086: OSINT - Die Macht freier Informationen. Ein Interview mit Janis Kinast (Explorato / Palladium)

00:00:00: Open Source Intelligence ist ein Thema, was wir hier im Podcast schon ein paar Mal gehabt haben.

00:00:05: Aber das Potenzial von frei verfügbaren Informationen zur eigenen Risikoerkennung

00:00:11: und auch zur Gefahrenabwehr, das wissen die meisten Leute gar nicht,

00:00:14: was es da eigentlich so gibt.

00:00:15: Und es bleibt auch teilweise noch bisher ungenutzt.

00:00:19: Ich habe mir heute einen Gast für euch hier ins Studio geholt,

00:00:22: der sich mit diesem Thema wunderbar auskennt. Und ja, dann wünsche ich euch

00:00:26: hiermit schon mal viel Spaß bei unserer neuen Folge von Blue Screen, dem Tech-Podcast.

00:00:34: Blue Screen, der Tech-Podcast. Ja, und ganz herzliches Willkommen an unseren

00:00:40: heutigen Gast in unserem virtuellen Studio.

00:00:43: Wir haben den Janis Kinast von Explorator bzw.

00:00:46: Palladium bei uns da. Und ich würde sagen, Janis, erzähl doch mal,

00:00:51: wer du bist und was du so machst.

00:00:53: Ja, vielen Dank für die Einladung. Ich bin selbstständiger Berater in der IT-Sicherheit und OSINT-Analyst.

00:01:03: Ich kam im Prinzip aus der IT-Security-Schiene seit jetzt etwas über zehn Jahren

00:01:09: nach und nach in das Thema OSINT, Und einfach,

00:01:13: weil die Menge der Daten, die verfügbar sind und auch einfach genutzt werden können,

00:01:20: in der IT-Security eine immer größere Rolle spielen.

00:01:24: Ja, absolut. Und wie gesagt, wer den Podcast schon länger hört,

00:01:28: ich hatte das ja bei Blue Screen Wissen auch schon mal als Thema gehabt.

00:01:31: Vielleicht sollten wir ein bisschen erst mal darauf eingehen für die Leute,

00:01:35: die die Folgen damals nicht gehört haben. Was bedeutet denn Open Source Intelligence eigentlich?

00:01:39: Wo kommt der Begriff her und was versteht man darunter? Also der Begriff Open

00:01:43: Source Intelligence kommt eigentlich ursprünglich aus dem militärischen Bereich.

00:01:49: Schon früher wurde bei Konflikten oder Auseinandersetzungen oder auch einfach

00:01:54: beim Zusammentragen von Informationen über andere Länder,

00:02:01: Situationen, wurden frei verfügbare Medien wie das Radio, Zeitungen oder ähnliches

00:02:06: auch in Fremdsprache genutzt, um so Informationen zu erhalten.

00:02:11: Und daraus auch weitere Informationen ableiten zu können.

00:02:15: Also das heißt, gerade in Konfliktsituationen oder militärischen Auseinandersetzungen

00:02:19: kann ja dann auch aus Zeitungen daraus geschlossen werden, welche Infrastruktur noch intakt ist.

00:02:25: Auch wenn man sich dann die Verfügbarkeit von Ressourcen anschaut,

00:02:29: wie auch jetzt Lebensmittel oder ähnliches, daraus können dann Rückschlüsse

00:02:33: gezogen werden, welche Versorgungswege oder Infrastruktur eben noch intakt ist

00:02:38: oder welche beschädigt ist.

00:02:39: Und das hat sich natürlich über die Zeit auch gewandelt mit immer mehr digitalen

00:02:46: Informationen und Medien und hat so dann auch entsprechend Einzug in die Wirtschaft gehalten.

00:02:53: Und auch heutzutage wird dann einfach das an Informationen, was frei verfügbar ist.

00:02:59: Und frei verfügbar heißt jetzt nicht zwingend, dass man das direkt mit einer

00:03:02: Suchmaschine findet oder dass es keine Barrieren gibt.

00:03:07: Also auch wenn ich für Inhalte oder Informationen bezahle oder mich bei irgendwelchen

00:03:11: Diensten dafür anmelden muss.

00:03:13: Gelten diese Informationen noch als frei, sofern zumindest in der Theorie jeder

00:03:19: die Möglichkeit hätte, auf diese Informationen zuzugreifen.

00:03:22: Wenn es natürlich jetzt um behördliche Informationen geht, dann ist das was anderes.

00:03:27: Da kann nicht jeder drauf zugreifen. Und wichtig ist beim Thema OSINT,

00:03:32: dass es um das planvolle, das systematische Zusammentragen von Informationen geht,

00:03:38: dass ich die Informationen auch aggregiere und eben auch analysiere.

00:03:42: Das heißt, wenn ich jetzt etwas in der Suchmaschine eintippe,

00:03:46: das erstbeste Ergebnis anklicke und das, was ich direkt mit dem ersten Blick

00:03:51: erfasse, als Information verwende, dann ist das keine Open-Source-Intelligence,

00:03:57: weil ich sie weder tiefergehend analysiert habe, noch sozusagen weitere Maßnahmen

00:04:03: unternommen habe, um die Information anzureichern, zu vergleichen, zu überprüfen.

00:04:08: Und deswegen, also das wird immer gerne ein bisschen fehlverstanden,

00:04:13: dass jede Suchanfrage gleich Open Source Intelligence ist, aber das Intelligence

00:04:18: steht aus gutem Grund in dem Wort.

00:04:21: Ich muss mit den Daten halt auch arbeiten.

00:04:24: Ja, also erstmal danke für diese

00:04:26: kurze Einordnung. Da kommen wir nachher bestimmt nochmal drauf zurück.

00:04:30: Aber jetzt vielleicht nochmal kurz zurück zu dir.

00:04:33: Du hast gesagt, du bist Berater. Wie kommt man denn auf die Idee,

00:04:37: sich jetzt auch in Richtung OSINT zu spezialisieren?

00:04:41: Also das hat ja mit Sicherheit irgendwie einen Ursprung bei dir.

00:04:45: Ja, der Ursprung lag bei mir schon recht früh.

00:04:49: Also schon zu Schulzeiten kam man in den verschiedensten Online-Foren oder Communities

00:04:55: immer wieder über die Thematiken Doxing und OPSEC.

00:05:00: Also das heißt, Doxing eben das Zusammentragen von Informationen über eine Person oder eine Firma,

00:05:09: die dann genutzt werden, um dieser Person zu schaden oder auch um diese Informationen

00:05:16: dann der Öffentlichkeit zugänglich zu machen, um dann in der Folge des Missbrauchs

00:05:21: dieser Daten der Person zu schaden.

00:05:23: Und eben die Gegenrichtung, die OPSEC, also die Operative Security.

00:05:29: Wo ich eben versuche, meine Daten, soweit es geht, zu schützen,

00:05:33: dass eben keine Rückschlüsse auf meine Person oder Informationen zu mir möglich

00:05:39: sind aus meinem Online-Gebrauch oder meinem Online-Umgang.

00:05:42: Und das hat sich dann auch durch meinen Karriereweg immer mehr gezogen.

00:05:48: Angefangen jetzt bei der Cybersecurity-Forschung, wo man dann Handbücher oder

00:05:55: eben Schaltbilder von Chips oder Platinen sich raussucht, um einen Ansatz zu

00:06:01: bekommen, wie man ein Gerät übernehmen kann.

00:06:03: Ging dann halt entsprechend weiter, als ich dann

00:06:06: reiner IT-Security-Berater in der Wirtschaft war mit

00:06:10: den Sicherheits- und Risikoanalysen und dann war ich bei einer Strafverfolgungsbehörde

00:06:16: für knapp fünf Jahre und habe ganz gezielt rein als OSINT-Analyst in dem Bereich

00:06:21: gearbeitet und spätestens seit dem Punkt ist das auch mein absolutes Hobby geworden,

00:06:28: also auch im Privatleben brenne ich für das Thema.

00:06:32: Ja, ich glaube, ein sehr populärer Fall, das Doxing, ist ja der Fall vom Drachenlord

00:06:36: gewesen, wo die Leute ja, gut, ich meine, er hat auch freiwillig sehr viel über

00:06:40: sich selbst erzählt, wer das nicht kennt.

00:06:41: Der Drachenlord ist ein YouTuber mit einem sehr fränkischen Dialekt,

00:06:46: der halt auch relativ häufig angefeindet wurde und die Leute sind halt komplett darauf eingestiegen,

00:06:52: sind dann hergegangen, haben dann quasi nicht nur in Kommentaren,

00:06:55: sondern auch mit Reposts und Reaktionsvideos darauf reagiert.

00:06:59: Und er hat dann halt komplett die Pille geschluckt und ist immer wilder geworden.

00:07:02: Und dann haben die Leute sich da draußen Spaß gemacht, rauszufinden, wo wohnt der.

00:07:06: Sind dann bei ihm zu Hause sogar gewesen, haben das Haus beschmiert,

00:07:09: mit Müll beworfen und irgendwann auch mehrere Swattings gemacht,

00:07:13: dass sie quasi behauptet haben, da wäre irgendeine Kriminaltat oder Straftat

00:07:16: in diesem Haus, sodass dann halt auch die Polizei zum Einsatz kam und das ganze Ding gestürmt hat.

00:07:21: Das ist halt eine super ekelhafte Geschichte gewesen. Aber das wäre so ein typischer

00:07:25: Fall, wenn man halt auf einmal zur Zielscheibe wird und dann Leute mit Fähigkeiten

00:07:30: halt rausbekommen, wer ist das, wo ist das.

00:07:33: Das ist halt ähnlich wie, das Internet kann man so ein bisschen damit vergleichen,

00:07:37: wie wenn man halt mit dem Auto fährt.

00:07:39: Man hat so diesen Blechkäfig um sich herum und fühlt sich halt unverwundbar,

00:07:43: was halt gerade häufig auf der linken Spur dazu führt, dass es dann schon sehr

00:07:47: gefährliche Fahrmanöver teilweise gibt.

00:07:49: Und im Internet ist es auch ja eigentlich so. Jeder glaubt halt,

00:07:52: er ist irgendwie privat und hat vielleicht auch keinen Klarnamen,

00:07:56: sondern irgendeinen Nickname oder so.

00:07:58: Und meint halt, er könnte jetzt da sagen, tun, posten, was immer er oder sie

00:08:02: will, bis halt jemand kommt, der rausfindet, welche Person das ist.

00:08:06: Und dann wird es halt leider sehr echt und sehr, sehr realitätsnah.

00:08:10: Wenn halt dann genau solche Sachen passieren. Jetzt hast du ganz interessanterweise

00:08:14: gesagt Strafverfolgungsbehörde.

00:08:16: Wie arbeiten denn Strafverfolgungsbehörden mit dem Thema Open Source Intelligence?

00:08:20: Ja, die Strafverfolgungsbehörden nutzen Open-Source-Intelligence natürlich auch

00:08:25: im Ermittlungskontext,

00:08:27: einfach weil gerade viele Leute sich im Internet anonym oder unverwundbar wähnen,

00:08:33: nicht nur um eben Straftaten im Internet aufzuklären oder eben bei,

00:08:39: ich sag jetzt mal, Hetze oder Beleidigung dagegen vorzugehen,

00:08:42: sondern auch Delikte, die in der realen Welt stattfinden,

00:08:47: werden nicht selten auch mit den Online-Umgebungen verknüpft.

00:08:52: Sei es jetzt einfach, weil Personen den Vorfall filmen und das dann auf sozialen

00:08:57: Medien hochladen, sei es, weil die Täter davor, danach, währenddessen Selfies posten.

00:09:03: Da fragt man sich manchmal auch, wie man auf diese glorreiche Idee kommt,

00:09:07: findet aber durchaus statt oder eben auch, wenn Straftäter ins Ausland geflohen sind,

00:09:13: da ist es häufig so, dass die trotzdem weiterhin ihre sozialen Medien nutzen

00:09:17: oder eben ihre Online-Kontakte aufrecht erhalten und dann kann man natürlich

00:09:23: darüber dann auch den Standort von ihnen in vielen Fällen feststellen und ihrer

00:09:28: dann auch im Ausland entsprechend habhaft werden.

00:09:30: Also so wie eben andere polizeiliche Maßnahmen dazu dienen, die Ermittlungen

00:09:36: zu stützen oder zu unterstützen.

00:09:39: Wird OSINT eben auch herangezogen, um die ganzen Indizien und Hinweise,

00:09:44: die die digitale Welt bietet, neben der Forensik eben auch in das Ermittlungsverfahren einzubringen.

00:09:50: Ja, aber wenn ich jetzt ein Foto auf irgendeinem Social Media hochlade, ist es ja meistens so,

00:09:56: dass die Betreiber von so einer Plattform diese ganzen Metainformationen aus

00:10:00: dem Bild, also welche Kamera war das, wo ist die Geolokation gewesen,

00:10:05: einfach aus Platzgründen meistens rausschmeißen, weil je größer das Bild,

00:10:09: umso früher muss sich halt Meta oder wer auch immer halt neue Server kaufen.

00:10:12: Insofern, wie funktioniert das denn dann?

00:10:14: Wie kriege ich das denn hin, aus einem Foto, wo keine Metainformationen mehr

00:10:18: dran sind, noch rauszubekommen, wo die Person ist?

00:10:20: Ich meine, klar, wenn sie sich

00:10:21: vom Eiffelturm fotografiert, weiß ich vermutlich, dass das in Paris ist.

00:10:25: Aber wie könnte man denn da ansonsten rangehen?

00:10:28: Ja, allein das Bild, also ohne die Metainformationen, bietet trotzdem eine riesen

00:10:33: Fülle an Informationen.

00:10:34: Es gibt viele visuelle Hinweise, die natürlich genutzt werden können.

00:10:38: Seien es jetzt im Hintergrund Geschäfte, die zu erkennen sind,

00:10:42: sei es die Vegetation, sei es der Schattenwurf der Objekte, all das kann genutzt

00:10:48: werden, um eben die Geolokation einzugrenzen.

00:10:51: Was häufig übersehen wird, ist, dass die ganzen Navigationsdienste, die wir verwenden,

00:10:57: unsere ganze Welt ja schon digital abgebildet haben und das heißt,

00:11:03: ich kann eben gerade über OpenStreetMap kann ich diese Informationen nutzen,

00:11:07: welche Geschäfte, welche Markierungen, welche Straßenverkehrseigenschaften umliegend

00:11:15: sind und kann diese dann auch eben als Abfrage an diese

00:11:21: Daten- oder Navigationsdatenbanken schicken.

00:11:24: Und kann dann natürlich eben mögliche Standorte erhalten.

00:11:29: Also das heißt, wenn ich im Hintergrund sehe, dass da ein Wasserturm steht,

00:11:33: ich sehe, dass da eine Brücke ist.

00:11:35: Dass da ein Fluss ist, dass es eine Fußgängerzone ist oder eine 30er-Zone,

00:11:39: eine 70er-Zone, was auch immer für Verkehrszeichen, weil die gerade natürlich

00:11:43: auch für die Navigation alle digital abgebildet sind.

00:11:46: Und dann kann ich das alles in Relation setzen und man ist immer wieder überrascht,

00:11:50: wie wenig Informationen notwendig sind, um, ich sag mal, recht präzise einschränken

00:11:58: zu können, welche Standorte man hat.

00:12:00: Also dann alleine die Kombination von einer Entfernung von einer Brücke zu einer

00:12:05: 30er-Zone zu einem bestimmten Ladengeschäft kann ruhig eine Kette sein.

00:12:11: Aber alleine dann diese drei Merkmale treffen dann für den ganzen europäischen

00:12:15: Raum dreimal auf oder viermal auf.

00:12:18: Und dann kann man sich diese Räumlichkeiten einfach auf Google Street View oder

00:12:23: ähnlichen Kartenmaterialien einfach im Detail anschauen und kann dann recht

00:12:28: schnell identifizieren, was jetzt der korrekte Standort ist.

00:12:32: Und das ist einfach ein Bewusstsein, das vielen fehlt, dass wenn sie ein Bild machen,

00:12:36: das Bild ja nicht nur von sich oder von dem Objekt, was sie fotografieren wollen, entsteht,

00:12:43: sondern dass halt eben im Hintergrund ganz, ganz viel Informationen aufgenommen

00:12:46: werden und auch die Vegetation oder eben der Schattenwurf zu einer gewissen

00:12:52: Uhrzeit können absolut ausreichen, um zumindest eine grobe Eingrenzung der Person vorzunehmen.

00:12:57: Ich hatte ja mit dir, bevor wir hier auf Aufnahme gedrückt haben,

00:13:01: ein paar Tage vorher schon mal kurz über den Scope von unserem Interview gesprochen

00:13:05: und da hattest du mir das schon mal erzählt und ich habe dann eben mir OpenStreetMap mal angeguckt,

00:13:11: ich wusste, das gibt es, aber ich habe es so noch nie so wirklich in der Tiefe

00:13:14: mir mal betrachtet und war wirklich überrascht.

00:13:17: Das ist ja nicht nur die Merkmale, wie du sagst, Entfernung von Punkt A zu Punkt

00:13:22: B oder eben auch Geschwindigkeitszonen, sondern da stecken ja auch Materialbeschreibungen

00:13:26: drin, was ich ja total verrückt finde.

00:13:28: Wenn du ein Hochhaus in der Skyline von Frankfurt hast, kannst du halt auch

00:13:32: sagen, okay, du klickst mal auf das Hochhaus und dann siehst du,

00:13:34: das ist eine Glasfassade, die ist verspiegelt oder da ist Stahl irgendwie sichtbar.

00:13:38: Aber das ist ja faszinierend, wie tief indexiert diese ganzen Gebäude tatsächlich dann auch sind.

00:13:44: Und dann kann man sich natürlich auch vorstellen, dass das einerseits aus Sicht

00:13:49: von Ermittlungsbehörden sehr hilfreich sein kann.

00:13:52: Andererseits macht es aber bei mir im Kopf noch ein ganz anderes Thema auf.

00:13:55: Denn wenn ich jetzt heute auf einem Gelände bin, was vielleicht nicht für die

00:14:00: Öffentlichkeit zugänglich ist, sei es ein Industriepark oder vielleicht auch

00:14:04: ein militärisches Gelände.

00:14:06: Dann sollte man halt dort tunlichst gar keine Fotos machen, weil natürlich das

00:14:10: auch wiederum dazu führt, dass ich halt Informationen preisgebe.

00:14:13: Und ich denke, du hast ja auch gerade das Thema OSINT auch aus dem militärischen

00:14:17: Kontext herausgenommen.

00:14:18: Ich habe da auch mal ein bisschen recherchiert und gerade jetzt in der Ukraine-Krise

00:14:22: soll es ja auch schon vorgekommen sein, dass Soldaten Selfies gepostet haben

00:14:26: und damit halt den Standort ihrer Stellung preisgegeben haben, ne?

00:14:29: Richtig. Was auch zusätzlich noch dazu kommt, was du anscheinend bei OpenStreetMap

00:14:35: nicht entdeckt hast, es gibt auch eine zeitliche Komponente.

00:14:38: Also das heißt, ich kann auch Abfragen tätigen zu einer Relation oder einer

00:14:44: Beschreibung für den 17.10.2015.

00:14:49: Und das heißt, ich kann eben auch Bushaltestellen, Bushaltelinien,

00:14:54: die gar nicht mehr existieren, Gebäude, die gar nicht mehr existieren,

00:14:58: dann trotzdem noch abfragen in der aktuellen Zeit,

00:15:01: weil das natürlich damals alles indexiert war und das einfach mit dem entsprechenden

00:15:07: Zeitraum oder auch Zeitstempel abgelegt ist und für mich dann zugreifbar ist.

00:15:12: Aber ja, also auch gerade bei dem Ukraine-Krieg gab es sehr,

00:15:17: sehr viele Obsek-Fehler der Soldaten, also nicht nur, dass da dann klassische

00:15:23: Dating-Apps weiterhin aktiv waren und man dann feststellen konnte,

00:15:27: wer sich sozusagen in welcher Richtung, in welcher Nähe aufhält,

00:15:30: sondern eben auch, es wurden entsprechend Selfies geschossen,

00:15:34: die Handys waren eingeschaltet und ähnlich wie man das mit Mobilfunkzellenabfrage

00:15:40: tätigen kann, kann man ja dann auch sehen,

00:15:43: dass sich da entsprechende Roaming-Nummern, weil eben aus dem Ausland eingebucht

00:15:47: haben und dann kann man eben auch über die Mobilfunkzellen eine Triangulation

00:15:52: vornehmen und so natürlich dann Truppenbewegungen oder auch Personenbewegungen nachvollziehen.

00:15:57: Also da gab es gerade zu Beginn sehr, sehr viele Informationen,

00:16:02: die ausentechnisch sehr wertvoll waren und auch strategisch sehr viel dazu beigetragen

00:16:07: haben, dass eben hier gerade die ersten Interaktionen oder die ersten Angriffe

00:16:12: abgewehrt werden konnten.

00:16:14: Ja, komplett verrückt. Also dass sie überhaupt das Handy mitnehmen ist schon.

00:16:18: Aber ja, okay, wir haben alle mittlerweile mindestens eins. Aber ja,

00:16:23: du hast zu dem Thema auch auf der ITSA einen Vortrag gehalten.

00:16:26: Vielleicht hat den der eine oder andere ja gesehen.

00:16:29: Und da geht es jetzt natürlich gar nicht so um das Thema Ermittlungen oder auch

00:16:33: Krisensituationen, sondern da geht es natürlich vor allem auch um die ganze

00:16:37: Situation für Unternehmen und auch natürlich für private Menschen.

00:16:42: Inwiefern spielt denn der digitale Fußabdruck von einem Unternehmen oder von

00:16:47: Privatleuten da auch eine Rolle jetzt mal aus dem Blickwinkel Open Source Intelligence.

00:16:52: Was kann ich denn mit den Sachen machen als Angreifer? Ja, also...

00:16:56: Die Daten oder der digitale Fußabdruck eines Unternehmens, die helfen mir grandios

00:17:02: bei der Angriffsvorbereitung.

00:17:03: Sei es jetzt ein CEO-Fraud, bei dem ich ja den Namen des Geschäftsführers benötige,

00:17:10: den man ja im Handelsregister findet. Ich brauche dann dazu ja auch noch die

00:17:15: Struktur der E-Mail-Adresse.

00:17:17: Auch die lässt sich von Diensten online abfragen oder eben in Leaks und Breaches

00:17:24: einsehen, wenn dazu entsprechende Einträge vorliegen.

00:17:28: Und auch der Technologie-Stack, der von dem Unternehmen verwendet wird,

00:17:33: der ist zum Teil recht transparent oder zumindest teilweise transparent,

00:17:38: häufig über Domain-Verification-Keys an der Domain hinterlegt.

00:17:42: Und dann kann ich einfach mir anschauen, welche Produkte, wie jetzt DocuSign,

00:17:47: Classian oder ähnliches, werden im Unternehmen eingesetzt und habe damit natürlich

00:17:52: schon einen sehr guten Einstieg für eine Phishing-Kampagne,

00:17:56: da ich weiß, das Produkt wird entsprechend betrieben und kann mir dann Newsletter.

00:18:02: Service-Meldungen von diesem Produkt eben anschauen, diese nachbauen und dann

00:18:08: an das Unternehmen verschicken.

00:18:10: Häufig werde ich damit dann natürlich auch die IT-Abteilung erreichen und wäre

00:18:14: damit dann schon direkt an der richtigen Ort und Stelle, um eben mit einer Phishing-Kampagne

00:18:19: einen recht großen Schaden anzurichten.

00:18:22: Es geht aber auch noch weiter, dass viele Entscheider oder auch viele Unternehmensführer

00:18:28: durch die Daten, die sie mit Verknüpfung der Firma im Internet hinterlassen,

00:18:34: auch zum Teil sich angreifbar machen.

00:18:37: Erpressbar werden. Also gerade

00:18:40: wenn man jetzt in den Bereich organisierte Kriminalität geht, der Wohnort,

00:18:45: die Kinder, eventuelle Logins für irgendwelche Online-Portale,

00:18:49: die dann in Leaks und Breaches auftauchen, können natürlich alle auch im Zweifelsfall

00:18:54: genutzt werden, um Druck auf die Personen auszuüben.

00:18:57: Aber auf der anderen Seite ist es halt für mich auch wichtig,

00:19:00: das im Blick zu behalten, um zu sehen, welche Risiken entstehen für mich.

00:19:05: Also ich hatte einmal einen Fall, wo der Admin eines Unternehmens in verschiedenen

00:19:11: oder seine dienstliche E-Mail-Adresse in verschiedenen Leaks und Breaches war

00:19:16: von eben Hacking-Foren,

00:19:18: um Schwachstellen und Exploits anzukaufen.

00:19:22: Und natürlich kann man da auf der einen Seite sagen, er war da unterwegs, um sich zu informieren.

00:19:27: Auf der anderen Seite kann man aber auch sagen, sollte er mit einer Gehaltsverhandlung

00:19:31: nicht ganz so zufrieden sein, dann könnten sich daraus natürlich Risiken für

00:19:35: das Unternehmen ergeben.

00:19:37: Und das zumindest im Blick zu haben, ist auf jeden Fall wichtig.

00:19:40: Ja, manche Kunden sind immer recht überrascht, wenn man ins Erstgespräch reingeht

00:19:45: und halt sich vorher auch eben mit Domain Verification und so weiter mal beschäftigt

00:19:49: hat. Das ist ja jetzt wirklich kein Hexenwerk.

00:19:51: Ich habe da dieses Jahr auch auf verschiedenen Veranstaltungen schon drüber

00:19:55: sprechen dürfen, sei es jetzt bei der IHK oder beim Berufsverband der Datenschützer.

00:19:58: Oder wenn man dann reingeht und sagt, also ich habe jetzt gesehen,

00:20:01: Sie benutzen ja schon Microsoft 365 und haben den und den E-Mail-Protection-Service davor.

00:20:06: Ich würde aber empfehlen, dass Sie vielleicht im Bereich E-Mail-Security noch

00:20:10: die SPF-Einträge ein bisschen härter stellen.

00:20:12: Und ich habe auch gesehen, DKIMD-Mark ist nicht im Einsatz.

00:20:15: Und dann fallen die teilweise erst mal komplett vom Stuhl, weil die sagen,

00:20:18: hä, woher weißt du das? Wir haben jetzt das erste Gespräch heute.

00:20:20: Wie kommst du zu diesen Informationen?

00:20:22: Und es ist halt wirklich nicht so schwierig. Also ich kann über eine normale

00:20:26: Domänenabfrage bei Google oder MX Toolbox oder auch von der Kommandozeile halt

00:20:31: sehr viele Informationen halt schon direkt bekommen, das ist eine Sache von

00:20:35: Minuten, dann habe ich das.

00:20:38: Und die meisten Unternehmer sind sich halt auch gar nicht bewusst darüber,

00:20:41: dass sie diese Sachen so freiwillig natürlich preisgeben.

00:20:45: Und aus Sicht des Angreifers ist es halt auch ein sehr leiser Angriff,

00:20:49: weil ich halt keinen wirklichen direkten Kontakt zu meinem Ziel aufbaue.

00:20:53: Also ich muss keinen Portscanner auf das Unternehmen loslassen,

00:20:57: der dann unter Umständen ja auch zu einem Alarm führen würde,

00:21:00: sondern ich nutze halt einfach das, was auf Seiten der Domainregistrare einfach schon da ist.

00:21:04: Oder aber man verwendet halt auch eben OSINT-mäßig Informationen,

00:21:09: wie du vorhin gesagt hast, die jemand anders für mich schon gesammelt hat.

00:21:12: Gerade jetzt im Bereich Schwachstellen-Scanning zum Beispiel,

00:21:15: ein Dienst wie Shodan, der halt auch schon gesehen hat, dass vielleicht hier

00:21:18: seit, weiß ich nicht wie lange, ein Remote Desktop-Login direkt im Internet hängt.

00:21:24: Da gibt es dann auch einen Screenshot dazu, da steht dann häufig auch schon,

00:21:26: wie die Domain heißt, intern und so weiter.

00:21:29: Das ist für mich aus Angreifersicht erstmal komplett leise, weil ich habe gar

00:21:32: nichts tun müssen aktiv. Richtig.

00:21:35: Ja, und auch was häufig übersehen wird, ist, dass eben Angriffsgruppierungen

00:21:39: auch ganz dediziert OSINT-Analysten rekrutieren.

00:21:44: Also ich betreibe für meinen OSINT ja auch Monitoring von entsprechenden Chatkanälen, Marketplaces.

00:21:53: Foren und so weiter alles und da werden wirklich Ausschreibungen und Rekrutierungen

00:21:58: gemacht für OSINT-Analysten, um eben potenzielle Ziele im Vorfeld auszukundschaften

00:22:05: und auch einfach zu identifizieren,

00:22:07: welche Unternehmen lohnen sich,

00:22:09: also welche Unternehmen haben eben einen entsprechend hohen Gewinn oder Umsatz

00:22:14: und wo sind eben die Sicherheitsmaßnahmen nicht so scharf oder nicht so strikt gesetzt,

00:22:22: um da einfach auch eine Kosten-Nutzen-Analyse zu ziehen.

00:22:26: Und da haben sich in den letzten Jahren auch mehrere neue Wirtschaftszweige

00:22:30: aufgetan, also einmal die Access Broker,

00:22:33: die nichts anderes machen als Remote-Zugänge oder auch Exploits zu identifizieren

00:22:40: und diese dann anzubieten.

00:22:42: Und dann können Hacking-Gruppen eben sich schon direkt den VPN-Login kaufen

00:22:47: oder eben schon direkt den fertigen Exploit, um auf den Server zu kommen.

00:22:51: Und dann gibt es halt eben auch Appierungen, die halt eben fertige Dossiers über Firmen anbieten.

00:22:57: Da gibt es dann auch verschiedene Größenordnungen oder Reichweiten,

00:23:02: zum Teil auch aufgesplittet nach Gewerk.

00:23:04: Und da kann man sich dann in Anführungszeichen alles zusammen shoppen,

00:23:10: was man für einen erfolgreichen Angriff benötigt und trifft dann diese Unternehmen völlig unvorbereitet.

00:23:15: Ja, es ist teilweise wirklich erschreckend, wie billig auch die Daten tatsächlich sind.

00:23:20: Also wir haben uns mittlerweile auch angewöhnt, wenn wir im Rahmen unserer BSI-Tätigkeiten

00:23:24: zu einem Vorfall kommen, wo es halt dann wirklich um gestohlene Zugangsdaten auch geht,

00:23:29: dass wir dann auch mal eben in einschlägigen Kreisen gucken,

00:23:33: finden wir die Daten dort schon und was kostet das denn?

00:23:35: Und du kriegst halt wirklich einen Adressdatensatz für kleines Geld mit Zugangsdaten.

00:23:39: Das ist jetzt wirklich kein teures Hobby, das ist sehr erschwinglich.

00:23:44: Und das führt halt dann dazu, was wir jetzt gerade jetzt in der zweiten Jahreshälfte

00:23:48: ganz häufig sehen, dass halt eben

00:23:49: echte legitime E-Mail-Server mit einer Reputation halt benutzt werden,

00:23:53: um dann wiederum Massenangriffe auf weitere Kontakte oder andere Leute von Listen

00:23:59: halt einfach benutzt werden.

00:24:00: Und ja, es ist leider sehr leicht zugänglich geworden, diese ganze Geschichte.

00:24:04: Was man aber auch nicht vielleicht vergessen sollte, ist, dass selbst wenn man

00:24:09: seine Arbeit vernünftig gemacht hat, es gibt auch noch eben ähnlich wie bei

00:24:13: der OpenStreetMap die Möglichkeit, natürlich historisch rückwärts zu gehen.

00:24:17: Gut, das Internetarchiv war jetzt im Oktober eine Zeit lang offline nach einem

00:24:20: Angriff, aber auch diese Optionen gibt es ja.

00:24:23: Ich muss nicht jetzt live auf der Seite gerade eine Information finden,

00:24:26: weil vielleicht ist es ja der Snapshot vom letzten Jahr, der mir dann letzten

00:24:29: Endes die Info liefert, die ich dann für meinen Angriff benutze.

00:24:32: Und auch das wissen viele nicht, dass es sowas gibt wie Archive.org und hier

00:24:36: im Prinzip die gesamte Historie von meinem Unternehmen und meiner Domain rückwärts

00:24:40: durchsuchbar ist. Ja, absolut.

00:24:42: Also gerade auch der überraschend günstige Preis. Wir reden hier von Remote

00:24:47: VPN-Zugängen im Bereich von 50 bis 150 Euro.

00:24:54: Also da kostet meistens der Virenschutz, geschweige denn die Firewall,

00:24:58: ein Mehrfaches von dem, was im Prinzip hier dann für die Zugänger abgerufen wird.

00:25:03: Und da merkt man einfach, dass da bei der Verteidigung in der IT-Security so

00:25:10: ein bisschen Ungleichgewicht entstanden ist.

00:25:12: Also man setzt sehr, sehr viel auf reaktive Maßnahmen, aber proaktiv kann man

00:25:20: aktuell noch sehr, sehr viel optimieren für überraschend wenig oder überraschend kleines Geld.

00:25:26: Während man halt bei den Verteidigungsmechanismen im Unternehmen selbst,

00:25:31: also um dann begonnene Angriffe zu identifizieren.

00:25:36: Langsam stagniert, indem man einfach sagt, okay, die Investments,

00:25:40: die getätigt werden müssen, um hier einfach noch besser zu werden,

00:25:44: die sind einfach immens inzwischen.

00:25:46: Ja, natürlich, was auch nicht von der Hand zu weisen ist, ist natürlich auch

00:25:50: die Geschichte, dass ich ja vielleicht jetzt nicht ein lukratives Ziel suche,

00:25:55: sondern vielleicht ein Ziel ganz absichtlich in die Pleite schicken möchte.

00:25:59: Wir hatten jetzt erst im Oktober wieder diverse Schlagzeilen zu solchen Vorfällen,

00:26:04: auch Insolvenzen, die damit verbunden waren.

00:26:06: Und wenn jetzt der Angreifer eben nicht darauf aus ist, möglichst viel Ransom

00:26:09: zu erpressen, sondern vielleicht das auch state-sponsored ist, das Ganze als Angriff,

00:26:14: dass ich halt gewisse Industriezweige einfach abschießen möchte,

00:26:17: damit die nicht mehr existieren und man sie dann vielleicht billig von einer

00:26:20: anderen Seite aus Asien, wo auch immer, herkaufen möchte, auch das funktioniert natürlich.

00:26:24: Ja, und was auch, ich sag mal, übersehen wird, ist, nicht jeder Angriff ist laut.

00:26:31: Nicht jeder Angriff zielt darauf ab, mein Unternehmen in die Knie zu zwingen

00:26:35: oder mir selbst direkt zu schaden.

00:26:38: Es gibt auch viele Angriffe, die dann einfach meine Infrastruktur missbrauchen,

00:26:43: um sich selbst zu schützen oder von Daten aus Angriffe zu fahren.

00:26:46: Und es gibt eben auch viele Angriffe, die einfach nur darauf abziehen,

00:26:50: Daten, Forschungsergebnisse, was auch immer, zu exfiltrieren.

00:26:55: Und das kann dann sich zum Teil über Jahre ziehen, dass bei mir einfach Daten

00:26:59: und E-Mails abgegriffen werden und das halt dann eben genutzt wird,

00:27:03: um, ich sag's mal, weiß ich nicht, Angebote zu unterbieten, sich selbst in der

00:27:07: Forschung voranzubringen.

00:27:08: Und das sind eben Angriffe, die so leise wie möglich ablaufen.

00:27:13: Das heißt, hier wache ich nicht irgendwann auf und alles ist verschlüsselt oder

00:27:17: hier stelle ich nicht fest auf einmal, dass bei mir jetzt irgendwelche Hardware

00:27:21: anders funktioniert oder sich anders verhält als sonst,

00:27:25: sondern es passiert halt einfach still und leise und ich werde dann einfach

00:27:30: nach und nach wirtschaftlichen Schaden nehmen, der sich dann auswächst,

00:27:34: bis die Existenz des Unternehmens bedroht ist.

00:27:38: Ja, es ist halt auch schade, wie halt die Medien immer damit umgehen.

00:27:41: Jetzt gerade der bekannteste Fall wahrscheinlich aus dem Oktober,

00:27:44: die Schumack, die ja in die Insolvenz gegangen ist.

00:27:46: Da wird dann sofort wieder ein Riesenfass gemacht. Oh, die bösen Cyberkriminellen und so weiter.

00:27:51: Man müsste sich halt vielleicht aber auch mal mit frei verfügbaren Informationen beschäftigen.

00:27:57: Und da zitiere ich den Robert Wortmann von BreachFM, der da auch letztens einen

00:28:00: Rant in seinem Podcast und auch auf LinkedIn dazu hatte.

00:28:02: Wenn man mal sich die Zahlen des Unternehmens anschaut, zum Beispiel bei North

00:28:06: Data, was ja auch verfügbar ist, ich muss mich teilweise nicht mal anmelden,

00:28:09: dann hätte man dort auch schon gesehen, dass das der Firma grundsätzlich nicht gut gegangen ist.

00:28:13: Und das war halt der letzte Tropfen, der halt nur noch gefehlt hat,

00:28:16: um das Unternehmen letzten Endes in den Orkus zu schießen.

00:28:18: Aber da wird dann halt immer sofort natürlich Populismus betrieben und ui,

00:28:23: wir brauchen vielleicht politisch motivierte Massen, Vorratsdatenspeicherung,

00:28:28: Chatkontrolle und wie die ganzen Dinge alle heißen.

00:28:29: Das ist halt schade, weil das wird halt verfälscht. Einerseits ist es cool,

00:28:33: dass die Medien mittlerweile unsere Welt, in der wir so täglich arbeiten,

00:28:36: halt auch mal der allgemeinen Bevölkerung zugänglich macht, aber auf der anderen

00:28:40: Seite wird da halt auch ganz schnell wieder ein Politikum aus der ganzen Geschichte.

00:28:44: Ja, also das wird häufig sehr einseitig berichtet.

00:28:48: Vor allem gerade bei Ransomware-Vorfällen ist es in den meisten Fällen so,

00:28:53: dass die Ransomware-Gangs überhaupt kein Interesse haben, dass die Firma danach

00:28:57: in die Insolvenz geht, weil das ja für sie selbst auch geschäftsschädigend ist.

00:29:01: Ja, also das heißt, die versuchen natürlich, dass die Firma,

00:29:06: sofern sie natürlich kooperiert und zahlt,

00:29:09: dass sie da so gut wie möglich wegkommt, weil das erhöht natürlich den Anreiz

00:29:14: für alle anderen späteren Opfer, ebenfalls sich kooperativ zu zeigen und mit

00:29:18: ihnen zusammenzuarbeiten.

00:29:19: Und deswegen finde ich es auch immer ein bisschen kritisch, wenn es dann heißt,

00:29:23: oh, wegen einem Cyberangriff in der Insolvenz.

00:29:26: Auch bei Profit ist jetzt, glaube ich, schon zwei Jahre her,

00:29:29: dem Fahrradhersteller.

00:29:31: Auch da war es so, dass es dem Unternehmen absolut nicht gut ging und alles

00:29:36: Mögliche hätte das letzte Tropfen sein können. steigende Rohstoffpreise,

00:29:40: eine unterbrochene Lieferkette.

00:29:41: Also alles wäre im Prinzip der Tropfen gewesen, der das fast zum Überlaufen gebracht hätte.

00:29:46: Und das ist dann halt in manchen Fällen auch einfach der Cyberangriff.

00:29:50: Hat aber nichts damit zu tun, dass Cyberangriffe zwingend direkt eine Existenz

00:29:55: einer Firma auslöschen.

00:29:58: Aber nichtsdestotrotz sollte man natürlich sich bestmöglich auch darauf vorbereiten.

00:30:02: Auch das ist was, was man leider viel zu häufig sieht, dass es einfach keine

00:30:06: Playbooks gibt. Es gibt keine Workflows.

00:30:09: Also wie kann ich mich denn als Firma hinstellen und davon ausgehen,

00:30:14: dass ich nie in irgendeiner Art und Weise einen Cyber-Vorfall habe?

00:30:20: Genauso wie ich natürlich irgendwelche Workflows habe, wenn meine Lieferkette

00:30:24: unterbrochen ist oder wenn der Strom ausfällt oder oder, muss ich natürlich

00:30:28: auch mich darauf vorbereiten, was passiert, wenn halt einfach mal ein Angriff stattfindet.

00:30:34: Jedweder Art, sei es jetzt ein DOS-Angriff, Ransomware oder oder und da ist

00:30:40: man doch immer wieder überrascht, mit welchen Scheuklappen durchs Leben gelaufen wird.

00:30:45: Man hat da auch ein bisschen das Gefühl, dass der Gedanke vorherrscht,

00:30:49: naja, ich beschäftige mich nicht damit,

00:30:52: weil bei uns wird das nicht passieren und man in Anführungszeichen versucht,

00:30:57: sich durch das Ausblenden selbst zu beruhigen und macht das halt alles wesentlich

00:31:02: schlimmer, als wenn man halt ganz realistisch sagen würde, auch wenn wir noch

00:31:05: so viel in die IT-Sicherheit investieren,

00:31:08: ja, geschützt sind wir nur bis zu einem gewissen Grad und auch gerade der Ausfall

00:31:13: mit CrowdStrike hat ja sehr schön gezeigt, es muss nicht immer ein Angriff sein, ja,

00:31:17: also Cyber-Vorfälle oder IT-Vorfälle, die können auch einfach so auftreten und

00:31:23: ich brauche einfach, ja, ein Playbook,

00:31:26: was ich dann aus der Schublade ziehen kann und sagen kann, okay.

00:31:29: Jetzt läuft Schema XY ab, und so können wir den Schaden für uns so gering wie möglich halten.

00:31:37: Das gehört in die gleiche Sparte wie Was wollen die denn mit meinen Daten?

00:31:40: Genau. Du sprichst mir aus der Seele wirklich Danke dafür, weil ich das immer wieder auch predige.

00:31:48: Also du kannst dir jetzt den vergoldeten Virenscanner kaufen und die versilberte

00:31:52: Firewall, aber das hilft dir halt nicht.

00:31:54: Business Continuity Management, Business Impact Analysis, sich damit beschäftigen,

00:31:59: Notfallpläne und wie du sagst, Playbooks.

00:32:03: Situation, Brand, Unfall, Diebstahl. Das haben die meisten auf dem Schirm, das kennt man halt.

00:32:08: Dann rufe ich halt bei meiner Notrufnummer an und dann ist gut.

00:32:11: Aber die ganzen anderen Sachen drumherum, eben gerade jetzt aus dem Cyberbereich,

00:32:16: die haben die meisten Unternehmen, gerade jetzt im Mittelstand,

00:32:19: wo wir unterwegs sind, halt überhaupt nicht auf dem Plan.

00:32:21: Und das muss wirklich her. Man muss wirklich jede Situation mal denken,

00:32:26: überlegen, wie verhalte ich mich, wenn das passiert.

00:32:28: Und wenn man es dann irgendwann zusammen hat und vielleicht auch sogar einen

00:32:32: Wiederanlaufplan schon mal sich vorbereitet hat, dann muss man es auch mal ausprobieren.

00:32:35: Weil spätestens beim Testen merkt man ja dann auch, ah ja, okay, funktioniert das,

00:32:41: da haben wir die Handynummer von dem und dem vielleicht noch im Plan vergessen

00:32:44: oder die Nummer der Versicherungspolize für eine Cyberversicherung,

00:32:48: die fehlt auch noch, wir kommen sonst nicht an die Daten ran,

00:32:50: es ist alles verschlüsselt, also habe ich am Ende nur ein Stück Papier oder

00:32:54: vielleicht den Ordner, wo das alles drin ist und das muss getestet werden.

00:32:57: Ja, und zum Thema, was wollen die denn mit meinen Daten?

00:33:01: Das hört man leider genauso oft wie mit, ich habe ja nichts zu verbergen,

00:33:05: deswegen ist Privacy nicht wichtig.

00:33:07: Und das ist einfach viel zu kurz gedacht, weil es geht ihnen ja nicht ganz speziell

00:33:12: um deine Daten, sondern es geht ihnen einfach um irgendwelche Daten.

00:33:16: Und ihnen ist es jetzt egal, ob sie meine Identität oder deine Identität stehlen.

00:33:21: Wenn sie genügend Informationen darüber zusammen haben, dann können sie mit

00:33:25: dieser Identität einfach Kleinkredite beantragen.

00:33:29: Und dann werden drei, vier, fünf Kleinkredite beantragt und dann wacht man eines

00:33:33: Morgens auf und stellt fest, hey, ich habe 30.000 Euro Schulden,

00:33:35: aber das Geld nie gesehen.

00:33:37: Das aus der Welt zu räumen, ist dann halt auch ein anstrengender Akt.

00:33:41: Den muss man sich nicht zwingend aufbürden.

00:33:44: Genauso auch gestohlenen Identitäten werden gerne genutzt, um eben Obseg zu betreiben.

00:33:49: Das heißt, diese Identität wird dann missbraucht, um Straftaten zu begehen.

00:33:54: Und in erster Instanz steht dann die Strafverfolgung bei mir.

00:33:58: Natürlich kann ich in der Lage sein, die Vorwürfe auszuräumen,

00:34:01: aber ich muss mich trotzdem mit befassen.

00:34:04: Und jeder, der das deutsche Rechtssystem kennt, weiß, wir reden hier nicht von 10 Minuten.

00:34:10: Das wird sich über Jahre ziehen. Und das ist einfach etwas, was,

00:34:14: denke ich mal, keiner gebrauchen kann.

00:34:16: Ja, auch mit gestohlenen Identitäten wird natürlich auch gerne mal dann ein

00:34:20: Bankkonto eröffnet. Auch das erleben wir.

00:34:23: Wobei teilweise musst du einfach auch nur hergehen und die Leute ansprechen,

00:34:26: die sowieso wenig bis nichts haben und sagen, hier, geh mal zur Bank,

00:34:29: mach da mal ein Konto und gib uns dann die IBAN, damit wir dann dort quasi das

00:34:33: Geld hin verschwinden lassen können von dem Angriff, den wir gerade planen. Und ja, natürlich.

00:34:38: Aber wie kann man denn jetzt als Unternehmen überhaupt sich selber davor schützen? Was kann ich tun?

00:34:43: Oder wie kann ich das auch tracken, welche Informationen über mich vorhanden sind?

00:34:47: Also klar, Google, ich kann mich selber googeln.

00:34:50: Aber wie kriege ich es denn sonst noch raus? Ja, also es schadet nicht, wenn man entsprechend,

00:34:57: ich sag mal, mindestens einen Mitarbeiter ein bisschen in den Grundlagen von

00:35:01: Osind eben schult, dass der über die Standard-Google-Abfrage auch eben in der Lage ist,

00:35:07: jetzt Sachen wie Domaineinträge oder ähnliches sich eben anzuschauen.

00:35:12: Es gibt auch, da muss man aber leider sagen, auch viele unvertrauenswürdige

00:35:17: Dienstleister, aber es gibt auch vertrauenswürdige Dienstleister,

00:35:20: die eben anbieten, so ein OSINT Data Monitoring eben durchzuführen.

00:35:27: Ansonsten ist es auf jeden Fall empfehlenswert, wenn man natürlich seinen jährlichen

00:35:32: oder halbjährlichen Sicherheitsscan oder Pentest durchführt,

00:35:36: dass man da eben auch guckt, dass die OSINT-Aspekte mit abgeholt werden.

00:35:40: Es ist nichts, was ich jetzt jeden Tag betreiben muss.

00:35:45: Es ist einfach nur wichtig, dass ich das in gewissen Iterationen einfach entsprechend

00:35:50: abhole und eben trotzdem die ganze Zeit im Hintergrund habe,

00:35:55: dass alle Daten, die ich preisgebe,

00:35:58: eben auch im Zweifelsfall gegen mich verwendet werden können und dementsprechend

00:36:03: ein bisschen Datenhygiene betreibe.

00:36:05: Und mich eben frage, bei allem, was ich öffentlich mache, wie sehr könnte mir

00:36:11: damit geschadet werden?

00:36:12: Ja, und muss das denn überhaupt sein, dass ich das alles öffentlich mache?

00:36:16: Das ist dann, verschwimmen die Grenzen so ein bisschen, wenn man sich jetzt

00:36:19: mal guckt, wo wir gerade herkommen im Gespräch.

00:36:21: Ja, wir haben jetzt Angreifer, wir haben auch die Absicht, Geld zu verdienen,

00:36:25: wir haben vielleicht auch eine Absicht, ein Unternehmen einfach komplett zu beseitigen.

00:36:30: Aber du hattest vorhin schon das Beispiel mit dem Admin, der in irgendeinem

00:36:33: Forum nach Angriffsmöglichkeiten sucht. Das ist halt auch ein Punkt.

00:36:38: Meine Mitarbeiter sind alle auch Menschen, die ein Privatleben haben.

00:36:41: Und auch das ist auch Teil von OSINT. Und man sollte vielleicht auch Aufklärung

00:36:46: im eigenen Unternehmen über den Admin und die Geschäftsleitung hinweg betreiben,

00:36:49: dass man sagt, Leute, alles, was ihr irgendwie im Internet postet,

00:36:53: kann und wird unter Umständen gegen euch verwendet.

00:36:55: Jetzt gar nicht mal, um euch als Privatperson direkt zu schaden,

00:36:59: sondern vielleicht erpresse ich halt einfach einen Mitarbeiter,

00:37:02: weil ich merke, okay, die IT-Security, die ist gut, ich komme hier nicht rein,

00:37:06: wir haben keine Schwachstellen, es gibt auch sonst nichts, woran ich mich festhalten kann als Angreifer.

00:37:10: Naja, dann suche ich mir halt die am meisten erpressbare Person mit der höchsten

00:37:14: Position, die mir dann auch Zutritt verschaffen kann.

00:37:17: Und wenn man da nur lange genug Druck ausübt, ja, dann wird die Person irgendwann

00:37:21: einknicken und mir halt einfach freiwillig ihre Zugangsdaten geben und vielleicht

00:37:25: auch noch die Multifaktor-Anmeldung bestätigen. und dann spätestens sind die

00:37:29: Angreifer halt trotzdem drin.

00:37:31: Und das ist jetzt nichts, was irgendwie nur in Hollywood passiert.

00:37:34: Das ist eine Methodik, die Geheimdienste tatsächlich auch benutzen.

00:37:37: Wer sich den Film über Snowden angeguckt hat, der hat es da auch gesehen.

00:37:40: Die NSA hat es auf der einen Richtung nicht geschafft für ihr Ziel.

00:37:43: Dann wird halt das Umfeld irgendwie infiltriert und manipuliert,

00:37:47: bis man halt dann trotzdem an den Punkt hinkommt. Und das gilt natürlich genauso für Unternehmen.

00:37:52: Ja, und auch, wenn wir nochmal kurz zu der Ransomware-Thematik zurückgehen,

00:37:57: also viele bieten auch Ransomware-as-a-Service an, wo man dann als Affiliate

00:38:01: entsprechend prozentuale Abschläge bekommt.

00:38:05: Und das wird einfach auch häufig vergessen oder aus den Augen gelassen,

00:38:09: dass die Mitarbeiter, die ich beschäftige,

00:38:13: eben auch finanzielle Bedürfnisse haben, um eben ihr Leben führen zu können

00:38:18: und dass die halt auch im Zweifelsfall, ich sag mal, ihre eigenen Bedürfnisse

00:38:24: selbstverständlich über die meines Unternehmens stellen.

00:38:27: Das ist als Gründer oder als Unternehmensleiter vielleicht jetzt weniger im

00:38:33: Fokus oder im Schirm, weil man natürlich das Unternehmen irgendwo als sein Lebenswerk

00:38:38: oder ähnliches betrachtet,

00:38:40: aber das trifft halt nicht auf jeden Mitarbeiter zu.

00:38:42: Und wenn ein Mitarbeiter da einfach die Chance hat,

00:38:46: eventuell ad hoc, weiß ich nicht, 50.000 oder 10.000 Euro zu verdienen und das

00:38:53: vielleicht auch dann gar nicht auffällt oder auffliegt,

00:38:56: weil jeder Mitarbeiter kann natürlich auch unabsichtlich auf einen Phishing-Link

00:39:00: klicken und damit einen Ransomware-Angriff auslösen,

00:39:03: dann ist das auch einfach ein gewisser Anreiz, der nicht zu vergessen oder nicht zu übersehen ist.

00:39:09: Das ist auch ein Punkt, der häufig vernachlässigt wird, einfach in Täter-Szenarien.

00:39:14: Das ist gar nicht böse gemeint, das heißt nicht, ich soll meinen Mitarbeitern misstrauen,

00:39:19: sondern einfach, ich bin nicht in der Lage, mich in jeden Mitarbeiter und in

00:39:23: seine Situation reinzuversetzen und ob es jetzt durch Erpressung passiert oder

00:39:27: ob es durch finanzielle Anreize passiert,

00:39:30: Wenn ich die Berechtigung meiner Mitarbeiter auf das absolute Minimum reduziere,

00:39:36: das sie benötigen, um ihre Arbeiten auszuführen.

00:39:39: Dann schütze ich auf der einen Seite das Unternehmen und auf der anderen Seite

00:39:42: eben auch meinen Mitarbeiter, weil wenn der Mitarbeiter versehentlich eine Infektion auslöst,

00:39:49: Und aber aufgrund fehlender Zugriffsberechtigungen dann eben nicht das Gesamte,

00:39:54: sondern nur ein Teil des Netzwerkes befällt, dann entlasse ich damit natürlich

00:39:58: auch meinen Mitarbeiter oder zumindest das Gewissen meines Mitarbeiters.

00:40:02: Und wenn Datendiebstahl passiert, dann können es schon mal nicht die gewesen

00:40:07: sein, die keinen Zugriff haben. Ja, das wird auch immer gerne vergessen.

00:40:11: Jeder versucht immer so viele Zugriffsrechte oder so viele Privilegien wie möglich zu hamstern.

00:40:16: Und ich sitze immer bei den Kunden da und die sagen mir, ah,

00:40:19: ich gebe ihnen Zugriff auf unseren SharePoint oder sonst irgendwas.

00:40:23: Und dann sage ich immer, nee, nee, will ich gar nicht haben.

00:40:26: Stellen Sie mir nur dieses Dokument, was ich brauche, zur Verfügung.

00:40:29: Aber dann können Sie mal durchsehen, nein, ich möchte nur die Informationen,

00:40:33: die ich zum Arbeiten brauche.

00:40:35: Alle anderen brauche oder möchte ich gar nicht. Ja, weil so bin ich schon mal

00:40:41: direkt außen vor, wenn dann irgendwelche Dokumente in die Öffentlichkeit gelangen

00:40:44: oder wenn irgendwie der SharePoint kompromittiert wird.

00:40:48: Ja, also es gibt auch eine gewisse Entlastung oder einen gewissen Boni im Prinzip,

00:40:54: wenn man eben keine Berechtigungen hat.

00:40:56: Und das hat einfach nichts mit Vertrauen zu tun.

00:41:00: Ja, es ist teilweise gruselig, wie schnell man globale Adminrechte vom Kunden kriegt.

00:41:04: Und ich sage dann auch immer, wie du, nee, nee, Leser, bitte.

00:41:07: Ich will hier nichts administrieren. Ich bin hier nur zum Überprüfen da.

00:41:11: Ich kriege nachher eine Liste von uns, welche Probleme wir gefunden haben und

00:41:15: dann können wir die gerne zusammen beheben. Aber ich will diese Rechte ja gar

00:41:18: nicht haben. Aber kriegst du sofort.

00:41:20: Ähnlich wie, ruf irgendwo an und sag, du bist von der Firma ABC Consulting und

00:41:26: du hast den Auftrag von irgendeinen Namen einsetzen, Geschäftsführer,

00:41:30: IT-Leiter, was auch immer. Du sollst da auf dem Rechner mal was machen.

00:41:33: Das Thema Identifikation bei Fernwartung haben die Leute auch nicht auf dem

00:41:36: Schirm. Also ich lasse mir grundsätzlich auch mal einen Ausweis in die Kamera

00:41:40: halten, wenn jemand bei mir Fernwartung macht, was so gut wie nie vorkommt,

00:41:44: aber dennoch mal passieren kann.

00:41:45: Aber die Leute lassen dich rauf, weil die haben ihren Kopf in ihrem Job.

00:41:49: Die wollen halt einfach gerne weiterarbeiten.

00:41:51: Und das ist halt dann so ein lästiges Nebengeräusch.

00:41:53: Ja, ja, komm, lass den schneller rauf. Der wird schon wissen. Das passt schon.

00:41:57: Und da steckt eine ganz, ganz große Gefahrenmenge drin.

00:42:02: Da an der Stelle vielleicht auch mal die Frage, Würdest du sagen,

00:42:05: dass heute Angriffe eher noch auf technischer Natur wirklich funktionieren?

00:42:10: Klar, wenn Unternehmen schwer verwundbare Systeme direkt ans Internet hängen,

00:42:15: klar, dass das funktioniert.

00:42:16: Oder würdest du sagen, gerade Social Engineering in Kombination mit Open Source

00:42:21: Intelligence führt eher zum Ziel heute?

00:42:25: Da auf jeden Fall Zweiteres, also viele Angriffe von denen, die man sieht,

00:42:29: die basieren einfach auf Open Source Intelligence oder Social Engineering oder

00:42:36: eine Kombination von beidem,

00:42:37: weil auch das, ich sag's mal, das Aufspüren von kompromittierten Zugangsdaten

00:42:44: zählt ja auch einfach in dem Bereich Open Source Intelligence.

00:42:47: Und auch das Ankaufen von Informationen über Access Broker, weil theoretisch

00:42:52: kann die ja jeder kaufen, ist einfach noch Open Source Intelligence.

00:42:56: Und natürlich gäbe es bestimmt noch die Möglichkeit,

00:43:00: bei den heutigen ganzen Schutzmechanismen sich irgendwie durchs Unternehmen

00:43:05: zu bewegen, aber es ist halt enorm zeitaufwendig, es ist enorm risikoreich,

00:43:11: weil es einfach viele mögliche Stellen gibt, an denen ich entdeckt werde.

00:43:14: Und viel einfacher ist es natürlich, wenn ich, ich sag's mal,

00:43:17: 50 Euro in die Hand nehme, mich dann mit einem bestehenden Nutzer-Account im Netzwerk bewegen kann,

00:43:23: weil ich damit natürlich dann einfach durch viele Gateways oder durch viele

00:43:27: Sicherheitsmechanismen einfach so durchmarschieren kann.

00:43:31: Und deswegen, ja, also man sieht ganz stark, dass der Trend in die Richtung

00:43:38: geht, dass eigentlich nur noch OSINT und Social Engineering eingesetzt oder verwendet wird.

00:43:44: Und dementsprechend umso wichtiger wird natürlich das Thema,

00:43:48: dass ich meinen digitalen Fußabdruck des Unternehmens und auch der Mitarbeiter

00:43:52: einfach kenne, um das Risiko ausreichend adressieren zu können und um die Awareness

00:43:59: einfach entsprechend schaffen zu können. Ja, auch als Arbeitnehmer.

00:44:02: Ich habe nicht mal auf den Hotelbuchungs- oder Hotelverifikationslink geklickt,

00:44:07: das die Assistenz der Geschäftsführung für mich gebucht hat,

00:44:10: weil sie mir nicht Bescheid gesagt haben, dass sie jetzt ein Hotel über meine

00:44:14: E-Mail-Adresse buchen.

00:44:16: Ja, da habe ich dann erst zum Hörer gegriffen, durchtelefoniert und gesagt,

00:44:20: habt ihr gerade ein Hotel gebucht?

00:44:22: Ist das das und das? Okay, dann klicke ich jetzt auf den Link.

00:44:28: Und genauso, wenn einfach es gang und gäbe ist,

00:44:33: dass die IT mich um das genaue Zeitfenster einer Remote-Wartung informiert und

00:44:39: dass auch die externen Dienstleister nicht einfach so vor der Tür stehen,

00:44:42: sondern das bekannt und angekündigt ist und dann am besten auf dem Gelände noch begleitet werden.

00:44:48: Dann fallen solche Sachen, die außer Norm sind, einfach auf.

00:44:53: Und wenn man dann die Mitarbeiter noch dazu trainiert, lieber zweimal zu viel

00:44:57: rückzufragen und halt auch eine gesunde Fehlerkultur implementiert,

00:45:03: dass jeder ohne Bedenken vor irgendwelchen Nachteilen sagt, oh,

00:45:08: ich habe da aber jetzt auf den Link geklickt oder oh,

00:45:11: die E-Mail sieht im Nachgang doch etwas seltsam aus oder so.

00:45:16: Da ist mir Folgendes passiert, dann erhöhe ich einfach die Sicherheit meines

00:45:20: Unternehmens enorm, ohne dass ich jetzt Riesenmengen an Geld in die Hand nehmen muss.

00:45:26: Viele reden von Bordmitteln immer, von ja, ich härte das System oder ähnliches,

00:45:31: aber für mich zählt zu Bordmitteln auch, dass ich einfach transparent,

00:45:35: offen mit meinen Mitarbeitern umgehe,

00:45:37: weil die Mitarbeiter sind einfach die erste und die beste Verteidigungslinie des Unternehmens.

00:45:43: Ja, es ist ein bisschen wie ein Flohzirkushüten mittlerweile geworden leider.

00:45:47: Also aus Sicht der Entscheider wollte ich tatsächlich nicht tauschen,

00:45:50: muss ich ganz ehrlich gestehen.

00:45:53: Aber wir haben jetzt schon ein paar ganz wichtige, wie man heute sagt,

00:45:57: Key Takeaways aus dem, was wir so gesprochen haben.

00:46:00: Einerseits, man kann sich ein Unternehmen wie deines zum Beispiel holen,

00:46:04: was dann eben auch guckt, wie ist denn meine Angriffsfläche?

00:46:07: Was habe ich denn möglicherweise für Dinge, die mir zum Nachteil gereichen können?

00:46:13: Also das heißt, jemand, der jetzt hier unseren Podcast gerade hört und sagt,

00:46:16: Mensch, das wäre doch mal was, da würde ich gerne mal gucken.

00:46:18: Kontaktdaten vom Jannis findet ihr unten, wie immer in den Shownotes. Guckt da gerne mal hin.

00:46:23: Aber auch das Thema Mitarbeiterausbildung, Weiterbildung, gerade von den Admins

00:46:27: ist ein Thema und auch das kannst du tatsächlich ja anbieten.

00:46:30: Du bist als Trainer für die Q-Skills im Einsatz aus Nürnberg.

00:46:34: Da gibt es zwei Kurse, die ich von dir gefunden habe. einmal der OSINT Basics,

00:46:38: der SC350 und der OSINT Practitioner, die SC355.

00:46:43: Da wäre tatsächlich der nächste Termin schon in der Woche vom 9. bis 13.12.

00:46:48: Also wer jetzt sagt, Mensch, das wäre auf jeden Fall auch ein Thema.

00:46:51: Ich würde gerne meine IT-Mitarbeiter oder auch den Geschäftsführer vielleicht

00:46:55: mal in die Richtung weiterbilden.

00:46:56: Guckt da auch mal unten in die Shownotes rein. Da haben wir auf jeden Fall auch

00:46:59: Links dazu, damit ihr da auch dann in die Lage kommt.

00:47:02: Weil sonst finde ich es ein bisschen schwierig, immer wenn man sagt,

00:47:04: ja man könnte und sollte. Das ist so ein bisschen, man müsste mal,

00:47:07: der Mystizismus sozusagen, sondern dass man auch wirklich da ein bisschen direkt

00:47:11: eine Handreichung gibt, wie man denn dann tatsächlich da auch weitermachen kann.

00:47:16: Da muss ich auch sagen, das finde ich mit Abstand den besten Baustein jetzt

00:47:20: bei dem kommenden NIST-2-Umsetzungsgesetz oder Gesetzesvorlage,

00:47:25: dass da ganz klipp und klar drinsteht, dass eben die Geschäftsführer und die

00:47:30: Entscheider entsprechende Cyber-Awareness- oder Cyber-Sicherheitsschulung besuchen müssen.

00:47:36: Ja, weil wie soll ich mich denn einem Risiko adäquat annähern oder adäquat über

00:47:43: ein Risiko entscheiden, wenn ich eben die Hintergründe nicht habe?

00:47:47: Und ich verstehe es absolut, dass man als Geschäftsführer, Geschäftsleitung

00:47:51: mehr Themen auf dem Tisch hat als jetzt irgendwelche Schulungen oder Fortbildungen.

00:47:56: Aber genauso wie bei den Mitarbeitern muss auch der eigene Wert einfach regelmäßig

00:48:02: erhöht oder verbessert werden, weil die IT-Landschaft so schnelllebig ist.

00:48:07: Und das ist, glaube ich, einer der effektivsten oder effizientesten Maßnahmen,

00:48:13: die in den ganzen letzten Gesetzesvorlagen verabschiedet wurde.

00:48:18: Deswegen genau, also da Schulen hilft sehr, sehr viel. Ja, absolut.

00:48:23: Selbst wenn das Unternehmen jetzt nicht unter NIST 2 fällt, ist es ja auch vorher

00:48:27: schon so gewesen, am Ende beißen den Geschäftsführer die Runde.

00:48:31: Der Mitarbeiter kann natürlich möglicherweise dann auch mal herangezogen werden,

00:48:36: weil er sich absichtlich vielleicht falsch verhalten hat, wenn man es ihm nachweisen

00:48:39: kann. Aber auch vor NIS II war das schon ein Thema.

00:48:43: Die Geschäftsführer müssen halt am Ende dafür gerade stehen.

00:48:45: Und durch NIS II ist es jetzt natürlich noch mal wesentlich schärfer geworden.

00:48:49: Weil wenn man sich die Strafen auch anschaut, die da, je nachdem in welche der

00:48:53: verschiedenen Sektoren man reinfällt, wirklich teilweise drakonisch sind.

00:48:56: Also wir reden hier von 10 Millionen oder 1,4 Prozent vom Jahresumsatz.

00:49:00: Das, was höher ist, ist dann letzten Endes das, was zählt.

00:49:04: Plus Androhung von Enthebung aus der Rolle des Geschäftsführers.

00:49:08: Plus, plus, plus, plus, plus. Und ich erlebe aber immer noch von denen,

00:49:12: wir haben jetzt dann 40.000 Kritis-Unternehmen in Deutschland,

00:49:16: on top zu denen, die schon vorher da waren.

00:49:18: Aber wenn man in die Gespräche geht, wohl wissend, dass dieses Unternehmen vielleicht

00:49:22: ein Lebensmittelhersteller ist oder Abfallentsorgung, Siedlungsabfallentsorgung

00:49:27: und das Thema anspricht, wir glauben nicht, dass wir da reinfallen.

00:49:31: Dann sage ich, doch, ihr fallt da rein.

00:49:32: Guck mal, hier, Betroffenheitsprüfung vom BSI, guck mal rein, du bist jetzt da dabei.

00:49:37: Dann wird sich eher damit beschäftigt, wie kann man es denn umschiffen,

00:49:40: indem man irgendwelche Geschäftszahlen dann halt so anpasst,

00:49:43: dass man dann vielleicht wieder drunter fällt, als dass man sich damit beschäftigt,

00:49:46: sich halt mal vorzubereiten.

00:49:47: Und das ist tatsächlich leider ziemlich traurig, die Situation bei uns.

00:49:51: Ja und da muss man ja auch sehen, also NIST 2 fordert ja eben gerade viele Konzepte

00:49:57: wie Business Continuity Management und so weiter alles und das sind ja Anforderungen,

00:50:03: die mich und mein Geschäft schützen.

00:50:06: Also die sorgen ja dafür, dass meine Verluste oder meine Schäden wesentlich,

00:50:11: wesentlich geringer sind.

00:50:13: Das heißt eigentlich aus meiner Sicht, wenn man sich damit befasst,

00:50:17: ist es ein No-Brainer, auch wenn man nicht unter NIST 2 fällt.

00:50:20: Eben diese Sachen vorzubereiten und in der Schublade liegen zu haben,

00:50:25: weil keiner verliert gerne Geld und keiner schädigt sich oder sein Unternehmen

00:50:30: über die notwendigen Maße.

00:50:32: Und dementsprechend sollte das einfach jeder auf dem Schirm haben oder sich

00:50:38: entsprechend damit beschäftigen und ja, ich höre immer die Zahl von 40.000 Unternehmen,

00:50:43: die dann unter NIST 2 fallen.

00:50:45: Aber seien wir realistisch, es werden viel, viel mehr sein, weil in NIST 2 wird

00:50:50: nämlich auch gefordert,

00:50:51: dass eben die Lieferketten ein ähnlich hohes Sicherheitsniveau aufweisen und das heißt,

00:50:57: von diesen 40.000 Unternehmen werden ja ein nicht zu vernachlässigender Anteil

00:51:03: eben genau dieselben Anforderungen auch an ihre Zulieferer durchreichen,

00:51:08: weil sie eben die Sicherheit ihrer Lieferkette sicherstellen müssen und dementsprechend

00:51:13: wird sich das enorm multiplizieren.

00:51:15: Aber auch da wieder, selbst wenn ich kein Zulieferer bin von einem Unternehmen

00:51:21: und ich nicht unter NIS2 falle,

00:51:25: Thematiken wie Disaster Recovery, Business Continuity Management,

00:51:29: die sind dafür da, um Schäden und wirklich Geld, was mir durch die Lappen geht

00:51:36: oder was ich da verliere, so gering wie möglich zu halten.

00:51:41: Auch dann sollte ich mich von meiner Seite aus selbst damit befassen und auch

00:51:47: selbst sozusagen als Geschäftsführer dann mich entsprechend weiterbilden oder

00:51:52: mich darauf vorbereiten,

00:51:54: weil wenn man ein Playbook hat für alle möglichen Vorfälle oder alle möglichen Unterbrechungen,

00:52:02: die meinen Geschäftsbetrieb betreffen können,

00:52:05: umso schneller bin ich eben wieder lauffähig oder umso geringer fallen die Einschränkungen aus.

00:52:12: Wenn ich genau weiß, okay, wenn die und die Komponente ausfallen,

00:52:16: dann können wir aber zumindest noch die Sparte ohne Einschränkung weiter betreiben.

00:52:20: Und das ist aber nichts, was man im Hinterkopf hat, wenn in Anführungszeichen

00:52:24: die große Panik aufsteigt und alle erstmal ganz hektisch durcheinander rennen,

00:52:29: rumtelefonieren und versuchen festzustellen, was das überhaupt gerade passiert.

00:52:33: Ja, absolut. Man muss auch mal eins sagen, es gäbe das Gesetz nicht,

00:52:38: wenn es nicht nötig wäre.

00:52:39: Wenn alle Unternehmen das schon seit 20 Jahren so betreiben würden,

00:52:42: gäbe es diese Rechtsprechung nicht, die jetzt neu kommt, weil dann wäre ja alles

00:52:46: schick, dann muss ich ja nichts tun.

00:52:48: Aber es ist auch umso besser, dass das halt auch von europäischer Ebene in die

00:52:51: jeweiligen Länder getragen wird, weil gerade in der Beziehung eben mit anderen

00:52:56: Ländern, Produktionsstandorte in anderen Ländern und so weiter,

00:52:58: ist es halt einfach so wichtig, wirklich das Thema von vorne bis hinten auch auf dem Schirm zu haben.

00:53:03: Ja, deswegen finde ich es so schade, dass die NS2-Gesetzgebung hier bei uns,

00:53:08: zumindest was die Behörden angeht, so massiv beschnitten wurde,

00:53:12: weil auch da finde ich, es sollte nicht nur die Bundesbehörden betreffen.

00:53:17: Auch Städte oder Kommunen, die ja dann auch meine Daten verwalten oder die im

00:53:22: Zweifelsfall eben auch gerade für die Infrastruktur oder das Gemeinschaftsleben unentbehrlich sind,

00:53:30: gerade die sollten ganz, ganz dringend da aktiv werden bei dem Bereich.

00:53:35: Und genau die hat man dann aber von der Rechtsprechung ausgeklammert.

00:53:38: Ja, wobei ich da ein Bewusstsein feststelle.

00:53:42: Ich habe mehrere Städte in der Kundschaft und ich frage dann auch immer,

00:53:45: wie kommt es dazu, dass wir jetzt trotzdem in dem Bereich was tun?

00:53:49: Und ganz häufig höre ich halt, wir wollen halt nicht die Nächsten sein, die in der Presse sind.

00:53:53: Also gerade so der Fall in Anhalt-Bitterfeld, der hat halt schon vielen auch

00:53:56: die Augen geöffnet. und dann wird auch hier tatsächlich mal was unternommen.

00:54:01: Also ich merke schon, dass da ein Umdenken stattfindet, obwohl man nicht dazu verpflichtet wäre.

00:54:06: Weil letzten Endes, wenn du sagst, wenn es dann um solche Dinge wie Bürgergeld

00:54:10: geht oder eine Gewerbesteuer, die ich nicht mehr eintreiben kann,

00:54:12: dann hat eine Stadt halt ganz schnell ganz gewaltige Probleme und das will halt

00:54:16: niemand mehr heutzutage.

00:54:18: Zumindest die meisten nicht. Also es gibt mit Sicherheit auch Städte,

00:54:21: die da anders denken, aber ich merke bei den Städten, die bei uns in der Betreuung

00:54:25: sind, dass die schon umdenken.

00:54:27: Ja, das ist auf jeden Fall schön zu hören oder ein schöner Lichtblick,

00:54:31: weil ich hatte jetzt nur die Gesetzesvorlage oder den Entwurf für das Gesetz

00:54:35: entsprechend in den Händen und habe es beim ersten Mal durchlesen,

00:54:39: saß ich dann da und hatte die großen Fragezeichen im Gesicht,

00:54:43: warum eben gerade Landkreise, Kommunen und und und davon ausgeklammert sind.

00:54:47: Auch wenn das jetzt, ich sag mal, das Gemeinschaftsleben nochmal unmittelbarer betrifft,

00:54:54: als wenn jetzt irgendein regionaler Lebensmittelproduzent ausfällt, weil ich denke mal,

00:55:01: keiner ist so umfassend Lebensmittelproduzierend, dass das dann wirklich ganze

00:55:06: Supermärkte betrifft, sondern es sind ja dann immer Sparten.

00:55:10: Dann ist vielleicht die Fleischversorgung betroffen oder eben die Brotversorgung oder oder.

00:55:16: Aber es ist ja nicht so, als gäbe es dann keine Lebensmittel mehr.

00:55:20: Während halt, wenn die Gemeinde betroffen ist, dann merkt man das direkt oder

00:55:25: unmittelbar, vor allem halt die Personen, die auf die Unterstützung oder auf

00:55:29: die Zuarbeit von Gemeinden angewiesen sind.

00:55:33: Kritisch würde es halt, wenn meine Lieblingsbiermarke betroffen wäre zum Beispiel,

00:55:36: dann hätte ich damit schon ein ernsthaftes Problem.

00:55:40: Absolut, ja. Ja, gucken wir mal so ein bisschen in Richtung Zukunft.

00:55:45: Jetzt haben wir ja doch schon einige Szenarien hier aufgemacht,

00:55:48: die zum Problem werden können.

00:55:50: Wir haben aber auch jetzt seit etwas über zwei Jahren eine ganz neue Wild-West-Welt

00:55:56: da draußen, gerade im Bereich der künstlichen Intelligenz.

00:55:59: Es gibt schon länger KIs, aber ChatGPT hat es halt sehr zugänglich gemacht.

00:56:02: Wie würdest du denn sagen, wird sich denn diese Situation die nächsten Jahre

00:56:07: noch verändern und welchen Einfluss hat vor allem künstliche Intelligenz dabei?

00:56:10: Also künstliche Intelligenz ist in meinen Augen einfach ein Katalysator.

00:56:16: Er beschleunigt einfach vieles, sowohl auf der Täterseite.

00:56:22: Also ich kann mir über die künstliche Intelligenz maßgeschneiderte Phishing-Mails

00:56:28: schreiben lassen, wenn ich ihr nur die richtigen Social-Media-Profile zur Verfügung stelle.

00:56:33: Genauso kann ich aber natürlich auch die KI nutzen, um eben wesentlich besser

00:56:38: Anomalien im Datenverkehr, Anomalien im Nutzerverhalten und so weiter alles

00:56:43: zu identifizieren, um hier frühzeitig Maßnahmen zu ergreifen.

00:56:48: Also dementsprechend, ich sehe das einfach als Beschleuniger.

00:56:52: Das Rad der Innovation dreht sich jetzt einfach eine ganze Runde schneller als

00:56:56: eben vor diesen zwei Jahren.

00:56:59: KIs können auch bei OSINT-Analysen enorm zuarbeiten, aber aus meiner Erfahrung

00:57:07: wirklich einfach nur zuarbeiten,

00:57:09: weil eben gerade bei dem OSINT eine sehr, sehr starke Gewichtung auf der Analyse liegt.

00:57:16: Und man kann nicht generisch herangehen und sagen, aus den Daten kann ich diese

00:57:23: Parts gebrauchen, sondern ich schaue mir die Daten an,

00:57:25: gucke, welche Metadaten habe ich, gucke, welche Audio- oder visuellen Informationen

00:57:30: habe ich und kann dann entsprechend nach Quelle der Daten prüfen,

00:57:36: was davon ist wie vertrauenswürdig und dementsprechend wie viel Gewichtung messe

00:57:41: ich dementsprechend bei.

00:57:42: Und das ist einfach eine Detailabschätzung, die zur Zeit von künstlicher Intelligenz

00:57:49: noch nicht umgesetzt werden kann.

00:57:51: Aber künstliche Intelligenz kann mir natürlich gerade bei größeren Datenmengen

00:57:56: enorm helfen, die wichtigen Punkte zu finden oder auch einfach große Datenmengen

00:58:01: vorzusortieren oder vorzuanalysieren.

00:58:06: Aber in meinen Augen fehlen da noch ein paar ganz, ganz elementare Schritte,

00:58:11: bis ich sagen kann, okay, ich kann diese Analyse der KI überlassen,

00:58:16: einfach weil es so viele Möglichkeiten gibt,

00:58:20: aus unterschiedlichsten Informationen dann in der Analyse weiterzugehen.

00:58:25: Das lässt sich aktuell noch nicht abbilden.

00:58:29: Also ich bin fasziniert, welche Möglichkeiten die LLMs aktuell bieten.

00:58:35: Man darf halt aber nicht der Versuchung erliegen und denken,

00:58:39: dass da halt eine Intelligenz dahintersteht. Überspitzt gesagt ist das eigentlich

00:58:44: nur das klassische T9 vom Handy, halt auf Steroiden, wenn man das so betonen möchte.

00:58:49: Aber der Punkt ist halt, es wird mit Wahrscheinlichkeiten von Textzusammenhängen

00:58:56: gearbeitet und eben noch keiner echten Intelligenz, die im Einzelfall anders entscheiden könnte.

00:59:04: Aber als Assistent, deswegen heißt es ja auch immer künstliche Assistenz,

00:59:09: erleichtert einem das gerade, ich sag jetzt mal, Datenarbeiten enorm.

00:59:14: Aber gerade bei OSINT musste ich feststellen, man kommt nicht umhin,

00:59:18: selbst nochmal einen Blick drauf zu werfen, weil ja nicht nur das Vorhandensein

00:59:23: der Daten wichtig ist, sondern halt auch eben die Einschätzung der Verlässlichkeit.

00:59:28: Weil Metadaten können auch recht einfach selbst manipuliert werden und dann

00:59:33: muss man einfach prüfen,

00:59:34: ergibt diese Datenkonstellation Sinn oder ist die plausibel nachvollziehbar

00:59:40: und man muss eben auch in gewissen Bereichen auch mal nur Indizien nachgehen und gucken,

00:59:49: ob die zu dem nächsten Beweis führen und kann halt sich halt nicht einfach auf ein Schema F verlassen.

00:59:54: Aber umso wichtiger ist es halt, dass man da eine Systematik drin hat und eben

00:59:59: gerade bei diesen initialen systematischen Prozessen unterstützt das enorm.

01:00:05: Ja, jetzt entwickelt man natürlich da einen Blick für, wenn man das Ganze beruflich macht.

01:00:10: Wir haben auch vorhin schon so ein bisschen die Berufsparanoia rausgehört zu

01:00:14: dem Thema Hotelbuchungslink.

01:00:15: Wie gehst du denn im Privaten damit um,

01:00:18: wenn dir irgendwo auffällt, dass jemand sich halt gerade ganz unabsichtlich

01:00:23: vielleicht so verhält, dass er halt einfach Modelle füttert oder auch Schwachstellen

01:00:28: preisgibt, Angriffsfläche bietet?

01:00:31: Weißt du die Leute da noch drauf hin oder hast du es mittlerweile aufgegeben?

01:00:34: Nein, ich weise die Leute damit oder immer darauf hin und versuche auch immer

01:00:39: in meinem Umfeld, ich sag mal, ein Bewusstsein für zu schaffen.

01:00:44: Aber es ist halt auch einfach ganz, ganz wichtig, da dann nicht zu verurteilen

01:00:48: oder Personen zu verdammen,

01:00:50: weil jeder von uns hat sein ganz eigenes Leben und auch seine ganz eigene Risikoappetit,

01:00:57: sag ich mal, oder auch sein ganz eigenes Risikoprofil.

01:01:00: Und natürlich weise ich Leute dann darauf hin, wenn ich jetzt sehe,

01:01:05: dass beispielsweise Passwörter recht knapp sind oder eben vertrauliche Daten

01:01:10: dann in irgendwelche KIs eingesprochen oder getippt werden.

01:01:14: Aber wenn die Person sich aktiv dafür entscheidet, das weiterzuführen,

01:01:19: dann ist das für mich auch in Ordnung.

01:01:21: Also dann ist die Person für mich nicht automatisch ein schlechter Mensch.

01:01:24: Aber ich möchte das halt einfach für

01:01:27: mich nicht. Also ich arbeite auch ausschließlich mit lokalen KIs bei mir.

01:01:31: Ich habe meinen Desktop-Rechner dementsprechend einfach wesentlich potenter aufgebaut,

01:01:37: dass ich halt auch einfach hier beispielsweise von Meta das Lama 3.1 lokal laufen

01:01:44: lassen kann, auch wenn es dann mal gerne 70 oder 90 Gigabyte frisst auf der Platte.

01:01:51: Aber das ist ja das Schöne an den aktuellen oder an den modernen Technologien,

01:01:56: dass ich die Wahl habe, wenn ich mich dafür entscheide, mich damit zu befassen.

01:02:01: Und auch in meinem direkten Bekanntenkreis nutzt nicht jeder einen Passwortmanager oder oder.

01:02:07: Ich weise darauf hin, aber wenn die Personen für sich entscheiden,

01:02:12: dass das nicht nach ihren Bedürfnissen ist, dann ist das für mich auch völlig in Ordnung.

01:02:16: Ja, ich mache es ähnlich, aber du hast halt einfach oft ein Augenrollen,

01:02:22: wo dann die Leute sagen, jetzt kommt der wieder mit seinem Quatsch um die Ecke,

01:02:24: was dem immer alles so durch den Kopf geht.

01:02:26: Aber ja, es ist wichtig, da nicht aufzuhören, auch eben im Bereich Freunde,

01:02:32: die vielleicht auch noch Kinder haben, dass man da auch mal ab und zu mal so fallen lässt.

01:02:35: Hey, ist das jetzt eigentlich Absicht, dass das Kind jetzt da YouTube,

01:02:39: nicht Kids, sondern normales YouTube, unbeaufsichtigt die ganze Zeit konsumiert?

01:02:43: Einfach, weil man ja auch selber weiß, was da halt alles passieren kann und

01:02:47: was für Inhalte da sind. Und ja, absolut super wichtiges Thema.

01:02:51: Genau, ja, auch das Fotografieren und Online-Stellen von Kindern,

01:02:55: das ist auch immer so ein Punkt, wo ich dann versuche, ein bisschen Awareness zu schaffen,

01:03:00: weil das natürlich auch einfach für das Kind aktuell und auch später gewisse

01:03:05: Risiken birgt und häufig vergessen wird,

01:03:10: dass auch wenn es jetzt ein Kleinkind ist, dass es ja trotzdem ein eigenes Individuum

01:03:15: ist und man sich halt einfach fragen muss.

01:03:19: Möchte das Kind das jetzt gerade vielleicht?

01:03:21: Es mag dem einen oder anderen vielleicht etwas affig erscheinen,

01:03:25: aber ich beispielsweise frage meine Kinder, ob ich ein Bild machen darf jetzt

01:03:30: gerade oder ob sie möchten, dass ich das fotografiere.

01:03:33: Und wenn sie Nein sagen, dann ist das so.

01:03:36: Also ich lade die Bilder selbstverständlich nirgendwo hoch, aber es ist für

01:03:41: mich einfach wichtig, dass auch die Kleinen einfach schon von früh an einfach

01:03:45: ein bisschen ein Gespür dafür bekommen,

01:03:47: dass jetzt überall Bilder gemacht werden, keine Selbstverständlichkeit ist und

01:03:52: dass man eben auch selbst über seine Daten, wie jetzt das Erstellen eines Bildes,

01:03:57: entscheiden kann und das Recht halt dann auch einfach respektiert oder akzeptiert wird.

01:04:02: Ja, die Kinder haben da genauso Rechte und jedes Bild von einer Person,

01:04:07: sei es jetzt Erwachsener oder Kind, hat trotzdem biometrische Merkmale,

01:04:10: die dann irgendwann vielleicht mal zu einem Problem werden könnten,

01:04:13: je nachdem, wo die Bilder hinkommen.

01:04:15: Und ich kann auch immer nur wieder mit dem Kopf schütteln in WhatsApp,

01:04:18: Stati oder auf Meta oder sonst wo auf Insta, was da für Fotos unterwegs sind.

01:04:23: Und es ist wirklich schlimm geworden, weil halt einfach so kopflos drauf losfotografiert wird überall.

01:04:29: Es ist gut, dass es Kampagnen dagegen gibt oder die da auch aufklären.

01:04:33: Die Telekom hatte ja da letztes Jahr eine recht große Kampagne aus diesem ganzen

01:04:36: Rahmen gegen Hass und Hetze im Netz und auch zum Thema mit dieser Mädchen Ella,

01:04:42: wo ja aus einem Kind quasi eine junge Heranwachsende generiert wurde,

01:04:46: die dann die Eltern quasi im Kino aufklärt, so hey, ich will nicht,

01:04:49: dass ihr das macht und bitte denkt vorher darüber nach.

01:04:51: Aber es ist immer noch viel zu wenig in den Köpfen drin. Also ich denke,

01:04:55: in unserer Hörerschaft hier vom Podcast und auch in der Bubble,

01:04:59: wo ich mich bewege, die Leute, die es beruflich machen, denen dürfte das klar sein.

01:05:02: Aber es gibt da natürlich noch jede Menge anderer Menschen, die halt eben das

01:05:06: gar nicht auf dem Radar haben.

01:05:07: Und man kann es einfach nicht oft genug sagen.

01:05:10: Absolut. Da stimme ich voll und ganz zu.

01:05:14: Vor allem, weil wir ja aktuell nur den Beginn der KI-Technologie sehen und gar

01:05:21: nicht abschätzen können, was in fünf oder in zehn Jahren, wenn eben aus diesen

01:05:25: Kindern dann junge Erwachsene geworden ist, alles möglich ist.

01:05:28: Und wenn dann halt eben später über diese biometrischen Merkmale es vielleicht

01:05:32: möglich ist, irgendwelche Kleinkredite aufzunehmen, dann kann das das Leben

01:05:37: des Kindes unnötig belasten,

01:05:39: was ich natürlich als Elternteil eigentlich verhindern sollte. Ja, absolut.

01:05:45: Hast du denn so abschließend noch irgendeine Nachricht oder eine Botschaft,

01:05:50: die du unseren Hörerinnen und Hörern mit auf den Weg geben würdest?

01:05:53: Ja, und zwar egal bei welchen Daten oder bei welcher Situation,

01:05:59: man sollte sich einfach immer bewusst machen, dass Informationen für sich neutral

01:06:05: sind, aber natürlich auch jederzeit gegen mich verwendet werden können.

01:06:10: Und dementsprechend sollte ich mich einfach bei allem immer wieder fragen,

01:06:17: entspricht das meinen Bedürfnissen oder meinem Risikoprofil und brauche ich das jetzt wirklich?

01:06:24: Also auch in Bezug auf irgendwelche Apps, Applikationen oder irgendwelche Online-Fotobearbeitungsfilter-Tools,

01:06:34: da einfach sich selbst immer entsprechend kurz innehalten und fragen,

01:06:39: was könnte denn im allerschlimmsten Falle passieren?

01:06:43: Und wenn ich mit den Konsequenzen, die mir dann in den Kopf kommen,

01:06:48: zufrieden bin oder wenn die für mich akzeptabel sind,

01:06:52: dann kann ich natürlich mit meinen Tätigkeiten fortfahren, ansonsten vielleicht

01:06:56: ein kleines bisschen Zeit investieren und zu prüfen, ob es nicht Alternativen

01:07:00: gibt, die mir selbst dann einfach besser zusagen oder besser gefallen.

01:07:05: Das kann ich absolut unterstützen. Da gehe ich komplett mit.

01:07:08: Ist eine sehr gute Denke.

01:07:11: Und ja, also vielen Dank dafür auch. Und wie gesagt, wenn ihr jetzt Interesse

01:07:16: bekommen habt an dem ganzen Thema rund um Open Source Intelligence,

01:07:19: wie gesagt, ein Blick in die Shownotes unten wird euch zum Jannis führen und

01:07:23: auch zu seinem Unternehmen und natürlich auch zu den Kursen,

01:07:26: die die Q-Skills dazu entsprechend im Portfolio hat.

01:07:30: Und damit sind wir tatsächlich schon wieder am Ende der heutigen Folge angekommen.

01:07:35: Das ist übrigens die vorletzte Folge von unserem Blue Screen Interview Format in diesem Jahr.

01:07:40: Wir hatten ja jetzt in der letzten Folge den Thomas Michalski,

01:07:43: der als Pentester unterwegs ist.

01:07:45: Schön, dass wir jetzt noch einen OSIN Spezialisten hatten mit dem Jannis.

01:07:49: Und in der tatsächlich letzten Folge, die dann am 20.12.

01:07:53: Rauskommt, da haben wir dann nochmal ein kleines Sonderfeature für euch.

01:07:58: Da werden wir nämlich so über die Top 10 Security-Fails sprechen.

01:08:00: Mache ich natürlich nicht alleine.

01:08:02: Wen ich da zu Gast habe, das verrate ich aber heute noch nicht.

01:08:05: Und da dürft ihr auf jeden Fall gespannt sein.

01:08:08: Janis, nochmal ganz, ganz lieben Dank, dass du dir heute die Zeit genommen hast

01:08:11: und so in die Detailkiste auch gegriffen hast.

01:08:14: Das war wieder sehr, sehr anschaulich erklärt.

01:08:17: Und ich glaube, so manch einer hat sich vielleicht auch während des Konsums

01:08:21: von unserer heutigen Folge selber die Frage gestellt, oh, was könnte man denn

01:08:25: gegen mich vielleicht verwenden? Das hoffe ich zumindest.

01:08:28: Dann haben wir zumindest unseren Job hier ganz gut gemacht.

01:08:30: Freut mich wirklich, dass du dir die Zeit genommen hast und gerne wieder.

01:08:35: Ja, vielen, vielen Dank für die Einladung und vielen Dank für die Möglichkeit,

01:08:40: das Thema entsprechend anzubringen und auch von meiner Seite.

01:08:44: Also jederzeit gerne wieder.

01:08:46: Ich denke, das ist auf jeden Fall ein Thema, was kommt und bleibt.

01:08:53: Ja, dann dir noch einen wunderschönen Tag. Euch, je nachdem wann ihr uns hört,

01:08:57: einen schönen Tag oder eine gute Nacht.

01:08:59: Manche hören den Podcast auch zum Einschlafen, habe ich gehört.

01:09:01: Nicht, weil er so langweilig ist, hoffentlich. Und dann würde ich mich freuen,

01:09:07: wenn ihr auch zur nächsten Folge von Blue Screen wieder einschalten würdet.

01:09:11: Habt einen guten Tag. Bis bald. Ciao.

01:09:15: Music.