1
00:00:00,000 --> 00:00:18,580
36C3 Vorspannmusik
2
00:00:18,580 --> 00:00:21,690
Engel: Guten Morgen, Linus!
Linus Neumann: Guten Morgen, Sebastian!
3
00:00:21,690 --> 00:00:28,260
Applaus
4
00:00:28,260 --> 00:00:32,510
Ja, es freut mich, dass ihr so zahlreich
erschienen seid und auf diesen
5
00:00:32,510 --> 00:00:36,390
reißerischen Titel reingefallen seid! Ich
möchte ein bisschen über menschliche
6
00:00:36,390 --> 00:00:40,210
Faktoren der IT-Sicherheit sprech und habe
mich für den Titel „Hirne hacken“
7
00:00:40,210 --> 00:00:45,980
entschieden. Der Hintergrund ist, dass
wenn man irgendwie von Hackern spricht,
8
00:00:45,980 --> 00:00:49,080
sehr häufig so ein bisschen dieser Nimbus
gilt, dass es irgendwie so Halbgötter in
9
00:00:49,080 --> 00:00:52,399
schwarz sind. Man weiß nicht so genau was
die machen, aber die kommen irgendwie da
10
00:00:52,399 --> 00:00:56,690
rein und diese Hacker, die sind in meinem
Gerät drin und ich weiß auch nicht genau,
11
00:00:56,690 --> 00:01:01,180
was die von mir wollen und wie die das
gemacht haben. Und die Realität da draußen
12
00:01:01,180 --> 00:01:06,229
ist eigentlich sehr anders als die meisten
Leute sich das vorstellen. Ich vertrete
13
00:01:06,229 --> 00:01:12,969
die These, dass eigentlich jedes praktisch
relevante Problem der IT-Sicherheit
14
00:01:12,969 --> 00:01:18,479
theoretisch gelöst wurde. Also wir haben
jetzt keine … uns fehlt nicht das Wissen,
15
00:01:18,479 --> 00:01:23,119
wie wir eine bestimmte Lösung in der IT-
Sicherheit machen müssen, aber wir kriegen
16
00:01:23,119 --> 00:01:26,419
es irgendwie nicht hin. Denn obwohl wir
alles theoretisch gelöst haben, ist die
17
00:01:26,419 --> 00:01:31,780
praktische IT-Sicherheit ein einziges
Desaster. Und das liegt wahrscheinlich
18
00:01:31,780 --> 00:01:36,650
daran, dass wir uns irgendwie so spannende
IT-Sicherheitsmechanismen aufbauen und die
19
00:01:36,650 --> 00:01:40,901
prüfen wir dann. Ne, da sieht man hier so
einen schönen Pfahl und der hält jetzt
20
00:01:40,901 --> 00:01:44,011
irgendwie ein Tier gefangen und wenn man
sich das in der Realität anschaut, sieht’s
21
00:01:44,011 --> 00:01:51,221
eher so aus.
unverständliche Sprache des Herrn im Video
22
00:01:51,221 --> 00:01:55,309
*jemand im Video singt zum Lied „Einzug
der Gladiatoren“ einen etwas anderen Text,
23
00:01:55,309 --> 00:01:59,659
der Circus beinhaltet*
Linus: Das ist jetzt ’ne kleine Bedrohung
24
00:01:59,659 --> 00:02:04,219
und irgendwie stellen wir uns vor, dass
das bei den großen Bedrohungen anders
25
00:02:04,219 --> 00:02:10,560
wäre. Schauen wir uns an: Wir lesen
irgendwie überall von Emotet überall.
26
00:02:10,560 --> 00:02:15,160
Hacker komprimitieren Computer,
verschlüsseln alle Dateien, fordern dann
27
00:02:15,160 --> 00:02:19,840
hohes Lösegeld und Heise haben sehr viel
darüber berichtet, bis es sie dann selber
28
00:02:19,840 --> 00:02:25,000
erwischt hat. Das heißt, auch die, die es
wirklich wissen und wissen müssen und
29
00:02:25,000 --> 00:02:28,350
können müssten, sind irgendwie nicht davor
gefeit und das finde ich eigentlich
30
00:02:28,350 --> 00:02:31,340
ziemlich interessant. Und wenn wir uns mal
anschauen, was in der IT-
31
00:02:31,340 --> 00:02:35,530
Sicherheitsforschung abgeht, auch hier auf
dem Kongress, deswegen habe ich den
32
00:02:35,530 --> 00:02:39,370
Vortrag auch hier eingereicht, so die
Forschung muss immer echt Avantgarde sein.
33
00:02:39,370 --> 00:02:43,280
Das ist irgendwie großen Applaus und
Voodoo, und hier noch ein Exploit und
34
00:02:43,280 --> 00:02:48,070
haste alles nicht gesehen und Remote Code
Execution, während die Realität
35
00:02:48,070 --> 00:02:52,600
demgegenüber, also so wie jetzt
tatsächliches Cyber da draußen geht, ist
36
00:02:52,600 --> 00:02:58,341
ungefähr eher so. Bin ich schon drin oder
was? Das heißt, wir leben eigentlich, weil
37
00:02:58,341 --> 00:03:02,000
wir das auch als Nerds und Hacker
irgendwie interessant finden, in irgendwie
38
00:03:02,000 --> 00:03:07,780
dieser Welt, während das was da draußen
wirklich an Kriminalität stattfindet, eher
39
00:03:07,780 --> 00:03:15,160
so Hütchenspiel ist. Und dieses
Hütchenspielproblem lösen wir aber nicht.
40
00:03:15,160 --> 00:03:18,730
Und ich glaube, dass das sehr unsinnig
ist, sehr schlecht ist, dass wir uns um
41
00:03:18,730 --> 00:03:22,370
die Problemfelder, die eigentlich ganz
prävalent sind, die überall beobachtet
42
00:03:22,370 --> 00:03:26,870
werden – selbst im Heise-Verlag –, dass
wir uns um die eigentlich nicht kümmern.
43
00:03:26,870 --> 00:03:31,230
Und da machen wir eigentlich seit Jahren
keinen Fortschritt. Ich möchte ein
44
00:03:31,230 --> 00:03:34,410
bisschen über einfache Scams reden, ein
bisschen über Passwortprobleme, ein
45
00:03:34,410 --> 00:03:40,970
bisschen über Schadsoftware. Ein Scam, der
uns auch im CCC sehr amüsiert hat, ist der
46
00:03:40,970 --> 00:03:45,820
Scam, der Chaos-Hacking-Gruppe. Die Chaos-
Hacking-Gruppe verschickt E-Mails und sagt
47
00:03:45,820 --> 00:03:49,700
den Leuten: Ja, also ich hab irgendwie
dein System mit einem Trojaner infiziert
48
00:03:49,700 --> 00:03:56,140
und wir sind uns Ihrer intimen Abenteuer
im Internet bewusst. Wir wissen, dass Sie
49
00:03:56,140 --> 00:04:00,750
Websites für Erwachsene lieben und wir
wissen über Ihre Sexsucht Bescheid. Und
50
00:04:00,750 --> 00:04:04,710
versuchen dann von den Leuten irgendwie
Geld zu erpressen. Geben Bitcoin-Wallet an
51
00:04:04,710 --> 00:04:09,340
und, ja, versuchen halt irgendwie, die
Leute zu erpressen. Interessanterweise
52
00:04:09,340 --> 00:04:13,360
gibt es Leute, die sich dann darüber echt
Gedanken machen. Die bestreiten aber
53
00:04:13,360 --> 00:04:18,500
immer, dass das … Also das kann eigentlich
sein, was die da sagen, ne? Wer geübt ist
54
00:04:18,500 --> 00:04:22,100
im Erpressen weiß natürlich: Solang die
kein Beweismittel liefern, zahlen wir
55
00:04:22,100 --> 00:04:27,930
erstmal nicht. Wenn die Leute dann aber so
mit dieser Art und Weise versucht werden,
56
00:04:27,930 --> 00:04:33,330
betrogen zu werden und das googlen, dann
kommen sie direkt an den Nächsten. Wenn
57
00:04:33,330 --> 00:04:36,830
man jetzt die Chaos-CC-Gruppe googelt,
dann wird einem auf irgendwelchen
58
00:04:36,830 --> 00:04:40,410
Webseiten klargemacht, dass es sich um
einen Trojaner handeln würde und man jetzt
59
00:04:40,410 --> 00:04:47,180
irgendsoeine nächste Schadsoftware
runterladen soll. Also quasi wie man
60
00:04:47,180 --> 00:04:52,470
diesen Schaden wieder entfernt. Das heißt,
die Leute kommen hier echt vom Regen in
61
00:04:52,470 --> 00:04:57,120
die Traufe: Haha, ich wusste, du willst
gerne verarscht werden; hier habe ich noch
62
00:04:57,120 --> 00:05:03,540
ein bisschen Snake-Oil für dich. Das
heißt, die Welt da draußen, für unsere
63
00:05:03,540 --> 00:05:07,220
ungeübten Nutzerinnen und Nutzer ist
relativ gefährlich. Schauen wir uns mal
64
00:05:07,220 --> 00:05:11,900
an, wie das bei den Geübten aussieht: Die
Linux-Kernelmailingliste ist vielleicht
65
00:05:11,900 --> 00:05:16,950
einigen von euch ein Begriff. Da ist auch
vor kurzem mal so eine E-Mail eingegangen.
66
00:05:16,950 --> 00:05:22,570
Am 31. Oktober 2018, ist schon etwas her.
Da wurde sogar das Passwort angegeben, ja,
67
00:05:22,570 --> 00:05:25,090
das ist also so das nächste Level von
diesem Scam: Du schreibst einfach
68
00:05:25,090 --> 00:05:28,400
irgendsoeinen Passwort-Leak noch mit rein,
die Leute kriegen dann Herzrasen, weil ihr
69
00:05:28,400 --> 00:05:35,350
Passwort in der E-Mail steht und auch hier
wollte jemand eben Bitcoins haben, unter
70
00:05:35,350 --> 00:05:38,810
anderem von den Linux-Kernel-Entwicklern.
Bitcoin ist ja ganz schön: Man kann ja in
71
00:05:38,810 --> 00:05:42,180
die Blockchain schauen und sehen, wieviel
die Linux-Kernel-Entwickler da so bezahlt
72
00:05:42,180 --> 00:05:47,970
haben. In dem Wallet befinden sich 2,98
Bitcoin. Das sind vor ein paar Tagen noch
73
00:05:47,970 --> 00:05:51,410
ungefähr 19000€ gewesen, also soll noch
mal einer sagen, mit Linux könnte man
74
00:05:51,410 --> 00:05:54,480
keinen Profit machen.
Gelächter
75
00:05:54,480 --> 00:06:01,401
Applaus
Die E-Mail ging natürlich auch noch an
76
00:06:01,401 --> 00:06:05,520
sehr viele weitere außer der Linux-
Kernelliste, aber ich denke, man sieht
77
00:06:05,520 --> 00:06:08,500
hier, man fragt sich eigentlich: Warum
machen wir eigentlich den Quatsch, den wir
78
00:06:08,500 --> 00:06:11,120
machen, wenn wir so einfach uns Geld
überweisen lassen können mit ein paar
79
00:06:11,120 --> 00:06:17,140
Spam-Mails?! Geht aber noch weiter: Geld
überweisen, Klassiker. Der CEO-Fraud.
80
00:06:17,140 --> 00:06:22,310
Großes Team auch – ist eines der großen
Szenarien, dem irgendwie mittelständische
81
00:06:22,310 --> 00:06:26,240
Unternehmen, größere Unternehmen
ausgesetzt sind. Kriegst eine E-Mail, wo
82
00:06:26,240 --> 00:06:30,340
dann irgendwie geagt wird: Ey, wir müssen
jetzt mal hier die Rechnung bezahlen. Wir
83
00:06:30,340 --> 00:06:33,940
müssen das heute erledigen. Meistens sind
das dann, also in der einen Schiene sind
84
00:06:33,940 --> 00:06:37,020
das dann eher so geringe Beträge, die
jetzt vielleicht auch einfach mal
85
00:06:37,020 --> 00:06:42,889
durchgehen. Geht aber natürlich auch in
einer Nummer schärfer. Alles schon
86
00:06:42,889 --> 00:06:49,050
tatsächlich sehr häufig passiert, dass
also so eine Geschichte gemacht wird: Ja,
87
00:06:49,050 --> 00:06:53,040
der große Deal mit den Chinesen steht
irgendwie kurz bevor und du darfst jetzt
88
00:06:53,040 --> 00:06:57,150
mit niemandem darüber sprechen, aber du
musst jetzt mal ganz kurz 2 Mio. auf die
89
00:06:57,150 --> 00:07:01,260
Seychellen überweisen. Und dann machen die
Leute das und diese E-Mails arbeiten
90
00:07:01,260 --> 00:07:05,650
einfach so ein bisschen mit Autorität,
Vertrauen, Eile und Druck und leiten
91
00:07:05,650 --> 00:07:11,949
Menschen an, dann das zu tun, was sie
eigentlich nicht tun sollten. Das ist auf
92
00:07:11,949 --> 00:07:15,250
Anhieb erstmal vielleicht halbwegs witzig,
wenn man aber mal mit so einem Menschen
93
00:07:15,250 --> 00:07:19,240
spricht, dem das passiert ist, die haben
danach echt schwere Krisen, weil sie
94
00:07:19,240 --> 00:07:22,470
natürlich wissen, dass das nicht besonders
klug war und auch recht schädlich für das
95
00:07:22,470 --> 00:07:28,200
Unternehmen und das ist eigentlich dann
gar nicht mehr so unterhaltsam. Kommen wir
96
00:07:28,200 --> 00:07:34,740
zurück zu unterhaltsamen Sachen: Der
Authentisierung. Eine Sache, die vielen
97
00:07:34,740 --> 00:07:38,680
Menschen Probleme bereitet, ist ihr
Passwort und das Problem ist, dass sie
98
00:07:38,680 --> 00:07:43,340
eben auch nur eines haben und dieses sich
dann in solchen Sammlungen wie Collection
99
00:07:43,340 --> 00:07:48,830
#1-#5 befindet, die ihr natürlich auch –
wir alle haben die ja immer dabei und
100
00:07:48,830 --> 00:07:55,410
können dort die Passwört nachschlagen, zum
Beispiel: 23bonobo42, Tim Pritlove; weiß
101
00:07:55,410 --> 00:08:03,490
jeder. Das schöne ist an diesen Listen:
Auch wir, die Ahnung davon haben sollten,
102
00:08:03,490 --> 00:08:06,910
sind da drin. Wenn man meine E-Mail-
Adresse bei haveibeenpwned eingibt – einer
103
00:08:06,910 --> 00:08:11,130
Webseite, wo man checken kann, ob eine
E-Mail-Adresse in Leaks vorhanden ist,
104
00:08:11,130 --> 00:08:15,990
findet man das auch bei mir. So. Kommen
später dazu, wie das vielleicht passiert
105
00:08:15,990 --> 00:08:22,470
sein könnte. Die Sache, die mich daran so
ärgert, ist dass wir eigentlich seit es
106
00:08:22,470 --> 00:08:26,080
Computer gibt, dieses Passwortproblem nie
so richtig angegangen sind. Wir sagen den
107
00:08:26,080 --> 00:08:30,009
Leuten eigentlich: OK, dein Passwort darf
nicht zu erraten sein, am besten zufällig,
108
00:08:30,009 --> 00:08:33,950
ohne jegliches System. Es soll so lang wie
möglich sein, am besten nicht nur ein
109
00:08:33,950 --> 00:08:40,089
Wort. Und es muss überall unterschiedlich
sein. Und kein Mensch tut das. Ja, wenn
110
00:08:40,089 --> 00:08:44,250
man irgendwie … war letztens beim
Zahnarzt. Wenn man mit dem redet, der sagt
111
00:08:44,250 --> 00:08:47,389
einem auch jedes mal: Ja, du musst aber
morgens, mittags, abends Zahnseide, haste
112
00:08:47,389 --> 00:08:51,390
nicht gesehen. Jaja, genau, mach du
erstmal überall andere Passwört und dann
113
00:08:51,390 --> 00:08:55,214
können wir weiterreden, ne?
Gelächter
114
00:08:55,214 --> 00:09:02,710
Applaus
Und ja, das habe ich gemacht so irgendwann
115
00:09:02,710 --> 00:09:06,080
habe ich das vor ein paar Jahren auch
tatsächlich getan. Ich benutze jetzt einen
116
00:09:06,080 --> 00:09:09,840
Passwortmanager. Wissen wir alle, dass das
klug und gut ist. Aber ich renne
117
00:09:09,840 --> 00:09:12,550
eigentlich seit vielen Jahren um die Welt,
erkläre den Leuten von diesen
118
00:09:12,550 --> 00:09:15,960
Passwortmanagern. Und die Reaktion ist
immer die gleiche: The fuck?! So … Das
119
00:09:15,960 --> 00:09:20,420
will ich nicht haben. Ja, und wir haben
einfach in dieser Welt nie mehr
120
00:09:20,420 --> 00:09:23,800
hingekriegt als den Leuten zu sagen:
Benutzt doch einen Passwortmanager. Und
121
00:09:23,800 --> 00:09:27,499
dann fragen sie immer: Welchen? Und dann
sage ich immer: Ich empfehle keinen.
122
00:09:27,499 --> 00:09:32,200
Gelächter
Frage ist: Wie kommen die Leute eigentlich
123
00:09:32,200 --> 00:09:36,360
an diese ganzen Passwörter? Klar: Die
machen entweder irgendwelche Services auf
124
00:09:36,360 --> 00:09:39,230
und holen die Passwört dann aus den
Datenbanken, wo sie nicht gehasht und
125
00:09:39,230 --> 00:09:42,560
gesalted gespeichert wurden, oder sie
schicken einfach mal eine E-Mail und
126
00:09:42,560 --> 00:09:48,720
fragen nach dem Passwort. Hier ein schönes
Beispiel, das ich deshalb ausgewählt habe,
127
00:09:48,720 --> 00:09:53,310
weil ich darauf reingefallen bin.
Applaus
128
00:09:53,310 --> 00:10:02,700
Aaaaah. PayPal möchte mir in einer
wichtigen Nachricht mitteilen, dass „unser
129
00:10:02,700 --> 00:10:06,760
System einen nicht authorisierten Zugriff
auf Ihr PayPal-Konto festgestellt hat. Um
130
00:10:06,760 --> 00:10:09,580
Ihre Sicherheit weiterhin vollständig
gewährleisten zu können, klicken Sie bitte
131
00:10:09,580 --> 00:10:14,890
auf diesen Knopf.“, ja? Und das schöne an
solchen Dingern ist immer: Es gibt in der
132
00:10:14,890 --> 00:10:18,600
Regel nur einen Knopf. Und das sollte
einen eigentlich stutzig machen. Genauso
133
00:10:18,600 --> 00:10:22,480
hätte mich stutzig machen sollen, dass da
oben erstmal nicht PayPal in der
134
00:10:22,480 --> 00:10:28,910
Adresszeile steht, aber ich war irgendwie
müde und habe irgendwie da drauf geklickt
135
00:10:28,910 --> 00:10:32,100
und jetzt kommt, was mir dann doch noch
den Allerwertesten gerettet hat: Mein
136
00:10:32,100 --> 00:10:37,409
Passwortmanager konnte mir kein Passwort
für diese Seite anbieten.
137
00:10:37,409 --> 00:10:44,820
Applaus
So. Ich hab jetzt extra rausgenommen,
138
00:10:44,820 --> 00:10:47,850
welcher Passwortmanager das ist.
Diejenigen, die ihn trotzdem erkennen:
139
00:10:47,850 --> 00:10:51,990
Nicht denken, dass ich ihn lobe, weil:
Dieser Passwortmanager hat vor kurzem ein
140
00:10:51,990 --> 00:10:55,750
Update erfahren und wenn ich das gleiche
Spielchen heute mache, dann sagt der: Ich
141
00:10:55,750 --> 00:10:59,760
kenne die Seite nicht, aber vielleicht
willst du deine Kreditkarte oder deine
142
00:10:59,760 --> 00:11:05,760
Adresse eingeben? Herzlichen Dank … So,
auf den Passwortmanager kann ich gerne
143
00:11:05,760 --> 00:11:09,510
verzichten. Wenn man sich so
Phishingseiten anschaut; ich mein, ist
144
00:11:09,510 --> 00:11:13,190
jetzt gar kein Hexenwerk. Man nimmt
einfach irgendeine Website, kopiert die
145
00:11:13,190 --> 00:11:16,350
auf einen anderen Server und programmiert
sich dahinter ein kleines Backend, was
146
00:11:16,350 --> 00:11:20,459
alle Requests entgegennimmt, die man da so
hinschickt. Hier habe ich letztens mal
147
00:11:20,459 --> 00:11:28,000
eine sehr schöne bekommen: Das war der
Gmail Webmail Login. Aber die haben, ich
148
00:11:28,000 --> 00:11:34,250
fand das eigentlich ganz elegant, was sie
gemacht haben: Die haben quasi die Domain
149
00:11:34,250 --> 00:11:39,800
der E-Mail-Adresse noch als GET-Request
mitgesendet und dann in ihrem Quelltext
150
00:11:39,800 --> 00:11:45,090
einfach das Favicon zu der Domain auf
Google gesucht und dort eingeblendet. Das
151
00:11:45,090 --> 00:11:47,490
heißt, wenn ihr da eine andere Domain
angebt, dann steht da immer ein anderes
152
00:11:47,490 --> 00:11:53,120
Logo, um einfach so diese Seite ein
bisschen naheliegender zu machen. Wenn wir
153
00:11:53,120 --> 00:11:56,201
uns das anschauen, die
Erfolgswahrscheinlichkeit, die solche
154
00:11:56,201 --> 00:12:01,510
Massenmails haben, ist enorm gering. Ja?
Die ist winzig klein. Diese Mails werden
155
00:12:01,510 --> 00:12:07,170
millionenfach versendet, an ganz viele
Empfängerinnen und Empfänger und wenn man
156
00:12:07,170 --> 00:12:11,660
aber dann auch so viele Mails versendet
und in so vielen Spamfiltern hängenbleibt,
157
00:12:11,660 --> 00:12:15,270
dann findet man immer noch mal einen, der
dann doch noch ein Passwort da einträgt
158
00:12:15,270 --> 00:12:18,920
und schon haben wir eine schöne
Geschichte. Das ist hier jetzt irgendwie
159
00:12:18,920 --> 00:12:24,349
so ein Massenmailding. Ich mein, ihr müsst
nur mal in euren Spamfolder reinschauen,
160
00:12:24,349 --> 00:12:28,890
da werdet ihr diese E-Mails finden. Blöd
ist halt, wenn da mal irgendwann nicht im
161
00:12:28,890 --> 00:12:33,760
Spam landen. Wir haben da jetzt so ein
bisschen über massenhafte Angriffe
162
00:12:33,760 --> 00:12:40,280
gesprochen. Die zielen halt auf die besten
von uns ab. Wenn wir das ganze aber mal
163
00:12:40,280 --> 00:12:44,980
gezielt machen, spricht man nicht mehr vom
Phishing, sondern vom Spearphishing. Und
164
00:12:44,980 --> 00:12:49,620
beim Spearphishing sendet man nicht
Millionen E-Mails, sondern man sendet
165
00:12:49,620 --> 00:12:54,110
eine. Und zwar genau an die Person, von
der man das Passwort haben möchte. Und man
166
00:12:54,110 --> 00:13:00,970
macht eine Geschichte, die genau zu dieser
Person auch passt. Also häufig mache ich
167
00:13:00,970 --> 00:13:05,740
das ganz gerne so mit Passwortreset-Mails,
ja? Also gibt’s in vielen Unternehmen.
168
00:13:05,740 --> 00:13:10,019
Sehr kluge Idee: Alle Mitarbeiter müssen
alle 3 Monate die Zahl am Ende ihres
169
00:13:10,019 --> 00:13:13,930
Passworts um 1 inkrementieren.
Gelächter
170
00:13:13,930 --> 00:13:23,529
Applaus
Und den E-Mail-Login von den meisten
171
00:13:23,529 --> 00:13:26,850
Unternehmen muss man auch nicht besonders
fälschen, den habe ich schon einmal
172
00:13:26,850 --> 00:13:32,480
fertig. So, wenn man solche Sachen macht,
also Spearphishing, haben wir eher so eine
173
00:13:32,480 --> 00:13:36,490
Wahrscheinlichkeit von 30%, dass die
Zielperson auf die Seite geht, ihr
174
00:13:36,490 --> 00:13:40,690
Passwort eingibt. Wenn ich das mit 3
Personen mache, habe ich einen Business
175
00:13:40,690 --> 00:13:45,280
Case. Und vor allem habe ich in der Regel
keinen Spamfilter, der mir im Weg ist. Ich
176
00:13:45,280 --> 00:13:49,000
kann wunderschön einen Mailserver
aufsetzen mit minimal anderen Domains, die
177
00:13:49,000 --> 00:13:52,400
machen DKIM, die machen alles, was du
haben willst. Die haben sogar ein schönes
178
00:13:52,400 --> 00:13:57,420
Let’s Encrypt Zertifikat auf ihrer
Website. Funktioniert und kommt in der
179
00:13:57,420 --> 00:14:02,490
Regel durch. Auf das Problem komme ich
nachher noch mal zurück, denn das würde
180
00:14:02,490 --> 00:14:07,829
ich sehr gerne lösen. Aber auch beim
Verbreiten von Schadsoftware ist das ein
181
00:14:07,829 --> 00:14:13,180
beliebtes Pro… oder ein beliebtes Ziel,
nicht irgendwie fette 0-Day-Exploits zu
182
00:14:13,180 --> 00:14:18,240
verballern, sondern einfach mal den Leuten
die Software anzubieten und zu gucken, wie
183
00:14:18,240 --> 00:14:23,430
sie die installieren. TRS hat mich da auf
einen Tweet aufmerksam gemacht, der ist
184
00:14:23,430 --> 00:14:27,810
schon ein paar Jahre alt, aber er ist sehr
wahr: „Manchmal fühlt man sich als ITler
185
00:14:27,810 --> 00:14:32,440
wie ein Schafhirte. Allerdings sind die
Schafe betrunken. Und brennen! Und klicken
186
00:14:32,440 --> 00:14:40,970
überall drauf!!“
Applaus
187
00:14:40,970 --> 00:14:48,460
Von @Celilander. Ja. Dann habe ich
irgendwie letztens mal … wer den Vortrag
188
00:14:48,460 --> 00:14:52,250
von Thorsten gesehen hat, sieht dass wir
da auch was mit einem Torrent gemacht
189
00:14:52,250 --> 00:14:57,050
haben. Da war ich hier bei den Drive-By
Exploit Paralympics, wo ich also auf eine
190
00:14:57,050 --> 00:15:01,470
Webseite gekommen bin, die mich auch sehr
gedrängt hat, irgendetwas zu installieren.
191
00:15:01,470 --> 00:15:06,050
Ich müsste ein Update machen, irgendwelche
komischen Plug-Ins installieren oder so,
192
00:15:06,050 --> 00:15:10,310
ne? Und die Leute machen das! Also es ist
regelmäßig, dass irgendwelche Leute bei
193
00:15:10,310 --> 00:15:14,690
mir sitzen und sagen: „Ja, hier, ich habe
einen Virus.“ – „Ja, wieso? Woher wissen
194
00:15:14,690 --> 00:15:20,370
Sie das denn?“ – „Ja, eh … stand da!“
Gelächter
195
00:15:20,370 --> 00:15:24,030
Und dann haben die halt irgendwas
installiert und dann merkt man so: Dann
196
00:15:24,030 --> 00:15:25,940
haben sie gecheckt, dass das
wahrscheinlich nicht klug war und dann
197
00:15:25,940 --> 00:15:29,040
haben sie am Ende irgendwie 86
Schadsoftwares drauf, die behaupten
198
00:15:29,040 --> 00:15:35,250
Schadsoftwares zu entfernen. Übrigens:
Genau so wurde auch der Staatstrojaner
199
00:15:35,250 --> 00:15:38,860
FinSpy gegen die türkische Opposition
eingesetzt. Die haben eine schöne Website
200
00:15:38,860 --> 00:15:42,690
gemacht und haben gesagt: Ey guck mal
hier, klick mal hier drauf, könnt ihr
201
00:15:42,690 --> 00:15:47,600
runterladen. Wie gesagt: Die Analyse hat
Thorsten mit Ulf Buermeyer heute morgen
202
00:15:47,600 --> 00:15:53,880
schon präsentiert. Da sind wir dann auch
schon bei den … Kurzer Applaus für
203
00:15:53,880 --> 00:16:00,300
Thorsten!
Applaus
204
00:16:00,300 --> 00:16:07,650
Da sind wir dann auch schon jetzt bei dem
Problem, was seit ungefähr 2016 der Welt
205
00:16:07,650 --> 00:16:12,599
Ärger bereitet, nämlich die sogenannte
Ransomware. Funktioniert relativ einfach:
206
00:16:12,599 --> 00:16:16,899
Man kriegt eine E-Mail. In der E-Mail ist
irgendein Anhang, in diesem Beispiel, das
207
00:16:16,899 --> 00:16:22,980
haben wir mal 2016 durchgespielt, das war
Locky, war’s eine Rechnung. Und wenn ich
208
00:16:22,980 --> 00:16:29,779
jetzt diesen Anhang öffne, passiert
folgendes. Es meldet sich das wunderschöne
209
00:16:29,779 --> 00:16:33,970
Programm Microsoft Word.
Johlen
210
00:16:33,970 --> 00:16:38,290
Und Microsoft Word hat direkt 2
Warnmeldungen parat. Ihr seht sie dort
211
00:16:38,290 --> 00:16:45,920
oben in gelb und rot auf dem Bildschirm.
Die rote Warnmeldung ist die, dass es sich
212
00:16:45,920 --> 00:16:50,640
um eine nichtlizensierte Version des
Programmes handelt.
213
00:16:50,640 --> 00:16:55,899
Gelächter
Die habt ihr also entweder nicht oder ihr
214
00:16:55,899 --> 00:16:58,660
habt sie auch und ihr habt euch schon dran
gewöhnt.
215
00:16:58,660 --> 00:17:03,790
Gelächter
Die gelbe Warnmeldung ist die, die euch
216
00:17:03,790 --> 00:17:09,100
davor warnt, dass ihr gerade auf dem Weg
seid, euch sehr, sehr in den Fuß zu
217
00:17:09,100 --> 00:17:16,319
schießen. Und diese Warnmeldung ist sehr
einfach verständlich. Seien sie
218
00:17:16,319 --> 00:17:21,559
vorsichtig: Dateien aus dem Internet
können Viren beinhalten. Wenn Sie diese
219
00:17:21,559 --> 00:17:24,939
Datei nicht bearbeiten müssen, ist es
sicherer, in der geschützten Ansicht zu
220
00:17:24,939 --> 00:17:28,820
verbleiben. Und in konsistenter
Formulierung mit diesem Satz ist daneben
221
00:17:28,820 --> 00:17:36,200
ein Knopf, auf dem steht: Bearbeiten
aktivieren. Versteht jeder sofort, was da
222
00:17:36,200 --> 00:17:41,620
gemeint ist! Gefahrenpotenzial ist sofort
klar. Und wir haben wieder genau so wie in
223
00:17:41,620 --> 00:17:45,720
dieser PayPal-Phishing-E-Mail den
wunderschönen riesigen großen Knopf. Und
224
00:17:45,720 --> 00:17:50,790
oben rechts in der Ecke, ganz klein, es
versteckt sich ein bisschen. Es flieht vor
225
00:17:50,790 --> 00:17:56,380
eurer Aufmerksamkeit. Ist ein
klitzekleines graues Kreuzchen. Das wäre
226
00:17:56,380 --> 00:18:00,770
der Weg in die Sicherheit. Aber natürlich
seid ihr darauf trainiert, diesen Knopf zu
227
00:18:00,770 --> 00:18:04,350
drücken, weil diese Warnmeldung kommt
schließlich jedes mal, wenn ihr Microsoft
228
00:18:04,350 --> 00:18:08,760
Word öffnet, weil irgendwelche Makros sind
ja in fast jedem Word-Dokument drin, was
229
00:18:08,760 --> 00:18:13,500
in eurem Unternehmen so rumschwirrt. Ist
aber nicht schlimm, es geht nämlich
230
00:18:13,500 --> 00:18:19,290
weiter. Microsoft Word hat direkt noch
eine Warnung für euch: Sicherheitswarnung.
231
00:18:19,290 --> 00:18:25,350
Makros wurden deaktiviert. Inhalte
aktivieren. Und wir sitzen jetzt also da,
232
00:18:25,350 --> 00:18:28,980
in diesem Beispiel Locky, vor einem leeren
Blatt Papier. Ein leeres Blatt Papier ganz
233
00:18:28,980 --> 00:18:33,740
ohne Inhalt. Alles, wonach es uns durstet,
sind Inhalte. Also drücken wir jetzt da
234
00:18:33,740 --> 00:18:37,880
auf Inhalte aktivieren. Und ich habe jetzt
mal hier auf dem Desktop so ein paar
235
00:18:37,880 --> 00:18:42,260
Dateien drapiert, die dort so liegen. Und
wenn ich jetzt auf den Knopf drücke,
236
00:18:42,260 --> 00:18:47,450
passiert folgendes: Sie sind weg. Das
Makro, was in diesem Word-Dokument ist,
237
00:18:47,450 --> 00:18:53,960
lädt im … lädt über einen einfachen GET-
Request eine EXE-Datei runter und führt in
238
00:18:53,960 --> 00:18:59,450
dem Fall Locky aus. Locky rasiert einmal
durch die Festplatte, verschlüsselt alle
239
00:18:59,450 --> 00:19:04,160
Dateien und wenn er fertig ist, sagt er:
Übrigens: Deine Dateien sind jetzt
240
00:19:04,160 --> 00:19:08,110
verschlüsselt und wenn Leute verschlüsselt
hören, dann sagen die immer: Ja aber kann
241
00:19:08,110 --> 00:19:12,619
man das nicht irgendwie entschlüsseln?
Deswegen steht hier auch direkt: Nein.
242
00:19:12,619 --> 00:19:16,520
Kann man nicht. Es wäre total unsinnig,
wenn man Dinge verschlüsseln würde, die
243
00:19:16,520 --> 00:19:21,410
man einfach wieder entschlüsseln könnte.
Deswegen haben wir das richtig macht. Und
244
00:19:21,410 --> 00:19:24,410
da haben die hier so eine schöne Website
gehabt und da wurde dann eben erklärt,
245
00:19:24,410 --> 00:19:29,670
wohin man wieviel Bitcoin überweisen muss.
Locky war da noch relativ großzügig. Die
246
00:19:29,670 --> 00:19:35,220
haben die Datenwiederherstellung für 500€
damals gemacht. Locky war so die erste
247
00:19:35,220 --> 00:19:40,360
große Ransomware-Welle. Es wurde überall
davor gewarnt, Rechnungen zu öffnen, die
248
00:19:40,360 --> 00:19:46,400
Bilanzen der Unternehmen hatte das
kurzfristig echt verbessert, aber die
249
00:19:46,400 --> 00:19:51,530
Bilanzen der Angreifer nicht. Und
woraufhin dann weitere E-Mails kursierten,
250
00:19:51,530 --> 00:19:56,290
die sahen ungefähr so aus: Hallo, hier ist
das Bundeskriminalamt. Passen Sie bitte
251
00:19:56,290 --> 00:20:00,000
auf mit Locky. Weil uns immer mehr Leute
gefragt haben, wie man sich davor schützt,
252
00:20:00,000 --> 00:20:03,440
haben wir einen Ratgeber vorbereitet, wie
man sich davor schützt. Den finden Sie im
253
00:20:03,440 --> 00:20:07,470
Anhang.
Gelächter
254
00:20:07,470 --> 00:20:11,500
Applaus
Und der ganze Spaß ging wieder von vorne
255
00:20:11,500 --> 00:20:18,720
los. Locky war 2016. Wir haben vor kurzem
mal einen Blick darauf geworfen, wie das
256
00:20:18,720 --> 00:20:24,671
so bei GandCrab aussieht. Das war jetzt
eine Ransomware von einer, ja … Ich komme
257
00:20:24,671 --> 00:20:27,990
gleich darauf, wo die Jungs herkamen. Von
einer Gruppierung, die sich vor kurzem zur
258
00:20:27,990 --> 00:20:33,040
Ruhe gesetzt hat mit den Worten,
sinngemäß: Wir haben gezeigt, dass man
259
00:20:33,040 --> 00:20:37,630
viele Millionen mit kriminiellen Dingen
verdienen und sich dann einfach zur Ruhe
260
00:20:37,630 --> 00:20:42,539
setzen kann. Und wir ermutigen euch auch,
so einen schönen Lebensstil zu pflegen wie
261
00:20:42,539 --> 00:20:46,950
wir. Wir sind jetzt erstmal im Ruhestand.
Wenn man sich mit denen, wenn man sich
262
00:20:46,950 --> 00:20:50,280
quasi bei denen das gleiche durchgemacht
hat, landete man auf so einer Seite. Die
263
00:20:50,280 --> 00:20:53,940
war sehr schön. Da haben sie erstmal auch
einmal mit sehr vielen psychologischen
264
00:20:53,940 --> 00:20:57,770
Tricks gearbeitet. Hier oben steht zum
Beispiel: Wenn du nicht bezahlst innerhalb
265
00:20:57,770 --> 00:21:03,970
von einer Woche, dann verdoppelt sich der
Preis. Da haben die sich bei Booking.com
266
00:21:03,970 --> 00:21:05,970
abgeguckt.
Gelächter
267
00:21:05,970 --> 00:21:09,980
Applaus
Dann erklären sie wieder: OK, du kannst …
268
00:21:09,980 --> 00:21:13,590
es ist verschlüsselt, kriegst du nur von
uns zurück. Und dann haben sie einen
269
00:21:13,590 --> 00:21:17,721
schönen Service, hier, free decrypt. Du
kannst eine Datei dort hinschicken und die
270
00:21:17,721 --> 00:21:20,230
entschlüsseln sie dir und schicken sie dir
zurück um zu beweisen, dass sie in der
271
00:21:20,230 --> 00:21:24,470
Lage sind, die zu entschlüsseln. Ja, die
sind also in gewisser Form ehrbare
272
00:21:24,470 --> 00:21:28,209
Kaufmänner. Man fixt einen mal an, zeigt,
dass man die Dienstleistung erbringen
273
00:21:28,209 --> 00:21:31,580
kann. Und die haben auch einen Chat. Die
haben hier unten so einen
274
00:21:31,580 --> 00:21:33,970
Kundenberatungschat.
Gelächter
275
00:21:33,970 --> 00:21:37,720
Und wir saßen irgendwie in geselliger
Runde mit unserer Windows-VM, die wir
276
00:21:37,720 --> 00:21:42,280
jetzt gerade gegandcrabt hatten und haben
dann so gedacht: Ach komm ey, jetzt
277
00:21:42,280 --> 00:21:45,669
chatten wir mal mit denen. Und haben uns
so ein bisschen doof gestellt, so:
278
00:21:45,669 --> 00:21:49,550
Hellooo, where can I buy the Bitcoin?
Irgendwie so. Und da haben die uns dann
279
00:21:49,550 --> 00:21:51,720
irgendwelche Links geschickt, wo wir
Bitcoin holen wollen und da haben wir
280
00:21:51,720 --> 00:21:54,460
gesagt: Woah, das ist doch irgendwie voll
anstrengend, können wir nicht einfach eine
281
00:21:54,460 --> 00:22:02,970
SEPA-Überweisung machen? Wir zahlen auch
die Gebühren, ist okay. Und dann haben wir
282
00:22:02,970 --> 00:22:07,620
so, als uns nichts mehr einfiel, sagte ich
zu meinem Kumpel, der daneben saß:
283
00:22:07,620 --> 00:22:13,000
Vladimir. Ey, ich sag: Vladimir. Frag die
doch mal, ob die russisch können. Konnten
284
00:22:13,000 --> 00:22:14,310
sie.
Gelächter
285
00:22:14,310 --> 00:22:19,480
Und … ja, und … war auf jeden Fall: Na
klar! Und interessanterweise haben die
286
00:22:19,480 --> 00:22:23,380
auch sofort in kyriliisch geantwortet. Man
kann ja russisch auf 2 Arten schreiben.
287
00:22:23,380 --> 00:22:26,440
Man sieht uns hier an der deutschen
Tastatur und die Jungs mit den
288
00:22:26,440 --> 00:22:30,930
kyrillischen Schriftzeichen. Und die waren
auf einmal sehr interessiert: Eyyy, du
289
00:22:30,930 --> 00:22:36,059
bist Russe?! Wie bist du denn infiziert …
wie kann das denn, dass du infiziert
290
00:22:36,059 --> 00:22:41,099
wurdest?
Gelächter
291
00:22:41,099 --> 00:22:47,200
Hier steht doch, du bist in Deutschland!
Und dann fragten die irgendwie so: Du bist
292
00:22:47,200 --> 00:22:51,210
doch in Deutschland und so. Und dann
sagten wir so: Jaja, ich arbeite für
293
00:22:51,210 --> 00:22:55,920
Gazprom.
Gelächter
294
00:22:55,920 --> 00:22:58,620
Die wurden immer freundlicher.
Gelächter
295
00:22:58,620 --> 00:23:02,450
Und schrieben uns dann diesen folgenden
Satz. Den habe ich mal für euch in Google
296
00:23:02,450 --> 00:23:08,430
Translate gekippt. Der lautet ungefähr so:
Mach bitte ein Photo von deinem Pass. Du
297
00:23:08,430 --> 00:23:12,180
kannst gerne die sensiblen Daten mit
deinem Finger abdecken. Ich brauche nur
298
00:23:12,180 --> 00:23:16,049
einen Beweis, dass du Bürger Russlands
bist. Dann stellen wir dir die Daten
299
00:23:16,049 --> 00:23:19,270
kostenlos wieder her.
Gelächter
300
00:23:19,270 --> 00:23:31,490
Applaus
Also manchmal ist IT-Sicherheit halt auch
301
00:23:31,490 --> 00:23:34,919
einfach nur der richtige Pass, ne?
Gelächter
302
00:23:34,919 --> 00:23:40,980
Tatsächlich hatte GandCrab Routinen drin,
die gecheckt haben, ob die Systeme z. B.
303
00:23:40,980 --> 00:23:46,190
russische Zeitzone oder russische
Schriftzeichen standardmäßig eingestellt
304
00:23:46,190 --> 00:23:51,030
haben, um zu verhindern, dass sie
russische Systeme befallen, weil die
305
00:23:51,030 --> 00:23:56,680
russische IT-Sicherheitsaußenpolitik
ungefähr so lautet: Liebe Hacker. Das
306
00:23:56,680 --> 00:24:02,850
Internet. Unendliche Weiten. Ihr könnt
darin hacken, wie ihr wollt und wir
307
00:24:02,850 --> 00:24:07,610
liefern euch eh nicht aus. Aber wenn ihr
in Russland hackt, dann kommt ihr in einen
308
00:24:07,610 --> 00:24:10,980
russischen Knast. Und selbst russische
Hacker wollen nicht in einen russischen
309
00:24:10,980 --> 00:24:18,750
Knast. Deswegen sorgen die dafür, dass sie
ihre Landsmänner nicht infizieren. Wahre
310
00:24:18,750 --> 00:24:23,749
Patrioten. Der Brian Krebs hat nachher
diese Gruppe auch noch enttarnt. Hat einen
311
00:24:23,749 --> 00:24:27,110
superinteressanten Artikel darüber
geschrieben. War so ein paar Wochen
312
00:24:27,110 --> 00:24:31,580
eigentlich, nachdem wir diese kleine,
lustige Entdeckung gemacht hatten. Ihr
313
00:24:31,580 --> 00:24:35,400
wisst natürlich, grundsätzliches Motto
jedes Congress’: Kein Backup, kein
314
00:24:35,400 --> 00:24:39,830
Mitleid! Das heißt, ihr müsst natürlich
euch gegen solche Angriffe dadurch
315
00:24:39,830 --> 00:24:45,150
schützen, dass ihr Backups habt und dann
nicht bezahlen müsst. Aber was ich
316
00:24:45,150 --> 00:24:50,800
spannend finde ist, dieser Angriff mit den
Word-Makros, die funktionieren seit 1999.
317
00:24:50,800 --> 00:24:54,610
Da war das Melissa-Virus irgendwie die
große Nummer. Makros gab es schon früher
318
00:24:54,610 --> 00:24:59,780
in Word, aber ’99 mit Internetverbreitung
und so ging das irgendwie ordentlich rund.
319
00:24:59,780 --> 00:25:03,090
Und wir sind da keinen einzigen Schritt
weitergekommen. Jeden anderen Bug, jedes
320
00:25:03,090 --> 00:25:08,030
andere Problem, was wir haben, lösen wir
sofort. Dieses halten wir einfach nur aus
321
00:25:08,030 --> 00:25:12,391
und tun überhaupt nichts daran. Also habe
ich mir überlegt: Gut, dann schauen wir
322
00:25:12,391 --> 00:25:16,209
uns mal an: Warum funktionieren diese
Angriffe eigentlich? Und dafür gibt’s im
323
00:25:16,209 --> 00:25:21,890
Prinzip 2 Erkläransätze, die ich euch
vorstellen möchte. Der eine ist eben
324
00:25:21,890 --> 00:25:28,150
individualpsychologisch, der andere ist
organisationspsychologisch. Daniel
325
00:25:28,150 --> 00:25:33,250
Kahnemann hat einen Nobelpreis in
Wirtschaftswissenschaften, glaube ich,
326
00:25:33,250 --> 00:25:38,360
bekommen, dass er sich darüber Gedanken
gemacht hat, wie Menschen denken.
327
00:25:38,360 --> 00:25:41,859
„Thinking, Fast and Slow“, großer
Bestseller, und so weiter. Der postuliert
328
00:25:41,859 --> 00:25:49,650
im Prinzip: Wir haben 2 Systeme in unserem
Gehirn. Das erste System arbeitet schnell
329
00:25:49,650 --> 00:25:55,490
und intuitiv und automatisch. Also
Standardhandlungsabläufe. Ihr müsst nicht
330
00:25:55,490 --> 00:25:59,980
nachdenken, wenn ihr zuhause aus der Tür
geht und die Wohnung abschließt. Das
331
00:25:59,980 --> 00:26:04,209
passiert einfach. Da werden keine
Ressourcen des Gehirns drauf verwendet,
332
00:26:04,209 --> 00:26:07,180
jetzt nachzudenken: Dreht man den
Schlüssel rechts-, linksrum – ist das
333
00:26:07,180 --> 00:26:09,750
überhaupt der richtige oder so, ne?
Eigentlich sehr faszinierend. Ich habe
334
00:26:09,750 --> 00:26:13,049
einen relativ großen Schlüsselbund und ich
bin echt fasziniert, wie es meinem Gehirn
335
00:26:13,049 --> 00:26:15,880
gelingt, ohne dass ich darüber nachdenke,
den richtigen Schlüssel einfach aus der
336
00:26:15,880 --> 00:26:22,270
Tasche zu ziehen. Das ist System 1. Und
das ist aktiv, primär bei Angst. Wenn wir
337
00:26:22,270 --> 00:26:27,140
also schnell handeln müssen – Fluchtreflex
und solche Dinge. Oder bei Langeweile,
338
00:26:27,140 --> 00:26:31,760
wenn wir wie immer handeln müssen. Und
genau diese ganzen Phishingszenarien
339
00:26:31,760 --> 00:26:36,850
zielen auf eine dieser beiden Sachen ab:
Entweder uns ganz viel Angst zu machen
340
00:26:36,850 --> 00:26:43,200
oder einen Ablauf, den wir antrainiert
haben und aus Langeweile automatisiert
341
00:26:43,200 --> 00:26:48,760
durchführen, auszulösen. Demgegenüber
steht das System 2: Das ist langsam,
342
00:26:48,760 --> 00:26:55,350
analytisch und dominiert von Vernunft. Und
ja. Die Angreifer nutzen natürlich
343
00:26:55,350 --> 00:27:02,130
Situationen, in denen sie auf System 1
setzen können. Warum ist das ein Problem?
344
00:27:02,130 --> 00:27:06,770
Wenn wir Leuten versuchen, zu erklären,
wie sie sich gegen solche Angriffe
345
00:27:06,770 --> 00:27:11,100
schützen sollen – guckt darauf, achtet
darauf und so weiter –, dann erklären wir
346
00:27:11,100 --> 00:27:15,590
das System 2. Und System 2 versteht das
auch, genau wie ich verstanden habe, dass
347
00:27:15,590 --> 00:27:19,270
ich eigentlich nicht auf irgendwelche
PayPal-Scams klicken soll. Aber wenn ich
348
00:27:19,270 --> 00:27:22,669
gelangweilt vorm Computer sitze und
überlege, wo ich als nächstes hinklicken
349
00:27:22,669 --> 00:27:28,050
soll, dann suche ich mir halt den nächsten
großen Button und klicke da drauf.
350
00:27:28,050 --> 00:27:31,410
Organisationspsychologie finde ich das
eigentlich sehr viel interessanter. Warum
351
00:27:31,410 --> 00:27:37,290
kümmert sich eigentlich niemand um dieses
Problem, ja? Wir begnügen uns damit,
352
00:27:37,290 --> 00:27:41,520
unseren IT-Perimeter zu haben, wir bauen
da eine Schranke drum. Bauen eine Firewall
353
00:27:41,520 --> 00:27:44,541
hier und haste noch gesehen, hier noch
irgendein Snake-Oil und so. Und der
354
00:27:44,541 --> 00:27:49,230
technische Angriff ist eigentlich ziemlich
schwierig, ja? Wenige Menschen können
355
00:27:49,230 --> 00:27:54,600
technische Angriffe durchführen. Und unser
Schutz dagegen ist enorm gut. Wir haben
356
00:27:54,600 --> 00:27:58,059
granular definierte Reife. Wir können
messen: wenn du irgendwie dieses oder
357
00:27:58,059 --> 00:28:01,260
jenes Checkmark nicht hast, bist du
schlecht oder so, ne? Und dann sitzen an
358
00:28:01,260 --> 00:28:05,630
dem Computer Administratoren und
Angestellte und arbeiten mit diesen Daten.
359
00:28:05,630 --> 00:28:08,760
Und die schützen wir irgendwie nicht. Wir
machen uns auch gar keine Gedanken
360
00:28:08,760 --> 00:28:12,900
darüber, die mal zu härten oder zu pen-
testen. Dabei ist der Angriff über Social
361
00:28:12,900 --> 00:28:19,299
Engineering viel einfacher und einen
Schutz haben wir dem aber nicht gegenüber.
362
00:28:19,299 --> 00:28:23,820
Und jetzt tritt der ganz normale Prozess
des Risikomanagements ein. Und der sieht
363
00:28:23,820 --> 00:28:29,700
ungefähr so aus: Das Risiko wird
wahrgenommen, das Risiko wird analysiert
364
00:28:29,700 --> 00:28:34,500
und in diesem Fall wird das Risiko dann
eben ignoriert. Und so sitzen wir jetzt
365
00:28:34,500 --> 00:28:39,940
seit 20 Jahren da, uns fliegt ein Makro
nach dem anderen um die Ohren. Die – wie
366
00:28:39,940 --> 00:28:42,299
heißt diese Uni da? War das jetzt
Göttingen oder Gießen?
367
00:28:42,299 --> 00:28:45,500
Rufe aus dem Publikum
Göttingen kommt auch noch dran, keine
368
00:28:45,500 --> 00:28:51,650
Sorge. Und wenn diese Risiken gemanaget
werden, dann muss man sehen: „Management
369
00:28:51,650 --> 00:28:54,809
bedeutet, die Verantwortung zu tragen und
deshalb alles dafür tun zu müssen, nicht
370
00:28:54,809 --> 00:28:58,990
zur Verantwortung gezogen zu werden.“ Und
eben auch nicht mehr als das zu tun.
371
00:28:58,990 --> 00:29:07,120
Applaus
Das heißt, wir versuchen also die Probleme
372
00:29:07,120 --> 00:29:10,390
zu lösen, die wir können und die anderen –
was kann ich dafür, wenn der Nutzer falsch
373
00:29:10,390 --> 00:29:14,090
klickt? Wohin uns das gebracht hat, können
wir jetzt eben bei den verschiedenen
374
00:29:14,090 --> 00:29:18,289
Unternehmen beobachten. Deswegem habe ich
mir gedacht: OK. Wie kann man dieses
375
00:29:18,289 --> 00:29:23,359
Problem denn mal lösen? Welche
Gegenmaßnahmen sind wie wirksam? Also was
376
00:29:23,359 --> 00:29:27,810
funktioniert, um Menschen das abzugewöhnen
oder die Wahrscheinlichkeit zu verringern,
377
00:29:27,810 --> 00:29:33,440
dass sie auf solche Sachen draufklicken?
Und welche UI-/UX-Faktoren machen weniger
378
00:29:33,440 --> 00:29:37,330
verwundbar? Weil es gibt ja quasi immer
die gleichen Prozesse, die ausgenutzt
379
00:29:37,330 --> 00:29:42,590
werden. Und auf der anderen Seite die
Optimierungsdimensionen. Einmal die
380
00:29:42,590 --> 00:29:47,770
Resistenz: Nicht zu klicken. Und dann in
so einem Unternehmenskontext halt: Du
381
00:29:47,770 --> 00:29:51,200
musst es melden. Du musst der IT Bescheid
sagen, damit die irgendwelche
382
00:29:51,200 --> 00:29:56,470
Gegenmaßnahmen ergreifen kann. Ich zeige
euch jetzt mal die Ergebnisse von 2
383
00:29:56,470 --> 00:30:02,529
Beispielstudien, die wir in dem Bereich
durchgeführt haben. Ich bin sehr bemüht,
384
00:30:02,529 --> 00:30:08,200
die so anonymisiert zu haben, also sollte
hoffentlich nirgendwo mehr erkennbar sein,
385
00:30:08,200 --> 00:30:13,510
mit welchem Unternehmen das war. Das erste
war in Asien. Da haben wir das mit 30.000
386
00:30:13,510 --> 00:30:18,570
Personen gemacht. 4 Phishingdurchläufe und
es gab so ein Lernvideo, in dem das auch
387
00:30:18,570 --> 00:30:22,669
noch mal erklärt wurde. Und wir haben
erfasst, wie oft das dann zum Beispiel der
388
00:30:22,669 --> 00:30:26,200
IT gemeldet wurde, dass dieser Angriff
stattgefunden hat. Und wir haben erfasst,
389
00:30:26,200 --> 00:30:30,310
wie oft die Leute auf diese Phsihingnummer
reingefallen sind. Und was wir dort
390
00:30:30,310 --> 00:30:36,300
eigentlich herausfinden wollten war: Es
ging eigentlich darum, wie wir in diesem
391
00:30:36,300 --> 00:30:39,320
Unternehmen regelmäßig die Menschen
trainieren, dass sie nicht auf solche
392
00:30:39,320 --> 00:30:42,440
Sachen draufklicken. Also haben wir uns so
einen Versuchsplan gebaut und haben
393
00:30:42,440 --> 00:30:45,410
gesagt: OK, welche
Kommunikationsmöglichkeiten haben wir? Ja
394
00:30:45,410 --> 00:30:49,430
gut, wir können denen E-Mailer schicken.
Also Spam vom eigenen Unternehmen. Wir
395
00:30:49,430 --> 00:30:52,929
können Poster in den Flur hängen. Wir
können beides machen, wir können nichts
396
00:30:52,929 --> 00:30:57,960
machen. Wir können außerdem den Leuten so
ein Online-Quiz anbieten und die danach
397
00:30:57,960 --> 00:31:02,299
ein Quiz machen lassen. Auch da konnten
wir den Online-Quiz einmal mit einem Text
398
00:31:02,299 --> 00:31:05,549
und einmal mit einem Video – meine
Hypothese war: das Video bringt es den
399
00:31:05,549 --> 00:31:09,580
Leuten wahrscheinlich besser bei. Und dann
haben wir quasi, weil wir genug Leute
400
00:31:09,580 --> 00:31:13,870
hatten, eben das alles quasi vollständig
permutiert, sodass wir alle Effekte
401
00:31:13,870 --> 00:31:17,040
einzeln messen konnten und nachher die
Gruppen vergleichen konnten. Dann haben
402
00:31:17,040 --> 00:31:20,350
wir sie einmal gephisht und in dem
Phishing gab es dann nachher eine
403
00:31:20,350 --> 00:31:24,190
Aufklärung. Also wenn die ihr Passwort
eingegeben hatten, kam entweder ein Text,
404
00:31:24,190 --> 00:31:28,909
der ihnen gesagt hat: Ey, das war jetzt
gerade schlecht. Oder ein Video, was ihnen
405
00:31:28,909 --> 00:31:32,309
erklärt hat: Das war gerade schlecht. Oder
beides: Text und darunter ein Video oder
406
00:31:32,309 --> 00:31:37,170
umgekehrt. Und dann haben wir noch mal ein
Phishing gemacht. Und jetzt werde ich grün
407
00:31:37,170 --> 00:31:42,380
markieren die Dinge, die tatsächlich einen
Effekt hatten. Alles was vorne stand,
408
00:31:42,380 --> 00:31:46,110
E-Mailer, alles was man den Leuten
erklärt. Alles was System 2 anspricht, hat
409
00:31:46,110 --> 00:31:49,050
überhaupt keinen Effekt gehabt. Ihr
könntet die Leute irgendwelche Quize
410
00:31:49,050 --> 00:31:52,960
ausführen lassen und Onlinekurse wie sie
wollen. Verdienen einige Unternehmen auch
411
00:31:52,960 --> 00:31:58,190
gutes Geld mit. Hat aber keinen Effekt.
Was einen Effekt hatte war: Ob die
412
00:31:58,190 --> 00:32:02,669
gephisht wurden oder nicht und es war
etwas besser, wenn sie ein Video dazu
413
00:32:02,669 --> 00:32:08,030
gesehen haben. Und das ist genau deshalb,
weil: Wenn sie tatsächlich gephisht
414
00:32:08,030 --> 00:32:12,760
werden, dann haben sie eine Lernerfahrung,
wenn System 2 aktiv ist. Ja? Das Video war
415
00:32:12,760 --> 00:32:17,260
so ein rotes Blinken: Achtung, Gefahr, du
hast etwas falsch gemacht. Ich will noch
416
00:32:17,260 --> 00:32:22,400
kurz zu dem Ergebnis kommen bei der ersten
Erfassung: Wir haben zunächst eine
417
00:32:22,400 --> 00:32:30,390
Erfolgsrate von 35% gehabt. 55% haben die
E-Mails ignoriert und 10% haben auf der
418
00:32:30,390 --> 00:32:34,070
Phishingseite abgebrochen. Also sie haben
vielleicht noch mal irgendwie; sind noch
419
00:32:34,070 --> 00:32:39,190
mal zur Besinnung gekommen oder so. Und
mein damaliger Kollege meinte: Ey, das
420
00:32:39,190 --> 00:32:43,160
kann irgendwie gar nicht sein. So, da muss
viel mehr gehen. So schlau sind die doch
421
00:32:43,160 --> 00:32:47,600
nicht, ne? Gucken wir mal, ob die die
E-Mails überhaupt geöffnet haben. Also
422
00:32:47,600 --> 00:32:50,940
gelsen haben. Wir hatten nämlich ein
kleines Zählpixelchen in der E-Mail und
423
00:32:50,940 --> 00:32:54,760
ich konnte quasi feststellen, ob die die
E-Mail überhaupt geöffnet haben. Wenn wir
424
00:32:54,760 --> 00:32:58,390
die Zahl korrigiert haben und diejenigen
rausgenommen haben, die die E-Mail nie zu
425
00:32:58,390 --> 00:33:02,403
Gesicht bekommen haben, war die
Erfolgswahrscheinlichkeit 55%.
426
00:33:02,403 --> 00:33:05,360
Raunen und kurzer Applaus
Wir hatten dann noch ein weiteres Problem
427
00:33:05,360 --> 00:33:10,820
an der Backe. Weil, wir hatten jetzt an
30.000 Leute eine E-Mail geschrieben und
428
00:33:10,820 --> 00:33:14,470
als Absender angegeben, wir wären der IT-
Support.
429
00:33:14,470 --> 00:33:19,849
Gelächter
Es gibt darauf verschiedene Reaktionen.
430
00:33:19,849 --> 00:33:23,070
Erstmal haben wir relativ viele E-Mails
bekommen, wo die Leute sagten: Ich will ja
431
00:33:23,070 --> 00:33:26,060
mein Passwort ändern, aber da kommt immer
dieses Video!
432
00:33:26,060 --> 00:33:34,519
Gelächter
Applaus
433
00:33:34,519 --> 00:33:40,710
Und dann hatten wir Leute, die noch Monate
später der unsäglichen Praxis nachhingen,
434
00:33:40,710 --> 00:33:45,219
wenn sie jemandem eine E-Mail schreiben
wollen, dass sie einfach suchen, wann sie
435
00:33:45,219 --> 00:33:47,880
das letzte mal von dem eine E-Mail
bekommen haben und auf den Thread
436
00:33:47,880 --> 00:33:51,130
antworten. Das heißt, wir waren das
nächste halbe Jahr damit beschäftigt, IT-
437
00:33:51,130 --> 00:33:55,010
Support zu machen.
Gelächter
438
00:33:55,010 --> 00:33:59,769
Applaus
OK, Ergebnis zusammengefasst: Diese ganzen
439
00:33:59,769 --> 00:34:04,560
Awarenessmaßnahmen hatten keinen praktisch
relevanten Effekt. Die Selbsterfahrung
440
00:34:04,560 --> 00:34:08,749
hatte einen starken Lerneffekt. Und der
ging teilweise sogar über das Erwartbare
441
00:34:08,749 --> 00:34:14,579
hinaus. Leider aber sind die Lerneffekte
sehr spezifisch. Das heißt, die Leute
442
00:34:14,579 --> 00:34:18,990
lernen, wenn eine Passwort-Reset-E-Mail
kommt, darf ich da nicht draufklicken.
443
00:34:18,990 --> 00:34:22,279
Wenn du denen aber danach schickst: Gib
mal deine Kreditkartennummer an, sagen
444
00:34:22,279 --> 00:34:25,549
die: Na klar. Gar kein Problem!
Gelächter
445
00:34:25,549 --> 00:34:29,552
Und auch das Szenario, ja? Wir haben da
nachher noch andere Social-Engineering-
446
00:34:29,552 --> 00:34:34,339
Maßnahmen gemacht und es gab jetzt keine
abfärbenden Effekt von – Du hast mit denen
447
00:34:34,339 --> 00:34:39,319
Phishing bis zum Erbrechen geübt –, dass
die jetzt irgendwie bei USB-Sticks
448
00:34:39,319 --> 00:34:44,659
irgendwie vorsichtiger wären oder so. Das
heißt, das ist relativ unschön. Außerdem
449
00:34:44,659 --> 00:34:48,309
sind die Effekte nicht stabil. Das heißt,
du hast einen Lerneffekt so in den ersten
450
00:34:48,309 --> 00:34:53,920
3 Monaten und dann nimmt der wieder ab.
Das heißt: Nach einiger Zeit, wenn du das
451
00:34:53,920 --> 00:34:58,260
nach einem Jahr wieder machst, hast du
genau wieder deine 33-55%, die du vorher
452
00:34:58,260 --> 00:35:02,499
hattest. Also wir können dieses Problem
irgendwie versuchen, niedrig zu halten,
453
00:35:02,499 --> 00:35:09,799
aber auf diesem Weg nicht aus der Welt
schaffen. So dachte ich. Bis ich dann
454
00:35:09,799 --> 00:35:13,810
meine 2. Beispielstudie gemacht habe, die
ich euch hier vorstellen möchte. Die war
455
00:35:13,810 --> 00:35:19,079
international in mehreren Sprachen –
Englisch, Deutsch, Spanisch und 2 weiteren
456
00:35:19,079 --> 00:35:23,849
Sprachen –, 2000 Zielpersonen, 4
Durchläufe, Video war ein bisschen länger.
457
00:35:23,849 --> 00:35:29,619
Und das erste Ergebnis war; Ich habe
erfasst, quasi, wenn die Leute gemeldet
458
00:35:29,619 --> 00:35:35,269
haben und die IT dann reagiert hätte, wie
viele erfolgreiche Angriffe danach hätten
459
00:35:35,269 --> 00:35:39,770
verhindert werden können. Und das
interessante ist, dass bei den meisten
460
00:35:39,770 --> 00:35:44,380
Standorten fast über 3/4 der weiteren
Angriffe, die danach noch passiert sind,
461
00:35:44,380 --> 00:35:47,769
hätten verhindert werden können durch eine
schnelle Meldung. Das heißt, es ist gut
462
00:35:47,769 --> 00:35:52,889
für eine IT, ihre Leute zu ermutigen, sich
bei ihr zu melden und irgendwie Bescheid
463
00:35:52,889 --> 00:35:59,690
zu geben. Das andere Ergebnis bei diesen
Leuten war: Beim ersten Durchlauf hatten
464
00:35:59,690 --> 00:36:05,570
die eine Phishingerfolgsrate von 10%. Und
ich war etwas ungläubig und habe mich
465
00:36:05,570 --> 00:36:09,989
gefragt: Wie kann das denn sein? Ich hatte
auch vorher eine bisschen große Fresse
466
00:36:09,989 --> 00:36:14,900
gehabt. Und jetzt habe ich gesagt: 30%
mache ich euch locker, gar kein Thema! Und
467
00:36:14,900 --> 00:36:19,919
dann sind’s jetzt irgendwie 10% da. Und
die sagten dann halt auch irgendwie: „Ja,
468
00:36:19,919 --> 00:36:24,999
wolltest du nicht mehr?“ Tja, was haben
die gemacht? Die hatten 2 Dinge anders als
469
00:36:24,999 --> 00:36:29,869
viele andere Unternehmen. Erstens: Die
hatten ihre E-Mails mit so einem kleinen
470
00:36:29,869 --> 00:36:35,039
Hinweis versehen, der in den Subject
reingeschrieben wurde bei eingehenden
471
00:36:35,039 --> 00:36:41,029
E-Mails, dass die E-Mails von extern
kommt. Und das andere, was in diesem
472
00:36:41,029 --> 00:36:45,910
Unternehmen anders war, ist: Die haben
ihren Passwortwechsel nicht über das Web
473
00:36:45,910 --> 00:36:49,459
abgeildet. Das heißt: Die Situation, in
die ich die Menschen da gebracht habe –
474
00:36:49,459 --> 00:36:53,059
Ey, hier ist eine Webseite, gib mal dein
Passwort ein –, die waren die nicht
475
00:36:53,059 --> 00:36:56,920
gewöhnt. Und deswegen sind die aus dem
Tritt gekommen, haben auf einmal mit ihrem
476
00:36:56,920 --> 00:37:01,729
System 2 arbeiten müssen und haben den
Fehler nicht gemacht. Wenn wir uns die
477
00:37:01,729 --> 00:37:06,559
Ergebnisse weiter anschauen; ich hatte ja
gesagt, es waren 4 Durchläufe. Der 2. und
478
00:37:06,559 --> 00:37:10,539
der 4. Durchlauf waren jeweils nur mit
denen, die in dem davorgegangenen
479
00:37:10,539 --> 00:37:15,779
Durchlauf quasi gephisht wurden. Das
heißt, wir haben denen noch mal so eine
480
00:37:15,779 --> 00:37:20,289
Härteauffrischung gegeben. Man sieht auch,
da gibt’s einige sehr renitente Phish-
481
00:37:20,289 --> 00:37:27,579
Klicker. Wir haben dann mal unter
kompletter Missachtung sämtlicher
482
00:37:27,579 --> 00:37:31,799
datenschutzrechtlichen Vereinbarungen
geguckt, wer das war. Und das waren die
483
00:37:31,799 --> 00:37:37,109
Funktionsaccounts. Also einfach die, wo
das Passwort eh, wo es quasi zum Job
484
00:37:37,109 --> 00:37:41,700
gehört, mit einem Post-It das neue
Passwort an den Bildschirm zu kleben. Das
485
00:37:41,700 --> 00:37:46,259
interessante ist: Wenn wir uns dieses
Ergebnis anschauen, also vom 1. zum 2.
486
00:37:46,259 --> 00:37:52,129
Durchlauf und so weiter, haben wir
insgesamt einen Rückgang um 33% erzielt.
487
00:37:52,129 --> 00:37:59,229
Ähh, Tschuldigung, ist falsch! Um 66%, ich
Idiot! 66%. 33% blieben über. Also ein
488
00:37:59,229 --> 00:38:05,309
Rückgang auf 33%. Das ist eigentlich enorm
gut! In der Psychologie glaubt mir das
489
00:38:05,309 --> 00:38:08,359
eigentlich kaum jemand, wenn man sagt, ich
habe eine Intervention; nach einmaliger
490
00:38:08,359 --> 00:38:13,640
Intervention Verhaltensänderung bei 2/3
der Leute. Wenn wir uns das für die
491
00:38:13,640 --> 00:38:16,630
Sicherheit unseres Unternehmens anschauen
oder unserer Organisation, ist das ein
492
00:38:16,630 --> 00:38:21,969
riesiges Desaster, weil die 33% sind ja
immer noch ein riesiges Problem für uns.
493
00:38:21,969 --> 00:38:25,089
Aber, Zusammenfassung: Durch diesen
lokalen Passwortwechsel und den Hinweis
494
00:38:25,089 --> 00:38:28,930
„External“ sind die Leute in ungewohnte
Situationen gekommen und die
495
00:38:28,930 --> 00:38:33,780
Wahrscheinlichkeit, dass sie darauf
reinfallen, geht runter.
496
00:38:33,780 --> 00:38:40,510
Applaus
So, also was haben wir bis jetzt gelernt?
497
00:38:40,510 --> 00:38:44,599
Das theoretische Lernen ist ohne Effekt.
Es zählt die Erfahrung aus erster Hand. Es
498
00:38:44,599 --> 00:38:48,349
gibt abstrakte Verteidigungskonzepte, die
verstehen die Leute nun mal einfach nicht.
499
00:38:48,349 --> 00:38:51,600
Bisher ist alles, was wir dafür haben,
eine anschauliche Didaktik. Die
500
00:38:51,600 --> 00:38:53,890
Lerneffekte nehmen mit der Zeit ab,
deswegen muss man das regelmäßig
501
00:38:53,890 --> 00:38:57,059
wiederholen. Die Lerneffekte werden nicht
generalisiert, also müssen wir die
502
00:38:57,059 --> 00:39:02,850
Angriffsszenarien variieren. Und wenn die
Leute das nicht melden, haben wir ein
503
00:39:02,850 --> 00:39:06,400
Problem, deswegen müssen wir sie außerdem
ermutigen und belohnen, wenn sie bei der
504
00:39:06,400 --> 00:39:11,240
IT anrufen. Für die meisten Organisationen
auch eine völlig absurde Idee, wenn jemand
505
00:39:11,240 --> 00:39:13,810
bei ihnen anruft, auch noch nett zu denen
zu sein.
506
00:39:13,810 --> 00:39:18,680
Kurzes Lachen
Hat aber durchaus Effekt. So. Wenn wir uns
507
00:39:18,680 --> 00:39:21,619
jetzt aber mal diese Situation anschauen,
dann ist doch eigentlich unser Ziel zu
508
00:39:21,619 --> 00:39:26,029
sagen: OK, dann müssen wir Situationen
unserer IT-Systeme so bauen, dass sie dafür
509
00:39:26,029 --> 00:39:30,079
nicht anfällig sind, dass wir irgendwelche
automatisierten Prozesse lernen, die
510
00:39:30,079 --> 00:39:34,799
Sicherheitsprozesse sind. Also vielleicht
sollte das User Interface nicht so sein
511
00:39:34,799 --> 00:39:45,019
wie diese frische Installationen von macOS
Catalina. Sondern anders. Denn: Wir können
512
00:39:45,019 --> 00:39:48,750
uns nicht auf System 2 verlassen, aber die
meisten Schutzmaßnahmen tun genau das.
513
00:39:48,750 --> 00:39:51,849
Also Microsoft Word erklärt einem
irgendwas und sagt dann: „Ja, ist doch
514
00:39:51,849 --> 00:39:54,489
dein Problem, wenn du nicht verstehst,
wovon wir hier reden. Den Rest, der hier
515
00:39:54,489 --> 00:39:57,349
passiert, um dich herum an diesem
Computer, verstehst du auch nicht. Hier
516
00:39:57,349 --> 00:39:59,509
hast du einen Knopf, drück drauf!“
Kurzes Gelächter
517
00:39:59,509 --> 00:40:03,159
Ne? So können wir nicht 20 Jahre agieren
und sagen, wir kriegen das Problem nicht
518
00:40:03,159 --> 00:40:06,849
in den Griff. Es gibt eine Möglichkeit
übrigens, dieses Problem mit Microsoft
519
00:40:06,849 --> 00:40:10,809
Word in den Griff zu kriegen und das ist:
Makros zu deaktivieren. Dann kommt der
520
00:40:10,809 --> 00:40:17,329
Geschäftsbetrieb zum Erliegen. Oder Makros
zu signieren. Ganz einfaches Code-Signing
521
00:40:17,329 --> 00:40:22,319
auf Makros geht, kann man per AD-
Gruppenrichtlinie ausrollen. Ich habe mal
522
00:40:22,319 --> 00:40:26,519
mit einem IT-Sicherheitsbeauftragten eines
etwas größeren Unternehmen gesprochen. Das
523
00:40:26,519 --> 00:40:29,559
war eines der wenigen Unternehmen, die das
jemals gemacht haben. Also die ich kenne,
524
00:40:29,559 --> 00:40:33,949
die das jemals gemacht haben. Der meinte
so: „Ja, okay, hat ein Jahr gedauert. Ich
525
00:40:33,949 --> 00:40:37,410
habe jetzt weiße Haare und eine
Halbglatze. Aber ich bin froh, dass ich
526
00:40:37,410 --> 00:40:41,869
das Problem jetzt endlich aus der Welt
habe!“ Und das ist der einzige Mensch, der
527
00:40:41,869 --> 00:40:46,729
das geschafft hat. In seinem Unternehmen
verhasst, ja? Aber er ist eigentlich ein
528
00:40:46,729 --> 00:40:56,949
Held! Dem Mann muss man echt danken!
Johlen; Applaus
529
00:40:56,949 --> 00:41:00,299
Und was wir also machen müssen ist: Wir
müssen unser System 1 sichern. Intuitive
530
00:41:00,299 --> 00:41:04,569
Handlungen müssen als Teil der
Sicherheitsmechanismen antizipiert werden.
531
00:41:04,569 --> 00:41:07,270
Also wir dürfen den Nutzern nicht
angewöhnen, Passwörter in irgendwelche
532
00:41:07,270 --> 00:41:10,800
Browserfenster zu tippen. Wir dürfen
Sicherheitsprozesse nicht per Mail oder
533
00:41:10,800 --> 00:41:15,420
per Browser abbilden. Und wir können uns
auch mal überlegen, ob wir die freie Wahl
534
00:41:15,420 --> 00:41:18,089
von Passwörtern vielleicht einfach
unterbinden, damit nicht überall
535
00:41:18,089 --> 00:41:24,890
passwort123 gesetzt wird. Es wird langsam
besser. So, man kann Makros signieren und
536
00:41:24,890 --> 00:41:30,339
deaktivieren. Man kann Software langsam
einschränken auf aus vertrauenswürdigen
537
00:41:30,339 --> 00:41:32,729
Quellen, also aus den App Stores. Ich
weiß, da gibt es dann wieder andere
538
00:41:32,729 --> 00:41:38,459
politische Probleme. Aber aus einer reinen
Sicherheitsperspektive ist das gut, wenn
539
00:41:38,459 --> 00:41:42,660
Leute nicht irgendwelche runtergeladenen
EXEn aus dem Internet irgendwie anklicken
540
00:41:42,660 --> 00:41:48,260
und irgendwelche Makros ausführen. Und mit
Fido2 und hardwarebasierten
541
00:41:48,260 --> 00:41:53,180
Authentisierungsmechanismen wird es
langsam besser. 2-Faktor-Authentisierung
542
00:41:53,180 --> 00:41:58,460
hat einen großen Vormarsch. Also, die Welt
ist nicht ganz so schlecht wie wir es
543
00:41:58,460 --> 00:42:01,589
glauben, aber ich würde mir sehr wünschen,
dass wir mit unseren
544
00:42:01,589 --> 00:42:09,520
Sicherheitsmechanismen einfach viel mehr
auf die Intuititivät setzen, denn wenn wir
545
00:42:09,520 --> 00:42:12,829
uns mal irgendwie anschauen, wie diese
Browserwarnungen, irgendwie „Achtung, mit
546
00:42:12,829 --> 00:42:17,359
dem Zertifikat stimmt was nicht“, ungefähr
so, die hat glaube ich, bis sie dann
547
00:42:17,359 --> 00:42:19,959
irgendwann weg waren, weil Let’s Encrypt
gekommen ist und es einfach mal
548
00:42:19,959 --> 00:42:24,469
vernünftige Zertifikate gab, die hat auch
niemand verstanden. Und entsprechend haben
549
00:42:24,469 --> 00:42:28,920
wir hier auch quasi ein wunderschönes SSL
gehabt, was am Ende daran gescheitert ist,
550
00:42:28,920 --> 00:42:32,170
dass wir scheiß User Interfaces dafür
hatten. Inzwischen ist es so, dass Browser
551
00:42:32,170 --> 00:42:38,069
die Verbindung einfach nicht herstellen.
Auch das ist ein Zugewinn! Joa. Ich habe
552
00:42:38,069 --> 00:42:43,150
schon überzogen, das war’s. Macht bitte
eure Backups, wechselt überall eure
553
00:42:43,150 --> 00:42:47,029
Passwörter. Ich schicke euch dazu nachher
noch mal eine E-Mail und vielen Dank.
554
00:42:47,029 --> 00:42:48,619
Gelächter
555
00:42:48,619 --> 00:43:00,830
Applaus
556
00:43:00,830 --> 00:43:06,969
Engel: So. Das war doch in gewohnter
Manier unterhaltsam. Und ich frage mich,
557
00:43:06,969 --> 00:43:11,690
wenn Linus’ Zahnarzt jetzt einen
Passwortmanager benutzt: Benutzt Linus
558
00:43:11,690 --> 00:43:15,369
jetzt zweimal täglich Zahnseide?
Linus: Ich habe mir gerade noch die Zähne
559
00:43:15,369 --> 00:43:18,929
geseilt! Habe ich tatsächlich!
Engel: Also, macht immer schön eure
560
00:43:18,929 --> 00:43:21,999
Backups und benutzt Zahnseide!
561
00:43:21,999 --> 00:43:25,779
Abspannmusik
562
00:43:25,779 --> 00:43:48,000
Untertitel erstellt von c3subtitles.de
im Jahr 20??. Mach mit und hilf uns!