WEBVTT

00:00:00.000 --> 00:00:18.580
<i>36C3 Vorspannmusik</i>

00:00:18.580 --> 00:00:21.690
Engel: Guten Morgen, Linus!
Linus Neumann: Guten Morgen, Sebastian!

00:00:21.690 --> 00:00:28.260
<i>Applaus</i>

00:00:28.260 --> 00:00:32.510
Ja, es freut mich, dass ihr so zahlreich
erschienen seid und auf diesen

00:00:32.510 --> 00:00:36.390
reißerischen Titel reingefallen seid! Ich
möchte ein bisschen über menschliche

00:00:36.390 --> 00:00:40.210
Faktoren der IT-Sicherheit sprech und habe
mich für den Titel „Hirne hacken“

00:00:40.210 --> 00:00:45.980
entschieden. Der Hintergrund ist, dass
wenn man irgendwie von Hackern spricht,

00:00:45.980 --> 00:00:49.080
sehr häufig so ein bisschen dieser Nimbus
gilt, dass es irgendwie so Halbgötter in

00:00:49.080 --> 00:00:52.399
schwarz sind. Man weiß nicht so genau was
die machen, aber die kommen irgendwie da

00:00:52.399 --> 00:00:56.690
rein und diese Hacker, die sind in meinem
Gerät drin und ich weiß auch nicht genau,

00:00:56.690 --> 00:01:01.180
was die von mir wollen und wie die das
gemacht haben. Und die Realität da draußen

00:01:01.180 --> 00:01:06.229
ist eigentlich sehr anders als die meisten
Leute sich das vorstellen. Ich vertrete

00:01:06.229 --> 00:01:12.969
die These, dass eigentlich jedes praktisch
relevante Problem der IT-Sicherheit

00:01:12.969 --> 00:01:18.479
theoretisch gelöst wurde. Also wir haben
jetzt keine … uns fehlt nicht das Wissen,

00:01:18.479 --> 00:01:23.119
wie wir eine bestimmte Lösung in der IT-
Sicherheit machen müssen, aber wir kriegen

00:01:23.119 --> 00:01:26.419
es irgendwie nicht hin. Denn obwohl wir
alles theoretisch gelöst haben, ist die

00:01:26.419 --> 00:01:31.780
praktische IT-Sicherheit ein einziges
Desaster. Und das liegt wahrscheinlich

00:01:31.780 --> 00:01:36.650
daran, dass wir uns irgendwie so spannende
IT-Sicherheitsmechanismen aufbauen und die

00:01:36.650 --> 00:01:40.901
prüfen wir dann. Ne, da sieht man hier so
einen schönen Pfahl und der hält jetzt

00:01:40.901 --> 00:01:44.011
irgendwie ein Tier gefangen und wenn man
sich das in der Realität anschaut, sieht’s

00:01:44.011 --> 00:01:51.221
eher so aus.
<i>unverständliche Sprache des Herrn im Video</i>

00:01:51.221 --> 00:01:55.309
*jemand im Video singt zum Lied „Einzug
der Gladiatoren“ einen etwas anderen Text,

00:01:55.309 --> 00:01:59.659
der Circus beinhaltet*
Linus: Das ist jetzt ’ne kleine Bedrohung

00:01:59.659 --> 00:02:04.219
und irgendwie stellen wir uns vor, dass
das bei den großen Bedrohungen anders

00:02:04.219 --> 00:02:10.560
wäre. Schauen wir uns an: Wir lesen
irgendwie überall von Emotet überall.

00:02:10.560 --> 00:02:15.160
Hacker komprimitieren Computer,
verschlüsseln alle Dateien, fordern dann

00:02:15.160 --> 00:02:19.840
hohes Lösegeld und Heise haben sehr viel
darüber berichtet, bis es sie dann selber

00:02:19.840 --> 00:02:25.000
erwischt hat. Das heißt, auch die, die es
wirklich wissen und wissen müssen und

00:02:25.000 --> 00:02:28.350
können müssten, sind irgendwie nicht davor
gefeit und das finde ich eigentlich

00:02:28.350 --> 00:02:31.340
ziemlich interessant. Und wenn wir uns mal
anschauen, was in der IT-

00:02:31.340 --> 00:02:35.530
Sicherheitsforschung abgeht, auch hier auf
dem Kongress, deswegen habe ich den

00:02:35.530 --> 00:02:39.370
Vortrag auch hier eingereicht, so die
Forschung muss immer echt Avantgarde sein.

00:02:39.370 --> 00:02:43.280
Das ist irgendwie großen Applaus und
Voodoo, und hier noch ein Exploit und

00:02:43.280 --> 00:02:48.070
haste alles nicht gesehen und Remote Code
Execution, während die Realität

00:02:48.070 --> 00:02:52.600
demgegenüber, also so wie jetzt
tatsächliches Cyber da draußen geht, ist

00:02:52.600 --> 00:02:58.341
ungefähr eher so. Bin ich schon drin oder
was? Das heißt, wir leben eigentlich, weil

00:02:58.341 --> 00:03:02.000
wir das auch als Nerds und Hacker
irgendwie interessant finden, in irgendwie

00:03:02.000 --> 00:03:07.780
dieser Welt, während das was da draußen
wirklich an Kriminalität stattfindet, eher

00:03:07.780 --> 00:03:15.160
so Hütchenspiel ist. Und dieses
Hütchenspielproblem lösen wir aber nicht.

00:03:15.160 --> 00:03:18.730
Und ich glaube, dass das sehr unsinnig
ist, sehr schlecht ist, dass wir uns um

00:03:18.730 --> 00:03:22.370
die Problemfelder, die eigentlich ganz
prävalent sind, die überall beobachtet

00:03:22.370 --> 00:03:26.870
werden – selbst im Heise-Verlag –, dass
wir uns um die eigentlich nicht kümmern.

00:03:26.870 --> 00:03:31.230
Und da machen wir eigentlich seit Jahren
keinen Fortschritt. Ich möchte ein

00:03:31.230 --> 00:03:34.410
bisschen über einfache Scams reden, ein
bisschen über Passwortprobleme, ein

00:03:34.410 --> 00:03:40.970
bisschen über Schadsoftware. Ein Scam, der
uns auch im CCC sehr amüsiert hat, ist der

00:03:40.970 --> 00:03:45.820
Scam, der Chaos-Hacking-Gruppe. Die Chaos-
Hacking-Gruppe verschickt E-Mails und sagt

00:03:45.820 --> 00:03:49.700
den Leuten: Ja, also ich hab irgendwie
dein System mit einem Trojaner infiziert

00:03:49.700 --> 00:03:56.140
und wir sind uns Ihrer intimen Abenteuer
im Internet bewusst. Wir wissen, dass Sie

00:03:56.140 --> 00:04:00.750
Websites für Erwachsene lieben und wir
wissen über Ihre Sexsucht Bescheid. Und

00:04:00.750 --> 00:04:04.710
versuchen dann von den Leuten irgendwie
Geld zu erpressen. Geben Bitcoin-Wallet an

00:04:04.710 --> 00:04:09.340
und, ja, versuchen halt irgendwie, die
Leute zu erpressen. Interessanterweise

00:04:09.340 --> 00:04:13.360
gibt es Leute, die sich dann darüber echt
Gedanken machen. Die bestreiten aber

00:04:13.360 --> 00:04:18.500
immer, dass das … Also das kann eigentlich
sein, was die da sagen, ne? Wer geübt ist

00:04:18.500 --> 00:04:22.100
im Erpressen weiß natürlich: Solang die
kein Beweismittel liefern, zahlen wir

00:04:22.100 --> 00:04:27.930
erstmal nicht. Wenn die Leute dann aber so
mit dieser Art und Weise versucht werden,

00:04:27.930 --> 00:04:33.330
betrogen zu werden und das googlen, dann
kommen sie direkt an den Nächsten. Wenn

00:04:33.330 --> 00:04:36.830
man jetzt die Chaos-CC-Gruppe googelt,
dann wird einem auf irgendwelchen

00:04:36.830 --> 00:04:40.410
Webseiten klargemacht, dass es sich um
einen Trojaner handeln würde und man jetzt

00:04:40.410 --> 00:04:47.180
irgendsoeine nächste Schadsoftware
runterladen soll. Also quasi wie man

00:04:47.180 --> 00:04:52.470
diesen Schaden wieder entfernt. Das heißt,
die Leute kommen hier echt vom Regen in

00:04:52.470 --> 00:04:57.120
die Traufe: Haha, ich wusste, du willst
gerne verarscht werden; hier habe ich noch

00:04:57.120 --> 00:05:03.540
ein bisschen Snake-Oil für dich. Das
heißt, die Welt da draußen, für unsere

00:05:03.540 --> 00:05:07.220
ungeübten Nutzerinnen und Nutzer ist
relativ gefährlich. Schauen wir uns mal

00:05:07.220 --> 00:05:11.900
an, wie das bei den Geübten aussieht: Die
Linux-Kernelmailingliste ist vielleicht

00:05:11.900 --> 00:05:16.950
einigen von euch ein Begriff. Da ist auch
vor kurzem mal so eine E-Mail eingegangen.

00:05:16.950 --> 00:05:22.570
Am 31. Oktober 2018, ist schon etwas her.
Da wurde sogar das Passwort angegeben, ja,

00:05:22.570 --> 00:05:25.090
das ist also so das nächste Level von
diesem Scam: Du schreibst einfach

00:05:25.090 --> 00:05:28.400
irgendsoeinen Passwort-Leak noch mit rein,
die Leute kriegen dann Herzrasen, weil ihr

00:05:28.400 --> 00:05:35.350
Passwort in der E-Mail steht und auch hier
wollte jemand eben Bitcoins haben, unter

00:05:35.350 --> 00:05:38.810
anderem von den Linux-Kernel-Entwicklern.
Bitcoin ist ja ganz schön: Man kann ja in

00:05:38.810 --> 00:05:42.180
die Blockchain schauen und sehen, wieviel
die Linux-Kernel-Entwickler da so bezahlt

00:05:42.180 --> 00:05:47.970
haben. In dem Wallet befinden sich 2,98
Bitcoin. Das sind vor ein paar Tagen noch

00:05:47.970 --> 00:05:51.410
ungefähr 19000€ gewesen, also soll noch
mal einer sagen, mit Linux könnte man

00:05:51.410 --> 00:05:54.480
keinen Profit machen.
<i>Gelächter</i>

00:05:54.480 --> 00:06:01.401
<i>Applaus</i>
Die E-Mail ging natürlich auch noch an

00:06:01.401 --> 00:06:05.520
sehr viele weitere außer der Linux-
Kernelliste, aber ich denke, man sieht

00:06:05.520 --> 00:06:08.500
hier, man fragt sich eigentlich: Warum
machen wir eigentlich den Quatsch, den wir

00:06:08.500 --> 00:06:11.120
machen, wenn wir so einfach uns Geld
überweisen lassen können mit ein paar

00:06:11.120 --> 00:06:17.140
Spam-Mails?! Geht aber noch weiter: Geld
überweisen, Klassiker. Der CEO-Fraud.

00:06:17.140 --> 00:06:22.310
Großes Team auch – ist eines der großen
Szenarien, dem irgendwie mittelständische

00:06:22.310 --> 00:06:26.240
Unternehmen, größere Unternehmen
ausgesetzt sind. Kriegst eine E-Mail, wo

00:06:26.240 --> 00:06:30.340
dann irgendwie geagt wird: Ey, wir müssen
jetzt mal hier die Rechnung bezahlen. Wir

00:06:30.340 --> 00:06:33.940
müssen das heute erledigen. Meistens sind
das dann, also in der einen Schiene sind

00:06:33.940 --> 00:06:37.020
das dann eher so geringe Beträge, die
jetzt vielleicht auch einfach mal

00:06:37.020 --> 00:06:42.889
durchgehen. Geht aber natürlich auch in
einer Nummer schärfer. Alles schon

00:06:42.889 --> 00:06:49.050
tatsächlich sehr häufig passiert, dass
also so eine Geschichte gemacht wird: Ja,

00:06:49.050 --> 00:06:53.040
der große Deal mit den Chinesen steht
irgendwie kurz bevor und du darfst jetzt

00:06:53.040 --> 00:06:57.150
mit niemandem darüber sprechen, aber du
musst jetzt mal ganz kurz 2 Mio. auf die

00:06:57.150 --> 00:07:01.260
Seychellen überweisen. Und dann machen die
Leute das und diese E-Mails arbeiten

00:07:01.260 --> 00:07:05.650
einfach so ein bisschen mit Autorität,
Vertrauen, Eile und Druck und leiten

00:07:05.650 --> 00:07:11.949
Menschen an, dann das zu tun, was sie
eigentlich nicht tun sollten. Das ist auf

00:07:11.949 --> 00:07:15.250
Anhieb erstmal vielleicht halbwegs witzig,
wenn man aber mal mit so einem Menschen

00:07:15.250 --> 00:07:19.240
spricht, dem das passiert ist, die haben
danach echt schwere Krisen, weil sie

00:07:19.240 --> 00:07:22.470
natürlich wissen, dass das nicht besonders
klug war und auch recht schädlich für das

00:07:22.470 --> 00:07:28.200
Unternehmen und das ist eigentlich dann
gar nicht mehr so unterhaltsam. Kommen wir

00:07:28.200 --> 00:07:34.740
zurück zu unterhaltsamen Sachen: Der
Authentisierung. Eine Sache, die vielen

00:07:34.740 --> 00:07:38.680
Menschen Probleme bereitet, ist ihr
Passwort und das Problem ist, dass sie

00:07:38.680 --> 00:07:43.340
eben auch nur eines haben und dieses sich
dann in solchen Sammlungen wie Collection

00:07:43.340 --> 00:07:48.830
#1-#5 befindet, die ihr natürlich auch –
wir alle haben die ja immer dabei und

00:07:48.830 --> 00:07:55.410
können dort die Passwört nachschlagen, zum
Beispiel: 23bonobo42, Tim Pritlove; weiß

00:07:55.410 --> 00:08:03.490
jeder. Das schöne ist an diesen Listen:
Auch wir, die Ahnung davon haben sollten,

00:08:03.490 --> 00:08:06.910
sind da drin. Wenn man meine E-Mail-
Adresse bei haveibeenpwned eingibt – einer

00:08:06.910 --> 00:08:11.130
Webseite, wo man checken kann, ob eine
E-Mail-Adresse in Leaks vorhanden ist,

00:08:11.130 --> 00:08:15.990
findet man das auch bei mir. So. Kommen
später dazu, wie das vielleicht passiert

00:08:15.990 --> 00:08:22.470
sein könnte. Die Sache, die mich daran so
ärgert, ist dass wir eigentlich seit es

00:08:22.470 --> 00:08:26.080
Computer gibt, dieses Passwortproblem nie
so richtig angegangen sind. Wir sagen den

00:08:26.080 --> 00:08:30.009
Leuten eigentlich: OK, dein Passwort darf
nicht zu erraten sein, am besten zufällig,

00:08:30.009 --> 00:08:33.950
ohne jegliches System. Es soll so lang wie
möglich sein, am besten nicht nur ein

00:08:33.950 --> 00:08:40.089
Wort. Und es muss überall unterschiedlich
sein. Und kein Mensch tut das. Ja, wenn

00:08:40.089 --> 00:08:44.250
man irgendwie … war letztens beim
Zahnarzt. Wenn man mit dem redet, der sagt

00:08:44.250 --> 00:08:47.389
einem auch jedes mal: Ja, du musst aber
morgens, mittags, abends Zahnseide, haste

00:08:47.389 --> 00:08:51.390
nicht gesehen. Jaja, genau, mach du
erstmal überall andere Passwört und dann

00:08:51.390 --> 00:08:55.214
können wir weiterreden, ne?
<i>Gelächter</i>

00:08:55.214 --> 00:09:02.710
<i>Applaus</i>
Und ja, das habe ich gemacht so irgendwann

00:09:02.710 --> 00:09:06.080
habe ich das vor ein paar Jahren auch
tatsächlich getan. Ich benutze jetzt einen

00:09:06.080 --> 00:09:09.840
Passwortmanager. Wissen wir alle, dass das
klug und gut ist. Aber ich renne

00:09:09.840 --> 00:09:12.550
eigentlich seit vielen Jahren um die Welt,
erkläre den Leuten von diesen

00:09:12.550 --> 00:09:15.960
Passwortmanagern. Und die Reaktion ist
immer die gleiche: The fuck?! So … Das

00:09:15.960 --> 00:09:20.420
will ich nicht haben. Ja, und wir haben
einfach in dieser Welt nie mehr

00:09:20.420 --> 00:09:23.800
hingekriegt als den Leuten zu sagen:
Benutzt doch einen Passwortmanager. Und

00:09:23.800 --> 00:09:27.499
dann fragen sie immer: Welchen? Und dann
sage ich immer: Ich empfehle keinen.

00:09:27.499 --> 00:09:32.200
<i>Gelächter</i>
Frage ist: Wie kommen die Leute eigentlich

00:09:32.200 --> 00:09:36.360
an diese ganzen Passwörter? Klar: Die
machen entweder irgendwelche Services auf

00:09:36.360 --> 00:09:39.230
und holen die Passwört dann aus den
Datenbanken, wo sie nicht gehasht und

00:09:39.230 --> 00:09:42.560
gesalted gespeichert wurden, oder sie
schicken einfach mal eine E-Mail und

00:09:42.560 --> 00:09:48.720
fragen nach dem Passwort. Hier ein schönes
Beispiel, das ich deshalb ausgewählt habe,

00:09:48.720 --> 00:09:53.310
weil ich darauf reingefallen bin.
<i>Applaus</i>

00:09:53.310 --> 00:10:02.700
Aaaaah. PayPal möchte mir in einer
wichtigen Nachricht mitteilen, dass „unser

00:10:02.700 --> 00:10:06.760
System einen nicht authorisierten Zugriff
auf Ihr PayPal-Konto festgestellt hat. Um

00:10:06.760 --> 00:10:09.580
Ihre Sicherheit weiterhin vollständig
gewährleisten zu können, klicken Sie bitte

00:10:09.580 --> 00:10:14.890
auf diesen Knopf.“, ja? Und das schöne an
solchen Dingern ist immer: Es gibt in der

00:10:14.890 --> 00:10:18.600
Regel nur einen Knopf. Und das sollte
einen eigentlich stutzig machen. Genauso

00:10:18.600 --> 00:10:22.480
hätte mich stutzig machen sollen, dass da
oben erstmal nicht PayPal in der

00:10:22.480 --> 00:10:28.910
Adresszeile steht, aber ich war irgendwie
müde und habe irgendwie da drauf geklickt

00:10:28.910 --> 00:10:32.100
und jetzt kommt, was mir dann doch noch
den Allerwertesten gerettet hat: Mein

00:10:32.100 --> 00:10:37.409
Passwortmanager konnte mir kein Passwort
für diese Seite anbieten.

00:10:37.409 --> 00:10:44.820
<i>Applaus</i>
So. Ich hab jetzt extra rausgenommen,

00:10:44.820 --> 00:10:47.850
welcher Passwortmanager das ist.
Diejenigen, die ihn trotzdem erkennen:

00:10:47.850 --> 00:10:51.990
Nicht denken, dass ich ihn lobe, weil:
Dieser Passwortmanager hat vor kurzem ein

00:10:51.990 --> 00:10:55.750
Update erfahren und wenn ich das gleiche
Spielchen heute mache, dann sagt der: Ich

00:10:55.750 --> 00:10:59.760
kenne die Seite nicht, aber vielleicht
willst du deine Kreditkarte oder deine

00:10:59.760 --> 00:11:05.760
Adresse eingeben? Herzlichen Dank … So,
auf den Passwortmanager kann ich gerne

00:11:05.760 --> 00:11:09.510
verzichten. Wenn man sich so
Phishingseiten anschaut; ich mein, ist

00:11:09.510 --> 00:11:13.190
jetzt gar kein Hexenwerk. Man nimmt
einfach irgendeine Website, kopiert die

00:11:13.190 --> 00:11:16.350
auf einen anderen Server und programmiert
sich dahinter ein kleines Backend, was

00:11:16.350 --> 00:11:20.459
alle Requests entgegennimmt, die man da so
hinschickt. Hier habe ich letztens mal

00:11:20.459 --> 00:11:28.000
eine sehr schöne bekommen: Das war der
Gmail Webmail Login. Aber die haben, ich

00:11:28.000 --> 00:11:34.250
fand das eigentlich ganz elegant, was sie
gemacht haben: Die haben quasi die Domain

00:11:34.250 --> 00:11:39.800
der E-Mail-Adresse noch als GET-Request
mitgesendet und dann in ihrem Quelltext

00:11:39.800 --> 00:11:45.090
einfach das Favicon zu der Domain auf
Google gesucht und dort eingeblendet. Das

00:11:45.090 --> 00:11:47.490
heißt, wenn ihr da eine andere Domain
angebt, dann steht da immer ein anderes

00:11:47.490 --> 00:11:53.120
Logo, um einfach so diese Seite ein
bisschen naheliegender zu machen. Wenn wir

00:11:53.120 --> 00:11:56.201
uns das anschauen, die
Erfolgswahrscheinlichkeit, die solche

00:11:56.201 --> 00:12:01.510
Massenmails haben, ist enorm gering. Ja?
Die ist winzig klein. Diese Mails werden

00:12:01.510 --> 00:12:07.170
millionenfach versendet, an ganz viele
Empfängerinnen und Empfänger und wenn man

00:12:07.170 --> 00:12:11.660
aber dann auch so viele Mails versendet
und in so vielen Spamfiltern hängenbleibt,

00:12:11.660 --> 00:12:15.270
dann findet man immer noch mal einen, der
dann doch noch ein Passwort da einträgt

00:12:15.270 --> 00:12:18.920
und schon haben wir eine schöne
Geschichte. Das ist hier jetzt irgendwie

00:12:18.920 --> 00:12:24.349
so ein Massenmailding. Ich mein, ihr müsst
nur mal in euren Spamfolder reinschauen,

00:12:24.349 --> 00:12:28.890
da werdet ihr diese E-Mails finden. Blöd
ist halt, wenn da mal irgendwann nicht im

00:12:28.890 --> 00:12:33.760
Spam landen. Wir haben da jetzt so ein
bisschen über massenhafte Angriffe

00:12:33.760 --> 00:12:40.280
gesprochen. Die zielen halt auf die besten
von uns ab. Wenn wir das ganze aber mal

00:12:40.280 --> 00:12:44.980
gezielt machen, spricht man nicht mehr vom
Phishing, sondern vom Spearphishing. Und

00:12:44.980 --> 00:12:49.620
beim Spearphishing sendet man nicht
Millionen E-Mails, sondern man sendet

00:12:49.620 --> 00:12:54.110
eine. Und zwar genau an die Person, von
der man das Passwort haben möchte. Und man

00:12:54.110 --> 00:13:00.970
macht eine Geschichte, die genau zu dieser
Person auch passt. Also häufig mache ich

00:13:00.970 --> 00:13:05.740
das ganz gerne so mit Passwortreset-Mails,
ja? Also gibt’s in vielen Unternehmen.

00:13:05.740 --> 00:13:10.019
Sehr kluge Idee: Alle Mitarbeiter müssen
alle 3 Monate die Zahl am Ende ihres

00:13:10.019 --> 00:13:13.930
Passworts um 1 inkrementieren.
<i>Gelächter</i>

00:13:13.930 --> 00:13:23.529
<i>Applaus</i>
Und den E-Mail-Login von den meisten

00:13:23.529 --> 00:13:26.850
Unternehmen muss man auch nicht besonders
fälschen, den habe ich schon einmal

00:13:26.850 --> 00:13:32.480
fertig. So, wenn man solche Sachen macht,
also Spearphishing, haben wir eher so eine

00:13:32.480 --> 00:13:36.490
Wahrscheinlichkeit von 30%, dass die
Zielperson auf die Seite geht, ihr

00:13:36.490 --> 00:13:40.690
Passwort eingibt. Wenn ich das mit 3
Personen mache, habe ich einen Business

00:13:40.690 --> 00:13:45.280
Case. Und vor allem habe ich in der Regel
keinen Spamfilter, der mir im Weg ist. Ich

00:13:45.280 --> 00:13:49.000
kann wunderschön einen Mailserver
aufsetzen mit minimal anderen Domains, die

00:13:49.000 --> 00:13:52.400
machen DKIM, die machen alles, was du
haben willst. Die haben sogar ein schönes

00:13:52.400 --> 00:13:57.420
Let’s Encrypt Zertifikat auf ihrer
Website. Funktioniert und kommt in der

00:13:57.420 --> 00:14:02.490
Regel durch. Auf das Problem komme ich
nachher noch mal zurück, denn das würde

00:14:02.490 --> 00:14:07.829
ich sehr gerne lösen. Aber auch beim
Verbreiten von Schadsoftware ist das ein

00:14:07.829 --> 00:14:13.180
beliebtes Pro… oder ein beliebtes Ziel,
nicht irgendwie fette 0-Day-Exploits zu

00:14:13.180 --> 00:14:18.240
verballern, sondern einfach mal den Leuten
die Software anzubieten und zu gucken, wie

00:14:18.240 --> 00:14:23.430
sie die installieren. TRS hat mich da auf
einen Tweet aufmerksam gemacht, der ist

00:14:23.430 --> 00:14:27.810
schon ein paar Jahre alt, aber er ist sehr
wahr: „Manchmal fühlt man sich als ITler

00:14:27.810 --> 00:14:32.440
wie ein Schafhirte. Allerdings sind die
Schafe betrunken. Und brennen! Und klicken

00:14:32.440 --> 00:14:40.970
überall drauf!!“
<i>Applaus</i>

00:14:40.970 --> 00:14:48.460
Von @Celilander. Ja. Dann habe ich
irgendwie letztens mal … wer den Vortrag

00:14:48.460 --> 00:14:52.250
von Thorsten gesehen hat, sieht dass wir
da auch was mit einem Torrent gemacht

00:14:52.250 --> 00:14:57.050
haben. Da war ich hier bei den Drive-By
Exploit Paralympics, wo ich also auf eine

00:14:57.050 --> 00:15:01.470
Webseite gekommen bin, die mich auch sehr
gedrängt hat, irgendetwas zu installieren.

00:15:01.470 --> 00:15:06.050
Ich müsste ein Update machen, irgendwelche
komischen Plug-Ins installieren oder so,

00:15:06.050 --> 00:15:10.310
ne? Und die Leute machen das! Also es ist
regelmäßig, dass irgendwelche Leute bei

00:15:10.310 --> 00:15:14.690
mir sitzen und sagen: „Ja, hier, ich habe
einen Virus.“ – „Ja, wieso? Woher wissen

00:15:14.690 --> 00:15:20.370
Sie das denn?“ – „Ja, eh … stand da!“
<i>Gelächter</i>

00:15:20.370 --> 00:15:24.030
Und dann haben die halt irgendwas
installiert und dann merkt man so: Dann

00:15:24.030 --> 00:15:25.940
haben sie gecheckt, dass das
wahrscheinlich nicht klug war und dann

00:15:25.940 --> 00:15:29.040
haben sie am Ende irgendwie 86
Schadsoftwares drauf, die behaupten

00:15:29.040 --> 00:15:35.250
Schadsoftwares zu entfernen. Übrigens:
Genau so wurde auch der Staatstrojaner

00:15:35.250 --> 00:15:38.860
FinSpy gegen die türkische Opposition
eingesetzt. Die haben eine schöne Website

00:15:38.860 --> 00:15:42.690
gemacht und haben gesagt: Ey guck mal
hier, klick mal hier drauf, könnt ihr

00:15:42.690 --> 00:15:47.600
runterladen. Wie gesagt: Die Analyse hat
Thorsten mit Ulf Buermeyer heute morgen

00:15:47.600 --> 00:15:53.880
schon präsentiert. Da sind wir dann auch
schon bei den … Kurzer Applaus für

00:15:53.880 --> 00:16:00.300
Thorsten!
<i>Applaus</i>

00:16:00.300 --> 00:16:07.650
Da sind wir dann auch schon jetzt bei dem
Problem, was seit ungefähr 2016 der Welt

00:16:07.650 --> 00:16:12.599
Ärger bereitet, nämlich die sogenannte
Ransomware. Funktioniert relativ einfach:

00:16:12.599 --> 00:16:16.899
Man kriegt eine E-Mail. In der E-Mail ist
irgendein Anhang, in diesem Beispiel, das

00:16:16.899 --> 00:16:22.980
haben wir mal 2016 durchgespielt, das war
Locky, war’s eine Rechnung. Und wenn ich

00:16:22.980 --> 00:16:29.779
jetzt diesen Anhang öffne, passiert
folgendes. Es meldet sich das wunderschöne

00:16:29.779 --> 00:16:33.970
Programm Microsoft Word.
<i>Johlen</i>

00:16:33.970 --> 00:16:38.290
Und Microsoft Word hat direkt 2
Warnmeldungen parat. Ihr seht sie dort

00:16:38.290 --> 00:16:45.920
oben in gelb und rot auf dem Bildschirm.
Die rote Warnmeldung ist die, dass es sich

00:16:45.920 --> 00:16:50.640
um eine nichtlizensierte Version des
Programmes handelt.

00:16:50.640 --> 00:16:55.899
<i>Gelächter</i>
Die habt ihr also entweder nicht oder ihr

00:16:55.899 --> 00:16:58.660
habt sie auch und ihr habt euch schon dran
gewöhnt.

00:16:58.660 --> 00:17:03.790
<i>Gelächter</i>
Die gelbe Warnmeldung ist die, die euch

00:17:03.790 --> 00:17:09.100
davor warnt, dass ihr gerade auf dem Weg
seid, euch sehr, sehr in den Fuß zu

00:17:09.100 --> 00:17:16.319
schießen. Und diese Warnmeldung ist sehr
einfach verständlich. Seien sie

00:17:16.319 --> 00:17:21.559
vorsichtig: Dateien aus dem Internet
können Viren beinhalten. Wenn Sie diese

00:17:21.559 --> 00:17:24.939
Datei nicht bearbeiten müssen, ist es
sicherer, in der geschützten Ansicht zu

00:17:24.939 --> 00:17:28.820
verbleiben. Und in konsistenter
Formulierung mit diesem Satz ist daneben

00:17:28.820 --> 00:17:36.200
ein Knopf, auf dem steht: Bearbeiten
aktivieren. Versteht jeder sofort, was da

00:17:36.200 --> 00:17:41.620
gemeint ist! Gefahrenpotenzial ist sofort
klar. Und wir haben wieder genau so wie in

00:17:41.620 --> 00:17:45.720
dieser PayPal-Phishing-E-Mail den
wunderschönen riesigen großen Knopf. Und

00:17:45.720 --> 00:17:50.790
oben rechts in der Ecke, ganz klein, es
versteckt sich ein bisschen. Es flieht vor

00:17:50.790 --> 00:17:56.380
eurer Aufmerksamkeit. Ist ein
klitzekleines graues Kreuzchen. Das wäre

00:17:56.380 --> 00:18:00.770
der Weg in die Sicherheit. Aber natürlich
seid ihr darauf trainiert, diesen Knopf zu

00:18:00.770 --> 00:18:04.350
drücken, weil diese Warnmeldung kommt
schließlich jedes mal, wenn ihr Microsoft

00:18:04.350 --> 00:18:08.760
Word öffnet, weil irgendwelche Makros sind
ja in fast jedem Word-Dokument drin, was

00:18:08.760 --> 00:18:13.500
in eurem Unternehmen so rumschwirrt. Ist
aber nicht schlimm, es geht nämlich

00:18:13.500 --> 00:18:19.290
weiter. Microsoft Word hat direkt noch
eine Warnung für euch: Sicherheitswarnung.

00:18:19.290 --> 00:18:25.350
Makros wurden deaktiviert. Inhalte
aktivieren. Und wir sitzen jetzt also da,

00:18:25.350 --> 00:18:28.980
in diesem Beispiel Locky, vor einem leeren
Blatt Papier. Ein leeres Blatt Papier ganz

00:18:28.980 --> 00:18:33.740
ohne Inhalt. Alles, wonach es uns durstet,
sind Inhalte. Also drücken wir jetzt da

00:18:33.740 --> 00:18:37.880
auf Inhalte aktivieren. Und ich habe jetzt
mal hier auf dem Desktop so ein paar

00:18:37.880 --> 00:18:42.260
Dateien drapiert, die dort so liegen. Und
wenn ich jetzt auf den Knopf drücke,

00:18:42.260 --> 00:18:47.450
passiert folgendes: Sie sind weg. Das
Makro, was in diesem Word-Dokument ist,

00:18:47.450 --> 00:18:53.960
lädt im … lädt über einen einfachen GET-
Request eine EXE-Datei runter und führt in

00:18:53.960 --> 00:18:59.450
dem Fall Locky aus. Locky rasiert einmal
durch die Festplatte, verschlüsselt alle

00:18:59.450 --> 00:19:04.160
Dateien und wenn er fertig ist, sagt er:
Übrigens: Deine Dateien sind jetzt

00:19:04.160 --> 00:19:08.110
verschlüsselt und wenn Leute verschlüsselt
hören, dann sagen die immer: Ja aber kann

00:19:08.110 --> 00:19:12.619
man das nicht irgendwie entschlüsseln?
Deswegen steht hier auch direkt: Nein.

00:19:12.619 --> 00:19:16.520
Kann man nicht. Es wäre total unsinnig,
wenn man Dinge verschlüsseln würde, die

00:19:16.520 --> 00:19:21.410
man einfach wieder entschlüsseln könnte.
Deswegen haben wir das richtig macht. Und

00:19:21.410 --> 00:19:24.410
da haben die hier so eine schöne Website
gehabt und da wurde dann eben erklärt,

00:19:24.410 --> 00:19:29.670
wohin man wieviel Bitcoin überweisen muss.
Locky war da noch relativ großzügig. Die

00:19:29.670 --> 00:19:35.220
haben die Datenwiederherstellung für 500€
damals gemacht. Locky war so die erste

00:19:35.220 --> 00:19:40.360
große Ransomware-Welle. Es wurde überall
davor gewarnt, Rechnungen zu öffnen, die

00:19:40.360 --> 00:19:46.400
Bilanzen der Unternehmen hatte das
kurzfristig echt verbessert, aber die

00:19:46.400 --> 00:19:51.530
Bilanzen der Angreifer nicht. Und
woraufhin dann weitere E-Mails kursierten,

00:19:51.530 --> 00:19:56.290
die sahen ungefähr so aus: Hallo, hier ist
das Bundeskriminalamt. Passen Sie bitte

00:19:56.290 --> 00:20:00.000
auf mit Locky. Weil uns immer mehr Leute
gefragt haben, wie man sich davor schützt,

00:20:00.000 --> 00:20:03.440
haben wir einen Ratgeber vorbereitet, wie
man sich davor schützt. Den finden Sie im

00:20:03.440 --> 00:20:07.470
Anhang.
<i>Gelächter</i>

00:20:07.470 --> 00:20:11.500
<i>Applaus</i>
Und der ganze Spaß ging wieder von vorne

00:20:11.500 --> 00:20:18.720
los. Locky war 2016. Wir haben vor kurzem
mal einen Blick darauf geworfen, wie das

00:20:18.720 --> 00:20:24.671
so bei GandCrab aussieht. Das war jetzt
eine Ransomware von einer, ja … Ich komme

00:20:24.671 --> 00:20:27.990
gleich darauf, wo die Jungs herkamen. Von
einer Gruppierung, die sich vor kurzem zur

00:20:27.990 --> 00:20:33.040
Ruhe gesetzt hat mit den Worten,
sinngemäß: Wir haben gezeigt, dass man

00:20:33.040 --> 00:20:37.630
viele Millionen mit kriminiellen Dingen
verdienen und sich dann einfach zur Ruhe

00:20:37.630 --> 00:20:42.539
setzen kann. Und wir ermutigen euch auch,
so einen schönen Lebensstil zu pflegen wie

00:20:42.539 --> 00:20:46.950
wir. Wir sind jetzt erstmal im Ruhestand.
Wenn man sich mit denen, wenn man sich

00:20:46.950 --> 00:20:50.280
quasi bei denen das gleiche durchgemacht
hat, landete man auf so einer Seite. Die

00:20:50.280 --> 00:20:53.940
war sehr schön. Da haben sie erstmal auch
einmal mit sehr vielen psychologischen

00:20:53.940 --> 00:20:57.770
Tricks gearbeitet. Hier oben steht zum
Beispiel: Wenn du nicht bezahlst innerhalb

00:20:57.770 --> 00:21:03.970
von einer Woche, dann verdoppelt sich der
Preis. Da haben die sich bei Booking.com

00:21:03.970 --> 00:21:05.970
abgeguckt.
<i>Gelächter</i>

00:21:05.970 --> 00:21:09.980
<i>Applaus</i>
Dann erklären sie wieder: OK, du kannst …

00:21:09.980 --> 00:21:13.590
es ist verschlüsselt, kriegst du nur von
uns zurück. Und dann haben sie einen

00:21:13.590 --> 00:21:17.721
schönen Service, hier, free decrypt. Du
kannst eine Datei dort hinschicken und die

00:21:17.721 --> 00:21:20.230
entschlüsseln sie dir und schicken sie dir
zurück um zu beweisen, dass sie in der

00:21:20.230 --> 00:21:24.470
Lage sind, die zu entschlüsseln. Ja, die
sind also in gewisser Form ehrbare

00:21:24.470 --> 00:21:28.209
Kaufmänner. Man fixt einen mal an, zeigt,
dass man die Dienstleistung erbringen

00:21:28.209 --> 00:21:31.580
kann. Und die haben auch einen Chat. Die
haben hier unten so einen

00:21:31.580 --> 00:21:33.970
Kundenberatungschat.
<i>Gelächter</i>

00:21:33.970 --> 00:21:37.720
Und wir saßen irgendwie in geselliger
Runde mit unserer Windows-VM, die wir

00:21:37.720 --> 00:21:42.280
jetzt gerade gegandcrabt hatten und haben
dann so gedacht: Ach komm ey, jetzt

00:21:42.280 --> 00:21:45.669
chatten wir mal mit denen. Und haben uns
so ein bisschen doof gestellt, so:

00:21:45.669 --> 00:21:49.550
Hellooo, where can I buy the Bitcoin?
Irgendwie so. Und da haben die uns dann

00:21:49.550 --> 00:21:51.720
irgendwelche Links geschickt, wo wir
Bitcoin holen wollen und da haben wir

00:21:51.720 --> 00:21:54.460
gesagt: Woah, das ist doch irgendwie voll
anstrengend, können wir nicht einfach eine

00:21:54.460 --> 00:22:02.970
SEPA-Überweisung machen? Wir zahlen auch
die Gebühren, ist okay. Und dann haben wir

00:22:02.970 --> 00:22:07.620
so, als uns nichts mehr einfiel, sagte ich
zu meinem Kumpel, der daneben saß:

00:22:07.620 --> 00:22:13.000
Vladimir. Ey, ich sag: Vladimir. Frag die
doch mal, ob die russisch können. Konnten

00:22:13.000 --> 00:22:14.310
sie.
<i>Gelächter</i>

00:22:14.310 --> 00:22:19.480
Und … ja, und … war auf jeden Fall: Na
klar! Und interessanterweise haben die

00:22:19.480 --> 00:22:23.380
auch sofort in kyriliisch geantwortet. Man
kann ja russisch auf 2 Arten schreiben.

00:22:23.380 --> 00:22:26.440
Man sieht uns hier an der deutschen
Tastatur und die Jungs mit den

00:22:26.440 --> 00:22:30.930
kyrillischen Schriftzeichen. Und die waren
auf einmal sehr interessiert: Eyyy, du

00:22:30.930 --> 00:22:36.059
bist Russe?! Wie bist du denn infiziert …
wie kann das denn, dass du infiziert

00:22:36.059 --> 00:22:41.099
wurdest?
<i>Gelächter</i>

00:22:41.099 --> 00:22:47.200
Hier steht doch, du bist in Deutschland!
Und dann fragten die irgendwie so: Du bist

00:22:47.200 --> 00:22:51.210
doch in Deutschland und so. Und dann
sagten wir so: Jaja, ich arbeite für

00:22:51.210 --> 00:22:55.920
Gazprom.
<i>Gelächter</i>

00:22:55.920 --> 00:22:58.620
Die wurden immer freundlicher.
<i>Gelächter</i>

00:22:58.620 --> 00:23:02.450
Und schrieben uns dann diesen folgenden
Satz. Den habe ich mal für euch in Google

00:23:02.450 --> 00:23:08.430
Translate gekippt. Der lautet ungefähr so:
Mach bitte ein Photo von deinem Pass. Du

00:23:08.430 --> 00:23:12.180
kannst gerne die sensiblen Daten mit
deinem Finger abdecken. Ich brauche nur

00:23:12.180 --> 00:23:16.049
einen Beweis, dass du Bürger Russlands
bist. Dann stellen wir dir die Daten

00:23:16.049 --> 00:23:19.270
kostenlos wieder her.
<i>Gelächter</i>

00:23:19.270 --> 00:23:31.490
<i>Applaus</i>
Also manchmal ist IT-Sicherheit halt auch

00:23:31.490 --> 00:23:34.919
einfach nur der richtige Pass, ne?
<i>Gelächter</i>

00:23:34.919 --> 00:23:40.980
Tatsächlich hatte GandCrab Routinen drin,
die gecheckt haben, ob die Systeme z. B.

00:23:40.980 --> 00:23:46.190
russische Zeitzone oder russische
Schriftzeichen standardmäßig eingestellt

00:23:46.190 --> 00:23:51.030
haben, um zu verhindern, dass sie
russische Systeme befallen, weil die

00:23:51.030 --> 00:23:56.680
russische IT-Sicherheitsaußenpolitik
ungefähr so lautet: Liebe Hacker. Das

00:23:56.680 --> 00:24:02.850
Internet. Unendliche Weiten. Ihr könnt
darin hacken, wie ihr wollt und wir

00:24:02.850 --> 00:24:07.610
liefern euch eh nicht aus. Aber wenn ihr
in Russland hackt, dann kommt ihr in einen

00:24:07.610 --> 00:24:10.980
russischen Knast. Und selbst russische
Hacker wollen nicht in einen russischen

00:24:10.980 --> 00:24:18.750
Knast. Deswegen sorgen die dafür, dass sie
ihre Landsmänner nicht infizieren. Wahre

00:24:18.750 --> 00:24:23.749
Patrioten. Der Brian Krebs hat nachher
diese Gruppe auch noch enttarnt. Hat einen

00:24:23.749 --> 00:24:27.110
superinteressanten Artikel darüber
geschrieben. War so ein paar Wochen

00:24:27.110 --> 00:24:31.580
eigentlich, nachdem wir diese kleine,
lustige Entdeckung gemacht hatten. Ihr

00:24:31.580 --> 00:24:35.400
wisst natürlich, grundsätzliches Motto
jedes Congress’: Kein Backup, kein

00:24:35.400 --> 00:24:39.830
Mitleid! Das heißt, ihr müsst natürlich
euch gegen solche Angriffe dadurch

00:24:39.830 --> 00:24:45.150
schützen, dass ihr Backups habt und dann
nicht bezahlen müsst. Aber was ich

00:24:45.150 --> 00:24:50.800
spannend finde ist, dieser Angriff mit den
Word-Makros, die funktionieren seit 1999.

00:24:50.800 --> 00:24:54.610
Da war das Melissa-Virus irgendwie die
große Nummer. Makros gab es schon früher

00:24:54.610 --> 00:24:59.780
in Word, aber ’99 mit Internetverbreitung
und so ging das irgendwie ordentlich rund.

00:24:59.780 --> 00:25:03.090
Und wir sind da keinen einzigen Schritt
weitergekommen. Jeden anderen Bug, jedes

00:25:03.090 --> 00:25:08.030
andere Problem, was wir haben, lösen wir
sofort. Dieses halten wir einfach nur aus

00:25:08.030 --> 00:25:12.391
und tun überhaupt nichts daran. Also habe
ich mir überlegt: Gut, dann schauen wir

00:25:12.391 --> 00:25:16.209
uns mal an: Warum funktionieren diese
Angriffe eigentlich? Und dafür gibt’s im

00:25:16.209 --> 00:25:21.890
Prinzip 2 Erkläransätze, die ich euch
vorstellen möchte. Der eine ist eben

00:25:21.890 --> 00:25:28.150
individualpsychologisch, der andere ist
organisationspsychologisch. Daniel

00:25:28.150 --> 00:25:33.250
Kahnemann hat einen Nobelpreis in
Wirtschaftswissenschaften, glaube ich,

00:25:33.250 --> 00:25:38.360
bekommen, dass er sich darüber Gedanken
gemacht hat, wie Menschen denken.

00:25:38.360 --> 00:25:41.859
„Thinking, Fast and Slow“, großer
Bestseller, und so weiter. Der postuliert

00:25:41.859 --> 00:25:49.650
im Prinzip: Wir haben 2 Systeme in unserem
Gehirn. Das erste System arbeitet schnell

00:25:49.650 --> 00:25:55.490
und intuitiv und automatisch. Also
Standardhandlungsabläufe. Ihr müsst nicht

00:25:55.490 --> 00:25:59.980
nachdenken, wenn ihr zuhause aus der Tür
geht und die Wohnung abschließt. Das

00:25:59.980 --> 00:26:04.209
passiert einfach. Da werden keine
Ressourcen des Gehirns drauf verwendet,

00:26:04.209 --> 00:26:07.180
jetzt nachzudenken: Dreht man den
Schlüssel rechts-, linksrum – ist das

00:26:07.180 --> 00:26:09.750
überhaupt der richtige oder so, ne?
Eigentlich sehr faszinierend. Ich habe

00:26:09.750 --> 00:26:13.049
einen relativ großen Schlüsselbund und ich
bin echt fasziniert, wie es meinem Gehirn

00:26:13.049 --> 00:26:15.880
gelingt, ohne dass ich darüber nachdenke,
den richtigen Schlüssel einfach aus der

00:26:15.880 --> 00:26:22.270
Tasche zu ziehen. Das ist System 1. Und
das ist aktiv, primär bei Angst. Wenn wir

00:26:22.270 --> 00:26:27.140
also schnell handeln müssen – Fluchtreflex
und solche Dinge. Oder bei Langeweile,

00:26:27.140 --> 00:26:31.760
wenn wir wie immer handeln müssen. Und
genau diese ganzen Phishingszenarien

00:26:31.760 --> 00:26:36.850
zielen auf eine dieser beiden Sachen ab:
Entweder uns ganz viel Angst zu machen

00:26:36.850 --> 00:26:43.200
oder einen Ablauf, den wir antrainiert
haben und aus Langeweile automatisiert

00:26:43.200 --> 00:26:48.760
durchführen, auszulösen. Demgegenüber
steht das System 2: Das ist langsam,

00:26:48.760 --> 00:26:55.350
analytisch und dominiert von Vernunft. Und
ja. Die Angreifer nutzen natürlich

00:26:55.350 --> 00:27:02.130
Situationen, in denen sie auf System 1
setzen können. Warum ist das ein Problem?

00:27:02.130 --> 00:27:06.770
Wenn wir Leuten versuchen, zu erklären,
wie sie sich gegen solche Angriffe

00:27:06.770 --> 00:27:11.100
schützen sollen – guckt darauf, achtet
darauf und so weiter –, dann erklären wir

00:27:11.100 --> 00:27:15.590
das System 2. Und System 2 versteht das
auch, genau wie ich verstanden habe, dass

00:27:15.590 --> 00:27:19.270
ich eigentlich nicht auf irgendwelche
PayPal-Scams klicken soll. Aber wenn ich

00:27:19.270 --> 00:27:22.669
gelangweilt vorm Computer sitze und
überlege, wo ich als nächstes hinklicken

00:27:22.669 --> 00:27:28.050
soll, dann suche ich mir halt den nächsten
großen Button und klicke da drauf.

00:27:28.050 --> 00:27:31.410
Organisationspsychologie finde ich das
eigentlich sehr viel interessanter. Warum

00:27:31.410 --> 00:27:37.290
kümmert sich eigentlich niemand um dieses
Problem, ja? Wir begnügen uns damit,

00:27:37.290 --> 00:27:41.520
unseren IT-Perimeter zu haben, wir bauen
da eine Schranke drum. Bauen eine Firewall

00:27:41.520 --> 00:27:44.541
hier und haste noch gesehen, hier noch
irgendein Snake-Oil und so. Und der

00:27:44.541 --> 00:27:49.230
technische Angriff ist eigentlich ziemlich
schwierig, ja? Wenige Menschen können

00:27:49.230 --> 00:27:54.600
technische Angriffe durchführen. Und unser
Schutz dagegen ist enorm gut. Wir haben

00:27:54.600 --> 00:27:58.059
granular definierte Reife. Wir können
messen: wenn du irgendwie dieses oder

00:27:58.059 --> 00:28:01.260
jenes Checkmark nicht hast, bist du
schlecht oder so, ne? Und dann sitzen an

00:28:01.260 --> 00:28:05.630
dem Computer Administratoren und
Angestellte und arbeiten mit diesen Daten.

00:28:05.630 --> 00:28:08.760
Und die schützen wir irgendwie nicht. Wir
machen uns auch gar keine Gedanken

00:28:08.760 --> 00:28:12.900
darüber, die mal zu härten oder zu pen-
testen. Dabei ist der Angriff über Social

00:28:12.900 --> 00:28:19.299
Engineering viel einfacher und einen
Schutz haben wir dem aber nicht gegenüber.

00:28:19.299 --> 00:28:23.820
Und jetzt tritt der ganz normale Prozess
des Risikomanagements ein. Und der sieht

00:28:23.820 --> 00:28:29.700
ungefähr so aus: Das Risiko wird
wahrgenommen, das Risiko wird analysiert

00:28:29.700 --> 00:28:34.500
und in diesem Fall wird das Risiko dann
eben ignoriert. Und so sitzen wir jetzt

00:28:34.500 --> 00:28:39.940
seit 20 Jahren da, uns fliegt ein Makro
nach dem anderen um die Ohren. Die – wie

00:28:39.940 --> 00:28:42.299
heißt diese Uni da? War das jetzt
Göttingen oder Gießen?

00:28:42.299 --> 00:28:45.500
<i>Rufe aus dem Publikum</i>
Göttingen kommt auch noch dran, keine

00:28:45.500 --> 00:28:51.650
Sorge. Und wenn diese Risiken gemanaget
werden, dann muss man sehen: „Management

00:28:51.650 --> 00:28:54.809
bedeutet, die Verantwortung zu tragen und
deshalb alles dafür tun zu müssen, nicht

00:28:54.809 --> 00:28:58.990
zur Verantwortung gezogen zu werden.“ Und
eben auch nicht mehr als das zu tun.

00:28:58.990 --> 00:29:07.120
<i>Applaus</i>
Das heißt, wir versuchen also die Probleme

00:29:07.120 --> 00:29:10.390
zu lösen, die wir können und die anderen –
was kann ich dafür, wenn der Nutzer falsch

00:29:10.390 --> 00:29:14.090
klickt? Wohin uns das gebracht hat, können
wir jetzt eben bei den verschiedenen

00:29:14.090 --> 00:29:18.289
Unternehmen beobachten. Deswegem habe ich
mir gedacht: OK. Wie kann man dieses

00:29:18.289 --> 00:29:23.359
Problem denn mal lösen? Welche
Gegenmaßnahmen sind wie wirksam? Also was

00:29:23.359 --> 00:29:27.810
funktioniert, um Menschen das abzugewöhnen
oder die Wahrscheinlichkeit zu verringern,

00:29:27.810 --> 00:29:33.440
dass sie auf solche Sachen draufklicken?
Und welche UI-/UX-Faktoren machen weniger

00:29:33.440 --> 00:29:37.330
verwundbar? Weil es gibt ja quasi immer
die gleichen Prozesse, die ausgenutzt

00:29:37.330 --> 00:29:42.590
werden. Und auf der anderen Seite die
Optimierungsdimensionen. Einmal die

00:29:42.590 --> 00:29:47.770
Resistenz: Nicht zu klicken. Und dann in
so einem Unternehmenskontext halt: Du

00:29:47.770 --> 00:29:51.200
musst es melden. Du musst der IT Bescheid
sagen, damit die irgendwelche

00:29:51.200 --> 00:29:56.470
Gegenmaßnahmen ergreifen kann. Ich zeige
euch jetzt mal die Ergebnisse von 2

00:29:56.470 --> 00:30:02.529
Beispielstudien, die wir in dem Bereich
durchgeführt haben. Ich bin sehr bemüht,

00:30:02.529 --> 00:30:08.200
die so anonymisiert zu haben, also sollte
hoffentlich nirgendwo mehr erkennbar sein,

00:30:08.200 --> 00:30:13.510
mit welchem Unternehmen das war. Das erste
war in Asien. Da haben wir das mit 30.000

00:30:13.510 --> 00:30:18.570
Personen gemacht. 4 Phishingdurchläufe und
es gab so ein Lernvideo, in dem das auch

00:30:18.570 --> 00:30:22.669
noch mal erklärt wurde. Und wir haben
erfasst, wie oft das dann zum Beispiel der

00:30:22.669 --> 00:30:26.200
IT gemeldet wurde, dass dieser Angriff
stattgefunden hat. Und wir haben erfasst,

00:30:26.200 --> 00:30:30.310
wie oft die Leute auf diese Phsihingnummer
reingefallen sind. Und was wir dort

00:30:30.310 --> 00:30:36.300
eigentlich herausfinden wollten war: Es
ging eigentlich darum, wie wir in diesem

00:30:36.300 --> 00:30:39.320
Unternehmen regelmäßig die Menschen
trainieren, dass sie nicht auf solche

00:30:39.320 --> 00:30:42.440
Sachen draufklicken. Also haben wir uns so
einen Versuchsplan gebaut und haben

00:30:42.440 --> 00:30:45.410
gesagt: OK, welche
Kommunikationsmöglichkeiten haben wir? Ja

00:30:45.410 --> 00:30:49.430
gut, wir können denen E-Mailer schicken.
Also Spam vom eigenen Unternehmen. Wir

00:30:49.430 --> 00:30:52.929
können Poster in den Flur hängen. Wir
können beides machen, wir können nichts

00:30:52.929 --> 00:30:57.960
machen. Wir können außerdem den Leuten so
ein Online-Quiz anbieten und die danach

00:30:57.960 --> 00:31:02.299
ein Quiz machen lassen. Auch da konnten
wir den Online-Quiz einmal mit einem Text

00:31:02.299 --> 00:31:05.549
und einmal mit einem Video – meine
Hypothese war: das Video bringt es den

00:31:05.549 --> 00:31:09.580
Leuten wahrscheinlich besser bei. Und dann
haben wir quasi, weil wir genug Leute

00:31:09.580 --> 00:31:13.870
hatten, eben das alles quasi vollständig
permutiert, sodass wir alle Effekte

00:31:13.870 --> 00:31:17.040
einzeln messen konnten und nachher die
Gruppen vergleichen konnten. Dann haben

00:31:17.040 --> 00:31:20.350
wir sie einmal gephisht und in dem
Phishing gab es dann nachher eine

00:31:20.350 --> 00:31:24.190
Aufklärung. Also wenn die ihr Passwort
eingegeben hatten, kam entweder ein Text,

00:31:24.190 --> 00:31:28.909
der ihnen gesagt hat: Ey, das war jetzt
gerade schlecht. Oder ein Video, was ihnen

00:31:28.909 --> 00:31:32.309
erklärt hat: Das war gerade schlecht. Oder
beides: Text und darunter ein Video oder

00:31:32.309 --> 00:31:37.170
umgekehrt. Und dann haben wir noch mal ein
Phishing gemacht. Und jetzt werde ich grün

00:31:37.170 --> 00:31:42.380
markieren die Dinge, die tatsächlich einen
Effekt hatten. Alles was vorne stand,

00:31:42.380 --> 00:31:46.110
E-Mailer, alles was man den Leuten
erklärt. Alles was System 2 anspricht, hat

00:31:46.110 --> 00:31:49.050
überhaupt keinen Effekt gehabt. Ihr
könntet die Leute irgendwelche Quize

00:31:49.050 --> 00:31:52.960
ausführen lassen und Onlinekurse wie sie
wollen. Verdienen einige Unternehmen auch

00:31:52.960 --> 00:31:58.190
gutes Geld mit. Hat aber keinen Effekt.
Was einen Effekt hatte war: Ob die

00:31:58.190 --> 00:32:02.669
gephisht wurden oder nicht und es war
etwas besser, wenn sie ein Video dazu

00:32:02.669 --> 00:32:08.030
gesehen haben. Und das ist genau deshalb,
weil: Wenn sie tatsächlich gephisht

00:32:08.030 --> 00:32:12.760
werden, dann haben sie eine Lernerfahrung,
wenn System 2 aktiv ist. Ja? Das Video war

00:32:12.760 --> 00:32:17.260
so ein rotes Blinken: Achtung, Gefahr, du
hast etwas falsch gemacht. Ich will noch

00:32:17.260 --> 00:32:22.400
kurz zu dem Ergebnis kommen bei der ersten
Erfassung: Wir haben zunächst eine

00:32:22.400 --> 00:32:30.390
Erfolgsrate von 35% gehabt. 55% haben die
E-Mails ignoriert und 10% haben auf der

00:32:30.390 --> 00:32:34.070
Phishingseite abgebrochen. Also sie haben
vielleicht noch mal irgendwie; sind noch

00:32:34.070 --> 00:32:39.190
mal zur Besinnung gekommen oder so. Und
mein damaliger Kollege meinte: Ey, das

00:32:39.190 --> 00:32:43.160
kann irgendwie gar nicht sein. So, da muss
viel mehr gehen. So schlau sind die doch

00:32:43.160 --> 00:32:47.600
nicht, ne? Gucken wir mal, ob die die
E-Mails überhaupt geöffnet haben. Also

00:32:47.600 --> 00:32:50.940
gelsen haben. Wir hatten nämlich ein
kleines Zählpixelchen in der E-Mail und

00:32:50.940 --> 00:32:54.760
ich konnte quasi feststellen, ob die die
E-Mail überhaupt geöffnet haben. Wenn wir

00:32:54.760 --> 00:32:58.390
die Zahl korrigiert haben und diejenigen
rausgenommen haben, die die E-Mail nie zu

00:32:58.390 --> 00:33:02.403
Gesicht bekommen haben, war die
Erfolgswahrscheinlichkeit 55%.

00:33:02.403 --> 00:33:05.360
<i>Raunen und kurzer Applaus</i>
Wir hatten dann noch ein weiteres Problem

00:33:05.360 --> 00:33:10.820
an der Backe. Weil, wir hatten jetzt an
30.000 Leute eine E-Mail geschrieben und

00:33:10.820 --> 00:33:14.470
als Absender angegeben, wir wären der IT-
Support.

00:33:14.470 --> 00:33:19.849
<i>Gelächter</i>
Es gibt darauf verschiedene Reaktionen.

00:33:19.849 --> 00:33:23.070
Erstmal haben wir relativ viele E-Mails
bekommen, wo die Leute sagten: Ich will ja

00:33:23.070 --> 00:33:26.060
mein Passwort ändern, aber da kommt immer
dieses Video!

00:33:26.060 --> 00:33:34.519
<i>Gelächter</i>
<i>Applaus</i>

00:33:34.519 --> 00:33:40.710
Und dann hatten wir Leute, die noch Monate
später der unsäglichen Praxis nachhingen,

00:33:40.710 --> 00:33:45.219
wenn sie jemandem eine E-Mail schreiben
wollen, dass sie einfach suchen, wann sie

00:33:45.219 --> 00:33:47.880
das letzte mal von dem eine E-Mail
bekommen haben und auf den Thread

00:33:47.880 --> 00:33:51.130
antworten. Das heißt, wir waren das
nächste halbe Jahr damit beschäftigt, IT-

00:33:51.130 --> 00:33:55.010
Support zu machen.
<i>Gelächter</i>

00:33:55.010 --> 00:33:59.769
<i>Applaus</i>
OK, Ergebnis zusammengefasst: Diese ganzen

00:33:59.769 --> 00:34:04.560
Awarenessmaßnahmen hatten keinen praktisch
relevanten Effekt. Die Selbsterfahrung

00:34:04.560 --> 00:34:08.749
hatte einen starken Lerneffekt. Und der
ging teilweise sogar über das Erwartbare

00:34:08.749 --> 00:34:14.579
hinaus. Leider aber sind die Lerneffekte
sehr spezifisch. Das heißt, die Leute

00:34:14.579 --> 00:34:18.990
lernen, wenn eine Passwort-Reset-E-Mail
kommt, darf ich da nicht draufklicken.

00:34:18.990 --> 00:34:22.279
Wenn du denen aber danach schickst: Gib
mal deine Kreditkartennummer an, sagen

00:34:22.279 --> 00:34:25.549
die: Na klar. Gar kein Problem!
<i>Gelächter</i>

00:34:25.549 --> 00:34:29.552
Und auch das Szenario, ja? Wir haben da
nachher noch andere Social-Engineering-

00:34:29.552 --> 00:34:34.339
Maßnahmen gemacht und es gab jetzt keine
abfärbenden Effekt von – Du hast mit denen

00:34:34.339 --> 00:34:39.319
Phishing bis zum Erbrechen geübt –, dass
die jetzt irgendwie bei USB-Sticks

00:34:39.319 --> 00:34:44.659
irgendwie vorsichtiger wären oder so. Das
heißt, das ist relativ unschön. Außerdem

00:34:44.659 --> 00:34:48.309
sind die Effekte nicht stabil. Das heißt,
du hast einen Lerneffekt so in den ersten

00:34:48.309 --> 00:34:53.920
3 Monaten und dann nimmt der wieder ab.
Das heißt: Nach einiger Zeit, wenn du das

00:34:53.920 --> 00:34:58.260
nach einem Jahr wieder machst, hast du
genau wieder deine 33-55%, die du vorher

00:34:58.260 --> 00:35:02.499
hattest. Also wir können dieses Problem
irgendwie versuchen, niedrig zu halten,

00:35:02.499 --> 00:35:09.799
aber auf diesem Weg nicht aus der Welt
schaffen. So dachte ich. Bis ich dann

00:35:09.799 --> 00:35:13.810
meine 2. Beispielstudie gemacht habe, die
ich euch hier vorstellen möchte. Die war

00:35:13.810 --> 00:35:19.079
international in mehreren Sprachen –
Englisch, Deutsch, Spanisch und 2 weiteren

00:35:19.079 --> 00:35:23.849
Sprachen –, 2000 Zielpersonen, 4
Durchläufe, Video war ein bisschen länger.

00:35:23.849 --> 00:35:29.619
Und das erste Ergebnis war; Ich habe
erfasst, quasi, wenn die Leute gemeldet

00:35:29.619 --> 00:35:35.269
haben und die IT dann reagiert hätte, wie
viele erfolgreiche Angriffe danach hätten

00:35:35.269 --> 00:35:39.770
verhindert werden können. Und das
interessante ist, dass bei den meisten

00:35:39.770 --> 00:35:44.380
Standorten fast über 3/4 der weiteren
Angriffe, die danach noch passiert sind,

00:35:44.380 --> 00:35:47.769
hätten verhindert werden können durch eine
schnelle Meldung. Das heißt, es ist gut

00:35:47.769 --> 00:35:52.889
für eine IT, ihre Leute zu ermutigen, sich
bei ihr zu melden und irgendwie Bescheid

00:35:52.889 --> 00:35:59.690
zu geben. Das andere Ergebnis bei diesen
Leuten war: Beim ersten Durchlauf hatten

00:35:59.690 --> 00:36:05.570
die eine Phishingerfolgsrate von 10%. Und
ich war etwas ungläubig und habe mich

00:36:05.570 --> 00:36:09.989
gefragt: Wie kann das denn sein? Ich hatte
auch vorher eine bisschen große Fresse

00:36:09.989 --> 00:36:14.900
gehabt. Und jetzt habe ich gesagt: 30%
mache ich euch locker, gar kein Thema! Und

00:36:14.900 --> 00:36:19.919
dann sind’s jetzt irgendwie 10% da. Und
die sagten dann halt auch irgendwie: „Ja,

00:36:19.919 --> 00:36:24.999
wolltest du nicht mehr?“ Tja, was haben
die gemacht? Die hatten 2 Dinge anders als

00:36:24.999 --> 00:36:29.869
viele andere Unternehmen. Erstens: Die
hatten ihre E-Mails mit so einem kleinen

00:36:29.869 --> 00:36:35.039
Hinweis versehen, der in den Subject
reingeschrieben wurde bei eingehenden

00:36:35.039 --> 00:36:41.029
E-Mails, dass die E-Mails von extern
kommt. Und das andere, was in diesem

00:36:41.029 --> 00:36:45.910
Unternehmen anders war, ist: Die haben
ihren Passwortwechsel nicht über das Web

00:36:45.910 --> 00:36:49.459
abgeildet. Das heißt: Die Situation, in
die ich die Menschen da gebracht habe –

00:36:49.459 --> 00:36:53.059
Ey, hier ist eine Webseite, gib mal dein
Passwort ein –, die waren die nicht

00:36:53.059 --> 00:36:56.920
gewöhnt. Und deswegen sind die aus dem
Tritt gekommen, haben auf einmal mit ihrem

00:36:56.920 --> 00:37:01.729
System 2 arbeiten müssen und haben den
Fehler nicht gemacht. Wenn wir uns die

00:37:01.729 --> 00:37:06.559
Ergebnisse weiter anschauen; ich hatte ja
gesagt, es waren 4 Durchläufe. Der 2. und

00:37:06.559 --> 00:37:10.539
der 4. Durchlauf waren jeweils nur mit
denen, die in dem davorgegangenen

00:37:10.539 --> 00:37:15.779
Durchlauf quasi gephisht wurden. Das
heißt, wir haben denen noch mal so eine

00:37:15.779 --> 00:37:20.289
Härteauffrischung gegeben. Man sieht auch,
da gibt’s einige sehr renitente Phish-

00:37:20.289 --> 00:37:27.579
Klicker. Wir haben dann mal unter
kompletter Missachtung sämtlicher

00:37:27.579 --> 00:37:31.799
datenschutzrechtlichen Vereinbarungen
geguckt, wer das war. Und das waren die

00:37:31.799 --> 00:37:37.109
Funktionsaccounts. Also einfach die, wo
das Passwort eh, wo es quasi zum Job

00:37:37.109 --> 00:37:41.700
gehört, mit einem Post-It das neue
Passwort an den Bildschirm zu kleben. Das

00:37:41.700 --> 00:37:46.259
interessante ist: Wenn wir uns dieses
Ergebnis anschauen, also vom 1. zum 2.

00:37:46.259 --> 00:37:52.129
Durchlauf und so weiter, haben wir
insgesamt einen Rückgang um 33% erzielt.

00:37:52.129 --> 00:37:59.229
Ähh, Tschuldigung, ist falsch! Um 66%, ich
Idiot! 66%. 33% blieben über. Also ein

00:37:59.229 --> 00:38:05.309
Rückgang auf 33%. Das ist eigentlich enorm
gut! In der Psychologie glaubt mir das

00:38:05.309 --> 00:38:08.359
eigentlich kaum jemand, wenn man sagt, ich
habe eine Intervention; nach einmaliger

00:38:08.359 --> 00:38:13.640
Intervention Verhaltensänderung bei 2/3
der Leute. Wenn wir uns das für die

00:38:13.640 --> 00:38:16.630
Sicherheit unseres Unternehmens anschauen
oder unserer Organisation, ist das ein

00:38:16.630 --> 00:38:21.969
riesiges Desaster, weil die 33% sind ja
immer noch ein riesiges Problem für uns.

00:38:21.969 --> 00:38:25.089
Aber, Zusammenfassung: Durch diesen
lokalen Passwortwechsel und den Hinweis

00:38:25.089 --> 00:38:28.930
„External“ sind die Leute in ungewohnte
Situationen gekommen und die

00:38:28.930 --> 00:38:33.780
Wahrscheinlichkeit, dass sie darauf
reinfallen, geht runter.

00:38:33.780 --> 00:38:40.510
<i>Applaus</i>
So, also was haben wir bis jetzt gelernt?

00:38:40.510 --> 00:38:44.599
Das theoretische Lernen ist ohne Effekt.
Es zählt die Erfahrung aus erster Hand. Es

00:38:44.599 --> 00:38:48.349
gibt abstrakte Verteidigungskonzepte, die
verstehen die Leute nun mal einfach nicht.

00:38:48.349 --> 00:38:51.600
Bisher ist alles, was wir dafür haben,
eine anschauliche Didaktik. Die

00:38:51.600 --> 00:38:53.890
Lerneffekte nehmen mit der Zeit ab,
deswegen muss man das regelmäßig

00:38:53.890 --> 00:38:57.059
wiederholen. Die Lerneffekte werden nicht
generalisiert, also müssen wir die

00:38:57.059 --> 00:39:02.850
Angriffsszenarien variieren. Und wenn die
Leute das nicht melden, haben wir ein

00:39:02.850 --> 00:39:06.400
Problem, deswegen müssen wir sie außerdem
ermutigen und belohnen, wenn sie bei der

00:39:06.400 --> 00:39:11.240
IT anrufen. Für die meisten Organisationen
auch eine völlig absurde Idee, wenn jemand

00:39:11.240 --> 00:39:13.810
bei ihnen anruft, auch noch nett zu denen
zu sein.

00:39:13.810 --> 00:39:18.680
<i>Kurzes Lachen</i>
Hat aber durchaus Effekt. So. Wenn wir uns

00:39:18.680 --> 00:39:21.619
jetzt aber mal diese Situation anschauen,
dann ist doch eigentlich unser Ziel zu

00:39:21.619 --> 00:39:26.029
sagen: OK, dann müssen wir Situationen
unserer IT-Systeme so bauen, dass sie dafür

00:39:26.029 --> 00:39:30.079
nicht anfällig sind, dass wir irgendwelche
automatisierten Prozesse lernen, die

00:39:30.079 --> 00:39:34.799
Sicherheitsprozesse sind. Also vielleicht
sollte das User Interface nicht so sein

00:39:34.799 --> 00:39:45.019
wie diese frische Installationen von macOS
Catalina. Sondern anders. Denn: Wir können

00:39:45.019 --> 00:39:48.750
uns nicht auf System 2 verlassen, aber die
meisten Schutzmaßnahmen tun genau das.

00:39:48.750 --> 00:39:51.849
Also Microsoft Word erklärt einem
irgendwas und sagt dann: „Ja, ist doch

00:39:51.849 --> 00:39:54.489
dein Problem, wenn du nicht verstehst,
wovon wir hier reden. Den Rest, der hier

00:39:54.489 --> 00:39:57.349
passiert, um dich herum an diesem
Computer, verstehst du auch nicht. Hier

00:39:57.349 --> 00:39:59.509
hast du einen Knopf, drück drauf!“
<i>Kurzes Gelächter</i>

00:39:59.509 --> 00:40:03.159
Ne? So können wir nicht 20 Jahre agieren
und sagen, wir kriegen das Problem nicht

00:40:03.159 --> 00:40:06.849
in den Griff. Es gibt eine Möglichkeit
übrigens, dieses Problem mit Microsoft

00:40:06.849 --> 00:40:10.809
Word in den Griff zu kriegen und das ist:
Makros zu deaktivieren. Dann kommt der

00:40:10.809 --> 00:40:17.329
Geschäftsbetrieb zum Erliegen. Oder Makros
zu signieren. Ganz einfaches Code-Signing

00:40:17.329 --> 00:40:22.319
auf Makros geht, kann man per AD-
Gruppenrichtlinie ausrollen. Ich habe mal

00:40:22.319 --> 00:40:26.519
mit einem IT-Sicherheitsbeauftragten eines
etwas größeren Unternehmen gesprochen. Das

00:40:26.519 --> 00:40:29.559
war eines der wenigen Unternehmen, die das
jemals gemacht haben. Also die ich kenne,

00:40:29.559 --> 00:40:33.949
die das jemals gemacht haben. Der meinte
so: „Ja, okay, hat ein Jahr gedauert. Ich

00:40:33.949 --> 00:40:37.410
habe jetzt weiße Haare und eine
Halbglatze. Aber ich bin froh, dass ich

00:40:37.410 --> 00:40:41.869
das Problem jetzt endlich aus der Welt
habe!“ Und das ist der einzige Mensch, der

00:40:41.869 --> 00:40:46.729
das geschafft hat. In seinem Unternehmen
verhasst, ja? Aber er ist eigentlich ein

00:40:46.729 --> 00:40:56.949
Held! Dem Mann muss man echt danken!
<i>Johlen; Applaus</i>

00:40:56.949 --> 00:41:00.299
Und was wir also machen müssen ist: Wir
müssen unser System 1 sichern. Intuitive

00:41:00.299 --> 00:41:04.569
Handlungen müssen als Teil der
Sicherheitsmechanismen antizipiert werden.

00:41:04.569 --> 00:41:07.270
Also wir dürfen den Nutzern nicht
angewöhnen, Passwörter in irgendwelche

00:41:07.270 --> 00:41:10.800
Browserfenster zu tippen. Wir dürfen
Sicherheitsprozesse nicht per Mail oder

00:41:10.800 --> 00:41:15.420
per Browser abbilden. Und wir können uns
auch mal überlegen, ob wir die freie Wahl

00:41:15.420 --> 00:41:18.089
von Passwörtern vielleicht einfach
unterbinden, damit nicht überall

00:41:18.089 --> 00:41:24.890
passwort123 gesetzt wird. Es wird langsam
besser. So, man kann Makros signieren und

00:41:24.890 --> 00:41:30.339
deaktivieren. Man kann Software langsam
einschränken auf aus vertrauenswürdigen

00:41:30.339 --> 00:41:32.729
Quellen, also aus den App Stores. Ich
weiß, da gibt es dann wieder andere

00:41:32.729 --> 00:41:38.459
politische Probleme. Aber aus einer reinen
Sicherheitsperspektive ist das gut, wenn

00:41:38.459 --> 00:41:42.660
Leute nicht irgendwelche runtergeladenen
EXEn aus dem Internet irgendwie anklicken

00:41:42.660 --> 00:41:48.260
und irgendwelche Makros ausführen. Und mit
Fido2 und hardwarebasierten

00:41:48.260 --> 00:41:53.180
Authentisierungsmechanismen wird es
langsam besser. 2-Faktor-Authentisierung

00:41:53.180 --> 00:41:58.460
hat einen großen Vormarsch. Also, die Welt
ist nicht ganz so schlecht wie wir es

00:41:58.460 --> 00:42:01.589
glauben, aber ich würde mir sehr wünschen,
dass wir mit unseren

00:42:01.589 --> 00:42:09.520
Sicherheitsmechanismen einfach viel mehr
auf die Intuititivät setzen, denn wenn wir

00:42:09.520 --> 00:42:12.829
uns mal irgendwie anschauen, wie diese
Browserwarnungen, irgendwie „Achtung, mit

00:42:12.829 --> 00:42:17.359
dem Zertifikat stimmt was nicht“, ungefähr
so, die hat glaube ich, bis sie dann

00:42:17.359 --> 00:42:19.959
irgendwann weg waren, weil Let’s Encrypt
gekommen ist und es einfach mal

00:42:19.959 --> 00:42:24.469
vernünftige Zertifikate gab, die hat auch
niemand verstanden. Und entsprechend haben

00:42:24.469 --> 00:42:28.920
wir hier auch quasi ein wunderschönes SSL
gehabt, was am Ende daran gescheitert ist,

00:42:28.920 --> 00:42:32.170
dass wir scheiß User Interfaces dafür
hatten. Inzwischen ist es so, dass Browser

00:42:32.170 --> 00:42:38.069
die Verbindung einfach nicht herstellen.
Auch das ist ein Zugewinn! Joa. Ich habe

00:42:38.069 --> 00:42:43.150
schon überzogen, das war’s. Macht bitte
eure Backups, wechselt überall eure

00:42:43.150 --> 00:42:47.029
Passwörter. Ich schicke euch dazu nachher
noch mal eine E-Mail und vielen Dank.

00:42:47.029 --> 00:42:48.619
<i>Gelächter</i>

00:42:48.619 --> 00:43:00.830
<i>Applaus</i>

00:43:00.830 --> 00:43:06.969
Engel: So. Das war doch in gewohnter
Manier unterhaltsam. Und ich frage mich,

00:43:06.969 --> 00:43:11.690
wenn Linus’ Zahnarzt jetzt einen
Passwortmanager benutzt: Benutzt Linus

00:43:11.690 --> 00:43:15.369
jetzt zweimal täglich Zahnseide?
Linus: Ich habe mir gerade noch die Zähne

00:43:15.369 --> 00:43:18.929
geseilt! Habe ich tatsächlich!
Engel: Also, macht immer schön eure

00:43:18.929 --> 00:43:21.999
Backups und benutzt Zahnseide!

00:43:21.999 --> 00:43:25.779
<i>Abspannmusik</i>

00:43:25.779 --> 00:43:48.000
Untertitel erstellt von c3subtitles.de
im Jahr 20??. Mach mit und hilf uns!