084: Die pen.sec AG stellt sich vor! Mit Thomas Michalski, CEO

00:00:07: Ja, hi und willkommen zu einer weiteren Folge von Blue Screen,

00:00:10: eurem Lieblings-Tech-Podcast.

00:00:11: Ich bin Alex, ihr kennt mich aus den bisher wahrscheinlich über 80 Episoden,

00:00:16: die dieser Podcast schon gemacht hat. Ich habe heute ein absolut spannendes Thema für euch dabei.

00:00:19: Das haben wir bei mir in den Wissen-Folgen ja auch schon mal gehabt.

00:00:23: Da hatten wir so ein bisschen über Penetration-Testing, beziehungsweise kurz

00:00:26: Pentesting geredet. Und da hatte ich die Frage aufgestellt, ob denn Pentester

00:00:30: die Leute sind, die beim Städtler zum Beispiel sitzen und Kugelschreiber ausprobieren.

00:00:34: Und das konnte ich natürlich damals auch aufklären. Nein, die testen keine Kugelschreiber,

00:00:38: sondern die testen quasi IT-Systeme.

00:00:40: Und ich habe mir heute jemanden zu mir geholt, den Thomas Michalski von der

00:00:43: PenSec, der das tatsächlich auch beruflich macht.

00:00:46: Hi, Thomas. Hallo, Alex.

00:00:49: Ja, schön, dass du heute die Zeit gefunden hast. Ich gehe davon aus,

00:00:52: du hast mit Sicherheit auch einen doch vielleicht ganz nervenaufreibenden Job manchmal.

00:00:57: Wenig Zeit. Deswegen ist es umso mehr mir eine große Freude,

00:01:01: dass du heute dir für uns die Zeit nimmst.

00:01:03: Erzähl doch mal ein bisschen über dich. Wer bist du und was machst du?

00:01:07: Ja, erstmal vielen, vielen Dank für die Einladung. Hat mich sehr gefreut.

00:01:11: War tatsächlich am Anfang natürlich schwierig, einen Termin zu finden.

00:01:13: Das ist sowas, was wir eigentlich im Sommer in der Korrespondenz standen,

00:01:16: jetzt im Oktober dann aufnehmen. Ja, stimmt.

00:01:19: Ja, war ein sehr, sehr aufreibendes Jahr. Wir werden dann später noch dazu kommen.

00:01:24: Grundsätzlich, letztendlich bin ich ein Pentester. Ich bin, eigentlich sehe

00:01:28: ich mich selber als IT-Sicherheitsberater, IT-Security-Berater,

00:01:31: Cyber-Security-Berater, also im gesamten Portfolio.

00:01:35: Ich hatte das Vergnügen oder das Glück, dass ich sehr früh in diese Materie

00:01:38: eintauchen durfte und von der Schule hinweg bis zum Militär und dann letztendlich

00:01:43: dann 2017 auch gründen durfte. Genau und wir führen im Prinzip Penetrationstest durch.

00:01:48: Das heißt, wir versuchen in andere Systeme, in andere Netzwerke,

00:01:51: in andere Geräte oder aber auch

00:01:53: in Gebäude einzudringen, um den Kunden letztendlich, der uns beauftragt,

00:01:59: zu sagen, guck mal, hier sind eure Schwachstellen, da müsst ihr mal genauer

00:02:01: hingucken und das würde ein böser Bube vielleicht auch ausnutzen und da könnt

00:02:05: ihr die Schotten dicht machen.

00:02:07: Das macht ihr natürlich nicht unbeauftragt, also just for fun.

00:02:11: Ich habe so manche Leute auf LinkedIn, die haben so Sätze da drin stehen.

00:02:15: Bei einem stand, ich hacke ihr Unternehmen und sage ihnen, wie ich es gemacht

00:02:18: habe und dann denke ich mir auch so, das ist vielleicht jetzt nicht die beste

00:02:21: Idee, das so zu kommunizieren, sondern ich erst mit Auftrag. Ja, natürlich.

00:02:27: Auf jeden Fall, ja. Also das ist ja am Anfang, wir sprechen immer von der,

00:02:30: kommst aus der Gefängnis freie Karte.

00:02:32: Du brauchst natürlich einen Auftrag, du brauchst noch irgendwas,

00:02:35: also gerade wenn du jetzt auch physisch vor Ort bist und dort irgendwie aufgeschnappt

00:02:38: wirst, dann sollte man schon die Möglichkeit haben, da zu sagen,

00:02:42: ich mache das hier mit Recht und es ist alles soweit sicher,

00:02:45: macht euch keine Gedanken, ich darf das.

00:02:47: Und natürlich im Netzwerk sowieso. Also da haben wir dann auch schon den einen

00:02:50: oder anderen Anruf erhalten, wo dann ein Host, der dann quasi gesagt hat,

00:02:53: was machen Sie in unserem Server, in Ihrem Server.

00:02:57: Also das ist dann auch interessant, wie dann die Kommunikation dann im Hintergrund stattfindet.

00:03:00: Der Kunde hat uns Bescheid gesagt. Der Kunde hat dem Reseller Bescheid gesagt.

00:03:03: Aber der Reseller hat nicht seinem Host Bescheid gesagt.

00:03:06: Also solche Dinge passieren dann auch. Aber kann man dann eigentlich relativ

00:03:10: unproblematisch lösen, wenn man ja dementsprechend beauftragt ist und für alles

00:03:13: eigentlich die Erlaubnis hat.

00:03:15: Absolut, absolut. Aber eine Sache, die geht vielleicht schon ein bisschen tief

00:03:18: rein, aber mir geht es so, weil wir machen ja auch Schwachstellen,

00:03:23: Scannings und Assessments für unsere Kunden, wo die uns ja auch sagen, hey, guckt doch mal,

00:03:27: was könnt ihr vielleicht für eine Schwachstelle bei uns mit automatisierten

00:03:30: Scans sehen oder auch bei einer Auditierung, wenn es dann um die Begehung geht,

00:03:35: dass man guckt, wo sind Türen nicht

00:03:36: abgeschlossen und so weiter oder auch Bildschirme quasi nicht gesperrt.

00:03:40: Es entwickelt sich bei mir zu so einer Art Berufskrankheit, dass ich mittlerweile überall,

00:03:46: wo irgendwie ein PC frei rumsteht, auch irgendwie in einem Geschäft oder so,

00:03:50: so Terminals, die eigentlich für die Mitarbeiter dort da sein sollten,

00:03:53: ich irgendwie es nicht oder nur schwer lassen kann, mal kurz an der Maus zu

00:03:56: wackeln, um zu gucken, ist der Rechner gesperrt?

00:03:59: Oh, cool, ich könnte jetzt hier Dinge tun möglicherweise und so weiter.

00:04:02: Geht es dir da auch so? Ich fühle mit dir, ja.

00:04:05: Es ist wirklich problematisch. Wenn man da in diese Richtung wirklich sensibilisiert

00:04:09: ist, Und dann sieht man Dinge, die man eigentlich gar nicht sehen möchte,

00:04:12: wo man sich echt denkt, boah,

00:04:14: also gerade wenn wir zum Beispiel beim Arzt sind oder sowas mit den Kindern

00:04:18: und du sitzt da drinnen und dann kriegst du einen Platz zugewiesen,

00:04:21: wo du direkt quasi hinter dem Arzt sitzt und auf dem Bildschirm mitschaust und

00:04:24: dann die Patientenakten von irgendwelchen Menschen mitlesen kannst und du echt

00:04:27: denkst, ich möchte das nicht sehen.

00:04:29: Und eigentlich müsstest du jetzt was sagen. Und ich bin dann auch jemand, der dann auch was sagt.

00:04:32: Und dann werde ich aber auch mal komisch angeschaut. So, ja.

00:04:35: Stellen Sie sich doch nicht so an. Sie müssen ja nicht hingucken.

00:04:38: Das ist nicht die Problematik. Ja, also das ist genau der Punkt.

00:04:42: Das sieht man leider sehr, sehr häufig.

00:04:45: Und man wird dahingehend sensibilisiert, dass man da auch solche Dinge dann einfach wahrnimmt.

00:04:50: Und jetzt auch gerade mit der Projekt 29, da ist der Fokus mehr auf den Datenschutz.

00:04:55: Also was da zum Teil alles schiefläuft, wo man echt denkt.

00:04:58: Ja, du machst gerade eine Klammer auf Projekt 29. Vielleicht sollten wir den

00:05:03: Zuhörern mal erklären, wie das Ganze hier überhaupt zustande gekommen ist,

00:05:06: dass wir beide uns unterhalten.

00:05:07: Denn ich war dieses Jahr in Berlin auf der Tagung vom Berufsverband der Datenschützer

00:05:14: und da hatte Projekt 29, eine Firma aus Regensburg im Osten der Stadt, einen Stand.

00:05:21: Ich habe mir die Flyer so angeguckt und habe mir gedacht, das ist ja cool,

00:05:24: was die machen. Und dann sehe ich, ach so, ja, ihr seid ja aus Regensburg.

00:05:26: Cool, ich bin auch aus Regensburg.

00:05:28: Und dann bin ich mit, tatsächlich, habe ich im Nachhinein festgestellt,

00:05:31: mit deiner Frau ins Gespräch gekommen und die hat mir dann gesagt,

00:05:34: du, mein Mann, der macht auch IT-Security-Themen und so, guck dir den doch auch mal an.

00:05:39: Dann habe ich mir dein Profil angeguckt bei LinkedIn und habe dir dann geschrieben,

00:05:42: habe gesagt, Mensch, wir könnten uns mal unterhalten.

00:05:45: Und dann, um den Bogen noch größer zu machen, habe ich festgestellt,

00:05:49: dass sowohl du als auch wir von der Pegasus ja Mitglied im IT-Sicherheitscluster

00:05:53: in Regensburg hier sind.

00:05:55: Da war ja erst kürzlich der CEO bei uns hier im Interview, der Matthias Kampmann.

00:06:00: Und ja, so klein ist die Welt dann doch wieder. Also die Erkenntnis tatsächlich,

00:06:04: dass wir auch bei dem Cluster sind, die ist mir erst am Dienstag gekommen.

00:06:09: Da war die Vorstandssitzung des IT-Sicherheitsclusters. Ich bin Teil der Vorstandschaft.

00:06:14: Und da erzählte Matthias total euphorisch von seinem Podcast und wie er da geredet

00:06:18: hat und dass er keinen Punkt und Komma gekannt hat.

00:06:20: Und als er schon mal überlegen ist, oh je, oh je, oh je, aber ihr kennt mich

00:06:23: ja, so bin ich halt nun mal.

00:06:25: Und dann habe ich so rüber geguckt und so, na du, hast du einen Podcast?

00:06:28: So, nee, ich habe keinen Podcast, ich bin eingeladen worden von der Pegasus IT.

00:06:32: So, Pegasus IT, Pegasus IT, das sagt mir irgendwas.

00:06:34: Wo habe ich den Namen schon mal gehört, wo habe ich den Namen schon mal gehört?

00:06:37: So, und als er dann Alexander Karls gesagt hat, habe ich gesagt,

00:06:39: ah, natürlich, da bin ich auch in zwei Tagen.

00:06:42: Und so hat sich dann der Kreis geschlossen, ja. Genau, die Projekt 29 ist jetzt

00:06:47: tatsächlich, beziehungsweise die P29 Group, das ist jetzt eine große Transformation gehabt.

00:06:50: Da würde ich jetzt auch eine Frage vorgreifen, weil du hast da noch drinnen

00:06:53: stehen, die InModus GmbH.

00:06:55: Also zur ganzen Geschichte von mir.

00:06:58: Letztendlich habe ich 2017 mein Unternehmen, die in Modus GmbH, gegründet.

00:07:02: Habe quasi Pentest angeboten, Schwachstellenanalysen, Security in diesem Bereich

00:07:06: dann die Kunden unterstützt.

00:07:08: Und seit April arbeite ich jetzt mit der P29 Group, mit dem Christian Volkmar zusammen.

00:07:14: Habe quasi meine Assets mit in die Pensec AG gebracht, sodass ich jetzt quasi

00:07:18: der Vorstand der Pensec AG bin.

00:07:20: Die Firmen im Prinzip verschmolzen sind, wir da eine Fusion hatten und jetzt

00:07:23: aber aus der Group heraus quasi dann anbieten können, die Angreiferperspektive,

00:07:28: die Anwaltsperspektive mit der Ratesponer Compliance.

00:07:31: Wir haben auch eine IT-Dienstleistung mit an Bord, die Itago und natürlich Projekt

00:07:35: 29 als Datenschutzer, als ISMS-Beauftragte, in dem wir hatten,

00:07:40: so ein starkes Portfolio anzubieten, um da kurz den Bogen zu spannen und ein

00:07:44: rundes Bild zu zeichnen.

00:07:46: Ja, jetzt könnte sich vielleicht der ein oder andere fragen,

00:07:49: ja, das ist ja Konkurrenz zur Pegasus. Aber wer den Podcast schon länger hört,

00:07:54: der weiß das, dass wir hier nicht nur Hersteller und Kunden zu Wort kommen lassen,

00:07:59: sondern natürlich auch einfach...

00:08:00: Marktbegleiter, weil ich sage mal, die Zeiten, in denen man sich irgendwelche

00:08:05: harten Bandagen irgendwie gegenseitig bietet, die sind meiner Meinung nach vorbei,

00:08:10: Gott sei Dank und das ist auch fehl am Platze, weil letzten Endes haben wir

00:08:14: eigentlich alle das gleiche Ziel.

00:08:15: Wir wollen halt einfach die Systeme unserer Kunden, gerade jetzt im Mittelstandsbereich,

00:08:19: einfach sicherer machen und wir möchten halt einfach Aufklärung betreiben und

00:08:23: deswegen ist es mir halt auch einfach ein großes Anliegen, immer entsprechend

00:08:27: auch mal andere Perspektiven da reinzukriegen.

00:08:29: Wir hatten hier auch schon andere Leute aus dem Security-Bereich.

00:08:33: Wir hatten hier den Robert Wortmann von Trend Micro, ja, auch theoretische Konkurrenz,

00:08:37: den Donald Ortmann von WeDoIt aus Hamburg, Don Luigi.

00:08:40: Von dem her macht es natürlich absolut Sinn und mir ist es auch einfach ganz

00:08:44: wichtig, dass wir halt auch eine Perspektive mal im Podcast oder auch auf unserem

00:08:48: YouTube-Kanal bekommen von Leuten,

00:08:51: die es halt nicht mit der Pegasus-Brille sehen, sondern mit ihrer eigenen persönlichen

00:08:54: Brille, wie es halt in dem Unternehmen halt so vorgeht. Und das finde ich halt wirklich praktisch.

00:08:59: Und was mich auch sehr freut, ist natürlich, durch diesen Zufallstreffer in

00:09:02: Berlin habe ich festgestellt und gelernt, wir haben quasi um die Ecke jemanden,

00:09:07: der auch Penetration-Testing machen kann und sollte da Bedarf sein,

00:09:11: ist es natürlich für mich auch immer eine super Sache, einfach auf ein Netzwerk zurückgreifen zu.

00:09:15: Mit Sicherheit hast du das auch schon erlebt. Du hast einen Vorfall. Es ist Freitagnacht.

00:09:19: So, und dann fängst du das Grübeln an. Ich komme selbst nicht zum Punkt.

00:09:22: Ich verstehe es nicht. Was ist hier das Problem? Oder ich bräuchte hier noch mehr Hände.

00:09:26: Ja, dann fängst du halt an, deine Kontaktliste zu durchwühlen.

00:09:29: Und dann ist es jeder, der dir helfen kann, nochmal ein Bonus für den Vorfall.

00:09:33: Absolut, absolut. Das ist genau das Mindset, was ich auch vertrete.

00:09:37: Und deswegen war das mir auch ein großes Anliegen herzukommen,

00:09:40: weil ich mir gedacht habe, das ist genau der Punkt.

00:09:41: Wir haben, also ich sage jetzt mal, diesen klassischen Futterneid,

00:09:44: wie man ihn eigentlich so häufig hört,

00:09:46: das habe ich jetzt persönlich noch nie wahrgenommen und habe auch noch nie eine

00:09:50: Notwendigkeit dazu, weil es wirklich so viel, ehrlich gesagt,

00:09:53: so viel Arbeit gibt, das Ganze zu bewerkstelligen, dass wir stellenweise auch

00:09:56: sagen, wir können gerade nicht mehr. Wir sind am Rande unserer Kapazitäten.

00:10:00: Wir sehen, da ist eine Priorität da. Dann vermitteln wir auch weiter und sagen,

00:10:03: könnt ihr uns da unterstützen?

00:10:04: Wie können wir da zusammenarbeiten? Welchen Dimensionen könnt ihr uns vielleicht unterstützen?

00:10:08: Hör mal, du bist in der Nähe von Hamburg. Kannst du da vielleicht selber hinfahren

00:10:10: und gucken, wollen wir eine forensische Analyse vielleicht durchführen nach einem Angriff?

00:10:14: Also da ist das Netzwerk super wichtig. Und das war letztendlich auch der Grund

00:10:18: für die Entscheidung, um die Sicherheitsklasse zu gehen.

00:10:19: Weil da hast du im Prinzip lauter Mitbewerber, lauter Konkurrenten,

00:10:22: die eigentlich alle das Gleiche anbieten.

00:10:23: Aber da auch gemeinsam die Köpfe zusammenzustecken und zu überlegen,

00:10:26: Auf der einen Seite natürlich, wie positioniere ich mich am Markt?

00:10:29: Aber auf der anderen Seite auch sich wirklich auszutauschen und zu sagen...

00:10:32: Hör mal, was können wir denn machen, um jetzt da diese Welt ein Stück sicherer zu machen?

00:10:36: Das klingt jetzt ein bisschen altruistisch, aber letztendlich war das damals

00:10:38: der Gedanke meiner Gründung, zu sagen, ich will die Welt ein Stück sicherer machen.

00:10:42: Es ist oft genug frustrierend, wo man sich echt denkt, Ergebnisse sieht man selten.

00:10:46: Meistens läuft es ja dann und irgendwie ist es super. Und wenn ich eine Garage

00:10:49: maue, dann steht am Ende eine Garage da und ich weiß, ich habe irgendwas geschafft.

00:10:52: Aber gerade diese Bewegung da, die Welt sicherer zu machen, wir stehen vor so

00:10:57: vielen Herausforderungen.

00:10:59: Da braucht es im Prinzip jeden Mann und jede Frau. Also das ist,

00:11:02: das finde ich ganz bei dir.

00:11:03: Ja, das Thema Fachkräftemangel und Überlastung ist natürlich schon gerade in

00:11:07: unserer Branche ein Thema.

00:11:08: Also sehen wir bei uns selber natürlich ganz genauso.

00:11:12: Und ich sage mal, letzten Endes ist es für das Opfer von egal welcher Art des

00:11:17: Cybervorfalles einfach nur wichtig, dass ihm halt geholfen wird.

00:11:20: Also das war auch unser Beweggrund zu sagen, wir engagieren uns beim BSI in

00:11:24: diesem Cybersicherheitsnetzwerk durch digitale Ersthelfer, die wir stellen,

00:11:28: durch Vorfallexperten, weil halt die Aufklärungsquote nach wie vor einfach super niedrig ist.

00:11:32: Also ja, das BKA sagt, wir haben jetzt eine Steigerung, aber wenn du mal guckst,

00:11:37: wie weit wir halt von einer hundertprozentigen Aufklärungsquote,

00:11:40: die halt Utopie eigentlich meiner Meinung nach ist,

00:11:43: entfernt sind, dann ist es halt einfach wirklich jeder einzelne Mensch,

00:11:46: der sich daran beteiligt, kann halt helfen.

00:11:48: Und oft denkst du dir halt auch, ja, okay, sagst du jetzt dem Kunden,

00:11:52: gib die Informationen weiter oder ist es eigentlich so low-level der Angriff

00:11:56: gewesen, dass du sagst, ach komm, passt schon, es ist nicht viel passiert, ist in Ordnung.

00:12:00: Aber ich sage, jede einzelne Vorgehensweise, jeder Angriff und jede IP-Adresse,

00:12:05: die da beteiligt gewesen ist auf Angreiferseite, hilft natürlich letzten Endes

00:12:09: auch den Ermittlungsbehörden, sei es jetzt beim BKA,

00:12:12: sei es beim LKA oder bei den verschiedenen Polizeidienststellen und dem ZAK.

00:12:16: Also ich finde, man kann da gar nicht zu viel machen. Ja, definitiv.

00:12:20: Das deckt sich mit unseren Erfahrungen. Wir haben jetzt eine Zeit lang für eine

00:12:24: große Versicherung auch Incident Response gemacht in dem Bereich.

00:12:27: Wo wir dann auch, wenn wir da in die Analyse gegangen sind, erstmal festgestellt

00:12:30: haben, natürlich, wie ist Angreifer reingekommen und letztendlich zum Teil auch

00:12:32: die Verhandlungsführung übernommen haben, um wieder an die Daten ranzukommen.

00:12:36: Aber die Zusammenarbeit mit Polizei, mit den Behörden ist eigentlich wirklich immer top gewesen.

00:12:40: Und wenn man da die richtigen Kontakte hat, dann hat man vielleicht den einen

00:12:42: oder anderen Möglichkeit, da doch noch an irgendeinen Schlüssel ranzukommen,

00:12:45: um die Daten zu entschlüsseln.

00:12:47: Also das ist schon sehr, sehr wertvoll.

00:12:50: Ja, absolut. Und ich merke auch, die Skills sind besser geworden,

00:12:54: sowohl bei lokalen Polizeidienststellen als auch bei Banken zum Beispiel und Versicherungen.

00:12:59: Also ich bin manchmal wirklich erstaunt, mit welcher Reaktionsfreudigkeit die

00:13:03: Gegenseite dann quasi auch mitspielt bei der ganzen Geschichte.

00:13:06: Und da merkt man halt auch, dass das Thema langsam halt auch aus dem C-Level

00:13:11: heraus nach unten geplätschert ist in die jeweiligen Fachbereiche,

00:13:14: wo es halt auch eigentlich dann letzten Endes hingehört. Genau.

00:13:16: Man muss halt auch wissen, muss man an dieser Stelle vielleicht der Vollständigkeit

00:13:18: halber sagen, ich muss auch wissen, an wen ich mich wenden muss.

00:13:21: Also ich habe eine Freundin von mir, die ist bei Ebay reingefallen auf so ein

00:13:24: Ziegelstein-Versandpaket-Trick.

00:13:26: Und die gesagt hat, krass, hätte ich jetzt nicht gedacht, dass es sowas noch

00:13:29: gibt. Es gibt doch einfache Möglichkeiten, Geld zu verdienen als Krimineller.

00:13:32: Die ist damit dann auch zur örtlichen Polizei gegangen. Und der gute Herr Polizist

00:13:36: hat dann gesagt, ja Mädel, warum bestellst du da überhaupt was im Internet?

00:13:39: Das macht man halt nicht. Das weiß doch jeder, dass man das nicht macht.

00:13:41: Dann wirst du nur übers Ohr gehauen. und habe mir gedacht, habe ich es so auch

00:13:44: lange nicht mehr gehört.

00:13:47: Aber genau, hat mich dann quasi dementsprechend kontaktiert und wenn man dann

00:13:50: weiß, an wen man da verweisen muss, an die richtigen Stellen,

00:13:53: dann ist das schon wieder was anderes.

00:13:54: Aber war dann auch interessant, diese Perspektive nochmal zu sehen,

00:13:57: wo ich gesagt habe, okay, krass, das gibt es auch noch.

00:14:00: Wenn ich jetzt mal in die Kundenrolle schlüpfe, wie würdest du mir denn die

00:14:04: Dienstleistungen von InModus beziehungsweise von PenSec pitchen? Warum ist das wichtig?

00:14:10: Warum sollte ich das beauftragen?

00:14:13: Letztendlich ist es so, dass man oftmals den Wald vor lauter Bäumen selber gar nicht mehr sieht.

00:14:17: Und da ist dann einfach die Perspektive eines Externen einfach sinnvoll.

00:14:21: Ich meine, das, was wir finden, ist manchmal wirklich gravierend und dann können

00:14:25: wir über einen Drucker Domain-Admin-Rechte erhalten und alle fragen sich,

00:14:28: wie konnte das passieren?

00:14:30: Oder es sind auch einfach konzeptionelle Gedanken, die sich dann ergeben.

00:14:34: Also ich nehme immer beim Akquisegespräch dann immer das Beispiel,

00:14:37: wir sagen euch, im Keller brennt Licht.

00:14:39: Und dann gibt es mehrere Möglichkeiten. Wir stellen auf eine technische Art

00:14:42: und Weise fest, da ist etwas, was vielleicht nicht so sein soll.

00:14:45: Und dann ist der Kunde letztendlich da, der dann sagen muss,

00:14:48: ja, aber es muss ja im Lichtkeller brennen, weil wir arbeiten da drinnen und

00:14:51: wir brauchen das ganz dringend.

00:14:52: Und dann gibt es wieder Möglichkeiten, wie man das dementsprechend abhärten

00:14:55: kann, zum Beispiel mit Eisenstäben vor dem Fenster oder sonst irgendwas.

00:14:59: Also so diese bildliche Sprache, das Vereinfachen, das ist etwas,

00:15:03: was wir sehr gerne machen beim Kunden, weil vielen einfach dieser Blickwinkel der IT fehlt.

00:15:10: Beim Bund haben wir immer gesagt, hat die Informatik das Problem gehabt,

00:15:13: es raucht nicht, es stinkt nicht, es macht keinen Krach.

00:15:16: Man sieht davon eigentlich gar nichts. Es läuft und wenn es läuft,

00:15:18: dann fragt man sich, wozu bist du eigentlich hier?

00:15:20: Und wenn es nicht läuft, dann fragt man die Leute, ja, was macht ihr den ganzen Tag? Es läuft ja nicht.

00:15:25: Und das zu verpacken, dass die Leute das verstehen und sehen,

00:15:29: was eigentlich im Hintergrund eigentlich alles passiert, das ist einfach die

00:15:31: Kunst, das dann erstmal näher zu bringen.

00:15:33: Das ist im Prinzip das, wovon der Geschäftsführer, der CISO,

00:15:36: der IT-Abteilungsleiter profitiert, die dann sagen, wir haben jetzt hier Externe,

00:15:40: die gesagt haben, das, das und das funktioniert nicht, aber auch gesehen haben,

00:15:44: das ist super, das ist super.

00:15:45: Und vielleicht haben sie da noch

00:15:46: zwei Stellschrauben, an denen wir drehen müssen, damit es besser wird.

00:15:49: Oder haben auch eine ganz andere Perspektive und fragen so, warum macht ihr

00:15:52: das jetzt eigentlich so, wie ihr das macht?

00:15:53: Es gibt doch seit zwei Jahren eine Möglichkeit, das ganz anders zu machen,

00:15:58: viel schneller und kostenreduzierender.

00:16:00: Also das ist einfach diese Perspektive. Von außen ist es, glaube ich,

00:16:03: das der größte Mehrwert, den man da bieten kann.

00:16:05: Und natürlich auch das Know-how. Wir haben eine ganz andere Perspektive.

00:16:08: Ein IT-Administrator hat die Perspektive, es muss laufen, er muss die Systeme am Laufen halten.

00:16:14: Dann kommt mal der Abteilungsleiter und sagt, wir brauchen mal ganz schnell

00:16:16: eine Portfreigabe nach sonst wohin. Und,

00:16:20: Im Tagesgeschäft passieren viele, viele Dinge einfach schnell.

00:16:23: Nichts ist so beständig wie das Provisorium, haben wir auch festgestellt.

00:16:27: Das sind dann so Dinge, wo man dann sagen kann, wir gucken uns das an mit einem

00:16:30: Abstand, den der Kunde eigentlich gar nicht aufbauen kann erstmal und gehen

00:16:34: dann aber auch in eine kontinuierliche Beratung rüber.

00:16:36: Also wir unterstützen, wir machen dann den Bericht fertig, wir schreiben die

00:16:39: Berichte, der Kunde kriegt das und kann dann dementsprechend,

00:16:42: wie er möchte, das selber abarbeiten und sagen, ja, also wir kümmern uns darum.

00:16:46: Der kann dann sagen, boah, das ist echt so viel, wir brauchen da Hilfe.

00:16:50: Dann haben wir da auch jemanden in unserem Netzwerk, wo wir sagen können,

00:16:53: wir können euch da vermitteln.

00:16:54: Und wir selber bringen uns auch selber beim Kunden ein mit unserem Know-how,

00:16:57: dass wir dann sagen können, wir setzen uns mit euch in eure Meetings,

00:17:01: hören uns an, was ihr für Projekte habt und sind dann quasi aus der Sicht des

00:17:05: Bedenkenträgers, des IT-Security-Spezialisten, lassen wir unser Know-how mit

00:17:10: einfließen, damit es da gar nicht erst in die falsche Richtung läuft.

00:17:13: Aber wie siehst du die Wahrnehmung denn tatsächlich, wenn du jetzt mal in Richtung

00:17:18: Cold Call gehst im Akquisebereich?

00:17:20: Ist das ein Thema, wo du auch noch erklären musst dazu, warum denn überhaupt

00:17:26: Cyberbedrohungen jetzt genau für den Kunden, den du gerade ansprichst,

00:17:30: möglicherweise ein Problem sein könnten?

00:17:32: Oder stellst du eher fest, dass mittlerweile dank der Medien oder leider durch

00:17:37: die Medien einfach dieses Thema so breit getreten wurde,

00:17:41: dass eigentlich auch der letzte Tante-Emma-Laden im Allgäu wissen müsste,

00:17:45: dass das ein Problem ist? Ich sage mal, ja.

00:17:49: Nee, es ist tatsächlich wirklich in beide Richtungen so. Also wir hatten einmal,

00:17:52: hatten wir einen automatischen Schwachstellen-Scan durchgeführt.

00:17:55: Da kamen dann am Ende 600 Seiten Bericht raus, wo man echt gesagt hat,

00:17:58: um Gottes Willen, was ist denn hier die letzten Jahre alles nicht gemacht worden?

00:18:02: Und der Kunde hat sich dann letztendlich dazu entschieden zu sagen,

00:18:05: ja, okay, wir wissen das jetzt, aber das ist so viel, da machen wir jetzt mal gar nichts.

00:18:08: Das ist dann der Punkt, wo ich dann Schlappatmung bekomme, wo ich mir echt denke,

00:18:11: das ist jetzt nicht euer Ernst.

00:18:12: Wir können euch gerne dabei unterstützen. Es gibt leichte, schon sehr einfache,

00:18:16: niederschwellige Angebote, wo man sagen kann, wenn ich eine Netzwerksegmentierung

00:18:20: durchführe, dann kann ich schon ein bisschen die Risiken schon ein bisschen

00:18:22: auseinander dividieren.

00:18:23: Das ist dann ein Schluss bei mir auf Unverständnis.

00:18:26: Bei den Cold Calls tatsächlich, also wenn man da jetzt wirklich jemanden anruft

00:18:29: und sagt, hör mal, ich bin der Tom und ich würde gerne mit dir zusammenarbeiten,

00:18:32: ist es auch unterschiedlich.

00:18:34: Also da haben wir Leute, die sagen, da haben wir jemanden, haben wir einen Spezialisten,

00:18:37: wir haben da einen starken Partner an der Seite und das ist dann auch super.

00:18:40: Wir haben Leute, die dann sagen, wir haben eigentlich jemanden,

00:18:44: aber ich glaube, so ein Austausch steht nicht schlecht. Und das ist tatsächlich

00:18:46: auch eine super positive Entwicklung gewesen.

00:18:48: Ich habe dann gesagt, ich habe im Rahmen eines Mailings mal einen Call gestartet,

00:18:53: habe die Leute dann dementsprechend angerufen.

00:18:55: Und irgendwie habe ich mich tatsächlich bei diesen einen Kunden anscheinend

00:18:58: nicht richtig vorbereitet gehabt. Und der hat dann gesagt, was rufst du uns

00:19:02: denn eigentlich überhaupt an?

00:19:03: Wir haben ein eigenes Tochterunternehmen, das Pentests anbietet.

00:19:06: Also hast du dich überhaupt nicht mit uns beschäftigt? und habe mir gesagt,

00:19:08: oh, okay, da habe ich offensichtlich einen Fehler gemacht.

00:19:11: Bin dann selber nochmal in mich gegangen. Warum habe ich die eigentlich damals

00:19:13: angerufen? Und habe dann festgestellt, dass denen ihre Webseite nicht einmal

00:19:17: eine HTTPS-Verschlüsselung angeboten hat. Also kein SSL, kein TLS, nichts gemacht.

00:19:21: Die hatten keine Weiterleitung quasi in eine sichere Übertragung,

00:19:25: wo ich mir gedacht habe, oh, also da kann man viel helfen.

00:19:28: Das war mein erster Gedanke. Direkt angerufen und gesagt hat,

00:19:30: hör mal, ich kann euch helfen.

00:19:31: Und der wird dann angeschnauzt und dann sagt, ja, wir haben da ein Tochterunternehmen,

00:19:35: das uns da hilft. Wir sind da bestens aufgestellt.

00:19:38: Okay, so kann die Wahrnehmung sein. Auf der anderen Seite dann ein Gespräch gehabt.

00:19:42: Das war gigantisch. Das war wirklich gigantisch. Du hast dich mit dem unterhalten.

00:19:46: Der hat gesagt, was er alles implementiert hat, Netzwerksegmentierung und was

00:19:49: er an Projekten haben und SIEM und

00:19:51: IDS und IPS und also Two-Factor-Authentifizierung in der gesamten Domain.

00:19:56: Und der hat da wirklich rausgehauen eins aus dem anderen, wo ich ihm gesagt

00:19:59: habe, mega, ihr seid echt gut vorbereitet, wo ich dann auch einmal gesagt habe,

00:20:02: also ehrlich, das, was du mir sagst, das klingt so gut, ich weiß nicht,

00:20:05: ob ich euch überhaupt helfen kann, weil das klingt echt so, als ob ihr euch

00:20:08: sehr, sehr viele Gedanken macht,

00:20:09: und dann hat er gesagt, ja, ist aber trotzdem schön, dass du anrufst,

00:20:12: vielleicht kannst du ja trotzdem mal drüber schauen, weil du auch einfach eine

00:20:14: andere Perspektive hast.

00:20:16: Und das ist dann schon wieder schön, wenn man dann sagt, ah,

00:20:18: okay. Und man kann dann auch wieder voneinander lernen.

00:20:20: Das ist auch der Grund, warum ich Auditor geworden bin, also für die ISO 27001

00:20:23: und CISIS 12, weil mich dieses Thema auch interessiert hat. Ich wollte auch

00:20:27: lernen, wie machen es die anderen?

00:20:29: Also dieses breitere Wissen aufzubauen und zu sagen, je mehr ich weiß,

00:20:33: umso mehr kann ich auch anwenden. Und viele Menschen wissen einfach viel.

00:20:37: Ja, das stimmt, absolut. Das fand ich jetzt schön, dass du den Bogen dazu machst,

00:20:40: dass du sagst, aber guck doch trotzdem bitte mal drüber, weil das ist auch was,

00:20:44: was ich relativ häufig merke.

00:20:46: Da wird versucht, mit Geld auf Probleme zu schmeißen.

00:20:49: Und dann glaubt man, weil man halt die großen Hersteller sich irgendwie eingekauft

00:20:54: hat, man ist ja irgendwie eh schon sicher.

00:20:57: In welche Richtung sowas gehen kann, hat der Crowdstrike-Ausfall dieses Jahr gezeigt.

00:21:02: So viel zum Thema, wir vertrauen den großen Anbietern. Das wird schon alles

00:21:05: seine Richtigkeit haben.

00:21:07: Jetzt diskutiert man auf einmal drüber, ob denn eigentlich Security-Vendors

00:21:10: überhaupt Kernel-Zugriff haben sollten bei Microsoft. Ja, also das ist natürlich

00:21:13: auch ein Thema, was wir auch sehen.

00:21:15: Also nur weil man halt eine Menge Geld ausgegeben hat, heißt es noch lange nicht,

00:21:20: dass man jetzt tatsächlich halt auch gut aufgestellt ist.

00:21:22: Weil es ist so, du kannst dir jetzt auch das tollste Auto kaufen mit allen Fahrassistenzprogrammen,

00:21:27: aber die Person, die das Fahrzeug halt steuert, muss trotzdem in der Lage sein

00:21:30: zu verstehen, wie funktioniert denn Autofahren eigentlich.

00:21:33: Weil ansonsten wird es halt relativ schnell wahrscheinlich krachen.

00:21:36: Und das ist eine Situation, die ich tatsächlich auch häufig vorfinde.

00:21:39: Umso freundlicher oder erfreulicher ist es natürlich, wenn dann die Leute sagen,

00:21:43: aber guck doch trotzdem mal drüber, ob man hier was machen kann.

00:21:47: Wie oft bist du schon mit einer Anzeige bedroht worden? Wegen einem Cold Call?

00:21:55: Das tatsächlich gar nicht. Ich habe mehrere Anfragen bekommen zwecks Datenschutz.

00:21:59: Also wo hast du meine Daten her?

00:22:01: Da habe ich gesagt, auf LinkedIn, ich gucke mir gerade dein Profil an.

00:22:03: Und dann habe ich angerufen in der Firma und habe gesagt, ich hätte gerne gesprochen.

00:22:05: Das ist ein Punkt, das hatten wir hier auch schon mal im Podcast.

00:22:09: Nico Werner hatte das auch erzählt. Du willst nur was Gutes tun und informierst

00:22:13: die Personen darüber, dass sie gerade ein echtes Problem haben und dann hagelt

00:22:17: es gleich eine Anzeige zurück, was du in den Systemen da verloren hast und U

00:22:20: und Hacker-Paragraf und was weiß ich was.

00:22:22: Aber es ist halt auch so einfach. Gerade jetzt im Bereich Open Source Intelligence,

00:22:26: das ist so mein Lieblingsvehikel, was ich tatsächlich benutze,

00:22:31: wenn man in die Erstgespräche reingeht, wenn man wirklich mal,

00:22:34: wie du sagst, auf LinkedIn zeigen kann oder es gibt ja genügend Browser-Plugins

00:22:39: von Shodan, den Webalyzer und so weiter.

00:22:41: Du siehst ja sofort, was benutzen denn die Leute gerade für Technologien.

00:22:46: Shodan sagt dir vielleicht dann auch noch, da gibt es auch noch Schwachstellen,

00:22:49: die nicht gefixt worden sind, aber da reagieren manche Leute halt tatsächlich allergisch drauf.

00:22:54: Ja, das ist auch immer ein zweischneidiges Schwert. Es gibt Menschen,

00:22:57: die können mit Kritik umgehen und sagen, das war jetzt nicht so gut oder da

00:23:00: könntet ihr eine andere Lösung finden.

00:23:02: Und andere fühlen sich dann halt direkt auf die Füße getreten und sagen, hey, was soll denn das?

00:23:06: Ja, absolut, ja. Ja, wenn wir schon so ein bisschen gerade in Richtung Tooling

00:23:10: sprechen, ich weiß nicht, wie viel du jetzt verraten möchtest oder mit welchen

00:23:14: Werkzeugen agiert ihr denn, wenn ihr beauftragt werdet, von außen zum Beispiel

00:23:18: ein Unternehmen mal abzuklopfen?

00:23:20: Im Prinzip mit allen gängigen Tools. Also das fängt bei der Burp Suite an,

00:23:23: Webalizer, Nmap-Scanner.

00:23:26: Also wirklich im Prinzip alles, was da ist, was Möglichkeiten schafft.

00:23:29: Wir versuchen immer up-to-date zu sein, ständig uns weiterzubilden,

00:23:33: ständig in den Foren aktiv zu

00:23:35: sein, um einfach zu wissen, wo sind wir gerade? Wo ist der Puls der Zeit?

00:23:39: Was müssen wir beachten? Was gibt es für neueste Tools?

00:23:42: Womit kann ich arbeiten? Und das ist im Prinzip das.

00:23:45: Wir versuchen letztendlich ein Gutachten abzuliefern beim Kunden,

00:23:50: das reproduzierbar ist, dass der weiß, was passiert ist, wo die Schwachstellen

00:23:54: sind, mit den Mitteln, die jetzt ein klassischer Krimineller vielleicht vorliegt.

00:23:59: Einsetzen würde. Also wirklich irgendwelche Tools, die ja aufgrund der Gesetzgebung

00:24:04: in Deutschland natürlich am Rande der Legalität sind.

00:24:06: Letztendlich muss man das so sagen. Das ist nochmal ein Punkt dazu.

00:24:09: Also manchmal denke ich mir auch, also mein Arbeitslaptop würde ich wahrscheinlich

00:24:12: in manche Länder nicht mitnehmen,

00:24:14: weil spätestens am Flughafen könnte dieses Gerät beschlagnahmt werden,

00:24:17: weil man halt nicht weiß, wie die Rechtsprechung, oder weil man sich meistens

00:24:20: nicht informiert, wie die Rechtsprechung in dem jeweiligen Land halt ist.

00:24:24: Das ist ja schon, allein wenn deine Festplatte zu hart verschlüsselt ist,

00:24:28: hast du Probleme in manchen Ländern.

00:24:29: Also das sind so Dinge, die lernst du dann auch erst im Laufe der Zeit kennen,

00:24:33: wenn tatsächlich mal was passiert ist oder du diese Erfahrung einmal gemacht

00:24:37: hast und das zum Kunden transportieren kannst und sagen kannst,

00:24:39: ah, ihr habt Außenstellen in China. Wie verschlüsselt ihr denn eure Laptops?

00:24:43: Also das sind dann so Themen, die dann wirklich sehr interessant sind.

00:24:46: Ja, deshalb ist natürlich auch ein Punkt, den wir jetzt gerade in unserer Ecke der Region haben.

00:24:51: Wir haben halt doch viel aus diesem

00:24:52: Automotive- und Halbleiter- Produktionsbereich und der Standort China.

00:24:56: Das ist auch ein Punkt, der bei uns immer wieder mal auftaucht,

00:25:00: dass es dann auch um Anbindungen,

00:25:02: Side-to-Side-VPN-Tunneling geht oder auch Microsoft-Umgebungen,

00:25:05: die dann in dieser 21-Vianet-Umgebung laufen und das ist schon immer so ein

00:25:09: bisschen seltsam, wenn man da eine Anbindung macht, weil man halt eigentlich

00:25:13: genau immer im Hinterkopf hat,

00:25:15: hier guckt gerade die Regierung zu, also die Partei schaut dir quasi eigentlich

00:25:18: über die Schulter, was du da gerade treibst. Seltsames Gefühl auf jeden Fall.

00:25:23: Ja, Ja, genau so ist das. Was war denn der seltsamste Vorfall,

00:25:27: den du so bisher gehabt hast und über den du sprechen darfst?

00:25:30: Der seltsamste Vorfall? Boah, da gab es mehrere.

00:25:34: Also ich sage jetzt mal, der aufregendste war tatsächlich ein Pentest vor Ort,

00:25:38: wo ich quasi eingegangen bin, wo ich gesagt habe, ich würde da versuchen,

00:25:42: in die Unternehmensräume zu kommen.

00:25:44: Das war, weil es halt einfach nicht technisch war. Du warst wirklich exponiert, du warst direkt vor Ort.

00:25:49: Und das war echt ein großer Auftrag. Also vom Gebäude her.

00:25:54: Das war ein Riesenhaus, also ein Riesenbürokomplex-Turm, wo ich mir aus der

00:25:59: Ferne hier aus dem beschaulichen Hemau bei Regensburg gedacht habe, das klingt ja ganz nett.

00:26:04: Gehst du mal da ins Gebäude rein, guckst du mal, wie die Sicherheitsmaßnahmen implementiert sind.

00:26:08: Und als ich dann vor Ort war und dann die erste Begehung in der Nacht gemacht

00:26:11: habe, da war schon alles verspiegelt.

00:26:13: Ich habe gesagt, okay, die haben sich Gedanken gemacht. Dann gehe ich natürlich

00:26:15: in meinem jugendlichen Leichtsinn dahin, gucke dran und dann sitzt da halt wirklich

00:26:18: Wachpersonal mitten in der Nacht hinterm Tresen und guckt.

00:26:22: Und gedacht habe, ach du Scheiße, okay, das wird wohl doch ein größeres Ding werden.

00:26:27: Das Coop war dann im Prinzip, in die oberen Etagen zu kommen,

00:26:30: 13., 14., 15. Stock, also HR-Abteilung, Geschäftsführung und sowas.

00:26:34: Ja, und das hat sich dann herausgestellt, dass dann eben die Wache die ganze

00:26:37: Zeit da sitzt. Es gibt eine Separierungsanlage, um mit einem Aufzug zu fahren,

00:26:40: brauchst du einen Ausweis, den du ranhalten musst.

00:26:42: Und nur da, wo du quasi den Ausweis hinhältst, darfst du auch hinfahren.

00:26:45: Und das war dann echt eine Anforderung, wo ich dann letztendlich gedacht habe,

00:26:48: boah, Tom, ich glaube, da hast du dich jetzt echt übernommen.

00:26:50: Und das ist vielleicht ein bisschen zu viel. Und dann bin ich auch mit meinem Team in meinem Kontakt

00:26:53: Die fanden es auch total erfrischend, dass da quasi auch die Emotionen so ein

00:26:57: bisschen transportiert werden und die auch wissen, auch wenn man nur ab und

00:27:00: zu so abgebrüht ausschaut, letztendlich doch irgendwo ein kleiner Teufel und

00:27:04: ein kleiner Engel drin sitzen und miteinander diskutieren, schaffst du das,

00:27:07: schaffst du das nicht, geht es voran oder nicht.

00:27:08: Und für die persönliche Entwicklung dann auch sehr, sehr wichtig ist,

00:27:12: da sich vielleicht auch zu kommunizieren mit dem Team.

00:27:15: Das kommt ein bisschen ab. Aber letztendlich mir dann auch geholfen hat,

00:27:19: weil die Leute dann auch gesagt haben, hey Tom, das packst du schon.

00:27:21: Und letztendlich war es dann möglich, in das Gebäude reinzukommen,

00:27:25: durch diese Beregungsanlage durchzukommen, in den Aufzug zu kommen, unbemerkt im 13.

00:27:30: Stock durch die Gegend zu laufen, überall die Markierungen anzubringen.

00:27:34: Wieder runterzugehen. Und das war tatsächlich der komischste Fall,

00:27:39: weil mein junger Naiva-Glaubenssatz lautet ja, es wird schon gut gehen.

00:27:43: Und wenn man sich auf etwas verlassen kann, dann auf die deutsche Bürokratie

00:27:45: und auf die deutsche Ordnung und rauskommst du immer.

00:27:48: Also schwierig ist immer erst mal reinzukommen. Aber die Brandschutzordnung

00:27:51: sagt ja, du musst immer aus einem Gebäude rauskommen. Zumindest habe ich das damals so verstanden.

00:27:55: Von daher war ich dann relativ entspannt, als ich dann quasi oben meine Arbeiten abgeschlossen habe.

00:28:00: Und dann bin ich zum Aufzug gelaufen, habe den Knopf für die Null gedrückt.

00:28:03: Der Aufzug ist dann auch gekommen. und habe mir gedacht, ja,

00:28:04: super, Brandschutzordnung läuft.

00:28:06: Natürlich müssten dann die Türen eigentlich ausfallen beziehungsweise aufgemacht

00:28:08: werden, aber ich habe mir gedacht, gehst du runter.

00:28:11: Und als ich dann quasi unten war und da war im Prinzip niemand mehr da, außer den Wachleuten.

00:28:17: Also es waren zwei Leute an der Wache, an der Rezeption gesessen und einer ist

00:28:21: gerade auf diese Superierungsanlage zugelaufen.

00:28:23: Und dann habe ich echt gedacht, ich will jetzt hier raus.

00:28:26: Du bist voller Adrenalin, du denkst dir, du befällst eh schon die ganze Zeit

00:28:29: auf, weil die alle so komisch gucken, wenn da einer kommt. Wir haben ja nichts

00:28:31: anderes zu tun, die müssen ja gucken.

00:28:34: Und wollte dann einfach an dem, der da quasi vor mir geschlappt ist,

00:28:37: also man muss wirklich sagen, langsamer kann ein Mensch nicht gehen.

00:28:40: Ich mit einem Impuls von 250 wollte einfach nur noch raus aus dem Gebäude und

00:28:45: er schlappt da vor sich hin.

00:28:46: Und mir gedacht, ich überhole den jetzt einfach und gehe raus.

00:28:51: Man muss an dieser Stelle sagen, ich hatte ja keinen Ausweis.

00:28:53: Also ich komme da durch diese Subirierungsanlage nicht einfach raus.

00:28:56: Und merke dann, wie er dann quasi so auch in aller Gemütlichkeit seinen Ausweis

00:29:00: rausholt, um den auf diese Subirierungsanlage zu legen. Und ich mir dann gedacht habe, scheiße.

00:29:05: Man braucht einen Ausweis, um rauszukommen. Jetzt bist du aufklogen.

00:29:08: Da habe ich gedacht, naja gut, wenn du jetzt quasi so in die Enge gedrückt bist,

00:29:12: dann machst du ja quasi Tailgating hinter dem Wachtmann mit raus.

00:29:15: Dann habe ich ihn dann quasi mit dem rausgedrückt. Und dann dreht er sich noch um, guckt mich an.

00:29:19: Dann habe ich ihm so meinen Fake-Ausweis gezeigt und gesagt,

00:29:22: hat nicht funktioniert, keine Ahnung, was da los ist.

00:29:24: Und bin raus aus dem Gebäude. Dann habe ich kurz gewartet, weil ich gedacht

00:29:26: habe, naja, vielleicht kommen die noch hinterhergestürmt oder vielleicht werde

00:29:30: ich vorläufig erschossen oder so.

00:29:31: Das Übliche, was man so erwartet, gell? Weggepacert. Genau.

00:29:36: Aber nichts, nichts ist passiert. Okay, gut, gehst du mal.

00:29:40: Der Tag war gelaufen, danach habe ich auch nichts mehr gebraucht.

00:29:43: Am nächsten Tag dann wieder da gewesen.

00:29:44: Dann machst du da noch etwas offensichtlicher Vorgehensweisen.

00:29:47: Und letztendlich hatte ich dann auch ein Problem, als ich dann irgendwann mal

00:29:51: wirklich hingegangen bin und gesagt habe, ich soll jetzt hier eine Penetrationstest

00:29:55: durchführen, lass mich mal bitte rein.

00:29:57: Das war dann quasi die Stufe, wo man mich dann quasi erwischt hat,

00:30:00: wo sie dann gefragt haben, waren sie schon mal hier? Ich sagte,

00:30:02: was sagst du denn jetzt eigentlich?

00:30:06: Das war dann so eine Situation, wo ein bisschen befremdlich war.

00:30:10: Ich hatte auch mal die Situation, dass mir eine Nachbar eine Leiter vorbeigebracht

00:30:12: hat, damit ich in den ersten Stock reinkommen kann. Das war sehr hilfreich.

00:30:16: Ja, das Tailgating, vielleicht mal zur Erklärung des Begriffes,

00:30:22: ist eigentlich genau das, was du gerade beschreibst, was ganz häufig,

00:30:26: was ich feststelle, in Raucherbereichen funktioniert.

00:30:29: Da kann noch so ein großes Schild hängen, jede Person nur einzeln und nur mit

00:30:32: Ausweis. Stell dich zu den Rauchern.

00:30:34: Die halten dir noch die Tür auf, damit du mit reingehen kannst.

00:30:36: Das ist wirklich so. Und man glaubt immer, das ist was, was bloß in Film und Fernsehen passiert.

00:30:42: Und das Beispiel mit den Rauchern ist tatsächlich eins, was ich zum ersten Mal

00:30:47: in meinem Kopf manifestieren konnte bei der Lektüre von Ghost in the Warriors,

00:30:51: dem Buch von Kevin Mitnick, weil er das genau so ja beschreibt.

00:30:55: Und ich habe es seitdem ganz oft schon benutzt. Und es funktioniert immer.

00:30:58: Also es ist wirklich Wahnsinn. Es ist Wahnsinn, ja.

00:31:01: Aber jetzt sind wir mal ehrlich. Also ich merke auch selber bei mir,

00:31:04: wenn ich beim Kunden bin. Der Kunde hat mich eingeladen, Schulung zu halten.

00:31:08: Dann kommst du dahin, klingelst, die Tür ist verschlossen, du klingelst,

00:31:12: kommt eine Stimme aus dem Lautsprecher. Wer ist denn da bitte?

00:31:15: Ja, Michalski, Penzek, bin hier, um die Schulung durchzuführen.

00:31:18: Ja, einen Moment, ich lasse rein. Es geht auf die Tür und ich sehe schon,

00:31:21: wie quasi eine zweite Person auf diese Tür zuläuft mit dem Firmenlogo von der Firma Zugehörig.

00:31:28: Mein inneres Kind, meine gute Kinderstube und meine Eltern würden wahrscheinlich

00:31:33: sagen, reiß die wir zusammen, halt mal den netten Herrn, der netten Damen die Tür auf.

00:31:36: Man ist höflich, man ist zuvorkommend, man will doch in einer schönen,

00:31:39: glücklichen Welt leben.

00:31:40: Und mein IT-Security-Berater sagt mir, du musst ihm jetzt echt die Tür vor der Nase zufallen lassen.

00:31:45: Das ist irgendwie ein komisches Gefühl. Ja, das stimmt.

00:31:51: Du stehst dann wirklich da und denkst dir, du machst die Tür zu und der sieht

00:31:54: dich ja durch die Scheibe. Und der guckt dann auch ein bisschen irgendwie für

00:31:56: Dutzel. Was war denn das jetzt für eine Aktion?

00:32:00: Eigentlich willst du ja gerade als Dienstleister und als Auftragnehmer auch noch höflich sein.

00:32:04: Und wer weiß, vielleicht hast du da jetzt gerade dem CEO die Tür vor der Nase

00:32:07: zugeschlagen. Und da denkst du, ja, was ist das für einer?

00:32:09: Aber letztendlich sind das die Dinge, die wir dann quasi wirklich eintrainieren müssen.

00:32:13: Und das ist zum Teil, also wenn man sich die Perversität anführt,

00:32:17: die manche Kriminelle an den Tag legen, Das wird ja von nichts zurückgescheut.

00:32:21: Das ist einfach, man muss wirklich mit allem rechnen. Das ist wirklich heftig.

00:32:25: Ja, Dreistigkeit hilft halt gewaltig an der Stelle.

00:32:28: Total, ja. Das ist auch das Beispiel, was ich immer wieder mal erzähle.

00:32:31: Zieh dir einfach eine orange Weste an und ein Klemmbrett unter den Arm.

00:32:34: Du kannst wahrscheinlich bei jeder Laderampe dieser Welt einfach erstmal eine

00:32:37: Zeit lang da ungefragt einfach rumlatschen.

00:32:40: Weil es ist halt da einfach Standard, dass da solche Leute halt rumlaufen.

00:32:44: Und da frägt halt selten jemand. Also wenn du jetzt vielleicht anfängst,

00:32:48: beim Elektro-Großhandel irgendwie dann hinten die Waschmaschinen dann zu verladen,

00:32:52: wird schon mal irgendwann jemand einen Lieferschein vielleicht haben wollen.

00:32:54: Aber sonst, also das soll jetzt kein Aufruf dazu sein, dass ihr jetzt bei Mediamarkt

00:32:59: die Rampe leer macht, aber es ist tatsächlich leider ein echtes Problem.

00:33:02: Ich würde sagen, all das, was wir hier besprechen, ist, um zu sensibilisieren, nicht zu motivieren.

00:33:08: Ja, es ist so. Aber es ist leider traurig, weil es halt wirklich so einfach funktioniert.

00:33:13: Und ich weiß nicht, ob du das auch erlebst. Manche Kunden reagieren aber auch

00:33:18: darauf dann allergisch.

00:33:19: Also wenn man dann im Audit-Protokoll, in der Besprechung dann,

00:33:22: wenn man wirklich sagt, so jetzt sind wir fertig, wir haben dies und das gemacht

00:33:26: und haben dies und das gekonnt.

00:33:27: Und du zeigst dann vielleicht mit Fotos oder auch mit Dingen,

00:33:31: die du möglicherweise mitgenommen hast sogar aus dem angeblich doch so sicheren

00:33:35: Bereich, dass es halt so einfach gegangen ist.

00:33:38: Du machst quasi eigentlich ja dann für die Personen, die dafür zuständig sind,

00:33:41: eigentlich ein Defacement.

00:33:43: Und manche Leute reagieren da wirklich hart allergisch. Also das ging bei mir

00:33:47: schon mal so weit, dass mich der Kunde tatsächlich rausschmeißen wollte aus dem Termin.

00:33:51: Echt? Und das ist halt auch was, wo ich dann sage, naja, also wenn ihr ein Zertifikat

00:33:55: wollt, wo draufsteht, ihr seid die Tollsten und Größten, das hättet ihr ja gleich

00:33:58: sagen können, dann hätten wir uns eine Menge Geld gespart.

00:34:01: Dann hätte ich gesagt, geh zu Canva, bastel dir so ein Ding,

00:34:03: druckst dir aus und hängst dir irgendwo schön an die Wand und packst auf deine

00:34:06: Website, dass du der Tollste nach hier erfundenes Zertifikat bitte einsetzen bist.

00:34:10: Aber warum beauftragst du uns denn dann?

00:34:13: Ja, nee, das hatte ich tatsächlich nicht. So eine krasse Erfahrung hatte ich tatsächlich nicht.

00:34:16: Ich hatte dann eher die Situation, dass wir dann in der Verhandlungsführung

00:34:20: waren zum Beispiel und dem Kunden dann auch die Zugangsdaten gegeben haben zur

00:34:25: Korrespondenz, ihm aber auch gesagt haben, bitte nichts schreiben, wir machen das.

00:34:30: Wir wissen, wie solche Menschen ticken, bitte schreib denen nicht.

00:34:33: Wir waren dann imstande, den Preis von 60.000 auf 35.000 Euro zu reduzieren

00:34:37: und haben dann dementsprechend die Rechnung geschrieben und haben dann 15 Minuten

00:34:41: abgerechnet für eine E-Mail.

00:34:42: Das E-Mail schreiben, man muss sich ja Gedanken machen, wie man diese E-Mail formuliert.

00:34:47: Und das hat der Kunde überhaupt nicht eingesehen. Er hat gesagt,

00:34:50: es kann nicht sein, es kann nicht sein, wir haben damals 30 Euro,

00:34:53: glaube ich, verlangt, dass ihr 30 Euro abrechnet, um eine E-Mail zu schreiben.

00:34:58: Ich sagte, okay, krass, das ist auch mal eine interessante Perspektive.

00:35:02: Wir haben gerade 35.000 Euro eingespart.

00:35:04: Die ganze Beauftragung waren vielleicht 3.000 Euro und du regst dich jetzt wegen

00:35:08: 30 Euro auf für eine E-Mail.

00:35:10: Eine andere Situation hatten wir, da hatten wir dann einen ITler mit drin in der Korrespondenz.

00:35:14: Das war dann auch so eine Lessons learned, die wir dann festgelegt haben.

00:35:16: Wir lassen euch jetzt nicht mehr in die Korrespondenz gucken,

00:35:19: weil das ergibt keinen Sinn einfach. Ihr habt davon nichts.

00:35:21: Wir hatten dann einen IT-Lehrer drinnen, der dann der Meinung war,

00:35:24: er übernimmt die Verhandlungsführung mit und hat dann quasi dem Angreifer gesagt,

00:35:29: du, wir brauchen eigentlich gar nicht alle sechs Server.

00:35:31: Es reicht, wenn du uns diesen einen Server gibst. Ich habe gesagt, okay.

00:35:35: Der Angreifer war recht dankbar für den Hinweis, hat gesagt,

00:35:37: ah, okay, wenn das so ist, ja gut, dieser eine Server, der kostet natürlich

00:35:40: nicht wie alle sechs Server 60.000 Euro, sondern der kostet 100.000 Euro.

00:35:45: Also das war dann wirklich, wie gesagt, Was machst du da? Also das sind dann

00:35:48: so die Momente, wo ich dann echt mir denke, auf der einen Seite wollen die Leute

00:35:51: Hilfe, aber lassen sie sich dann nicht helfen. Das verstehe ich dann nicht.

00:35:54: Meistens ist es so, dass ich eigentlich mit den Auftraggebern ein sehr persönliches

00:35:57: und ein gutes Verhältnis habe.

00:35:59: Also gerade mit diesem Eintritt, Zutritt zum sicheren Bereich hatten wir dann

00:36:02: eine Situation bei einer Druckerei, wo der IT-Leiter gesagt hat,

00:36:06: du pass auf, hier in diesem sicheren, gesicherten Bereich, das ist der sichere

00:36:10: Bereich, im sicheren Bereich, im sicheren Bereich.

00:36:12: Wenn du es schaffst, hierher zu kommen, das schaffst du nicht.

00:36:15: Da habe ich gesagt, du pass auf, mach mal so.

00:36:16: Wenn ich das schaffe, dann zahlst du mir einen Kasten Bier. Und wenn ich es

00:36:18: nicht schaffe, dann zahle ich dir einen Kasten Bier. Die Universalwährung in Bayern, sehr gut.

00:36:22: Das geht, das geht, das kann man machen, ja. Man muss die Leute natürlich einschätzen können.

00:36:27: Aber letztendlich war es dann so, ich bin dann reingekommen mit tatsächlich,

00:36:31: deswegen muss ich vorhin so schmunzeln, mit der Warnweste.

00:36:33: Mitten im Klemmbrett und dann noch natürlich fett bepackt, dass mich ja auch

00:36:37: keine einzige Tür alleine aufmachen konnte, so dass die Leute immer sehr freundlich

00:36:40: gesinnt waren und mir die Türen aufgehalten haben.

00:36:42: Ich bin dann eine Dreiviertelstunde lang in diesem Gebäude rumgelaufen.

00:36:45: Aber letztendlich nur, weil ich vergessen habe, beziehungsweise vergessen habe, wo sein Büro war.

00:36:49: Ich musste dann aktiv nach Hilfe fragen, habe gesagt, hör mal,

00:36:52: ich bin jetzt hier das Gebäude gelaufen, ich finde das Büro von der IT-Leitung

00:36:55: nicht. Dann hat er gesagt, ja, das ist da drüben im Lager.

00:36:58: So, Lager? Beim Lager war ich doch fünfmal, bin ich doch fünfmal reingeguckt.

00:37:01: Ich so, das muss doch hier sein, das muss doch hier sein. Jedes Mal die Tür aufgemacht, Lager.

00:37:05: Ich sagte, das kann doch nicht wahr sein. Dann ist er mit mir wieder zu dieser

00:37:07: Tür hingegangen, machte auf. Ich so, ja, hier war ich schon, das ist das Lager.

00:37:11: Ich sagte, ja, du musst da reingehen und um die Ecke ist noch eine Tür. Da ist er drin.

00:37:17: Täuschen und Tarnen, hat sich im Lager versteckt. Ja, und dann war er relativ

00:37:20: glücklich, dass er gesehen hat, dass ich in Begleitung reingekommen bin.

00:37:23: Er hat gesagt, ja, Michael, ich trinke am liebsten hier.

00:37:28: Er hat gesagt, ja, ja, Moment mal, ich muss jetzt nach dem Weg fragen,

00:37:30: weil ich jetzt eine Dreiviertelstunde unterwegs war, weil ich hier die Tür nicht gefunden habe.

00:37:34: Das war dann unangenehm zu sagen, ich habe die Tür nicht gefunden,

00:37:37: aber es gab von dem Gebäude tatsächlich auch keine Gebäudepläne.

00:37:39: Aber umso besser, dass dich noch jemand an die Hand genommen hat und dir gezeigt

00:37:42: hat, wo denn das Gold liegt. Das ist gut.

00:37:45: Schon, schon, gell? Ich war da auch sehr dankbar, ja.

00:37:48: Ja, cool. Das ist auch spannend. Und damit sind wir ja im Prinzip bei den O-Sind-Maßnahmen, gell?

00:37:54: Also was du an Informationen zusammentragen kannst und so schnell eine kohärente

00:37:58: Information hast, die dann für alle plausibel ist und die dann sagen,

00:38:01: ja, okay, das klingt logisch. Ja, absolut.

00:38:04: Ja, man merkt schon aber auch, der Job ist nicht ausschließlich oder nicht überwiegend

00:38:10: ein Thema, was sich irgendwie mit technischen Fähigkeiten beschäftigt.

00:38:13: Also man braucht menschliches Verständnis, man braucht auch eine gewisse Art

00:38:18: der Sozialkompetenz, dass man es halt auch dann rüberbringen kann.

00:38:21: Man braucht natürlich auch Mut oder Cojones, wie der Spanier sagt,

00:38:26: um das auch durchzuziehen.

00:38:28: Und das ist halt schon eine sehr coole Mischung. Insofern wäre jetzt so mal

00:38:32: die Frage, wenn jetzt irgendjemand, der hier gerade zuhört, sagt,

00:38:35: das klingt eigentlich alles total spannend. Was würdest du denn empfehlen,

00:38:39: wenn man diesen Job machen möchte?

00:38:41: Was wäre so ein guter Einstieg, um in dieser Richtung sich zu entwickeln?

00:38:46: Also sinnvoll ist natürlich erstmal eine Affinität für diese ganze Materie.

00:38:49: Also wenn man mit dem Rechner nichts anfangen kann, dann gibt es sicherlich

00:38:54: auch Verwendung im Bereich der physischen Penetrationstests.

00:38:56: Aber letztendlich muss ein Grundverständnis für die IT da sein.

00:38:59: Das ist im Prinzip die erste Voraussetzung. Und dann natürlich eine Spezialisierung.

00:39:04: Also bei uns im Team, wir sind zu viert, wir haben unsere Vertriebsmitarbeiterin,

00:39:09: die führt zum Beispiel die Whishing Calls durch.

00:39:12: Also die ruft dann quasi bei jemanden an und versucht dann quasi Informationen zu bekommen.

00:39:16: Und das war dann auch ziemlich praktisch, weil wir dann auch gesagt haben,

00:39:19: wir waren bei einem Kunden im Engagement.

00:39:22: Haben dort quasi auf einer technischen Analyse, sind wir an unsere Grenzen gekommen und haben gesagt,

00:39:27: also werter Kunde, ihr seid echt gut aufgestellt, aber wir haben da ein paar

00:39:32: Informationen gefunden und die würden wir gerne mal verwenden für einen Whishing

00:39:36: Call. Dann hat der Kunde gesagt, was ist denn ein Vision Call?

00:39:38: Und dann haben wir denen das erklärt und gesagt, wir haben jetzt herausgefunden,

00:39:41: dass deine Administratoren im Active Directory hinterlegt haben,

00:39:44: dass die und die Dame in Elternzeit ist und im April 2023 wiederkommt. Wir haben April 2023.

00:39:50: Wir würden uns gerne als die Dame ausgeben, die zurückkommt,

00:39:53: die ihr Passwort zurückgesetzt haben möchte. Ich sagte, ja, können Sie gerne

00:39:56: machen, können Sie gerne machen. Ich sagte, ja, super.

00:39:59: Und dann hatten wir dann quasi dann letztendlich unsere Vertriebsmitarbeiterin,

00:40:02: die dann quasi dort angerufen hat, gesagt hat, hallo, hat dann noch quasi,

00:40:06: vielleicht kennst du auch das Video, wo man im Hintergrund zum Baby schreien hört.

00:40:09: Das hat sie dann richtig schön laufen lassen, sodass es noch einen psychologischen

00:40:14: Druck erzeugt und hat dann letztendlich vom Account das Passwort zurückgesetzt bekommen.

00:40:18: Wir haben dann Zugang zum Account bekommen durch den IT-Mitarbeiter,

00:40:21: die es eigentlich besser wissen müssten.

00:40:23: Aber letztendlich sind sie dann auch in der Situation, kohärente Information,

00:40:26: da steht, die kommt wieder zurück, die ist wieder da, es schließt sich,

00:40:29: es ist alles eine stimmige Geschichte, warum sollte ich da skeptisch werden?

00:40:34: Und da sind wir im Prinzip bei dem Punkt letztendlich ist der Mensch nach den

00:40:38: ganzen technischen Maßnahmen das größte Einfallstor und ich nehme mich da nicht

00:40:41: aus ich bin letztens tatsächlich auf eine Phishing-Mail reingefallen,

00:40:44: da habe ich mir gedacht, das kann jetzt echt nicht wahr sein das kann jetzt

00:40:46: echt nicht wahr sein du machst,

00:40:48: seitdem du 14 Jahre bist, machst du IT,

00:40:52: und fällst auf eine wirklich schlechte, muss man dazu noch sagen,

00:40:56: auf eine schlechte Phishing-Mail rein,

00:40:58: wie gesagt, durch die Firmenübernahme habe ich dann eine Paypal-Aufforderung

00:41:01: bekommen war das, glaube ich, dass meine Kreditkarte abgelehnt worden ist.

00:41:04: Und das war, von der Stimmung her kann das gut sein, weil der alte Geschäftsführer

00:41:07: hat seine Kreditkarten abgegeben, ich habe neue Kreditkarten bekommen und da

00:41:10: standen die Kreditkarteninformationen, die müssen aktualisiert werden.

00:41:12: Dann habe ich da drauf gedrückt, bin dann quasi in die Eingabemaske gekommen

00:41:16: und habe dann gedacht, hey, was ist denn das? Und dann auf der Eingabemaske

00:41:18: ist es mir dann eingefallen.

00:41:19: Also ich bin dann quasi noch rechtzeitig zurückgegangen, habe dann nochmal die

00:41:21: ganze Seite analysiert, ob da noch mehr dahinter steckt.

00:41:24: Aber im ersten Schritt, ja, ja, klar, ergibt Sinn, klickt es drauf, bis dahin.

00:41:28: Und dann gucke ich mir die Mail genauer an und also die E-Mail-Adresse war nicht gefakt.

00:41:33: Die Grammatik war jetzt ehrlich gesagt auch überhaupt nicht super,

00:41:37: sondern es war eigentlich, wenn man es weiß, eigentlich offensichtlich,

00:41:40: ist es eigentlich total peinlich, dass einem sowas passieren kann mit dem Know-how

00:41:44: vorhanden. Also peinlich würde ich jetzt nicht sagen.

00:41:46: Also mir passiert sowas auch tatsächlich immer wieder mal.

00:41:50: Und es ist halt auch so, das kommt halt aufs Device an, mit dem du gerade unterwegs bist.

00:41:54: Also ich merke gerade, wenn du mit dem Handy irgendwas machst,

00:41:57: hast du halt bei weitem nicht so viele Möglichkeiten wie am Computer halt,

00:42:01: weil du halt nicht mit der Maus mal eben einen Link nachverfolgen kannst,

00:42:03: um zu gucken, wo zeigt es hin.

00:42:05: Dein Toolset ist halt kleiner und es ist halt nicht so zugänglich.

00:42:08: Und da ist halt einfach das große Problem, das passiert mir auch tatsächlich,

00:42:12: oder dass man halt einfach jetzt irgendwas auch unter Zeitdruck oder nicht mit

00:42:16: der entsprechenden Aufmerksamkeit macht.

00:42:18: Du kaufst irgendwas auf Kleinanzeigen. Du denkst da gar nicht drüber nach,

00:42:22: dass da irgendjemand dich jetzt gerade übers Ohr hauen will.

00:42:24: Und dann sagst du, ja komm, das passt schon, und das sind ja nur 100 Euro,

00:42:28: sagt hier PayPal, Freunde und Familie, der soll auch noch was haben und jetzt

00:42:32: nicht da irgendwie die, ich weiß nicht, 10 Prozent oder was PayPal dann noch

00:42:34: einkassiert, wenn es für Waren eine Zahlung ist.

00:42:37: Das wird schon passen. Und dann hörst du nichts und dann fragst du nach,

00:42:41: hey, wo ist denn die Sendungsnummer? Dann kriegst du keine Antwort.

00:42:43: Und in dem Moment wird es dir dann ganz warm und du denkst dir.

00:42:46: Verdammt, hätte ich doch mit diesem integrierten Zahlungssystem oder wenigstens

00:42:50: mit einer Warenzahlung gearbeitet, dann hätte ich noch eine Chance,

00:42:53: mein Geld wieder zu bekommen.

00:42:54: Und gerade auf Kleinanzeigen, Und da sind eine Menge von diesen Kleinstbetrügern

00:42:58: unterwegs, die halt davon leben.

00:43:00: Ganz ehrlich, mach zehn so Betrugsfälle in der Woche, dann hast du auch 4000

00:43:04: Euro am Monatsende. Das ist eine Menge Geld.

00:43:06: Ja, das ist Wahnsinn. Also was auch zusammenhängt, wie das der eine dann quasi

00:43:10: das Gerät bei dem einen Kauf dort zuschicken lässt, der andere.

00:43:13: Also ja, Wahnsinn. Wirklich die kriminelle Energie. Und was da dahinter steckt,

00:43:17: das kann man sich zum Teil wirklich gar nicht ausdenken, was sich manche Leute ausdenken.

00:43:21: Das ist, wenn ich jetzt in meinen Vorträgen, gibt es ein Beispiel,

00:43:24: wo man quasi aus dem Darknet eine Anzeige und der Hacker bietet quasi an,

00:43:28: dass er jemanden wie einen Kinderpornografiennutzer dastehen lassen kann.

00:43:33: Und wenn du den Leuten erklärst, das geht, das ist alles machbar und das passiert

00:43:37: auch, dann ist immer Ruhe im Saal.

00:43:39: Fassungslosigkeit. Wie kommt man auf solche Ideen? So, ja, kriminelle Ideen.

00:43:43: Aber zum Thema Phishing am Handy, nochmal kurzer Punkt, habe ich auch relativ

00:43:46: spät gelernt, wenn du auf den Link gedrückt bleibst, zumindest beim iPhone,

00:43:50: Dann zeigt er dir den Link an, wo er hinführt. Das ist vielleicht noch etwas,

00:43:53: was wir mitgeben können. Vielleicht haben wir auch einen Bildungsauftrag hier.

00:43:55: Richtig, das stimmt, ja.

00:43:57: Das kann man machen, aber wie gesagt, in der Praxis tust du es halt meistens

00:44:01: dann nicht. Genau, das ist es einfach.

00:44:04: Die Werkzeuge beschränken einen leider da ein Stück weit. Ja,

00:44:07: aber das Beispiel mit Darknet, das habe ich tatsächlich auch gerne, weil die besagte Seite,

00:44:12: die du gerade ansprichst, die ist auch auf meiner Liste, die ich dann immer

00:44:16: wieder dafür hernehme, um einfach mal zu zeigen, guck mal, so einfach ist es

00:44:19: hier mal eben um irgendwie ein paar Gramm Crystal zu kaufen.

00:44:23: Hier könntest du dir jetzt noch eine Kalaschnikow inklusive Munition besorgen.

00:44:26: Und der Typ macht, dass dein Nachbar quasi Kinderporno-Benutzer ist.

00:44:30: Es ist wirklich nicht teuer. Und es funktioniert halt leider.

00:44:34: Das ist das Schlimme. Das ist Wahnsinn.

00:44:36: Wenn heute, du sagst gerade schönes Stichwort Bildungsauftrag,

00:44:40: wir haben halt gegenüber unseren Kindern den Auftrag, solche Informationen auch weiterzugeben.

00:44:47: Die Schulen hätten aber eigentlich auch den Job, das zu vermitteln,

00:44:50: weil, dass jemand sich einen Tor-Browser installiert, selbst ohne Adminrechte,

00:44:54: es gibt das Ding ja quasi als mobile Variant.

00:44:57: Ich kann das ja auf dem USB-Stick sogar mir packen und dann startet der auch.

00:45:01: Also der Weg dorthin ist halt wirklich nicht schwierig, aber die Leute haben

00:45:06: es halt nicht auf dem Schirm, weil sie es nicht interessiert oder weil sie sagen,

00:45:10: naja, wird bei uns schon nicht passieren.

00:45:12: Aber die Praxis sieht halt leider komplett anders aus. Wenn man jetzt auch mal

00:45:16: guckt, was jetzt gerade auf so Social Media und Messenger-Plattformen teilweise abgeht.

00:45:21: Also es ist auch nicht schwierig, sich zum Beispiel auf Telegram in die richtige

00:45:25: Gruppe reinzupacken und darüber Drogen zu kaufen.

00:45:28: Das ist ein Weg von zehn Minuten, wenn du weißt, wie.

00:45:30: Und das lässt sich ergoogeln und das ist halt einfach super gefährlich.

00:45:34: Und da passiert meiner Meinung nach einfach viel zu wenig Aufklärung.

00:45:37: Und auch da ist halt dann irgendwann der Punkt von deinem Beispiel,

00:45:41: ja, jetzt haben wir 600 Seiten Probleme. Das ist so viel an Problemen,

00:45:45: dass man dann lieber gar nichts tut und einfach quasi die Finger kreuzt und

00:45:49: einfach hofft und betet, dass das nicht passieren wird.

00:45:51: Und das ist meiner Meinung nach gerade im Bereich Medienkompetenz ein Punkt,

00:45:55: der einfach überhaupt gar nicht angesprochen wird.

00:45:58: Ging dir das schon mal so, dass du gesagt hast, ich hätte etwas anders lernen sollen?

00:46:02: Ja, es ist manchmal schwierig, weil ich eigentlich nicht, ich würde das gerne

00:46:07: alles nicht wissen, was da so passiert.

00:46:10: Aber auf der anderen Seite, wenn du mal in dieses Rabbit Hole halt reingehst,

00:46:13: bleibt dir nichts anderes übrig.

00:46:15: Also ich glaube, ich nervt dann auch Freunde und Familie auch mit diesem permanenten

00:46:19: Sicherheitsgedanken. gerade auch im Heimnetz, wenn dann wieder irgendein chinesisches

00:46:24: Produkt irgendwo gekauft wird. Und ja, das bräuchte jetzt mal Internet.

00:46:28: Nein, das kriegt kein Internet hier. In diesem Netzwerk bekommt keine Fremdtechnik

00:46:32: irgendeinen Internetzugang. Und wenn, gibt es dafür ein IoT-Gastnetz.

00:46:36: Da kann dann der Staubsauger mit China reden, so viel wie er will.

00:46:39: Oder die Billo-Smartwatch von AliExpress oder Temu. Aber in das richtige Netzwerk

00:46:44: kommt das Zeug halt nicht rein.

00:46:46: Und ich bin mir sicher, das geht vielen Leuten auf den Keks.

00:46:48: Aber es ist dann halt einfach, man kann es nicht mehr ablegen,

00:46:51: wenn man einmal hinter den Vorhang geguckt hat und gesehen hat,

00:46:54: was da eigentlich alles für schlimme Dinge halt passieren können.

00:46:56: Ich fand das auch cool. Wir haben mit dem IT-Sicherheitscluster,

00:46:59: auch mit den Pindel-Schulen zusammen, sind wir quasi an die Schulen gegangen,

00:47:03: beziehungsweise das IT-Sicherheitscluster und haben dort quasi auch die Schüler

00:47:07: dahingehend versucht zu sensibilisieren und zu sagen, Hör mal, das ist.

00:47:12: Darauf müsst ihr achten, so schnell kann man euch verarschen,

00:47:15: du musst natürlich dann auch eine andere Sprache sprechen, du musst da dann

00:47:17: ein bisschen ankommen, sodass sie das auch verstehen und dann auch tatsächlich

00:47:21: sehen, was die dann für Ängste haben.

00:47:22: Also da kommen dann so Dinge auf so, ja, ich habe dann mal eine Frage,

00:47:26: wenn ich den privaten Browser nutze, das sieht ja dann keiner,

00:47:30: wenn ich da auf welche Seiten ich da gehe, oder?

00:47:32: Und wenn du dann sagst, ja, du, pass auf, also wenn du jetzt Pornhub meinst

00:47:35: oder sowas, das sieht dein Handy dann vielleicht nicht, beziehungsweise dein

00:47:38: Handy sieht es auch, aber wenn der nächste Nutzer an deinem Handy ist, der sieht es nicht.

00:47:42: Aber der WLAN-Route, auf dem du bist, sieht es. Der Anbieter,

00:47:45: mit dem du verbunden bist, sieht es. Eigentlich sieht es jeder.

00:47:48: Dann kommen dann große Augen und so, ach du Scheiße.

00:47:51: Das heißt, mein Vater weiß das vermutlich schon, wenn er eine Ahnung hat.

00:47:54: Und wenn er einen Piehole betreibt, kriegt er sogar eine Push-Benachrichtigung dazu. Ja.

00:48:02: Nee, aber da ist auch wieder, ich habe das für die, gut, ist vielleicht auch

00:48:06: das falsche Klientel, muss man an dieser Stelle vielleicht auch sagen,

00:48:08: weiß ich nicht, habe mich noch nicht so intensiv mit beschäftigt,

00:48:11: aber als meine Kinder hier an die Grundschule gegangen sind,

00:48:13: habe ich da auch angerufen, habe gesagt, hör mal.

00:48:15: Ich würde gerne ehrenamtlich, biete ich euch an, vielleicht im Rahmen einer

00:48:18: Projektwoche oder sowas, dann mal zwei, drei Stunden zum Thema IT-Sicherheit zu halten.

00:48:21: Was haltet ihr davon? Ja, sie wollen ja nur was verkaufen. Nein,

00:48:25: ich will nichts verkaufen.

00:48:25: Ich will mein Wissen ein bisschen weitergeben an die Kids, dass die da wissen,

00:48:28: wo die gefahren sind, damit zumindest die groben Sachen safe sind.

00:48:32: War kein Interesse da. Sie wollen ja nur was verkaufen. Ja, merke ich auch.

00:48:37: Wir haben dieses und letztes Jahr eine Reihe auf YouTube gehabt zum Thema Medienkompetenz

00:48:41: im digitalen Zeitalter, wo wir genau eben auch Praxisbeispiele aufgreifen. Was kann passieren?

00:48:47: Angelehnt auch an diese Telekom-Kampagne gegen Hass im Netz.

00:48:50: Die haben ja da ein paar sehr eindrucksvolle Videos produziert.

00:48:54: Ich habe damals dann dem Marketing der Telekom geschrieben, habe gefragt,

00:48:57: darf ich die Videos verwenden? Dann haben sie auch freigegeben.

00:49:00: Und ich kriege jetzt Gänsehaut, wenn ich an dieses eine Video denke,

00:49:04: was quasi rückwärts läuft.

00:49:06: Von dem Mädchen, was an der Dachkante steht, rückwärts, wie ist es überhaupt so weit gekommen?

00:49:10: Und ja, es passiert zu wenig. Es ist eine geile Werbung.

00:49:15: Es ist auch eine tolle Aufklärung. Ich habe den Clip zum ersten Mal im Kino

00:49:18: gesehen. Da knallt es nochmal ganz anders, dieser Eindruck.

00:49:21: Oder auch dieses Thema Deepfakes. Warum stellt ihr Bilder von mir ins Netz?

00:49:25: Guckt mal, was mir jetzt alles passiert ist, so auf den Stil.

00:49:28: Aber es passiert, ja, exakt, genau. Ich kriege jetzt gerade Gänsehaut,

00:49:32: wenn ich an diese beiden Videos denke.

00:49:34: Aber dennoch irgendwie scheinbar verpufft diese Information,

00:49:38: weil ich sehe jeden Tag Leute, die Bilder von ihren Kindern in ihrem WhatsApp-Status

00:49:42: haben, die irgendwie Fotos von allem Möglichen machen.

00:49:46: Und ich bin dann auch jemand, ich höre dann an einem Punkt auch auf,

00:49:49: weil ich könnte jetzt natürlich jedes dieser Bilder einfach nehmen,

00:49:52: durch Flux One oder sonst wo durchschieben und einfach mal einen Deepfake davon

00:49:55: machen und ihnen zeigen. Aber das führt letzten Endes dazu, dass die Freundschaft

00:49:59: an der Stelle wahrscheinlich beendet sein würde.

00:50:01: Man kann es immer nur wieder versuchen zu platzieren bei den Leuten,

00:50:04: die es eigentlich vermitteln könnten, weil sie halt einen Bildungsauftrag haben, also die Schulen.

00:50:09: Da variiert es zwischen, hey, cool, danke für die Videos. Wir haben es uns jetzt

00:50:13: mal angeguckt. Wir haben auch vielleicht mit den Schülern die Videos mal angeschaut.

00:50:16: Aber meistens höre ich halt, naja, wir haben eigentlich ganz andere Probleme

00:50:20: als dieses eine Problem jetzt.

00:50:21: Also es ist so diese Fatigue, die einfach in den Köpfen mittlerweile da ist,

00:50:26: weil je nachdem, welche Medien du konsumierst, es ist ja auch eine ziemlich

00:50:30: anstrengende Zeit für den Kopf.

00:50:32: Wir kommen aus einer weltweiten Pandemie, jetzt ist überall Krieg und dann kommst

00:50:36: du noch mit deiner Security-Nummer um die Ecke und dann, ja,

00:50:39: was willst du jetzt eigentlich noch?

00:50:41: Das ist halt super schwierig eigentlich. Wobei wir da eigentlich noch ziemlich

00:50:46: einen dankbaren Job haben, weil das ist jetzt gerade, also so hart das jetzt

00:50:49: klingen mag, aber aufgrund der Situation Krieg und Pandemie durch die Homeoffice, massiven Rollouts,

00:50:54: ist da schon ein bisschen eine Mindset-Änderung vorhanden.

00:50:57: Aber Datenschutz hat es da glaube ich auch nochmal eine Spur härter.

00:51:00: Da kannst du ja nur alles verkehrt machen als Berater.

00:51:04: Wer braucht denn das? Ja, natürlich. Natürlich. Es wird halt nicht gesehen und

00:51:08: so nach dem Motto, was soll ich noch alles machen?

00:51:10: Wir haben ganz andere Sorgen und ja, ich finde es schwer tatsächlich.

00:51:15: Und vor allem Zielgruppe Unternehmen ist nochmal eine andere Nummer als die

00:51:19: Zielgruppe Privatmenschen und Bürger.

00:51:22: Wobei wir halt eines nie vergessen dürfen und das ist auch was,

00:51:25: was ich immer wieder in unseren Trainings vermittle.

00:51:27: Wenn ein Angreifer es nicht schafft, auf dein Unternehmen irgendwie zuzugreifen,

00:51:31: weil du halt im Vorfeld einen guten Job gemacht hast, dann wird,

00:51:34: wenn das Ziel groß genug ist oder wenn der Topf voll Gold lukrativ genug ist

00:51:38: für den Angreifer, werden sie irgendwann anfangen, dein Personal zu penetrieren im privaten Umfeld.

00:51:44: Und es gibt da diese Black-Mirror-Folge und das ist auch so ein Gänsehaut-Moment,

00:51:48: wo ja im Prinzip jemand gezwungen wird, über Messenger-Nachrichten einen Laden

00:51:53: zu überfallen und dann auch noch jemanden umzubringen.

00:51:56: Du weißt eigentlich gar nicht, warum, wo die Druckmomente herkommen.

00:51:59: Wieso macht denn der das? Und es gibt nicht nur ihn, es gibt mehr Leute,

00:52:02: die scheinbar erpresst werden von diesem unbekannten Menschenkreis, der das durchzieht.

00:52:06: Und erst am Ende stellt sich raus, der hat sich halt Videos angeguckt,

00:52:11: die hätte er besser nicht gucken sollen.

00:52:12: Und weil halt die Smartphone-Kamera an war, wurde er dabei gefilmt und das war

00:52:16: halt das Druckmoment, was die hatten.

00:52:18: Und das ist einfach krass, aber genau so funktioniert es. Wenn du es wirklich

00:52:21: darauf anlegst, du kriegst die Leute auf die eine oder auf die andere Art und Weise.

00:52:25: Und spätestens dann ist deine ganze Firmensicherheit einfach auch nichts mehr

00:52:29: wert, weil wenn es letzten Endes nur ein Vehikel gewesen ist,

00:52:33: dass du diese Privatperson penetrierst und infiltrierst und im Prinzip unter

00:52:37: Druck setzt, damit sie den Zugang für dich bereitstellt, damit du es dann trotzdem

00:52:41: ins Unternehmen reinschaffst.

00:52:43: Das wird, glaube ich, auch von vielen einfach noch komplett übersehen.

00:52:46: Und das ist jetzt nichts, was nur die Angreifer tun.

00:52:49: Also wer den Edward Snowden Film gesehen hat, weiß, eine NSA und Co.

00:52:52: Treiben das ganz genauso.

00:52:54: Also wenn ich nicht dich direkt erwische, dann nehme ich mir dein Umfeld vor.

00:52:57: Und das funktioniert leider. Das ist genau der Punkt.

00:53:00: Und das ist an dieser Stelle dann, also ich finde den Ausdruck Datenschutz total,

00:53:04: es werden ja nicht die Daten geschützt, sondern es werden die Personen,

00:53:07: die dahinter stehen, geschützt.

00:53:08: Und ich habe das auch in einem Vortrag gehabt, habe mir gedacht,

00:53:10: da habe ich mir angeboten und gesagt,

00:53:12: Wenn, das war da irgendwie so in der Region für die Unternehmer einen Vortrag

00:53:16: gehalten, habe ich gesagt, wenn sich da irgendjemand freiwillig zu erklärt,

00:53:20: dann würde ich über den eine Osind machen und meine Ergebnisse auf der Bühne präsentieren.

00:53:25: Es hat sich einer freiwillig gemeldet, das war ein Datenschützer.

00:53:30: Und ich sage jetzt mal gezwungenermaßen der zweite, der Veranstalter,

00:53:34: der dann gesagt hat, naja, wenn sich keiner meldet, dann stelle ich mich halt zur Verfügung.

00:53:37: Und ich habe das natürlich alles sehr oberflächlich gemacht.

00:53:39: Aber das war dann tatsächlich so, dass ich auch gesagt habe im Vortrag,

00:53:42: über den Datenschützer, das war echt schwierig, was rauszufinden.

00:53:45: Da hat er im Prinzip gar nichts.

00:53:47: Der hat kein Facebook, der hat kein des, des, des und des und des.

00:53:50: Und alles auf privat gestellt, wenn er doch was hatte.

00:53:53: Jedoch habe ich die Schwester von ihm gefunden. Und ich kann verkünden, am 2.

00:53:57: Januar ist sein Sohn geboren worden. Mit einem Gewicht von 1.600 Gramm und was

00:54:01: weiß ich was alles. Die ganzen Informationen.

00:54:04: Und der ist dann im Verein in dem und da. Und da übrigens macht er Vorstandschaft

00:54:07: bei der Spielvereinigung und ist engagiert als Fischer, wo er gesagt hat,

00:54:12: aber er selber hat nichts geteilt. Das ist dann auch so schnell.

00:54:16: Ich weiß noch ganz genau, als ob es gestern gewesen wäre, als Facebook quasi

00:54:20: als App rausgekommen ist fürs Handy.

00:54:22: Und ich dann quasi die Installation gemacht habe und die direkt gefragt haben,

00:54:25: dürfen wir auf Ihre Kontakte zugreifen? Ich sage, nee, auf gar keinen Fall.

00:54:28: Ich will mir das mal angucken.

00:54:30: So, dann loggst du dich ein. Total jungfräuliches Profil und du kriegst erstmal

00:54:34: lauter bekannte Menschen vorgeschlagen.

00:54:36: Der Steuerberater wird dir vorgeschlagen.

00:54:38: Freunde, wirklich, wo du denkst, woher haben die meine Informationen?

00:54:42: Woher wissen die das alles? Meine Freunde sind Personen, die du kennen könntest.

00:54:46: Na ja, klar, weil der Steuerberater gesagt hat, ja, ich teile meine Kontakte.

00:54:51: Ja, und wenn ich mich dann mit meiner Handynummer identifiziere,

00:54:54: Oder mit meiner E-Mail-Adresse. Ja, dann gibt es eine Verbindung,

00:54:58: die irgendwo anders hinterlegt ist.

00:55:01: Ja, Verbindungen, die man wirklich nicht auf dem Schirm hat.

00:55:04: Und das ist jetzt auch nichts Neues.

00:55:06: Viele werben ja gerade damit, dass sie jetzt heute dank der künstlichen Intelligenz

00:55:10: in der Lage sind, solche Dinge wie Social Graphs aufzubauen.

00:55:13: Das ist halt auch nur Machine Learning.

00:55:15: Und es ist was, was so Semantik funktioniert ja schon seit Ewigkeiten.

00:55:19: Genauso wie du gerade gesagt hast, zum Beispiel bei Facebook.

00:55:22: Und ich finde das auch immer wieder sehr erschreckend, wer da wie wen irgendwas wozu matcht.

00:55:28: Ich habe das für ein Klassentreffen auch festgestellt, als wir ein 20-jähriges

00:55:32: Klassentreffen feiern wollten.

00:55:34: Ich habe erst gedacht, keine Chance. Also ich habe nicht mal mehr alle Namen

00:55:37: zusammengekriegt, wer bei mir in der Klasse war. und es war tatsächlich gar nicht so aufwendig.

00:55:42: Ich habe nach zwei Tagen, glaube ich, bis auf zwei Leute alle gehabt und dann

00:55:46: frägst du halt mal in die Gruppe rein mit denen, wo du dann schon vernetzt bist.

00:55:49: Hey, habt ihr von dem und dem noch eine Info? Ja, so und so, hier kannst du mal.

00:55:53: Und dann, also es ist nicht schwer. Das ist tatsächlich ziemlich erschreckend

00:55:57: und das ist ja nicht nur Facebook, das ist ja alles Mögliche.

00:56:00: Ja, die Leute müssten einfach es besser vermittelt bekommen,

00:56:03: was man da tut und was man da alles teilt.

00:56:05: Ich reg mich zum Beispiel auch täglich über LinkedIn auf, die mich jeden Tag

00:56:08: zwingen wollen, meinen Reisepass da hochzuladen, um quasi so einen blauen Haken zu kommen.

00:56:13: Wir sind jetzt quasi auf LinkedIn, auf Twitter fast angekommen,

00:56:17: was das Thema angeht. So blauer Haken, dann bist du ein echtes Profil.

00:56:20: Und nein, ich werde nicht mit diesem US-Unternehmen meine Ausweisdaten teilen.

00:56:25: Also auf gar keinen Fall.

00:56:27: Also es ist eine gute Plattform, definitiv. Für das Business Network ist es cool.

00:56:31: Und um sich selber zu präsentieren, ich bin da auch sehr aktiv.

00:56:34: Aber meine Ausweisdaten kriegen sie trotzdem.

00:56:36: Ja, genau so ist es. Also das ist zum Teil wirklich düster. Aber auf der anderen

00:56:41: Seite, was ist denn die Lösung dafür?

00:56:42: Also gerade das ist jetzt ein super Beispiel, wo du sagst, ich habe einen höheren

00:56:46: Zweck. Ich hätte gerne ein Klassentreffen veranstaltet.

00:56:48: Jetzt wäre eigentlich, wenn man jetzt wirklich radikal denken würde,

00:56:51: da müsste eigentlich alle anderen Klassenkameraden sagen, du,

00:56:54: nee, ich kann dir die Daten nicht geben. Das ist Datenschutz.

00:56:57: Wobei eigentlich ist der Weg dann auch nicht so groß. Dann bittet man einfach,

00:57:00: ja, aber du hast ja die Daten, fragt den mal, ob der da Bock drauf hat.

00:57:03: Und schon ist dieses große, komplexe Problem des Datenschutzes schon umgangen.

00:57:07: Aber im ersten Schritt hat man so diese Intention, ach, der Datenschutz verbietet

00:57:10: es. Nee, eigentlich gar nicht.

00:57:12: Man muss halt einfach nur wissen, wo sind die Daten und wie gehe ich damit um?

00:57:16: Und letztendlich sind das dann, um den Kreis zu schließen zum Pentesting,

00:57:20: alles Informationen, die man dann für den Angriff verwenden kann.

00:57:22: Hör mal, Alex, ich habe gesehen, du hattest vor drei Monaten dein Klassentreffen.

00:57:27: Erinnerst du dich? Ich war der, den du mit Bier vollgepinkelt hast oder so. Keine Ahnung was.

00:57:34: Genau. Ja, es ist gruselig, definitiv. Aber jetzt mal so mit Blick in die Zukunft.

00:57:41: Was glaubst du denn, wie wird sich denn diese ganze Arbeits- oder IT-Welt und

00:57:46: auch im Privaten noch verändern werden die nächsten Jahre?

00:57:49: Oder was muss sich denn deiner Meinung nach ändern? Boah, das ist eine schwierige Frage.

00:57:55: Letztendlich halte ich persönlich nicht viel von diesen ganzen Best-Words.

00:57:58: Also wir hatten das bei Blockchain, wir haben das jetzt aktuell bei KI und wir

00:58:02: haben die Quantencomputer, die jetzt quasi alle im Vormarsch sind.

00:58:05: Da wird sich natürlich, nennen wir es einfach, Veränderungen geben.

00:58:08: Aber wie du sagst, also diese ganzen Funktionen, gerade was jetzt diese KI abbildet

00:58:12: oder KIs abbilden, das ist jetzt auch ehrlich gesagt nichts Neues.

00:58:15: Also das, wofür sie gerade eingesetzt wird, müssen wir vielleicht ein bisschen umformulieren.

00:58:18: Das sind am Ende dann irgendwelche Auswertungen, die gemacht werden,

00:58:21: in irgendwelches Zusammensuchen von Informationen.

00:58:23: Ja, ich kann ChatGPT sagen, besorgt mir mal die Informationen von Thomas Michalski,

00:58:28: der ist CEO bei der PenSec und dann wird er mir mal Informationen auflisten.

00:58:32: Und vorher habe ich halt ein Skript gehabt, wo ich die Daten eingetippt habe

00:58:35: und gesagt habe, Enter. Und dann hat es ein bisschen gedauert und das Skript

00:58:38: hat sich der Informationen auch zusammengesucht.

00:58:40: Also da ist jetzt der Mehrwert der KI jetzt noch nicht so, zumindest aus meiner Sicht zu sehen.

00:58:44: Was man hat natürlich, diese Suchen werden leichter. Du hast leichter die Möglichkeit,

00:58:49: Wege zu finden, an die du vielleicht nicht gedacht hast, oder Informationen zu vervollständigen.

00:58:54: Wenn ich jetzt zum Beispiel eine Mailware schreibe und die KI frage immer,

00:58:59: wie funktioniert denn das?

00:59:00: Der Befehl funktioniert irgendwie nicht richtig. Hast du da eine logische Erklärung,

00:59:03: warum das nicht sein könnte, warum das nicht funktioniert?

00:59:05: Und da kann ich dann vielleicht den richtigen Hinweis bekommen,

00:59:08: der mir dann letztlich auf die Sprünge hilft und sagt, da musst du ihn gucken.

00:59:13: Dementsprechend kann es sein, dass auch die Angriffswellen, aber ich würde es

00:59:17: bewusst sagen, eher in Richtung, nicht unbedingt in der Qualität steigen,

00:59:21: sondern in der Häufigkeit, weil da einfach viel mehr Menschen die Möglichkeit

00:59:24: gegeben wird, da jetzt irgendwas durchzuführen.

00:59:27: Die Qualität an sich, zumindest nach jetzigem Stand, kommt auf einmal,

00:59:30: wenn wir jetzt fünf, zehn Jahre weiter gucken, ist das natürlich noch was ganz anderes.

00:59:33: Aber die Qualität an sich wird sich dadurch jetzt, glaube ich,

00:59:35: erstmal nicht viel verändern.

00:59:36: Weil wir auch schon wirklich eine krasse Qualität von Angriffen haben zum Teil,

00:59:41: wo du echt denkst, Hut ab.

00:59:43: Also jetzt sind wir ein bisschen abgeschweift vom Thema, weil mir gerade zum

00:59:46: Gedanke kommt, aber allein diese Geschichte mit den Pagern, die da quasi in

00:59:50: die Luft gejagt werden, wo du dir echt denkst, wie viele Jahre Vorbereitungszeit

00:59:53: hat das gebraucht, um diesen Leuten einen Pager anzudrücken,

00:59:57: der manipuliert war vorher.

00:59:58: Und das sind dann so Gedanken, wo du sagst, okay, krass, da hat die KI auch nicht mit gerechnet.

01:00:03: Ja, absolut. Vielleicht kurz zum Hintergrund. Es gab dieses Jahr den Fall,

01:00:08: dass bei mehreren Hisbollah-Führern oder Leuten, die mit dem Ganzen verbunden

01:00:13: sind und die benutzen halt nun mal Pager, ganz oldschool.

01:00:16: Und irgendwie, wie genau, ist bis jetzt noch nicht klar, hat es funktioniert,

01:00:20: dass diese Dinge halt einfach explodiert sind.

01:00:23: Und das kann jetzt halt mehrere Ursachen haben, zum Beispiel halt eine infiltrierte Lieferkette.

01:00:28: Also irgendwer hat die Dinger ja hergestellt. Dann ist die Frage,

01:00:31: wie wurde das ausgelöst?

01:00:33: Also gab es dann über GSM irgendein Signal oder so, was das ausgelöst hat?

01:00:38: Oder war das was ganz anderes? Und ja, gebe ich dir absolut recht,

01:00:41: also das ist ein Thema, was ja schon sehr lange Vorbereitung gebraucht hat,

01:00:45: weil die werden sich jetzt nicht alle gleichzeitig die Pager von dem einen Mediamarkt

01:00:50: gekauft haben. Vielleicht waren die alle auch end of life und mussten sich neu besorgen.

01:00:56: Ja gut, aber trotzdem. Also in der Masse, das kann ja eigentlich fast nur ein

01:01:01: Inside-Job gewesen sein innerhalb der Hisbollah, dass halt dann vielleicht der

01:01:04: Mossad da schon Leute drin hatte, der gesagt hat, ey, mein Cousin hat ein Elektro-Geschäft

01:01:08: und ich verkaufe euch jetzt mal 500 Pächer. Irgendwie so in die Richtung.

01:01:12: Das ist, ja, absolut, ja. Genau. Letztendlich werden wir, glaube ich,

01:01:17: mehr Angriffe sehen. Wir werden aber auch mehr Resilienz sehen.

01:01:20: Also ich glaube auch, ich habe zumindest den Eindruck, die Perspektive ändert sich dahingehend.

01:01:24: Also wir haben früher, während wir früher als Prophet bzw.

01:01:28: Als Missionar unterwegs waren, gesagt hat, IT-Security ist wichtig,

01:01:31: IT-Security ist wichtig, IT-Security ist wichtig.

01:01:33: Oder Information Security, um den Grobebegriff zu nennen, ist wichtig.

01:01:37: Habe ich jetzt eher den Eindruck, die Leute sind da,

01:01:40: Die wissen, dass es wichtig ist. Sie wissen noch nicht warum,

01:01:43: aber sie wissen, dass es wichtig ist.

01:01:45: Und ja, die bösen Hacker, letztendlich wird es noch viel Arbeit geben.

01:01:49: Wir digitalisieren uns immer weiter.

01:01:51: Wir holen uns die digitalen Produkte ins Leben. Ich würde mir wünschen,

01:01:55: dass es in Richtung, ein bisschen mehr Richtung Herstellerhaftung geht.

01:01:57: Dass Hersteller auch gezwungen werden, richtige, verlässliche,

01:02:01: zuverlässige, sichere Software rauszugeben.

01:02:03: Und da nicht jeder irgendwie gefühlt seinen Prototypen raushaut und dann über

01:02:07: die nächsten zehn Jahre Updates reinhaut, wo man sich echt denkt.

01:02:09: Wir nennen sowas Bananenware, die reift beim... Genau, genau.

01:02:14: Das ist so das, wo ich sage... Ja, gehe ich schon mit auf jeden Fall.

01:02:19: Also ja, KI macht vieles leichter und schneller, aber nicht besser.

01:02:23: Also gerade so die Lernkurve ist halt weg.

01:02:26: Gerade wie du sagst, wenn du irgendwie Programmcode brauchst für was auch immer,

01:02:30: ob es jetzt für einen Angriff ist oder für ein tägliches Doing irgendwie,

01:02:33: dann sagst du, ich hätte gern das getan in der Plattform, in dieser Sprache, mach mal.

01:02:39: Und ganz häufig merke ich halt aber auch, dass dann die Leute,

01:02:42: die es dann benutzen wollen, trotzdem noch eine Skepsis mitbringen und sagen,

01:02:46: ich bin mir nicht sicher, was dieser Code tut. Und dann kriege ich auch immer

01:02:49: mal wieder Fragen gestellt.

01:02:50: So, Alex, was meinst du, kann ich das ausführen?

01:02:53: Sag ich, also wenn du es nicht lesen kannst, würde ich es nicht ausführen.

01:02:56: Weil es ist halt ein bisschen schwierig unter Umständen, weil möglicherweise

01:03:00: löst es dein Problem, möglicherweise macht es aber noch 20 neue auf.

01:03:03: Also es fehlt halt das vertiefte Wissen, dass wir uns halt alle über die Jahre erarbeitet haben.

01:03:09: Da kommt mir jetzt gerade ein Gedanke, weil das ein sehr, sehr cooler Input ist eigentlich.

01:03:12: Wir haben ja die Halluzination auch bei der KI.

01:03:15: Wer sagt denn, dass die Informationen, die der KI vorliegen,

01:03:18: nicht schon im Vorfeld im Rahmen der Supply Chain quasi manipuliert worden sind?

01:03:22: Und diese ganzen Befehle, die da aufgeschrieben werden, letztendlich zu irgendwelchen

01:03:25: Verbindungen, zu irgendwelchen Command & Control Servern führen,

01:03:27: die wir gar nicht unter Kontrolle haben? Aber das passiert ja tatsächlich.

01:03:31: Also durch Prompt Injection und durch Prompt Poisoning passiert ja genau das.

01:03:35: Also du musst es ja nur oft genug einfach einem öffentlichen Modell sagen.

01:03:38: Damit es dann lernt, dass das ja richtig sein müsste, weil einfach aufgrund

01:03:42: der neuronalen Verbindungen innerhalb dieses LLMs gelernt wird,

01:03:47: das hat häufig zu einem Daumen hoch geführt, also muss es richtig sein.

01:03:50: Aber das ist eine Schlussfolgerung, die könnte auch von Monty Python sein.

01:03:54: Also Hexen und Holz schwimmt und deswegen brennen Hexen, weil die müssen ja aus Holz sein.

01:04:01: Also das ist genau diese Schlussfolgerung. Und Enten und Hexen wiegen genau gleich viel.

01:04:06: Und deswegen wird die Hexe jetzt verbrannt. Also das ist Monty Python-Logik.

01:04:10: Wo siehst du denn unsere Zukunft so in 15 Jahren?

01:04:14: Ich hoffe, dass einfach durch KI und Co.

01:04:18: Einfach ein schnellerer Transport

01:04:20: zumindest von Informationen an den richtigen Stellen stattfindet.

01:04:23: Ich fürchte mich aber tatsächlich vor der Entwicklung, die jetzt einfach aufgrund

01:04:28: der großen Entwicklungen, gerade wie bei Nvidia zum Beispiel, gerade stattfinden.

01:04:32: Also das Mursche-Gesetz ist schon längst überholt. Das haben wir mittlerweile

01:04:36: nicht verdoppelt, sondern verdreitausendfach.

01:04:38: Das hat Nvidia vorgemacht. Durch diese Geschwindigkeit werden wir ein Problem

01:04:43: kriegen, dass Dinge auf einmal leichter zu bewerkstelligen sind.

01:04:48: Das kann gut sein, weil vielleicht auch im Energiebereich solche Dinge wie kalte

01:04:52: Fusion irgendwann vielleicht auch ein lösbares Problem sind.

01:04:54: Auf der anderen Seite aber in Verbindung mit Dingen wie Quantencomputern einfach

01:04:58: Dinge entstehen können, Szenarien entstehen können, die wir heute noch überhaupt

01:05:03: gar nicht auf dem Radar haben.

01:05:05: Also ich sage mal so, das ist immer das Beispiel, wenn ich in einem Asset Management

01:05:08: irgendwo entdecke, da gibt es Zertifikate mit einer Gültigkeit von 30 Jahren

01:05:12: und einer Länge von 1024 Bit RSA,

01:05:15: dann sage ich halt, bitte tauscht es zunächst besten Gelegenheit gegen was mit

01:05:19: mindestens 4096 Bit lang oder Ecliptic Curve verschlüsselt.

01:05:23: Weil das ist Stand heute wahrscheinlich quantenresilient.

01:05:27: Und dieses Wahrscheinlich ist halt auch das Problem dabei. Wir wissen es nicht.

01:05:31: Und da steckt noch eine Menge Potenzial in beide Richtungen drin.

01:05:35: Also das kann gut gehen, das kann aber auch und das wird sehr wahrscheinlich

01:05:38: einfach schlecht gehen.

01:05:40: Ja, ich muss jetzt lachen, weil gerade dieses Vorhersehen, dass man das etwas

01:05:45: nicht vorhersehen kann, wie sich etwas entwickelt, da habe ich ein Meme gesehen,

01:05:49: das fand ich richtig cool.

01:05:50: Das war in einem Uber-Fahrzeug drin gestanden. Da stand dann irgendwie sinngemäß

01:05:53: 1980, du darfst dich nicht mit fremden Menschen unterhalten.

01:05:58: Das ist das Jahr 2000. Du darfst nicht bei fremden Menschen ins Auto einsteigen.

01:06:02: Das ist das Jahr 2024. 2024, wir rufen uns, ah nee,

01:06:06: du musst im Internet aufpassen, das Internet ist gefährlich,

01:06:08: trefft dich mit niemandem aus dem Internet und dann 2024, du rufst dir einen

01:06:13: Uber, also holst einen fremden Menschen mit einem Auto, den du im Internet kennengelernt hast. Richtig.

01:06:18: Das ist schon. Genau, genau so ist es, ja. Unfassbar, das kann man sich total

01:06:22: wirklich gar nicht ausdenken, was die nächsten Jahre passiert.

01:06:25: Ja, aber aufgrund der Häufigkeit, dass es halt so genutzt werden kann,

01:06:29: wird es halt auch schnell zum Common Sense und das ist das Problem,

01:06:31: man hinterfragt es halt nicht mehr.

01:06:33: Unsere Kindeskinder werden irgendwann sagen, ja natürlich steige ich in das

01:06:36: fliegende Taxi, in das autonom fliegende, ist doch logisch. Aber was willst

01:06:40: du? Oder Opa, was willst du eigentlich?

01:06:42: Das ist halt genau der Punkt. Also gefährlich kann es in beide Richtungen gehen.

01:06:47: Ich habe mir mal vor einigen Monaten eine Doku angeguckt, wo sie gezeigt haben,

01:06:51: was denn künstliche Intelligenz in der Medizin für Vorteile bringen kann,

01:06:55: weil du halt einfach diese ganzen vielen Testverfahren und die Minimalveränderung

01:07:00: an einem Medikament nutzen kannst, um halt viel schneller zu einem Impfstoff

01:07:04: zum Beispiel zu kommen, theoretisch.

01:07:06: Du musst also nicht alles in der Praxis dann auch mit Tierversuchen und so weiter

01:07:10: erstmal belegen, sondern du schränkst sehr schnell auf potenzielle Kandidaten ein.

01:07:17: Das könnte funktionieren. Dann bleiben dir vielleicht von 10 Millionen am Ende

01:07:20: noch 100 Proben übrig in der und der und der Variation. Dann probierst du die durch und.

01:07:25: Bist du halt schneller am Ziel. Und die haben in der Doku gezeigt,

01:07:28: und mir fällt leider der Name nicht mehr ein, ich glaube, es war auf Netflix, die ganze Geschichte,

01:07:32: haben sie dann gesagt, irgendwann haben sie sich gedacht, Mensch,

01:07:34: das Modell ist ja schon cool, aber wir gucken mal, was passiert denn,

01:07:38: wenn ich jetzt einfach sage, bitte finde keinen Impfstoff gegen das,

01:07:43: sondern entwickle mir einen Kampfstoff,

01:07:45: um genau das Gegenteil zu erzielen.

01:07:47: Und haben das dann über Nacht laufen lassen.

01:07:50: Und die haben in millionenfacher Outputmenge Möglichkeiten bekommen zu biologischen

01:07:55: Kampfstoffen, die bis heute noch keiner so gebaut hat.

01:07:58: Und das ist halt wirklich die Box der Pandora, wenn du es so rumspielst.

01:08:01: Der Beispiel, ja, ein Hammer ist cool, wenn ich einen Nagel in die Wand hauen

01:08:06: will, ist aber vielleicht nicht so cool, wenn irgendjemand den über den Kopf kriegt.

01:08:09: Und das ist das Gefährliche dabei.

01:08:12: Und diese Werkzeuge stehen halt zur Verfügung. Also größtenteils kostenlos oder

01:08:16: halt für ein Obolus von 10, 20, 30 Dollar im Monat hast du halt Zugang zu dieser Technologie.

01:08:22: Und ich merke das selbst, wir haben jetzt angefangen mit so virtuellen Videoassistenten

01:08:26: für unseren YouTube-Kanal, für Shorts ein bisschen zu arbeiten und ich bin wirklich

01:08:31: entsetzt gewesen, wie einfach es geht,

01:08:33: so einen Talking-Hat quasi zu bauen mit dem Aussehen, was du willst,

01:08:38: mit der Stimme, was du möchtest und wenn du dein eigenes Trainingsmaterial hochlädst,

01:08:42: auch mit dir selber. Es ist halt wirklich keine Hürde mehr.

01:08:45: Und da steckt eine ganze Menge an Gefahr einfach drin.

01:08:50: Regeln, da sind wir im Prinzip beim philosophischen Gedanken.

01:08:53: Wir haben ja aktuell auch, ich weiß nicht, ob du das mitbekommen hast,

01:08:57: aber dadurch, dass ich jetzt gerade meinen Jagdschein mache,

01:08:59: kriege ich jetzt auch so ein bisschen was von einer ganz anderen Perspektive mit.

01:09:02: Und da haben wir ja gerade diese Diskussion gehabt bezüglich schärferen Waffengesetzen.

01:09:06: Ja. Und da sind wir im Prinzip wieder beim Punkt. Also vor einigen Jahren haben

01:09:10: die Kinder noch ihr Schnitzmesser mit in die Schule mitnehmen dürfen,

01:09:13: und haben dann schnitzen gelernt und gezeigt bekommen, wie man mit einem Messer richtig umgeht.

01:09:16: Und jetzt darfst du gegebenenfalls als Erwachsener nicht mehr mit einem Messer

01:09:19: durch die Gegend laufen.

01:09:20: In guter Absicht, aber letztendlich hinter das Kriminelle doch nicht davon,

01:09:24: das dann letztendlich doch zu tun.

01:09:27: Nein, überhaupt nicht. Wir geben einigen KIs, ich sage es mal bewusst,

01:09:31: einigen KIs vor, du darfst solche bösen Kampfstoffe nicht entwickeln.

01:09:33: Aber wenn ich mir diese KI selber aufbaue und diese Regeln wegmache,

01:09:36: dann habe ich trotzdem alle ganzen Möglichkeiten. Und das ist jetzt der Punkt.

01:09:39: Wie geht man mit sowas um? Das ist, glaube ich, echt eine Thematik, die uferlos ist.

01:09:45: Also wie willst du das einschränken? Wie geht man mit sowas um?

01:09:49: Das ist aber die gleiche Frage, wenn du sagst, warum gibt es denn überhaupt Cyberkriminelle?

01:09:53: Ja, das ist doch eigentlich super einfach. Die müssen sich nicht an Gesetze

01:09:56: und Regeln halten wie wir.

01:09:58: Die müssen nichts dokumentieren. Die müssen vor allem auch keine Steuern bezahlen

01:10:02: auf das Geld, was sie dort eingenommen haben.

01:10:04: Also das Warum ist doch eigentlich ganz logisch. Und früher waren es halt Drogen

01:10:07: und Prostitution und Waffenhandel und sonst irgendwas. Und das hat auch,

01:10:12: guck doch mal, Prohibitionen in den USA. Was hat denn das bitte verhindert?

01:10:17: Also ja, natürlich werden sie irgendwelche Leute gefunden haben,

01:10:20: die trotzdem Schnaps gebrannt haben, aber letzten Endes, die Flüsterkneipen gab es ja trotzdem.

01:10:25: Also es wird immer Mittel und Wege geben, wenn es jemand darauf anlegt.

01:10:29: Aber da wäre der Wunsch eigentlich zu sagen, dass man den Leuten,

01:10:32: die rechtschaffend sind oder in der D&D-Sprache rechtschaffend gut und neutral sind,

01:10:36: denen diese Möglichkeiten auch gibt, sich zu verteidigen oder sich zumindest

01:10:40: weiterzubilden und nicht mit irgendwelchen Hackerparagraphen,

01:10:42: die jetzt schon ein paar Jahre zurückliegen, da letztendlich immer der Gefahr

01:10:45: aussetzt, mit einem Fuß im Knast zu sitzen oder zu stehen.

01:10:49: Natürlich, absolut. Aber das ist halt auch wieder so ein typisches Behördenproblem.

01:10:53: Wir versuchen noch dieses Neuland irgendwie zu reglementieren und soziale Medien auch irgendwie.

01:10:58: Und jetzt auch noch die KI, also AI Act. Ja, netter Gedanke,

01:11:02: aber wird vermutlich nicht an der richtigen Stelle ankommen und wird dann dafür

01:11:07: aber die Leute, die es wirklich brauchen könnten, um halt schneller und agiler

01:11:11: und besser zu werden, einfach hindern.

01:11:12: Und das ist eine lange, lange Diskussion, die wir auch schon ein paar Mal hier

01:11:16: im Podcast hatten tatsächlich. Also es trifft halt leider die Falschen dann. Genau.

01:11:22: Ja, Thomas, hast du denn so mit Blick auf die Uhr vielleicht abschließend noch

01:11:26: irgendeine Nachricht oder Botschaft, die du unseren Zuhörerinnen und Zuhörern

01:11:31: mit auf den Weg geben würdest?

01:11:33: Versucht sicher zu bleiben?

01:11:36: Nee, also nicht wirklich. Ich glaube, wir haben vieles gesagt,

01:11:39: vieles ist durchgesprochen worden.

01:11:41: Hat mich sehr gefreut, hier eingeladen worden zu sein. Hat mir sehr viel Spaß gemacht.

01:11:46: Ich finde auch, die Chemie zwischen uns ist mega. Ich sehe, dass das sehr matcht

01:11:51: und bin mir sicher, dass da bestimmt noch das eine oder andere Gespräch zustande

01:11:54: kommen wird, auch außerhalb des Podcasts.

01:11:56: Also hat mir super viel Spaß gemacht. Vielen Dank fürs Zuhören. Danke fürs Hosting.

01:12:01: Ja, sehr gerne. Wir sehen uns definitiv demnächst auf dem Cluster-Treffen in

01:12:05: Regensburg. Gehe ich davon aus? Ah, nee, da bin ich Urlaub.

01:12:09: Okay, dann werden wir uns auf irgendeiner der Veranstaltungen mal sehen oder

01:12:12: wir treffen uns einfach auf ein Bier. Das ist ja, wie gesagt,

01:12:15: wir sind ja in Bayern. Genau.

01:12:18: Ich fand es auch ganz toll, dass du heute da gewesen bist. War ein sehr informativer Talk.

01:12:22: War auch schön, dass wir so viele verschiedene Facetten einfach angerissen haben.

01:12:26: Und ja, wenn euch das Ganze gefallen hat, dann guckt auf jeden Fall mal unten

01:12:29: in die Shownotes rein. Ich werde euch da definitiv auch die PenSec mit verlinken,

01:12:34: auch natürlich Projekt 29, auch ein Link zu dem Profil vom Tom auf LinkedIn.

01:12:39: Guckt da einfach mal rein und wenn ihr Fragen habt zu der heutigen Folge,

01:12:43: dann lasst mir gerne mal einen Kommentar da.

01:12:46: Meine Kontaktdaten sind ebenfalls unten in den Shownotes oder auch gerne eine

01:12:49: Sprachnachricht. Ihr habt immer die Möglichkeit, uns kostenlos,

01:12:52: ohne Registrierung und ohne Hinterlassung eurer irgendwelchen Daten,

01:12:56: eine Sprachnachricht zukommen zu lassen über den Dienst Speakpipe, findet ihr auch unten.

01:13:00: Da freue ich mich dann natürlich auch immer sehr drüber. Und es wird tatsächlich rege genutzt.

01:13:04: Also das freut mich auch, dass es wirklich Leute gibt, die dann so tippfaul

01:13:07: sind wie ich und sagen, Mensch, ach, ich spreche mal eine kurze Nachricht für den Alex auf.

01:13:12: In diesem Sinne, macht's gut. Bis zum nächsten Mal hier bei Blue Screen und

01:13:16: dir, Tom, noch einen schönen Resttag. Dankeschön, dir auch. Dankeschön. Ciao.

01:13:24: Music.