0:00:00.000,0:00:18.580
36C3 Vorspannmusik
0:00:18.580,0:00:21.690
Engel: Guten Morgen, Linus![br]Linus Neumann: Guten Morgen, Sebastian!
0:00:21.690,0:00:28.260
Applaus
0:00:28.260,0:00:32.510
Ja, es freut mich, dass ihr so zahlreich[br]erschienen seid und auf diesen
0:00:32.510,0:00:36.390
reißerischen Titel reingefallen seid! Ich[br]möchte ein bisschen über menschliche
0:00:36.390,0:00:40.210
Faktoren der IT-Sicherheit sprech und habe[br]mich für den Titel „Hirne hacken“
0:00:40.210,0:00:45.980
entschieden. Der Hintergrund ist, dass[br]wenn man irgendwie von Hackern spricht,
0:00:45.980,0:00:49.080
sehr häufig so ein bisschen dieser Nimbus[br]gilt, dass es irgendwie so Halbgötter in
0:00:49.080,0:00:52.399
schwarz sind. Man weiß nicht so genau was[br]die machen, aber die kommen irgendwie da
0:00:52.399,0:00:56.690
rein und diese Hacker, die sind in meinem[br]Gerät drin und ich weiß auch nicht genau,
0:00:56.690,0:01:01.180
was die von mir wollen und wie die das[br]gemacht haben. Und die Realität da draußen
0:01:01.180,0:01:06.229
ist eigentlich sehr anders als die meisten[br]Leute sich das vorstellen. Ich vertrete
0:01:06.229,0:01:12.969
die These, dass eigentlich jedes praktisch[br]relevante Problem der IT-Sicherheit
0:01:12.969,0:01:18.479
theoretisch gelöst wurde. Also wir haben[br]jetzt keine … uns fehlt nicht das Wissen,
0:01:18.479,0:01:23.119
wie wir eine bestimmte Lösung in der IT-[br]Sicherheit machen müssen, aber wir kriegen
0:01:23.119,0:01:26.419
es irgendwie nicht hin. Denn obwohl wir[br]alles theoretisch gelöst haben, ist die
0:01:26.419,0:01:31.780
praktische IT-Sicherheit ein einziges[br]Desaster. Und das liegt wahrscheinlich
0:01:31.780,0:01:36.650
daran, dass wir uns irgendwie so spannende[br]IT-Sicherheitsmechanismen aufbauen und die
0:01:36.650,0:01:40.901
prüfen wir dann. Ne, da sieht man hier so[br]einen schönen Pfahl und der hält jetzt
0:01:40.901,0:01:44.011
irgendwie ein Tier gefangen und wenn man[br]sich das in der Realität anschaut, sieht’s
0:01:44.011,0:01:51.221
eher so aus.[br]unverständliche Sprache des Herrn im Video
0:01:51.221,0:01:55.309
*jemand im Video singt zum Lied „Einzug[br]der Gladiatoren“ einen etwas anderen Text,
0:01:55.309,0:01:59.659
der Circus beinhaltet*[br]Linus: Das ist jetzt ’ne kleine Bedrohung
0:01:59.659,0:02:04.219
und irgendwie stellen wir uns vor, dass[br]das bei den großen Bedrohungen anders
0:02:04.219,0:02:10.560
wäre. Schauen wir uns an: Wir lesen[br]irgendwie überall von Emotet überall.
0:02:10.560,0:02:15.160
Hacker komprimitieren Computer,[br]verschlüsseln alle Dateien, fordern dann
0:02:15.160,0:02:19.840
hohes Lösegeld und Heise haben sehr viel[br]darüber berichtet, bis es sie dann selber
0:02:19.840,0:02:25.000
erwischt hat. Das heißt, auch die, die es[br]wirklich wissen und wissen müssen und
0:02:25.000,0:02:28.350
können müssten, sind irgendwie nicht davor[br]gefeit und das finde ich eigentlich
0:02:28.350,0:02:31.340
ziemlich interessant. Und wenn wir uns mal[br]anschauen, was in der IT-
0:02:31.340,0:02:35.530
Sicherheitsforschung abgeht, auch hier auf[br]dem Kongress, deswegen habe ich den
0:02:35.530,0:02:39.370
Vortrag auch hier eingereicht, so die[br]Forschung muss immer echt Avantgarde sein.
0:02:39.370,0:02:43.280
Das ist irgendwie großen Applaus und[br]Voodoo, und hier noch ein Exploit und
0:02:43.280,0:02:48.070
haste alles nicht gesehen und Remote Code[br]Execution, während die Realität
0:02:48.070,0:02:52.600
demgegenüber, also so wie jetzt[br]tatsächliches Cyber da draußen geht, ist
0:02:52.600,0:02:58.341
ungefähr eher so. Bin ich schon drin oder[br]was? Das heißt, wir leben eigentlich, weil
0:02:58.341,0:03:02.000
wir das auch als Nerds und Hacker[br]irgendwie interessant finden, in irgendwie
0:03:02.000,0:03:07.780
dieser Welt, während das was da draußen[br]wirklich an Kriminalität stattfindet, eher
0:03:07.780,0:03:15.160
so Hütchenspiel ist. Und dieses[br]Hütchenspielproblem lösen wir aber nicht.
0:03:15.160,0:03:18.730
Und ich glaube, dass das sehr unsinnig[br]ist, sehr schlecht ist, dass wir uns um
0:03:18.730,0:03:22.370
die Problemfelder, die eigentlich ganz[br]prävalent sind, die überall beobachtet
0:03:22.370,0:03:26.870
werden – selbst im Heise-Verlag –, dass[br]wir uns um die eigentlich nicht kümmern.
0:03:26.870,0:03:31.230
Und da machen wir eigentlich seit Jahren[br]keinen Fortschritt. Ich möchte ein
0:03:31.230,0:03:34.410
bisschen über einfache Scams reden, ein[br]bisschen über Passwortprobleme, ein
0:03:34.410,0:03:40.970
bisschen über Schadsoftware. Ein Scam, der[br]uns auch im CCC sehr amüsiert hat, ist der
0:03:40.970,0:03:45.820
Scam, der Chaos-Hacking-Gruppe. Die Chaos-[br]Hacking-Gruppe verschickt E-Mails und sagt
0:03:45.820,0:03:49.700
den Leuten: Ja, also ich hab irgendwie[br]dein System mit einem Trojaner infiziert
0:03:49.700,0:03:56.140
und wir sind uns Ihrer intimen Abenteuer[br]im Internet bewusst. Wir wissen, dass Sie
0:03:56.140,0:04:00.750
Websites für Erwachsene lieben und wir[br]wissen über Ihre Sexsucht Bescheid. Und
0:04:00.750,0:04:04.710
versuchen dann von den Leuten irgendwie[br]Geld zu erpressen. Geben Bitcoin-Wallet an
0:04:04.710,0:04:09.340
und, ja, versuchen halt irgendwie, die[br]Leute zu erpressen. Interessanterweise
0:04:09.340,0:04:13.360
gibt es Leute, die sich dann darüber echt[br]Gedanken machen. Die bestreiten aber
0:04:13.360,0:04:18.500
immer, dass das … Also das kann eigentlich[br]sein, was die da sagen, ne? Wer geübt ist
0:04:18.500,0:04:22.100
im Erpressen weiß natürlich: Solang die[br]kein Beweismittel liefern, zahlen wir
0:04:22.100,0:04:27.930
erstmal nicht. Wenn die Leute dann aber so[br]mit dieser Art und Weise versucht werden,
0:04:27.930,0:04:33.330
betrogen zu werden und das googlen, dann[br]kommen sie direkt an den Nächsten. Wenn
0:04:33.330,0:04:36.830
man jetzt die Chaos-CC-Gruppe googelt,[br]dann wird einem auf irgendwelchen
0:04:36.830,0:04:40.410
Webseiten klargemacht, dass es sich um[br]einen Trojaner handeln würde und man jetzt
0:04:40.410,0:04:47.180
irgendsoeine nächste Schadsoftware[br]runterladen soll. Also quasi wie man
0:04:47.180,0:04:52.470
diesen Schaden wieder entfernt. Das heißt,[br]die Leute kommen hier echt vom Regen in
0:04:52.470,0:04:57.120
die Traufe: Haha, ich wusste, du willst[br]gerne verarscht werden; hier habe ich noch
0:04:57.120,0:05:03.540
ein bisschen Snake-Oil für dich. Das[br]heißt, die Welt da draußen, für unsere
0:05:03.540,0:05:07.220
ungeübten Nutzerinnen und Nutzer ist[br]relativ gefährlich. Schauen wir uns mal
0:05:07.220,0:05:11.900
an, wie das bei den Geübten aussieht: Die[br]Linux-Kernelmailingliste ist vielleicht
0:05:11.900,0:05:16.950
einigen von euch ein Begriff. Da ist auch[br]vor kurzem mal so eine E-Mail eingegangen.
0:05:16.950,0:05:22.570
Am 31. Oktober 2018, ist schon etwas her.[br]Da wurde sogar das Passwort angegeben, ja,
0:05:22.570,0:05:25.090
das ist also so das nächste Level von[br]diesem Scam: Du schreibst einfach
0:05:25.090,0:05:28.400
irgendsoeinen Passwort-Leak noch mit rein,[br]die Leute kriegen dann Herzrasen, weil ihr
0:05:28.400,0:05:35.350
Passwort in der E-Mail steht und auch hier[br]wollte jemand eben Bitcoins haben, unter
0:05:35.350,0:05:38.810
anderem von den Linux-Kernel-Entwicklern.[br]Bitcoin ist ja ganz schön: Man kann ja in
0:05:38.810,0:05:42.180
die Blockchain schauen und sehen, wieviel[br]die Linux-Kernel-Entwickler da so bezahlt
0:05:42.180,0:05:47.970
haben. In dem Wallet befinden sich 2,98[br]Bitcoin. Das sind vor ein paar Tagen noch
0:05:47.970,0:05:51.410
ungefähr 19000€ gewesen, also soll noch[br]mal einer sagen, mit Linux könnte man
0:05:51.410,0:05:54.480
keinen Profit machen.[br]Gelächter
0:05:54.480,0:06:01.401
Applaus[br]Die E-Mail ging natürlich auch noch an
0:06:01.401,0:06:05.520
sehr viele weitere außer der Linux-[br]Kernelliste, aber ich denke, man sieht
0:06:05.520,0:06:08.500
hier, man fragt sich eigentlich: Warum[br]machen wir eigentlich den Quatsch, den wir
0:06:08.500,0:06:11.120
machen, wenn wir so einfach uns Geld[br]überweisen lassen können mit ein paar
0:06:11.120,0:06:17.140
Spam-Mails?! Geht aber noch weiter: Geld[br]überweisen, Klassiker. Der CEO-Fraud.
0:06:17.140,0:06:22.310
Großes Team auch – ist eines der großen[br]Szenarien, dem irgendwie mittelständische
0:06:22.310,0:06:26.240
Unternehmen, größere Unternehmen[br]ausgesetzt sind. Kriegst eine E-Mail, wo
0:06:26.240,0:06:30.340
dann irgendwie geagt wird: Ey, wir müssen[br]jetzt mal hier die Rechnung bezahlen. Wir
0:06:30.340,0:06:33.940
müssen das heute erledigen. Meistens sind[br]das dann, also in der einen Schiene sind
0:06:33.940,0:06:37.020
das dann eher so geringe Beträge, die[br]jetzt vielleicht auch einfach mal
0:06:37.020,0:06:42.889
durchgehen. Geht aber natürlich auch in[br]einer Nummer schärfer. Alles schon
0:06:42.889,0:06:49.050
tatsächlich sehr häufig passiert, dass[br]also so eine Geschichte gemacht wird: Ja,
0:06:49.050,0:06:53.040
der große Deal mit den Chinesen steht[br]irgendwie kurz bevor und du darfst jetzt
0:06:53.040,0:06:57.150
mit niemandem darüber sprechen, aber du[br]musst jetzt mal ganz kurz 2 Mio. auf die
0:06:57.150,0:07:01.260
Seychellen überweisen. Und dann machen die[br]Leute das und diese E-Mails arbeiten
0:07:01.260,0:07:05.650
einfach so ein bisschen mit Autorität,[br]Vertrauen, Eile und Druck und leiten
0:07:05.650,0:07:11.949
Menschen an, dann das zu tun, was sie[br]eigentlich nicht tun sollten. Das ist auf
0:07:11.949,0:07:15.250
Anhieb erstmal vielleicht halbwegs witzig,[br]wenn man aber mal mit so einem Menschen
0:07:15.250,0:07:19.240
spricht, dem das passiert ist, die haben[br]danach echt schwere Krisen, weil sie
0:07:19.240,0:07:22.470
natürlich wissen, dass das nicht besonders[br]klug war und auch recht schädlich für das
0:07:22.470,0:07:28.200
Unternehmen und das ist eigentlich dann[br]gar nicht mehr so unterhaltsam. Kommen wir
0:07:28.200,0:07:34.740
zurück zu unterhaltsamen Sachen: Der[br]Authentisierung. Eine Sache, die vielen
0:07:34.740,0:07:38.680
Menschen Probleme bereitet, ist ihr[br]Passwort und das Problem ist, dass sie
0:07:38.680,0:07:43.340
eben auch nur eines haben und dieses sich[br]dann in solchen Sammlungen wie Collection
0:07:43.340,0:07:48.830
#1-#5 befindet, die ihr natürlich auch –[br]wir alle haben die ja immer dabei und
0:07:48.830,0:07:55.410
können dort die Passwört nachschlagen, zum[br]Beispiel: 23bonobo42, Tim Pritlove; weiß
0:07:55.410,0:08:03.490
jeder. Das schöne ist an diesen Listen:[br]Auch wir, die Ahnung davon haben sollten,
0:08:03.490,0:08:06.910
sind da drin. Wenn man meine E-Mail-[br]Adresse bei haveibeenpwned eingibt – einer
0:08:06.910,0:08:11.130
Webseite, wo man checken kann, ob eine[br]E-Mail-Adresse in Leaks vorhanden ist,
0:08:11.130,0:08:15.990
findet man das auch bei mir. So. Kommen[br]später dazu, wie das vielleicht passiert
0:08:15.990,0:08:22.470
sein könnte. Die Sache, die mich daran so[br]ärgert, ist dass wir eigentlich seit es
0:08:22.470,0:08:26.080
Computer gibt, dieses Passwortproblem nie[br]so richtig angegangen sind. Wir sagen den
0:08:26.080,0:08:30.009
Leuten eigentlich: OK, dein Passwort darf[br]nicht zu erraten sein, am besten zufällig,
0:08:30.009,0:08:33.950
ohne jegliches System. Es soll so lang wie[br]möglich sein, am besten nicht nur ein
0:08:33.950,0:08:40.089
Wort. Und es muss überall unterschiedlich[br]sein. Und kein Mensch tut das. Ja, wenn
0:08:40.089,0:08:44.250
man irgendwie … war letztens beim[br]Zahnarzt. Wenn man mit dem redet, der sagt
0:08:44.250,0:08:47.389
einem auch jedes mal: Ja, du musst aber[br]morgens, mittags, abends Zahnseide, haste
0:08:47.389,0:08:51.390
nicht gesehen. Jaja, genau, mach du[br]erstmal überall andere Passwört und dann
0:08:51.390,0:08:55.214
können wir weiterreden, ne?[br]Gelächter
0:08:55.214,0:09:02.710
Applaus[br]Und ja, das habe ich gemacht so irgendwann
0:09:02.710,0:09:06.080
habe ich das vor ein paar Jahren auch[br]tatsächlich getan. Ich benutze jetzt einen
0:09:06.080,0:09:09.840
Passwortmanager. Wissen wir alle, dass das[br]klug und gut ist. Aber ich renne
0:09:09.840,0:09:12.550
eigentlich seit vielen Jahren um die Welt,[br]erkläre den Leuten von diesen
0:09:12.550,0:09:15.960
Passwortmanagern. Und die Reaktion ist[br]immer die gleiche: The fuck?! So … Das
0:09:15.960,0:09:20.420
will ich nicht haben. Ja, und wir haben[br]einfach in dieser Welt nie mehr
0:09:20.420,0:09:23.800
hingekriegt als den Leuten zu sagen:[br]Benutzt doch einen Passwortmanager. Und
0:09:23.800,0:09:27.499
dann fragen sie immer: Welchen? Und dann[br]sage ich immer: Ich empfehle keinen.
0:09:27.499,0:09:32.200
Gelächter[br]Frage ist: Wie kommen die Leute eigentlich
0:09:32.200,0:09:36.360
an diese ganzen Passwörter? Klar: Die[br]machen entweder irgendwelche Services auf
0:09:36.360,0:09:39.230
und holen die Passwört dann aus den[br]Datenbanken, wo sie nicht gehasht und
0:09:39.230,0:09:42.560
gesalted gespeichert wurden, oder sie[br]schicken einfach mal eine E-Mail und
0:09:42.560,0:09:48.720
fragen nach dem Passwort. Hier ein schönes[br]Beispiel, das ich deshalb ausgewählt habe,
0:09:48.720,0:09:53.310
weil ich darauf reingefallen bin.[br]Applaus
0:09:53.310,0:10:02.700
Aaaaah. PayPal möchte mir in einer[br]wichtigen Nachricht mitteilen, dass „unser
0:10:02.700,0:10:06.760
System einen nicht authorisierten Zugriff[br]auf Ihr PayPal-Konto festgestellt hat. Um
0:10:06.760,0:10:09.580
Ihre Sicherheit weiterhin vollständig[br]gewährleisten zu können, klicken Sie bitte
0:10:09.580,0:10:14.890
auf diesen Knopf.“, ja? Und das schöne an[br]solchen Dingern ist immer: Es gibt in der
0:10:14.890,0:10:18.600
Regel nur einen Knopf. Und das sollte[br]einen eigentlich stutzig machen. Genauso
0:10:18.600,0:10:22.480
hätte mich stutzig machen sollen, dass da[br]oben erstmal nicht PayPal in der
0:10:22.480,0:10:28.910
Adresszeile steht, aber ich war irgendwie[br]müde und habe irgendwie da drauf geklickt
0:10:28.910,0:10:32.100
und jetzt kommt, was mir dann doch noch[br]den Allerwertesten gerettet hat: Mein
0:10:32.100,0:10:37.409
Passwortmanager konnte mir kein Passwort[br]für diese Seite anbieten.
0:10:37.409,0:10:44.820
Applaus[br]So. Ich hab jetzt extra rausgenommen,
0:10:44.820,0:10:47.850
welcher Passwortmanager das ist.[br]Diejenigen, die ihn trotzdem erkennen:
0:10:47.850,0:10:51.990
Nicht denken, dass ich ihn lobe, weil:[br]Dieser Passwortmanager hat vor kurzem ein
0:10:51.990,0:10:55.750
Update erfahren und wenn ich das gleiche[br]Spielchen heute mache, dann sagt der: Ich
0:10:55.750,0:10:59.760
kenne die Seite nicht, aber vielleicht[br]willst du deine Kreditkarte oder deine
0:10:59.760,0:11:05.760
Adresse eingeben? Herzlichen Dank … So,[br]auf den Passwortmanager kann ich gerne
0:11:05.760,0:11:09.510
verzichten. Wenn man sich so[br]Phishingseiten anschaut; ich mein, ist
0:11:09.510,0:11:13.190
jetzt gar kein Hexenwerk. Man nimmt[br]einfach irgendeine Website, kopiert die
0:11:13.190,0:11:16.350
auf einen anderen Server und programmiert[br]sich dahinter ein kleines Backend, was
0:11:16.350,0:11:20.459
alle Requests entgegennimmt, die man da so[br]hinschickt. Hier habe ich letztens mal
0:11:20.459,0:11:28.000
eine sehr schöne bekommen: Das war der[br]Gmail Webmail Login. Aber die haben, ich
0:11:28.000,0:11:34.250
fand das eigentlich ganz elegant, was sie[br]gemacht haben: Die haben quasi die Domain
0:11:34.250,0:11:39.800
der E-Mail-Adresse noch als GET-Request[br]mitgesendet und dann in ihrem Quelltext
0:11:39.800,0:11:45.090
einfach das Favicon zu der Domain auf[br]Google gesucht und dort eingeblendet. Das
0:11:45.090,0:11:47.490
heißt, wenn ihr da eine andere Domain[br]angebt, dann steht da immer ein anderes
0:11:47.490,0:11:53.120
Logo, um einfach so diese Seite ein[br]bisschen naheliegender zu machen. Wenn wir
0:11:53.120,0:11:56.201
uns das anschauen, die[br]Erfolgswahrscheinlichkeit, die solche
0:11:56.201,0:12:01.510
Massenmails haben, ist enorm gering. Ja?[br]Die ist winzig klein. Diese Mails werden
0:12:01.510,0:12:07.170
millionenfach versendet, an ganz viele[br]Empfängerinnen und Empfänger und wenn man
0:12:07.170,0:12:11.660
aber dann auch so viele Mails versendet[br]und in so vielen Spamfiltern hängenbleibt,
0:12:11.660,0:12:15.270
dann findet man immer noch mal einen, der[br]dann doch noch ein Passwort da einträgt
0:12:15.270,0:12:18.920
und schon haben wir eine schöne[br]Geschichte. Das ist hier jetzt irgendwie
0:12:18.920,0:12:24.349
so ein Massenmailding. Ich mein, ihr müsst[br]nur mal in euren Spamfolder reinschauen,
0:12:24.349,0:12:28.890
da werdet ihr diese E-Mails finden. Blöd[br]ist halt, wenn da mal irgendwann nicht im
0:12:28.890,0:12:33.760
Spam landen. Wir haben da jetzt so ein[br]bisschen über massenhafte Angriffe
0:12:33.760,0:12:40.280
gesprochen. Die zielen halt auf die besten[br]von uns ab. Wenn wir das ganze aber mal
0:12:40.280,0:12:44.980
gezielt machen, spricht man nicht mehr vom[br]Phishing, sondern vom Spearphishing. Und
0:12:44.980,0:12:49.620
beim Spearphishing sendet man nicht[br]Millionen E-Mails, sondern man sendet
0:12:49.620,0:12:54.110
eine. Und zwar genau an die Person, von[br]der man das Passwort haben möchte. Und man
0:12:54.110,0:13:00.970
macht eine Geschichte, die genau zu dieser[br]Person auch passt. Also häufig mache ich
0:13:00.970,0:13:05.740
das ganz gerne so mit Passwortreset-Mails,[br]ja? Also gibt’s in vielen Unternehmen.
0:13:05.740,0:13:10.019
Sehr kluge Idee: Alle Mitarbeiter müssen[br]alle 3 Monate die Zahl am Ende ihres
0:13:10.019,0:13:13.930
Passworts um 1 inkrementieren.[br]Gelächter
0:13:13.930,0:13:23.529
Applaus[br]Und den E-Mail-Login von den meisten
0:13:23.529,0:13:26.850
Unternehmen muss man auch nicht besonders[br]fälschen, den habe ich schon einmal
0:13:26.850,0:13:32.480
fertig. So, wenn man solche Sachen macht,[br]also Spearphishing, haben wir eher so eine
0:13:32.480,0:13:36.490
Wahrscheinlichkeit von 30%, dass die[br]Zielperson auf die Seite geht, ihr
0:13:36.490,0:13:40.690
Passwort eingibt. Wenn ich das mit 3[br]Personen mache, habe ich einen Business
0:13:40.690,0:13:45.280
Case. Und vor allem habe ich in der Regel[br]keinen Spamfilter, der mir im Weg ist. Ich
0:13:45.280,0:13:49.000
kann wunderschön einen Mailserver[br]aufsetzen mit minimal anderen Domains, die
0:13:49.000,0:13:52.400
machen DKIM, die machen alles, was du[br]haben willst. Die haben sogar ein schönes
0:13:52.400,0:13:57.420
Let’s Encrypt Zertifikat auf ihrer[br]Website. Funktioniert und kommt in der
0:13:57.420,0:14:02.490
Regel durch. Auf das Problem komme ich[br]nachher noch mal zurück, denn das würde
0:14:02.490,0:14:07.829
ich sehr gerne lösen. Aber auch beim[br]Verbreiten von Schadsoftware ist das ein
0:14:07.829,0:14:13.180
beliebtes Pro… oder ein beliebtes Ziel,[br]nicht irgendwie fette 0-Day-Exploits zu
0:14:13.180,0:14:18.240
verballern, sondern einfach mal den Leuten[br]die Software anzubieten und zu gucken, wie
0:14:18.240,0:14:23.430
sie die installieren. TRS hat mich da auf[br]einen Tweet aufmerksam gemacht, der ist
0:14:23.430,0:14:27.810
schon ein paar Jahre alt, aber er ist sehr[br]wahr: „Manchmal fühlt man sich als ITler
0:14:27.810,0:14:32.440
wie ein Schafhirte. Allerdings sind die[br]Schafe betrunken. Und brennen! Und klicken
0:14:32.440,0:14:40.970
überall drauf!!“[br]Applaus
0:14:40.970,0:14:48.460
Von @Celilander. Ja. Dann habe ich[br]irgendwie letztens mal … wer den Vortrag
0:14:48.460,0:14:52.250
von Thorsten gesehen hat, sieht dass wir[br]da auch was mit einem Torrent gemacht
0:14:52.250,0:14:57.050
haben. Da war ich hier bei den Drive-By[br]Exploit Paralympics, wo ich also auf eine
0:14:57.050,0:15:01.470
Webseite gekommen bin, die mich auch sehr[br]gedrängt hat, irgendetwas zu installieren.
0:15:01.470,0:15:06.050
Ich müsste ein Update machen, irgendwelche[br]komischen Plug-Ins installieren oder so,
0:15:06.050,0:15:10.310
ne? Und die Leute machen das! Also es ist[br]regelmäßig, dass irgendwelche Leute bei
0:15:10.310,0:15:14.690
mir sitzen und sagen: „Ja, hier, ich habe[br]einen Virus.“ – „Ja, wieso? Woher wissen
0:15:14.690,0:15:20.370
Sie das denn?“ – „Ja, eh … stand da!“[br]Gelächter
0:15:20.370,0:15:24.030
Und dann haben die halt irgendwas[br]installiert und dann merkt man so: Dann
0:15:24.030,0:15:25.940
haben sie gecheckt, dass das[br]wahrscheinlich nicht klug war und dann
0:15:25.940,0:15:29.040
haben sie am Ende irgendwie 86[br]Schadsoftwares drauf, die behaupten
0:15:29.040,0:15:35.250
Schadsoftwares zu entfernen. Übrigens:[br]Genau so wurde auch der Staatstrojaner
0:15:35.250,0:15:38.860
FinSpy gegen die türkische Opposition[br]eingesetzt. Die haben eine schöne Website
0:15:38.860,0:15:42.690
gemacht und haben gesagt: Ey guck mal[br]hier, klick mal hier drauf, könnt ihr
0:15:42.690,0:15:47.600
runterladen. Wie gesagt: Die Analyse hat[br]Thorsten mit Ulf Buermeyer heute morgen
0:15:47.600,0:15:53.880
schon präsentiert. Da sind wir dann auch[br]schon bei den … Kurzer Applaus für
0:15:53.880,0:16:00.300
Thorsten![br]Applaus
0:16:00.300,0:16:07.650
Da sind wir dann auch schon jetzt bei dem[br]Problem, was seit ungefähr 2016 der Welt
0:16:07.650,0:16:12.599
Ärger bereitet, nämlich die sogenannte[br]Ransomware. Funktioniert relativ einfach:
0:16:12.599,0:16:16.899
Man kriegt eine E-Mail. In der E-Mail ist[br]irgendein Anhang, in diesem Beispiel, das
0:16:16.899,0:16:22.980
haben wir mal 2016 durchgespielt, das war[br]Locky, war’s eine Rechnung. Und wenn ich
0:16:22.980,0:16:29.779
jetzt diesen Anhang öffne, passiert[br]folgendes. Es meldet sich das wunderschöne
0:16:29.779,0:16:33.970
Programm Microsoft Word.[br]Johlen
0:16:33.970,0:16:38.290
Und Microsoft Word hat direkt 2[br]Warnmeldungen parat. Ihr seht sie dort
0:16:38.290,0:16:45.920
oben in gelb und rot auf dem Bildschirm.[br]Die rote Warnmeldung ist die, dass es sich
0:16:45.920,0:16:50.640
um eine nichtlizensierte Version des[br]Programmes handelt.
0:16:50.640,0:16:55.899
Gelächter[br]Die habt ihr also entweder nicht oder ihr
0:16:55.899,0:16:58.660
habt sie auch und ihr habt euch schon dran[br]gewöhnt.
0:16:58.660,0:17:03.790
Gelächter[br]Die gelbe Warnmeldung ist die, die euch
0:17:03.790,0:17:09.100
davor warnt, dass ihr gerade auf dem Weg[br]seid, euch sehr, sehr in den Fuß zu
0:17:09.100,0:17:16.319
schießen. Und diese Warnmeldung ist sehr[br]einfach verständlich. Seien sie
0:17:16.319,0:17:21.559
vorsichtig: Dateien aus dem Internet[br]können Viren beinhalten. Wenn Sie diese
0:17:21.559,0:17:24.939
Datei nicht bearbeiten müssen, ist es[br]sicherer, in der geschützten Ansicht zu
0:17:24.939,0:17:28.820
verbleiben. Und in konsistenter[br]Formulierung mit diesem Satz ist daneben
0:17:28.820,0:17:36.200
ein Knopf, auf dem steht: Bearbeiten[br]aktivieren. Versteht jeder sofort, was da
0:17:36.200,0:17:41.620
gemeint ist! Gefahrenpotenzial ist sofort[br]klar. Und wir haben wieder genau so wie in
0:17:41.620,0:17:45.720
dieser PayPal-Phishing-E-Mail den[br]wunderschönen riesigen großen Knopf. Und
0:17:45.720,0:17:50.790
oben rechts in der Ecke, ganz klein, es[br]versteckt sich ein bisschen. Es flieht vor
0:17:50.790,0:17:56.380
eurer Aufmerksamkeit. Ist ein[br]klitzekleines graues Kreuzchen. Das wäre
0:17:56.380,0:18:00.770
der Weg in die Sicherheit. Aber natürlich[br]seid ihr darauf trainiert, diesen Knopf zu
0:18:00.770,0:18:04.350
drücken, weil diese Warnmeldung kommt[br]schließlich jedes mal, wenn ihr Microsoft
0:18:04.350,0:18:08.760
Word öffnet, weil irgendwelche Makros sind[br]ja in fast jedem Word-Dokument drin, was
0:18:08.760,0:18:13.500
in eurem Unternehmen so rumschwirrt. Ist[br]aber nicht schlimm, es geht nämlich
0:18:13.500,0:18:19.290
weiter. Microsoft Word hat direkt noch[br]eine Warnung für euch: Sicherheitswarnung.
0:18:19.290,0:18:25.350
Makros wurden deaktiviert. Inhalte[br]aktivieren. Und wir sitzen jetzt also da,
0:18:25.350,0:18:28.980
in diesem Beispiel Locky, vor einem leeren[br]Blatt Papier. Ein leeres Blatt Papier ganz
0:18:28.980,0:18:33.740
ohne Inhalt. Alles, wonach es uns durstet,[br]sind Inhalte. Also drücken wir jetzt da
0:18:33.740,0:18:37.880
auf Inhalte aktivieren. Und ich habe jetzt[br]mal hier auf dem Desktop so ein paar
0:18:37.880,0:18:42.260
Dateien drapiert, die dort so liegen. Und[br]wenn ich jetzt auf den Knopf drücke,
0:18:42.260,0:18:47.450
passiert folgendes: Sie sind weg. Das[br]Makro, was in diesem Word-Dokument ist,
0:18:47.450,0:18:53.960
lädt im … lädt über einen einfachen GET-[br]Request eine EXE-Datei runter und führt in
0:18:53.960,0:18:59.450
dem Fall Locky aus. Locky rasiert einmal[br]durch die Festplatte, verschlüsselt alle
0:18:59.450,0:19:04.160
Dateien und wenn er fertig ist, sagt er:[br]Übrigens: Deine Dateien sind jetzt
0:19:04.160,0:19:08.110
verschlüsselt und wenn Leute verschlüsselt[br]hören, dann sagen die immer: Ja aber kann
0:19:08.110,0:19:12.619
man das nicht irgendwie entschlüsseln?[br]Deswegen steht hier auch direkt: Nein.
0:19:12.619,0:19:16.520
Kann man nicht. Es wäre total unsinnig,[br]wenn man Dinge verschlüsseln würde, die
0:19:16.520,0:19:21.410
man einfach wieder entschlüsseln könnte.[br]Deswegen haben wir das richtig macht. Und
0:19:21.410,0:19:24.410
da haben die hier so eine schöne Website[br]gehabt und da wurde dann eben erklärt,
0:19:24.410,0:19:29.670
wohin man wieviel Bitcoin überweisen muss.[br]Locky war da noch relativ großzügig. Die
0:19:29.670,0:19:35.220
haben die Datenwiederherstellung für 500€[br]damals gemacht. Locky war so die erste
0:19:35.220,0:19:40.360
große Ransomware-Welle. Es wurde überall[br]davor gewarnt, Rechnungen zu öffnen, die
0:19:40.360,0:19:46.400
Bilanzen der Unternehmen hatte das[br]kurzfristig echt verbessert, aber die
0:19:46.400,0:19:51.530
Bilanzen der Angreifer nicht. Und[br]woraufhin dann weitere E-Mails kursierten,
0:19:51.530,0:19:56.290
die sahen ungefähr so aus: Hallo, hier ist[br]das Bundeskriminalamt. Passen Sie bitte
0:19:56.290,0:20:00.000
auf mit Locky. Weil uns immer mehr Leute[br]gefragt haben, wie man sich davor schützt,
0:20:00.000,0:20:03.440
haben wir einen Ratgeber vorbereitet, wie[br]man sich davor schützt. Den finden Sie im
0:20:03.440,0:20:07.470
Anhang.[br]Gelächter
0:20:07.470,0:20:11.500
Applaus[br]Und der ganze Spaß ging wieder von vorne
0:20:11.500,0:20:18.720
los. Locky war 2016. Wir haben vor kurzem[br]mal einen Blick darauf geworfen, wie das
0:20:18.720,0:20:24.671
so bei GandCrab aussieht. Das war jetzt[br]eine Ransomware von einer, ja … Ich komme
0:20:24.671,0:20:27.990
gleich darauf, wo die Jungs herkamen. Von[br]einer Gruppierung, die sich vor kurzem zur
0:20:27.990,0:20:33.040
Ruhe gesetzt hat mit den Worten,[br]sinngemäß: Wir haben gezeigt, dass man
0:20:33.040,0:20:37.630
viele Millionen mit kriminiellen Dingen[br]verdienen und sich dann einfach zur Ruhe
0:20:37.630,0:20:42.539
setzen kann. Und wir ermutigen euch auch,[br]so einen schönen Lebensstil zu pflegen wie
0:20:42.539,0:20:46.950
wir. Wir sind jetzt erstmal im Ruhestand.[br]Wenn man sich mit denen, wenn man sich
0:20:46.950,0:20:50.280
quasi bei denen das gleiche durchgemacht[br]hat, landete man auf so einer Seite. Die
0:20:50.280,0:20:53.940
war sehr schön. Da haben sie erstmal auch[br]einmal mit sehr vielen psychologischen
0:20:53.940,0:20:57.770
Tricks gearbeitet. Hier oben steht zum[br]Beispiel: Wenn du nicht bezahlst innerhalb
0:20:57.770,0:21:03.970
von einer Woche, dann verdoppelt sich der[br]Preis. Da haben die sich bei Booking.com
0:21:03.970,0:21:05.970
abgeguckt.[br]Gelächter
0:21:05.970,0:21:09.980
Applaus[br]Dann erklären sie wieder: OK, du kannst …
0:21:09.980,0:21:13.590
es ist verschlüsselt, kriegst du nur von[br]uns zurück. Und dann haben sie einen
0:21:13.590,0:21:17.721
schönen Service, hier, free decrypt. Du[br]kannst eine Datei dort hinschicken und die
0:21:17.721,0:21:20.230
entschlüsseln sie dir und schicken sie dir[br]zurück um zu beweisen, dass sie in der
0:21:20.230,0:21:24.470
Lage sind, die zu entschlüsseln. Ja, die[br]sind also in gewisser Form ehrbare
0:21:24.470,0:21:28.209
Kaufmänner. Man fixt einen mal an, zeigt,[br]dass man die Dienstleistung erbringen
0:21:28.209,0:21:31.580
kann. Und die haben auch einen Chat. Die[br]haben hier unten so einen
0:21:31.580,0:21:33.970
Kundenberatungschat.[br]Gelächter
0:21:33.970,0:21:37.720
Und wir saßen irgendwie in geselliger[br]Runde mit unserer Windows-VM, die wir
0:21:37.720,0:21:42.280
jetzt gerade gegandcrabt hatten und haben[br]dann so gedacht: Ach komm ey, jetzt
0:21:42.280,0:21:45.669
chatten wir mal mit denen. Und haben uns[br]so ein bisschen doof gestellt, so:
0:21:45.669,0:21:49.550
Hellooo, where can I buy the Bitcoin?[br]Irgendwie so. Und da haben die uns dann
0:21:49.550,0:21:51.720
irgendwelche Links geschickt, wo wir[br]Bitcoin holen wollen und da haben wir
0:21:51.720,0:21:54.460
gesagt: Woah, das ist doch irgendwie voll[br]anstrengend, können wir nicht einfach eine
0:21:54.460,0:22:02.970
SEPA-Überweisung machen? Wir zahlen auch[br]die Gebühren, ist okay. Und dann haben wir
0:22:02.970,0:22:07.620
so, als uns nichts mehr einfiel, sagte ich[br]zu meinem Kumpel, der daneben saß:
0:22:07.620,0:22:13.000
Vladimir. Ey, ich sag: Vladimir. Frag die[br]doch mal, ob die russisch können. Konnten
0:22:13.000,0:22:14.310
sie.[br]Gelächter
0:22:14.310,0:22:19.480
Und … ja, und … war auf jeden Fall: Na[br]klar! Und interessanterweise haben die
0:22:19.480,0:22:23.380
auch sofort in kyriliisch geantwortet. Man[br]kann ja russisch auf 2 Arten schreiben.
0:22:23.380,0:22:26.440
Man sieht uns hier an der deutschen[br]Tastatur und die Jungs mit den
0:22:26.440,0:22:30.930
kyrillischen Schriftzeichen. Und die waren[br]auf einmal sehr interessiert: Eyyy, du
0:22:30.930,0:22:36.059
bist Russe?! Wie bist du denn infiziert …[br]wie kann das denn, dass du infiziert
0:22:36.059,0:22:41.099
wurdest?[br]Gelächter
0:22:41.099,0:22:47.200
Hier steht doch, du bist in Deutschland![br]Und dann fragten die irgendwie so: Du bist
0:22:47.200,0:22:51.210
doch in Deutschland und so. Und dann[br]sagten wir so: Jaja, ich arbeite für
0:22:51.210,0:22:55.920
Gazprom.[br]Gelächter
0:22:55.920,0:22:58.620
Die wurden immer freundlicher.[br]Gelächter
0:22:58.620,0:23:02.450
Und schrieben uns dann diesen folgenden[br]Satz. Den habe ich mal für euch in Google
0:23:02.450,0:23:08.430
Translate gekippt. Der lautet ungefähr so:[br]Mach bitte ein Photo von deinem Pass. Du
0:23:08.430,0:23:12.180
kannst gerne die sensiblen Daten mit[br]deinem Finger abdecken. Ich brauche nur
0:23:12.180,0:23:16.049
einen Beweis, dass du Bürger Russlands[br]bist. Dann stellen wir dir die Daten
0:23:16.049,0:23:19.270
kostenlos wieder her.[br]Gelächter
0:23:19.270,0:23:31.490
Applaus[br]Also manchmal ist IT-Sicherheit halt auch
0:23:31.490,0:23:34.919
einfach nur der richtige Pass, ne?[br]Gelächter
0:23:34.919,0:23:40.980
Tatsächlich hatte GandCrab Routinen drin,[br]die gecheckt haben, ob die Systeme z. B.
0:23:40.980,0:23:46.190
russische Zeitzone oder russische[br]Schriftzeichen standardmäßig eingestellt
0:23:46.190,0:23:51.030
haben, um zu verhindern, dass sie[br]russische Systeme befallen, weil die
0:23:51.030,0:23:56.680
russische IT-Sicherheitsaußenpolitik[br]ungefähr so lautet: Liebe Hacker. Das
0:23:56.680,0:24:02.850
Internet. Unendliche Weiten. Ihr könnt[br]darin hacken, wie ihr wollt und wir
0:24:02.850,0:24:07.610
liefern euch eh nicht aus. Aber wenn ihr[br]in Russland hackt, dann kommt ihr in einen
0:24:07.610,0:24:10.980
russischen Knast. Und selbst russische[br]Hacker wollen nicht in einen russischen
0:24:10.980,0:24:18.750
Knast. Deswegen sorgen die dafür, dass sie[br]ihre Landsmänner nicht infizieren. Wahre
0:24:18.750,0:24:23.749
Patrioten. Der Brian Krebs hat nachher[br]diese Gruppe auch noch enttarnt. Hat einen
0:24:23.749,0:24:27.110
superinteressanten Artikel darüber[br]geschrieben. War so ein paar Wochen
0:24:27.110,0:24:31.580
eigentlich, nachdem wir diese kleine,[br]lustige Entdeckung gemacht hatten. Ihr
0:24:31.580,0:24:35.400
wisst natürlich, grundsätzliches Motto[br]jedes Congress’: Kein Backup, kein
0:24:35.400,0:24:39.830
Mitleid! Das heißt, ihr müsst natürlich[br]euch gegen solche Angriffe dadurch
0:24:39.830,0:24:45.150
schützen, dass ihr Backups habt und dann[br]nicht bezahlen müsst. Aber was ich
0:24:45.150,0:24:50.800
spannend finde ist, dieser Angriff mit den[br]Word-Makros, die funktionieren seit 1999.
0:24:50.800,0:24:54.610
Da war das Melissa-Virus irgendwie die[br]große Nummer. Makros gab es schon früher
0:24:54.610,0:24:59.780
in Word, aber ’99 mit Internetverbreitung[br]und so ging das irgendwie ordentlich rund.
0:24:59.780,0:25:03.090
Und wir sind da keinen einzigen Schritt[br]weitergekommen. Jeden anderen Bug, jedes
0:25:03.090,0:25:08.030
andere Problem, was wir haben, lösen wir[br]sofort. Dieses halten wir einfach nur aus
0:25:08.030,0:25:12.391
und tun überhaupt nichts daran. Also habe[br]ich mir überlegt: Gut, dann schauen wir
0:25:12.391,0:25:16.209
uns mal an: Warum funktionieren diese[br]Angriffe eigentlich? Und dafür gibt’s im
0:25:16.209,0:25:21.890
Prinzip 2 Erkläransätze, die ich euch[br]vorstellen möchte. Der eine ist eben
0:25:21.890,0:25:28.150
individualpsychologisch, der andere ist[br]organisationspsychologisch. Daniel
0:25:28.150,0:25:33.250
Kahnemann hat einen Nobelpreis in[br]Wirtschaftswissenschaften, glaube ich,
0:25:33.250,0:25:38.360
bekommen, dass er sich darüber Gedanken[br]gemacht hat, wie Menschen denken.
0:25:38.360,0:25:41.859
„Thinking, Fast and Slow“, großer[br]Bestseller, und so weiter. Der postuliert
0:25:41.859,0:25:49.650
im Prinzip: Wir haben 2 Systeme in unserem[br]Gehirn. Das erste System arbeitet schnell
0:25:49.650,0:25:55.490
und intuitiv und automatisch. Also[br]Standardhandlungsabläufe. Ihr müsst nicht
0:25:55.490,0:25:59.980
nachdenken, wenn ihr zuhause aus der Tür[br]geht und die Wohnung abschließt. Das
0:25:59.980,0:26:04.209
passiert einfach. Da werden keine[br]Ressourcen des Gehirns drauf verwendet,
0:26:04.209,0:26:07.180
jetzt nachzudenken: Dreht man den[br]Schlüssel rechts-, linksrum – ist das
0:26:07.180,0:26:09.750
überhaupt der richtige oder so, ne?[br]Eigentlich sehr faszinierend. Ich habe
0:26:09.750,0:26:13.049
einen relativ großen Schlüsselbund und ich[br]bin echt fasziniert, wie es meinem Gehirn
0:26:13.049,0:26:15.880
gelingt, ohne dass ich darüber nachdenke,[br]den richtigen Schlüssel einfach aus der
0:26:15.880,0:26:22.270
Tasche zu ziehen. Das ist System 1. Und[br]das ist aktiv, primär bei Angst. Wenn wir
0:26:22.270,0:26:27.140
also schnell handeln müssen – Fluchtreflex[br]und solche Dinge. Oder bei Langeweile,
0:26:27.140,0:26:31.760
wenn wir wie immer handeln müssen. Und[br]genau diese ganzen Phishingszenarien
0:26:31.760,0:26:36.850
zielen auf eine dieser beiden Sachen ab:[br]Entweder uns ganz viel Angst zu machen
0:26:36.850,0:26:43.200
oder einen Ablauf, den wir antrainiert[br]haben und aus Langeweile automatisiert
0:26:43.200,0:26:48.760
durchführen, auszulösen. Demgegenüber[br]steht das System 2: Das ist langsam,
0:26:48.760,0:26:55.350
analytisch und dominiert von Vernunft. Und[br]ja. Die Angreifer nutzen natürlich
0:26:55.350,0:27:02.130
Situationen, in denen sie auf System 1[br]setzen können. Warum ist das ein Problem?
0:27:02.130,0:27:06.770
Wenn wir Leuten versuchen, zu erklären,[br]wie sie sich gegen solche Angriffe
0:27:06.770,0:27:11.100
schützen sollen – guckt darauf, achtet[br]darauf und so weiter –, dann erklären wir
0:27:11.100,0:27:15.590
das System 2. Und System 2 versteht das[br]auch, genau wie ich verstanden habe, dass
0:27:15.590,0:27:19.270
ich eigentlich nicht auf irgendwelche[br]PayPal-Scams klicken soll. Aber wenn ich
0:27:19.270,0:27:22.669
gelangweilt vorm Computer sitze und[br]überlege, wo ich als nächstes hinklicken
0:27:22.669,0:27:28.050
soll, dann suche ich mir halt den nächsten[br]großen Button und klicke da drauf.
0:27:28.050,0:27:31.410
Organisationspsychologie finde ich das[br]eigentlich sehr viel interessanter. Warum
0:27:31.410,0:27:37.290
kümmert sich eigentlich niemand um dieses[br]Problem, ja? Wir begnügen uns damit,
0:27:37.290,0:27:41.520
unseren IT-Perimeter zu haben, wir bauen[br]da eine Schranke drum. Bauen eine Firewall
0:27:41.520,0:27:44.541
hier und haste noch gesehen, hier noch[br]irgendein Snake-Oil und so. Und der
0:27:44.541,0:27:49.230
technische Angriff ist eigentlich ziemlich[br]schwierig, ja? Wenige Menschen können
0:27:49.230,0:27:54.600
technische Angriffe durchführen. Und unser[br]Schutz dagegen ist enorm gut. Wir haben
0:27:54.600,0:27:58.059
granular definierte Reife. Wir können[br]messen: wenn du irgendwie dieses oder
0:27:58.059,0:28:01.260
jenes Checkmark nicht hast, bist du[br]schlecht oder so, ne? Und dann sitzen an
0:28:01.260,0:28:05.630
dem Computer Administratoren und[br]Angestellte und arbeiten mit diesen Daten.
0:28:05.630,0:28:08.760
Und die schützen wir irgendwie nicht. Wir[br]machen uns auch gar keine Gedanken
0:28:08.760,0:28:12.900
darüber, die mal zu härten oder zu pen-[br]testen. Dabei ist der Angriff über Social
0:28:12.900,0:28:19.299
Engineering viel einfacher und einen[br]Schutz haben wir dem aber nicht gegenüber.
0:28:19.299,0:28:23.820
Und jetzt tritt der ganz normale Prozess[br]des Risikomanagements ein. Und der sieht
0:28:23.820,0:28:29.700
ungefähr so aus: Das Risiko wird[br]wahrgenommen, das Risiko wird analysiert
0:28:29.700,0:28:34.500
und in diesem Fall wird das Risiko dann[br]eben ignoriert. Und so sitzen wir jetzt
0:28:34.500,0:28:39.940
seit 20 Jahren da, uns fliegt ein Makro[br]nach dem anderen um die Ohren. Die – wie
0:28:39.940,0:28:42.299
heißt diese Uni da? War das jetzt[br]Göttingen oder Gießen?
0:28:42.299,0:28:45.500
Rufe aus dem Publikum[br]Göttingen kommt auch noch dran, keine
0:28:45.500,0:28:51.650
Sorge. Und wenn diese Risiken gemanaget[br]werden, dann muss man sehen: „Management
0:28:51.650,0:28:54.809
bedeutet, die Verantwortung zu tragen und[br]deshalb alles dafür tun zu müssen, nicht
0:28:54.809,0:28:58.990
zur Verantwortung gezogen zu werden.“ Und[br]eben auch nicht mehr als das zu tun.
0:28:58.990,0:29:07.120
Applaus[br]Das heißt, wir versuchen also die Probleme
0:29:07.120,0:29:10.390
zu lösen, die wir können und die anderen –[br]was kann ich dafür, wenn der Nutzer falsch
0:29:10.390,0:29:14.090
klickt? Wohin uns das gebracht hat, können[br]wir jetzt eben bei den verschiedenen
0:29:14.090,0:29:18.289
Unternehmen beobachten. Deswegem habe ich[br]mir gedacht: OK. Wie kann man dieses
0:29:18.289,0:29:23.359
Problem denn mal lösen? Welche[br]Gegenmaßnahmen sind wie wirksam? Also was
0:29:23.359,0:29:27.810
funktioniert, um Menschen das abzugewöhnen[br]oder die Wahrscheinlichkeit zu verringern,
0:29:27.810,0:29:33.440
dass sie auf solche Sachen draufklicken?[br]Und welche UI-/UX-Faktoren machen weniger
0:29:33.440,0:29:37.330
verwundbar? Weil es gibt ja quasi immer[br]die gleichen Prozesse, die ausgenutzt
0:29:37.330,0:29:42.590
werden. Und auf der anderen Seite die[br]Optimierungsdimensionen. Einmal die
0:29:42.590,0:29:47.770
Resistenz: Nicht zu klicken. Und dann in[br]so einem Unternehmenskontext halt: Du
0:29:47.770,0:29:51.200
musst es melden. Du musst der IT Bescheid[br]sagen, damit die irgendwelche
0:29:51.200,0:29:56.470
Gegenmaßnahmen ergreifen kann. Ich zeige[br]euch jetzt mal die Ergebnisse von 2
0:29:56.470,0:30:02.529
Beispielstudien, die wir in dem Bereich[br]durchgeführt haben. Ich bin sehr bemüht,
0:30:02.529,0:30:08.200
die so anonymisiert zu haben, also sollte[br]hoffentlich nirgendwo mehr erkennbar sein,
0:30:08.200,0:30:13.510
mit welchem Unternehmen das war. Das erste[br]war in Asien. Da haben wir das mit 30.000
0:30:13.510,0:30:18.570
Personen gemacht. 4 Phishingdurchläufe und[br]es gab so ein Lernvideo, in dem das auch
0:30:18.570,0:30:22.669
noch mal erklärt wurde. Und wir haben[br]erfasst, wie oft das dann zum Beispiel der
0:30:22.669,0:30:26.200
IT gemeldet wurde, dass dieser Angriff[br]stattgefunden hat. Und wir haben erfasst,
0:30:26.200,0:30:30.310
wie oft die Leute auf diese Phsihingnummer[br]reingefallen sind. Und was wir dort
0:30:30.310,0:30:36.300
eigentlich herausfinden wollten war: Es[br]ging eigentlich darum, wie wir in diesem
0:30:36.300,0:30:39.320
Unternehmen regelmäßig die Menschen[br]trainieren, dass sie nicht auf solche
0:30:39.320,0:30:42.440
Sachen draufklicken. Also haben wir uns so[br]einen Versuchsplan gebaut und haben
0:30:42.440,0:30:45.410
gesagt: OK, welche[br]Kommunikationsmöglichkeiten haben wir? Ja
0:30:45.410,0:30:49.430
gut, wir können denen E-Mailer schicken.[br]Also Spam vom eigenen Unternehmen. Wir
0:30:49.430,0:30:52.929
können Poster in den Flur hängen. Wir[br]können beides machen, wir können nichts
0:30:52.929,0:30:57.960
machen. Wir können außerdem den Leuten so[br]ein Online-Quiz anbieten und die danach
0:30:57.960,0:31:02.299
ein Quiz machen lassen. Auch da konnten[br]wir den Online-Quiz einmal mit einem Text
0:31:02.299,0:31:05.549
und einmal mit einem Video – meine[br]Hypothese war: das Video bringt es den
0:31:05.549,0:31:09.580
Leuten wahrscheinlich besser bei. Und dann[br]haben wir quasi, weil wir genug Leute
0:31:09.580,0:31:13.870
hatten, eben das alles quasi vollständig[br]permutiert, sodass wir alle Effekte
0:31:13.870,0:31:17.040
einzeln messen konnten und nachher die[br]Gruppen vergleichen konnten. Dann haben
0:31:17.040,0:31:20.350
wir sie einmal gephisht und in dem[br]Phishing gab es dann nachher eine
0:31:20.350,0:31:24.190
Aufklärung. Also wenn die ihr Passwort[br]eingegeben hatten, kam entweder ein Text,
0:31:24.190,0:31:28.909
der ihnen gesagt hat: Ey, das war jetzt[br]gerade schlecht. Oder ein Video, was ihnen
0:31:28.909,0:31:32.309
erklärt hat: Das war gerade schlecht. Oder[br]beides: Text und darunter ein Video oder
0:31:32.309,0:31:37.170
umgekehrt. Und dann haben wir noch mal ein[br]Phishing gemacht. Und jetzt werde ich grün
0:31:37.170,0:31:42.380
markieren die Dinge, die tatsächlich einen[br]Effekt hatten. Alles was vorne stand,
0:31:42.380,0:31:46.110
E-Mailer, alles was man den Leuten[br]erklärt. Alles was System 2 anspricht, hat
0:31:46.110,0:31:49.050
überhaupt keinen Effekt gehabt. Ihr[br]könntet die Leute irgendwelche Quize
0:31:49.050,0:31:52.960
ausführen lassen und Onlinekurse wie sie[br]wollen. Verdienen einige Unternehmen auch
0:31:52.960,0:31:58.190
gutes Geld mit. Hat aber keinen Effekt.[br]Was einen Effekt hatte war: Ob die
0:31:58.190,0:32:02.669
gephisht wurden oder nicht und es war[br]etwas besser, wenn sie ein Video dazu
0:32:02.669,0:32:08.030
gesehen haben. Und das ist genau deshalb,[br]weil: Wenn sie tatsächlich gephisht
0:32:08.030,0:32:12.760
werden, dann haben sie eine Lernerfahrung,[br]wenn System 2 aktiv ist. Ja? Das Video war
0:32:12.760,0:32:17.260
so ein rotes Blinken: Achtung, Gefahr, du[br]hast etwas falsch gemacht. Ich will noch
0:32:17.260,0:32:22.400
kurz zu dem Ergebnis kommen bei der ersten[br]Erfassung: Wir haben zunächst eine
0:32:22.400,0:32:30.390
Erfolgsrate von 35% gehabt. 55% haben die[br]E-Mails ignoriert und 10% haben auf der
0:32:30.390,0:32:34.070
Phishingseite abgebrochen. Also sie haben[br]vielleicht noch mal irgendwie; sind noch
0:32:34.070,0:32:39.190
mal zur Besinnung gekommen oder so. Und[br]mein damaliger Kollege meinte: Ey, das
0:32:39.190,0:32:43.160
kann irgendwie gar nicht sein. So, da muss[br]viel mehr gehen. So schlau sind die doch
0:32:43.160,0:32:47.600
nicht, ne? Gucken wir mal, ob die die[br]E-Mails überhaupt geöffnet haben. Also
0:32:47.600,0:32:50.940
gelsen haben. Wir hatten nämlich ein[br]kleines Zählpixelchen in der E-Mail und
0:32:50.940,0:32:54.760
ich konnte quasi feststellen, ob die die[br]E-Mail überhaupt geöffnet haben. Wenn wir
0:32:54.760,0:32:58.390
die Zahl korrigiert haben und diejenigen[br]rausgenommen haben, die die E-Mail nie zu
0:32:58.390,0:33:02.403
Gesicht bekommen haben, war die[br]Erfolgswahrscheinlichkeit 55%.
0:33:02.403,0:33:05.360
Raunen und kurzer Applaus[br]Wir hatten dann noch ein weiteres Problem
0:33:05.360,0:33:10.820
an der Backe. Weil, wir hatten jetzt an[br]30.000 Leute eine E-Mail geschrieben und
0:33:10.820,0:33:14.470
als Absender angegeben, wir wären der IT-[br]Support.
0:33:14.470,0:33:19.849
Gelächter[br]Es gibt darauf verschiedene Reaktionen.
0:33:19.849,0:33:23.070
Erstmal haben wir relativ viele E-Mails[br]bekommen, wo die Leute sagten: Ich will ja
0:33:23.070,0:33:26.060
mein Passwort ändern, aber da kommt immer[br]dieses Video!
0:33:26.060,0:33:34.519
Gelächter[br]Applaus
0:33:34.519,0:33:40.710
Und dann hatten wir Leute, die noch Monate[br]später der unsäglichen Praxis nachhingen,
0:33:40.710,0:33:45.219
wenn sie jemandem eine E-Mail schreiben[br]wollen, dass sie einfach suchen, wann sie
0:33:45.219,0:33:47.880
das letzte mal von dem eine E-Mail[br]bekommen haben und auf den Thread
0:33:47.880,0:33:51.130
antworten. Das heißt, wir waren das[br]nächste halbe Jahr damit beschäftigt, IT-
0:33:51.130,0:33:55.010
Support zu machen.[br]Gelächter
0:33:55.010,0:33:59.769
Applaus[br]OK, Ergebnis zusammengefasst: Diese ganzen
0:33:59.769,0:34:04.560
Awarenessmaßnahmen hatten keinen praktisch[br]relevanten Effekt. Die Selbsterfahrung
0:34:04.560,0:34:08.749
hatte einen starken Lerneffekt. Und der[br]ging teilweise sogar über das Erwartbare
0:34:08.749,0:34:14.579
hinaus. Leider aber sind die Lerneffekte[br]sehr spezifisch. Das heißt, die Leute
0:34:14.579,0:34:18.990
lernen, wenn eine Passwort-Reset-E-Mail[br]kommt, darf ich da nicht draufklicken.
0:34:18.990,0:34:22.279
Wenn du denen aber danach schickst: Gib[br]mal deine Kreditkartennummer an, sagen
0:34:22.279,0:34:25.549
die: Na klar. Gar kein Problem![br]Gelächter
0:34:25.549,0:34:29.552
Und auch das Szenario, ja? Wir haben da[br]nachher noch andere Social-Engineering-
0:34:29.552,0:34:34.339
Maßnahmen gemacht und es gab jetzt keine[br]abfärbenden Effekt von – Du hast mit denen
0:34:34.339,0:34:39.319
Phishing bis zum Erbrechen geübt –, dass[br]die jetzt irgendwie bei USB-Sticks
0:34:39.319,0:34:44.659
irgendwie vorsichtiger wären oder so. Das[br]heißt, das ist relativ unschön. Außerdem
0:34:44.659,0:34:48.309
sind die Effekte nicht stabil. Das heißt,[br]du hast einen Lerneffekt so in den ersten
0:34:48.309,0:34:53.920
3 Monaten und dann nimmt der wieder ab.[br]Das heißt: Nach einiger Zeit, wenn du das
0:34:53.920,0:34:58.260
nach einem Jahr wieder machst, hast du[br]genau wieder deine 33-55%, die du vorher
0:34:58.260,0:35:02.499
hattest. Also wir können dieses Problem[br]irgendwie versuchen, niedrig zu halten,
0:35:02.499,0:35:09.799
aber auf diesem Weg nicht aus der Welt[br]schaffen. So dachte ich. Bis ich dann
0:35:09.799,0:35:13.810
meine 2. Beispielstudie gemacht habe, die[br]ich euch hier vorstellen möchte. Die war
0:35:13.810,0:35:19.079
international in mehreren Sprachen –[br]Englisch, Deutsch, Spanisch und 2 weiteren
0:35:19.079,0:35:23.849
Sprachen –, 2000 Zielpersonen, 4[br]Durchläufe, Video war ein bisschen länger.
0:35:23.849,0:35:29.619
Und das erste Ergebnis war; Ich habe[br]erfasst, quasi, wenn die Leute gemeldet
0:35:29.619,0:35:35.269
haben und die IT dann reagiert hätte, wie[br]viele erfolgreiche Angriffe danach hätten
0:35:35.269,0:35:39.770
verhindert werden können. Und das[br]interessante ist, dass bei den meisten
0:35:39.770,0:35:44.380
Standorten fast über 3/4 der weiteren[br]Angriffe, die danach noch passiert sind,
0:35:44.380,0:35:47.769
hätten verhindert werden können durch eine[br]schnelle Meldung. Das heißt, es ist gut
0:35:47.769,0:35:52.889
für eine IT, ihre Leute zu ermutigen, sich[br]bei ihr zu melden und irgendwie Bescheid
0:35:52.889,0:35:59.690
zu geben. Das andere Ergebnis bei diesen[br]Leuten war: Beim ersten Durchlauf hatten
0:35:59.690,0:36:05.570
die eine Phishingerfolgsrate von 10%. Und[br]ich war etwas ungläubig und habe mich
0:36:05.570,0:36:09.989
gefragt: Wie kann das denn sein? Ich hatte[br]auch vorher eine bisschen große Fresse
0:36:09.989,0:36:14.900
gehabt. Und jetzt habe ich gesagt: 30%[br]mache ich euch locker, gar kein Thema! Und
0:36:14.900,0:36:19.919
dann sind’s jetzt irgendwie 10% da. Und[br]die sagten dann halt auch irgendwie: „Ja,
0:36:19.919,0:36:24.999
wolltest du nicht mehr?“ Tja, was haben[br]die gemacht? Die hatten 2 Dinge anders als
0:36:24.999,0:36:29.869
viele andere Unternehmen. Erstens: Die[br]hatten ihre E-Mails mit so einem kleinen
0:36:29.869,0:36:35.039
Hinweis versehen, der in den Subject[br]reingeschrieben wurde bei eingehenden
0:36:35.039,0:36:41.029
E-Mails, dass die E-Mails von extern[br]kommt. Und das andere, was in diesem
0:36:41.029,0:36:45.910
Unternehmen anders war, ist: Die haben[br]ihren Passwortwechsel nicht über das Web
0:36:45.910,0:36:49.459
abgeildet. Das heißt: Die Situation, in[br]die ich die Menschen da gebracht habe –
0:36:49.459,0:36:53.059
Ey, hier ist eine Webseite, gib mal dein[br]Passwort ein –, die waren die nicht
0:36:53.059,0:36:56.920
gewöhnt. Und deswegen sind die aus dem[br]Tritt gekommen, haben auf einmal mit ihrem
0:36:56.920,0:37:01.729
System 2 arbeiten müssen und haben den[br]Fehler nicht gemacht. Wenn wir uns die
0:37:01.729,0:37:06.559
Ergebnisse weiter anschauen; ich hatte ja[br]gesagt, es waren 4 Durchläufe. Der 2. und
0:37:06.559,0:37:10.539
der 4. Durchlauf waren jeweils nur mit[br]denen, die in dem davorgegangenen
0:37:10.539,0:37:15.779
Durchlauf quasi gephisht wurden. Das[br]heißt, wir haben denen noch mal so eine
0:37:15.779,0:37:20.289
Härteauffrischung gegeben. Man sieht auch,[br]da gibt’s einige sehr renitente Phish-
0:37:20.289,0:37:27.579
Klicker. Wir haben dann mal unter[br]kompletter Missachtung sämtlicher
0:37:27.579,0:37:31.799
datenschutzrechtlichen Vereinbarungen[br]geguckt, wer das war. Und das waren die
0:37:31.799,0:37:37.109
Funktionsaccounts. Also einfach die, wo[br]das Passwort eh, wo es quasi zum Job
0:37:37.109,0:37:41.700
gehört, mit einem Post-It das neue[br]Passwort an den Bildschirm zu kleben. Das
0:37:41.700,0:37:46.259
interessante ist: Wenn wir uns dieses[br]Ergebnis anschauen, also vom 1. zum 2.
0:37:46.259,0:37:52.129
Durchlauf und so weiter, haben wir[br]insgesamt einen Rückgang um 33% erzielt.
0:37:52.129,0:37:59.229
Ähh, Tschuldigung, ist falsch! Um 66%, ich[br]Idiot! 66%. 33% blieben über. Also ein
0:37:59.229,0:38:05.309
Rückgang auf 33%. Das ist eigentlich enorm[br]gut! In der Psychologie glaubt mir das
0:38:05.309,0:38:08.359
eigentlich kaum jemand, wenn man sagt, ich[br]habe eine Intervention; nach einmaliger
0:38:08.359,0:38:13.640
Intervention Verhaltensänderung bei 2/3[br]der Leute. Wenn wir uns das für die
0:38:13.640,0:38:16.630
Sicherheit unseres Unternehmens anschauen[br]oder unserer Organisation, ist das ein
0:38:16.630,0:38:21.969
riesiges Desaster, weil die 33% sind ja[br]immer noch ein riesiges Problem für uns.
0:38:21.969,0:38:25.089
Aber, Zusammenfassung: Durch diesen[br]lokalen Passwortwechsel und den Hinweis
0:38:25.089,0:38:28.930
„External“ sind die Leute in ungewohnte[br]Situationen gekommen und die
0:38:28.930,0:38:33.780
Wahrscheinlichkeit, dass sie darauf[br]reinfallen, geht runter.
0:38:33.780,0:38:40.510
Applaus[br]So, also was haben wir bis jetzt gelernt?
0:38:40.510,0:38:44.599
Das theoretische Lernen ist ohne Effekt.[br]Es zählt die Erfahrung aus erster Hand. Es
0:38:44.599,0:38:48.349
gibt abstrakte Verteidigungskonzepte, die[br]verstehen die Leute nun mal einfach nicht.
0:38:48.349,0:38:51.600
Bisher ist alles, was wir dafür haben,[br]eine anschauliche Didaktik. Die
0:38:51.600,0:38:53.890
Lerneffekte nehmen mit der Zeit ab,[br]deswegen muss man das regelmäßig
0:38:53.890,0:38:57.059
wiederholen. Die Lerneffekte werden nicht[br]generalisiert, also müssen wir die
0:38:57.059,0:39:02.850
Angriffsszenarien variieren. Und wenn die[br]Leute das nicht melden, haben wir ein
0:39:02.850,0:39:06.400
Problem, deswegen müssen wir sie außerdem[br]ermutigen und belohnen, wenn sie bei der
0:39:06.400,0:39:11.240
IT anrufen. Für die meisten Organisationen[br]auch eine völlig absurde Idee, wenn jemand
0:39:11.240,0:39:13.810
bei ihnen anruft, auch noch nett zu denen[br]zu sein.
0:39:13.810,0:39:18.680
Kurzes Lachen[br]Hat aber durchaus Effekt. So. Wenn wir uns
0:39:18.680,0:39:21.619
jetzt aber mal diese Situation anschauen,[br]dann ist doch eigentlich unser Ziel zu
0:39:21.619,0:39:26.029
sagen: OK, dann müssen wir Situationen[br]unserer IT-Systeme so bauen, dass sie dafür
0:39:26.029,0:39:30.079
nicht anfällig sind, dass wir irgendwelche[br]automatisierten Prozesse lernen, die
0:39:30.079,0:39:34.799
Sicherheitsprozesse sind. Also vielleicht[br]sollte das User Interface nicht so sein
0:39:34.799,0:39:45.019
wie diese frische Installationen von macOS[br]Catalina. Sondern anders. Denn: Wir können
0:39:45.019,0:39:48.750
uns nicht auf System 2 verlassen, aber die[br]meisten Schutzmaßnahmen tun genau das.
0:39:48.750,0:39:51.849
Also Microsoft Word erklärt einem[br]irgendwas und sagt dann: „Ja, ist doch
0:39:51.849,0:39:54.489
dein Problem, wenn du nicht verstehst,[br]wovon wir hier reden. Den Rest, der hier
0:39:54.489,0:39:57.349
passiert, um dich herum an diesem[br]Computer, verstehst du auch nicht. Hier
0:39:57.349,0:39:59.509
hast du einen Knopf, drück drauf!“[br]Kurzes Gelächter
0:39:59.509,0:40:03.159
Ne? So können wir nicht 20 Jahre agieren[br]und sagen, wir kriegen das Problem nicht
0:40:03.159,0:40:06.849
in den Griff. Es gibt eine Möglichkeit[br]übrigens, dieses Problem mit Microsoft
0:40:06.849,0:40:10.809
Word in den Griff zu kriegen und das ist:[br]Makros zu deaktivieren. Dann kommt der
0:40:10.809,0:40:17.329
Geschäftsbetrieb zum Erliegen. Oder Makros[br]zu signieren. Ganz einfaches Code-Signing
0:40:17.329,0:40:22.319
auf Makros geht, kann man per AD-[br]Gruppenrichtlinie ausrollen. Ich habe mal
0:40:22.319,0:40:26.519
mit einem IT-Sicherheitsbeauftragten eines[br]etwas größeren Unternehmen gesprochen. Das
0:40:26.519,0:40:29.559
war eines der wenigen Unternehmen, die das[br]jemals gemacht haben. Also die ich kenne,
0:40:29.559,0:40:33.949
die das jemals gemacht haben. Der meinte[br]so: „Ja, okay, hat ein Jahr gedauert. Ich
0:40:33.949,0:40:37.410
habe jetzt weiße Haare und eine[br]Halbglatze. Aber ich bin froh, dass ich
0:40:37.410,0:40:41.869
das Problem jetzt endlich aus der Welt[br]habe!“ Und das ist der einzige Mensch, der
0:40:41.869,0:40:46.729
das geschafft hat. In seinem Unternehmen[br]verhasst, ja? Aber er ist eigentlich ein
0:40:46.729,0:40:56.949
Held! Dem Mann muss man echt danken![br]Johlen; Applaus
0:40:56.949,0:41:00.299
Und was wir also machen müssen ist: Wir[br]müssen unser System 1 sichern. Intuitive
0:41:00.299,0:41:04.569
Handlungen müssen als Teil der[br]Sicherheitsmechanismen antizipiert werden.
0:41:04.569,0:41:07.270
Also wir dürfen den Nutzern nicht[br]angewöhnen, Passwörter in irgendwelche
0:41:07.270,0:41:10.800
Browserfenster zu tippen. Wir dürfen[br]Sicherheitsprozesse nicht per Mail oder
0:41:10.800,0:41:15.420
per Browser abbilden. Und wir können uns[br]auch mal überlegen, ob wir die freie Wahl
0:41:15.420,0:41:18.089
von Passwörtern vielleicht einfach[br]unterbinden, damit nicht überall
0:41:18.089,0:41:24.890
passwort123 gesetzt wird. Es wird langsam[br]besser. So, man kann Makros signieren und
0:41:24.890,0:41:30.339
deaktivieren. Man kann Software langsam[br]einschränken auf aus vertrauenswürdigen
0:41:30.339,0:41:32.729
Quellen, also aus den App Stores. Ich[br]weiß, da gibt es dann wieder andere
0:41:32.729,0:41:38.459
politische Probleme. Aber aus einer reinen[br]Sicherheitsperspektive ist das gut, wenn
0:41:38.459,0:41:42.660
Leute nicht irgendwelche runtergeladenen[br]EXEn aus dem Internet irgendwie anklicken
0:41:42.660,0:41:48.260
und irgendwelche Makros ausführen. Und mit[br]Fido2 und hardwarebasierten
0:41:48.260,0:41:53.180
Authentisierungsmechanismen wird es[br]langsam besser. 2-Faktor-Authentisierung
0:41:53.180,0:41:58.460
hat einen großen Vormarsch. Also, die Welt[br]ist nicht ganz so schlecht wie wir es
0:41:58.460,0:42:01.589
glauben, aber ich würde mir sehr wünschen,[br]dass wir mit unseren
0:42:01.589,0:42:09.520
Sicherheitsmechanismen einfach viel mehr[br]auf die Intuititivät setzen, denn wenn wir
0:42:09.520,0:42:12.829
uns mal irgendwie anschauen, wie diese[br]Browserwarnungen, irgendwie „Achtung, mit
0:42:12.829,0:42:17.359
dem Zertifikat stimmt was nicht“, ungefähr[br]so, die hat glaube ich, bis sie dann
0:42:17.359,0:42:19.959
irgendwann weg waren, weil Let’s Encrypt[br]gekommen ist und es einfach mal
0:42:19.959,0:42:24.469
vernünftige Zertifikate gab, die hat auch[br]niemand verstanden. Und entsprechend haben
0:42:24.469,0:42:28.920
wir hier auch quasi ein wunderschönes SSL[br]gehabt, was am Ende daran gescheitert ist,
0:42:28.920,0:42:32.170
dass wir scheiß User Interfaces dafür[br]hatten. Inzwischen ist es so, dass Browser
0:42:32.170,0:42:38.069
die Verbindung einfach nicht herstellen.[br]Auch das ist ein Zugewinn! Joa. Ich habe
0:42:38.069,0:42:43.150
schon überzogen, das war’s. Macht bitte[br]eure Backups, wechselt überall eure
0:42:43.150,0:42:47.029
Passwörter. Ich schicke euch dazu nachher[br]noch mal eine E-Mail und vielen Dank.
0:42:47.029,0:42:48.619
Gelächter
0:42:48.619,0:43:00.830
Applaus
0:43:00.830,0:43:06.969
Engel: So. Das war doch in gewohnter[br]Manier unterhaltsam. Und ich frage mich,
0:43:06.969,0:43:11.690
wenn Linus’ Zahnarzt jetzt einen[br]Passwortmanager benutzt: Benutzt Linus
0:43:11.690,0:43:15.369
jetzt zweimal täglich Zahnseide?[br]Linus: Ich habe mir gerade noch die Zähne
0:43:15.369,0:43:18.929
geseilt! Habe ich tatsächlich![br]Engel: Also, macht immer schön eure
0:43:18.929,0:43:21.999
Backups und benutzt Zahnseide!
0:43:21.999,0:43:25.779
Abspannmusik
0:43:25.779,0:43:48.000
Untertitel erstellt von c3subtitles.de[br]im Jahr 20??. Mach mit und hilf uns!