 Ja, es freut mich, dass ihr so zahlreich erschienen seid und auf diesen reißerischen Teel reingefallen seid. Ich möchte ein bisschen über menschliche Faktoren der IT-Sicherheit sprechen und habe mich für die Teel-Hirne-Hacken entschieden. Der Hintergrund ist, dass wenn man irgendwie von Hackern spricht, sehr häufig so ein bisschen dieser Nimbus gilt, dass es irgendwie so Halbgötter in schwarz sind. Man weiß nicht genau, was die machen, aber die kommen irgendwie da rein. Und diese Hacker, die sind in meinem Gerät drin und ich weiß auch nicht genau, was die von mir wollen und wie wir das gemacht haben. Und die Realität da draußen ist eigentlich sehr anders als die meisten Leute sich das vorstellen. Ich vertrete die These, dass eigentlich jedes praktisch relevante Problem der IT-Sicherheit theoretisch gelöst wurde. Also uns fehlt nicht das Wissen, wie wir eine bestimmte Lösung in der IT-Sicherheit machen müssen, aber wir kriegen es irgendwie hin. Denn obwohl wir alles theoretisch gelöst haben, ist die praktische IT-Sicherheit ein einziges Disaster. Und das liegt wahrscheinlich daran, dass wir uns irgendwie so spannende IT-Sicherheitsmechanismen aufbauen und die prüfen wir dann. Da sieht man hier den schönen Pfahl und der hält jetzt irgendwie ein Tier gefangen und wenn man sich das in der Realität anschaut, sieht es eher so aus. Und das jetzt eine kleine Bedrohung und irgendwie stellen wir uns vor, dass das bei den großen Bedrohungen anders wäre. Schauen wir uns an, wir lesen irgendwie überall von EMOTED gerade Hacker kompromittieren Computer, verschlüsse in alle Dateien, fordern dann hohes Lösegeld und Heise haben sehr viel darüber berichtet, bis es sie dann selber erwischt hat. Das heißt auch die, die es wirklich wissen und wissen müssen und können müssten, sind irgendwie nicht davor gefeilt und das finde ich eigentlich ziemlich interessant. Und wenn wir uns mal anschauen, was so in der IT-Sicherheitsforschung abgeht, auch hier auf dem Kongress, deswegen habe ich den Vortrag ja auch hier eingereicht. So die Forschung, die muss immer echt avant-garde sein, das ist irgendwie großen Applaus und Wudu und hier noch ein Exploit und hast ja alles nicht gesehen und Remote Code Execution. Während die Realität dem gegenüber, also so wie jetzt tatsächliches Cyber da draußen geht, ist ungefähr eher so, wie schon drin oder was. Das heißt wir leben eigentlich, weil wir das auch als Nerds und Hacker irgendwie interessant finden in irgendwie dieser Welt, während das, was da draußen wirklich an Kriminalität stattfindet, eher so Hütchenspiele ist. Und dieses Hütchenspielproblem lösen wir aber nicht. Und ich glaube, dass das sehr unsinnig ist oder sehr schlecht ist, dass wir uns um die Problemfelder, die eigentlich gerade ganz prävalent sind, die überall beobachtet werden, ja selbst im Heiseverlag, dass wir uns um die eigentlich nicht kümmern und da machen wir eigentlich seit Jahren keinen Fortschritt. Ich möchte ein bisschen über einfache Scams reden, ein bisschen über Passwortprobleme, ein bisschen über Schadsoftware. Ein Scam, der uns auch im CCC sehr amüsiert hat, ist der Scam der Chaos Hacking Gruppe. Die Chaos Hacking Gruppe verschickt E-Mails und sagt den Leuten ja, also ich habe irgendwie da ein System mit einem Trojaner infiziert und wir sind uns ihrer intimen Abenteuer im Internet bewusst. Wir wissen, dass die Websites für Erwachsene lieben und wir wissen über ihre Sexsucht bescheid und versuchen dann von den Leuten irgendwie Geld zu erpressen, geben Bitcoin Wallet an und versuchen halt irgendwie die Leute zu erpressen. Interessanterweise gibt es Leute, die sich dann da echt drüber Gedanken machen. Die bestreiten aber immer das, das kann eigentlich nicht sein, was die da sagen. Wer geübt ist im Erpressen, weiß natürlich, solange die keinen Beweis mit liefern, zahlen wir erst mal nicht. Wenn die Leute aber dann so mit dieser Art und Weise versucht werden, zu betrogen zu werden und das googeln, dann kommen sie direkt an den nächsten. Wenn man jetzt die Chaos-CC-Gruppe googelt, dann wird einem auf irgendwelchen Webseiten klargemacht, dass das sich um einen Trojaner handeln würde und man jetzt irgendeine komische nächste Schadsoftware runterladen soll und also quasi wie man diesen Schaden wieder entfernt. Das heißt, die Leute kommen ja echt vom Regen in die Traufe, so, aha, ich wusste, du willst gerne verarscht werden, hier hätte ich noch ein bisschen Snake-Eul für dich. Das heißt, die Welt da draußen für unsere ungeübten Nutzerinnen und Nutzer ist relativ gefährlich. Schauen wir uns mal an, wie das bei den Geübten aussieht. Die Linux-Curna-Mail-Liste ist vielleicht einigen von euch im Begriff. Da ist auch vor kurzem mal so eine E-Mail eingegangen, ja, am 31. Oktober 2018 schon etwas her. Da war mir sogar das Passwort angegeben, ja, das ist also so die nächste Level von diesem Scam, du schreibst einfach irgendein Passwort, liegt noch mit rein, die Leute kriegen einen Herzrasen, weil ihr Passwort in der E-Mail steht und auch hier wollte jemand eben von, wollte jemand Bitcoins haben, unter anderem von den Linux-Curna-Entwicklern. Bitcoin ist ja ganz schön, man kann ja in die Blockchain schauen, wie viel die Linux-Curna-Entwickler da so bezahlt haben. In dem Wallet befinden sich 2,98 Bitcoins, das sind vor ein paar Tagen noch ungefähr 19.000 Euro gewesen. Also soll mal einer sagen, mit Linux könnte man keinen Profit machen. Die E-Mail ging natürlich noch an sehr viel weitere außer der Linux-Curna-Mail-Liste, aber ich denke, man sieht hier, man fragt sich eigentlich, warum wir eigentlich den Quatsch, den wir machen, wenn wir so einfach uns Geld überweisen lassen könnten mit ein paar Spam-Mails. Geht aber noch weiter, Geld überweisen, Klassiker, der CEO-Fraud, ein großes Thema auch, also das eines der großen Szenarien, denen irgendwie mittelständische Unternehmen, größere Unternehmen ausgesetzt sind, kriegst eine E-Mail, wo dann irgendwie gesagt wird, wir müssen jetzt mal hier die Rechnung bezahlen, wir müssen das heute erledigen und wenn meistens sind das dann, also in der einen Schiene sind es dann halt eher so geringe Beträge, die jetzt vielleicht auch einfach mal durchgehen, geht aber natürlich auch innernummer schärfer, alles schon tatsächlich sehr häufig passiert, dass also so eine Geschichte gemacht wird, ja der große Deal mit den Chinesen steht irgendwie kurz bevor und du darfst jetzt mit niemandem darüber sprechen, aber du musst jetzt mal ganz kurz zwei Millionen auf diese Schellen überweisen und dann machen die Leute das und diese E-Mails arbeiten einfach so ein bisschen mit Autorität, Vertrauen, Eile und Druck und leiten Menschen an, dann das zu tun, was sie eigentlich nicht tun sollten. Das ist auf Anhieb erstmal vielleicht halbwegs witzig, wenn man da mal mit so Menschen spricht, dem das passiert ist, die haben danach echt schwere Krisen, weil sie natürlich wissen, dass das nicht besonders klug war und auch sehr schädlich für das Unternehmen und das ist eigentlich dann gar nicht mehr so unterhaltsam. Kommen wir zurück zu unterhaltsamen Sachen. Der Authentisierung. Eine Sache, die vielen Menschen Probleme bereitet, ist ihr Passwort und das Problem ist, dass sie eben auch nur eines haben und dieses sich dann in solchen Sammlungen wie Collection 1 bis 5 befindet, die ihr natürlich auch, wir alle haben die ja immer dabei und können dort die Passwörter nachschlagen, zum Beispiel 23, Bruno Bo 42, Tim Prittler weiß jeder. Das Schöne ist an diesen Listen, auch wir die Ahnung davon haben sollten, sind da drin. Wenn man meine E-Mail Adresse bei Hewain B. Pond eingibt, einer Webseite, wo man checken kann, ob eine E-Mail Adresse in Leaks vorhanden ist, findet man das auch bei mir. So, kommt später dazu, wie das vielleicht passiert sein könnte. Die Sache, die mich daran so ärgert ist, dass wir eigentlich seit es Computer gibt, dieses Passwort Problem nie so richtig angegangen sind. Wir sagen den Leuten eigentlich, okay, pass auf, denn Passwort darf nicht zu erraten sein, am besten zufällig ohne jegliches System. Es soll so lang wie möglich sein, am besten nicht nur ein Wort und es muss überall unterschiedlich sein. Und kein Mensch tut das. Wenn man bei letztens beim Zahnarzt, wenn man mit dem redet, der sagt einem auch jedes Mal, ja du musst aber morgens mittags abends Zahnseide, hast du nicht gesehen und sie ja ja genau macht, mach du erst mal überall andere Passwörter, dann können wir weiterreden. Und ja, das habe ich gemacht, so irgendwann habe ich das vor ein paar Jahren dann auch tatsächlich getan. Ich benutze jetzt den Passwortmanager, wissen wir alle, dass das klug und gut ist, aber ich renne eigentlich seit vielen Jahren um die Welt, erkläre den Leuten von diesem Passwortmanager und die Reaktion ist immer die gleiche, so was soll, das will ich nicht haben. Ja und wir haben einfach in dieser Welt nie mehr hingekriegt, als den Leuten zu sagen, benutzt doch ein Passwortmanager und dann fragen sie immer welchen und dann sage ich, ich empfehle keinen. Frage ist, wie kommen die Leute eigentlich an diese ganzen Passwörter? Klar, die machen entweder irgendwelche Services auf und holen die Passwörter dann aus den Datenbanken, wo sie nicht gehescht und gesortet gespeichert wurden oder sie schicken einfach mal eine E-Mail und fragen nach dem Passwort. Hier ein schönes Beispiel, das ich deshalb ausgewählt habe, weil ich darauf reingefallen bin. PayPal möchte mir in einer wichtigen Nachricht mitteilen, dass unser System einen nicht autorisierten Zugriff auf ihr PayPalkonto festgestellt hat, um ihre Sicherheit weiterhin vollständig gewährleistet zu können, klicken sie bitte auf diesen Knopf. Und das Schöne an solchen Dingern ist immer, es gibt in der Regel nur einen Knopf. Und das sollte einen eigentlich stutzig machen, genauso hätte mich stutzig machen sollen, dass da oben erstmal nicht PayPal in dieser Adressezeile steht. Aber ich war irgendwie müde und habe irgendwie darauf geklickt und jetzt kommt, was mir dann doch noch den Allerwertesten gerettet hat, mein Passwortmanager konnte mir kein Passwort für diese Seite anbieten. So, ich habe jetzt extra rausgenommen, welcher Passwortmanager das ist, diejenigen, die ihn trotzdem erkennen, nicht denken, dass ich ihn lobe, weil dieser Passwortmanager hat vor kurzem mein Update erfahren. Und wenn ich das gleiche Spielchen heute mache, dann sagt er, ich kenne die Seite nicht, aber vielleicht willst du da eine Kreditkarte oder deine Adresse eingeben. Herzlichen Dank so, auf dem Passwortmanager kann ich gerne verzichten. Wenn man sich so Fishing-Seiten anschaut, ich meine, es ist gar kein Hexenwerk, man nimmt einfach irgendeine Webseite, kopiert die auf einen anderen Server und programmiert sich dahinter ein kleines Backend, was alle Request entgegennimmt, die man da so hinschickt. Hier habe ich letztens mal eine sehr schöne bekommen, das war der Gmail-Webmail-Login. Aber die hatten eigentlich, ich fand das ganz elegant eigentlich, was die gemacht haben. Die haben quasi die Domain der E-Mail-Adresse noch als Get-Request mitgesendet und dann in ihrem Quelltext einfach das Favicon zu der Domain auf Google gesucht und dort eingeblendet. Das heißt, wenn ihr da eine andere Domain angibt, dann steht da immer ein anderes Logo, um einfach so diese Seite ein bisschen naheliegend dazu machen. Wenn wir uns das anschauen, die Erfolgswahrscheinlichkeit, die solche Massenmails haben, ist enorm gering. Die ist winzig klein, diese Mails werden millionenfach versendet an ganz viele Empfängerinnen und Empfänger und wenn man aber dann auch so viele Mails versendet und in so vielen Spam-Filtern hängen bleibt, dann findet man immer noch mal einen, der dann doch noch ein Passwort da einträgt und schon haben wir eine schöne Geschichte. Das ist jetzt irgendwie so ein Massen-Mail-Ding. Ich meine, ihr müsst nur in euren Spam-Foldereien schauen, da werdet ihr diese E-Mails finden. Blöd ist halt, wenn die mal irgendwann nicht im Spam landen. Wir haben da jetzt so ein bisschen über massenhafte Angriffe gesprochen, die zielen halt auf die Besten von uns ab. Wenn wir das Ganze aber mal gezielt machen, sprich mal nicht mehr vom Fishing, sondern vom Spearfishing und beim Spearfishing sendet man nicht Millionen E-Mails, sondern man sendet eine und zwar genau an die Person, von der man das Passwort haben möchte und man macht eine Geschichte, die genau zu dieser Person auch passt. Also häufig mache ich das ganz gerne so mit Passwort-Reset-Mails, also gibt es in vielen Unternehmen sehr kluge Idee. Alle Mitarbeiter müssen alle drei Monate die Zahl am Ende ihres Passworts um eins inkrementieren und den E-Mail-Login von den meisten Unternehmen muss man auch nicht besonders fälschen, den habe ich schon einmal fertig. So, wenn man solche Sachen macht, also Spearfishing, haben wir eher so eine Wahrscheinlichkeit von 30%, dass die Zielperson auf die Seite geht, ihr Passwort eingibt. Ich, das mit drei Personen mache, habe ich ein Business Case und vor allem habe ich in der Regel kein Spam-Filter, der mir im Weg ist. Ich kann wunderschöne Mail-Saver aufsetzen mit minimal anderen Domains, die machen D-Cyber, die machen alles, was du haben willst, die haben sogar ein schönes Letzten Crypt-Zertifikat auf ihrer Webseite, funktioniert und kommt in der Regel durch. Auf das Problem komme ich nachher noch mal zurück, denn das würde ich sehr gerne lösen. Aber auch beim Verbreiten von Schadsoftware ist das ein beliebtes Ziel, nicht irgendwie fette Zero Day Exploits zu verballern, sondern einfach mal den Leuten die Software anzubieten und zu gucken, wie sie die installieren. TRS hat mich da auf einen Tweet aufmerksam gemacht, der ist schon ein paar Jahre alt, aber er ist sehr wahr. Manchmal fühlt man sich als Altealer wie ein Schafstierte, allerdings sind die Schafe betrunken und brennen und klicken überall drauf. Von Ed Celilanda. Dann habe ich letztens mal, wer den Vortrag von TRS gesehen hat, sieht, dass wir da auch was mit einem Torrent gemacht haben. Da war ich hier bei den Drive-By-Exploit Paralympics, wo ich also auf eine Webseite gekommen bin, die mich auch sehr gedrängt hat, irgendetwas zu installieren. Ich müsste ein Update machen, irgendwelche komischen Plugins installieren oder so. Und die Leute machen das. Es ist regelmäßig, dass irgendwelche Leute bei mir sitzen und sagen, ja, hier, ich habe ein Virus, ja, wieso? Woher wissen Sie das denn? Ja, stand da. Und dann haben die halt irgendwie was installiert und dann merkt man so, dann haben sie gecheckt, dass das wahrscheinlich nicht klug war und dann haben sie am Ende irgendwie 86 Schadsoftwares drauf, die behaupten Schadsoftwares zu entfernen. Übrigens, genauso wurde auch der Staatstojana Finswey gegen die türkische Opposition eingesetzt. Die haben eine schöne Webseite gemacht und habe gesagt, ey, guck mal hier, klick mal hier drauf, könnt da runterladen. Wie gesagt, die Analyse hat Torsten zusammen mit Ulf Pohrmeyer heute morgen schon präsentiert. Da sind wir dann auch schon bei den, kurzer Applaus für Torsten. Da sind wir dann auch schon jetzt bei dem Problem, was seit ungefähr 2016 der Welt Ärger bereitet, nämlich die sogenannte ransomware. Funktioniert relativ einfach. Man kriegt eine E-Mail. In der E-Mail ist irgendein Anhang. In diesem Beispiel, das haben wir mal 2016 durchgespielt. Das war Locky, war es eine Rechnung. Und wenn ich jetzt diesen Anhang öffne, passiert folgendes. Es meldet sich das wunderschöne Programm Microsoft Word. Und Microsoft Word hat direkt zwei Warnmeldungen parat. Ihr seht sie dort oben in gelb und rot, auf dem Bildschirm. Die rote Warnmeldung ist die, dass es sich um eine nicht lizenzierte Version des Programmes handelt. Die habt ihr also entweder nicht oder ihr habt sie auch und habt euch schon dran gewöhnt. Die gelbe Warnmeldung ist die, die euch davor warnt, dass ihr gerade auf dem Weg seid, euch sehr, sehr in den Fuß zu schießen. Und diese Warnmeldung ist sehr einfach, verständlich. Seien Sie vorsichtig, Dateien aus dem Internet können Viren beinhalten. Wenn Sie diese Dateien nicht bearbeiten müssen, ist es sicherer in der geschützten Ansicht zu verbleiben und in konsistenter Formulierung mit diesem Satz ist daneben ein Knopf auf dem steht, bearbeiten, aktivieren. Versteht jeder sofort, was da gemeint ist, Gefahrenpotenzial ist sofort klar. Und wir haben wieder, genauso wie in dieser Paper-Fishing-Email, den wunderschönen riesigen großen Knopf. Und oben rechts in der Ecke, ganz klein. Es versteckt sich ein bisschen. Es flieht vor Eurer Aufmerksamkeit. Ihr habt es fast übersehen. Es ist ein klitzekleines graues Kreuzchen. Das wäre der Weg in die Sicherheit. Aber natürlich seid ihr darauf trainiert, diesen Knopf zu drücken, weil diese Warnmeldung kommt ja schließlich jedes Mal, wenn ihr Microsoft Word öffnet, weil irgendwelche Macros sind ja in fast jedem Word-Dokument drin, was in eurem Unternehmen so rumschwirt. Ist aber nicht schlimm. Es geht nämlich weiter. Microsoft Word hat direkt noch eine Warnung für euch. Hier ist sie nochmal. Sicherheitswarnung. Macros wurden deaktiviert. Inhalte aktivieren. Und wir sitzen jetzt also da in diesem Beispiel Locky vor einem leeren Blatt Papier. Ein leeres Blatt Papier ganz ohne Inhalt. Alles, wonach es uns durstet, sind Inhalte. Also drücken wir auf Inhalte aktivieren. Und ich habe jetzt mal hier auf dem Desktop so ein paar Dateien drappiert, die dort so liegen. Und wenn ich jetzt auf den Knopf drücke, passiert folgendes, die sind weg. Das Macro, was in diesem Word-Dokument ist, lädt über einen einfachen Get-Request eine exte Datei runter und führt in dem Fall Locky aus. Locky rasiert einmal durch die Festplatte. Verschlüsselt alle Dateien. Und wenn er fertig ist, sagt er übrigens, deine Dateien sind jetzt verschlüsselt. Und wenn Leute verschlüsselt hören, dann sagen die immer, ja aber kann man das nicht irgendwie wieder entschlüsseln? Deswegen steht hier auch direkt, nein, kann man nicht. Es wäre total unsinnig, wenn wir Dinge verschlüsseln würden, die man einfach wieder entschlüsseln könnte. Deswegen haben wir das richtig gemacht. Und dann haben die hier so eine schöne Webseite gehabt und da wurde dann eben erklärt, wohin man wie viel Bitcoin überweisen muss. Locky war dann noch relativ großzügig. Die haben die Daten wiederherstellung für 500 Euro damals gemacht. Locky war also die erste große Ransomware-Welle. Es wurde überall davor gewarnt, Rechnungen zu öffnen. Die Balanzen der Unternehmen hat das kurzfristig echt verbessert. Aber die Balanzen der Angreifer nicht. Woraufhin dann weitere E-Mails kursierten? Die sahen ungefähr so aus. Hallo, hier ist das Bundeskriminalamt. Passen Sie bitte auf mit Locky, weil uns immer mehr Leute gefragt haben, wie man sich davor schützt, haben wir einen Ratgeber vorbereitet. Den finden Sie im Anhang. Und der ganze Spaß ging wieder von vorne los. Locky war 2016. Wir haben vor kurzem mal einen Blick darauf geworfen, wie das so bei Gantcrab aussieht. Das war jetzt eine Ransomware von einer, ja, ich komme gleich darauf, wo die Jungs herkamen, von einer Gruppierung, die sich vor kurzem zur Ruhe gesetzt hat, mit den Worten sinngemäß. Wir haben gezeigt, dass man viele Millionen mit kriminellen Dingen verdienen und sich dann einfach zur Ruhe setzen kann und wir ermutigen euch auch so einen schönen Lebensstil zu pflegen. Wir sind jetzt erstmal im Ruhestand. Wenn man sich bei denen das Gleiche durchgemacht hat, landet man auf so einer Seite über sehr schön, haben sie erst mal auch wieder mit sehr vielen psychologischen Tricks gearbeitet. Hier oben steht zum Beispiel, wenn du dich bezahlst innerhalb von einer Woche, dann verdoppelt sich der Preis. Das haben die sich bei booking.com abgeguckt. Dann erklären sie wieder, okay, du kannst, es ist verschlüsselt, kriegst du nur von uns zurück und dann haben sie einen schönen Service hier, free decrypt. Du kannst eine Datei dorthin schicken und die entschlüsseln sie dir und schicken sie dir zurück, um zu beweisen, dass sie in der Lage sind, die zu entschlüsseln. Ja, die sind also in gewisser Form eherbare Kaufmänner. Man fixt einmal an, zeigt, dass man die Dienstleistung erbringen kann und die haben auch einen Chat. Wir haben hier unten so einen Kundenberatungs-Chat. Wir saßen irgendwie in geselliger Runde mit unserer WindowsVM, die wir jetzt gerade gegent crept hatten und haben dann so gedacht, ach komm, ey, jetzt chatten wir mal mit denen. Und haben uns so ein bisschen doof gestellt, ne so, hello, wer kenne ich bei so Bitcoin? Dann haben die uns dann irgendwelche Links geschickt, wo wir Bitcoin holen wollen. Dann haben wir gesagt, es ist auch irgendwie voll anstrengend, können wir nicht einfach eine SEPA-Überweisung machen. Wir zahlen auch die Gebühren, ist okay, ne? Und dann haben wir so, als uns nix mehr einfiel, sagte ich zu meinem Kumpel, der daneben saß, Vladimir. Ich sagte, ey, Vladimir, frag dir doch mal, ob die russisch können. Konnten sie? Und der Antwort war auf jeden Fall so, na klar. Und interessanter Weise haben die auch sofort in kürilisch geantwortet. Ja, man kann ja russisch auf zwei Seiten, auf zwei Arten schreiben. Man sieht uns hier an der deutschen Tastatur und die Jungs mit den kürilischen Schriftzeichen. Und die waren auf einmal sehr interessiert, so ey, du bist russisch und so, ma, wie bist du denn infiziert, wie kann das denn sein, dass du infiziert wurdest? Hier steht doch, du bist in Deutschland. Und dann fragten die wir so, ja, du bist auch in Deutschland und so, na und dann sagten wir so, ja, ich arbeite für Gasprumen. Die wurden immer freundlicher und schrieben uns dann diesen folgenden Satz, den habe ich mal für euch in Google Translate gekippt. Der lautet ungefähr so, mach bitte ein Foto von deinem Pass. Du kannst gerne die sensiblen Daten mit deinem Finger abdecken. Ich brauche nur einen Beweis, dass du Bürger Russlands bist. Dann stellen wir dir die Daten kostenlos wieder her. Also manchmal ist IT-Sicherheit auch einfach nur der richtige Pass, ne. Tatsächlich hatte Gantt Crab Routinen drin, die gecheckt haben, ob die Systeme zum Beispiel russische Zeitzone oder russische Schriftzeichen standardmäßig eingestellt haben, um zu verhindern, dass sie russische Systeme befallen, weil die russische IT-Sicherheitsaußenpolitik ungefähr so lautet, liebe Hacker, das Internet, unendliche Weiten. Ihr könnt da drin hacken, wie ihr wollt und wir liefern euch ähnlich aus, aber wenn ihr in Russland hackt, dann kommt ihr in russischem Knast. Und selbst russische Hacker wollen nicht in russischem Knast, deswegen sorgen die dafür, dass sie ihre Landsmänner nicht infizieren. Vare Patrioten. Der Brian Crabs hat nachher diese Gruppe auch noch enttarnt, hat einen superinteressanten Artikel darüber geschrieben, war so ein paar Wochen eigentlich, nachdem wir diese kleine lustige Entdeckung gemacht hatten. Ihr wisst natürlich grundsätzlich das Motto jedes Congress kein Backup, kein Mitleid. Das heißt ihr müsst natürlich euch gegen solche Angriffe dadurch schützen, dass ihr Backups habt und dann nicht bezahlen müsst. Aber was ich spannend finde, ist dieser Angriff mit den World-Marcos, die funktionieren seit 1999. Da war das Melissa-Virus, irgendwie die große Nummer. Markus gab es schon früher in World, aber 99 mit Internetverbreitung und so, ging das irgendwie ordentlich rund. Und wir sind da keinen einzigen Schritt weiter gekommen. Jeden anderen Back, jedes andere Problem, was wir haben, lösen wir sofort. Dieses halten wir einfach nur aus und tun überhaupt nichts daran. Also habe ich mir überlegt, gut, dann schauen wir uns mal an, warum funktionieren diese Angriffe eigentlich? Und dafür gibt es Prinzip zwei Erkläransätze, die ich euch vorstellen möchte. Der eine ist eben individual psychologisch, der andere ist organisationspsychologisch. Daniel Karnemann hat einen Nobelpreis in Wirtschaftswissenschaften, glaube ich, dafür bekommen, dass er sich darüber Gedanken gemacht hat, wie Menschen denken, Thinking Fast and Slow, großer Bestseller und so weiter. Der postuliert im Prinzip, wir haben zwei Systeme in unserem Gehirn. Das erste System arbeitet schnell und intuitiv und automatisch. Also Standardhandlungsabläufe. Ihr müsst nicht nachdenken, wenn ihr zu Hause aus der Tür geht und die Wohnung abschließt. Das passiert einfach. Da werden keine Ressourcen des Gehirnes draufverwendet, jetzt nachzudenken, dreht man den Schlüssel rechts, links rum, ist das überhaupt der Richtige oder so? Eigentlich sehr faszinierend. Ich habe einen relativ großen Schlüsselbund und ich bin echt fasziniert, wie es meinem Gehirn gelingt, ohne dass ich darüber nachdenke, den richtigen Schlüssel einfach aus der Tasche zu ziehen. Das ist System 1. Und das ist aktiv, primär bei Angst, wenn wir also schnell handeln müssen, Flucht, Reflex und solche Dinge, oder bei Langeweile, wenn wir wie immer handeln müssen. Und genau diese ganzen Fishingszenarien zielen auf eine dieser beiden Sachen ab. Entweder uns ganz viel Angst zu machen oder einen Ablauf, den wir antrainiert haben und aus Langeweile automatisiert durchführen, auszulösen. Demgegenüber steht das System 2. Das ist langsam analytisch und dominiert von Vernunft. Und ja, die Angreifer nutzen natürlich Situationen, in denen sie auf System 1 setzen können. Warum ist das ein Problem? Wenn wir Leuten versuchen zu erklären, wie sie sich gegen solche Angriffe schützen sollen, guckt darauf, achte darauf und so weiter, dann erklären wir das System 2. Und System 2 versteht das auch, genau wie ich verstanden habe, dass ich eigentlich nicht auf irgendwelche Paypal Scams klicken soll. Aber wenn ich gelangweilt vom Computer sitze und überlege, wo ich als nächstes hinklicken soll, dann suche ich mir halt den nächsten großen Button und klickt darauf. Organisationspsychologie finde ich das eigentlich sehr viel interessanter, weil warum kümmert sich eigentlich niemand um dieses Problem? Wir genügen uns damit, irgendwie unseren IT-Parimeter zu haben. Wir bauen dann eine Schranke drum, bauen eine Firewall hier und hast du noch gesehen, hier noch irgendein Snake Oil und so. Und der technische Angriff ist eigentlich ziemlich schwierig. Wenige Menschen können technische Angriffe durchführen und unser Schutz dagegen ist enorm gut. Wir haben granular definierte Reife, wir können messen, wenn du dieses oder jedes Checkmark nicht hast, bist du schlecht oder so. Und dann sitzen an dem Computer Administratorin und Angestellte und arbeiten mit diesen Daten. Und die schützen wir irgendwie nicht. Wir machen uns auch gar keine Gedanken darüber, die mal zu Härten oder zu Pentesten. Dabei ist der Angriff über Social Engineering viel einfacher und einen Schutz haben wir dem aber nicht gegenüber. Und jetzt tritt der ganz normale Prozess des Risikomanagements ein und der sieht ungefähr so aus. Das Risiko wird wahrgenommen, das Risiko wird analysiert und in diesem Fall wird das Risiko dann eben ignoriert. Und so sitzen wir jetzt seit 20 Jahren da und es fliegt ein Makro nach dem anderen um die Ohren. Wie heißt diese Uni da? War das jetzt Göttingen oder Gießen? Göttingen kommt auch noch dran, keine Sorge. Und wenn diese Risiken gemanagt werden, dann muss man sehen, Management bedeutet, die Verantwortung zu tragen und deshalb alles dafür tun zu müssen, nicht zu Verantwortung gezogen zu werden. Und eben auch nicht mehr als das zu tun. Das heißt, wir versuchen also die Probleme zu lösen, die wir können. Und die anderen, was kann ich dafür, wenn der Nutzer falsch klickt? Wohin uns das gebracht hat, können wir jetzt eben bei den verschiedenen Unternehmen beobachten. Deshalb habe ich mir gedacht, okay, wie kann man dieses Problem denn mal lösen? Welche Gegenmaßnahmen sind wie wirksam? Also was funktioniert, um Menschen das abzugewöhnen oder die Wahrscheinlichkeit zu verringern, dass sie auf solche Sachen draufklicken? Und welche UI und UX Faktoren machen weniger verwundbar? Weil es gibt ja, es sind ja quasi immer die gleichen Prozesse, die ausgenutzt werden. Und auf der anderen Seite, die Optimierungsdimensionen, einmal die Resistenz nicht zu klicken und dann in so einem Unternehmenskontext halt, du musst es melden. Du musst der IT Bescheid sagen, damit die irgendwelche Gegenmaßnahmen ergreifen kann. Ich zeige euch jetzt mal die Ergebnisse von zwei Beispielstudien, die wir in dem Bereich durchgeführt haben. Ich bin sehr bemüht, die so anonymisiert zu haben. Also sollte hoffentlich nirgendwo mehr erkennen, was mit welchem Unternehmen das war. Das erste war in Asien. Da haben wir das mit 30.000 Personen gemacht, vier Fishing-Durchläufe und es gab so ein Lernvideo, in dem das auch noch mal erklärt wurde. Und wir haben erfasst, wie oft das dann zum Beispiel der IT gemeldet wurde, dass dieser Angriff stattgefunden hat. Und wir haben erfasst, ob die Leute auf diese Fishing-Nummer reingefallen sind. Und was wir dort eigentlich herausfinden wollten, war, es ging eigentlich darum, wie wir in diesem Unternehmen regelmäßig die Menschen trainieren, dass sie nicht auf solche Sachen draufklicken. Also haben wir uns einen Versuchsplan gebaut und haben gesagt, okay, welche Kommunikationsmöglichkeiten haben wir? Eher gut, wir können den E-Mailer schicken, also Spam vom eigenen Unternehmen. Wir können Poster in Flur hängen, wir können beides machen, wir können nichts machen. Wir können außerdem den Leuten so einen Online-Kurs anbieten und die danach einen Quiz machen lassen. Auch da konnten wir den Online-Kurs einmal mit einem Text und einmal mit einem Video. Meine Hypothese war, das Video bringt es den Leuten wahrscheinlich besser bei. Und dann haben wir quasi, weil wir genug Leute hatten, eben dass alles quasi vollständig permutiert, sodass wir alle Effekte einzeln messen konnten und nachher die Gruppen vergleichen konnten. Dann haben wir sie einmal gefischt und in dem Fishing gab es dann nachher eine Aufklärung. Also wenn die ihr Passwort eingegeben hatten, kam entweder ein Text, der ihnen gesagt hat, ey, das war jetzt gerade schlecht oder ein Video, was ihnen erklärt hat, das war jetzt gerade schlecht oder beides Text und hat unten ein Video oder umgekehrt. Und dann haben wir nochmal ein Fishing gemacht. Und jetzt werde ich grün markieren die Dinge, die tatsächlich einen Effekt hatten. Alles was vorne stand, E-Mailer, alles was man den Leuten erklärt, alles was System 2 anspricht, hat überhaupt keinen Effekt gehabt. Ihr könnt die Leute irgendwelche Quizse ausführen lassen und Online-Kurse und so wie sie wollen, verdienen einige Unternehmen auch gutes Geld mit, hat aber keinen Effekt. Was ein Effekt hatte, war ob die gefischt wurden oder nicht und es war etwas besser, wenn sie ein Video dazu gesehen haben. Und das ist genau deshalb, weil wenn sie tatsächlich gefischt werden, dann haben sie eine Lernerfahrung, wenn System 2 aktiv ist. Ja, das Video war so ein rotes Blinken, Achtung Gefahr, du hast etwas falsch gemacht. Ich will noch kurz zu dem Ergebnis kommen bei der ersten Erfassung. Wir haben zunächst eine Erfolgsrate von 35 Prozent gehabt. 55 Prozent haben die E-Mails ignoriert und 10 Prozent haben auf der Fishingseite abgebrochen. Also die haben vielleicht noch mal irgendwie, sind noch mal zu Besinnung gekommen oder so. Und mein damaliger Kollege meinte, das kann hier gar nicht sein, so, da muss ein, da muss viel mehr gehen, so schlau sind die da nicht. Guck mal, guck mal, ob die die E-Mails überhaupt geöffnet haben. Ja, also gelesen haben. Wir hatten nämlich ein kleines C-Pixelchen in der E-Mail und ich konnte quasi feststellen, ob die die E-Mail überhaupt geöffnet haben. Wenn wir die Zahl korrigiert haben und diejenigen rausgenommen haben, die die E-Mail nie zu Gesicht bekommen haben, war die Erfolgswahrscheinlichkeit 55 Prozent. Wir hatten dann noch ein weiteres Problem an der Backe, weil wir hatten jetzt an 30.000 Leute eine E-Mail geschrieben und als Absender angegeben, wir wären der IT-Support. Es gibt darauf verschiedene Reaktionen. Erst mal haben wir relativ viele E-Mails bekommen, wo die Leute sagten, ich will ja mein Passwort ändern, aber da kommt immer dieses Video und dann hatten wir Leute, die noch Monate später der unsäglichen Praxis nachhängen, wenn sie immer mein E-Mail schreiben wollen, dass sie einfach suchen, weil sie letzten Mal von dem die E-Mail gekommen haben und auf den Thread antworten. Das heißt, wir waren das nächste halbe Jahr damit beschäftigt, IT-Support zu machen. Okay, Ergebnis zusammengefasst, diese ganzen Awareness-Maßnahmen hatten keinen praktisch relevanten Effekt. Die Selbsterfahrung hatte einen starken Lerneffekt und der ging teilweise sogar über das Erwartbare hinaus. Leider aber sind die Lerneffekte sehr spezifisch. Das heißt, die Leute lernen, wenn eine Passwort-Reset-E-Mail kommt, darf ich da nicht draufklicken. Wenn du den aber danach schickst, gib mal deine Kreditkartennummer an und dann sagen, ja klar, kein Problem. Und auch das Szenario. Wir haben dann nachher noch andere Social Engineering-Maßnahmen gemacht und es gab jetzt keine abfärbenden Effekte von du hast mit den Fishingen bis zum Erbrechen geübt, dass die jetzt irgendwie bei bei USB-Sticks vorsichtiger werden oder so. Das heißt, das ist relativ unschön. Außerdem sind die Effekte nicht stabil. Das heißt, du hast ein Lerneffekt so in den ersten drei Monaten und dann nimmt er wieder ab. Das heißt, nach einiger Zeit, wenn du es nach einem Jahr wieder machst, hast du genau wieder deine 35 bis 55 Prozent, die du vorher hattest. Also wir können dieses Problem irgendwie versuchen, niedrig zu halten, aber auf diesem Weg nicht aus der Welt schaffen. So dachte ich, bis ich dann meine zweite Beispielstudie gemacht habe, die ich euch hier vorstellen möchte. Die war international in mehreren Sprachen, Englisch, Deutsch, Spanisch und zwei weiteren Sprachen, 2000 Zielpersonen, vier Durchläufe, Video war ein bisschen länger. Und das erste Ergebnis war, ich habe erfasst, quasi wenn die Leute gemeldet haben und die IT dann reagiert hätte, wie viele erfolgreiche Angriffe danach hätten verhindert werden können. Und das Interessante ist, dass bei den meisten Standorten fast über drei Viertel der weiteren Angriffe, die danach noch passiert sind, hätten verhindert werden können durch eine schnelle Meldung. Das heißt, es ist gut für eine IT, ihre Leute zu ermutigen, sich bei ihr zu melden und irgendwie Bescheid zu geben. Das andere Ergebnis bei diesen Leuten war, beim ersten Durchlauf hatten die eine Fishing-Erfolgsrate von 10 Prozent. Und ich war etwas unglaublich und habe mich gefragt, wie kann das denn sein? Ich hatte auch vorher ein bisschen große Fresse gehabt und jetzt hatte ich gesagt, 30 Prozent mache ich euch locker, aber kein Thema. Und dann seht ihr irgendwie 10 Prozent da, die sagt dann auch so, ja, wolltest du nicht mehr? Tja, was haben die gemacht? Die hatten zwei Dinge anders als viele andere Unternehmen. Erstens, die hatten ihre E-Mails mit so einem kleinen Hinweis versehen, der in den Subject reingeschrieben wurde bei eingehenden E-Mails, dass die E-Mails von extern kommt. Und das andere, was in diesem Unternehmen anders war, ist, die haben ihren Passwortwechsel nicht über das Web abgebildet. Das heißt, die Situationen, die ich die Menschen da gebracht habe, ey, hier ist eine Webseite, gebt mal dein Passwort ein, die warten, die nicht gewöhnt. Und deswegen sind die aus dem Tritt gekommen, haben auf einmal mit ihrem System zwei arbeiten müssen und haben den Fehler nicht gemacht. Wenn wir uns die Ergebnisse weiter anschauen, ich hatte ja gesagt, es waren vier Durchläufe. Der zweite und der vierte Durchlauf waren jeweils nur mit denen, die in dem vorgegangenen Durchlauf quasi gefischt wurden. Das heißt, wir haben den noch mal so eine harte Auffrischung gegeben. Man sieht auch, da gibt es einige sehr renitente Fischklicker. Wir haben dann mal unter kompletter Missachtung sämtlicher datenschutzrechtlichen Vereinbarungen geguckt, wer das war. Und das waren die Funktions-Accounts, also einfach die, wo man, wo das Passwort irgendwie, wo es quasi zum Job gehört, irgendwie mit dem Post-it das neue Passwort an den Bildschirm zu kleben. Das Interessante ist, wenn wir uns dieses Ergebnis anschauen, also vom ersten zum zweiten Durchlauf und so weiter, haben wir insgesamt einen Rückgang um 33 Prozent erzielt. Entschuldigung, das ist falsch, um 66 Prozent, ich Idiot, 66 Prozent. 33 Prozent blieben über, also einen Rückgang auf 33 Prozent. Das ist eigentlich enorm gut. In der Psychologie glaubt mir das eigentlich kaum jemand, wenn man sagt, hier, ich habe eine Intervention nach einmaliger Intervention, Verhaltensänderung bei zwei Drill der Leute. Wer wir uns das für die Sicherheit unseres Unternehmens anschauen oder unserer Organisation, ist das ein riesiges Disaster, weil die 33 Prozent sind ja immer noch ein riesiges Problem für uns. Aber Zusammenfassung durch diesen lokalen Passwortwechsel und den Hinweis external sind die Leute in eine ungewohnte Situation gekommen und die Wahrscheinlichkeit, dass sie darauf reinfallen, geht runter. So, also das haben wir bis jetzt gelernt. Okay, das theoretische Lernen ist ohne Effekt. Es zählt die Erfahrung aus erster Hand. Es gibt abstrakte Verteidigungskonzepte, die verstehen die Leute nun mal einfach nicht. Bisher ist alles, was wir dafür haben, eine anschauliche Detaktik. Die Lerneffekte nehmen mit der Zeit ab, deswegen muss was regelmäßig wiederholen. Die Lerneffekte werden nicht generalisiert, also müssen wir die Angriffsszenarien variieren. Und wenn die Leute das nicht melden, haben wir ein Problem. Deswegen müssen sie außer dem ermutigen und belohnen, wenn sie bei der IT anrufen. Für die meisten Organisationen auch eine völlig absurde Idee, wenn jemand bei ihnen anruft, dann auch noch Netze denen zu sein. Hat aber durchaus Effekte. So, wenn wir uns aber jetzt mal diese Situation anschauen, dann ist doch eigentlich unser Ziel zu sagen, okay, dann müssen wir Situationen unserer IT-Systeme so bauen, dass sie dafür nicht anfällig sind, dass wir irgendwelche automatisierten Prozesse lernen, die Sicherheitsprozesse sind. Also vielleicht sollte das User-Interface nicht so sein, wie diese frische Installation von MacOS Catalina, sondern anders. Denn wir können uns nicht auf System 2 verlassen, aber die meisten Schutzmaßnahmen tun genau das. Also Microsoft Word erklärt einem irgendwas und sagt dann, jetzt bist du dein Problem, wenn du nicht verstehst, wovon wir hier reden. Den Rest, der hier passiert, um dich herum an diesem Computer verstehst du auch nicht. Hier ist ein Knopf, drück drauf. So können wir nicht 20 Jahre agieren und sagen, wir kriegen das Problem nicht in den Griff. Es gibt eine Möglichkeit übrigens dieses Problem mit Microsoft Word in den Griff zu kriegen und das ist, Macros zu deaktivieren. Dann kommt der Geschäftsbetrieb zum Erliegen. Oder Macros zu signieren. Ganz einfaches Code-Signing auf Macros geht, kann man per AD-Gruppenrichtlinie ausrollen. Ich habe mal mit einem IT-Sicherheitsbeauftragten eines etwas größeren Unternehmen gesprochen. Das war eines der wenigen Unternehmen, die das jemals gemacht haben, also die ich kenne, die das jemals gemacht haben. Der meinte so, ja, okay, also hat ein Jahr gedauert, ich habe jetzt weiße Haare und eine halb Glatze, aber ich bin froh, dass ich das Problem endlich aus der Welt habe. Und das ist der einzige Mensch, der das geschafft hat. In seinem Unternehmen verhasst, ja, aber er ist eigentlich ein Held, ja, also dem Mann muss man echt danken. Und was wir also machen müssen ist, wir müssen unser System eins sichern, intuitive Handlungen müssen als Teil der Sicherheitsmechanismen antizipiert werden. Also wir dürfen den Nutzer nicht angewöhnen, Passwörter in irgendwelche Browserfenster zu tippen. Wir dürfen Sicherheitsprozesse nicht per Mail oder Browser abbilden und wir können uns auch mal überlegen, ob wir die freie Wahl von Passwörtern vielleicht einfach unterbinden, damit nicht überall Passwort 1, 2, 3 gesetzt wird. Es wird langsam besser, so man kann Makro signieren und deaktivieren, man kann Software langsam einschränken aus vertrauenswürdigen Quellen, also aus den Appstores. Ich weiß, da gibt es dann wieder andere politische Probleme, aber aus einer reinen Sicherheitsperspektive ist das gut, wenn Leute nicht irgendwelche runtergeladenen Echsen aus dem Internet irgendwie anklicken und irgendwelche Makros ausführen. Und mit Fido 2 und hardwarebasierten Authentizierungsmechanismen wird es langsam besser. Zwei Faktor Authentisierung hat einen großen Vormarsch. Also die Welt ist nicht ganz so schlecht, wie wir es glauben, aber ich würde mir sehr wünschen, dass wir mit unseren Sicherheitsmechanismen einfach viel mehr auf die Intuitivität setzen, denn wenn wir uns mal anschauen, wie diese Browser-Warnungen irgendwie Achtung mit dem Zertifikat stimmt, was nicht, ungefähr so. Die hat, glaube ich, bis sie dann irgendwann weg waren, weil Let's Encrypt gekommen ist und es einfach mal vernünftige Zertifikate gab. Die hat auch nie jemand verstanden und entsprechend haben wir hier auch quasi ein wunderschönes SSL gehabt, was am Ende daran gescheitert ist, dass wir scheiß User-Interface ist dafür hatten. Inzwischen ist es so, dass Browser die Verbindungen einfach nicht herstellen. Auch das ist ein Zugewin. Ja, ich habe schon überzogen. Das war's. Macht bitte eure Backups. Wechselt überall eure Passwörter. Ich schicke euch dazu nachher noch meine E-Mail und vielen Dank. So, das war doch in gewohnter Manier-Unterhaltsam. Und ich frage mich, wenn Linus Zahnarzt jetzt ein Passwortmanager benutzt, benutzt Linus jetzt dreimal täglich Zahnseile. Ich habe mir gerade noch die Zähne geseidet, habe ich tatsächlich. Also macht immer schön eure Backups und benutzt Zahnseile.