 Guten Abend alles zusammen. Der nächste Talk ist, das sind nicht die APTs, die sind nicht die Spionne nach denen ihr sucht. Wir hören über die bösen Jungs im Internet, wie sie sich verhalten, wie sie ihr Verhalten anpassen, wenn wir nach ihnen suchen, wie man, wenn man ihre Verteilung gegen sie verbessert. Wir haben hier Inbar Rawitz und Gadi Evron, die uns ein bisschen Infos darüber geben. Vielen Dank. Und Slides, Folien. Jungs, wir haben angefangen. Wir haben angefangen. Egal. Die werden das reparieren. Gadi wird sie unterstützen. Willkommen zu unserem Vortrag. Das sind nicht die Spionageberichte nach denen ihr sucht. Das ist nicht das erste Mal, dass ich ohne Präsentation spreche, also kein Problem. Grundlegend sprechen wir über wie Spionageberichte meistens den Verteidigen helfen, sondern tatsächlich den Angreifern helfen. Wenn wir sagen Verteidiger, dann meinen wir nicht Mellwer-Untersucher, die wissen, wie das funktioniert. Die kennen das. Auch diese Präsentation ist nicht technisch, wenn ihr jetzt hier Screenshots von Ida sehen wollt und so weiter. Das gibt es hier nicht. Geh weg, wenn ihr Shellcodes sehen wollen. Mellwer-Researcher, Crypto-Researcher, das ist nicht für euch. Danke, Gadi. Das sind nicht die Spionageberichte nach denen ihr sucht. Kurze Vorstellung. Ich bin Inba. Das ist Gadi. Wir sind hier. Ich benutze meine Teilhaut ohne. Wir möchten den Angreifernprozess vereinfachen. Wir möchten zeigen, wie manche Spione sich verbessert haben über die Jahre. Wir sagen, dass es so eine Art Informationsvorsprung gibt für den Angreifer gegenüber den Verteidiger. Das ist nur so eine kleine Tradition. Ich werde meine Schuhe ausziehen, weil ich mich dann besser fühle. Das ist für David von Kaspersky. Also, kleine Vorstellungen. Wir sind Israelis. Wenn ich letztes Jahr mit Tilman gesprochen habe, habe ich ihn unterbrochen. Wir haben zusammen geredet. Als Israelis unterbrechen wir uns die ganze Zeit. Das ist einfach so bei uns. Ich werde dabei bleiben. Also, schauen wir uns mal diese Geschichte an. Wir schauen uns zäferere Geschichten an über Spionage und ihre Entwicklung, wie man das, sozusagen wie man sich anpasst, wie die sich anpassen. Aber bevor wir das machen, ein paar Beispiele. Warum sind wir in das Ganze reingekommen? Wir hatten immer irgendwelche Melwe, irgendwelche Schadprogramme, aber dann hatten wir die Spionagegruppe Nummer 1. Wir hatten Security Leute, die gesagt haben, warum ist das in der Presse? Wo kommt das her? Das war das erste Mal, dass jemand einen vorgestellt hat, was Spione machen. Mendient hat gezeigt, was diese Jungs machen. Hat ihn die Hosen untergezogen. Mendient hat sogar ein Bild gezeigt, ihrer Büros. Das war total cool. Und jetzt hatten wir einen Beleg, dass es sowas tatsächlich gibt. Und das hat natürlich die Bösenjungs, sozusagen verändert. Aber das ist natürlich wahnsinnig die einzigen, müssen die jetzt ihre ganze Infrastruktur neu bauen und alles, was wir benutzt haben, ist weg. Dann gibt es natürlich andere Kampagnen, also Spionagekampagnen, nämlich Stuxnet und Flame. Stuxnet war sehr groß, aber 500 Kilobyte für ein ganz bestimmtes Ziel. Nur für die Zentrifikogen in iranischen Einrichtungen. Auf der anderen Seite habt ihr Flame. Es ist riesig, 20 Megabyte. Alles, was man irgendwie braucht, ist da drin. Alles, was man irgendwie da reintut, das wird natürlich verloren, wenn diese Melvia reversed wird. Wenn jetzt die Gruppe 1 ihre ganze Infrastruktur ersetzen musste, also was hatten die Jungs gemacht, die sowas wie Flame geschrieben haben, die 20 Megabyte an Funktionen verloren haben. Das ist absurd. Wie entwickeln die sich? Wie gehen die damit um? Wie gehen die Täter? Wie passen die sich an? Schauen wir uns mal die Beispiele an. Gauss, das war intelligent, auch sehr gezielt. Es würde nur auf ganz bestimmten Maschinen ausgeführt. Es war ziemlich komplex. Ich versteh es nicht. Vielleicht habt ihr es verstanden? Sehr interessant. APT3, eine Melvia namens Perpi. Wie viele andere? Sie haben zuerst ein Dropper, ein Installationsprogramm. Dann kommen der lädt sozusagen die coolen Tools nach. Dann gibt es Rocketkitten. Wir haben mit Tim drüber gesprochen und andere Leute haben drüber berichtet. Die haben Standard Tools, wenn die mal einfach kaufen können, wie sie die angepasst haben. Also, was ist operative Sicherheit? Schauen wir uns mal kurz operative Sicherheit an. Was ist das? Erstes mal, warum brauche ich das? Was erreiche ich damit? Erstens, wir wollen Erfolg haben. Man hat eine Aufgabe, die man erfüllen muss. Information klauen, irgendwas sabotieren. Du möchtest etwas tun, wenn man durch den ganzen Aufwand gemacht hat. Und dann möchte man natürlich nicht erkannt werden. Erkennung ist schlecht für mehrere Gründen, auch für deinen Ruf. Und vielleicht wird deine Aufgabe nicht mehr lösbar. Und das All der Wichtigste ist, du willst die Zuordnung verhindern. Es ist gar nicht mal so lange her, dass man damit arbeitet. Wir möchten natürlich nicht identifiziert werden, wenn wir das Böses tun. Das gibt es auch in anderen Prozessen. In Softwareentwicklungen. Du erwartest, wenn du was designt, dann hast du die Absicht. Du möchtest eigentlich ähnliche Ziele sozusagen haben. Aber wann ist OPSEC geschlagen? Wann funktioniert die operative Sicherheit nicht mehr? Operative Sicherheit gegen Kosten. Das braucht natürlich Zeit. Du musst investieren. Du musst irgendwelche Tricks dir ausdenken, um zu entwickeln. Du musst sehr vorsichtig sein, langsam vorgehen. Ich kann durch einen Metalldetektor laufen. Aber es gibt bestimmte Detektoren, durch die man ganz, ganz laufen. Langsam läuft. Die tun dann nicht klingeln und das ist natürlich für alle sehr überraschend. Echtes Story. Wir haben das getestet. Skalierung. Manchmal musst du deine Aufgabe skalieren lassen. Das heißt, dann gibst du ein bisschen operative Sicherheit auf. Was passiert, wenn die Verteidiger einen Sample erwischen, also eine Backdoor, und dann natürlich der einfache Einsatz. Vielleicht möchtest du die gleiche C2-Infrastruktur verwenden. Vielleicht möchtest du die gleichen Verteilungsmechanismus verwenden. Wenn dieser Verteilungsmechanismus erkannt wird, dann hast du natürlich ein Problem. Das ist eine Verallgemeinerung. Der ganze Vortrag ist Verallgemeinerung. Wir möchten an der bestimmten Art von Geschichte folgen. Wir nehmen natürlich Feedback an. Die meisten Spionageberichte zeigen eine Art Fehler in der operativen Künfte. Es wurde jemand erwischt. Jemand hat verstanden oder erkannt, was da passiert. Was wir sagen wollen ist, du musst deinen Gegner kennen als Verteidiger. Du kennst den Angreifer aber nicht immer. Wenn das ganze Länder machen, die werden dir nicht sagen, was bei ihnen funktioniert, was nicht. Also, was wir versuchen, rauszufinden, was der Angreifer denkt. Das Hacking Team ist ein gutes Beispiel. Wir hoffen, dass niemand von Hacking Team da ist. Aber man hat sie erwischt. Man hat ihre kompletten E-Mails gekriegt. Wir haben also sehr viel Informationen über sie. Wir können ihre E-Mails lesen, wie der Report sagt. Ihre wichtigste Sorge war, nicht wieder erwischt zu werden. Das ist natürlich schlecht für ihr Geschäft. Wenn es aber auf ganze Länder kommt, dann gibt es solche Informationen nicht. Also, versuchen wir rauszukriegen, wie das ist. Hacking Team war nur der Letzte. Und wir werden anschauen, wie dir Angreifer drüber nachdenken. Und hier ist ein Problem. Many Spionage-Reports sind einfach schlecht. Sie sind schlecht. Versuche ich, Nervig zu sein. Mimba, haben Sie nicht auch einen Spionage-Report geschrieben? Ja, ich habe es für einer. Genau einer. Mein Mitaktor war da und dann habe ich aufgehört. Hast Sie nicht hier einen vorgeführt? Vielleicht habe ich. Vielleicht. Also, was ist das Problem mit diesen Reports? Dieser Person ist ein Kommentator. Der sitzt da oben und erzählt dir, was da passiert beim Spiel. Und ein Spionage-Report von einem Researcher ist genauso. Die erzählt mir, wie gut der andere Typ da ist. Wer schaut auf diesen großen Angreifer, auf diesen tollen, also einen tollen Roadkit und ist sehr schön. Aber als Verteidiger, wenn ich kein Mabel-Researcher ist, dann ist mir das total egal. Spionage-Reports sind teilweise sehr lang. Meinerweise sind die 60 Seiten lang und in diesen 60 Seiten steht so viel Standardinformation drin. Das ist manchmal, dass man gar nicht was darin steht, dass man damit machen sollte. Viele dieser Reports, die wir sehen, die öffentlichen, sind nicht die vollenständigen und die, die sind die, die wir sehen für PR-Grunden. Und die anderen gehen nur an bezahlende Kunden und vielleicht gibt es teilweise gar keine veröffentliche Dezents, die überhaupt in jemandem rauskommen. Und als Ergebnis ist eine Asymetrie. Was? Ist das schon was? Ich seh, es versteht nicht jeder. Asymetrie. Er nennt mich, er beschöpft mich jetzt Fett. Nein, ich habe gesagt, bist kuschelig. Das Informations-Lücke. Der Angreifer kann diese ganze Information benutzen. Diese Information ist gut für den Angreifer und nicht nur den Angreifer. Jeder lernt davon. Auch die ganzen anderen dessen denselben Report. Und obwohl es über Spionage geht und Staatsarbeiter, dass die Cyber-Kreimarbeit, die in den normalen kommerziellen Cyber-Kreimarbeiten, dann lesen die das auch in der kriminelle Welt, benutzt dieselben Tricks später. Und das macht diese Spionage-Reports freie Frequenzial-Ask-Questions für die Angreifer. Manchmal erkennt man die Feder. Die APT-1 Infrastruktur war groß. Und einige waren dem selben Namen, selbe E-Mail-Adresse registriert. Aber später Tural-Syner haben eine sehr komplizierte Anrefft durch den ISP gemacht, durch Pakete, die empfangen werden können, ohne dass ein Ziel überhaupt gefunden werden konnte. Dann hatten wir Learning im Progress. Es waren noch nicht fertig, zum Beispiel Stucknecks und Dooku in Flame, weil alle haben teilweise denselben Code. Und Dooku 2 benutzt immer noch einen großen Teil von diesem Framework. Und wir haben über diese Sicherheit, was ich in der Sicherheit geredet, also versuchen wir immer, den Rest noch weiter zu benutzen. Und manche weiß man einfach nicht. Und Zuordnungen ist ein sehr klarer Text. Also IronTaker ist auch häufig chinesisch, aber es wurde durch Tiva angeschickt und die Anreffs-E-Mails, alles passt so gut. Die Sprache, die Identität, die sieht, alles sieht richtig spanisch aus, aber es sieht zu spanisch aus. Selbst wenn man auf die Geodokation sieht, die andere verbundenen Aktivisten, würden niemand sich kümmert, außer die Spanier. Aber in Dooku 2 haben sie schon Spiele gespielt. Viele falsche Fragen waren da drin. Sie wissen, dass sie ein String der Chinesen eingebaut haben, die chinesischen Anti-Alias, ein Trigger-Alias, eingebaut. Und die haben einfach mit uns rumgespielt. Und jetzt sieht man einen Report, man liest die 60 Seiten, was kriegt man? Man kriegt viele Melwee an anderen Analysen, und danach gibt man auch so ein bisschen IOCs, also wo die Maschine kompromiert wurde und das auch über die Melwee. Aber noch nicht alle versuchen, über mehrere Angriffe zu schauen. Vielleicht kriegt man die Command-Control-Center-Struktur, aber die werden öfters in mehreren Firmen geteilt. Das heißt, die Long-Term-Bellie ist sehr klein, und ganz am Ende ist sehr wenig darüber, wie angegriffen wurde, wie der angewirklicht durchgeführt wurde, wo man hat das Ganze begonnen. Und was war das Ziel? Was haben sie geklaut? Wenn man wirklich wissen möchte, was war das Ziel? Nicht, dass sie in den Firmen gehackt haben, sondern was haben sie gemacht? Also ich bin ein bisschen durchschaeneinander in der Zeit, und wir sehen ein bisschen hier vor, ein bisschen da vor, eine falsche Frage, und wir versuchen, diesen Spionage-Report zu verstehen, vielleicht um unsere Verteiligung zu verteidigen, und kriegen wir wirklich das richtige Bild. Also das wir bis jetzt gemacht haben in den vorherigen, haben wir versucht herauszufinden, was die Forensiker macht, der versucht herauszufinden, was die gemacht haben. Und wir wollen jetzt vielleicht darüber reden, was der Anreifer macht, wie der denkt, und wir nennen das einfach mal den Geiligmann, also den Angriffsprozess. Okay, zuallererst haben wir Anforderungen. Zum Beispiel, worüber wir die wenigsten Informationen haben, zum Beispiel gehen die einkaufen, wo aber komme ich mich heute? Ist es ja noch klar, oder ist es ein interessanter Produkt, der irgendwo entwickelt wurde? Was würdest du denn gerne wissen? So, ich will mal ein Irak Beispiel, also das ist ein kleines Problem. Hat Salam Hussein Weppener von Masken-Distruktionen? Wo sind die? Hat möchte er sie benutzen? Wer arbeitet an Masken-Zerstörungsmechanismen? Und können wir Matt Damon zurückkriegen? Wieder mal zurückkriegen. Okay, der zweite Teil ist, was können wir unsere Ziele finden? Wo kann ich diese Informationen herkriegen? Oder wer hat diese Information, die ich möchte? Welche Person? Zum Beispiel Banken oder pharmazeitische oder Energie oder auch spezifische Ziele. Weil dieses Ziel, weil die Information hat, die wir wollen. Dann soll ich mal auch so ein paar Ausnahmen. Und ein Beispiel ist Suffice Group, Gruppe. Die sind überall und die versuchen einfach alles anderes. Sie scheinen kein wirkliches Ziel zu haben. Sie haben, wir finden Informationen und dann versuchen sie es zu kaufen. So, zweites Intelligence, also Sammel von Informationen ist mit Reconnaissance, also anschauen. Dann schaut man sich an, welche Ziele sind möglich. Was können wir darüber hinausfinden? Wie können wir vielleicht reinkommen? Und dann kriegen wir die ganzen Informationen in einer organisierten Art und Weise raus. Also Ziel, um zu tun, alles, was man braucht, um den Job machen zu können. Wenn man das hat, kann man wirklich anfangen, Dinge zu tun. Und das kann man, dass man einen Angriffsplan entwickelt und den ausführt. Man versucht einen Angriffsplan und das ist, wie ich es machen möchte. Zum Beispiel ich sende eine E-Mail oder ich benutze ein Portscan oder SQL Injection und ich wähle einfach eine der Angriffsmethoden aus. Und dafür muss ich ein Werkzeug auswählen. Manchmal benutze ich ein normales Werkzeug, zum Beispiel ein sehr großes Bereich, den man hat. Oder manchmal braucht man ein eigenes Software oder man benutzt ein Software von irgendjemandem anderen und macht kleine Änderungen. Wenn man das macht, dann kriegt man diese Beispiele, zum Beispiel Dachsnet und Gov. Dachsnet war sehr zielgerichtet. Der Code, der da war, wollte mit den Steuerprogrammierbaren Steuerungen arbeiten und hatte nirgendwo anders was benutzbar. Und Gov war ein großer Multifunktionswerkzeug, aber eine Sache versteht immer noch keiner. Bei dem USB-Infektionsmechanismus hat man ein verschlüsseltes Payload und der Payload wurde mit einem MD5-Hash der 5.000-mal auf irgendwelchen Parametern läuft. Und heutzutage weiß niemand, welche Parameter das sind. Sie wissen nicht, welcher Computer das wirkliche Ziel war. Viele Leute haben das versucht rauszufinden. Wir wissen es nicht, aber sie wissen, dass es genau einen Computer auf diesem Planeten gibt. In diesem Payload ist Entschlüsselt und ausführt. Oder in einer Dell Secure-Bericht. Bei einem Detail, das Sie analysiert haben, ist die Angreifer haben eine Plattform, die schon beim Ziel existierte. Es war ein End-Point-Management-Programm. Das haben sie benutzt, um durch das ganze Organisationen aufzumachen. Sie haben auch unterschiedliche erfeuerliche Angriffe ausgesucht. Und sobald man drin ist und den Plan ausführt, ist es erst, wenn man reinkommt und wenn man im Ziel die Code ausführt, dann ist der Arbeit immer noch nicht gemacht. Jetzt muss man weitergehen. Vielleicht rausfinden, wo das wirkliche Ziel rausfinden. Da regelt man einfach den schlechtesten Punkt und es geht uns wieder zu Intelligenz sammeln. Jetzt sind wir nicht mehr draußen. Soll ich jetzt auch zu reden? Alle schauen auf den Bildschirm. Wer ist noch mal zurück zu Facebook gegangen? Wer hat es nicht zu Ende geschaut? Okay. Das ist eine Minute 40 und wenn man drin ist, dann sehen die Sachen anders aus. Nein. Wenn ich wollte mir das hier machen, aber das sind zwei weitere Minuten und ich habe hier reiten. Das ist ein bisschen problematisch. Informationssammlung ist anders, wenn man jetzt in dem Zielbereich ist und hat einige Verteidigungen und man muss wieder noch mal über die Operationssicherheit schauen. Man muss die Verteidigung des Ziels umgehen. In welcher Geräte die man benutzen kann, in welcher Sandbox sie benutzen. Wenn man die Spionage-Operation anschaut, dann schaut man das Ziel an. Man benutzt unterschiedliche Systeme, Verteidigungssysteme, die vorhanden sein können. Welche, was muss ich überprüfen? Das wäre uns nicht wichtig, aber dann ändern sich die Sachen auf einmal. Du würdest sagen, hey, Moment mal, diese ganzen Antivieren, die bedrohen mich nicht. Die kann ich umgehen, aber die haben ja einen Backend und das kann mich bedrohen, weil sie können natürlich Signaturen verteilen, dann erwischen sie mich. Das heißt, sie können mich erwischen nach dem ich mal erkannt wurde. Das heißt, ich muss mir da was einfallen lassen. Dann schaue ich mal was andere machen. Es gibt jemand anders auf der Maschine und das gutes Beispiel ist bei Kaspersky, die einen Rechner gefunden haben, auf dem mehrere Spionagegruppen aktiv waren. Okay, welche anderen Länder oder Kriminelle sind auf dem Rechner noch und haben die schon irgendwelche Tools installiert? Soll ich da auf jedem System nachgucken, ob da jemand anderes drauf ist? Wenn ich das auf einem System mache, dann wird es zu viel, damit mit dem Risiko muss ich leben. Der letzte Punkt ist, dann möchte ich meine Identität verbergen. Das heißt, es sei du, du bist Chineses, dann ist es ja einfach scheißegal. Wir haben ein Beispiel, die sogenannte Hurricane Bander Spionagegruppe. Die haben ein Tool verwendet, die wurden erkannt, das ist in der Sponsoristis kommen und hat sich das angeguckt. Es hat eine Weile gebraucht. Sie haben es mit denen ausge pochten und dann haben die Chinesen gesagt, wir geben auf und das ist aus dem Report von Symantec über Stuxnet. Damals waren die Leute wohl sehr unvorsichtig oder naiv mit wenigen Ausnahmen. Hier sehen wir die Kompilzeiten, alle der Dateien, die der Angreife eingesetzt hat und die Zeit, als das eingesetzt wurde, die Infektionsteilen. Das sieht man in späteren Berichten. Damit kann man versuchen, das zuzuordnen. Das sagt uns ja, hey, wie lange brauchen die bis zur Kompilierung, bis die Dateien auch einsetzen? Das sagt euch, wie funktioniert der in Operation, wie schnell sind die Minute, ein Tag, ein Monat, man kann da viel rausfinden. Dann haben wir andere Beispiele. Wenn wir uns Doku 2 anschauen, dann wurde das auf einmal zufällig. Dann hat, ja genau, das heißt, die Angreifer haben sich angepasst. Das heißt, die Angreifer benutzen ältere Tools, sie benutzen Werkzeuge vom Betriebssystem. Dann muss man nichts mitbringen. Dann muss man sich um nichts kümmern, nicht um Verschlüsselung. Zum Beispiel haben wir ein PowerShellverwendern oder Batchescripte und Doku 2. Dieses Beispiel war sehr cool. Sie sind sehr weit nach vorne gekommen. Es war revolutionär. Ihr Einsatzmechanismus war, ihr laterale Bewegung, ihr Seitsatzbewegung war nur im Hauptspeicher. Sie haben nur Ziele verwendet, wo sie draufbleiben konnten. Also Systeme, die neu gestartet werden, sie wussten das genau. Alles blieb im Hauptspeicher. Wurde die Maschine neu gestartet, dann konnte eine Kontrollmaschine das erneut installieren. Ein anderer Aspekt ist, wenn man über Spionage spricht, was, wann gehen Sie denn zurück? Geben Sie auf. Was ist deren Methode, wenn Sie erwischt werden? Es gibt ein paar Beispiele, das haben wir schon ein paar Mal gesehen, bei Rotor Oktober. Das heißt, Sie haben Ihre Kampagne aufgegeben, nachdem sie veröffentlicht wurde. Bei der Maske, nach 4 Stunden, nachdem das Block drauf war, wurde die Kampagne aufgelöst und die Infrastruktur wurde abgebaut. In 4 Stunden, die komplette Infrastruktur war komplett weg. In Dooku 2 waren die Angreifer proaktiv. Sie sind Ihren Anbieter angegriffen. Sie haben sich bei Kaspersky angeguckt, wir werden sie gefunden usw. Das zeigt eine interessante Geschichte. Es gibt natürlich auch andere Extape, andere Beispiele. Manche von denen, manche Angreifer interessiert das nicht. Chinesische Gruppe, Gaza, Hacker Team usw. Den ist es einfach scheißegal. Die arbeiten einfach weiter. Die scheinen nicht mal zu wissen, dass es so eine Konferenz wie diese hier gibt. Schauen wir uns mal die Seite des Verteidigers an. Wie funktioniert der Angreifer, wie funktioniert sein Denken? Und wie können wir das auf die Verteidiger Seite anwenden? Wir haben diese ganzen Veröffentlichenungen, diese forensischen Berichte. Aber das ist immer noch Arbeit, an der wir dran sind. Vielleicht fallen euch Ideen ein, wie man das besser machen kann. Wir haben der Arbeitenproblem basiert. Was kann man mitnehmen und was für Handlungsmöglichkeiten gibt es das erste Mal? Was sind unsere Nachrichtendienstlichen Anforderungen? Wir haben nicht genügend Informationen über die Ziele der Angreifer. Das ist unser Problem. Wir haben zwar Informationen über Angreifer, aber nicht genug. Diese Angreifer sind sowas wie Stalker. Sie wissen, dass du etwas von dir hast, und da lassen sie nicht los. Sie möchten das natürlich immer weiter haben, egal ob du so erkennst. Es gibt ein gutes Beispiel. Das ist ein Report von RSI-Konferenz von der ACQ-Works. Ja, das ist der ACQ-Works, genau. Ihr könnt sehen, es gibt ein bisschen ein Hin- und Hergefecht mit dem Angreifer. Dann gab es eine ruhige Wochenende, aber sie kam zurück nach dem Wochenende mit neuen Werkzeugen, weil sie eine Aufgabe hatten. Sie mussten Sachen holen. Dass man sie erwischt hat, das bedeutet nicht, dass sie sagen, ich gebe auf, das lohnt sich nicht. Die werden sozusagen das auch eskalieren wie nötig. Ihre Seitwärtsbewegungswärtszüge und werden versuchen, die gute Position dafür zu finden. Die zweite Sache, mit der wir reden müssen, ist, dass das Clown von Daten ist nur eine der Optionen. Und vielleicht kann sich jeder daran erinnern, als das hier passiert ist. Wir haben gesagt, was? Wie ist das passiert? Es ist gigantisch. Wie der Sicherheits- und ja, das ist einfach nur ein weiter Hack. Natürlich, von der Seite war es ein großes Problem von Sony. Ja, sie sollten es sich wichtig nehmen, aber nicht schade und ich würde gerne helfen, aber der große Punkt war, war ein Risiko. Das Risiko war, was könnte passieren, wenn man ein Foothold in der Operation hatten. Jeder denkt, normaler Pässe, das ist ein Stiebstahl. Die haben hier in Simfong den Körper gekickt. Was wir auch benutzen müssen, eventuell die Aktion. Das ist ein normales Tool in Sicherheit. Das nennt sich Risikoassassment. Normaler Pässe sind sinnfreies. Riesiges Dokument, 200 oder 2.000 Seiten, dann schmeißt man es weg und dann machen wir nur den Haken. Und dieses Risikmanagement kann auch benutzt werden. Wenn man weiß, welche Risiken da sind, welche Risiken antreffen wollen und z.B. viele Probleme erzeugen, kann man dann gegen was machen. Das Erstellen von Risikoassessments, das kann man auch wirklich benutzen. Die zweite ist, welches Kribbeldach wir machen, auf einer Tagepliste zu stehen. Zuerst, wir haben keine zeitintensitive Information. Vielleicht ist es verhältlich, teilweise aber auch nicht. Also das für uns wichtig ist, wir müssen in der Lage sein, diese Informationen zu bekommen. Und wenn Sie ein ähnliches Ziel haben, wie Sie das Kompromint wurde, oder Sie haben ähnliche Plattformen, dann müssen Sie darauf aufpassen. Da müssen Sie sich warten, bis Sie angegrifft werden, um was gegen zu machen. Eine der z.B. Craps folgen, direkt nach Target. Über jede zweite Woche, ein weiteres Stück darüber, diese wurde eingebrochen, dort wurde eingebrochen. Im ersten Moment, wo ein Target-Bridge war, bei ihren Point-of-Sales-Geräten, und jeder, der einen Verkaufsmechanismus hat, würde sich sagen, vielleicht bin ich das Nächste. Anstelle davon, wirklich zu schauen und versuchen, alle Geräte anzuschauen, hat jeder dann gesagt, hoffentlich bin ich es nicht, der Nächste, der gewohnt wird. Das Problem ist, dass der Nächste, der gereicht, das einfach ignoriert wird. Das Threat Assessment. Also, ein Threat oder eine Gefahr ist das Ziel und die Fähigkeit. Wir wissen jetzt, wo zu Sie fähig sind, aber wir wissen auch ein bisschen, was darüber über die Ziele. Wir wissen aber, dass dies hier passiert hat. Und dann müssen wir vielleicht ein bisschen ändern, wie wir machen. Wir haben keine wirkliche Information. Dieser Typ möchte uns wissen. Und vielleicht machen Sie es zu Leuten, die ähnlich sind wie wir. Und wenn man im Zweifel der Anriffs-Zürste ist, dann haben wir drei Schritte, die sich wiederholen. Wir haben beschlossen, dass wir jetzt ein bisschen anders darstellen. Also, machen wir alle drei Schritte gleichzeitig, das sind einzelne Schritte. Also, die Pre-Engage, Vor-Anriff und der Anriff ist selber. Vor-Anriff ist, wenn alles außerhalb der Zielorganisation passiert. Das Problem ist, zu Informationen. Öffentliche vorhandene sensitive Daten von komplett employer-Mitarbeiterliste oder die Sketch von Netzwerken, Sketchers, die sagen, wer wo arbeitet, was sie hier ist. Irgendwas, was man von draußen bekommt. Und die Sicherheitsfragen nehmen, könnten eventuell auf Facebook sein. Die ganzen Informationen. Und das zweite ist geringe Sicherheitskonfiguration. Es könnte Probing ausprobieren sein, zum Beispiel ein Portscale. Wir benutzen Werkzeuge oder das Netzwerks-Scale. Wir schauen auch auf den Ports oder normalen Passwörtern. Da ist schlechte Konfiguration. Jeder macht das. Man nimmt das Werkzeug, man lässt es drauf laufen. Man kann es nicht mehr anrufen. In meinem vorherigen Job habe ich bei Checkpoint gearbeitet. Mindestens zweimal wurde ich zufällig neben dem Reception Desk, wo jemand da angerufen hat. Beide Male haben sie mich daran geholt, weil ich da interessiert war, bei der Möglichkeit, in einem Scammer zu reden. Wir fangen an, den Fragen zu stellen, dann geben die auf. Nein, das nächste. Das Verständnis, das ich hier schaffen werden soll, das ist ein Grundlagen. Viele Informationen können aus dem Internet von entfernt gemacht werden. Man muss das so früh wie möglich wissen. Man muss wissen, wer die Informationen hat. Man muss die öffentlichen Informationen so gering halten wie möglich. Das muss man wirklich außerhalb der eigenen Wauern darauf reagieren. Das muss man wirklich zu einer Nachdenken heutzutage. Und außerdem, das ist sehr wichtig, man muss die Aufmerksamkeit neu refreschen. Das ist ein menschliches Problem. Selbst wenn es nicht so richtig groß ist, das man Erfolg hat, es hilft. Wir geben uns Informationen, wir fragen, was passiert? Manchmal ist es sinnfrei. Manchmal ist ein Angriff einfach Sinn, die ist über nichts. Dann kümmern wir uns aber darum, dass es ein sinnvoller Report ist. Weil viele der wichtigen Angriffe waren, wann Leute, die uns einfach angerufen haben, weil die Sachen ungefähr so waren, weil das, was wir wissen wollten. Gleichzeitig ist das nicht sonderlich häufig. Die Angreifer machen immer noch denselben Erfolg, weil das grundlegende Sachen einfach unter dem Radar stehen bleiben. Also, die Angreif... Angreifer ist schon im Netzwerk. Nicht viele Informationen oder Reports reden darüber, wie der sich im Innerhalb des Netzwerkes verteilt. Der Regel ist über Privatsphärenprobleme oder Sicherheit. Vielleicht wissen sie es auch gar nicht. Aber im Endeffekt, jeder von uns wird gehackt. Jeder wurde gehackt. Es ist kein Problem mehr. Wenn man sagt, es ist noch nie passiert, dann ist es ein Problem. Vielleicht ist schon was hart. Das ist ein sehr interessantes Prozess. Der ist nicht einfach nur rein und raus, sondern der Regel kommt man nicht direkt zu dem interessanten Computer. Sie sind da drin im Netzwerk und ermöglicht, dass man die Erkennten in den Weg kommt. Man kann darüber nachdenken, man kann klaren, man kann die Influenz verändern. Man muss so viele verschiedene Zeile. Der Angreifer muss Zeit und Ressourcen da reinstecken im Netzwerk. Denn die Länge im Netzwerk ist, dass du sicherer bist. Man braucht der Länge, um zum interessanten Teil zu kommen und man hat mehr Zeit und mehr Möglichkeiten, die zu fangen. Wir haben die Vor- und Nach- Angriffsbereiche obsgetauscht. Aber es ist ein Vettel in der Zyklus. Sie kommen rein, sie haben ein Zero Day benutzt und je mehr man Probleme an denen in den Weg stellt, desto länger brauchen sie und es wird richtig schwer, um die Möglichkeiten wirklich schwer für sie zu werden. Und veröffentlicht eure Daten. Ja, jemand muss der Erste sein. Wir müssen nicht alles sagen. Sagt lieber die Technik. Sagt über das, was andere Verteidiger eventuell benutzen können. Und wenn ihr anfängt zu teilen, dann fangen andere Leute auch an zu teilen. Dann ist es der Allesicherer. Und der letzte Punkt und der Fault und zurückziehen, wenn man wirklich nicht die Informationen, ist das auch in Ordnung. Das ist interessant. Es gibt was Neues für mich in der Sicherheit. Jeder macht ja Cyber heute. Aber was ist der Unterschied? Ja, und Angreifer beginnen, Logs zu löschen. Der Angreifer kann Hinweise zerstören. Ganz viele unserer Mechanismen liegt daran, dass wir sozusagen nach dem es passiert ist und Sachen anschauen. Es ist keine Art von unendlichen Monitoring und unendlichen Zahlen von Warnungen. Wenn ein Angreifer diese Sachen zerstören kann, sorgt dafür, dass es dort bleiben. Man kann Snapshots verwenden. Man kann Logs wegtransportieren. Das kann ein retten. Das heißt, wir haben eine Idee, dass wir so eine Art Backup-Plan machen. Das heißt, wir suchen nach Backups von Log-Dateien. Das kann manchmal wichtiger sein als permanentes Monitoring. Wir haben immer Backups von den Sachen, die die Angreifer zerstören könnten. Das war in der Idee, einander das Backup-Response-Plan. Das hat diese lustige Abkürzung. Damit versuchen wir mal zu verstehen. Manche von uns ist das Alltag. Manche Sachen ein bisschen neu. Aber die Idee ist immer, was können wir diesen Spionage-Berichten lernen? Wie benutzen wir die, wenn es einen neuen Bericht gibt? Wie wird unsere Sicherheit besser gegen auch unbekannte Sachen? Wir haben uns die linke Seite angeschaut. Die Information, die man in den Reports hat. Dass es immer weniger Wert hat, je nachdem. Wir haben uns den Prozess angeguckt, wenn es sich so ein Inzident hat, wie man den betreut. Wenn man so ein Bericht kriegt, versucht erst mal zu verstehen, was für Informationen kommt da wirklich raus? Stehen da die Objektive, die Aufgaben des Angreifers drin, seine Ziele? Vielleicht, wenn du Glück hast, ist da drin, was die Zielindustrie sind, die Zielorganisation, dann wird es für dich einfacher. Wie arbeitet dieser Angreifer, versucht das zu verstehen? Versucht diese an... Versucht das zu tun, was wir gerade machten? Was für wirkliche Handlungen können wir auf der Basis eines Berichts machen? Was wissen wir anhand dieses Berichts? Was haben wir da rausgelesen? Und im Zweifelzweil sagt einfach Leute, wir brauchen bessere Berichte über Spionage. Die müssen uns mehr helfen. Wir müssen unsere Handlungen befähigen, dass wir die nicht nur lesen. Ein weiteres Problem, wir haben keine Lösung für dieses Problem, aber das ist sozusagen der Abbau von sich peinlich führen, wenn es einen erwischt. Zuerst war es ein Risiko, dass man bei dieser Zuordnung gefährlich ist für die Angreifer. Es gibt manche Länder, die wollen nicht, dass sie erwischt werden. Sie haben bestimmte Bereiche oder Untergruppen von diesen Spionage-Einrichtungen erkennt. Aber manche, und manche Kriminelle, das wird ihnen immer unwichtiger. Sie werden erwischt, aber ja, dann seht ihr, was passiert. Es ist ihnen scheißegal. Sie arbeiten einfach weiter. Sie... Manche Gruppen lesen die Blogs von den Leuten, die sie verfolgen und reagieren in Echtzeit auf diese Reporte. Es gibt einen Fall, da hatten Trendmicro und Alien wollt ihr Blog geupdatet haben. Und die Angreifer haben ihre Werkzeuge geändert in dem Moment, wo diese Veröffentlichung kam. Also sozusagen live. Das ist ziemlich interessant. Was wir gerne sehen würden, was möchten wir denn haben? Wir haben gesagt, das ist nicht keine technische Präsentation, sondern so eine Art Denkprozess, unsere grundlegenden Ideen. Wir haben uns die Zeit genommen, diese ganz, ganz vielen Fälle von Berichten angeschaut haben. Wir haben mit Themen gesprochen, mit anderen unseren Freunden. Wir haben andere Forscher angesprochen. All diese Daten um diese eher hochläfige Präsentationen machen zu können. Wir denken, jetzt wir denken jetzt nicht an die Melvary-Searcher, sondern die Leute, die eine Organisation verteidigen müssen. Die nicht nur mit guten Security-Teams arbeiten, sondern manchmal hat eine Organisation nur ein IT-Team aus elf Leuten. Und zwei Leuten wird jetzt gesagt, ihr müsst diese Angreifer abwehren. Das ist oft die Realität. Das passiert bei mehr als einem Kunden. Wir brauchen mehr Berichte, die einem sagen, okay, was könnt ihr daraus lesen? Wie können wir darauf reagieren? Was ist das tatsächlich, was sie tun können? Die arme Leute, die so eine Organisation schützen müssen. Wir sagen nicht, dass alle Reports schlecht sind. Wir sagen, dass ziemlich viele Berichte sind nur für Public Relations und die helfen wirklich nur den Angreifern und nicht wirklich denjenigen, die ihn verteidigen. Sie müssen mehr gute Daten liefern. Da muss doch etwas drin sein, was ich benutzen kann. Ich möchte doch, nachdem ich das gelesen habe, die Situation sein als vorher. Wir brauchen die Information früher. Sag uns, was sind so die grundlegenden Punkte? Was sind die Trends? Vielleicht könnte es sein, wenn man das bei Target rechtzeitig erfehlen würde, dann hätten alle anderen Ziele sich rechtzeitig schützen können. Vielleicht sollten wir unser Setup angucken und anhand von diesem Bericht Änderungen machen. Es gibt auch noch so viele Registrierkassen, die mit dem Internet verbunden sind und man hat das Problem nicht gelöst. Ich habe mir echt Sorgen gemacht über das nächste Problem. Informationsharing, Kollaboration. Viele sagen, es spricht nicht wieder darüber. Es gibt öffentliche Informationen die verteilt werden und es gibt Informationen, die helfen. Die öffentliche Information kann man nicht reagieren. Selbst so ganz kurze Informationen, das passiert, das könnte schon helfen. Das Allgemeine, was man verteilen sollte. Wir sollten keine weiteren Zuordnungen machen. Zuordnungen sind wichtig, das hilft uns. Wir können über das Geschäft nachdenken. Wer ist tatsächlich hinter uns her? Aber was hilft uns das? Wie viel hilft uns die Zuordnung zu einem Täter? So fühlen wir uns dann nur besser. Aber wer ist nicht besser, die Tipps und Handlungen reinzumachen? Ich bin mir nicht ganz sicher. Vielleicht sollten wir aufhören mit Zuordnungen, die einfach schlecht sind. Wir haben uns ja mehrere Beispiele angeschaut. Ja, natürlich. Wenn niemand am Shabbat arbeitet und da keine Komplierungszeiten hat, dann ist es vielleicht Israel, aber vielleicht ist das auch nur Tarno. Du weißt es nicht hundertprozentig. Auf der einen Seite haben wir die IOCs, auf der anderen Seite haben wir die Zuordnung des Taters. Aber es ist nicht wirklich das Wichtigste. Wenn man zuordnet macht, muss man es richtig machen. Es gibt noch ein paar abschließende Worte. Für nasche Reporte können sehr große Hilfe sein, wir müssen ein paar Änderungen machen. Die Problemen mit den Änderungen ist, dass es manche ökonomischen Interessen sind, die von den Leuten, die sie herstellen. Wir glauben, dass wenn die Anfangen mehr Inhalte zu machen, dann könnte es vielleicht zu mehr, wenn sie schlecht sind, das ist die Einzige, die sich weiterentwickelt. Vielleicht sind wir nicht der richtige Weg, aber es gibt Wege, die uns weiterhelfen. Dann wäre es ein sehr guter Weg. Wir werden nicht weniger Business haben, weil die Reports besser sind. Die Angreifer werden sich weiterentwickeln. Wir müssen die ganze Zeit Angst haben. Wir müssen die ganze Zeit sich umschauen. Wenn man das zuhört, und sie fragt, dass sie Gauss zu frame ist, wenn sie so viel Zeit bei einem Ziel schnimmt, dann ist die Angriff sehr viel teurer. Wenn man dasselbe mit ihnen verteidigt, die Spionage an den Reports macht, sie müssen aber besser werden. Zu guter Letzt erhöht die Kosten des Angreifers. Das alles, was man machen kann, um die Kosten für den Angreifer zu erhöhen, ist sinnvoll. Neue Produkte kaufen, Services einkaufen. Leute, die für einen Arbeiten bessere Informationen geben. Man möchte es hinkriegen, dass der Angreifer so schwer hat wie möglich. Es wird nicht einfach sein. Es wird nicht abhalten. Die Angreifer sind kräftstärker als wir. Wir arbeiten ein bisschen dran, aber sie werden auch nicht einfach darauf aufgeben. Aber gleichzeitig können wir damit anfangen, es besser für uns zu machen. Das ist das Wichtigste, dass wir mal durchgehen. Ja, wir haben viel Arbeit reingesteckt. Ja, wir haben den Quailcode reingeschaut. Wir haben viele Reports angeschaut. Es ist wichtig, zusammenzuschreiben in einer Methode, die nicht langweilig für alle ist. Eine Methodik drin zu haben, aber auch nicht zutechnisch. Immer noch Beispiele zu haben. Was die Angreifer wirklich machen. Wir haben Leute, die uns sehr viel geholfen haben. Wir haben Reports. Viele Leute, ohne die wir nicht hier werden, die müssen aufrufen werden. Wir haben viel zu tun. Peter Cruz ist mit Kondi und viele weiterer. Auf der Folie stehen sie ja. Insbesondere Nic Sanzadane, der sehr vieles, sehr guten Research für diese Präsentation gemacht hat. Vielen Dank an ihn. Und damit, bevor wir zu Fragen kommen, manche Spionagereports sind einfach schlecht. Das ist ein Problem für uns. Sie sollten besser werden. Wir können besser werden, als Sie. Wir hören Sie dabei halten. Vielleicht können Sie zu einem Bereich kommen, wo Sie schlechter werden. Das würden wir gerne sehen. Vielen Dank. Ich würde mich sehr freuen, in jegliche Fragen beantworten zu können. So, thank you, Inbar and Gali. We have a question from the... Wir haben eine Frage aus dem Internet. Also, die Frage ist, was ist der Spionage-Ergebnis von diesen unterschiedlichen Industrien? Wer ist die Pro-Match-Systeme? Okay, ich versuche zu antworten. Ich denke, es gibt eine ganze Organisation, die die Industrie relativ gut, weil sie gute Sicherheit haben. Sie haben Incentive-Respons, Schutzmaßnahmen, Monitoring usw. Relativ viele Incentive-Respons wird von externen gemacht. Das heißt, man holt sich Firmen, die das für Sie machen. Deswegen glaube ich, diese ganzen Backups zu haben, ist sinnvoll. Da kriege ich sicher bestimmt, es geht viel um Monitoring. Manche Leute sind echt gut. Die meisten nicht. Und andere holen sich Hilfe von außen. Ein anderes Problem mit dem Aushaustensicherheit ist, dass da ein sehr großer Unterschied ist, kein sehr großer Unterschied zu haben, in der Fähigkeit ordentliche Antworten zu machen. Alle pflegen sich davon, wie das Netzwerk vorher aussah. Wenn man die Leute nur anruft, wenn man das Haus schon brennt, dann können die an nicht viel machen. Wenn man sie vorher schon reingeholt hat und sie das Haus vorher vorbereitet haben, dann können sie vielleicht was machen. Ein anderer Aspekt ist, forensische Untersuchungen und Isident Respond ist Logs, die Kette von Beweisen. Es gibt Leute, die das immer noch machen. Aber bei Spionage ist das nicht mehr so wichtig. Es geht nur darum, schnell rauszufinden, wo ist der Gegner, wo bewegt er sich und halt diese Behebungsmaßnahmen zu machen. Manchmal installiert man einen Agent auf Ihren System. Das heißt, es geht nicht so um den klassischen forensischen Prozess, wo man das Zeug fürs Gericht vorbereitet. Ich bin ja nicht so ganz der Expert, aber du könntest auch andere Leute fragen, warum nicht. Auf einen Zahn, bitte. Ja. Zuerst bin ich nicht sicher, ob das die richtige Wunderung ist. Die meisten Leute hier bauen ein Netzwerk und die werden versuchen, dass sie sich jetzt machen, wie möglich. Selbst ohne spezielle Anreifer zu überlegen. Denken Sie darüber nach, welche Informationen ein Anreifer haben möchte, weil sie versuchen, das System so sicher zu machen, wie möglich. Und wenn eine gewisse Wahl nicht getroffen wird, z.B. in eine gewisse Sicherheit zum Mechanismus nicht zu benutzen, dann ist es wahrscheinlich, weil sie es nicht machen können. Selbst wenn sie gehackt worden sind, können sie das nicht ändern. Z.B. im öffentlichen Sektor und bei uns das Problem in der Regel, wir haben nicht die Leute, um Sachen zu reparieren. In der Universität sind Situationen, wo jeder Professor in jedem Institut und jeder hat sein eigenes IT-Team und normalerweise arbeiten IT-Teams, die nur ein Sekretärin sind und die haben eine Liste, wo sie wissen, zu welchen Subnetzen in welchem Institut gehört und normalerweise gibt es keine bessere IT-Team. Und das Problem ist, dass ein Institut von 20 oder 30 Computern auf dem XP läuft im Jahr 2015, die sind noch nicht mehr gepenzt, den Windows XP-Patches. Und ich weiß, dass nicht nur ein einzelnes Problem in meiner Universität ist, sondern auch in vielen anderen Universitäten, wo es genau so aussieht, dass normalerweise das Problem nicht ist, es gibt keinen zentraler IT, die was machen kann. Das wirkliche Problem ist, dass man zuallererst ein Management-Level darüber, über der fehlenden IT, die neue Leute zubohlen muss, die überhaupt ein sinnvolles IT-Team gibt. Das war eigentlich der Spruch, den ich bringen wollte. Ich versuch das zu beantworten. Du hast recht. Das ist dir wichtig. Du hast über die Zuhörer gesprochen. CCC ist ziemlich groß. Es ist ganz viele Leute schauen sich das an, nicht nur die, die sitzen, es gibt Leute, die sich die Streams anschauen und später anschauen. Das andere ist, wir möchten einen Prozess beginnen. Da gibt es natürlich Probleme, aber wenn wir nicht beginnen, etwas zu verändern, haben wir vielleicht die Chance, in der Zukunft etwas zu verändern, was du sagst, es war. Es ist einfach ein Beispiel zu nehmen. Nichts, was ich gesagt habe, wird helfen. Aber das löst das Problem nicht. Fortschritt braucht Zeit. Und vielleicht in der Zeit gibt es einen Fortschritt. Das bringt uns bessere Setups, wie man Netzwerk gebaut. Die meisten Leute hier haben eine sichere Setup. Manchmal hast du keine Zeit, aber manchmal musst du Sachen schnell bauen. Manchmal gibt es ein Projekt, das musst du fertig machen und eine Deadline. Und das betrifft alle, auch die Leute hier. Das heißt nicht, du kennst das Problem nicht, aber die Realität, die der Angreifer sieht, die ist wichtig. Nicht hier. Die sind die richtigen Zuhörer. Das Ding ist ... Hier sind unsere Kampflinien. Hier werden die Ideen geboren. Hier gehen die Leute zurück in die Organisation. Das ist meiner Meinung nach genau der richtige Platz zu ... Wie kann ich nach Angreifern suchen, wenn ich nicht die Ressourcen habe? Wir sagen, da geht es um Risikomanagement. Was sind deine Risiken? Wie kriegen wir das hin? Wir haben leider dafür nicht so viel Zeit gehabt. Sorry, Entschuldigung. Ich habe eine zweite Frage. Leute sollten Informationen über Angreifer veröffentlichen. Sollte es nicht auch ein Problem sein und sagen, vielleicht wurde der Angreifer überhaupt nicht ins Netzwerk mussten? Oder wurde der Angreifer schon eine Verteidigung? Die Verteidigung geändert hat. Wir haben nicht alles in den Trock gekriegt, aber ... Wenn du jetzt ... Wenn du jetzt gerade deinen Angriff hast, dann kannst du ja in einem geschlossenen Kreis die Informationen verteilen. Timing ist immer so eine Sache. Vielleicht gibst du nicht alle Informationen preis, um eine wichtige Fraktion, die jemand anders braucht, zu reagieren. Wir haben keine weitere Zeit, aber wir haben noch eine Frage vom Wir aus dem Internet, wer die Leute, die nicht hier sind. Wenn Sie sagen, das Spionage-Report sind schlechte, seien Sie nur die öffentlich veröffentlichten oder auch die von Sicherheitsfirmen ihren Kunden? Wir sprechen über öffentliche Berichte. Ganz viele Hersteller machen sowas. Aber nicht jeder ist ein Kunde aller Hersteller. Du bist meistens ja nur der Kunde von einem Hersteller oder zweit. Manche sind besser. Manche nicht. Am Ende ist das Problem. Geht alle an. Wir möchten das nicht verbessern für die Kunden eines einzigen Herstellers, sondern wir möchten, dass jeder davon profitiert. Kumbaya. Vielen Dank. Vielen Dank. Wir haben den Vortrag.