1 00:00:00,000 --> 00:00:18,580 *36C3 Vorspannmusik* 2 00:00:18,580 --> 00:00:21,690 Engel: Guten Morgen, Linus! Linus Neumann: Guten Morgen, Sebastian! 3 00:00:21,690 --> 00:00:28,260 *Applaus* 4 00:00:28,260 --> 00:00:32,510 Ja, es freut mich, dass ihr so zahlreich erschienen seid und auf diesen 5 00:00:32,510 --> 00:00:36,390 reißerischen Titel reingefallen seid! Ich möchte ein bisschen über menschliche 6 00:00:36,390 --> 00:00:40,210 Faktoren der IT-Sicherheit sprech und habe mich für den Titel „Hirne hacken“ 7 00:00:40,210 --> 00:00:45,980 entschieden. Der Hintergrund ist, dass wenn man irgendwie von Hackern spricht, 8 00:00:45,980 --> 00:00:49,080 sehr häufig so ein bisschen dieser Nimbus gilt, dass es irgendwie so Halbgötter in 9 00:00:49,080 --> 00:00:52,399 schwarz sind. Man weiß nicht so genau was die machen, aber die kommen irgendwie da 10 00:00:52,399 --> 00:00:56,690 rein und diese Hacker, die sind in meinem Gerät drin und ich weiß auch nicht genau, 11 00:00:56,690 --> 00:01:01,180 was die von mir wollen und wie die das gemacht haben. Und die Realität da draußen 12 00:01:01,180 --> 00:01:06,229 ist eigentlich sehr anders als die meisten Leute sich das vorstellen. Ich vertrete 13 00:01:06,229 --> 00:01:12,969 die These, dass eigentlich jedes praktisch relevante Problem der IT-Sicherheit 14 00:01:12,969 --> 00:01:18,479 theoretisch gelöst wurde. Also wir haben jetzt keine … uns fehlt nicht das Wissen, 15 00:01:18,479 --> 00:01:23,119 wie wir eine bestimmte Lösung in der IT- Sicherheit machen müssen, aber wir kriegen 16 00:01:23,119 --> 00:01:26,419 es irgendwie nicht hin. Denn obwohl wir alles theoretisch gelöst haben, ist die 17 00:01:26,419 --> 00:01:31,780 praktische IT-Sicherheit ein einziges Desaster. Und das liegt wahrscheinlich 18 00:01:31,780 --> 00:01:36,650 daran, dass wir uns irgendwie so spannende IT-Sicherheitsmechanismen aufbauen und die 19 00:01:36,650 --> 00:01:40,901 prüfen wir dann. Ne, da sieht man hier so einen schönen Pfahl und der hält jetzt 20 00:01:40,901 --> 00:01:44,011 irgendwie ein Tier gefangen und wenn man sich das in der Realität anschaut, sieht’s 21 00:01:44,011 --> 00:01:51,221 eher so aus. *unverständliche Sprache des Herrn im Video* 22 00:01:51,221 --> 00:01:55,309 *jemand im Video singt zum Lied „Einzug der Gladiatoren“ einen etwas anderen Text, 23 00:01:55,309 --> 00:01:59,659 der Circus beinhaltet* Linus: Das ist jetzt ’ne kleine Bedrohung 24 00:01:59,659 --> 00:02:04,219 und irgendwie stellen wir uns vor, dass das bei den großen Bedrohungen anders 25 00:02:04,219 --> 00:02:10,560 wäre. Schauen wir uns an: Wir lesen irgendwie überall von Emotet überall. 26 00:02:10,560 --> 00:02:15,160 Hacker komprimitieren Computer, verschlüsseln alle Dateien, fordern dann 27 00:02:15,160 --> 00:02:19,840 hohes Lösegeld und Heise haben sehr viel darüber berichtet, bis es sie dann selber 28 00:02:19,840 --> 00:02:25,000 erwischt hat. Das heißt, auch die, die es wirklich wissen und wissen müssen und 29 00:02:25,000 --> 00:02:28,350 können müssten, sind irgendwie nicht davor gefeit und das finde ich eigentlich 30 00:02:28,350 --> 00:02:31,340 ziemlich interessant. Und wenn wir uns mal anschauen, was in der IT- 31 00:02:31,340 --> 00:02:35,530 Sicherheitsforschung abgeht, auch hier auf dem Kongress, deswegen habe ich den 32 00:02:35,530 --> 00:02:39,370 Vortrag auch hier eingereicht, so die Forschung muss immer echt Avantgarde sein. 33 00:02:39,370 --> 00:02:43,280 Das ist irgendwie großen Applaus und Voodoo, und hier noch ein Exploit und 34 00:02:43,280 --> 00:02:48,070 haste alles nicht gesehen und Remote Code Execution, während die Realität 35 00:02:48,070 --> 00:02:52,600 demgegenüber, also so wie jetzt tatsächliches Cyber da draußen geht, ist 36 00:02:52,600 --> 00:02:58,341 ungefähr eher so. Bin ich schon drin oder was? Das heißt, wir leben eigentlich, weil 37 00:02:58,341 --> 00:03:02,000 wir das auch als Nerds und Hacker irgendwie interessant finden, in irgendwie 38 00:03:02,000 --> 00:03:07,780 dieser Welt, während das was da draußen wirklich an Kriminalität stattfindet, eher 39 00:03:07,780 --> 00:03:15,160 so Hütchenspiel ist. Und dieses Hütchenspielproblem lösen wir aber nicht. 40 00:03:15,160 --> 00:03:18,730 Und ich glaube, dass das sehr unsinnig ist, sehr schlecht ist, dass wir uns um 41 00:03:18,730 --> 00:03:22,370 die Problemfelder, die eigentlich ganz prävalent sind, die überall beobachtet 42 00:03:22,370 --> 00:03:26,870 werden – selbst im Heise-Verlag –, dass wir uns um die eigentlich nicht kümmern. 43 00:03:26,870 --> 00:03:31,230 Und da machen wir eigentlich seit Jahren keinen Fortschritt. Ich möchte ein 44 00:03:31,230 --> 00:03:34,410 bisschen über einfache Scams reden, ein bisschen über Passwortprobleme, ein 45 00:03:34,410 --> 00:03:40,970 bisschen über Schadsoftware. Ein Scam, der uns auch im CCC sehr amüsiert hat, ist der 46 00:03:40,970 --> 00:03:45,820 Scam, der Chaos-Hacking-Gruppe. Die Chaos- Hacking-Gruppe verschickt E-Mails und sagt 47 00:03:45,820 --> 00:03:49,700 den Leuten: Ja, also ich hab irgendwie dein System mit einem Trojaner infiziert 48 00:03:49,700 --> 00:03:56,140 und wir sind uns Ihrer intimen Abenteuer im Internet bewusst. Wir wissen, dass Sie 49 00:03:56,140 --> 00:04:00,750 Websites für Erwachsene lieben und wir wissen über Ihre Sexsucht Bescheid. Und 50 00:04:00,750 --> 00:04:04,710 versuchen dann von den Leuten irgendwie Geld zu erpressen. Geben Bitcoin-Wallet an 51 00:04:04,710 --> 00:04:09,340 und, ja, versuchen halt irgendwie, die Leute zu erpressen. Interessanterweise 52 00:04:09,340 --> 00:04:13,360 gibt es Leute, die sich dann darüber echt Gedanken machen. Die bestreiten aber 53 00:04:13,360 --> 00:04:18,500 immer, dass das … Also das kann eigentlich sein, was die da sagen, ne? Wer geübt ist 54 00:04:18,500 --> 00:04:22,100 im Erpressen weiß natürlich: Solang die kein Beweismittel liefern, zahlen wir 55 00:04:22,100 --> 00:04:27,930 erstmal nicht. Wenn die Leute dann aber so mit dieser Art und Weise versucht werden, 56 00:04:27,930 --> 00:04:33,330 betrogen zu werden und das googlen, dann kommen sie direkt an den Nächsten. Wenn 57 00:04:33,330 --> 00:04:36,830 man jetzt die Chaos-CC-Gruppe googelt, dann wird einem auf irgendwelchen 58 00:04:36,830 --> 00:04:40,410 Webseiten klargemacht, dass es sich um einen Trojaner handeln würde und man jetzt 59 00:04:40,410 --> 00:04:47,180 irgendsoeine nächste Schadsoftware runterladen soll. Also quasi wie man 60 00:04:47,180 --> 00:04:52,470 diesen Schaden wieder entfernt. Das heißt, die Leute kommen hier echt vom Regen in 61 00:04:52,470 --> 00:04:57,120 die Traufe: Haha, ich wusste, du willst gerne verarscht werden; hier habe ich noch 62 00:04:57,120 --> 00:05:03,540 ein bisschen Snake-Oil für dich. Das heißt, die Welt da draußen, für unsere 63 00:05:03,540 --> 00:05:07,220 ungeübten Nutzerinnen und Nutzer ist relativ gefährlich. Schauen wir uns mal 64 00:05:07,220 --> 00:05:11,900 an, wie das bei den Geübten aussieht: Die Linux-Kernelmailingliste ist vielleicht 65 00:05:11,900 --> 00:05:16,950 einigen von euch ein Begriff. Da ist auch vor kurzem mal so eine E-Mail eingegangen. 66 00:05:16,950 --> 00:05:22,570 Am 31. Oktober 2018, ist schon etwas her. Da wurde sogar das Passwort angegeben, ja, 67 00:05:22,570 --> 00:05:25,090 das ist also so das nächste Level von diesem Scam: Du schreibst einfach 68 00:05:25,090 --> 00:05:28,400 irgendsoeinen Passwort-Leak noch mit rein, die Leute kriegen dann Herzrasen, weil ihr 69 00:05:28,400 --> 00:05:35,350 Passwort in der E-Mail steht und auch hier wollte jemand eben Bitcoins haben, unter 70 00:05:35,350 --> 00:05:38,810 anderem von den Linux-Kernel-Entwicklern. Bitcoin ist ja ganz schön: Man kann ja in 71 00:05:38,810 --> 00:05:42,180 die Blockchain schauen und sehen, wieviel die Linux-Kernel-Entwickler da so bezahlt 72 00:05:42,180 --> 00:05:47,970 haben. In dem Wallet befinden sich 2,98 Bitcoin. Das sind vor ein paar Tagen noch 73 00:05:47,970 --> 00:05:51,410 ungefähr 19000€ gewesen, also soll noch mal einer sagen, mit Linux könnte man 74 00:05:51,410 --> 00:05:54,480 keinen Profit machen. *Gelächter* 75 00:05:54,480 --> 00:06:01,401 *Applaus* Die E-Mail ging natürlich auch noch an 76 00:06:01,401 --> 00:06:05,520 sehr viele weitere außer der Linux- Kernelliste, aber ich denke, man sieht 77 00:06:05,520 --> 00:06:08,500 hier, man fragt sich eigentlich: Warum machen wir eigentlich den Quatsch, den wir 78 00:06:08,500 --> 00:06:11,120 machen, wenn wir so einfach uns Geld überweisen lassen können mit ein paar 79 00:06:11,120 --> 00:06:17,140 Spam-Mails?! Geht aber noch weiter: Geld überweisen, Klassiker. Der CEO-Fraud. 80 00:06:17,140 --> 00:06:22,310 Großes Team auch – ist eines der großen Szenarien, dem irgendwie mittelständische 81 00:06:22,310 --> 00:06:26,240 Unternehmen, größere Unternehmen ausgesetzt sind. Kriegst eine E-Mail, wo 82 00:06:26,240 --> 00:06:30,340 dann irgendwie geagt wird: Ey, wir müssen jetzt mal hier die Rechnung bezahlen. Wir 83 00:06:30,340 --> 00:06:33,940 müssen das heute erledigen. Meistens sind das dann, also in der einen Schiene sind 84 00:06:33,940 --> 00:06:37,020 das dann eher so geringe Beträge, die jetzt vielleicht auch einfach mal 85 00:06:37,020 --> 00:06:42,889 durchgehen. Geht aber natürlich auch in einer Nummer schärfer. Alles schon 86 00:06:42,889 --> 00:06:49,050 tatsächlich sehr häufig passiert, dass also so eine Geschichte gemacht wird: Ja, 87 00:06:49,050 --> 00:06:53,040 der große Deal mit den Chinesen steht irgendwie kurz bevor und du darfst jetzt 88 00:06:53,040 --> 00:06:57,150 mit niemandem darüber sprechen, aber du musst jetzt mal ganz kurz 2 Mio. auf die 89 00:06:57,150 --> 00:07:01,260 Seychellen überweisen. Und dann machen die Leute das und diese E-Mails arbeiten 90 00:07:01,260 --> 00:07:05,650 einfach so ein bisschen mit Autorität, Vertrauen, Eile und Druck und leiten 91 00:07:05,650 --> 00:07:11,949 Menschen an, dann das zu tun, was sie eigentlich nicht tun sollten. Das ist auf 92 00:07:11,949 --> 00:07:15,250 Anhieb erstmal vielleicht halbwegs witzig, wenn man aber mal mit so einem Menschen 93 00:07:15,250 --> 00:07:19,240 spricht, dem das passiert ist, die haben danach echt schwere Krisen, weil sie 94 00:07:19,240 --> 00:07:22,470 natürlich wissen, dass das nicht besonders klug war und auch recht schädlich für das 95 00:07:22,470 --> 00:07:28,200 Unternehmen und das ist eigentlich dann gar nicht mehr so unterhaltsam. Kommen wir 96 00:07:28,200 --> 00:07:34,740 zurück zu unterhaltsamen Sachen: Der Authentisierung. Eine Sache, die vielen 97 00:07:34,740 --> 00:07:38,680 Menschen Probleme bereitet, ist ihr Passwort und das Problem ist, dass sie 98 00:07:38,680 --> 00:07:43,340 eben auch nur eines haben und dieses sich dann in solchen Sammlungen wie Collection 99 00:07:43,340 --> 00:07:48,830 #1-#5 befindet, die ihr natürlich auch – wir alle haben die ja immer dabei und 100 00:07:48,830 --> 00:07:55,410 können dort die Passwört nachschlagen, zum Beispiel: 23bonobo42, Tim Pritlove; weiß 101 00:07:55,410 --> 00:08:03,490 jeder. Das schöne ist an diesen Listen: Auch wir, die Ahnung davon haben sollten, 102 00:08:03,490 --> 00:08:06,910 sind da drin. Wenn man meine E-Mail- Adresse bei haveibeenpwned eingibt – einer 103 00:08:06,910 --> 00:08:11,130 Webseite, wo man checken kann, ob eine E-Mail-Adresse in Leaks vorhanden ist, 104 00:08:11,130 --> 00:08:15,990 findet man das auch bei mir. So. Kommen später dazu, wie das vielleicht passiert 105 00:08:15,990 --> 00:08:22,470 sein könnte. Die Sache, die mich daran so ärgert, ist dass wir eigentlich seit es 106 00:08:22,470 --> 00:08:26,080 Computer gibt, dieses Passwortproblem nie so richtig angegangen sind. Wir sagen den 107 00:08:26,080 --> 00:08:30,009 Leuten eigentlich: OK, dein Passwort darf nicht zu erraten sein, am besten zufällig, 108 00:08:30,009 --> 00:08:33,950 ohne jegliches System. Es soll so lang wie möglich sein, am besten nicht nur ein 109 00:08:33,950 --> 00:08:40,089 Wort. Und es muss überall unterschiedlich sein. Und kein Mensch tut das. Ja, wenn 110 00:08:40,089 --> 00:08:44,250 man irgendwie … war letztens beim Zahnarzt. Wenn man mit dem redet, der sagt 111 00:08:44,250 --> 00:08:47,389 einem auch jedes mal: Ja, du musst aber morgens, mittags, abends Zahnseide, haste 112 00:08:47,389 --> 00:08:51,390 nicht gesehen. Jaja, genau, mach du erstmal überall andere Passwört und dann 113 00:08:51,390 --> 00:08:55,214 können wir weiterreden, ne? *Gelächter* 114 00:08:55,214 --> 00:09:02,710 *Applaus* Und ja, das habe ich gemacht so irgendwann 115 00:09:02,710 --> 00:09:06,080 habe ich das vor ein paar Jahren auch tatsächlich getan. Ich benutze jetzt einen 116 00:09:06,080 --> 00:09:09,840 Passwortmanager. Wissen wir alle, dass das klug und gut ist. Aber ich renne 117 00:09:09,840 --> 00:09:12,550 eigentlich seit vielen Jahren um die Welt, erkläre den Leuten von diesen 118 00:09:12,550 --> 00:09:15,960 Passwortmanagern. Und die Reaktion ist immer die gleiche: The fuck?! So … Das 119 00:09:15,960 --> 00:09:20,420 will ich nicht haben. Ja, und wir haben einfach in dieser Welt nie mehr 120 00:09:20,420 --> 00:09:23,800 hingekriegt als den Leuten zu sagen: Benutzt doch einen Passwortmanager. Und 121 00:09:23,800 --> 00:09:27,499 dann fragen sie immer: Welchen? Und dann sage ich immer: Ich empfehle keinen. 122 00:09:27,499 --> 00:09:32,200 *Gelächter* Frage ist: Wie kommen die Leute eigentlich 123 00:09:32,200 --> 00:09:36,360 an diese ganzen Passwörter? Klar: Die machen entweder irgendwelche Services auf 124 00:09:36,360 --> 00:09:39,230 und holen die Passwört dann aus den Datenbanken, wo sie nicht gehasht und 125 00:09:39,230 --> 00:09:42,560 gesalted gespeichert wurden, oder sie schicken einfach mal eine E-Mail und 126 00:09:42,560 --> 00:09:48,720 fragen nach dem Passwort. Hier ein schönes Beispiel, das ich deshalb ausgewählt habe, 127 00:09:48,720 --> 00:09:53,310 weil ich darauf reingefallen bin. *Applaus* 128 00:09:53,310 --> 00:10:02,700 Aaaaah. PayPal möchte mir in einer wichtigen Nachricht mitteilen, dass „unser 129 00:10:02,700 --> 00:10:06,760 System einen nicht authorisierten Zugriff auf Ihr PayPal-Konto festgestellt hat. Um 130 00:10:06,760 --> 00:10:09,580 Ihre Sicherheit weiterhin vollständig gewährleisten zu können, klicken Sie bitte 131 00:10:09,580 --> 00:10:14,890 auf diesen Knopf.“, ja? Und das schöne an solchen Dingern ist immer: Es gibt in der 132 00:10:14,890 --> 00:10:18,600 Regel nur einen Knopf. Und das sollte einen eigentlich stutzig machen. Genauso 133 00:10:18,600 --> 00:10:22,480 hätte mich stutzig machen sollen, dass da oben erstmal nicht PayPal in der 134 00:10:22,480 --> 00:10:28,910 Adresszeile steht, aber ich war irgendwie müde und habe irgendwie da drauf geklickt 135 00:10:28,910 --> 00:10:32,100 und jetzt kommt, was mir dann doch noch den Allerwertesten gerettet hat: Mein 136 00:10:32,100 --> 00:10:37,409 Passwortmanager konnte mir kein Passwort für diese Seite anbieten. 137 00:10:37,409 --> 00:10:44,820 *Applaus* So. Ich hab jetzt extra rausgenommen, 138 00:10:44,820 --> 00:10:47,850 welcher Passwortmanager das ist. Diejenigen, die ihn trotzdem erkennen: 139 00:10:47,850 --> 00:10:51,990 Nicht denken, dass ich ihn lobe, weil: Dieser Passwortmanager hat vor kurzem ein 140 00:10:51,990 --> 00:10:55,750 Update erfahren und wenn ich das gleiche Spielchen heute mache, dann sagt der: Ich 141 00:10:55,750 --> 00:10:59,760 kenne die Seite nicht, aber vielleicht willst du deine Kreditkarte oder deine 142 00:10:59,760 --> 00:11:05,760 Adresse eingeben? Herzlichen Dank … So, auf den Passwortmanager kann ich gerne 143 00:11:05,760 --> 00:11:09,510 verzichten. Wenn man sich so Phishingseiten anschaut; ich mein, ist 144 00:11:09,510 --> 00:11:13,190 jetzt gar kein Hexenwerk. Man nimmt einfach irgendeine Website, kopiert die 145 00:11:13,190 --> 00:11:16,350 auf einen anderen Server und programmiert sich dahinter ein kleines Backend, was 146 00:11:16,350 --> 00:11:20,459 alle Requests entgegennimmt, die man da so hinschickt. Hier habe ich letztens mal 147 00:11:20,459 --> 00:11:28,000 eine sehr schöne bekommen: Das war der Gmail Webmail Login. Aber die haben, ich 148 00:11:28,000 --> 00:11:34,250 fand das eigentlich ganz elegant, was sie gemacht haben: Die haben quasi die Domain 149 00:11:34,250 --> 00:11:39,800 der E-Mail-Adresse noch als GET-Request mitgesendet und dann in ihrem Quelltext 150 00:11:39,800 --> 00:11:45,090 einfach das Favicon zu der Domain auf Google gesucht und dort eingeblendet. Das 151 00:11:45,090 --> 00:11:47,490 heißt, wenn ihr da eine andere Domain angebt, dann steht da immer ein anderes 152 00:11:47,490 --> 00:11:53,120 Logo, um einfach so diese Seite ein bisschen naheliegender zu machen. Wenn wir 153 00:11:53,120 --> 00:11:56,201 uns das anschauen, die Erfolgswahrscheinlichkeit, die solche 154 00:11:56,201 --> 00:12:01,510 Massenmails haben, ist enorm gering. Ja? Die ist winzig klein. Diese Mails werden 155 00:12:01,510 --> 00:12:07,170 millionenfach versendet, an ganz viele Empfängerinnen und Empfänger und wenn man 156 00:12:07,170 --> 00:12:11,660 aber dann auch so viele Mails versendet und in so vielen Spamfiltern hängenbleibt, 157 00:12:11,660 --> 00:12:15,270 dann findet man immer noch mal einen, der dann doch noch ein Passwort da einträgt 158 00:12:15,270 --> 00:12:18,920 und schon haben wir eine schöne Geschichte. Das ist hier jetzt irgendwie 159 00:12:18,920 --> 00:12:24,349 so ein Massenmailding. Ich mein, ihr müsst nur mal in euren Spamfolder reinschauen, 160 00:12:24,349 --> 00:12:28,890 da werdet ihr diese E-Mails finden. Blöd ist halt, wenn da mal irgendwann nicht im 161 00:12:28,890 --> 00:12:33,760 Spam landen. Wir haben da jetzt so ein bisschen über massenhafte Angriffe 162 00:12:33,760 --> 00:12:40,280 gesprochen. Die zielen halt auf die besten von uns ab. Wenn wir das ganze aber mal 163 00:12:40,280 --> 00:12:44,980 gezielt machen, spricht man nicht mehr vom Phishing, sondern vom Spearphishing. Und 164 00:12:44,980 --> 00:12:49,620 beim Spearphishing sendet man nicht Millionen E-Mails, sondern man sendet 165 00:12:49,620 --> 00:12:54,110 eine. Und zwar genau an die Person, von der man das Passwort haben möchte. Und man 166 00:12:54,110 --> 00:13:00,970 macht eine Geschichte, die genau zu dieser Person auch passt. Also häufig mache ich 167 00:13:00,970 --> 00:13:05,740 das ganz gerne so mit Passwortreset-Mails, ja? Also gibt’s in vielen Unternehmen. 168 00:13:05,740 --> 00:13:10,019 Sehr kluge Idee: Alle Mitarbeiter müssen alle 3 Monate die Zahl am Ende ihres 169 00:13:10,019 --> 00:13:13,930 Passworts um 1 inkrementieren. *Gelächter* 170 00:13:13,930 --> 00:13:23,529 *Applaus* Und den E-Mail-Login von den meisten 171 00:13:23,529 --> 00:13:26,850 Unternehmen muss man auch nicht besonders fälschen, den habe ich schon einmal 172 00:13:26,850 --> 00:13:32,480 fertig. So, wenn man solche Sachen macht, also Spearphishing, haben wir eher so eine 173 00:13:32,480 --> 00:13:36,490 Wahrscheinlichkeit von 30%, dass die Zielperson auf die Seite geht, ihr 174 00:13:36,490 --> 00:13:40,690 Passwort eingibt. Wenn ich das mit 3 Personen mache, habe ich einen Business 175 00:13:40,690 --> 00:13:45,280 Case. Und vor allem habe ich in der Regel keinen Spamfilter, der mir im Weg ist. Ich 176 00:13:45,280 --> 00:13:49,000 kann wunderschön einen Mailserver aufsetzen mit minimal anderen Domains, die 177 00:13:49,000 --> 00:13:52,400 machen DKIM, die machen alles, was du haben willst. Die haben sogar ein schönes 178 00:13:52,400 --> 00:13:57,420 Let’s Encrypt Zertifikat auf ihrer Website. Funktioniert und kommt in der 179 00:13:57,420 --> 00:14:02,490 Regel durch. Auf das Problem komme ich nachher noch mal zurück, denn das würde 180 00:14:02,490 --> 00:14:07,829 ich sehr gerne lösen. Aber auch beim Verbreiten von Schadsoftware ist das ein 181 00:14:07,829 --> 00:14:13,180 beliebtes Pro… oder ein beliebtes Ziel, nicht irgendwie fette 0-Day-Exploits zu 182 00:14:13,180 --> 00:14:18,240 verballern, sondern einfach mal den Leuten die Software anzubieten und zu gucken, wie 183 00:14:18,240 --> 00:14:23,430 sie die installieren. TRS hat mich da auf einen Tweet aufmerksam gemacht, der ist 184 00:14:23,430 --> 00:14:27,810 schon ein paar Jahre alt, aber er ist sehr wahr: „Manchmal fühlt man sich als ITler 185 00:14:27,810 --> 00:14:32,440 wie ein Schafhirte. Allerdings sind die Schafe betrunken. Und brennen! Und klicken 186 00:14:32,440 --> 00:14:40,970 überall drauf!!“ *Applaus* 187 00:14:40,970 --> 00:14:48,460 Von @Celilander. Ja. Dann habe ich irgendwie letztens mal … wer den Vortrag 188 00:14:48,460 --> 00:14:52,250 von Thorsten gesehen hat, sieht dass wir da auch was mit einem Torrent gemacht 189 00:14:52,250 --> 00:14:57,050 haben. Da war ich hier bei den Drive-By Exploit Paralympics, wo ich also auf eine 190 00:14:57,050 --> 00:15:01,470 Webseite gekommen bin, die mich auch sehr gedrängt hat, irgendetwas zu installieren. 191 00:15:01,470 --> 00:15:06,050 Ich müsste ein Update machen, irgendwelche komischen Plug-Ins installieren oder so, 192 00:15:06,050 --> 00:15:10,310 ne? Und die Leute machen das! Also es ist regelmäßig, dass irgendwelche Leute bei 193 00:15:10,310 --> 00:15:14,690 mir sitzen und sagen: „Ja, hier, ich habe einen Virus.“ – „Ja, wieso? Woher wissen 194 00:15:14,690 --> 00:15:20,370 Sie das denn?“ – „Ja, eh … stand da!“ *Gelächter* 195 00:15:20,370 --> 00:15:24,030 Und dann haben die halt irgendwas installiert und dann merkt man so: Dann 196 00:15:24,030 --> 00:15:25,940 haben sie gecheckt, dass das wahrscheinlich nicht klug war und dann 197 00:15:25,940 --> 00:15:29,040 haben sie am Ende irgendwie 86 Schadsoftwares drauf, die behaupten 198 00:15:29,040 --> 00:15:35,250 Schadsoftwares zu entfernen. Übrigens: Genau so wurde auch der Staatstrojaner 199 00:15:35,250 --> 00:15:38,860 FinSpy gegen die türkische Opposition eingesetzt. Die haben eine schöne Website 200 00:15:38,860 --> 00:15:42,690 gemacht und haben gesagt: Ey guck mal hier, klick mal hier drauf, könnt ihr 201 00:15:42,690 --> 00:15:47,600 runterladen. Wie gesagt: Die Analyse hat Thorsten mit Ulf Buermeyer heute morgen 202 00:15:47,600 --> 00:15:53,880 schon präsentiert. Da sind wir dann auch schon bei den … Kurzer Applaus für 203 00:15:53,880 --> 00:16:00,300 Thorsten! *Applaus* 204 00:16:00,300 --> 00:16:07,650 Da sind wir dann auch schon jetzt bei dem Problem, was seit ungefähr 2016 der Welt 205 00:16:07,650 --> 00:16:12,599 Ärger bereitet, nämlich die sogenannte Ransomware. Funktioniert relativ einfach: 206 00:16:12,599 --> 00:16:16,899 Man kriegt eine E-Mail. In der E-Mail ist irgendein Anhang, in diesem Beispiel, das 207 00:16:16,899 --> 00:16:22,980 haben wir mal 2016 durchgespielt, das war Locky, war’s eine Rechnung. Und wenn ich 208 00:16:22,980 --> 00:16:29,779 jetzt diesen Anhang öffne, passiert folgendes. Es meldet sich das wunderschöne 209 00:16:29,779 --> 00:16:33,970 Programm Microsoft Word. *Johlen* 210 00:16:33,970 --> 00:16:38,290 Und Microsoft Word hat direkt 2 Warnmeldungen parat. Ihr seht sie dort 211 00:16:38,290 --> 00:16:45,920 oben in gelb und rot auf dem Bildschirm. Die rote Warnmeldung ist die, dass es sich 212 00:16:45,920 --> 00:16:50,640 um eine nichtlizensierte Version des Programmes handelt. 213 00:16:50,640 --> 00:16:55,899 *Gelächter* Die habt ihr also entweder nicht oder ihr 214 00:16:55,899 --> 00:16:58,660 habt sie auch und ihr habt euch schon dran gewöhnt. 215 00:16:58,660 --> 00:17:03,790 *Gelächter* Die gelbe Warnmeldung ist die, die euch 216 00:17:03,790 --> 00:17:09,100 davor warnt, dass ihr gerade auf dem Weg seid, euch sehr, sehr in den Fuß zu 217 00:17:09,100 --> 00:17:16,319 schießen. Und diese Warnmeldung ist sehr einfach verständlich. Seien sie 218 00:17:16,319 --> 00:17:21,559 vorsichtig: Dateien aus dem Internet können Viren beinhalten. Wenn Sie diese 219 00:17:21,559 --> 00:17:24,939 Datei nicht bearbeiten müssen, ist es sicherer, in der geschützten Ansicht zu 220 00:17:24,939 --> 00:17:28,820 verbleiben. Und in konsistenter Formulierung mit diesem Satz ist daneben 221 00:17:28,820 --> 00:17:36,200 ein Knopf, auf dem steht: Bearbeiten aktivieren. Versteht jeder sofort, was da 222 00:17:36,200 --> 00:17:41,620 gemeint ist! Gefahrenpotenzial ist sofort klar. Und wir haben wieder genau so wie in 223 00:17:41,620 --> 00:17:45,720 dieser PayPal-Phishing-E-Mail den wunderschönen riesigen großen Knopf. Und 224 00:17:45,720 --> 00:17:50,790 oben rechts in der Ecke, ganz klein, es versteckt sich ein bisschen. Es flieht vor 225 00:17:50,790 --> 00:17:56,380 eurer Aufmerksamkeit. Ist ein klitzekleines graues Kreuzchen. Das wäre 226 00:17:56,380 --> 00:18:00,770 der Weg in die Sicherheit. Aber natürlich seid ihr darauf trainiert, diesen Knopf zu 227 00:18:00,770 --> 00:18:04,350 drücken, weil diese Warnmeldung kommt schließlich jedes mal, wenn ihr Microsoft 228 00:18:04,350 --> 00:18:08,760 Word öffnet, weil irgendwelche Makros sind ja in fast jedem Word-Dokument drin, was 229 00:18:08,760 --> 00:18:13,500 in eurem Unternehmen so rumschwirrt. Ist aber nicht schlimm, es geht nämlich 230 00:18:13,500 --> 00:18:19,290 weiter. Microsoft Word hat direkt noch eine Warnung für euch: Sicherheitswarnung. 231 00:18:19,290 --> 00:18:25,350 Makros wurden deaktiviert. Inhalte aktivieren. Und wir sitzen jetzt also da, 232 00:18:25,350 --> 00:18:28,980 in diesem Beispiel Locky, vor einem leeren Blatt Papier. Ein leeres Blatt Papier ganz 233 00:18:28,980 --> 00:18:33,740 ohne Inhalt. Alles, wonach es uns durstet, sind Inhalte. Also drücken wir jetzt da 234 00:18:33,740 --> 00:18:37,880 auf Inhalte aktivieren. Und ich habe jetzt mal hier auf dem Desktop so ein paar 235 00:18:37,880 --> 00:18:42,260 Dateien drapiert, die dort so liegen. Und wenn ich jetzt auf den Knopf drücke, 236 00:18:42,260 --> 00:18:47,450 passiert folgendes: Sie sind weg. Das Makro, was in diesem Word-Dokument ist, 237 00:18:47,450 --> 00:18:53,960 lädt im … lädt über einen einfachen GET- Request eine EXE-Datei runter und führt in 238 00:18:53,960 --> 00:18:59,450 dem Fall Locky aus. Locky rasiert einmal durch die Festplatte, verschlüsselt alle 239 00:18:59,450 --> 00:19:04,160 Dateien und wenn er fertig ist, sagt er: Übrigens: Deine Dateien sind jetzt 240 00:19:04,160 --> 00:19:08,110 verschlüsselt und wenn Leute verschlüsselt hören, dann sagen die immer: Ja aber kann 241 00:19:08,110 --> 00:19:12,619 man das nicht irgendwie entschlüsseln? Deswegen steht hier auch direkt: Nein. 242 00:19:12,619 --> 00:19:16,520 Kann man nicht. Es wäre total unsinnig, wenn man Dinge verschlüsseln würde, die 243 00:19:16,520 --> 00:19:21,410 man einfach wieder entschlüsseln könnte. Deswegen haben wir das richtig macht. Und 244 00:19:21,410 --> 00:19:24,410 da haben die hier so eine schöne Website gehabt und da wurde dann eben erklärt, 245 00:19:24,410 --> 00:19:29,670 wohin man wieviel Bitcoin überweisen muss. Locky war da noch relativ großzügig. Die 246 00:19:29,670 --> 00:19:35,220 haben die Datenwiederherstellung für 500€ damals gemacht. Locky war so die erste 247 00:19:35,220 --> 00:19:40,360 große Ransomware-Welle. Es wurde überall davor gewarnt, Rechnungen zu öffnen, die 248 00:19:40,360 --> 00:19:46,400 Bilanzen der Unternehmen hatte das kurzfristig echt verbessert, aber die 249 00:19:46,400 --> 00:19:51,530 Bilanzen der Angreifer nicht. Und woraufhin dann weitere E-Mails kursierten, 250 00:19:51,530 --> 00:19:56,290 die sahen ungefähr so aus: Hallo, hier ist das Bundeskriminalamt. Passen Sie bitte 251 00:19:56,290 --> 00:20:00,000 auf mit Locky. Weil uns immer mehr Leute gefragt haben, wie man sich davor schützt, 252 00:20:00,000 --> 00:20:03,440 haben wir einen Ratgeber vorbereitet, wie man sich davor schützt. Den finden Sie im 253 00:20:03,440 --> 00:20:07,470 Anhang. *Gelächter* 254 00:20:07,470 --> 00:20:11,500 *Applaus* Und der ganze Spaß ging wieder von vorne 255 00:20:11,500 --> 00:20:18,720 los. Locky war 2016. Wir haben vor kurzem mal einen Blick darauf geworfen, wie das 256 00:20:18,720 --> 00:20:24,671 so bei GandCrab aussieht. Das war jetzt eine Ransomware von einer, ja … Ich komme 257 00:20:24,671 --> 00:20:27,990 gleich darauf, wo die Jungs herkamen. Von einer Gruppierung, die sich vor kurzem zur 258 00:20:27,990 --> 00:20:33,040 Ruhe gesetzt hat mit den Worten, sinngemäß: Wir haben gezeigt, dass man 259 00:20:33,040 --> 00:20:37,630 viele Millionen mit kriminiellen Dingen verdienen und sich dann einfach zur Ruhe 260 00:20:37,630 --> 00:20:42,539 setzen kann. Und wir ermutigen euch auch, so einen schönen Lebensstil zu pflegen wie 261 00:20:42,539 --> 00:20:46,950 wir. Wir sind jetzt erstmal im Ruhestand. Wenn man sich mit denen, wenn man sich 262 00:20:46,950 --> 00:20:50,280 quasi bei denen das gleiche durchgemacht hat, landete man auf so einer Seite. Die 263 00:20:50,280 --> 00:20:53,940 war sehr schön. Da haben sie erstmal auch einmal mit sehr vielen psychologischen 264 00:20:53,940 --> 00:20:57,770 Tricks gearbeitet. Hier oben steht zum Beispiel: Wenn du nicht bezahlst innerhalb 265 00:20:57,770 --> 00:21:03,970 von einer Woche, dann verdoppelt sich der Preis. Da haben die sich bei Booking.com 266 00:21:03,970 --> 00:21:05,970 abgeguckt. *Gelächter* 267 00:21:05,970 --> 00:21:09,980 *Applaus* Dann erklären sie wieder: OK, du kannst … 268 00:21:09,980 --> 00:21:13,590 es ist verschlüsselt, kriegst du nur von uns zurück. Und dann haben sie einen 269 00:21:13,590 --> 00:21:17,721 schönen Service, hier, free decrypt. Du kannst eine Datei dort hinschicken und die 270 00:21:17,721 --> 00:21:20,230 entschlüsseln sie dir und schicken sie dir zurück um zu beweisen, dass sie in der 271 00:21:20,230 --> 00:21:24,470 Lage sind, die zu entschlüsseln. Ja, die sind also in gewisser Form ehrbare 272 00:21:24,470 --> 00:21:28,209 Kaufmänner. Man fixt einen mal an, zeigt, dass man die Dienstleistung erbringen 273 00:21:28,209 --> 00:21:31,580 kann. Und die haben auch einen Chat. Die haben hier unten so einen 274 00:21:31,580 --> 00:21:33,970 Kundenberatungschat. *Gelächter* 275 00:21:33,970 --> 00:21:37,720 Und wir saßen irgendwie in geselliger Runde mit unserer Windows-VM, die wir 276 00:21:37,720 --> 00:21:42,280 jetzt gerade gegandcrabt hatten und haben dann so gedacht: Ach komm ey, jetzt 277 00:21:42,280 --> 00:21:45,669 chatten wir mal mit denen. Und haben uns so ein bisschen doof gestellt, so: 278 00:21:45,669 --> 00:21:49,550 Hellooo, where can I buy the Bitcoin? Irgendwie so. Und da haben die uns dann 279 00:21:49,550 --> 00:21:51,720 irgendwelche Links geschickt, wo wir Bitcoin holen wollen und da haben wir 280 00:21:51,720 --> 00:21:54,460 gesagt: Woah, das ist doch irgendwie voll anstrengend, können wir nicht einfach eine 281 00:21:54,460 --> 00:22:02,970 SEPA-Überweisung machen? Wir zahlen auch die Gebühren, ist okay. Und dann haben wir 282 00:22:02,970 --> 00:22:07,620 so, als uns nichts mehr einfiel, sagte ich zu meinem Kumpel, der daneben saß: 283 00:22:07,620 --> 00:22:13,000 Vladimir. Ey, ich sag: Vladimir. Frag die doch mal, ob die russisch können. Konnten 284 00:22:13,000 --> 00:22:14,310 sie. *Gelächter* 285 00:22:14,310 --> 00:22:19,480 Und … ja, und … war auf jeden Fall: Na klar! Und interessanterweise haben die 286 00:22:19,480 --> 00:22:23,380 auch sofort in kyriliisch geantwortet. Man kann ja russisch auf 2 Arten schreiben. 287 00:22:23,380 --> 00:22:26,440 Man sieht uns hier an der deutschen Tastatur und die Jungs mit den 288 00:22:26,440 --> 00:22:30,930 kyrillischen Schriftzeichen. Und die waren auf einmal sehr interessiert: Eyyy, du 289 00:22:30,930 --> 00:22:36,059 bist Russe?! Wie bist du denn infiziert … wie kann das denn, dass du infiziert 290 00:22:36,059 --> 00:22:41,099 wurdest? *Gelächter* 291 00:22:41,099 --> 00:22:47,200 Hier steht doch, du bist in Deutschland! Und dann fragten die irgendwie so: Du bist 292 00:22:47,200 --> 00:22:51,210 doch in Deutschland und so. Und dann sagten wir so: Jaja, ich arbeite für 293 00:22:51,210 --> 00:22:55,920 Gazprom. *Gelächter* 294 00:22:55,920 --> 00:22:58,620 Die wurden immer freundlicher. *Gelächter* 295 00:22:58,620 --> 00:23:02,450 Und schrieben uns dann diesen folgenden Satz. Den habe ich mal für euch in Google 296 00:23:02,450 --> 00:23:08,430 Translate gekippt. Der lautet ungefähr so: Mach bitte ein Photo von deinem Pass. Du 297 00:23:08,430 --> 00:23:12,180 kannst gerne die sensiblen Daten mit deinem Finger abdecken. Ich brauche nur 298 00:23:12,180 --> 00:23:16,049 einen Beweis, dass du Bürger Russlands bist. Dann stellen wir dir die Daten 299 00:23:16,049 --> 00:23:19,270 kostenlos wieder her. *Gelächter* 300 00:23:19,270 --> 00:23:31,490 *Applaus* Also manchmal ist IT-Sicherheit halt auch 301 00:23:31,490 --> 00:23:34,919 einfach nur der richtige Pass, ne? *Gelächter* 302 00:23:34,919 --> 00:23:40,980 Tatsächlich hatte GandCrab Routinen drin, die gecheckt haben, ob die Systeme z. B. 303 00:23:40,980 --> 00:23:46,190 russische Zeitzone oder russische Schriftzeichen standardmäßig eingestellt 304 00:23:46,190 --> 00:23:51,030 haben, um zu verhindern, dass sie russische Systeme befallen, weil die 305 00:23:51,030 --> 00:23:56,680 russische IT-Sicherheitsaußenpolitik ungefähr so lautet: Liebe Hacker. Das 306 00:23:56,680 --> 00:24:02,850 Internet. Unendliche Weiten. Ihr könnt darin hacken, wie ihr wollt und wir 307 00:24:02,850 --> 00:24:07,610 liefern euch eh nicht aus. Aber wenn ihr in Russland hackt, dann kommt ihr in einen 308 00:24:07,610 --> 00:24:10,980 russischen Knast. Und selbst russische Hacker wollen nicht in einen russischen 309 00:24:10,980 --> 00:24:18,750 Knast. Deswegen sorgen die dafür, dass sie ihre Landsmänner nicht infizieren. Wahre 310 00:24:18,750 --> 00:24:23,749 Patrioten. Der Brian Krebs hat nachher diese Gruppe auch noch enttarnt. Hat einen 311 00:24:23,749 --> 00:24:27,110 superinteressanten Artikel darüber geschrieben. War so ein paar Wochen 312 00:24:27,110 --> 00:24:31,580 eigentlich, nachdem wir diese kleine, lustige Entdeckung gemacht hatten. Ihr 313 00:24:31,580 --> 00:24:35,400 wisst natürlich, grundsätzliches Motto jedes Congress’: Kein Backup, kein 314 00:24:35,400 --> 00:24:39,830 Mitleid! Das heißt, ihr müsst natürlich euch gegen solche Angriffe dadurch 315 00:24:39,830 --> 00:24:45,150 schützen, dass ihr Backups habt und dann nicht bezahlen müsst. Aber was ich 316 00:24:45,150 --> 00:24:50,800 spannend finde ist, dieser Angriff mit den Word-Makros, die funktionieren seit 1999. 317 00:24:50,800 --> 00:24:54,610 Da war das Melissa-Virus irgendwie die große Nummer. Makros gab es schon früher 318 00:24:54,610 --> 00:24:59,780 in Word, aber ’99 mit Internetverbreitung und so ging das irgendwie ordentlich rund. 319 00:24:59,780 --> 00:25:03,090 Und wir sind da keinen einzigen Schritt weitergekommen. Jeden anderen Bug, jedes 320 00:25:03,090 --> 00:25:08,030 andere Problem, was wir haben, lösen wir sofort. Dieses halten wir einfach nur aus 321 00:25:08,030 --> 00:25:12,391 und tun überhaupt nichts daran. Also habe ich mir überlegt: Gut, dann schauen wir 322 00:25:12,391 --> 00:25:16,209 uns mal an: Warum funktionieren diese Angriffe eigentlich? Und dafür gibt’s im 323 00:25:16,209 --> 00:25:21,890 Prinzip 2 Erkläransätze, die ich euch vorstellen möchte. Der eine ist eben 324 00:25:21,890 --> 00:25:28,150 individualpsychologisch, der andere ist organisationspsychologisch. Daniel 325 00:25:28,150 --> 00:25:33,250 Kahnemann hat einen Nobelpreis in Wirtschaftswissenschaften, glaube ich, 326 00:25:33,250 --> 00:25:38,360 bekommen, dass er sich darüber Gedanken gemacht hat, wie Menschen denken. 327 00:25:38,360 --> 00:25:41,859 „Thinking, Fast and Slow“, großer Bestseller, und so weiter. Der postuliert 328 00:25:41,859 --> 00:25:49,650 im Prinzip: Wir haben 2 Systeme in unserem Gehirn. Das erste System arbeitet schnell 329 00:25:49,650 --> 00:25:55,490 und intuitiv und automatisch. Also Standardhandlungsabläufe. Ihr müsst nicht 330 00:25:55,490 --> 00:25:59,980 nachdenken, wenn ihr zuhause aus der Tür geht und die Wohnung abschließt. Das 331 00:25:59,980 --> 00:26:04,209 passiert einfach. Da werden keine Ressourcen des Gehirns drauf verwendet, 332 00:26:04,209 --> 00:26:07,180 jetzt nachzudenken: Dreht man den Schlüssel rechts-, linksrum – ist das 333 00:26:07,180 --> 00:26:09,750 überhaupt der richtige oder so, ne? Eigentlich sehr faszinierend. Ich habe 334 00:26:09,750 --> 00:26:13,049 einen relativ großen Schlüsselbund und ich bin echt fasziniert, wie es meinem Gehirn 335 00:26:13,049 --> 00:26:15,880 gelingt, ohne dass ich darüber nachdenke, den richtigen Schlüssel einfach aus der 336 00:26:15,880 --> 00:26:22,270 Tasche zu ziehen. Das ist System 1. Und das ist aktiv, primär bei Angst. Wenn wir 337 00:26:22,270 --> 00:26:27,140 also schnell handeln müssen – Fluchtreflex und solche Dinge. Oder bei Langeweile, 338 00:26:27,140 --> 00:26:31,760 wenn wir wie immer handeln müssen. Und genau diese ganzen Phishingszenarien 339 00:26:31,760 --> 00:26:36,850 zielen auf eine dieser beiden Sachen ab: Entweder uns ganz viel Angst zu machen 340 00:26:36,850 --> 00:26:43,200 oder einen Ablauf, den wir antrainiert haben und aus Langeweile automatisiert 341 00:26:43,200 --> 00:26:48,760 durchführen, auszulösen. Demgegenüber steht das System 2: Das ist langsam, 342 00:26:48,760 --> 00:26:55,350 analytisch und dominiert von Vernunft. Und ja. Die Angreifer nutzen natürlich 343 00:26:55,350 --> 00:27:02,130 Situationen, in denen sie auf System 1 setzen können. Warum ist das ein Problem? 344 00:27:02,130 --> 00:27:06,770 Wenn wir Leuten versuchen, zu erklären, wie sie sich gegen solche Angriffe 345 00:27:06,770 --> 00:27:11,100 schützen sollen – guckt darauf, achtet darauf und so weiter –, dann erklären wir 346 00:27:11,100 --> 00:27:15,590 das System 2. Und System 2 versteht das auch, genau wie ich verstanden habe, dass 347 00:27:15,590 --> 00:27:19,270 ich eigentlich nicht auf irgendwelche PayPal-Scams klicken soll. Aber wenn ich 348 00:27:19,270 --> 00:27:22,669 gelangweilt vorm Computer sitze und überlege, wo ich als nächstes hinklicken 349 00:27:22,669 --> 00:27:28,050 soll, dann suche ich mir halt den nächsten großen Button und klicke da drauf. 350 00:27:28,050 --> 00:27:31,410 Organisationspsychologie finde ich das eigentlich sehr viel interessanter. Warum 351 00:27:31,410 --> 00:27:37,290 kümmert sich eigentlich niemand um dieses Problem, ja? Wir begnügen uns damit, 352 00:27:37,290 --> 00:27:41,520 unseren IT-Perimeter zu haben, wir bauen da eine Schranke drum. Bauen eine Firewall 353 00:27:41,520 --> 00:27:44,541 hier und haste noch gesehen, hier noch irgendein Snake-Oil und so. Und der 354 00:27:44,541 --> 00:27:49,230 technische Angriff ist eigentlich ziemlich schwierig, ja? Wenige Menschen können 355 00:27:49,230 --> 00:27:54,600 technische Angriffe durchführen. Und unser Schutz dagegen ist enorm gut. Wir haben 356 00:27:54,600 --> 00:27:58,059 granular definierte Reife. Wir können messen: wenn du irgendwie dieses oder 357 00:27:58,059 --> 00:28:01,260 jenes Checkmark nicht hast, bist du schlecht oder so, ne? Und dann sitzen an 358 00:28:01,260 --> 00:28:05,630 dem Computer Administratoren und Angestellte und arbeiten mit diesen Daten. 359 00:28:05,630 --> 00:28:08,760 Und die schützen wir irgendwie nicht. Wir machen uns auch gar keine Gedanken 360 00:28:08,760 --> 00:28:12,900 darüber, die mal zu härten oder zu pen- testen. Dabei ist der Angriff über Social 361 00:28:12,900 --> 00:28:19,299 Engineering viel einfacher und einen Schutz haben wir dem aber nicht gegenüber. 362 00:28:19,299 --> 00:28:23,820 Und jetzt tritt der ganz normale Prozess des Risikomanagements ein. Und der sieht 363 00:28:23,820 --> 00:28:29,700 ungefähr so aus: Das Risiko wird wahrgenommen, das Risiko wird analysiert 364 00:28:29,700 --> 00:28:34,500 und in diesem Fall wird das Risiko dann eben ignoriert. Und so sitzen wir jetzt 365 00:28:34,500 --> 00:28:39,940 seit 20 Jahren da, uns fliegt ein Makro nach dem anderen um die Ohren. Die – wie 366 00:28:39,940 --> 00:28:42,299 heißt diese Uni da? War das jetzt Göttingen oder Gießen? 367 00:28:42,299 --> 00:28:45,500 *Rufe aus dem Publikum* Göttingen kommt auch noch dran, keine 368 00:28:45,500 --> 00:28:51,650 Sorge. Und wenn diese Risiken gemanaget werden, dann muss man sehen: „Management 369 00:28:51,650 --> 00:28:54,809 bedeutet, die Verantwortung zu tragen und deshalb alles dafür tun zu müssen, nicht 370 00:28:54,809 --> 00:28:58,990 zur Verantwortung gezogen zu werden.“ Und eben auch nicht mehr als das zu tun. 371 00:28:58,990 --> 00:29:07,120 *Applaus* Das heißt, wir versuchen also die Probleme 372 00:29:07,120 --> 00:29:10,390 zu lösen, die wir können und die anderen – was kann ich dafür, wenn der Nutzer falsch 373 00:29:10,390 --> 00:29:14,090 klickt? Wohin uns das gebracht hat, können wir jetzt eben bei den verschiedenen 374 00:29:14,090 --> 00:29:18,289 Unternehmen beobachten. Deswegem habe ich mir gedacht: OK. Wie kann man dieses 375 00:29:18,289 --> 00:29:23,359 Problem denn mal lösen? Welche Gegenmaßnahmen sind wie wirksam? Also was 376 00:29:23,359 --> 00:29:27,810 funktioniert, um Menschen das abzugewöhnen oder die Wahrscheinlichkeit zu verringern, 377 00:29:27,810 --> 00:29:33,440 dass sie auf solche Sachen draufklicken? Und welche UI-/UX-Faktoren machen weniger 378 00:29:33,440 --> 00:29:37,330 verwundbar? Weil es gibt ja quasi immer die gleichen Prozesse, die ausgenutzt 379 00:29:37,330 --> 00:29:42,590 werden. Und auf der anderen Seite die Optimierungsdimensionen. Einmal die 380 00:29:42,590 --> 00:29:47,770 Resistenz: Nicht zu klicken. Und dann in so einem Unternehmenskontext halt: Du 381 00:29:47,770 --> 00:29:51,200 musst es melden. Du musst der IT Bescheid sagen, damit die irgendwelche 382 00:29:51,200 --> 00:29:56,470 Gegenmaßnahmen ergreifen kann. Ich zeige euch jetzt mal die Ergebnisse von 2 383 00:29:56,470 --> 00:30:02,529 Beispielstudien, die wir in dem Bereich durchgeführt haben. Ich bin sehr bemüht, 384 00:30:02,529 --> 00:30:08,200 die so anonymisiert zu haben, also sollte hoffentlich nirgendwo mehr erkennbar sein, 385 00:30:08,200 --> 00:30:13,510 mit welchem Unternehmen das war. Das erste war in Asien. Da haben wir das mit 30.000 386 00:30:13,510 --> 00:30:18,570 Personen gemacht. 4 Phishingdurchläufe und es gab so ein Lernvideo, in dem das auch 387 00:30:18,570 --> 00:30:22,669 noch mal erklärt wurde. Und wir haben erfasst, wie oft das dann zum Beispiel der 388 00:30:22,669 --> 00:30:26,200 IT gemeldet wurde, dass dieser Angriff stattgefunden hat. Und wir haben erfasst, 389 00:30:26,200 --> 00:30:30,310 wie oft die Leute auf diese Phsihingnummer reingefallen sind. Und was wir dort 390 00:30:30,310 --> 00:30:36,300 eigentlich herausfinden wollten war: Es ging eigentlich darum, wie wir in diesem 391 00:30:36,300 --> 00:30:39,320 Unternehmen regelmäßig die Menschen trainieren, dass sie nicht auf solche 392 00:30:39,320 --> 00:30:42,440 Sachen draufklicken. Also haben wir uns so einen Versuchsplan gebaut und haben 393 00:30:42,440 --> 00:30:45,410 gesagt: OK, welche Kommunikationsmöglichkeiten haben wir? Ja 394 00:30:45,410 --> 00:30:49,430 gut, wir können denen E-Mailer schicken. Also Spam vom eigenen Unternehmen. Wir 395 00:30:49,430 --> 00:30:52,929 können Poster in den Flur hängen. Wir können beides machen, wir können nichts 396 00:30:52,929 --> 00:30:57,960 machen. Wir können außerdem den Leuten so ein Online-Quiz anbieten und die danach 397 00:30:57,960 --> 00:31:02,299 ein Quiz machen lassen. Auch da konnten wir den Online-Quiz einmal mit einem Text 398 00:31:02,299 --> 00:31:05,549 und einmal mit einem Video – meine Hypothese war: das Video bringt es den 399 00:31:05,549 --> 00:31:09,580 Leuten wahrscheinlich besser bei. Und dann haben wir quasi, weil wir genug Leute 400 00:31:09,580 --> 00:31:13,870 hatten, eben das alles quasi vollständig permutiert, sodass wir alle Effekte 401 00:31:13,870 --> 00:31:17,040 einzeln messen konnten und nachher die Gruppen vergleichen konnten. Dann haben 402 00:31:17,040 --> 00:31:20,350 wir sie einmal gephisht und in dem Phishing gab es dann nachher eine 403 00:31:20,350 --> 00:31:24,190 Aufklärung. Also wenn die ihr Passwort eingegeben hatten, kam entweder ein Text, 404 00:31:24,190 --> 00:31:28,909 der ihnen gesagt hat: Ey, das war jetzt gerade schlecht. Oder ein Video, was ihnen 405 00:31:28,909 --> 00:31:32,309 erklärt hat: Das war gerade schlecht. Oder beides: Text und darunter ein Video oder 406 00:31:32,309 --> 00:31:37,170 umgekehrt. Und dann haben wir noch mal ein Phishing gemacht. Und jetzt werde ich grün 407 00:31:37,170 --> 00:31:42,380 markieren die Dinge, die tatsächlich einen Effekt hatten. Alles was vorne stand, 408 00:31:42,380 --> 00:31:46,110 E-Mailer, alles was man den Leuten erklärt. Alles was System 2 anspricht, hat 409 00:31:46,110 --> 00:31:49,050 überhaupt keinen Effekt gehabt. Ihr könntet die Leute irgendwelche Quize 410 00:31:49,050 --> 00:31:52,960 ausführen lassen und Onlinekurse wie sie wollen. Verdienen einige Unternehmen auch 411 00:31:52,960 --> 00:31:58,190 gutes Geld mit. Hat aber keinen Effekt. Was einen Effekt hatte war: Ob die 412 00:31:58,190 --> 00:32:02,669 gephisht wurden oder nicht und es war etwas besser, wenn sie ein Video dazu 413 00:32:02,669 --> 00:32:08,030 gesehen haben. Und das ist genau deshalb, weil: Wenn sie tatsächlich gephisht 414 00:32:08,030 --> 00:32:12,760 werden, dann haben sie eine Lernerfahrung, wenn System 2 aktiv ist. Ja? Das Video war 415 00:32:12,760 --> 00:32:17,260 so ein rotes Blinken: Achtung, Gefahr, du hast etwas falsch gemacht. Ich will noch 416 00:32:17,260 --> 00:32:22,400 kurz zu dem Ergebnis kommen bei der ersten Erfassung: Wir haben zunächst eine 417 00:32:22,400 --> 00:32:30,390 Erfolgsrate von 35% gehabt. 55% haben die E-Mails ignoriert und 10% haben auf der 418 00:32:30,390 --> 00:32:34,070 Phishingseite abgebrochen. Also sie haben vielleicht noch mal irgendwie; sind noch 419 00:32:34,070 --> 00:32:39,190 mal zur Besinnung gekommen oder so. Und mein damaliger Kollege meinte: Ey, das 420 00:32:39,190 --> 00:32:43,160 kann irgendwie gar nicht sein. So, da muss viel mehr gehen. So schlau sind die doch 421 00:32:43,160 --> 00:32:47,600 nicht, ne? Gucken wir mal, ob die die E-Mails überhaupt geöffnet haben. Also 422 00:32:47,600 --> 00:32:50,940 gelsen haben. Wir hatten nämlich ein kleines Zählpixelchen in der E-Mail und 423 00:32:50,940 --> 00:32:54,760 ich konnte quasi feststellen, ob die die E-Mail überhaupt geöffnet haben. Wenn wir 424 00:32:54,760 --> 00:32:58,390 die Zahl korrigiert haben und diejenigen rausgenommen haben, die die E-Mail nie zu 425 00:32:58,390 --> 00:33:02,403 Gesicht bekommen haben, war die Erfolgswahrscheinlichkeit 55%. 426 00:33:02,403 --> 00:33:05,360 *Raunen und kurzer Applaus* Wir hatten dann noch ein weiteres Problem 427 00:33:05,360 --> 00:33:10,820 an der Backe. Weil, wir hatten jetzt an 30.000 Leute eine E-Mail geschrieben und 428 00:33:10,820 --> 00:33:14,470 als Absender angegeben, wir wären der IT- Support. 429 00:33:14,470 --> 00:33:19,849 *Gelächter* Es gibt darauf verschiedene Reaktionen. 430 00:33:19,849 --> 00:33:23,070 Erstmal haben wir relativ viele E-Mails bekommen, wo die Leute sagten: Ich will ja 431 00:33:23,070 --> 00:33:26,060 mein Passwort ändern, aber da kommt immer dieses Video! 432 00:33:26,060 --> 00:33:34,519 *Gelächter* *Applaus* 433 00:33:34,519 --> 00:33:40,710 Und dann hatten wir Leute, die noch Monate später der unsäglichen Praxis nachhingen, 434 00:33:40,710 --> 00:33:45,219 wenn sie jemandem eine E-Mail schreiben wollen, dass sie einfach suchen, wann sie 435 00:33:45,219 --> 00:33:47,880 das letzte mal von dem eine E-Mail bekommen haben und auf den Thread 436 00:33:47,880 --> 00:33:51,130 antworten. Das heißt, wir waren das nächste halbe Jahr damit beschäftigt, IT- 437 00:33:51,130 --> 00:33:55,010 Support zu machen. *Gelächter* 438 00:33:55,010 --> 00:33:59,769 *Applaus* OK, Ergebnis zusammengefasst: Diese ganzen 439 00:33:59,769 --> 00:34:04,560 Awarenessmaßnahmen hatten keinen praktisch relevanten Effekt. Die Selbsterfahrung 440 00:34:04,560 --> 00:34:08,749 hatte einen starken Lerneffekt. Und der ging teilweise sogar über das Erwartbare 441 00:34:08,749 --> 00:34:14,579 hinaus. Leider aber sind die Lerneffekte sehr spezifisch. Das heißt, die Leute 442 00:34:14,579 --> 00:34:18,990 lernen, wenn eine Passwort-Reset-E-Mail kommt, darf ich da nicht draufklicken. 443 00:34:18,990 --> 00:34:22,279 Wenn du denen aber danach schickst: Gib mal deine Kreditkartennummer an, sagen 444 00:34:22,279 --> 00:34:25,549 die: Na klar. Gar kein Problem! *Gelächter* 445 00:34:25,549 --> 00:34:29,552 Und auch das Szenario, ja? Wir haben da nachher noch andere Social-Engineering- 446 00:34:29,552 --> 00:34:34,339 Maßnahmen gemacht und es gab jetzt keine abfärbenden Effekt von – Du hast mit denen 447 00:34:34,339 --> 00:34:39,319 Phishing bis zum Erbrechen geübt –, dass die jetzt irgendwie bei USB-Sticks 448 00:34:39,319 --> 00:34:44,659 irgendwie vorsichtiger wären oder so. Das heißt, das ist relativ unschön. Außerdem 449 00:34:44,659 --> 00:34:48,309 sind die Effekte nicht stabil. Das heißt, du hast einen Lerneffekt so in den ersten 450 00:34:48,309 --> 00:34:53,920 3 Monaten und dann nimmt der wieder ab. Das heißt: Nach einiger Zeit, wenn du das 451 00:34:53,920 --> 00:34:58,260 nach einem Jahr wieder machst, hast du genau wieder deine 33-55%, die du vorher 452 00:34:58,260 --> 00:35:02,499 hattest. Also wir können dieses Problem irgendwie versuchen, niedrig zu halten, 453 00:35:02,499 --> 00:35:09,799 aber auf diesem Weg nicht aus der Welt schaffen. So dachte ich. Bis ich dann 454 00:35:09,799 --> 00:35:13,810 meine 2. Beispielstudie gemacht habe, die ich euch hier vorstellen möchte. Die war 455 00:35:13,810 --> 00:35:19,079 international in mehreren Sprachen – Englisch, Deutsch, Spanisch und 2 weiteren 456 00:35:19,079 --> 00:35:23,849 Sprachen –, 2000 Zielpersonen, 4 Durchläufe, Video war ein bisschen länger. 457 00:35:23,849 --> 00:35:29,619 Und das erste Ergebnis war; Ich habe erfasst, quasi, wenn die Leute gemeldet 458 00:35:29,619 --> 00:35:35,269 haben und die IT dann reagiert hätte, wie viele erfolgreiche Angriffe danach hätten 459 00:35:35,269 --> 00:35:39,770 verhindert werden können. Und das interessante ist, dass bei den meisten 460 00:35:39,770 --> 00:35:44,380 Standorten fast über 3/4 der weiteren Angriffe, die danach noch passiert sind, 461 00:35:44,380 --> 00:35:47,769 hätten verhindert werden können durch eine schnelle Meldung. Das heißt, es ist gut 462 00:35:47,769 --> 00:35:52,889 für eine IT, ihre Leute zu ermutigen, sich bei ihr zu melden und irgendwie Bescheid 463 00:35:52,889 --> 00:35:59,690 zu geben. Das andere Ergebnis bei diesen Leuten war: Beim ersten Durchlauf hatten 464 00:35:59,690 --> 00:36:05,570 die eine Phishingerfolgsrate von 10%. Und ich war etwas ungläubig und habe mich 465 00:36:05,570 --> 00:36:09,989 gefragt: Wie kann das denn sein? Ich hatte auch vorher eine bisschen große Fresse 466 00:36:09,989 --> 00:36:14,900 gehabt. Und jetzt habe ich gesagt: 30% mache ich euch locker, gar kein Thema! Und 467 00:36:14,900 --> 00:36:19,919 dann sind’s jetzt irgendwie 10% da. Und die sagten dann halt auch irgendwie: „Ja, 468 00:36:19,919 --> 00:36:24,999 wolltest du nicht mehr?“ Tja, was haben die gemacht? Die hatten 2 Dinge anders als 469 00:36:24,999 --> 00:36:29,869 viele andere Unternehmen. Erstens: Die hatten ihre E-Mails mit so einem kleinen 470 00:36:29,869 --> 00:36:35,039 Hinweis versehen, der in den Subject reingeschrieben wurde bei eingehenden 471 00:36:35,039 --> 00:36:41,029 E-Mails, dass die E-Mails von extern kommt. Und das andere, was in diesem 472 00:36:41,029 --> 00:36:45,910 Unternehmen anders war, ist: Die haben ihren Passwortwechsel nicht über das Web 473 00:36:45,910 --> 00:36:49,459 abgeildet. Das heißt: Die Situation, in die ich die Menschen da gebracht habe – 474 00:36:49,459 --> 00:36:53,059 Ey, hier ist eine Webseite, gib mal dein Passwort ein –, die waren die nicht 475 00:36:53,059 --> 00:36:56,920 gewöhnt. Und deswegen sind die aus dem Tritt gekommen, haben auf einmal mit ihrem 476 00:36:56,920 --> 00:37:01,729 System 2 arbeiten müssen und haben den Fehler nicht gemacht. Wenn wir uns die 477 00:37:01,729 --> 00:37:06,559 Ergebnisse weiter anschauen; ich hatte ja gesagt, es waren 4 Durchläufe. Der 2. und 478 00:37:06,559 --> 00:37:10,539 der 4. Durchlauf waren jeweils nur mit denen, die in dem davorgegangenen 479 00:37:10,539 --> 00:37:15,779 Durchlauf quasi gephisht wurden. Das heißt, wir haben denen noch mal so eine 480 00:37:15,779 --> 00:37:20,289 Härteauffrischung gegeben. Man sieht auch, da gibt’s einige sehr renitente Phish- 481 00:37:20,289 --> 00:37:27,579 Klicker. Wir haben dann mal unter kompletter Missachtung sämtlicher 482 00:37:27,579 --> 00:37:31,799 datenschutzrechtlichen Vereinbarungen geguckt, wer das war. Und das waren die 483 00:37:31,799 --> 00:37:37,109 Funktionsaccounts. Also einfach die, wo das Passwort eh, wo es quasi zum Job 484 00:37:37,109 --> 00:37:41,700 gehört, mit einem Post-It das neue Passwort an den Bildschirm zu kleben. Das 485 00:37:41,700 --> 00:37:46,259 interessante ist: Wenn wir uns dieses Ergebnis anschauen, also vom 1. zum 2. 486 00:37:46,259 --> 00:37:52,129 Durchlauf und so weiter, haben wir insgesamt einen Rückgang um 33% erzielt. 487 00:37:52,129 --> 00:37:59,229 Ähh, Tschuldigung, ist falsch! Um 66%, ich Idiot! 66%. 33% blieben über. Also ein 488 00:37:59,229 --> 00:38:05,309 Rückgang auf 33%. Das ist eigentlich enorm gut! In der Psychologie glaubt mir das 489 00:38:05,309 --> 00:38:08,359 eigentlich kaum jemand, wenn man sagt, ich habe eine Intervention; nach einmaliger 490 00:38:08,359 --> 00:38:13,640 Intervention Verhaltensänderung bei 2/3 der Leute. Wenn wir uns das für die 491 00:38:13,640 --> 00:38:16,630 Sicherheit unseres Unternehmens anschauen oder unserer Organisation, ist das ein 492 00:38:16,630 --> 00:38:21,969 riesiges Desaster, weil die 33% sind ja immer noch ein riesiges Problem für uns. 493 00:38:21,969 --> 00:38:25,089 Aber, Zusammenfassung: Durch diesen lokalen Passwortwechsel und den Hinweis 494 00:38:25,089 --> 00:38:28,930 „External“ sind die Leute in ungewohnte Situationen gekommen und die 495 00:38:28,930 --> 00:38:33,780 Wahrscheinlichkeit, dass sie darauf reinfallen, geht runter. 496 00:38:33,780 --> 00:38:40,510 *Applaus* So, also was haben wir bis jetzt gelernt? 497 00:38:40,510 --> 00:38:44,599 Das theoretische Lernen ist ohne Effekt. Es zählt die Erfahrung aus erster Hand. Es 498 00:38:44,599 --> 00:38:48,349 gibt abstrakte Verteidigungskonzepte, die verstehen die Leute nun mal einfach nicht. 499 00:38:48,349 --> 00:38:51,600 Bisher ist alles, was wir dafür haben, eine anschauliche Didaktik. Die 500 00:38:51,600 --> 00:38:53,890 Lerneffekte nehmen mit der Zeit ab, deswegen muss man das regelmäßig 501 00:38:53,890 --> 00:38:57,059 wiederholen. Die Lerneffekte werden nicht generalisiert, also müssen wir die 502 00:38:57,059 --> 00:39:02,850 Angriffsszenarien variieren. Und wenn die Leute das nicht melden, haben wir ein 503 00:39:02,850 --> 00:39:06,400 Problem, deswegen müssen wir sie außerdem ermutigen und belohnen, wenn sie bei der 504 00:39:06,400 --> 00:39:11,240 IT anrufen. Für die meisten Organisationen auch eine völlig absurde Idee, wenn jemand 505 00:39:11,240 --> 00:39:13,810 bei ihnen anruft, auch noch nett zu denen zu sein. 506 00:39:13,810 --> 00:39:18,680 *Kurzes Lachen* Hat aber durchaus Effekt. So. Wenn wir uns 507 00:39:18,680 --> 00:39:21,619 jetzt aber mal diese Situation anschauen, dann ist doch eigentlich unser Ziel zu 508 00:39:21,619 --> 00:39:26,029 sagen: OK, dann müssen wir Situationen unserer IT-Systeme so bauen, dass sie dafür 509 00:39:26,029 --> 00:39:30,079 nicht anfällig sind, dass wir irgendwelche automatisierten Prozesse lernen, die 510 00:39:30,079 --> 00:39:34,799 Sicherheitsprozesse sind. Also vielleicht sollte das User Interface nicht so sein 511 00:39:34,799 --> 00:39:45,019 wie diese frische Installationen von macOS Catalina. Sondern anders. Denn: Wir können 512 00:39:45,019 --> 00:39:48,750 uns nicht auf System 2 verlassen, aber die meisten Schutzmaßnahmen tun genau das. 513 00:39:48,750 --> 00:39:51,849 Also Microsoft Word erklärt einem irgendwas und sagt dann: „Ja, ist doch 514 00:39:51,849 --> 00:39:54,489 dein Problem, wenn du nicht verstehst, wovon wir hier reden. Den Rest, der hier 515 00:39:54,489 --> 00:39:57,349 passiert, um dich herum an diesem Computer, verstehst du auch nicht. Hier 516 00:39:57,349 --> 00:39:59,509 hast du einen Knopf, drück drauf!“ *Kurzes Gelächter* 517 00:39:59,509 --> 00:40:03,159 Ne? So können wir nicht 20 Jahre agieren und sagen, wir kriegen das Problem nicht 518 00:40:03,159 --> 00:40:06,849 in den Griff. Es gibt eine Möglichkeit übrigens, dieses Problem mit Microsoft 519 00:40:06,849 --> 00:40:10,809 Word in den Griff zu kriegen und das ist: Makros zu deaktivieren. Dann kommt der 520 00:40:10,809 --> 00:40:17,329 Geschäftsbetrieb zum Erliegen. Oder Makros zu signieren. Ganz einfaches Code-Signing 521 00:40:17,329 --> 00:40:22,319 auf Makros geht, kann man per AD- Gruppenrichtlinie ausrollen. Ich habe mal 522 00:40:22,319 --> 00:40:26,519 mit einem IT-Sicherheitsbeauftragten eines etwas größeren Unternehmen gesprochen. Das 523 00:40:26,519 --> 00:40:29,559 war eines der wenigen Unternehmen, die das jemals gemacht haben. Also die ich kenne, 524 00:40:29,559 --> 00:40:33,949 die das jemals gemacht haben. Der meinte so: „Ja, okay, hat ein Jahr gedauert. Ich 525 00:40:33,949 --> 00:40:37,410 habe jetzt weiße Haare und eine Halbglatze. Aber ich bin froh, dass ich 526 00:40:37,410 --> 00:40:41,869 das Problem jetzt endlich aus der Welt habe!“ Und das ist der einzige Mensch, der 527 00:40:41,869 --> 00:40:46,729 das geschafft hat. In seinem Unternehmen verhasst, ja? Aber er ist eigentlich ein 528 00:40:46,729 --> 00:40:56,949 Held! Dem Mann muss man echt danken! *Johlen; Applaus* 529 00:40:56,949 --> 00:41:00,299 Und was wir also machen müssen ist: Wir müssen unser System 1 sichern. Intuitive 530 00:41:00,299 --> 00:41:04,569 Handlungen müssen als Teil der Sicherheitsmechanismen antizipiert werden. 531 00:41:04,569 --> 00:41:07,270 Also wir dürfen den Nutzern nicht angewöhnen, Passwörter in irgendwelche 532 00:41:07,270 --> 00:41:10,800 Browserfenster zu tippen. Wir dürfen Sicherheitsprozesse nicht per Mail oder 533 00:41:10,800 --> 00:41:15,420 per Browser abbilden. Und wir können uns auch mal überlegen, ob wir die freie Wahl 534 00:41:15,420 --> 00:41:18,089 von Passwörtern vielleicht einfach unterbinden, damit nicht überall 535 00:41:18,089 --> 00:41:24,890 passwort123 gesetzt wird. Es wird langsam besser. So, man kann Makros signieren und 536 00:41:24,890 --> 00:41:30,339 deaktivieren. Man kann Software langsam einschränken auf aus vertrauenswürdigen 537 00:41:30,339 --> 00:41:32,729 Quellen, also aus den App Stores. Ich weiß, da gibt es dann wieder andere 538 00:41:32,729 --> 00:41:38,459 politische Probleme. Aber aus einer reinen Sicherheitsperspektive ist das gut, wenn 539 00:41:38,459 --> 00:41:42,660 Leute nicht irgendwelche runtergeladenen EXEn aus dem Internet irgendwie anklicken 540 00:41:42,660 --> 00:41:48,260 und irgendwelche Makros ausführen. Und mit Fido2 und hardwarebasierten 541 00:41:48,260 --> 00:41:53,180 Authentisierungsmechanismen wird es langsam besser. 2-Faktor-Authentisierung 542 00:41:53,180 --> 00:41:58,460 hat einen großen Vormarsch. Also, die Welt ist nicht ganz so schlecht wie wir es 543 00:41:58,460 --> 00:42:01,589 glauben, aber ich würde mir sehr wünschen, dass wir mit unseren 544 00:42:01,589 --> 00:42:09,520 Sicherheitsmechanismen einfach viel mehr auf die Intuititivät setzen, denn wenn wir 545 00:42:09,520 --> 00:42:12,829 uns mal irgendwie anschauen, wie diese Browserwarnungen, irgendwie „Achtung, mit 546 00:42:12,829 --> 00:42:17,359 dem Zertifikat stimmt was nicht“, ungefähr so, die hat glaube ich, bis sie dann 547 00:42:17,359 --> 00:42:19,959 irgendwann weg waren, weil Let’s Encrypt gekommen ist und es einfach mal 548 00:42:19,959 --> 00:42:24,469 vernünftige Zertifikate gab, die hat auch niemand verstanden. Und entsprechend haben 549 00:42:24,469 --> 00:42:28,920 wir hier auch quasi ein wunderschönes SSL gehabt, was am Ende daran gescheitert ist, 550 00:42:28,920 --> 00:42:32,170 dass wir scheiß User Interfaces dafür hatten. Inzwischen ist es so, dass Browser 551 00:42:32,170 --> 00:42:38,069 die Verbindung einfach nicht herstellen. Auch das ist ein Zugewinn! Joa. Ich habe 552 00:42:38,069 --> 00:42:43,150 schon überzogen, das war’s. Macht bitte eure Backups, wechselt überall eure 553 00:42:43,150 --> 00:42:47,029 Passwörter. Ich schicke euch dazu nachher noch mal eine E-Mail und vielen Dank. 554 00:42:47,029 --> 00:42:48,619 *Gelächter* 555 00:42:48,619 --> 00:43:00,830 *Applaus* 556 00:43:00,830 --> 00:43:06,969 Engel: So. Das war doch in gewohnter Manier unterhaltsam. Und ich frage mich, 557 00:43:06,969 --> 00:43:11,690 wenn Linus’ Zahnarzt jetzt einen Passwortmanager benutzt: Benutzt Linus 558 00:43:11,690 --> 00:43:15,369 jetzt zweimal täglich Zahnseide? Linus: Ich habe mir gerade noch die Zähne 559 00:43:15,369 --> 00:43:18,929 geseilt! Habe ich tatsächlich! Engel: Also, macht immer schön eure 560 00:43:18,929 --> 00:43:21,999 Backups und benutzt Zahnseide! 561 00:43:21,999 --> 00:43:25,779 *Abspannmusik* 562 00:43:25,779 --> 00:43:48,000 Untertitel erstellt von c3subtitles.de im Jahr 20??. Mach mit und hilf uns!