069: Welche Vorteile bieten Pentesting und Red Teaming für die Cyber-Sicherheit von Unternehmen, Donald Ortmann?
Shownotes
In der heutigen Episode dreht sich alles um Pentesting und Red Teaming und wir möchten die Bedeutung hinter diesen Aktivitäten näher beleuchten. Unser Experte, Donald Ortmann von DonLuigi, teilt seinen Werdegang und seine Leidenschaft für Informationssicherheit mit uns. Bei DonLuigi werden aktuelle Angriffsmethoden simuliert, Abwehrmaßnahmen getestet und praktische Empfehlungen gegeben, um Unternehmen bei der Stärkung ihrer IT- und Cybersicherheit zu unterstützen.
Wir diskutieren die proaktive Identifizierung und Behebung von Schwachstellen in Unternehmen, um sich vor potenziellen Cyberangriffen zu schützen. Pentests und Red Teaming spielen eine wichtige Rolle, um die Sicherheit von Unternehmen zu überprüfen und effektive Gegenmaßnahmen zu entwickeln. Durch die Zusammenarbeit mit Experten wie Donald können Unternehmen sicherstellen, dass ihre Systeme optimal vor Bedrohungen geschützt sind.
Des Weiteren setzen wir uns mit der Schaffung von Informationsverbünden und dem Schutz sensibler Daten auseinander, indem wir verschiedene Sicherheitsansätze diskutieren und die Wichtigkeit eines differenzierten Blickwinkels betonen, um potenzielle Schwachstellen offen zu legen. Wir betonen die Notwendigkeit von kontinuierlichen Verbesserungen im Bereich der Informationssicherheit und die Einbindung von Mitarbeitern als Human Firewall.
Zum Abschluss der Episode sprechen wir über die Bedeutung der Zusammenstellung von Teams mit einer Mischung aus erfahrenen Experten und neuen Talenten sowie über Möglichkeiten, sich im Bereich der Informationssicherheit weiterzubilden.
Shownotes:
Links aus der Folge:
Donald auf LinkedIn: https://www.linkedin.com/in/donald-ortmann-secure/
Die Webseite von DonLuigi: https://sichere-daten.net/
Das Training der QSkills: https://www.qskills.de/qs/workshops/security/sc580vorfall-expertedescyber-sicherheitsnetzwerksdesbsi/
Training: https://tryhackme.com/
Training: https://www.hackthebox.com/
Deutschlands bester Hacker: https://deutschlands-bester-hacker.de/
Du willst uns mal so richtig was sagen? Dann bitte hier entlang > https://www.speakpipe.com/bluescreen
Über die folgenden Wege könnt ihr euch mit Alex vernetzen:
E-Mail: a.karls@pegasus-gmbh.de
LinkedIn: https://www.linkedin.com/in/alexander-karls-931685139/
Xing: https://www.xing.com/profile/Alexander_Karls/
Ihr habt eine Frage oder benötigt Unterstützung? Dann bucht Alex doch am besten gleich direkt für eine kostenlose Erst-Beratung: https://outlook.office365.com/owa/calendar/pegasusGmbH@pegasus-gmbh.de/bookings/s/JNgw3gpy60qxL3GTo69SvA2
Folgt uns auch auf unseren anderen Social Media Profilen: https://www.pegasus-gmbh.de/social-media/
Transkript anzeigen
00:00:01: Habt ihr euch nicht auch schon mal gefragt, was Pentester eigentlich machen?
00:00:04: Leute, die sich gar nicht so richtig auskennen mit dem ganzen Cybersecurity-Bereich,
00:00:09: die könnten vielleicht glauben, dass die Kugelschreiber ausprobieren und ab
00:00:12: und zu auch mal Bleistifte.
00:00:13: Wir wollen das heute mal ein bisschen aufklären für Leute, die nicht so technisch
00:00:18: versiert sind, aber auch vielleicht für die technisch Interessierten,
00:00:20: die schon wissen, was Pentesting und Red Teaming so bedeutet.
00:00:23: Und ja, das hört ihr in unserer heutigen Folge. Viel Spaß!
00:00:34: Ja, und ich habe mir jemanden zu uns heute in die Session reingeholt,
00:00:39: der sich da richtig gut auskennt mit dem Thema Pentesting, Red Teaming und so weiter.
00:00:44: Und deswegen ist die Frage der heutigen Folge, welche Vorteile bringen denn
00:00:48: eigentlich diese ganzen Sachen für die IT- und Cybersicherheit von Unternehmen?
00:00:52: Und diese Frage richtig an niemanden geringen als den Donald Ortmann von Don
00:00:56: Luigi. Hi Donald, schön, dass du heute Zeit gefunden hast.
00:00:59: Moin Alexander, vielen Dank für die Einladung und noch einmal herzlichen Glückwunsch
00:01:03: zur bestandenen Prüfung auch zum BSI-Vorfallexperten.
00:01:06: Ich freue mich sehr und wenn es hier demnächst vielleicht sogar noch einen weiteren
00:01:10: offiziellen BSI-zertifizierten IT-Sicherheitsdienstleister im Cybersicherheitsnetzwerk
00:01:15: geht, ist das sicherlich nochmal ein Extrakredit für uns.
00:01:17: Ja, vielen Dank dafür, Donald. Für die, die mir nicht auf LinkedIn folgen,
00:01:21: der Donald ist mein Trainer, also nicht nur mein Trainer, sondern der trainiert
00:01:25: ganz viele Leute für verschiedene Dinge.
00:01:28: Und der Donald hat den Christian, Kollegen von mir und mich eben vorbereitet
00:01:33: auf die Prüfung für die Zertifizierung zum IT-Vorfall Experten im Cybersicherheitsnetzwerk des BSI.
00:01:40: Das Ganze hat er im Rahmen einer Schulung gemacht.
00:01:43: Die hat die Q-Skills aus Nürnberg dann entsprechend auch organisiert.
00:01:46: Und ja, dank der Unterstützung von dir, Donald, haben wir es tatsächlich geschafft. Anfang April.
00:01:51: War nicht ohne, war auch knackig, war eine Menge Stoff, aber auch an der Stelle
00:01:54: nochmal hier im Podcast. Vielen Dank dafür, dass du uns so toll vorbereitet hast. Genau, gern.
00:02:00: Gut, Donald, erzähl doch mal so ein bisschen über dich. Was tust du,
00:02:04: was tut Don Luigi und was hat das Ganze mit dem Thema unserer Folge zu tun?
00:02:08: Ja, vielleicht erst mal, warum bin ich hier? Auch das gerne.
00:02:13: Grundsätzlich bin ich ein bisschen öffentlichkeitsscheuig tatsächlich für größeres
00:02:17: Publikum, aber ich freue mich sehr, mit dir jemanden gefunden zu haben,
00:02:20: der ähnlich viel Herzblut in das Thema Informationssicherheit und gerade eben
00:02:25: auch in dieses Spiel von Angriff und Verteidigung gibt.
00:02:28: Und Treffen mit so Leuten ist dann eben auch ein wenig, als wenn man sich im
00:02:32: Alltag, wenn man eben so diesem Job hier unterwegs ist, dann ist das häufig,
00:02:37: als wenn man so ein Einhorn ist, das durch so einen dunklen Wald läuft.
00:02:40: Und dann kommt man eben manchmal auf so eine lichte Wiese voller Einhörner und
00:02:44: das ist dann natürlich sehr schön.
00:02:46: Deshalb freue ich mich, hier zu sein. Ja, wer bin ich? Eigentlich schnell erklärt.
00:02:50: Ich habe recht spät im Alter von 15 Jahren meine Leidenschaft auch für Computer
00:02:55: entdeckt und begann dann eben auch recht schnell mit Freunden eigene Systeme
00:02:59: zusammenzubauen, zum Laufen zu bringen, zu vernetzen, an die eigenen Bedarfe anzupassen.
00:03:04: Auf LAN-Partys haben wir dann die ersten Hacks entwickelt, um in den Netzwerkspielen
00:03:09: eben auch so Performance-Vorteile zu bekommen.
00:03:11: Wir waren neugierig, wir waren jung, also ich kann Skript-Kiddies verstehen
00:03:15: in ihrer Motivation, eben über Grenzen auch hinauszugehen. Und wir haben aber
00:03:19: auch Troubleshooting gemacht natürlich, um alles am Laufen zu halten.
00:03:22: Und daraus ergab sich dann diese Leidenschaft, die jetzt bis heute mein Leben
00:03:26: über 30 Jahre schon bestimmt, für dieses lebendige Wesen eines Netzwerks aus
00:03:31: vielen Systemen und eben auch die Manipulationsmöglichkeiten,
00:03:34: die solche Systeme haben.
00:03:35: Heute habe ich ein kleines Unternehmen mit dem hohen Anspruch,
00:03:39: immer die aktuellsten Angriffsmethoden auch abbilden und nachvollziehen zu können,
00:03:44: Abwehrmaßnahmen auch nach Wirksamkeit irgendwie testen zu können und so können
00:03:49: wir eben auf der einen Seite mit wirklich sehr aktuellen Methoden in unseren
00:03:52: Tests angreifen, auf der anderen Seite ganz pragmatische Empfehlungen zur Ergänzung
00:03:56: der vorhandenen Maßnahmen geben.
00:03:58: Wenn ich sage wir, wir sind ein Haufen von Enthusiasten, ein kleiner Haufen
00:04:02: tatsächlich, nur eine Handvoll, aber eben aus sehr unterschiedlichen Blickwinkeln.
00:04:06: Der eine Kollege, der hat seine Karriere in ein Ministerium hingeworfen,
00:04:10: der wäre da wirklich fast an der Landesspitze der Informationssicherheit schon
00:04:13: gewesen und hat dann festgestellt, er will lieber seiner Leidenschaft für das
00:04:17: Hacken folgen und seine Divergentenfähigkeiten weiterentwickeln.
00:04:21: Ein anderer, der hat in seinem Leben drei hochwertige IT-Ausbildungen tatsächlich
00:04:26: sehr erfolgreich auch absolviert, verfügt über unglaublich tiefes Wissen im
00:04:30: Bereich von Mikrocontrollern,
00:04:32: hat aber aufgrund seines Lifestyles à la War Holland tatsächlich nie einen Job behalten können.
00:04:38: Also der ist manchmal wochenlang weg, wenn ihn irgendeine Idee umtreibt,
00:04:41: schließt sich ein und kommt dann nach drei Wochen wieder, als wäre er nie weg gewesen.
00:04:45: Und bisher hat er damit eben noch nie wirklich die Toleranz eines Arbeitgebers
00:04:50: nicht überfordern können.
00:04:51: Und bei uns hat er jetzt halt irgendwie auch seine Insel gefunden und ist eben
00:04:55: wirklich ein sehr tüchtiger Forscher. Und ich selbst habe noch eine andere Motivation.
00:04:59: Ich habe so ein sehr ausgeprägtes Helfer-Syndrom und tatsächlich die Fähigkeit
00:05:05: mitzuleiden mit Menschen, die dann in solchen Hacker-Angriffen stecken und in
00:05:09: solchen Situationen nicht weiter wissen, das zerreißt mich tatsächlich jedes
00:05:13: Mal und das motiviert mich wirklich sehr.
00:05:14: Dann eben auch diese ganzen präventiven Arbeiten nach vorne zu bringen und da
00:05:18: eben dann auch Diskussionen zu führen.
00:05:20: Und dann arrangieren wir uns eben auch darüber hinaus, sei das eben im Chaos
00:05:24: Computer Club, sei das im IBCRM, bei der CISO Alliance, aber auch große Communities,
00:05:31: sowas wie Black Hat, DEF CON.
00:05:34: B-Side Festivals, die wir begleiten in London, Las Vegas, Washington,
00:05:39: wo auch immer, sich Leute treffen, die eben ähnliche Leidenschaften haben.
00:05:42: Dann versuchen wir eben auch dabei zu sein.
00:05:44: Und ja, dann sind wir natürlich auch stolz mit diesem Wissen aus der Praxis,
00:05:48: aus Pentests, aus Sicherheitsvorfällen, dann
00:05:50: eben auch sowas wie so eine Vorfallexpertenausbildung liefern zu können.
00:05:54: Oder ich bin jetzt auch Lehrbeauftragter noch an der Hochschule in Ansbach für
00:05:59: das Thema Ethical Hacking und
00:06:00: versuche da eben den jungen Menschen zu vermitteln, worum es im Kern geht.
00:06:03: Ja, das ist definitiv auch eine ganz, ganz wichtige Aufgabe.
00:06:07: Erstmal vielen Dank dafür, dass du das so zusammengefasst hast.
00:06:09: Man sieht das auch gerade bei so Veranstaltungen wie Deutschlands bester Hacker,
00:06:14: wo jetzt auch die Frau Plattner vom BSI die Schirmherrschaft übernommen hat,
00:06:19: dass das halt auch ein super wichtiges Thema ist.
00:06:21: Also viele, die ja Hacker hören, die haben ja immer noch diese Kapuzen,
00:06:25: Pulli tragenden Typen bei Oma oder Mama im Keller im Kopf.
00:06:29: Aber Hacken hat ja in dem Sinne einen Ursprung von ich probiere so lange rum,
00:06:34: bis es etwas tut, der Gegenstand oder das System, was es eigentlich nicht tun
00:06:39: sollte, um halt dann nicht unbedingt einen Vorteil rauszuziehen.
00:06:42: Du hattest gerade die LAN-Partys erwähnt.
00:06:44: Das würde man heute Cheaten mit nennen an der Stelle, wenn man es im Wettbewerb
00:06:47: treibt. Aber auch das ist natürlich ein Thema.
00:06:50: Ein Anbieter stellt ein System, was auch immer das ist, zur Verfügung oder auch
00:06:54: ein Gegenstand wie ein Vorhängeschloss und behauptet, das ist sicher.
00:06:57: Und dann kommen halt Leute wie du, die probieren dann so lange rum,
00:07:00: bis sie dann sagen, nee, das ist eben doch nicht sicher.
00:07:02: Also finde ich, gehört auch dazu, dass man hier eine gewisse Transparenz auch
00:07:07: einfach reinbringt, weil sonst muss man halt letzten Endes das glauben,
00:07:10: was einem ein Hersteller oder ein System vermittelt.
00:07:13: Ich habe in, wer mit mir richtig vernetzt ist, in meinem WhatsApp-Profil habe
00:07:17: ich auch so ein schönes Bild drin mit einem UFO, also Akte X mäßig und da steht
00:07:21: halt auch drauf, wer nicht forscht, muss alles glauben. Das ist halt an der Stelle genau der Fall.
00:07:25: Man muss sich da schon mit beschäftigen und Hacken ist jetzt in dem Kontext,
00:07:29: wo du mit deiner Firma unterwegs bist und auch in deinem Netzwerk, ja nichts Böses.
00:07:33: Also ihr tut ja nichts, um Leuten damit letzten Endes zu schaden,
00:07:37: sondern ihr sorgt ja dafür, dass eben Schwachstellen aufgedeckt werden,
00:07:40: weil, das hast du auch vorhin gesagt,
00:07:42: die normalen Menschen, wenn man sie mal so nennen will, halt eben mit dem Einhorn-Sprech
00:07:47: und dem, wie wir uns auch unterhalten, überhaupt nichts anfangen können.
00:07:51: Das merkt man im Bekanntenkreis.
00:07:53: Wir hatten letzten Spieleabend und da waren halt auch zwei Leute dabei,
00:07:56: die auch aus diesem Segment stammen.
00:07:58: Und wenn du mit denen anfängst zu reden, dann steigt der Rest des Tisches relativ
00:08:01: schnell aus, weil du könntest jetzt auch einfach Japanisch oder Russisch sprechen.
00:08:05: Es versteht einfach keiner mehr. Und genau da ist es halt wichtig,
00:08:08: die Schnittstelle zu schaffen, auch in die allgemeine Bevölkerung,
00:08:11: finde ich, um da eben für Transparenz zu sorgen.
00:08:14: Also definitiv ein ganz wichtiger Job. Was bietet ihr denn für Services an?
00:08:19: Was kann ich denn bei Don Luigi beauftragen?
00:08:22: Vielleicht noch kurz der Einstieg, warum fällt es Herstellern häufig so schwer,
00:08:27: Schwachstellen tatsächlich vollumfänglich zu sehen?
00:08:29: Zum einen liegt es daran, weil die Systeme einfach so komplex geworden sind,
00:08:33: dass immer irgendwo versteckte Fehler drinstecken.
00:08:36: Und es nur eine Frage der Zeit ist, bis diese Fehler irgendwie zufällig oder
00:08:40: eben systematisch gefunden werden.
00:08:42: Dann basieren eben auch viele Technologien auf Geheimnissen und wenn diese Geheimnisse
00:08:47: jemand erbeuten kann und das Geheimnis liegt oft nicht in,
00:08:50: sondern auch manchmal neben der Technologie, zum Beispiel im Tresor des Herstellers,
00:08:53: auch dann werden eben Technologien nachträglich unsicher und dann muss jeder,
00:08:58: der diese Technologie vielleicht vor fünf,
00:09:01: sechs, sieben Jahren bei sich eingeführt hat, darüber nachdenken oder müsste
00:09:04: darüber nachdenken, habe ich diese Technologie damals gekauft,
00:09:08: die jetzt unsicher geworden ist und wie wirkt sich das bei mir aus?
00:09:12: Und diese Komplexität, die wollen wir den Leuten einfach abnehmen.
00:09:15: Und dafür ist es eben ganz wichtig, dass wir eben nicht nur konvergent arbeiten,
00:09:19: also nicht nur strukturiert Listen abarbeiten, wie man das dann zum Beispiel
00:09:23: auch in Audits kennt, sondern dass wir eben tatsächlich auch versuchen, divergent zu denken.
00:09:28: Dass wir also versuchen, out of the box, könnte man sagen, mit einem frischen
00:09:33: Geist an diese Dinge heranzugehen und dann eben auch Dinge zu testen,
00:09:38: die der Hersteller nicht im Blick gehabt hat.
00:09:40: Und das ist tatsächlich eine andere Art zu arbeiten.
00:09:43: Und erst die Verbindung aus dem technischen Wissen auf der einen Seite und dieser
00:09:48: Fähigkeit zum out of the box Thinking, das ist das, was tatsächlich dann dazu
00:09:52: führt, dass man viele Schwachstellen auch finden kann oder viele Ausnutzungsszenarien entwickeln kann.
00:09:58: Absolut, absolut, ja.
00:10:17: Genauso wenig beherrschen, wie die Unternehmen, die sagen, wir hatten jetzt
00:10:21: vielleicht gerade irgendeinen Erwachungsmoment und wollen uns dieses Themas annehmen.
00:10:25: Weil beide haben bisher aus dieser Perspektive nicht geguckt,
00:10:28: wer eben in dem Themenfeld neu ist und sich zum Beispiel den IT-Grundschutz
00:10:32: hernimmt und versucht, damit Sicherheit zu schaffen. der arbeitet sich eben durch komplexe Listen.
00:10:37: Wer mit den CIS-Benchmarks arbeitet, der arbeitet sich durch noch viel mehr
00:10:42: Listen, wie man eben Systeme härtet, wie man Maßnahmen vorbereitet,
00:10:46: wie man seine Organisation vorbereiten muss und so weiter.
00:10:48: Aber dabei ist es eben in der Regel gar nicht möglich, alles umzusetzen,
00:10:52: was theoretisch möglich wäre, sondern praktisch ist es immer so,
00:10:56: dass man sich entscheiden muss, was mache ich?
00:10:57: Was sind so diese 20 Prozent, die ich erstmal leisten muss, um 80 Prozent der Angreifer abzuhalten?
00:11:03: Und da versuchen wir eben zu unterstützen und das sowohl durch eben dann Tests,
00:11:07: dass wir konkret zum Beispiel jemand sagt,
00:11:09: wir haben eine neue Firewall, dann gucken wir uns an, ist die Firewall so konfiguriert,
00:11:13: eingehend, ausgehend, dass sie uns ernsthaft auffällt oder aber mit einem Red
00:11:16: Teaming da rein zu gehen, dass jemand sagt,
00:11:18: naja, ich habe meinen Tafelsilber, ich habe meine Kronjuwelen,
00:11:21: die möchte ich geschützt wissen, welche Wege seht ihr.
00:11:25: Also welche Möglichkeiten seht ihr hier eben anzugreifen Und gerade diese Letzteren,
00:11:31: in der Regel sitzen wir da eben einem Verteidigerteam gegenüber.
00:11:34: Wir selbst würden uns dann eben als Red-Teamer definieren. Manchmal sind wir
00:11:39: aber auch nur ergänzend als sogenannte Purple-Teamer.
00:11:42: Also wir sitzen quasi zwischen den Teams und schauen aus der Angreiferperspektive,
00:11:46: was der Verteidiger jetzt noch tun könnte, um eben tatsächlich die Kronjuwelen zu schützen.
00:11:51: Und das ist natürlich viel beweglicher, weil man hier eben nicht nur auf der
00:11:55: Technologie rumreitet oder auf einem bestimmten kleinen,
00:11:58: schmalen Geltungsbereich unterwegs ist, sondern weil man dann eben wirklich
00:12:02: frei wie ein Angreifer in diesem Profitmodell denken darf.
00:12:06: Ja, ich finde, es ist halt auch einfach ein ganz wichtiger Aspekt,
00:12:10: dass wenn man mit automatisierten Werkzeugen rangeht, und das machen ja wir
00:12:14: hauptsächlich bei unseren Kunden,
00:12:16: dass wir eben Schwachstellen-Scannings machen auf die extern erreichbare Infrastruktur
00:12:21: oder auch mal ins Active Directory gehen,
00:12:23: dass wir hier auch mal dem Kunden einfach aufzeigen, pass auf,
00:12:27: du bist zwar von außen ganz gut geschützt von mir aus, aber wenn dann trotzdem
00:12:30: irgendwie mal eine Mail kommt,
00:12:32: wo jemand raufklickt, dann installiert sich irgendwas, weil er zu viel Rechte hat, der Benutzer.
00:12:35: Vielleicht ist er auch der Admin und dann kann sich halt ein Schadcode oder
00:12:38: eine Ransomware oder was auch immer in deinem Active Directory austoben.
00:12:43: Das heißt, von außen bist du gut gesichert, du fährst zwar ein Auto,
00:12:46: das hat Türen, aber du hast keinen Sicherheitsgurt und auch keinen Airbag und
00:12:49: du hast auch keinen Plan, was du tun sollst, wenn es denn mal passiert.
00:12:52: Und da finde ich das immer total wichtig, dass man dann auch am Ende nochmal
00:12:56: jemanden drüber gucken lässt, der halt noch viel tiefer in der Materie drin
00:13:00: ist, weil das können wir selber auch gar nicht leisten. Wir gehen halt wirklich immer
00:13:05: nur in Anführungszeichen ran und sagen, das könnte passieren aus unserer Sicht,
00:13:09: aber wenn wir dann irgendwann mal fertig sind, wenn die Sicherheitsjourney des
00:13:13: Kunden mal soweit gereift ist, empfehle ich jedem Kunden auch immer wieder,
00:13:17: so und jetzt lass es mal bitte ausprobieren, weil ich möchte mich auch nicht
00:13:21: darauf verlassen, dass wir jetzt alles zu 100% richtig gemacht haben.
00:13:24: Haben, vielleicht haben wir mit unseren Werkzeugen auch gar nicht den Blick
00:13:28: auf alle möglichen Schwachstellen, weil das Werkzeug das auch gar nicht hergibt.
00:13:31: Das gibt es immer wieder und ganz richtig, du sagtest gerade,
00:13:35: wo fange ich denn heute an?
00:13:37: Es gibt da ja verschiedenste Modelle, aber das habe ich letztens auch im anderen
00:13:41: Podcast gesagt beim Nico Werner,
00:13:42: wenn du den BSI-Grundschutz jetzt als Vorlage nimmst und sagst,
00:13:45: so jetzt fangen wir mal bei Seite 1 an, gehe ich davon aus, dass du nach Seite
00:13:49: 50 schon überhaupt keine Lust mehr hast, dich damit weiter zu beschäftigen.
00:13:52: Das ist Mal das eine, weil es einfach viel zu viel ist.
00:13:55: Auf der anderen Seite ist es ja auch gar nicht vielleicht der richtige Ansatz,
00:13:59: von oben nach unten sich durchzuarbeiten, sondern vielleicht sollte man sich
00:14:02: erst mal mit den Kronjuwelen beschäftigen.
00:14:05: Wie schütze ich das Wichtigste und das, was am schwierigsten wiederherstellbar ist?
00:14:08: Das, was den größten Impact auch verursacht, wenn jetzt ein Angreifer an diese
00:14:12: Daten kommt oder diese Systeme abschaltet, das ist dann das,
00:14:16: was auch richtig Geld kostet, weil es Umsatzverluste bedeutet.
00:14:19: Weil es auch irgendwelche Konventionalstrafen oder auch irgendwelche von einem
00:14:23: Gericht verhängten Bußgelder nachher bedeutet,
00:14:25: dass man halt wirklich erstmal daran geht oder was wir auch manchmal machen, dass wir sagen,
00:14:30: okay, wir wissen zwar, die Kronjuwelen, die sind nicht so richtig ideal geschützt,
00:14:35: aber lass uns trotzdem erstmal die low-hanging fruits bedienen,
00:14:38: die Systeme, die internet-facing sind, erstmal härten und schärfen,
00:14:42: damit dann eben die Chance,
00:14:44: dass was passiert, kleiner ist. Also da gibt es ja verschiedenste Ansätze.
00:14:47: Aber um es dann wirklich zu prüfen, da braucht man halt dann eben Leute wie
00:14:52: euch, die wirklich ausprobieren, wie weit kommt man denn dann tatsächlich.
00:14:56: Und das ist meiner Meinung nach in dem Prozess einer Systemhärtung und auch
00:15:00: einer Vorbereitung auf einen möglichen
00:15:02: Vorfall tatsächlich schon noch eine notwendige Maßnahme an der Stelle.
00:15:07: Also sehr interessant zu sehen, wie sich dieses Spiel entwickelt.
00:15:11: In den letzten Jahren einerseits geändert hat und doch bestimmte Grundmechanismen
00:15:15: immer gleich geblieben sind.
00:15:17: Sei es eben dieses Prinzip, wenn man eben mit so einem Thema beginnt,
00:15:20: dass man meistens von außen nach innen erstmal durchhärtet.
00:15:23: Und das ist nichts anderes, als wenn ich hier morgens das Frühstücksei mache.
00:15:28: Das wird auch erst von außen, beziehungsweise bringt ja schon eine gewisse Härtung mit.
00:15:31: Sonst wäre das Ganze flüssig und so kommt es halt quasi im Ei geliefert.
00:15:35: Und dadurch, dass es quasi auf der richtigen Temperatur gekocht wird oder dass
00:15:39: es eben zum Kochen gebracht wird, wird es dann eben nach und nach hart.
00:15:42: Und wenn ich ein Ei vernünftig lang genug durchgehärtet habe,
00:15:45: dann ist irgendwann auch egal, ob jemand die Hülle ansticht,
00:15:48: da läuft nichts mehr aus.
00:15:49: Und das ist ein schönes Bild eigentlich
00:15:52: für das, was wir mit Informationsverbunden quasi schaffen müssen.
00:15:55: Also die Hürden auf dem Weg zum Dotter entsprechend höher hängen.
00:15:59: Und hier ist es so, wenn wir beim strukturierten Vorgehen, also ich mache eine
00:16:04: Strukturanalyse, ich mache meine Schutzbedarffeststellung und dann gucke ich,
00:16:08: was ist wichtig. Selbst da gibt es ja unterschiedliche Schwerpunkte.
00:16:11: Also der IT-Grundschutz geht das Thema ja auch ganz anders an,
00:16:14: als zum Beispiel die ISO 27000-Welt es betrachtet mit diesem risikobasierten Fokus.
00:16:19: Und deshalb ist es eben auch beim BSI so, dass die irgendwann gesagt haben,
00:16:24: naja, dann versuchen wir erstmal verschiedene Modelle, sowas wie eine Basisabsicherung,
00:16:28: was quasi der äußere Ring ist, oder sowas wie eine Kernabsicherung,
00:16:32: das Konzentrieren auf die Kronjuwelen, auf die Dinge, die richtig wehtun und
00:16:37: die eben nicht in Angreiferhände fallen dürfen.
00:16:40: Und bevor wir eben mit so einem allgemeinen Informationsverbund-weiten System starten.
00:16:45: Was wir wie gesagt dabei versuchen, ist eben zu prüfen, aus diesem anderen Blick
00:16:50: heraus zu prüfen, aus diesem divergenten Blick außerhalb der Checkliste zu prüfen,
00:16:55: wo ist eben eine Verknüpfung von kleinen Stellen,
00:16:59: von kleinen weichen Stellen möglich, um eben doch tiefer vorzugehen und hier
00:17:03: ist es tatsächlich ganz viel Wissen um Technik, praktische Erfahrung,
00:17:07: was funktioniert und man muss eben auch sagen.
00:17:10: Häufig haben wir in solchen Tests so das Gefühl, dass man testen will,
00:17:14: ob wir wirklich Tester sind.
00:17:16: Also ja, weil manchmal wird es einem doch so einfach gemacht.
00:17:20: Es gibt immer noch Systeme in hochkritischen Informationsverbunden,
00:17:24: die teilweise sich lokale Administratoren mit sechsstelligen Kennwörtern und
00:17:28: solche Sachen, wo man dann eben auch glaubt, warum habt ihr euch nicht vorbereitet?
00:17:32: Also warum seid ihr quasi hier mit einem Messer zur Schießerei gekommen?
00:17:35: Und unsere Aufgabe ist es natürlich, sowas abzuarbeiten. Und hier dann einmal
00:17:40: aufzuzeigen, was für Tests haben wir durchgeführt, welche dieser Tests haben uns weitergebracht,
00:17:47: welche dieser Tests sind fehlgeschlagen, was waren Sackgassen,
00:17:50: wo wir nicht weitergekommen sind.
00:17:52: Auch das zu zeigen, ist ja wertvoll, um zu verstehen, ob die eigenen Maßnahmen gut funktionieren.
00:17:57: Aber dann eben auch die detektiven Fähigkeiten mit zu testen bei so einem Pentest.
00:18:02: Also wir bieten zum Beispiel Kunden an, dass wir nach jedem Schritt,
00:18:06: den wir gehen, einmal reporten, was wir gemacht haben.
00:18:09: Wenn sie von sich aus quasi nicht responden, wenn sie von sich aus nicht reagieren
00:18:13: und sagen, wart ihr das jetzt gerade? Dann melden wir quasi und sagen,
00:18:16: hey, wir haben da gerade was gemacht.
00:18:18: Hat eure Managed Detection das gesehen? Habt ihr gemerkt,
00:18:22: dass wir gerade zum Beispiel die Berechtigung in eurem Active Directory ausgelesen
00:18:26: haben oder dass wir auf einen Rechner gesprungen sind und dort die Berechtigung
00:18:30: eines höherwertigen Benutzers erbeuten konnten oder dass wir euer Netzwerk gerade
00:18:34: abschnüffeln und da dann eben Zertifikate oder Systeme gefunden haben?
00:18:38: Seht ihr das eigentlich?
00:19:08: Oder wenn der autorisierte Bediener ausgetauscht wird durch einen bösartigen
00:19:13: Angreifer oder aus irgendeinem Grund vielleicht einer der autorisierten Bediener
00:19:17: selbst zum bösartigen Angreifer mutiert.
00:19:19: Das sind ja alles Möglichkeiten, die bestehen und hier ist es in der Regel eben
00:19:23: wirklich diese Verquickung aus präventiven und detektiven Fähigkeiten,
00:19:27: die eben dann die Reaktionsfähigkeit herstellt und das eben auf dieser großen Oberfläche.
00:19:32: Und deshalb ist uns eben nicht nur wichtig zu gucken, wo wir die präventiven
00:19:35: Maßnahmen durchknacken können, sondern auch, ob unser Auftraggeber in der Lage
00:19:41: wäre, uns jetzt eben quasi zu identifizieren, zu isolieren und dann auch wieder rauszuwerfen.
00:19:47: Ja, eine weitere ganz wichtige Geschichte, die ja da auch noch eine Rolle spielt,
00:19:51: du hast gerade gesagt schon, vielleicht ist es ja auch der Mitarbeiter,
00:19:55: der sauer ist aufs Unternehmen und deswegen jetzt anfängt Schaden zu verursachen.
00:19:59: Eine weitere wichtige Geschichte und die vernachlässigen, glaube ich,
00:20:02: auch sehr viele Kunden, ist natürlich auch das, wie kommt denn der Angreifer rein?
00:20:07: Wir reden hier meistens über irgendwelche technischen Schwachstellen,
00:20:09: wo automatisierte Angriffe von irgendwelchen Botnetzen oder wem auch immer halt
00:20:15: ausgeführt werden. Das sind aber dann halt häufig auch Zufallstreffer.
00:20:19: Wenn man mal guckt, wie viele Exchange-Server zum Beispiel noch direkt im Netz
00:20:22: stehen, ungepatcht mit einem uralten Softwarestand. Das ist aber nur die eine Seite.
00:20:26: Gerade auch bei Unternehmen, die ja auch der Meinung sind, sie haben eine physikalische
00:20:30: Perimetersicherheit durch Zutrittskontrollen.
00:20:33: Sie glauben, wenn man einen Mitarbeiterausweis oder einen Besucherausweis den
00:20:37: Leuten aushändigt und da läuft jetzt jemand rum, der keinen Ausweis hat,
00:20:41: dann werden schon meine Mitarbeiter dafür sorgen, den anzusprechen.
00:20:43: Aber in der Praxis sieht es halt häufig einfach ganz anders aus.
00:20:47: Und da habe ich an der Stelle auch immer wieder die Leseempfehlung,
00:20:51: eigentlich jedes Buch von Kevin Mitnick sich mal vorzunehmen.
00:20:55: Die gibt es sowohl auf Deutsch als auch auf Englisch. Das Einzige,
00:20:58: was es nicht auf Englisch gibt, ist Ghost
00:20:59: in the Wires, wo er seine eigene Lebensgeschichte ja nochmal erzählt.
00:21:01: Aber die Kunst des Angriffs, die Kunst der Täuschung, diese Bücher,
00:21:05: die sollte man wirklich mal gelesen haben,
00:21:08: weil ich bin mir relativ sicher und ich gehe davon aus, das wirst du mir auch
00:21:12: bestätigen, die theoretischen Maßnahmen mit einem Zettel an der Tür,
00:21:16: jeder muss sich einzeln auf der Tür anmelden, damit er durchgeht.
00:21:20: Und das funktioniert halt in der Praxis sehr häufig nicht.
00:21:23: Und auch dieses Glauben an Uniformen, dieses Glauben an ein offizielles Auftreten,
00:21:29: da nehme ich immer so das Beispiel,
00:21:30: zieh dir einfach eine gelbe Weste an und geh mal auf die Laderampe von irgendeinem
00:21:33: Möbelhaus und guck mal, wie lang es dauert, wenn du da mit Helm und Weste und
00:21:37: Klemmbrett unterm Arm rumläufst, ob dich überhaupt jemand anspricht oder ob
00:21:41: du da nicht hinten eine komplette Couchgarnitur in deinen Sprinter laden kannst.
00:21:44: Das ist halt einfach, ja, die Leute sind halt auch zu sehr in ihrem eigenen
00:21:49: kleinen Mikrokosmos gefangen und diese Situation, dass das passieren kann,
00:21:54: die haben die auch gar nicht auf dem Radar recht häufig.
00:21:56: Also das Bewusstsein, wir sprechen eben hier gern von Survivorship Bias,
00:22:01: also das nennt sich Überlebensirrtum, ist die Konfrontation mit Ereignissen,
00:22:06: die man so noch nicht wahrgenommen hat,
00:22:08: beziehungsweise Ereignisse, die man eben überproportional warnen,
00:22:11: weil sie an einen herangetragen werden und dabei relevante Ereignisse übersieht.
00:22:15: Und ich selbst habe einige Dutzend gute Ausweise.
00:22:19: Das sind Mitarbeiterausweise, Besucherausweise, die so im Laufe der Jahre zusammengekommen sind.
00:22:24: Eine der wesentlichen Themen, wenn man versucht, an Daten ranzukommen,
00:22:28: ist zu verstehen, dass man drei Hürden überwinden muss. Das ist einmal die Zutrittskontrolle,
00:22:34: das ist die Zugangskontrolle und die Zugriffskontrolle.
00:22:37: Und das Thema Zutritt lässt sich gerade seit Corona,
00:22:41: seit der digitalisierten Welt kaum noch sicher beherrschen, weil einfach dieser
00:22:46: physische Perimeter, davon abgesehen, dass auch in unseren Tests der physische
00:22:50: Perimeter noch nie wirklich gehalten hat.
00:22:53: Also wir haben wirklich schon Tests gemacht bei hochkritischen Infrastrukturen
00:22:56: mit meterhohen Sicherheitszäunen, mit vielen Kameras, mit Schranken und Vereinzelungsanlagen.
00:23:03: Und trotzdem gibt es immer irgendwie eine Möglichkeit und zwar keine langfristige Möglichkeit.
00:23:08: Ich bin niemand, der wirklich solche Erkundungen über Wochen betreibt,
00:23:12: sondern ich nehme mir wirklich nie mehr als maximal einen Tag Zeit zu erarbeiten,
00:23:17: wie man irgendwo reinkommt, weil einfach auch noch nie mehr nötig war.
00:23:20: Und die Kunst dessen, was wir tun, ist dann eher dafür zu sorgen,
00:23:24: gerade wenn ich eben Menschen mit in Tests involviere, wie kann ich zukünftig
00:23:29: dafür sorgen, dass meine Human Firewall besser wird.
00:23:32: Nur zu zeigen, was nicht funktioniert, ist in der Regel ein deprimierendes Erlebnis.
00:23:37: Und deshalb bin ich irgendwann dazu übergegangen, auch aufbauende Erlebnisse
00:23:42: in solche Tests zu integrieren.
00:23:44: Also wenn ich seit einer Dreiviertelstunde in verbotenen Bereichen herumschleiche.
00:23:48: Dann erhöhe ich einfach meinen Dreistigkeitslevel so lange, bis dann doch irgendwann
00:23:52: mich jemand anspricht und sagt, wer sind Sie, was machen Sie hier?
00:23:56: Und dann könnte ich mir natürlich versuchen, mich rauszureden mit der Geschichte,
00:24:00: mit dem Pretext, den ich vorbereitet habe.
00:24:02: Stattdessen nehme ich mir die Person dann aber zur Seite und sage,
00:24:05: hey, super, Sie sind der Erste, der mich hier anspricht. Sie haben es geschafft.
00:24:08: Sie sind das Vorbild quasi hier für alle anderen. Und so ist dann,
00:24:11: wenn dieser Test hinterher in Awareness-Maßnahmen ausgegliedert wird,
00:24:15: weil das passiert wirklich jedes Mal.
00:24:17: Wenn wir irgendwo reinkamen, wenn wir irgendwo solche Tests durchgeführt haben,
00:24:21: ist das in der Regel immer ein sehr lehrreiches Erlebnis.
00:24:24: Es ist uns auch wichtig, dass ein Pentest nicht mit dem Bericht beendet ist,
00:24:27: sondern dass diese Lessons learned, Briefing, das ist die entscheidende Phase,
00:24:31: wo die Verbesserung kommt.
00:24:32: Und da kann es eben sein, dass hinterher Vereinzelungsanlagen eingeführt werden,
00:24:36: neue Zutrittssysteme eingeführt werden, man eben die Zugangssicherheit erhöht,
00:24:41: dass eben die Systeme zukünftig nicht nur mit Benutzername Kennwort,
00:24:44: sondern eben mit einem echten zweiten Faktor wie einem FIDO2-Key oder ähnlichen
00:24:49: Dingen zugänglich gemacht werden.
00:24:50: Das sind so diese Maßnahmen, die hinten rauskommen.
00:24:53: Aber gerade bei dem Thema menschliche Verbesserung, also wie verbessere ich
00:24:56: das menschliche Schutzschild meines Unternehmens, da ist es eben wichtig,
00:25:00: auch mit Vorbildern zu arbeiten.
00:25:01: Und dann ist es eben gut, dass der eine Mitarbeiter, der einen anspricht,
00:25:05: dann eben durchaus belohnt wird für sein Arrangement, um eben hier auch den
00:25:09: anderen ein gutes Vorbild sein zu können.
00:25:11: Und auch den Skeptikern, die sagen, naja, der Ortmann, das ist ja so ein Profi,
00:25:14: der macht das seit Jahren, den kann ja gar keiner entdecken.
00:25:17: Doch der eine, der Kollege da, der hat mich entdeckt.
00:25:20: Naja, klar. Man muss natürlich gar nicht so weit gehen, habe ich auch schon ganz oft erlebt.
00:25:25: Ich meine, klar, das ist natürlich der ideale Ansatz, wenn man es dann wirklich
00:25:28: mal am lebenden Objekt ausprobiert.
00:25:30: Aber was wir auch schon gelernt haben, was ganz häufig hilft,
00:25:33: sind einfach auch Tabletop-Übungen. Dass man wirklich hergeht und mit den Leuten
00:25:37: eine Situation schafft und sagt, okay, wir gehen jetzt davon aus,
00:25:41: jetzt ist der Strom ausgefallen. Man muss ja gar kein Angriff sein.
00:25:44: Es kann ja auch ein Vorfall, vielmehr, nein, das darf ich ja nicht sagen,
00:25:47: es ist ja kein Vorfall, sondern eine Störung. Wir wollen im BSI-Sprechbleiben.
00:25:51: Wenn es eine Störung ist, was tun wir jetzt? So, und dann einfach diese Frage
00:25:56: in den Raum zu stellen und dann die Leute erst mal überlegen zu lassen,
00:25:59: wie würde ich denn vorgehen?
00:26:00: Und da prüft man natürlich dann auch relativ schnell ab, gibt es denn überhaupt ein Konzept?
00:26:05: Wo würde das denn stehen, wenn die Person jetzt gar nicht da ist,
00:26:08: die mir die Antwort gegeben hat?
00:26:09: Gibt es da noch eine Möglichkeit für einen zweiten, dritten,
00:26:12: für den Geschäftsführer oder andere Menschen, diese Entscheidungskette überhaupt
00:26:16: jetzt irgendwo sich zu besorgen?
00:26:19: Ja, das liegt als Word-Dokument auf unserem File-Server. Ja,
00:26:22: der funktioniert jetzt aber gerade nicht, weil du hast keinen Strom und die USV ist auch schon alle.
00:26:26: Also nächste Frage, wie kriege ich die Informationen sonst noch her?
00:26:29: Und so baut man halt einfach darauf auf, weil man einfach diese Fragen stellt,
00:26:34: die eben, und das hast du ja gerade vorhin auch schon erwähnt,
00:26:37: dieser Irrglaube, man weiß schon, wie es geht.
00:26:40: So, ich bin jetzt mit meinem Flugzeug abgestürzt, so lostmäßig und ich weiß
00:26:44: schon, wie das geht. Das wird schon passen.
00:26:46: Ich habe ja Castaway gesehen und hoffentlich gibt es irgendwo einen Handball,
00:26:50: dann habe ich schon mal einen Gefährten, so auf die Art, aber in der Praxis
00:26:54: sieht es halt komplett anders aus und diese Situations-Awareness,
00:26:57: die ist natürlich ein ganz wichtiges Element auch dann eben in der Nachbearbeitung
00:27:02: oder auch, wenn man es jetzt grundsätzlich auf dem Schreibtisch vorbereitet.
00:27:05: Und ja, das große Problem, was ich halt immer merke, gerade in unseren Kundensegmenten,
00:27:11: wo wir unterwegs sind, es existiert ganz häufig halt einfach eine Hilflosigkeit,
00:27:16: weil es halt einfach auf den ersten Blick viel zu viel ist, was man tun müsste.
00:27:20: Das weiß man irgendwie im Hinterkopf auch schon.
00:27:22: Aber der innere Schweinehund hindert einen dann auch daran, da wirklich mal jetzt loszulegen.
00:27:27: Auf der anderen Seite ist natürlich auch immer die Angst davor,
00:27:30: dass das alles exorbitant teuer wird. Und ja, da höre ich dann immer einen meiner
00:27:35: alten Chefs, wie viele Gegenstände kann ich dadurch mehr verkaufen?
00:27:39: Was bringt mir das denn an Umsatz nachher?
00:27:41: Weil meistens ist es ja so, dass man als Entscheider gerne hätte,
00:27:45: dass die IT kommt und sagt, wir machen jetzt das und dann steigern wir unsere
00:27:49: Performance um so und so viele Prozentpunkte.
00:27:51: Aber man muss, glaube ich, an der Stelle auch mal vermitteln,
00:27:54: es geht hier eigentlich eher um präventive Schadensbegrenzung in einer theoretischen
00:27:59: Übung, um dann eben schneller reagieren zu können.
00:28:02: Aber das ist halt einfach auch für die Admins und IT-Entscheider häufig ein
00:28:06: sehr, sehr schwieriges Thema.
00:28:07: Wie erlebst du das denn bei dir in deinen Tests oder bei deinen Kunden?
00:28:11: Also sehr häufig ist es so, dass gar nicht das Budget für die Verbesserung in
00:28:16: Frage gestellt wird oder die große Rolle spielt, sondern dass tatsächlich das
00:28:21: quasi das, was wie der Teufel das Weihwasser gefürchtet wird,
00:28:24: ist Prozesse verändern zu müssen.
00:28:25: Weil man immer fürchtet, damit ein Stück weit die Mitarbeiter zu verärgern,
00:28:29: Prozesse ineffizienter zu machen, also das Geschäftsmodell durch neue Sicherheitsmaßnahmen
00:28:34: aus der Wettbewerbsfähigkeit ein Stück weit zu nehmen oder aus der Beweglichkeit nehmen zu können.
00:28:39: Das sind eher die Dinge, die tatsächlich wehtun. Und da ist natürlich so,
00:28:43: dass ein Startup, das barfuß oder Lackschuh, bar jeder Sicherheitsmaßnahme erstmal
00:28:47: versucht, sich am Markt zu etablieren, einen riesen Vorteil hat,
00:28:50: weil es faktisch ja erstmal nichts zu verlieren gibt.
00:28:53: Das ändert sich aber in dem Augenblick, wo man eben die ersten Gewinne gemacht
00:28:56: hat, wo man die ersten Fründe sichern möchte und dann eben feststellt,
00:29:00: okay, jetzt sind wir an dem Punkt, wo wir eben bestimmten Protektionismus auch anfahren müssen.
00:29:05: Und dann alles umzubauen, dann eben alles mit Regelwerken zu versehen,
00:29:10: mit Kontrollmechanismen zu versehen, die dann notwendig werden,
00:29:13: das ist das, was eben eher die großen Diskussionen dann anschließend verursacht.
00:29:17: Aber deshalb ist eben der Test ein Stück weit schöner als das Audit.
00:29:20: Im Audit versucht man immer quasi Maßnahmen auf das notwendige Minimum zu beschränken.
00:29:25: In Tests merkt man, wie sehr diese Strategie dann eben funktioniert hat oder
00:29:30: eben auch nicht funktioniert hat und dann geht es eben eher darum zu gucken,
00:29:35: was sind die Dinge, die uns wichtig
00:29:37: genug sind, um eben auch unbequeme Veränderungen dafür in Kauf zu nehmen.
00:29:41: Das glaube ich tatsächlich auch. Was halt doch dann sehr häufig einfach das
00:29:46: Thema Prozessveränderung angeht, weil du es gerade ansprichst,
00:29:49: ist dann auch eben die Situation, dass wir dann auch natürlich damit konfrontiert
00:29:53: werden, dass Kunden sagen,
00:29:54: ja, ja, das passt schon alles, mach ruhig weiter.
00:29:56: Aber ich sage halt, wenn wir es nicht vorher durchgeplant haben und strukturiert
00:30:00: haben, dann fangen wir eigentlich gar nicht erst an, weil wir sehen das ja schon
00:30:03: aufgrund der Erfahrungen, dass das in eine Katastrophe ausufern kann.
00:30:07: Und lieber sage ich dann, du lieber Kunde, dann geh bitte zu jemandem, der das für dich macht.
00:30:12: Es gibt immer einen, der es billiger macht oder der es jetzt sofort kann,
00:30:16: obwohl bei uns erst mal Planung und Prävention eine Rolle spielt.
00:30:19: Und dann geh woanders hin, aber wir machen dir das nicht. Nur um jetzt des Geldes
00:30:23: wegen sehenden Auges eine Katastrophe heraufzubeschwören, das macht keinen Sinn
00:30:27: und das hat auch was mit Ethik zu tun.
00:30:29: Leider gibt es halt in unserem Markt sehr viele Anbieter und Menschen,
00:30:33: die halt sagen, du musst dies und das kaufen und dann bist du sicher.
00:30:37: Und dieses Mindset wird halt gerade bei den Geschäftsführern natürlich sehr gerne angenommen.
00:30:41: Ja, es ist tatsächlich verrückt, wie sehr,
00:30:45: also wir hatten so in den 2000ern damals, hatten wir so eine Bubble,
00:30:50: wo viele Menschen, die damals in einer schwierigen Jobsituation waren,
00:30:54: umgeschult wurden auf Webdesigner und Grafikdesigner und danach hatten wir irgendwie
00:30:58: eine Welt voller Webdesigner und Grafikdesigner.
00:31:00: Und dasselbe habe ich ein bisschen das Gefühl passiert gerade in der Informationssicherheit.
00:31:04: Wir haben gerade unglaublich viele Menschen, die quasi so eine Notschulung auf
00:31:08: das Thema bekommen haben und danach selbst auch teilweise sehr überzeugend missionierend
00:31:13: durch die Welt gehen, wo es aber relativ wenig Substanz gibt.
00:31:16: Ich lehne das gar nicht ab, weil man wird ja nicht mit Erfahrung geboren. Die muss man machen.
00:31:21: Ich finde nur wichtig, dass man dann die Teams entsprechend zusammenstellt,
00:31:25: dass man eben auch wirklich hier quasi die neuen Besen und die erfahrenen alten
00:31:30: Hasen quasi in den Teams richtig miteinander portioniert,
00:31:33: um eben quasi dieses tiefen Wissen zu verbinden mit modernen Methoden und mit
00:31:38: dem neuesten Stand, der eben da draußen auch vermittelt wird.
00:31:41: Ich finde immer schwierig, wenn so ein rein verkopfter Ansatz versucht wird,
00:31:45: im Bereich Informationssicherheit umzusetzen.
00:31:48: Genauso wenig, wie eben so eine Hemdsärmeligkeit mit 90er-Wissen besonders zielführend
00:31:53: ist für sich alleine, sondern es ist tatsächlich meistens die Mischung derer,
00:31:56: denen man sich da anvertrauen kann. Das bringt mich direkt zur nächsten Frage.
00:32:00: Wenn jetzt jemand, der unseren Podcast hört, sich denkt, Mensch,
00:32:04: das klingt eigentlich ja alles total cool und irgendwie hätte ich da auch Bock
00:32:07: drauf, in dem Bereich IT Security mehr zu machen.
00:32:11: Ich möchte Security-Profi oder Pentester oder whatever gerne werden.
00:32:15: Was kannst du denn da empfehlen? Was wäre denn ein erster Ansatz,
00:32:19: um in dem Bereich Fuß zu fassen?
00:32:21: Also wir führen tatsächlich auch für mehrere Institute Basisschulungen durch.
00:32:26: Bei Q-Skills ist es eben unsere Cyber Security Foundation Schulung,
00:32:29: die eben erstmal so ein Ground Level geben soll.
00:32:32: Das ist tatsächlich gedacht, noch nicht mal unbedingt für angehende Security
00:32:36: Professionals, sondern eben überhaupt für jeden, der das Thema Informationssicherheit
00:32:41: bei sich selber verständlich haben möchte.
00:32:42: Wo wir dann wirklich in zwei Tagen mal so um diesen Planeten Informationssicherheit
00:32:46: rumfliegen und uns die verschiedenen Themenbereiche wirklich so aus 10.000 Meter
00:32:50: Höhe mit 800 kmh angucken.
00:32:52: Um erstmal diese Welt zu verstehen und um erstmal so ein bisschen die weißen
00:32:56: Flecken kleiner zu machen, die man eben noch nie gedacht hat in dem Bereich.
00:33:00: Weil das ein gewisses holistisches Verständnis von diesem gesamten Themenbereich
00:33:04: gibt, der sonst ja vom Weiten unglaublich komplex und ereignisreich ist.
00:33:08: Auch zu verstehen, dass die Angreifer, die da draußen sind, auch nur Menschen
00:33:12: sind und auch nur mit Wasser kochen.
00:33:14: Dafür helfen dann eben auch mal durchaus einen Hacking-Kurs zu besuchen und
00:33:18: eben nicht nur den ISO-Implementer-Kurs, sondern auch mal quasi aus der anderen
00:33:22: Seite zu gucken, wie funktionieren diese Methoden.
00:33:24: Was heißt eigentlich Frusttoleranz beim Versuch, in Unternehmensverbunde einzudringen und ähnliche Themen?
00:33:30: Und dann natürlich auch ein bisschen zu gucken, in welchem Bereich ist so mein
00:33:34: Steckenpferd? Was ist das, was ich tatsächlich können möchte?
00:33:36: Und wie weit soll das hier gehen, was ich haben möchte?
00:33:39: Und wer natürlich irgendwie Feuer und Flamme ist, grundsätzlich empfehle ich
00:33:43: jede Informationssicherheitstechnische Ausbildung,
00:33:45: um gewisse Hackerskills dann eben auch zu erweitern, um eben diese Perspektive,
00:33:50: selbst wenn man diese Tests nicht selber durchführt, aber nachvollziehen zu können.
00:33:54: Ja, wir haben sehr häufig, dass das, was in den Reports von Pentests steht,
00:33:58: also wir werden häufig beauftragt bei Unternehmen, die haben schon Dutzende
00:34:00: Pentests durchgeführt oder auch entsprechende Red-Teamings gemacht oder gegen sich laufen lassen.
00:34:07: Aber was hier eben häufig hinterher nicht passiert, das ist,
00:34:10: dass man mehr gemacht hat, als die Management-Summary zu lesen und das Ganze abzuheften.
00:34:13: Also dass quasi dieselben Testversuche zwei Jahre später zu den gleichen Findings
00:34:20: führen, das ist eigentlich der Teil,
00:34:22: an den glaube ich viele ran müssen und deshalb hilft es eben den Verantwortlichen,
00:34:26: den übergeordneten Verantwortlichen für das Thema Informationssicherheit und
00:34:29: das beginnt auf der Management-Ebene, da wo eben der CIO zum Beispiel wirkt,
00:34:33: so ein Grundverständnis dafür zu kriegen,
00:34:35: was ist eigentlich die Gefährlichkeit und was ist das Ausnutzungspotenzial,
00:34:38: das wir hier individuell für uns kleiner kriegen müssen.
00:34:42: Ja, absolut. Was ich persönlich da noch mit hinzufügen möchte,
00:34:46: sind so Plattformen wie Hack the Box oder Try Hack Me, wo man einfach auch sehr
00:34:50: schön an der Hand genommen wird, um einfach sich da mal vorsichtig ranzutasten.
00:34:55: Man kriegt auch ein gutes Grundverständnis vermittelt, wenn man jetzt überhaupt
00:34:58: zum Beispiel noch gar nichts mit einer Shell irgendwie in seinem Leben mal zu
00:35:01: tun hatte. Was ist denn das eigentlich?
00:35:03: Wie funktioniert die Bash? Wie funktioniert PowerShell?
00:35:06: Wie benutze ich das denn jetzt für mich? Und das finde ich tatsächlich auch
00:35:10: immer einen sehr schönen Ansatz.
00:35:11: Es gibt dann auch immer schöne Badges, die man sich dann irgendwo rankleben
00:35:14: kann, um zu zeigen, dass man sich dort entwickelt hat in dem Bereich.
00:35:17: Und das ist auch eine ganz coole Geschichte. Ja, natürlich auch,
00:35:21: um es einfach nochmal zu sagen, Deutschlands bester Hacker, gerade wenn jetzt
00:35:23: jemand sagt, ich glaube, ich kann schon was, ist das, glaube ich,
00:35:26: auch ein ziemlich cooles, kompetitives Modell, wo man mal gucken kann,
00:35:30: wo stehe ich denn eigentlich,
00:35:31: um im Wettbewerb gegen andere mal wirklich auch legal so Capture-the-Flag-Szenarien durchzuführen.
00:35:37: Und ja, wer noch weitergehen möchte, der könnte zum Beispiel die Offensive Security
00:35:41: Professional Ausbildung anfangen, wobei die ist bärig.
00:35:44: Also ich habe sie selber schon mal durchgezogen und ich finde,
00:35:48: das ist dann schon, das kann einem fast dann schon den Spaß nehmen,
00:35:51: weil es halt wirklich brutal schwer wird.
00:35:53: Also der Schwierigkeitsgrad gerade eben in dem Bereich, naja,
00:35:56: Sie sagen ja auch immer, try harder, wenn es auf die Nase gefallen ist,
00:35:59: dann mach es einfach nochmal.
00:36:00: Aber das braucht schon eine Menge Enthusiasmus. Aber es gibt Möglichkeiten auf
00:36:04: jeden Fall. Also grundsätzlich TrackMe bietet eben auch kostenfrei bereits Einstiegsmöglichkeit
00:36:10: legal, sich da mal auszuprobieren. Es gibt viele andere Möglichkeiten.
00:36:13: Also wer das wissen will, darf gerne auf dich zukommen. Ich liefere dir gerne
00:36:16: mal so eine Liste mit verschiedenen Empfehlungen, wo man eben kostenfrei in
00:36:19: verschiedene, sei das eben überhaupt dieses Verständnis, wie kann ich zum Beispiel
00:36:24: nur mit Python bestimmte Abfragen provozieren, die mich dann weiterbringen.
00:36:28: Da gibt es so ein cooles Testmodell, wo man eben wirklich quasi durch 30 Level
00:36:32: sich arbeiten kann und selbst gute Securities steigen meistens bei Level 16,
00:36:37: 17 nachher aus, weil es dann doch komplex wird.
00:36:39: Man erbeutet quasi in jedem Level den Schlüssel, um ins nächste Level zu kommen
00:36:44: und das eben wirklich gleichzeitig so ein kleiner Python-Trainingskurs in Verbindung
00:36:49: eben mit diesem out-of-the-box denkenden Ansatz.
00:36:51: Solche Spielchen, da gibt es einige von, die eben tatsächlich kostenfrei und gut funktionieren.
00:36:56: Das, was Offensive Security da anbietet mit dem OSCP, ist natürlich ein Titel,
00:37:01: der zeigt, dass jemand in den Maßgaben von Offensive Security das Thema versteht
00:37:06: und Offensive hat da viel drauf.
00:37:07: Offensive Security betreibt ja zum Beispiel auch die Exploity Bee,
00:37:11: eine Schwachstellendatenbank, die wirklich hochaktuell gute Beschreibungen liefert,
00:37:16: wie Schwachstellen ausnutzbar sind.
00:37:18: Offensive Security baut das Kali Linux System, um eben hier mit vielen Tools,
00:37:23: die hier liebevoll eingearbeitet werden in dieses spezielle Linux-Format,
00:37:28: eben um dann angreifen, verteidigen, was auch immer zu können.
00:37:31: Jetzt ist aber natürlich auch Offensive viel mit den eigenen Tools und da sind
00:37:35: sie zu Recht stolz drauf, auch verhangen, wenn sie da einen Titel dranhängen wollen.
00:37:38: Und Try Harder, wir machen das gern.
00:37:41: Also wir haben zum Beispiel zwei unserer Jungs haben letzten Sommer die Zertifizierung
00:37:45: zum Black Hat Certified Pentester gemacht.
00:37:48: Das ist eine Prüfung, die quasi wie Zeitschach, wo man wirklich nur acht Stunden Zeit hat.
00:37:53: Vier Stunden Webhacking, vier Stunden Netzwerkhacking, um wirklich Aufgaben
00:37:57: zu lösen, wo man eben zum Beispiel bei Offensive Security deutlich größere Zeitrahmen,
00:38:02: also eine Aufgabe, die normalerweise so mit ein bis zwei Stunden einbepreist ist,
00:38:07: muss hier in 20 Minuten gelöst werden, sonst hat man keine Chance,
00:38:10: hier so ein Badge am Ende zu erbeuten.
00:38:12: Das ist schon richtig, richtig, also wir mögen harte Herausforderungen in dem
00:38:17: Bereich grundsätzlich,
00:38:18: weil wir dem auch spielerisch natürlich ein Stück weit gegenüberstehen und ob
00:38:22: jetzt da so ein Zettel an der Wand klebt oder nicht, da geht für uns die Welt nicht unter,
00:38:26: es versucht zu haben und hier einzusteigen und am Ende dann eben vielleicht
00:38:30: auch erst im zweiten Versuch durch so eine Prüfung zu kommen,
00:38:32: das ist für uns auch völlig fein.
00:38:34: Aber dieses Grundverständnis erstmal zu entwickeln dafür, was eben Ausnutzung ist.
00:38:40: Und das ist eben kein ganz technisches Thema, sondern das ist eben auch ganz
00:38:44: viel auf der prozessualen Ebene, dass man eben Prozessverschränkungen denkt.
00:38:48: Und da gibt es ein paar schöne Einsteigeraufgaben. Wie gesagt,
00:38:51: ich liefere die gern an und dann gern zur Weitergabe.
00:38:55: Unbedingt. Würde ich sogar tatsächlich dann auch hinten unten dann in den Shownotes
00:39:00: mal deine Kontaktdaten, wenn das okay ist, mit reinschmeißen,
00:39:03: damit man sich auch an dich wenden kann.
00:39:05: Weil vielleicht sagt ja jetzt auch der eine oder andere Hörer oder Hörerin,
00:39:09: Mensch, das ist echt cool und ich glaube, wir müssen uns da auch mal prüfen
00:39:12: lassen. Wie gesagt, wir gehen auch gerne miteinander zu euch.
00:39:16: Also wenn ihr jetzt Kunde der Pegasus seid, dann nehmen wir auch gerne den Donald mal mit.
00:39:20: Also da sind wir natürlich komplett offen.
00:39:23: Andere Frage an der Stelle. Jetzt leben wir ja in dem Zeitalter der KI.
00:39:28: Wie stark hat das denn eigentlich euer Tun verändert?
00:39:32: Jetzt ist es so, dass wir mit diesen Large Learning Models schon etwas länger,
00:39:36: weil wir eben einen Mitarbeiter haben, der in diesem Bereich immer ein bisschen geekig vorweg ist.
00:39:40: Der hat auch vor 30 Jahren schon angefangen, die ersten Drohnen-Mikrobausätze
00:39:44: sich zu entwickeln, mit automatischen Stabilisierungsgedöns und Ähnlichem.
00:39:49: Und natürlich hat er auch vor fünf Jahren schon angefangen, sich mit dem Thema
00:39:53: neuronales Netzwerk und wie kann ich das mit Denk-Input versehen.
00:39:56: Deshalb, also wir haben vor zwei Jahren schon so ein Modell gehabt,
00:39:58: da konnte man fragen, wie kann ich meinen Chef in die Luft sprengen mit baumarktüblichen
00:40:02: Gegenständen und hat hier tatsächlich ohne ethischen Filter Antworten bekommen.
00:40:07: Und wir haben auch vor zwei Jahren schon die ersten, doch vor zwei,
00:40:11: mittlerweile zwei Jahren, die ersten Deepfake-Videos an große Konzerne verkauft,
00:40:16: die damit eben ihre Leitungsebene sensibilisieren wollten, dass dieses Thema kommen wird.
00:40:21: Mittlerweile ist es ja so, dass man eben wirklich mit Heimwerker-Utensilien,
00:40:26: Zoom oder auch Teams-Meetings glaubwürdig crashen kann als andere Personen.
00:40:31: Und dass wir hier ganz neue Techniken drin haben, das ist maßgeblich.
00:40:35: Im Bereich Social Engineering kann ich eben heute mit Pimai und ähnlichen Tools
00:40:39: eben wirklich Gesichter wiederfinden.
00:40:42: Es ist erschreckend, wie gut diese Systeme sind.
00:40:45: Ich kann mit entsprechenden Stimmimitationen glaubwürdig beliebige Personen
00:40:51: mit geringer Trainingsbasis eben hier auch attackieren und spätestens seit Schutzmechanismen
00:40:57: mit KI überwunden werden können.
00:40:59: Sei das eben, dass das Thema Bruteforcing, also das Knacken von Kennwörtern
00:41:03: mit KI viel, viel schneller geworden ist. Sei es aber zum Beispiel auch das
00:41:07: mittlerweile, also Captcha, was ja entwickelt wurde, basierend in den 50ern auf dem Turing-Modell.
00:41:13: Captcha ist ja hier Computer Automated Program to Separate Computers from Human,
00:41:19: so in etwa ist die Definition.
00:41:23: Ja, klicke auf alle Fahrräder. Genau, klicke auf alle Fahrräder, sehr gut.
00:41:27: Und mittlerweile gibt es Computer, die das können. Also ich habe neulich das
00:41:31: wirklich mal getestet an mehreren Prompt, eine KI draufgesetzt und habe gesagt,
00:41:35: was ist das, was du da siehst?
00:41:37: Ich habe also quasi einen Screenshot gemacht von dem Captcha und habe die KI
00:41:41: gefragt, was siehst du hier?
00:41:42: Und die KI hat mir beschrieben, ich sehe ein Captcha, das ist ein Bild,
00:41:46: das gemacht wurde, um eben plausibel zu prüfen, dass nur ein Mensch diese Eingabe lesen kann.
00:41:51: Dafür werden eben wahllose Buchstaben und Ziffern mit einer zweiten Ebene unkenntlich
00:41:58: beziehungsweise verschwommen dargestellt. Und ein Mensch würde hier lesen und
00:42:02: dann hat er mir tatsächlich genau das geschrieben, was da steht.
00:42:05: Also das, was die menschliche Eingabe an der Stelle hätte sein sollen.
00:42:08: Also auch Captcha ist mehr oder weniger mittlerweile durch KI-Modelle überwindbar
00:42:13: geworden. Und das wird zum Beispiel im Moment stark ausgenutzt bei dem Abgreifen von Apple-IDs.
00:42:19: Angreifer gehen eben auf I forgot my password oder I forgot.apple.com.
00:42:25: Dort kann man eben eine E-Mail-Adresse, also eine Apple-ID eingeben und dann
00:42:31: eben quasi Zurücksetzcodes anfordern.
00:42:33: Und das Ganze ist mit dem Captcha geschützt. Und Angreifer können eben mittlerweile
00:42:37: pro Minute 100 solche Captcha, solche Anfragen auslösen, weil sie eben KI-basiert Captcha sprengen.
00:42:44: Also wir werden, glaube ich, in der Zukunft Angriffe überwiegend mit KI-Unterstützung
00:42:49: sehen, also entweder Tool-basiert oder sogar durchautomatisiert.
00:42:53: Und diese Angriffe werden dann auch in ihrer Genialität, in ihrer Ereignismenge,
00:42:59: in ihrer Komplexität durch Menschen allein nicht beherrschbar sein.
00:43:02: Es wird immer Menschen brauchen, glaube ich, die diese Angriffe orchestrieren,
00:43:07: die eben gerade dieses Out-of-the-Box-Thinking quasi organisieren und damit
00:43:12: eben auch quasi managen.
00:43:13: Aber die Wahrnehmung der Sicherheitsüberwachung selbst wird,
00:43:17: denke ich, immer mehr dann den Maschinen auch in die Hände gehen.
00:43:21: Übrigens, zu dem Deutschlands bester Hacker, ich finde dieses Projekt von Marco
00:43:24: großartig, weil es eben hilft, mal dieses Thema Hacking aus der dunklen Ecke wieder rauszuziehen.
00:43:30: Wie du am Anfang schon sagtest, Hacking kommt ja eigentlich nicht aus der bösen Welt.
00:43:34: Hacking ist was, was ursprünglich von Enthusiasten am MIT in Boston gestartet
00:43:39: wurde, um eben einfach Dinge, zusätzliche Funktionen zu finden,
00:43:43: Dinge miteinander zu verbinden, sich quasi Mehrwerte.
00:43:45: Man kennt ja das Live-Hacking, dass ich mit einer Muffinform mir ein tolles
00:43:49: Ei zubereiten kann oder was auch immer mit Käse drin.
00:43:52: Live-Hacks sind überall und dass wir eben mit Computern hacken,
00:43:56: bringt uns ja auch grundsätzlich weiter.
00:43:58: Und deshalb finde ich eigentlich schön, dass man mit dem Thema Hacking auch
00:44:01: mal aus der dunklen Ecke rauskommt, auch klar macht, es gibt das Thema ethisches
00:44:05: Hacken und hier hilft so ein Projekt wie Deutschlands Bester Hacker natürlich,
00:44:08: um einfach das Thema mit einer gewissen Prominenz auszustatten.
00:44:12: Ja, sehe ich ganz genauso und ist auch, glaube ich, super wichtig,
00:44:17: da auch für mehr Transparenz zu sorgen.
00:44:19: Ja, das klingt alles nach einem sehr spannenden und abwechslungsreichen Leben,
00:44:24: was du da so führst, Donald.
00:44:26: Was machst du denn, um mal abzuschalten und zur Ruhe zu kommen,
00:44:30: deine eigene persönliche Resilienz auch aufrechtzuerhalten?
00:44:35: Tatsächlich bin ich in diesem Leben hier so gefangen, dass das auch meine Freizeit
00:44:39: ist. Also wenn ich Freizeit habe, setze ich mich tatsächlich ins Auto oder Flugzeug
00:44:43: und fahre dahin, wo ich Menschen treffe, die sich über ihre Arbeit hinaus mit
00:44:47: solchen Themen auseinandersetzen.
00:44:48: Und das, was dann an Zeit bleibt, das verbringe ich wie wohl hoffentlich die
00:44:53: meisten eben dann auch mit der Familie.
00:44:55: Also dass ich jetzt noch zusätzlich Zeit für Freunde und Skateabende habe,
00:45:00: findet tatsächlich in meiner Welt nicht statt.
00:45:03: Ja, krass, auf jeden Fall. Aber das ist oft so, wenn man was wirklich gerne
00:45:07: macht und einen das auch über den Feierabend hinaus begleitet, dann ist das häufig so.
00:45:12: Und ja, das hat halt auch natürlich durchaus was von Leidenschaft.
00:45:16: Das habe ich auch tatsächlich gemerkt, als wir uns kennengelernt haben.
00:45:19: Und wenn man mit dir sich so unterhält, dass du das wirklich lebst,
00:45:22: was du da so erzählst, das ist für dich eben nicht nur ein Job,
00:45:25: sondern das ist dein Leben.
00:45:27: Und das merkt man, wie gesagt, in dem, was du tust.
00:45:29: Finde ich wirklich auch sehr interessant und auch sehr spannend,
00:45:33: dass es Gott sei Dank immer noch Leute gibt,
00:45:35: die eben auch über den Feierabend hinaus sich mit Dingen weiter beschäftigen,
00:45:40: weil sonst kommen wir nicht weiter und von einer 32-Stunden-Woche oder einer
00:45:45: Drei-Tage-Woche, glaube ich, brauchst du dich gar nicht mehr zu beschäftigen.
00:45:49: Ich habe trotzdem keine Angst vorm Burnout, weil wie gesagt,
00:45:53: ich habe das große Glück, dass ich mein Hobby zum Beruf gemacht habe und das
00:45:57: gibt mir die Möglichkeit, eben meine Leidenschaft beruflich auch zu sponsoren.
00:46:02: Und das mag das Finanzamt dann nicht immer nachvollziehen können,
00:46:05: ob das notwendig ist für die weitere berufliche Entwicklung,
00:46:08: aber es hat auf jeden Fall den Vorteil, dass wir eben ganz viele Umgebungen
00:46:12: uns bereitlegen können und der Satz, Donald, wann schläfst du eigentlich, fällt schon öfter.
00:46:20: Ja, wunderbar. Damit sind wir
00:46:22: tatsächlich schon bei der letzten Frage angekommen für unser Interview.
00:46:25: Und zwar frage ich das eigentlich jeden Gast und jede Gästin,
00:46:29: sagt man das so? Ich glaube, das sagt man Gästin.
00:46:31: Hast du denn abschließend noch eine Nachricht oder eine Botschaft,
00:46:35: die du unserer Hörerschaft mitgeben möchtest?
00:46:38: Ja, sehr gern. Seid positiv. Also seid immer positiv, bleibt positiv,
00:46:43: bleibt menschlich, bleibt fair miteinander, versucht euch nie auf die dunkle Seite ziehen zu lassen.
00:46:48: Wir leben in einer Zeit, wo das Thema informationelle Selbstbestimmung vor ganz
00:46:53: neue Herausforderungen gestellt wird.
00:46:56: Und hier offen zu sein und eben auch gerade mal vielleicht auch für den Alltag,
00:47:01: auch für den politischen Alltag out of the box sich einzulassen,
00:47:04: dabei aber immer daran zu denken, auch bei Informationssicherheit,
00:47:08: das ist nur Technik, ja bei allem, was wir tun,
00:47:10: auch ein bisschen die Demut zu bewahren vor dem großen Ganzen.
00:47:13: Das finde ich, glaube ich, sehr wichtig.
00:47:15: Und wenn wir da gerade im Umgang miteinander darauf achten, dass das das Wichtigste
00:47:20: ist, ja, das, was wir Menschen können, das Allerwichtigste ist, dass wir sozial sind.
00:47:24: Das hat uns hier in der Schöpfungsgeschichte da nach ganz oben geworfen.
00:47:28: Und diese Sozialkompetenz, die sollte bei all dem, was wir tun,
00:47:32: immer erhalten bleiben. Vielen Dank dafür.
00:47:35: Das ist ein wundervolles letztes Wort tatsächlich.
00:47:37: Oder so wie es du auch auf deiner letzten Folie aus dem Training,
00:47:40: was wir bei dir genießen durften, stand.
00:47:43: Du glaubst zwar nicht an Einhörner, aber die Einhörner glauben an dich.
00:47:46: Das hat mir auch sehr gut gefallen. Jawohl.
00:47:49: Gut, wunderbar. Donald, dann vielen Dank. Wie gesagt, ihr findet alles notwendige
00:47:54: Begleitmaterial unten in den Shownotes. Guckt da einfach mal rein.
00:47:57: Meldet euch gerne bei uns. Meldet euch gerne auch beim Donald.
00:48:00: Wie gesagt, auch seine Kontaktdaten findet ihr auch unten in den Shownotes.
00:48:04: Und ansonsten, wenn euch die Folge gefallen hat, freue ich mich natürlich,
00:48:07: wenn ihr uns eine positive Bewertung dalasst.
00:48:10: Man kann uns auf sehr vielen Plattformen bewerten.
00:48:13: Gebt auch gerne mal, wenn ihr uns auf Spotify hört, dort direkt Feedback.
00:48:16: Ihr habt gerade exklusiv bei Spotify die Möglichkeit, dort auch Fragen zu stellen.
00:48:21: Und wenn ihr sagt, ich habe aber keine Lust zu tippen, dann nutzt auch gerne
00:48:24: unseren Sprachnachrichtendienst von Speakpipe. Da könnt ihr mir auch eine Sprachnachricht dalassen.
00:48:29: Die baue ich dann irgendwann in einer der nächsten Folgen auch gerne mit ein.
00:48:32: Und ja, damit bleibt mir nur zu sagen,
00:48:35: Donald, ich wünsche dir noch einen wunderschönen Tag, einen guten Flug.
00:48:38: Ich habe vorhin, bevor wir auf Aufnahme gedrückt haben, gehört,
00:48:40: du fliegst jetzt dann. einen guten Flug und ja, euch, liebe Zuhörerinnen und
00:48:46: Zuhörer, noch eine gute Woche, eine gute Nacht, je nachdem, wenn ihr uns hört.
00:48:50: Und dann freue ich mich, wenn wir uns beim nächsten Mal zu Blue Screen wiederhören.
00:48:54: Macht's gut. Danke dir, Donald. Bis dann. Ciao.
00:48:57: Music.
Neuer Kommentar