 Danke für die Einleitung. Herzlich willkommen dann auch noch mal für die Location und so. Ich darf euch heute über das schwierige Verhältnis zwischen Nutzer, Innen- und Security was erzählen. Falls ihr so ein kleines Zustand habt, was es ist, was meine Arbeit so ist. Also mein Job-Titel, das ist ein ganz fancy-Titel, das ist ein Security-Werts-Specialist. Darf ich kurz fragen, wer ist denn hier im Publikum oder wer würde sich denn im Publikum hier als Security-Experte bezeichnen? Was für eine Security-Specialist. Wer hat das mal angestellt? Ich. Gut, dann bist du der Experte. Kann man schon was sagen. Okay, also normalerweise habe ich es mit den Security-Experten zu tun, also die, die sich mit dem Thema ausgeben. Genau. Ich mache noch mal heute. Also wie gesagt, ich arbeite bei SWITCH. Wenn SWITCH nicht kennt, wir betreiben das National Research and Education Network in der Schweiz. Das heißt, wir arbeiten mit den Schweizer Hochschulen zusammen und Hochschulen haben Organisationen. Und wir sind die Registry für die Punkt CH und die Domains und arbeiten deswegen auch mit Registralen und anderen Organisationen aus der Privatwissenschaft zusammen. Ich arbeite dort im Computer-Energische-Steam-Respons-Team, also im Security-Team. Ich bin dort nicht mehr die einzelnen Frauen, aber die einzelne Literatur-Energische. Genau. Ich fuhre euch jetzt mal so langsam ran, wenn es das ganze Thema Nutzer und Nutzer, Nutzerinnen und Security. Weil wer denkt, dass es, wer denkt nicht, dass es ein schwieriges Verhältnis ist. Gut, weiß ich schon, dass ich darauf nicht mehr eingehen muss. Genau. Um sich zu überlegen, wie das Verhältnis zwischen Nutzer und Nutzerinnen und Security verbessert oder überhaupt mal angeschaut werden kann, muss man sich erst mal überlegen. Was versteht denn der allgemeine Nutzer, so unter dem Thema Security, was verbindet er damit? Und wenn ich wissen will, was die allgemeine Nutzer als Thema denkt, frage ich meistens die Google-Wildershofer. Und wenn wir das machen und Security, das Security-Bohnen, sieht das ziemlich homogen aus. Also wir haben dann ganz viel Blau und ganz viel Blau Schlösser, aber jetzt habe ich ja nur noch Security ge-Googelt. Wer weiß, wie das bei Internet-Security ja anders aus, mich wirklich, das Perspektive-Engelschein, mein Produkt ansonsten ist auch ziemlich blau und voller Schlösser. Cyber-Security, Cyber ist ja das Wort, was die allgemeine Nutzer in dem Kontext benutzen. Auch da haben wir für schlimmer die Umwelt schon die ein, zwei, die schwarzen Verputzen, die in dem Umfeld, in dem Kontext auch wieder aufgetragen. Genau. Das heißt, wenn man den allgemeinen Nutzer in den Zerlinden nach Security fragt, haben die ihrem Kopf Blau Schlösser. Man fragt sich jetzt, wo sind sie selbst? Weil irgendwie sind sie ja Teil der ganzen Security-Prozesse, weil sie spielen für sich, also aus der eigenen Sicht gar keine Rolle. Dann können wir uns ja auch noch mal fragen, was sind denn so, was nehmen die denn für Bedrohung mit Bar? Also, wofür verschützen sich eine Abschütz-Sichte ein, wenn man irgendwie was Security-mäßiges macht? Genau, die Security threats. Wir haben in Englisch und bei IT ist meistens eh sehr anrufiert und sicherheitlich in Deutschland so ein bisschen schwieriger, sehr, sehr vielseitig in Deutschland, dass wir so rumlaufen. Genau, das gleiche Prozede des Security threats. Da haben wir schon den Verputzen, meistens haben wir diese Menschen mit den Masken, die irgendwie aus Bildschirmen rausgreifen oder rauskommen, ein bisschen runter, weil das Rohr kommt noch dazu, zum Blau. Wenn wir nach Internet- threats schauen, wird es noch mehr, da wird man den Menschen aus der Hand, aus dem Monitor, der Verputzen-Mensch, der Menschen mit der, wie heißt die, diese Maskenwahl. Genau, Cyber threats. Da wird es dann ganz komminent, die schwarze Kapuzen, wenn man Hoodie hat, ist man quasi ein Cyber threat. Genau, das heißt, wenn du das jetzt zusammenfassst, wenn der Ere meine Nutzung Security denkt, denkt er am blauen Schlösser, wenn er sich mit Rot führt, am schwarzen Hoodie ist. Das ist, nehmen wir das einfach mal so hin, das ist natürlich sehr einseitig. Dann habe ich da in der Beschreibung gesagt, wir wählen jetzt auch Stereotypen. Da möchte ich ganz kurz, ich habe es ein bisschen verzogen, aber gut, da möchte ich ganz kurz vorwegnehmen, Stereotypen sind natürlich eine starke Vereinfachung von Sachverhalten. Das heißt, das entspricht natürlich nicht der Realität. Das ist jetzt nur einfach so, um das Mal ganz plakativ mit euch zu besprechen. Also in meiner technischen Arbeit begegne ich sehr häufig diesen drei Stereotypen. Einmal den unbewusst inkompetenten Typ, den ich habe nichts zu verbergen, über den wir heute Morgen schon in der Kino-Tier gehört haben, und den Panitypen. Den unbewusst inkompetenten Typ trifft man sehr häufig in Kommentarzeilen zu Artikeln, zu Eben im Darkmeek und das Eben, was man zu zwei war, ein Titel drüber steht oder so. Hier jetzt beispielhaft der Artikel in 20 Minuten, und zwar ging es in dem Artikel über den Datendantrag, den Scheu-Hand-Aufwälzungen gemacht hat, und den Scheu-Hand-Aufzug-Englisch gemacht hat über seine Leber-Bekorne-Plattform. Und in diesem Artikel wurde das einfach nur kurz erklärt und auch, also kurz, 20 Minuten Artikel. Und auch, wie man sich starke Passwörter suchen sollte, weil in dieser Datensammlung die Passwörter, die Crash-Hex-Zwörter-Trunken und so weiter. Dann findet man also so nette Kommentare, die alle irgendwie so Halbfahrheiten dabei haben, wie Passwörter bis zu nicht komplex sein, sondern lang. Gut, kann man doch auch streiten. Das Ding ist, dass diese Kommentare eigentlich alles eins gemeinsam haben, und zwar sind das meistens meine Namen. Das sind Leute, die es eigentlich nicht wissen, sondern nur denken, dass sie es nehmen. Die sind unbewusst inkompetent. Das sind auch die, die dann, wenn sich jemand eine Security-Experte sagt, ja, man ist da nicht so ganz weg, das ist eigentlich so und so, die dann sagen, nee, ich habe auch Festgruppe gelesen, das ist so, deswegen glaube ich das. Genau, man kennt der Typ. Das ist kein einziger Phänomen, wie gesagt, es ist ein Stereotyp und zwar habe ich eben nochmal zwei Ergebnisse aus einem Studio von LastPass, die hat eine Fancy-Titel-Psychologie der Passwörter und die haben herausgefunden, dass 21% der Befragten nicht glauben, dass die Verwendung des Fällen oder eines ähnlichen Passworts, ihre Konten bzw. Information verstärkt gefährden. Sie glauben, also, und das ist in dem Fall ähnlich wie wissen. Und es gibt auch, also 1,50% der Befragten denken, dass Reka nicht anhand von Informationen, die öffentlich zugänglich sein Passwort erraten können. Ich finde, das ist ein schwieriges Ergebnis einer solchen Studie. Aber gut, mit dem Post, den ich euch nicht vorenthalten möchte, weil ich finde, fast schon, übrigens sehr poetisch, gehen wir zum nächsten Typ, und zwar den ich habe, nicht zu verbergen Typ, das ist auch einiges dazu, aber gut. Und zwar, den haben wir heute, den haben wir heute morgen schon viel gehört, damit ich ganz kurz die Anekdote von einem Freund von mir erzählen, den ich natürlich nicht beim Namen nenne. Der wurde gehackt auf Facebook. Das hat er auf Facebook gepostet, hat alle seine Freunde bewahnt, wenn er die Nachricht bekommen muss, dann nicht drauf eingehen. Das war also nicht von mir. Auf ihn habe ich den gefragt, zum einen das professionell Interesse, was denn da passiert, links auf günstige Sonnenbrillenschutz verteilt an seine Freunde. Da habe ich gesagt, ja, was hast du denn da gemacht? Das Facebook gemeldet, wie bist du dann mit umgegangen? Da hat er gesagt, nö, ist ja nichts passiert. Der Typ sendet jetzt keine Nachrichten mehr, ich sage, bitte, wie ist das Passwort geändert? Nö. Dieser Smiley, den ich dahin gepackt habe, nach dem Nail genau, den hat er dir geschickt. Er wusste, dass das eh nicht so ganz richtig war, aber das hat sich von der Sehe nicht wützig. Ich habe die Nachregitionen, das zu tun. Das ist das Passwort. Genau, aber erst mit diesem Verhalten nicht alleine, denn es würden auch 45% der Befragungen von schon zitierter Raskrass schon wieder genauso gucken. Die Leute erinnern, das passwort nicht. Weil sie gar nicht wissen, was sie damit riskieren. Und dann haben wir zu guter Letzt noch den Paniktyp. Das sind die mal, die ziemlich die Fuse Angst haben, die Fuß, weil sie gar nicht wissen, wie vor, dass sie fühlen sich zu Recht beobachtet und haben das mitbekommen, dass eben Kameras übernommen werden zu können, dass Handys abgebrannt werden, dass ihre Aktion im Internet beobachtet werden. Aber sie wissen gar nicht über noch, wie das eigentlich funktioniert. Das heißt, auch da eine kurze Anekdote aus meinem privaten Umfeld. Ich habe eine Freundin, die kommt, die sucht jeden Tag, wenn sie nach Hause kommt, in ihrem Fernseher, der nicht internetfähig ist und noch keine Kamera hat, noch eine Kamera ab. Gut. Sie schläft nicht mit dem Handy in den gleichen Raum. Hat aber ungefähr 3 Passwörter für ihre Zauner rumbekommen. Weil sie einfach nicht so genau weiß, wie sie sich sicher verhalten und wie sich vor diesem Gefahren, von dem sie Angst hat, schützen und was diese Gefahren eigentlich genau sind. Genau. Also, wer kennt eine oder andere von diesen 3 T-Wertüben mehr oder weniger? Alle. Achso, auch damit ist sie nicht alleine, sondern vergessen jedenfalls ein Ergebnis aus der LastPass-Studie. Wir wissen, dass es gefährlich ist, das seine Passwort für mir bekommen zu verwenden, aber 59% macht es trotzdem. Da weiß man nicht genau, warum. Es kann aus unfähig. Also, wir wissen halt nicht, wie sich das aufschreiben. Wir speichern von Passwort, wenn ich noch nie was gehört habe. Angst davor. Aber schauen wir uns mal die andere Seite an. Also, die Security. Ich nenne mich jetzt einfach mal von der Security-Community. Da meine ich Experten und auch Leute, die sich mit der TU beschäftigen. Was verstehen diese und die Security? Da gibt es, wie wir schon festgestellt haben und Sie ganz wichtig gesagt haben, welche Security. Da gibt es also verschiedene Player, die sich mit verschiedenen Aspekten von Security auseinandersetzen. Das ist nicht abschließend, aber ich habe mal immer aufgeknallt in der Schweiz. Das sind alles Gruppen, Orte, Firmen, in denen es weiter gibt, die sich auf Experten-Level mit Security beschäftigen für verschiedene Fachbereiche. Wo treffen sie sich? Die treffen sich natürlich nicht mit Chancen-Hudis bei Pizza und Clubmorte in England Keller, sondern auf Konferenzen. Da gibt es auch diverse, auch für diverse Fachbereiche. Und Security ist natürlich nicht Security, sondern es gibt sehr viele verschiedene Teilbereiche von Security, Network Security, Information Security, Security, Physical Security, Data Security etc. etc., dass die alle irgendwie verschiedene unterschiedliche Kompetenzen benötigen oder unterschiedliche Technologien brauchen. Wenn man diese Security-Community jetzt nach den Security-Preds fragt, meint ihr es kommen Chancen-Hudis? Ja. Gut, es ist dramatische Aufwörter. Nein. Doch, Faktor Mensch. Faktor Mensch, ja genau, aber nicht. Gut. Genau, das ist der Mensch. Das sind alles Artikel, die ich jetzt, wir sind in der Schweiz deswegen, bei mir sprachen wir es in Deutsch oder Englisch. Das sind alles Artikel aus 2018. Ich habe so eine gleiche Führung aus 2017. Also es ist nicht schwer, die Artikel zu finden. Aber natürlich habe ich schon ein Faktor Mensch gesucht. Jetzt schauen wir uns in einer so ein paar Security-Studien an. Da ist das selbe, wenn man um Unternehmen, also Security-Verantwortliche, nach dem größten Risiko befragt, dass was sie sehen führt, die Sicherheit der Daten in ihrem Unternehmen, ist das meistens der Mensch. Der Faktor Mensch ist vielverhalten, nicht weil es nicht bösartig ist, sondern weil es nicht wissen oder weil die Prozesse so sind, dass sie sich können etc. Genau. So, jetzt haben wir halt das Problem, dass wir diese zwei Sichten auf Security haben. Wir brauchen aber beide Player zusammen, um überhaupt irgendwie ein gewisses Level an Sicherheit zu kreieren. Das ist jetzt, wie ihr wisst, kein neues Problem. Es ist schon ziemlich lange bekannt, dass man die Nutzer mit an Bord holen muss und dass die Nutzer nicht wirklich verstehen, wo es dabei geht bei Security. Das heißt, irgendwann hat man sich überlegt, wir machen sowas, wir erfüllen sowas wie Security-Organis und damit wird alles gut. Okay, abgehakt, checked, fertig, next. Aber vor allem ist es einfach, was ist denn Security-Organis eigentlich? Und wenn man da auf der Suche nach Definitionen geht, findet man, dass, wie gesagt, Security-Organis ist mittlerweile etabliertes Thema in den neuesten Security-Standards. ISO, NIST etc., irgendwo gibt es einen Absatz zu Security-Organis, Standards auf Erzuhumen und mit Standards zu erfüllen. Das Problem ist, es ist ziemlich, gehen alle in die gleiche Richtung, aber sie sind nicht wirklich identisch diese Definition. Das heißt, wir haben da vorne Security-Organis, das ist eines der fundamentalen Prinzipien. Bei NIST steht es nicht Training, sondern tatsächlich nur das Aufmerksam-Machen aus Security. Da oben ist es leider auf die Fans, wo und was mal wichtig. Bei Wikipedia geht es um das Wissen und das Verhalten der Mitglieder einer Organisation bezüglich Security. Das heißt, wenn ich jetzt jemand bin, der sich noch mit dem Team beschäftigt, les ich das alles und denke mir, okay, wir schreiben das noch auf. Und da aus diesen vier Definitionen bekomme ich diese drei Punkte. Nummer eins, Security-Organis, das werde ich zu Security auch. Security-Organismaßnahmen sollen zersensibilisieren und nachhaltig wissen für meine Informationssicherheit. Okay, wie mache ich das jetzt? Jetzt überlege ich mir, okay, Security ist sehr, sehr wichtig. Das heißt, ich brauche für Stoßen, krieg die ja auch, weil Security ist wichtig. Ist aber leider nicht so. Denn Security-Organismaßnahmen sind 2017 und 2018. Ich weiß nicht, wie, ja, hat herausgefunden, dass tatsächlich 2018 nur sechs Prozent, nur sechs Prozent von 100 Prozent die Arbeitszeit auf Security-Organismaßnahmen verwenden und die meisten haben so einen bis 25 Prozent. Das ist natürlich nicht viel für ein absolut wichtiges Thema. Dann haben wir ja noch die Themen mit dem Nachhaltigvermitteln und überhaupt Aufmerksammachen. Das sind also eigentlich drei Bereiche. Security-Organismaßnahmen besteht aus drei Bereichen. Drei Besteckien, einmal Awareness. Das heißt Aufmerksamkeit und Interesse für Security erhöhen. Dann braucht es Bildung, Ausbildung, Education. Das heißt, die Zielgruppe muss die neuen Fähigkeiten und die Theorie dahinter lernen. Und dann braucht es natürlich auch Training für die Nachhaltigkeit. Das heißt, die Leute müssen das erlernt auch üben und immer wieder anwenden. Das sind jetzt ganz klar Kommunikationsfachgebiete. Das sind Kommunikationsmaßnahmen. Wer macht Security-Organismaßnahmen? Die meisten sind 2000. Wir sind die Leute, die verantwortlich für Security-Organismaßnahmen sind. Dazu ziehe ich auch noch mal den Security-Organismaßnahmen von Saans. Und der besagt es 2017 sowohl 2018. Ich glaube auch dieses Jahr wird es noch nicht anders sein. Sind es zu 80, 3 Viertel, Leute, die in IT arbeiten. Das heißt, das sind Leute, die eigentlich keine Kommunikationsexpertise haben. Die müssen jetzt aber die Kampagne aufziehen, wollte Ausbilden skenieren und irgendwie sensibilisieren. Schwierig, vor allem, wenn die nur 1,20% ihrer Zeit dafür zur Verfügung haben. Aber wie gesagt, wir sind ja bestehende Typen. Wir gucken uns die auch noch mal ein bisschen wieder mal an. Da haben wir den, also lassen die, wie gesagt, noch mal die, die mir so im Alltag begegnen. Der bitte, bitte, bitte Typ, der autoritäne Typ und der scharkfreude Typ. Der bitte, bitte, bitte Typ ist eher so der ängstliche. Das ist der, der die Verantwortung für Security bei sich selbst sieht und nicht auf den Nutzer abwälzt. Das heißt auch alles macht. Das sind im Unternehmen meistens die, die irgendwie nicht schnell genug weggelaufen sind, wenn jemand als jemand die Security-Aufgaben verteilt hat. Und dann sind es die, die das jetzt auch noch machen müssen. Im privaten Ofen, zu der WG, ist das meistens der, die mit Bewohnern quasi als IT-Supportungs braucht werden. Und wenn sie dann das WLAN passen wollen, müssen sie stärker machen wollen, wenn sie ausgeladen sind. Von der Partie ausgeladen. Dann haben wir noch den Autoritäne Typ. Das sind die, die den Internetflug erscheinen vor allem den Nutzer fordern. Das sind die, die das Internet nicht abschalten wollen würden. Damit ist das nicht mein gutes werde ich sicherste Lösung, weil dann gerst das alles nicht mehr. Und das sind die im Unternehmensbereich, das sind die zum Beispiel, die so simulierte Fishing-Kampagnen machen. Und wenn einer klickt, dann sagt er, bevor du jetzt nicht das 100-Seitige e-Learning gemacht hast, darfst du dann immer das nicht mehr lesen und generell das Reitigkeitszuge und die Computer nämlich auch noch weg. Im anderen Umfeld sind das meistens die, die Fragen, wenn sie antworten, ja, kannst du auch nachlesen oder musst du doch wissen, nutzt doch ein Handy, also musst du wissen, wie das geht, so was in der Art. Und dann haben wir noch das Schadenfreude Typ, das man persönlich erfäbelt. Das sind, das ist so der Schübe in der Unternehmensumfeld. Das sind die Leute, die so simulierte Fishing-Kampagnen nur machen, um sie so schwierig zu designen, dass möglichst viele Leute reinfallen. Und sie dann zeigen von, hey guck mal, hier ist er da getroffen, ich nicht, und ich habe es sogar eingesagt. Ich interessiere leider, weil es das Teil des Problems ist. Das sind auch die im Privatumfeld, die sagen wir in der WG, irgendjemand hat Rents mehr reingeschleppt, alles ist verstüsselt, alle haben den Schaden verloren. Und er hat dann zwei Wochen später immer noch mit seinem Offline-Backup rum und sagen, ja, Pech gehabt, ich habe es geschafft, ich habe überlebt je nicht. Genau, wie gesagt, stehende Typen. So, ich glaube, da gibt es natürlich die Abgrenzung nicht, aber Mischproben. Wir machen jetzt also Security Awareness, zumindest im Unternehmensumfeld, bzw. von denen es erwartet. Ist das eine gute Idee? Es ist aber jetzt so, genau, wo was resultiert hat. In der Praxis ist das meistens so, wenn man Leute fragt im Unternehmen, hey, mach dir Security Awareness und die andere ist ja, dann kann das alles heißen von, gestern habe ich meinen jährlichen Newsletter rausgeschickt, wie es eh keiner ist, mir auch egal, aber Checkbox mit rein, fertig. Oder ja, wir haben seit zehn Jahren eine Kampagne, die alle drei Monate vor dem Thema Defensie-Internet auftritt hat, mit Logos, Slogans, Lifehooks, etc. Also soweit ist es spannend. Das heißt noch mal zum SME, was die größten Herausforderungen bei dem ganzen Thema Security Awareness ist, das ist der Ausforderungenzentrum. Jetzt Nummer eins, und das ist mit Abstand Nummer eins, ist der feine Kommunikations-Expertise, von dem wir für verantwortlich sind. Security Awareness liegt immer noch meistens bei Reitig, weil es Security von dran steht. Ich weiß nicht, was das ist, aber irgendwie hat sich über den Laufe der Jahre, wenn Menschen Security hören, die nichts damit zu tun haben, schieben es weg, wollen wir vor nichts wissen und das passiert bei Security Awareness auch. Vielleicht wird es etwas ändern, wenn man es umnimmt in ich weiß nicht, Medienkompetenz Awareness. Genau, aber das ist ein großes Problem und das verursacht quasi auch die nächsten zwei. Und zwar generell gibt es geringe finanzielle und zeitliche Ressourcen für dieses Thema, das liegt vor allem daran, dass der Security verantwortlich ist mit dem IT-Background, über den Management argumentieren muss, dass er finanzielle Ressourcen für Kommunikationsmaßnahmen braucht. Aber wie soll er erklären, was er da braucht, wenn er gar nicht versteht, was er da machen soll? Weil er keine Ahnung hat, was die Kommunikationsmaßnahmen eigentlich sagen sollen. Und dann natürlich die fehlende Unterstützung im Unternehmensumfeld vom Management und auch im privaten Umfeld immer noch dieses Label, wenn ich hier bis zu Paranoid oder das ist viel zu kompliziert, ich verstehe das eh nicht etc. So, was machen wir jetzt? Nein, wir müssen Security oder das ganze Thema, das haben wir auf der Formel schon gehört, irgendwie in den noch mehr, in den ein oder anderen gesellschaftlichen Diskurs bringen. Aber ein Teil, was ich noch so beobachte, ist, dass die Security-Experten, die Security-Community für sich, sich miteinander irgendwie befruchtet und so weiter, auf Fach chinesisch, das ist klar, das brauchen Experten, damit sie effizient oder sich unterhalten werden, aber selten das aufbrechen. Das heißt, die anderen Bereiche der Gesellschaft, die brauchen Security, die brauchen dieses Wissen, wissen es aber meistens gar nicht, eben die sind unbewusst inkompetent und machen dann irgendetwas, wo Security eigentlich eine riesen Rolle spielen würde und holen werden sie dann irgendwann, aber das ist meistens schon zu spät und nur seit irgendwie dazu, der dann nur noch hier korrigieren kann, mehr oder weniger, aber nicht mehr konstruktiv von Anfang mit dabei arbeiten kann. Es fängt vom Gesetzesentwurf an, bis hin zur Planung eines Studiengarnis oder irgendwelchen Softwareentwicklungen in der Wirtschaft etc. Genau, wie machen wir das jetzt? Wir müssen die Sprache anfassen, das heißt deswegen sind wir uns durch den Bund, das versteht man hier. Wir müssen die ganze Diskussion aufmachen und es muss gegenseitig Austausch stattfinden und da muss auch gesucht werden, weil das passiert momentan, es passiert viel z.B. deswegen sind solche Veranstaltungen von der digitalen Gesellschaft so wichtig, weil hier Leute und Experten aus ganz vielen Bereichen zusammenkommen und sich miteinander austauschen über bestimmte Themen. Sehr, sehr wichtig. Also interdisziallität, Diversität ist immer gut, interdisziallität auch und bei Security sind wir gut. Und da gibt es die halt noch nicht so beständig. Genau. Also das muss ihnen erreicht werden, dass die Leute aufeinander zuwählen. Und dann brauchen diese Leute vor allem die Typen, die ich ja mit dem Anfang vorgestellt habe, die brauchen Anlaufstellen, Vertrauenswürdige. Die haben sie noch nicht momentan. Also ein paar aufgezeigt in der Schweiz. So ein paar Leute, die Informationen zur Verfügung stellen für unbedarfte Nutzer und Zerrin, sag ich das mal, wo Leute sich Informationen holen können und es sich informieren können. Aber das Problem ist, dass es noch kein einheitliches Worden gibt, z.B. das Ding, es sind komplexe Sachen, die der allgemeinen Nutzer und Zerrin nicht sofort verstehen kann. Das heißt, bei der einen Kratfung wird von Cybermobbing bei der nächsten Cyber-Bullying, bei der nächsten Cyber-Appressung, was für sich das gleiche Rendsomware, Sex-Torschen, was sind als Begriffe mit den verschiedenen Plattformen und verschiedenen Kommunikationsorganen um sich schmeißen, wenn die es wirklich einheitlich kommuniziert und für den allgemeinen Nutzer, der sonst damit nicht beschäftigt, ist das sehr schwer zu verstehen und zu differenzieren. Genau. Das heißt, auf organisationaler Ebene braucht es Leute, die sich in der Gesellschaft als Anlaufstelle irgendwie präsentieren, dass sie eine Zuge der nationalen Cyber-Strategie ist das jetzt auch mit aufgenommen für die Schweiz. Genau. Und im privaten Leben auch am besten. Da ist dann jemand hier, die sich vorhin gemerkt hat, Melche haben am Security-Experten, gerne einbischen in irgendwelche Online-Dissessionen, als dem, die nur singen und betenden, so ein bisschen vorder. So was. Nur ein ganz kurzes Beispiel, was ich ziemlich cool fand letztens, wenn Sie dann sehen und zwar im Kommentar, von diesem Post, von dem ich ein Browser behalte, zum Ende deiner Passwort habe. Da ging es darum, ist der Passwort sicher und es untersteht, dass es egal, weil der Server der Anbieter mit mir denkt, das ist der Passwort. Und da gab es vorhin eine Unterhaltung mit Michaela und so was, die sagt ja, ja, das ist ja lustig, aber stimmt alles eigentlich nicht so richtig, dass sie nicht verhekt werden, ist ein Passwort ja gehasht oder so. Daraufhin fragt mir ihnen zu Recht, weil es ist kein Expertenfogum, sondern es ist Facebook, fragt sie zu Recht, ja, scheinbar soll das, sondern das heißt, das habe ich nicht verstanden. Und Michaela sagt nicht, das ist mir auch egal, sondern er nimmt sich, er nimmt diejenige Ernst und versucht zu erklären, was Cashe heißt. Immer noch ein bisschen zu technisch, für meine Überfahrer immerhin erinnert sie ernst, um sich noch mal frage zu stellen, einen Tag später. Und dann noch ein Kamersteilfragen, nein, ich muss sich zuvor, in der Schule gehen, falls die Frage in die Tofe ist oder so. Und Michaela sagt auch dann, lehnt ihn auch da nicht ab, sie fragt, erklärt ganz nett und ich habe deine Frage nicht verstanden, aber wenn du das und das meinst, dann ist das so und so und so. Das ist, er hat seine Frage eingepasst, er hat sich geöffnet, so was wäre cool, wenn man das öfter sieht. Also, zum Abschluss, noch mal ganz kurz zum Zusammenfassung, was irgendwie ein bisschen mehr passiert muss, das ist, dass Security im Allgemeinen ein sehr schreckliches Kurs eine Rolle spielt. Dazu müssen wir, ich sage es noch nicht, dass Security Community oder Teil der Security Community unsere Sprache anpassen, wir müssen uns öffnen und Zusammenarbeit überhaupt ermöglichen, auch andersherum nicht nur rausgehen in die anderen politischen Teilen, sondern vielleicht auch mal reinholen, so wie es hier passiert, zum Beispiel und wir müssen irgendwie anlaufstellen, Amen. Wir haben hier noch die Pfennelden, weil vorhin kommt der Erinnere aller Unterfassungen.