Large Learning Models schon etwas länger,

00:39:36: weil wir eben einen Mitarbeiter haben, der in diesem Bereich immer ein bisschen geekig vorweg ist.

00:39:40: Der hat auch vor 30 Jahren schon angefangen, die ersten Drohnen-Mikrobausätze

00:39:44: sich zu entwickeln, mit automatischen Stabilisierungsgedöns und Ähnlichem.

00:39:49: Und natürlich hat er auch vor fünf Jahren schon angefangen, sich mit dem Thema

00:39:53: neuronales Netzwerk und wie kann ich das mit Denk-Input versehen.

00:39:56: Deshalb, also wir haben vor zwei Jahren schon so ein Modell gehabt,

00:39:58: da konnte man fragen, wie kann ich meinen Chef in die Luft sprengen mit baumarktüblichen

00:40:02: Gegenständen und hat hier tatsächlich ohne ethischen Filter Antworten bekommen.

00:40:07: Und wir haben auch vor zwei Jahren schon die ersten, doch vor zwei,

00:40:11: mittlerweile zwei Jahren, die ersten Deepfake-Videos an große Konzerne verkauft,

00:40:16: die damit eben ihre Leitungsebene sensibilisieren wollten, dass dieses Thema kommen wird.

00:40:21: Mittlerweile ist es ja so, dass man eben wirklich mit Heimwerker-Utensilien,

00:40:26: Zoom oder auch Teams-Meetings glaubwürdig crashen kann als andere Personen.

00:40:31: Und dass wir hier ganz neue Techniken drin haben, das ist maßgeblich.

00:40:35: Im Bereich Social Engineering kann ich eben heute mit Pimai und ähnlichen Tools

00:40:39: eben wirklich Gesichter wiederfinden.

00:40:42: Es ist erschreckend, wie gut diese Systeme sind.

00:40:45: Ich kann mit entsprechenden Stimmimitationen glaubwürdig beliebige Personen

00:40:51: mit geringer Trainingsbasis eben hier auch attackieren und spätestens seit Schutzmechanismen

00:40:57: mit KI überwunden werden können.

00:40:59: Sei das eben, dass das Thema Bruteforcing, also das Knacken von Kennwörtern

00:41:03: mit KI viel, viel schneller geworden ist. Sei es aber zum Beispiel auch das

00:41:07: mittlerweile, also Captcha, was ja entwickelt wurde, basierend in den 50ern auf dem Turing-Modell.

00:41:13: Captcha ist ja hier Computer Automated Program to Separate Computers from Human,

00:41:19: so in etwa ist die Definition.

00:41:23: Ja, klicke auf alle Fahrräder. Genau, klicke auf alle Fahrräder, sehr gut.

00:41:27: Und mittlerweile gibt es Computer, die das können. Also ich habe neulich das

00:41:31: wirklich mal getestet an mehreren Prompt, eine KI draufgesetzt und habe gesagt,

00:41:35: was ist das, was du da siehst?

00:41:37: Ich habe also quasi einen Screenshot gemacht von dem Captcha und habe die KI

00:41:41: gefragt, was siehst du hier?

00:41:42: Und die KI hat mir beschrieben, ich sehe ein Captcha, das ist ein Bild,

00:41:46: das gemacht wurde, um eben plausibel zu prüfen, dass nur ein Mensch diese Eingabe lesen kann.

00:41:51: Dafür werden eben wahllose Buchstaben und Ziffern mit einer zweiten Ebene unkenntlich

00:41:58: beziehungsweise verschwommen dargestellt. Und ein Mensch würde hier lesen und

00:42:02: dann hat er mir tatsächlich genau das geschrieben, was da steht.

00:42:05: Also das, was die menschliche Eingabe an der Stelle hätte sein sollen.

00:42:08: Also auch Captcha ist mehr oder weniger mittlerweile durch KI-Modelle überwindbar

00:42:13: geworden. Und das wird zum Beispiel im Moment stark ausgenutzt bei dem Abgreifen von Apple-IDs.

00:42:19: Angreifer gehen eben auf I forgot my password oder I forgot.apple.com.

00:42:25: Dort kann man eben eine E-Mail-Adresse, also eine Apple-ID eingeben und dann

00:42:31: eben quasi Zurücksetzcodes anfordern.

00:42:33: Und das Ganze ist mit dem Captcha geschützt. Und Angreifer können eben mittlerweile

00:42:37: pro Minute 100 solche Captcha, solche Anfragen auslösen, weil sie eben KI-basiert Captcha sprengen.

00:42:44: Also wir werden, glaube ich, in der Zukunft Angriffe überwiegend mit KI-Unterstützung

00:42:49: sehen, also entweder Tool-basiert oder sogar durchautomatisiert.

00:42:53: Und diese Angriffe werden dann auch in ihrer Genialität, in ihrer Ereignismenge,

00:42:59: in ihrer Komplexität durch Menschen allein nicht beherrschbar sein.

00:43:02: Es wird immer Menschen brauchen, glaube ich, die diese Angriffe orchestrieren,

00:43:07: die eben gerade dieses Out-of-the-Box-Thinking quasi organisieren und damit

00:43:12: eben auch quasi managen.

00:43:13: Aber die Wahrnehmung der Sicherheitsüberwachung selbst wird,

00:43:17: denke ich, immer mehr dann den Maschinen auch in die Hände gehen.

00:43:21: Übrigens, zu dem Deutschlands bester Hacker, ich finde dieses Projekt von Marco

00:43:24: großartig, weil es eben hilft, mal dieses Thema Hacking aus der dunklen Ecke wieder rauszuziehen.

00:43:30: Wie du am Anfang schon sagtest, Hacking kommt ja eigentlich nicht aus der bösen Welt.

00:43:34: Hacking ist was, was ursprünglich von Enthusiasten am MIT in Boston gestartet

00:43:39: wurde, um eben einfach Dinge, zusätzliche Funktionen zu finden,

00:43:43: Dinge miteinander zu verbinden, sich quasi Mehrwerte.

00:43:45: Man kennt ja das Live-Hacking, dass ich mit einer Muffinform mir ein tolles

00:43:49: Ei zubereiten kann oder was auch immer mit Käse drin.

00:43:52: Live-Hacks sind überall und dass wir eben mit Computern hacken,

00:43:56: bringt uns ja auch grundsätzlich weiter.

00:43:58: Und deshalb finde ich eigentlich schön, dass man mit dem Thema Hacking auch

00:44:01: mal aus der dunklen Ecke rauskommt, auch klar macht, es gibt das Thema ethisches

00:44:05: Hacken und hier hilft so ein Projekt wie Deutschlands Bester Hacker natürlich,

00:44:08: um einfach das Thema mit einer gewissen Prominenz auszustatten.

00:44:12: Ja, sehe ich ganz genauso und ist auch, glaube ich, super wichtig,

00:44:17: da auch für mehr Transparenz zu sorgen.

00:44:19: Ja, das klingt alles nach einem sehr spannenden und abwechslungsreichen Leben,

00:44:24: was du da so führst, Donald.

00:44:26: Was machst du denn, um mal abzuschalten und zur Ruhe zu kommen,

00:44:30: deine eigene persönliche Resilienz auch aufrechtzuerhalten?

00:44:35: Tatsächlich bin ich in diesem Leben hier so gefangen, dass das auch meine Freizeit

00:44:39: ist. Also wenn ich Freizeit habe, setze ich mich tatsächlich ins Auto oder Flugzeug

00:44:43: und fahre dahin, wo ich Menschen treffe, die sich über ihre Arbeit hinaus mit

00:44:47: solchen Themen auseinandersetzen.

00:44:48: Und das, was dann an Zeit bleibt, das verbringe ich wie wohl hoffentlich die

00:44:53: meisten eben dann auch mit der Familie.

00:44:55: Also dass ich jetzt noch zusätzlich Zeit für Freunde und Skateabende habe,

00:45:00: findet tatsächlich in meiner Welt nicht statt.

00:45:03: Ja, krass, auf jeden Fall. Aber das ist oft so, wenn man was wirklich gerne

00:45:07: macht und einen das auch über den Feierabend hinaus begleitet, dann ist das häufig so.

00:45:12: Und ja, das hat halt auch natürlich durchaus was von Leidenschaft.

00:45:16: Das habe ich auch tatsächlich gemerkt, als wir uns kennengelernt haben.

00:45:19: Und wenn man mit dir sich so unterhält, dass du das wirklich lebst,

00:45:22: was du da so erzählst, das ist für dich eben nicht nur ein Job,

00:45:25: sondern das ist dein Leben.

00:45:27: Und das merkt man, wie gesagt, in dem, was du tust.

00:45:29: Finde ich wirklich auch sehr interessant und auch sehr spannend,

00:45:33: dass es Gott sei Dank immer noch Leute gibt,

00:45:35: die eben auch über den Feierabend hinaus sich mit Dingen weiter beschäftigen,

00:45:40: weil sonst kommen wir nicht weiter und von einer 32-Stunden-Woche oder einer

00:45:45: Drei-Tage-Woche, glaube ich, brauchst du dich gar nicht mehr zu beschäftigen.

00:45:49: Ich habe trotzdem keine Angst vorm Burnout, weil wie gesagt,

00:45:53: ich habe das große Glück, dass ich mein Hobby zum Beruf gemacht habe und das

00:45:57: gibt mir die Möglichkeit, eben meine Leidenschaft beruflich auch zu sponsoren.

00:46:02: Und das mag das Finanzamt dann nicht immer nachvollziehen können,

00:46:05: ob das notwendig ist für die weitere berufliche Entwicklung,

00:46:08: aber es hat auf jeden Fall den Vorteil, dass wir eben ganz viele Umgebungen

00:46:12: uns bereitlegen können und der Satz, Donald, wann schläfst du eigentlich, fällt schon öfter.

00:46:20: Ja, wunderbar. Damit sind wir

00:46:22: tatsächlich schon bei der letzten Frage angekommen für unser Interview.

00:46:25: Und zwar frage ich das eigentlich jeden Gast und jede Gästin,

00:46:29: sagt man das so? Ich glaube, das sagt man Gästin.

00:46:31: Hast du denn abschließend noch eine Nachricht oder eine Botschaft,

00:46:35: die du unserer Hörerschaft mitgeben möchtest?

00:46:38: Ja, sehr gern. Seid positiv. Also seid immer positiv, bleibt positiv,

00:46:43: bleibt menschlich, bleibt fair miteinander, versucht euch nie auf die dunkle Seite ziehen zu lassen.

00:46:48: Wir leben in einer Zeit, wo das Thema informationelle Selbstbestimmung vor ganz

00:46:53: neue Herausforderungen gestellt wird.

00:46:56: Und hier offen zu sein und eben auch gerade mal vielleicht auch für den Alltag,

00:47:01: auch für den politischen Alltag out of the box sich einzulassen,

00:47:04: dabei aber immer daran zu denken, auch bei Informationssicherheit,

00:47:08: das ist nur Technik, ja bei allem, was wir tun,

00:47:10: auch ein bisschen die Demut zu bewahren vor dem großen Ganzen.

00:47:13: Das finde ich, glaube ich, sehr wichtig.

00:47:15: Und wenn wir da gerade im Umgang miteinander darauf achten, dass das das Wichtigste

00:47:20: ist, ja, das, was wir Menschen können, das Allerwichtigste ist, dass wir sozial sind.

00:47:24: Das hat uns hier in der Schöpfungsgeschichte da nach ganz oben geworfen.

00:47:28: Und diese Sozialkompetenz, die sollte bei all dem, was wir tun,

00:47:32: immer erhalten bleiben. Vielen Dank dafür.

00:47:35: Das ist ein wundervolles letztes Wort tatsächlich.

00:47:37: Oder so wie es du auch auf deiner letzten Folie aus dem Training,

00:47:40: was wir bei dir genießen durften, stand.

00:47:43: Du glaubst zwar nicht an Einhörner, aber die Einhörner glauben an dich.

00:47:46: Das hat mir auch sehr gut gefallen. Jawohl.

00:47:49: Gut, wunderbar. Donald, dann vielen Dank. Wie gesagt, ihr findet alles notwendige

00:47:54: Begleitmaterial unten in den Shownotes. Guckt da einfach mal rein.

00:47:57: Meldet euch gerne bei uns. Meldet euch gerne auch beim Donald.

00:48:00: Wie gesagt, auch seine Kontaktdaten findet ihr auch unten in den Shownotes.

00:48:04: Und ansonsten, wenn euch die Folge gefallen hat, freue ich mich natürlich,

00:48:07: wenn ihr uns eine positive Bewertung dalasst.

00:48:10: Man kann uns auf sehr vielen Plattformen bewerten.

00:48:13: Gebt auch gerne mal, wenn ihr uns auf Spotify hört, dort direkt Feedback.

00:48:16: Ihr habt gerade exklusiv bei Spotify die Möglichkeit, dort auch Fragen zu stellen.

00:48:21: Und wenn ihr sagt, ich habe aber keine Lust zu tippen, dann nutzt auch gerne

00:48:24: unseren Sprachnachrichtendienst von Speakpipe. Da könnt ihr mir auch eine Sprachnachricht dalassen.

00:48:29: Die baue ich dann irgendwann in einer der nächsten Folgen auch gerne mit ein.

00:48:32: Und ja, damit bleibt mir nur zu sagen,

00:48:35: Donald, ich wünsche dir noch einen wunderschönen Tag, einen guten Flug.

00:48:38: Ich habe vorhin, bevor wir auf Aufnahme gedrückt haben, gehört,

00:48:40: du fliegst jetzt dann. einen guten Flug und ja, euch, liebe Zuhörerinnen und

00:48:46: Zuhörer, noch eine gute Woche, eine gute Nacht, je nachdem, wenn ihr uns hört.

00:48:50: Und dann freue ich mich, wenn wir uns beim nächsten Mal zu Blue Screen wiederhören.

00:48:54: Macht's gut. Danke dir, Donald. Bis dann. Ciao.

00:48:57: Music.