-
36C3 Vorspannmusik
-
Engel: Guten Morgen, Linus!
Linus Neumann: Guten Morgen, Sebastian!
-
Applaus
-
Ja, es freut mich, dass ihr so zahlreich
erschienen seid und auf diesen
-
reißerischen Titel reingefallen seid! Ich
möchte ein bisschen über menschliche
-
Faktoren der IT-Sicherheit sprech und habe
mich für den Titel „Hirne hacken“
-
entschieden. Der Hintergrund ist, dass
wenn man irgendwie von Hackern spricht,
-
sehr häufig so ein bisschen dieser Nimbus
gilt, dass es irgendwie so Halbgötter in
-
schwarz sind. Man weiß nicht so genau was
die machen, aber die kommen irgendwie da
-
rein und diese Hacker, die sind in meinem
Gerät drin und ich weiß auch nicht genau,
-
was die von mir wollen und wie die das
gemacht haben. Und die Realität da draußen
-
ist eigentlich sehr anders als die meisten
Leute sich das vorstellen. Ich vertrete
-
die These, dass eigentlich jedes praktisch
relevante Problem der IT-Sicherheit
-
theoretisch gelöst wurde. Also wir haben
jetzt keine … uns fehlt nicht das Wissen,
-
wie wir eine bestimmte Lösung in der IT-
Sicherheit machen müssen, aber wir kriegen
-
es irgendwie nicht hin. Denn obwohl wir
alles theoretisch gelöst haben, ist die
-
praktische IT-Sicherheit ein einziges
Desaster. Und das liegt wahrscheinlich
-
daran, dass wir uns irgendwie so spannende
IT-Sicherheitsmechanismen aufbauen und die
-
prüfen wir dann. Ne, da sieht man hier so
einen schönen Pfahl und der hält jetzt
-
irgendwie ein Tier gefangen und wenn man
sich das in der Realität anschaut, sieht’s
-
eher so aus.
unverständliche Sprache des Herrn im Video
-
*jemand im Video singt zum Lied „Einzug
der Gladiatoren“ einen etwas anderen Text,
-
der Circus beinhaltet*
Linus: Das ist jetzt ’ne kleine Bedrohung
-
und irgendwie stellen wir uns vor, dass
das bei den großen Bedrohungen anders
-
wäre. Schauen wir uns an: Wir lesen
irgendwie überall von Emotet überall.
-
Hacker komprimitieren Computer,
verschlüsseln alle Dateien, fordern dann
-
hohes Lösegeld und Heise haben sehr viel
darüber berichtet, bis es sie dann selber
-
erwischt hat. Das heißt, auch die, die es
wirklich wissen und wissen müssen und
-
können müssten, sind irgendwie nicht davor
gefeit und das finde ich eigentlich
-
ziemlich interessant. Und wenn wir uns mal
anschauen, was in der IT-
-
Sicherheitsforschung abgeht, auch hier auf
dem Kongress, deswegen habe ich den
-
Vortrag auch hier eingereicht, so die
Forschung muss immer echt Avantgarde sein.
-
Das ist irgendwie großen Applaus und
Voodoo, und hier noch ein Exploit und
-
haste alles nicht gesehen und Remote Code
Execution, während die Realität
-
demgegenüber, also so wie jetzt
tatsächliches Cyber da draußen geht, ist
-
ungefähr eher so. Bin ich schon drin oder
was? Das heißt, wir leben eigentlich, weil
-
wir das auch als Nerds und Hacker
irgendwie interessant finden, in irgendwie
-
dieser Welt, während das was da draußen
wirklich an Kriminalität stattfindet, eher
-
so Hütchenspiel ist. Und dieses
Hütchenspielproblem lösen wir aber nicht.
-
Und ich glaube, dass das sehr unsinnig
ist, sehr schlecht ist, dass wir uns um
-
die Problemfelder, die eigentlich ganz
prävalent sind, die überall beobachtet
-
werden – selbst im Heise-Verlag –, dass
wir uns um die eigentlich nicht kümmern.
-
Und da machen wir eigentlich seit Jahren
keinen Fortschritt. Ich möchte ein
-
bisschen über einfache Scams reden, ein
bisschen über Passwortprobleme, ein
-
bisschen über Schadsoftware. Ein Scam, der
uns auch im CCC sehr amüsiert hat, ist der
-
Scam, der Chaos-Hacking-Gruppe. Die Chaos-
Hacking-Gruppe verschickt E-Mails und sagt
-
den Leuten: Ja, also ich hab irgendwie
dein System mit einem Trojaner infiziert
-
und wir sind uns Ihrer intimen Abenteuer
im Internet bewusst. Wir wissen, dass Sie
-
Websites für Erwachsene lieben und wir
wissen über Ihre Sexsucht Bescheid. Und
-
versuchen dann von den Leuten irgendwie
Geld zu erpressen. Geben Bitcoin-Wallet an
-
und, ja, versuchen halt irgendwie, die
Leute zu erpressen. Interessanterweise
-
gibt es Leute, die sich dann darüber echt
Gedanken machen. Die bestreiten aber
-
immer, dass das … Also das kann eigentlich
sein, was die da sagen, ne? Wer geübt ist
-
im Erpressen weiß natürlich: Solang die
kein Beweismittel liefern, zahlen wir
-
erstmal nicht. Wenn die Leute dann aber so
mit dieser Art und Weise versucht werden,
-
betrogen zu werden und das googlen, dann
kommen sie direkt an den Nächsten. Wenn
-
man jetzt die Chaos-CC-Gruppe googelt,
dann wird einem auf irgendwelchen
-
Webseiten klargemacht, dass es sich um
einen Trojaner handeln würde und man jetzt
-
irgendsoeine nächste Schadsoftware
runterladen soll. Also quasi wie man
-
diesen Schaden wieder entfernt. Das heißt,
die Leute kommen hier echt vom Regen in
-
die Traufe: Haha, ich wusste, du willst
gerne verarscht werden; hier habe ich noch
-
ein bisschen Snake-Oil für dich. Das
heißt, die Welt da draußen, für unsere
-
ungeübten Nutzerinnen und Nutzer ist
relativ gefährlich. Schauen wir uns mal
-
an, wie das bei den Geübten aussieht: Die
Linux-Kernelmailingliste ist vielleicht
-
einigen von euch ein Begriff. Da ist auch
vor kurzem mal so eine E-Mail eingegangen.
-
Am 31. Oktober 2018, ist schon etwas her.
Da wurde sogar das Passwort angegeben, ja,
-
das ist also so das nächste Level von
diesem Scam: Du schreibst einfach
-
irgendsoeinen Passwort-Leak noch mit rein,
die Leute kriegen dann Herzrasen, weil ihr
-
Passwort in der E-Mail steht und auch hier
wollte jemand eben Bitcoins haben, unter
-
anderem von den Linux-Kernel-Entwicklern.
Bitcoin ist ja ganz schön: Man kann ja in
-
die Blockchain schauen und sehen, wieviel
die Linux-Kernel-Entwickler da so bezahlt
-
haben. In dem Wallet befinden sich 2,98
Bitcoin. Das sind vor ein paar Tagen noch
-
ungefähr 19000€ gewesen, also soll noch
mal einer sagen, mit Linux könnte man
-
keinen Profit machen.
Gelächter
-
Applaus
Die E-Mail ging natürlich auch noch an
-
sehr viele weitere außer der Linux-
Kernelliste, aber ich denke, man sieht
-
hier, man fragt sich eigentlich: Warum
machen wir eigentlich den Quatsch, den wir
-
machen, wenn wir so einfach uns Geld
überweisen lassen können mit ein paar
-
Spam-Mails?! Geht aber noch weiter: Geld
überweisen, Klassiker. Der CEO-Fraud.
-
Großes Team auch – ist eines der großen
Szenarien, dem irgendwie mittelständische
-
Unternehmen, größere Unternehmen
ausgesetzt sind. Kriegst eine E-Mail, wo
-
dann irgendwie geagt wird: Ey, wir müssen
jetzt mal hier die Rechnung bezahlen. Wir
-
müssen das heute erledigen. Meistens sind
das dann, also in der einen Schiene sind
-
das dann eher so geringe Beträge, die
jetzt vielleicht auch einfach mal
-
durchgehen. Geht aber natürlich auch in
einer Nummer schärfer. Alles schon
-
tatsächlich sehr häufig passiert, dass
also so eine Geschichte gemacht wird: Ja,
-
der große Deal mit den Chinesen steht
irgendwie kurz bevor und du darfst jetzt
-
mit niemandem darüber sprechen, aber du
musst jetzt mal ganz kurz 2 Mio. auf die
-
Seychellen überweisen. Und dann machen die
Leute das und diese E-Mails arbeiten
-
einfach so ein bisschen mit Autorität,
Vertrauen, Eile und Druck und leiten
-
Menschen an, dann das zu tun, was sie
eigentlich nicht tun sollten. Das ist auf
-
Anhieb erstmal vielleicht halbwegs witzig,
wenn man aber mal mit so einem Menschen
-
spricht, dem das passiert ist, die haben
danach echt schwere Krisen, weil sie
-
natürlich wissen, dass das nicht besonders
klug war und auch recht schädlich für das
-
Unternehmen und das ist eigentlich dann
gar nicht mehr so unterhaltsam. Kommen wir
-
zurück zu unterhaltsamen Sachen: Der
Authentisierung. Eine Sache, die vielen
-
Menschen Probleme bereitet, ist ihr
Passwort und das Problem ist, dass sie
-
eben auch nur eines haben und dieses sich
dann in solchen Sammlungen wie Collection
-
#1-#5 befindet, die ihr natürlich auch –
wir alle haben die ja immer dabei und
-
können dort die Passwört nachschlagen, zum
Beispiel: 23bonobo42, Tim Pritlove; weiß
-
jeder. Das schöne ist an diesen Listen:
Auch wir, die Ahnung davon haben sollten,
-
sind da drin. Wenn man meine E-Mail-
Adresse bei haveibeenpwned eingibt – einer
-
Webseite, wo man checken kann, ob eine
E-Mail-Adresse in Leaks vorhanden ist,
-
findet man das auch bei mir. So. Kommen
später dazu, wie das vielleicht passiert
-
sein könnte. Die Sache, die mich daran so
ärgert, ist dass wir eigentlich seit es
-
Computer gibt, dieses Passwortproblem nie
so richtig angegangen sind. Wir sagen den
-
Leuten eigentlich: OK, dein Passwort darf
nicht zu erraten sein, am besten zufällig,
-
ohne jegliches System. Es soll so lang wie
möglich sein, am besten nicht nur ein
-
Wort. Und es muss überall unterschiedlich
sein. Und kein Mensch tut das. Ja, wenn
-
man irgendwie … war letztens beim
Zahnarzt. Wenn man mit dem redet, der sagt
-
einem auch jedes mal: Ja, du musst aber
morgens, mittags, abends Zahnseide, haste
-
nicht gesehen. Jaja, genau, mach du
erstmal überall andere Passwört und dann
-
können wir weiterreden, ne?
Gelächter
-
Applaus
Und ja, das habe ich gemacht so irgendwann
-
habe ich das vor ein paar Jahren auch
tatsächlich getan. Ich benutze jetzt einen
-
Passwortmanager. Wissen wir alle, dass das
klug und gut ist. Aber ich renne
-
eigentlich seit vielen Jahren um die Welt,
erkläre den Leuten von diesen
-
Passwortmanagern. Und die Reaktion ist
immer die gleiche: The fuck?! So … Das
-
will ich nicht haben. Ja, und wir haben
einfach in dieser Welt nie mehr
-
hingekriegt als den Leuten zu sagen:
Benutzt doch einen Passwortmanager. Und
-
dann fragen sie immer: Welchen? Und dann
sage ich immer: Ich empfehle keinen.
-
Gelächter
Frage ist: Wie kommen die Leute eigentlich
-
an diese ganzen Passwörter? Klar: Die
machen entweder irgendwelche Services auf
-
und holen die Passwört dann aus den
Datenbanken, wo sie nicht gehasht und
-
gesalted gespeichert wurden, oder sie
schicken einfach mal eine E-Mail und
-
fragen nach dem Passwort. Hier ein schönes
Beispiel, das ich deshalb ausgewählt habe,
-
weil ich darauf reingefallen bin.
Applaus
-
Aaaaah. PayPal möchte mir in einer
wichtigen Nachricht mitteilen, dass „unser
-
System einen nicht authorisierten Zugriff
auf Ihr PayPal-Konto festgestellt hat. Um
-
Ihre Sicherheit weiterhin vollständig
gewährleisten zu können, klicken Sie bitte
-
auf diesen Knopf.“, ja? Und das schöne an
solchen Dingern ist immer: Es gibt in der
-
Regel nur einen Knopf. Und das sollte
einen eigentlich stutzig machen. Genauso
-
hätte mich stutzig machen sollen, dass da
oben erstmal nicht PayPal in der
-
Adresszeile steht, aber ich war irgendwie
müde und habe irgendwie da drauf geklickt
-
und jetzt kommt, was mir dann doch noch
den Allerwertesten gerettet hat: Mein
-
Passwortmanager konnte mir kein Passwort
für diese Seite anbieten.
-
Applaus
So. Ich hab jetzt extra rausgenommen,
-
welcher Passwortmanager das ist.
Diejenigen, die ihn trotzdem erkennen:
-
Nicht denken, dass ich ihn lobe, weil:
Dieser Passwortmanager hat vor kurzem ein
-
Update erfahren und wenn ich das gleiche
Spielchen heute mache, dann sagt der: Ich
-
kenne die Seite nicht, aber vielleicht
willst du deine Kreditkarte oder deine
-
Adresse eingeben? Herzlichen Dank … So,
auf den Passwortmanager kann ich gerne
-
verzichten. Wenn man sich so
Phishingseiten anschaut; ich mein, ist
-
jetzt gar kein Hexenwerk. Man nimmt
einfach irgendeine Website, kopiert die
-
auf einen anderen Server und programmiert
sich dahinter ein kleines Backend, was
-
alle Requests entgegennimmt, die man da so
hinschickt. Hier habe ich letztens mal
-
eine sehr schöne bekommen: Das war der
Gmail Webmail Login. Aber die haben, ich
-
fand das eigentlich ganz elegant, was sie
gemacht haben: Die haben quasi die Domain
-
der E-Mail-Adresse noch als GET-Request
mitgesendet und dann in ihrem Quelltext
-
einfach das Favicon zu der Domain auf
Google gesucht und dort eingeblendet. Das
-
heißt, wenn ihr da eine andere Domain
angebt, dann steht da immer ein anderes
-
Logo, um einfach so diese Seite ein
bisschen naheliegender zu machen. Wenn wir
-
uns das anschauen, die
Erfolgswahrscheinlichkeit, die solche
-
Massenmails haben, ist enorm gering. Ja?
Die ist winzig klein. Diese Mails werden
-
millionenfach versendet, an ganz viele
Empfängerinnen und Empfänger und wenn man
-
aber dann auch so viele Mails versendet
und in so vielen Spamfiltern hängenbleibt,
-
dann findet man immer noch mal einen, der
dann doch noch ein Passwort da einträgt
-
und schon haben wir eine schöne
Geschichte. Das ist hier jetzt irgendwie
-
so ein Massenmailding. Ich mein, ihr müsst
nur mal in euren Spamfolder reinschauen,
-
da werdet ihr diese E-Mails finden. Blöd
ist halt, wenn da mal irgendwann nicht im
-
Spam landen. Wir haben da jetzt so ein
bisschen über massenhafte Angriffe
-
gesprochen. Die zielen halt auf die besten
von uns ab. Wenn wir das ganze aber mal
-
gezielt machen, spricht man nicht mehr vom
Phishing, sondern vom Spearphishing. Und
-
beim Spearphishing sendet man nicht
Millionen E-Mails, sondern man sendet
-
eine. Und zwar genau an die Person, von
der man das Passwort haben möchte. Und man
-
macht eine Geschichte, die genau zu dieser
Person auch passt. Also häufig mache ich
-
das ganz gerne so mit Passwortreset-Mails,
ja? Also gibt’s in vielen Unternehmen.
-
Sehr kluge Idee: Alle Mitarbeiter müssen
alle 3 Monate die Zahl am Ende ihres
-
Passworts um 1 inkrementieren.
Gelächter
-
Applaus
Und den E-Mail-Login von den meisten
-
Unternehmen muss man auch nicht besonders
fälschen, den habe ich schon einmal
-
fertig. So, wenn man solche Sachen macht,
also Spearphishing, haben wir eher so eine
-
Wahrscheinlichkeit von 30%, dass die
Zielperson auf die Seite geht, ihr
-
Passwort eingibt. Wenn ich das mit 3
Personen mache, habe ich einen Business
-
Case. Und vor allem habe ich in der Regel
keinen Spamfilter, der mir im Weg ist. Ich
-
kann wunderschön einen Mailserver
aufsetzen mit minimal anderen Domains, die
-
machen DKIM, die machen alles, was du
haben willst. Die haben sogar ein schönes
-
Let’s Encrypt Zertifikat auf ihrer
Website. Funktioniert und kommt in der
-
Regel durch. Auf das Problem komme ich
nachher noch mal zurück, denn das würde
-
ich sehr gerne lösen. Aber auch beim
Verbreiten von Schadsoftware ist das ein
-
beliebtes Pro… oder ein beliebtes Ziel,
nicht irgendwie fette 0-Day-Exploits zu
-
verballern, sondern einfach mal den Leuten
die Software anzubieten und zu gucken, wie
-
sie die installieren. TRS hat mich da auf
einen Tweet aufmerksam gemacht, der ist
-
schon ein paar Jahre alt, aber er ist sehr
wahr: „Manchmal fühlt man sich als ITler
-
wie ein Schafhirte. Allerdings sind die
Schafe betrunken. Und brennen! Und klicken
-
überall drauf!!“
Applaus
-
Von @Celilander. Ja. Dann habe ich
irgendwie letztens mal … wer den Vortrag
-
von Thorsten gesehen hat, sieht dass wir
da auch was mit einem Torrent gemacht
-
haben. Da war ich hier bei den Drive-By
Exploit Paralympics, wo ich also auf eine
-
Webseite gekommen bin, die mich auch sehr
gedrängt hat, irgendetwas zu installieren.
-
Ich müsste ein Update machen, irgendwelche
komischen Plug-Ins installieren oder so,
-
ne? Und die Leute machen das! Also es ist
regelmäßig, dass irgendwelche Leute bei
-
mir sitzen und sagen: „Ja, hier, ich habe
einen Virus.“ – „Ja, wieso? Woher wissen
-
Sie das denn?“ – „Ja, eh … stand da!“
Gelächter
-
Und dann haben die halt irgendwas
installiert und dann merkt man so: Dann
-
haben sie gecheckt, dass das
wahrscheinlich nicht klug war und dann
-
haben sie am Ende irgendwie 86
Schadsoftwares drauf, die behaupten
-
Schadsoftwares zu entfernen. Übrigens:
Genau so wurde auch der Staatstrojaner
-
FinSpy gegen die türkische Opposition
eingesetzt. Die haben eine schöne Website
-
gemacht und haben gesagt: Ey guck mal
hier, klick mal hier drauf, könnt ihr
-
runterladen. Wie gesagt: Die Analyse hat
Thorsten mit Ulf Buermeyer heute morgen
-
schon präsentiert. Da sind wir dann auch
schon bei den … Kurzer Applaus für
-
Thorsten!
Applaus
-
Da sind wir dann auch schon jetzt bei dem
Problem, was seit ungefähr 2016 der Welt
-
Ärger bereitet, nämlich die sogenannte
Ransomware. Funktioniert relativ einfach:
-
Man kriegt eine E-Mail. In der E-Mail ist
irgendein Anhang, in diesem Beispiel, das
-
haben wir mal 2016 durchgespielt, das war
Locky, war’s eine Rechnung. Und wenn ich
-
jetzt diesen Anhang öffne, passiert
folgendes. Es meldet sich das wunderschöne
-
Programm Microsoft Word.
Johlen
-
Und Microsoft Word hat direkt 2
Warnmeldungen parat. Ihr seht sie dort
-
oben in gelb und rot auf dem Bildschirm.
Die rote Warnmeldung ist die, dass es sich
-
um eine nichtlizensierte Version des
Programmes handelt.
-
Gelächter
Die habt ihr also entweder nicht oder ihr
-
habt sie auch und ihr habt euch schon dran
gewöhnt.
-
Gelächter
Die gelbe Warnmeldung ist die, die euch
-
davor warnt, dass ihr gerade auf dem Weg
seid, euch sehr, sehr in den Fuß zu
-
schießen. Und diese Warnmeldung ist sehr
einfach verständlich. Seien sie
-
vorsichtig: Dateien aus dem Internet
können Viren beinhalten. Wenn Sie diese
-
Datei nicht bearbeiten müssen, ist es
sicherer, in der geschützten Ansicht zu
-
verbleiben. Und in konsistenter
Formulierung mit diesem Satz ist daneben
-
ein Knopf, auf dem steht: Bearbeiten
aktivieren. Versteht jeder sofort, was da
-
gemeint ist! Gefahrenpotenzial ist sofort
klar. Und wir haben wieder genau so wie in
-
dieser PayPal-Phishing-E-Mail den
wunderschönen riesigen großen Knopf. Und
-
oben rechts in der Ecke, ganz klein, es
versteckt sich ein bisschen. Es flieht vor
-
eurer Aufmerksamkeit. Ist ein
klitzekleines graues Kreuzchen. Das wäre
-
der Weg in die Sicherheit. Aber natürlich
seid ihr darauf trainiert, diesen Knopf zu
-
drücken, weil diese Warnmeldung kommt
schließlich jedes mal, wenn ihr Microsoft
-
Word öffnet, weil irgendwelche Makros sind
ja in fast jedem Word-Dokument drin, was
-
in eurem Unternehmen so rumschwirrt. Ist
aber nicht schlimm, es geht nämlich
-
weiter. Microsoft Word hat direkt noch
eine Warnung für euch: Sicherheitswarnung.
-
Makros wurden deaktiviert. Inhalte
aktivieren. Und wir sitzen jetzt also da,
-
in diesem Beispiel Locky, vor einem leeren
Blatt Papier. Ein leeres Blatt Papier ganz
-
ohne Inhalt. Alles, wonach es uns durstet,
sind Inhalte. Also drücken wir jetzt da
-
auf Inhalte aktivieren. Und ich habe jetzt
mal hier auf dem Desktop so ein paar
-
Dateien drapiert, die dort so liegen. Und
wenn ich jetzt auf den Knopf drücke,
-
passiert folgendes: Sie sind weg. Das
Makro, was in diesem Word-Dokument ist,
-
lädt im … lädt über einen einfachen GET-
Request eine EXE-Datei runter und führt in
-
dem Fall Locky aus. Locky rasiert einmal
durch die Festplatte, verschlüsselt alle
-
Dateien und wenn er fertig ist, sagt er:
Übrigens: Deine Dateien sind jetzt
-
verschlüsselt und wenn Leute verschlüsselt
hören, dann sagen die immer: Ja aber kann
-
man das nicht irgendwie entschlüsseln?
Deswegen steht hier auch direkt: Nein.
-
Kann man nicht. Es wäre total unsinnig,
wenn man Dinge verschlüsseln würde, die
-
man einfach wieder entschlüsseln könnte.
Deswegen haben wir das richtig macht. Und
-
da haben die hier so eine schöne Website
gehabt und da wurde dann eben erklärt,
-
wohin man wieviel Bitcoin überweisen muss.
Locky war da noch relativ großzügig. Die
-
haben die Datenwiederherstellung für 500€
damals gemacht. Locky war so die erste
-
große Ransomware-Welle. Es wurde überall
davor gewarnt, Rechnungen zu öffnen, die
-
Bilanzen der Unternehmen hatte das
kurzfristig echt verbessert, aber die
-
Bilanzen der Angreifer nicht. Und
woraufhin dann weitere E-Mails kursierten,
-
die sahen ungefähr so aus: Hallo, hier ist
das Bundeskriminalamt. Passen Sie bitte
-
auf mit Locky. Weil uns immer mehr Leute
gefragt haben, wie man sich davor schützt,
-
haben wir einen Ratgeber vorbereitet, wie
man sich davor schützt. Den finden Sie im
-
Anhang.
Gelächter
-
Applaus
Und der ganze Spaß ging wieder von vorne
-
los. Locky war 2016. Wir haben vor kurzem
mal einen Blick darauf geworfen, wie das
-
so bei GandCrab aussieht. Das war jetzt
eine Ransomware von einer, ja … Ich komme
-
gleich darauf, wo die Jungs herkamen. Von
einer Gruppierung, die sich vor kurzem zur
-
Ruhe gesetzt hat mit den Worten,
sinngemäß: Wir haben gezeigt, dass man
-
viele Millionen mit kriminiellen Dingen
verdienen und sich dann einfach zur Ruhe
-
setzen kann. Und wir ermutigen euch auch,
so einen schönen Lebensstil zu pflegen wie
-
wir. Wir sind jetzt erstmal im Ruhestand.
Wenn man sich mit denen, wenn man sich
-
quasi bei denen das gleiche durchgemacht
hat, landete man auf so einer Seite. Die
-
war sehr schön. Da haben sie erstmal auch
einmal mit sehr vielen psychologischen
-
Tricks gearbeitet. Hier oben steht zum
Beispiel: Wenn du nicht bezahlst innerhalb
-
von einer Woche, dann verdoppelt sich der
Preis. Da haben die sich bei Booking.com
-
abgeguckt.
Gelächter
-
Applaus
Dann erklären sie wieder: OK, du kannst …
-
es ist verschlüsselt, kriegst du nur von
uns zurück. Und dann haben sie einen
-
schönen Service, hier, free decrypt. Du
kannst eine Datei dort hinschicken und die
-
entschlüsseln sie dir und schicken sie dir
zurück um zu beweisen, dass sie in der
-
Lage sind, die zu entschlüsseln. Ja, die
sind also in gewisser Form ehrbare
-
Kaufmänner. Man fixt einen mal an, zeigt,
dass man die Dienstleistung erbringen
-
kann. Und die haben auch einen Chat. Die
haben hier unten so einen
-
Kundenberatungschat.
Gelächter
-
Und wir saßen irgendwie in geselliger
Runde mit unserer Windows-VM, die wir
-
jetzt gerade gegandcrabt hatten und haben
dann so gedacht: Ach komm ey, jetzt
-
chatten wir mal mit denen. Und haben uns
so ein bisschen doof gestellt, so:
-
Hellooo, where can I buy the Bitcoin?
Irgendwie so. Und da haben die uns dann
-
irgendwelche Links geschickt, wo wir
Bitcoin holen wollen und da haben wir
-
gesagt: Woah, das ist doch irgendwie voll
anstrengend, können wir nicht einfach eine
-
SEPA-Überweisung machen? Wir zahlen auch
die Gebühren, ist okay. Und dann haben wir
-
so, als uns nichts mehr einfiel, sagte ich
zu meinem Kumpel, der daneben saß:
-
Vladimir. Ey, ich sag: Vladimir. Frag die
doch mal, ob die russisch können. Konnten
-
sie.
Gelächter
-
Und … ja, und … war auf jeden Fall: Na
klar! Und interessanterweise haben die
-
auch sofort in kyriliisch geantwortet. Man
kann ja russisch auf 2 Arten schreiben.
-
Man sieht uns hier an der deutschen
Tastatur und die Jungs mit den
-
kyrillischen Schriftzeichen. Und die waren
auf einmal sehr interessiert: Eyyy, du
-
bist Russe?! Wie bist du denn infiziert …
wie kann das denn, dass du infiziert
-
wurdest?
Gelächter
-
Hier steht doch, du bist in Deutschland!
Und dann fragten die irgendwie so: Du bist
-
doch in Deutschland und so. Und dann
sagten wir so: Jaja, ich arbeite für
-
Gazprom.
Gelächter
-
Die wurden immer freundlicher.
Gelächter
-
Und schrieben uns dann diesen folgenden
Satz. Den habe ich mal für euch in Google
-
Translate gekippt. Der lautet ungefähr so:
Mach bitte ein Photo von deinem Pass. Du
-
kannst gerne die sensiblen Daten mit
deinem Finger abdecken. Ich brauche nur
-
einen Beweis, dass du Bürger Russlands
bist. Dann stellen wir dir die Daten
-
kostenlos wieder her.
Gelächter
-
Applaus
Also manchmal ist IT-Sicherheit halt auch
-
einfach nur der richtige Pass, ne?
Gelächter
-
Tatsächlich hatte GandCrab Routinen drin,
die gecheckt haben, ob die Systeme z. B.
-
russische Zeitzone oder russische
Schriftzeichen standardmäßig eingestellt
-
haben, um zu verhindern, dass sie
russische Systeme befallen, weil die
-
russische IT-Sicherheitsaußenpolitik
ungefähr so lautet: Liebe Hacker. Das
-
Internet. Unendliche Weiten. Ihr könnt
darin hacken, wie ihr wollt und wir
-
liefern euch eh nicht aus. Aber wenn ihr
in Russland hackt, dann kommt ihr in einen
-
russischen Knast. Und selbst russische
Hacker wollen nicht in einen russischen
-
Knast. Deswegen sorgen die dafür, dass sie
ihre Landsmänner nicht infizieren. Wahre
-
Patrioten. Der Brian Krebs hat nachher
diese Gruppe auch noch enttarnt. Hat einen
-
superinteressanten Artikel darüber
geschrieben. War so ein paar Wochen
-
eigentlich, nachdem wir diese kleine,
lustige Entdeckung gemacht hatten. Ihr
-
wisst natürlich, grundsätzliches Motto
jedes Congress’: Kein Backup, kein
-
Mitleid! Das heißt, ihr müsst natürlich
euch gegen solche Angriffe dadurch
-
schützen, dass ihr Backups habt und dann
nicht bezahlen müsst. Aber was ich
-
spannend finde ist, dieser Angriff mit den
Word-Makros, die funktionieren seit 1999.
-
Da war das Melissa-Virus irgendwie die
große Nummer. Makros gab es schon früher
-
in Word, aber ’99 mit Internetverbreitung
und so ging das irgendwie ordentlich rund.
-
Und wir sind da keinen einzigen Schritt
weitergekommen. Jeden anderen Bug, jedes
-
andere Problem, was wir haben, lösen wir
sofort. Dieses halten wir einfach nur aus
-
und tun überhaupt nichts daran. Also habe
ich mir überlegt: Gut, dann schauen wir
-
uns mal an: Warum funktionieren diese
Angriffe eigentlich? Und dafür gibt’s im
-
Prinzip 2 Erkläransätze, die ich euch
vorstellen möchte. Der eine ist eben
-
individualpsychologisch, der andere ist
organisationspsychologisch. Daniel
-
Kahnemann hat einen Nobelpreis in
Wirtschaftswissenschaften, glaube ich,
-
bekommen, dass er sich darüber Gedanken
gemacht hat, wie Menschen denken.
-
„Thinking, Fast and Slow“, großer
Bestseller, und so weiter. Der postuliert
-
im Prinzip: Wir haben 2 Systeme in unserem
Gehirn. Das erste System arbeitet schnell
-
und intuitiv und automatisch. Also
Standardhandlungsabläufe. Ihr müsst nicht
-
nachdenken, wenn ihr zuhause aus der Tür
geht und die Wohnung abschließt. Das
-
passiert einfach. Da werden keine
Ressourcen des Gehirns drauf verwendet,
-
jetzt nachzudenken: Dreht man den
Schlüssel rechts-, linksrum – ist das
-
überhaupt der richtige oder so, ne?
Eigentlich sehr faszinierend. Ich habe
-
einen relativ großen Schlüsselbund und ich
bin echt fasziniert, wie es meinem Gehirn
-
gelingt, ohne dass ich darüber nachdenke,
den richtigen Schlüssel einfach aus der
-
Tasche zu ziehen. Das ist System 1. Und
das ist aktiv, primär bei Angst. Wenn wir
-
also schnell handeln müssen – Fluchtreflex
und solche Dinge. Oder bei Langeweile,
-
wenn wir wie immer handeln müssen. Und
genau diese ganzen Phishingszenarien
-
zielen auf eine dieser beiden Sachen ab:
Entweder uns ganz viel Angst zu machen
-
oder einen Ablauf, den wir antrainiert
haben und aus Langeweile automatisiert
-
durchführen, auszulösen. Demgegenüber
steht das System 2: Das ist langsam,
-
analytisch und dominiert von Vernunft. Und
ja. Die Angreifer nutzen natürlich
-
Situationen, in denen sie auf System 1
setzen können. Warum ist das ein Problem?
-
Wenn wir Leuten versuchen, zu erklären,
wie sie sich gegen solche Angriffe
-
schützen sollen – guckt darauf, achtet
darauf und so weiter –, dann erklären wir
-
das System 2. Und System 2 versteht das
auch, genau wie ich verstanden habe, dass
-
ich eigentlich nicht auf irgendwelche
PayPal-Scams klicken soll. Aber wenn ich
-
gelangweilt vorm Computer sitze und
überlege, wo ich als nächstes hinklicken
-
soll, dann suche ich mir halt den nächsten
großen Button und klicke da drauf.
-
Organisationspsychologie finde ich das
eigentlich sehr viel interessanter. Warum
-
kümmert sich eigentlich niemand um dieses
Problem, ja? Wir begnügen uns damit,
-
unseren IT-Perimeter zu haben, wir bauen
da eine Schranke drum. Bauen eine Firewall
-
hier und haste noch gesehen, hier noch
irgendein Snake-Oil und so. Und der
-
technische Angriff ist eigentlich ziemlich
schwierig, ja? Wenige Menschen können
-
technische Angriffe durchführen. Und unser
Schutz dagegen ist enorm gut. Wir haben
-
granular definierte Reife. Wir können
messen: wenn du irgendwie dieses oder
-
jenes Checkmark nicht hast, bist du
schlecht oder so, ne? Und dann sitzen an
-
dem Computer Administratoren und
Angestellte und arbeiten mit diesen Daten.
-
Und die schützen wir irgendwie nicht. Wir
machen uns auch gar keine Gedanken
-
darüber, die mal zu härten oder zu pen-
testen. Dabei ist der Angriff über Social
-
Engineering viel einfacher und einen
Schutz haben wir dem aber nicht gegenüber.
-
Und jetzt tritt der ganz normale Prozess
des Risikomanagements ein. Und der sieht
-
ungefähr so aus: Das Risiko wird
wahrgenommen, das Risiko wird analysiert
-
und in diesem Fall wird das Risiko dann
eben ignoriert. Und so sitzen wir jetzt
-
seit 20 Jahren da, uns fliegt ein Makro
nach dem anderen um die Ohren. Die – wie
-
heißt diese Uni da? War das jetzt
Göttingen oder Gießen?
-
Rufe aus dem Publikum
Göttingen kommt auch noch dran, keine
-
Sorge. Und wenn diese Risiken gemanaget
werden, dann muss man sehen: „Management
-
bedeutet, die Verantwortung zu tragen und
deshalb alles dafür tun zu müssen, nicht
-
zur Verantwortung gezogen zu werden.“ Und
eben auch nicht mehr als das zu tun.
-
Applaus
Das heißt, wir versuchen also die Probleme
-
zu lösen, die wir können und die anderen –
was kann ich dafür, wenn der Nutzer falsch
-
klickt? Wohin uns das gebracht hat, können
wir jetzt eben bei den verschiedenen
-
Unternehmen beobachten. Deswegem habe ich
mir gedacht: OK. Wie kann man dieses
-
Problem denn mal lösen? Welche
Gegenmaßnahmen sind wie wirksam? Also was
-
funktioniert, um Menschen das abzugewöhnen
oder die Wahrscheinlichkeit zu verringern,
-
dass sie auf solche Sachen draufklicken?
Und welche UI-/UX-Faktoren machen weniger
-
verwundbar? Weil es gibt ja quasi immer
die gleichen Prozesse, die ausgenutzt
-
werden. Und auf der anderen Seite die
Optimierungsdimensionen. Einmal die
-
Resistenz: Nicht zu klicken. Und dann in
so einem Unternehmenskontext halt: Du
-
musst es melden. Du musst der IT Bescheid
sagen, damit die irgendwelche
-
Gegenmaßnahmen ergreifen kann. Ich zeige
euch jetzt mal die Ergebnisse von 2
-
Beispielstudien, die wir in dem Bereich
durchgeführt haben. Ich bin sehr bemüht,
-
die so anonymisiert zu haben, also sollte
hoffentlich nirgendwo mehr erkennbar sein,
-
mit welchem Unternehmen das war. Das erste
war in Asien. Da haben wir das mit 30.000
-
Personen gemacht. 4 Phishingdurchläufe und
es gab so ein Lernvideo, in dem das auch
-
noch mal erklärt wurde. Und wir haben
erfasst, wie oft das dann zum Beispiel der
-
IT gemeldet wurde, dass dieser Angriff
stattgefunden hat. Und wir haben erfasst,
-
wie oft die Leute auf diese Phsihingnummer
reingefallen sind. Und was wir dort
-
eigentlich herausfinden wollten war: Es
ging eigentlich darum, wie wir in diesem
-
Unternehmen regelmäßig die Menschen
trainieren, dass sie nicht auf solche
-
Sachen draufklicken. Also haben wir uns so
einen Versuchsplan gebaut und haben
-
gesagt: OK, welche
Kommunikationsmöglichkeiten haben wir? Ja
-
gut, wir können denen E-Mailer schicken.
Also Spam vom eigenen Unternehmen. Wir
-
können Poster in den Flur hängen. Wir
können beides machen, wir können nichts
-
machen. Wir können außerdem den Leuten so
ein Online-Quiz anbieten und die danach
-
ein Quiz machen lassen. Auch da konnten
wir den Online-Quiz einmal mit einem Text
-
und einmal mit einem Video – meine
Hypothese war: das Video bringt es den
-
Leuten wahrscheinlich besser bei. Und dann
haben wir quasi, weil wir genug Leute
-
hatten, eben das alles quasi vollständig
permutiert, sodass wir alle Effekte
-
einzeln messen konnten und nachher die
Gruppen vergleichen konnten. Dann haben
-
wir sie einmal gephisht und in dem
Phishing gab es dann nachher eine
-
Aufklärung. Also wenn die ihr Passwort
eingegeben hatten, kam entweder ein Text,
-
der ihnen gesagt hat: Ey, das war jetzt
gerade schlecht. Oder ein Video, was ihnen
-
erklärt hat: Das war gerade schlecht. Oder
beides: Text und darunter ein Video oder
-
umgekehrt. Und dann haben wir noch mal ein
Phishing gemacht. Und jetzt werde ich grün
-
markieren die Dinge, die tatsächlich einen
Effekt hatten. Alles was vorne stand,
-
E-Mailer, alles was man den Leuten
erklärt. Alles was System 2 anspricht, hat
-
überhaupt keinen Effekt gehabt. Ihr
könntet die Leute irgendwelche Quize
-
ausführen lassen und Onlinekurse wie sie
wollen. Verdienen einige Unternehmen auch
-
gutes Geld mit. Hat aber keinen Effekt.
Was einen Effekt hatte war: Ob die
-
gephisht wurden oder nicht und es war
etwas besser, wenn sie ein Video dazu
-
gesehen haben. Und das ist genau deshalb,
weil: Wenn sie tatsächlich gephisht
-
werden, dann haben sie eine Lernerfahrung,
wenn System 2 aktiv ist. Ja? Das Video war
-
so ein rotes Blinken: Achtung, Gefahr, du
hast etwas falsch gemacht. Ich will noch
-
kurz zu dem Ergebnis kommen bei der ersten
Erfassung: Wir haben zunächst eine
-
Erfolgsrate von 35% gehabt. 55% haben die
E-Mails ignoriert und 10% haben auf der
-
Phishingseite abgebrochen. Also sie haben
vielleicht noch mal irgendwie; sind noch
-
mal zur Besinnung gekommen oder so. Und
mein damaliger Kollege meinte: Ey, das
-
kann irgendwie gar nicht sein. So, da muss
viel mehr gehen. So schlau sind die doch
-
nicht, ne? Gucken wir mal, ob die die
E-Mails überhaupt geöffnet haben. Also
-
gelsen haben. Wir hatten nämlich ein
kleines Zählpixelchen in der E-Mail und
-
ich konnte quasi feststellen, ob die die
E-Mail überhaupt geöffnet haben. Wenn wir
-
die Zahl korrigiert haben und diejenigen
rausgenommen haben, die die E-Mail nie zu
-
Gesicht bekommen haben, war die
Erfolgswahrscheinlichkeit 55%.
-
Raunen und kurzer Applaus
Wir hatten dann noch ein weiteres Problem
-
an der Backe. Weil, wir hatten jetzt an
30.000 Leute eine E-Mail geschrieben und
-
als Absender angegeben, wir wären der IT-
Support.
-
Gelächter
Es gibt darauf verschiedene Reaktionen.
-
Erstmal haben wir relativ viele E-Mails
bekommen, wo die Leute sagten: Ich will ja
-
mein Passwort ändern, aber da kommt immer
dieses Video!
-
Gelächter
Applaus
-
Und dann hatten wir Leute, die noch Monate
später der unsäglichen Praxis nachhingen,
-
wenn sie jemandem eine E-Mail schreiben
wollen, dass sie einfach suchen, wann sie
-
das letzte mal von dem eine E-Mail
bekommen haben und auf den Thread
-
antworten. Das heißt, wir waren das
nächste halbe Jahr damit beschäftigt, IT-
-
Support zu machen.
Gelächter
-
Applaus
OK, Ergebnis zusammengefasst: Diese ganzen
-
Awarenessmaßnahmen hatten keinen praktisch
relevanten Effekt. Die Selbsterfahrung
-
hatte einen starken Lerneffekt. Und der
ging teilweise sogar über das Erwartbare
-
hinaus. Leider aber sind die Lerneffekte
sehr spezifisch. Das heißt, die Leute
-
lernen, wenn eine Passwort-Reset-E-Mail
kommt, darf ich da nicht draufklicken.
-
Wenn du denen aber danach schickst: Gib
mal deine Kreditkartennummer an, sagen
-
die: Na klar. Gar kein Problem!
Gelächter
-
Und auch das Szenario, ja? Wir haben da
nachher noch andere Social-Engineering-
-
Maßnahmen gemacht und es gab jetzt keine
abfärbenden Effekt von – Du hast mit denen
-
Phishing bis zum Erbrechen geübt –, dass
die jetzt irgendwie bei USB-Sticks
-
irgendwie vorsichtiger wären oder so. Das
heißt, das ist relativ unschön. Außerdem
-
sind die Effekte nicht stabil. Das heißt,
du hast einen Lerneffekt so in den ersten
-
3 Monaten und dann nimmt der wieder ab.
Das heißt: Nach einiger Zeit, wenn du das
-
nach einem Jahr wieder machst, hast du
genau wieder deine 33-55%, die du vorher
-
hattest. Also wir können dieses Problem
irgendwie versuchen, niedrig zu halten,
-
aber auf diesem Weg nicht aus der Welt
schaffen. So dachte ich. Bis ich dann
-
meine 2. Beispielstudie gemacht habe, die
ich euch hier vorstellen möchte. Die war
-
international in mehreren Sprachen –
Englisch, Deutsch, Spanisch und 2 weiteren
-
Sprachen –, 2000 Zielpersonen, 4
Durchläufe, Video war ein bisschen länger.
-
Und das erste Ergebnis war; Ich habe
erfasst, quasi, wenn die Leute gemeldet
-
haben und die IT dann reagiert hätte, wie
viele erfolgreiche Angriffe danach hätten
-
verhindert werden können. Und das
interessante ist, dass bei den meisten
-
Standorten fast über 3/4 der weiteren
Angriffe, die danach noch passiert sind,
-
hätten verhindert werden können durch eine
schnelle Meldung. Das heißt, es ist gut
-
für eine IT, ihre Leute zu ermutigen, sich
bei ihr zu melden und irgendwie Bescheid
-
zu geben. Das andere Ergebnis bei diesen
Leuten war: Beim ersten Durchlauf hatten
-
die eine Phishingerfolgsrate von 10%. Und
ich war etwas ungläubig und habe mich
-
gefragt: Wie kann das denn sein? Ich hatte
auch vorher eine bisschen große Fresse
-
gehabt. Und jetzt habe ich gesagt: 30%
mache ich euch locker, gar kein Thema! Und
-
dann sind’s jetzt irgendwie 10% da. Und
die sagten dann halt auch irgendwie: „Ja,
-
wolltest du nicht mehr?“ Tja, was haben
die gemacht? Die hatten 2 Dinge anders als
-
viele andere Unternehmen. Erstens: Die
hatten ihre E-Mails mit so einem kleinen
-
Hinweis versehen, der in den Subject
reingeschrieben wurde bei eingehenden
-
E-Mails, dass die E-Mails von extern
kommt. Und das andere, was in diesem
-
Unternehmen anders war, ist: Die haben
ihren Passwortwechsel nicht über das Web
-
abgeildet. Das heißt: Die Situation, in
die ich die Menschen da gebracht habe –
-
Ey, hier ist eine Webseite, gib mal dein
Passwort ein –, die waren die nicht
-
gewöhnt. Und deswegen sind die aus dem
Tritt gekommen, haben auf einmal mit ihrem
-
System 2 arbeiten müssen und haben den
Fehler nicht gemacht. Wenn wir uns die
-
Ergebnisse weiter anschauen; ich hatte ja
gesagt, es waren 4 Durchläufe. Der 2. und
-
der 4. Durchlauf waren jeweils nur mit
denen, die in dem davorgegangenen
-
Durchlauf quasi gephisht wurden. Das
heißt, wir haben denen noch mal so eine
-
Härteauffrischung gegeben. Man sieht auch,
da gibt’s einige sehr renitente Phish-
-
Klicker. Wir haben dann mal unter
kompletter Missachtung sämtlicher
-
datenschutzrechtlichen Vereinbarungen
geguckt, wer das war. Und das waren die
-
Funktionsaccounts. Also einfach die, wo
das Passwort eh, wo es quasi zum Job
-
gehört, mit einem Post-It das neue
Passwort an den Bildschirm zu kleben. Das
-
interessante ist: Wenn wir uns dieses
Ergebnis anschauen, also vom 1. zum 2.
-
Durchlauf und so weiter, haben wir
insgesamt einen Rückgang um 33% erzielt.
-
Ähh, Tschuldigung, ist falsch! Um 66%, ich
Idiot! 66%. 33% blieben über. Also ein
-
Rückgang auf 33%. Das ist eigentlich enorm
gut! In der Psychologie glaubt mir das
-
eigentlich kaum jemand, wenn man sagt, ich
habe eine Intervention; nach einmaliger
-
Intervention Verhaltensänderung bei 2/3
der Leute. Wenn wir uns das für die
-
Sicherheit unseres Unternehmens anschauen
oder unserer Organisation, ist das ein
-
riesiges Desaster, weil die 33% sind ja
immer noch ein riesiges Problem für uns.
-
Aber, Zusammenfassung: Durch diesen
lokalen Passwortwechsel und den Hinweis
-
„External“ sind die Leute in ungewohnte
Situationen gekommen und die
-
Wahrscheinlichkeit, dass sie darauf
reinfallen, geht runter.
-
Applaus
So, also was haben wir bis jetzt gelernt?
-
Das theoretische Lernen ist ohne Effekt.
Es zählt die Erfahrung aus erster Hand. Es
-
gibt abstrakte Verteidigungskonzepte, die
verstehen die Leute nun mal einfach nicht.
-
Bisher ist alles, was wir dafür haben,
eine anschauliche Didaktik. Die
-
Lerneffekte nehmen mit der Zeit ab,
deswegen muss man das regelmäßig
-
wiederholen. Die Lerneffekte werden nicht
generalisiert, also müssen wir die
-
Angriffsszenarien variieren. Und wenn die
Leute das nicht melden, haben wir ein
-
Problem, deswegen müssen wir sie außerdem
ermutigen und belohnen, wenn sie bei der
-
IT anrufen. Für die meisten Organisationen
auch eine völlig absurde Idee, wenn jemand
-
bei ihnen anruft, auch noch nett zu denen
zu sein.
-
Kurzes Lachen
Hat aber durchaus Effekt. So. Wenn wir uns
-
jetzt aber mal diese Situation anschauen,
dann ist doch eigentlich unser Ziel zu
-
sagen: OK, dann müssen wir Situationen
unserer IT-Systeme so bauen, dass sie dafür
-
nicht anfällig sind, dass wir irgendwelche
automatisierten Prozesse lernen, die
-
Sicherheitsprozesse sind. Also vielleicht
sollte das User Interface nicht so sein
-
wie diese frische Installationen von macOS
Catalina. Sondern anders. Denn: Wir können
-
uns nicht auf System 2 verlassen, aber die
meisten Schutzmaßnahmen tun genau das.
-
Also Microsoft Word erklärt einem
irgendwas und sagt dann: „Ja, ist doch
-
dein Problem, wenn du nicht verstehst,
wovon wir hier reden. Den Rest, der hier
-
passiert, um dich herum an diesem
Computer, verstehst du auch nicht. Hier
-
hast du einen Knopf, drück drauf!“
Kurzes Gelächter
-
Ne? So können wir nicht 20 Jahre agieren
und sagen, wir kriegen das Problem nicht
-
in den Griff. Es gibt eine Möglichkeit
übrigens, dieses Problem mit Microsoft
-
Word in den Griff zu kriegen und das ist:
Makros zu deaktivieren. Dann kommt der
-
Geschäftsbetrieb zum Erliegen. Oder Makros
zu signieren. Ganz einfaches Code-Signing
-
auf Makros geht, kann man per AD-
Gruppenrichtlinie ausrollen. Ich habe mal
-
mit einem IT-Sicherheitsbeauftragten eines
etwas größeren Unternehmen gesprochen. Das
-
war eines der wenigen Unternehmen, die das
jemals gemacht haben. Also die ich kenne,
-
die das jemals gemacht haben. Der meinte
so: „Ja, okay, hat ein Jahr gedauert. Ich
-
habe jetzt weiße Haare und eine
Halbglatze. Aber ich bin froh, dass ich
-
das Problem jetzt endlich aus der Welt
habe!“ Und das ist der einzige Mensch, der
-
das geschafft hat. In seinem Unternehmen
verhasst, ja? Aber er ist eigentlich ein
-
Held! Dem Mann muss man echt danken!
Johlen; Applaus
-
Und was wir also machen müssen ist: Wir
müssen unser System 1 sichern. Intuitive
-
Handlungen müssen als Teil der
Sicherheitsmechanismen antizipiert werden.
-
Also wir dürfen den Nutzern nicht
angewöhnen, Passwörter in irgendwelche
-
Browserfenster zu tippen. Wir dürfen
Sicherheitsprozesse nicht per Mail oder
-
per Browser abbilden. Und wir können uns
auch mal überlegen, ob wir die freie Wahl
-
von Passwörtern vielleicht einfach
unterbinden, damit nicht überall
-
passwort123 gesetzt wird. Es wird langsam
besser. So, man kann Makros signieren und
-
deaktivieren. Man kann Software langsam
einschränken auf aus vertrauenswürdigen
-
Quellen, also aus den App Stores. Ich
weiß, da gibt es dann wieder andere
-
politische Probleme. Aber aus einer reinen
Sicherheitsperspektive ist das gut, wenn
-
Leute nicht irgendwelche runtergeladenen
EXEn aus dem Internet irgendwie anklicken
-
und irgendwelche Makros ausführen. Und mit
Fido2 und hardwarebasierten
-
Authentisierungsmechanismen wird es
langsam besser. 2-Faktor-Authentisierung
-
hat einen großen Vormarsch. Also, die Welt
ist nicht ganz so schlecht wie wir es
-
glauben, aber ich würde mir sehr wünschen,
dass wir mit unseren
-
Sicherheitsmechanismen einfach viel mehr
auf die Intuititivät setzen, denn wenn wir
-
uns mal irgendwie anschauen, wie diese
Browserwarnungen, irgendwie „Achtung, mit
-
dem Zertifikat stimmt was nicht“, ungefähr
so, die hat glaube ich, bis sie dann
-
irgendwann weg waren, weil Let’s Encrypt
gekommen ist und es einfach mal
-
vernünftige Zertifikate gab, die hat auch
niemand verstanden. Und entsprechend haben
-
wir hier auch quasi ein wunderschönes SSL
gehabt, was am Ende daran gescheitert ist,
-
dass wir scheiß User Interfaces dafür
hatten. Inzwischen ist es so, dass Browser
-
die Verbindung einfach nicht herstellen.
Auch das ist ein Zugewinn! Joa. Ich habe
-
schon überzogen, das war’s. Macht bitte
eure Backups, wechselt überall eure
-
Passwörter. Ich schicke euch dazu nachher
noch mal eine E-Mail und vielen Dank.
-
Gelächter
-
Applaus
-
Engel: So. Das war doch in gewohnter
Manier unterhaltsam. Und ich frage mich,
-
wenn Linus’ Zahnarzt jetzt einen
Passwortmanager benutzt: Benutzt Linus
-
jetzt zweimal täglich Zahnseide?
Linus: Ich habe mir gerade noch die Zähne
-
geseilt! Habe ich tatsächlich!
Engel: Also, macht immer schön eure
-
Backups und benutzt Zahnseide!
-
Abspannmusik
-
Untertitel erstellt von c3subtitles.de
im Jahr 20??. Mach mit und hilf uns!
