096: Wenn Lügen zum Beruf werden! Ein Interview mit Alexander Politz (Braun und Paul IT GmbH).

Speaker1: Hallo und willkommen zurück bei einer weiteren Folge von Blue Screen,

Speaker1: eurem Lieblings-Tech-Podcast.

Speaker1: Ich bin wie immer Alex und heute haben wir ein ganz spannendes Thema.

Speaker1: Also wir haben ja nicht immer spannende Themen, aber heute geht es mal in eine etwas andere Richtung.

Speaker1: Ich bin, muss ich zugeben, ein großer Fan von dem Film Catch Me If You Can.

Speaker1: Wer den nicht gesehen hat, vielleicht kurz die Erklärung. Leonardo DiCaprio

Speaker1: schwindelt sich so durch sein Leben.

Speaker1: Er ist im Laufe seiner Karriere unter anderem auch mal sogar Pilot.

Speaker1: Und ja, das kaufen ihm die Leute halt ab, weil er es halt glaubwürdig rüberbringen kann.

Speaker1: Und der Gast, den wir heute tatsächlich hier bei uns im Studio haben,

Speaker1: der macht sowas auch beruflich.

Speaker1: Und deswegen heißt die Folge auch, wenn Lügen zum Beruf werden. Viel Spaß.

Speaker0: Blue Screen, der Tech-Podcast.

Speaker1: Ja, und es freut mich sehr, dass ich unseren Gast hier direkt begrüßen darf.

Speaker1: Wir haben den Alexander Politz oder Alex. Was ist dir lieber, Alex oder Alexander?

Speaker0: Alex.

Speaker1: Alex, ja, gib mir aus.

Speaker0: Alexander sagt die Mama, das ist nicht gut.

Speaker1: Oh, da kriegt man Ärger dann. Wir haben es gerade heute jetzt quasi mit Alex und Alex zu tun.

Speaker1: Alex, erzähl uns mal ein bisschen, wer bist du, was machst du und wieso bist du ein Lügner?

Speaker0: Lügner sind wir alle. Damit fange ich schon mal an. Die meisten Menschen lügen,

Speaker0: wenn sie guten Morgen sagen.

Speaker0: Wer bin ich? Ja, ich bin Alex, vielleicht, vielleicht heiße ich auch noch heute so.

Speaker0: Nein, ich heiße tatsächlich so, ich bin irgendwas um die 40,

Speaker0: arbeite bei einem IT-Unternehmen, bei der Braun & Paul IT in Nürnberg und bin

Speaker0: da zuständig für die Abteilung IT-Sicherheit und Compliance.

Speaker0: Also einmal die Paperwall, einmal die Firewall, wenn man so will.

Speaker0: Warum bin ich ein Lügner?

Speaker0: Weil mir Menschen dafür Geld geben. Ich bin Penetrationstester und mein Schwerpunkt

Speaker0: dabei ist weniger auf der technischen Seite.

Speaker0: In diesem Leben werde ich kein Gnade-Dakoder mehr, das ist mir nicht gegeben.

Speaker0: Ich bin die People-Person.

Speaker0: Also im A-Team wäre ich Face für die Leute aus meiner Generation.

Speaker0: Oder vielleicht so eine Mischung aus Hannibal und Face irgendwo da,

Speaker0: weil ich halt so planerisches Ende und dann letztlich der Typ bin,

Speaker0: der, wie du eben sagst, halt so tut, als wäre er vielleicht jemand anderes.

Speaker0: Und das Thema, um was es da geht, also diese, wie werden Lügen eingesetzt bei

Speaker0: Penetrationstests, hat so diesen Überbegriff Social Engineering,

Speaker0: wobei ich festgestellt habe, vor allem im Kundenkontakt, dass Social Engineering

Speaker0: eine Begrifflichkeit ist, die sehr vereinnahmt wurde von dem Thema Phishing

Speaker0: und den anderen Techniken, die da dazugehören.

Speaker0: Also wenn du mit einem Kunden sagst, ja, ich bin Social Engineer,

Speaker0: dann denkst du, ah ja, ja klar, sie schreiben Fake-E-Mails oder schicken mir

Speaker0: eine SMS, in der es heißt, ich, keine Ahnung, mein DHL-Paket kommt später oder diese Klassiker.

Speaker0: Und Social Engineering ist halt viel, viel, viel mehr. Ich verwende daher mittlerweile

Speaker0: eigentlich die Begrifflichkeit Social Attack.

Speaker0: Zum einen klingt es ein bisschen martialischer und zum anderen ist es eine Abgrenzung

Speaker0: einfach zu dem, was der Laie vielleicht unter dem Thema Social Engineering versteht.

Speaker0: Genau, ja, letztlich beauftragen uns Firmen, Ämter, was auch immer,

Speaker0: ihre Sicherheit zu testen.

Speaker0: Und unser Ansatz im Unternehmen ist halt zu sagen, Sicherheit fängt an der Gebäudegrenze an.

Speaker0: Das ist schön, wenn du ganz viel Geld für deine Serverlandschaft und deine Firewalls

Speaker0: und sonst irgendwas ausgibst.

Speaker0: Aber wenn ich halt einfach reinlaufen kann und die Sachen aus dem Rack ziehen

Speaker0: kann oder mich einfach an den Client hinsetzen kann oder einen Netzwerkanschluss

Speaker0: bei euch im Haus rankommt,

Speaker0: dann bringt dir halt deine Perimeter-IT nicht mehr viel oder deine Perimetersicherheitssysteme

Speaker0: bringen dir nicht mehr viel.

Speaker0: Und das ist was, was leider streiflich vernachlässigt wird. Vor allem,

Speaker0: muss man sagen, in Deutschland.

Speaker0: Andere Länder haben das ein bisschen mehr auf der Kette. Bei uns sind es eher

Speaker0: die großen Unternehmen, die ganz großen, also Konzerne und sowas,

Speaker0: die haben das auch schon vor 10, 15 Jahren auf der Kette gehabt oder wussten zumindest,

Speaker0: dass es passiert und haben ihre eigenen Red-Teams, die sowas auch simulieren.

Speaker0: Aber mittlerweile wacht der Mittelstand so langsam aber sicher auch auf.

Speaker0: Und Kritis ist da natürlich auch ein ganz heißes Thema.

Speaker1: Würdest du sagen, dass wir als Deutsche eher Vertrauen aufbauen oder auf ein

Speaker1: vorgespieltes Szenario reinfallen als andere,

Speaker1: weil wir vielleicht es gewohnt sind, in einer Organisation zu arbeiten,

Speaker1: die halt sehr häufig immer noch sehr hierarchisch und in Stab und Linie existiert?

Speaker1: Und wenn ich dann quasi sage, der Geschäftsführer oder der IT-Leiter hat mich

Speaker1: beauftragt, ich soll jetzt hier Dinge tun, dann wird das quasi als Freifahrtschein

Speaker1: schon von den Leuten benutzt.

Speaker1: Ah ja, der Vorgesetzte weiß da scheinbar von und deswegen wird das schon passen.

Speaker1: Ich wehre mich jetzt nicht dagegen, was da gerade passiert, sonst kriege ich unter Umständen Ärger.

Speaker1: Also vielleicht auch verbunden die Frage, haben wir eine intolerante Fehlerkultur?

Speaker0: Super interessante Frage. Die Antwort ist ein klares Ja hin.

Speaker0: Ich würde sagen, wir als Deutsche sind aufgrund unserer, wie du es schon angedeutet

Speaker0: hast, diese Hierarchie,

Speaker0: ich will nicht Hörigkeit sagen, aber einfach dieses Gewohnsein in sehr festen

Speaker0: Strukturen uns zu bewegen, gerade wenn es um Entscheidungen geht,

Speaker0: macht es einem Social Engineer einfacher, eine Taktik zu wählen, die dazu passt.

Speaker0: Beim Social Engineering musst du, je nachdem, wie du dich vorbereiten kannst,

Speaker0: manchmal kann man sich auch gar nicht auf eine Situation vorbereiten,

Speaker0: wenn du bist schon im Gebäude und auf einmal läuft dir jemand über den Weg und

Speaker0: spricht dich an, dann musst du in Sekundenschnelle entscheiden,

Speaker0: welche Taktik wähle ich.

Speaker0: Und mit Taktik meine ich zum Beispiel, du kannst die Hierarchie-Schiene fahren,

Speaker0: also du kannst ein bisschen mit Angst arbeiten, mit einer latenten Bedrohung,

Speaker0: die du aufbaust, nach dem Motto, ich bin dein Über, was fällt dir ein, mich anzusprechen?

Speaker0: Das kann verbal geschehen, das

Speaker0: kann auch geschehen, indem du optisch zum Beispiel einen Wirkgrad hast.

Speaker0: Indem du zum Beispiel einen Anzug trägst oder einen Dreiteiler trägst und die

Speaker0: anderen sind eher Business Casual.

Speaker0: Und dann bist du quasi schon aufgrund eines etwas formaleren Aussehens,

Speaker0: bringst du schon ein bisschen mehr Hierarchie mit.

Speaker0: Oder du machst es mit Accessoires und das kann zum Beispiel auch ein gefälschter

Speaker0: Ausweis sein, der so einfach lecher irgendwo rumbaumelt, ohne dass du den dann

Speaker0: gleich greifst und sagst, nee, dann hältst du dir niemanden ins Gesicht und

Speaker0: sagst, hör mal zu, ich bin der und der.

Speaker0: Das ist eher kontraproduktiv. Also die Geschichten, die du da erzählst,

Speaker0: und letztlich sind es ja Fabeln, Märchen, Geschichten, die wir da aufbauen,

Speaker0: die funktionieren besser, wenn du den Leuten einfach nur die Bauteile gibst

Speaker0: für die Geschichte und sie bauen sie sich selber im Kopf zusammen.

Speaker0: Also man darf es wirklich nicht nur treiben.

Speaker0: Wenn du jetzt mit einer Polizeiuniform reinläufst, das klappt wahrscheinlich,

Speaker0: aber die Wahrscheinlichkeit, dass sich dann jemand anspricht oder wirklich gleich

Speaker0: jemand einen Manager holt und sagt, oh mein Gott, die Polizei ist hier,

Speaker0: die ist dann halt sehr viel höher.

Speaker0: Aber was ich festgestellt habe bei einem internationalen Auftrag,

Speaker0: den wir mal hatten in Irland, da war Freundlichkeit der Winner.

Speaker0: Die waren einfach nett und hilfsbereit und wenn du dann auch nett und hilfsbereit

Speaker0: bist, dann hat das funktioniert. Von daher ist es, ja, ich denke,

Speaker0: in Deutschland hast du oft gute Chancen, wenn du auf die Autoritätsschiene kommst.

Speaker0: Es ist aber wahnsinnig vom Kontext abhängig.

Speaker0: Ist das ein Familienunternehmen, in das du da reinkommst, in dem jeder jeden

Speaker0: kennt, dann musst du quasi mit einer Art Außenautorität auftreten.

Speaker0: Ich bin ein Dienstleister, ich bin die Telekom, ich bin von den Gaswerken, was auch immer.

Speaker0: Wohingegen du jetzt in einem sehr, sehr großen Unternehmen, wo vielleicht auch

Speaker0: viel Laufverkehr ist, produzierendes Gewerbe, Dreischichtdienst,

Speaker0: keiner kennt alle Mitarbeiter und Kollegen, da brauchst du es wahrscheinlich gar nicht.

Speaker0: Da reicht es, wenn du dich optisch anpasst genug, dass die Geschichte wieder passt, dass du da bist.

Speaker1: Bringt mich direkt zur nächsten Frage. Du hast gerade ja Kontext gesagt,

Speaker1: man sagt auch Pretext. zu diesem ganzen Thema.

Speaker1: Wie bereitest du dich denn auf so einen Angriff vor?

Speaker1: Also welche Informationsquellen nutzt du und wie baust du dir dann dein Angriffsschema

Speaker1: zusammen, mit dem du es dann probierst? Und...

Speaker1: Natürlich auch, wie baust du dir dann vielleicht den Plan B direkt auf,

Speaker1: falls du schon zu früh auffliegen würdest?

Speaker0: Genau. Die Recherchegrundlage ist immer Open Source Intelligence, ist immer OSINT.

Speaker0: Das heißt, Google ist unser bester Freund, egal ob du technisch arbeitest oder

Speaker0: im Social-Bereich. Es kommt auf das Testszenario an.

Speaker0: Sehr selten gibt es Blackbox-Tests, wo du wirklich ein sehr realistisches Szenario hast.

Speaker0: Der Kunde gibt dir quasi keine Informationen. Du musst ja alles von Hand erarbeiten.

Speaker0: Das ist dann natürlich sehr realitätsnah, ist aber nicht die Regel.

Speaker0: In einem Whitebox-Szenario, also das Gegenteil, wo du alle Informationen vom

Speaker0: Kunden kriegst, da frage ich dann im Zweifel auch mal so, was sind das für Leute,

Speaker0: die bei euch arbeiten, was habt ihr so für eine Unternehmenskultur,

Speaker0: seid ihr eher locker, lässig, leger?

Speaker0: Wenn der Kunde die Zeit bezahlt, dann kann das auch relativ weit gehen.

Speaker0: Das heißt, du gehst tatsächlich so ein bisschen in den Observationsmodus,

Speaker0: schaust dir das Unternehmen zu unterschiedlichen Tageszeiten an.

Speaker0: Gehen die Leute in die Kantine, gehen die Leute in eine Pizzeria um die Ecke,

Speaker0: kommen da ganz viele Lieferdienste an, keiner verlässt das Haus so wirklich.

Speaker0: Das sind alles Sachen, die hilfreich sein können, auch beim Plan B.

Speaker0: Und je nachdem, wie strikt die Sicherheitskultur gelebt wird,

Speaker0: also gibt es zum Beispiel einen Empfang, der grundsätzlich jeden anspricht, der reinkommt,

Speaker0: oder kann ich einfach reinlaufen, schickst du vielleicht auch andere Leute vor

Speaker0: und unter irgendeinem Vorwand, vielleicht auch mit einer Kamera,

Speaker0: lässt das Ganze aufnehmen und schaust einfach, wie sind die drauf,

Speaker0: wie reagieren die? Sind die ganz kühl professionell?

Speaker0: Sind die super freundlich?

Speaker0: Und ich zumindest versuche, ganz viel über Gespür zu machen.

Speaker0: Weswegen es auch so schwierig ist, das irgendjemand beizubringen tatsächlich.

Speaker0: Also ich denke, das Skill, den hast du oder du hast vielleicht ein Talent dafür

Speaker0: und dann kannst du den noch refinen.

Speaker0: Aber du musst das schon bis zu einem gewissen Grad mitbringen,

Speaker0: intuitiv auf Leute eingehen zu können in dem Moment, in dem sie vor dir stehen

Speaker0: oder du sie am Telefon hast.

Speaker0: Und der Plan B, den habe ich mir geklaut, da bin ich ganz ehrlich.

Speaker0: Das ist Deviant Ollum, sagt ja was natürlich.

Speaker0: Einer der großen Physical Pentester, der, man kann schon fast sagen,

Speaker0: die Branche quasi gegründet hat, mehr oder weniger, zumindest in Übersee.

Speaker0: Und der macht das, was ich sehr witzig finde und was wir auch machen,

Speaker0: sobald du in ein Engagement reingehst, wo du vor Ort bist,

Speaker0: hast du ein Letter of Authority oder Get-Out-of-Jail-Free-Card oder wie auch

Speaker0: immer man das nennen will, da gibt es viele Begrifflichkeiten.

Speaker0: Letztlich ist das einfach ein offizielles Dokument, vom Auftraggeber draufsteht,

Speaker0: der Typ, der gerade vor dir steht, das ist der Herr Politz, der ist Penetrationstester, der darf das.

Speaker0: Wenn du Fragen hast, wende dich an Alex Karls vom Sicherheitsdienst oder ruf mich an unter so und so.

Speaker0: Und dann ist das ein entsprechend hoch in der Hierarchie, angesiedelter Name, der da steht.

Speaker0: Und ich hatte tatsächlich noch nie die Situation, dass ich Plan B gebraucht

Speaker0: habe, aber ich habe immer zwei Briefe dabei.

Speaker0: Und der erste ist immer fake. Das heißt, da stehen schon unter Umständen richtige

Speaker0: Namen und sowas drauf, aber falsche Telefonnummern.

Speaker0: Und wenn du die anrufst, dann landest du bei einem Kollegen von mir.

Speaker0: Und der sagt dann natürlich, ja, nee, klar, alles gut.

Speaker0: Und dann würde es wirklich sehr interessant werden, Divient hat da witzige Geschichten

Speaker0: dazu, wenn du dann halt auf einmal eine Security-Guard hast,

Speaker0: wo du sagst, hey, du bist voll super, du hast mich enttarnt quasi, du hast mich erwischt.

Speaker0: Wir wollen aber natürlich die anderen Kollegen quasi auch noch aufs Korn nehmen,

Speaker0: kannst du uns dabei helfen? Und auf einmal hast du einen Insider.

Speaker0: Auch sehr cool. Die billigere Art, jemanden sich innen ins Team zu holen.

Speaker0: Man kann ihm auch einfach Geld in die Hand drücken und sagen,

Speaker0: lass mich doch mal kurz rein.

Speaker1: Vielleicht ein kurzer Disclaimer an der Stelle, bevor wir jetzt weitermachen.

Speaker1: Also das soll jetzt natürlich hier keine Anleitung werden, wie man Unternehmen

Speaker1: angreift oder ausspäht, sondern es geht halt einfach mal ums Bewusstsein bei

Speaker1: euch als Zuhörerinnen und Zuhörer,

Speaker1: damit ihr euch das auch vielleicht mal ein bisschen besser vorstellen könnt,

Speaker1: weil das ist jetzt nichts, was nur im Kino auf der Leinwand passiert,

Speaker1: sondern solche Sachen passieren wirklich.

Speaker1: Das macht der Alex, das machen wir, das machen viele unserer Partner.

Speaker1: Ist jetzt aber auch nicht der Masterplan, wenn man sich noch gar nicht vorbereitet hat.

Speaker1: Also wenn ihr jetzt quasi der Mittelständler seid, der noch mit einem Small

Speaker1: Business Server unterwegs ist und eigentlich Antivirus auch nicht so richtig

Speaker1: gelebt wird und Awareness Training gibt es auch keine, dann würde ich nicht damit anfangen.

Speaker1: Also es geht erstmal vielleicht darum, dass man tatsächlich auch die technischen

Speaker1: Maßnahmen sich mal anguckt und realisiert und umsetzt. Es geht auch um die organisatorischen

Speaker1: Maßnahmen, womit ja auch ein bisschen Awareness und Aufklärung schon stattfindet.

Speaker1: Ich persönlich sage, das ist ein Thema, das mache ich entweder begleitend,

Speaker1: aber nicht in Phase 1 oder am Ende, wenn ich sage, so jetzt gucken wir mal,

Speaker1: ob das wirklich alles so bulletproof ist, wie wir glauben, dass wir es gebaut haben.

Speaker1: So ähnlich wie Tabletop-Übungen mit Geschäftsführern und Verantwortlichen,

Speaker1: um halt verschiedene Notfallsituationen durchzuspielen,

Speaker1: Gehört halt das auch mit dazu, dass man halt ein sogenanntes Red-Teaming oder

Speaker1: auch einen Penetrationstest eben auf die physikalische und menschliche Sicherheit macht.

Speaker1: Aber es ist jetzt nicht das allererste Mittel, wenn ihr euch noch überhaupt

Speaker1: gar nicht mit IT-Security beschäftigt habt, weil dann werden wir auch relativ

Speaker1: schnell fertig sein mit dem, was wir davor haben.

Speaker0: Das Thema Gebäudesicherheit und nennen wir es mal so, wie es heißt,

Speaker0: technisch-organisatorische Maßnahmen, taucht auch in völlig anderen Bereichen

Speaker0: auf. Stichwort Datenschutz.

Speaker0: Da sind diese beiden Felder auch drin.

Speaker0: Aber ich stimme dir völlig zu, also das sollte jetzt nicht irgendwie das Erste sein, was man macht.

Speaker0: Begleitend bin ich voll dabei und auch so ein bisschen,

Speaker0: wie soll ich sagen, ich hatte zum Beispiel mal eine Situation bei einem Datenschutzkunden

Speaker0: von mir, also ich arbeite auch als externer DSB, Autohaus und das war eines

Speaker0: der ersten Male, die ich da war. Das heißt, die Mitarbeiter kannten mich noch nicht.

Speaker0: Und die waren so, oder sind es immer noch, die sind so unglaublich nett und

Speaker0: hilfsbereit, dass es fast schon schmerzhaft ist, wenn man das durch meine Augen

Speaker0: sieht, weil das halt eine einzige Sicherheitslücke ist.

Speaker0: Und da konnte ich dem Kunden, jetzt weiß ich, was da eine Situation ist,

Speaker0: hast du zusammen und ich habe gemeint, ganz ehrlich, ein Hauptproblem bei euch,

Speaker0: wenn es um das Thema Sicherheit geht, ist, ihr seid viel zu nett.

Speaker0: Einfach, das ist ein echtes Problem.

Speaker0: Und er hat mir das nicht geglaubt, er hat nicht verstanden, was da schwierig

Speaker0: sein könnte und ich habe gemeint, ich zeige es dir.

Speaker0: Okay, gib mir eine halbe Stunde und ich besorge dir einen Screenshot aus deiner Steuersoftware.

Speaker0: Und er meinte, er hat keine Chance, das wird nicht passieren.

Speaker0: Und letztlich habe ich mir dann einfach mein wichtigstes Werkzeug genommen,

Speaker0: das ich zufällig dabei hatte, nämlich ein Klemmbrett.

Speaker0: Habe mir von irgendwo aus einem Drucker, der in irgendeinem Gang rumstand,

Speaker0: einfach zwei Blatt Papier rausgenommen und bin durch so eine VIP-Werkstatt,

Speaker0: wo du dann, du hast eine Hebebühne,

Speaker0: fährst dann mit deinem teuren Auto drauf und dann kommt dein Mechaniker und

Speaker0: fährt es hoch und zeigt dir dann an deinem Auto, was er jetzt dann reparieren wird.

Speaker0: Und da ist natürlich dann auch ein Zugang direkt in die Werkstatt,

Speaker0: aber das ist ganz wichtig, weil an dem Punkt hast du schon eine dieser unsichtbaren

Speaker0: Grenzen überschritten.

Speaker0: Und unsichtbare Grenzen sind das tägliche Brot des Social Engineers.

Speaker0: Weil wenn du es mal in einem gewissen Bereich geschafft hast,

Speaker0: vorzuregen, dann gehen die Leute davon in der Regel schneller davon aus,

Speaker0: dass du wirklich die Berechtigung hast, hier zu sein.

Speaker0: Je nachdem, wie sie trainiert sind, da kommt dann das Thema Awareness Training, ne?

Speaker0: Darf der hier sein? Macht es Sinn, dass die hier ist? Ich habe die noch nie gesehen.

Speaker0: Wenn du deinen Mitarbeitern dann klar machst, hey, sprecht Betriebsfremde unbedingt

Speaker0: an oder es gibt eine Regel, Betriebsfremde müssen immer begleitet werden.

Speaker0: Dann können diese unsichtbaren Wände wieder helfen. In dem Fall war es so, wie es oft der Fall ist.

Speaker0: Ich bin einfach durch diese Show-Werkstatt und bin in die normale Werkstatt reingelaufen.

Speaker0: Und dann stand da halt gleich irgendwie ein PC mit den aktuellen Aufträgen.

Speaker0: Monitor, Keyboard und dann einfach, was weiß ich, die Frau Müller hat ihren

Speaker0: Q3 da und da soll das und das gemacht werden.

Speaker0: Handynummer, Fahrgestellnummer und ich so, super, das war nicht nur ein Monitor,

Speaker0: um die Daten anzuzeigen, sondern es war die Software, das heißt,

Speaker0: ich habe dann halt geschaut, cool, alle auswählen,

Speaker0: exportieren, klasse, Datei öffnen, drucken, irgendeinen Drucker ausgewählt,

Speaker0: es stand auch ein Drucker in der Nähe, drückt halt auf drucken,

Speaker0: Druckauftrag läuft durch, aber es druckt nicht, nicht so schade,

Speaker0: okay, steht der Drucker halt woanders.

Speaker0: Währenddessen laufen an mir Leute vorbei, Kfz-Mechaniker, Blaumann,

Speaker0: Azubis, alles möglich, alle grüßen mich freundlich, sag Servus, hallo, super.

Speaker0: Dann gehe ich in den, will ja meine Daten haben, die ich jetzt ausgedruckt habe

Speaker0: und laufe dann halt weiter in die Werkstatt.

Speaker0: Sehr große, spacey Werkstatt, fünf, sechs Plätze zum Autos reparieren,

Speaker0: Teilelager, alles sehr offen und laufe halt so rum und strahle dabei offensichtlich

Speaker0: Hilfsbedürftigkeit aus.

Speaker0: Also ich will verwirrt wirken, dann kam dann auch relativ schnell jemand,

Speaker0: meine, kann ich Ihnen irgendwie helfen?

Speaker0: Und ich so, ja, ich habe da vorne am PC Sachen ausgedruckt, aber ich finde den

Speaker0: Drucker nicht. Ja, klar, kein Problem.

Speaker1: So, falls ihr jetzt hier einen Schnitt gehört habt, dann liegt das daran,

Speaker1: dass uns ganz kurz die Technik verlassen hat.

Speaker1: Aber wir sind wieder da und der Alex

Speaker1: darf nochmal an seiner Story mit dem gedruckten Sachen ansetzen gerne.

Speaker0: Genau. Also letztlich, ich habe mir 40 Seiten ausgedruckt, ausdrucken lassen,

Speaker0: von personenbezogenen Daten zu den Fahrzeugen.

Speaker0: Das heißt, ich hatte den Halter, ich hatte auch die Person, die das Fahrzeug

Speaker0: eingesteckt hat, ich hatte die Telefonnummer, Adresse, Fahrgestellnummer,

Speaker0: warum das Auto da ist, alles Mögliche.

Speaker0: Und auf der Suche nach dem Drucker habe ich mich dann ganz bewusst sehr hilflos dargestellt.

Speaker0: Das heißt, ganz wichtig, da ist die Körpersprache.

Speaker0: Dass du einfach wirklich so ein bisschen vertattert rumwirkst,

Speaker0: ein bisschen rumtänzeln, ein bisschen unsicher, mal hier um die Ecke schauen.

Speaker0: Auch so dieses Ich-will-nicht-stören-Gefühl optisch ein bisschen darstellen,

Speaker0: hat mich so an meinem Klemmbrett ein bisschen festgehalten mit beiden Händen,

Speaker0: bis dann tatsächlich auch jemand kam und meinte, kann ich Ihnen irgendwie helfen?

Speaker0: Und ich gesagt habe, ja, ich habe hier Sachen ausgedruckt, die suche ich.

Speaker0: Ich finde den Drucker nicht, ja, klar, kein Problem, zeige ich den.

Speaker0: Und dann führte der mich also vorbei am Teilelager. Da waren ganz viele sehr

Speaker0: teure, sehr kleine Teile drin, die man auch einfach so hätte einstecken können.

Speaker0: Zu dem Drucker, an dem dann meine ungefähr 40 Blatt an Dokumenten lagen,

Speaker0: die ich auf keinen Fall haben sollte.

Speaker0: Mich hat niemand gefragt, wie ich bin, warum ich da bin und was ich tue.

Speaker0: Waren aber alle sehr nett. Und ich bin dann da letztlich irgendwie rumgestreunert,

Speaker0: Ich bin auch durchs Teilelager mal gelaufen.

Speaker0: Mir wurde dann auch erklärt, da hinten ist das Teilelager, da geht es dann nochmal

Speaker0: hoch, da ist noch ein Lager. Und ich so, ja super, ganz toll, wunderbar.

Speaker0: Und dann bin ich wahllos durch irgendeine Tür gelaufen und war so ein bisschen

Speaker0: wieder in den Innereien, aber eher in den Verwaltungsinnereien.

Speaker0: Das war so quasi das Backoffice.

Speaker0: Ich bin dann auch eine Treppe hochgelaufen.

Speaker0: Da war dann das Büro vom ITler. Der saß mit dem Geschäftsführer zusammen im

Speaker0: Besprechungsraum und hat auf mich gewartet.

Speaker0: Das heißt, ich hatte noch ein IT-Büro, das ich mir in Ruhe anschauen konnte.

Speaker0: Und dann bin ich ins Buchhaltungsbüro gekommen. Da war die Seniorchefin.

Speaker0: Die hat sich gerade mit einer Azubine, glaube ich war es, über Erdbeerkuchen unterhalten.

Speaker0: Und ich habe gelächelt und habe mich daneben gestellt und genickt und hatte

Speaker0: überhaupt nicht gestört. Die hat mir einfach weitergeredet.

Speaker0: Irgendwann habe ich halt so reingeflüstert, Entschuldigung, ich müsste mal ganz

Speaker0: kurz an Ihrem Computer, weil die Seniorchefin macht die Buchhaltung.

Speaker0: Und da war Dativ offen. Und da war auch Outlook offen.

Speaker0: Und dann dachte ich mir, okay, jetzt machen wir es mal richtig dreist und holen

Speaker0: mein Handy raus und fotografiere den Bildschirm ab, während die beiden Damen

Speaker0: neben mir stehen. Hat die auch nicht großartig interessiert.

Speaker0: Und die Azubine ist dann gegangen. Ich habe mich dann mit der Seniorchefin noch

Speaker0: ein bisschen unterhalten über Erdbeerkuchenrezepte und welcher Mürbeteig denn

Speaker0: jetzt der beste ist und ob man Gelatine nimmt oder nicht.

Speaker0: Und dann bin ich zurück zum Auftraggeber, habe ihm mein Handy gezeigt und habe gesagt, servus.

Speaker0: Da ist der Screenshot und hier hast du noch 40 Seiten Unterlagen.

Speaker0: Und das ist das Problem, weil ihr zu nett seid, weil ihr niemanden ansprecht.

Speaker0: Wir haben dann an dem gleichen Tag noch Schulung gehabt und ich habe die Mitarbeiter

Speaker0: gefragt, was habt ihr euch gedacht, wer bin ich, als ich da umgelaufen bin?

Speaker0: Ein paar haben gesagt, naja, ich habe gar nicht wirklich nachgedacht.

Speaker0: Du hast von den Klamotten her nicht dazu gepasst, du hattest keinen Blaumann

Speaker0: an, aber du kamst von vorne, also dachte ich mir, wird schon stimmen.

Speaker0: Andere haben gedacht, ich wäre vom externen IT-Dienstleister,

Speaker0: weil die das gewohnt sind, dass ab und zu mal Externe an Computer rangehen, die sie nicht kennen.

Speaker0: Und keiner hat aber irgendwie sich auch nur vorstellen können,

Speaker0: und das ist der Kern der Sache, keiner hat sich nur vorstellen können,

Speaker0: dass ich irgendwas mache, was nicht okay ist.

Speaker0: Die sind quasi so auf so Baseline Humanity.

Speaker0: Und das ist super eigentlich. Das sind wirklich nette Menschen. Wir sind kooperativ.

Speaker0: Wir wollen nett sein. Wir wollen hilfsbereit sein. Wir wollen,

Speaker0: dass andere Menschen uns mögen. Das ist die Baseline.

Speaker0: Menschen wie ich, die Zyniker, die Zweifler, die Manipulatoren.

Speaker0: Das ist nicht die Baseline. Wir sind, keine Ahnung, die Opfer unserer Erziehung

Speaker0: oder gesellschaftlichen Prägungen oder wie auch immer.

Speaker0: Die Welt hat uns zu dem gemacht, dass wir sind. Eigentlich sind wir,

Speaker0: Kinder sind eigentlich immer nett. Es gibt keine bösen Kinder.

Speaker0: Es ist die Welt, die uns so macht, wie wir dann sind und welche Charakteristie-Prägungen wir haben.

Speaker0: Und das kannst du halt und damit spielst du, arbeitest du als Social Engineer. Ganz klar. Und wenn du.

Speaker0: Also ein Social Engineer muss empathisch sein. Wenn du keine Empathie hast,

Speaker0: kannst du den Job nicht machen.

Speaker0: Du musst unglaublich schnell auf dein Bauchgefühl hören können,

Speaker0: was ist das für eine Person, die vor mir steht.

Speaker0: Also ich mache es mit Bauchgefühl, andere machen es mit sehr viel wissenschaftlicheren

Speaker0: Methoden. Aber bei mir ist das Bauchgefühl einfach, was ist das für eine Person.

Speaker0: Und das ist wahnsinnig typabhängig, weil ich bin ein polarisierender Kerl.

Speaker0: Nicht jeder findet mich sympathisch.

Speaker0: Das heißt, wenn ich merke, da ist eine Antipathie, Und dann ist so zwei Drittel

Speaker0: meines Katalogs an Waffen weg.

Speaker0: Dann bleibt wirklich nur noch ein Drittel, der sagt, okay, alles klar,

Speaker0: ich gehe jetzt auf Konfrontation, ich mache jetzt auf kalt, ich bin dein Über,

Speaker0: ich steche dich, weil du bist mein Unter.

Speaker0: Tatsächlich hatte ich bisher nur ein paar Mal die Situation,

Speaker0: dass es so gar nicht funktioniert hat und das war in meinem Telefon.

Speaker0: Da gehe ich aber davon aus, dass die Leute, weil das waren immer Konzerne und

Speaker0: die waren, glaube ich, sehr geskriptet. Also im Sinne von, die waren sehr skriptlastig.

Speaker0: Die haben sich einfach sehr, sehr hart an ihr Gesprächsskript gehalten und keine

Speaker0: Chance gehabt, da durchzukommen.

Speaker0: Spricht für Skripte, macht aber natürlich, nimmt deshalb wieder die Menschlichkeit,

Speaker0: ist dann nicht sehr kundenfreundlich.

Speaker1: Dir fehlt halt auch eine ganz wichtige

Speaker1: Komponente, weil die dich ja nicht sehen, wenn du am Telefon bist.

Speaker1: Und dann bleibt dir ja nur deine Stimme und das, was du damit anstellen kannst.

Speaker1: Aber im Grunde genommen alles das, was du so gerade beschreibst,

Speaker1: da gibt es ja auch ganze Studien dazu.

Speaker1: Also Daniel Kahnemann zum Beispiel hat sich ja da sehr, sehr ausführlich mit

Speaker1: beschäftigt, eben in der Forschung zur Psychologie und Verhaltensökonomie.

Speaker1: Und der klassifiziert ja diese Denkprozesse, die wir als Menschen haben,

Speaker1: einfach in zwei Systeme.

Speaker1: Das eine ist das System schnelles Denken, das heißt, es ist Automatik,

Speaker1: intuitive und unbewusste Entscheidungsprozesse.

Speaker1: Und das zweite System, das langsame Denken, geht dann eben auf bewusste und

Speaker1: analytische und rationelle Überlegungen.

Speaker1: Was du mit dem, was du tust, da entsprechend ansprichst, ist immer System 1,

Speaker1: also da, wo die Leute halt einfach reaktiv unterwegs sind.

Speaker1: Und auch dazu gibt es eben in dem System von Daniel Kahnemann eben eine Untergliederung

Speaker1: in vier verschiedene Bereiche.

Speaker1: Einmal die assoziative Aktivierung, das heißt, wenn ein Gedanke oder eine Wahrnehmung

Speaker1: aktiviert wird, dann macht man automatisch irgendwas. Also wenn du zum Beispiel

Speaker1: das Wort Apfel hörst, denkst du sofort an Obst, gesund und grün.

Speaker1: Das ist wie, stell dir keinen lila Elefanten vor.

Speaker1: Dann hast du das Thema Vertrautheit und Mustererkennung, wenn du eine dunkle

Speaker1: Wolke siehst und Regen erwartest, beziehungsweise erwartest du dann Regen.

Speaker1: Es ist eine dunkle Wolke da, ob das jetzt regnet oder nicht,

Speaker1: aber du glaubst, oh, jetzt regnet es dann gleich.

Speaker1: Das dritte ist die emotionale Reaktion, wenn man sozusagen sagt,

Speaker1: ich kenne eine Person, ich kenne einen Namen, ich kenne die Person,

Speaker1: die mir jetzt gerade genannt wurde im Pretext.

Speaker1: Also der Geschäftsführer, Herr Müllermeier, hat gesagt, ich soll das.

Speaker1: Das heißt, es fühlt sich dann auch gut an. Und das vierte ist eben die kognitive Leichtigkeit,

Speaker1: dass die Leute halt auch einfach versuchen, mit einfachen Dingen,

Speaker1: wenn man mit einfacher Sprache ankommt und es nicht zu komplex macht,

Speaker1: also auch nicht IT-Chinesisch redet mit den Leuten, sondern einfach auf Menschlichkeit,

Speaker1: vielleicht dann auch versucht, die Hilfsbereitschaft der Leute auszunutzen.

Speaker1: Die Person hat jetzt gerade, die weiß nicht, was sie tun soll,

Speaker1: die hat ein Problem, ich möchte gern helfen.

Speaker1: Und das ist halt alles im Grunde genommen eine Kombination dieser vier verschiedenen

Speaker1: Faktoren, die man eben im System 1 wiederfindet bei Daniel Kahnemann.

Speaker0: Ganz relevant ist tatsächlich das Dritte, was du angesprochen hast.

Speaker0: Das ist tatsächlich auch eine benannte Technik, die auch so geschult wird, das Name-Dropping.

Speaker0: Also das ich eben durch das Bestimmte verwenden, weil das sind Informationen,

Speaker0: die ich mir über das Unternehmen besorgt habe.

Speaker0: Kann ich quasi vermeintliches Insiderwissen preisgeben, um so eine Art Kollegialität herzustellen?

Speaker0: Oder ich kann das wieder benutzen, um in den Bereich Autorität reinzukommen,

Speaker0: wo ich kenne deinen Vorgesetzten. Ich weiß auch, wie der mit Vornamen heißt.

Speaker0: Da ist super wertvoll eine Technik, die auch zum Social Engineering dazugehört,

Speaker0: das Dumpster Diving. Mache ich super gern.

Speaker0: Letztes Mal, als ich es effektiv eingesetzt habe, tatsächlich auch bei einem

Speaker0: Autohaus, ein Neukunde von mir. und ich komme chronisch bei einem Neukunden

Speaker0: immer erstmal eine halbe Stunde, Stunde zu früh und schaue mich ein bisschen um.

Speaker0: Und die haben ihren kompletten Papiermüll einfach in so einen riesen Container.

Speaker0: Also nicht große Mülltonne zum Umschieben, sondern riesiger Stahlcontainer,

Speaker0: der auf den Laster gehoben wird und halt nichts geschreddert.

Speaker0: Wunderbar. Und offen war er auch noch. Er ist einfach mal beherzt reingegriffen,

Speaker0: zwei Handvoll Seiten rausgezogen, mit ins Auto genommen, Käffchen geholt und

Speaker0: da waren dann halt Rechnungen drin und alles mögliche, interne Dokumente.

Speaker0: Und das konnte ich dann halt im Gespräch dann auch gleich mit aufbringen,

Speaker0: so nach dem Motto, ihr habt auch noch ganz andere Probleme, by the way.

Speaker0: Aber das wäre eine Goldgrube für.

Speaker0: Nachgelage der Angriffe. Ich habe auf einmal Insiderwissen, ich habe auf einmal

Speaker0: Kundennamen, ich habe auf einmal Briefkopf, Logo, ich weiß, wie die Dokumente

Speaker0: designed sind, alles Mögliche.

Speaker1: Ja, ganz klar. Damit kann man dann arbeiten und das ist auch ein sehr populäres

Speaker1: Thema, was ja auch in eigentlich Film und Fernsehen seit längerem schon existiert

Speaker1: und dennoch reagieren die Leute nicht auf diese Bedrohungen, weil sie halt glauben.

Speaker1: Das ist ja fast schon ein memehafter Charakter.

Speaker0: Jemand, der eine Mülltonne durchwühlt, das kenne ich noch aus Comics in meiner

Speaker0: Kindheit, ja, aber es funktioniert noch, also das ist, ja.

Speaker1: Richtig, ja, wir haben ja mit Kino angefangen gerade schon, zu Beginn der Folge,

Speaker1: also da vielleicht auch eine Guck-Empfehlung, guckt euch mal Sneakers an,

Speaker1: also dieser Film, Sneakers, die lautlosen, ist ein Film, der das genau so zeigt

Speaker1: und der auch eben auf einer wahren Geschichte beruht, nämlich auf der Story von Kevin Mitnick.

Speaker1: Kevin Mitnick ist leider vor zwei Jahren verstorben, aber der war eine Zeit

Speaker1: lang einer der, also nicht nur der meistgesuchten, sondern der meistgesuchte

Speaker1: Verbrecher in den USA im Bereich Cybercrime.

Speaker1: Dem hat man unter anderem vorgeworfen, dass er das Verteidigungsministerium

Speaker1: in den USA, das Department of Defense und auch weitere Nokia infiltriert.

Speaker1: Man hatte irgendwann in der Wahrnehmung so, dass er quasi auch Zugriff auf Atomwaffencodes

Speaker1: hätte, was er immer abgeschnitten hat, dass er das nicht hatte.

Speaker1: Aber er sagt auch, es wäre kein Problem gewesen, wahrscheinlich da dran zu kommen.

Speaker0: Der Richter hat ihm sogar verboten, um Telefone zu benutzen,

Speaker0: weil die dachten, dass er als alter Freak, also mit PH-Freak,

Speaker0: Töne pfeifen könnte, um dann damit quasi irgendwie das System zu hacken.

Speaker0: Also ja, die Paranoia der 80er, 90er war schon geil. Ich habe tatsächlich Free

Speaker0: Kevin Aufkleber damals genannt,

Speaker0: aufgeklebt. Also das war schon auch meine Zeit mit.

Speaker1: Genau, und das sollte man sich angucken. Also da sollte man,

Speaker1: auch die Bücher von ihm sind fantastisch, Kunst des Angriffs,

Speaker1: Kunst der Täuschung, absolute Standardwerke,

Speaker1: auch seine Biografie, die es leider nicht auf Deutsch gibt, Ghost in the Wires,

Speaker1: sehr, sehr lesenswert und da kriegt man dann auch so ein bisschen ein Gefühl dafür.

Speaker1: Ja, der hat sich diverseste Identitäten beschafft, nicht indem er gesagt hat,

Speaker1: ich heiße jetzt halt so und so, sondern der hat halt Leute in den Ämtern infiltriert,

Speaker1: eben mit Name-Dropping,

Speaker1: hatte dann wochenlang Zugriff auf Standesamt und Co., hat sich selber Blanko-Geburtsurkunden

Speaker1: besorgt, wo er sich dann selber quasi einen anderen Namen gegeben hat mit einem

Speaker1: Sterberegister in Verbindung.

Speaker1: Und so funktioniert das halt, weil die Leute halt einfach zu vertrauenswürdig

Speaker1: sind in vielen Bereichen.

Speaker1: Und genau, das ist, also solltet ihr auf jeden Fall mal reingucken.

Speaker1: Ich verlinke das definitiv auch

Speaker1: unten in den Shownotes, die Links zu den Büchern von Kevin auf Amazon.

Speaker1: Guckt euch das mal an. es ist nicht Fiktion, sondern das passiert leider tatsächlich.

Speaker0: Ich habe unter Umständen auch noch eine Empfehlung. Ich meine,

Speaker0: ich glaube, er heißt Who Am I?

Speaker0: Ach, glaube ich, ein deutscher Film. Und da geht es, also der hat einen Punkt,

Speaker0: alle Techies, Triggerwarnung,

Speaker0: die reden da über, manchmal fällt dieser Begriff, ich glaube Computersprache,

Speaker0: er spricht die Computersprache und die meinen letztlich Binärcode und das ist

Speaker0: schrecklich und das ist völlig cringe, aber der Rest von dem Film ist großartig,

Speaker0: weil da geht es eigentlich nur um Social Engineering.

Speaker0: Also ganz, ganz sehr nah dran und auch auf einem Niveau, wo ich sage, so Mr.

Speaker0: Robot, okay, wirklich gut recherchiert, das ist solide, was da gezeigt und genannt

Speaker0: wird, das hat Hand und Fuß, das ist so.

Speaker1: Der war auch. Ne, nehme ich auf jeden Fall mit auf und danke dir für die Ergänzung.

Speaker1: Ja, aber wenn du es jetzt dann reingeschafft hast, du bist im Zielobjekt,

Speaker1: wie beweist du denn, wenn du es nicht am selben Tag noch beweisen kannst, dass du da bist?

Speaker0: Auch da unterschiedlich. Das sind Sachen, die man im Vorabgespräch klärt mit einem Kunden.

Speaker0: Manche Kunden möchten ein Foto, dass du einfach sagst, okay,

Speaker0: ich mache jetzt ein Foto vom Server.

Speaker0: Andere Kunden möchten, dass du eine Calling-Card hinterlässt.

Speaker0: Das ist dann halt tatsächlich einfach eine schwarze Karte, eine schwarze NFC-Karte.

Speaker0: Wenn du die aufmachst, dann kommen Dinge.

Speaker0: You've been pounded und die Adresse. Okay, genau.

Speaker0: Aber das ist tatsächlich hauptsächlich die zwei Dinge.

Speaker0: Also das eine ist, dass du einen Bildnachweis machst und das andere ist,

Speaker0: dass du irgendwas physisch hinterlässt, um einfach zu weisen,

Speaker0: okay, ich hatte jetzt hier tatsächlich Vollzugriff.

Speaker0: Und meistens stehst du mit einem Kunden sehr eng in Kontakt, gerade in der Phase.

Speaker0: Und wir haben es eigentlich bisher auch immer so gemacht, dass wir in dem Moment,

Speaker0: oder andersrum, wir hatten noch nie eine Situation, wo wir in einem Serverraum

Speaker0: drin standen und draußen sind die Wachen rumgelaufen, so Splinter Cell-mäßig,

Speaker0: sondern wenn kompromittiert wurde, dann war das immer eine Situation,

Speaker0: in der wir wussten, okay, wir können jetzt hier eigentlich machen,

Speaker0: was wir wollen für die nächsten Stunden.

Speaker0: Niemand wird uns mehr ansprechen oder es ist niemand mehr da.

Speaker0: Und dann rufen wir in der Regel den Kunden vor Ort an und sagen,

Speaker0: hör zu, wir sind drin, so und so, was sollen wir noch machen? Und dann, genau.

Speaker1: Wie stehst du oder wie steht ihr als Unternehmen zum Thema Defacement?

Speaker1: Weil du hast natürlich eine Menge Leute, die sich nicht korrekt verhalten haben,

Speaker1: weil sie es nicht besser wussten oder nicht besser wissen konnten.

Speaker1: Ist ja auch egal, aber es gehören Menschen dazu, damit du dorthin kommst,

Speaker1: wo du möchtest. Wie geht ihr denn damit um?

Speaker1: Weil es hat ja schon auch was damit zu tun, wie auch bei einem Awareness-Training,

Speaker1: wo ich immer empfehle, bitte anonymisiert die Ergebnisse davon,

Speaker1: weil ansonsten kommt ganz schnell mal jemand auf, die Idee mit dem Finger drauf

Speaker1: zu zeigen und zu sagen, haha, ja, der Idiot da aus dem Vertrieb hat wieder raufgeklickt.

Speaker0: Das ist ein super sensibles Thema und das ist schon sensibel im Prinzip am Anfang des Projekts.

Speaker0: Ich bin ein ganz großer Freund davon, die Sachen auf Video aufzunehmen.

Speaker0: Zum einen kann ich sehr gut beweisen, was ich tatsächlich gemacht habe.

Speaker0: Ich kann dem Kunden auch sehr gut zeigen, diese Technik hat funktioniert an

Speaker0: der und der Stelle und aus versicherungstechnischen Gründen macht das natürlich auch total Sinn,

Speaker0: weil letztlich verschaffst du dir illegal Zugang zu Räumlichkeiten,

Speaker0: die dir nicht gehören und wenn es dann eine Woche später heißt oder fehlen jetzt

Speaker0: irgendwelche Teile oder sonst irgendwas, dann habe ich im Zweifel ein Video,

Speaker0: wo ich sagen kann, ja, ich war das nicht.

Speaker0: Aber wir haben natürlich Persönlichkeitsrechte, wir haben die Datenschutzgrundverordnung,

Speaker0: wir haben das Grundgesetz, wir haben ganz viele Gesetze, die sagen,

Speaker0: Leute aufnehmen, verdeckt ist so gar nicht in Ordnung.

Speaker0: Und als Datenschützer schlagen wir natürlich auch zwei Seelen in meiner Brust.

Speaker0: Prinzipiell machen wir, soweit es geht, Anonymisierung.

Speaker0: Das funktioniert natürlich jetzt zum Beispiel bei Empfangspersonal nicht gut.

Speaker0: Weil wenn es halt nur drei Leute gibt, die den Empfang besetzen und nur eine

Speaker0: davon hat lange blonde Haare und du siehst halt auf dem Video jemanden mit langen,

Speaker0: blonden Haaren, ja, dann kann ich da auch verpixeln, so viel ich will, dann ist das halt so.

Speaker0: Wir besprechen mit dem Kunden vorab immer sehr, sehr deutlich und sehr explizit,

Speaker0: dass selbst wenn uns jemand jetzt eine Tür öffnet, reinlässt oder sonst irgendwie

Speaker0: quasi ein Fail produziert,

Speaker0: dass das der Sache absolut nachträglich wäre, wenn das jetzt personelle Konsequenzen hätte.

Speaker0: Das ist absolut nicht Sinn der Sache, ganz im Gegenteil. Wir stellen fest,

Speaker0: dass die Leute, wenn wir sie dann später im Training abholen und im Prinzip

Speaker0: auch sagen, hey, du warst derjenige, der mich reingelassen hat.

Speaker0: Warum hast du das gemacht? Was hast du dir dabei gedacht? Wie war dieses Gefühl für dich?

Speaker0: Da steht jetzt jemand und sagt oder impliziert, er ist von der Behörde,

Speaker0: von der Aufsicht und er will da jetzt rein.

Speaker0: Er sagt es nicht, er zeigt ja auch keinen Ausweis, aber irgendwie durch verbale

Speaker0: Techniken entsteht der Eindruck. Wie hat sich das angefühlt für dich?

Speaker0: Und dann fühlen sich die Leute, also ich habe noch nie eine Situation gehabt,

Speaker0: wo jemand das Gefühl hatte, okay, ich bin jetzt hier irgendwie der Trottel und alle lachen über mich.

Speaker0: Ganz im Gegenteil, das war immer ein multiplikativer Effekt für das Unternehmen,

Speaker0: weil viele Kollegen dann gesagt haben, also du kommst natürlich auch in so eine

Speaker0: Selbsteinschätzung, ja, bei mir würde das nicht funktionieren.

Speaker0: Dann erzählt der Kollege aber, wie es tatsächlich war.

Speaker0: Vielleicht zeigst du auch den Videoclip, wenn der Kollege das gestattet,

Speaker0: der Auftraggeber das gestattet.

Speaker0: Und auf einmal kannst du dich viel besser in die Situation reinversetzen als

Speaker0: Kollege und denkst dir, ja, okay, wahrscheinlich hätte ich den da auch reingelassen.

Speaker0: Das hätte bei mir auch funktioniert. Genau, also es ist was,

Speaker0: was so mit Samthandschuhen angehen muss, das Thema.

Speaker0: Ich hatte bisher oder wir hatten bisher immer das Glück, dass ich keinen Kunden

Speaker0: hatte, bei dem ich das Gefühl habe, ich kann ihm nicht vertrauen, was das angeht.

Speaker0: Und wahrscheinlich würde ich tatsächlich auch eher einen Auftrag dann an der

Speaker0: Stelle canceln, wenn ich wirklich denke, okay, der will da jetzt jemand in die

Speaker0: Pfanne hauen, der will irgendwie eine komplette Abteilung loswerden oder ist

Speaker0: einfach kein netter Mensch.

Speaker0: Dann mache ich den Auftrag nicht. Oder meine, in der Öffentlichkeit,

Speaker0: Videokamera hat nicht funktioniert. Das kann natürlich auch passieren.

Speaker0: Das ist ganz wichtig, so cool der Job ist, so viel Spaß er macht und so.

Speaker0: Wie soll ich sagen, so gut sich das auch anfühlt, die negative Seite seiner

Speaker0: Psyche ein bisschen zu füttern ab und zu, indem man halt lügt,

Speaker0: betrügt und irgendwo einbricht.

Speaker0: Ich will nicht leugnen, dass sich das cool anfühlt. Das ist schon ein Faktor,

Speaker0: der das für mich auch zu einem Traumjob macht.

Speaker0: Aber mein Interesse ist nicht, dafür zu sorgen, dass Leute gefeuert werden oder

Speaker0: dass irgendjemand einen Nachteil dadurch hat. Ganz im Gegenteil.

Speaker0: Ich meine, du hast immer, das kennst du auch als Pentester, dieses widersprüchliche Mindset.

Speaker0: Auf der einen Seite willst du gewinnen, du willst den Domain-Controller unter

Speaker0: deine Kontrolle bringen, du willst in dieses Gebäude rein.

Speaker0: Auf der anderen Seite ist es aber natürlich für den Kunden gut,

Speaker0: wenn dein Test scheitert, wenn du es nicht schaffst, weil das heißt,

Speaker0: der Kunde hat wirksame Sicherheitsmaßnahmen.

Speaker0: Das ist immer so ein Zwiespalt. Der gehört aber zum Job. Also im technischen

Speaker0: Bereich kommt es gelegentlich vor, dass du dir halt einfach wirklich die Zähne

Speaker0: ausbeißt und du kommst da nicht durch, du kommst auf das System nicht drauf, Punkt.

Speaker0: Beim Physical, Security und Social Bereich habe ich eine 100%-Quote.

Speaker0: Also da kann ich nicht sagen, dass

Speaker0: ich nicht reinkomme oder noch nicht reingekommen bin, sagen wir es so.

Speaker1: Das Ganze hat natürlich jetzt verschiedene Aspekte, wenn wir gerade mal in Richtung

Speaker1: IT-Grundschutz gucken. Wir waren bei der DSGVO schon.

Speaker1: Neben dem Thema Ausspähen von Daten und Informationen haben wir natürlich auch

Speaker1: noch auf der anderen Seite möglicherweise Beschädigung und Manipulation von

Speaker1: physikalischen Assets.

Speaker1: Was kann man denn jetzt als Unternehmen tatsächlich besser machen,

Speaker1: um sich davor zu schützen oder nicht in die Situation zu geraten?

Speaker0: Konkret jetzt gegen Social Attacks oder gegen Physical Attacks?

Speaker0: Gegen beides. Also Physical Attacks, schwierig. Im Prinzip kann ich nur darauf

Speaker0: vertrauen, dass die Sachen funktionieren.

Speaker0: Oder ich erlaube jemandem, dass es kaputt macht. Ist halt leider so.

Speaker0: Also ob deine Tür und dein Schloss wirksam sind, kann ich dir erst sagen,

Speaker0: wenn ich mit dem Bergzeug rangehe.

Speaker0: Natürlich gibt es diese Spy-Movie-Tools.

Speaker0: Also den Covert Access, wo wir dann halt auch mit einem Lockpick kommen oder

Speaker0: versuchen irgendwas mit einem Underdoor-Tool

Speaker0: oder aufschimmen oder sonst irgendwas oder NFC-Karte klonen,

Speaker0: Schlüssel klauen, Abdruck machen, nachfallen, nachgießen, wie auch immer.

Speaker0: Ja, können wir alles, ja, tun wir alles.

Speaker0: Würde das ein Einbrecher machen? Nein. Einbrecher verwenden keine Lockpicks.

Speaker0: Die Polizei, die Feuerwehr, Geheimdienste, Pentester und Schlüsseldienste verwenden

Speaker0: Lockpicks sonst niemanden.

Speaker0: Ein Einbrecher wird niemals drei Minuten, zehn Minuten, 30 Minuten vor einer

Speaker0: Tür knien, nur mit dem Dietrich rumfummeln, das macht er nicht.

Speaker0: Der wird versuchen, die Tür entweder auszuhebeln, er wird eine Scheibe einschlagen,

Speaker0: er wird von mir aus irgendwelche Bolzen raushämmern oder sonst irgendwas in

Speaker0: einem Industriegebiet, wo aber es da ist niemand.

Speaker0: Eine finale Sicherheit stelle ich erst her, wenn ich es wirklich testen lasse.

Speaker0: Bei dem Kritis-Kunden zum Beispiel würde ich immer empfehlen,

Speaker0: lass uns destruktive Maßnahmen ausprobieren, lass uns das wirklich machen,

Speaker0: weil du musst wirklich sicher sein, dass die Tür zu dem Umspannungsverteiler

Speaker0: oder ins Wasserwerk, dass die wirklich hält und dass die halt auch hält,

Speaker0: wenn ich da komme mit einem Brecheisen und versuche das Ding aufzuhebeln.

Speaker0: Macht es Sinn für eine Rechtsanwaltskanzlei in der Innenstadt? Nein, denke nicht.

Speaker0: Und da ist auch einfach wieder dieser Punkt, weil du BSI-Grundschutz angesprochen

Speaker0: hast, zum DSGVO, in diesem ganzen

Speaker0: Compliance-Thema gibt es immer eine Begrifflichkeit, nämlich angemessen.

Speaker0: Es muss angemessener Schutz sein. Es bringt dir nichts, eine brachiale F3-Tür

Speaker0: zu haben, wenn die in der Trockenbauwand steckt.

Speaker0: Weil dann gehe ich nicht durch deine Tür, sondern ich säbele deine Trockenwand auf.

Speaker0: Es muss einfach zusammenpassen. Es macht auch keinen Sinn, sich irgendeine schweineteure

Speaker0: Sicherheitstür zu kaufen und dann das Schloss aus dem Obi für 30 Euro.

Speaker0: Oder umgekehrt. Ich gebe 300 Euro oder 30.000 Euro für eine superteure Schließanlage

Speaker0: aus, spar aber an den Türen.

Speaker0: Und habe dann vielleicht noch einen Trottel, der das falsch einbaut und ich

Speaker0: habe die Beschläge auf der falschen Seite.

Speaker0: Oder ich habe Spaltmaße, durch die ich durchfahren kann.

Speaker0: Also das sind die Sachen, die uns dann bei Begehungen oder bei Analysen auffallen,

Speaker0: wo wir halt sagen, okay, es muss einfach zueinander passen.

Speaker0: Ich brauche keine Selbstschussanlage, wenn ich ein Büro in der Innenstadt habe,

Speaker0: wo ich einfach weiß, sobald hier laute Geräusche sind oder jemand eine Flex

Speaker0: anschmeißt, dann steht die halbe Nachbarschaft da.

Speaker0: Anders sieht es natürlich aus, wenn ich in einem Industriegebiet bin,

Speaker0: wo nachts nicht los ist. Das sollte dann eine Mischung sein aus abschreckenden

Speaker0: Maßnahmen, Licht und Kameras.

Speaker0: Die halten jetzt einen motivierten Täter nicht ab, aber die Kamera ist dann

Speaker0: zumindest schon mal eine ganz gute Beweissicherung für die Versicherung. Wird der Teil leichter.

Speaker0: Maßnahmen gegen Social Engineering, Training, Training, Training.

Speaker0: Tagline meiner Abteilung ist Security is just a feeling, also Sicherheit ist nur ein Gefühl.

Speaker0: Und da stehe ich auch dahinter hinter dieser Aussage, also sowohl philosophisch als auch fachlich.

Speaker0: Weil Sicherheit ist tatsächlich einfach nur eine Art von Vertrauen,

Speaker0: die wir haben, darin, dass Dinge so funktionieren, wie sie funktionieren sollen.

Speaker0: Dass Menschen tun, was sie sagen, zum Beispiel.

Speaker0: Das ist auch eine Form von Sicherheit. Und im Social-Bereich bin ich ein ganz

Speaker0: großer Fan davon, den Mitarbeitern zu zeigen, wie es sich anfühlt.

Speaker0: Das heißt, keine Clicky-Bunty-Videos.

Speaker0: Da kann ich dann natürlich Situationen erklären. Warum ist Tailgaten nicht clever?

Speaker0: Achte darauf, dass keiner dir hinterherläuft und sowas.

Speaker0: Ich will auch nicht sagen, dass das keinen positiven Effekt hat.

Speaker0: Aber wenn du es am eigenen Leib siehst, erfährst, spürst oder wenn es einem

Speaker0: Kollegen passiert, mit dem du dich dann drüber unterhalten kannst,

Speaker0: der dir erklärt, wie es sich für ihn angefühlt hat, ist es viel nachhaltiger,

Speaker0: als das in einem Podcast zu hören oder in einem Videotraining oder sowas. Das ist unser Ansatz.

Speaker0: Klappt das in jeder Unternehmensgröße? Nee, auf keinen Fall.

Speaker0: Ich kann nicht 6.000 Leute in einem Konzern in 20, 30 Mann-Gruppen schulen und

Speaker0: mit denen Social Engineering oder Anti-Social Engineering Trainings machen.

Speaker0: Da brauche ich meine Clicky-Booty-Videos. Aber zumindest kritisches Personal.

Speaker0: Leute, die aufgrund ihres Statuses.

Speaker0: Ihrer Access-Möglichkeiten im Unternehmen, was auch immer, in den Bereich High-Value-Target fallen.

Speaker0: Also aus Sicht des Angreifers. Einfach jemand, wo ich sage, okay,

Speaker0: wenn ich versuche da einzudringen, dann, für mich ist zum Beispiel kategorisch

Speaker0: ein High-Value-Target immer die Assistenz der Geschäftsführung.

Speaker0: Immer, immer, immer, immer, auch für Phishing, für Smishing, völlig egal.

Speaker0: Die Leute haben mehr Access als der Geschäftsführer, beziehungsweise Also das

Speaker0: sind die, die den Access, den der Geschäftsführer hat, auch benutzen für ihre tägliche Arbeit.

Speaker0: Geschäftsführer will natürlich prinzipiell immer Zugriff auf alles haben, was meistens dumm ist.

Speaker0: Aber derjenige, der den Access ausübt, ist in der Regel halt die Assistenz.

Speaker0: Und von daher ist das ein Prime Target. Leute, die im Empfang arbeiten,

Speaker0: ganz klar, ganz vorne mit dabei.

Speaker0: Sobald es in den Bereich geht, Dreischichtdienst zum Beispiel,

Speaker0: offene Türen in heißen Produktionsstätten, da gibt es relativ einfache organisatorische Techniken.

Speaker0: Punkt eins wäre zum Beispiel irgendeine Art von Uniformierung herstellen.

Speaker0: Das kann sein, alle haben das gleiche Lanyard und haben einen Ausweis dran hängen.

Speaker0: Das ist dann natürlich das Erste, das ich mir klauen werde. Von daher ist das

Speaker0: auch nur bis zu einem gewissen Grad ein Schutz. aber es ist auf jeden Fall schon mal ein Anfang.

Speaker0: Das kombiniert mit Policies, dass ich sage, wenn ihr jemanden nicht kennt,

Speaker0: vom Gesicht her, der ist euch unbekannt, sprecht ihn an.

Speaker0: Einfach ansprechen. Ich sage meinen Kunden immer, erschlagt sie mit Freundlichkeit.

Speaker0: Du musst ja da jetzt nicht gleich wie ein Wadenbeißer um die Ecke kommen und

Speaker0: sagen, wer sind sie? Auf dem Boden, Hände an die Wand.

Speaker0: Das ist einfach so, hey, hi, ich habe sie hier noch nie gesehen.

Speaker0: Wer sind sie denn? Wo kann ich sie hinbringen?

Speaker0: Möchten sie einen Kaffee? ich bringe sie mal vor zum Empfang und dann suchen

Speaker0: wir mal jemanden, der ihnen weiterhelfen kann solche Geschichten,

Speaker0: ja, das geht wahnsinnig einfach wahnsinnig effektiv, würde das einen Kevin Mitnick aufhalten?

Speaker0: Nein, das würde nicht funktionieren, aber das ist wahrscheinlich,

Speaker0: also auf der guten Seite der Macht gibt's keine Ahnung, ich erfinde jetzt eigene Zahl,

Speaker0: Vielleicht 100 Leute, die so gut sind und auf der bösen Seite der Macht hoffentlich weniger.

Speaker0: Also von daher komme ich da mit einer sinnvollen Mischung aus technischen Lösungen,

Speaker0: organisatorischen Lösungen eigentlich schon wirklich an dem Punkt,

Speaker0: wo ich sage, gut, ab jetzt spielen wir in der Oberliga.

Speaker1: Ja, man merkt bei allem, was du so erzählst, dass du das tatsächlich lebst und

Speaker1: dass das auch ein Thema ist, was dir eine Herzensanleitung ist.

Speaker1: Wir beide haben uns ja beim IT-Sicherheitscluster in Regensburg kennengelernt.

Speaker1: Da bist du ja unter anderem mit dem Tom Michalski und diversen anderen Gästen,

Speaker1: die wir hier schon im Podcast hatten, Zugang. Du bist, glaube ich, im Vorstand?

Speaker0: Im Beirat.

Speaker1: Im Beirat, genau. Und da ist das natürlich auch immer ein ganz wichtiges Thema,

Speaker1: dass solche Informationen an die Mitglieder und halt auch an die Allgemeinheit

Speaker1: auf den verschiedenen Events einfach immer die Fahne vorausgetragen wird,

Speaker1: um zu zeigen, was kann alles passieren.

Speaker1: Und das finde ich auch wirklich sehr, sehr lobenswert und wichtig.

Speaker1: Und das ist auch ein Grund, warum es den Podcast hier gibt, weil wir halt einfach

Speaker1: die Leute aufklären möchten, was alles passieren kann.

Speaker1: Das sollte man sich definitiv auch mal zu Herzen nehmen.

Speaker1: So, wenn jetzt jemand sagt, das klingt alles richtig super, ich weiß,

Speaker1: ich habe gelernt heute, man kann Firmen dafür beauftragen, wie eben bei Paul IT.

Speaker1: Was würdest du denn jemandem empfehlen, der sagt, ich möchte jetzt das selber

Speaker1: in Zukunft machen? Das klingt für mich nach einer interessanten Berufsauswahl.

Speaker1: Wie kann man denn da reinwachsen?

Speaker0: Lerne Menschen wie mich kennen. Ich bin selber, wenn ich mir anschaue,

Speaker0: wie ich hier gelandet bin, das ist kein gerader Weg.

Speaker0: Also das ist keine Ausbildung, die mir bekannt ist zumindest.

Speaker0: Ich kenne jetzt kein Institut, das sagt, wir bilden Social Engineers aus.

Speaker0: Ich weiß auch nicht, ob das, was ich jetzt sage, für jeden funktioniert.

Speaker0: Ich kann nur sagen, wie es für mich funktioniert hat.

Speaker0: Ich bin eine sehr gespaltene Persönlichkeit. Auf der einen Seite bin ich sehr

Speaker0: akademisch, habe auch viel zu lange studiert und habe auch keinen Abschluss, wie sich das gehört.

Speaker0: Und ja, Philosophie war auch dabei natürlich, aber es war Philosophie der Technik.

Speaker0: Das heißt, für mich ist Informationen erlangen, sortieren, bewerten,

Speaker0: analysieren, verarbeiten ganz wichtig. Sprich, ich lese ganz viel.

Speaker0: Ich lese ganz viel zu dem Thema. Ich lese ganz viel über Psychologie.

Speaker0: Ich lese ganz viel über Manipulationstechniken.

Speaker0: Ich lese aber auch immer die andere Seite dazu. Also die Kritiker,

Speaker0: die sagen, das ist alles Quatsch, das funktioniert nicht. An der Stelle zum

Speaker0: Beispiel Lie to Me, die Serie.

Speaker0: Kennst du sicher. Kennen vielleicht auch einige deiner Zuhörer noch. Sehr cool.

Speaker0: Wahnsinnig unterhaltsam. Wahrscheinlich völliger Bullshit. Das heißt,

Speaker0: da geht es ganz viel um das Thema Micro-Expressions.

Speaker0: Also man kann Lügner erkennen an, keine Ahnung, der schaut nach oben links und

Speaker0: dann ist es die rechte Gehirnhälfte und das heißt, er erinnert sich an irgendwas.

Speaker0: Dann zuckt das linke Augenlid drei Mühe weit und das heißt, er lügt.

Speaker0: Und das ist halt wahrscheinlich nicht wahr.

Speaker0: Es klingt super, aber es ist ziemlich sicher pseudowissenschaftlicher Quatsch.

Speaker0: Und das ist auch für mich immer wichtig. Immer die Gegenseite mitlesen und sich

Speaker0: da jetzt nicht in so eine Bubble zurückziehen und sagen, ich bin der Master

Speaker0: Manipulator, ich habe dunkles Geheimwissen.

Speaker0: Nicht wirklich. Und das andere ist ausprobieren. Wenn man merkt,

Speaker0: dass man das Talent hat, andere Menschen zu lesen,

Speaker0: wahrzunehmen, was sie fühlen und dann noch, sagen wir mal, das ist der schwierige

Speaker0: Teil, die ethische Komponente in sich trägt, zu sagen, und ich kann das benutzen.

Speaker0: Ich kann das benutzen, um dafür zu sorgen, dass Menschen sich anders fühlen.

Speaker0: Ich formuliere das jetzt mal sehr neutral.

Speaker0: Das kann ja auch was Positives sein. Ein guter Therapeut zum Beispiel würde

Speaker0: solche Techniken auch einsetzen.

Speaker0: Oder ein berühmter, guter Zuhörer,

Speaker0: der macht sowas auch, dass er auch mit Körpersprache signalisiert.

Speaker0: Dieses aktive Zuhören ist ja auch eine Technik zum Beispiel in der Psychologie

Speaker0: und im Social Engineering.

Speaker0: Echtes Interesse zeigen. Ja, das ist mein Schlüssel für mich ist zum Beispiel,

Speaker0: wenn es um das Thema Lügen geht, warum kann ich so leicht lügen?

Speaker0: Ich belüge mich selber. Das heißt, ich glaube die Lüge.

Speaker0: Das ist ein aktiver Prozess, wenn ich mir einen Pretext baue,

Speaker0: also eine Legende, ein Szenario, ich bin jetzt der Techniker von der Telekom,

Speaker0: dann sitze ich, stehe ich, wie auch immer, 30 Sekunden, 20 Sekunden,

Speaker0: eine Minute da und denke mich und fühle mich in diese Rolle rein.

Speaker0: Also Method Acting letztlich. Aber ich versuche, mich so gut es geht davon zu

Speaker0: überzeugen, dass das, was ich tue, auch tatsächlich das ist, wer ich bin.

Speaker0: Und dadurch wirke ich wahrscheinlich glaubhaft.

Speaker0: Vielleicht ist das auch nur der Trick, der mir erlaubt, das zu machen,

Speaker0: ohne dass ich anfange zu schwitzen und unruhig werde.

Speaker0: Aber in meinem Kopf rede ich mir ein, dass das der Grund ist,

Speaker0: warum ich so gut kann. Und diesen Schlüssel, den muss jeder irgendwie für sich selber finden.

Speaker0: Also ich denke, dass das, wie gesagt, ich kenne Kollegen, die machen das wahnsinnig

Speaker0: wissenschaftlich, die analysieren Sprachmuster von Menschen und haben dann da

Speaker0: ihre Geschichten, arbeiten viel mit neurolinguistischem Programmieren,

Speaker0: also die Bandler-Freunde, die dann irgendwelche Sprachmuster analysieren.

Speaker0: Ja, cool, whatever works for you.

Speaker0: Letztlich ist das ein krasser Quereinsteigerjob. Und du musst ja letztlich Menschen

Speaker0: wie dich finden, Menschen wie mich finden, die schon in einer Position sind,

Speaker0: dass sie sagen können, klar, wir probieren das mal aus. Lass uns das mal machen.

Speaker0: Aber was anderes fällt mir tatsächlich nicht ein.

Speaker1: Ja, das war doch schon mal eine ganze Menge. Also auch dafür vielen Dank. Gerne.

Speaker1: So mit Blick auf die Uhr. Ich weiß, wir zwei könnten uns noch den ganzen Tag

Speaker1: weiter darüber unterhalten.

Speaker1: Was hättest du denn für unsere Zuhörerinnen und Zuhörer so als Botschaft mit

Speaker1: auf den Weg, so um quasi mal über das Thema nachzudenken oder als Tipp,

Speaker1: wie man einfach sich in Zukunft besser aufstellt?

Speaker0: Ich denke, dass sich jeder klar machen sollte, wie wichtig er ist.

Speaker0: Ich erlebe das ganz oft und schwerpunktmäßig auch in den, nennen wir es mal

Speaker0: die kleinen Berufe, die kleinen Jobs. Die Leute, die den Müll wegbringen.

Speaker0: Die Leute, die die Türen aufhalten für andere Leute.

Speaker0: Leute, die in der Pflege arbeiten, zum Beispiel in einem Krankenhaus oder in

Speaker0: einem Kindergarten, da ist oft diese Denke, ich bin ja nicht wichtig.

Speaker0: Was ich tue ist nicht wirklich wichtig.

Speaker0: Das ist dieses kleine Fischdenken. Wir zwei kennen das aus dem Bereich der IT-Security,

Speaker0: dass Unternehmen sagen, wir sind doch nicht interessant, ich brauche mich doch nicht schützen.

Speaker0: Ich bin doch nur eine kleine Steuerkanzlei, mich interessiert doch keiner.

Speaker0: Beim Social Engineering ist es genau diese Denke bei Menschen.

Speaker0: Ich bin doch nicht wichtig.

Speaker0: Doch, ganz ehrlich, Wenn du Müll wegbringst, dann bist du super wichtig.

Speaker0: Wenn du Türen aufmachst, auch.

Speaker0: Und wenn du die Putzkraft bist, dann bist du fast die wichtigste Person,

Speaker0: weil du hast einen Masterschlüssel.

Speaker0: Du kannst überall hin und du kommst, wenn alle anderen längst weg sind,

Speaker0: kannst die ganze Nacht da bleiben.

Speaker0: In Irland zum Beispiel, ein Auftrag, den wir hatten, Riesenputze,

Speaker0: Wachen, zwei Schließkontrollen, Aufzug, den du nur mit NFC-Karte bedienen konntest,

Speaker0: alles Mögliche. Wer lässt uns rein, die Putzfrau?

Speaker0: Wir haben, keine Ahnung, Wochen damit verbracht, das auszuscopen.

Speaker0: Okay, dann klettern wir da drüber und dann gehen wir die Feuertreppe.

Speaker0: Nee, die Putzfrau hat uns reingelassen.

Speaker0: Da war nichts, da war kein Skill, da war kein, das war nicht mal Social Engineering.

Speaker0: Die kamen einfach raus, wir standen da, haben die angeschaut wie sonst irgendwas

Speaker0: und haben gemeint, können wir bitte rein? Und sie meinten, klar.

Speaker0: Und das war's. Und deswegen, ihr seid nicht unwichtig, euer Job ist nicht unwichtig.

Speaker0: Vertrauen ist voll super. Ich wäre schön, wenn wir als Menschen uns allen immer

Speaker0: total gegenseitig vertrauen könnten und in einem Utopia aus guter Laune leben würden.

Speaker0: Wachsam und achtsam sollte man sein bei der Arbeit zumindest.

Speaker0: Im privaten Bereich möchte ich nicht, dass irgendjemand paranoid wird und denkt,

Speaker0: okay, jeder will mich jetzt hier irgendwie hacken oder mir meinen Schlüssel

Speaker0: klauen oder sonst irgendwas.

Speaker0: Aber nur weil du ein kleiner Angestellter irgendwo bist, heißt das nicht,

Speaker0: dass du nicht unwichtig bist.

Speaker0: Für Menschen wie mich bist du ein Ziel, weil ich werde dich benutzen,

Speaker0: um irgendwo reinzukommen, weil auch deine Zutrittskarte verschafft mir Zutritt

Speaker0: und je kleiner du dich fühlst und je unwichtiger, desto leichter machst du es mir.

Speaker0: Also seid stolz auf das, was ihr macht. Nehmt euren Job ernst,

Speaker0: nehmt das Vertrauen ernst, das die Leute in euch setzen und ja,

Speaker0: Vorsicht vor zwei Meter großen, grauhaarigen Männern.

Speaker1: Okay. Ja, ich kann mich dem zu 100 Prozent anschließen. Vielen Dank dafür.

Speaker1: Und ja, Alex, ich muss wirklich sagen, es war eine sehr spannende Übernissstunde

Speaker1: mit dir zu reden. Das hat wirklich Spaß gemacht.

Speaker1: Ich hoffe, ihr zu Hause konntet auch was mitnehmen an Learnings und vielleicht

Speaker1: habt ihr jetzt die eine oder andere Idee. Vielleicht geht ihr ja mal,

Speaker1: wenn ihr die Folge gehört habt, das nächste Mal bei euch im Betrieb und guckt

Speaker1: mal eben mit diesem Blickwinkel, was könnte man denn hier theoretisch machen.

Speaker1: Und genau, falls ihr dann Unterstützung braucht, wie gesagt,

Speaker1: findet ihr den Kontakt vom Alex auch natürlich unten in den Shownotes.

Speaker1: Was ihr dort auch findet, ist wie immer die Möglichkeit, mir eine Sprachnachricht

Speaker1: dazulassen über den Dienst Speakpipe.

Speaker1: Und wie immer freue ich mich natürlich, wenn ihr den Podcast entsprechend bewertet

Speaker1: und vielleicht auch mal in der Familie, bei Freunden oder Kollegen einfach auch weiterempfehlt.

Speaker1: Das hilft uns auch ganz ungemein einfach in der Sichtbarkeit,

Speaker1: damit noch mehr Leute einfach sich mal aufschlauen können, wenn es um das Thema

Speaker1: IT und IT-Sicherheit geht.

Speaker1: Alex, ich danke dir ganz herzlich für deine Zeit.

Speaker0: Danke auch.

Speaker1: Dann würde ich sagen, für euch alle zu Hause, dann hören wir uns beim nächsten

Speaker1: Mal zu Blue Screen, eurem Lieblingstech-Podcast. Macht's gut,

Speaker1: bis zum nächsten Mal. Tschüss.

Speaker0: Ciao.

Music: