Erlijn van Genuchten – Gehacked! Die größte Sicherheitslücke bist du selbst

00:00:03: Erfolg braucht Verantwortung, der Podcast von und mit Udo Gast.

00:00:11: Podcast Folge

00:00:13: twohundertundneunachtzig

00:00:15: Dr.

00:00:15: Erlein van Genuchten gehackt!

00:00:18: Die größte Sicherheitslücke bist du selbst?

00:00:21: Ja wie sicher sind deine Daten wirklich?

00:00:24: Und bist Du vielleicht selbst die größte Schwachstelle?

00:00:27: In dieser Folge des Experten Talks Erfolgbrotverantwortung spreche ich mit Dr.

00:00:33: Erlein van Genuchten über die oft unterschätzten Risiken im digitalen Alltag.

00:00:40: Sie ist ethische Hekterin, also eine von den Guten und sie zeigt eindrucksvoll wie einfach Passbötter gehackt werden können um warmlich Technik sondern menschliches

00:00:51: Verhalten

00:00:52: das größte Einfallstour für Angriffe ist.

00:00:55: Wir sprechen über Social Engineering Daten als Neuwährung und darüber, wie Manipulation durch gezielte Informationen funktioniert.

00:01:05: Erlein erklärt warum Unternehmen Cyberrisiken massiv unterschätzen – und weshalb die Formulierung uns trifft es nicht einer der gefährlichsten Denkfehler

00:01:15: ist.

00:01:16: Gleichzeitig gibt's sie konkrete sofort umsetzbare Tipps für mehr Sicherheit von Passwortstrategien bis hin zu zwei Faktor-Authentifizierungen.

00:01:28: Erfolg braucht Verantwortung.

00:01:31: Noch mehr bedarf es kompetente Begleitung auf dem Weg zum Erfolg.

00:01:35: Weise

00:01:36: Unternehmer holen sich Rat

00:01:38: von denen, die den Weg schon gegangen sind und die Abkürzungen kennen.

00:01:42: Die Kontaktadresse von

00:01:44: Ulu-Gast

00:01:44: finden Sie direkt in den Shownotes.

00:01:49: Es geht wieder einmal los!

00:01:50: Ganz herzlich willkommen zu einer neuen Ausgabe von Erfolg Braucht Verantwortung Und heute.

00:01:57: ich bin ganz stolz, heute habe ich eine echte Heckerin dabei Eine echte Heckerin und nun werden die Leute zusammen zu sagen, oh mein Gott eine Heckere.

00:02:05: Aber sie ist einer von den Guten.

00:02:06: also es gibt ja schwarze Hacker Blackhacks und es gibt White Hackers Und Sie gehört zu den white hackers Dr.

00:02:14: Erling van Genuchten.

00:02:16: herzlich willkommen

00:02:17: Dankeschön.

00:02:17: ich freue mich da zu sein.

00:02:19: Ich hoffe ich habe deinen Vornamen richtig ausgesprochen.

00:02:24: Also es gibt viele Möglichkeiten, das auszusprechen.

00:02:26: Weil ich komme ursprünglich aus der Niederlande also auf Niederländer spricht man's Airline aus und meiste sage ich.

00:02:32: man kann mich Airline nennen weil Airline sowie die Fluggesellschaft auf Englisch.

00:02:36: das können auch alle aussprechen und das macht es am leichtesten für die meisten.

00:02:41: Ja, du bist ja Physikerin.

00:02:43: Du bist Nachhaltigkeits-Expertin und du interessierst dich für das Thema Risikokompetenz, Cybersecurity?

00:02:50: Du gehörst zu den ethischen Hackern.

00:02:52: jetzt mal eine Frage wie bist du überhaupt in das Thema Hacken oder Cyber Security gekommen?

00:02:58: Du

00:02:58: hast doch auch glaube ich Mathematik studiert,

00:03:00: oder?!

00:03:01: Nee, das habe ich nicht zu dir erziehungswissenschaften.

00:03:05: Also auch trotzdem was ganz anderes.

00:03:08: Um ehrlich zu sein ist es ein bisschen Zufall gewesen weil ich hatte da vorne eine Stelle ein bisschen weiter weg und musste hier an jeden Tag anderthalb Stunden hin und anderthals Stunde zurück reisen und irgendwann war mir das zu blöd und hab eine stelle bei mir in der Stadt in Tübingen gesucht.

00:03:22: Und hier gibt es eine Unternehmen, die sich spezialisieren auf sogenannte PEN-Tests, Penetration Tests.

00:03:28: Das sind solche Hackeraufträge und da habe ich eine Stellerausschreibung gefunden und so bin ich in das Thema eingestiegen weil sie mich eingestellt haben.

00:03:37: Das ist schon ähnliche Jahre her aber das Thema hat mich so gefesselt dass ich danach nie wieder ausgestiegen bin.

00:03:45: Da gab es ja wahrscheinlich auch einen Schlüsselmoment wo du gesagt hast Das ist ja interessant, was so alles möglich ist.

00:03:52: Ja also wenn man sich mit den Themen beschäftigt dann geht eine einfache ganz neue Welt auf weil es ist normalerweise die versteckte Seite von der digitale Welt.

00:04:02: wir sehen die Webseiten sind unsere mobile Apps aber was im Hintergrund passiert?

00:04:07: Was alles hin und her geschickt wird zwischen Computern das kriegen wir normalerweise nicht mit.

00:04:12: Aber wenn man als Weithat Hacker damit beschäftigt sieht man eben was passiert und auch, was man alles ändern kann.

00:04:19: Und was dann auch passieren kann wenn man bestimmte Sachen ändert.

00:04:23: Das kann man sich, wenn man normal das Internet nutzt gar nicht vorstellen.

00:04:27: Deswegen war es super spannend zu sehen und auch die Kreativität, die es braucht um dann es anders zu machen als wie vorgesehen ist, um diese Sachen rauszukitzeln und herauszufinden – das macht einfach Ruppe viel Spaß!

00:04:41: Erleihen kennengelernt auf der Winterkonferenz der German Speaker Association.

00:04:47: Und sie hat live vorgeführt, wie wir Passwörter erraten oder rauskriegen können!

00:04:55: Ich war ziemlich fasziniert euch, habe gesagt ne das geht ja nicht ist ja klar also dass ich glaube Was ist das meistverwendete Passwort?

00:05:02: Eins, zwei drei vier fünf sechs oder wie ist es?

00:05:04: Also das ist auf jeden Fall eine der häufigsten.

00:05:07: I love you so glaube ich auch sehr häufig und vielleicht eins, zwei, drei, vier fünf und Querts oder Querte je nachdem welche Tastatur man hat kommt auch häufig vor.

00:05:18: Ganz kompliziert ist es mein Geburtsdatum.

00:05:21: Ja genau!

00:05:21: Das kann ich überhaupt nicht erraten und nirgendwo finden.

00:05:24: also...

00:05:27: Ich war schon ziemlich fasziniert, aber auch natürlich ein bisschen geschockt wie einfach das möglich ist.

00:05:33: Bevor du mal so ein bisschen beschreibst, wir reagieren Menschen darauf wenn du ihnen zeigst wie einfach es ist ihre Passmörder zu hätten.

00:05:42: Also die meiste sind tatsächlich so wie du schockiert weil wie gesagt das ist in der versteckte Seite der digitale Welt die man so nicht mitbekommt.

00:05:51: und ja deswegen Fällt, wie sagt man auf Deutsch, fällt immer die Kinderlade runter.

00:05:59: Weil das dann plötzlich sichtbar wird, weil ich zeige das auch gerne damit man es nicht nur darüber erzähle sondern auch zeige und da bleibt das sehr gut hängen und das sorgt dann häufig dafür dass Leute ihre Passworte ändern und noch besser sie ändern Schwierige Passworte in so ein Computerprogramm und Passwort Safe zu speichern, damit man auch das Passwort nicht wiederverwendet muss.

00:06:24: Weil wieder verwendete Passwords ist auch eine große Gefahr.

00:06:27: Dann leben wir ja an einer Welt, in der es zwei entscheidende Währungen gibt.

00:06:32: Das eine ist die monetäre Währung egal wo wir sie haben.

00:06:35: Und das andere ist die Währungsdaten.

00:06:38: Es ist unglaublich wie viele Daten gesammelt, wie ein China ist.

00:06:41: ein wunderbares Beispiel dafür.

00:06:44: Ich weiß nicht, wieviel Millionen Kameras es gibt in China und all diese Kameras haben Daten in Form von Videoformaten und die arbeiten ja auch mit KI Software zusammen.

00:06:54: das heißt also wenn wir beide dort im Chiner in Hongkong irgendwo über den Zebra Streifen laufen würden und sagen die roten Ampel ist uns völlig egal Wir laufen da mal so rüber dann würden wir sofort erkannt werden und auch uns würde man sofort erkennen.

00:07:08: Udo und Erling, die sind darüber gelaufen.

00:07:11: Die kriegen Punkteabzug!

00:07:13: Na gut wir sind ja nicht Chinesen aber das ist dort sehr komplex.

00:07:17: wie machen die Chinesens das als große Datensammler?

00:07:21: Genau also wie Chinas das Bezirkes machte?

00:07:24: das weiß ich nicht Aber du hast in vielen Verrechten dass unglaublich viele Daten gesammelt werden.

00:07:28: Für mich halte ich bei einem Kopf, wenn ich irgendwie eine Dienstleistung kostenlos bekommen kann.

00:07:34: Dann ist sehr wahrscheinlich dass die Daten die Währungen sind und die Daten verkauft werden weil jede Dienstleistungen kostet Geld um das aufzubauen und also mal auf und zu halten.

00:07:45: die Server, also die Computer, die diese Dienst zur Verfügung stellen.

00:07:49: Die brauchen natürlich Strom und deswegen ist es sehr wahrscheinlich dass da irgendwas für Freude verkauft wird um das am Leben zu halten.

00:07:57: Genau!

00:07:57: Und was das dann genau ist?

00:07:59: Das weiß man natürlich nicht.

00:08:00: Man weiß auch erst recht nicht an wen es verkauft werden und dann weiß man auch nicht wie die Daten dann verwendet werden.

00:08:07: Was auf jeden Fall häufig passiert ist dass Daten auch zusammengeführt werden also dass aus verschiedenen Quellendaten eingekauft werden oder gesammelt werden und dann kombiniert werden mit anderen Daten, sodass sie noch mehr wert werden.

00:08:20: Weil klar ist es interessant für einen Angreifer zu wissen wo du zum Beispiel wohnst und welchen Beruf du hast und so weiter.

00:08:31: aber wenn man das auch noch kombinieren kann mit deinem Einkauf verhalten und vielleicht politische Überzeugungen Und noch vieles mehr, dann kann das immer wertvoller werden für diejenigen, die genau deinen Profil mit der Kombination von deinem Alter Wohnort und so weiter brauchen um genau das dir zu verkaufen was sie verkaufen wollen.

00:08:53: und genau deswegen die Kombination von Daten.

00:08:56: Und deswegen bin ich ja so vorsichtig, also ich mag das nicht!

00:08:59: Also ich habe weder eine Lidl-App noch eine Kaufland-App weil ich ganz genau weiß es gibt ja nur darum, also die wollen mein Alter wissen, die wollen Aha dann natürlich meinen Koffer halten wissen Wohnort mich spezifisch bewerben und wollen natürlich wissen Aha in dieser Gruppe der älteren Herren über sechzig wird das und dass am häufigsten verkauft.

00:09:19: also muss man sehen, dass wir diese besonders ansprechen.

00:09:22: Und das ist ja mal die erste Frage, wenn du an eine Klasse gehst.

00:09:25: Haben Sie eine Kauflandkarte?

00:09:26: Ich habe gesagt, ich tut mir leid.

00:09:28: Die kann ich mir leider nicht leisten.

00:09:30: Denn ich möchte nicht so viele meiner Daten heiß geben!

00:09:33: Das ist ganz gut.

00:09:34: Ja.

00:09:35: Ich würde mir wünschen darüber haben wir Eingangs gesprochen.

00:09:37: also wenn man vielleicht mal um die Pascal-Wörter für den Social Media Account von Donald Trump hätte oder von Elon Musk oder ähnliches dann wäre es schon ganz hilfreich.

00:09:45: Dann könnte man ja manipulieren und darum geht es ja auch dass man mit Daten manipulierend kann.

00:09:54: Also wenn ich zum Beispiel weiß was dein Kaufverhalten ist, also sonst und ich habe ein bestimmtes Produkt.

00:10:01: Und ich möchte dass du das auch kaufst dann kann sozusagen meine Werbung so individuell gestalten, dass es für dich so attraktiv wie möglich ist.

00:10:10: Das ist dann keine Garantie das du es kaufst weil jetzt gibt natürlich auch andere Faktoren die das entscheiden aber die Wahrscheinlichkeit wird größer und das ist natürlich auch ein Form von Manipulieren ne?

00:10:20: Das ist keine Garanti Aber die Wahrscheinlichkeit wird größerer Und genau das ist dann auch für Unternehmen wichtig Dass sie ihre Verkaufsdahlen erhöhen.

00:10:31: Oder man kann das natürlich auch in anderen Bereichen.

00:10:33: Man kann es natürlich auch verwenden um politische Blickwinkel zum Beispiel zu beeinflussen, indem man bestimmte Nachrichten an Personen spezifisch verschickt, wovon man weiß dass die wahrscheinlich gut ankommen und von denen angenommen werden und ihren Meinung möglicherweise beeinflüssen.

00:10:51: Also ganz klar, da geht es auch um Manipulation mit vorhandenen Daten und durch andere Daten Menschen zu manipulieren in ihrer Meinung.

00:11:00: In ihrem Abstimmverhalten oder ähnliche

00:11:02: Dinge.

00:11:02: Genau!

00:11:03: Es geht nicht nur immer darum Geld von anderen Konten zu bekommen sondern es geht eben darum auch Menschen zu manipulieren.

00:11:10: Genau also es gibt viele verschiedene Gründe.

00:11:12: Es gibt aber auch Angreifer die zum Beispiel die Daten nutzen um z.B.

00:11:18: eine Lieblingsbeziehung aufzubauen oder zu tun als ob und dann irgendwann zu sagen, oh ich habe hier einen Notfall kannst du mir bitte Geld überweisen?

00:11:25: Und dann einfach so ein Betrugfall in die Wege leiten.

00:11:30: und das ist natürlich auch kritisch.

00:11:31: und je mehr Daten man immer der Person hat desto besser und einfacher ist es auch selber ein Profil zu erstellen worauf die Person wahrscheinlich eingeht und möglicherweise verliebt wird dass alles kann sehr hilfreich sein.

00:11:47: Engartigerweise sitzen dir, ich glaube die Hauptstadt dieser Slav-Scamming ist so Namibia oder Ghana oder afrikanische Ländern wo du sagst da ist doch gar nicht so viel Infrastruktur im Gegenteil.

00:12:02: Also die Infrastruktur die man dafür braucht kann sehr ausgetüftet sein.

00:12:06: es gibt sogar ganze Coal Center sozusagen mit Leuten die dann arbeiten um eben solche Liebesbeziehungen aufzubauen das Geld zu verlangen.

00:12:18: Das hängt natürlich davon ab, wo... Also ich weiß auf jeden Fall auch von anderen Ländern.

00:12:22: Ich weiß nicht genau, wo in der Welt sie sind auswendig.

00:12:26: Ich kenne auf jeden fall einen da auch in Asien und ja, dass ist Cybercrime.

00:12:30: Das ist nochmal wieder eine andere Sparte sozusagen als Cyber-Sicherheit weil das ist sozusagen die Ja also des Missbraufen von Leuten und das Geld Ja, zu verlangen irgendwann die Cyber-Sicherheit.

00:12:44: Die fokussiert sich einerseits natürlich auf das Angreifen so wie ich mache aber immer mit dem Ziel wenn man das als Whitehead Hacker macht oder Ethischhacker nennt man es auch natürlich immer mit den Zielen dass die Unternehmen die meine Unterstützung einholen dann auch danach sich sicher machen können zum Beispiel ihre Webseite sicher machen oder ihre mobile App oder ihre Infrastruktur im Unternehmen und so weiter.

00:13:11: Jetzt lasst uns nochmal konkret werden.

00:13:13: Also in vielen Filmen, gerade so Agentenfilmen oder ähnliches sieht man immer wieder das.

00:13:17: Leute versuchen irgendwo in ein Rechner einzudringen und es gelingt ihnen dann mal sehr schnell.

00:13:21: die gucken dann irgendwo hier und sagen aha da ist eine Aha!

00:13:24: Das ist die Frau Geburtsdatum der Frau Da ist ein Bild und dann heißt das Passwort so und so Nee, das ist ja eigentlich blöd.

00:13:30: So funktioniert es gar nicht!

00:13:32: Du hast uns gezeigt wie es funktioniert?

00:13:35: Wie funktioniert es denn Schritt für Schritt zu einem Passwort zu erraten und was kann man dagegen tun?

00:13:43: Also tatsächlich ist es nicht so einfach in der Praxis und es hängt sehr vom Kontext ab wie schwierig es ist.

00:13:50: also im Optimal Fall wird man eingeschränkt als Angreifer um die Anzahl Passwörter zu erraden und wenn ich zum Beispiel fünf Mal ein Passwort oder Versuch zu erraten, dass dann dadurch das Konto gesperrt wird.

00:14:05: So was ist optimal, dann ist es super schwierig im Passwort zu erraden.

00:14:09: Wenn das aber offen ist, dann gibt's zum Beispiel die Möglichkeit einfach alle Passwörter auszuprobieren – das nennt man Brute Force -, dann versucht man einfach A, A, B und C usw.

00:14:22: Und je länger das Passwort und desto mehr unterschiedliche Zeichen man hat, also Zahlen, Großbuchstaben und Kleinbuchstabe usw.

00:14:30: Das ist so schwieriger zu erraten.

00:14:33: Und das macht es für mich sehr viel schwieriger und kann wenn es ein richtig langes Passwort ist über zwölf Zeichen aktuell so lange dauern dass es unwahrscheinlich ist, dass ich sie überhaupt heraten kann.

00:14:45: was es für mir wieder einfacher macht ist wenn jemand einen Passwort hat was sehr häufig vorkommt wie du am Anfang gesagt hast oder irgendein Wort, das in irgendeinen Wörterbuch vorkommt.

00:14:59: Weil es gibt Angreifer die haben so riesen Liste mit tausenden von Passwörtern und anstatt alles einfach mal auszuprobieren, probieren sie einfach die Liste aus.

00:15:10: Und wenn mein Passwort dann in diese Liste ist, ist die Wahrscheinlichkeit dass ich's erraten kann auch viel größer.

00:15:16: Deswegen ist es wichtig nicht nur ein langes Passwort zu nehmen, aber auch eins das in kein Wörterbuch vorkommt indem man zum Beispiel zwei Wörte hintereinander schreibt oder einen Wort mit noch irgendwie andere Informationen die auch nicht leicht zu erraten sind.

00:15:35: Genau und am besten ist es wenn man ein sehr langes passwort hat dass man nur einmal benutzt das also einfach auch wenn es geklaut wird von der Seite, wo man das benutzt hat.

00:15:47: Dann nicht auch für eine andere Webseite zum Beispiel verwenden werden kann.

00:15:50: Weil wenn man da unsere sichere Seite zum Beispiel seinem E-Mail Adresse und dann dieses Passwort hat.

00:15:56: Und dann auch bei Amazon zum Beispiel.

00:15:59: Da kann ich das Passwort hier klauen und dann zu Amazon gehen und dort auch das anwenden um mich dort auch anzumelden.

00:16:07: oder noch schlimmer Wenn das Password ist für die E-mail Adresse weil vielleicht mich nicht in Amazon anmelden, aber sagen.

00:16:15: Oh ich habe mein Passwort vergessen und dann wird an deine E-Mail Adresse einen Link geschickt, dass du dein Passwort zurücksetzen kannst.

00:16:22: Und genau wenn ich dann Zugriff auf deine E‑mail Adresse hab, kann ich von ganz vielen Kunden das Passwort zurücksetzen und hab dann auch auf ganz viele Kunden Zugriffs.

00:16:34: Das ist ja ein Horror Szenario!

00:16:36: Ja tatsächlich deswegen ist es super wichtig, ein Passwort nie wieder zu verwenden.

00:16:41: Nun gibt es ja so genannte Passwortmanager wie XQPass und ähnliche, die sind sehr hilfreich.

00:16:48: Meistens werden wir ein bisschen faul und sagen ne da wo sie nicht schreibt mir das irgendwo auch, ach kurzwo habe ich den Zettel jetzt.

00:16:52: Ne dann mache ich eine Acceler-Teil, dann gebe ich das rein in der Acceler Teil hier dieses Weißer ungeschützt und sowas und dann entsteht dann auch in dieser Acceler Teile PasswortManager drin und der Hacker der möglicherweise von draußen kommt, oh das ist ja cool!

00:17:06: Das ist die Datei wo alles drin steht.

00:17:09: Denn es ist ja heute nicht mehr so, wie wir früher geglaubt haben.

00:17:15: Heckt dein System und sofort ist alles schwarz, sofort passiert nie.

00:17:20: Die sind heute etwas schlauer die sagen dann lass es doch erst mal ein zwei drei Monate gucken was auf deinem Rechner so passiert.

00:17:28: Und dann denkst du ach du meine Güte jetzt ist alles Schwarz.

00:17:31: Jetzt sehe ich da ist ein Hacker drauf schnell das Backup aufspielen aber das Back-Up ist schon verseucht weil seit mehreren Monaten da schon jemand drin ist.

00:17:40: Ja

00:17:41: genau Das kann tatsächlich passieren.

00:17:44: Das sind die Angreifer, die sehr viel Zeit haben und auch eben tiefgehendere Angriffe durchführen möchten.

00:17:51: Und genau deswegen ist es auch wichtig eine gute Backup Strategie zu haben, dass man auch Backups, die etwas älter sind noch hat.

00:17:58: so das werden sowas passiert.

00:18:00: Man auch dann noch ein älteres Backup hat, das nicht verseucht ist.

00:18:05: aber ja je nachdem wie lange das da schon drin ist kann es sein, dass das zu weit zurück liegt und man einfach kein Backup mehr hat.

00:18:13: Deswegen ist Vorbeugen auch natürlich noch besser.

00:18:16: Und ja, wenn sie dann da drin sind auf dem Laptop zum Beispiel irgendwie ein Programm installiert haben zum Beispiel, dann können Sie das nicht mal nach Hause telefonieren je nachdem, was für ein Programm es ist.

00:18:27: Aber nach Hause telefonieren bedeutet das ist der Kommunikationskanal mit dem Angreifer geben kann und der angreifer kann dann auch häufig Kommandos also Befehle auf den Computer ausführen und diesen Computer von dort aus irgendwas anderes machen oder diesen Rechner nutzen in einem sogenannten Botnet.

00:18:47: Und im Botnet ist eine riesige Anzahl vom Rechnen die alle von dem Anggreifer gesteuert werden.

00:18:53: können diese ganz viele Rechnern und zusammen irgendeinen Ziel angreifen, um zum Beispiel eine wichtige Webseite oder so lahm zu legen.

00:19:03: Also auch so kann man Teil eines Angriffs werden wenn an Angräfe deinen Rechners nutzt, um ein anderes Ziel anzugreifen.

00:19:12: Das muss man so verstehen.

00:19:13: Ich kann ja, wenn ich ein Passwort will, gebe das von Hand einen fünfzehn-zwanzig-dreißig-fünfzigmal und dann habe ich keine Lust mehr.

00:19:21: Man kann es natürlich elektronisch machen in dem ganz viele Kombinationen durchgespielt werden und du hast von dieser Liste gesprochen und da ist einfach ein Rechnealgorithmus dahinter und der nicht mal Sekundentakt sondern ein Zehntel-Hundertsel-Sekundentak diese Passwerte eingeht.

00:19:38: und bing auf einmal ist das Ding offen.

00:19:40: also ah!

00:19:41: Das war's ja

00:19:42: Ja.

00:19:42: Hast du eine Strategie für die, in ihr ist ein Passwort Manager und ich muss da rein?

00:19:47: Und das dauert ... Wie sollte man seine Passwörter wählen und gestalten, dass sie möglich sicher sind?

00:19:55: Also meine Empfehlung ist so einen Passwort-Manager zu wählen um diesen Password-Managern ein Pass Wort generieren zu lassen.

00:20:04: Ich nehme immer Passworte, die sind fünftig stelle ich.

00:20:06: Das ist viel zu lang, also unnötig lang.

00:20:09: Aber weil die da drin gespeichert sind, ist es egal.

00:20:13: Weil ich kopiere die da einfach raus und muss sie nicht abdippen.

00:20:16: Deswegen ist das egal aus praktische Gründe ob es zwanzigstellig ist oder fünftigställig Genau, dann ist es einfach da drin.

00:20:27: Dann kann man auch eben für jede Webseite, für jede Anwendung und so weiter ein eigenes Passwort wählen weil man sich die nicht merken muss.

00:20:33: das einzige was man sich merken muß ist das Passwort um diesen Passwort safe aufzumachen damit man die Passworte daraus kopieren kann.

00:20:41: Das heißt natürlich Passwort?

00:20:44: Ja also das wäre dann tatsächlich auch wieder umgeschickt weil das wieder leicht überraten ist.

00:20:50: Also da ist es auch wichtig, ein wirklich gutes Passwort zu wählen.

00:20:53: Aber man kann auch einfach einen Satz nehmen, den man sich hier sehr leicht merken kann die anderen nicht erraten können.

00:21:00: und genau der Vorteil davon verglichen mit einem einfacher Datei wie eine einfach eine TXT-Datei oder Excel Liste oder so ist dass die passworte in dem Programm gespeichert sind.

00:21:13: sie sind verschlüsselt.

00:21:14: das heißt Auch wenn an Angreifer diesen Daten, die in diesem Password-Safe gespeichert sind kopiert und das Masterpasswort also das lange Passwort um das Programm zu öffnen nicht kennt dann kann ihr die Daten nicht einsehen.

00:21:28: Und das ist bei Excel Listen... Also natürlich deutlich einfacher kann man einfach aufmachen.

00:21:34: und auch wenn man da einen Passwort zu dieser Datei dann es ist trotzdem nicht verschüsselt.

00:21:40: das ist also nicht sicher genug Und deswegen sind diese Password-Manager so hilfreich.

00:21:45: Wenn man das Programm eins generieren lässt, dann ist man normalerweise auf der sichere Seite.

00:21:50: Das sind denn die größten Denkfehler von Unternehmen?

00:21:53: Du betreust ja auch sehr häufig Unternehmen mit dem Thema Cybersecurity.

00:21:59: Der große Denkfehlern ist das Vorbeugen und Prüfungen, dass es teuer ist.

00:22:07: keine günstige Dienstleistung, aber wenn es schief geht ist so viele Male teuer und kann sogar zu Insolvenz führen von einem Unternehmen.

00:22:16: Und auch wenn man Rufschäden hat, weil man irgendwie gehackt wurde das ist so viel teurer als diese Dienstleistungen die man sich einkauft um es vorzubeugen dass es eigentlich teuer ist nicht zu machen.

00:22:28: Das der Mensch ist die größte Sicherheitslücke.

00:22:31: was heißt das konkret im Unternehmen?

00:22:34: Genau, das wird häufig genannt im Kontext von Angriffe die über Menschen laufen.

00:22:39: Also es gibt einerseits technische Fehler wenn zum Beispiel eine Webseite in der Schwachstelle hat und ich kann diese Schwachställe ausnutzen aber es gibt natürlich auch Menschen die in Unternehmen arbeiten.

00:22:49: und wenn ich z.B.

00:22:50: als angreifend dich anrufe und sage hey!

00:22:53: Ich bin von der IT-Abteilung Es gibt hier ein technisches Problem, ich brauche dringend einen Benutzernamen und Passwort um das Problem beheben zu können Und du bist gerade in Stress oder du hattest gerade einen Anruf von der IT-Abzählung erwartet.

00:23:07: Oder irgendein Grund und du denkst, oh ja wichtig!

00:23:10: Du gibst Benutzennahmen und Passwort dann ist es in den Händen vom Angreifer geraten und somit können sie ganz leicht anmelden und müssen das Passwort gar nicht mehr erraten sondern haben es.

00:23:22: Da kann es auch fünfzigstellig sein.

00:23:23: Das ist dann auch egal.

00:23:25: Deswegen nennt manche der menschliche Schwachstelle weil Menschen einfach gerne hilfsbereit sind, andere im Prinzip erst mal vertrauen und deswegen ist häufig vorkommt dass solche Angriffe gelingen.

00:23:41: Heute im Zeitalter von KI es ist ja noch einfacher die etwas vorzumachen.

00:23:47: wir sprechen ja auch von Social Engineering wir sprechen von CEO Fraud wo du glaubst wie beim Enkeltrick oh der Chef ruft an den Chef Buchhalter in den Sacken.

00:23:59: Frau Müller, heute noch ganz wichtig dieser Kunde, der springt uns sonst ab.

00:24:03: Der muss heute noch neunhundert, äh, seventy-tausend Äh überwiesen bekommen.

00:24:07: und wenn er sagt neunhuntern, dann ist das schon ein bisschen besser als die meisten anderen, die sagen nämlich Rundesummen, ja da müssen wir doch eine Million heute überweisen, dann sollte man ohnehin schon skeptisch sein, naja wie so eine Million?

00:24:20: Was tut man in dem Fall um den vorzubeugen?

00:24:23: Mhm

00:24:23: genau!

00:24:24: Also du hast recht, dass die KI sehr hilfreich ist.

00:24:26: Weil vielleicht kannst du dich daran erinnern das früher also vor, keine Ahnung, fünfzehn Jahre oder so noch so E-Mails mit solchen Links verschickt wurden, die dann voller Fehler waren?

00:24:37: Jetzt mit der KI kann man solche E-mails viel sauberer schreiben und auch deutlich leichter übersetzen in verschiedenen Sprachen und mit den neuen Techniken, indem man Stimme nachmachen kann oder sogar ein Bild, ein Video machen kann.

00:24:51: es ist viel einfach zu tun als ob die Person das wirklich dann auch verlangt.

00:24:56: Wenn man so eine komische Anfrage bekommt und denkt, kann das tatsächlich stimmen?

00:25:01: Dann ist es extrem wichtig ein anderer Kanal zu wählen um das noch mal zu verifizieren weil die Wahrscheinlichkeit dass der Angreifer diese andere Kanal auch in dem Moment im Griff hat und manipulieren kann, die ist nicht so groß.

00:25:17: Das heißt zum Beispiel Wenn man einen Anruf kriegt vom Chef und er sagt, hey kannst du diese neuntausend usw.

00:25:24: was du gerade gesagt hast überweisen?

00:25:26: Dann einfach auflegen und direkt zum Chef, zum Büro gehen und fragen.

00:25:33: Hey, hast du mich grade tatsächlich angerufen

00:25:36: oder... Ja wenn der Bürse ist dann kann man sagen oh entschuldigung wir wurden grad unterbrochen

00:25:40: Zum Beispiel in schlimmstem Fall und ich denke man kann besser dann als versehene zu viel nachfragen, als zu wenig.

00:25:47: Oder wenn die Nachfrage über E-Mail kommt dass man dann noch mal anruft und nicht die Nummer nehmen die in der E-mail steht sondern eine Nummer die man eh schon von dieser Person hat weil ein Angreifer kann natürlich die Nummer in der e-mail selber auch manipulieren und also jedenfalls andere Kanal.

00:26:03: oder wenn man einen Brief bekommt dann einfach auf der Webseite gehen und dort die Nummer suchen und anrufen, so was.

00:26:10: Das ist auf jeden Fall sehr hilfreich um zu prüfen ob die Anfrage diesen Auftrag auch tatsächlich legitim

00:26:16: ist.".

00:26:34: nicht vermutlich gehalten, dass dieser Person das untergekommen ist.

00:26:37: Nein aber die hat so verzweifelt geguckt am Telefon.

00:26:43: Was tut man da um sicherzustellen?

00:26:46: Ist es diese Enkelin oder ist wirklich die Person die ich kenne?

00:26:51: Ja, also wenn man so eine Anfrage kommt ist es auf jeden Fall wichtig erstmal durch zu atmen.

00:26:57: Weil Angreifer die setzen sehr gerne auf diesen Zeitdruck weil wenn man Zeitdruckspürt dann bekommt man Stress und unter Stress kann man nicht mehr so gut nachdenken.

00:27:05: Also deswegen ist es wichtig nicht sofort zu überweisen sondern vielleicht mindestens fünfzehn Minuten erst mal liegen zu lassen.

00:27:13: Und wenn möglich, wenn man weiß dass die Person noch mit einer anderen Person unterwegs ist dann versuchen diese andere Personen anzurufen und fragen hey gibt es da wirklich dieses Problem gerade?

00:27:24: oder ist das jetzt also ein Fake?

00:27:28: Wenn die Person alleine unterwegs ist.

00:27:32: Also ja dann ist es auch wichtig zu überlegen wie wahrscheinlich ist, dass das tatsächlich passiert ist.

00:27:37: Ist es auch einen richtigen Ort vielleicht auch ein paar Nachfragen zu stellen Um zu prüfen, ob das wichtig ist hängt natürlich ein bisschen vom Kontext ab.

00:27:46: Aber je mehr Informationen man hat um in Ruhe entscheiden zu können, ob es jetzt legitim ist oder nicht desto besser.

00:27:53: Also ich würde jetzt wenn aufgeregt eine weibliche Stimme am Telefon zufällig hat man mich rausgefunden weil ich weiß aber den Tochter und die würde jetzt anrufen und sagen oh Papa es ist passt!

00:28:05: Und ich würde dann natürlich sofort fragen ach Airline bist du es?

00:28:09: Und da kann man ganz sicher sein, dass du es nicht sein kannst.

00:28:14: Ja ich bin es!

00:28:15: Und dann könnte ich sagen naja verloren... Du kannst das gar nicht sein.

00:28:19: Das gehört davon an.

00:28:21: und was ich sehr cool finde ist, dass man einen Familienkotwort festlegt, was keiner kennt.

00:28:28: Das darf ein bisschen ungewöhnlich sein und dann darf man danach fragen, sag mal wie lautet eigentlich das Wort, das wir über festgelegt haben?

00:28:37: Und wenn der Angreifer dann das nicht weiß, ist es ein Fake.

00:28:41: Das

00:28:41: ist auch eine Möglichkeit?

00:28:42: Ja.

00:28:44: Es ist schon cool!

00:28:46: Genau und dafür ist es wichtig sich bewusst zu sein dass sowas passieren kann damit man das eben vorher absprechen kann.

00:28:54: Wir sagen ja auch gerade viele Unternehmen der uns trifft das ja nichts.

00:28:56: also wir haben hier auch nicht so fürchterlich viel.

00:28:58: Nein das brauchen wir gar nicht.

00:29:00: Ist doch gefährliche Irrtum oder?

00:29:02: Ja genau es ist nämlich so dass viele angreifer gar nichts ist gar nicht persönlich nehmen sozusagen, also dass sie gar nicht irgendwie im Unternehmen persönlich angreifen sondern einfach Tools automatisch scannen lassen und die unterscheiden dann nicht zu welchen Unternehmen diese Ziele gehören.

00:29:23: Und deswegen kann es sehr gut sein das man Angriffsziel wird auch wenn man das Gefühl hatte ich habe gar keine interessante Daten.

00:29:33: aber es gibt unglaublich viele verschiedene Arten von Schwachstellen und auch eben verschiedene Gründe, warum Angreifer also ihre Angriffe durchführen.

00:29:43: Also Datenklauen ist zum Beispiel eine Möglichkeit aber auch was ich vorher gesagt habe an gerechnet Teil eines Botnets zu machen ist auch ein Ziel um eben diese Rechner andere Angriffe durchführen zu lassen.

00:29:58: Das heißt, dann hat man gar keine Daten die geklaut werden aber es kostet Ressourcen und Strom weil ein Angreifer das irgendwie nutzt und man wird Teil von einem Straftat obwohl man das gar nicht möchte und gar nicht im Blick hat.

00:30:15: Und genau so gibt es also viele Gründe die man vielleicht auch gar nicht in den Blick hat als Unternehmen.

00:30:22: Naja und du bist ja als Unternehmer, als Unternehmerin für den Schutz der Daten deiner Kunden verantwortlich.

00:30:29: Stell dir mal einfach vor ich bin jetzt Mediziner und sag ne ja also ihr Gott Datenschutz ja gut wäre.

00:30:35: Sollen die bei uns holen?

00:30:36: Ja aber ich habe eine Kartei von tausend Patienten um.

00:30:40: diese Patienten haben Krankheiten sensible Krankheit oder keiner von erfahren.

00:30:45: Jetzt stelle ich mir vor dass so eine Datenbank gehackt wird.

00:30:50: Also die hat Brustkrebs.

00:30:53: Der Typ, der hat eine Pneumonal-Allergie und ähnliches.

00:30:58: Ach mit den Daten könnte ich hier was anfangen!

00:31:00: Der Schaden, der dadurch entsteht dass du regressfähig bist ist immens groß.

00:31:05: Das halten wir uns gar nicht vor Augen oder?

00:31:07: Genau.

00:31:08: also gesundheitsdaten sind auch tatsächlich sehr geschützte Daten.

00:31:12: laut des DSGVO.

00:31:14: Die sind sehr sensibel müssen die extra gut geschützt werden.

00:31:19: Und die Unternehmen, die diese Daten erfassen sind dann eben dafür verantwortlich, die zu schützen.

00:31:24: und um eben die Verantwortung nachzukommen können sie zum Beispiel Leute wie mich beauftragen um zu prüfen hey prüf mal ob unsere Systeme tatsächlich sicher sind weil wenn solche Gesundheitsdaten öffentlich gemacht werden kann das den Ruf von von Leuten sehr sehr Schädigen oder Chancen die die Leute gehabt hätten wenn es nicht bekannt wäre.

00:31:47: Also entnehmen und das kann auch riesige Konsequenzen haben, deswegen sollen die so gut geschützt sein.

00:31:55: Für das normale Unternehmen ist doch eine absolute Sicherheit überhaupt nicht möglich.

00:31:59: Selbst bei großen Staaten oder ähnlichen Staaten ist es nicht möglich.

00:32:04: was können wir tun um trotzdem die Sicherheit optimal zu gestalten im Unternehmen?

00:32:10: Du hast recht, dass es gar keine optimale oder hundertprozentige Sicherheit gibt.

00:32:15: Wenn man das mit dem Haus vergleicht, da gibt's auch keine maximale hundert prozentigen Sicherheit.

00:32:21: Weil es gibt immer einen Schloss, das erhöht die Sicherheit erheblich.

00:32:25: aber mit genug Zeit kann ein Angreifer das Schloss trotzdem klacken Tür aufsegen und trotzdem rein spazieren.

00:32:32: Deswegen ist es immer wichtig für Unternehmen eine Balance zu finden zwischen Sicherheitsmaßnahmen, die die Sicherheit erhöhen und natürlich auch die Zweckmäßigkeit.

00:32:43: Also wie groß ist der Schaden, wenn eine bestimmte Tür aufgemacht wird?

00:32:47: Wenn das eine Tür zum Schuppen nebenan ist, braucht man dann nicht so dickes Schloss drauf machen als wenn es ein Schloss, also eine Tür zu einem Trisor ist

00:32:55: z.B.,

00:32:56: also genau da muss man die Balance finden und das bringt auch nichts, wenn man pleite geht weil man so teure Sicherheitsmaßnahmen gemacht hat.

00:33:07: Das ist dann eben nicht mehr zweckmäßig Genau, also das hängt auch vom Kontext ab und da können Leute so wie ich auch beraten um eben festzustellen was ist eine sinnvolle Maß an Sicherheit.

00:33:20: Und ich vergleich es auch sehr gerne mit dem Fahrrad, kommen wir aus den Niederlanden wie gesagt und es ist auch immer sinnvoll besser geschützt zu sein als das Fahrrad nebenan weil wenn gutes Fahrrad hat mit einem super dicken Schloss und neben mir steht ein Fahrrad mit dem super dünnen Schloss, dann ist die Wahrscheinlichkeit dass das Fahrrad nebendran aufgebrochen wird viel größer.

00:33:42: Weil es einfacher ist schneller geht man weniger schnell entdeckt wird als Angreifer.

00:33:48: und genauso sind in der digitale Welt je schwieriger es ist desto unwahrscheinlicher ist es, dass man gehackt wird und je größer ist auch die man als Unternehmen diesen Angreifer entdecken kann, bevor er oder sieht tatsächlich zu den wertvollsten Informationen vom Unternehmen kommen kann.

00:34:10: Es ist ja immer so auf der einen Seite gibt es einen Angreiper und auf die anderen Seite gibt's einen Verteidiger Künstliche Intelligenz die Welt des Hackers hackern dramatisch verändert ein bisschen zu seinen Gunsten.

00:34:23: Aber die Frage ist, wie können wir das als Verteidiger die künstlichen Intelligenzen nutzen um uns vor dem Hacker zu schützen?

00:34:31: Gibt es da Möglichkeit?

00:34:33: Ja also die künstliche Intelligenz kann natürlich genutzt werden um Angriffe schlaue durchzuführen aber kann auch genutzt werden, um die Verteidigungsschlauer durchzuführen.

00:34:43: Und zum Beispiel kann die KI genutst werden, sehr genau zu gucken was in einem Netzwerk im Unternehmen normalerweise passiert und wenn es dann irgendwelche Abweichungen gibt, dann kann die AI sagen hey ich habe da eine Abwächung entdeckt, da sollt ihr mal drauf schauen und KI kann viel schneller solche Analysen durchführen als wir Menschen von Hand machen könnten möglicherweise weniger schnell etwas.

00:35:07: Und deswegen kann es auch sein, dass wir mit KI schneller Angreifer entdecken und schneller sozusagen die Tür zumachen können damit der Angreifer wieder draußen steht.

00:35:18: Ich will nochmal auf ein letztes Thema zu sprechen kommen und über das wir noch gar nicht gesprochen haben, du bist ja auch Nachhaltigkeits-Experte.

00:35:25: Und wir wissen dadurch, Die Summe der Ressourcen, die wir damit verschwenden riesig groß.

00:35:35: Dann ist es ja nicht so.

00:35:36: das passiert auf unserem Rechner und da will ich mir Strom verbrauchen.

00:35:39: Nein!

00:35:39: Wir schicken jede Anfrage ins World Wide Web Auf riesigen Servern, die riesige Mengen von Energie verbrauchten um diese Anfrage zu beantworten.

00:35:52: Wie passt das ein bisschen zusammen?

00:35:54: Wie kann man da ein bisschen sorgfältiger Arbeit?

00:35:56: gibt's überhaupt Möglichkeiten oder welche Tipps hast du für Unternehmen um den Nachhaltigkeitsgedanken auch in der IT voranzubringen.

00:36:06: Ja, genau also da hast du auch wieder recht dass die Ressourcenverbrauch von KI riesiges Stromverbraucht aber auch diese ganze Rechencenter mit diesen riesigen Geräten die diese Anfragen verarbeiten können und diese KI sozusagen bereitstellen.

00:36:21: Diese Materialien müssen auch irgendwo herkommen, also auf diese Ebene.

00:36:24: Es ist ein großen Ressourcenverbrauch und dann braucht man wieder Kühlung, da braucht man auch wieder viel Wasser usw.

00:36:31: Also das hat tatsächlich einen großen Impact!

00:36:34: Und deswegen ist es super wichtig um eben zu überlegen als Unternehmen Ist KI wirklich der Weg um unsere Geschäftsziele zu erreichen?

00:36:45: Weil Ja, KI hat natürlich sehr viele Vorteile.

00:36:48: aber KI ist nicht immer eine sinnvolle Lösung weil es eben viel Ressourcen verbraucht und auch um eine gute KI zu haben.

00:36:57: Es auch viel kosten kann um diese KI selber zu bauen oder zu pflegen und die Qualität hochzuhalten.

00:37:05: deswegen muss man da auch aufpassen.

00:37:07: das nennt man Governance Und diese Seite soll man alle berücksichtigen wenn man dann bemerkt.

00:37:16: Okay, KI ist für uns das Richtige und wir nutzen zum Beispiel sowas wie ChatGPT oder Perplexity oder so ähnlich.

00:37:23: auch dann kann man natürlich überlegen so wenig also gucken dass man so wenig wie möglich Anfragen stellt oder es ist auch sinnvoll keine nützlose Prompt zu geben wie Dankeschön zu sagen oder so.

00:37:37: Das generiert nur eine Antwort ohne dass da Sinn ergibt.

00:37:41: ich gebe auch häufig als in meine Prompt mit rein, dass ich eine kurze Antwort möchte.

00:37:45: Dass sich also nicht so ein Riesenantwort möchte sondern nur ganz kurz.

00:37:48: Das hilft natürlich auch, also sich bewusst zu sein das es diesen Ressourceverbrauch gibt und dann die Balance zu finden ob das tatsächlich lohnt.

00:37:59: das zu nutzen

00:38:01: Geht also darum nachhaltige Entscheidungen zu treffen und so lautet auch die Webseite, deine Webseiten ist allerdings nicht in Deutsch.

00:38:08: Nachhaltige Entscheidung sondern Sustainable Decisions.eu.

00:38:14: Das heißt darüber kann man dich als wenn man nicht googlt.

00:38:16: aber viele Zuhörerweise wie schreibt man das?

00:38:20: Von Genuchten das kann man sehr einfach glaube ich.

00:38:24: jetzt vielleicht noch mal.

00:38:25: zum Schluss Wie kannst du anderen Unternehmen helfen die jetzt sagen Das interessiert mich, da würde ich die gerne mal in Anspruch nehmen.

00:38:35: Also es gibt verschiedene Möglichkeiten wie ich unterstützen kann.

00:38:38: Ich biete viele Trainings und Workshops an um eben also Wissen in diesen Bereich beizubringen und auch bewusst sein Ich mache auch viele Vorträge, um eben zu zeigen wie du auch gesehen hast wieso was passieren kann die gehackt werden kann.

00:38:53: Um auch eben Bewusstsein zu steigern.

00:38:55: ich mache auch Prüfungen von hauptsächlich Webseiten und Chatbots um eben prüfen ob es Sicherheitslücken gibt um dann ein Bericht zu schreiben so dass diejenigen die mich beauftragt haben diesen Übersicht haben und das als Checkliste nutzen können um die Sicherheitslücke zu beheben.

00:39:13: Aber auch andersrum, wenn man zum Beispiel ganz am Anfang steht und zum Beispiel eine App programmieren möchte und sagt hey ich brauche Sicherheit von Anfang an in meine App.

00:39:23: Auch dann unterstütze ich zb mit einem Workshop Reihe um eben zu helfen diese Sicherheit vom Anfang an damit reinzubringen.

00:39:31: Und wenn man eine Frage hat und ich kann nicht helfen, dann bin ich auch immer sehr gerne.

00:39:36: Also gebe ich gerne weiter an Kollegen, die dann noch besser unterstützen können.

00:39:40: Weil es ist ein Riesenfachbereich also keiner kann alles in dem Bereich und genau mit Fragen einfach gerne auf mich

00:39:48: zukommen.".

00:39:49: Zum Schluss kannst du vielleicht einen oder zwei wichtige Tipps geben zum Thema Sicherheit, zum Thema Passwortmanagement wo die Leute sagen ja okay das kann ich jetzt so ein bisschen nachvollziehen gibt es da was?

00:40:01: Genau.

00:40:01: Also zusammenfassend von dem, was wir vorher hatten ist es eben super wichtig Passworte nur einmal zu verwenden und die Passwörter, die man nutzt, eben also möglichst lang zu machen so dass sie schwer zu erraten sind Und wenn Sie geklaut wurden oder erratet wurden nicht mehrfach verwendet wurde?

00:40:18: Und genau in dann in so ein Passwort Manager, so ein spezielles Computerprogramm dafür zu speichern damit sie nicht einfach von Angreifer kopiert werden können.

00:40:28: Wenn man das macht im Bereich Passworder ist man da schon auf einem sehr guten Weg und reduziert man die Wahrscheinlichkeit, dass ein Konto gehackt wird.

00:40:37: Und zusätzlich würde ich empfehlen für Konten, die wirklich wichtig sind und zum Beispiel Bezahldaten enthalten, da eine sogenannte Zwei-Faktor-Autodevizierung zu wählen.

00:40:47: das bedeutet, dass man nicht nur mit dem Passwort sich anmelden soll sondern auch noch einen Code auf den Handy geschickt bekommen zb um dann dort diesen Code auch noch einzugeben, weil die Wahrscheinlichkeit dass ein Angreifer sowohl das Passwort als Zugriff auf dieses Handy hat zum Beispiel.

00:41:03: Die ist deutlich niedriger und deswegen ist es für kritische Kunden auch eine gute und wichtige Sache.

00:41:10: Das waren wichtige Tipps.

00:41:11: Wichtige Hinweise.

00:41:12: liebe Erlein ich danke dir sehr für diese vielen wertvollen Hinweise, die du uns gegeben hast und nur so kann die Welt ein wenig für uns sicherer werden.

00:41:23: Sehr schön!

00:41:24: Sehr gerne und ich freue mich, dass sie dazu einen Beitrag leisten konnte

00:41:41: heute.