1 00:00:03,120 --> 00:00:06,800 Moin zu Folge 85 von einfach komplex, eure Host sind wieder 2 00:00:06,800 --> 00:00:08,880 da. Der Burkhard Gerrit Hallo Moin 3 00:00:08,920 --> 00:00:10,960 Moin. Moin Moin Moin. 4 00:00:11,040 --> 00:00:14,880 Und jetzt mal wieder mit Gast zum Thema Randomware haben wir 5 00:00:14,880 --> 00:00:17,520 den Alexandros Monacus von Apollon Security da. 6 00:00:17,520 --> 00:00:20,320 Hallo Alexandros. Hallöchen zusammen. 7 00:00:20,400 --> 00:00:23,680 Alexandros, Wer bist du, was machst du und was macht dich zum 8 00:00:23,840 --> 00:00:26,680 randomware Experten? Genau zum randomware Experten. 9 00:00:26,680 --> 00:00:29,120 Ich mach den ganzen Cyber Security Kram. 10 00:00:29,360 --> 00:00:33,800 So an die 24 Jahre hätt ich ungefähr gesagt, hab damit schon 11 00:00:33,800 --> 00:00:36,680 recht früh angefangen und ich sag mal zu den Zeiten wo ich 12 00:00:36,680 --> 00:00:40,080 damit angefangen hab Papst das noch nicht so zum Studieren in 13 00:00:40,080 --> 00:00:43,600 der heutigen Zeit gibt es das ja zum Glück schon, mein Papa war 14 00:00:43,600 --> 00:00:46,320 so nett was in Österreich für mich zu finden und deshalb gehen 15 00:00:46,320 --> 00:00:48,480 die Grüße natürlich auch gerne nach Österreich und besten Dank 16 00:00:48,480 --> 00:00:50,320 noch mal. Ich hab n cooles Studium für 17 00:00:50,320 --> 00:00:51,920 Cyber Security da genießen dürfen. 18 00:00:52,320 --> 00:00:55,680 Und ja, dann war ich bei der deutschen Cyberbehörde 19 00:00:55,840 --> 00:00:58,360 sicherlich jedem von euch n Begriff, dem BSI, dem Bundesamt 20 00:00:58,360 --> 00:01:01,120 für Sicherheit und Informationstechnik und ja, dann 21 00:01:01,120 --> 00:01:05,519 war ich bei Accenture und Accenture auch damals Anfänge 22 00:01:05,519 --> 00:01:08,960 von Cyber Security, das ganze damit aufgebaut, bis ich dann n 23 00:01:08,960 --> 00:01:12,560 Kumpel hatte, der mich in die Bankenwelt, nämlich die HSBC 24 00:01:12,560 --> 00:01:15,760 gebracht hat, da durfte ich dann 7 Jahre, nee, ich find gar nicht 25 00:01:15,760 --> 00:01:18,000 5 jahre.it Security Audits machen. 26 00:01:18,480 --> 00:01:21,520 Und war dann 7 Jahre sogenannter Ziso, also Chief Information 27 00:01:21,520 --> 00:01:25,120 Security Officer, und durfte dann die ganze Cybersicherheit 28 00:01:25,120 --> 00:01:27,440 da komplett von 0 auf 100 Mal aufbauen. 29 00:01:27,520 --> 00:01:31,200 Es hat mega wirklich mega viel Spaß gemacht, kann man sich so 30 00:01:31,200 --> 00:01:34,120 vorstellen, ich habe so den Weg von so einer kleinen Privatbank 31 00:01:34,120 --> 00:01:37,040 zum internationalen Großkonzern mitmachen dürfen und eigentlich 32 00:01:37,040 --> 00:01:39,240 wirklich alles was man so im Cyberbereich machen kann mal 33 00:01:39,240 --> 00:01:42,840 mitgemacht und da ist random wir ein wichtiger Teil davon, dass. 34 00:01:43,280 --> 00:01:46,800 Und ja, und dann bin ich auch noch in so einem IC Two Chapter, 35 00:01:46,800 --> 00:01:50,400 der sich primär mit der Weiterbildung von dem Thema 36 00:01:50,400 --> 00:01:53,520 Cyber Security auseinandersetzt, war auch Dozent an der Form für 37 00:01:53,520 --> 00:01:56,960 Cyber Security, weil ich da mein Wissen gerne weitergeben möchte. 38 00:01:57,520 --> 00:02:00,840 Und ja, ich hab auch noch ne eigene Cyber Security Firma in 39 00:02:00,840 --> 00:02:04,120 der wir vielen Unternehmen, Banken, Versicherungen, 40 00:02:04,120 --> 00:02:07,040 Industriekonzerne und so weiter auch dabei unterstützen sich 41 00:02:07,040 --> 00:02:09,520 eben forence und mehr zu schützen und ja. 42 00:02:09,759 --> 00:02:12,000 Das macht mich so n bisschen hätt ich gesagt, jemand, ich 43 00:02:12,000 --> 00:02:14,080 kann n bisschen was dazu sagen, würd ich einfach mal behaupten. 44 00:02:14,320 --> 00:02:16,600 Das klingt ganz so. Ja cool, dass du da bist. 45 00:02:16,600 --> 00:02:18,640 Auf jeden Fall ja. Vielen Dank, dass ich da sein 46 00:02:18,640 --> 00:02:21,880 darf. Bevor wir in Reinstarten mit ja 47 00:02:21,880 --> 00:02:23,240 OK, was ist Ransomware eigentlich? 48 00:02:23,240 --> 00:02:24,440 Und so? Also das sollten wir glaub ich 49 00:02:24,440 --> 00:02:26,520 gleich mal klären, aber vielleicht kannst du einmal 50 00:02:26,520 --> 00:02:28,080 sagen, warum ist das so relevant, warum müssen wir 51 00:02:28,080 --> 00:02:30,400 darüber sprechen und warum sollten sich das Leute anhören, 52 00:02:30,560 --> 00:02:32,480 ja. Klar, am Ende des Tages möchte 53 00:02:32,480 --> 00:02:36,160 glaub ich jeder von uns. Ich sag mal von den Bösen in 54 00:02:36,160 --> 00:02:38,720 Ruhe gelassen werden, sag ich einfach mal und Ransomware ist. 55 00:02:39,120 --> 00:02:41,560 Einfach in der heutigen Zeit eine der Top Risiken, auch wenn 56 00:02:41,560 --> 00:02:45,120 man sich das BSI anschaut, was so berichtet wird, dann ist es 57 00:02:45,120 --> 00:02:47,280 eine der gefährlichsten Angriffsarten werden wir 58 00:02:47,280 --> 00:02:49,760 natürlich gleich herausfinden, warum und was es genau ist. 59 00:02:50,160 --> 00:02:54,200 Aber am Ende des Tages möchte jeder, ich sag mal von dem 60 00:02:54,200 --> 00:02:57,120 ganzen Kram in Ruhe gelassen werden und deshalb sollte man 61 00:02:57,120 --> 00:03:00,560 sich zumindest ein wenig damit auseinandersetzen, weil schon 62 00:03:00,560 --> 00:03:04,080 einige wenige Basics sag ich einfach mal dazu führen können, 63 00:03:04,240 --> 00:03:08,160 dass insbesondere Unternehmen sich vor solchen Angriffen gut 64 00:03:08,160 --> 00:03:10,480 schützen können. Das klingt nach Pareto. 65 00:03:10,960 --> 00:03:13,120 Ja, absolut. Also an der Stelle, wenn man 66 00:03:13,120 --> 00:03:17,760 Pareto macht, ist man schon viel weiter als viele andere und ein 67 00:03:17,760 --> 00:03:20,960 Großteil von solchen Angriffen auch Rancimer zumindest der 68 00:03:20,960 --> 00:03:25,120 initiale Teil erfolgt eben automatisiert und wenn du, ich 69 00:03:25,120 --> 00:03:27,120 sag mal von deiner grundsätzlichen 70 00:03:27,120 --> 00:03:30,400 Angriffsoberfläche, egal ob es im Internet oder im Internet 71 00:03:30,800 --> 00:03:34,720 schon mal 8020 gemacht hast, ist schon weiter als anderer und 72 00:03:34,720 --> 00:03:37,360 dann geht der Automatismus. Und das klingt jetzt für den 73 00:03:37,360 --> 00:03:39,600 anderen blöd. Aber dann geht er zum nächsten 74 00:03:39,920 --> 00:03:44,080 O. K das macht neugierig auf mehr. 75 00:03:44,480 --> 00:03:47,560 Ja, cool, OK, dann mal klar, warum das so wichtig ist. 76 00:03:47,560 --> 00:03:49,800 Und dann lass doch einfach starten mit ja was ist was ist 77 00:03:49,800 --> 00:03:52,200 wenn es, wenn wir eigentlich einmal kurz aufdröseln, ich kann 78 00:03:52,200 --> 00:03:54,240 mir vorstellen, dass die meisten das mal gehört haben, ich hab 79 00:03:54,240 --> 00:03:55,880 auch dir gerade erzählt, ich hab schon mal Artikel drüber 80 00:03:55,880 --> 00:03:59,200 gelesen, aber trotzdem. Fühle mich dazu in der Lage, das 81 00:03:59,200 --> 00:04:00,960 richtig zu erklären. Also leg mal los, ja. 82 00:04:01,360 --> 00:04:03,520 Also ich hab da ich sag mal 2 Varianten. 83 00:04:03,520 --> 00:04:05,720 Ich bin auch immer ganz gerne in Analogien in der ein oder 84 00:04:05,720 --> 00:04:09,680 anderen Variante, ich sag mal die normalmenschliche Antwort 85 00:04:09,680 --> 00:04:12,960 ist es ist ne Art von böser Software und manche sagen auch 86 00:04:12,960 --> 00:04:15,680 Schadsoftware dazu und ganz implifiziert gesagt 87 00:04:15,680 --> 00:04:19,360 verschlüsselt sie entsprechende Daten, sodass der eigentliche 88 00:04:19,360 --> 00:04:22,000 Eigentümer oder die eigentliche Eigentümerin nicht mehr da dran 89 00:04:22,000 --> 00:04:24,240 kommt. Und damit man wieder da dran 90 00:04:24,240 --> 00:04:27,080 kommt, wird von dem Opfer, dem eigentlich die Daten gehören und 91 00:04:27,080 --> 00:04:29,120 entsprechendes Lösegeld, also eine Ransom. 92 00:04:29,200 --> 00:04:31,840 Daher kommt der Name aus dem englischen Ransom Lösegeld 93 00:04:32,000 --> 00:04:34,960 entsprechend gefordert wird und für die, für die das ein 94 00:04:34,960 --> 00:04:37,560 bisschen zu kompliziert ist. Also ich, wie gesagt, immer 95 00:04:37,560 --> 00:04:41,400 gerne Analogien, stellt euch vor, und das habe ich übrigens 96 00:04:41,400 --> 00:04:44,000 auch bei meinen Vorlesungen immer so gemacht, stellt euch 97 00:04:44,000 --> 00:04:47,280 vor, ihr seid ein König im Mittelalter und ihr habt eine 98 00:04:47,280 --> 00:04:49,200 wunderschöne Burg, ein wunderschönes Schloss. 99 00:04:49,680 --> 00:04:52,000 Und eure Kronjuwelen sind selbstverständlich in der 100 00:04:52,000 --> 00:04:53,600 Schatzkammer ganz unten im Keller. 101 00:04:53,920 --> 00:04:58,320 Und es gibt ein paar Banditen in eurem Umfeld, in Eurem 102 00:04:58,320 --> 00:05:02,000 Königreich und diese Banditen, die sind in euren Keller in eure 103 00:05:02,000 --> 00:05:04,000 Schatzkammer gekommen und haben das Schloss ausgetauscht. 104 00:05:04,480 --> 00:05:06,880 So und nur die Banditen haben jetzt den Schlüssel zur 105 00:05:06,880 --> 00:05:09,520 Schatzkammer, das heißt, du bist zwar der König von dem ganzen 106 00:05:09,520 --> 00:05:12,160 super, aber du kommst nicht an deine Kronjuwelen. 107 00:05:12,160 --> 00:05:15,400 So und jetzt kommen die Banditen zu dir und sagen Hey lieber 108 00:05:15,400 --> 00:05:17,280 König, ich brauche ein bisschen Gold. 109 00:05:17,520 --> 00:05:20,800 Und in der Realität oder in der digitalen Welt nennt man das 110 00:05:20,800 --> 00:05:24,560 Ganze dann Bitcoin oder Monero. Und wenn du mir das gibst, dann 111 00:05:24,560 --> 00:05:27,360 geben wir dir den Schlüssel vielleicht vielleicht auch 112 00:05:27,360 --> 00:05:30,120 nicht. Das ist so die zumindest die 113 00:05:30,120 --> 00:05:32,560 Analogie, Erpressung. Im Grunde genommen also. 114 00:05:32,560 --> 00:05:34,800 Es geht ja genau ne erpresserische Richtung, ja. 115 00:05:35,280 --> 00:05:37,120 Genau, absolut. Und da gibt es sogar 116 00:05:37,120 --> 00:05:41,600 unterschiedliche Variationen von von den Erpressungswegen das 117 00:05:41,600 --> 00:05:45,840 ganze, ich sag mal die erste Stufe ist, ich sag mal lediglich 118 00:05:45,840 --> 00:05:47,360 die Verschlüsselung, das heißt die. 119 00:05:47,440 --> 00:05:49,880 Ich gehe in den Keller, wechsel das Schloss aus, du kommst nicht 120 00:05:49,880 --> 00:05:52,960 mehr dran, dann kannst du ja noch eine zweite Schatzkammer 121 00:05:52,960 --> 00:05:55,880 haben, dann sagst du ist mir egal, ich habe genug Gold, so 122 00:05:55,880 --> 00:05:58,760 what kein Problem so und in der Realwelt wären das dann die 123 00:05:58,760 --> 00:06:02,480 Backups und wenn du jetzt sage ich mal deine zweite 124 00:06:02,480 --> 00:06:04,440 Schatzkammer hast oder an die Backups wieder drankommen 125 00:06:04,440 --> 00:06:09,640 kannst, super wunderbar, dann merken die Angreifer die 126 00:06:09,640 --> 00:06:13,360 Banditen irgendwann also. Irgendwie funktioniert das nicht 127 00:06:13,360 --> 00:06:15,760 mehr ganz so gut. Die Variation, dass sich das 128 00:06:15,760 --> 00:06:18,480 Ganze verschlüsselt und die Leute das dann aus den Backups 129 00:06:18,480 --> 00:06:20,400 wiederherstellen. Also müssen wir irgendwie ein 130 00:06:20,400 --> 00:06:24,560 weiteres Druckmittel und mit was weiterem Erpressen und das Ganze 131 00:06:24,560 --> 00:06:27,120 nennt sich dann eine Double extorion, also nicht eine 132 00:06:27,120 --> 00:06:30,080 normale Extorion, sondern eine Double extorion und das 133 00:06:30,080 --> 00:06:34,000 bedeutet, dass der Angreifer die Daten, bevor er sie 134 00:06:34,000 --> 00:06:38,800 verschlüsselt, einmal abzieht. Und zum Beispiel Kundendaten. 135 00:06:38,920 --> 00:06:40,720 Ich weiß nicht, als als Praxisbeispiel funktioniert 136 00:06:40,720 --> 00:06:44,240 immer ganz gut, stell dir vor, Patientendaten, die sind immer 137 00:06:44,240 --> 00:06:47,920 super Sensitiv, sagen wir mal worst case oder was heißt von 138 00:06:47,920 --> 00:06:49,880 einem Onkologen, von einem Urologen oder so Dinge die 139 00:06:49,880 --> 00:06:52,720 irgendeinem unangenehm sein könnten, sage ich einfach mal, 140 00:06:52,720 --> 00:06:54,920 wenn sie an die Öffentlichkeit kommen, so und jetzt stell dir 141 00:06:54,920 --> 00:06:59,280 mal vor die Patientendaten von einem Urologen kommen irgendwie 142 00:06:59,440 --> 00:07:02,560 in die Hände der Angreifer, der Angreifer freut sich, weil der 143 00:07:02,560 --> 00:07:04,480 sieht deinen Vornamen, der sieht deinen Nachnamen, der sieht 144 00:07:04,480 --> 00:07:07,040 deine E Mail Adresse und deine Handynummer und und er hat die 145 00:07:07,280 --> 00:07:11,600 von deinem Arzt exfiltriert und bei dem Arzt der kann er keine 146 00:07:11,600 --> 00:07:14,000 Patienten mehr annehmen, weil alle seine Daten verschlüsselt 147 00:07:14,000 --> 00:07:15,120 werden. Dann gibt es so einen 148 00:07:15,120 --> 00:07:18,000 wunderschönen Screen wo dann drauf steht alle deine Daten 149 00:07:18,000 --> 00:07:20,920 wurden verschlüsselt und entweder du gibst mir ein paar 150 00:07:20,920 --> 00:07:25,600 Bitcoin oder du hast Pech gehabt und übrigens wir veröffentlichen 151 00:07:25,600 --> 00:07:30,000 auch deine Patientendaten wenn du uns das Geld nicht gibst 152 00:07:30,800 --> 00:07:34,880 bedeutet der. Arzt wird damit erpresst einmal 153 00:07:34,880 --> 00:07:37,600 er kommt an seine Daten nicht mehr dran, also Single und die 154 00:07:37,600 --> 00:07:40,480 Double Extosion ist eben. Die Daten werden veröffentlicht 155 00:07:40,560 --> 00:07:43,720 und gerade bei Ärzten oder kritischen Dingen oder natürlich 156 00:07:43,720 --> 00:07:46,320 auch bei Unternehmensdaten bei kritischen Dingen ist das ein 157 00:07:46,400 --> 00:07:50,400 doppelter Druck und jetzt kommen wir noch zu der ich sag mal 158 00:07:50,400 --> 00:07:54,080 aktuellsten auch Variante, weil das ist die sogenannte Triple 159 00:07:54,080 --> 00:07:56,840 Extosion, weil Angreifer gemerkt haben manchmal reicht das auch 160 00:07:56,840 --> 00:07:59,680 nicht aus und Angreifer denken sich natürlich auch hey 161 00:08:00,480 --> 00:08:02,640 irgendwie. Möchten wir noch mehr Geld damit 162 00:08:02,640 --> 00:08:05,280 machen und bei der Triple Extorion werden dann die 163 00:08:05,280 --> 00:08:08,320 Datensätze genommen und zum Beispiel von Dir, Gerrit, Wenn 164 00:08:08,320 --> 00:08:10,600 wir jetzt bei diesem Beispiel mit dem Urologen bleiben, dann 165 00:08:10,600 --> 00:08:13,920 würde ich die Angreifer Anchatten per e Mail, wie auch 166 00:08:13,920 --> 00:08:16,720 immer oder sogar Anrufen und sagen, Hör mal Gerrit, Wir haben 167 00:08:16,720 --> 00:08:22,960 hier ein paar richtig interessante Dinge und wenn du 168 00:08:22,960 --> 00:08:26,560 uns keine 3 Bitcoin bezahlst, dann geht das auch ins Internet 169 00:08:26,800 --> 00:08:28,440 und das dann an alle Patientendaten. 170 00:08:28,440 --> 00:08:32,320 Das heißt wenn du jetzt mal in Geld denken würdest, wieviel 171 00:08:32,320 --> 00:08:33,799 Geld könnte ein Angreifer machen? 172 00:08:33,799 --> 00:08:36,000 Er kann einfach mit dem Arzt Geld machen und mit jedem 173 00:08:36,000 --> 00:08:40,240 einzelnen Patienten noch on top und das ist so die die ich sag 174 00:08:40,240 --> 00:08:43,200 mal die aktuellsten oder die 3 Variationen auch histologisch 175 00:08:43,200 --> 00:08:46,880 gesehen wie das Ganze so sich entwickelt hat sag ich mal. 176 00:08:47,360 --> 00:08:50,440 Das ist ja krass, das bringt ja tatsächlich jetzt auch die ja 177 00:08:50,440 --> 00:08:52,720 mich jetzt als Patientin in dem Beispiel in die Petrille 178 00:08:53,120 --> 00:08:56,160 irgendwo, und das kann mir aber auch nicht in jeder, weil du 179 00:08:56,160 --> 00:08:58,600 sagst, das ist jetzt gerade aktuell so das neueste oder was 180 00:08:58,600 --> 00:09:00,680 am häufigsten passiert. Das kann man ja auch nicht in 181 00:09:00,680 --> 00:09:03,600 jeder Branche machen, weil nicht jede Branche hat so spannende 182 00:09:03,600 --> 00:09:08,240 Daten wie also Patientendaten quasi oder oder sowas in Form 183 00:09:08,240 --> 00:09:10,080 ne. Ja, ich glaube, ich sag mal so 184 00:09:10,080 --> 00:09:12,760 für uns, also für uns Privatpersonen, sind diese 185 00:09:12,760 --> 00:09:14,400 Patientendaten jetzt gerade sehr wertvoll. 186 00:09:14,400 --> 00:09:17,360 Aber selbst wenn ihr, ich sag mal ne marketingfirma wärt. 187 00:09:17,560 --> 00:09:19,200 Dann also ich will jetzt nicht sagen, dass Marketing Firmen 188 00:09:19,200 --> 00:09:21,280 nichts Wertvolles oder Kritisches haben, ne bitte nicht 189 00:09:21,280 --> 00:09:25,520 dafür im Nachgang irgendwie blöd anflamen, aber auch die haben 190 00:09:25,520 --> 00:09:28,200 kritische Informationen wie zum Beispiel wie hoch sind die 191 00:09:28,200 --> 00:09:32,080 Budgets meiner Kunden oder weiß ich dass es gibt auf jeden Fall 192 00:09:32,080 --> 00:09:34,800 ne Menge kritischer Daten, eigentlich in fast jedem 193 00:09:34,800 --> 00:09:37,040 Unternehmen würde ich zumindest mal so behaupten. 194 00:09:37,840 --> 00:09:40,240 OK, und dann würde der in dem Beispiel jetzt der Kunde, der 195 00:09:40,320 --> 00:09:42,640 die Marketingfirma wird angegriffen, aber der Kunde der 196 00:09:42,640 --> 00:09:44,880 Marketingfirma wird auch noch kontaktiert und gesagt. 197 00:09:44,960 --> 00:09:46,400 Du willst wohl lieber nicht, dass deine Budgets 198 00:09:46,400 --> 00:09:47,920 veröffentlicht werden, warum auch immer. 199 00:09:48,160 --> 00:09:50,000 Zahl bitte auch noch mal hier in Bitcoin oder 2. 200 00:09:50,160 --> 00:09:53,280 Ja genau, richtig, genau, genau und was ich vielleicht auch noch 201 00:09:53,280 --> 00:09:56,800 gern erwähnen wollen würde. Die meisten haben so Bitcoin 202 00:09:56,800 --> 00:09:58,720 schon gehört, deshalb ich glaube, das spare ich mir 203 00:09:58,720 --> 00:10:01,200 einfach mal. Was Bitcoin ist zu erklären, es 204 00:10:01,200 --> 00:10:04,080 gibt aber auch einen Trend bei verschiedenen, insbesondere bei 205 00:10:04,080 --> 00:10:07,840 ich sag mal sehr erfahrenen Angreifern, dass die auch eine 206 00:10:07,840 --> 00:10:11,440 andere Kryptowährung, nämlich Monero, versuchen abzugreifen, 207 00:10:11,600 --> 00:10:14,240 die kann man auch sehr ähnlich kaufen wie Bitcoin. 208 00:10:14,800 --> 00:10:17,240 Mini, mini, minimal vielleicht schwieriger, sag ich mal, ist 209 00:10:17,240 --> 00:10:19,840 vielleicht ein anderer Klick, je nachdem wo man das Ganze kauft. 210 00:10:20,160 --> 00:10:24,160 Aber Monero hat den Vorteil für die Angreifer, sie ist, ich sag 211 00:10:24,160 --> 00:10:28,080 mal deutlich bis fast komplett anonym, das heißt Bitcoin, da 212 00:10:28,080 --> 00:10:30,720 gibt es mittlerweile auch eine Menge Menschen und auch eine 213 00:10:30,720 --> 00:10:34,240 Menge Behörden, die es sich zur Aufgabe gemacht haben, die 214 00:10:34,480 --> 00:10:37,360 Besitzer hinter den einzelnen Bitcoins. 215 00:10:37,840 --> 00:10:40,800 Über Umwege so gut wie möglich irgendwie ausfindig zu machen, 216 00:10:41,000 --> 00:10:43,080 weil Bitcoin, ja, ich sag mal pseudonymisiert auf der 217 00:10:43,080 --> 00:10:44,760 Blockchain drauf ist. Das heißt, du kannst jede 218 00:10:44,760 --> 00:10:48,240 Transaktion seit dem Tag 1, seitdem es Bitcoin gibt, 219 00:10:48,640 --> 00:10:51,040 nachvollziehen. Und natürlich kannst du dann 220 00:10:51,040 --> 00:10:54,560 auch über viele Umwege und viel Computing Power nachvollziehen. 221 00:10:54,880 --> 00:10:57,320 Wo wurde dieser Bitcoin oder dieser Teil eigentlich gekauft, 222 00:10:57,320 --> 00:11:01,520 wo er dann hingewandert, kyc und dann weißt du, wem gehört diese 223 00:11:01,520 --> 00:11:03,840 Wallet und so weiter und das ist bei Monarium nicht so. 224 00:11:04,400 --> 00:11:06,880 OK, aber es ist schon ausschließlich so digital oder 225 00:11:06,880 --> 00:11:08,640 Kryptowährungen, die da eingesetzt werden, da wird wird 226 00:11:08,640 --> 00:11:12,680 kein Geldköfferchen irgendwo abgestellt als ja OK. 227 00:11:13,120 --> 00:11:15,880 Genau das hab ich tatsächlich so noch nicht erlebt oder auch so 228 00:11:15,880 --> 00:11:17,600 noch nicht gehört und ich hab schon so n paar Fälle 229 00:11:17,600 --> 00:11:21,880 mitbekommen, aber Geldkoffer an Tankstellen nee ich glaub 230 00:11:21,880 --> 00:11:25,640 weniger. Alexandra ist verstanden, klingt 231 00:11:25,640 --> 00:11:29,600 total super, hast hast du ne für unsere Zuhörer so ne Zahl, also 232 00:11:29,680 --> 00:11:31,600 ist es. Früher hieß es ja so, ja, 233 00:11:31,600 --> 00:11:33,640 passiert mir nicht, ich bin mittelständler, hab irgendwie 40 234 00:11:33,640 --> 00:11:35,280 Leute oder irgendsowas, da brauch ich keine Angst vorhaben 235 00:11:35,280 --> 00:11:38,080 da da geht es um Firmen ab 500 Leute oder Irgendsowas aber hast 236 00:11:38,080 --> 00:11:40,320 du so ne bisschen ne Statistik in der Hand? 237 00:11:40,320 --> 00:11:42,400 Ich hab nämlich das Gefühl, dass tatsächlich diese Friendsomware, 238 00:11:42,400 --> 00:11:46,160 diese Attacken sich nicht nur auf die ganz großen, die die 239 00:11:46,240 --> 00:11:48,280 möglicherweise sehr sehr viele Daten haben und so weiter 240 00:11:48,280 --> 00:11:50,800 beschränken, sondern dass es tatsächlich wahrscheinlich in 241 00:11:50,800 --> 00:11:52,880 der Hinterhand so gut automatisiert ist, dass es sich 242 00:11:52,880 --> 00:11:57,000 auch lohnt, für die Kriminellen auch kleinere, gar nicht so 243 00:11:57,000 --> 00:11:58,640 auffällige Firmen irgendwie zu verschlüsseln. 244 00:11:59,920 --> 00:12:01,480 Die vielleicht n leichtes Ziel sind, weil sie vielleicht dann 245 00:12:01,480 --> 00:12:04,520 auch noch nicht so nefette.it Abwehr ne Infrastruktur 246 00:12:04,520 --> 00:12:07,320 aufgebaut haben. Ne, aber kannst du da so n Paar 247 00:12:07,320 --> 00:12:08,240 zahlen nennen? Vielleicht? 248 00:12:08,880 --> 00:12:10,960 Also zahlen hab ich jetzt nicht aus dem Hinterkopf. 249 00:12:11,200 --> 00:12:13,880 Was ich aber schon sagen kann, es betrifft tatsächlich jeden 250 00:12:13,880 --> 00:12:15,000 ne. Also ich sag mal der 251 00:12:15,000 --> 00:12:17,920 Autonormalverbraucher denkt sich na ja meine ich wirk ja nichts 252 00:12:17,920 --> 00:12:21,280 brisantes, ist ja eigentlich völlig wurscht und ich muss da 253 00:12:21,280 --> 00:12:24,080 gar nichts irgendwie groß wiederherstellen oder so für die 254 00:12:24,080 --> 00:12:26,640 fein. Ich weiß nicht, ob man sich an 255 00:12:26,800 --> 00:12:29,800 eine erst eine der ersten, zumindest sehr bekanntesten 256 00:12:29,800 --> 00:12:31,920 randomware Fälle One Acry erinnern kann. 257 00:12:32,080 --> 00:12:33,960 Das ist eine der ersten, aber ist auf jeden Fall eine sehr 258 00:12:33,960 --> 00:12:37,840 bekannte und das war 2017 und die hat eine Schwachstelle 259 00:12:37,840 --> 00:12:41,720 ausgenutzt, die von der NSA eigentlich entwickelt wurde und 260 00:12:41,720 --> 00:12:44,160 von einer Hackergruppe namens Shadow Brokers veröffentlicht 261 00:12:44,160 --> 00:12:46,800 wurde. Und dadurch, dass diese 262 00:12:46,800 --> 00:12:50,320 Schwachstelle, ich sag mal, bei dem Endbenutzer vorhanden war, 263 00:12:50,560 --> 00:12:54,800 hat die sich wie ein Wurm weltweit verteilt und ungefähr 264 00:12:54,800 --> 00:12:58,960 über 200000 Rechner infiziert. Und wenn wir jetzt von der Höhe 265 00:12:59,120 --> 00:13:03,280 sprechen für den Endverbraucher waren das so 3 bis 600€ 266 00:13:03,280 --> 00:13:06,840 Lösegeldforderung ne, weil die Wissen natürlich die Angreifer 267 00:13:06,840 --> 00:13:09,920 OK, der Autonomalverbraucher hat da nicht so viel, während wenn 268 00:13:09,920 --> 00:13:12,480 wir jetzt zu einem anderen Case gehen. 269 00:13:12,880 --> 00:13:14,480 Dann ist es schon sehr, sehr krass. 270 00:13:14,480 --> 00:13:19,120 Professionalisiert bedeutet unabhängig davon, wie du jetzt 271 00:13:19,120 --> 00:13:21,880 in ein Unternehmen reinkommst oder mit deiner Schadsache mit 272 00:13:21,880 --> 00:13:24,400 deiner Ransomware reingekommen bist und es geschafft hast, das 273 00:13:24,400 --> 00:13:28,720 Ganze zu verbreiten bei den Profis, die loggen sich erstmal 274 00:13:28,720 --> 00:13:32,160 überall ein, die bewegen sich sozusagen lateral im Netzwerk 275 00:13:32,160 --> 00:13:34,960 und schauen okay was ist denn das für ein Unternehmen, was 276 00:13:34,960 --> 00:13:36,960 machen die denn hier für zahlen, die gucken sich vielleicht auch 277 00:13:36,960 --> 00:13:40,720 die Accounting zahlen an, die schauen übrigens auch ob ihr 278 00:13:40,720 --> 00:13:43,680 eine Cyberversicherung habt. Die gucken sich auch die 279 00:13:43,680 --> 00:13:46,560 Dokumente an der Cyber Versicherung, in welcher Höhe 280 00:13:46,880 --> 00:13:50,640 und wundert euch nicht, wenn die Lösegeldforderung ganz minimal 281 00:13:50,640 --> 00:13:53,520 darunter ist. Von dem was in eurer Cyber 282 00:13:53,520 --> 00:13:56,880 Versicherung drin steht. Also es ist, ich sag mal im 283 00:13:56,880 --> 00:14:01,000 Unternehmensumfeld egal wie klein, auch wenn ihr nur 2 oder 284 00:14:01,000 --> 00:14:04,080 5 Mitarbeiter seid, das läuft schon sehr sehr 285 00:14:04,080 --> 00:14:08,400 professionalisiert ab und auf das was ihr euch leisten könnt. 286 00:14:08,400 --> 00:14:11,920 Maximal sage ich mal darauf werden die. 287 00:14:12,240 --> 00:14:14,000 Ich sag mal, ist abziehen am Ende des Tages. 288 00:14:14,640 --> 00:14:16,640 OK, das klingt ziemlich professionell. 289 00:14:16,640 --> 00:14:19,920 Das klingt ziemlich überlegt und du sagst jetzt die und jetzt von 290 00:14:19,920 --> 00:14:23,240 Automatisierung auch gesprochen, wer ist das ne also nicht wir 291 00:14:23,280 --> 00:14:25,760 wissen natürlich wahrscheinlich nicht wer das genau ist, aber 292 00:14:26,240 --> 00:14:29,720 ich glaube man kann schon so n bisschen ne ne ne Gruppen mal 293 00:14:29,720 --> 00:14:32,480 diese persona oder diese Gruppen umreißen ja wie wie die wie die 294 00:14:32,480 --> 00:14:34,000 sich so aufstellen oder wie die aussehen. 295 00:14:34,000 --> 00:14:37,600 Ja genau, also so Gruppierungen. Es sind professionelle 296 00:14:37,600 --> 00:14:40,560 Angriffstrupps, in der Regel aber auch klein. 297 00:14:40,560 --> 00:14:43,600 Also ich fang mal an mit den, ich sag mal typischen kleineren, 298 00:14:43,760 --> 00:14:46,880 die jetzt gerade, ich sag mal in Mode sind, das sind Menschen, 299 00:14:46,880 --> 00:14:49,920 die teilweise noch nicht malgross.it Erfahrung haben, die 300 00:14:49,920 --> 00:14:53,040 Nutzen etwas, das nennt sich Rand Somewhere as a Service 301 00:14:53,360 --> 00:14:57,800 bedeutet sowie Platform as a Service und Cloud as a Service 302 00:14:57,800 --> 00:15:00,840 und was wir auch alles und so AS a Service machen können, genauso 303 00:15:00,840 --> 00:15:03,680 gibt es auch Rand some as a Service was steckt dahinter? 304 00:15:03,680 --> 00:15:05,600 Du musst gar nicht selber entwickeln. 305 00:15:05,840 --> 00:15:08,800 Sondern du bekommst, ich sag mal 7030 gesplittet. 306 00:15:08,800 --> 00:15:13,120 Eine schon fertige Ransomware von Menschen, die sich nur 307 00:15:13,120 --> 00:15:15,760 darauf fokussieren, eine solche böse Schadsoftware zu 308 00:15:15,760 --> 00:15:18,600 entwickeln. Und wenn die Opfer bezahlen, 309 00:15:18,600 --> 00:15:22,760 dann bekommst du deine 70% und 30% bekommt dann quasi das Team 310 00:15:22,760 --> 00:15:26,640 dahinter, was das Ganze entwickelt hat, das ist sage ich 311 00:15:26,640 --> 00:15:30,880 mal von dem Skill Level sage ich mal ich muss 0 it ler sein, du 312 00:15:30,880 --> 00:15:32,640 musst es nur schaffen diese Schadsoftware in ein 313 00:15:32,640 --> 00:15:37,280 Unternehmensnetzwerk oder auf. Ein.it Asset wie auch immer 314 00:15:37,360 --> 00:15:39,640 drauf zu bekommen und eine Person dazu bringen, das zu 315 00:15:39,640 --> 00:15:41,520 bezahlen. Das ist ja wirklich krass, klar, 316 00:15:41,520 --> 00:15:43,920 und da ist man, dann kriegt man, dann kann man NUSB Stick in Hand 317 00:15:43,920 --> 00:15:45,920 nehmen, rein latschen, gucken, dass man sich Zugriff verschafft 318 00:15:45,920 --> 00:15:48,480 und irgendwo n Rechner stecken und vielleicht war es das schon, 319 00:15:48,480 --> 00:15:49,840 ja. Genau richtig. 320 00:15:49,840 --> 00:15:52,520 Da kommt es natürlich dann drauf an, was für zusätzliche 321 00:15:52,520 --> 00:15:55,360 Maßnahmen das Unternehmen hat, um die Verbreitung von so einer 322 00:15:55,360 --> 00:15:58,640 Schadsoftware zu unterbinden. Aber rein theoretisch wird es 323 00:15:58,640 --> 00:16:00,960 könnte das schon reichen. Absolut, ja, klar. 324 00:16:01,200 --> 00:16:03,800 Absolut genau. Also ich sag mal, ich will jetzt 325 00:16:03,800 --> 00:16:06,200 niemanden zu irgendwas anstiften, deshalb das Beispiel 326 00:16:06,200 --> 00:16:08,240 was ich gerade in meinem Kopf hab, behält ich lieber für mich, 327 00:16:09,600 --> 00:16:12,880 aber ich sag mal, wenn man jemandem schaden möchte, dann 328 00:16:12,880 --> 00:16:16,520 gibt es genau solche Cases ne und dann führst du was auf einem 329 00:16:16,520 --> 00:16:19,280 ich sag mal nicht ganz so eingeschränkten Rechner aus, wo 330 00:16:19,280 --> 00:16:21,920 vielleicht noch kein n Point Detective Response Tool drauf 331 00:16:21,920 --> 00:16:25,160 ist oder so, dann sieht das nicht ganz so gut aus, wenn sich 332 00:16:25,160 --> 00:16:27,360 das Teil auch noch wurmartig weiterverbreiten kann. 333 00:16:27,760 --> 00:16:30,480 OK so, das war der erste Case. Genau das war der erste Case. 334 00:16:30,960 --> 00:16:33,120 Genau dann kommen wir zu, ich sag mal dem etwas 335 00:16:33,120 --> 00:16:37,600 fortgeschrittenen Case. Das sind Einzelpersonen, die 336 00:16:37,600 --> 00:16:40,680 entweder eine Randomware selbst geschrieben haben, wobei der 337 00:16:40,680 --> 00:16:45,080 größte Case da eher ist, dass man bereits bekannten Code aus 338 00:16:45,080 --> 00:16:48,400 dem Internet nimmt, meistens aus einem Tor Netzwerk, da sind dann 339 00:16:48,400 --> 00:16:51,120 bekannte Gruppierungen, die, ich sag mal schon bekannte 340 00:16:51,440 --> 00:16:53,440 randomware Code irgendwie veröffentlicht haben, oder den 341 00:16:53,440 --> 00:16:56,640 kannst du auch kaufen, je nachdem und den passen die ein 342 00:16:56,640 --> 00:16:59,360 wenig an. Krypten, die ihn in der Regel 343 00:16:59,360 --> 00:17:02,400 oder machen ihn auf eine Art und Weise etwas mehr Undetected 344 00:17:02,400 --> 00:17:06,319 nenne ich das jetzt mal, wodurch das normale Antivirus System 345 00:17:06,319 --> 00:17:09,680 oder vielleicht auch was ich gerne mal Antivirus 2.0 nenne, 346 00:17:09,680 --> 00:17:13,200 also ein IDA System, das sichergestellt wird, dass das 347 00:17:13,280 --> 00:17:16,720 die Rents immer nicht erkennt. Man ist jetzt natürlich bei, ich 348 00:17:16,720 --> 00:17:19,440 sag mal bei einem aktuellen oder bei einem modernen oder einem 349 00:17:19,440 --> 00:17:22,480 guten IDA System für die die nicht wissen. 350 00:17:22,880 --> 00:17:26,839 Was NIDA ist und warum das aus meiner persönlichen Sicht 351 00:17:26,839 --> 00:17:28,960 zumindest und auch aus Erfahrung heraus besser ist als n normales 352 00:17:28,960 --> 00:17:31,520 Antivirus. Das normale Antivirus 353 00:17:31,760 --> 00:17:34,960 funktioniert Signaturbasiert, das heißt Du musst eine böse 354 00:17:34,960 --> 00:17:39,120 Signatur von etwas Bösem kennen um oder es schon vorher kennen 355 00:17:39,120 --> 00:17:41,680 und sagen, Hey, das ist böse und dann gleicht es ab, ist das das 356 00:17:41,680 --> 00:17:44,320 gleiche ja oder nein, während bei einem IDA. 357 00:17:44,320 --> 00:17:46,400 Kann ich dann noch mal blutgrätchen machen, weil 358 00:17:46,400 --> 00:17:50,160 Signatur ist auch so, das hat das Wort hat schon 1000 mal 359 00:17:50,160 --> 00:17:52,960 gehört, ja. Aber was in in einem technischen 360 00:17:52,960 --> 00:17:56,640 Sprech exakt ist ja ne Signatur, die ich irgendwie fies, ne 361 00:17:56,640 --> 00:17:58,520 Signatur böse oder gut oder wie auch immer. 362 00:17:58,520 --> 00:18:01,200 Also das kurz. Ja, zum Beispiel meistens. 363 00:18:01,200 --> 00:18:03,720 Und die meisten Antivirussysteme funktionieren da auf, zum 364 00:18:03,720 --> 00:18:07,200 Beispiel in einem Hashlight auf eine Datei oder ein bestimmtes 365 00:18:07,200 --> 00:18:10,080 Artefakt in einem Arbeitsspeichercode oder eine 366 00:18:10,080 --> 00:18:13,000 bestimmte Codesignatur. Das sind so die, ich sag mal, 367 00:18:13,000 --> 00:18:15,120 zumindest die gängigsten, ne. Also es gibt natürlich noch viel 368 00:18:15,120 --> 00:18:18,400 mehr, aber was sehr, sehr häufig ist eine Datei, die als Böse 369 00:18:18,400 --> 00:18:21,120 identifiziert wurden, da macht man nen Show One drüber. 370 00:18:21,520 --> 00:18:24,720 Und dann weiß man, OK, diese Hash Summe ist böse und das wird 371 00:18:24,720 --> 00:18:28,200 dann zum Beispiel abgeglichen. Also noch mal kurz einfacher 372 00:18:28,200 --> 00:18:30,160 erklärt, wenn man man man es gibt. 373 00:18:30,160 --> 00:18:33,040 Also die, die die Schadsoftware ist ja auch quasi n Programm, 374 00:18:33,040 --> 00:18:35,280 kommt irgendwie daher in einer Punkt exe oder irgendsowas oder 375 00:18:35,280 --> 00:18:38,400 vielleicht auch geplant als PNG oder irgendsowas, aber besteht 376 00:18:38,400 --> 00:18:41,760 ja aus Bits und Bytes Einsen und Nullen und jetzt gibt es diese 377 00:18:41,760 --> 00:18:43,520 hashing Algorithmen, da hatten wir auch schon mal ne Folge 378 00:18:43,520 --> 00:18:46,920 rüber, jetzt kann ich quasi ausrechnen einen einen langen 379 00:18:46,920 --> 00:18:50,480 String. So ne Art Namen von von diesen 380 00:18:50,480 --> 00:18:52,120 Bits und Bytes. Ja, und wenn diese Bits und 381 00:18:52,120 --> 00:18:55,480 Bytes ne Kopie sind einer bekannten Schadsoftware, dann 382 00:18:55,480 --> 00:18:58,040 kommt halt auch der gleiche Name raus, den ich registrieren kann. 383 00:18:58,040 --> 00:19:01,440 Also ich, ich muss quasi keine umständliche, kein umständliches 384 00:19:01,440 --> 00:19:04,040 Stiffing machen und so weiter ich rechne quasi aus, wie wirst 385 00:19:04,040 --> 00:19:07,760 du heißen gegeben dann Einsen und Nullen genau und das ist 386 00:19:07,760 --> 00:19:10,720 dann registriert als Oh den dich kenn ich irgendwoher. 387 00:19:11,280 --> 00:19:13,680 Aus einer Liste, die hoffentlich upgedatet ist oder von deinem 388 00:19:13,680 --> 00:19:16,000 Rechner und dann erkenn ich das ja genau richtig. 389 00:19:16,080 --> 00:19:18,240 OK, dann haben wir das Signatur OK genau. 390 00:19:18,720 --> 00:19:20,960 Deshalb brauchst du mit deinem Standard Antivirus jeden Tag 391 00:19:20,960 --> 00:19:24,480 oder jede Stunde so n Update, damit du immer die neuesten 392 00:19:24,480 --> 00:19:28,720 Signaturen hast und weißt, OK wir wissen das ist böse und wenn 393 00:19:28,720 --> 00:19:31,120 er dann erkennt, OK, hier ist gerade was Böses, dann Allah. 394 00:19:31,360 --> 00:19:33,680 Darf ich noch ne Frage stellen? Ist jetzt selbstverständlich, 395 00:19:34,480 --> 00:19:38,080 wenn ich jetzt, wenn ich jetzt so n rancomware coder wäre, Mhm. 396 00:19:38,320 --> 00:19:40,960 Und ich weiß das funktioniert so mit diesen Signaturen ist ja 397 00:19:40,960 --> 00:19:44,080 unglaublich einfach den gleichen Quellcode Schluck andere 398 00:19:44,080 --> 00:19:46,880 Signatur zu geben also das reicht ja schon wenn ich n Space 399 00:19:46,960 --> 00:19:49,000 mehr oder weniger in den Quellcode reinmache da muss ich 400 00:19:49,000 --> 00:19:51,960 überhaupt nichts neu coden denn das ist die Eigenschaft von 401 00:19:51,960 --> 00:19:54,120 diesen hashing Algorithmen das selbst wenn ich 99,99% die 402 00:19:54,120 --> 00:19:56,840 gleichen Bits und Byte an der gleichen Stelle hab aber nur an 403 00:19:56,840 --> 00:19:59,600 den 0,001 was verändere kommt n ganz anderer kommt n ganz andere 404 00:19:59,680 --> 00:20:02,000 Signatur raus es ist die Eigenschaft dieser dieser 405 00:20:02,000 --> 00:20:07,120 hashing Algorithmen. Oh, hab ich es ja schon 406 00:20:07,120 --> 00:20:08,920 geschafft. Ja, also ist es nicht, ist es 407 00:20:08,920 --> 00:20:11,360 nicht ultra einfach? Wir haben ja klaut und so weiter 408 00:20:11,360 --> 00:20:15,760 einfach ganz viele verschiedene gleichartig böse aber mit 409 00:20:15,760 --> 00:20:18,560 Signaturen Schadsoftware herzustellen, die ich dann 410 00:20:18,560 --> 00:20:20,880 angreifen lasse, hab ich da sofort des Signaturkrempels 411 00:20:20,880 --> 00:20:22,320 ausgehebelt. Genau. 412 00:20:22,320 --> 00:20:25,160 Also deshalb ist auch aus meiner Sicht, das hab ich ja so gesagt, 413 00:20:25,360 --> 00:20:29,200 sehr, sehr häufig der Case, dass man das Standard Antivirus, was 414 00:20:29,200 --> 00:20:33,200 über viele viele Jahre existiert, nicht den Mehrwert 415 00:20:33,200 --> 00:20:36,160 bietet, von dem man glaubt, dass es das ist und deshalb. 416 00:20:36,640 --> 00:20:38,720 Empfehle ich auch immer wieder und man sieht tatsächlich auch 417 00:20:38,720 --> 00:20:40,960 in der Praxis weil es teilweise so einfach wie du es auch 418 00:20:40,960 --> 00:20:45,520 beschrieben hast wirklich umgehbar ist deshalb ein Ida und 419 00:20:45,840 --> 00:20:49,760 ein Ida ist quasi verhaltensbasiert das heißt es 420 00:20:49,760 --> 00:20:53,280 guckt nicht kenne ich diese eine Datei mit dieser hash Summe 421 00:20:53,520 --> 00:20:56,160 sondern es schaut kenne ich das Verhalten was hier gerade 422 00:20:56,160 --> 00:20:59,680 passiert in einer bestimmten Abfolge wenn ich jetzt meine it 423 00:20:59,680 --> 00:21:02,160 Sprache sprechen würde dann ist das als Beispiel. 424 00:21:02,720 --> 00:21:05,640 Was völlig normal ist. Ich öffne in Outlook meinen 425 00:21:05,640 --> 00:21:09,040 Anhang und dann öffnet sich im Internet Explorer irgendwas oder 426 00:21:09,040 --> 00:21:12,960 so und für dich was aber potenziell böse ist und 427 00:21:12,960 --> 00:21:17,120 eigentlich nie passiert ist. Wenn ich eine E Mail bekomme, 428 00:21:17,120 --> 00:21:20,960 der Taskmanager sagt OK in meinem Outlook Punkt exe 429 00:21:21,200 --> 00:21:23,920 passiert jetzt folgendes der öffnet die IE Explorer Punkt exe 430 00:21:23,920 --> 00:21:26,800 dann öffnet der die CMD Punkt exe die CMD Punkt exe führt ein 431 00:21:26,800 --> 00:21:30,240 Kommando aus welches herausfindet UMI. 432 00:21:30,560 --> 00:21:32,800 Was für administrative Berechtigung, also welcher User 433 00:21:32,800 --> 00:21:34,480 bin ich, was für Berechtigungen habe ich? 434 00:21:34,640 --> 00:21:38,880 Macht ein Ping auf irgendwas im Internet, also diese Abfolge 435 00:21:38,960 --> 00:21:43,440 wird quasi in einem Ida als Böse erkannt, das heißt, selbst wenn 436 00:21:43,440 --> 00:21:45,840 du den Dateinamen ändern würdest, selbst wenn du die Hash 437 00:21:45,840 --> 00:21:49,280 Summe ändern würdest, das Verhalten das änderst du nicht 438 00:21:49,280 --> 00:21:52,960 und genau das würde eben dieses Ida erkennen und deshalb auch 439 00:21:52,960 --> 00:21:55,280 sagen können geht sogar einen Schritt weiter, dass es dann 440 00:21:55,280 --> 00:21:58,920 sagt okay man kann dieses gesamte System isolieren und so 441 00:21:58,920 --> 00:22:02,000 weiter und so weiter. Und deshalb diese, ich sag mal, 442 00:22:02,480 --> 00:22:06,160 fortschrittlichere Erkennung und Isolation von Charts und fair. 443 00:22:07,040 --> 00:22:08,960 OK, ich versuch das auch noch mal zu wiederholen in meinen 444 00:22:08,960 --> 00:22:11,120 Worten was ich verstanden hab. Du sagst also es gibt 445 00:22:11,680 --> 00:22:15,680 ungewöhnliche Abfolgen im Betriebssystem von 446 00:22:15,680 --> 00:22:20,000 Programmenaufrufen die immer mindestens da wie n Alarmsignal 447 00:22:20,000 --> 00:22:22,960 auslösen könnten und und und. Diese Abfolge ist 448 00:22:22,960 --> 00:22:25,280 wahrscheinlich, also jede Aktion an sich sehr wahrscheinlich 449 00:22:25,280 --> 00:22:26,560 schlimm. Ich kann ja in Windows hingehen 450 00:22:26,560 --> 00:22:29,280 weil ich irgendwie was weiß ich Administrator bin mach halt CMD 451 00:22:29,280 --> 00:22:31,840 auf und. Also CMD ist ja die Command, das 452 00:22:31,840 --> 00:22:34,440 Command Line Interface, das ist schon speziell für den normalen 453 00:22:34,440 --> 00:22:37,280 Windows User, der macht das wahrscheinlich auf, aber ja das 454 00:22:37,280 --> 00:22:40,320 wär ja schon krass wenn jetzt mein mein IDA sagen würde ey du 455 00:22:40,320 --> 00:22:42,320 bist n Virus und darfst nicht aufmachen, das wär schon doof ja 456 00:22:42,560 --> 00:22:45,600 und es gibt anscheinend so n Programm was das beobachtet 457 00:22:45,600 --> 00:22:48,480 welche Prozesse gestartet werden mit welchen Zeitstempeln, das 458 00:22:48,480 --> 00:22:51,720 ist schon so n Betriebssystem was weiß man und der gesagt hat 459 00:22:51,720 --> 00:22:53,960 OK hier war wurde Outlook gestartet dann wurde irgendwie 460 00:22:53,960 --> 00:22:56,640 in den Explorer gestartet und dann wurde irgendwie der Browser 461 00:22:56,640 --> 00:22:58,560 aufgemacht und jetzt wird ne CMD aufgemacht. 462 00:22:58,880 --> 00:23:01,920 Es ist mal so, ja, und dann geht dann ne Alarmglocke an. 463 00:23:01,920 --> 00:23:02,960 Hab ich das richtig? Verstanden? 464 00:23:03,200 --> 00:23:06,480 Ja genau, in so ne Richtung geht das und dass NIDA sag ich mal 465 00:23:06,480 --> 00:23:08,840 noch sogar zentralisierter verwaltet werden kann, auch von 466 00:23:08,840 --> 00:23:11,640 Organisationen halt noch n ne Ecke professioneller ne. 467 00:23:11,640 --> 00:23:13,120 Aber ja in die Richtung geht das. 468 00:23:13,680 --> 00:23:15,440 Ist ja schon ne Verteidigungsmaßnahme oder? 469 00:23:15,440 --> 00:23:17,920 Bestimmt schon so ne oder Sicherheitsmaßnahme. 470 00:23:17,920 --> 00:23:21,080 Jetzt waren wir ja noch bei den bei den Grüppchen die das so 471 00:23:21,080 --> 00:23:22,320 machen. Ja das war ja gerade mal der der 472 00:23:22,320 --> 00:23:25,120 der zweite Case so ne. Genau, genau richtig. 473 00:23:25,120 --> 00:23:27,400 Das war jetzt der zweite Case und jetzt kommen wir zu dem, was 474 00:23:27,400 --> 00:23:30,320 wahrscheinlich die meisten im Kopf haben und auch ich sag mal 475 00:23:30,320 --> 00:23:33,840 viele Kunden von uns dann sagen, na ja, ich möchte mich jetzt 476 00:23:33,840 --> 00:23:36,320 hier gegen Nation State gegen die Nordkoreaner schützen und so 477 00:23:36,320 --> 00:23:39,840 weiter ich sag dann meistens um vielleicht zumindest kurz das 478 00:23:39,840 --> 00:23:43,600 noch zu erwähnen, Hey mach doch erst mal die Basic Sachen bevor 479 00:23:43,600 --> 00:23:46,080 du versuchst dich vor den Amis, den nordkoreanischen 480 00:23:46,080 --> 00:23:49,280 Hackergruppen wie Fancy Bär und hast nicht gesehen wie sie alle 481 00:23:49,280 --> 00:23:52,000 heißen zu schützen. Das ist schon sehr, sehr, sehr 482 00:23:52,000 --> 00:23:53,280 schwierig. Also wenn wir jetzt in über 483 00:23:53,280 --> 00:23:56,960 diese Gruppierung sprechen, die haben dann meistens irgendwelche 484 00:23:56,960 --> 00:24:00,320 Track Intelligence Analysten oder Cyber Security Analysten, 485 00:24:00,320 --> 00:24:02,800 die den ganzen Tag nur Schadsoftware auseinandernehmen, 486 00:24:03,040 --> 00:24:06,160 die geben denen dann solche interessanten Namen und 487 00:24:06,160 --> 00:24:08,560 versuchen dann basiert auf unterschiedlichen 488 00:24:08,560 --> 00:24:11,440 Vorgehensweisen, die die Angreifer machen, denen auch 489 00:24:11,440 --> 00:24:15,360 Namen zu geben und. Denen gewisse Angriffe zu zu 490 00:24:15,360 --> 00:24:19,280 attributieren sage ich mal. Und das sind in der Regel eigene 491 00:24:19,280 --> 00:24:24,320 Companies, also die gehen jeden Tag, jeden morgen um 09:00 Uhr 492 00:24:24,320 --> 00:24:26,880 zur Arbeit, gehen um 17:00 Uhr wieder weg, haben ihren Nine to 493 00:24:26,880 --> 00:24:30,240 Five Job, sind keine sechzehnjährigen Hoodie Träger 494 00:24:30,240 --> 00:24:32,960 im Keller oder so. Das das funktioniert wie in 495 00:24:32,960 --> 00:24:36,160 einem Großkonzern, die haben eine eigene HR Abteilung, die 496 00:24:36,240 --> 00:24:38,280 haben eine eigene Finance Abteilung und. 497 00:24:38,480 --> 00:24:41,840 Wenn die Urlaub haben wollen, die haben auch ihre 2030 Tage, 498 00:24:41,840 --> 00:24:44,640 je nachdem in welchem Land die sind und die müssen auch ihren 499 00:24:44,640 --> 00:24:48,400 Urlaub beantragen, die haben einen Team Lead und sind nur mal 500 00:24:48,400 --> 00:24:53,120 als anderes Beispiel jeweils nach deren Skillset unterteilt. 501 00:24:53,280 --> 00:24:56,240 Ich fang mal an mit den Leuten die die Schadsoftware 502 00:24:56,240 --> 00:24:58,360 entwickeln. Werden wir gerade eben erkannt 503 00:24:58,360 --> 00:25:00,440 oder verstanden? Okay es gibt noch so ein 504 00:25:00,440 --> 00:25:03,680 Neuartigeres Antivirus System dieses Ida, das muss natürlich 505 00:25:03,680 --> 00:25:05,920 auch ausgetrickst werden, genauso wie die alten Dinger, 506 00:25:06,080 --> 00:25:07,840 das heißt ich brauche jemanden der eine Schadsoftware 507 00:25:07,840 --> 00:25:11,360 entwickelt, die A funktioniert, dann habe ich das zweite Team in 508 00:25:11,360 --> 00:25:15,360 der Regel und dieses Team kümmert sich nur darum alle 509 00:25:15,360 --> 00:25:19,800 möglichen Antivirus und Ida Systeme auszutricksen, das nennt 510 00:25:19,800 --> 00:25:22,240 sich Invasion Techniken, sondern das heißt hier haben wir schon 511 00:25:22,240 --> 00:25:25,480 mal 2 Abteilungen die völlig autark unabhängig voneinander 512 00:25:25,480 --> 00:25:27,760 funktionieren. Die übergeben das dann an das 513 00:25:27,760 --> 00:25:31,680 dritte Team und das dritte Team. Das sucht den ganzen Tag nur 514 00:25:31,680 --> 00:25:35,200 nach, ich sag mal Zero Day Schwachstellen irgendwo im 515 00:25:35,200 --> 00:25:38,360 Internet oder in irgendeiner Software, also Zero Day, quasi 516 00:25:38,360 --> 00:25:42,080 noch unbekannte Schwachstellen, die eigentlich fast noch niemand 517 00:25:42,080 --> 00:25:45,280 kennt, sag ich mal. Wenn man diese dann gefunden 518 00:25:45,280 --> 00:25:49,040 hat, dann entwickelt man entsprechende Exploits dafür, 519 00:25:49,040 --> 00:25:52,360 also eine Ausnutzung dieser Schwachstelle und dann gibt es 520 00:25:52,360 --> 00:25:55,840 das nächste Team, was sich. Immer wie gesagt sehr sehr 521 00:25:55,920 --> 00:25:59,280 messerscharf auf genau diese Aktivitäten fokussiert, nämlich 522 00:25:59,280 --> 00:26:03,760 diese Exploits auszunutzen, dann eine Shell zu craten, also eine 523 00:26:04,080 --> 00:26:07,600 eine Remote Konnektivität. Manche kennen vielleicht RDP, 524 00:26:07,600 --> 00:26:10,800 mal als Beispiel oder von mir aus auch irgendeine Unix Shell 525 00:26:10,800 --> 00:26:14,000 oder was auch immer oder eine powershell, sodass man auf das 526 00:26:14,000 --> 00:26:18,800 Zielsystem zugreifen kann, um dann die von Team 1 erstellte 527 00:26:18,800 --> 00:26:21,320 Schadsoftware darauf zu implementieren, um einen 528 00:26:21,320 --> 00:26:23,920 dauerhaften Connect zu haben. Dann gibt es den nächsten 529 00:26:23,920 --> 00:26:26,680 Angriffstrupp, der Angriffstrupp, der bewegt sich 530 00:26:26,680 --> 00:26:30,320 lateral weiter im Unternehmen und mit lateral meine ich, ich 531 00:26:30,320 --> 00:26:33,600 gucke mir an okay, in welchem Netzsegment bin ich, in welcher 532 00:26:33,600 --> 00:26:36,440 Company bin ich, ich recherchiere über das 533 00:26:36,440 --> 00:26:38,800 Unternehmen, ich gucke zum Beispiel, ob die Nissheimer 534 00:26:38,800 --> 00:26:42,320 Versicherungen haben und so weiter und so weiter und dann 535 00:26:42,320 --> 00:26:46,360 gibt es eben auch Verhandler, das heißt, die Leute oder die 536 00:26:46,360 --> 00:26:48,640 die professionellen Angriffstrupps, die werden 537 00:26:48,640 --> 00:26:51,920 nicht, sobald die drin sind, und das ist eben oft ein Irrglaube. 538 00:26:52,240 --> 00:26:54,640 Die werden nicht sofort die Ransomware starten und euch 539 00:26:54,640 --> 00:26:56,760 bezahlen lassen. Das ist nicht klug, die 540 00:26:56,760 --> 00:26:59,800 Kundschaften erstmal alles aus, die wollen keine Alarmglocken 541 00:26:59,800 --> 00:27:03,120 klingeln lassen, die wollen nicht auffallen, das heißt die 542 00:27:03,120 --> 00:27:05,280 ziehen erstmal Informationen über das Unternehmen, 543 00:27:05,280 --> 00:27:07,440 währenddessen ziehen die auch die Daten ab, wir haben ja 544 00:27:07,440 --> 00:27:10,240 gerade eben gelernt Double Extosion, Triple Extosion und so 545 00:27:10,240 --> 00:27:12,480 weiter das heißt, sie bereiten sich darauf vor? 546 00:27:13,040 --> 00:27:15,800 Und dann irgendwann wissen die okay das ist jetzt, ich will 547 00:27:15,800 --> 00:27:17,600 jetzt kein Unternehmen nennen, aber ich sag einfach mal 548 00:27:17,760 --> 00:27:21,240 Unternehmen XY, groß Konzern und wir haben es geschafft, 549 00:27:21,240 --> 00:27:25,360 vielleicht sogar in die Backups reinzukommen, weil was ich immer 550 00:27:25,360 --> 00:27:28,480 wieder gerne, ja, wir haben ja Backups, klar, aber wenn der, 551 00:27:28,480 --> 00:27:33,400 wenn der Angriffstrupp, ich sag mal schon 3456 Wochen drin ist, 552 00:27:33,680 --> 00:27:36,960 dann haben die ihre Charts auch in den Backups drin und viel 553 00:27:36,960 --> 00:27:39,440 Spaß bei der Wiederherstellung dann, und das sind eben die 554 00:27:39,440 --> 00:27:44,000 Profis, die gehen wirklich so weit, dass es sehr, sehr schwer 555 00:27:44,000 --> 00:27:45,960 ist. Ich sag mal sich davor wirklich 556 00:27:45,960 --> 00:27:48,080 zu schützen. Man kriegt dann immer ja nen 557 00:27:48,080 --> 00:27:50,120 kalten Schauer im Rücken runter. So ne wenn man so drüber 558 00:27:50,120 --> 00:27:54,640 nachdenkt ja, aber wenn also da sind ja so n paar Sachen dabei. 559 00:27:54,640 --> 00:27:56,720 Ich spreche jetzt immer noch mal n bisschen technisch, wenn du 560 00:27:56,720 --> 00:27:58,680 Lust hast. Ich weiß nicht ob wir da noch 561 00:27:58,680 --> 00:28:02,080 weiterkommen, aber also wenn ich das jetzt erkennen möchte und 562 00:28:02,080 --> 00:28:04,640 wenn ich jetzt wenn ich jetzt n Angreifer bin und du sagst ja 563 00:28:04,640 --> 00:28:06,800 diese für die Double extauscht und so weiter ich brauch zieh 564 00:28:06,800 --> 00:28:09,240 Daten ab. Also wenn das jetzt n wenn das 565 00:28:09,240 --> 00:28:11,440 jetzt n paar Daten sind, dann sind es ja auch n paar Daten und 566 00:28:11,440 --> 00:28:15,040 abziehen heißt ja es werden Daten von einem lokalen Rechner 567 00:28:15,520 --> 00:28:18,800 an ne IP Adresse an irgendwas was im Internet ist hochgeladen. 568 00:28:19,360 --> 00:28:22,160 Alleine das ist ja schon mal n Pattern würde ich sagen bei ganz 569 00:28:22,160 --> 00:28:25,080 vielen Firmen das nicht üblich ist, weil normalerweise ist der 570 00:28:25,080 --> 00:28:27,600 weg andersrum, du ziehst halt irgendwie von außen Daten nach 571 00:28:27,600 --> 00:28:29,200 innen bekommst du ja immer Sachen ja. 572 00:28:29,520 --> 00:28:32,600 Ja, Uploads im großen Stil deswegen also ne, wenn du da zum 573 00:28:32,600 --> 00:28:34,320 Beispiel mit Deinem mit dem Internetprovider machst, die 574 00:28:34,320 --> 00:28:36,160 reden ja immer nur von Downloadzahlen aus gutem Grund, 575 00:28:36,160 --> 00:28:38,200 weil du streamst halt die Netflix und so weiter sind ja 576 00:28:38,200 --> 00:28:40,400 alles Sachen die kommen, da kommen von außen nach innen 577 00:28:40,400 --> 00:28:44,800 Daten rein, ne der andere Weg in großer Menge in großem Volumen, 578 00:28:45,360 --> 00:28:48,320 alleine das müsste doch schon total einfach zu detektieren 579 00:28:48,320 --> 00:28:49,600 sein. Ja und da müssten doch schon 580 00:28:49,600 --> 00:28:53,360 Programme geben die die eingehen sagen Pass mal auf aus aus 581 00:28:53,360 --> 00:28:56,560 irgendeinem Grund und das kannst du ja auf der Netzwerkkarte ja 582 00:28:56,560 --> 00:28:58,600 feststellen ne du hast ja n Stück Hardware in deinem 583 00:28:58,600 --> 00:29:00,560 Rechner. Also das weiß man ja alles, 584 00:29:00,560 --> 00:29:04,400 wieviel Bits da verloren gehen, quasi Richtung Richtung Cloud. 585 00:29:04,400 --> 00:29:07,440 Ja Mhm, das müsste man doch, das müsste auch ziemlich einfach 586 00:29:07,440 --> 00:29:10,560 sein zu detektieren oder nicht, oder die müssen das immer Monate 587 00:29:10,560 --> 00:29:12,960 stückchenweise irgendwie sich dann da schnappen oder 588 00:29:12,960 --> 00:29:14,480 irgendsowas ja weiß ich nicht. Genau. 589 00:29:14,480 --> 00:29:16,280 Also es gibt unterschiedliche Variationen. 590 00:29:16,280 --> 00:29:19,720 Ich sag mal, vor vielen Jahren war es tatsächlich noch so, dass 591 00:29:19,720 --> 00:29:24,000 man so n Initialen Spike dann vor der Aktivierung einer 592 00:29:24,000 --> 00:29:26,240 Randomware gab, dass man gesehen hat, OK, da sind jetzt 5 593 00:29:26,240 --> 00:29:28,560 Gigabyte Daten rausgegangen oder so genau, aber. 594 00:29:28,800 --> 00:29:32,920 Jetzt geh mal in den Konzern. Wie schnell gehen 5 Gigabyte an 595 00:29:32,920 --> 00:29:35,200 Daten insgesamt auf Deiner Firewall raus? 596 00:29:35,520 --> 00:29:40,200 Das ist auf einem einzelnen, ich sag mal auf einer einzelnen 597 00:29:40,200 --> 00:29:42,680 Workstation passiert. Ist schon außergewöhnlich, aber 598 00:29:42,680 --> 00:29:46,560 meistens versuchen sie natürlich und die sind auch nicht blöd, 599 00:29:46,560 --> 00:29:50,000 die Angreifer, die versuchen das schon getaktet drüber zu bringen 600 00:29:50,080 --> 00:29:53,840 über einen ganz entspannten kontinuierlichen Strom und auch 601 00:29:53,840 --> 00:29:57,520 verteilt über unterschiedliche Ich sag mal Agents nenne ich das 602 00:29:57,520 --> 00:30:00,280 jetzt mal. Also wenn wenn du mehrere Punkte 603 00:30:00,280 --> 00:30:02,560 hast, die du im Netzwerk infiltriert hast, dann versuchst 604 00:30:02,560 --> 00:30:04,960 du dir die Netzwerklast auch ein bisschen zu verteilen. 605 00:30:05,120 --> 00:30:07,440 Und ob auf einer normalen Corporate Firewall jetzt 5 606 00:30:07,440 --> 00:30:10,080 Gigabyte mehr rausgehen oder nicht, das fällt sehr sehr 607 00:30:10,080 --> 00:30:13,800 selten auf, aber wo und da bin ich voll bei dir, wo eben man 608 00:30:13,800 --> 00:30:16,840 eben genau eine solche Regel implementieren muss, dann muss 609 00:30:16,840 --> 00:30:18,840 man aber auch die entsprechenden Logdaten bekommen. 610 00:30:18,840 --> 00:30:21,680 Ganz wichtig ist nämlich in einem sogenannten Theme, also 611 00:30:21,680 --> 00:30:24,600 ein Security Information Event Monitoring System, das ist so 612 00:30:24,600 --> 00:30:27,200 ein Ding was Cyber Analysten verwenden und. 613 00:30:27,600 --> 00:30:29,600 Wenn man das noch nicht gehört hat, kann man sich das so 614 00:30:29,600 --> 00:30:32,200 vorstellen. So ein riesen Raum, ganz ganz 615 00:30:32,200 --> 00:30:36,320 viele Monitore und da Klick ibunti Hey, wir werden gerade 616 00:30:36,320 --> 00:30:40,080 angegriffen und guck dir das mal bitte an, so ungefähr könnte man 617 00:30:40,080 --> 00:30:42,440 das bezeichnen und dieses CM ist ich sag mal die 618 00:30:42,440 --> 00:30:47,520 Unternehmensdatenkrake lediglich für Security Informationen von 619 00:30:47,520 --> 00:30:50,960 jedem Kleinen, von jedem Server, von jeder Firewall und diese 620 00:30:50,960 --> 00:30:53,280 Dinge korreliert man sehr intelligent miteinander und 621 00:30:53,280 --> 00:30:55,080 genauso Burkhardt wie du es gerade gesagt hast. 622 00:30:55,320 --> 00:30:57,600 Man checkt. Hey, gibt es hier irgendeinen 623 00:30:57,760 --> 00:31:01,520 Anormalen Spike in Unternehmensdaten, die abfließen 624 00:31:01,920 --> 00:31:04,320 und wenn ja, dann sollte vielleicht noch das und das 625 00:31:04,320 --> 00:31:06,720 zutreffen, damit ich n Alarm mache, damit n Analyst sich das 626 00:31:06,720 --> 00:31:09,880 anschauen kann. Mhm, danke für diesen Internet, 627 00:31:09,880 --> 00:31:12,240 weil er was unterstrichen, natürlich wahr bleibt, ist es 628 00:31:12,240 --> 00:31:13,760 wie im im menschlichen Organismus. 629 00:31:13,760 --> 00:31:17,680 Ja, es gibt einen ständigen Kampf vom Virus gegen humane 630 00:31:17,680 --> 00:31:20,560 Zellen, gegen Immunsystem, ja und jeder bewaffnet sich immer 631 00:31:20,560 --> 00:31:24,080 stärker und mal gewinnt der eine und mal gewinnt der andere. 632 00:31:24,480 --> 00:31:27,000 Weil es halt n ewiger Wettkampf ist um um die Technologien und 633 00:31:27,000 --> 00:31:28,720 so weiter das das ist glaub ich dann auch so. 634 00:31:28,720 --> 00:31:31,120 Ja bringt. Uns ja zurück zu dem ersten 635 00:31:31,120 --> 00:31:33,440 Punkt, ne, aber wenn du schon mal so die Basics hast, so dann 636 00:31:33,440 --> 00:31:36,080 springen die Halt schnell zum nächsten ja und und wo es 637 00:31:36,080 --> 00:31:38,000 vielleicht einfacher ist so. Absolut. 638 00:31:38,240 --> 00:31:40,200 Diese Trupps. Ja, das frag ich mich die ganze 639 00:31:40,200 --> 00:31:41,440 Zeit. Ja, du schreibst sie so mit den 640 00:31:41,440 --> 00:31:43,720 5 Abteilungen jetzt so Entwicklungsabteilungen 641 00:31:43,720 --> 00:31:47,840 Operations und dann gibt es noch HR und so weiter und sofort und 642 00:31:47,920 --> 00:31:50,000 Nine to Five und so woher weiß man das denn? 643 00:31:50,000 --> 00:31:52,320 Gibt es da so viele Insider plaudern die das aus oder? 644 00:31:52,960 --> 00:31:55,680 Also so viele natürlich nicht. Aber wenn man sich insbesondere 645 00:31:55,680 --> 00:31:58,680 in der sogenannten Track Intelligence Community sehr tief 646 00:31:58,680 --> 00:32:01,800 verzahnt, dann bekommt man da das ein oder andere Mal mit, 647 00:32:01,800 --> 00:32:04,880 dann wird die ein oder andere Information auch mal über andere 648 00:32:04,880 --> 00:32:07,840 Kanäle wie ich sagen geleakt. Und wenn man sich einfach sehr, 649 00:32:07,840 --> 00:32:09,520 sehr viel und das wisst ihr selbst, mit einer ganz 650 00:32:09,520 --> 00:32:11,920 bestimmten Thematik beschäftigt und Track Intelligence. 651 00:32:12,400 --> 00:32:15,600 Ist eben genau dieses, wie ticken Angreifer, wie 652 00:32:15,600 --> 00:32:18,720 funktionieren sie, wie sind sie aufgebaut, wie funktioniert 653 00:32:18,720 --> 00:32:21,600 deren Schadsoftware. Das ist quasi die Bezeichnung 654 00:32:21,600 --> 00:32:25,520 von Frat Intelligence auf der einen Seite Public Information, 655 00:32:25,600 --> 00:32:28,240 aber auch, ich nenne sie mal private Information oder nicht, 656 00:32:28,240 --> 00:32:31,680 Public accessible ist vielleicht der bessere Begriff diese 657 00:32:31,680 --> 00:32:36,080 Information zu analysieren, zu verwerten um sich um Angreifer 658 00:32:36,080 --> 00:32:38,880 zu verstehen, um deren Angriffswege und 659 00:32:38,880 --> 00:32:42,080 Angriffspatterns zu verstehen. Um sich dann am Ende davor eben 660 00:32:42,080 --> 00:32:44,560 schützen zu können. Und genau in diesem Bereich 661 00:32:44,560 --> 00:32:47,360 kommt man dann zu solchen Informationen, weil auch 662 00:32:47,360 --> 00:32:50,080 Angreifer angegriffen werden. Übrigens also wenn man 663 00:32:50,080 --> 00:32:51,720 herausfindet, dann gibt es natürlich auch andere 664 00:32:51,720 --> 00:32:54,400 Angriffstrupps, weil ich meine, stellt euch mal vor, ihr wärt 665 00:32:54,560 --> 00:32:58,400 einer der intelligentesten, attraktivsten, attraktivsten, 666 00:32:58,400 --> 00:33:01,800 Angriffstrupps und ihr möchtet mal ein Zeichen setzen und einen 667 00:33:01,800 --> 00:33:03,840 anderen Angriffstrupp mal auseinander nehmen, so was 668 00:33:03,840 --> 00:33:07,880 passiert auch und wenn man dann herausfindet, hey, die anderen 669 00:33:07,880 --> 00:33:10,720 machen das so und so. Und ich hab ne Lücke in deren 670 00:33:10,720 --> 00:33:13,760 Schadsoftware gefunden, dann kann das auch sein, dass man 671 00:33:13,760 --> 00:33:19,840 solche Sachen mal liegt. Mhm Bandenkriminalität ja, dass 672 00:33:19,840 --> 00:33:22,080 die Maffe ja selber lahmlegt. Dann haben wir alle anderen 673 00:33:22,320 --> 00:33:26,000 wieder. Untereinander OK, ja krass OK 674 00:33:26,080 --> 00:33:28,960 so, aber diese dieser dritte Fall ist jetzt schon der, der am 675 00:33:29,280 --> 00:33:31,320 häufigsten passiert oder so, also wirklich die das 676 00:33:31,320 --> 00:33:33,520 organisierte Verbrechen an der Stelle. 677 00:33:33,760 --> 00:33:38,320 Ich würd sagen so n so n, also eher der zweitere oder n Mix aus 678 00:33:38,320 --> 00:33:41,360 dem Zweiteren und Dritteren, also den die aus dem Dritteren, 679 00:33:41,360 --> 00:33:45,920 die bekommt man dann in der Presse teilweise eher oder eher 680 00:33:45,920 --> 00:33:47,920 auch selten mit. Also die richtig professionellen 681 00:33:47,920 --> 00:33:51,720 Angriffstrupps und eher so n Mix aus 2 und 3 hätt ich gesagt, ist 682 00:33:51,720 --> 00:33:54,480 das Typische was ihr in der Presse so mitbekommt, wenn XY 683 00:33:54,480 --> 00:33:57,200 unternehmen mal gehackt wurde. Gut, dann haben wir mal so grob 684 00:33:57,200 --> 00:33:59,880 geklärt, was Rancybrell ist. Wer dahinter steckt, sind auch 685 00:33:59,880 --> 00:34:01,480 schon mal n bisschen auf die Sicherheitsmaßnahmen 686 00:34:01,480 --> 00:34:03,040 eingegangen, die man so ergreifen kann. 687 00:34:03,040 --> 00:34:04,600 Aber. Vielleicht gehen wir noch mal 688 00:34:04,600 --> 00:34:06,960 auf die Wege ein, wie das so ins Unternehmen kommen kann. 689 00:34:06,960 --> 00:34:08,600 Vielleicht gar nicht so detailliert. 690 00:34:08,600 --> 00:34:10,800 Wir hatten schon hier die eine andere Security Folge, aber 691 00:34:10,880 --> 00:34:14,159 kannst du sicherlich noch n Überblick geben und was ich mich 692 00:34:14,159 --> 00:34:16,520 auch Frage ist, man sagt so ja dann werden halt Daten 693 00:34:16,520 --> 00:34:18,800 verschlüsselt und dann ist da die Randomware drin aber was was 694 00:34:18,800 --> 00:34:22,639 passiert da eigentlich, also wie geht das technisch frag ich mich 695 00:34:22,639 --> 00:34:25,600 wie funktioniert so ne Software so ne Randomware innen drin, was 696 00:34:25,600 --> 00:34:28,159 macht die denn da eigentlich? Also innen drin ist es 697 00:34:28,159 --> 00:34:30,840 eigentlich Simplifiziert gesagt N eigener 698 00:34:30,840 --> 00:34:34,400 Verschlüsselungsalgorithmus. Eigentlich kein anderer als den, 699 00:34:34,400 --> 00:34:36,360 den man für alles andere verwendet, was man so 700 00:34:36,360 --> 00:34:38,239 verschlüsselt. Ich meine, stell dir vor, wenn 701 00:34:38,239 --> 00:34:40,800 wir jetzt ins Web gehen, dann verwenden wir in der Regel TLSS 702 00:34:40,800 --> 00:34:44,159 Case 1.3 oder SSL, vielleicht noch bei Älteren so das heißt 703 00:34:44,159 --> 00:34:47,320 ich surfe zu Amazon, Amazon verschlüsselt die Daten, schickt 704 00:34:47,320 --> 00:34:51,120 sie mir Punkt zu Punkt, ich kann Sie bei mir entschlüsseln, genau 705 00:34:51,120 --> 00:34:54,159 so funktioniert das auch nur mit einem anderen Algorithmus, 706 00:34:54,480 --> 00:34:58,000 manchmal sind die selbst gestrickt, die richtig guten 707 00:34:58,000 --> 00:35:01,680 verwenden natürlich robuste, in der Öffentlichkeit bekannte. 708 00:35:02,000 --> 00:35:04,240 Die man nur auf eine ganz bestimmte Art und Weise dann 709 00:35:04,240 --> 00:35:06,080 auch mit dem Key ordentlich entschlüsseln kann. 710 00:35:06,480 --> 00:35:09,760 Ein besonderer Punkt ist jedoch, und das fällt mir auch immer 711 00:35:09,760 --> 00:35:13,440 wieder auf und auch für die Zuhörerinnen und Zuhörer, es 712 00:35:13,440 --> 00:35:17,200 gibt, wenn jemand mal betroffen ist, gibt es auch kostenlose 713 00:35:17,200 --> 00:35:20,600 Wege, wie man vielleicht prüfen kann, ob die Ransomer, die einen 714 00:35:20,600 --> 00:35:23,920 infiziert hat, eine Lücke hat, also der verschlüsselungs 715 00:35:23,920 --> 00:35:27,600 Algorithmus eine Schwäche, die man ausnutzen kann, ohne zu 716 00:35:27,600 --> 00:35:29,680 bezahlen, das Ganze wieder zu entschlüsseln. 717 00:35:30,160 --> 00:35:32,960 Und ne. Deshalb ist also so gut. 718 00:35:33,040 --> 00:35:35,520 Also selbst wenn ein Angreifer der ich sag mal der beste 719 00:35:35,520 --> 00:35:38,400 Angreifer der Welt wäre, kann sein, dass er nicht der beste 720 00:35:38,400 --> 00:35:40,320 Coder der Welt ist und dass er einen 721 00:35:40,320 --> 00:35:43,520 Verschlüsselungsalgorithmus nicht perfekt implementiert hat, 722 00:35:43,920 --> 00:35:46,800 wodurch du es vielleicht über n Umweg schaffen kannst den 723 00:35:46,800 --> 00:35:48,400 Verschlüsselungsalgorithmus auszuhebeln. 724 00:35:49,200 --> 00:35:53,480 OK, jede Software kann Fehler haben, so quasi. 725 00:35:54,320 --> 00:35:57,040 Ja genau, richtig, absolut eben auch die Schadsoftware. 726 00:35:57,200 --> 00:35:59,760 Ziemlich verrückte Welt, irgendwie so keine Ahnung, aber 727 00:35:59,760 --> 00:36:02,880 spannend, ja OK verstanden, Verschlüsselung, Algorithmen 728 00:36:02,880 --> 00:36:05,360 entweder eigene, aber die besten benutzen eigentlich welche volle 729 00:36:05,360 --> 00:36:08,400 Stange, sagen wir es mal so in Anführungsstrichen ne und und 730 00:36:08,400 --> 00:36:10,600 wie kommen die jetzt das Unternehmen also genau man kennt 731 00:36:10,600 --> 00:36:14,200 man kennt dieses USB Stick Beispiel oder Phishing Mails und 732 00:36:14,200 --> 00:36:16,400 so n Kram. Genau genau also deshalb 733 00:36:16,400 --> 00:36:18,240 Phishing Mails ist glaub ich jedem bekannt, das muss ich 734 00:36:18,240 --> 00:36:19,200 glaub ich nicht mal mehr erzählen. 735 00:36:19,200 --> 00:36:21,440 Jeder hat wahrscheinlich auch schon mal Phishing Tests 736 00:36:21,440 --> 00:36:23,920 mitgemacht und da versehentlich drauf geklickt und sich dran 737 00:36:23,920 --> 00:36:26,240 geärgert. Ich glaube, das ist also 738 00:36:26,240 --> 00:36:28,480 Phishing, oder? Ich sag mal grundsätzlich e Mail 739 00:36:28,480 --> 00:36:34,240 ist immer noch, und zwar zu über 90%, der der erfolgreichste 740 00:36:34,240 --> 00:36:37,760 Angriffsvektor, wie man in ein Unternehmen reinkommt oder einen 741 00:36:37,760 --> 00:36:39,600 Rechner auch einen Privatrechner infiziert. 742 00:36:40,000 --> 00:36:43,000 Deshalb ist es unglaublich wichtig, diesen Faktor oder 743 00:36:43,000 --> 00:36:47,280 diesen Eingangskanal e Mail so gut wie möglich abzusichern, da 744 00:36:47,280 --> 00:36:49,760 gibt es natürlich auch über e Mail hinausgehend so was wie 745 00:36:49,840 --> 00:36:52,720 Downloads. Insbesondere zu früheren Zeiten, 746 00:36:52,720 --> 00:36:55,360 wo es noch emule gab und Rapidshare. 747 00:36:55,680 --> 00:36:59,200 Und hast du nicht gesehen, wo es also Zeiten wo es kein Netflix 748 00:36:59,200 --> 00:37:01,680 gab und man und viele sich zumindest Filme runtergeladen 749 00:37:01,680 --> 00:37:06,000 haben und so weiter da war oft auch Schadsoftware mit dran und 750 00:37:06,000 --> 00:37:08,440 das ist auch noch ich, ich will es sagen Gang und gebe, aber 751 00:37:08,440 --> 00:37:11,680 trotzdem eher selten der Fall. Dann gibt es natürlich ich sag 752 00:37:11,680 --> 00:37:14,960 mal offene Remote Zugänge die man sich grundsätzlich schon so 753 00:37:14,960 --> 00:37:17,360 nehmen kann, die irgendwie öffentlich aus dem Internet 754 00:37:17,360 --> 00:37:19,680 erreichbar sind. Die kann man sich auch sehr, 755 00:37:19,760 --> 00:37:23,280 sehr einfach über etwas, das nennt sich schodern Punkt IO, 756 00:37:23,280 --> 00:37:26,120 weil wenn man da drauf surft sieht man auch was alles so aus 757 00:37:26,120 --> 00:37:28,720 dem Internet ungesichert erreichbar ist. 758 00:37:29,040 --> 00:37:32,160 Und dann hätte ich so ein schönes Beispiel und zwar war 759 00:37:32,160 --> 00:37:34,600 das ich weiß nicht ob ihr davon schon mal gehört hattet Colonial 760 00:37:34,600 --> 00:37:37,560 Pipeline und zwar Colonial Pipeline ist. 761 00:37:37,560 --> 00:37:41,520 Ich sag mal eine der größten Benzinlieferanten in den 762 00:37:41,520 --> 00:37:45,080 Vereinigten Staaten und wie ist man da reingekommen, wie hat man 763 00:37:45,080 --> 00:37:50,080 die Rancimate reingeschleust? Nee, nicht nicht übers od. 764 00:37:50,080 --> 00:37:54,720 Das ist eben der derbesondere.es hat folgendermaßen funktioniert. 765 00:37:55,440 --> 00:37:59,360 Jemand hat Zugangsdaten aus dem Tor, Netzwerk oder aus dem 766 00:37:59,360 --> 00:38:02,560 Underground Forum sage ich einfach mal von einem Ex 767 00:38:02,560 --> 00:38:07,120 Mitarbeiter gefunden und die hat man dann verwendet, hat sich 768 00:38:07,120 --> 00:38:11,080 dann über ein VPN eingewählt was nicht per Multifaktor irgendwie 769 00:38:11,080 --> 00:38:15,920 gesichert war und genauso war man dann drin und das ist schon. 770 00:38:16,240 --> 00:38:18,600 Besonders das dann und deshalb noch mal auf das, was du gerade 771 00:38:18,600 --> 00:38:20,000 gesagt hast. Burkhardt eingehend. 772 00:38:20,200 --> 00:38:24,320 Es wurde eben nicht die OT infiltriert, sondern die.it 773 00:38:24,720 --> 00:38:28,600 bedeutet alleswas.it war Buchhaltung und Abrechnung und 774 00:38:28,600 --> 00:38:31,840 so weiter das wurde dann mit der Rand Summe infiltriert und dann 775 00:38:31,840 --> 00:38:34,640 konnten die nicht mehr abrechnen und stellt euch mal vor ihr 776 00:38:34,800 --> 00:38:36,840 würdet doch kein Benzin rausgeben wenn ihr nicht wüsstet 777 00:38:36,840 --> 00:38:38,560 wieviel und wenn ihr es nicht abrechnen könntet. 778 00:38:39,320 --> 00:38:42,040 Es unterstreicht wieder dieses dieses clevere Vorgehen. 779 00:38:42,040 --> 00:38:44,360 Ne erstmal scannen, was eigentlich alles da wo wo setze 780 00:38:44,360 --> 00:38:46,160 ich dann am besten an? Ich glaube jetzt kommt Bock auf 781 00:38:46,160 --> 00:38:48,720 die OT weil dieser VPN Zugang das könnte schon sein, dass das 782 00:38:48,720 --> 00:38:52,640 n Remote wartungszugang war für für OT Geschichten bei diesem 783 00:38:52,640 --> 00:38:54,960 bei diesem Pipeline. Das das kann natürlich sein, das 784 00:38:54,960 --> 00:38:56,160 kann natürlich. Sein, ich meine, wir hatten die 785 00:38:56,160 --> 00:38:58,480 Geschichte schon mal in einem Podcast, den ich, wenn das mal 786 00:38:58,640 --> 00:39:00,840 mal nicht die gleiche Pipeline ist, von einem OT 787 00:39:00,840 --> 00:39:03,920 Sicherheitsexperten, ich will mich mal nicht so weit in die 788 00:39:03,920 --> 00:39:05,280 Pipeline reinhängen, ja mal gucken. 789 00:39:05,720 --> 00:39:08,080 Aber Alexanders, das ist alles klar und so, ich und ich glaub 790 00:39:08,080 --> 00:39:10,080 das hören, das hört man ja auch ganz oft da und e Mail und so 791 00:39:10,080 --> 00:39:11,760 weiter dann kommen die da irgendwie rein und so weiter ich 792 00:39:12,080 --> 00:39:16,040 wenn du wenn du willst würd ich gerne noch mal dieses Thema E 793 00:39:16,040 --> 00:39:18,080 Mail noch mal ganz genau auseinander nehmen. 794 00:39:18,080 --> 00:39:22,000 Ja weil ich finde erstens ich sag ich kurz was allgemeines 795 00:39:22,000 --> 00:39:25,440 finde ich es ist unglaublich alle Sicherheitsexperten sagen 796 00:39:25,440 --> 00:39:28,800 einfach so ja musst halt aufpassen mit diesen e Mails was 797 00:39:28,800 --> 00:39:30,400 du da anklickst. Ja und wenn du wenn du wenn du 798 00:39:30,400 --> 00:39:32,480 da bloß den falschen Link anklickst ja dann. 799 00:39:32,800 --> 00:39:35,080 Dann ist übermorgen Rentum während deiner Firma und alles 800 00:39:35,080 --> 00:39:37,480 ist verschlüsselt. Du bist schuld da, das geht halt 801 00:39:37,480 --> 00:39:40,480 überhaupt gar nicht. Ja, weil so kann, so kann ja 802 00:39:40,480 --> 00:39:43,120 Sicherheit nicht funktionieren, dass jeder einzelne Mitarbeiter, 803 00:39:43,520 --> 00:39:45,600 und das kann der nicht wissen, ja, weil wir, wir sind ja auch 804 00:39:45,600 --> 00:39:49,240 geflutet von SARS Systemen, es gibt 1000 gute Gründe den Link 805 00:39:49,240 --> 00:39:52,160 in der E Mail zu klicken, weil ich muss Double Factor 806 00:39:52,160 --> 00:39:55,680 registrieren, e Mail Bestätigung und so weiter ja also es ist ich 807 00:39:55,680 --> 00:39:58,640 würde sagen man kann einfach nicht dem Nutzer abverlangen zu 808 00:39:58,640 --> 00:40:00,880 wissen. Wann darf ich jetzt hier klicken 809 00:40:00,880 --> 00:40:03,040 und wann nicht? Das ist kein Sicherheitskonzept, 810 00:40:03,040 --> 00:40:06,200 ja, das ist genau das ist meine Meinung und Punkt, ja und wenn 811 00:40:06,200 --> 00:40:08,400 das also das noch so ist, dann müssen wir uns, da müssen wir 812 00:40:08,400 --> 00:40:10,720 als Sicherheitsexperten oder als Softwareentwickler und so weiter 813 00:40:10,720 --> 00:40:13,560 und so was Besseres ausdenken lassen, so ja den einen Punkt 814 00:40:13,560 --> 00:40:15,440 wollte ich nur kurz, brauchst du gar nicht kommentieren, den 815 00:40:15,440 --> 00:40:17,680 wollte ich einfach mal so stehen lassen, ja, den zweiten Punkt 816 00:40:18,400 --> 00:40:22,240 jetzt ist es ja so, wenn ich ne e Mail bekomme, so klar, da ist 817 00:40:22,240 --> 00:40:24,720 jetzt irgendwas drinne oder also es gibt jetzt 2 Sachen, entweder 818 00:40:24,720 --> 00:40:27,160 ist da n Link drinne und wenn ich den Link klicke komm ich ins 819 00:40:27,160 --> 00:40:29,640 Internet. Und dann kann mir das Internet 820 00:40:29,640 --> 00:40:32,320 sagen, jetzt kann er n Download Link sagen und kann sagen hier 821 00:40:32,320 --> 00:40:35,240 du musst dir was runterladen. Ja und jetzt gehen wir das mal 822 00:40:35,240 --> 00:40:39,920 durch ja jetzt chartsoftware ja sagen wir mal sogar ich klick 823 00:40:39,920 --> 00:40:43,120 diesen Link an und irgendwas sagt mir ich soll was 824 00:40:43,120 --> 00:40:45,920 runterladen, dann würde ich ja schon mal sagen komm Leck mich 825 00:40:45,920 --> 00:40:47,720 ich lad hier irgendwie nichts runter aber ich weiß nicht was 826 00:40:47,720 --> 00:40:49,280 du bist. Ja aber selbst wenn ich es 827 00:40:49,280 --> 00:40:52,160 runterladen jetzt mal ganz technisch gesprochen auf dem 828 00:40:52,160 --> 00:40:56,240 Windows Rechner dann lege ich ein runtergeladenes file selbst 829 00:40:56,240 --> 00:41:01,040 wenn es n chartprogramm ist ja. I am I am Evil Punkt exe ja, 830 00:41:01,040 --> 00:41:03,680 kann das heißen. Ja, in meinen Downloads holder 831 00:41:04,120 --> 00:41:06,880 jetzt hab ich das ja immer noch nicht Doppel geklickt, also mal 832 00:41:06,880 --> 00:41:09,080 jetzt mal ganz platt und technisch gesprochen, da kann ja 833 00:41:09,080 --> 00:41:12,240 noch nichts passieren oder wann und wie und was muss ich denn 834 00:41:12,240 --> 00:41:13,760 alles falsch machen damit es losgeht? 835 00:41:13,760 --> 00:41:17,120 Also wenn ich natürlich i am Evil and will and a crypt you 836 00:41:17,120 --> 00:41:19,720 Punkt exe dann auch noch doppelklicke und sage ja ich 837 00:41:19,720 --> 00:41:22,320 brauch administrationsrechte um das zu tun ja hast du hier bitte 838 00:41:22,320 --> 00:41:24,720 ja dann versteh ich das Kacke ist so ja. 839 00:41:25,280 --> 00:41:27,800 Aber jetzt mal ganz ehrlich gesprochen von von von einer E 840 00:41:27,800 --> 00:41:31,760 Mail bis zum Starten eines schlechten Programms. 841 00:41:32,000 --> 00:41:33,760 Das würde ich, das hätte ich gerne noch mal erklärt. 842 00:41:34,080 --> 00:41:36,000 Gerne gerne. Also es fängt an. 843 00:41:36,000 --> 00:41:39,200 Erstmal ganz wichtig, es muss zumindest ein Unternehmen, ich 844 00:41:39,200 --> 00:41:42,160 nenne es mal eine Multi Layer Security Strategie geben und an 845 00:41:42,240 --> 00:41:46,320 ganz ganz vielen Punkten, die du auch gerade erwähnt hast müssen 846 00:41:46,320 --> 00:41:48,280 eben. Technische Maßnahmen 847 00:41:48,280 --> 00:41:51,680 sicherstellen, dass der User, bevor es überhaupt zum User 848 00:41:51,680 --> 00:41:53,640 kommt, schon so viele Sicherheitskontrollen 849 00:41:53,640 --> 00:41:57,040 durchgelaufen sind und überprüft wurde, dass es nichts Böses ist, 850 00:41:57,120 --> 00:42:00,440 dass wenn es wirklich zu dem Case kommt, den du gerade gesagt 851 00:42:00,440 --> 00:42:02,800 hast, nämlich dass der User wirklich überhaupt in die Lage 852 00:42:02,800 --> 00:42:04,720 versetzt wird, da doppelt drauf zu klicken, das Ding 853 00:42:04,720 --> 00:42:08,800 auszuführen, dass schon so viele Sachen passiert sind und so 854 00:42:08,800 --> 00:42:11,000 viele unterschiedliche Dinge gemacht wurden. 855 00:42:11,000 --> 00:42:14,680 Und ich gehe jetzt mal aus aus dem Weg, schon mal bis zum User 856 00:42:14,680 --> 00:42:17,360 das Ganze durch. Wir haben eben gesagt, okay, wir 857 00:42:17,440 --> 00:42:20,960 surfen im Internet. Das erste ist der Browser selber 858 00:42:20,960 --> 00:42:24,560 muss gepatcht sein, das heißt er muss aktuell auf dem 859 00:42:24,560 --> 00:42:27,600 Alleraktuellsten stand sein, weil wenn nicht, dann reicht es 860 00:42:27,600 --> 00:42:30,440 auch wenn du nur auf eine Webseite gehst und diese 861 00:42:30,440 --> 00:42:34,080 Webseite, die findet heraus über zum Beispiel ein Java Script, 862 00:42:34,080 --> 00:42:36,760 ohne dass du irgendwo draufklickst, dass dein Browser 863 00:42:36,760 --> 00:42:38,800 eine Schwachstelle hat. Dann musst du nirgendwo 864 00:42:38,800 --> 00:42:40,880 draufklicken. Du musst nur auf die Webseite 865 00:42:41,120 --> 00:42:43,760 und dann wird dein Browser und somit auch dein Rechner 866 00:42:43,760 --> 00:42:47,760 automatisch infiziert. Das ist der erste Weg, das heißt 867 00:42:48,160 --> 00:42:51,760 über den Browser nur mit dem Besuch auf einer Webseite, das 868 00:42:51,760 --> 00:42:54,560 heißt, damit das nicht passiert, musst du unter anderem deinen 869 00:42:54,800 --> 00:42:58,080 Browser geupdatet haben, du brauchst ein Antivirus, ein Ida 870 00:42:58,400 --> 00:43:02,720 und so weiter und so weiter und Best Case Du verwendest sogar, 871 00:43:02,720 --> 00:43:05,040 insbesondere wenn du auf eine e Mail auf einen Link geklickt 872 00:43:05,040 --> 00:43:07,200 hast. Eine sogenannte e Mail Link 873 00:43:07,200 --> 00:43:09,600 Transformation. Was bedeutet das? 874 00:43:10,080 --> 00:43:12,400 Ich weiß nicht, ob ihr das in Microsoft Outlook zum Beispiel 875 00:43:12,400 --> 00:43:16,160 drin habt, ist in so einer E 5 Lizenz mit drin, bedeutet ihr 876 00:43:16,160 --> 00:43:19,680 geht nicht sofort auf die Webseite sondern ein Security 877 00:43:19,680 --> 00:43:22,160 Tool von zum Beispiel das gibt es auch von anderen Mendoren, 878 00:43:22,560 --> 00:43:25,600 aber zum Beispiel von Microsoft führt dich nicht sofort auf die 879 00:43:25,600 --> 00:43:29,360 Seite sondern savelings protectionoutlook.com die 880 00:43:29,360 --> 00:43:32,560 überprüfen ist da irgendwas Böses oder nicht? 881 00:43:32,880 --> 00:43:35,240 Wenn Microsoft der Meinung ist, mit welchen Algorithmen auch 882 00:43:35,240 --> 00:43:38,000 immer, hey, das ist fein, dann leiten sie dich auf die Seite 883 00:43:38,000 --> 00:43:40,320 weiter. Die Stufe 2 davon ist 884 00:43:40,480 --> 00:43:44,000 sendboxing, das heißt, dein Browser selber ist einer 885 00:43:44,000 --> 00:43:48,160 isolierten Umgebung und egal was in dem Browser passiert, kommt 886 00:43:48,160 --> 00:43:50,760 nichts auf deinen Rechner. Aber gehen wir mal davon aus, es 887 00:43:50,760 --> 00:43:54,760 wäre wie bei den meisten, ich habe keine Sendbox und ich habe 888 00:43:54,760 --> 00:43:57,040 keine Microsoft E 5 Lizenz und also ein Firlefanz. 889 00:43:57,360 --> 00:44:00,160 Das heißt, ich gehe auf die Webseite, downloade mir das, 890 00:44:00,160 --> 00:44:02,240 dann komme ich schon, zumindest in einer Corporate Welt in die 891 00:44:02,240 --> 00:44:06,160 Möglichkeit zu sagen, alles was runtergeladen wird, muss in 892 00:44:06,160 --> 00:44:08,920 einem Unternehmensnetzwerk auf jeden Fall noch mal gesandboxt 893 00:44:08,920 --> 00:44:12,880 werden wieder, das heißt ein Externer, eine externe virtuelle 894 00:44:12,880 --> 00:44:15,920 Maschine, die prüft ist das Böse oder nicht, wenn das einen 895 00:44:15,920 --> 00:44:18,440 bestimmten Score und ne für die die das Mal ausprobieren wollen. 896 00:44:18,440 --> 00:44:22,080 Man kann so Sachen auf virustotal.com hochladen wichtig 897 00:44:22,080 --> 00:44:25,520 bitte ladet nicht sensible Dinger hoch weil man kann auf 898 00:44:25,520 --> 00:44:27,040 die Daten die da hochgeladen werden zugreifen. 899 00:44:27,200 --> 00:44:30,320 Jeder das vielleicht noch nebenbei genau das Sandboxing 900 00:44:30,640 --> 00:44:33,920 und dann kannst du natürlich auch noch auf den Proxy Level 901 00:44:34,320 --> 00:44:36,600 einschränken, auf was für Webseiten und auf was für 902 00:44:36,600 --> 00:44:39,160 Kategorien können die Leute überhaupt und so weiter und so 903 00:44:39,160 --> 00:44:41,560 weiter also ich könnte jetzt bestimmt noch ne Stunde mit dir 904 00:44:41,560 --> 00:44:44,800 darüber reden, wie viele Player man durchkaufen muss. 905 00:44:45,040 --> 00:44:46,720 Ja, aber das sind ja jetzt, das sind ja jetzt schon wieder 906 00:44:46,720 --> 00:44:48,680 security Aspekte, die verstehe ich, das sind ja meine 907 00:44:48,680 --> 00:44:50,480 Zwiebelschalen und so weiter aber ich, ich komme immer noch 908 00:44:50,480 --> 00:44:52,920 nicht mit also aus außer dieser einen Sache, die du gesagt hast, 909 00:44:52,920 --> 00:44:54,640 wenn mein Browser halt schon kaputt ist. 910 00:44:55,360 --> 00:44:58,000 Dann dann, weil das ja ne Anwendung ist, die läuft. 911 00:44:58,000 --> 00:44:59,560 Die kann vielleicht im Hintergrund noch mal ne 912 00:44:59,560 --> 00:45:02,560 Anwendung starten, die anfängt irgendwelche Files zu 913 00:45:02,560 --> 00:45:06,080 verschlüsseln im Hintergrund, aber ich ich sag mal was wenn 914 00:45:06,080 --> 00:45:08,640 ich ich würde gerne unseren Zuhörern so n bisschen die Angst 915 00:45:08,640 --> 00:45:11,360 nehmen, dass und ich, ich, ich ich weiß nicht, du kannst mich 916 00:45:11,360 --> 00:45:13,160 da, du kannst mich da korrigieren, ja aber wenn du 917 00:45:13,160 --> 00:45:15,960 irgendeinen Link aufrufst in der Webseite und du normalerweise n 918 00:45:15,960 --> 00:45:18,560 gesundes System hast, da passiert ja erstmal nichts also 919 00:45:18,560 --> 00:45:20,880 es ist noch nicht so, dass es ist ja die Welt nicht so 920 00:45:20,880 --> 00:45:23,360 schlimm, dass du das kann ja immer mal passieren, du drückst 921 00:45:23,360 --> 00:45:25,480 irgendwo hin und drückst irgendwo drauf und du kommst zu 922 00:45:25,480 --> 00:45:27,960 irgendeiner Webseite, aber wenn du nicht sofort interagierst und 923 00:45:27,960 --> 00:45:30,960 wenn dein Browser n aktueller Browser ist, der normalerweise 924 00:45:30,960 --> 00:45:33,520 von selbst sich ja auch die Updates zieht, dann passiert 925 00:45:33,520 --> 00:45:35,040 erstmal noch nichts, weil was mal. 926 00:45:35,040 --> 00:45:36,720 Also wir müssen mal kurz überlegen was da passiert, ich 927 00:45:36,720 --> 00:45:38,720 mach ne Anfrage und ich krieg natürlich ne request und dann 928 00:45:38,720 --> 00:45:41,440 krieg ich ne Response vom Server, die wird aber im Browser 929 00:45:41,440 --> 00:45:43,760 abverarbeitet das ist dann erstmal HTML auch selbst wenn da 930 00:45:43,760 --> 00:45:45,760 javascript runtergeladen wird kann ausführen. 931 00:45:46,240 --> 00:45:48,800 Aber alles was da drinne ist, sorgt dafür, dass das nicht 932 00:45:48,800 --> 00:45:51,880 erstmal sofort, dass das davon kann nicht sofort anfangen. 933 00:45:51,880 --> 00:45:53,560 Deine dein dein Windows zu verschlüsseln. 934 00:45:53,560 --> 00:45:55,000 Ja, das muss man ja vielleicht auch mal sagen. 935 00:45:55,000 --> 00:45:57,360 Ja, so einfach ist es nämlich auch nicht, ja. 936 00:45:57,760 --> 00:45:59,040 Genau, es ist nicht ganz so einfach. 937 00:45:59,040 --> 00:46:01,120 Ich möchte jetzt nicht irgendwie die Leute komplett in Panik 938 00:46:01,120 --> 00:46:03,600 versetzen oder so. Natürlich sind das, ich sag mal, 939 00:46:03,600 --> 00:46:06,400 teilweise sehr professionelle Dinge, aber wenn ihr jetzt auf 940 00:46:06,400 --> 00:46:09,920 normale Webseiten geht, natürlich könnten die auch von 941 00:46:09,920 --> 00:46:12,240 Profis infiziert sein, aber genauso wie Burkhardt es gerade 942 00:46:12,240 --> 00:46:14,640 gesagt hat. Wenn ihr ein aktuell gepatchtes 943 00:46:14,640 --> 00:46:18,640 Windows, Unix, Mac OS habt, aktuell gepatchten Browser, dann 944 00:46:18,640 --> 00:46:24,000 seid ihr schon weit weg von dem Standard und dann könnt ihr ich 945 00:46:24,000 --> 00:46:26,400 sag mal, sofern ihr nicht auf irgendwelche Underground 946 00:46:26,400 --> 00:46:28,640 Webseiten im Tor, Netzwerk oder sonst was oder irgendein 947 00:46:28,640 --> 00:46:31,920 illegalen Kram sag ich mal oder offensichtlich illegal oder 948 00:46:32,000 --> 00:46:35,880 Graubereich, dann müsst ihr euch nicht die allergrößten Sorgen 949 00:46:35,880 --> 00:46:38,880 machen, zumindest dass ihr, sofern ihr nicht irgendwie was 950 00:46:38,880 --> 00:46:40,960 runterladen und ausführt oder irgendwie sowas. 951 00:46:41,040 --> 00:46:42,920 Genau das ist natürlich, das ist natürlich voll. 952 00:46:43,280 --> 00:46:45,960 Freiwillig ehrlich, sag ich mal. Aber lass uns mal die Frage 953 00:46:45,960 --> 00:46:47,600 konkret beantworten, weil Burkhard hat tatsächlich 954 00:46:47,600 --> 00:46:49,520 gefragt, wie funktioniert das technisch, dass dann 955 00:46:49,520 --> 00:46:52,560 Schadsoftware ausgeführt wird. Ja, und in seinem Beispiel war 956 00:46:52,560 --> 00:46:54,520 das, da müsste das ja schon doppelt geklickt werden und 957 00:46:54,520 --> 00:46:56,760 gestartet werden und hast du tatsächlich Beispiele gemacht, 958 00:46:56,760 --> 00:47:00,160 wie man sich schützen kann, aber nicht erzählt, wie kommt die 959 00:47:00,160 --> 00:47:02,000 Schadsoftware auf die in das Firmennetzwerk? 960 00:47:02,000 --> 00:47:05,520 Ja, außer das mit der Website wo javascript ausgeführt wird, da 961 00:47:05,520 --> 00:47:08,400 gibt es dann noch andere Wege quasi das war die Frage glaub 962 00:47:08,400 --> 00:47:10,600 ich. Also die Fragen quasi, welche 963 00:47:10,600 --> 00:47:13,040 anderen Wege es noch gibt. Ja, bei e Mail. 964 00:47:13,040 --> 00:47:16,600 Was bedeutet das genau, was, was muss da alles schief laufen, 965 00:47:16,600 --> 00:47:18,640 damit dann doch die Schadsoftware am Ende da ist? 966 00:47:19,120 --> 00:47:20,880 Ja genau. Also wenn ich den den Weg 967 00:47:20,880 --> 00:47:24,320 einfach mal weitergehe, den wir gerade hatten und der User 968 00:47:24,320 --> 00:47:28,720 klickt auf die Mail, dann wird die Schadsoftware sag ich mal 969 00:47:28,720 --> 00:47:30,640 entweder automatisch runtergeladen oder irgendwie 970 00:47:30,640 --> 00:47:32,360 sowas. Er klickt also auf irgend n 971 00:47:32,360 --> 00:47:35,560 Button in der Mail oder n Link oder oder n Anhang dateianhang. 972 00:47:35,560 --> 00:47:37,920 Was könnte das alles sein, ja. Genau richtig also. 973 00:47:37,920 --> 00:47:40,840 Entweder ist es meistens ein Button, Es ist ein Link oder es 974 00:47:40,840 --> 00:47:45,520 ist ein Anhang, das ist so die die meiste Form ne und genau da 975 00:47:46,160 --> 00:47:47,560 ist. Ist jetzt ich sag mal zumindest 976 00:47:47,560 --> 00:47:51,320 der der e Mail der e mail vector oder das e mail vector einfalls 977 00:47:51,320 --> 00:47:54,640 ich glaub ihr wisst was ich meine also das der Vector 978 00:47:54,960 --> 00:47:58,600 funktioniert in der Regel immer, ich muss etwas herunterladen 979 00:47:58,600 --> 00:48:00,640 oder ich muss etwas auf meinem Rechner laden und dann auch 980 00:48:00,640 --> 00:48:03,760 ausführen so und wenn ich jetzt. Genau das ist nämlich das 981 00:48:03,800 --> 00:48:05,840 Punktspiel. Wie wir es machen, wir machen 982 00:48:05,840 --> 00:48:08,320 auch sogenanntes Red Teaming und so. 983 00:48:08,400 --> 00:48:11,880 Das ist quasi die nette oder die abgestimmte Art, in Unternehmen 984 00:48:11,880 --> 00:48:15,520 einzubrechen, digital, das ist das Red Teaming so und die 985 00:48:15,920 --> 00:48:19,880 einfachste Art ist in der Regel zum Beispiel über eine HR 986 00:48:19,880 --> 00:48:22,800 Abteilung, ein Unternehmen hat etwas ausgeschrieben, eine 987 00:48:22,800 --> 00:48:26,640 Stelle für den Entwickler und wir sehen dann Frau Müller hat 988 00:48:26,640 --> 00:48:28,960 von der HR Abteilung von Unternehmen XY etwas 989 00:48:28,960 --> 00:48:32,480 ausgeschrieben, wir nehmen diese Bewerbung, packen die in ein 990 00:48:32,480 --> 00:48:36,720 Word Dokument. Was Makros von uns entwickelt 991 00:48:36,720 --> 00:48:39,440 hat. Und dann packen wir da rein. 992 00:48:39,440 --> 00:48:42,000 Sehr geehrte Frau Müller, im Anhang finden Sie meine 993 00:48:42,000 --> 00:48:45,080 Bewerbung XY, Wir machen da auch eine Bewerbung mit rein, mit 994 00:48:45,080 --> 00:48:47,480 einem schönen Foto und so weiter schicken das von einem Gmail 995 00:48:47,480 --> 00:48:51,400 Account an die Frau Müller im Unternehmen, sie bekommt das und 996 00:48:51,400 --> 00:48:53,840 dann bekommt sie so eine schöne Meldung wo dann drauf steht 997 00:48:54,080 --> 00:48:58,160 diese Word diese Datei ist mit einer älteren Word Version damit 998 00:48:58,160 --> 00:49:00,720 sie das Konvertieren klicken Sie auf Inhalt aktivieren. 999 00:49:01,200 --> 00:49:02,400 Dann klickt sie auf Inhalt aktivieren. 1000 00:49:02,400 --> 00:49:05,520 In dem Moment werden die Makros gestartet und unsere Datei 1001 00:49:05,520 --> 00:49:09,720 runtergeladen, der CV ersetzt sie, denkt alles ist haco, aber 1002 00:49:09,720 --> 00:49:12,000 in Wirklichkeit ist ne Schadsoftware implementiert, sie 1003 00:49:12,000 --> 00:49:16,000 antwortet uns sogar noch und sagt, Ah ja Hallo Herr XY, 1004 00:49:16,160 --> 00:49:17,880 vielen Dank für ihre Bewerbung, leider kommen Sie nicht in 1005 00:49:17,880 --> 00:49:19,520 frage, Ich wünsche Ihnen noch alles gute und ich denke mir 1006 00:49:19,520 --> 00:49:21,640 super ich hab jetzt Zugriff auf deinen Rechner. 1007 00:49:21,920 --> 00:49:24,960 Also im Grunde genommen geht es schon drum zu manipulieren 1008 00:49:24,960 --> 00:49:28,120 irgendwo und das Geschick zu verstecken, aber es ist genau 1009 00:49:28,120 --> 00:49:30,720 wie Burkhard sagt, Ey, du musst schon auch was ausführen. 1010 00:49:30,760 --> 00:49:32,720 Das genau und der und den Makros die das sind, ja. 1011 00:49:32,800 --> 00:49:35,840 Natürlich, das sind fiese Dinger, weil weil Makro 1012 00:49:35,840 --> 00:49:37,920 Execution halt Code execution heißt. 1013 00:49:37,920 --> 00:49:41,000 Das gibt es ja bei Excel und bei Word, aber auch hier, und das 1014 00:49:41,000 --> 00:49:43,000 ist fies natürlich, wenn man es versteckt hinter dem Knopf auf 1015 00:49:43,000 --> 00:49:45,880 den Knopf kannst du alles drauf schreiben, das Macht im Leben 1016 00:49:45,880 --> 00:49:48,320 nicht ja nichts, also das war jetzt n schönes Beispiel, weil 1017 00:49:48,320 --> 00:49:50,560 das hat nichts zu tun mit den Kompatibilität und Versions 1018 00:49:50,560 --> 00:49:53,440 Upgrade ja das Nutzen die tatsächlich um was zu starten 1019 00:49:53,440 --> 00:49:54,920 ja. Ja, aber genau. 1020 00:49:54,920 --> 00:49:57,120 Aber ich wollte also diese, diese, diese Angst wollte ich 1021 00:49:57,120 --> 00:49:59,000 noch mal nehmen, weil es gibt es gibt schon Leute, die Fragen 1022 00:49:59,000 --> 00:50:02,280 mich auch aus der Familie so, ja, man ist schon, man kriegt ja 1023 00:50:02,280 --> 00:50:05,160 manchmal schon anruf, weil man ne böse Mail gekriegt hat, die 1024 00:50:05,160 --> 00:50:07,360 offensichtlich dann, wenn man sie sich noch mal anguckt, weil 1025 00:50:07,360 --> 00:50:09,400 oft sieht man es ja auch am Text schon schlecht geschrieben und 1026 00:50:09,400 --> 00:50:12,600 so weiter ja, man hatte drauf geklickt, man hat eventuell noch 1027 00:50:12,600 --> 00:50:16,120 was runtergeladen und es liegt im Downloads Ordner, ja dann ist 1028 00:50:16,120 --> 00:50:18,400 trotzdem noch nicht, dann ist ja trotzdem noch nicht der Teufel 1029 00:50:18,400 --> 00:50:20,560 am Start, dann gehst du halt dahin. 1030 00:50:20,800 --> 00:50:23,600 In deinen Download aus klickst Shift Delete ja und Klatsch, 1031 00:50:23,600 --> 00:50:25,680 klatscht das wieder weg? Ja, wenn du das nicht doppelt 1032 00:50:25,680 --> 00:50:28,760 geklickt hast, dann bist du also dann kann ich erst mal allen 1033 00:50:28,760 --> 00:50:30,880 sagen, so entspann dich jetzt mal kurz wieder als cool. 1034 00:50:30,880 --> 00:50:33,480 Ja in dem Case ja genau, natürlich gibt es ich. 1035 00:50:33,480 --> 00:50:36,080 Sag mal n paar Spezialvarianten, die nennt man dann zeroclick. 1036 00:50:36,320 --> 00:50:39,600 So bedeutet auch für die iphones und so weiter oder remoteable 1037 00:50:39,600 --> 00:50:42,480 Exploitable, wenn ihr das irgendwie von bestimmten 1038 00:50:42,480 --> 00:50:45,040 Schwachstellen mitbekommt, dann ist es schon haarig, weil dann 1039 00:50:45,040 --> 00:50:48,160 muss man wirklich gar nichts tun, man muss nur ne IP Adresse 1040 00:50:48,160 --> 00:50:50,320 einklimpern von deinem iphone zum Beispiel. 1041 00:50:50,600 --> 00:50:54,440 Und dann bist du drauf, weil du brauchst keine User Interaktion, 1042 00:50:54,440 --> 00:50:57,120 dann ist es eine Schwachstelle in dem Betriebssystem selbst, 1043 00:50:57,360 --> 00:51:00,600 die so kritisch ist, dass du keine User Interaktion brauchst. 1044 00:51:00,720 --> 00:51:03,440 Und aber es ist genauso wie du salzburghardt. 1045 00:51:03,440 --> 00:51:06,800 Ich sag mal der Standard in der heutigen Zeit ist immer noch, 1046 00:51:06,880 --> 00:51:10,120 wenn du wirklich was per E Mail bekommen hast und du hast es 1047 00:51:10,120 --> 00:51:13,440 nicht geöffnet mit einem Doppelklick, dann sollte 1048 00:51:13,440 --> 00:51:14,360 eigentlich auch nichts passiert sein. 1049 00:51:14,360 --> 00:51:16,160 Natürlich gibt es auch in Outlook irgendwelche 1050 00:51:16,160 --> 00:51:18,640 Schwachstellen die so zeroclicks sind, nach dem Motto hast es in 1051 00:51:18,640 --> 00:51:20,760 der Vorsicht. Ich will jetzt nicht alles 1052 00:51:20,760 --> 00:51:23,520 schlecht reden, aber nee, das klingt generellen Teil. 1053 00:51:23,520 --> 00:51:26,360 Bin ich bei dir ja OK, also wenn die Mitarbeiter geschult. 1054 00:51:26,360 --> 00:51:28,880 Sind und und vorsichtig sind oder so, das ist ja das 1055 00:51:28,880 --> 00:51:32,160 Wichtigste offensichtlich. Also dann lieber ja vorsichtiger 1056 00:51:32,160 --> 00:51:35,400 sein. Nee, OK, also ich wackel so n 1057 00:51:35,400 --> 00:51:36,400 bisschen. Der Book hat dann auch schon 1058 00:51:36,720 --> 00:51:40,240 sein Steak dazu gerade gesagt, ich glaube in der oder ich sehe 1059 00:51:40,240 --> 00:51:43,560 so rum, ich sehe in der heutigen Zeit, dass die meisten CBTS, 1060 00:51:43,560 --> 00:51:46,400 also computerbase Trainings machen und ich sehe, dass die 1061 00:51:46,400 --> 00:51:49,680 keiner wirklich macht. Also wirklich keiner. 1062 00:51:49,840 --> 00:51:52,160 Ich kenne keinen einzigen Menschen, der diese Schulungen 1063 00:51:52,160 --> 00:51:55,200 wirklich durchgeht und sagt, Ah ja, das war cool, da hab ich was 1064 00:51:55,200 --> 00:51:58,800 gelernt, bedeutet, das ist eigentlich nur ne Compliance 1065 00:51:58,800 --> 00:52:02,640 Maßnahme die alle machen nur um zu sagen ja ja ich hab es 1066 00:52:02,640 --> 00:52:05,840 gemacht so und wenn man jetzt aber ne ich geb auch gerne 1067 00:52:05,840 --> 00:52:08,800 Schulungen und geb dann gerne mal Hacker Tools im Publikum rum 1068 00:52:09,200 --> 00:52:11,480 und dann frage ich die Leute, was ist denn das hier was glaubt 1069 00:52:11,480 --> 00:52:13,360 denn ihr? Und dann ist das n cooles Hacker 1070 00:52:13,360 --> 00:52:15,760 Tool und ich erklär mal hey das funktioniert so und so und damit 1071 00:52:15,760 --> 00:52:18,080 kann man das und das machen und guck mal so und so und 1072 00:52:18,080 --> 00:52:21,440 gefährlich nicht gefährlich. Es ist n Gameboy, es ist kein 1073 00:52:21,440 --> 00:52:26,240 Gameboy und so weiter diese Dinge wenn ihr das gut macht, 1074 00:52:26,640 --> 00:52:28,400 das behalten die Leute für ihr Leben. 1075 00:52:28,960 --> 00:52:31,480 Ich bekomme heute noch von meinem alten Arbeitgeber, von 1076 00:52:31,480 --> 00:52:34,880 Kolleginnen und Kollegen anrufe die sagen alexanders ich hab das 1077 00:52:34,880 --> 00:52:37,640 letztens gesehen. Und zum Glück habe ich das bei 1078 00:52:37,640 --> 00:52:39,920 dir in der Schulung gelernt und total cool. 1079 00:52:40,000 --> 00:52:42,000 Ich habe sofort bei uns in der Security Abteilung angerufen und 1080 00:52:42,000 --> 00:52:45,280 wusste sofort, worum es geht und man man muss halt auch ein 1081 00:52:45,280 --> 00:52:48,640 bisschen den Bezug zum, Ich sag mal zur privaten Sicherheit 1082 00:52:48,640 --> 00:52:50,320 schaffen, wenn man mal ehrlich ist. 1083 00:52:50,320 --> 00:52:52,920 Die meisten Mitarbeiterinnen und Mitarbeiter die interessiert die 1084 00:52:52,920 --> 00:52:55,680 Unternehmenssicherheit nicht, aber ob ihr privater Instagram 1085 00:52:55,680 --> 00:53:00,960 Account gehackt werden kann, das interessiert die und genau da 1086 00:53:00,960 --> 00:53:03,200 muss man so ein bisschen bei diesen Schulungen drauf achten 1087 00:53:03,200 --> 00:53:06,160 deshalb. Ich glaube, wir Schulen heute 1088 00:53:06,160 --> 00:53:10,160 nicht gut, wir schulen, aber wir schulen nicht gut, aber ich bin 1089 00:53:10,240 --> 00:53:12,720 auch zumindest ein Großteil bei Burka. 1090 00:53:12,800 --> 00:53:15,400 Es kann nicht alles nur auf den User ausgelagert werden, wir 1091 00:53:15,400 --> 00:53:19,200 müssen den User so weit wie es geht entlasten von all diesem 1092 00:53:19,200 --> 00:53:21,840 Kram. Aber ich denke trotzdem, dass es 1093 00:53:21,840 --> 00:53:24,480 mittlerweile und insbesondere auch in Zukunft ein 1094 00:53:24,480 --> 00:53:28,520 Standardwissen sein muss, leider, wie ich mich sicher im 1095 00:53:28,520 --> 00:53:32,000 Internet bewege, wie ich mich sicher verhalte um mich selber. 1096 00:53:32,240 --> 00:53:34,200 Und meine Familie oder das Unternehmen, für das ich 1097 00:53:34,200 --> 00:53:36,640 arbeite, zu schützen. Ich hab ich hab ich hatte 1098 00:53:36,640 --> 00:53:37,600 gerade. Noch ne Idee, ich, ich wollte 1099 00:53:37,600 --> 00:53:39,960 noch was reinteasern das ist weil wir über Sicherheit 1100 00:53:39,960 --> 00:53:42,080 sprechen und wie man das erkennen kann und so weiter ich 1101 00:53:42,080 --> 00:53:44,560 ich wollte ein Beispiel geben aus der aus dem menschlichen 1102 00:53:44,560 --> 00:53:47,120 Organismus, denn der menschliche Organismus braucht ja auch n 1103 00:53:47,120 --> 00:53:49,760 antivirenprogramm, es funktioniert ganz anders als 1104 00:53:49,760 --> 00:53:53,720 alle Ideen, das weiß keiner als alle Ideen wie die also nicht. 1105 00:53:53,760 --> 00:53:55,880 Also ich sag mal der Durchschnittsmensch, der nicht 1106 00:53:55,880 --> 00:53:58,160 gerade Molekularbiologie studiert hat und ich find das 1107 00:53:58,160 --> 00:53:59,680 eigentlich ganz cool, aber vielleicht gibt es mal n 1108 00:53:59,680 --> 00:54:01,600 Antivirus Programm was so funktioniert wie der Körper. 1109 00:54:02,120 --> 00:54:05,480 Da ist es nämlich so. Es gibt die Antikörper, die 1110 00:54:05,480 --> 00:54:08,640 greifen alles an, die greifen einfach alles an, ja, die, die 1111 00:54:08,640 --> 00:54:11,280 sind richtig böse, auch das Gute, auch die guten Zellen so, 1112 00:54:11,280 --> 00:54:14,000 und die kommen, aber die werden aber vorsortiert und also es 1113 00:54:14,000 --> 00:54:17,520 wird quasi es werden quasi verteidigungsmechanismen 1114 00:54:17,520 --> 00:54:20,080 aufgebaut in Form von Antikörpern, die heften sich an 1115 00:54:20,080 --> 00:54:23,400 alles und lösen quasi Alarm aus und damit die aber nicht für die 1116 00:54:23,400 --> 00:54:26,680 eigenen Sachen Alarm auslösen werden die trainiert vorher in 1117 00:54:26,680 --> 00:54:29,680 bestimmten Organen ja zum Beispiel im in der Milz, ja. 1118 00:54:30,000 --> 00:54:32,160 Und da werden die, die die, die auf die eigenen Sachen drauf 1119 00:54:32,160 --> 00:54:34,320 gehen, die werden raus sortiert und was übrig bleibt, ist ein 1120 00:54:34,320 --> 00:54:36,960 Randomisiertes und da ist der Körper sehr clever. 1121 00:54:37,280 --> 00:54:40,760 Set an allem möglichen Krams was drauf reagieren würde wenn 1122 00:54:40,760 --> 00:54:43,200 irgendwas fremd ist. Und wenn jetzt n Virus 1123 00:54:43,200 --> 00:54:46,520 reinkommt, dann gibt es einigermaßen Wahrscheinlichkeit 1124 00:54:46,520 --> 00:54:49,880 das ein oder 2 von diesen Dingern da dran bindet. 1125 00:54:49,880 --> 00:54:52,080 Ja obwohl es das noch nie gesehen hat, ja weil es einfach 1126 00:54:52,080 --> 00:54:54,320 gegen alles Mögliche geht, nur nicht gegen selbst, ja. 1127 00:54:54,880 --> 00:54:57,160 Und so funktioniert der Körper das, wenn man das jetzt umsetzen 1128 00:54:57,160 --> 00:54:59,480 würde auf dem Körper, würde man auf den auf dem Computersystem 1129 00:54:59,480 --> 00:55:02,400 würde, würde man sagen, OK, ich guck ich, es gibt Programm, es 1130 00:55:02,400 --> 00:55:04,600 guckt sich meine ganzen Signaturen an von meinem ganzen 1131 00:55:04,600 --> 00:55:08,160 Rechner und gegen alles was nicht meins ist bin ich erstmal 1132 00:55:08,160 --> 00:55:10,720 bösartig ja und wenn irgendwas auf meinem Rechner entsteht oder 1133 00:55:10,720 --> 00:55:12,720 läuft oder n Programm startet, dann wird das erstmal 1134 00:55:12,720 --> 00:55:16,160 angegriffen ne und da gibt es erstmal n Alarm quasi so ja ich 1135 00:55:16,480 --> 00:55:18,920 es gibt glaub ich so Ideen mal ist aber schwierig weil ich 1136 00:55:18,920 --> 00:55:21,120 natürlich immer das ganze System überwachen muss aber ich wollt 1137 00:55:21,120 --> 00:55:22,840 nur mal sagen wie das Immunsystem funktioniert, das 1138 00:55:22,840 --> 00:55:25,280 funktioniert nämlich. Quasi von der Logik andersrum. 1139 00:55:25,320 --> 00:55:27,520 Ja, das das sagt erstmal von vorne, das ist Zerotaste 1140 00:55:27,520 --> 00:55:31,120 eigentlich, es sagt es ist alles böse, auch ich selber, aber 1141 00:55:31,120 --> 00:55:33,160 aber, aber das ist dann, das wird dann kurz aussortiert damit 1142 00:55:33,160 --> 00:55:35,880 ich nicht ne Autoimmunerkrankung hab das ist das nämlich und das 1143 00:55:35,880 --> 00:55:38,720 nicht, funktioniert ja immer so als Idee, aber so Cybertechnisch 1144 00:55:38,720 --> 00:55:40,720 gibt es. Tatsächlich sowas Richtung 1145 00:55:40,720 --> 00:55:43,080 Richtung KI? Zumindest sagen die Vendoren, 1146 00:55:43,080 --> 00:55:45,160 das ist KI, ne, das möchte ich jetzt nicht kommentieren, ich 1147 00:55:45,160 --> 00:55:47,600 glaub das ist ne andere Diskussion ja aber es gibt Tools 1148 00:55:47,600 --> 00:55:52,000 die erstmal ne ganze Weile lauschen und hören und 1149 00:55:52,000 --> 00:55:55,280 verstehen. Das ist gut, und wenn dann mal 1150 00:55:55,280 --> 00:55:58,160 was anderes passiert, ne, dann sagen Sie OK Moment, hier ist n 1151 00:55:58,160 --> 00:56:01,360 Alarm und also in ne ähnliche Richtung gehen solche Anbieter 1152 00:56:01,360 --> 00:56:03,080 teilweise auch. Ja ja ich weiß das nämlich auch 1153 00:56:03,080 --> 00:56:04,800 von es gibt bestimmte. Linux Systeme, die haben das 1154 00:56:04,800 --> 00:56:06,480 auch und das kann man halt nicht machen. 1155 00:56:06,480 --> 00:56:08,920 Aber bei so einem Office PC wo halt sehr viel passiert, ganz 1156 00:56:08,920 --> 00:56:11,200 viele Dateien verschoben werden. Aber es gibt ja auch andere 1157 00:56:11,440 --> 00:56:13,400 Bereiche die ich sichern muss sag ich mal so n Server der 1158 00:56:13,400 --> 00:56:16,840 steht der der nicht dazu da ist wo relativ also der der gar 1159 00:56:16,840 --> 00:56:19,240 nicht dafür gebraucht wird, dass viel Pfalz sich ändern, da will 1160 00:56:19,240 --> 00:56:21,440 ich eigentlich wissen. Er sieht immer so aus, wie er 1161 00:56:21,440 --> 00:56:22,960 aussieht. Ja, und wenn da irgendein Pfeil 1162 00:56:22,960 --> 00:56:25,200 entsteht auf dem Ding, dann ist das schon questionable. 1163 00:56:25,200 --> 00:56:27,360 Ja, und da sind solche Systeme cool. 1164 00:56:27,360 --> 00:56:29,360 Ja, weil also ich mein, Jetzt haben wir heute viel über 1165 00:56:29,360 --> 00:56:31,840 Sicherheit im im, im, im PC, im im Personal Computing 1166 00:56:31,840 --> 00:56:33,760 gesprochen, es gibt ja aber natürlich auch noch ganz viele 1167 00:56:33,880 --> 00:56:36,080 andere Softwaresysteme, kritische Infrastruktur, 1168 00:56:36,080 --> 00:56:38,920 serversysteme und so weiter wo jetzt keiner vorsitzt, die auch 1169 00:56:38,920 --> 00:56:41,520 sicher gehalten werden müssen und die wo man die versucht dann 1170 00:56:41,520 --> 00:56:43,720 zu hacken, die können sich ja vielleicht mit so einem System 1171 00:56:43,720 --> 00:56:45,960 ganz gut schützen, da wo man einfach einfach ne Alarmglocke 1172 00:56:45,960 --> 00:56:48,000 angeht, wenn da irgendwas gestartet wird, dass da einfach 1173 00:56:48,160 --> 00:56:49,920 normalerweise nicht gestartet wird, ja. 1174 00:56:50,320 --> 00:56:52,760 Ja, also vielleicht kommt ja durch KI und so weiter noch n 1175 00:56:52,760 --> 00:56:54,480 bisschen, was ja tatsächlich, was wir ja noch gar nicht 1176 00:56:54,480 --> 00:56:57,480 angesprochen haben ist. Irgendwie das das Lösegeld und 1177 00:56:57,480 --> 00:56:59,600 so psychologische Aspekte sag ich mal. 1178 00:56:59,600 --> 00:57:02,760 Ja, also Technik und Schutzmaßnahmen und es gibt 1179 00:57:02,760 --> 00:57:04,960 bestimmt ganz viel und dann die Quintessenz, aber auch die, es 1180 00:57:04,960 --> 00:57:06,960 gibt immer tolle Schutzmaßnahmen und dann gibt es ja auf der 1181 00:57:06,960 --> 00:57:10,240 anderen Seite wieder jemanden cleveres der wieder was besseren 1182 00:57:10,240 --> 00:57:11,680 und neueren Angriffsvektor findet. 1183 00:57:11,680 --> 00:57:15,160 Ja und jetzt ist es so, jetzt jetzt bin ich vielleicht 1184 00:57:15,160 --> 00:57:19,600 verschlüsselt als als Firma, ja. Office PCS wie auch meine Server 1185 00:57:19,600 --> 00:57:22,240 ja alles, dann ist halt lahmgelegt, da geht halt nichts 1186 00:57:22,240 --> 00:57:23,360 mehr. Ich kann keinen Auftrag mehr 1187 00:57:23,360 --> 00:57:27,360 durchführen, mein MES ist lahmgelegt, mein ERP steht meine 1188 00:57:27,360 --> 00:57:30,560 ich kann keine E Mails mehr schreiben nichts ja und ich hab 1189 00:57:30,560 --> 00:57:32,400 hier so ne Lösegeldforderung vorliegen und die ist jetzt 1190 00:57:32,400 --> 00:57:34,600 vielleicht zufällig genauso hoch wie meine Cyberversicherung oder 1191 00:57:34,600 --> 00:57:38,560 ich hab gar keine Cyberversicherung was tun genau? 1192 00:57:39,840 --> 00:57:43,720 Also ich das erste was die meisten wahrscheinlich antworten 1193 00:57:43,720 --> 00:57:45,360 würden, auf gar keinen Fall zahlen. 1194 00:57:45,680 --> 00:57:47,880 Ja da. Und und das auch am besten 1195 00:57:47,880 --> 00:57:49,920 direkt dem Angreifer kommunizieren, das unterschreibe 1196 00:57:49,920 --> 00:57:55,280 ich nicht so. Ich würde erstmal grundsätzlich 1197 00:57:55,360 --> 00:57:57,480 möchte natürlich niemand kriminell unterstützen, keine 1198 00:57:57,480 --> 00:58:03,120 Frage okay aber um sich auf der einen Seite einen Hintergrund zu 1199 00:58:03,120 --> 00:58:06,320 verschaffen, was wissen denn die Angreifer, wie kritisch ist das 1200 00:58:06,320 --> 00:58:09,560 ganze denn vielleicht und so weiter und so weiter sollte man 1201 00:58:09,560 --> 00:58:13,400 trotzdem mit den Angreifern reden oder chatten, meistens 1202 00:58:13,400 --> 00:58:15,320 zumindest. Das heißt, da wollt ich noch 1203 00:58:15,320 --> 00:58:16,840 kurz zwischenfragen wie wie kriegt man so? 1204 00:58:16,840 --> 00:58:18,480 Ne Lösegeldforderung eigentlich übermittelt. 1205 00:58:18,720 --> 00:58:20,520 Ja da hab ich n lustiges Beispiel. 1206 00:58:20,520 --> 00:58:22,880 Tatsächlich, was ich auch noch kurz erklären kann, also in der 1207 00:58:22,880 --> 00:58:26,560 Regel habt ihr so n Screen auf Eurem auf Eurem Desktop. 1208 00:58:26,640 --> 00:58:29,240 Also der Rechner startet dann und ihr könnt dann nichts tun 1209 00:58:29,240 --> 00:58:31,360 und nur da ist quasi ne Nachricht, ihr könnt nichts 1210 00:58:31,360 --> 00:58:34,160 klicken, nichts gar nichts, sondern da steht dann hey, dein 1211 00:58:34,160 --> 00:58:36,240 Rechner ist verschlüsselt, manchmal ist es auch nur ne 1212 00:58:36,240 --> 00:58:39,120 Hintergrundgrafik von Eurem Desktop die ausgetauscht wird, 1213 00:58:39,280 --> 00:58:41,640 aber in der Regel könnt ihr die Computer nicht nutzen und da ist 1214 00:58:41,640 --> 00:58:44,000 dann. So ne schöne Grafik, die dann 1215 00:58:44,160 --> 00:58:47,520 auch teilweise runter zählt und sagt du hast noch x Stunden und 1216 00:58:47,560 --> 00:58:49,920 aber wenn du jetzt schon auch siehst ja chatfirmen oder du. 1217 00:58:50,080 --> 00:58:51,960 Weil du jetzt ja wieder dieses eine Computerbeispiel machst. 1218 00:58:51,960 --> 00:58:53,880 Du redest schon noch über Firmen, die verschlüsselt sind 1219 00:58:53,880 --> 00:58:55,520 oder sowohl Firmen als auch Privatperson. 1220 00:58:55,520 --> 00:58:58,160 Also das. Ist da völlig Konkurrent sag ich 1221 00:58:58,160 --> 00:59:01,760 mal genau und das heißt du kannst dann auch über so n 1222 00:59:01,760 --> 00:59:05,920 Chatfenster mit dem Chatten und das funktioniert ganz normal. 1223 00:59:05,920 --> 00:59:08,360 Da kannst du auch Nico Shaten. Und deshalb würde ich erst mal 1224 00:59:08,360 --> 00:59:11,080 grundsätzlich sagen, man sollte zumindest mit denen versuchen, 1225 00:59:11,080 --> 00:59:14,040 schon mal zu verhandeln. Und ganz wichtig natürlich, und 1226 00:59:14,040 --> 00:59:16,040 ich glaube, das würde jeder erst mal sagen, Ruhe bewahren und 1227 00:59:16,040 --> 00:59:18,880 einen Experten einschalten. Ich würde auf keinen Fall 1228 00:59:18,960 --> 00:59:22,240 irgendetwas tun oder entscheiden, ohne jemanden 1229 00:59:22,240 --> 00:59:25,680 einzuschalten, sei es ein interner oder ein Externer, der 1230 00:59:25,680 --> 00:59:27,520 sich mit sowas sehr gut auskennt. 1231 00:59:27,920 --> 00:59:30,320 Jetzt ist aber auch grundsätzlich die Frage immer 1232 00:59:30,320 --> 00:59:33,080 wieder, hey zahlen wir, zahlen wir nicht und die meisten sagen 1233 00:59:33,080 --> 00:59:34,360 wieder wie gesagt nicht zahlen nicht. 1234 00:59:35,040 --> 00:59:42,560 Seit mal selber CEO oder CFO eines Konzerns, der stillsteht, 1235 00:59:42,560 --> 00:59:45,080 der kurz davor ist. Wenn man das nicht wieder ans 1236 00:59:45,080 --> 00:59:47,560 Laufen bringt und bei produktionsnahen Unternehmen 1237 00:59:47,560 --> 00:59:51,280 kann man das sehr gut, meistens sogar in sekundengenauer Taktung 1238 00:59:51,760 --> 00:59:55,200 definieren, wieviel Geld man pro Sekunde verliert, wenn das Werk 1239 00:59:55,200 --> 00:59:57,680 und wenn die wenn das Unternehmen steht, in anderen 1240 00:59:57,680 --> 01:00:00,600 Teilen eher weniger, aber. Wenn man das beziffern kann und 1241 01:00:00,600 --> 01:00:03,840 man weiß, wenn ich jetzt über ne Stunde warte, dann ist meine 1242 01:00:03,840 --> 01:00:07,120 Firma komplett pleite, dann möchte ich euch mal sehen, dass 1243 01:00:07,120 --> 01:00:10,680 ihr so salopp sagt, NÖ, ich Zahl nicht, also deshalb ich, ich 1244 01:00:10,680 --> 01:00:15,120 find das immer sehr einfach das zu sagen, aber am Ende des Tages 1245 01:00:15,120 --> 01:00:17,640 ist es nicht so einfach. Es gibt ja Gründe warum so viele 1246 01:00:17,640 --> 01:00:21,920 Unternehmen trotzdem bezahlen und ich hab ne n lustiges 1247 01:00:21,920 --> 01:00:24,560 Beispiel tatsächlich, aber warte also. 1248 01:00:24,720 --> 01:00:25,600 Ich hab. Sie so nicht verstanden? 1249 01:00:25,600 --> 01:00:29,440 Also nicht ja nicht nicht zahlen und du hast jetzt ne Stunde als 1250 01:00:29,440 --> 01:00:32,480 Zeitraum genannt, ich glaube ist ja also nach einer Stunde ist ja 1251 01:00:32,480 --> 01:00:34,920 keiner pleite, auch wenn er weiß ich nicht die größte Autofabrik 1252 01:00:34,920 --> 01:00:37,280 der Welt hat, aber reden wir mal über so n normales Unternehmen, 1253 01:00:37,280 --> 01:00:40,800 es hat vielleicht 50 mitarbeiten oder so ich da gibt es da viel 1254 01:00:40,800 --> 01:00:44,440 mehr von als Konzerne, ja und dann hat man auch keinen C so 1255 01:00:44,440 --> 01:00:46,360 höchstwahrscheinlich und wahrscheinlich auch keinen 1256 01:00:46,360 --> 01:00:48,160 Sicherheitsexperten intern, sondern man holt sich erst mal 1257 01:00:48,160 --> 01:00:51,600 externen dazu genau und dann lässt man den chatten oder 1258 01:00:51,600 --> 01:00:54,080 verhandeln. Mit den mit den Erpressern quasi 1259 01:00:54,080 --> 01:00:56,320 an der Stelle. Genau also das genau. 1260 01:00:56,320 --> 01:00:58,000 Gehen wir mal einfach das Praxisbeispiel tatsächlich 1261 01:00:58,000 --> 01:00:59,400 durch. So, du bist ein kleines 1262 01:00:59,400 --> 01:01:01,080 Unternehmen, so wie du es gerade geschildert hast. 1263 01:01:01,200 --> 01:01:04,480 Du bekommst diesen Screen, das erste was du erstmal machst ist 1264 01:01:04,480 --> 01:01:07,280 dir externen Support kaufen. Du hast kein ceso, du hast kein 1265 01:01:07,280 --> 01:01:10,480 ISB und so weiter du Googelst wahrscheinlich best Case, du 1266 01:01:10,480 --> 01:01:12,080 kennst irgendjemanden oder irgendwie sowas. 1267 01:01:12,400 --> 01:01:15,440 Ich bekomme auch hin und wieder mal solche Anrufe und ja und 1268 01:01:15,440 --> 01:01:17,280 dann suchst du dir ein entsprechendes 1269 01:01:17,280 --> 01:01:20,480 Expertenunternehmen, die das schon kennen und die genau 1270 01:01:20,480 --> 01:01:23,080 darauf spezialisiert sind. Und die werden dir dann sagen, 1271 01:01:23,080 --> 01:01:24,720 alles klar, lass und zeig mir mal. 1272 01:01:24,720 --> 01:01:27,040 Was ist das für ein Screen? Dann wird erstmal der 1273 01:01:27,040 --> 01:01:29,520 Cyberexperte informieren okay was ist das für eine Rand, so 1274 01:01:29,520 --> 01:01:31,440 mehr gibt es da vielleicht haben wir gerade eben schon mal 1275 01:01:31,440 --> 01:01:33,360 darüber gesprochen, gibt es da vielleicht schwächen das zu 1276 01:01:33,360 --> 01:01:36,480 umgehen, dann wird überprüft, alles klar habt ihr Backups 1277 01:01:36,480 --> 01:01:39,080 funktionieren die kann man die wieder einspielen und so weiter 1278 01:01:39,080 --> 01:01:42,720 und so weiter und dann überlegt man erstmal alles klar, jetzt 1279 01:01:42,720 --> 01:01:45,920 hören wir uns auch mal die kriminellen Seite an, wieviel 1280 01:01:45,920 --> 01:01:48,880 wollen die denn haben und so weiter und so weiter und dann 1281 01:01:48,880 --> 01:01:50,880 muss man am Ende des Tages überlegen und. 1282 01:01:51,120 --> 01:01:53,040 Da sollte man schon auf die Experten hören. 1283 01:01:53,440 --> 01:01:55,600 Sollte man zahlen, sollte man nicht zahlen. 1284 01:01:55,600 --> 01:01:58,560 Die Experten werden meistens sagen, Nein, nichtsdestotrotz, 1285 01:01:58,560 --> 01:02:01,120 du musst am Ende als Firmeninhaber entscheiden, 1286 01:02:01,120 --> 01:02:04,160 kannst du dir das leisten oder nicht und egal ob es jetzt eine 1287 01:02:04,160 --> 01:02:07,040 Stunde oder 3 Tage oder 5 Tage ist, das zählt meistens so ein 1288 01:02:07,040 --> 01:02:09,920 Counter runter, also meistens nicht eine Stunde, das wäre 1289 01:02:09,920 --> 01:02:11,880 jetzt so ein Beispiel, dass man weiß wieviel man verliert 1290 01:02:11,880 --> 01:02:16,160 innerhalb jeder Stunde wo das Werk steht, aber ich sag mal es 1291 01:02:16,160 --> 01:02:19,680 gibt genug Beispiele von Unternehmen die genau die Größe 1292 01:02:19,680 --> 01:02:23,280 haben, die Du gerade gesagt hast und die nach einer Woche pleite 1293 01:02:23,280 --> 01:02:25,360 sind. Ja, man muss sich da vielleicht 1294 01:02:25,360 --> 01:02:26,600 drüber. Überlegen man. 1295 01:02:26,600 --> 01:02:28,440 Man, man glaubt ja vielleicht erstmal, man ist in der 1296 01:02:28,440 --> 01:02:31,840 schlechteren Verhandlungsposition, ist man 1297 01:02:31,840 --> 01:02:32,360 vermutlich. Auch. 1298 01:02:32,360 --> 01:02:33,920 Aber ich meine. Die andere Seite möchte ja auch 1299 01:02:33,920 --> 01:02:35,680 was daran verdienen. Das würden Sie ja nicht machen, 1300 01:02:36,000 --> 01:02:37,960 wenn du sagst es ist ne ne Firma, die muss auch ihren 1301 01:02:37,960 --> 01:02:40,480 Umsatz generieren. Jetzt haben sie schon irgendwas 1302 01:02:40,480 --> 01:02:43,320 verschlüsselt, ja was ja auch nicht so einfach ist. 1303 01:02:43,320 --> 01:02:46,280 Ja weil sich auch immer mehr schließen nehm ich an, also sind 1304 01:02:46,280 --> 01:02:48,680 die ja auch unter Zugzwang, ja die die Verhandlung auf der 1305 01:02:48,680 --> 01:02:50,640 anderen Seite ja und wenn man dann jetzt sagt. 1306 01:02:51,200 --> 01:02:53,920 Nö, Ich zahle nicht, dann würden die auch nicht vielleicht sofort 1307 01:02:53,920 --> 01:02:55,760 die Daten veröffentlichen, weil dann haben sie ja ihr 1308 01:02:55,920 --> 01:02:58,320 Druckmittel verloren. Also genau, Verhandlung zahlt ja 1309 01:02:58,320 --> 01:02:59,680 absolut. Genau da gibt es ein schönes 1310 01:02:59,680 --> 01:03:02,880 Beispiel Travelex das sind so, das ist oder war ein 1311 01:03:02,880 --> 01:03:05,360 Unternehmen, was an den Flughäfen dein Geld gewechselt 1312 01:03:05,360 --> 01:03:07,760 hat, die wurden auch angegriffen, bei denen waren es, 1313 01:03:07,760 --> 01:03:11,240 ich glaube, die wollten $6000000 die Angreifer in Bitcoin, die 1314 01:03:11,240 --> 01:03:14,320 haben am Ende 2,3 Millionen bezahlt, ne, und das kann sein, 1315 01:03:14,320 --> 01:03:17,920 dass die einfach einen verdammt guten Verhandler hatten und es 1316 01:03:17,920 --> 01:03:20,640 kann aber auch sein. Dass am Ende des Tages die 1317 01:03:20,640 --> 01:03:23,360 Angreifer gesagt haben, na ja, OK, vielleicht dann doch nur 2,3 1318 01:03:23,440 --> 01:03:26,320 die Wahrscheinlichkeit ist höher, dass sie mit den Behörden 1319 01:03:26,320 --> 01:03:29,600 kooperiert haben und mit entsprechenden Cyberexperten, 1320 01:03:29,680 --> 01:03:32,320 die das dann, ich sag mal runter verhandelt haben. 1321 01:03:32,320 --> 01:03:35,560 Das ist einfach Psychologie, ne, ihr sagt ihnen Hey Jo, ich hab 1322 01:03:35,560 --> 01:03:37,320 verstanden, ihr wollt so viel Kohle, aber so viel haben wir 1323 01:03:37,320 --> 01:03:39,640 nicht und dann werden die Angreifer in der Regel sagen, ja 1324 01:03:39,640 --> 01:03:42,720 zeig doch mal, weil wir wissen wir haben Eure P und l wir haben 1325 01:03:42,720 --> 01:03:45,520 das und so weiter und so weiter ihr könnt das bezahlen oder ihr 1326 01:03:45,520 --> 01:03:48,080 habt vielleicht sogar eine Cyberversicherung ne und. 1327 01:03:48,440 --> 01:03:52,320 Dann muss man auch weiteren weitere Nachweise, teilweise 1328 01:03:52,320 --> 01:03:54,400 also den Angreifern rüberschicken. 1329 01:03:54,400 --> 01:03:58,720 Also beim Kumpel von mir wollten die seinen Ausweis haben, um 1330 01:03:58,720 --> 01:04:02,200 nachzuweisen, dass er eine andere Nationalität hatte, sage 1331 01:04:02,200 --> 01:04:06,160 ich einfach mal so und durch diesen Nachweis war der Kumpel 1332 01:04:06,160 --> 01:04:09,360 von mir der Admin von einer kleinen Firma war, haben die dem 1333 01:04:09,360 --> 01:04:10,800 seinen Rechner wieder entschlüsselt und das 1334 01:04:10,800 --> 01:04:13,280 Unternehmensnetzwerk weil er nachgewiesen hat, dass er eine 1335 01:04:13,280 --> 01:04:16,160 bestimmte Nationalität hat, geht auch. 1336 01:04:16,600 --> 01:04:18,600 Muss man halt mit denen. Verhandeln, wenn die merken OK, 1337 01:04:18,720 --> 01:04:22,160 du kommst vielleicht daher, dann gibt es da so n Ero Kodex, dann 1338 01:04:22,160 --> 01:04:25,520 helfen die vielleicht sogar ja Siri, aber musst du. 1339 01:04:25,520 --> 01:04:28,840 Glück haben, dass das OK. Klar, da gibt es jetzt natürlich 1340 01:04:28,840 --> 01:04:31,000 keine finale Antwort. Das kommt sehr auf den Fall an, 1341 01:04:31,000 --> 01:04:34,320 aber ich glaub die Message ist ruhebewahren Profis dazu holen 1342 01:04:34,560 --> 01:04:38,480 auf jeden Fall und dann abwägen letzten Endes ne aber 1 hab ich 1343 01:04:38,480 --> 01:04:40,400 noch auf dem Herzen 1. Hab ich noch auf dem Herzen. 1344 01:04:40,400 --> 01:04:43,520 Das passiert also. Also ich nehm mal jetzt mal mein 1345 01:04:43,520 --> 01:04:46,000 Beispiel ja, also auf meinem Laptop. 1346 01:04:46,400 --> 01:04:48,480 Und den kann ich, den kann ich sofort in die Regentonne 1347 01:04:48,480 --> 01:04:52,880 schmeißen, ne egal. Ja, also kein einziges File, 1348 01:04:52,880 --> 01:04:57,880 kein einziges relevantes Datum ist auf meinem Laptop, also ist 1349 01:04:57,880 --> 01:05:00,000 vielleicht da, aber dann ist es in der Cloud halt auch. 1350 01:05:00,000 --> 01:05:03,480 Also ja, da mein meine Frage zielt darauf, wenn ich mein 1351 01:05:03,480 --> 01:05:06,600 ganzes Unternehmen Cloud basiert ausrichte, wie zum Beispiel 1352 01:05:06,600 --> 01:05:09,200 Heisenway ist, also kann man ja mal sagen wir sind bei mit dem 1353 01:05:09,200 --> 01:05:11,560 Google Konzern verhaftet, haben die G Suite und alle Dokumente 1354 01:05:11,560 --> 01:05:14,960 sind da, ja dann müsst ihr ja so n Ransomware angriff. 1355 01:05:15,680 --> 01:05:18,240 Rübergehen in die Cloud, weil da liegen die Dokumente. 1356 01:05:18,240 --> 01:05:21,120 Ja, es müsste in der Cloud bei Google laufen und verschlüsselt 1357 01:05:21,120 --> 01:05:24,080 werden, das kann ich mir hart schwer vorstellen, dass das 1358 01:05:24,080 --> 01:05:26,240 klappt. Ja, also hier kommt meine Frage, 1359 01:05:26,240 --> 01:05:30,160 schützt nicht das ist es eventuell ne ganz coole Sache 1360 01:05:30,160 --> 01:05:32,640 wenn ich sage in meiner Firma und das kann ich jetzt nicht für 1361 01:05:32,640 --> 01:05:35,200 die ganz großen ja aber wenn ich ne mittelgroße Firma bin und 1362 01:05:35,200 --> 01:05:37,840 baue meine Datenstruktur so auf, dass dass gar keiner mehr 1363 01:05:37,840 --> 01:05:41,360 irgendwas lokal hat, ja, sondern dass die Daten halt bei 1364 01:05:41,360 --> 01:05:43,520 irgendeinem großen Anbieter, es muss ja nicht Google sein, es 1365 01:05:43,520 --> 01:05:45,040 gibt ja mehrere, ja wissen wir ja alle. 1366 01:05:45,440 --> 01:05:49,160 Gehalten werden. Ja, und da liegen ja, das müsste 1367 01:05:49,160 --> 01:05:51,880 ja irgendwas bringen, ja, weil es es heißt, für mich als 1368 01:05:51,880 --> 01:05:54,400 Techniker, der Verschlüsselungsalgorithmus muss 1369 01:05:54,400 --> 01:05:56,400 ja die Dinger in der Cloud verschlüsseln, ja, und das stell 1370 01:05:56,400 --> 01:05:59,400 ich mir nicht so einfach vor, Nein, sagen wir mal so, du 1371 01:05:59,400 --> 01:06:01,200 kannst ja auch. Entschlüsselt auf die Daten 1372 01:06:01,200 --> 01:06:04,280 zugreifen und genauso macht der Angreifer und dessen 1373 01:06:04,280 --> 01:06:05,520 Schadsoftware das über deinen Laptop. 1374 01:06:06,400 --> 01:06:07,600 Also der lädt das runter aus der. 1375 01:06:07,600 --> 01:06:10,080 Cloud verschlüsselt ist und lädt das verschlüsselt wieder hoch. 1376 01:06:10,080 --> 01:06:12,240 Oder wie? Er kann ja die. 1377 01:06:12,240 --> 01:06:13,800 Also du hast ja. Direkten Zugang ist wie dein 1378 01:06:13,800 --> 01:06:16,840 Netzlaufwerk, sag ich mal. Und genauso kannst du das ja 1379 01:06:16,840 --> 01:06:18,880 sowohl auf deinem Desktop als auch in der Cloud verschlüsseln. 1380 01:06:19,200 --> 01:06:22,480 Dass ich sag mal größere Konzerne schon andere 1381 01:06:22,480 --> 01:06:24,560 Erkennungsmechanismen und Vermeidungsmechanismen an 1382 01:06:24,560 --> 01:06:29,680 manchen Punkten haben ja aber das funktioniert trotzdem auch, 1383 01:06:29,680 --> 01:06:33,160 also wenn ich sag jetzt mal als anderes Beispiel Microsoft 1384 01:06:33,160 --> 01:06:37,760 onedrive oder Google oder egal welcher du bindest diese Daten 1385 01:06:37,760 --> 01:06:40,720 ja. In deine Arbeitsumgebung ein und 1386 01:06:40,720 --> 01:06:44,160 wenn deine Arbeitsumgebung infiziert wird, dann hat die 1387 01:06:44,160 --> 01:06:46,160 Schadsoftware uneingeschränkten Zugang. 1388 01:06:46,160 --> 01:06:49,280 Ja, mit deinen Berechtigungen und kann die Daten, egal wo sie 1389 01:06:49,280 --> 01:06:52,000 liegen genauso verschlüsseln. OK, aber dann wird es mir 1390 01:06:52,000 --> 01:06:53,000 natürlich helfen, wenn ich einfach. 1391 01:06:53,000 --> 01:06:55,440 Den Rechner vom Netzwerkstecker ziehe dann, wenn ich es merke 1392 01:06:55,440 --> 01:06:57,520 quasi ja, weil da ist Feierabend. 1393 01:06:57,760 --> 01:06:59,360 Wenn es dann nicht synchronisiert wird, ja. 1394 01:06:59,360 --> 01:07:01,720 Korrekt, genau, aber du darfst ja nicht vergessen, Double on 1395 01:07:01,720 --> 01:07:04,480 trip extosion ne also. Schön, dass du n Backup hast und 1396 01:07:04,480 --> 01:07:07,240 so weiter aber willst du, dass alle deine Daten irgendwo im 1397 01:07:07,240 --> 01:07:11,280 Internet kostenlos zur Verfügung stehen oder Leute, von denen du 1398 01:07:11,280 --> 01:07:14,800 Daten hast, erpresst werden? Also die Cloud schützt? 1399 01:07:14,800 --> 01:07:16,840 Nicht zu. Einem gewissen Grad, sag ich 1400 01:07:16,840 --> 01:07:20,240 mal. Krieg ich Bauchschmerzen? 1401 01:07:20,240 --> 01:07:22,720 Aber ich würd sagen, ich würd. Sagen es ist es ist schon 1402 01:07:22,720 --> 01:07:26,240 eigentlich, es ist, ich seh da sehr viel Vorteile ne also weil 1403 01:07:26,400 --> 01:07:28,360 also wenn jemand auf meinem Rechner ist, dann hat er ja noch 1404 01:07:28,360 --> 01:07:30,480 nicht mal n Cloud contentials geklaut, so ja dann kann er 1405 01:07:30,480 --> 01:07:32,320 vielleicht irgendwie über. Irgendwelche 1406 01:07:32,320 --> 01:07:34,480 Synchronisationswege gehen und so weiter ist sich aber auch 1407 01:07:34,480 --> 01:07:37,880 technisch gar nicht so einfach. Ja und und dann hat ihr 1408 01:07:37,880 --> 01:07:40,480 natürlich n so n Google Konzern oder n Microsoft Konzern oder 1409 01:07:40,480 --> 01:07:43,680 NABS Konzern oder irgend so was noch ganz andere Mittel und Wege 1410 01:07:43,680 --> 01:07:46,560 und viel standardisierter sich die Dateien anzugucken die da 1411 01:07:46,560 --> 01:07:48,960 liegen, die haben außerdem krasses Backup, versioning 1412 01:07:48,960 --> 01:07:51,360 System und so weiter ich würde auch sagen das hilft dem 1413 01:07:51,360 --> 01:07:53,480 Verschlüssel überhaupt nicht, da jetzt selbst selbst wenn ihr 1414 01:07:53,480 --> 01:07:55,840 meine gesamten Daten austauschen würdet mit alles was da legt und 1415 01:07:55,840 --> 01:07:58,280 einmal geguckt jetzt in legt. Dann geh ich bei Google hin und 1416 01:07:58,280 --> 01:08:00,080 sag OK, scheiß der Hund. Ja das das ist. 1417 01:08:00,080 --> 01:08:02,000 Du siehst sogar n timestamp, dann lad ich halt das von von 1418 01:08:02,000 --> 01:08:04,400 von einer Stunde hin. Ja dann siehst du wieder safe ja 1419 01:08:04,720 --> 01:08:07,120 also ich würd schon sagen das das müsste, das müsste 1420 01:08:07,120 --> 01:08:09,080 eigentlich schon n großen Mehrwert bieten ja für die 1421 01:08:09,080 --> 01:08:12,880 Sicherheit also was ich bin ja kein Sicherheitsexperte, aber 1422 01:08:12,880 --> 01:08:15,920 was mein technisches Verständnis angeht würd ich sagen da fühl 1423 01:08:15,920 --> 01:08:18,399 ich mich sehr wohl nicht bei ja also ich rate immer meinen 1424 01:08:18,640 --> 01:08:20,840 beiden Familienangehörigen so wenn du wenn du eigentlich deine 1425 01:08:20,840 --> 01:08:23,279 Daten sicher haben willst dann lad die halt in irgendeine Cloud 1426 01:08:23,279 --> 01:08:27,439 hoch die du der du vertraust ja. Da ist der größte Gau natürlich. 1427 01:08:27,439 --> 01:08:29,920 Und wenn er mir die Cloud sagt, ich, ich mag dich nicht, ja dann 1428 01:08:29,920 --> 01:08:32,760 bist du auch ganz weg, aber du darfst nur nicht vergessen, wenn 1429 01:08:32,760 --> 01:08:34,240 du. Ich sag mal das in deinem Daily 1430 01:08:34,240 --> 01:08:38,319 Business so benutzt, dann bist du ja mit deinem User eingeloggt 1431 01:08:38,319 --> 01:08:41,520 und mit deinem Rechner und mit dem agiere ich ja als Angreifer. 1432 01:08:41,920 --> 01:08:44,800 Das heißt die Cloud ist einfach nur eine andere Arbeitsumgebung, 1433 01:08:44,800 --> 01:08:47,680 aber du nutzt sie ja aktiv von deinem Rechner und wenn ich 1434 01:08:47,680 --> 01:08:50,600 deinen Rechner schaffe zu kapern mach ich mit deinem User, ich 1435 01:08:50,600 --> 01:08:52,920 kann sogar die Backups Eliten wenn ich jetzt n professioneller 1436 01:08:52,920 --> 01:08:54,359 Angreifer wär. Ich kann mich auch in deine 1437 01:08:54,359 --> 01:08:56,640 Google Cloud von deinem Rechner im Hintergrund einloggen und so 1438 01:08:56,640 --> 01:08:59,200 weiter das ist jetzt wieder nur die böse Variante. 1439 01:08:59,200 --> 01:09:01,840 Ne, Ich möchte nicht sagen, dass das im Standard passiert, der 1440 01:09:02,319 --> 01:09:05,680 zumindest heutzutage standardangreifer würde das 1441 01:09:05,680 --> 01:09:08,080 nicht tun, sondern er würde höchstwahrscheinlich 1442 01:09:08,080 --> 01:09:11,600 standardmäßig deinen Rechner nur verschlüsseln, du hättest ein 1443 01:09:11,600 --> 01:09:14,319 Backup in der Cloud und könntest einen neuen Rechner aufsetzen. 1444 01:09:14,399 --> 01:09:18,399 Was das anbelangt bin ich bei dir ne, also ja was was das 1445 01:09:18,399 --> 01:09:21,600 anbelangt aber. Wenn die Daten auch in der Cloud 1446 01:09:21,600 --> 01:09:24,160 verschlüsselt werden, was durch über deinen Rechner auch ohne 1447 01:09:24,160 --> 01:09:26,520 Probleme möglich ist. Ja ja, es gibt ja noch Two Facts 1448 01:09:26,520 --> 01:09:28,200 und so weiter ne. Könntest du dich im Hintergrund 1449 01:09:28,200 --> 01:09:31,120 direkt einloggen? Ja, ja ne, also so. 1450 01:09:31,120 --> 01:09:33,359 Einfach ist es nicht, Browser wie im Browser. 1451 01:09:33,359 --> 01:09:36,040 Einloggen ja. Bis die Session abgelaufen ist. 1452 01:09:36,040 --> 01:09:39,000 Und dann brauchst du n Telefon. Genau, ich möchte zumindest nur 1453 01:09:39,000 --> 01:09:41,200 den. Mythos ich sag mal entkräften. 1454 01:09:41,439 --> 01:09:45,040 Der Angreifer muss sich nicht selbst bei Google 1455 01:09:45,040 --> 01:09:47,840 authentifizieren, er macht das über deinen Rechner. 1456 01:09:48,000 --> 01:09:50,240 Das das heißt, der Angreifer macht es über dich? 1457 01:09:50,560 --> 01:09:52,520 Ja, das mein, Das ist ja sowieso immer die Größte. 1458 01:09:52,520 --> 01:09:54,320 Der Zeit schützt es dich nur begrenzt. 1459 01:09:54,640 --> 01:09:57,680 Ja, das stimmt was du. Sagst ist natürlich immer ganz 1460 01:09:57,680 --> 01:09:59,040 wahr. Ja, also wenn es jemand schafft 1461 01:09:59,040 --> 01:10:01,920 quasi sich im den Du der Wolf zum Schafspelz zu sein, also 1462 01:10:01,920 --> 01:10:04,800 dich als dich ausgibt mit den Credentials und du bist halt 1463 01:10:04,800 --> 01:10:06,840 jemand der relativ viel Gewalt hat, weil du viele 1464 01:10:06,840 --> 01:10:09,480 administrative Rechte hast, auf viele Systeme, dann ist das 1465 01:10:09,480 --> 01:10:11,600 natürlich immer schlecht und dann können die Systeme sich. 1466 01:10:11,920 --> 01:10:13,680 Ihr könnt dieses Thema nicht aussortieren, meinte das. 1467 01:10:13,680 --> 01:10:15,680 So will er wirklich das löschen, weil das meinte er ja vielleicht 1468 01:10:15,680 --> 01:10:17,160 auch so oder ist das halt jemand Böses? 1469 01:10:17,160 --> 01:10:19,400 Ja, das natürlich das ist. Richtig wahr. 1470 01:10:19,400 --> 01:10:21,520 Ja, das also wenn. Wenn du, wenn deine Credentials 1471 01:10:21,520 --> 01:10:23,920 gehackt werden, dann ist es ja aber auch der worst case sag ich 1472 01:10:23,920 --> 01:10:27,600 mal ja, aber für ne für n fieses Programm was irgendwo startet 1473 01:10:27,920 --> 01:10:30,840 was er, was ja nicht im ersten Schritt deine Credentials hat, 1474 01:10:30,840 --> 01:10:34,160 ja das hat dann schon n paar größere Hürden da irgendwie was 1475 01:10:34,160 --> 01:10:35,480 zu tun. Also also für mich wär das 1476 01:10:35,480 --> 01:10:37,120 jedenfalls ne zwiebelschale ja es ist nicht die. 1477 01:10:37,520 --> 01:10:39,280 Ich Silver Bullet gibt es nicht, das wissen wir ja alle. 1478 01:10:39,280 --> 01:10:41,040 Ja, Sicherheit ist halt quasi ne Zwiebel. 1479 01:10:41,040 --> 01:10:42,760 Ja und je mehr schichten ich hab, desto besser. 1480 01:10:42,760 --> 01:10:45,280 Ja wenn wenn ich jemanden komplett hochnehmen will, da 1481 01:10:45,280 --> 01:10:47,600 schafft er auch alle alle zwiebelschalen abzupellen ja das 1482 01:10:47,600 --> 01:10:49,200 dauert halt n bisschen länger und dann bist du trotzdem 1483 01:10:49,200 --> 01:10:51,280 irgendwann dran. Ja das ist mir auch klar, aber 1484 01:10:51,680 --> 01:10:54,800 ich dachte immer ne ne Cloud ne ne Cloud Storage ist ist schon 1485 01:10:54,800 --> 01:10:57,600 auch ne ganz schöne Zwiebelschale so ja vielleicht 1486 01:10:57,600 --> 01:11:01,120 nicht so wie ich gedacht hab ja hab ich wieder was gelernt heute 1487 01:11:01,520 --> 01:11:04,000 cool ich glaub wir haben wir haben ganz schön viel schon 1488 01:11:04,000 --> 01:11:06,520 diskutiert ich glaube wir müssen so langsam ne Kurve kriegen oder 1489 01:11:06,520 --> 01:11:09,200 Gerrit was hast du? Na ja, ich find schon, dass es 1490 01:11:09,200 --> 01:11:10,680 wichtig ist, noch mal. Auch wenn wir das jetzt immer 1491 01:11:10,680 --> 01:11:13,120 wieder geschaut haben, auch über die Maßnahmen zu sprechen, die 1492 01:11:13,120 --> 01:11:14,680 man so ergreifen kann, vielleicht noch mal ein bisschen 1493 01:11:14,680 --> 01:11:17,120 gesammelt, vielleicht nicht so ausgiebig, aber dass man noch 1494 01:11:17,120 --> 01:11:19,760 ein bisschen drüber redet, was man so, was man tun sollte, 1495 01:11:20,160 --> 01:11:23,200 gerne gerne klar also. Was kann man alles tun, was gibt 1496 01:11:23,200 --> 01:11:24,120 so? Ich sag einfach mal so ein paar 1497 01:11:24,120 --> 01:11:26,360 grobe Stichworte, dass man die mal gehört hat, vielleicht so 1498 01:11:26,360 --> 01:11:28,720 mitschreiben oder so, weil das Erste hat schon mal erwähnt, 1499 01:11:28,720 --> 01:11:31,640 IDA, auf jeden Fall eine aus meiner Erfahrung heraus der 1500 01:11:31,640 --> 01:11:34,640 wichtigsten Punkte. Pass auf noch mal ganz kurz ID. 1501 01:11:34,640 --> 01:11:37,360 A also also e Entschuldigung, Emil Dora. 1502 01:11:37,360 --> 01:11:40,800 Richard endpoint EDR auf deutsch genau EDR. 1503 01:11:40,800 --> 01:11:43,720 Sorry, ja genau, also. Endpoint Detection and Response 1504 01:11:43,720 --> 01:11:46,720 heißt das ausgeschrieben? OK dann. 1505 01:11:46,960 --> 01:11:48,480 Patchmanagement haben wir. Gerade schon gehört. 1506 01:11:48,480 --> 01:11:51,080 Das heißt immer alles aktuell halten, dann zumindest in 1507 01:11:51,080 --> 01:11:54,240 Unternehmen sogenannte Schwachstellen Scans, das heißt, 1508 01:11:54,240 --> 01:11:56,160 ihr habt so n Scanner, der scannt regelmäßig nach bekannten 1509 01:11:56,160 --> 01:11:58,880 Schwachstellen, ähnlich wie n Antivirus, nur für 1510 01:11:58,880 --> 01:12:02,320 netzwerkbasierte Scans. Dann ein Dark Web Monitoring. 1511 01:12:02,320 --> 01:12:05,920 Wir haben eben den Fall von Colonial Pipeline gehört, schon 1512 01:12:05,920 --> 01:12:09,080 bereits geleakte Credentials wurden genutzt, wenn ich diese 1513 01:12:09,080 --> 01:12:12,240 geleakten Credentials kenne über so n Dark Web Monitoring, dann 1514 01:12:12,240 --> 01:12:15,000 kann ich mich drum kümmern sowas zu, ich sag mal außer Kraft zu 1515 01:12:15,000 --> 01:12:17,440 setzen, dann haben wir gerade auch schon von Burkhard 1516 01:12:17,440 --> 01:12:19,880 Multifaktor Authentifizierung gehört, ich glaub das ist 1517 01:12:19,880 --> 01:12:21,960 mittlerweile jedem bekannt, da gab es haben wir auch schon 1518 01:12:21,960 --> 01:12:24,240 gehört, vielleicht egal, lass uns da noch mal ganz kurz drüber 1519 01:12:24,240 --> 01:12:26,000 sprechen Multifaktor. Was Burkhard gerade meinte mit 1520 01:12:26,000 --> 01:12:27,920 dem Handy. Ne, wenn die Session abläuft, 1521 01:12:27,920 --> 01:12:30,240 dann muss ich einmal noch mal wieder mit dem Handy sagen, dass 1522 01:12:30,240 --> 01:12:33,040 ich jetzt hier zum Beispiel bei Google mich gerade einlogge und 1523 01:12:33,040 --> 01:12:35,760 so weiter sonst sonst. Sonst geht gar nichts. 1524 01:12:35,760 --> 01:12:37,520 Letzten Endes ne oder? Ich hab jetzt n anderen 1525 01:12:37,520 --> 01:12:40,640 multifaktor ich krieg ne SMS oder so, muss ne tan eintännung 1526 01:12:40,640 --> 01:12:43,880 oder sowas in der Form ne OK du kriegst ja auch rückwärts ne 1527 01:12:43,880 --> 01:12:45,520 Nachricht. Wenn wenn wenn sich jemand von 1528 01:12:45,520 --> 01:12:47,360 einer anderen IP oder sowas einloggt, dann kriegst du ja 1529 01:12:47,360 --> 01:12:48,760 auch ne Nachricht. Bist du das gewesen? 1530 01:12:48,760 --> 01:12:51,200 Das kennt ihr ja auch ja so und da kann man ja auch sagen, wenn 1531 01:12:51,200 --> 01:12:52,720 man es wirklich nicht gewesen ist. 1532 01:12:52,800 --> 01:12:55,600 Nö, lieber nicht, ja genau richtig. 1533 01:12:55,840 --> 01:12:58,400 Also multifaktor. Kann man sich vorstellen, ist 1534 01:12:58,400 --> 01:13:02,080 immer etwas was du bist, also dein Fingerprint, deine Iris, 1535 01:13:02,240 --> 01:13:04,640 etwas, was du weißt, so was wie dein User Name, dein Passwort 1536 01:13:05,040 --> 01:13:08,000 oder etwas was du hast. So was wie ein Token oder dein 1537 01:13:08,000 --> 01:13:10,680 Handy und Multifaktor bedeutet ganz einfach, du musst 1538 01:13:10,680 --> 01:13:14,640 mindestens 2 von diesen 3 Kategorien irgendwie 1539 01:13:15,040 --> 01:13:17,560 abfrühstücken und nicht nur eine in unterschiedlichen 1540 01:13:17,560 --> 01:13:19,680 Variationen, das heißt einmal etwas was du hast wie dein 1541 01:13:19,680 --> 01:13:21,680 Handy. Und dann etwas, was du weißt, 1542 01:13:21,680 --> 01:13:23,200 wie dein Passwort. Dann hast du schon Multi oder 1543 01:13:23,200 --> 01:13:26,040 manche sagen auch 2 Faktor, manche brauchen auch 3 Faktoren, 1544 01:13:26,040 --> 01:13:31,360 je nachdem okay also wo? Es geht anschalten, ja, absolut, 1545 01:13:31,360 --> 01:13:33,400 absolut hilft. Auch sehr, sehr viel kann ich 1546 01:13:33,400 --> 01:13:35,600 wirklich nur jedem empfehlen. Genau Backups haben wir eben 1547 01:13:35,600 --> 01:13:39,040 schon sehr viel gehört, also offside Backups, offline Backups 1548 01:13:39,040 --> 01:13:42,720 mit Tay, Probotern und so weiter normale Backups natürlich auf 1549 01:13:42,720 --> 01:13:45,920 eine platte Netzwerk Segmentieren, 1550 01:13:46,160 --> 01:13:47,920 Weihnachtstrainings haben wir gerade gehört. 1551 01:13:48,240 --> 01:13:51,600 Und ne, hier noch mal bitte keine typischen CBTS also 1552 01:13:51,600 --> 01:13:54,480 computerbase Trainings, sondern was ordentliches und dann haben 1553 01:13:54,480 --> 01:13:56,960 wir gerade eben auch schon den E Mail weg gehört, also e Mail 1554 01:13:56,960 --> 01:14:00,320 filtering sendbong sync hab ich gerade schon mal erwähnt, so ne 1555 01:14:00,320 --> 01:14:04,240 Link Transformation Geschichte hab ich schon mal erwähnt, ein 1556 01:14:04,560 --> 01:14:07,560 echt häufig unterschätzter Faktor über den wir hier noch 1557 01:14:07,560 --> 01:14:11,600 nicht gesprochen haben, bitte keine lokalen Adminrechte auf 1558 01:14:11,600 --> 01:14:14,440 dem Rechner. Ihr müsst alle keine Admins 1559 01:14:14,440 --> 01:14:18,000 sein, das Ding funktioniert auch so, wenn ich das mal so sagen 1560 01:14:18,000 --> 01:14:20,640 darf und das ist auf jeden Fall entscheidender Faktor, weil wenn 1561 01:14:20,640 --> 01:14:23,520 ihr zufällig auf Schadsoftware klickt und ihr habt nicht die 1562 01:14:23,520 --> 01:14:26,200 Rechte, dann kann die sich häufig nicht. 1563 01:14:26,240 --> 01:14:28,480 Also es gibt auch wieder Exploits und Blood Pipapoo 1564 01:14:28,480 --> 01:14:31,440 Security Fritz werden mich jetzt auseinander nehmen, aber in der 1565 01:14:31,440 --> 01:14:35,200 Regel wenn das Ding gepatcht ist und kein Zeraday hat und ihr 1566 01:14:35,200 --> 01:14:38,480 habt kein Admin, dann kann das Ding sich nicht ausführen. 1567 01:14:38,640 --> 01:14:42,080 Also dann braucht ihr nicht mal Antivirus ungefähr, aber bitte 1568 01:14:42,080 --> 01:14:44,720 nicht dafür wünschen. So dann Segmentierung des 1569 01:14:44,720 --> 01:14:47,920 Netzwerks, wenn ein Angreifer nur ein bestimmtes Netz Segment 1570 01:14:47,920 --> 01:14:51,600 infiltriert hat, dann kann er in das andere nicht rein und 1571 01:14:52,000 --> 01:14:54,480 bereitet euch zumindest bitte mal vor. 1572 01:14:54,560 --> 01:14:57,760 Also Incident Response nennen wir das, das heißt such dir 1573 01:14:57,760 --> 01:15:00,920 einen Anbieter raus den du im Worst Case anbieten anbieten 1574 01:15:00,920 --> 01:15:03,040 sage ich schon den du anrufen würdest. 1575 01:15:03,280 --> 01:15:04,800 Mach vielleicht einen Vertrag mit ihm. 1576 01:15:05,120 --> 01:15:08,840 Spiel dir doch schon mal durch. Was würdest du tun, wen würdest 1577 01:15:08,840 --> 01:15:11,760 du anrufen, wie würdest du reagieren, weil ich kann euch 1 1578 01:15:11,760 --> 01:15:13,800 sagen, ich habe schon viele solcher Incidents mitbekommen in 1579 01:15:13,800 --> 01:15:17,680 meinem Leben, wenn wirklich mal die Kacke am dampfen ist, dann 1580 01:15:17,680 --> 01:15:22,200 laufen alle in der Regel rum wie ein Hühnchen ohne Kopf und da 1581 01:15:22,200 --> 01:15:25,280 habt ihr keinen Bock drauf, wenn ihr die einzigen seid, die sagen 1582 01:15:25,280 --> 01:15:28,160 Leute bleibt doch mal entspannt, wir gehen jetzt ABC vor, also 1583 01:15:28,160 --> 01:15:31,320 wenn man das mal trainiert hat, selbst wenn es eine Tablet Top 1584 01:15:31,320 --> 01:15:35,160 Exercise war das hilft. Und das waren jetzt so n paar 1585 01:15:35,160 --> 01:15:37,520 Beispiele. Cool, OK. 1586 01:15:37,520 --> 01:15:40,960 Ich finde, das ist auch n Thema, was man jetzt nicht häufig genug 1587 01:15:40,960 --> 01:15:42,880 sagen kann, auch wenn wir das hier da schon mal erwähnt haben. 1588 01:15:42,880 --> 01:15:44,880 In dem Podcast. Gibt es denn noch andere Sachen, 1589 01:15:44,880 --> 01:15:46,640 die wir jetzt noch bei Ransomware unbedingt noch mal 1590 01:15:46,640 --> 01:15:48,600 covern sollten? Alexandros, du denkst da, das 1591 01:15:48,600 --> 01:15:51,280 haben wir jetzt heute vergessen, da muss man noch n Wort zu 1592 01:15:51,280 --> 01:15:54,000 sagen, cyberversicherung vielleicht fällt mir ganz. 1593 01:15:54,080 --> 01:15:58,800 Kurz ein, weil das werd ich immer wieder gefragt und ich 1594 01:15:58,800 --> 01:16:00,720 will auch gar nicht irgendwie zu ausufernd sein. 1595 01:16:00,960 --> 01:16:03,040 Vielleicht ganz kurz, historisch bedingt. 1596 01:16:03,040 --> 01:16:05,440 Vor vielen Jahren hat gefühlt noch jeder eine 1597 01:16:05,440 --> 01:16:08,280 Cyberversicherung bekommen, das war irgendwie on vogue und jeder 1598 01:16:08,280 --> 01:16:10,400 wollte sein Risiko transferieren auf jemand anders. 1599 01:16:10,720 --> 01:16:12,720 Mittlerweile haben die Cyberversicherung auch 1600 01:16:12,720 --> 01:16:16,560 verstanden, verdammt, das wird richtig teuer, wir wussten ja 1601 01:16:16,560 --> 01:16:18,680 gar nicht, dass die so schlecht sind und so einfach gehackt 1602 01:16:18,680 --> 01:16:21,640 werden können und deshalb haben sich auch viele Versicherer aus 1603 01:16:21,640 --> 01:16:24,960 dem Geschäft zurückgezogen und andere, die jetzt noch drin 1604 01:16:24,960 --> 01:16:28,880 sind, die prüfen verdammt genau, ob ihr überhaupt versicherbar 1605 01:16:28,880 --> 01:16:31,840 seid oder nicht. Und genau das ist eben in der 1606 01:16:31,840 --> 01:16:35,520 heutigen Zeit sehr, sehr teuer geworden und sehr aufwendig. 1607 01:16:35,680 --> 01:16:38,800 Und deshalb ist die Cyberversicherung nicht mehr so 1608 01:16:38,800 --> 01:16:42,320 einfach zu kriegen und wenn, dann mit höheren Hürden oder 1609 01:16:42,320 --> 01:16:44,320 höheren Prämien natürlich verbunden. 1610 01:16:44,640 --> 01:16:47,600 Und ich also ich wurde schon sehr häufig auch in einem 1611 01:16:47,600 --> 01:16:50,680 Unternehmen, in denen ich selber Arbeitnehmer war, gefragt, 1612 01:16:50,680 --> 01:16:52,560 Alexanders, lass uns doch eine Cyberversicherung nehmen. 1613 01:16:52,960 --> 01:16:56,560 Meine Antwort war meistens, lass uns das Geld, was für so ein 1614 01:16:56,560 --> 01:16:59,680 Konzern notwendig wäre, bitte in die Cyber, in die wirklich 1615 01:16:59,680 --> 01:17:01,520 operative Cyber Security stecken. 1616 01:17:01,680 --> 01:17:05,240 Davon hast du zumindest wenn du gute Leute hast mehr als von der 1617 01:17:05,240 --> 01:17:07,360 Versicherung, weil ich weiß nicht wie es euch geht. 1618 01:17:07,360 --> 01:17:09,600 Habt ihr schon mal was bei einer Versicherung eingereicht zum 1619 01:17:09,600 --> 01:17:12,720 zurückzahlen, Haftpflicht oder sonst was und ich kann euch 1620 01:17:12,720 --> 01:17:16,480 einen sagen gerade im Cyberbereich es wird. 1621 01:17:16,720 --> 01:17:19,320 Immer und wirklich immer irgendwelche Lücken geben, die 1622 01:17:19,320 --> 01:17:22,320 ne Versicherung euch nachweisen kann, die ihr nicht optimal 1623 01:17:22,320 --> 01:17:25,360 umgesetzt habt, das kann ich euch garantieren zu 100% also 1624 01:17:25,360 --> 01:17:27,280 wenn ich ne Versicherung wär und ich würde ne Cyberversicherung 1625 01:17:27,280 --> 01:17:31,280 anbieten, ich würde Leute die uns engagieren um dem 1626 01:17:31,280 --> 01:17:33,800 Unternehmen nachzuweisen, das habt ihr nicht gemacht, deshalb 1627 01:17:33,800 --> 01:17:37,280 zahlen wir nicht, also deshalb. Ich will nicht sagen. 1628 01:17:37,280 --> 01:17:39,160 Dass die Versicherer alle so ticken ne versteht mich da nicht 1629 01:17:39,160 --> 01:17:41,920 falsch, überhaupt nicht. Also da gibt es auch gute alles 1630 01:17:41,920 --> 01:17:44,160 takko ne, aber ich möchte nur sagen. 1631 01:17:44,640 --> 01:17:47,200 Überlegt euch das. Es ist eine Möglichkeit, ein 1632 01:17:47,200 --> 01:17:50,160 gewisses Risiko zu transferieren, aber das sollte 1633 01:17:50,160 --> 01:17:52,000 nicht das ausschließliche Ding sein, was ihr tut. 1634 01:17:52,000 --> 01:17:54,160 Ich finde den, ich finde den gar nicht so schlechte Hinweis ja. 1635 01:17:54,400 --> 01:17:57,040 Das Budget vielleicht lieber für andere Maßnahmen nutzen? 1636 01:17:57,040 --> 01:18:00,080 OK, ja, genau das wäre. Auf jeden Fall. 1637 01:18:00,080 --> 01:18:02,320 Ansonsten glaube ich, haben wir eigentlich einen Großteil, außer 1638 01:18:02,320 --> 01:18:05,920 vielleicht noch, dass es sowas so, wenn es so erste Hilfe 1639 01:18:05,920 --> 01:18:10,280 Dinger gibt, wo man sich melden kann beim LKA, beim BKA, bei z 1640 01:18:10,280 --> 01:18:12,160 BUND, beim BSI und solche Geschichten. 1641 01:18:13,280 --> 01:18:15,560 Sollte man vielleicht auch mal gucken, wenn man sich damit 1642 01:18:15,560 --> 01:18:18,000 beschäftigt. Wir haben das Bundesamt für 1643 01:18:18,000 --> 01:18:20,400 Sicherheit der Informationstechnik, da gibt es 1644 01:18:20,400 --> 01:18:22,400 ganz viele Checklisten und so ein Kram. 1645 01:18:22,560 --> 01:18:26,320 Also da sollte man auf jeden Fall sich mal vorher informieren 1646 01:18:26,320 --> 01:18:29,440 und ihr seid nicht alleine, also es gibt viele solcher Stellen, 1647 01:18:29,440 --> 01:18:33,440 die wirklich kostenlos euch auch helfen können, teilweise und das 1648 01:18:33,440 --> 01:18:36,480 auch tun, ihr braucht keine überbezahlten Berater wie uns an 1649 01:18:36,480 --> 01:18:40,400 der Stelle. Deshalb, da helft euch am Anfang 1650 01:18:40,400 --> 01:18:43,120 oder guckt mal wie man sich da zumindest mit, ich sag mal den 1651 01:18:43,120 --> 01:18:46,440 Variationen, die der Bund uns schon zur Verfügung stellt oder 1652 01:18:46,440 --> 01:18:49,120 auch die Polizei, die ja kostenlos sind, sag ich einfach 1653 01:18:49,120 --> 01:18:51,840 mal, was man da schon mitreißen kann, da kann man schlecht viel 1654 01:18:51,840 --> 01:18:55,120 machen, alles klar OK, hast du noch noch ne Frage oder n. 1655 01:18:55,120 --> 01:19:01,360 Thema noch nope, Audiokommentar ja cool, dann würd ich sagen 1656 01:19:01,520 --> 01:19:05,600 machen wir n hacken dran mega cool, dass du da warst. 1657 01:19:05,600 --> 01:19:07,280 Wie kann man dich erreichen, wenn wir jetzt doch. 1658 01:19:07,520 --> 01:19:10,160 Nen Berater möchte und und und. Welche Dienstleistungen bietet 1659 01:19:10,160 --> 01:19:11,040 ihr in dem Bereich eigentlich an? 1660 01:19:11,040 --> 01:19:13,600 Vielleicht magst du das noch mal kurz teilen mit Hörerinnen und 1661 01:19:13,600 --> 01:19:15,920 Hörern, klar gerne, also wenn man mich erreichen möchte, 1662 01:19:15,920 --> 01:19:17,280 entweder. Über mein Linkedin Profil 1663 01:19:17,280 --> 01:19:19,360 einfach suchen nach Alexander Osmanakos auf Google. 1664 01:19:19,360 --> 01:19:22,240 Nun findet man mich auch, sowohl mich selber als auch meine 1665 01:19:22,240 --> 01:19:24,240 Family. Ich sag schon family, also meine 1666 01:19:24,240 --> 01:19:29,200 Firma oder nach Apollon Security suchen, das ist quasi meine 1667 01:19:29,200 --> 01:19:34,160 Company ja wir beraten primär im Bereich im Cyber Security und. 1668 01:19:34,560 --> 01:19:37,080 Große Konzerne, aber auch kleine Unternehmen bei uns sind ja 1669 01:19:37,080 --> 01:19:39,560 alles dabei, von der Kirche bis zum Weltkonzern sag ich immer 1670 01:19:39,560 --> 01:19:43,600 ganz gerne, ist alles irgendwo mit dabei und wir machen auch 1671 01:19:43,600 --> 01:19:46,480 solche Managed Service Services, dass man sich um nichts groß 1672 01:19:46,480 --> 01:19:50,800 kümmern muss und ja, in dem Sinne e Mail, Linkedin und so 1673 01:19:50,800 --> 01:19:52,840 weiter könnt ihr auch gerne irgendwo wenn ihr möchtet 1674 01:19:52,840 --> 01:19:55,600 irgendwo mit reinpacken oder so klar das wird verlinkt, 1675 01:19:55,600 --> 01:19:57,680 natürlich und schon was wie. Immer OK? 1676 01:19:57,840 --> 01:20:01,640 Dann danke ich dir und ich hab hat mir sehr viel Spaß gemacht. 1677 01:20:01,640 --> 01:20:03,360 Danke euch. Ebenso, ja. 1678 01:20:03,560 --> 01:20:05,120 Und bis bald. Vielleicht tschau tschau. 1679 01:20:05,680 --> 01:20:08,720 Danke auch von mir an dich. Und Tschüss aus Hamburg. 1680 01:20:08,960 --> 01:20:10,800 Immer gerne danke euch man das hat. 1681 01:20:10,800 --> 01:20:11,960 Mir wirklich sehr viel Spaß gemacht. 1682 01:20:11,960 --> 01:20:14,760 Sehr sehr cool, einfach komplex wird. 1683 01:20:14,760 --> 01:20:17,360 Präsentiert und produziert. Von heiseware Wir freuen uns auf 1684 01:20:17,360 --> 01:20:20,640 deinen Fragen und deinfeedbackanpodcast@heiseware.com. 1685 01:20:20,720 --> 01:20:22,160 Vielen Dank fürs Hören dieser Folge. 1686 01:20:22,160 --> 01:20:24,400 Bis Dienstag in 2 Wochen und Tschüss aus Hamburg.