 Mir ist dabei was aufgefallen und das möchte ich mal hier in einem technischen Kontext davon erzählen. In der Hoffnung, dass ganz viele IT-Sicherheitstechis zuhören und feststellen, oh, da müssen wir doch mal was machen. Deswegen habe ich das, sozusagen, IT-Sicherheit im Kontext häuslicher Gewalt genannt und das worauf ich als erstes hinaus will, ist die APT-Lücke, was ich genau damit meine, erzähle ich gleich. So, dann schauen wir mal, wie wir hier zwischen Folien weiter schalten können. Erstmal will ich mit einem dicken Disclaimer anfangen, genau. Ich mache IT-Beratung für das sogenannte Non-Magic-Folk, also für in erster Linie Leute, die nicht unbedingt auf solchen Konkurrencen, wie wir diesen hier jetzt machen, rumlaufen, die aber natürlich genauso, wie es halt jetzt in der Gesellschaft völlig selbstverständlich ist, mit diesen ganzen technischen Geräten zu tun haben, die nutzen, die nutzen müssen von der Arbeit her und da ihnen nicht viel anderes übrig bleibt, als in der öffentlichen digitalen Welt auch teilzuhaben. Das heißt, was ich tagtäglich in meiner Arbeit erlebe, sind die Security Nightmares in Haut Nah, also das, worüber in manchen Vorträgen hier mit ein bisschen Humor berichtet wird, dass was Leuten da alles auf die Füße fallen könnte, wenn sie nicht an der richtigen Stelle aufpassen. Ja, genau das habe ich tagtäglich vor der Nase und ich muss mir dann überlegen, was ich den Leuten denn jetzt empfehlen kann, was ich ihnen in so einfache Sprache übersetzt darlegen kann, dass sie das überhaupt nachvollziehen können und dass sie da überhaupt mitkommen. Ich bin keine IT-Forrenzikerin, das heißt, wenn ich an der Stelle jetzt Dinge sage, die nicht komplett in die Tiefe korrekt sind, dann seht mir das bitte nach. Ich bin IT-Beraterin, das heißt, ich bleibe eigentlich relativ weit oben an der Oberfläche und versuche überhaupt mit den Betroffenen rauszufinden, welchen Weg sie jetzt gehen können. Ich suche aber nach wie vor nach Leuten, die IT-Forrenzik machen und die gerne sich in diesem Gebiet engagieren wollen. Bitte gerne eine E-Mail an mich schicken. Ich sage nachher noch mal wohin. Ich berate jetzt etwa seit drei Jahren zu dem Thema und hab da schon diverse Erfahrungen gesammelt. Ich will hier jetzt heute gar nicht so viel in die Richtung gehen, aber ich hab jetzt zwar viel Zeit eingeplant am Ende, auch falls dazu noch Rückfragen in eine andere Richtung gehen, dann stehe ich dann natürlich gerne zur Verfügung und genauso lang wie ich jetzt schon berate, suche ich nach einer passenden IT-Fortbildung, also eine Fortbildung zur IT-Sicherheit, die genau auf das Publikum, mit dem ich es zu tun habe, zugeschnitten ist und ich bin bisher nicht fündig geworden. Das soll nicht heißen, dass es das nicht gibt. Also wenn ich jetzt sage, Leute, hier ist eine riesen Lücke, dann braucht ihr mich damit nicht sozusagen mir das Gegenteil zu bereisen, indem ihr sagt, es gibt da eine einzelne Fortbildung und zwar dort und dort, also du lügst. Das will ich gar nicht sagen. Ich freue mich sogar im Gegenteil über Hinweise, wo man denn IT-Sicherheit, Fortbildung in genau diese Zierrichtung kriegen kann. Aber die sind so schwer zu finden, das ist meine Aussage, dass es nicht reicht. Sie sind also zu schwer zu finden. Das sind jetzt erstmal so meine Disclaimer für den Anfang. Jetzt will ich, ah ja, ich habe es mir gedacht, die Übergänge funktionieren nicht so, wie ich sie geplant hatte, macht nichts, das wird nachher beim Video schwierig werden, aber das kriegen wir hin. Ich wollte ganz kurz den ganz kleinen Einstieg in den Themenbereich digitale Bewald geben, die betrifft aufgrund von bestehenden Gender-Sheriotypen nach wie vor vor allen Dingen Frauen. Das heißt nicht, dass das da nicht auch Männer gibt, die davon betroffen sind und Frauen, die Bedroheren sind, aber die Verhältnisse sind doch noch relativ eindeutig. Das spannende an dieser Sache ist, dass digitale Gewalt ganz häufig aus dem nahen Umfeld kommt. Also gefühlt 80 Prozent real, wahrscheinlich 60 Prozent meiner Klientinnen berichten von ihrem Ex-Partner oder einem sogar noch Partner oder einem Flirt oder für jemanden, dessen Erwahrung sie sehr abgelehnt haben. Meistens sind das einem sehr nahestehende oder ehemals sehr nahestehende Leute, die nicht kapierend, dass ihre Zeit zu Ende ist. Es geht ganz stark in diesem Themenkomplex um Macht und Kontrolle. Also du darfst nicht weggehen, du darfst mich nicht verlassen, ich kontrolliere dein Leben weiter und weil die Betroffenen eben meistens völlig unerfahren sind, kommen sie dann auch mit der Situation nicht klar. Es ist ganz häufig so, also die Geschichte, die ich wirklich am allerräufigsten höre ist, na er hat das damals alles eingerichtet, ich kenne mich damit ja nicht aus und jetzt ist plötzlich alles komisch. Und das ist natürlich ein Wesenproblem, an der Stelle versuchen wir auch immer durch Aufklärung und Ermutigung dafür zu sorgen, dass es gar nicht erst so weit kommt, aber in der Regel ist das einfach die Situation, mit der die Klientinnen dann zu mir kommen und wir müssen das dann alles aufdröseln und stellen fest, meistens hat sie einfach ihre komplette Kommunikation und die Gestaltung derselben ihrem Partner überlassen und dann ist es natürlich sehr schwer, wenn die Beziehung am Ende ist, das wieder sauber aufzudröseln. Wir leben alle in einer Diskrepanz, hier auf dem Kongress kennen wir ja das große Problem, was Überwachung und algorithmische Auswertung bedeutet. Für die meisten Menschen da draußen ist das ein bisschen anders, für die ist das irgendwie alles völlig normal, die kennen sich auch mit ganz vielen Sachen gar nicht aus und wissen gar nicht, was da passiert, aber dann stoßen sie immer wieder an Stellen, wo sie merken, das fühlt sich aber schlecht an. Da hat mir YouTube etwas vorgeschlagen, was so gut zu mir passt, das geht nicht, das kann gar nicht sein und sie hören dann aber nicht, sie forschen dann nicht in die Richtung algorithmische Auswertung und wie kommt YouTube eigentlich dazu, sondern der Schluss ist dann, geht dann ganz schnell in die Richtung, da hört mich jemand ab und jemand, TM, der mich abhört, ist dann eben auch meistens nicht irgendwie im Kopf ein Algorithmus oder sowas, sondern das wird dann meistens sehr simplifiziert und dadurch fühlen sich ganz viele dieser Überwachungsthematiken, die die Leute schlucken und wo die Leute auch gar nicht gegen protestieren, fühlt sich aber trotzdem komisch an und führt dann dazu, dass das irgendwie die falsche Schublade einsortiert wird. Das ist ein Riesenproblem, weil natürlich dann die Menschen sich an der ganz falschen Stelle wehren. Häusliche Gewalt allgemein ist, habe ich immer wieder den Eindruck in der IT-Sicherheit gar nicht wirklich ein Thema. Genauso, genau darum geht es mir ja heute, das will ich auch damit einmal aufbringen. Wird also komme ich also noch mehr dazu und dann haben wir noch das andere Problem, dass auch Polizei und Justiz absolut unterbemittelt sind. Nicht jetzt geistig, aber was jetzt tatsächlich die Mittel geht, das heißt die Fortbildungsmöglichkeiten, überhaupt die Informationsmöglichkeiten, die haben keine wirklichen Forensik-Abteilungen bzw. wenn sie welche haben, dann sind die mit Urheberrechtsgeschichten völlig ausgelastet. Und wenn Klientinnen zur Polizei gehen, dann geraten sie da entweder an jemanden, der sie einfach ihnen sagt, ach was, das ist doch alles gar kein Problem oder der zwar sagt, oh ja, das hört sich erschrecklich an, aber da wissen wir jetzt auch nicht, was wir tun sollen. Und selbst wenn sie dann mal auf jemanden engagiert, das bei der Polizei stoßen, was durchaus vorkommt, scheitert es dann an der Justiz, dass die das wiederum nicht ernst nimmt. Und da haben wir im Moment auch wirklich ein Riesenproblem, dass einfach dieses Thema an ganz vielen Ecken und Enten aufploppt und existiert und Probleme macht. Ich habe, ich stehe auch ganz viel in Kommunikation zum Beispiel mit Frauenhäusern, die äußerst gefährdet sind, die auch wissen, sie müssen investieren, die auch investieren wollen und sie finden keine Möglichkeiten, sie finden nicht heraus, was sie denn jetzt tun können. Und hier aber einfach ein Riesenfleck ist, den sich keiner anschaut und da dieses Thema einfach völlig ignoriert wird. Das Bundesamt für Cyber Sicherheit interessiert sich für dieses Thema natürlich selbstverständlich auch nicht. Was umfasst digitale Gewalt? Das ist sehr, sehr breit. Ihr könnt euch einfach vorstellen, alles was im digitalen, im nicht digitalen Raum geht, geht natürlich im digitalen Raum auch. Und manchmal noch viel schöner. Das sind zum einen eben Angriffe auf Accounts. Das ist dann ganz häufig das E-Mail-Programm oder Angriffe auf Social Media. Das muss nicht unbedingt bedeuten, dass man sich da eingekrägt hat in den Social Media Account. Das kann auch einfach heißen, dass ich ein Fake-Account einrichte und im Namen von einer anderen Person Menschen beleidige. Das kann auch sehr vielseitig sein. Das kann natürlich auch sein, dass, wie gesagt, wenn es der Ex-Partner ist, hat er auch auf die Passwörter, dass er sich einfach in den Social Media Account einwählt und dann im Namen wirklich von diesem Account auch schreibt, Nachrichten löscht und so weiter. Es gibt natürlich auch Angriffe auf die Geräte, in erster Linie halt vor allem durch solche 2 Apps, die auf die komme ich später nochmal genauer zu sprechen. Ja, dann gibt es natürlich öffentliche Divermierungen. Das heißt wirklich Beleidigungen dazu zählt natürlich auch Doxing, dass Accounts erstellt werden auf irgendwelchen Sexseiten und da auch oft dann die tatsächlich die Privatadresse und Telefonnummer oder so das hinterlegt wird. Und das ist natürlich riesig krass, weil diese Leute, die stehen dann wirklich bei den Betroffenen vor der Tür und sind sauer, dass ihnen niemand aufmacht. Rausstehendieren spielt natürlich auch eine große Rolle. Also in dem Moment, wo ich halt Kontrolle über das Gerät habe und sehe, wo sich das befindet, was das so macht, erfahre ich natürlich ganz viel und dabei kommt auch noch so ein Punkt dazu. Wir nennen das bei uns intern einem Watching-You-Hinweise. Also viele wollen tatsächlich, dass die Betroffenen auch wissen, dass man sie in der Hand hält und dass man sie gut an der Gurgel hat. Und die geben dann auch wirklich immer wieder Signal, ja, ja, ich weiß ja alles und meistens plusst dann die das noch schön auf, so dass es noch größer wirkt, als es tatsächlich ist und machen da also ganz klare Ansage, ich hab dich in der Hand, ich hab eben die Kontrolle. Ja, digitale Kontrolle, das ist eben genau das Riesenproblem, was hier kommen auch verschiedene Probleme aufeinander. Zum einen, naja, ich bin gehackt worden, höre ich ganz oft und dieses Hecken, also ich kläre da schon nicht mehr auf, dass Hecker ja eigentlich die Guten sind und die Cracker die Bösen, das spare ich mir schon immer, aber das, was die sich vorstellen, wie Hacking aussieht, ist eben auch komplett anders als das, was sozusagen real passiert. Also das orientiert sich, glaube ich, immer noch so ein bisschen an diesen Hacker-Filmen aus den 90ern, wo jemand einmal trütsch in die Tastatur haut und plötzlich sind alle Ampeln auf Grün gestellt in der Stadt oder so. Und dieses Allmachts-Ding, was da dahinter steckt und was dann natürlich auch völlig unglaubliche Vorstellungen davon weckt, was eigentlich möglich ist und was nicht, das macht das sehr, sehr schwierig für die Betroffenen damit umzugehen, weil die einfach überhaupt keine Ahnung haben, womit sie da rechnen müssen, was alles möglich ist. Ist es möglich, dass Pünktchen, Pünktchen, Pünktchen ist eine meiner der häufigsten gestellten Fragen, haben mittlerweile ein Poster in dem Beratungsraum gehängt, dass in technischen Fragen die theoretisch, diese theoretische Frage eigentlich immer mit Ja beantwortet werden muss, weil Computer sind halt nun mal alles können. Die Frage ist nur, wie plausibel es ist. Andererseits werden andere Angriffsformen sehr unterschätzt, zum Beispiel eben Social Engineering, was sehr häufig angewendet und benutzt wird, aber man stellt sich dann nicht vor, dass da wirklich jemand meinen Müll durchmühlt haben könnte, was zum Beispiel ein Teil von Social Engineering ist oder sich als jemand Falsches ausgegeben hat und darüber Informationen gekommen ist, sondern man stellt sich halt vor, ich bin gehackt worden. Mein Handy ist gehackt. Und das ist dann sozusagen die Antwort auf alles. Und da man eben, ja, das war auch so ein Teil von Social Engineering, aus kleinsten Informationen, die manchmal so aufblasen kann, dass sie aussehen, als wären sie riesengroß und als hätte man einfach wirklich den Total-Einblick, sind natürlich dann die Menschen, die da betroffen sind, komplett verunsichert. Und die Reaktion darauf ist natürlich, dass sie dann das Zeug nicht mehr benutzen, das Handy abschalten, in Alufolie einwickeln, den Akku rausnehmen und ruhen lassen und dadurch natürlich dann aber sozial isoliert werden. Die versuchen dann mal hier und da irgendwie den Messenger zu wechseln oder E-Mail-Verschlüsselungen zu machen. Das scheitert dann wiederum am Umfeld, weil die dann sagen, eine E-Mail-Verschlüsselung ist mir zu kompliziert. Die sind manchmal noch nicht mal bereit, einen anderen Messenger zu installieren, wo ich denke, Mensch, das dauert zwei Minuten. Das heißt, auch im Umfeld gibt es da eben durch das fehlende Bewusstsein zu dem Thema selten gute Solidarität und viele der Möglichkeiten, die man eben hätte, basieren darauf, dass man eben irgendwie doch dann den Dienst wechselt und das braucht auch einfach Unterstützung aus dem Umfeld. Und benutzt das alles einfach nicht mehr, kann man heute gar nicht mehr sagen, weil die Leute benutzen, brauchen das für ihre Arbeit, die brauchen das, um ihr persönliche Kontakt zu organisieren. Es geht ja kaum mehr ohne. Also diese Aussage war vor 20 Jahren, ging das vielleicht noch damals auch schon nicht richtig. Ich versuche auch immer nicht Absinenz zu predigen, weil das kann nicht die Antwort sein. Aber diese Vorstellungen, die wir ja auch schon jetzt seit langem auf dem Kongress immer mal wieder hatten, na ja, wenn man die Technik nicht beherrscht, dann sollte man sie vielleicht lieber nicht benutzen. Die funktioniert halt nicht. Die Leute sind sozial und von der Arbeit her gezwungen, diese Sachen auch zu benutzen. Und das ist eine riesig schlimme Strafe, wenn man den Leuten sagen würde, ja, höre auf das Zeug zu nutzen. So, jetzt will ich mal auf die APT-Lücke eingehen. Mir ist nämlich auch verfein, dass es für das Problem, mit dem die Klientinnen zu mir kommen, eigentlich gar keine Lösung gibt. APT, was ist das? Das steht hier unten in der Folie übersetzt. Das ist ein Advanced Persistent Thread. Das ist also anders als eine gemeine Überwachung. Ein gezielter Angriff persistent immer wieder auf ein Ziel. Das heißt eben nicht die Alltagsüberwachung, die geht so mit einem großen Arm und fisch so einmal durch das Internet und guckt, was so alles im Netz hängen bleibt und wie man das auswerten und filtern und analysieren kann. Während ein Advanced Persistent Thread eben nicht mit der Netzstrategie vorgeht, sondern ganz gezielt in eine Richtung immer weiter nachbohrt und da sehr viel Energie darauf verwendet, ans Ziel zu kommen. Das bedeutet gegen diese ganz normale Alltagsüberwachung kann ich mich viel einfacher schützen, weil da schon eine simple Verschlüsselung an diversen Stellen zum Beispiel schon mal sehr schnell abschüttelnd ist. Während bei einem APT, ich auch immer gucken muss, kann ja vielleicht irgendwie meine Passwörter da ran gekommen sein, können die geknackt worden sein und Google gehe ich zumindest jetzt erst davon nicht davon aus, dass sie auch versuchen Passwörter zu umgehen oder zu knacken, sondern dass sie einfach erst mal das auffischen, was eh alles unverschlüsselt darum fischt und schwimmt und schwirrt. Das heißt, wir haben hier eine unterschiedliche Herangehensweise oder Lösungen für Firmen und Privatpersonen jetzt in Bezug auf Überwachung. Wie lösen sie das, wenn die nicht überwacht werden wollen? Ach so, ja doch, das schaltet auch so weiter. Ja, Firmen haben natürlich die IT-Sicherheit und die haben ihre Admin-Bereiche und Teams, die dafür sorgen, dass sie ihre Firmengeheimnisse nicht ausschwirmiert werden und für Privatpersonen gibt es die digitale Selbstverteidigung. Die digitale Selbstverteidigung ist das, was wir hoffentlich alle so ziemlich machen, sichere Passwörter, Browser-Plugins, die Werbung und Tracking unterbinden, solche Geschichten. Natürlich auch E-Mail-Verschlüsselung, es gibt auch einige Sachen in der digitalen Selbstverteidigung, die auch gegen einen APT helfen, aber, na ja, wie gesagt, Werbung, Werbung, Plugins, Werbeunterbindungsplugins helfen wir gegen den APT halt einfach nicht weiter. Firmen schützen sich vor allem APTs eben auch mit der IT-Sicherheit. Da gibt es eine Menge Vorschläge, was so eine Firma machen kann, um sich von einem APT zu schützen. Aber für Privatpersonen, und das ist die große Lücke, auf die ich hinausgehen, hinaus möchte, gibt es das eben nicht. Denn die Vorschläge, wie man sich vor einem APT schützen kann, sind für Privatpersonen einfach ungeeignet, zumindest für Privatpersonen, die sich eben nicht super gut mit Computern auskennen. Und das ist diese große Schwierigkeit. Ich kann nicht an meine Klientinnen rangehen und sagen, macht doch einfach digitale Selbstverteidigung, dann steht ja super da und dann ist alles gut. Denn die digitale Selbstverteidigung, die ist eine gute Basis, aber die schützt einfach vor diversen problematischen Angriffen überhaupt nicht und hilft da nicht. Wir bräuchten da gezielte Lösungen für Menschen, die, für normalsterbliche Menschen, für Computermuckel, wie sie, wie man einen APT abwert. Und die versuche ich mir immer aus meinen IT-Schulungen irgendwie rauszuklamüsern, aber letztlich gibt es die nicht. Und das ist eine große Schwierigkeit. Ich habe hier mal ein Beispiel mitgebracht. Ich habe es leider irgendwie nicht hingekriegt, jetzt die Quelle da heran zu pappen. Deswegen sage ich es jetzt mündlich dazu. Das hier ist ein Kurs von der Fern-Uni Hagen, IT-Sicherheit, Basisgeschichten. Ich fand den ganz gut, bin damit gut zurechtgekommen. Allerdings ist das hier so ziemlich alles, was ich darin gefunden habe, was mir eventuell helfen könnte. Also es wird halt erklärt, definiert, was ist ein APT, zielgerichtete Angriffe auf IT-Systeme, habe ich schon gesagt, ausgewählte IT-Systeme, von Institutionen und Einrichtungen. Hier zum Beispiel ist von Privatpersonen überhaupt nicht die Rede. Also werden hier noch nicht mehr erwähnt in der Definition. Unten drunter fand sich dann, im zweiten Satz des unteren Textes, fand sich dann der Satz, letztlich kann jedoch jede Person ziel eines solchen Angriffs sein. Ja, das war alles. Alles, was ich zum Thema jede Person gefunden habe in diesem Schulgang, ist dieser einen Satz. Und wenn ich dann jetzt mal gucke, wie sehen denn so die Lösungen aus, die die da vorschlagen. Perimeter-Schutz, ja stimmt, das ist auch was, was ich mit meinen Klientinnen immer bespreche, dass sie ihr Gerät gut sperren sollen und dafür sorgen sollen, dass da der physische Zugang nicht mehr gegeben ist. Aber also Kontrolle des Zugriffs auf die Firewall, Exispoints, angepatchtes Server, offene Wi-Fi-Router, das überfordert die alle. Also das, wie kann ich mein WLAN sicher machen, ist noch so eine Geschichte, die ich schon mit ihnen bespreche. Aber auch da sind gerade die meisten an ihre Grenzen. Und also Perimeter-Schutz, das ist noch einer der Punkte, die überhaupt noch was geht, aber auch schon nicht sehr gut. Effektives Monitoring, Informationen über Assets, was habe ich denn für sensible, wertvolle Daten und wo es liegen, die, ja das wissen die meisten meiner Klientinnen noch nicht mal. Da speichert, da synchronisiert irgendwas in die Cloud. Und was genau, wo jetzt liegt, ist den meisten Leuten unklar. Und das liegt eben ja auch nicht daran, dass die Leute, dass denen das völlig egal ist oder so, sondern dass das als völlig selbstverständlich von der Gesellschaft gespiegelt wird, dass das normal ist, dass man halt dieses Cloud anmacht. Das ist sogar gut, weil das sichert die Daten ja. Also und dann vertrauen die Leute da drauf und wer hat dann Zugriff auf diese Daten? Keine Ahnung, wer nimmt Änderungen an der Firewall vor? Ich weiß noch nicht mal, wie ich das mit meinen Klientinnen besprechen soll. Da kommt, da hin folgen die mir nicht mehr. Also die meisten schaffen das soweit gar nicht. Kenntnis über sensible Daten, wer greift auch sensible Informationen zu? Ja, das ist ja dann genau die Frage, die die mir stellen. Und im Zweifel nehmen sie an, jeder auf alles. Und was passiert im Netzwerk mit sensible Daten? Also das ist auch ein Punkt, da kenne ich, da habe ich keine Idee zu, wie ich das in Muggle Computer Deutsch übersetzen soll. Datensicherheitsanalyse, Vergleichen von Dateien, Benutzeraktivitäten mit dem Ausgangsverhalten. Also ja und dann soll man eine Baseline erzeugen und das ist ja auch alles schön und gut. Das ist auch die Sinn, auch die richtigen Lösungen. Aber ich habe keine einzige Klientin, die bei in Betriebnahme ihres Gerätes, bevor irgendwas komisch war, sich mal den Zustand gespeichert hat und beginnt dann zu vergleichen mit dem Moment, wo irgendwas komisch ist mit ihrem Gerät. Das ist, das kommt einfach in der Realität der Menschen nicht vor. Und dann kann ich ihnen noch so viel erzählen, ja, da braucht man eine Baseline und dann kann man vergleichen. Das geht ins Leere, bringt nichts. Aktionsplan erstellen und Bedrohungen zu bekämpfen. Ja, sowas bräuchten diese Betroffenen. Die bräuchten den Aktionsplan und leider sind selbst das, was ich den da liefern kann, sieht immer noch so lapidar aus. Also die Frage, woran erkenne ich denn, dass was mit meinem Gerät nicht in Ordnung ist. Die Antwort darauf ist entweder viel zu kompliziert. Also wie gesagt, vergleich doch mal die Baseline mit dem Jetztzustand oder viel zu einfach. Ja, geht dein Akku schnell leer. Der könnte auch kaputt gegangen sein. Hast du plötzlich viel Datenvolumen? Ja, habe ich. Aber ich habe vergessen, dass ich da gerade neulich eine App installiert habe, die Datenfrist. Also da kann auch ganz viel sozusagen falscher Alarm dabei sein. Und was, wenn dann irgendeine Warnung auftaucht, dann kann man auch nicht gleich sofort alles stehen und liegen lassen, weil eventuell ist es ja, ist es ja einfach ein falscher Alarm. Und das ist enorm schwer damit umzugehen. Jedenfalls kann man das keine normalstäblichen Person zutrauen, dass sie oder zumuten, dass sie sowas auch nur selber erstellt. Ja, und dass dann unterschiedliche Bedrohungen, unterschiedliche Reaktionen erfordern, das ist ja richtig. Aber es, hier steht auch ohne effektives Monitoring ist es nahezu unmöglich, APT-Attacken zu identifizieren. Ja, das ist ja schön, vielen Dank. Aber geholfen hat mir das jetzt um meinen Klientinnen irgendwie weiter zu helfen nicht. Das ist jetzt ein Beispiel. Ich habe auch schon mich sehr sehr viel nach anderen Fortbildungen umgesehen. Ich habe jetzt nicht ganz so viele davon alle durchgekaut. Aber ich kann auf jeden Fall so viel sagen, die haben alle dasselbe Programm in den Übersichten. Es ist allen ansehbar, dass es eigentlich hier um Firmensicherheit geht. Es geht nicht um IT-Sicherheit, sondern es gibt um IT-Sicherheit in Firmen und Organisationen. Das wird aber noch nicht mal vernötig erachtet, das dazu zu sagen, weil es gar keine andere IT-Sicherheit gibt anscheinend. Und das ist sozusagen das, worauf ich mit dieser Lücke, mit diesem Hinweis hinaus möchte. Deswegen hier mein Aufruf. Wir suchen nach Lückenfüllerinnen. Menschen, die sich sagen, okay, da ist so nicht so viel Geld zu holen wie im wirtschaftlichen Bereich. Aber das klingt spannend. Das klingt nach einem neuen Gebiet, in dem ich mich mal umschauen will. Und die IT-Sicherheit in den privaten Markt zu ziehen. Sicherheitskonzepte für Privatmenschen zu entwickeln, die eben über die digitale Selbstverteilung hinausgehen. Das Ganze muss bezahlbar sein. Also das kann durchaus auch, ich habe auch Leute da, die sagen, ja, ich würde ja auch jemanden bezahlen, der das mir konfiguriert, aber die wissen auch nicht an wen sie sich wenden sollen. Die wissen auch nicht, wo sie ihr Handy zum Beispiel mal analysieren lassen können, wenn sie der Meinung sind, das ist eben gehackt worden. Dann gehen sie zur Polizei. Die Polizei nimmt das in 99 Prozent aller Fälle nicht an, weil die einfach die Kapazitäten dafür gar nicht haben. Das heißt, und wenn man sich an der private IT-Sicherheitsfirma wendet, kriegt man ganz häufig die Antwort, hey, Privatpersonen haben wir gar nicht. Denken, gibt es bei uns gar nicht als Klientel. Unser Angebot ist an Firmen gerichtet. Und da müsste es also auch Angebote geben bei IT-Sicherheitsfirmen, die natürlich auch bezahlbar sein müssen für Leute, die eben das bei denen, die es nicht beruflich oder professionell hier ihre Technik haben, sondern einfach Privatmenschen sind. Das muss leistbar sein. Das heißt, das müssen Leute machen können, die sich jetzt nicht hypermäßig mit Technik auskennen. Und es ist eben ganz wichtig, dieses Angeross-Szenario der häuslichen Gewalt mitzudenken. Und da kommen wir jetzt sozusagen zum nächsten Punkt, auf den ich hier hinaus möchte. Es ist nämlich so, dass man an ganz vielen Stellen merkt, dass in den Sicherheitskonzepten, verschiedene Anwendungen, das Thema häusliche Gewalt irgendwie gar nicht mitgedacht wird. Da haben wir also ein Beispiel, was mir in letzter Zeit wirklich dauernd vor die Nase fällt, ist diese Familienverknüpfungskunktion von Apple. Ich benutze was von Privat natürlich überhaupt gar nicht. Deswegen musste ich mich damit auch erst mal ein bisschen selber beschäftigen. Ich sage euch mal, wie das aussieht für die Betroffenen. Das ist zum Beispiel in erster Linie völlig impransparent. Man ist dann da halt einfach irgendwo hinzugefügt und man weiß gar nicht, wer eigentlich was sieht und darf und tun kann und machen kann. Und dann ist man halt da in diesem Netz drin und kriegt sich auch nicht irgendwie wieder ausgeklinkt, was ja logisch ist, weil diese Apple-Familien-Funktion soll ja auch zur Kinderüberwachung dienen. Und wenn die Kids sich gleich wieder auswählen könnten aus dem ganzen Ding so einfach, dann würde das ja nicht viel bringen. Aber das gehört eben dazu, dass zum Beispiel auch Frauen, die sich aus der Beziehung getrennt haben, da nicht mehr wieder ausgeklinkt kriegen und das auch gar nicht wissen, wie geht denn das jetzt? Und dann haben sie sich ausgeklinkt, aber vertrauen dem Braten nicht und glauben nicht, dass das jetzt wirklich alles ausgeklinkt ist. Und das sieht einfach auch daran, dass es unglaublich intransferent gemacht ist. Apple ist dann an verschiedenen Stellen sehr intransferent, auch gerade beim Synchronisieren in die Cloud ist bei Apple kaum einen Durchblick zu kriegen, was jetzt eigentlich gerade synchronisiert wird und was nicht. Was auch sehr häufig mit dieser Apple-Familien-Funktion passiert ist, selbst wenn die Mutter sich dann ausgeklinkt hat. Es sind immer noch die Geräte der Kinder dann eingewählt und da, wie gesagt, meistens der Mann die Geräte besorgt hat und das alles eingerichtet hat und die Kinder sind dann da auch drin und selbst wenn die Mutter sich ausgewählt hat, werden die Kinder noch überwacht und dann meldet sich plötzlich der Vater und sagt, warum war das Kind gestern Abend um zehn noch nicht zu Hause und hat damit natürlich auch einen ganz massiven Einblick in das Leben der Mutter. Und das ist, ja, also das ist ein Thema, das wirklich sehr, sehr häufig auftaucht und dann entstehen noch durch diese ganzen Geräte-Koppellei mit diesen, man kann ja ja ganz viele Geräte in dieses eine Universum einkoppeln, mein iPad, mein iPhone und meine komische Uhr Apple Watch und da ist es dann auch wieder, dass eben ein großes Unwissen da ist und die Leute sehr verunsichert sind, was das denn jetzt eigentlich mit diesem Koppeln ist und mein Ex hat sich jetzt eine Smartwatch gekauft, hat er damit jetzt Kontrolle über meinen Smartphone. Das ist zum Beispiel auch so eine Frage, die ich schon gestellt bekommen habe und nur weil der sich das Smartphone gekauft hat, hat er die nicht, aber da kommt dann eben wieder diese Intransparenz durch, dass ich ehrlich gesagt der Person auch nicht versprechen kann, wenn sie eben vorher in dieser Familienverklingkung drin war und der sein Smartwatch damit verklingt, was dann eigentlich da unter der Haube im Hintergrund alles abläuft und geht und möglich ist, ist mir halt auch nicht bekannt. Also da haben wir eine hohe Verunsicherung. Es gibt da noch viele andere Beispiele, oft sind das sogar Sicherheitsfeatures, die aber dann an der Stelle genau andersrum verwendet werden. Zum Beispiel dieser Diebstahlschutz, Find My Phone, hat sowohl das andere Eid als auch das Apple eingebaut. Bei Apple ist es sogar so, wenn ich das auf Werksentstellungs zurück setze, ist diese Ordnungsfunktion, wenn ich die aktiviert habe, nach wie vor drin. Wieder auch eigentlich mitgedacht, wenn es ein Diebstahlschutz sein soll, dann darf der ja nicht so einfach umgebbar sein, indem ich es auf Werksentstellungen zurück setze. Dann so ein Diebstahlschutz bringt ja nicht viel. Das bedeutet aber andersrum, wenn jetzt halt die Klientin das iPhone von ihrem Ex übernommen hat und noch nicht mal richtig darüber informiert ist, dass das verklübscht ist mit einem Apple-Account. Wenn diesem Apple-Account nicht hat, da das Passwort nicht kennt, dann kann man das Gerät eigentlich nur wegschweißen, weil man eben diese Find My Phone Funktion nicht deaktivieren kann darüber. Okay, ist vielleicht eh besser ein iPhone zu haben, wenn man auch Kontrolle über den Apple-Account hat, aber das ist eben so für die Vorstellung mit was für Problemen die Leute dann da wirklich bei mir auflaufen. Es ist eben nicht so, dass alle das immer voll informiert in Betrieb nehmen, sondern da ist jemand freundlich und sagt, hier komm, du kannst mein altes iPhone übernehmen und errichtet ihn das dann noch schön ein und dann sagen die vielen Dank und dann benutzen die das und dann kommen die nicht auf den Gedanken, dass es da ein Apple-Account gibt, nach dem dessen Passwort sie bei überhaupt fragen sollten. Das automatische Synchronisieren von Fotos in die Cloud oder überhaupt von Daten in die Cloud ist überall da ein Problem, wenn wir eben ein Gerät auf Wertseinstellung zurücksetzen wollen und ja die Daten halt nicht über die Cloud synchronisieren wollen, sodass wir das wiederherstellen, was wir jetzt eigentlich weggelöscht haben, sondern wenn wir die Daten eigentlich letztlich händisch aussortieren wollen und da macht zum Beispiel auch gerade wieder Apple mit seinen super bequemen und tollen Lösungen, die einem halt aller Arbeit abnehmen, das Problem, dass es einem aber nicht viele Gegenangebote gibt. Wie kann ich denn meine Daten händisch sortieren? Das ist da einfach nicht vorgesehen. Ich habe schon von der algorithmischen Auswertung gesprochen. Da sind eben oft diese vorgeschlagenen YouTube-Videos, die die Leute ungemein verunsichern, weil die dann halt zum Beispiel alte Schulvideos aus irgendeiner Schul, von irgendeinem Schulauftritt oder so plötzlich ausgraben und sich einfach nicht vorstellen können, dass der YouTube-Algorithmus wirklich so gut ist und dann eher davon ausgehen, dass eben jemand ihren Account geeckt hat und das muss dann ja jemand aus dem alten Schulumfeld sein oder also so funktionieren dann die Herleitungen an der Stelle. Auch Dating-Portale, die dann einem irgendwie immer wieder dieselbe, selbe Typ in die Aufmerksamkeit spülen, auch da sind sozusagen zu gute Algorithmen, können die Leute wirklich selber unsichern. Der Zwang zum Geräte- Account. Ganz häufig finden tatsächlich solche Angriffe irgendwie über diesen Geräte-Account statt, also über den Google-Account oder über den Apple-Account. Die einzige Spy-App, von der ich bisher, ich habe es leider nicht austesten, weil die war zu dubios bisher, wir versuchen, wir arbeiten noch dran, die aber behauptet, sie könne einen Gerät auch aus der Ferne übernehmen, die sagt, das macht sie über den Apple-Account. Also man müsste dann Zugang zum Apple-Account haben und dann kann man dieses Spy-App auch installieren, wenn man sie gar nicht in der Hand hält. Alle anderen Spy-Apps sagen ganz klar, funktioniert nur, wenn man das Gerät auch physisch vorliegen hat. Also dieser Geräte-Account ist eben ein Ding, auf den Sie es lohnen zuzugreifen und jetzt würde ich natürlich gerne sagen, lasst es doch einfach sein mit dem Geräte-Account. Bei Google geht das sogar, man kann ja die Android-Geräte auch einfach ohne Google-Account bedienen und dann den F-Troid nutzen, ist was, was ich sehr häufig in meiner Beratung empfehle. Die kommen auch teilweise damit klar, aber es gibt da natürlich auch hohe Einschränkungen, die dann mit denen wir dann leben müssen. Ganz häufig ist eben diese Geschichte mit der Verklüpfung der Telefonnummer, zum Beispiel bei WhatsApp, ich kann mir nicht so einfach einen neuen Account irgendwo zulegen, wenn der alte zugespämmt wird oder so, weil ich brauche ja immer dann eine neue Telefonnummer und die muss ich mir wieder mit einer neuen Symkarte holen und das geht, wenn ich das sozusagen drei, vier Mal machen musste, ganz schön ins Geld irgendwann und auch in den Nerven. Das ist zum Beispiel auch ein Problem, was eigentlich ein Sicherheitsfeature sein soll, was aber in dem Moment genau den Klientinnen erschwert, da überhaupt aus dem Weg zu gehen der Sache. Ja und dann fehlt es eben an Computerforensik-Angeboten für Privatpersonen, das habe ich ja vorhin schon erwähnt. So, das heißt, viele dieser Sicherheitsfunktionen sind auf außenstehende Angreifer eingestellt, die überlegen sich wer kommt, der Dieb, der mein Handygefang geklaut hat, war wie verhindere ich, dass sehr die Feinden iPhone Funktion abschaltet. Die haben aber das Thema häusliche Gewalt nicht auf dem Schirm und häusliche Gewalt bedeutet eben, der Bedroher sitzt mit mir im Zweifel sogar in einer Wohnung, der Bedroher hat mein WLAN eingerichtet, der Bedroher hat mein Handy gekauft und eingerichtet, der Bedroher hat Zugang zu den Handys meiner Kinder und das wiederum sind alles Punkte, wo man eben immer so letztlich dann doch an dem Schulterzucken ankommt, wo man sagt, naja, das halt auf dem Passwort musste halt schon aufpassen und darfst halt keinen Zugang geben, ja, Perimeter Schutz, aber das funktioniert einfach für Betroffene von häuslicher Gewalt in der Form nicht. Die haben nicht die Möglichkeit, wenn sie schlafen dafür zu sorgen, dass ihr Handy in der Zeit nicht benutzt wird. Den kann man dann sagen, mach bloß keinen Fingerabdruck, weil wenn man schläft, könnte man ja den Fingerabdruck auf den Sensor legen, auch schon eine Geschichte, die ich schon gehört habe. Aber letztlich haben die da auch die Möglichkeit, wenn ich schlafe, den Sperrcode halt so lange durchzuprobieren, über die Schulter zu schauen. Also es gibt da einfach ganz andere Probleme, die man auf dem Schirm haben müsste beim Planen von Sicherheitsarchitektur, die aber anscheinend da nicht so eine große Rolle spielen und nicht so viel mitgedacht wird. Und das ist ein bisschen Ziel meines Talks hier, darauf hinzuweisen und darum zu bitten, das mehr auf dem Schirm zu haben, weil ich mache keine IT-Sicherheit und deswegen kann ich eigentlich nur hier freundlich darum bitten, dieses Thema mal ein bisschen in den Fokus zu nehmen. Jetzt möchte ich auch noch ein bisschen aus dem Nähkästchen plaudern. Ich habe ein bisschen mit Zwei-Apps rumgespielt. Ich merke immer, dass die meisten Leute sich gar nicht richtig vorstellen können, was so ein Zwei-App eigentlich macht. Und das Irre ist, ich erzähle immer überall, naja, Hacking ist ja gar nicht so, wie man sich das eigentlich vorstellt, das läuft ja eigentlich ganz anders, also wie man sich dieses Fernsehecking vorstellt. Aber letztlich ist so eine Zwei-App geht ziemlich stark in genau diese Richtung. Die kann eigentlich so ziemlich alles und die sind richtig gut geworden und die sind mittlerweile auch richtig preiswert geworden. Es gibt kostenlose Zwei-Apps, die, also ich muss mich heute bei meiner einen Test-Zwei-App extra wieder einloggen, weil wenn man das nicht einmal die Woche macht, dann verfällt der Account. Das ist dann in der Pro-Version, muss man das nur einmal im Monat machen, aber die ist eine vollwertige Zwei-App, die kostet und die kostet gar nichts. Und dann kann man die etwas bequemeren schon für 10 Euro oder so kriegen. Man kann aber auch tiefer in die Tasche greifen als 10 Euro im Monat sind das dann, das ist dann immerhin ein Abo. Man kann auch tiefer in die Tasche greifen und wirklich irgendwie 150 Euro im Monat zahlen. Das wird dann wieder preiswerter, wenn man dann Jahresangebote nimmt. Die können mittlerweile richtig viel. Ich bin tatsächlich immer wieder beeindruckt, wie gut Zwei-App-Betreiber darin sind, einfache Anleitungen zu schreiben. Das machen wir ja bei Digital Courage mit der digitalen Selbstverteidigung versuchen wir das auch immer und da kann ich eigentlich nur im Gedanken immer meinen Hut nur ziehen. Die haben das richtig gut drauf zu erklären, wie man so eine Zwei-App einfach installiert, wobei da die teuren auch ein bisschen besser drin sind als die preiswerteren. Langsam fängt das an, dass erste Viren-Scanner auch nach Zwei-App suchen. Bisher haben die das gar nicht gemacht. Bisher haben es Viren-Scanner von einem befallenen Gerät gesagt, hier ist alles in Ordnung, weil Zwei-Apps für die überhaupt gar kein Thema waren, denn da haben die gar nicht gesucht. Und Kasterski ist jetzt der erste Viren-Scanner, der damit anfängt. Deswegen nenne ich auch den Namen, weil ich finde, wer dann Pionierarbeit macht, dem Geburt dann auch mal die Namensnennung, dass die nach Zwei-Apps auch filtern. Viren-Scanner haben natürlich ihre großen Schattenseiten, die sage ich auch immer dazu, wenn ich nach Viren-Scannen gefragt werde. Aber natürlich wäre das mal total wichtig, dass eine Zwei-App als ein Schad-Software definiert wird und von nicht nur ein paar Viren-Scannen, sondern eigentlich von allen Viren-Scannen gefunden wird, weil genau das ist nämlich das Problem, die Leute wissen nicht, wie sie die Dinge finden sollen. Und selbst die Polizei findet die nicht. Und ich habe auch schon ganz viel rum-experimentiert und ich habe auch diverse Zwei-Apps auf einem Gerät, von dem ich wusste, dass sie da drauf sind, weil ich sie selbst darauf installiert hatte, trotzdem nicht gefunden. Also das ist wirklich nicht einfach und das wird höchste Zeit, dass da überhaupt mal auch Viren-Scanner Alarm schlagen. Außerdem ist es nach wie vor legal, dass man ein Programm auf einem Gerät versteckt, sodass es halt nicht mehr auffindbar ist. Und während man jetzt von mir aus auch noch ein bisschen darüber streiten kann, ob Zwei-Apps allgemein legal sein sollten oder nicht, weil Freiheit bedeutet ja auch, die Freiheit sich freiwillig überwachen zu lassen oder irgendwie so könnte man darüber streiten, ist nicht meine Position, aber es wäre eine Position, die ich noch als akzeptabel legitim irgendwie akzeptieren könnte, dass man ein Programm auf dem Handy verstecken kann, sodass es die Besitzerin, der Besitzer des Geräts, nicht mehr wiederfindet hinterher. Das mindestens, es finde ich sollte einfach nicht legal sein. Warum geht das? Warum ist das möglich und warum unterbindet man das nicht? Ach so, ja, es steht drunter, die Bundesregierung will das ja selber auch tun dürfen und naja gut. Das führt übrigens, der Bundesstrikaner führt übrigens auch dazu für Unsicherung, werde ich auch immer wieder mal gefragt, ja, die wissen doch, dass es alles möglich ist. Die Regierung kann das doch auch in die Geheimdienste, also kann mein Ex das auch. Oder der Typ, weil der, manchmal sitzen auch Frauen, aber die haben Kontakte und das heißt allein die Existenz des Bundesstrikaners führt schon dazu, dass die Leute noch zusätzlich verunsichert werden und sich auch gar nicht richtig mehr vorstellen können, was jetzt eigentlich die Ursache ihres Problems ist, weil sie sich möglicherweise dann in eine ganz andere Richtung orientieren als das, wo der Angriff tatsächlich herkommt. Ja, wie sieht so eine, ach so genau, erstmal wollte ich natürlich drauf hinaus, ja, ja, diese SpyApps sind legal, man darf sie halt nicht illegal einsetzen und so reden sich die SpyApp-Anbieter da aus der Affäre raus. Ich will hier keine Wärmung machen für das SpyApp, deswegen habe ich die Namen zum Beispiel geblört. Das ist hier gar nicht, gar nicht von Belang, welches SpyApp das ist. Ich habe mir diverse angeschaut und das sind tatsächlich, das Bild ist eigentlich überall identisch. Ja, Software intended for legal uses only, aber wir können, we cannot be held responsible und ja, das ist eine 100% legale App, aber sie benötigen die Erlaubnis ihres Partners, bevor sie dessen Gewählte überwachen können. Und hier sehen wir dann auch noch gleich, wie das oft gerechtfertigt wird, die Existenz solcher Apps, nämlich eben wieder durch Kinderüberwachung, was ich auch ein ganz furchtbares Ding eigentlich finde, dass das so als legitimer Grund akzeptiert wird. Und natürlich Unternehmensüberwachung, angestellten Überwachung auf dem Dienstgerät, kann man das doch installieren. Auch das ist ein Punkt, den ich ganz problematisch finde, aber damit werden dann oft diese Apps gerechtfertigt, deren Existenz. Aber es gibt auch solches bei Apps, die ganz frei raus sagen, ja, ja, dann beim Partner, deine Frau bedrückt dich, willst du rausfinden, warum oder die lügt oder da ist irgendwas komisch, neid dein Installier doch unsere App. Aber hier sehen wir also, die App-Betreiber sind da nicht verantwortlich, verantwortlich sind die, die es installieren. Wenn man sich jetzt in eines bei App ein wählt, das hier ist eine kostenlose, dann kommt dann erstmal der erste LOL Moment, weil, na ja, ich hab halt meine Werbeblogger nicht abgeschaltet. Also werden es bei App installiert, muss sich selber auch ausspionieren lassen, weil man muss sich natürlich die Werbung angucken, ist ja kostenlos, irgendwie wollen die ja an ihr Geld kommen. An der Stelle kann man vielleicht auch noch mal dazu sagen, es ist also sozusagen auch die Person, die das installiert, muss sich überwachen lassen. Und dabei kommt ein Punkt, den, denn viele Leute glaube ich gar nicht berücksichtigen, wenn sie sich, ja, wenn sie es schlimm finden, dass bei Apps installiert werden, nämlich, dass ich eben nicht nur ich nehme Zugriff auf die Information und Daten auf dem anderen Gerät, sondern ich gebe ja auch dieser Firma den vollen Zugriff auf die Daten und Informationen von der Person, die ich in der Regel nicht gefragt habe, ob sie damit einverstanden ist. Das heißt, ich teile deren Daten mit Dritten oder Dritten mit und erteile denen das Einverständnis im Namen einer Dritten. Das ist also eigentlich unlauter, weil das darf man nicht, wenn darf ja nicht Verträge zulasten von Dritten abschließen. So, wenn ich dann also den Adblocker abgeschaltet habe oder einen anderen Browser benutzt habe, ja, das ist natürlich jetzt ärgerlich, weil hier sind jetzt die Bilder übereinander, aber hier stürzt nicht. Was kann ich alles machen mit so einer 2App? So sieht das jetzt teilweise von innen aus, also wenn ich das bediene, ich kann zum Beispiel Fernsteuern. Ich kann mir hier die Geräteinformationen rausgeben lassen, zum Beispiel, also wir sehen hier jetzt links den Befehl, den ich eingegeben habe über die 2App. Ich habe das Wi-Fi deaktiviert oder ich habe eine Audioaufzeichnung gemacht, dann sieht man auch, ich kann da die Audio-Datei runterladen. Ich habe eine Nachricht aufs Handy geschickt, das ist eben so eine, so könnte man eine Watch-Ageo-Nachricht hinterlassen. Ich habe das Telefon fünfmal klingeln lassen und nochmal zweimal klingeln lassen. Das ist auch ganz schön gruselig, wenn plötzlich das Telefon einfach unvermittlich klingelt oder nur vibriert, einmal so macht, aber ist überhaupt nichts passiert. Dann geht sofort im Kopf dieses Ding, ich habe eine stille SMS gekriegt, nee, das ist einfach nur ein Ding gewesen, um einen da voranzubringen, aber ich meine, da ist eine 2App drauf, aber also als Beispiel dafür, wie man dann, wie man dann in eine komplett falsche Richtung denkt, aber natürlich hier übelst, also das ist natürlich schon echt ein übler Eingiff. Es gibt dann sogar, das wird hier sogar noch bequem gemacht, es gibt so auch sogenannte SMS-Kommandos. Man kann also per SMS, man schickt eine SMS an diese Nummer, die da jetzt ausgeblört ist und je nachdem wie der Befehl aussieht, SMS ringen und dann noch die Time, SMS Wi-Fi, SMS Get Location, das schreibe ich in die SMS rein und dann funktioniert das. Das heißt, ich muss noch nicht mal am Rechner daheim sitzen, um irgendwie mal zu sagen, hier, starten wir das Telefon neu. Und ich kann das Telefon auch einfach klingen lassen. Das ist natürlich auch wieder praktisch, wenn ich es verlegt habe, aber dann könnte ich es auch einfach anrufen. Es gibt noch andere Möglichkeiten zur Fernsteuerung, ich könnte zum Beispiel eine SMS verschicken, also nicht an das Handy, sondern von dem Handy aus an jemand anderen. Das heißt, ich könnte hier jetzt in diesem Beispiel zwischen der Stalking-Betroffenen und ihrer besten Freundin plötzlich mal so eine ganz fiese SMS schicken im Namen der Stalking-Betroffenen an ihre beste Freundin und für die sieht das natürlich so aus, als käme die Nachricht von ihrem, also von ihrer von der Stalking-Betroffenen und ich kann also auch einfach Fake-SMS schicken. Ich kann die Kontaktliste abrufen, sehen wir gleich noch, hier sehen wir auch noch mal WLAN aktivieren und deaktivieren und ich kann auch Daten vom Telefon löschen. Ich kann das Telefon formatieren. Das ist natürlich besonders schön, wenn ich weiß, die Betroffene sammelt schon fleißig irgendwie Screenshots oder so, um mir was nachzuweisen, zack, alles weg. Was haben wir hier noch? Ah ja, hier kann ich auf die Fotos schauen, was da so für Fotos auf dem Handy gespeichert sind. Ganz oben ist mein süßer Hund, der mal als Fotomotor herhalten musste und ansonsten habe ich da ein paar Screenshots gemacht gehabt. Sieht man dann auch die Uhrzeit und alles kann ich natürlich auch alle schon runterladen. Ich kann mir auch die History, die Browser-Historie angucken. Was ist da alles eingegeben worden? Da ist sogar jeder Tippfehler. Da unten bei dem Test.dw habe ich dann nicht mehr intergedrückt. Da habe ich einfach mich vertippt, habe das W wieder weggelöscht und jeder hintergemacht hat, trotzdem zwei Einträge erzeugt. Und natürlich, wenn man dann irgendwie was ge-googelt hat, dann sieht man natürlich auch über die URL, so was für, nach was für Sachen man ge-googelt hat, in dem Fall wäre das jetzt Englischlernen gewesen. Ich privat nutze natürlich kein Google, das ist hier ein Testgerät, in dem auf dem natürlich die Sachen drauf sind, mit denen ich, mit denen auch die normalsterblichen zu tun haben. Ich kann hier auch, ich kann überwachen, nicht nur Fernsteuern, sondern auch überwachen. Ich kann zum Beispiel in den Kalender reinschuppen schauen. Das sind jetzt natürlich Fake, also nicht ge-faked, aber Beispiele-Termine, die ich damals angelegt habe in dem Kalender und ich kann also genau sehen, wann betrifft, wann befindet sich die Person hoch. Wunderschön auch die Funktion, dass ich natürlich in die Kopie, in den Zwischespeicher von kopiertem Text reinschauen kann. Und wenn man dann zum Beispiel mal ein Passwort von A nach B kopiert hat, ja, dann taucht das da halt auf. Und wenn ich vorher ja, wenn ich jetzt hier die Zeit vergleiche und gucke, okay, auf welche Website ist sie da zu dem Zeitpunkt gegangen, dann weiß ich auch sofort, dann habe ich das passende Passwort, zum Beispiel zum, was das, ich, E-Mail oder Facebook oder so. So, und jetzt kommt, die nächste Folie kommt ein Video. Ich bin mal gespannt, ob es klappt. Ich kann natürlich auch blockieren. Ich habe hier mal zwei, zwei URLs blockiert, die also mal nicht aufrufen kann. Das ist einmal test.de und einmal friedafrauenzentrum.de. Und ich habe das extra auf Video aufgenommen, was passiert, wenn man die eingebt. Und ich bin jetzt mal gespannt, was BigBoo Button da draus macht. Mal sehen. Das klappt leider hier so nicht. Ich kann ja aber auch mein Bildschirm teilen. Dann zeige ich euch das einfach. Moment. Das muss natürlich vorbereitet sein. Das ist schon fast. Ich muss mich nur einmal hier durchklicken. Ich finde, das ist nämlich ganz schön. Man gibt nämlich den Text ein und noch ehemal... Moment. Jetzt teile ich mal den Dank, dass sie gewartet haben. Versuchen wir das mal so. Das seht ihr nicht? Ich sehe nämlich jetzt gerade nichts mehr. Also, hier sind wir wieder auf dem Punkt. Da kommt das Video. Ich hoffe, es sehen jetzt alle auf der rechten Seite hier. Wir sehen die Seite vom Anti-Stalking-Projekt. Es ist nicht blockiert. Die funktioniert. Jetzt gebe ich hier mal Friedafrauenzentrum ein und vertippe mich einmal dabei. Und jetzt achtet mal unten auf den Go-Knopf. Den drücke ich nämlich gar nicht. Wenn ich jetzt gleich korrigiert habe, dann wird nicht gedrückt. Sondern so bald das Punkt.de eingegeben ist, zack, landen wir auf Google. Wie bitte? Da ist irgendwas schiefgegangen. Ich gebe jetzt nochmal test.de ein. Das hat eine kurze Rohe. Es geht schneller auch hier. Ohne, dass ich einmal auf Google drückt habe, lädt sich sofort wieder Google. Das heißt, was da im Zweifel im Falle man denkt ist, irgendwie man hat selber was falsch gemacht oder da stimmt irgendwas nicht. Man hat was falsch eingetippt. So, Digital-Korrage ist nicht gesperrt. Funktioniert wieder. Da das jetzt nochmal so vorne und hinten dran als Beispiele. Ich bleibe mal kurz in dieser Ansicht hier. Wenn jetzt im Chat niemand sagt, nie im Chat beschädt sich niemand, dann scheint die Ansicht zu funktionieren. Ich habe nämlich gleich noch ein Video und dann bleiben wir doch mal eben hier. Ich kann nämlich nicht nur Websites jetzt einfach mal eben blockieren, sodass man gar nicht schneidet, dass die blockiert sind, sondern da lädt sich halt einfach Google, irgendwas ist schiefgegangen, irgendwas ist komisch. Das lässt sich gar nicht nicht zuordnen, sondern ich kann auch das ganze Gerät zum Beispiel blockieren. Dann funktioniert das einfach in einer gewissen Uhrzeit nicht oder zum Zeitplan. Das kommt dann wieder in Richtung Kinderüberwachung. Die sollen ja nicht nachts und so weiter. Ich kann aber auch einzelne Apps blockieren. In diesem Fall zum Beispiel hat Kaspersky gerade die Spy App entdeckt, als dann mein böses alter Ego auf der Seite der Spy App gesagt hat. Ich sperre einfach die Kaspersky App und dann kann man nämlich auch die App nicht mehr löschen, weil sobald man Kaspersky aufmacht, wird das halt blockiert. Da konnte ich jetzt hier noch eingeben, welche Nachricht da erscheinen soll, wenn man also diese App öffnet und von wann bis wann das gelten soll, also immer. Und ich könnte hier natürlich auch Entsperren drücken und jetzt gucken wir uns mal das Video an, wie das sozusagen auf dem Handy es aussieht in dem Moment. Also ich habe hier meinen, oh ja, das ging ja schnell. Ich kann jetzt hier einfach nur noch ok drücken. So machen wir noch mal von vorne. Wir gehen hier zu Kaspersky, machen wir auf. Sehen so einen ganz kurzen Moment noch die Kaspersky App aufflackern und dann kommt hier schon meine hübsche Nachricht, die ich eingegeben habe. Man könnte dann natürlich auch was weniger Offensichtliches reinschreiben, zum Beispiel schwere Ausnahmefehler oder so, sodass dann die Betroffenen im Zweifel noch nicht mal merkt, dass hier was komisch ist, sondern einfach auf ok drückt und sich davon abhält, dass Kaspersky weiter zu benutzen. Oder am Ende noch Kaspersky verdächtigt, da ist irgendwas komisch und das deinstelle ich lieber mal wieder. So, jetzt komme ich wieder zurück. Hat das schon funktioniert? Ja, ich bin wieder da. Was man natürlich auch machen kann ist, also wir sagen immer, wir reden von Wanzen, die wir mit uns rum tragen und wenn wir einfach so ein Handy benutzen und wenn wir auf so einem Handy so ein 2 App installiert haben, dann stimmt das auch tatsächlich. Ich kann mit dem, ich kann einen Live-Blick in das Gerät reinwerfen. Das heißt, ich kann die Kamera zum Beispiel starten, das habe ich hier einmal gemacht und dann ein Screenshot wiederum davon gemacht, wie ich das Handy in der Hand halte und gerade parallel auf dem Monitor schaue. Lustigerweise, da sitze ich an derselben Stelle. Ich kann aber auch einfach so ein Foto machen, also ich kann dem Gerät sagen, hier schießt los, mach mal Foto um die und die Uhrzeit, da kann ich die alle schon runterladen oder ich kann auch Audio aufzeichnen. Was man hier auf dem Bild vielleicht noch ein bisschen sieht ist, da unten steht eine Minute. Ich kann, also was ich nicht so gut machen kann, ist mich endlos irgendwie in den Gerät einschalten und das so im Überwachungskameras die laufen lassen. Das ist natürlich das, was dann die Klientinnen oft fürchten, sondern das ist relativ begrenzt. Das ist jetzt natürlich die kostlose Variante, die ich hier habe. Da hat man dann irgendwie pro Tag zehn Sitzungen und eine Minute kostet eine Sitzung. Wenn ich also gleich fünf Minuten auf einmal machen möchte, dann kostet mich das auch gleich fünf Sitzungen, dann habe ich, wenn hier halt ein Tagesbudget schon verbraucht. Wenn ich dann natürlich die zehn Euro hinbezahle, dieses in dem Fall kostet, habe ich dann erheblich mehr Möglichkeiten und Länge. Also insofern, es funktioniert nicht mit diesem Dauer-Aufzeichnungs-Ding, aber es ist dennoch sehr scary einfach. Und ich kann eben Audio aufzeichnen, auch das kann ich nicht sehr genau timing. Also ich kann nicht sagen jetzt genau oder genau in der Sekunde, sondern ich kann halt sagen Aufzeichnung starten und irgendwann in den nächsten fünf bis zehn Minuten wird es dann die Aufzeichnung starten, wenn das Gerät gerade auf Flugmotus ist, dann nicht. Und das, ja, das ist eine, es ist also gut timing, kann man das nicht, aber das ist natürlich trotzdem ein Horror. Übrigens auch sehr, was auch noch nicht so gut funktioniert, aber viel zu gut schon ist die Ortung. Ich kann natürlich auch genau rausfinden, wo ist das Gerät? Das hat bei mir das wirklich bis auf die Hausnummer exakt genau erkannt. Allerdings ist ja zum Beispiel bei dieser Spy App die Gliederung nicht so, also die Körnung nicht sehr hoch. Also in meinem kompletten Gassi-Gang, eine dreiviertel Stunde lang hat dieses Spy App überhaupt nicht mitgekriegt. Wo wir dann gedacht haben, da müssen sich eigentlich die Spy App-Installierer mal zum Protest zusammen tun, weil man will, sich doch darauf verlassen können, dass so eine Spy App auch richtig spied, wenn man sie installiert hat. Wie bitte? Da hat vielleicht jemand nur versehentlich sein Mikro an gehabt. Ja, man kann aber die Leute auch einfach auf Horror bringen. Das habe ich jetzt auch schon erwähnt. Man kann zum Beispiel es einfach vibrieren lassen oder klingeln lassen. Man kann irgendeinfach eine Nachricht auf das Telefon anzeigen. Da ist wahrscheinlich auch wieder so an die Kinder gedacht worden, also im Sinne von ab ins Bett mit dir, wenn Handy weg oder so was. Aber man kann eben da auch irgendwie sehr gruselige Sachen reinschreiben. Und dann gibt es eben diese Zeitplanbeschränkungen. Dann kann man eben sagen, in dem Fall jeden Dienstag zwischen 17.00 Uhr 40 und 17.00 Uhr 45. Ihr seht, ich habe das an einem Dienstag um 17.00 Uhr 40 ausprobiert, kann, ist das Telefon dann einfach komplett gesperrt. Auch das ist natürlich so mit dem Gedanken, dass man Kindern sozusagen am Freitag dürfen, darf das Telefon noch bis 21 Uhr benutzt werden, aber unter der Woche nur bis 20 Uhr und in der Nacht eben gar nicht. So wird das so ein bisschen hergerichtfertigt und auf dem Gerät wird dann halt einfach angezeigt stecken geblieben. Steck geblieben, das Telefon wird dann angezeigt. Und man kann okay drücken, aber man kann sich das okay drücken auch sparen, weil ansonsten geht nichts auf dem Gerät. Und das ist natürlich aber auch total fantastisch, um Leute einfach völlig auf Horror zu bringen. So, dann komme ich jetzt zum Fazit. Erstens, wir müssen unbedingt diese, es gibt hier eine Menge Lücken, die geschlossen werden wollen und sollten und die, das brauchen wir. Das ist dringend notwendig. Lieber IT, Sicherheitsexperten und Experten, ich schwärme immer ganz doll von euch in meinen Beratungen, tut mal was und nimmt dieses Thema auf die Platte. Zweitens, ich habe vorhin erwähnt, falls ihr von passenden Fortbildungen wisst, die eben nicht Firmen IT-Sicherheit erklären, sondern die auf IT-Sicherheit und jetzt auch nicht digitale Selbstverteilung, das mache ich selber, da bin ich selber ganz gut drin, sondern wirklich die IT-Sicherheit aber für Privatmenschen im Kopf haben. Ich freue mich sehr über E-Mails. Es gibt dazu auch ein PGB-Key, falls Bedarf besteht für verschlüsselte Kommunikation. Allgemein, die Bitte, denkt doch das Thema häusliche Gewalt bei IT-Sicherheitsfragen mit, dass das darf nicht länger vergessen werden, bedenkt auch, dass eben heute keine Option mehr ist, den Leuten einfach zu sagen, wenn ihr es nicht könnt, dann benutzt das Zeug auch nicht. Das war damals schon eine etwas elitäre Haltung. Ich verstehe auch, wo die herkommt und in gewisser Form teile ich die auch, aber sie ist halt überhaupt gepasst einfach nicht zur Realität der Menschen und von daher hilft die einfach nicht mehr. Und ja, eigentlich muss es uns beieps verboten werden, weil auch die Zwecke, mit denen die legitimiert werden, sind absoluter Humbug und so funktioniert es nicht, was wir damit eben letztlich machen ist, uns völlig falsche Umgangsweisen mit unseren Händen, unseren Smartphones und unseren Geräten anzutrainieren und zwar in der gesamtgesellschaftlichen Breite, die wirklich unschön ist. Wenn das eben propagiert wird, dass Kinderüberwachung okay ist und dass das die Art ist, wie man sinnvoll Kinder erzieht, dann kriegen wir schnell ein ziemliches Problem. Ich verstehe, dass man das auch mit einem Verbot nicht wirklich alles getan ist. Es gibt ja auch so was wie illegale Software, das habe ich mir gehört, soll es auch geben, aber trotzdem würde so ein Verbot enorm viel helfen und verändern, weil im Moment ist es einfach wirklich einfach an dieses Zeug anzukommen und in dem Moment, wo die dubioser werden, gibt es vielleicht auch paar Leute, die sich davon abschrecken lassen und vielleicht auch weniger Eltern, die zum Beispiel auf die gekommen sind, so was ihren Kindern anzutun. Ja, damit bin ich am Ende dieses Vortrags und stehe aber noch für Fragen zur Verfügung. Wir müssen nicht unbedingt die volle Stunde, die wir noch blockiert haben, ausreizen. Da habe ich eigentlich sogar gar nicht mit gerechnet, aber weil bisher immer viele Fragen zu dem Thema kam, dachte ich, nutzen wir die Zeit. Ich sehe auch schon die ersten Fragen im Chat. Da gibt es auch noch andere, die den Kurs der Ferne und die Hagen gemacht haben. Der war tatsächlich gut, aber an der Stelle einfach dünn. BSE für Bürger, ja, ich habe da mal reingeschaut und fand das auch zu dünn einfach. Da war nicht viel Fleisch drin, aber vielleicht hat sich das zwischenzeitlich verändert und ich schaue es mir noch mal an. Cetatech, super Empfehlung, schreibe ich mir raus, kenne ich noch nicht. Und ob die Apps auch Zugriff auf den Passwort wollen, ja, na ja, wenn ich einen Volt habe und wenn ich dann, das hängt vom Volt ab, wenn, also ich stelle gerade die Fragen, ich beantworte gerade die Fragen, vielleicht sollte ich die erstmal vorlesen. Können die Apps auch Zugriff auf den Passwort wollen erlangen? Das hängt ganz davon ab. Also ich benutze zum Beispiel KIPASX, der hat extra eine Variante, um den Zwischenspeicher zu schützen, aber auch da liegt meines Erfindens das Passwort ja unverschlüsselt drin. Das heißt über diesen, über diesen Zwischenspeicher mit Leseservice müsste ich dann, wenn ich eine App in den Passwort aus dem Volt irgendwo anders hinkopiere, dann selbstverständlich auch das Passwort lesen können. Was tatsächlich bisher noch nicht so gut funktioniert hat, war, dass ich sozusagen einzelne Apps drauf Zugriff nehme. Also man kann natürlich auch irgendwie WhatsApp und die Nachrichten da abfangen, aber man kriegt das alles, man kriegt nicht die App gezeigt, die man dann sieht, sondern man kriegt das alles irgendwie aufbereitet in einer anderen Ansichtsmaske. Von daher könnte das schon sein, dass der Volt auch halbwegs sicher ist. Sicher wäre ich mir da, aber wenn das bei mir drauf ist, nicht mehr. Nächste Frage, ja, der Vortrag wird auf media.ccc zu sehen sein. Hoffe ich zumindest, wir zeichnen auf und ich weiß dann noch nicht genau, wann, wo er dann herkommt. Und dann kommen, ganz viele herzliche Dankeschöns. Das freut mich aber, dass der, dass es gut ankam. Und gibt sie jetzt noch weitere Fragen. Wie arbeitest du mit Frauenhäusern zusammen? Naja, Frauenhäuser, das ist eine ganz spannende Ding, weil Frauenhäuser sind natürlich ganz vorne an der Front, sage ich jetzt mal. Die haben nämlich das doppelte Problem. Die haben zum einen die besonders gefährdeten Leute und zum anderen die, die am meisten verstehen von der Technik, habe ich manchmal den Eindruck. Also manchmal gehe ich in Frauenhäuser und halte da wirklich einen Vortrag für die Bewohnerinnen im Frauenhaus, was die tun können, um ihre Geräte sicher zu machen. Und da schaffe ich in 1,5 Stunden Vortrag, Naja, WLAN aus, Bluetooth aus, Passwörter, sichere Passwörter verwenden und dann bin ich schon froh, wenn ich noch irgendwie was mal von Exif-Daten und Metadaten in Bildern erklären kann und wie man die entfernt beformen, sie auf Social Media teilt. Viel weiter komme ich in 1,5 Stunden dann nicht, weil das einfach wirklich so simpel und langsam gehen muss und oft auch mehrsprachig unterwegs ist, dass man da wirklich ganz klein schrittig überhaupt nur unterwegs ist. Was ich auch mache, sind Schulungen, Fortbildungen, Schulungen in Frauenhäusern, die ihre Teams fortbilden wollen. Das geht natürlich dann noch ein bisschen besser. Aber auch hier haben wir halt, ich sage den Frauen da immer, wir sind jetzt hier die Pionierinnen, weil die glauben, die wollen wir das immer nicht glauben, dass sie jetzt die Experten auf dem Gebiet sind, weil sie sich natürlich gar nicht oder meistens gar nicht mit solchen Themen auskennen. Man kann sich das vorstellen, wie so ein Frauenhaus ausgerüstet ist. Das hat seine zwei Computer, die meistens von irgendeinem Ehrenamtler vor Anno dazu mal mal eingerichtet wurden und auf denen sie dann halt immer arbeiten und Leute, die sich unglaublich viel mit Sozialpädagogik und sozialer Arbeit befasst haben. Aber dieses Technikthema meistens nicht so wirklich im Fokus ihrer Aufmerksamkeit stand. Und hier laufen jetzt auf einmal lauter solche Fälle auf, solche Gefährdungen auch Situationen, wo zum Beispiel nicht gefährdete, also zumindest nicht digital gefährdete Personen dann halt Facebook benutzen und da überhaupt nicht wissen, dass sie sozusagen andere Leute damit gefährden, dass sie da Informationen veröffentlichen. Und das krasse ist, dass diese Frauenhäuser es unglaublich schwer haben, Fortbildungen zu finden, an Fortbildungen ranzukommen. Also hier, ich würde schon wieder sagen, Marktglücke. Leider haben die auch das Problem mit dem Geld. Die sind nämlich in der Regel an irgendwelche Honorarverordnungen gebunden von ihren Gönnern. Meistens sind das irgendwie die Länder oder wer eben da finanziert. Und diese Honorarverordnungen sind für IT-Themen, also unter jeder Würde. Was bedeutet, dass sie halt auch darauf angewiesen sind, entweder Leute zu finden, die so nett sind, dann in möglichst preiswert eine Fortbildung anzubieten. Oder sie müssen dann doch wieder die Ehrenamtler suchen, die das dann halt irgendwie in ihrer Freizeit machen oder so. Und die stehen wirklich von einem riesen Problem da sowohl eine hohe Sicherheit aufzubringen, obwohl sie eben keinen Admin-Team haben, dass sie mal eben dazu ran greifen können. So, was haben wir noch? Oh, hier ist ein ganz viel dazugekommen. So, die Frauenhäuser. Kenne ich Apps, die den Flugmodus umgehen können. Oder etwas wäre ein Flugmodus ausreichend, um zum Beispiel nicht abgehört zu werden zu können. Das ist eine Frage, die ich mir auch tatsächlich häufiger stelle. In dem Moment, wo ich den Flugmodus angeschaltet habe, jetzt im realen Versuch, hat es tatsächlich nichts passiert und es sind auch keine Befehle mehr am Gerät angekommen. Was aber durchaus möglich wäre, wäre ja, dass der Befehl in dem Moment, wo man den Flugmodus abschaltet, dann noch eingeht. Das ist jetzt bei meinen zwei Tests, die ich da gemacht habe, beide Male nicht passiert. Also der Befehl ist dann irgendwie verschwunden und ward nie wieder gesehen. Das ist aber durchaus ja denkbar, dass der Befehl dann einfach später Zeit dazu gerade zugestellt wird und dann natürlich auch wieder umgesetzt wird, aber dann halt zu einer anderen Zeit. Insofern ist der Flugmodus dann eine gute Lösung, wenn man ihn nie wieder beseitigt. Aber dafür ist er ja nicht da. Also ein Gerät, was permanent im Flugmodus ist, kann man ja auch eine Pfeife brauchen. Und insofern funktioniert das aber schon mal insofern, dass ich sagen kann, naja, jetzt dieses Gespräch darf auf keinen Fall mitgehört werden, denke ich jetzt mal auf Flugmodus, ist wahrscheinlich hilfreich. Gegebenfalls könnten solche Hardware, die Ubiqui, mit beispielsweise Filo-Passort-Problematiken gegebenenfalls zum Teil lösen. Das ist richtig, ja. Den Ubiqui empfehle ich tatsächlich sehr häufig, ist für stark betroffene bedrohte Frauen auch tatsächlich immer eine sehr große Erleichterung. Auch hier haben wir das Problem, dass ganz oft ein völlig falsches Bild von zwei Faktor-Odentifizierungen vermittelt wird. Also zwei Faktor-Odentifizierungen heißt ja, ich habe zwei verschiedene Faktoren, etwas, das ich weiß und etwas, das ich habe. Und oft wird ja zwei Faktor-Odentifizierungen zweimal an etwas, was ich habe, beknüpft nämlich mein Smartphone. Und da ist natürlich der Ubiqui eine super Sache und für Leute, deren E-Mail angegriffen wird, empfehle ich das auch regelmäßig. Gleichzeitig sage ich dann aber dazu, Leute, ihr müsst die E-Mails auch verschlüsseln, weil das schützt eben in dem Fall nur das Postfach und nicht den Übertragungsweg. Und das scheitert dann halt schon wieder daran, wenn ich eine E-Mail verschlüsseln will, brauche ich ein Public Key meines Kommunikationspartners. Und auch hier fragen mich die Frauenhäuser regelmäßig ja gut, aber wir müssen mit Behörden kommunizieren, die haben sowas nicht. Und dann müssen wir denen einen hochsensiblen Antrag schicken. Das können wir doch, das müssen wir per E-Mail machen, weil wenn wir den Antrag dann nicht hinschicken, dann bearbeiten die den nicht, dann leidet die Frau darunter. Also, da kann man auch wieder nicht sagen, da bin ich verschlüsselt halt. Und das, also Ubiqui ist tatsächlich eine schöne Sache, mache ich gerne, aber löst auch ganz viele Probleme, der leider nicht. Ein anderes Tool, was ich sehr häufig empfehle und auch tatsächlich immer wieder genutzt wird, ist Tails. Wenn ich da dazusage, dass das AdWords Noten geholfen und genutzt hat, dann gibt das immer sehr viel Vertrauen. Aber wir haben da halt auch sehr viele Komporeinschränkungen, bei Ubiqui ja auch. Wie gut lassen Sie sich 2 Apps verstecken? Lassen Sie sich auch ein Menü komplett verbergen? Bei Apple Geräten, nein, bei Apple kann man nicht das verstecken, aber da kann man ihr natürlich einen harmlosen Namen geben. Also, die 2 App, die ich jetzt hier gezeigt habe, die nennt sich an den Stellen, wo sie im System irgendwo auftaut, nennt sie sich Wi-Fi. Und auch bei, als Kaspersky dann, die dann gefunden hat und angezeigt hat und gesagt hat, hier könnte was komisch sein, stand da Wi-Fi. Und eine unbetrachte Nutzperson würde jetzt vielleicht sagen, Wi-Fi, ich will ja jetzt nicht meinen WLAN deinstallieren. Ich weiß nicht so genau, das wird schon richtig sein, dass das da drauf ist. Also, die verstecken sich entweder dadurch, dass sie sich halt harmlose Namen geben, aber oft Android lassen sie sich so verstecken, dass man sie einfach nicht mehr wiederfindet. Sie sind weg, nicht mehr zu sehen. Und das ist schon echt scary. So, eine Firewall im Weitlist-Modus betreiben. Ja, das ist natürlich auch spannend. Gerade dieses... Schöne Idee werde ich mir auch mal mitnehmen. Die Sache ist halt, die meisten Leute, die kaufen sich so ein Smartphone, da sind schon 20 Apps vorinstalliert, die wissen gar nicht, was sie genau davon benutzen. Wenn ich ihnen sage, den installiert doch mal den ganzen Shoptagger drauf ist. Erstens, lassen sie sich auch gar nicht deinstallieren. Und zweitens, wissen sie dann ja auch gar nicht, vielleicht braucht man das ja irgendwie. Vielleicht geht dir irgendwas kaputt, wenn ich das deinstalliere. Dann funktioniert irgendwas anderes nicht mehr. Und das ist immer das Problem in dem Moment, wo ich sozusagen sage, mach doch nur das drauf. Also mach doch eine Weitlist in dem Sinne. Mach doch nur das drauf, was du auch wirklich benutzt. Dass die Leute da sehr, sehr verunsichert sind und ängstlich sind, irgendwas kaputt zu machen, finde ich aber eine schöne Idee. Die werde ich mal testen, ob das funktioniert. Nein. Frage ist, E-Mailverschlüssung wirklich notwendig, wenn der Bedroher keinen Zugriff auf das Postfach hat. Naja. Das hängt von den Fähigkeiten des Bedrohers ab. Und die Fähigkeiten des Bedrohers werden eigentlich in der Regel sehr hoch eingeschätzt. Ich vermute, meistens werden sie höher eingeschätzt, als sie real sind. Aber das hilft ja einer Betroffenen in dem Moment nicht, wenn ich sage, na so hoch sind die Fähigkeiten von dem Bedroher bestimmt nicht. Weil rein theoretisch ist eine unverschlüsselte E-Mail-Nummer einfach eine unverschlüsselte E-Mail. Und wenn ich an der richtigen Stelle sitze, und es gibt auch Situationen, wo eben der Bedroher jemand ist, der bei der Telefongesellschaft arbeitet, dann habe ich durchaus auch Möglichkeiten, unverschlüsselte E-Mails zu lesen. Nächste Frage. Wenn eine schon aktives bei Zeit gesteuerte Aktionen zulässt, könnte sie den Flugmodus teilweise deaktivieren. Aber keine Ahnung, ob es diese Funktion tatsächlich gibt. Ja, tatsächlich. Man kann den zumindest WLAN an- und ausschalten. Wie ein Befehl, also theoretisch ist es auch denkbar, dass man sozusagen einen Befehl einbaut, der dem Gerät immer dann, wenn es in Flugmodus geht, sagt, hier macht den Flugmodus wieder aus. Aber solange, wenn der Flugmodus an ist und ich nicht den Befehl schon ins Gerät geschickt habe, der Befehl nicht schon im Gerät ist, dann kann ich ja solange der Flugmodus an ist, da erst mal nicht durchkommen. Aber theoretisch ist es natürlich denkbar, dass der Befehl sozusagen schon auf dem Gerät drauf sitzt. So, bezüglich Ubiqui, Alternativ und Open Source wäre auch noch der Nitro-Key. Okay, danke. Notiere ich mir auch mal. Und ob wir gegebenenfalls ein Distributionswechsel empfehlen, das mache ich von der Klientin abhängig. Mache ich tatsächlich, also ich habe schon mehrere Male auch ein Linux Mint installiert auf Geräten von auf Wunsch der Klientin. In der Regel bin ich da erst mal vorsichtig. Also ich gebe denen erst mal das Tales und gucke, wie sie mit dem Tales klarkommen. Auch weil das auch besser hilft, irgendwie das Vertrauen in das Gerät überhaupt wieder aufzubauen. Und wenn die feststellen, sie kommen mit dem Tales gut klar, dann schlage ich ihnen durchaus vor, Mensch, also so ein Linux ist auch jetzt nicht wirklich was anderes. Also genau genommen ist Tales in Linux und wenn sie damit klargekommen sind, dann kommen sie auch mit einem fest installierten Linux klar. Meistens bin ich aber dann doch eher damit beschäftigt, zu versuchen, ein Windows sicher zu machen, was ja, wie wir alle wissen, nicht mehr sicher machbar ist. Und habe halt mit diesen Problemen zu tun. Ja, damit sind wir am Ende der Fragen angelangt. Vielen Dank für die regelbeteiligung. Wir können ja auch gerne nochmal kurz im Moment warten, ob wir noch weitere Fragen eingehen. Ich freue mich, dass so viele hier dabei waren und so aufmerksam auch den Talk verfolgt haben. Mir ist das ein total wichtiges Anliegen, dass hier mehr Aufmerksamkeit draufgerichtet wird, weil wir stehen einfach da und wissen nicht, was wir den Leuten raten sollen. Und alle wollen immer möglichst einfache Antworten von mir hören. Klar, das kann man auch nur ein Stück weit mitmachen. Also wie gesagt, sagt dann immer, wir sind, wir machen hier Pionierarbeit und wir sind hier alle zusammen, die Pionierinnen und die richtigen einfache Antworten gibt es noch nicht. Die müssen wir überhaupt erst mal finden. Aber es braucht ja überhaupt erst mal auch den Ansatz dafür und selbst der ist an ganz vielen Stellen noch nicht gegeben. Dann bedanke ich mich, ah, hier ist noch eine Frage. Du hast Sicherheitskonzepte für Privatpersonen angesprochen, dass es da eine Lücke gibt. Ich kenne das als Betrachtung von Risiken, etc. und Maßnahmen dazu. Ist es wirklich das, was ihr braucht, Betrachtung der individuellen Situation und Maßnahmen oder eher Informationen, was geht und was nicht als Sicherheitsmaßnahmen für Privatpersonen? Ha, tolle Frage. Schön, dass ich die noch aufgegriffen habe. Die trifft den Nagel eigentlich direkt auf den Kopf. Das Problem ist hier, dass das letztere Informationen, das ist das, was wir eigentlich brauchen, was eigentlich ganz viel helfen wird. Deswegen versuchen wir auch ganz viel Prävention und Aufklärungsarbeit zu machen. Das Problem ist aber, die Leute hören überhaupt erst zu, wenn sie betroffen sind. Vorher, also wir bieten auch präventive Beratung an, das wird auch ganz ab und zu mal genutzt. In der Regel kommen die Leute aber nicht präventiv, sondern kommen dann, wenn das Kind eigentlich schon in den Boden gefallen ist. Und vorher, das haben wir uns als Gesamtgesellschaft antrainiert, diese Haltung leider, ist, dass wir damit halt völlig unbedarf umgehen und das einfach alles benutzen und mitmachen und überall klicken, wo es geht. Und dieses, muss ich mich eigentlich über das, was ich da benutze, erstmal informieren, muss ich mal rausfinden, was das ist, ist sehr, sehr schwierig. Das heißt, wenn wir versuchen, an unsere Klientel ranzugehen mit Aufklärungsvorträgen, dann kommt kaum jemand. Wenn ich da wage, hey, was gibt es für Alternativen zu Facebook und wer es sich super ist, ich darf vielleicht mal was anderes auszudenken, da ist die Nachfrage nicht sehr hoch. Die Nachfrage ist hoch, wie mache ich meinen, was mache ich, wenn mein Handy angegriffen wurde. Da kommen die Leute. Das heißt, die kommen mit dem Anliegen, ich habe hier meine individuelle Situation und ich brauche Maßnahmen. Und mir muss jetzt jemand sagen, was ich tun soll. Das ist das Anliegen, mit dem die kommen und mit dem wir sie dann auch abholen müssen. Ich schieb den natürlich immer ganz viel Informationen heimlich mitunter. Aber das ist eben das, was ich sozusagen mitverkaufen muss und letztlich ist es so, dass die Situation so individuell in verschiedenen Sinn, dass man natürlich angucken muss, was ist die individuelle Situation und man da raus, weil es eben auch ganz viele, auf ganz viele Probleme gar keine Antwort gibt. Aber danke für die Frage, das ist sehr, sehr gut auf den Punkt gebracht, dass wir ebenfalls rausfinden müssen, wie kriegen wir diese Informationen unter das Volk? Wie hören wir eben auf, elitär zu sagen, ja, wenn man es nicht kann, dann sollte man es lassen und wie kriegen wir die Leute informiert, weil ganz viele der Probleme lesen sich tatsächlich präventiv, viel, viel besser vermeiden, als wenn sie denn dann passiert sind. Aber dadurch, dass wir da trainiert haben, wir haben nie gelernt, in einem Computerkurs lernt man nicht benutze lieber offene Formate und nicht diese blöde DocX, sondern ich lerne, so machst du Textfett und so schreibst du Überschriften. Dieser Unterschied, dass wir die digitale Mündigkeit, die ich unten ja auch noch in meine Folien eingeblendet haben, dass wir die nie mitvermitteln in Kursen, sondern es immer nur um das da musst du klicken, damit das passiert geht. Dadurch sind die Leute auch gar nicht darauf gepolt, dass Informationen irgendwie was Wichtiges sein könnte. Und das ist ein Riesenproblem. So, oh, hier geht es wieder weiter. Bietest du für die Frauenhäuser auch einen Online-Vortrag an? Ich habe einen Online-Vortrag jetzt schon mal gemacht, aber der war nicht für Frauenhäuser, aber das ist theoretisch möglich, auf jeden Fall. Und, ach ja, Lars erinnert mich, Stichwort Bildung, Arbeit an Schulen. Wir haben für Digital-Courage gerade das Bildungspaket zusammengeschnürt, wo wir ganz viele Vorschläge machen, wie man digitale Themen denn in der Bildung vielleicht ein bisschen besser rüberbringen könnte. Da sind freie Software, da ist IT-Sicherheit und da sind lauter solcher Sachen natürlich auch Thema Datenschutz. Danke für die Erinnerung, das ist tatsächlich ein guter Hinweis, das noch mal hinzuweisen. Durch Öffentlichkeitsarbeit sensibilisieren, was wir mit dem Chaos-Dreff aus einer Brücke auch machen, hilft, die Leute etwas aufzurütteln und zum Umdenken zu bewegen. Ja, wir machen auch tatsächlich ein bisschen Öffentlichkeitsarbeit. Das Anti-Stalken-Projekt macht jetzt zum Beispiel, hat jetzt ein Block, da versuchen wir so ein paar Themen immer mal wieder aufzugreifen. Auf der Seite anti-stalking-projekt.de könnt ihr euch auch mal umgucken, da gibt es auch unter cyber-stalking, ja cyber-cyber übrigens, ich habe natürlich dauernd cyber überall. Unter cyber-stalking findet ihr auch unsere politischen Forderungen, da könnt ihr auch mal reinschauen. Und unter Block gibt es eben da auch ein Block, das ist jetzt ganz recht frisch in den Staat gegangen, das versuchen wir, aber die Schwierigkeit ist wie gesagt allgemeine Informationen ist es sehr, sehr schwer, die Menschen überhaupt zu erreichen. Die kommen dann, wenn sie betroffen sind und dann werden sie aufmerksam, dann sind sie höchst sensibilisiert, manchmal zu sensibilisiert, aber vorher ist es echt schwer an die Leute heranzukommen. Lars hat nochmal den Link zum Bildungspaket in den Chat gepackt und die nächste Frage lautet, braucht ihr für die Situation, wenn etwas passiert ist, auch IT-forenzische Untersuchungen und festzustellen, ob ein Gerät kompromitiert wurde? Also wird das angefragt, wie ist das mit der Gerichtsverwertbarkeit? Ja, das wird dauernd angefragt und ich weiß immer nicht, was ich antworten soll, weil wir haben sowas bei uns nicht, wir können sowas bei uns nicht, wir haben dafür auch die Technik gar nicht da und die Zeit schon mal gar nicht, die Expertise auch nicht und wir suchen Händeringen an Leuten, die sowas sozusagen für die Privatpersonen anbieten, die sowas machen, vielleicht sogar ehrenamtlich, das wäre fantastisch. Wir haben uns da auch schon mal Dinge überlegt, was man tun könnte damit, weil so Leute, die da betroffen sind, die haben sehr hohes Witteilungsbedürfnis und vielleicht, das ist eben ein großer Teil der Arbeit, auch mit diesen Geschichten überhaupt erstmal, die anzuhören, sich da mitzunehmen, die Leute da auch drin ernst zu nehmen und da sind wir auch überlegen, wie man das so machen könnte, dass vielleicht ehrenamtliche nur die Geräte checken und nicht auch nochmal die ganze Geschichte sich anhören, weil das eben auch dann wirklich ein, teilweise ziemlich viel Zeit in Anspruch nehmen kann, was aber auch total wichtig ist, dass die Leute ihre Geschichte auch erzählen können. Also falls da Leute sagen, hey, ich kann sowas, ich mach sowas, ich biete sowas an, auch hierfür dient meine Mailadresse und die Gerichtsverwertbarkeit, die ist ultra schwierig, da kann mir niemand beantworten, wie denn eigentlich das aussehen muss, damit das Gerichtsverwertbar ist, auch so beim Anlegen von Screenshots oder so, haben wir das Problem jetzt häufig, wie soll denn so ein Screenshot aussehen, damit dann der Gerichtsverwertbar ist. Da sind wir wieder an diesem Punkt, dass die Justiz sich da glaube ich selber noch nicht so ganz im Grünen ist mit und das selber noch nicht genau weiß und das sind, das liegt dann Danke KP im Ermessen der Richter, Innen- und Richter und dann könnt ihr euch vorstellen, wie gut die fortgewählt sind, die, naja, entweder nehmen die alles möglich an oder gar nichts oder man weiß es nicht. Jedenfalls ist das nicht, überhaupt nicht gibt es da keine Verlässlichkeit und das macht natürlich die IT-Forensik dann auch wieder sehr schwierig, weil da kann man ja auch selber durch das Anfass und von Dateien und das Ändern von Zeitstempeln und so weiter ja, die Beweise letztlich auch wieder korumpieren und das ist eine ganz traurige Geschichte, weil letztlich sagt die Polizei ganz oft, ohne Anfangsverdacht nehmen wir das Gerät nicht an und aber in Anfangsverdacht kann man ihnen eigentlich nie auf eine Art nachweisen, dass sie sagen, oh ja, stimmt, hier gibt es jetzt einen Anfangsverdacht, also ich, das kommt mir mal so ein bisschen vor, die Polizei würde ich einen Einbruch melden wollen, die Polizei sagt, suchen Sie erstmal selber nach Fingerabdrücken und dann gehe ich her mit meinem Mickelmausheft und verstreue überall dieses schwarze Pulver, was da drin war und hab dann irgendeinen Fingerabdruck gefunden und wenn dann die Polizei tatsächlich kommt, dann sagt die ja, sorry, also, wie sollen wir denn hier noch Spuren sammeln, hier ist ja alles schon verschmiert und das ist eben so ein bisschen dieses Ding, die Klientinnen werden selber auf Spurensuche geschickt, ich soll dann mit denen vielleicht irgendwie beweisen sichern und weiß selber nicht, ob ich damit nicht mehr kaputt mache, als ich sinnvoll Gutes tue. Agnus sagt auch sehr korrekt, screenshots sind nicht manipulationssicher und deswegen nicht wirklich verwertbar, aber eine andere Möglichkeit gibt es einfach nicht, es gibt keine, was sollen die sonst machen, die screenshots und man hofft erstmal so lange, dass die screenshots glaubwürdig sind, weil es gibt keine anderen Möglichkeiten und das ist auch ein riesen Problem, der Weisering hat da durch seine App versucht, er hat ein bisschen höhere Verwertbarkeit zu schaffen, das ist also eine Dokumentationsapp, mit der die Daten direkt auf einen externen Server und dann verschlüsselt transportiert werden, das heißt, ab dem Moment, wo ich ein screenshot hochgeladen habe, kann ich ihn zumindest nicht mehr manipulieren, aber ich kann ihn natürlich vorher manipuliert haben. Ja. KP sagt nochmals, kann quasi alles mit in die Akte, mit aufgenommen werden und je professioneller und detaillierter ein Bericht geschrieben wurde, desto besser, allerdings muss auch die Formulierung geachtet werden, damit der verwertbar ist. Ja, Dokumentation ist auch ein Thema, was wir sehr propagieren und immer sehr deutlich machen, auch das ist wie wichtig, das ist da keine, ich sage jetzt mal im schlimmsten Fall, eine Schuhkarton Zettelwirtschaft abzuliefern, sondern eine saubere Tabelle zu haben, wo man das gut möglichst übersichtlich drinnen auflistet und darstellt und das versuchen wir auch immer sehr stark zu machen, aber das hilft eben im digitalen Bereich auch nur so weit. Und auch da wäre zum Beispiel die Frage, wie kann ich denn solche Übergriffe überhaupt dokumentieren? Wenn ich nur nicht mehr weiß, ob und wie und in welcher Form sie da gerade stattfinden, das ist ein riesen Problem. Und wie gesagt, die Polizei, also es ist tatsächlich so, wenn es zum Beispiel darum geht, dass Fotos im Internet geteilt werden, dann sagen Anwältinnen, fragen erstmal, wer hat denn das Urheberrecht an diesem Foto? Das ist nämlich eine ganz wichtige Frage. Urheberrechtsverletzungen lassen sich nämlich viel, viel, viel einfacher verfolgen als Verletzung gegen das Persönlichkeitsrecht, obwohl das Erste meines Erachtens ein Grundrecht ist und das Zweite nicht. Also das Urheberrecht ist kein Grundrecht meines Erachtens. Es lässt sich aber viel, viel einfacher verfolgen, weil da schon ganz viel Behördschmalz reingesteckt wurde, wie man das unterbinden kann und wie man dafür sorgen kann, dass da bloß kein kleines Urheberrechtchen verletzt. Aber wenn das eben zum Beispiel kein Selfie war, was ich geschossen habe, sondern wenn jemand mich aus der Ferne fotografiert hat, als ich gerade auf dem Balkon gestanden habe, dann habe ich das Urheberrecht nicht dran und dann habe ich schon wieder Probleme. Ein Protokoll mit Zeitstempeln ist zum Beispiel gerne gesehen, sagt für KP noch an. Wichtig ist dabei auch die Zeitzone und dass die Urzeit vom Gerät mit der echten Urzeit abweichen kann und am besten mit erfasst werden sollte. Ja, ich versuche auch immer dazu zu sagen, dass Kontext ganz wichtig ist. Dann habe ich so Geräte mit Screenshots drauf, dass es irgendwie dann 1979 steht und es ist doch relativ klar, dass der Screenshot nicht in diesem Jahr aufgenommen wurde. Ich empfehle dann im Zweifel noch mit dem nächsten Foto irgendwie eine Zeitung zu fotografieren oder so. Das ist sehr, sehr schwierig, das mit den Zeitstempeln dann auch hinzukriegen, aber das ist auch Teil der Beratung eben zu gucken. Wie legt man so ein Screenshot überhaupt an, wie man in dem Zeit richtig gesetzt. Ich habe auch schon ganz viele Screenshots gehabt, wo ich nur einen kleinen Ausschnitt gesehen habe. Da sieht jemand eine Datei auf dem Computer, die komisch ist. Dann kriege ich aber wirklich nur diese Datei-Screenshotted und nicht den Dateibaum. Dann komme ich zufällig in den Dateibaum rein und stelle fest, das ist der Cash-Ortener vom Firefox. Da kommen auch so neue Dateien rein. Das kann sein. Aber ohne den Kontext zu sehen, kann ich dann natürlich auch nicht viel darüber sagen. Aber das sind alles sehr wichtige Hinweise. Aber man muss immer auch aufpassen, dass mir die Leute dann nicht überfordert. Recht am eigenen Bild. Ja, genau. Noctura sagt nochmal, das ist doch das Recht am eigenen Bild. Also jemand darf mich zwar fotografieren, aber der darf die Bilder nicht veröffentlichen. Ja, aber wenn mich jemand fotografiert und ich den Verdacht habe, der Bilder auf das Internet stellt und ich aber nicht weiß wo und was und wann und mich vielleicht Leute wissend angucken und sagen, ich habe den Bild auf Facebook gesehen und ich aber das nicht sehen kann, weil der Passwort beschützt ist, weil ich keinen Facebook Account habe, weil ich zwar schon danach suche, aber das habe ich einfach nicht gefunden. Dann habe ich keinen Beweis und dann habe ich auch keine Chance. Das ist bei Urheberrechtsverletzungen tatsächlich einfacher verfolgbar und dass Anwältinnen und Anwälte da immer sagen, wenn man die Möglichkeit hat, auf Urheberrecht zu gehen, sollte man auf jeden Fall auf Urheberrecht gehen. Das spricht einfach Wände. Und natürlich, ich finde auch, das Recht am eigenen Bild sollte stärker geschützt sein, als das Urheberrecht ist, aber nicht faktisch nicht der Fall. So, jetzt sind wir wieder am Ende der Fragen angekommen und dann nutze ich doch jetzt mal die Gelegenheit, können wir doch auch jetzt tatsächlich zum Ende kommen. Ich danke nochmal für die Regelbeteiligung und das Regelinteresse. Ich hoffe, dass ich hier mit ein bisschen was losgetreten habe und wie gesagt, ich freue mich auch sehr über Austausch und bin, das ist jetzt meine private E-Mail-Adresse. Ich habe auch noch eine Digital-Courage-Adresse und eine Anti-Stalking-Projekt-Adresse, aber da ja im Moment so ein bisschen so Urlaubszeit ist, habe ich gedacht, ich packe hier mal die Private drauf und stehe hier auch gerne noch für Kontaktaufnahme zur Verfügung. Und danke allen für die Aufmerksamkeit und dann kann hier beenden.