Return to Video

36C3 - Hirne Hacken

  • 0:00 - 0:19
    36C3 Vorspannmusik
  • 0:19 - 0:22
    Engel: Guten Morgen, Linus!
    Linus Neumann: Guten Morgen, Sebastian!
  • 0:22 - 0:28
    Applaus
  • 0:28 - 0:33
    Ja, es freut mich, dass ihr so zahlreich
    erschienen seid und auf diesen
  • 0:33 - 0:36
    reißerischen Titel reingefallen seid! Ich
    möchte ein bisschen über menschliche
  • 0:36 - 0:40
    Faktoren der IT-Sicherheit sprech und habe
    mich für den Titel „Hirne hacken“
  • 0:40 - 0:46
    entschieden. Der Hintergrund ist, dass
    wenn man irgendwie von Hackern spricht,
  • 0:46 - 0:49
    sehr häufig so ein bisschen dieser Nimbus
    gilt, dass es irgendwie so Halbgötter in
  • 0:49 - 0:52
    schwarz sind. Man weiß nicht so genau was
    die machen, aber die kommen irgendwie da
  • 0:52 - 0:57
    rein und diese Hacker, die sind in meinem
    Gerät drin und ich weiß auch nicht genau,
  • 0:57 - 1:01
    was die von mir wollen und wie die das
    gemacht haben. Und die Realität da draußen
  • 1:01 - 1:06
    ist eigentlich sehr anders als die meisten
    Leute sich das vorstellen. Ich vertrete
  • 1:06 - 1:13
    die These, dass eigentlich jedes praktisch
    relevante Problem der IT-Sicherheit
  • 1:13 - 1:18
    theoretisch gelöst wurde. Also wir haben
    jetzt keine … uns fehlt nicht das Wissen,
  • 1:18 - 1:23
    wie wir eine bestimmte Lösung in der IT-
    Sicherheit machen müssen, aber wir kriegen
  • 1:23 - 1:26
    es irgendwie nicht hin. Denn obwohl wir
    alles theoretisch gelöst haben, ist die
  • 1:26 - 1:32
    praktische IT-Sicherheit ein einziges
    Desaster. Und das liegt wahrscheinlich
  • 1:32 - 1:37
    daran, dass wir uns irgendwie so spannende
    IT-Sicherheitsmechanismen aufbauen und die
  • 1:37 - 1:41
    prüfen wir dann. Ne, da sieht man hier so
    einen schönen Pfahl und der hält jetzt
  • 1:41 - 1:44
    irgendwie ein Tier gefangen und wenn man
    sich das in der Realität anschaut, sieht’s
  • 1:44 - 1:51
    eher so aus.
    unverständliche Sprache des Herrn im Video
  • 1:51 - 1:55
    *jemand im Video singt zum Lied „Einzug
    der Gladiatoren“ einen etwas anderen Text,
  • 1:55 - 2:00
    der Circus beinhaltet*
    Linus: Das ist jetzt ’ne kleine Bedrohung
  • 2:00 - 2:04
    und irgendwie stellen wir uns vor, dass
    das bei den großen Bedrohungen anders
  • 2:04 - 2:11
    wäre. Schauen wir uns an: Wir lesen
    irgendwie überall von Emotet überall.
  • 2:11 - 2:15
    Hacker komprimitieren Computer,
    verschlüsseln alle Dateien, fordern dann
  • 2:15 - 2:20
    hohes Lösegeld und Heise haben sehr viel
    darüber berichtet, bis es sie dann selber
  • 2:20 - 2:25
    erwischt hat. Das heißt, auch die, die es
    wirklich wissen und wissen müssen und
  • 2:25 - 2:28
    können müssten, sind irgendwie nicht davor
    gefeit und das finde ich eigentlich
  • 2:28 - 2:31
    ziemlich interessant. Und wenn wir uns mal
    anschauen, was in der IT-
  • 2:31 - 2:36
    Sicherheitsforschung abgeht, auch hier auf
    dem Kongress, deswegen habe ich den
  • 2:36 - 2:39
    Vortrag auch hier eingereicht, so die
    Forschung muss immer echt Avantgarde sein.
  • 2:39 - 2:43
    Das ist irgendwie großen Applaus und
    Voodoo, und hier noch ein Exploit und
  • 2:43 - 2:48
    haste alles nicht gesehen und Remote Code
    Execution, während die Realität
  • 2:48 - 2:53
    demgegenüber, also so wie jetzt
    tatsächliches Cyber da draußen geht, ist
  • 2:53 - 2:58
    ungefähr eher so. Bin ich schon drin oder
    was? Das heißt, wir leben eigentlich, weil
  • 2:58 - 3:02
    wir das auch als Nerds und Hacker
    irgendwie interessant finden, in irgendwie
  • 3:02 - 3:08
    dieser Welt, während das was da draußen
    wirklich an Kriminalität stattfindet, eher
  • 3:08 - 3:15
    so Hütchenspiel ist. Und dieses
    Hütchenspielproblem lösen wir aber nicht.
  • 3:15 - 3:19
    Und ich glaube, dass das sehr unsinnig
    ist, sehr schlecht ist, dass wir uns um
  • 3:19 - 3:22
    die Problemfelder, die eigentlich ganz
    prävalent sind, die überall beobachtet
  • 3:22 - 3:27
    werden – selbst im Heise-Verlag –, dass
    wir uns um die eigentlich nicht kümmern.
  • 3:27 - 3:31
    Und da machen wir eigentlich seit Jahren
    keinen Fortschritt. Ich möchte ein
  • 3:31 - 3:34
    bisschen über einfache Scams reden, ein
    bisschen über Passwortprobleme, ein
  • 3:34 - 3:41
    bisschen über Schadsoftware. Ein Scam, der
    uns auch im CCC sehr amüsiert hat, ist der
  • 3:41 - 3:46
    Scam, der Chaos-Hacking-Gruppe. Die Chaos-
    Hacking-Gruppe verschickt E-Mails und sagt
  • 3:46 - 3:50
    den Leuten: Ja, also ich hab irgendwie
    dein System mit einem Trojaner infiziert
  • 3:50 - 3:56
    und wir sind uns Ihrer intimen Abenteuer
    im Internet bewusst. Wir wissen, dass Sie
  • 3:56 - 4:01
    Websites für Erwachsene lieben und wir
    wissen über Ihre Sexsucht Bescheid. Und
  • 4:01 - 4:05
    versuchen dann von den Leuten irgendwie
    Geld zu erpressen. Geben Bitcoin-Wallet an
  • 4:05 - 4:09
    und, ja, versuchen halt irgendwie, die
    Leute zu erpressen. Interessanterweise
  • 4:09 - 4:13
    gibt es Leute, die sich dann darüber echt
    Gedanken machen. Die bestreiten aber
  • 4:13 - 4:18
    immer, dass das … Also das kann eigentlich
    sein, was die da sagen, ne? Wer geübt ist
  • 4:18 - 4:22
    im Erpressen weiß natürlich: Solang die
    kein Beweismittel liefern, zahlen wir
  • 4:22 - 4:28
    erstmal nicht. Wenn die Leute dann aber so
    mit dieser Art und Weise versucht werden,
  • 4:28 - 4:33
    betrogen zu werden und das googlen, dann
    kommen sie direkt an den Nächsten. Wenn
  • 4:33 - 4:37
    man jetzt die Chaos-CC-Gruppe googelt,
    dann wird einem auf irgendwelchen
  • 4:37 - 4:40
    Webseiten klargemacht, dass es sich um
    einen Trojaner handeln würde und man jetzt
  • 4:40 - 4:47
    irgendsoeine nächste Schadsoftware
    runterladen soll. Also quasi wie man
  • 4:47 - 4:52
    diesen Schaden wieder entfernt. Das heißt,
    die Leute kommen hier echt vom Regen in
  • 4:52 - 4:57
    die Traufe: Haha, ich wusste, du willst
    gerne verarscht werden; hier habe ich noch
  • 4:57 - 5:04
    ein bisschen Snake-Oil für dich. Das
    heißt, die Welt da draußen, für unsere
  • 5:04 - 5:07
    ungeübten Nutzerinnen und Nutzer ist
    relativ gefährlich. Schauen wir uns mal
  • 5:07 - 5:12
    an, wie das bei den Geübten aussieht: Die
    Linux-Kernelmailingliste ist vielleicht
  • 5:12 - 5:17
    einigen von euch ein Begriff. Da ist auch
    vor kurzem mal so eine E-Mail eingegangen.
  • 5:17 - 5:23
    Am 31. Oktober 2018, ist schon etwas her.
    Da wurde sogar das Passwort angegeben, ja,
  • 5:23 - 5:25
    das ist also so das nächste Level von
    diesem Scam: Du schreibst einfach
  • 5:25 - 5:28
    irgendsoeinen Passwort-Leak noch mit rein,
    die Leute kriegen dann Herzrasen, weil ihr
  • 5:28 - 5:35
    Passwort in der E-Mail steht und auch hier
    wollte jemand eben Bitcoins haben, unter
  • 5:35 - 5:39
    anderem von den Linux-Kernel-Entwicklern.
    Bitcoin ist ja ganz schön: Man kann ja in
  • 5:39 - 5:42
    die Blockchain schauen und sehen, wieviel
    die Linux-Kernel-Entwickler da so bezahlt
  • 5:42 - 5:48
    haben. In dem Wallet befinden sich 2,98
    Bitcoin. Das sind vor ein paar Tagen noch
  • 5:48 - 5:51
    ungefähr 19000€ gewesen, also soll noch
    mal einer sagen, mit Linux könnte man
  • 5:51 - 5:54
    keinen Profit machen.
    Gelächter
  • 5:54 - 6:01
    Applaus
    Die E-Mail ging natürlich auch noch an
  • 6:01 - 6:06
    sehr viele weitere außer der Linux-
    Kernelliste, aber ich denke, man sieht
  • 6:06 - 6:08
    hier, man fragt sich eigentlich: Warum
    machen wir eigentlich den Quatsch, den wir
  • 6:08 - 6:11
    machen, wenn wir so einfach uns Geld
    überweisen lassen können mit ein paar
  • 6:11 - 6:17
    Spam-Mails?! Geht aber noch weiter: Geld
    überweisen, Klassiker. Der CEO-Fraud.
  • 6:17 - 6:22
    Großes Team auch – ist eines der großen
    Szenarien, dem irgendwie mittelständische
  • 6:22 - 6:26
    Unternehmen, größere Unternehmen
    ausgesetzt sind. Kriegst eine E-Mail, wo
  • 6:26 - 6:30
    dann irgendwie geagt wird: Ey, wir müssen
    jetzt mal hier die Rechnung bezahlen. Wir
  • 6:30 - 6:34
    müssen das heute erledigen. Meistens sind
    das dann, also in der einen Schiene sind
  • 6:34 - 6:37
    das dann eher so geringe Beträge, die
    jetzt vielleicht auch einfach mal
  • 6:37 - 6:43
    durchgehen. Geht aber natürlich auch in
    einer Nummer schärfer. Alles schon
  • 6:43 - 6:49
    tatsächlich sehr häufig passiert, dass
    also so eine Geschichte gemacht wird: Ja,
  • 6:49 - 6:53
    der große Deal mit den Chinesen steht
    irgendwie kurz bevor und du darfst jetzt
  • 6:53 - 6:57
    mit niemandem darüber sprechen, aber du
    musst jetzt mal ganz kurz 2 Mio. auf die
  • 6:57 - 7:01
    Seychellen überweisen. Und dann machen die
    Leute das und diese E-Mails arbeiten
  • 7:01 - 7:06
    einfach so ein bisschen mit Autorität,
    Vertrauen, Eile und Druck und leiten
  • 7:06 - 7:12
    Menschen an, dann das zu tun, was sie
    eigentlich nicht tun sollten. Das ist auf
  • 7:12 - 7:15
    Anhieb erstmal vielleicht halbwegs witzig,
    wenn man aber mal mit so einem Menschen
  • 7:15 - 7:19
    spricht, dem das passiert ist, die haben
    danach echt schwere Krisen, weil sie
  • 7:19 - 7:22
    natürlich wissen, dass das nicht besonders
    klug war und auch recht schädlich für das
  • 7:22 - 7:28
    Unternehmen und das ist eigentlich dann
    gar nicht mehr so unterhaltsam. Kommen wir
  • 7:28 - 7:35
    zurück zu unterhaltsamen Sachen: Der
    Authentisierung. Eine Sache, die vielen
  • 7:35 - 7:39
    Menschen Probleme bereitet, ist ihr
    Passwort und das Problem ist, dass sie
  • 7:39 - 7:43
    eben auch nur eines haben und dieses sich
    dann in solchen Sammlungen wie Collection
  • 7:43 - 7:49
    #1-#5 befindet, die ihr natürlich auch –
    wir alle haben die ja immer dabei und
  • 7:49 - 7:55
    können dort die Passwört nachschlagen, zum
    Beispiel: 23bonobo42, Tim Pritlove; weiß
  • 7:55 - 8:03
    jeder. Das schöne ist an diesen Listen:
    Auch wir, die Ahnung davon haben sollten,
  • 8:03 - 8:07
    sind da drin. Wenn man meine E-Mail-
    Adresse bei haveibeenpwned eingibt – einer
  • 8:07 - 8:11
    Webseite, wo man checken kann, ob eine
    E-Mail-Adresse in Leaks vorhanden ist,
  • 8:11 - 8:16
    findet man das auch bei mir. So. Kommen
    später dazu, wie das vielleicht passiert
  • 8:16 - 8:22
    sein könnte. Die Sache, die mich daran so
    ärgert, ist dass wir eigentlich seit es
  • 8:22 - 8:26
    Computer gibt, dieses Passwortproblem nie
    so richtig angegangen sind. Wir sagen den
  • 8:26 - 8:30
    Leuten eigentlich: OK, dein Passwort darf
    nicht zu erraten sein, am besten zufällig,
  • 8:30 - 8:34
    ohne jegliches System. Es soll so lang wie
    möglich sein, am besten nicht nur ein
  • 8:34 - 8:40
    Wort. Und es muss überall unterschiedlich
    sein. Und kein Mensch tut das. Ja, wenn
  • 8:40 - 8:44
    man irgendwie … war letztens beim
    Zahnarzt. Wenn man mit dem redet, der sagt
  • 8:44 - 8:47
    einem auch jedes mal: Ja, du musst aber
    morgens, mittags, abends Zahnseide, haste
  • 8:47 - 8:51
    nicht gesehen. Jaja, genau, mach du
    erstmal überall andere Passwört und dann
  • 8:51 - 8:55
    können wir weiterreden, ne?
    Gelächter
  • 8:55 - 9:03
    Applaus
    Und ja, das habe ich gemacht so irgendwann
  • 9:03 - 9:06
    habe ich das vor ein paar Jahren auch
    tatsächlich getan. Ich benutze jetzt einen
  • 9:06 - 9:10
    Passwortmanager. Wissen wir alle, dass das
    klug und gut ist. Aber ich renne
  • 9:10 - 9:13
    eigentlich seit vielen Jahren um die Welt,
    erkläre den Leuten von diesen
  • 9:13 - 9:16
    Passwortmanagern. Und die Reaktion ist
    immer die gleiche: The fuck?! So … Das
  • 9:16 - 9:20
    will ich nicht haben. Ja, und wir haben
    einfach in dieser Welt nie mehr
  • 9:20 - 9:24
    hingekriegt als den Leuten zu sagen:
    Benutzt doch einen Passwortmanager. Und
  • 9:24 - 9:27
    dann fragen sie immer: Welchen? Und dann
    sage ich immer: Ich empfehle keinen.
  • 9:27 - 9:32
    Gelächter
    Frage ist: Wie kommen die Leute eigentlich
  • 9:32 - 9:36
    an diese ganzen Passwörter? Klar: Die
    machen entweder irgendwelche Services auf
  • 9:36 - 9:39
    und holen die Passwört dann aus den
    Datenbanken, wo sie nicht gehasht und
  • 9:39 - 9:43
    gesalted gespeichert wurden, oder sie
    schicken einfach mal eine E-Mail und
  • 9:43 - 9:49
    fragen nach dem Passwort. Hier ein schönes
    Beispiel, das ich deshalb ausgewählt habe,
  • 9:49 - 9:53
    weil ich darauf reingefallen bin.
    Applaus
  • 9:53 - 10:03
    Aaaaah. PayPal möchte mir in einer
    wichtigen Nachricht mitteilen, dass „unser
  • 10:03 - 10:07
    System einen nicht authorisierten Zugriff
    auf Ihr PayPal-Konto festgestellt hat. Um
  • 10:07 - 10:10
    Ihre Sicherheit weiterhin vollständig
    gewährleisten zu können, klicken Sie bitte
  • 10:10 - 10:15
    auf diesen Knopf.“, ja? Und das schöne an
    solchen Dingern ist immer: Es gibt in der
  • 10:15 - 10:19
    Regel nur einen Knopf. Und das sollte
    einen eigentlich stutzig machen. Genauso
  • 10:19 - 10:22
    hätte mich stutzig machen sollen, dass da
    oben erstmal nicht PayPal in der
  • 10:22 - 10:29
    Adresszeile steht, aber ich war irgendwie
    müde und habe irgendwie da drauf geklickt
  • 10:29 - 10:32
    und jetzt kommt, was mir dann doch noch
    den Allerwertesten gerettet hat: Mein
  • 10:32 - 10:37
    Passwortmanager konnte mir kein Passwort
    für diese Seite anbieten.
  • 10:37 - 10:45
    Applaus
    So. Ich hab jetzt extra rausgenommen,
  • 10:45 - 10:48
    welcher Passwortmanager das ist.
    Diejenigen, die ihn trotzdem erkennen:
  • 10:48 - 10:52
    Nicht denken, dass ich ihn lobe, weil:
    Dieser Passwortmanager hat vor kurzem ein
  • 10:52 - 10:56
    Update erfahren und wenn ich das gleiche
    Spielchen heute mache, dann sagt der: Ich
  • 10:56 - 11:00
    kenne die Seite nicht, aber vielleicht
    willst du deine Kreditkarte oder deine
  • 11:00 - 11:06
    Adresse eingeben? Herzlichen Dank … So,
    auf den Passwortmanager kann ich gerne
  • 11:06 - 11:10
    verzichten. Wenn man sich so
    Phishingseiten anschaut; ich mein, ist
  • 11:10 - 11:13
    jetzt gar kein Hexenwerk. Man nimmt
    einfach irgendeine Website, kopiert die
  • 11:13 - 11:16
    auf einen anderen Server und programmiert
    sich dahinter ein kleines Backend, was
  • 11:16 - 11:20
    alle Requests entgegennimmt, die man da so
    hinschickt. Hier habe ich letztens mal
  • 11:20 - 11:28
    eine sehr schöne bekommen: Das war der
    Gmail Webmail Login. Aber die haben, ich
  • 11:28 - 11:34
    fand das eigentlich ganz elegant, was sie
    gemacht haben: Die haben quasi die Domain
  • 11:34 - 11:40
    der E-Mail-Adresse noch als GET-Request
    mitgesendet und dann in ihrem Quelltext
  • 11:40 - 11:45
    einfach das Favicon zu der Domain auf
    Google gesucht und dort eingeblendet. Das
  • 11:45 - 11:47
    heißt, wenn ihr da eine andere Domain
    angebt, dann steht da immer ein anderes
  • 11:47 - 11:53
    Logo, um einfach so diese Seite ein
    bisschen naheliegender zu machen. Wenn wir
  • 11:53 - 11:56
    uns das anschauen, die
    Erfolgswahrscheinlichkeit, die solche
  • 11:56 - 12:02
    Massenmails haben, ist enorm gering. Ja?
    Die ist winzig klein. Diese Mails werden
  • 12:02 - 12:07
    millionenfach versendet, an ganz viele
    Empfängerinnen und Empfänger und wenn man
  • 12:07 - 12:12
    aber dann auch so viele Mails versendet
    und in so vielen Spamfiltern hängenbleibt,
  • 12:12 - 12:15
    dann findet man immer noch mal einen, der
    dann doch noch ein Passwort da einträgt
  • 12:15 - 12:19
    und schon haben wir eine schöne
    Geschichte. Das ist hier jetzt irgendwie
  • 12:19 - 12:24
    so ein Massenmailding. Ich mein, ihr müsst
    nur mal in euren Spamfolder reinschauen,
  • 12:24 - 12:29
    da werdet ihr diese E-Mails finden. Blöd
    ist halt, wenn da mal irgendwann nicht im
  • 12:29 - 12:34
    Spam landen. Wir haben da jetzt so ein
    bisschen über massenhafte Angriffe
  • 12:34 - 12:40
    gesprochen. Die zielen halt auf die besten
    von uns ab. Wenn wir das ganze aber mal
  • 12:40 - 12:45
    gezielt machen, spricht man nicht mehr vom
    Phishing, sondern vom Spearphishing. Und
  • 12:45 - 12:50
    beim Spearphishing sendet man nicht
    Millionen E-Mails, sondern man sendet
  • 12:50 - 12:54
    eine. Und zwar genau an die Person, von
    der man das Passwort haben möchte. Und man
  • 12:54 - 13:01
    macht eine Geschichte, die genau zu dieser
    Person auch passt. Also häufig mache ich
  • 13:01 - 13:06
    das ganz gerne so mit Passwortreset-Mails,
    ja? Also gibt’s in vielen Unternehmen.
  • 13:06 - 13:10
    Sehr kluge Idee: Alle Mitarbeiter müssen
    alle 3 Monate die Zahl am Ende ihres
  • 13:10 - 13:14
    Passworts um 1 inkrementieren.
    Gelächter
  • 13:14 - 13:24
    Applaus
    Und den E-Mail-Login von den meisten
  • 13:24 - 13:27
    Unternehmen muss man auch nicht besonders
    fälschen, den habe ich schon einmal
  • 13:27 - 13:32
    fertig. So, wenn man solche Sachen macht,
    also Spearphishing, haben wir eher so eine
  • 13:32 - 13:36
    Wahrscheinlichkeit von 30%, dass die
    Zielperson auf die Seite geht, ihr
  • 13:36 - 13:41
    Passwort eingibt. Wenn ich das mit 3
    Personen mache, habe ich einen Business
  • 13:41 - 13:45
    Case. Und vor allem habe ich in der Regel
    keinen Spamfilter, der mir im Weg ist. Ich
  • 13:45 - 13:49
    kann wunderschön einen Mailserver
    aufsetzen mit minimal anderen Domains, die
  • 13:49 - 13:52
    machen DKIM, die machen alles, was du
    haben willst. Die haben sogar ein schönes
  • 13:52 - 13:57
    Let’s Encrypt Zertifikat auf ihrer
    Website. Funktioniert und kommt in der
  • 13:57 - 14:02
    Regel durch. Auf das Problem komme ich
    nachher noch mal zurück, denn das würde
  • 14:02 - 14:08
    ich sehr gerne lösen. Aber auch beim
    Verbreiten von Schadsoftware ist das ein
  • 14:08 - 14:13
    beliebtes Pro… oder ein beliebtes Ziel,
    nicht irgendwie fette 0-Day-Exploits zu
  • 14:13 - 14:18
    verballern, sondern einfach mal den Leuten
    die Software anzubieten und zu gucken, wie
  • 14:18 - 14:23
    sie die installieren. TRS hat mich da auf
    einen Tweet aufmerksam gemacht, der ist
  • 14:23 - 14:28
    schon ein paar Jahre alt, aber er ist sehr
    wahr: „Manchmal fühlt man sich als ITler
  • 14:28 - 14:32
    wie ein Schafhirte. Allerdings sind die
    Schafe betrunken. Und brennen! Und klicken
  • 14:32 - 14:41
    überall drauf!!“
    Applaus
  • 14:41 - 14:48
    Von @Celilander. Ja. Dann habe ich
    irgendwie letztens mal … wer den Vortrag
  • 14:48 - 14:52
    von Thorsten gesehen hat, sieht dass wir
    da auch was mit einem Torrent gemacht
  • 14:52 - 14:57
    haben. Da war ich hier bei den Drive-By
    Exploit Paralympics, wo ich also auf eine
  • 14:57 - 15:01
    Webseite gekommen bin, die mich auch sehr
    gedrängt hat, irgendetwas zu installieren.
  • 15:01 - 15:06
    Ich müsste ein Update machen, irgendwelche
    komischen Plug-Ins installieren oder so,
  • 15:06 - 15:10
    ne? Und die Leute machen das! Also es ist
    regelmäßig, dass irgendwelche Leute bei
  • 15:10 - 15:15
    mir sitzen und sagen: „Ja, hier, ich habe
    einen Virus.“ – „Ja, wieso? Woher wissen
  • 15:15 - 15:20
    Sie das denn?“ – „Ja, eh … stand da!“
    Gelächter
  • 15:20 - 15:24
    Und dann haben die halt irgendwas
    installiert und dann merkt man so: Dann
  • 15:24 - 15:26
    haben sie gecheckt, dass das
    wahrscheinlich nicht klug war und dann
  • 15:26 - 15:29
    haben sie am Ende irgendwie 86
    Schadsoftwares drauf, die behaupten
  • 15:29 - 15:35
    Schadsoftwares zu entfernen. Übrigens:
    Genau so wurde auch der Staatstrojaner
  • 15:35 - 15:39
    FinSpy gegen die türkische Opposition
    eingesetzt. Die haben eine schöne Website
  • 15:39 - 15:43
    gemacht und haben gesagt: Ey guck mal
    hier, klick mal hier drauf, könnt ihr
  • 15:43 - 15:48
    runterladen. Wie gesagt: Die Analyse hat
    Thorsten mit Ulf Buermeyer heute morgen
  • 15:48 - 15:54
    schon präsentiert. Da sind wir dann auch
    schon bei den … Kurzer Applaus für
  • 15:54 - 16:00
    Thorsten!
    Applaus
  • 16:00 - 16:08
    Da sind wir dann auch schon jetzt bei dem
    Problem, was seit ungefähr 2016 der Welt
  • 16:08 - 16:13
    Ärger bereitet, nämlich die sogenannte
    Ransomware. Funktioniert relativ einfach:
  • 16:13 - 16:17
    Man kriegt eine E-Mail. In der E-Mail ist
    irgendein Anhang, in diesem Beispiel, das
  • 16:17 - 16:23
    haben wir mal 2016 durchgespielt, das war
    Locky, war’s eine Rechnung. Und wenn ich
  • 16:23 - 16:30
    jetzt diesen Anhang öffne, passiert
    folgendes. Es meldet sich das wunderschöne
  • 16:30 - 16:34
    Programm Microsoft Word.
    Johlen
  • 16:34 - 16:38
    Und Microsoft Word hat direkt 2
    Warnmeldungen parat. Ihr seht sie dort
  • 16:38 - 16:46
    oben in gelb und rot auf dem Bildschirm.
    Die rote Warnmeldung ist die, dass es sich
  • 16:46 - 16:51
    um eine nichtlizensierte Version des
    Programmes handelt.
  • 16:51 - 16:56
    Gelächter
    Die habt ihr also entweder nicht oder ihr
  • 16:56 - 16:59
    habt sie auch und ihr habt euch schon dran
    gewöhnt.
  • 16:59 - 17:04
    Gelächter
    Die gelbe Warnmeldung ist die, die euch
  • 17:04 - 17:09
    davor warnt, dass ihr gerade auf dem Weg
    seid, euch sehr, sehr in den Fuß zu
  • 17:09 - 17:16
    schießen. Und diese Warnmeldung ist sehr
    einfach verständlich. Seien sie
  • 17:16 - 17:22
    vorsichtig: Dateien aus dem Internet
    können Viren beinhalten. Wenn Sie diese
  • 17:22 - 17:25
    Datei nicht bearbeiten müssen, ist es
    sicherer, in der geschützten Ansicht zu
  • 17:25 - 17:29
    verbleiben. Und in konsistenter
    Formulierung mit diesem Satz ist daneben
  • 17:29 - 17:36
    ein Knopf, auf dem steht: Bearbeiten
    aktivieren. Versteht jeder sofort, was da
  • 17:36 - 17:42
    gemeint ist! Gefahrenpotenzial ist sofort
    klar. Und wir haben wieder genau so wie in
  • 17:42 - 17:46
    dieser PayPal-Phishing-E-Mail den
    wunderschönen riesigen großen Knopf. Und
  • 17:46 - 17:51
    oben rechts in der Ecke, ganz klein, es
    versteckt sich ein bisschen. Es flieht vor
  • 17:51 - 17:56
    eurer Aufmerksamkeit. Ist ein
    klitzekleines graues Kreuzchen. Das wäre
  • 17:56 - 18:01
    der Weg in die Sicherheit. Aber natürlich
    seid ihr darauf trainiert, diesen Knopf zu
  • 18:01 - 18:04
    drücken, weil diese Warnmeldung kommt
    schließlich jedes mal, wenn ihr Microsoft
  • 18:04 - 18:09
    Word öffnet, weil irgendwelche Makros sind
    ja in fast jedem Word-Dokument drin, was
  • 18:09 - 18:14
    in eurem Unternehmen so rumschwirrt. Ist
    aber nicht schlimm, es geht nämlich
  • 18:14 - 18:19
    weiter. Microsoft Word hat direkt noch
    eine Warnung für euch: Sicherheitswarnung.
  • 18:19 - 18:25
    Makros wurden deaktiviert. Inhalte
    aktivieren. Und wir sitzen jetzt also da,
  • 18:25 - 18:29
    in diesem Beispiel Locky, vor einem leeren
    Blatt Papier. Ein leeres Blatt Papier ganz
  • 18:29 - 18:34
    ohne Inhalt. Alles, wonach es uns durstet,
    sind Inhalte. Also drücken wir jetzt da
  • 18:34 - 18:38
    auf Inhalte aktivieren. Und ich habe jetzt
    mal hier auf dem Desktop so ein paar
  • 18:38 - 18:42
    Dateien drapiert, die dort so liegen. Und
    wenn ich jetzt auf den Knopf drücke,
  • 18:42 - 18:47
    passiert folgendes: Sie sind weg. Das
    Makro, was in diesem Word-Dokument ist,
  • 18:47 - 18:54
    lädt im … lädt über einen einfachen GET-
    Request eine EXE-Datei runter und führt in
  • 18:54 - 18:59
    dem Fall Locky aus. Locky rasiert einmal
    durch die Festplatte, verschlüsselt alle
  • 18:59 - 19:04
    Dateien und wenn er fertig ist, sagt er:
    Übrigens: Deine Dateien sind jetzt
  • 19:04 - 19:08
    verschlüsselt und wenn Leute verschlüsselt
    hören, dann sagen die immer: Ja aber kann
  • 19:08 - 19:13
    man das nicht irgendwie entschlüsseln?
    Deswegen steht hier auch direkt: Nein.
  • 19:13 - 19:17
    Kann man nicht. Es wäre total unsinnig,
    wenn man Dinge verschlüsseln würde, die
  • 19:17 - 19:21
    man einfach wieder entschlüsseln könnte.
    Deswegen haben wir das richtig macht. Und
  • 19:21 - 19:24
    da haben die hier so eine schöne Website
    gehabt und da wurde dann eben erklärt,
  • 19:24 - 19:30
    wohin man wieviel Bitcoin überweisen muss.
    Locky war da noch relativ großzügig. Die
  • 19:30 - 19:35
    haben die Datenwiederherstellung für 500€
    damals gemacht. Locky war so die erste
  • 19:35 - 19:40
    große Ransomware-Welle. Es wurde überall
    davor gewarnt, Rechnungen zu öffnen, die
  • 19:40 - 19:46
    Bilanzen der Unternehmen hatte das
    kurzfristig echt verbessert, aber die
  • 19:46 - 19:52
    Bilanzen der Angreifer nicht. Und
    woraufhin dann weitere E-Mails kursierten,
  • 19:52 - 19:56
    die sahen ungefähr so aus: Hallo, hier ist
    das Bundeskriminalamt. Passen Sie bitte
  • 19:56 - 20:00
    auf mit Locky. Weil uns immer mehr Leute
    gefragt haben, wie man sich davor schützt,
  • 20:00 - 20:03
    haben wir einen Ratgeber vorbereitet, wie
    man sich davor schützt. Den finden Sie im
  • 20:03 - 20:07
    Anhang.
    Gelächter
  • 20:07 - 20:12
    Applaus
    Und der ganze Spaß ging wieder von vorne
  • 20:12 - 20:19
    los. Locky war 2016. Wir haben vor kurzem
    mal einen Blick darauf geworfen, wie das
  • 20:19 - 20:25
    so bei GandCrab aussieht. Das war jetzt
    eine Ransomware von einer, ja … Ich komme
  • 20:25 - 20:28
    gleich darauf, wo die Jungs herkamen. Von
    einer Gruppierung, die sich vor kurzem zur
  • 20:28 - 20:33
    Ruhe gesetzt hat mit den Worten,
    sinngemäß: Wir haben gezeigt, dass man
  • 20:33 - 20:38
    viele Millionen mit kriminiellen Dingen
    verdienen und sich dann einfach zur Ruhe
  • 20:38 - 20:43
    setzen kann. Und wir ermutigen euch auch,
    so einen schönen Lebensstil zu pflegen wie
  • 20:43 - 20:47
    wir. Wir sind jetzt erstmal im Ruhestand.
    Wenn man sich mit denen, wenn man sich
  • 20:47 - 20:50
    quasi bei denen das gleiche durchgemacht
    hat, landete man auf so einer Seite. Die
  • 20:50 - 20:54
    war sehr schön. Da haben sie erstmal auch
    einmal mit sehr vielen psychologischen
  • 20:54 - 20:58
    Tricks gearbeitet. Hier oben steht zum
    Beispiel: Wenn du nicht bezahlst innerhalb
  • 20:58 - 21:04
    von einer Woche, dann verdoppelt sich der
    Preis. Da haben die sich bei Booking.com
  • 21:04 - 21:06
    abgeguckt.
    Gelächter
  • 21:06 - 21:10
    Applaus
    Dann erklären sie wieder: OK, du kannst …
  • 21:10 - 21:14
    es ist verschlüsselt, kriegst du nur von
    uns zurück. Und dann haben sie einen
  • 21:14 - 21:18
    schönen Service, hier, free decrypt. Du
    kannst eine Datei dort hinschicken und die
  • 21:18 - 21:20
    entschlüsseln sie dir und schicken sie dir
    zurück um zu beweisen, dass sie in der
  • 21:20 - 21:24
    Lage sind, die zu entschlüsseln. Ja, die
    sind also in gewisser Form ehrbare
  • 21:24 - 21:28
    Kaufmänner. Man fixt einen mal an, zeigt,
    dass man die Dienstleistung erbringen
  • 21:28 - 21:32
    kann. Und die haben auch einen Chat. Die
    haben hier unten so einen
  • 21:32 - 21:34
    Kundenberatungschat.
    Gelächter
  • 21:34 - 21:38
    Und wir saßen irgendwie in geselliger
    Runde mit unserer Windows-VM, die wir
  • 21:38 - 21:42
    jetzt gerade gegandcrabt hatten und haben
    dann so gedacht: Ach komm ey, jetzt
  • 21:42 - 21:46
    chatten wir mal mit denen. Und haben uns
    so ein bisschen doof gestellt, so:
  • 21:46 - 21:50
    Hellooo, where can I buy the Bitcoin?
    Irgendwie so. Und da haben die uns dann
  • 21:50 - 21:52
    irgendwelche Links geschickt, wo wir
    Bitcoin holen wollen und da haben wir
  • 21:52 - 21:54
    gesagt: Woah, das ist doch irgendwie voll
    anstrengend, können wir nicht einfach eine
  • 21:54 - 22:03
    SEPA-Überweisung machen? Wir zahlen auch
    die Gebühren, ist okay. Und dann haben wir
  • 22:03 - 22:08
    so, als uns nichts mehr einfiel, sagte ich
    zu meinem Kumpel, der daneben saß:
  • 22:08 - 22:13
    Vladimir. Ey, ich sag: Vladimir. Frag die
    doch mal, ob die russisch können. Konnten
  • 22:13 - 22:14
    sie.
    Gelächter
  • 22:14 - 22:19
    Und … ja, und … war auf jeden Fall: Na
    klar! Und interessanterweise haben die
  • 22:19 - 22:23
    auch sofort in kyriliisch geantwortet. Man
    kann ja russisch auf 2 Arten schreiben.
  • 22:23 - 22:26
    Man sieht uns hier an der deutschen
    Tastatur und die Jungs mit den
  • 22:26 - 22:31
    kyrillischen Schriftzeichen. Und die waren
    auf einmal sehr interessiert: Eyyy, du
  • 22:31 - 22:36
    bist Russe?! Wie bist du denn infiziert …
    wie kann das denn, dass du infiziert
  • 22:36 - 22:41
    wurdest?
    Gelächter
  • 22:41 - 22:47
    Hier steht doch, du bist in Deutschland!
    Und dann fragten die irgendwie so: Du bist
  • 22:47 - 22:51
    doch in Deutschland und so. Und dann
    sagten wir so: Jaja, ich arbeite für
  • 22:51 - 22:56
    Gazprom.
    Gelächter
  • 22:56 - 22:59
    Die wurden immer freundlicher.
    Gelächter
  • 22:59 - 23:02
    Und schrieben uns dann diesen folgenden
    Satz. Den habe ich mal für euch in Google
  • 23:02 - 23:08
    Translate gekippt. Der lautet ungefähr so:
    Mach bitte ein Photo von deinem Pass. Du
  • 23:08 - 23:12
    kannst gerne die sensiblen Daten mit
    deinem Finger abdecken. Ich brauche nur
  • 23:12 - 23:16
    einen Beweis, dass du Bürger Russlands
    bist. Dann stellen wir dir die Daten
  • 23:16 - 23:19
    kostenlos wieder her.
    Gelächter
  • 23:19 - 23:31
    Applaus
    Also manchmal ist IT-Sicherheit halt auch
  • 23:31 - 23:35
    einfach nur der richtige Pass, ne?
    Gelächter
  • 23:35 - 23:41
    Tatsächlich hatte GandCrab Routinen drin,
    die gecheckt haben, ob die Systeme z. B.
  • 23:41 - 23:46
    russische Zeitzone oder russische
    Schriftzeichen standardmäßig eingestellt
  • 23:46 - 23:51
    haben, um zu verhindern, dass sie
    russische Systeme befallen, weil die
  • 23:51 - 23:57
    russische IT-Sicherheitsaußenpolitik
    ungefähr so lautet: Liebe Hacker. Das
  • 23:57 - 24:03
    Internet. Unendliche Weiten. Ihr könnt
    darin hacken, wie ihr wollt und wir
  • 24:03 - 24:08
    liefern euch eh nicht aus. Aber wenn ihr
    in Russland hackt, dann kommt ihr in einen
  • 24:08 - 24:11
    russischen Knast. Und selbst russische
    Hacker wollen nicht in einen russischen
  • 24:11 - 24:19
    Knast. Deswegen sorgen die dafür, dass sie
    ihre Landsmänner nicht infizieren. Wahre
  • 24:19 - 24:24
    Patrioten. Der Brian Krebs hat nachher
    diese Gruppe auch noch enttarnt. Hat einen
  • 24:24 - 24:27
    superinteressanten Artikel darüber
    geschrieben. War so ein paar Wochen
  • 24:27 - 24:32
    eigentlich, nachdem wir diese kleine,
    lustige Entdeckung gemacht hatten. Ihr
  • 24:32 - 24:35
    wisst natürlich, grundsätzliches Motto
    jedes Congress’: Kein Backup, kein
  • 24:35 - 24:40
    Mitleid! Das heißt, ihr müsst natürlich
    euch gegen solche Angriffe dadurch
  • 24:40 - 24:45
    schützen, dass ihr Backups habt und dann
    nicht bezahlen müsst. Aber was ich
  • 24:45 - 24:51
    spannend finde ist, dieser Angriff mit den
    Word-Makros, die funktionieren seit 1999.
  • 24:51 - 24:55
    Da war das Melissa-Virus irgendwie die
    große Nummer. Makros gab es schon früher
  • 24:55 - 25:00
    in Word, aber ’99 mit Internetverbreitung
    und so ging das irgendwie ordentlich rund.
  • 25:00 - 25:03
    Und wir sind da keinen einzigen Schritt
    weitergekommen. Jeden anderen Bug, jedes
  • 25:03 - 25:08
    andere Problem, was wir haben, lösen wir
    sofort. Dieses halten wir einfach nur aus
  • 25:08 - 25:12
    und tun überhaupt nichts daran. Also habe
    ich mir überlegt: Gut, dann schauen wir
  • 25:12 - 25:16
    uns mal an: Warum funktionieren diese
    Angriffe eigentlich? Und dafür gibt’s im
  • 25:16 - 25:22
    Prinzip 2 Erkläransätze, die ich euch
    vorstellen möchte. Der eine ist eben
  • 25:22 - 25:28
    individualpsychologisch, der andere ist
    organisationspsychologisch. Daniel
  • 25:28 - 25:33
    Kahnemann hat einen Nobelpreis in
    Wirtschaftswissenschaften, glaube ich,
  • 25:33 - 25:38
    bekommen, dass er sich darüber Gedanken
    gemacht hat, wie Menschen denken.
  • 25:38 - 25:42
    „Thinking, Fast and Slow“, großer
    Bestseller, und so weiter. Der postuliert
  • 25:42 - 25:50
    im Prinzip: Wir haben 2 Systeme in unserem
    Gehirn. Das erste System arbeitet schnell
  • 25:50 - 25:55
    und intuitiv und automatisch. Also
    Standardhandlungsabläufe. Ihr müsst nicht
  • 25:55 - 26:00
    nachdenken, wenn ihr zuhause aus der Tür
    geht und die Wohnung abschließt. Das
  • 26:00 - 26:04
    passiert einfach. Da werden keine
    Ressourcen des Gehirns drauf verwendet,
  • 26:04 - 26:07
    jetzt nachzudenken: Dreht man den
    Schlüssel rechts-, linksrum – ist das
  • 26:07 - 26:10
    überhaupt der richtige oder so, ne?
    Eigentlich sehr faszinierend. Ich habe
  • 26:10 - 26:13
    einen relativ großen Schlüsselbund und ich
    bin echt fasziniert, wie es meinem Gehirn
  • 26:13 - 26:16
    gelingt, ohne dass ich darüber nachdenke,
    den richtigen Schlüssel einfach aus der
  • 26:16 - 26:22
    Tasche zu ziehen. Das ist System 1. Und
    das ist aktiv, primär bei Angst. Wenn wir
  • 26:22 - 26:27
    also schnell handeln müssen – Fluchtreflex
    und solche Dinge. Oder bei Langeweile,
  • 26:27 - 26:32
    wenn wir wie immer handeln müssen. Und
    genau diese ganzen Phishingszenarien
  • 26:32 - 26:37
    zielen auf eine dieser beiden Sachen ab:
    Entweder uns ganz viel Angst zu machen
  • 26:37 - 26:43
    oder einen Ablauf, den wir antrainiert
    haben und aus Langeweile automatisiert
  • 26:43 - 26:49
    durchführen, auszulösen. Demgegenüber
    steht das System 2: Das ist langsam,
  • 26:49 - 26:55
    analytisch und dominiert von Vernunft. Und
    ja. Die Angreifer nutzen natürlich
  • 26:55 - 27:02
    Situationen, in denen sie auf System 1
    setzen können. Warum ist das ein Problem?
  • 27:02 - 27:07
    Wenn wir Leuten versuchen, zu erklären,
    wie sie sich gegen solche Angriffe
  • 27:07 - 27:11
    schützen sollen – guckt darauf, achtet
    darauf und so weiter –, dann erklären wir
  • 27:11 - 27:16
    das System 2. Und System 2 versteht das
    auch, genau wie ich verstanden habe, dass
  • 27:16 - 27:19
    ich eigentlich nicht auf irgendwelche
    PayPal-Scams klicken soll. Aber wenn ich
  • 27:19 - 27:23
    gelangweilt vorm Computer sitze und
    überlege, wo ich als nächstes hinklicken
  • 27:23 - 27:28
    soll, dann suche ich mir halt den nächsten
    großen Button und klicke da drauf.
  • 27:28 - 27:31
    Organisationspsychologie finde ich das
    eigentlich sehr viel interessanter. Warum
  • 27:31 - 27:37
    kümmert sich eigentlich niemand um dieses
    Problem, ja? Wir begnügen uns damit,
  • 27:37 - 27:42
    unseren IT-Perimeter zu haben, wir bauen
    da eine Schranke drum. Bauen eine Firewall
  • 27:42 - 27:45
    hier und haste noch gesehen, hier noch
    irgendein Snake-Oil und so. Und der
  • 27:45 - 27:49
    technische Angriff ist eigentlich ziemlich
    schwierig, ja? Wenige Menschen können
  • 27:49 - 27:55
    technische Angriffe durchführen. Und unser
    Schutz dagegen ist enorm gut. Wir haben
  • 27:55 - 27:58
    granular definierte Reife. Wir können
    messen: wenn du irgendwie dieses oder
  • 27:58 - 28:01
    jenes Checkmark nicht hast, bist du
    schlecht oder so, ne? Und dann sitzen an
  • 28:01 - 28:06
    dem Computer Administratoren und
    Angestellte und arbeiten mit diesen Daten.
  • 28:06 - 28:09
    Und die schützen wir irgendwie nicht. Wir
    machen uns auch gar keine Gedanken
  • 28:09 - 28:13
    darüber, die mal zu härten oder zu pen-
    testen. Dabei ist der Angriff über Social
  • 28:13 - 28:19
    Engineering viel einfacher und einen
    Schutz haben wir dem aber nicht gegenüber.
  • 28:19 - 28:24
    Und jetzt tritt der ganz normale Prozess
    des Risikomanagements ein. Und der sieht
  • 28:24 - 28:30
    ungefähr so aus: Das Risiko wird
    wahrgenommen, das Risiko wird analysiert
  • 28:30 - 28:34
    und in diesem Fall wird das Risiko dann
    eben ignoriert. Und so sitzen wir jetzt
  • 28:34 - 28:40
    seit 20 Jahren da, uns fliegt ein Makro
    nach dem anderen um die Ohren. Die – wie
  • 28:40 - 28:42
    heißt diese Uni da? War das jetzt
    Göttingen oder Gießen?
  • 28:42 - 28:46
    Rufe aus dem Publikum
    Göttingen kommt auch noch dran, keine
  • 28:46 - 28:52
    Sorge. Und wenn diese Risiken gemanaget
    werden, dann muss man sehen: „Management
  • 28:52 - 28:55
    bedeutet, die Verantwortung zu tragen und
    deshalb alles dafür tun zu müssen, nicht
  • 28:55 - 28:59
    zur Verantwortung gezogen zu werden.“ Und
    eben auch nicht mehr als das zu tun.
  • 28:59 - 29:07
    Applaus
    Das heißt, wir versuchen also die Probleme
  • 29:07 - 29:10
    zu lösen, die wir können und die anderen –
    was kann ich dafür, wenn der Nutzer falsch
  • 29:10 - 29:14
    klickt? Wohin uns das gebracht hat, können
    wir jetzt eben bei den verschiedenen
  • 29:14 - 29:18
    Unternehmen beobachten. Deswegem habe ich
    mir gedacht: OK. Wie kann man dieses
  • 29:18 - 29:23
    Problem denn mal lösen? Welche
    Gegenmaßnahmen sind wie wirksam? Also was
  • 29:23 - 29:28
    funktioniert, um Menschen das abzugewöhnen
    oder die Wahrscheinlichkeit zu verringern,
  • 29:28 - 29:33
    dass sie auf solche Sachen draufklicken?
    Und welche UI-/UX-Faktoren machen weniger
  • 29:33 - 29:37
    verwundbar? Weil es gibt ja quasi immer
    die gleichen Prozesse, die ausgenutzt
  • 29:37 - 29:43
    werden. Und auf der anderen Seite die
    Optimierungsdimensionen. Einmal die
  • 29:43 - 29:48
    Resistenz: Nicht zu klicken. Und dann in
    so einem Unternehmenskontext halt: Du
  • 29:48 - 29:51
    musst es melden. Du musst der IT Bescheid
    sagen, damit die irgendwelche
  • 29:51 - 29:56
    Gegenmaßnahmen ergreifen kann. Ich zeige
    euch jetzt mal die Ergebnisse von 2
  • 29:56 - 30:03
    Beispielstudien, die wir in dem Bereich
    durchgeführt haben. Ich bin sehr bemüht,
  • 30:03 - 30:08
    die so anonymisiert zu haben, also sollte
    hoffentlich nirgendwo mehr erkennbar sein,
  • 30:08 - 30:14
    mit welchem Unternehmen das war. Das erste
    war in Asien. Da haben wir das mit 30.000
  • 30:14 - 30:19
    Personen gemacht. 4 Phishingdurchläufe und
    es gab so ein Lernvideo, in dem das auch
  • 30:19 - 30:23
    noch mal erklärt wurde. Und wir haben
    erfasst, wie oft das dann zum Beispiel der
  • 30:23 - 30:26
    IT gemeldet wurde, dass dieser Angriff
    stattgefunden hat. Und wir haben erfasst,
  • 30:26 - 30:30
    wie oft die Leute auf diese Phsihingnummer
    reingefallen sind. Und was wir dort
  • 30:30 - 30:36
    eigentlich herausfinden wollten war: Es
    ging eigentlich darum, wie wir in diesem
  • 30:36 - 30:39
    Unternehmen regelmäßig die Menschen
    trainieren, dass sie nicht auf solche
  • 30:39 - 30:42
    Sachen draufklicken. Also haben wir uns so
    einen Versuchsplan gebaut und haben
  • 30:42 - 30:45
    gesagt: OK, welche
    Kommunikationsmöglichkeiten haben wir? Ja
  • 30:45 - 30:49
    gut, wir können denen E-Mailer schicken.
    Also Spam vom eigenen Unternehmen. Wir
  • 30:49 - 30:53
    können Poster in den Flur hängen. Wir
    können beides machen, wir können nichts
  • 30:53 - 30:58
    machen. Wir können außerdem den Leuten so
    ein Online-Quiz anbieten und die danach
  • 30:58 - 31:02
    ein Quiz machen lassen. Auch da konnten
    wir den Online-Quiz einmal mit einem Text
  • 31:02 - 31:06
    und einmal mit einem Video – meine
    Hypothese war: das Video bringt es den
  • 31:06 - 31:10
    Leuten wahrscheinlich besser bei. Und dann
    haben wir quasi, weil wir genug Leute
  • 31:10 - 31:14
    hatten, eben das alles quasi vollständig
    permutiert, sodass wir alle Effekte
  • 31:14 - 31:17
    einzeln messen konnten und nachher die
    Gruppen vergleichen konnten. Dann haben
  • 31:17 - 31:20
    wir sie einmal gephisht und in dem
    Phishing gab es dann nachher eine
  • 31:20 - 31:24
    Aufklärung. Also wenn die ihr Passwort
    eingegeben hatten, kam entweder ein Text,
  • 31:24 - 31:29
    der ihnen gesagt hat: Ey, das war jetzt
    gerade schlecht. Oder ein Video, was ihnen
  • 31:29 - 31:32
    erklärt hat: Das war gerade schlecht. Oder
    beides: Text und darunter ein Video oder
  • 31:32 - 31:37
    umgekehrt. Und dann haben wir noch mal ein
    Phishing gemacht. Und jetzt werde ich grün
  • 31:37 - 31:42
    markieren die Dinge, die tatsächlich einen
    Effekt hatten. Alles was vorne stand,
  • 31:42 - 31:46
    E-Mailer, alles was man den Leuten
    erklärt. Alles was System 2 anspricht, hat
  • 31:46 - 31:49
    überhaupt keinen Effekt gehabt. Ihr
    könntet die Leute irgendwelche Quize
  • 31:49 - 31:53
    ausführen lassen und Onlinekurse wie sie
    wollen. Verdienen einige Unternehmen auch
  • 31:53 - 31:58
    gutes Geld mit. Hat aber keinen Effekt.
    Was einen Effekt hatte war: Ob die
  • 31:58 - 32:03
    gephisht wurden oder nicht und es war
    etwas besser, wenn sie ein Video dazu
  • 32:03 - 32:08
    gesehen haben. Und das ist genau deshalb,
    weil: Wenn sie tatsächlich gephisht
  • 32:08 - 32:13
    werden, dann haben sie eine Lernerfahrung,
    wenn System 2 aktiv ist. Ja? Das Video war
  • 32:13 - 32:17
    so ein rotes Blinken: Achtung, Gefahr, du
    hast etwas falsch gemacht. Ich will noch
  • 32:17 - 32:22
    kurz zu dem Ergebnis kommen bei der ersten
    Erfassung: Wir haben zunächst eine
  • 32:22 - 32:30
    Erfolgsrate von 35% gehabt. 55% haben die
    E-Mails ignoriert und 10% haben auf der
  • 32:30 - 32:34
    Phishingseite abgebrochen. Also sie haben
    vielleicht noch mal irgendwie; sind noch
  • 32:34 - 32:39
    mal zur Besinnung gekommen oder so. Und
    mein damaliger Kollege meinte: Ey, das
  • 32:39 - 32:43
    kann irgendwie gar nicht sein. So, da muss
    viel mehr gehen. So schlau sind die doch
  • 32:43 - 32:48
    nicht, ne? Gucken wir mal, ob die die
    E-Mails überhaupt geöffnet haben. Also
  • 32:48 - 32:51
    gelsen haben. Wir hatten nämlich ein
    kleines Zählpixelchen in der E-Mail und
  • 32:51 - 32:55
    ich konnte quasi feststellen, ob die die
    E-Mail überhaupt geöffnet haben. Wenn wir
  • 32:55 - 32:58
    die Zahl korrigiert haben und diejenigen
    rausgenommen haben, die die E-Mail nie zu
  • 32:58 - 33:02
    Gesicht bekommen haben, war die
    Erfolgswahrscheinlichkeit 55%.
  • 33:02 - 33:05
    Raunen und kurzer Applaus
    Wir hatten dann noch ein weiteres Problem
  • 33:05 - 33:11
    an der Backe. Weil, wir hatten jetzt an
    30.000 Leute eine E-Mail geschrieben und
  • 33:11 - 33:14
    als Absender angegeben, wir wären der IT-
    Support.
  • 33:14 - 33:20
    Gelächter
    Es gibt darauf verschiedene Reaktionen.
  • 33:20 - 33:23
    Erstmal haben wir relativ viele E-Mails
    bekommen, wo die Leute sagten: Ich will ja
  • 33:23 - 33:26
    mein Passwort ändern, aber da kommt immer
    dieses Video!
  • 33:26 - 33:35
    Gelächter
    Applaus
  • 33:35 - 33:41
    Und dann hatten wir Leute, die noch Monate
    später der unsäglichen Praxis nachhingen,
  • 33:41 - 33:45
    wenn sie jemandem eine E-Mail schreiben
    wollen, dass sie einfach suchen, wann sie
  • 33:45 - 33:48
    das letzte mal von dem eine E-Mail
    bekommen haben und auf den Thread
  • 33:48 - 33:51
    antworten. Das heißt, wir waren das
    nächste halbe Jahr damit beschäftigt, IT-
  • 33:51 - 33:55
    Support zu machen.
    Gelächter
  • 33:55 - 34:00
    Applaus
    OK, Ergebnis zusammengefasst: Diese ganzen
  • 34:00 - 34:05
    Awarenessmaßnahmen hatten keinen praktisch
    relevanten Effekt. Die Selbsterfahrung
  • 34:05 - 34:09
    hatte einen starken Lerneffekt. Und der
    ging teilweise sogar über das Erwartbare
  • 34:09 - 34:15
    hinaus. Leider aber sind die Lerneffekte
    sehr spezifisch. Das heißt, die Leute
  • 34:15 - 34:19
    lernen, wenn eine Passwort-Reset-E-Mail
    kommt, darf ich da nicht draufklicken.
  • 34:19 - 34:22
    Wenn du denen aber danach schickst: Gib
    mal deine Kreditkartennummer an, sagen
  • 34:22 - 34:26
    die: Na klar. Gar kein Problem!
    Gelächter
  • 34:26 - 34:30
    Und auch das Szenario, ja? Wir haben da
    nachher noch andere Social-Engineering-
  • 34:30 - 34:34
    Maßnahmen gemacht und es gab jetzt keine
    abfärbenden Effekt von – Du hast mit denen
  • 34:34 - 34:39
    Phishing bis zum Erbrechen geübt –, dass
    die jetzt irgendwie bei USB-Sticks
  • 34:39 - 34:45
    irgendwie vorsichtiger wären oder so. Das
    heißt, das ist relativ unschön. Außerdem
  • 34:45 - 34:48
    sind die Effekte nicht stabil. Das heißt,
    du hast einen Lerneffekt so in den ersten
  • 34:48 - 34:54
    3 Monaten und dann nimmt der wieder ab.
    Das heißt: Nach einiger Zeit, wenn du das
  • 34:54 - 34:58
    nach einem Jahr wieder machst, hast du
    genau wieder deine 33-55%, die du vorher
  • 34:58 - 35:02
    hattest. Also wir können dieses Problem
    irgendwie versuchen, niedrig zu halten,
  • 35:02 - 35:10
    aber auf diesem Weg nicht aus der Welt
    schaffen. So dachte ich. Bis ich dann
  • 35:10 - 35:14
    meine 2. Beispielstudie gemacht habe, die
    ich euch hier vorstellen möchte. Die war
  • 35:14 - 35:19
    international in mehreren Sprachen –
    Englisch, Deutsch, Spanisch und 2 weiteren
  • 35:19 - 35:24
    Sprachen –, 2000 Zielpersonen, 4
    Durchläufe, Video war ein bisschen länger.
  • 35:24 - 35:30
    Und das erste Ergebnis war; Ich habe
    erfasst, quasi, wenn die Leute gemeldet
  • 35:30 - 35:35
    haben und die IT dann reagiert hätte, wie
    viele erfolgreiche Angriffe danach hätten
  • 35:35 - 35:40
    verhindert werden können. Und das
    interessante ist, dass bei den meisten
  • 35:40 - 35:44
    Standorten fast über 3/4 der weiteren
    Angriffe, die danach noch passiert sind,
  • 35:44 - 35:48
    hätten verhindert werden können durch eine
    schnelle Meldung. Das heißt, es ist gut
  • 35:48 - 35:53
    für eine IT, ihre Leute zu ermutigen, sich
    bei ihr zu melden und irgendwie Bescheid
  • 35:53 - 36:00
    zu geben. Das andere Ergebnis bei diesen
    Leuten war: Beim ersten Durchlauf hatten
  • 36:00 - 36:06
    die eine Phishingerfolgsrate von 10%. Und
    ich war etwas ungläubig und habe mich
  • 36:06 - 36:10
    gefragt: Wie kann das denn sein? Ich hatte
    auch vorher eine bisschen große Fresse
  • 36:10 - 36:15
    gehabt. Und jetzt habe ich gesagt: 30%
    mache ich euch locker, gar kein Thema! Und
  • 36:15 - 36:20
    dann sind’s jetzt irgendwie 10% da. Und
    die sagten dann halt auch irgendwie: „Ja,
  • 36:20 - 36:25
    wolltest du nicht mehr?“ Tja, was haben
    die gemacht? Die hatten 2 Dinge anders als
  • 36:25 - 36:30
    viele andere Unternehmen. Erstens: Die
    hatten ihre E-Mails mit so einem kleinen
  • 36:30 - 36:35
    Hinweis versehen, der in den Subject
    reingeschrieben wurde bei eingehenden
  • 36:35 - 36:41
    E-Mails, dass die E-Mails von extern
    kommt. Und das andere, was in diesem
  • 36:41 - 36:46
    Unternehmen anders war, ist: Die haben
    ihren Passwortwechsel nicht über das Web
  • 36:46 - 36:49
    abgeildet. Das heißt: Die Situation, in
    die ich die Menschen da gebracht habe –
  • 36:49 - 36:53
    Ey, hier ist eine Webseite, gib mal dein
    Passwort ein –, die waren die nicht
  • 36:53 - 36:57
    gewöhnt. Und deswegen sind die aus dem
    Tritt gekommen, haben auf einmal mit ihrem
  • 36:57 - 37:02
    System 2 arbeiten müssen und haben den
    Fehler nicht gemacht. Wenn wir uns die
  • 37:02 - 37:07
    Ergebnisse weiter anschauen; ich hatte ja
    gesagt, es waren 4 Durchläufe. Der 2. und
  • 37:07 - 37:11
    der 4. Durchlauf waren jeweils nur mit
    denen, die in dem davorgegangenen
  • 37:11 - 37:16
    Durchlauf quasi gephisht wurden. Das
    heißt, wir haben denen noch mal so eine
  • 37:16 - 37:20
    Härteauffrischung gegeben. Man sieht auch,
    da gibt’s einige sehr renitente Phish-
  • 37:20 - 37:28
    Klicker. Wir haben dann mal unter
    kompletter Missachtung sämtlicher
  • 37:28 - 37:32
    datenschutzrechtlichen Vereinbarungen
    geguckt, wer das war. Und das waren die
  • 37:32 - 37:37
    Funktionsaccounts. Also einfach die, wo
    das Passwort eh, wo es quasi zum Job
  • 37:37 - 37:42
    gehört, mit einem Post-It das neue
    Passwort an den Bildschirm zu kleben. Das
  • 37:42 - 37:46
    interessante ist: Wenn wir uns dieses
    Ergebnis anschauen, also vom 1. zum 2.
  • 37:46 - 37:52
    Durchlauf und so weiter, haben wir
    insgesamt einen Rückgang um 33% erzielt.
  • 37:52 - 37:59
    Ähh, Tschuldigung, ist falsch! Um 66%, ich
    Idiot! 66%. 33% blieben über. Also ein
  • 37:59 - 38:05
    Rückgang auf 33%. Das ist eigentlich enorm
    gut! In der Psychologie glaubt mir das
  • 38:05 - 38:08
    eigentlich kaum jemand, wenn man sagt, ich
    habe eine Intervention; nach einmaliger
  • 38:08 - 38:14
    Intervention Verhaltensänderung bei 2/3
    der Leute. Wenn wir uns das für die
  • 38:14 - 38:17
    Sicherheit unseres Unternehmens anschauen
    oder unserer Organisation, ist das ein
  • 38:17 - 38:22
    riesiges Desaster, weil die 33% sind ja
    immer noch ein riesiges Problem für uns.
  • 38:22 - 38:25
    Aber, Zusammenfassung: Durch diesen
    lokalen Passwortwechsel und den Hinweis
  • 38:25 - 38:29
    „External“ sind die Leute in ungewohnte
    Situationen gekommen und die
  • 38:29 - 38:34
    Wahrscheinlichkeit, dass sie darauf
    reinfallen, geht runter.
  • 38:34 - 38:41
    Applaus
    So, also was haben wir bis jetzt gelernt?
  • 38:41 - 38:45
    Das theoretische Lernen ist ohne Effekt.
    Es zählt die Erfahrung aus erster Hand. Es
  • 38:45 - 38:48
    gibt abstrakte Verteidigungskonzepte, die
    verstehen die Leute nun mal einfach nicht.
  • 38:48 - 38:52
    Bisher ist alles, was wir dafür haben,
    eine anschauliche Didaktik. Die
  • 38:52 - 38:54
    Lerneffekte nehmen mit der Zeit ab,
    deswegen muss man das regelmäßig
  • 38:54 - 38:57
    wiederholen. Die Lerneffekte werden nicht
    generalisiert, also müssen wir die
  • 38:57 - 39:03
    Angriffsszenarien variieren. Und wenn die
    Leute das nicht melden, haben wir ein
  • 39:03 - 39:06
    Problem, deswegen müssen wir sie außerdem
    ermutigen und belohnen, wenn sie bei der
  • 39:06 - 39:11
    IT anrufen. Für die meisten Organisationen
    auch eine völlig absurde Idee, wenn jemand
  • 39:11 - 39:14
    bei ihnen anruft, auch noch nett zu denen
    zu sein.
  • 39:14 - 39:19
    Kurzes Lachen
    Hat aber durchaus Effekt. So. Wenn wir uns
  • 39:19 - 39:22
    jetzt aber mal diese Situation anschauen,
    dann ist doch eigentlich unser Ziel zu
  • 39:22 - 39:26
    sagen: OK, dann müssen wir Situationen
    unserer IT-Systeme so bauen, dass sie dafür
  • 39:26 - 39:30
    nicht anfällig sind, dass wir irgendwelche
    automatisierten Prozesse lernen, die
  • 39:30 - 39:35
    Sicherheitsprozesse sind. Also vielleicht
    sollte das User Interface nicht so sein
  • 39:35 - 39:45
    wie diese frische Installationen von macOS
    Catalina. Sondern anders. Denn: Wir können
  • 39:45 - 39:49
    uns nicht auf System 2 verlassen, aber die
    meisten Schutzmaßnahmen tun genau das.
  • 39:49 - 39:52
    Also Microsoft Word erklärt einem
    irgendwas und sagt dann: „Ja, ist doch
  • 39:52 - 39:54
    dein Problem, wenn du nicht verstehst,
    wovon wir hier reden. Den Rest, der hier
  • 39:54 - 39:57
    passiert, um dich herum an diesem
    Computer, verstehst du auch nicht. Hier
  • 39:57 - 40:00
    hast du einen Knopf, drück drauf!“
    Kurzes Gelächter
  • 40:00 - 40:03
    Ne? So können wir nicht 20 Jahre agieren
    und sagen, wir kriegen das Problem nicht
  • 40:03 - 40:07
    in den Griff. Es gibt eine Möglichkeit
    übrigens, dieses Problem mit Microsoft
  • 40:07 - 40:11
    Word in den Griff zu kriegen und das ist:
    Makros zu deaktivieren. Dann kommt der
  • 40:11 - 40:17
    Geschäftsbetrieb zum Erliegen. Oder Makros
    zu signieren. Ganz einfaches Code-Signing
  • 40:17 - 40:22
    auf Makros geht, kann man per AD-
    Gruppenrichtlinie ausrollen. Ich habe mal
  • 40:22 - 40:27
    mit einem IT-Sicherheitsbeauftragten eines
    etwas größeren Unternehmen gesprochen. Das
  • 40:27 - 40:30
    war eines der wenigen Unternehmen, die das
    jemals gemacht haben. Also die ich kenne,
  • 40:30 - 40:34
    die das jemals gemacht haben. Der meinte
    so: „Ja, okay, hat ein Jahr gedauert. Ich
  • 40:34 - 40:37
    habe jetzt weiße Haare und eine
    Halbglatze. Aber ich bin froh, dass ich
  • 40:37 - 40:42
    das Problem jetzt endlich aus der Welt
    habe!“ Und das ist der einzige Mensch, der
  • 40:42 - 40:47
    das geschafft hat. In seinem Unternehmen
    verhasst, ja? Aber er ist eigentlich ein
  • 40:47 - 40:57
    Held! Dem Mann muss man echt danken!
    Johlen; Applaus
  • 40:57 - 41:00
    Und was wir also machen müssen ist: Wir
    müssen unser System 1 sichern. Intuitive
  • 41:00 - 41:05
    Handlungen müssen als Teil der
    Sicherheitsmechanismen antizipiert werden.
  • 41:05 - 41:07
    Also wir dürfen den Nutzern nicht
    angewöhnen, Passwörter in irgendwelche
  • 41:07 - 41:11
    Browserfenster zu tippen. Wir dürfen
    Sicherheitsprozesse nicht per Mail oder
  • 41:11 - 41:15
    per Browser abbilden. Und wir können uns
    auch mal überlegen, ob wir die freie Wahl
  • 41:15 - 41:18
    von Passwörtern vielleicht einfach
    unterbinden, damit nicht überall
  • 41:18 - 41:25
    passwort123 gesetzt wird. Es wird langsam
    besser. So, man kann Makros signieren und
  • 41:25 - 41:30
    deaktivieren. Man kann Software langsam
    einschränken auf aus vertrauenswürdigen
  • 41:30 - 41:33
    Quellen, also aus den App Stores. Ich
    weiß, da gibt es dann wieder andere
  • 41:33 - 41:38
    politische Probleme. Aber aus einer reinen
    Sicherheitsperspektive ist das gut, wenn
  • 41:38 - 41:43
    Leute nicht irgendwelche runtergeladenen
    EXEn aus dem Internet irgendwie anklicken
  • 41:43 - 41:48
    und irgendwelche Makros ausführen. Und mit
    Fido2 und hardwarebasierten
  • 41:48 - 41:53
    Authentisierungsmechanismen wird es
    langsam besser. 2-Faktor-Authentisierung
  • 41:53 - 41:58
    hat einen großen Vormarsch. Also, die Welt
    ist nicht ganz so schlecht wie wir es
  • 41:58 - 42:02
    glauben, aber ich würde mir sehr wünschen,
    dass wir mit unseren
  • 42:02 - 42:10
    Sicherheitsmechanismen einfach viel mehr
    auf die Intuititivät setzen, denn wenn wir
  • 42:10 - 42:13
    uns mal irgendwie anschauen, wie diese
    Browserwarnungen, irgendwie „Achtung, mit
  • 42:13 - 42:17
    dem Zertifikat stimmt was nicht“, ungefähr
    so, die hat glaube ich, bis sie dann
  • 42:17 - 42:20
    irgendwann weg waren, weil Let’s Encrypt
    gekommen ist und es einfach mal
  • 42:20 - 42:24
    vernünftige Zertifikate gab, die hat auch
    niemand verstanden. Und entsprechend haben
  • 42:24 - 42:29
    wir hier auch quasi ein wunderschönes SSL
    gehabt, was am Ende daran gescheitert ist,
  • 42:29 - 42:32
    dass wir scheiß User Interfaces dafür
    hatten. Inzwischen ist es so, dass Browser
  • 42:32 - 42:38
    die Verbindung einfach nicht herstellen.
    Auch das ist ein Zugewinn! Joa. Ich habe
  • 42:38 - 42:43
    schon überzogen, das war’s. Macht bitte
    eure Backups, wechselt überall eure
  • 42:43 - 42:47
    Passwörter. Ich schicke euch dazu nachher
    noch mal eine E-Mail und vielen Dank.
  • 42:47 - 42:49
    Gelächter
  • 42:49 - 43:01
    Applaus
  • 43:01 - 43:07
    Engel: So. Das war doch in gewohnter
    Manier unterhaltsam. Und ich frage mich,
  • 43:07 - 43:12
    wenn Linus’ Zahnarzt jetzt einen
    Passwortmanager benutzt: Benutzt Linus
  • 43:12 - 43:15
    jetzt zweimal täglich Zahnseide?
    Linus: Ich habe mir gerade noch die Zähne
  • 43:15 - 43:19
    geseilt! Habe ich tatsächlich!
    Engel: Also, macht immer schön eure
  • 43:19 - 43:22
    Backups und benutzt Zahnseide!
  • 43:22 - 43:26
    Abspannmusik
  • 43:26 - 43:48
    Untertitel erstellt von c3subtitles.de
    im Jahr 20??. Mach mit und hilf uns!
Title:
36C3 - Hirne Hacken
Description:

more » « less
Video Language:
German
Duration:
43:48

German subtitles

Revisions Compare revisions