< Return to Video

36C3 - Security Nightmares 0x14

  • 0:00 - 0:25
    36C3 Vorspannmusik
  • 0:25 - 0:33
    Herald: 3, 2, 1. Security Nightmares mit
  • 0:33 - 0:39
    Ron und Frank.
    Ron: Sehr gut, danke, nicht zu dunkel
  • 0:39 - 0:49
    bitte. Und wie eben schon gesagt, wir
    hätten gerne noch mal dass "Cyber" - das
  • 0:49 - 0:56
    Publikumsgeflüster mit dem "Cyber Cyber
    Cyber".
  • 0:56 - 1:05
    Publikum: Cyber Cyber Cyber Cyber...
    Zwischenruf "Cyber!"
  • 1:05 - 1:09
    Lachen
    R: Dankeschön.
  • 1:09 - 1:17
    Frank: Dankeschön. Ja wir sind jetzt hier
    bei der 20. Ausgabe indezimal.
  • 1:17 - 1:22
    R: Jubiläum!
    Applaus
  • 1:22 - 1:31
    Für die, die Dezimalzahlen mögen... Ich
    habe das ja fast verpennt, ne? Ich war so
  • 1:31 - 1:35
    am, ne? Letztes Mal haben wir, glaube ich,
    im Oktalsystem noch gezählt, davor ein
  • 1:35 - 1:41
    paar Mal im hexadezimalen Raum und dann
    fiel mir das eine Weile nicht auf, bis ich
  • 1:41 - 1:47
    dann dachte oh 2 0 das doch auch irgendwie
    wichtig, ja? Und deswegen haben wir auch
  • 1:47 - 1:53
    eine eine 20-Jahre Rückblendung gleich
    kurz aber nur als Ausnahme. Das machen wir
  • 1:53 - 1:58
    jetzt nicht jedes Jahr. Wer ist denn das
    erste Mal da? Naja schön.
  • 1:58 - 2:04
    F: Okay, wer war...?
    R: Das ist, was war das? Ein Drittel?
  • 2:04 - 2:08
    F: Joa, 20 25% und wer war beim ersten Mal
    da?
  • 2:08 - 2:14
    R: Also für die, die das jetzt noch im
    Kopf rechnen, also vor 20 Jahren, das war
  • 2:14 - 2:18
    dann der 16c3 im Haus am Köllnischen Park.
    Wer war da?
  • 2:18 - 2:22
    Vereinzelter Applaus und Rufe
    Ah doch. 5.
  • 2:22 - 2:24
    F: 5, schau an.
    R lacht
  • 2:24 - 2:26
    F: Okay, wer war damals noch nicht
    geboren?
  • 2:26 - 2:29
    Lachen
    R: Mehr.
  • 2:29 - 2:38
    F: Mehr, sehr gut. wir verjüngen uns dann
    doch, nicht schlecht. Ja damals im Haus am
  • 2:38 - 2:43
    Köllnischen Park waren insgesamt auf dem
    gesamten Kongress knapp halb so viele
  • 2:43 - 2:49
    Leute, wie hier jetzt im Saal sind.
    Lachen
  • 2:49 - 2:59
    R: Genau also 1999 vor der, vor der
    Jahrtausendwende. Das war die erste
  • 2:59 - 3:09
    Verwendung der Abkürzung 16c3 in dem jahr.
    Und es war das zweite Mal im Haus am
  • 3:09 - 3:16
    Köllnischen Park in Berlin. Sehr schöne
    Lokation und da haben halb so viele Leute,
  • 3:16 - 3:21
    wie in diesen Saal passen, reingepasst. In
    das ganze Haus.
  • 3:21 - 3:23
    F: Und es fühlte sich einigermaßen voll
    an.
  • 3:23 - 3:27
    Lachen
    R: Ja, weil man muss halt wissen, das Haus
  • 3:27 - 3:33
    am Köllnischen Park, da war ja im großen
    Saal, haben so viele Leute reingepasst,
  • 3:33 - 3:39
    wie vorher in das gesamte Eidelstedter
    Bürgerhaus, ja? Kann das mal schnell
  • 3:39 - 3:45
    jemand hochrechnen, wo wir dann in 20
    Jahren sein müssen?
  • 3:45 - 3:49
    Lachen
    F: Aber ne ne, wir sind jetzt post growth,
  • 3:49 - 3:52
    ne? Also wir haben ja festgestellt, mit
    dem Wachstum und so ist schwierig und...
  • 3:52 - 3:55
    R: Das ist wahr.
    F: ... der Planet irgendwann alle und
  • 3:55 - 3:57
    deswegen wachsen jetzt lieber nicht
    weiter.
  • 3:57 - 4:01
    R: Ja.
    F: Okay.
  • 4:01 - 4:09
    R: Genau und der Kongress war nur drei
    Tage. Das heißt, man konnte das an einem
  • 4:09 - 4:12
    Stück durchmachen.
    Lachen
  • 4:12 - 4:20
    Wer von euch hat es versucht? Mit vier
    Tagen? Ja schämt euch.
  • 4:20 - 4:23
    F: Na die sind jetzt nicht hier, die
    liegen irgendwo.
  • 4:23 - 4:29
    Lachen
    R: Genau, genau ich kann mich noch daran
  • 4:29 - 4:32
    erinnern als ich das erste Mal auf einem
    ersten Vier-Tage-Kongress war und gedacht
  • 4:32 - 4:36
    habt: Hier das kann doch alles nicht wahr
    sein. Das ist doch ein Anschlag auf die
  • 4:36 - 4:39
    Gesundheit.
    F: Ich glaube diese, diese Korrelation von
  • 4:39 - 4:43
    wir sind auf vier Tage gewechselt und das
    CERT ist massiv gewachsen, die es nicht,
  • 4:43 - 4:48
    kein Zufall.
    R: Aber am Ende ist gut oder, vier Tage?
  • 4:48 - 4:58
    Applaus
    R: Wer findet es ein Verbrechen am
  • 4:58 - 5:04
    Hackertum hier schon wieder entlassen zu
    werden nach vier Tagen?
  • 5:04 - 5:09
    Applaus
    Also die Hälfte. Wer hätte gerne einen
  • 5:09 - 5:14
    Monat Kongress am Stück?
    Applaus
  • 5:14 - 5:20
    Okay, auch zwei Drittel, oder so.
    Lachen
  • 5:20 - 5:23
    Genau, nahtloser Übergang vom Camp zum
    Kongress?
  • 5:23 - 5:29
    Jubel
    Ne, weil das ist eine gute Steilvorlage,
  • 5:29 - 5:37
    weil 1999 war ja auch das Jahr, in dem das
    erste Camp stattfand. Wer war da? Ja ja,
  • 5:37 - 5:39
    doch, auch 5.
    Lachen
  • 5:39 - 5:54
    Gut, das sind die langjährigen Begleiter.
    Was war das große Thema 1999? Natürlich
  • 5:54 - 5:58
    das Jahr 2000. Wer bereut noch den Ankauf
    eines Generators?
  • 5:58 - 6:05
    Lachen
    F: Nein, nicht bereut. Außerdem habe ich
  • 6:05 - 6:08
    nichts dafür bezahlt. Das war sehr lustig,
    weil die Firma, von der ich es gekauft
  • 6:08 - 6:11
    habe, auf Rechnung. War im Januar einfach
    pleite.
  • 6:11 - 6:17
    Lachen
    R: Wie konnte das passieren? Ja, nächstes
  • 6:17 - 6:24
    Jahr, wo wir dabei sind, ist wieder ein
    Schaltjahr. D.h. wenn ihr vom 28 auf den
  • 6:24 - 6:31
    29 auf den 3..., also auf den ersten März
    irgendwo übernachtet, nehmt euch eine
  • 6:31 - 6:37
    Rolle Klopapier extra mit.
    F: Ja, das Jahr 2000 war ja so eines der
  • 6:37 - 6:42
    ersten Themen, wo diese Abhängigkeit von
    dieser ganzen IT so ein bisschen ins
  • 6:42 - 6:46
    öffentliche Bewusstsein gerückt ist durch
    diese ganze Panik und deshalb ist heute
  • 6:46 - 6:51
    nicht so ganz klar, ob das jetzt so Panik
    war, die irgendwie unberechtigt war oder
  • 6:51 - 6:56
    ob die ganze Panik dafür gesorgt hat, dass
    genügend Energie und Zeit und Geld
  • 6:56 - 7:00
    reingesteckt wurde, dass es kein Problem
    gab. Irgendwie ist das bis heute so ein
  • 7:00 - 7:05
    bisschen ungeklärt und wir schauen alle
    mit großer Freude auf das Jahr 2038.
  • 7:05 - 7:09
    Lachen
    Was sich ja langsam nähert, so, wenn wir
  • 7:09 - 7:16
    so gucken, dann ist sozusagen 2038 näher
    dran als die ersten Security Nightmares
  • 7:16 - 7:18
    von jetzt weg sind, ne? Nur so als
    Referenz.
  • 7:18 - 7:26
    R: Genau, ja und dann saßen wir da alle
    und haben den Vortrag von Professor
  • 7:26 - 7:32
    Bunnstein, mit leichtem Gruseln, der uns
    erklärt hat, wie die Welt untergehen wird,
  • 7:32 - 7:45
    naja. Those were the days. Gut, das
    erschreckende ist, dass man die Jahre 1999
  • 7:45 - 7:56
    bis 2019 in einem einzigen Bild
    zusammenfassen kann. In einem Screenshot.
  • 7:56 - 7:59
    Lachen
    Applaus
  • 7:59 - 8:14
    F: Also bei der Vorbereitung waren wir
    auch so ein bisschen davon angefressen,
  • 8:14 - 8:17
    dass wir in diesen 20 jahren keinen
    wirklichen Fortschritt an dieser Front
  • 8:17 - 8:24
    feststellen konnten. Was wir dieses jahr
    ja massiv hatten sind ja so Ransomware-
  • 8:24 - 8:30
    Attacken, die zum allergrößten Teil immer
    noch über Office Makros als
  • 8:30 - 8:37
    Infektionsvektor funktionieren. Und das
    war 1999 nicht anders. Es war genau
  • 8:37 - 8:39
    dasselbe. Zwischendurch war's dann mal ein
    bisschen weniger aber inzwischen sind wir
  • 8:39 - 8:44
    wieder genau da und so langsam fragt man
    sich: Ist diese Menschheit irgendwie
  • 8:44 - 8:50
    lernfähig? Also wie viel da draußen von
    der Wirtschaft würde brechen, wenn man
  • 8:50 - 8:56
    jetzt einfach sagt: Ok, liebes Microsoft,
    zum Wohle der Menschheit, ihr schaltet
  • 8:56 - 9:04
    jetzt einfach mal Office Makros einfach
    komplett ab. So, aus.
  • 9:04 - 9:10
    Applaus
    Das Problem dabei ist halt, wahrscheinlich
  • 9:10 - 9:14
    würde wirklich ganz schön viel
    Bullshitwirtschaft brechen, also diese
  • 9:14 - 9:19
    ganzen Reporting Sheets und diese 400
    Megabyte Excel-Dokumente mit dem so
  • 9:19 - 9:26
    Großkonzerne betrieben werden. Ist kein
    Scherz. Also lebende Excel-Dokumente, die
  • 9:26 - 9:29
    sich verändern wenn man irgendwo was rein
    schreibt dann ändern sich 15 Sheets weiter
  • 9:29 - 9:32
    Dinge und die muss man später auch noch
    ausfüllen. Ist tatsächlich die Realität da
  • 9:32 - 9:36
    draußen. Ist also nicht irgendwie selten
    oder so. Aber es sind alles so Sachen, wo
  • 9:36 - 9:39
    man sich denkt: Naja, wenn die weg wären,
    würden jetzt, glaube ich, auch nicht allzu
  • 9:39 - 9:44
    viele leute sterben, glaube ich. Obwohl,
    keine Ahnung, in Krankenhäusern gibt's
  • 9:44 - 9:49
    wahrscheinlich auch Office Makros. Also
    die sterben dann noch nicht, sondern erst
  • 9:49 - 9:55
    später, wenn die Ransomware dann da war.
    R: Ja, da darf man nicht zu viele Scherze
  • 9:55 - 10:00
    machen.
    F: Doch, immer rin!
  • 10:00 - 10:12
    R: Genau, also zum Regelprogramm. Vor zehn
    jahren hatten wir cloudy Computing
  • 10:12 - 10:18
    angesagt und waren der Meinung dass
    Malware und Cloud konvergiert. Für wen von
  • 10:18 - 10:29
    euch ist denn das eingetroffen? Ahja,
    acht. Die Ansage war, glaube ich, dass
  • 10:29 - 10:39
    sehr viel Malware in die Cloud reinwandert
    und die cloud in ihrer eben vielleicht
  • 10:39 - 10:45
    nicht Sicherheit dann zum Problem wird.
    Tatsächlich scheinen wir etwas anderes zu
  • 10:45 - 10:49
    beobachten, dass es so ein bisschen so
    aussieht, als wenn nur die Cloud noch das
  • 10:49 - 10:55
    ist, was verteidigt werden kann, oder
    zumindest viele versuchen, diesen Eindruck
  • 10:55 - 11:03
    zu erwecken. Tja.
    F: Dafür sind ja die ganzen Antiviren
  • 11:03 - 11:09
    Snakeoils in die Cloud gewandert. Die
    verkaufen jetzt ja alle Cloud Antivirus.
  • 11:09 - 11:13
    R: Alle verkaufen Cloud, alles Cloud, ist
    eh klar.
  • 11:13 - 11:18
    F: Stimmt, Hypervisor Rootkits hatten wir
    damals angesagt. Interessanterweise haben
  • 11:18 - 11:22
    wir dann eine weile diskutiert, wie wir
    dazu gekommen sind, was daraus geworden
  • 11:22 - 11:27
    ist und haben festgestellt, dass, klar,
    gibt es, also es gibt halt so Toolkits,
  • 11:27 - 11:32
    mit denen man so Ausbruch aus Hypervisorn
    und VMs und so machen kann, die aber in
  • 11:32 - 11:38
    der freien Wildbahn eigentlich relativ
    selten verwendet werden, weil die
  • 11:38 - 11:43
    Notwendigkeit für so eine unglaublich
    elegante, fiese Attacke gar nicht besteht,
  • 11:43 - 11:48
    weil der Kram, der in den VMs läuft, in
    den virtual machines läuft, so schlecht
  • 11:48 - 11:51
    ist, dass es gar nicht lohnt da von hinten
    durch die Brust ins Auge gegenüber
  • 11:51 - 11:55
    Hypervisor zu kommen, sondern man geht
    einfach direkt durch die Vordertür rein.
  • 11:55 - 11:59
    So kann man sich irren. Also optimistische
    Annahmen über Softwarequalität, haben wir
  • 11:59 - 12:02
    glaube ich gelernt in der Geschichte der
    Security Nightmares, haben sich nie
  • 12:02 - 12:06
    bewahrheitet.
    R: Das stimmt. Die Frage ist, hätten wir
  • 12:06 - 12:11
    das jetzt, wenn es Office Makros nicht
    mehr gäbe?
  • 12:11 - 12:19
    Verhaltenes Lachen
    Das hier war die Idee, dass man, wenn man
  • 12:19 - 12:25
    so vor seiner Suchmaschine der wahl sitzt
    und Fragen stellt und Fragen stellt, dann
  • 12:25 - 12:30
    ist es ja vor Allem auch immer eine...
    "Jede Frage an Google ist eine Antwort an
  • 12:30 - 12:36
    Google" war der schöne Spruch. Und wie
    verschleiert man sich denn da? Und ich
  • 12:36 - 12:41
    muss aber sagen, ich habe kein Plugin
    gesehen, das einfach zwischendurch immer
  • 12:41 - 12:47
    mal nach Britney Spears sucht oder was
    halt gerade so ansteht, damit man
  • 12:47 - 12:49
    harmloser aussieht.
    F: Ich glaube, wenn du heute nach Britney
  • 12:49 - 12:53
    Spears suchst, würde dir wahrscheinlich
    irgendwie ein bizarrer Fetisch unterstellt
  • 12:53 - 13:00
    oder so.
    R: Es war halt vor zehn Jahren die Ansage.
  • 13:00 - 13:11
    Street View war ein Thema vor zehn Jahren.
    Das hat deutschland ja so hart verbrannt,
  • 13:11 - 13:17
    dass Google jetzt lieber gar nichts mehr
    veröffentlicht und alle anderen da auch
  • 13:17 - 13:23
    eher nicht mitgemacht haben, was ich den
    Eindruck habe, aber das ist vielleicht nur
  • 13:23 - 13:27
    meine Filterblase, was weiß ich schon,
    dass es jetzt alle ein bisschen schade
  • 13:27 - 13:32
    finden, dass es alles so vor sich hin
    gammelt diese Street View-Bilder, nichts
  • 13:32 - 13:35
    geupdatet wird.
    F: Also ich find das eigentlich ganz
  • 13:35 - 13:40
    interessant so. Es ist sozusagen so
    lebendige Archäologie. Man kann halt
  • 13:40 - 13:43
    irgendwie sehen wie es vor ein paar jahren
    da aussah und was sich ja so inzwischen
  • 13:43 - 13:49
    verändert hat und... Naja, gut, ich mein,
    das Problem ist halt, dass Street View war
  • 13:49 - 13:55
    halt damals so state of the art und
    heutzutage ist es halt so, wir haben jetzt
  • 13:55 - 13:58
    in der Vorbereitung mal geguckt, so
    aktuelle Luftbilder in so bekannten
  • 13:58 - 14:03
    Kartenplattformen haben so 10 cm
    Auflösung. Das heißt also, man ist noch
  • 14:03 - 14:07
    nicht ganz bei Nummernschilder lesen aber
    auch nicht mehr so weit weg davon.
  • 14:07 - 14:11
    R: Und das ist auch das eigentlich
    faszinierende, weil ich mal, ich glaube
  • 14:11 - 14:14
    das war dieses Jahr, hatten wir
    zwischendurch die Diskussionen: Wie ist
  • 14:14 - 14:18
    denn das eigentlich mit Luftbildern, die
    werden ständig immer besser. Ich glaube
  • 14:18 - 14:23
    Bing hatte damit mal angefangen. Die haben
    das dann immer, wie haben die das genannt?
  • 14:23 - 14:29
    Bird View oder sowas. Und Apple nennt das
    irgendwie Flyover oder so. Und die haben
  • 14:29 - 14:35
    wirklich gute Daten und da ist vor allen
    Dingen gar nix verpixelt, jedenfalls habe
  • 14:35 - 14:44
    ich nichts gefunden. Und dieser Aufschrei
    der damals durch Deutschland lief, wie,
  • 14:44 - 14:51
    ich muss mein Haus verpixeln, das scheint
    sich über diese Luftbilder ist da... war
  • 14:51 - 14:55
    da irgendwas?
    F: Ich glaube, es hat zwei Gründe. Der
  • 14:55 - 14:59
    eine Grund ist, du siehst in Luftbildern
    von oben primär. Also klar hast du diesen
  • 14:59 - 15:02
    3D View, kannst auch so ein bisschen von
    der seite sehen. Aber du kannst noch nicht
  • 15:02 - 15:05
    so richtig Schrift lesen, also auch keine
    Nummernschilder und du kannst noch nicht
  • 15:05 - 15:10
    so richtig Gesichter erkennen was beides
    in Street View ja ging. Und die
  • 15:10 - 15:14
    Algorithmen jetzt, die sie da verbauen
    gerade zum Gesichter verpixeln und
  • 15:14 - 15:20
    Nummernschilder weg pixeln, die brauchten
    ja auch erstmal ein bisschen, bis sie dann
  • 15:20 - 15:24
    so weit waren. Dann gab es natürlich
    dieses ganze "Wir verpixeln ganze
  • 15:24 - 15:29
    Ladenfronten und Häuser und so", aber ich
    glaube, die Entwicklung wird jetzt relativ
  • 15:29 - 15:33
    schnell gehen, wenn 5G ausgerollt ist.
    Also es gibt diverse Projekte, die sagen
  • 15:33 - 15:37
    "Okay, 5G viel Bandbreite, da können wir
    doch eigentlich so 360° Rundumkameras
  • 15:37 - 15:42
    einfach mal so auf Taxis oder Müllautos
    oder so kleben und dann machen wir die
  • 15:42 - 15:45
    ganze Zeit live Updates von dem Street
    View", weil die werden halt die ganze Zeit
  • 15:45 - 15:49
    über 5G raus gestreamt, dann zusammen
    gestitcht und dann an die Stelle geklebt.
  • 15:49 - 15:51
    Die brauchen natürlich dann auch
    Algorithmen zum Verpixeln von
  • 15:51 - 15:55
    Nummernschildern und Gesichtern weil sonst
    Datenschutz. Und das eröffnet aber
  • 15:55 - 15:59
    interessante Perspektiven, weil, dann kann
    man plötzlich mit diesem, wenn man seinen
  • 15:59 - 16:03
    Laden nicht in dem live Street View haben
    will, muss man eigentlich nur die
  • 16:03 - 16:08
    Schriftart von Nummernschildern nehmen und
    seine Ladenbeschriftung damit machen, dann
  • 16:08 - 16:10
    wird sie automatisch weg gepixelt.
    Lachen
  • 16:10 - 16:15
    R: Genau das geht dann hin bis zur
    Nummernschild-Tapete, die man sich dann
  • 16:15 - 16:21
    von außen an sein Haus klebt. Damit es
    einfach nicht da ist.
  • 16:21 - 16:26
    F: Also, klar ist halt, das ist halt noch
    nicht vorbei. Das hat jetzt nur
  • 16:26 - 16:30
    geschlafen. Also dieses live Street View
    Ding wird halt kommen. Das ist relativ
  • 16:30 - 16:32
    absehbar.
    R: Ja sie haben sich über die Luftbilder
  • 16:32 - 16:35
    so ein bisschen angeschlichen, würde ich
    sagen.
  • 16:35 - 16:39
    F: Ja
    R: Genau, die Flashmobvermieter sind jetzt
  • 16:39 - 16:44
    Bot herder, die
    Botnetzbekämpfungsbundesbetreuer. Das war
  • 16:44 - 16:49
    lustig. Das war ja nur eine Ankündigung
    damals. Das wurde dann irgendwie
  • 16:49 - 16:56
    botfrei.de oder so gestartet, ein Jahr
    später. Und der Grund war ja, dass, das
  • 16:56 - 17:04
    war damals das Jahr von dem Conficker
    Virus und das hieß, 5% der Unternehmens-
  • 17:04 - 17:12
    PCs sind verseucht. Und Deutschland war
    auf dem Platz zwei weltweit der Länder mit
  • 17:12 - 17:20
    den meisten Botnet-Infektionen. So und
    dann wurden da Dinge getan und ein paar
  • 17:20 - 17:28
    Jahre später war Deutschland dann aus den
    Top ten heraus und bis jetzt auch gerade
  • 17:28 - 17:36
    nicht drin und dann wurde das so ein
    bisschen runter gefahren. Interessant ist,
  • 17:36 - 17:44
    dass sich Japan letztes Jahr, also, hat
    sich die Regierung erlaubt, nach IoTs zu
  • 17:44 - 17:48
    scannen und wohl dieses Jahr damit
    angefangen. Ich habe jetzt noch nichts
  • 17:48 - 17:54
    über Ergebnisse gelesen ich nehme mal an,
    dass sie auch versuchen, dann Leute, die
  • 17:54 - 17:59
    IoT mit schlechten Passwörtern am Netz
    haben, zu kontaktieren und so, wie das
  • 17:59 - 18:05
    damals hier gelaufen ist mit verseuchten
    Systemen. Vielleicht haben wir da nächstes
  • 18:05 - 18:12
    Jahr ein Update.
    F: Hatten wir damals schon, Umwelt- vs
  • 18:12 - 18:15
    Datenschutz. Damals ging es um
    intelligente Stromzähler. Mittlerweile
  • 18:15 - 18:20
    haben wir ja so das Phänomen, dass etliche
    aus der, sagen wir mal, stark Klima- und
  • 18:20 - 18:26
    Umwelt bewegten Ecke, so ein bisschen der
    Meinung sind, dass, ja also wenn wir denen
  • 18:26 - 18:30
    damit den Planeten retten, dann ist auch
    da einen Überwachungsstaat dafür bauen,
  • 18:30 - 18:35
    gerechtfertigt, um halt irgendwie die
    Leute dazu zu bringen, sich umwelt- und
  • 18:35 - 18:39
    klimagerecht zu verhalten. Dieser Konflikt
    wird halt nicht weggehen. Also der wird
  • 18:39 - 18:43
    halt auch stärker werden und der wird halt
    die gesellschaftlichen Bewegungen, die
  • 18:43 - 18:48
    sich halt für die verschiedenen Ziele
    einsetzen, dazu treiben, dass man sich da
  • 18:48 - 18:51
    auch intensiver darüber unterhalten muss.
    Also das ist so ein Ding, was wir gerade
  • 18:51 - 18:56
    sehen, auch im politischen Spektrum. Bei
    den Grünen gibt es da durchaus Leute, die
  • 18:56 - 18:59
    irgendwie eigentlich nicht so richtig
    finden, dass Datenschutz irgendwie ein
  • 18:59 - 19:06
    gleichwertiges Ziel ist und da durchaus
    eher geneigt zu sagen: "So naja so ein
  • 19:06 - 19:08
    bisschen Überwachung, wenn es den Planeten
    rettet, ist ja schon eigentlich ganz
  • 19:08 - 19:13
    okay." Dieses Problem werden wir in den
    nächsten Jahren auf jeden Fall auch noch
  • 19:13 - 19:19
    mal häufiger diskutieren müssen und da
    auch sinnvolle Weges des Diskurses darüber
  • 19:19 - 19:23
    finden. Auch, sage ich mal, außerhalb des
    Verhältnisses Staat - Bürger.
  • 19:23 - 19:28
    R: Genau. Aber mein intelligenter
    Stromzähler tut immer noch nichts, was
  • 19:28 - 19:35
    wirklich interessant ist. Wir hatten
    Malware mit Updatezyklen von einer Woche,
  • 19:35 - 19:40
    inzwischen sind wir bei einer Stunde oder
    so angelangt. Das ist glaube ich, ein
  • 19:40 - 19:44
    anständiger Fortschritt.
    Lachen
  • 19:44 - 19:52
    Applaus
    Ja und dann haben wir gedacht, die
  • 19:52 - 19:55
    elektronische Gesundheitskarte ist
    vielleicht tot.
  • 19:55 - 19:59
    Lachen
    Ihr könnt ja einfach den Vortrag hier vom
  • 19:59 - 20:07
    Kongress euch anschauen und euch dann
    selber ein Urteil bilden. Ja, die Zeit
  • 20:07 - 20:13
    läuft. Das Internet-Normalitätsupdate.
    Ganz schnell so ein paar Zahlen in die
  • 20:13 - 20:23
    Runde geworfen. Es gab diese Microsoft RDP
    Vulnerability, die BlueKeep genannt worden
  • 20:23 - 20:27
    ist. Als das veröffentlicht wurde, waren
    mal eine knappe Million Systeme direkt
  • 20:27 - 20:32
    erreichbar und verwundbar. Das ist so die
    Größenordnung, um die es im Moment geht.
  • 20:32 - 20:38
    Obwohl sich auch noch ganz viel Malware
    fröhlich verbreitet, auch wenn man direkt
  • 20:38 - 20:48
    nur ein paar zehntausend Systeme sehen
    kann. Dann gab es größere Zahlen.
  • 20:48 - 20:57
    Natürlich, was so verdient wurde in der
    Ransomware-Branche. Hier sind Zahlen. Das
  • 20:57 - 21:03
    sind glaube ich Eigenangaben von den
    Leuten, die diese Malware hier gemacht
  • 21:03 - 21:06
    haben. Das ist deswegen ganz interessant,
    weil die lief halt nur so ungefähr 16
  • 21:06 - 21:14
    Monate und die haben gesagt sie hätten da
    160 Millionen US Dollar verdient. Spannend
  • 21:14 - 21:18
    ist, dass auf der anderen Seite die
    Betroffenen sagen, sie hätten, was waren
  • 21:18 - 21:24
    das, zwei Milliarden Schaden. Und die
    Zahlen passen natürlich immer alle links
  • 21:24 - 21:28
    und rechts überhaupt gar nicht zueinander
    und das ist eben die Frage, wenn die
  • 21:28 - 21:33
    sagen: "Wir haben das verdient." Ist das
    echt Profit nach allen Kosten, ja? Macht
  • 21:33 - 21:35
    ihr da eine ordentliche Buchprüfung?
    Lachen
  • 21:35 - 21:38
    F: Wird das auditiert?
    R: Oooder. Ja, was?
  • 21:38 - 21:39
    F: Ich meine, es muss ja auditiert werden
    ja eigentlich, solche Zahlen.
  • 21:39 - 21:46
    R: Sollte man meinen, ja oder haben die
    aufgerundet oder abgerundet. Und es ist
  • 21:46 - 21:49
    natürlich auch klar, dass die Unternehmen
    sagen: "Ach das war so furchtbar teuer",
  • 21:49 - 21:55
    weil die haben da noch, was weiß ich,
    irgendwas neu gemacht bei der Gelegenheit
  • 21:55 - 22:00
    und das dann damit rein gezählt. Aber
    naja, irgendwo in der Größenordnung 2
  • 22:00 - 22:10
    Milliarden Schaden, 160 Millionen Dollar
    verdient. Wie war denn das bei euch so,
  • 22:10 - 22:18
    mit der Ransomware? Wer kennt denn da
    einen Betroffenen über zwei Ecken? Ach,
  • 22:18 - 22:27
    doch so wenig! Das sind ja höchstens 100.
    F: Und wer von euch kennt Unternehmen, die
  • 22:27 - 22:37
    von Ransomware oder 'ner Ransomattacke
    betroffen waren? Deutlich mehr. Und wer
  • 22:37 - 22:44
    von euch kennt eine Person oder
    Unternehmen, die gezahlt hat? Auch schon
  • 22:44 - 22:51
    nicht so wenig.
    R: Naja, 15 oder so. Und wie viele Sterne
  • 22:51 - 22:54
    würde dir dem Kundenservice geben?
    Lachen
  • 22:54 - 23:00
    Jemand aus Publikum: Fünf!
    R: Fünf? Ich glaube, die Branche muss ja
  • 23:00 - 23:05
    immer erst mal erklären was ein Bitcoin
    ist und so und wie man an einen rankommt
  • 23:05 - 23:11
    und all diese Dinge. Die haben ja viel zu
    tun, also ist deswegen schon die Frage
  • 23:11 - 23:14
    nach dem Kundenservice. Sind denn die
    Daten hinterher zurückgekommen?
  • 23:14 - 23:18
    F: Genau, bei wem sind die Daten denn
    zurück gekommen, also wer kennt jemanden,
  • 23:18 - 23:21
    bei dem die Daten zurück gekommen sind
    oder ein Unternehmen?
  • 23:21 - 23:24
    R: Ah, doch.
    F: Der Kundensupport ist ausbaufähig, ich
  • 23:24 - 23:27
    seh' das schon. Das waren deutlich weniger
    als Betroffene.
  • 23:27 - 23:35
    R: Es gab ja so Zahlen, habe ich das jetzt
    hier, genau, was ich gefunden hatte, also
  • 23:35 - 23:42
    was mir so entgegen sprang war eine
    Behörde, ich glaube in Florida, die
  • 23:42 - 23:50
    600.000 gezahlt hat an Ransom. Es gab
    Andere, die haben 400.000 gezahlt und
  • 23:50 - 23:54
    Ähnliches. Hat jemand von einer höheren
    Summe gehört?
  • 23:54 - 23:57
    F: Ja, ich.
    R: Ist die offiziell?
  • 23:57 - 24:05
    F: Nee, aber Menschen, die mit dem
    Aufräumen nach solchen Dingen beschäftigt
  • 24:05 - 24:13
    sind, berichteten mir unter Anderem, dass
    zumindest eine Gruppe sich einfach am
  • 24:13 - 24:17
    Umsatz des betroffenen Unternehmens
    orientiert. Also die neben halt einfach
  • 24:17 - 24:20
    sowas, wie ein bis zwei Prozent des
    Jahresumsatzes den sie aus irgendeinem
  • 24:20 - 24:24
    Unternehmensauskunftsregister rausziehen
    und nehmen diese pauschal als
  • 24:24 - 24:30
    Ransomforderung. Und naja, muss man sich
    mal kurz überlegen, wenn die Produktion
  • 24:30 - 24:33
    stillsteht, dann ist so'n Prozent drei
    Tage Produktionsausfall und da kann man
  • 24:33 - 24:41
    dann schon mal schnell ins Rechnen kommen
    als Unternehmen. Also letzten Endes ist
  • 24:41 - 24:47
    diese ganze Ransom-Geschichte gerade so
    ein bisschen so der Punkt, wo viele von
  • 24:47 - 24:50
    den Vorhersagen, die wir in den letzten
    Jahren gemacht haben, einfach geballt
  • 24:50 - 24:56
    eintreffen, weil wir jetzt die Situation
    haben wo...
  • 24:56 - 24:58
    Post Engel: Post.
    F: Die Post, war die auch betroffen?
  • 24:58 - 25:05
    PE: Post für euch.
    F: Oh, eine Postkarte, dankeschön. Eine
  • 25:05 - 25:12
    sehr schöne Postkarte. Time travel is not
    a crime.
  • 25:12 - 25:20
    Applaus
    F: Die erzählen wir nachher. Diese
  • 25:20 - 25:22
    Ransomware, bzw. diese Ransomattacken,
    weil nicht alles davon ist Ransomware,
  • 25:22 - 25:25
    viele davon sind auch tatsächlich gezielte
    Angriffe auf Unternehmensnetzwerke wo man
  • 25:25 - 25:31
    sich dann, einnistet, einmal quer
    verbreitet, sich die schwächsten Punkte im
  • 25:31 - 25:35
    Unternehmen sucht und dann genau da
    zuschlägt. Also zum Beispiel bei einem
  • 25:35 - 25:38
    Unternehmen, was viele Sachen verschickt,
    macht man halt die Auslieferung platt,
  • 25:38 - 25:41
    damit halt keine Sachen raus geschickt
    werden können oder macht die
  • 25:41 - 25:46
    Finanzabteilung platt oder was auch immer
    gerade, wo es wehtut. Und was da jetzt
  • 25:46 - 25:51
    passiert, ist, dass diese ganze Sache
    schon, man sagt immer so technical debt,
  • 25:51 - 25:55
    also der Schuldenberg an unaufgeräumten
    technologischen Probleme, die Unternehmen
  • 25:55 - 26:01
    so vor sich herschieben, der kommt jetzt
    halt zurück. Und wir haben uns ja mal
  • 26:01 - 26:05
    gefragt "Warum haben jetzt in den letzten
    Monaten so viele von diesen
  • 26:05 - 26:10
    Ransomvorfällen, so Gemeinden und
    Krankenhäuser und Universitäten und so
  • 26:10 - 26:17
    betroffen?". Die Antwort ist ganz einfach:
    Da ist es am schlimmsten. Also da sind die
  • 26:17 - 26:23
    ältesten IT-Systeme unterwegs mit den
    wenigsten Aussichten auf Besserung. Aber
  • 26:23 - 26:27
    das führt dazu, dass die dann natürlich
    die schwächsten Mitglieder der Herde sind,
  • 26:27 - 26:31
    die als erste betroffen werden. Die können
    natürlich auch weniger zahlen, klar, weil
  • 26:31 - 26:35
    das müssen sie irgendwie haushalterisch
    verbuchen. Aber letzten Endes sind die
  • 26:35 - 26:41
    dann halt auch im Zweifel motiviert zu
    zahlen. Das heißt, diese ganze Ransomware-
  • 26:41 - 26:45
    Nummer oder bzw. Ransomangriff erzeugt
    jetzt tatsächlich so was Ähnliches wie
  • 26:45 - 26:53
    eine intrinsische Motivation, sich mal um
    IT Security zu kümmern. Also insofern hat
  • 26:53 - 26:58
    halt möglicherweise auch positive
    Auswirkungen in der Gesamtheit, natürlich
  • 26:58 - 27:04
    jetzt nicht für das einzelne Unternehmen
    oder die einzelne Behörde.
  • 27:04 - 27:09
    R: Genau. Die Ransomware Infektionen
    stiegen um über 350 Prozent. Die Bug-
  • 27:09 - 27:13
    Bounty-Prämien steigen auch. Ich glaube,
    Apple ist jetzt auch noch mal eingestiegen
  • 27:13 - 27:27
    mit 1,5 Mio. für iOS zero klick. Dann
    hatten wir in diesem jahr 19 0days, die es
  • 27:27 - 27:33
    in Umlauf geschafft haben. Das waren 2018
    zwölf, deswegen hat sich für einige von
  • 27:33 - 27:39
    euch vielleicht dieses Jahr ein bisschen
    geschäftiger angefühlt, aber vielleicht
  • 27:39 - 27:46
    nicht so sehr wie in 2017, da waren es
    nämlich 22. Der durchschnittliche
  • 27:46 - 27:54
    Cyberschaden in Deutschland liegt bei zwei
    Millionen Euro und jede achte deutsche
  • 27:54 - 28:00
    Firma hatte einen Cyberangriff.
    F: Das sind so Zahlen, wo man sagen
  • 28:00 - 28:04
    muss...
    R: Jede achte. Die Anderen lesen keine
  • 28:04 - 28:06
    E-Mail.
    Verhaltenes Lachen
  • 28:06 - 28:11
    Oder, genau die zahlen sind komplett gaga.
    F: Also so 'ne Zahlen, die immer so von
  • 28:11 - 28:15
    diesen Branchenverbänden kommen, sind
    halt, also insbesondere diese letzte, so
  • 28:15 - 28:19
    jede achte deutsche Firma oder der
    Gesamtschaden von Cybervorfällen in
  • 28:19 - 28:24
    Deutschland sind, keine Ahnung, irgendeine
    zweistellige Millardenzahl. Dann muss man
  • 28:24 - 28:26
    sich ja schon immer fragen: Wie rechnen
    die denn eigentlich?
  • 28:26 - 28:34
    R: Und haben Sie die Makros eingeschaltet
    beim Rechnen oder nicht. Da ist es dann
  • 28:34 - 28:42
    eher spannender, zu gucken: Was steht da
    sonst noch drin? Und spannend war eben
  • 28:42 - 28:47
    dieses, dass die Rufe in der Industrie
    wohl größer werden, dass dann mal jemand,
  • 28:47 - 28:52
    nämlich der Staat, regulierend eingreift.
    Und wir haben uns überlegt, das ist
  • 28:52 - 28:57
    vielleicht dann auch einfach die
    Verzweiflung der Sicherheitsbeauftragten
  • 28:57 - 29:03
    in den Firmen, die einfach merken, sie
    kriegen das Geld nicht vom Vorstand oder
  • 29:03 - 29:10
    von wem auch immer und schauen so neidisch
    in branchen, die reguliert sind, weil dort
  • 29:10 - 29:17
    mehr verbaut werden darf, muss, kann und
    hoffen dann auf mehr Regulation. Wir
  • 29:17 - 29:23
    werden sehen. Gut, die Jahresrückschau, da
    müssen wir jetzt ein bisschen
  • 29:23 - 29:26
    durchstressen glaube ich.
    F: Ein bisschen.
  • 29:26 - 29:32
    R: Kammergericht Berlin und vieles mehr.
    Die mussten also krass die Faxe
  • 29:32 - 29:35
    entstauben.
    F: Ich glaube, die mussten die nicht
  • 29:35 - 29:39
    entstauben. Die sind da super gewartet,
    also ich meine, wenn du so die Justiz
  • 29:39 - 29:43
    kennst, wenn da ein Ding wirklich gut
    gewartet und entstaubt ist, dann ist es
  • 29:43 - 29:48
    das Faxgerät.
    R: Aber haben die dann die Leitungen
  • 29:48 - 29:54
    verzehnfacht oder einfach Faxe aus dem
    Keller geholt oder was machen die dann da?
  • 29:54 - 29:58
    F: Ich glaube, die haben dann einfach
    nicht einen Stapel Papier daneben, sondern
  • 29:58 - 30:02
    gleich eine Palette Papier daneben. Und
    dann so einen HiWi daneben gestellt, der
  • 30:02 - 30:05
    mal Papier nachschiebt.
    R: Irgendwas, sowas, ja.
  • 30:05 - 30:12
    F: Es gibt ja so einen blöden Spruch von
    den Anwälten dass erst das elektronische
  • 30:12 - 30:16
    Übermitteln von Dokumenten es möglich
    gemacht hat, dass diese Schriftsätze so
  • 30:16 - 30:20
    eskalieren in ihrem Umfang, weil vorher
    gab es immer das Problem, dass man die
  • 30:20 - 30:22
    rechtzeitig fristgerecht durchkriegen
    musste und dann gab es natürliche Limits,
  • 30:22 - 30:26
    wie viele 100 Seiten man so in einer
    halben Stunde durch kriegt.
  • 30:26 - 30:33
    R: Frei nach dem motto "Wenn ich mich kurz
    fasse, kann ich später abgeben." Genau.
  • 30:33 - 30:43
    F: Dieses E-Voting geht halt nicht so
    richtig weg. Wir haben halt in der Schweiz
  • 30:43 - 30:48
    den Versuch gehabt, der dann kläglich
    gescheitert ist, auch dank der aktiven
  • 30:48 - 30:53
    Arbeit der Schweizer CCC-Mitglieder.
    R: Applaus!
  • 30:53 - 31:04
    Applaus
    F: Und dieselbe Firma, die spanische Firma
  • 31:04 - 31:11
    Scytl, das sind halt so Zombies, also die
    gehen halt nicht weg. Die machen halt
  • 31:11 - 31:15
    dieses webserverbasierte E-Voting und
    haben dann auch bei der SPD die
  • 31:15 - 31:21
    Mitgliederbefragung gemacht, wo es halt
    auch von unserer Seite aus natürlich
  • 31:21 - 31:26
    intensive Kritik daran gab. Und die wurde
    von der SPD immer so abgebügelt: "Ja, es
  • 31:26 - 31:30
    ist ja keine richtige Wahl, es ist ja nur
    eine Befragung der Mitglieder, die der
  • 31:30 - 31:34
    Parteitag dann nochmal umsetzt" oder so
    ähnlich. Das wird halt auch nicht
  • 31:34 - 31:37
    weggehen, also die werden dann weiter
    durch die gegend zombien und da muss man
  • 31:37 - 31:40
    ein gutes Auge drauf haben, weil so
    langsam stellt sich denn auch eine der
  • 31:40 - 31:45
    weiteren Vorhersagen raus, die stimmte.
    Nämlich, wenn man digitale Wahlen hat oder
  • 31:45 - 31:50
    elektronische Wahlen hat, ist der
    Nachweis, dass nicht gefälscht wurde,
  • 31:50 - 31:55
    quasi nicht möglich. Und genau das haben
    wir gerade in Bolivien gesehen. In
  • 31:55 - 31:57
    Bolivien...
    R: Ecuador?
  • 31:57 - 31:59
    F: Bolivien.
    R: Okay.
  • 31:59 - 32:05
    F: ...ist der Präsident gestürzt, weil die
    eine Wahl durchgeführt haben, unter
  • 32:05 - 32:12
    Anderem mit digitalen Systemen und dann
    hat irgendjemand Wahlfälschung gesagt. Und
  • 32:12 - 32:17
    dann konnte niemand sagen: "Nee, da war
    keine Wahlfälschung." Ging halt einfach
  • 32:17 - 32:20
    nicht. So, es gab dann so einen Audit.
    Dieses Audit hat festgestellt, dieses
  • 32:20 - 32:23
    System ist so kaputt wie alle anderen
    Digitalwahlsysteme auch und daraus wurde
  • 32:23 - 32:27
    dann so ein Narrativ von: "Ja, wir wissen
    jetzt, dass da gefälscht wurde. D.h.
  • 32:27 - 32:31
    digitale Wahlen einsetzen bedeutet, in dem
    Augenblick, wo irgend jemand hinterher
  • 32:31 - 32:33
    sagt: "Wahlfälschung", hat man eigentlich
    schon verloren.
  • 32:33 - 32:46
    R: Genau. Ja und dann diese faszinierende
    Thematik mit den mit den Ring Kameras und
  • 32:46 - 32:52
    natürlich einmal das Thema der
    Passwortqualitäten und Software
  • 32:52 - 32:58
    Vulnerabilities und ähnlichen Geschichten
    aber noch viel spannender. Was in den USA
  • 32:58 - 33:06
    passiert, dass es da so eine unheilige
    Allianz gibt zwischen den lokalen
  • 33:06 - 33:14
    Polizeidienststellen und dem Hersteller,
    wenn ich das richtig verstanden habe. Und
  • 33:14 - 33:21
    dann, man sozusagen dazu gebracht wird,
    der Polizei Zugriff auf die Kameras zu
  • 33:21 - 33:24
    geben.
    F: Wobei man da auch sagen muss, was da
  • 33:24 - 33:28
    absehbar ist, ist dass es zu so einem
    sozialen Druck wird. Also in den USA gibt
  • 33:28 - 33:31
    es ja diese sogenannten neighbourhood
    associations. D.h. in diesen Vorstädten,
  • 33:31 - 33:37
    in den etwas situierten, gibt es quasi
    Vorschriften darüber, wie man sein Haus,
  • 33:37 - 33:40
    seinen Garten und so weiter zu gestalten
    hat, damit der Wert der umliegenden
  • 33:40 - 33:44
    Grundstücke nicht sinkt. Also man darf
    sein Grundstück nicht irgendwie anders
  • 33:44 - 33:47
    machen oder so ein bisschen den Rasen
    länger wachsen lassen, weil dann, damit
  • 33:47 - 33:51
    beeinflusst man den Wert der
    nebenliegenden Häuser und das geht halt
  • 33:51 - 33:55
    nicht. Und da ist halt vollkommen
    absehbar, dass es relativ bald soweit sein
  • 33:55 - 33:58
    wird, dass diese neighbourhood
    associations sagen: "Okay übrigens, wir
  • 33:58 - 34:01
    sind eine ring neighborhood. Wir haben
    alle irgendwie diese Kameras an der Tür
  • 34:01 - 34:05
    und die gehen dann auf unser örtliches
    Polizei Department und dann kann man sich
  • 34:05 - 34:11
    die black mirror Szenarien, die daraus
    folgen, natürlich gut ausmalen. So von, da
  • 34:11 - 34:16
    rennt jemand weg und die Kameras in der
    neighbourhood gucken halt, ob das Gesicht
  • 34:16 - 34:19
    von dem irgendwo gesehen wird und so
    weiter und so fort. D.h. also diese
  • 34:19 - 34:27
    Kameras, die direkt in die Cloud streamen,
    sind ein Phänomen, was wir echte im Auge
  • 34:27 - 34:30
    behalten müssen. Wir haben immer davor
    gewarnt, schon lange, dass es passieren
  • 34:30 - 34:35
    wird. Jetzt passiert es tatsächlich. Wir
    haben zum Beispiel im asiatischen Raum,
  • 34:35 - 34:39
    gibt es Unternehmen, die machen das so,
    die verkaufen dir eine Kamera. Die Kamera
  • 34:39 - 34:43
    streamt in die Cloud. Die schneidet aus
    allen Videobildern alles raus, was wie ein
  • 34:43 - 34:46
    Gesicht aussieht, schickt es in die Cloud,
    wo die Gesichtserkennung läuft und wenn
  • 34:46 - 34:48
    die dann irgendjemanden erkennen und dann
    sagen: "Okay, der ist schon mal als
  • 34:48 - 34:52
    Ladendieb verdächtigt worden", oder so.
    Kriegt der Shopbesitzer auf sein Telefon
  • 34:52 - 34:56
    eine Message, da steht hier: "Guten Tag,
    diese Personen die wir gerade in ihrem
  • 34:56 - 34:59
    Video Stream gesehen haben, ist woanders
    schon mal als Ladendieb verdächtigt
  • 34:59 - 35:04
    worden. Behalten sie den mal im Auge."
    Oder was auch immer. Und als Service. Also
  • 35:04 - 35:07
    gegen Geld. Und natürlich hat der Staat
    dann wiederum auch Zugriff auf diese Daten
  • 35:07 - 35:11
    und kann noch selber Daten in die
    Gesichtserkennung reinfeeden. Dass die nur
  • 35:11 - 35:15
    80% korrekt ist, ist vollkommen egal,
    solange das System halt so aussieht, als
  • 35:15 - 35:20
    wenn es einen Mehrwert bietet.
    So und diese Form von Integration, von
  • 35:20 - 35:24
    staatlicher Überwachung und privater
    Überwachung mit den Konzernen, die die
  • 35:24 - 35:28
    Technologie bauen, die sich zu so einem
    Konglomerat zusammenfügen, die werden wir
  • 35:28 - 35:31
    immer mehr sehen. Da müssen wir uns auch
    daran gewöhnen, mental, dass dieses
  • 35:31 - 35:36
    Staates versus Industrie Denken einfach
    nicht mehr funktioniert. Es wird zu einem
  • 35:36 - 35:39
    Konglomerat werden.
    R: Genau. Da wird es uns vielleicht nicht
  • 35:39 - 35:42
    retten, wenn die Sicherheit so schlecht
    ist, dass man dafür sorgen kann, dass in
  • 35:42 - 35:50
    jedem zweiten Bild Donald Duck auftaucht.
    Gucken wir mal. Datenreichtum! Ja, jede
  • 35:50 - 35:56
    Menge Datenreichtum in diesem Jahr, ist eh
    klar. Bemerkenswert vielleicht zwei Dinge.
  • 35:56 - 36:02
    Nämlich einmal, dass sie 30TB Daten bei
    den Top 3 Antivirus Herstellern
  • 36:02 - 36:06
    rausgetragen haben, was ja schon mal
    wirklich anständig ist.
  • 36:06 - 36:12
    Applaus
    F: Ob die ihre eigenen Produkte nicht
  • 36:12 - 36:16
    verwendet haben?
    R: Vielleicht weil die Lizenz abgelaufen
  • 36:16 - 36:18
    ist.
    Lachen
  • 36:18 - 36:22
    F: Ja, das könnte sein.
    R: Und das andere, was ich einigermaßen
  • 36:22 - 36:26
    irre fand, war, dass da ein paar
    Sicherheitsforscher einen Datentopf
  • 36:26 - 36:31
    gefunden haben, der nicht ordentlich
    gesichert war. Da waren also Daten drin
  • 36:31 - 36:41
    von 80 Millionen US-Haushalten. So richtig
    anständig, mit Geburtsdatum und Adresse
  • 36:41 - 36:53
    und GPS-Daten und Einkommen und so Zeug.
    Und das lag wohl in einer Microsoft Cloud
  • 36:53 - 36:57
    Geschichte herum und sie konnten anhand
    der Daten nicht feststellen, wem sie
  • 36:57 - 37:05
    gehören, ja? Es war einfach so: "Ist
    irgendwie Daten halt, ja? Große Datei. Wir
  • 37:05 - 37:10
    haben das Format auch auf ihrer Webseite
    veröffentlicht und so mit Schwärzungen.
  • 37:10 - 37:16
    Und dann aufgerufen, ob ihnen nicht jemand
    helfen kann, das zu finden. Und das
  • 37:16 - 37:19
    Einzige, was passiert ist, ist dass
    Microsoft hat dann schnell den Server
  • 37:19 - 37:24
    abgeschaltet und wohl auch demjenigen
    Bescheid gesagt, dem sie für diesen Server
  • 37:24 - 37:29
    die Rechnung schicken. Aber natürlich
    nicht gesagt, wer es war. So, das heißt,
  • 37:29 - 37:37
    die Frage ist noch offen. Und das wird
    häufiger passieren, ja? Also davon können
  • 37:37 - 37:39
    wir mal ausgehen, dass das häufiger
    passiert, dass irgendwie Daten auftauchen
  • 37:39 - 37:47
    und dann alle sagen: "Boah pff. Das könnte
    einer Bank gehören, könnte nicht. Könnte
  • 37:47 - 37:53
    einem Steuerberatungsunternehmen gehören,
    könnte nicht." Ja. Also vielleicht wird es
  • 37:53 - 37:59
    auch neuer Klassiker, ja? Dass so, ich
    meine, wie kommt so etwas zustande? Da
  • 37:59 - 38:03
    braucht irgendwie jemand noch ein bisschen
    Backup Space und die IT hat gesagt, das
  • 38:03 - 38:06
    neue NAS wird erst fertig in vier wochen
    und dann sagen die: "Ja, aber unsere
  • 38:06 - 38:11
    Deadline ist nächste Woche. Was machen
    wir? Wir klicken uns irgendwo 'nen Bucket,
  • 38:11 - 38:14
    dann laden wir das da hin. Crypto brauchen
    wir nicht, weil machen wir ja nur zwei
  • 38:14 - 38:19
    Tage und Security brauchen wir auch nicht,
    weil dann dauert es ja länger und wir
  • 38:19 - 38:23
    löschen das ja dann ganz bestimmt schnell"
    und Freitag Abend sagt dann auch noch
  • 38:23 - 38:27
    einer: "Hast du die Daten schon gelöscht?"
    - "Nee, mache ich gleich.". Dann kippt ihm
  • 38:27 - 38:30
    der Becher auf die Tastatur, dann ist er
    mit etwas Anderem beschäftigt, dann macht
  • 38:30 - 38:37
    er Urlaub und ist weg. Und die Daten
    bleiben da liegen. So.
  • 38:37 - 38:44
    Applaus
    Und je nachdem, was das dann für eine
  • 38:44 - 38:47
    Kreditkarte ist, merkt es irgendwann
    jemand oder auch nicht. Und so wird noch
  • 38:47 - 38:52
    so viel weg kommen und so oft wird man
    nicht wissen, wer es war.
  • 38:52 - 38:59
    F: Eines der Dinge, die dieses Jahr wieder
    auch ihre zombiehafte Charakteristik
  • 38:59 - 39:04
    offenbart haben, ist die Diskussion
    Hintertüren in Verschlüsselung. Der
  • 39:04 - 39:11
    momentane Spin, der passiert, läuft unter
    dem Stichwort verantwortungsvolle
  • 39:11 - 39:15
    Verschlüsselung oder auch responsible
    encryption. Und die geht so, dass... die
  • 39:15 - 39:19
    Behörden sagen so "Naja, gut, okay, wir
    wollen jetzt nicht, dass die
  • 39:19 - 39:24
    Verschlüsselung schwächer wird, weil die
    Chinesen und die Russen, aber wir möchten
  • 39:24 - 39:30
    gerne, dass Firmen, die Verschlüsselung
    verwenden, also zum Beispiel die großen
  • 39:30 - 39:35
    Techkonzerne, die so bauen, dass man im
    Zweifel noch einen zusätzlichen Schlüssel
  • 39:35 - 39:39
    hinzufügen kann, der dann für die
    Strafverfolger oder für die Geheimdienste
  • 39:39 - 39:45
    ist und der individuell jeweils da
    zugefügt wird, wenn die Notwendigkeit
  • 39:45 - 39:50
    besteht." Und am Besten gar nichts
    irgendwie extra speziell bauen sondern
  • 39:50 - 39:55
    einfach sagen "Okay, wenn du einen Google
    Account hast, der sowieso verschlüsselt
  • 39:55 - 39:58
    ist, dann tu' noch einen weiteren
    Schlüssel dazu" und dann kriegt die
  • 39:58 - 40:02
    Behörde einen Google Account, wo die daten
    rein gespiegelt werden. So sachen also.
  • 40:02 - 40:09
    Diese Diskussion wird in den USA ziemlich
    radikal geführt von Seiten der
  • 40:09 - 40:16
    Staatsvertreter da, die also dann so
    richtig den Vertretern von den Techfirmen
  • 40:16 - 40:21
    die Pistole auf die Brust setzen und sagen
    "Ihr kriegt doch sonst alles hin. Hier
  • 40:21 - 40:24
    müsst euch jetzt was ausdenken. Macht mal,
    dass es so ist. Wir wollen es ganz
  • 40:24 - 40:27
    unbedingt. Nein, wir wollen keine Anderen,
    wollen nichts hören, dass es eigentlich
  • 40:27 - 40:30
    schwierig ist oder halt irgendwie
    Sicherheitsprobleme verursacht. Löst das
  • 40:30 - 40:33
    Problem."
    R: Genau und zwar mit Zeitansagen. Also es
  • 40:33 - 40:39
    gabe eine Anhörung im Rechtsausschuss vom
    US-Senat. Es wurdne gegrillt die Firmen
  • 40:39 - 40:44
    Apple und Facebook und ich weiß nicht, ob
    noch jemand anders da war. Und die Ansage
  • 40:44 - 40:49
    war relativ klar. Also was heißt relativ
    klar, die war so richtig glasklar. "Wenn
  • 40:49 - 40:55
    ihr das bis heute nächstes Jahr, also same
    time next year, nicht euch was überlegt
  • 40:55 - 41:04
    habt, dann regeln wir euch. Also wir sind
    ja dann wieder da, same time next year und
  • 41:04 - 41:08
    dann sehen wir ja mal, was dabei
    rausgekommen ist."
  • 41:08 - 41:13
    F: Also die Diskussion läuft in
    Deutschland auch. Das ist ein
  • 41:13 - 41:15
    international koordinierter Putsch
    zwischen den Strafverfolgern und
  • 41:15 - 41:19
    Geheimdiensten. In Deutschland wird
    versucht, die umsetzung unter Anderem über
  • 41:19 - 41:25
    das Telemediengesetz zu machen. Das heißt
    also, wie jeweils die nationalstaatliche
  • 41:25 - 41:31
    Ausprägung aussieht, wie die Firmen
    gezwungen werden sollen, da
  • 41:31 - 41:34
    Hintertüroptionen einzubauen, ist halt
    verschieden. Also zum beispiel, keine
  • 41:34 - 41:38
    Ahnung, wenn man einen verschlüsselten
    Chat hat, dann soll halt vorgesehen
  • 41:38 - 41:42
    werden, dass ein zusätzlicher Teilnehmer
    zu dieser Kommunikation verdeckt
  • 41:42 - 41:46
    hinzugefügt wird und dessen Schlüssel mit
    in die Kommunikation kommt, so dass das
  • 41:46 - 41:50
    dann eine Kopie des Chatverlauf bei diesem
    Teilnehmer, der dann halt Geheimdienst
  • 41:50 - 41:58
    oder Strafverfolgung das gibt. Und die
    Problemlage, die sich da stellt, ist
  • 41:58 - 42:03
    natürlich, dass es über kurz oder lang
    dazu führen wird, dass verschlüsselte
  • 42:03 - 42:09
    Kommunikation von kommerziellen
    Unternehmen, die diesen rechtlichen
  • 42:09 - 42:15
    Regularien unterliegen, nicht mehr als
    wirklich Ende-zu-Ende-sicher angesehen
  • 42:15 - 42:21
    werden kann. Also wenn man sich diesen
    Regularien unterwirft, weil man zum
  • 42:21 - 42:24
    Beispiel Apple oder Google oder was auch
    immer ist, und unter diese Grenze von
  • 42:24 - 42:29
    einer Million User, die da diskutiert
    wird, also darüber fällt, dann ist es
  • 42:29 - 42:32
    diesen Unternehmen nicht mehr rechtlich
    möglich, vertrauenswürdige Kommunikation
  • 42:32 - 42:36
    zu bauen. Das heißt also, das Einzige, was
    dann noch geht, ist freie Software
  • 42:36 - 42:41
    benutzen, eigene Dienste benutzen, eigene
    Systeme benutzen oder halt im Zweifel die
  • 42:41 - 42:44
    von Unternehmen, die noch so klein sind,
    dass sie halt unter die Schwelle fallen.
  • 42:44 - 42:48
    Das heißt, dieser Zustand, den wir
    momentan haben, dass wir ubiquitäre Crypto
  • 42:48 - 42:56
    überall drin haben, der ist dann zwar
    besser geworden dank Snowden, aber die
  • 42:56 - 42:59
    geben sich halt nicht damit zufrieden auf
    der Startseite. Die wollen die
  • 42:59 - 43:05
    Kommunikation mitlesen können und ihr
    momentaner Pusch ist gerade, diese
  • 43:05 - 43:08
    Hintertürgeschichte als
    verantwortungsvolle Verschlüsselung...
  • 43:08 - 43:16
    R: Ganz schnell noch das Bemerkenswerte.
    Ich glaube, wir müssen furchtbar auf die
  • 43:16 - 43:25
    Tube drücken eigentlich. Man kann doch
    mehr lernen auf eine Art aus den Reports
  • 43:25 - 43:32
    von den Breaches, die es jetzt von einigen
    gegeben hat, als gefühlt in den Vorjahren.
  • 43:32 - 43:36
    Von daher, wenn euch das interessiert,
    dann googlet das immer mal mit den
  • 43:36 - 43:43
    entsprechenden Namen, Equifax Data Breach
    Report und solche Sachen. Das ist schon
  • 43:43 - 43:48
    zum Teil sehr spannend, weil sie auch
    Zeitlinien machen. Andere Firmen haben ja
  • 43:48 - 43:53
    gemerkt, dass es gut ist fürs Marketing
    und fürs Mitleid bei den Kunden und
  • 43:53 - 43:58
    Zulieferern, wenn sie offen mit der
    Situation umgehen und erzählen ein
  • 43:58 - 44:03
    bisschen, wie sie sich dann wieder
    aufgestellt haben, nachdem das Cyber Cyber
  • 44:03 - 44:09
    einmal durchs Netzwerk gefegt ist und so.
    Das kann schon sehr spannend sein. Es gab
  • 44:09 - 44:15
    diese super krasse iOS-Sicherheitslücke,
    also eigentlich nicht iOS oder?
  • 44:15 - 44:21
    F: Das ist der Bootloader.
    R: Der Bootloader, checkm8te, den Apple
  • 44:21 - 44:26
    wohl nicht patchen wird können und der
    erst gefixt ist ab irgendwie iPhones 11
  • 44:26 - 44:34
    oder sowas. Und das ist dann natürlich
    schon ziemlich bitter. Aber auch das wird
  • 44:34 - 44:40
    nicht das letzte Mal sein, dass so was
    passiert. Das hält alles immer nur eine
  • 44:40 - 44:49
    gewisse Weile. Die nächste Diskussion, die
    wir am Start hatten, zum Teil auch sehr,
  • 44:49 - 44:57
    keine Ahnung, schon fast emotional
    geführt, war aber dieses Thema DNS over
  • 44:57 - 45:03
    HTTPS. Aus meiner Sicht ist es ein
    bisschen wie dieses Thema TLS Forward
  • 45:03 - 45:11
    Secrecy. Crypto wird besser oder
    überhaupt, die Kommunikation, oder so, von
  • 45:11 - 45:14
    Daten wird besser. Sachen werden
    verschlüsselt, dann gibt es erst mal ganz
  • 45:14 - 45:19
    viele, die sagen "Ach doof. Dann muss ich
    ja irgendwas neues kaufen, um mitlauschen
  • 45:19 - 45:24
    zu können. Und ich brauche das doch für
    die Security." Und dann gibt es natürlich
  • 45:24 - 45:27
    die, die das doof finden, weil sie das
    brauchen, weil sie die Daten minen und
  • 45:27 - 45:32
    verkaufen. Vielleicht für Werbung und
    andere Sachen, das ist gerade bei DNS bei
  • 45:32 - 45:38
    den Internetprovidern in den usa wohl sehr
    weit verbreitet. In Deutschland darf man
  • 45:38 - 45:46
    das nicht. Also die Telkos dürfen es
    nicht. Sagen wir es so. Und, ja. Aber
  • 45:46 - 45:51
    natürlich ist es für Firmen ist es mehr
    nur ein Ärgernis, ja? Die können sich
  • 45:51 - 45:58
    darauf einrichten und dann Dinge regeln
    über Policies, Softwareverteilung, GPOs
  • 45:58 - 46:04
    und anderes. Die, die schlecht dran sind,
    sind die Datenhändler. Und das ist
  • 46:04 - 46:10
    sicherlich super. Und die, die schlecht
    dran sind, erst mal, sind die Regierungen,
  • 46:10 - 46:15
    die mit lauschen wollen. Und das führt
    dann eben zu mehr Druck bei der
  • 46:15 - 46:26
    Diskussion, die wir eben gerade hatten.
    Ja? Ja. Gut. Eines wollte ich ganz kurz
  • 46:26 - 46:33
    ein geworfen haben, der erste Rückruf von
    der FDA von einem Stück Medizintechnik
  • 46:33 - 46:47
    wegen Sicherheitsvulnerabilites war 2017.
    Also vor zweieinhalb Jahren. Das irre ist
  • 46:47 - 46:51
    immer, wie lange das dauert, ja? Diese
    Funkinsulinpumpe um die es hier gerade
  • 46:51 - 46:59
    geht, wo es einen freiwilligen Rückruf
    gab, da mussten die Sicherheitsforscher
  • 46:59 - 47:07
    2,5 Jahre dran bleiben, an dem Thema,
    bevor dann was passiert ist, ja? Dann
  • 47:07 - 47:11
    immer nachlegen, Wahnsinn. Und das ist ja
    nur die Spitze des Eisbergs, man weiß
  • 47:11 - 47:14
    überhaupt nicht, was da nicht noch
    eigentlich alles zurückgerufen werden
  • 47:14 - 47:23
    sollte, müsste. Ansonsten beobachten wir
    stark das Thema Automation und
  • 47:23 - 47:32
    Arbeitsteilung und Spezialisierung. Bei
    den ganzen Malware Produzenten. Also die
  • 47:32 - 47:39
    Industrie schaukelt sich fröhlich hoch und
    Frank hatte ja gerade gesagt: "Die
  • 47:39 - 47:43
    Schwächsten werden dann so umgefahren",
    wobei, wie gesagt, Mærsk ja eigentlich
  • 47:43 - 47:51
    nicht zu den Schwächsten gehört. Aber es
    auch sehr erwischt hat. Und dann gehen die
  • 47:51 - 47:54
    Firmen natürlich los und schauen sich das
    an und sagen: "So, was brauchen wir jetzt?
  • 47:54 - 47:57
    Okay, wir brauchen bessere Backups. Okay,
    wir müssen schneller Systeme
  • 47:57 - 48:00
    wiederherstellen können. Okay, wir
    brauchen, was weiß ich, ein Active
  • 48:00 - 48:05
    Directory im Schrank oder so, das wir dann
    schnell raus schmeißen können und so
  • 48:05 - 48:12
    weiter. Und dann kann man sich vielleicht
    fast hinstellen als Unternehmen und wenn
  • 48:12 - 48:17
    man dann so einem kleinen Ransomware
    Befall hat oder einen mittleren, einfach
  • 48:17 - 48:25
    sagen: "Ich zahle nichts." Und das kriegt
    die Branche aber auch mit und das führt
  • 48:25 - 48:30
    jetzt zu einer Steigerung von Ransom zu
    Blackmail.
  • 48:30 - 48:35
    F: Was passiert ist, bevor sie die Platten
    verschlüsseln, tragen sie erst mal die
  • 48:35 - 48:40
    Daten raus und sagen dann halt nicht nur:
    "Guten Tag", irgendwie, "wenn sie ihre
  • 48:40 - 48:46
    Daten wieder haben wollen, dann hätten wir
    gerne ein paar Bitcoin", oder so. Sondern
  • 48:46 - 48:49
    wenn man sagt: "Ja, ach ne, ich hab
    Backups, alles gut." Dann sagen sie: "Ja,
  • 48:49 - 48:56
    wir haben auch Backups und vielleicht
    interessiert ja auch noch andere Leute,
  • 48:56 - 49:01
    was in diesen Backups steht. Und was sie
    dann da so machen, das ist so ein bisschen
  • 49:01 - 49:06
    so eine Tröpfchen Folter. Also die lassen
    so nach und nach immer mehr Details raus,
  • 49:06 - 49:10
    bis dann das entsprechende Unternehmen
    halt der Meinung ist, halt irgendwie man
  • 49:10 - 49:16
    könnte doch vielleicht lieber zahlen. Das
    wäre doch irgendwie besser. Und das ist
  • 49:16 - 49:21
    halt, ja ein durchaus traditionelles
    Geschäftsmodell, was auch schon mehrfach
  • 49:21 - 49:25
    Anwendung gefunden hat aber was jetzt
    wieder kommt als Bestandteil dieser ganzen
  • 49:25 - 49:28
    Ransom Geschichten.
    F: Weiter?
  • 49:28 - 49:38
    R: Ja. Das überspringen wir mal schnell.
    Metadaten klauen und genau, was
  • 49:38 - 49:45
    bemerkenswert ist, dass man inzwischen
    Produkte findet, die mehr als eine
  • 49:45 - 49:52
    Hintertür haben, weil bei der Herstellung
    des Produkts mehr als einer beteiligt war,
  • 49:52 - 49:55
    der eine Hintertür eingebaut hat.
    F: Also sozusagen der Bestandteil der
  • 49:55 - 50:00
    Wertschöpfungskette, die mehrstufig ist.
    Sowas wie Chipset Hersteller, Firmware
  • 50:00 - 50:04
    Hersteller, Geräte Hersteller. Hinterlässt
    halt jeder, sozusagen, seine Duftmarke in
  • 50:04 - 50:09
    Form eines hardcoded Passworts. Wer da mal
    Spaß haben will, dem empfehle ich mal so
  • 50:09 - 50:13
    auf irgendwie einer beliebigen Online
    Handelsplattform mal also ein paar
  • 50:13 - 50:20
    chinesische IP Kameras zu kaufen. So in
    der Kategorie, so unter 50 oder um die 50
  • 50:20 - 50:26
    Euro und sich dann da mal hinzusetzen. Ist
    ein sehr schönes reverse engineering
  • 50:26 - 50:30
    Anfangstarget. Da findet man in der Regel
    halt so mehrere hardcoded passwords und
  • 50:30 - 50:35
    irgendwie nach Hause telefonieren und
    seltsame dinge die NTP-Paketen drin stehen
  • 50:35 - 50:39
    und so. Sehr unterhaltsam, das ist
    wirklich viel Unterhaltung für wenig Geld.
  • 50:39 - 50:43
    Vereinzeltes Lachen
    Und man lernt auch eine Menge dabei, unter
  • 50:43 - 50:46
    Anderem genau dieses
    Wertschöpfungskettending. Also sowieso,
  • 50:46 - 50:51
    solltet ihr tatsächlich mal machen, also
    vielleicht bei euch im Hackerspace. Pickt
  • 50:51 - 50:55
    euch mal irgendwas aus der
    Spielzeuggeldkategorie und dann nehmt es
  • 50:55 - 50:58
    auseinander, ist immer highly
    entertaining.
  • 50:58 - 51:11
    R: Kommen wir zu der Vorhersage. Die
    Wettervorhersagen. Ein kurzer Hinweis, wir
  • 51:11 - 51:16
    hatten das letztes Jahr schon gesagt,
    dass, alles, was euch verraten kann, wird
  • 51:16 - 51:21
    euch verraten. Alles kriegt jetzt einen
    Chip, alles kriegt Speicher, alles
  • 51:21 - 51:28
    zeichnet alles auf, alles hat immer mehr
    Sensorik und da wird es dann auch Hardware
  • 51:28 - 51:33
    geben, die aufzeichnet, bei welcher
    Temperatur ihr den Akku geladen habt oder
  • 51:33 - 51:39
    eben nicht geladen habt und solche Dinge
    und ob es warm war oder zu kalt war und
  • 51:39 - 51:44
    das wird bestimmt einer versuchen, gegen
    euch zu verwenden, indem er sagt "Nein,
  • 51:44 - 51:48
    keine Gewährleistung weil, war zu warm,
    war zu kalt."
  • 51:48 - 51:51
    F: "Dem Akku ist zu kalt geworden." ist so
    der Klassiker bei E-Bikes.
  • 51:51 - 51:55
    R: "Luftfeuchtigkeit war zu hoch."
    F: ...und es stand halt draußen bei minus
  • 51:55 - 52:00
    zehn und dann danach will der Akku nicht
    mehr. Da sagt dann der Händler: "Ich kann
  • 52:00 - 52:03
    Ihnen da ein Angebot für einen neuen Akku
    machen aber Garantie ist das leider nicht
  • 52:03 - 52:07
    mehr." und das ist natürlich blöd. Aber
    das sind ja nur Daten. Da kann man ja
  • 52:07 - 52:12
    möglicherweise was dran tun. Dafür braucht
    man halt den Logfile-Friseur.
  • 52:12 - 52:22
    Vereinzeltes Lachen
    Was wir beobachten, was sich 2020
  • 52:22 - 52:25
    verstärken wird, ist die Aufteilung des
    Marktes für insbesondere Geräte nach so
  • 52:25 - 52:30
    Datenschutz-Geschäftsmodellen. Es gibt
    dann so das untere Ende, das sind dann
  • 52:30 - 52:36
    halt so insbesondere so super billige
    asiatische Endgeräte, die haben
  • 52:36 - 52:41
    Datenschutz noch nie so gehört, sondern
    die refinanzieren die Preise, die
  • 52:41 - 52:46
    niedrigen Preise für die Geräte, durch
    vorinstallierte Apps. Das heißt, das
  • 52:46 - 52:50
    Modell ist: Man hat so ein Telefon, dieses
    Telefon kostet überraschend wenig Geld.
  • 52:50 - 52:55
    Auf diesem Telefon sind irgendwie 30 Apps
    vorinstalliert. Einer von diesen
  • 52:55 - 52:59
    Appbetreibern hat irgendwas zwischen 20
    cent und fünf Dollar bezahlt für diese
  • 52:59 - 53:02
    Vorinstallation auf diesem Telefon. Die
    Apps sind halt in der Regel Systemapps,
  • 53:02 - 53:07
    das heißt, sie haben Zugriff auf alle
    Sensoren, alle Daten und monetarisieren
  • 53:07 - 53:10
    dann halt die Daten direkt aus dem
    Telefon. Das heißt, da ist dann keine
  • 53:10 - 53:14
    Plattform mehr dazwischen oder so, sondern
    das machen die Apps dann direkt oder bauen
  • 53:14 - 53:17
    ihre eigene Plattform damit. Das ist so
    das untere Ende. Dann gibt es halt so das
  • 53:17 - 53:22
    obere Ende, die sagen so: "Okay, so à la
    Apple, wir wollen deine Daten nicht, weil
  • 53:22 - 53:27
    wir haben dein Geld schon. Die Hardware
    war so teuer, dass die 100 Dollar, die wir
  • 53:27 - 53:31
    noch aus den Daten rauswringen können, das
    lohnt dann halt nicht." Und dann gibt's
  • 53:31 - 53:36
    halt noch so alles dazwischen, diese
    Graustufen, wie Google bei den
  • 53:36 - 53:41
    Pixelphones. Die sagen "Schön, wir haben
    dein Geld, für die teuren Telefone. Jetzt
  • 53:41 - 53:43
    wollen wir auch noch ein bisschen was aus
    deinen Daten rauswringen."
  • 53:43 - 53:48
    R: "Nein, wir wollen auch noch alle deine
    Daten, aber mach dir keine Sorgen. We will
  • 53:48 - 53:53
    do no evil."
    F: Genau. "Die sind nur für uns." Und
  • 53:53 - 53:57
    diese Ausdifferenzierung nach
    Datenschutzgeschäftsmodellen werden wir
  • 53:57 - 54:02
    nächstes Jahr auch noch verstärkt sehen,
    da lohnt's auch, genauer hinzugucken, um
  • 54:02 - 54:05
    so ein bisschen zu verstehen, was die
    datenschutzökonomischen Grundlagen der
  • 54:05 - 54:10
    einzelnen Hersteller sind.
    R: Und die die traurige Wahrheit ist aber
  • 54:10 - 54:13
    natürlich, dass, es wird da auch welche
    geben, die werden behaupten sie hätten
  • 54:13 - 54:21
    Datenschutz und wären deswegen teurer und
    haben gar nichts. Bei Heise gab es ein
  • 54:21 - 54:28
    paar Artikel über einen Hersteller von von
    Kinder-Smartwatches und da fällt einem
  • 54:28 - 54:33
    nichts mehr zu ein, wenn man das liest,
    wie die damit umgehen, was ihnen da
  • 54:33 - 54:37
    berichtet wird über ihre eigenen Produkte
    und was sie dann alles nicht tun.
  • 54:37 - 54:47
    Wahnsinn. Die Cloud kriegt jetzt alle
    Daten, frei nach dem Motto "Nur da sind
  • 54:47 - 54:55
    sie sicher." und wird damit natürlich dann
    zum single point of alles mögliche,
  • 54:55 - 55:03
    inklusive der eben zitierten Blackmail.
    F: Genau und da kann man dann, also nehmen
  • 55:03 - 55:08
    wir mal an, als Ransomgruppenbetreiber
    findet man so eine Firma, die solche
  • 55:08 - 55:14
    Türschlösser betreibt, die an der Cloud
    hängen. Und die haben so, keine ahnung,
  • 55:14 - 55:19
    500.000 Kunden oder sowas und man macht
    die auf und dann kann man sagen "Also wir
  • 55:19 - 55:24
    könnten uns jetzt überlegen, ob bei allen
    Kunden die Schlösser aufgehen..."
  • 55:24 - 55:27
    R: "Oder kaputt gehen."
    F: "Oder zu bleiben oder kaputt gehen".
  • 55:27 - 55:32
    Und dann kann man so ein
    ausdifferenziertes Preismodell machen.
  • 55:32 - 55:44
    R: Wir haben uns gefragt, ob im nächsten
    Jahr der erste große Fall von von API
  • 55:44 - 55:52
    Obsoleszenz vorfallen wird. Das ging los,
    weil ich in der Familie so Anfragen hatte
  • 55:52 - 56:02
    wie "Sag mal, ist Whatsapp nicht, hört das
    nicht auf nächstes Jahr, wenn ich noch ein
  • 56:02 - 56:09
    iPhone 4 hab oder ein Android whatever?"
    Und dann ist die Antwort immer "Ja, ist
  • 56:09 - 56:15
    doch egal." Aber das sehen ja viele Leute
    nicht so. Und und da habe ich mich dann
  • 56:15 - 56:20
    gefragt "Okay, was ist denn jetzt
    eigentlich die Realität?" Und die Realität
  • 56:20 - 56:23
    scheint zu sein, dass sie da halt
    bestimmte Dinge dann nicht mehr
  • 56:23 - 56:26
    unterstützen wollen von bestimmten
    Plattform und keiner will mehr 16 bit
  • 56:26 - 56:32
    machen und dieses und jenes. Und wird es
    dann heißen, dass in dem Moment, wo die
  • 56:32 - 56:38
    irgendwas an ihrer API machen müssen aus
    Sicherheitsgründen. dass dann plötzlich
  • 56:38 - 56:43
    irgendwie ein paar Millionen Endgeräte
    nicht mehr ticken, weil es keine Updates
  • 56:43 - 56:50
    mehr für diese Geräte gibt auf die neue
    API-Version. Und dann haben wir bisschen
  • 56:50 - 56:54
    drüber nachgedacht und gedacht "Nö,
    wahrscheinlich nicht. Wahrscheinlich
  • 56:54 - 56:57
    werden sie sich das schlicht nicht trauen,
    sondern irgendwie versuchen, das auf der
  • 56:57 - 57:04
    Serverseite so zu machen, dass sie die
    alten Geräte noch an die alte API lassen
  • 57:04 - 57:09
    und die neuen Geräte an die neue API und
    dann versuchen, die Dinge irgendwie
  • 57:09 - 57:14
    wegzufiltern und sonstwie irgendwas, weil
    eigentlich hatten wir das ja schon bei
  • 57:14 - 57:20
    SMS, da gab es ja auch genug Probleme, die
    dann im Netz gelöst wurden und eben nicht
  • 57:20 - 57:26
    durch Updates der der GSM-Telefone oder
    Ähnliches. Also vielleicht wird da nix
  • 57:26 - 57:38
    passieren. Am Ende oder was heißt am Ende,
    also es gibt jetzt bei den Datenbergen,
  • 57:38 - 57:44
    also bei den Daten, die weg kommen werden,
    zwei Baustellen, die sich weiterhin
  • 57:44 - 57:51
    verstärken. Und das ist einmal die
    offizielle Digitalisierung die stattfindet
  • 57:51 - 57:56
    und ich meine, wir haben vorhin über die
    elektronische Gesundheitskarte gelacht
  • 57:56 - 58:03
    aber da gibt es ja auch andere Dinge, wie,
    dass das besondere anwaltliche Postfach,
  • 58:03 - 58:08
    das dafür sorgt, dass Anwälte jetzt eben
    noch mehr digital machen können und noch
  • 58:08 - 58:14
    weniger faxen und noch weniger per Post
    schicken und ähnliche Dinge. Und dann ist
  • 58:14 - 58:21
    noch dazu gekommen das besondere
    Notarpostfach und die Zitate, die da in
  • 58:21 - 58:26
    den Medien zu lesen waren, die ziehen
    einem immer den Boden unter den Füßen weg
  • 58:26 - 58:32
    aus meiner Sicht. Also da hat dann mal ein
    Journalist freundlich gefragt oder ich
  • 58:32 - 58:37
    glaube sogar jemand aus der Politik oder
    so, ob man da ein IT-Security-Audit
  • 58:37 - 58:42
    gemacht hätte und dann wird geantwortet,
    dass man dazu keine Veranlassung sieht.
  • 58:42 - 58:46
    F: Weil die Hersteller sind nämlich
    vertrauenswürdig.
  • 58:46 - 58:53
    Einzelnes Klatschen
    Wenn man es mal zusammenfassen will, die
  • 58:53 - 58:58
    Digitalisierungsstrategie von heute ist
    der Datenreichtum von morgen. Und wer von
  • 58:58 - 59:04
    euch arbeitet an einer Institution oder
    Behörde oder Unternehmen, das gerade ganz
  • 59:04 - 59:06
    viel damit zu tun hat, eine
    Digitalisierungsstrategie zu entwickeln?
  • 59:06 - 59:12
    R: Ach doch ein Drittel.
    F: Doch ganz schön viele. Also
  • 59:12 - 59:14
    Digitalisierungsstrategie scheint
    tatsächlich so ein Ding zu sein.
  • 59:14 - 59:21
    R: Und wer von denen, die jetzt sich nicht
    gemeldet hat, findet denn, dass sein
  • 59:21 - 59:24
    Unternehmen eine Digitalisierungsstrategie
    haben sollte und
  • 59:24 - 59:42
    damit aber noch nicht mal angefangen hat?
    10 Prozent. Wenn man da so einen
  • 59:42 - 59:47
    Wahnsinnsansatz hat, wie gerade gesagt,
    ja, "Es gibt keine Veranlassung, da
  • 59:47 - 59:52
    irgendwie die Sicherheit zu prüfen", dann
    ist klar, wie es kommen wird. Das ist die
  • 59:52 - 59:56
    eine Seite. Die andere Seite sind die
    unsichtbaren Datenberge der
  • 59:56 - 60:06
    Schattendigitalisierung. Gruselts euch
    schon? Damit ist eure Tante gemeint.
  • 60:06 - 60:10
    F: Alle Menschen, die Digitalgeräte
    benutzen und keine Ahnung davon haben, was
  • 60:10 - 60:16
    sie damit tun und trotzdem eure Daten
    dabei irgendwie verarbeiten, verteilen,
  • 60:16 - 60:20
    teilen, hinterlassen.
    R: Es ging los mit der Digitalfotografie,
  • 60:20 - 60:25
    wo man Fotos macht, Fotos macht, Fotos
    macht und hinterher nicht ausmistet
  • 60:25 - 60:27
    sondern das einfach irgendwie auf irgend
    eine Platte schmeißt, die man noch
  • 60:27 - 60:31
    rumliegen hat. Die platte ist dann
    irgendwann am lokalen Netz und irgendwann
  • 60:31 - 60:35
    synct sie sich durch irgendeinen kleinen
    Fehler in die Cloud. Da bleibt's dann auch
  • 60:35 - 60:39
    liegen, wenn der Hersteller sein
    Geschäftsmodell nicht ändert. Und dadurch,
  • 60:39 - 60:44
    dass Speicher immer billiger wird, das
    findet ja nicht nur im Privaten statt, das
  • 60:44 - 60:49
    findet auch in jeder Firma statt, dass man
    immer mehr Daten abgespeichert, ablegt und
  • 60:49 - 60:54
    sich dann hinterher nicht ums Aufräumen
    kümmert weil es ja einfach nicht sichtbar
  • 60:54 - 61:01
    ist. Da werden noch unglaubliche Dinge
    zusammenkommen.
  • 61:01 - 61:05
    F: Genau, wenn es dann einen kleinen
    Staudammbruch am Datensee gibt. Data Lake,
  • 61:05 - 61:12
    schöne Sache. Überall in der Industrie
    gibt es Data Lakes, also wo die halt
  • 61:12 - 61:15
    einfach mal alle Daten gesammelt haben,
    ohne sie wegzuschmeißen und hofften
  • 61:15 - 61:17
    irgendwie, dass jetzt mit Machine Learning
    man jetzt aus diesem Data Lake halt
  • 61:17 - 61:22
    irgendwie was extrahieren kann und stellen
    dann aber fest, dass leider die Daten
  • 61:22 - 61:26
    darin nicht so gut brauchbar sind für
    viele Zwecke. Aber die liegen trotzdem
  • 61:26 - 61:28
    weiter herum, weil halt, könnte ja
    irgendwann mal was passieren, was man
  • 61:28 - 61:38
    damit machen kann.
    R: Genau. Und das beliebte Format
  • 61:38 - 61:47
    Geschäftsfelder, die Geschäftsfelder, so
    also dann gab es, dann man hat jetzt jeder
  • 61:47 - 61:54
    an Cyber und es haben mehr Firmen einen
    Cyber als noch im letzten Jahr einen
  • 61:54 - 61:59
    Cyber. Und inzwischen hat die Industrie
    verstanden, dass man dann natürlich helfen
  • 61:59 - 62:05
    kann und es gibt irgendwie incident
    response und emergency dies und jenes und
  • 62:05 - 62:08
    Leute, die man anrufen kann, wenn man
    einen Cyber hatte. Und dann helfen die
  • 62:08 - 62:16
    einem, das auszutreiben. Und da hängt ja
    noch viel mehr dran. Da können auch, also
  • 62:16 - 62:20
    da muss man ja auch nicht ITler sein, um
    da mitmachen zu können.
  • 62:20 - 62:25
    F: Also Cyber Notfallseelsorge zum
    Beispiel für Leute, die vom Cyber
  • 62:25 - 62:30
    betroffen sind, ist auf jeden Fall ein
    Geschäftsfeld, was boomt. Also wenn man
  • 62:30 - 62:35
    sich so ein bisschen anekdotisch umhört in
    der Branche, dann sind da durchaus Leute,
  • 62:35 - 62:40
    die halt sich um die professionelle
    Hirnwartung nach so Cybervorfällen kümmern
  • 62:40 - 62:45
    müssen.
    R: Datenverlust-Bewältigungsstrategien.
  • 62:45 - 62:50
    F: Sowas.
    R: Ja, digitale Trauer.
  • 62:50 - 62:59
    Lachen
    Wie sieht das aus? Also inklusive
  • 62:59 - 63:06
    Restrukturierung hinterher. Ich meine, bei
    Mærsk haben sie gesagt: "Na ja, da war
  • 63:06 - 63:10
    halt die IT dann weg und die E-Mails
    gingen nicht mehr und dann sind wir halt
  • 63:10 - 63:13
    alle zu Whatsapp migriert.
    Lachen
  • 63:13 - 63:20
    Und haben uns da dann organisiert, ja? Und
    dann haben wir da Gruppen gemacht und in
  • 63:20 - 63:24
    den Gruppen haben wir dann versucht, das
    Geschäft zu organisieren. Ja und hinterher
  • 63:24 - 63:29
    haben wir uns vor dem Einschalten von der
    E-Mail überlegt: Das ist vielleicht unsere
  • 63:29 - 63:36
    neue Firmenstruktur." Die Whatsappgruppen,
    ja? Sie haben nicht gesagt, ob alle, die
  • 63:36 - 63:43
    nicht in einer Whatsappgruppe waren, dann
    hinterher entlassen wurden. Also da hängt
  • 63:43 - 63:48
    noch viel dahinter.
    F: Was man da auch hat, ist natürlich das
  • 63:48 - 63:52
    Problem, wie vermittelt man so Cyber
    Probleme. Also die meisten Menschen sind
  • 63:52 - 63:56
    davon überfordert. Für die sieht das
    sowieso aus, wie Magie. Es gibt keine
  • 63:56 - 64:01
    wirkliche Möglichkeit mehr, das so richtig
    zu erklären, im Detail, weil es zu komplex
  • 64:01 - 64:05
    geworden ist. Man kann nur noch so
    irgendwie so komische verallgemeindernde
  • 64:05 - 64:10
    Analogien finden. Und dann kann man doch
    eigentlich auch so richtig all in gehen
  • 64:10 - 64:14
    und sagen: "Okay, wenn die Technologie
    schon aussieht wie Magie, dann kann man
  • 64:14 - 64:19
    sie auch erklären wie Magie und weil somit
    Fantasy Magic so, kennen sich ja sehr
  • 64:19 - 64:24
    viele Leute aus und haben da so eine
    Begrifflichkeit von so. Und wenn dann halt
  • 64:24 - 64:27
    sozusagen, so ein, keine Ahnung, man hat
    sich dann halt irgendwie so eine
  • 64:27 - 64:32
    Ransomgang eigetreten, die irgendwie in
    dem System persistent geworden ist und da
  • 64:32 - 64:37
    sich lateral durch bewegt hat. Dann heißt
    das dann halt in Cyber Fantasy übertragen,
  • 64:37 - 64:43
    dass: "Dämonen haben die äußere Burgmauer
    durchbrochen. Sie wohnen jetzt in unseren
  • 64:43 - 64:48
    Katakomben. Sie können überall hoch
    brechen in unsere Räume und wir brauchen
  • 64:48 - 64:52
    jetzt Menschen, die diese Dämonen in die
    Katakomben jagen gehen." Ja so, nur mal so
  • 64:52 - 64:55
    als Vorschlag und dafür braucht es
    natürlich Profis, die solche Geschichten
  • 64:55 - 64:59
    erzählen können und sie so übertragen
    können, dass man halt irgendwie sie dann
  • 64:59 - 65:04
    halt der Geschäftsführung erklären kann.
    R: Genau.
  • 65:04 - 65:07
    Lachen
    Applaus
  • 65:07 - 65:14
    Du musst jetzt, ihr müsst jetzt bei
    Sonnenaufgang mehr Cyber Gänse schlachten,
  • 65:14 - 65:30
    ja? Aber nur bei Vollmond. Genau. Ja. Dan
    Kaminsky sagt immer gerne: "Data wants to
  • 65:30 - 65:36
    lie to you and wants you to be wrong."
    Daten wollen dich anlügen. Das haben viele
  • 65:36 - 65:41
    noch nicht begriffen, dass ihr data lack
    sie eigentlich vor hat, sie in die Pfanne
  • 65:41 - 65:52
    zu hauen. Und das ist natürlich sehr
    wichtig, dass man dann sich trainiert,
  • 65:52 - 65:57
    dadrin, die Verzerrungen, die in den
    eigenen Daten drin sind, durch die
  • 65:57 - 66:01
    Sensoren, die man da benutzt hat, durch
    die Daten, die man abgefragt hat, durch
  • 66:01 - 66:08
    die Daten. Also durch die Datenquellen,
    die man hat, zu erkennen, ja? Und das ist
  • 66:08 - 66:12
    sozusagen das komplette Gegenteil zu dem,
    was heute eher passiert, dass man Leuten
  • 66:12 - 66:16
    sagt: "In diesen Daten sind tolle Dinge
    drin" und die schauen dann auf das
  • 66:16 - 66:19
    Rauschen so lange bis sie irgendein Muster
    sehen.
  • 66:19 - 66:29
    Lachen
    F: Also wir haben jetzt so das Phänomen,
  • 66:29 - 66:32
    dass die Migration zu IPv6 ja so ein
    bisschen länger gedauert hat, als alle
  • 66:32 - 66:38
    gedacht haben. Und jetzt aber so ein
    bisschen, so plötzlich stattfindet, weil
  • 66:38 - 66:42
    die Geräte können jetzt z.B. alle
    plötzlich v6 und machen halt auch so v6
  • 66:42 - 66:46
    und dann guckt man so in sein Netzwerk und
    sieht da lauter v6 Pakete und denkt sich:
  • 66:46 - 66:50
    "Ich habe aber gar kein v6 und meine
    Firewall kann noch kein v6 und mein
  • 66:50 - 66:53
    Monitoring hat von v6 auch noch nie gehört
    und mein Router kann aber irgendwie schon
  • 66:53 - 66:59
    v6. Genau und deswegen denken wir, so erst
    einmal gibt es dann halt so das Berufsbild
  • 66:59 - 67:04
    des IPv6 Exorzisten, der halt irgendwie
    versucht IPv6 aus den Netzwerken raus zu
  • 67:04 - 67:09
    exzorsieren. Und der muss dann später
    umschulen, wenn v6 sich dann durchgesetzt
  • 67:09 - 67:13
    hat auf IPv4 Exorzist
    Lachen
  • 67:13 - 67:24
    um halt, ja ...
    Applaus
  • 67:24 - 67:33
    R: Crypto ist ja so der Sache. Also, haben
    jetzt alle verstanden, dass Crypto wichtig
  • 67:33 - 67:41
    ist? Dass man Crypto machen muss? Dass es
    auch ohne Crypto nicht geht? Wie gesagt,
  • 67:41 - 67:46
    es verlangt keiner mehrs dass es kein
    Crypto gibt. Es wollen nur alle noch eine
  • 67:46 - 67:50
    Hintertür und dann auch einen extra
    Schlüssel und ähnliches. Und damit stellt
  • 67:50 - 67:53
    sich dann die Frage aber, ob es auch die
    ganze Zeit an ist?
  • 67:53 - 67:59
    F: Oder ob es nur da ist aber nicht an?
    Oder nicht konfiguriert oder mit dem
  • 67:59 - 68:04
    falschen Parametern? Oder nur manchmal an
    oder nur auf bestimmten verbindungen an
  • 68:04 - 68:07
    oder was auch immer, ja?
    R: Oder nach dem Software-Update plötzlich
  • 68:07 - 68:17
    wieder weg, ja? Weil der Parameter
    umgekippt ist oder so und da wird es
  • 68:17 - 68:20
    sicherlich genug Software geben, die dann
    versucht rauszukriegen, ob das Skript doch
  • 68:20 - 68:30
    noch an ist und wenn ja für wie viele.
    F: So und wir finden, wir müssen wir jetzt
  • 68:30 - 68:34
    mal was für die IT Security tun.
    Applaus
  • 68:34 - 68:41
    Es hieß ja immer so lange, man solle
    irgendwie aufpassen und man müsse
  • 68:41 - 68:44
    irgendwie als gebildeter Bürger irgendwie.
    Also das Problem sitze zwischen Tastatur
  • 68:44 - 68:50
    und irgendwie Schreibtischstuhl. Das
    Problem ist aber eigentlich, die Software
  • 68:50 - 68:54
    ist halt einfach scheiße. So und natürlich
    sollte jede Software, die ich betreibe,
  • 68:54 - 68:57
    heute in der Lage sein, damit
    klarzukommen, dass da irgendwelche Daten
  • 68:57 - 68:59
    in einer E-Mail drin sind und dabei mir
    nicht um die Ohren fliegen, nicht mein
  • 68:59 - 69:03
    computer kaputt machen, nicht dafür
    sorgen, dass da Software installiert wird.
  • 69:03 - 69:07
    D.h. diese Predigt von wegen: "Klicken sie
    mal nicht auf Anhänge und seien sie ganz
  • 69:07 - 69:10
    vorsichtig und wenn sie doch tun, dann
    sind sie selber Schuld."
  • 69:10 - 69:13
    R: Ja das ist alles Victim Blaming, das
    geht gar nicht.
  • 69:13 - 69:21
    F: Genau, Victim Blaming, damit müssen wir
    aufhören. Wahrscheinlich sollten auch mit
  • 69:21 - 69:24
    den Gewerkschaften reden und denen
    klarmachen: "So pass auf, immer auf jeden
  • 69:24 - 69:26
    Anhang klicken, führt zu mehr
    Tagesfreizeit.
  • 69:26 - 69:28
    Lachen
    Applaus
  • 69:28 - 69:37
    So, also das ist jetzt so ein so klarer
    Fall von: "Ist jetzt, ... wir können so
  • 69:37 - 69:40
    nicht mehr weitermachen. Wir müssen jetzt
    einfach mal die Situation ein bisschen
  • 69:40 - 69:45
    eskalieren. Deswegen immer auf alle
    Anhänge klicken, zumindest in der Firma."
  • 69:45 - 69:47
    Lachen
    Publikum: Makros!
  • 69:47 - 69:52
    F: Ne, Makros, ich glaube Makros lassen
    wir mal außen vor. Makros ausschalten ist
  • 69:52 - 69:59
    trotzdem eine gute Idee, anyway.
    R: Ja, das ist unser Aufruf an euch und
  • 69:59 - 70:06
    dann wünschen wir euch einen guten Rutsch
    ins Jahr 1984 wir sehen uns wieder
  • 70:06 - 70:08
    nächstes Jahr.
  • 70:08 - 70:09
    Applaus
  • 70:09 - 70:10
    36C3 Abspannmusik
  • 70:10 - 70:38
    Untertitel erstellt von c3subtitles.de
    im Jahr 2020. Mach mit und hilf uns!
Title:
36C3 - Security Nightmares 0x14
Description:

more » « less
Video Language:
German
Duration:
01:10:38

German subtitles

Incomplete

Revisions