Ransomware mit Alexandros Manakos von Apollon Security #85

Moin zu Folge 85 von einfach komplex, eure Host sind wieder da. Der Burkhard Gerrit Hallo Moin Moin. Moin Moin Moin. Und jetzt mal wieder mit Gast zum Thema Randomware haben wir den Alexandros Monacus von Apollon Security da. Hallo Alexandros. Hallöchen zusammen. Alexandros, Wer bist du, was machst du und was macht dich zum randomware Experten? Genau zum randomware Experten. Ich mach den ganzen Cyber Security Kram.

So an die 24 Jahre hätt ich ungefähr gesagt, hab damit schon recht früh angefangen und ich sag mal zu den Zeiten wo ich damit angefangen hab Papst das noch nicht so zum Studieren in der heutigen Zeit gibt es das ja zum Glück schon, mein Papa war so nett was in Österreich für mich zu finden und deshalb gehen die Grüße natürlich auch gerne nach Österreich und besten Dank noch mal. Ich hab n cooles Studium für Cyber Security da genießen dürfen.

Und ja, dann war ich bei der deutschen Cyberbehörde sicherlich jedem von euch n Begriff, dem BSI, dem Bundesamt für Sicherheit und Informationstechnik und ja, dann war ich bei Accenture und Accenture auch damals Anfänge von Cyber Security, das ganze damit aufgebaut, bis ich dann n Kumpel hatte, der mich in die Bankenwelt, nämlich die HSBC gebracht hat, da durfte ich dann 7 Jahre, nee, ich find gar nicht 5 jahre.it Security Audits machen.

Und war dann 7 Jahre sogenannter Ziso, also Chief Information Security Officer, und durfte dann die ganze Cybersicherheit da komplett von 0 auf 100 Mal aufbauen. Es hat mega wirklich mega viel Spaß gemacht, kann man sich so vorstellen, ich habe so den Weg von so einer kleinen Privatbank zum internationalen Großkonzern mitmachen dürfen und eigentlich wirklich alles was man so im Cyberbereich machen kann mal mitgemacht und da ist random wir ein wichtiger Teil davon, dass.

Und ja, und dann bin ich auch noch in so einem IC Two Chapter, der sich primär mit der Weiterbildung von dem Thema Cyber Security auseinandersetzt, war auch Dozent an der Form für Cyber Security, weil ich da mein Wissen gerne weitergeben möchte. Und ja, ich hab auch noch ne eigene Cyber Security Firma in der wir vielen Unternehmen, Banken, Versicherungen, Industriekonzerne und so weiter auch dabei unterstützen sich eben forence und mehr zu schützen und ja.

Das macht mich so n bisschen hätt ich gesagt, jemand, ich kann n bisschen was dazu sagen, würd ich einfach mal behaupten. Das klingt ganz so. Ja cool, dass du da bist. Auf jeden Fall ja. Vielen Dank, dass ich da sein darf. Bevor wir in Reinstarten mit ja OK, was ist Ransomware eigentlich?

Und so? Also das sollten wir glaub ich gleich mal klären, aber vielleicht kannst du einmal sagen, warum ist das so relevant, warum müssen wir darüber sprechen und warum sollten sich das Leute anhören, ja. Klar, am Ende des Tages möchte glaub ich jeder von uns. Ich sag mal von den Bösen in Ruhe gelassen werden, sag ich einfach mal und Ransomware ist.

Einfach in der heutigen Zeit eine der Top Risiken, auch wenn man sich das BSI anschaut, was so berichtet wird, dann ist es eine der gefährlichsten Angriffsarten werden wir natürlich gleich herausfinden, warum und was es genau ist.

Aber am Ende des Tages möchte jeder, ich sag mal von dem ganzen Kram in Ruhe gelassen werden und deshalb sollte man sich zumindest ein wenig damit auseinandersetzen, weil schon einige wenige Basics sag ich einfach mal dazu führen können, dass insbesondere Unternehmen sich vor solchen Angriffen gut schützen können. Das klingt nach Pareto.

Ja, absolut. Also an der Stelle, wenn man Pareto macht, ist man schon viel weiter als viele andere und ein Großteil von solchen Angriffen auch Rancimer zumindest der initiale Teil erfolgt eben automatisiert und wenn du, ich sag mal von deiner grundsätzlichen Angriffsoberfläche, egal ob es im Internet oder im Internet

schon mal 8020 gemacht hast, ist schon weiter als anderer und dann geht der Automatismus. Und das klingt jetzt für den anderen blöd. Aber dann geht er zum nächsten O. K das macht neugierig auf mehr. Ja, cool, OK, dann mal klar, warum das so wichtig ist. Und dann lass doch einfach starten mit ja was ist was ist wenn es, wenn wir eigentlich einmal kurz aufdröseln, ich kann mir vorstellen, dass die meisten das mal gehört haben, ich hab auch dir gerade erzählt, ich hab schon mal Artikel drüber

gelesen, aber trotzdem. Fühle mich dazu in der Lage, das richtig zu erklären. Also leg mal los, ja. Also ich hab da ich sag mal 2 Varianten. Ich bin auch immer ganz gerne in Analogien in der ein oder anderen Variante, ich sag mal die normalmenschliche Antwort ist es ist ne Art von böser Software und manche sagen auch Schadsoftware dazu und ganz implifiziert gesagt verschlüsselt sie entsprechende Daten, sodass der eigentliche Eigentümer oder die eigentliche Eigentümerin nicht mehr da dran

kommt. Und damit man wieder da dran kommt, wird von dem Opfer, dem eigentlich die Daten gehören und entsprechendes Lösegeld, also eine Ransom. Daher kommt der Name aus dem englischen Ransom Lösegeld entsprechend gefordert wird und für die, für die das ein

bisschen zu kompliziert ist. Also ich, wie gesagt, immer gerne Analogien, stellt euch vor, und das habe ich übrigens auch bei meinen Vorlesungen immer so gemacht, stellt euch vor, ihr seid ein König im Mittelalter und ihr habt eine wunderschöne Burg, ein wunderschönes Schloss. Und eure Kronjuwelen sind selbstverständlich in der Schatzkammer ganz unten im Keller.

Und es gibt ein paar Banditen in eurem Umfeld, in Eurem Königreich und diese Banditen, die sind in euren Keller in eure Schatzkammer gekommen und haben das Schloss ausgetauscht. So und nur die Banditen haben jetzt den Schlüssel zur Schatzkammer, das heißt, du bist zwar der König von dem ganzen super, aber du kommst nicht an deine Kronjuwelen. So und jetzt kommen die Banditen zu dir und sagen Hey lieber König, ich brauche ein bisschen Gold.

Und in der Realität oder in der digitalen Welt nennt man das Ganze dann Bitcoin oder Monero. Und wenn du mir das gibst, dann geben wir dir den Schlüssel vielleicht vielleicht auch nicht. Das ist so die zumindest die Analogie, Erpressung. Im Grunde genommen also. Es geht ja genau ne erpresserische Richtung, ja.

Genau, absolut. Und da gibt es sogar unterschiedliche Variationen von von den Erpressungswegen das ganze, ich sag mal die erste Stufe ist, ich sag mal lediglich die Verschlüsselung, das heißt die.

Ich gehe in den Keller, wechsel das Schloss aus, du kommst nicht mehr dran, dann kannst du ja noch eine zweite Schatzkammer haben, dann sagst du ist mir egal, ich habe genug Gold, so what kein Problem so und in der Realwelt wären das dann die Backups und wenn du jetzt sage ich mal deine zweite Schatzkammer hast oder an die Backups wieder drankommen kannst, super wunderbar, dann merken die Angreifer die Banditen irgendwann also. Irgendwie funktioniert das nicht

mehr ganz so gut. Die Variation, dass sich das Ganze verschlüsselt und die Leute das dann aus den Backups wiederherstellen. Also müssen wir irgendwie ein weiteres Druckmittel und mit was weiterem Erpressen und das Ganze nennt sich dann eine Double extorion, also nicht eine normale Extorion, sondern eine Double extorion und das bedeutet, dass der Angreifer die Daten, bevor er sie verschlüsselt, einmal abzieht. Und zum Beispiel Kundendaten.

Ich weiß nicht, als als Praxisbeispiel funktioniert immer ganz gut, stell dir vor, Patientendaten, die sind immer super Sensitiv, sagen wir mal worst case oder was heißt von einem Onkologen, von einem Urologen oder so Dinge die irgendeinem unangenehm sein könnten, sage ich einfach mal, wenn sie an die Öffentlichkeit kommen, so und jetzt stell dir mal vor die Patientendaten von einem Urologen kommen irgendwie in die Hände der Angreifer, der Angreifer freut sich, weil der

sieht deinen Vornamen, der sieht deinen Nachnamen, der sieht deine E Mail Adresse und deine Handynummer und und er hat die von deinem Arzt exfiltriert und bei dem Arzt der kann er keine Patienten mehr annehmen, weil alle seine Daten verschlüsselt

werden. Dann gibt es so einen wunderschönen Screen wo dann drauf steht alle deine Daten wurden verschlüsselt und entweder du gibst mir ein paar Bitcoin oder du hast Pech gehabt und übrigens wir veröffentlichen auch deine Patientendaten wenn du uns das Geld nicht gibst bedeutet der. Arzt wird damit erpresst einmal er kommt an seine Daten nicht mehr dran, also Single und die

Double Extosion ist eben. Die Daten werden veröffentlicht und gerade bei Ärzten oder kritischen Dingen oder natürlich auch bei Unternehmensdaten bei kritischen Dingen ist das ein doppelter Druck und jetzt kommen wir noch zu der ich sag mal aktuellsten auch Variante, weil das ist die sogenannte Triple Extosion, weil Angreifer gemerkt haben manchmal reicht das auch nicht aus und Angreifer denken sich natürlich auch hey

irgendwie. Möchten wir noch mehr Geld damit machen und bei der Triple Extorion werden dann die Datensätze genommen und zum Beispiel von Dir, Gerrit, Wenn wir jetzt bei diesem Beispiel mit dem Urologen bleiben, dann würde ich die Angreifer Anchatten per e Mail, wie auch immer oder sogar Anrufen und sagen, Hör mal Gerrit, Wir haben hier ein paar richtig interessante Dinge und wenn du uns keine 3 Bitcoin bezahlst, dann geht das auch ins Internet und das dann an alle Patientendaten.

Das heißt wenn du jetzt mal in Geld denken würdest, wieviel Geld könnte ein Angreifer machen? Er kann einfach mit dem Arzt Geld machen und mit jedem einzelnen Patienten noch on top und das ist so die die ich sag mal die aktuellsten oder die 3 Variationen auch histologisch gesehen wie das Ganze so sich entwickelt hat sag ich mal.

Das ist ja krass, das bringt ja tatsächlich jetzt auch die ja mich jetzt als Patientin in dem Beispiel in die Petrille irgendwo, und das kann mir aber auch nicht in jeder, weil du sagst, das ist jetzt gerade aktuell so das neueste oder was

am häufigsten passiert. Das kann man ja auch nicht in jeder Branche machen, weil nicht jede Branche hat so spannende Daten wie also Patientendaten quasi oder oder sowas in Form ne. Ja, ich glaube, ich sag mal so für uns, also für uns Privatpersonen, sind diese Patientendaten jetzt gerade sehr wertvoll. Aber selbst wenn ihr, ich sag mal ne marketingfirma wärt.

Dann also ich will jetzt nicht sagen, dass Marketing Firmen nichts Wertvolles oder Kritisches haben, ne bitte nicht dafür im Nachgang irgendwie blöd anflamen, aber auch die haben kritische Informationen wie zum Beispiel wie hoch sind die Budgets meiner Kunden oder weiß ich dass es gibt auf jeden Fall ne Menge kritischer Daten, eigentlich in fast jedem Unternehmen würde ich zumindest mal so behaupten.

OK, und dann würde der in dem Beispiel jetzt der Kunde, der die Marketingfirma wird angegriffen, aber der Kunde der Marketingfirma wird auch noch kontaktiert und gesagt. Du willst wohl lieber nicht, dass deine Budgets veröffentlicht werden, warum auch immer. Zahl bitte auch noch mal hier in Bitcoin oder 2. Ja genau, richtig, genau, genau und was ich vielleicht auch noch gern erwähnen wollen würde. Die meisten haben so Bitcoin schon gehört, deshalb ich glaube, das spare ich mir

einfach mal. Was Bitcoin ist zu erklären, es gibt aber auch einen Trend bei verschiedenen, insbesondere bei ich sag mal sehr erfahrenen Angreifern, dass die auch eine andere Kryptowährung, nämlich Monero, versuchen abzugreifen, die kann man auch sehr ähnlich kaufen wie Bitcoin. Mini, mini, minimal vielleicht schwieriger, sag ich mal, ist vielleicht ein anderer Klick, je nachdem wo man das Ganze kauft.

Aber Monero hat den Vorteil für die Angreifer, sie ist, ich sag mal deutlich bis fast komplett anonym, das heißt Bitcoin, da gibt es mittlerweile auch eine Menge Menschen und auch eine Menge Behörden, die es sich zur Aufgabe gemacht haben, die Besitzer hinter den einzelnen Bitcoins. Über Umwege so gut wie möglich irgendwie ausfindig zu machen, weil Bitcoin, ja, ich sag mal pseudonymisiert auf der

Blockchain drauf ist. Das heißt, du kannst jede Transaktion seit dem Tag 1, seitdem es Bitcoin gibt, nachvollziehen. Und natürlich kannst du dann auch über viele Umwege und viel Computing Power nachvollziehen. Wo wurde dieser Bitcoin oder dieser Teil eigentlich gekauft, wo er dann hingewandert, kyc und dann weißt du, wem gehört diese

Wallet und so weiter und das ist bei Monarium nicht so. OK, aber es ist schon ausschließlich so digital oder Kryptowährungen, die da eingesetzt werden, da wird wird kein Geldköfferchen irgendwo abgestellt als ja OK. Genau das hab ich tatsächlich so noch nicht erlebt oder auch so noch nicht gehört und ich hab schon so n paar Fälle mitbekommen, aber Geldkoffer an Tankstellen nee ich glaub

weniger. Alexandra ist verstanden, klingt total super, hast hast du ne für unsere Zuhörer so ne Zahl, also ist es. Früher hieß es ja so, ja, passiert mir nicht, ich bin mittelständler, hab irgendwie 40 Leute oder irgendsowas, da brauch ich keine Angst vorhaben da da geht es um Firmen ab 500 Leute oder Irgendsowas aber hast du so ne bisschen ne Statistik in der Hand?

Ich hab nämlich das Gefühl, dass tatsächlich diese Friendsomware, diese Attacken sich nicht nur auf die ganz großen, die die möglicherweise sehr sehr viele Daten haben und so weiter beschränken, sondern dass es tatsächlich wahrscheinlich in der Hinterhand so gut automatisiert ist, dass es sich auch lohnt, für die Kriminellen auch kleinere, gar nicht so auffällige Firmen irgendwie zu verschlüsseln.

Die vielleicht n leichtes Ziel sind, weil sie vielleicht dann auch noch nicht so nefette.it Abwehr ne Infrastruktur aufgebaut haben. Ne, aber kannst du da so n Paar zahlen nennen? Vielleicht? Also zahlen hab ich jetzt nicht aus dem Hinterkopf.

Was ich aber schon sagen kann, es betrifft tatsächlich jeden ne. Also ich sag mal der Autonormalverbraucher denkt sich na ja meine ich wirk ja nichts brisantes, ist ja eigentlich völlig wurscht und ich muss da gar nichts irgendwie groß wiederherstellen oder so für die fein. Ich weiß nicht, ob man sich an eine erst eine der ersten, zumindest sehr bekanntesten randomware Fälle One Acry erinnern kann.

Das ist eine der ersten, aber ist auf jeden Fall eine sehr bekannte und das war 2017 und die hat eine Schwachstelle ausgenutzt, die von der NSA eigentlich entwickelt wurde und von einer Hackergruppe namens Shadow Brokers veröffentlicht wurde. Und dadurch, dass diese Schwachstelle, ich sag mal, bei dem Endbenutzer vorhanden war, hat die sich wie ein Wurm weltweit verteilt und ungefähr

über 200000 Rechner infiziert. Und wenn wir jetzt von der Höhe sprechen für den Endverbraucher waren das so 3 bis 600€ Lösegeldforderung ne, weil die Wissen natürlich die Angreifer OK, der Autonomalverbraucher hat da nicht so viel, während wenn wir jetzt zu einem anderen Case gehen. Dann ist es schon sehr, sehr krass.

Professionalisiert bedeutet unabhängig davon, wie du jetzt in ein Unternehmen reinkommst oder mit deiner Schadsache mit deiner Ransomware reingekommen bist und es geschafft hast, das Ganze zu verbreiten bei den Profis, die loggen sich erstmal überall ein, die bewegen sich sozusagen lateral im Netzwerk und schauen okay was ist denn das für ein Unternehmen, was machen die denn hier für zahlen, die gucken sich vielleicht auch die Accounting zahlen an, die schauen übrigens auch ob ihr

eine Cyberversicherung habt. Die gucken sich auch die Dokumente an der Cyber Versicherung, in welcher Höhe und wundert euch nicht, wenn die Lösegeldforderung ganz minimal darunter ist. Von dem was in eurer Cyber Versicherung drin steht. Also es ist, ich sag mal im Unternehmensumfeld egal wie klein, auch wenn ihr nur 2 oder

5 Mitarbeiter seid, das läuft schon sehr sehr professionalisiert ab und auf das was ihr euch leisten könnt. Maximal sage ich mal darauf werden die. Ich sag mal, ist abziehen am Ende des Tages. OK, das klingt ziemlich professionell.

Das klingt ziemlich überlegt und du sagst jetzt die und jetzt von Automatisierung auch gesprochen, wer ist das ne also nicht wir wissen natürlich wahrscheinlich nicht wer das genau ist, aber ich glaube man kann schon so n bisschen ne ne ne Gruppen mal diese persona oder diese Gruppen umreißen ja wie wie die wie die sich so aufstellen oder wie die aussehen. Ja genau, also so Gruppierungen. Es sind professionelle Angriffstrupps, in der Regel aber auch klein.

Also ich fang mal an mit den, ich sag mal typischen kleineren, die jetzt gerade, ich sag mal in Mode sind, das sind Menschen, die teilweise noch nicht malgross.it Erfahrung haben, die Nutzen etwas, das nennt sich Rand Somewhere as a Service bedeutet sowie Platform as a Service und Cloud as a Service und was wir auch alles und so AS a Service machen können, genauso gibt es auch Rand some as a Service was steckt dahinter? Du musst gar nicht selber entwickeln.

Sondern du bekommst, ich sag mal 7030 gesplittet. Eine schon fertige Ransomware von Menschen, die sich nur darauf fokussieren, eine solche böse Schadsoftware zu entwickeln. Und wenn die Opfer bezahlen, dann bekommst du deine 70% und 30% bekommt dann quasi das Team dahinter, was das Ganze entwickelt hat, das ist sage ich mal von dem Skill Level sage ich mal ich muss 0 it ler sein, du musst es nur schaffen diese Schadsoftware in ein

Unternehmensnetzwerk oder auf. Ein.it Asset wie auch immer drauf zu bekommen und eine Person dazu bringen, das zu bezahlen. Das ist ja wirklich krass, klar, und da ist man, dann kriegt man, dann kann man NUSB Stick in Hand nehmen, rein latschen, gucken, dass man sich Zugriff verschafft und irgendwo n Rechner stecken und vielleicht war es das schon, ja. Genau richtig. Da kommt es natürlich dann drauf an, was für zusätzliche Maßnahmen das Unternehmen hat, um die Verbreitung von so einer

Schadsoftware zu unterbinden. Aber rein theoretisch wird es könnte das schon reichen. Absolut, ja, klar.

Absolut genau. Also ich sag mal, ich will jetzt niemanden zu irgendwas anstiften, deshalb das Beispiel was ich gerade in meinem Kopf hab, behält ich lieber für mich, aber ich sag mal, wenn man jemandem schaden möchte, dann gibt es genau solche Cases ne und dann führst du was auf einem ich sag mal nicht ganz so eingeschränkten Rechner aus, wo vielleicht noch kein n Point Detective Response Tool drauf ist oder so, dann sieht das nicht ganz so gut aus, wenn sich

das Teil auch noch wurmartig weiterverbreiten kann. OK so, das war der erste Case. Genau das war der erste Case.

Genau dann kommen wir zu, ich sag mal dem etwas fortgeschrittenen Case. Das sind Einzelpersonen, die entweder eine Randomware selbst geschrieben haben, wobei der größte Case da eher ist, dass man bereits bekannten Code aus dem Internet nimmt, meistens aus einem Tor Netzwerk, da sind dann bekannte Gruppierungen, die, ich sag mal schon bekannte randomware Code irgendwie veröffentlicht haben, oder den kannst du auch kaufen, je nachdem und den passen die ein

wenig an. Krypten, die ihn in der Regel oder machen ihn auf eine Art und Weise etwas mehr Undetected nenne ich das jetzt mal, wodurch das normale Antivirus System oder vielleicht auch was ich gerne mal Antivirus 2.0 nenne, also ein IDA System, das sichergestellt wird, dass das die Rents immer nicht erkennt. Man ist jetzt natürlich bei, ich sag mal bei einem aktuellen oder bei einem modernen oder einem guten IDA System für die die nicht wissen.

Was NIDA ist und warum das aus meiner persönlichen Sicht zumindest und auch aus Erfahrung heraus besser ist als n normales Antivirus. Das normale Antivirus funktioniert Signaturbasiert, das heißt Du musst eine böse Signatur von etwas Bösem kennen um oder es schon vorher kennen und sagen, Hey, das ist böse und dann gleicht es ab, ist das das gleiche ja oder nein, während bei einem IDA.

Kann ich dann noch mal blutgrätchen machen, weil Signatur ist auch so, das hat das Wort hat schon 1000 mal gehört, ja. Aber was in in einem technischen Sprech exakt ist ja ne Signatur, die ich irgendwie fies, ne Signatur böse oder gut oder wie auch immer. Also das kurz. Ja, zum Beispiel meistens.

Und die meisten Antivirussysteme funktionieren da auf, zum Beispiel in einem Hashlight auf eine Datei oder ein bestimmtes Artefakt in einem Arbeitsspeichercode oder eine bestimmte Codesignatur. Das sind so die, ich sag mal, zumindest die gängigsten, ne. Also es gibt natürlich noch viel mehr, aber was sehr, sehr häufig ist eine Datei, die als Böse identifiziert wurden, da macht man nen Show One drüber. Und dann weiß man, OK, diese Hash Summe ist böse und das wird

dann zum Beispiel abgeglichen. Also noch mal kurz einfacher erklärt, wenn man man man es gibt.

Also die, die die Schadsoftware ist ja auch quasi n Programm, kommt irgendwie daher in einer Punkt exe oder irgendsowas oder vielleicht auch geplant als PNG oder irgendsowas, aber besteht ja aus Bits und Bytes Einsen und Nullen und jetzt gibt es diese hashing Algorithmen, da hatten wir auch schon mal ne Folge rüber, jetzt kann ich quasi ausrechnen einen einen langen String. So ne Art Namen von von diesen Bits und Bytes. Ja, und wenn diese Bits und

Bytes ne Kopie sind einer bekannten Schadsoftware, dann kommt halt auch der gleiche Name raus, den ich registrieren kann. Also ich, ich muss quasi keine umständliche, kein umständliches Stiffing machen und so weiter ich rechne quasi aus, wie wirst du heißen gegeben dann Einsen und Nullen genau und das ist dann registriert als Oh den dich kenn ich irgendwoher. Aus einer Liste, die hoffentlich upgedatet ist oder von deinem Rechner und dann erkenn ich das ja genau richtig.

OK, dann haben wir das Signatur OK genau. Deshalb brauchst du mit deinem Standard Antivirus jeden Tag oder jede Stunde so n Update, damit du immer die neuesten Signaturen hast und weißt, OK wir wissen das ist böse und wenn er dann erkennt, OK, hier ist gerade was Böses, dann Allah. Darf ich noch ne Frage stellen? Ist jetzt selbstverständlich, wenn ich jetzt, wenn ich jetzt so n rancomware coder wäre, Mhm.

Und ich weiß das funktioniert so mit diesen Signaturen ist ja unglaublich einfach den gleichen Quellcode Schluck andere Signatur zu geben also das reicht ja schon wenn ich n Space mehr oder weniger in den Quellcode reinmache da muss ich überhaupt nichts neu coden denn das ist die Eigenschaft von diesen hashing Algorithmen das selbst wenn ich 99,99% die gleichen Bits und Byte an der gleichen Stelle hab aber nur an den 0,001 was verändere kommt n ganz anderer kommt n ganz andere

Signatur raus es ist die Eigenschaft dieser dieser hashing Algorithmen. Oh, hab ich es ja schon geschafft. Ja, also ist es nicht, ist es nicht ultra einfach? Wir haben ja klaut und so weiter einfach ganz viele verschiedene gleichartig böse aber mit Signaturen Schadsoftware herzustellen, die ich dann angreifen lasse, hab ich da sofort des Signaturkrempels ausgehebelt. Genau.

Also deshalb ist auch aus meiner Sicht, das hab ich ja so gesagt, sehr, sehr häufig der Case, dass man das Standard Antivirus, was über viele viele Jahre existiert, nicht den Mehrwert bietet, von dem man glaubt, dass es das ist und deshalb.

Empfehle ich auch immer wieder und man sieht tatsächlich auch in der Praxis weil es teilweise so einfach wie du es auch beschrieben hast wirklich umgehbar ist deshalb ein Ida und ein Ida ist quasi verhaltensbasiert das heißt es guckt nicht kenne ich diese eine Datei mit dieser hash Summe sondern es schaut kenne ich das Verhalten was hier gerade passiert in einer bestimmten Abfolge wenn ich jetzt meine it Sprache sprechen würde dann ist das als Beispiel.

Was völlig normal ist. Ich öffne in Outlook meinen Anhang und dann öffnet sich im Internet Explorer irgendwas oder so und für dich was aber potenziell böse ist und eigentlich nie passiert ist. Wenn ich eine E Mail bekomme, der Taskmanager sagt OK in meinem Outlook Punkt exe passiert jetzt folgendes der öffnet die IE Explorer Punkt exe dann öffnet der die CMD Punkt exe die CMD Punkt exe führt ein Kommando aus welches herausfindet UMI.

Was für administrative Berechtigung, also welcher User bin ich, was für Berechtigungen habe ich?

Macht ein Ping auf irgendwas im Internet, also diese Abfolge wird quasi in einem Ida als Böse erkannt, das heißt, selbst wenn du den Dateinamen ändern würdest, selbst wenn du die Hash Summe ändern würdest, das Verhalten das änderst du nicht und genau das würde eben dieses Ida erkennen und deshalb auch sagen können geht sogar einen Schritt weiter, dass es dann sagt okay man kann dieses gesamte System isolieren und so

weiter und so weiter. Und deshalb diese, ich sag mal, fortschrittlichere Erkennung und Isolation von Charts und fair. OK, ich versuch das auch noch mal zu wiederholen in meinen Worten was ich verstanden hab. Du sagst also es gibt ungewöhnliche Abfolgen im Betriebssystem von Programmenaufrufen die immer mindestens da wie n Alarmsignal auslösen könnten und und und. Diese Abfolge ist wahrscheinlich, also jede Aktion an sich sehr wahrscheinlich

schlimm. Ich kann ja in Windows hingehen weil ich irgendwie was weiß ich Administrator bin mach halt CMD

auf und. Also CMD ist ja die Command, das Command Line Interface, das ist schon speziell für den normalen Windows User, der macht das wahrscheinlich auf, aber ja das wär ja schon krass wenn jetzt mein mein IDA sagen würde ey du bist n Virus und darfst nicht aufmachen, das wär schon doof ja und es gibt anscheinend so n Programm was das beobachtet welche Prozesse gestartet werden mit welchen Zeitstempeln, das ist schon so n Betriebssystem was weiß man und der gesagt hat

OK hier war wurde Outlook gestartet dann wurde irgendwie in den Explorer gestartet und dann wurde irgendwie der Browser aufgemacht und jetzt wird ne CMD aufgemacht. Es ist mal so, ja, und dann geht dann ne Alarmglocke an. Hab ich das richtig? Verstanden? Ja genau, in so ne Richtung geht das und dass NIDA sag ich mal noch sogar zentralisierter verwaltet werden kann, auch von Organisationen halt noch n ne Ecke professioneller ne. Aber ja in die Richtung geht das.

Ist ja schon ne Verteidigungsmaßnahme oder? Bestimmt schon so ne oder Sicherheitsmaßnahme. Jetzt waren wir ja noch bei den bei den Grüppchen die das so machen. Ja das war ja gerade mal der der der zweite Case so ne. Genau, genau richtig.

Das war jetzt der zweite Case und jetzt kommen wir zu dem, was wahrscheinlich die meisten im Kopf haben und auch ich sag mal viele Kunden von uns dann sagen, na ja, ich möchte mich jetzt hier gegen Nation State gegen die Nordkoreaner schützen und so weiter ich sag dann meistens um vielleicht zumindest kurz das noch zu erwähnen, Hey mach doch erst mal die Basic Sachen bevor du versuchst dich vor den Amis, den nordkoreanischen Hackergruppen wie Fancy Bär und hast nicht gesehen wie sie alle

heißen zu schützen. Das ist schon sehr, sehr, sehr schwierig. Also wenn wir jetzt in über diese Gruppierung sprechen, die haben dann meistens irgendwelche Track Intelligence Analysten oder Cyber Security Analysten, die den ganzen Tag nur Schadsoftware auseinandernehmen, die geben denen dann solche interessanten Namen und versuchen dann basiert auf unterschiedlichen Vorgehensweisen, die die Angreifer machen, denen auch Namen zu geben und. Denen gewisse Angriffe zu zu

attributieren sage ich mal. Und das sind in der Regel eigene Companies, also die gehen jeden Tag, jeden morgen um 09:00 Uhr zur Arbeit, gehen um 17:00 Uhr wieder weg, haben ihren Nine to Five Job, sind keine sechzehnjährigen Hoodie Träger im Keller oder so. Das das funktioniert wie in einem Großkonzern, die haben eine eigene HR Abteilung, die haben eine eigene Finance Abteilung und.

Wenn die Urlaub haben wollen, die haben auch ihre 2030 Tage, je nachdem in welchem Land die sind und die müssen auch ihren Urlaub beantragen, die haben einen Team Lead und sind nur mal als anderes Beispiel jeweils nach deren Skillset unterteilt. Ich fang mal an mit den Leuten die die Schadsoftware entwickeln. Werden wir gerade eben erkannt

oder verstanden? Okay es gibt noch so ein Neuartigeres Antivirus System dieses Ida, das muss natürlich auch ausgetrickst werden, genauso wie die alten Dinger, das heißt ich brauche jemanden der eine Schadsoftware entwickelt, die A funktioniert, dann habe ich das zweite Team in der Regel und dieses Team kümmert sich nur darum alle möglichen Antivirus und Ida Systeme auszutricksen, das nennt sich Invasion Techniken, sondern das heißt hier haben wir schon

mal 2 Abteilungen die völlig autark unabhängig voneinander funktionieren. Die übergeben das dann an das dritte Team und das dritte Team. Das sucht den ganzen Tag nur nach, ich sag mal Zero Day Schwachstellen irgendwo im Internet oder in irgendeiner Software, also Zero Day, quasi noch unbekannte Schwachstellen, die eigentlich fast noch niemand

kennt, sag ich mal. Wenn man diese dann gefunden hat, dann entwickelt man entsprechende Exploits dafür, also eine Ausnutzung dieser Schwachstelle und dann gibt es

das nächste Team, was sich. Immer wie gesagt sehr sehr messerscharf auf genau diese Aktivitäten fokussiert, nämlich diese Exploits auszunutzen, dann eine Shell zu craten, also eine eine Remote Konnektivität. Manche kennen vielleicht RDP, mal als Beispiel oder von mir aus auch irgendeine Unix Shell oder was auch immer oder eine powershell, sodass man auf das Zielsystem zugreifen kann, um dann die von Team 1 erstellte Schadsoftware darauf zu implementieren, um einen

dauerhaften Connect zu haben. Dann gibt es den nächsten Angriffstrupp, der Angriffstrupp, der bewegt sich lateral weiter im Unternehmen und mit lateral meine ich, ich gucke mir an okay, in welchem Netzsegment bin ich, in welcher Company bin ich, ich recherchiere über das Unternehmen, ich gucke zum Beispiel, ob die Nissheimer Versicherungen haben und so weiter und so weiter und dann gibt es eben auch Verhandler, das heißt, die Leute oder die die professionellen Angriffstrupps, die werden

nicht, sobald die drin sind, und das ist eben oft ein Irrglaube. Die werden nicht sofort die Ransomware starten und euch

bezahlen lassen. Das ist nicht klug, die Kundschaften erstmal alles aus, die wollen keine Alarmglocken klingeln lassen, die wollen nicht auffallen, das heißt die ziehen erstmal Informationen über das Unternehmen, währenddessen ziehen die auch die Daten ab, wir haben ja gerade eben gelernt Double Extosion, Triple Extosion und so weiter das heißt, sie bereiten sich darauf vor?

Und dann irgendwann wissen die okay das ist jetzt, ich will jetzt kein Unternehmen nennen, aber ich sag einfach mal Unternehmen XY, groß Konzern und wir haben es geschafft, vielleicht sogar in die Backups reinzukommen, weil was ich immer wieder gerne, ja, wir haben ja Backups, klar, aber wenn der, wenn der Angriffstrupp, ich sag mal schon 3456 Wochen drin ist, dann haben die ihre Charts auch in den Backups drin und viel Spaß bei der Wiederherstellung dann, und das sind eben die

Profis, die gehen wirklich so weit, dass es sehr, sehr schwer ist. Ich sag mal sich davor wirklich zu schützen. Man kriegt dann immer ja nen kalten Schauer im Rücken runter. So ne wenn man so drüber nachdenkt ja, aber wenn also da sind ja so n paar Sachen dabei. Ich spreche jetzt immer noch mal n bisschen technisch, wenn du

Lust hast. Ich weiß nicht ob wir da noch weiterkommen, aber also wenn ich das jetzt erkennen möchte und wenn ich jetzt wenn ich jetzt n Angreifer bin und du sagst ja diese für die Double extauscht und so weiter ich brauch zieh Daten ab. Also wenn das jetzt n wenn das jetzt n paar Daten sind, dann sind es ja auch n paar Daten und abziehen heißt ja es werden Daten von einem lokalen Rechner an ne IP Adresse an irgendwas was im Internet ist hochgeladen.

Alleine das ist ja schon mal n Pattern würde ich sagen bei ganz vielen Firmen das nicht üblich ist, weil normalerweise ist der weg andersrum, du ziehst halt irgendwie von außen Daten nach innen bekommst du ja immer Sachen ja.

Ja, Uploads im großen Stil deswegen also ne, wenn du da zum Beispiel mit Deinem mit dem Internetprovider machst, die reden ja immer nur von Downloadzahlen aus gutem Grund, weil du streamst halt die Netflix und so weiter sind ja alles Sachen die kommen, da kommen von außen nach innen Daten rein, ne der andere Weg in großer Menge in großem Volumen, alleine das müsste doch schon total einfach zu detektieren

sein. Ja und da müssten doch schon Programme geben die die eingehen sagen Pass mal auf aus aus irgendeinem Grund und das kannst du ja auf der Netzwerkkarte ja feststellen ne du hast ja n Stück Hardware in deinem Rechner. Also das weiß man ja alles, wieviel Bits da verloren gehen, quasi Richtung Richtung Cloud. Ja Mhm, das müsste man doch, das müsste auch ziemlich einfach sein zu detektieren oder nicht, oder die müssen das immer Monate stückchenweise irgendwie sich dann da schnappen oder

irgendsowas ja weiß ich nicht. Genau. Also es gibt unterschiedliche Variationen. Ich sag mal, vor vielen Jahren war es tatsächlich noch so, dass man so n Initialen Spike dann vor der Aktivierung einer Randomware gab, dass man gesehen hat, OK, da sind jetzt 5 Gigabyte Daten rausgegangen oder so genau, aber. Jetzt geh mal in den Konzern. Wie schnell gehen 5 Gigabyte an Daten insgesamt auf Deiner Firewall raus? Das ist auf einem einzelnen, ich sag mal auf einer einzelnen

Workstation passiert. Ist schon außergewöhnlich, aber meistens versuchen sie natürlich und die sind auch nicht blöd, die Angreifer, die versuchen das schon getaktet drüber zu bringen über einen ganz entspannten kontinuierlichen Strom und auch verteilt über unterschiedliche Ich sag mal Agents nenne ich das jetzt mal. Also wenn wenn du mehrere Punkte hast, die du im Netzwerk infiltriert hast, dann versuchst du dir die Netzwerklast auch ein bisschen zu verteilen.

Und ob auf einer normalen Corporate Firewall jetzt 5 Gigabyte mehr rausgehen oder nicht, das fällt sehr sehr selten auf, aber wo und da bin ich voll bei dir, wo eben man eben genau eine solche Regel implementieren muss, dann muss man aber auch die entsprechenden Logdaten bekommen. Ganz wichtig ist nämlich in einem sogenannten Theme, also ein Security Information Event Monitoring System, das ist so ein Ding was Cyber Analysten verwenden und.

Wenn man das noch nicht gehört hat, kann man sich das so

vorstellen. So ein riesen Raum, ganz ganz viele Monitore und da Klick ibunti Hey, wir werden gerade angegriffen und guck dir das mal bitte an, so ungefähr könnte man das bezeichnen und dieses CM ist ich sag mal die Unternehmensdatenkrake lediglich für Security Informationen von jedem Kleinen, von jedem Server, von jeder Firewall und diese Dinge korreliert man sehr intelligent miteinander und genauso Burkhardt wie du es gerade gesagt hast.

Man checkt. Hey, gibt es hier irgendeinen Anormalen Spike in Unternehmensdaten, die abfließen und wenn ja, dann sollte vielleicht noch das und das zutreffen, damit ich n Alarm mache, damit n Analyst sich das anschauen kann. Mhm, danke für diesen Internet, weil er was unterstrichen, natürlich wahr bleibt, ist es wie im im menschlichen Organismus.

Ja, es gibt einen ständigen Kampf vom Virus gegen humane Zellen, gegen Immunsystem, ja und jeder bewaffnet sich immer stärker und mal gewinnt der eine und mal gewinnt der andere. Weil es halt n ewiger Wettkampf ist um um die Technologien und so weiter das das ist glaub ich dann auch so. Ja bringt. Uns ja zurück zu dem ersten Punkt, ne, aber wenn du schon mal so die Basics hast, so dann springen die Halt schnell zum nächsten ja und und wo es vielleicht einfacher ist so. Absolut.

Diese Trupps. Ja, das frag ich mich die ganze Zeit. Ja, du schreibst sie so mit den 5 Abteilungen jetzt so Entwicklungsabteilungen Operations und dann gibt es noch HR und so weiter und sofort und Nine to Five und so woher weiß man das denn? Gibt es da so viele Insider plaudern die das aus oder?

Also so viele natürlich nicht. Aber wenn man sich insbesondere in der sogenannten Track Intelligence Community sehr tief verzahnt, dann bekommt man da das ein oder andere Mal mit, dann wird die ein oder andere Information auch mal über andere Kanäle wie ich sagen geleakt. Und wenn man sich einfach sehr, sehr viel und das wisst ihr selbst, mit einer ganz bestimmten Thematik beschäftigt und Track Intelligence.

Ist eben genau dieses, wie ticken Angreifer, wie funktionieren sie, wie sind sie aufgebaut, wie funktioniert deren Schadsoftware. Das ist quasi die Bezeichnung von Frat Intelligence auf der einen Seite Public Information, aber auch, ich nenne sie mal private Information oder nicht, Public accessible ist vielleicht der bessere Begriff diese Information zu analysieren, zu verwerten um sich um Angreifer zu verstehen, um deren Angriffswege und

Angriffspatterns zu verstehen. Um sich dann am Ende davor eben schützen zu können. Und genau in diesem Bereich kommt man dann zu solchen Informationen, weil auch

Angreifer angegriffen werden. Übrigens also wenn man herausfindet, dann gibt es natürlich auch andere Angriffstrupps, weil ich meine, stellt euch mal vor, ihr wärt einer der intelligentesten, attraktivsten, attraktivsten, Angriffstrupps und ihr möchtet mal ein Zeichen setzen und einen anderen Angriffstrupp mal auseinander nehmen, so was passiert auch und wenn man dann herausfindet, hey, die anderen machen das so und so. Und ich hab ne Lücke in deren

Schadsoftware gefunden, dann kann das auch sein, dass man solche Sachen mal liegt. Mhm Bandenkriminalität ja, dass die Maffe ja selber lahmlegt. Dann haben wir alle anderen wieder. Untereinander OK, ja krass OK so, aber diese dieser dritte Fall ist jetzt schon der, der am häufigsten passiert oder so, also wirklich die das organisierte Verbrechen an der Stelle.

Ich würd sagen so n so n, also eher der zweitere oder n Mix aus dem Zweiteren und Dritteren, also den die aus dem Dritteren, die bekommt man dann in der Presse teilweise eher oder eher auch selten mit. Also die richtig professionellen Angriffstrupps und eher so n Mix aus 2 und 3 hätt ich gesagt, ist das Typische was ihr in der Presse so mitbekommt, wenn XY unternehmen mal gehackt wurde. Gut, dann haben wir mal so grob

geklärt, was Rancybrell ist. Wer dahinter steckt, sind auch schon mal n bisschen auf die Sicherheitsmaßnahmen

eingegangen, die man so ergreifen kann. Aber. Vielleicht gehen wir noch mal auf die Wege ein, wie das so ins Unternehmen kommen kann. Vielleicht gar nicht so detailliert.

Wir hatten schon hier die eine andere Security Folge, aber kannst du sicherlich noch n Überblick geben und was ich mich auch Frage ist, man sagt so ja dann werden halt Daten verschlüsselt und dann ist da die Randomware drin aber was was passiert da eigentlich, also wie geht das technisch frag ich mich wie funktioniert so ne Software so ne Randomware innen drin, was

macht die denn da eigentlich? Also innen drin ist es eigentlich Simplifiziert gesagt N eigener Verschlüsselungsalgorithmus. Eigentlich kein anderer als den, den man für alles andere verwendet, was man so

verschlüsselt. Ich meine, stell dir vor, wenn wir jetzt ins Web gehen, dann verwenden wir in der Regel TLSS Case 1.3 oder SSL, vielleicht noch bei Älteren so das heißt ich surfe zu Amazon, Amazon verschlüsselt die Daten, schickt sie mir Punkt zu Punkt, ich kann Sie bei mir entschlüsseln, genau so funktioniert das auch nur mit einem anderen Algorithmus, manchmal sind die selbst gestrickt, die richtig guten verwenden natürlich robuste, in der Öffentlichkeit bekannte.

Die man nur auf eine ganz bestimmte Art und Weise dann auch mit dem Key ordentlich entschlüsseln kann.

Ein besonderer Punkt ist jedoch, und das fällt mir auch immer wieder auf und auch für die Zuhörerinnen und Zuhörer, es gibt, wenn jemand mal betroffen ist, gibt es auch kostenlose Wege, wie man vielleicht prüfen kann, ob die Ransomer, die einen infiziert hat, eine Lücke hat, also der verschlüsselungs Algorithmus eine Schwäche, die man ausnutzen kann, ohne zu bezahlen, das Ganze wieder zu entschlüsseln. Und ne. Deshalb ist also so gut.

Also selbst wenn ein Angreifer der ich sag mal der beste Angreifer der Welt wäre, kann sein, dass er nicht der beste Coder der Welt ist und dass er einen Verschlüsselungsalgorithmus nicht perfekt implementiert hat, wodurch du es vielleicht über n Umweg schaffen kannst den Verschlüsselungsalgorithmus auszuhebeln. OK, jede Software kann Fehler haben, so quasi. Ja genau, richtig, absolut eben auch die Schadsoftware.

Ziemlich verrückte Welt, irgendwie so keine Ahnung, aber spannend, ja OK verstanden, Verschlüsselung, Algorithmen entweder eigene, aber die besten benutzen eigentlich welche volle Stange, sagen wir es mal so in Anführungsstrichen ne und und wie kommen die jetzt das Unternehmen also genau man kennt man kennt dieses USB Stick Beispiel oder Phishing Mails und so n Kram. Genau genau also deshalb Phishing Mails ist glaub ich jedem bekannt, das muss ich glaub ich nicht mal mehr erzählen.

Jeder hat wahrscheinlich auch schon mal Phishing Tests mitgemacht und da versehentlich drauf geklickt und sich dran geärgert. Ich glaube, das ist also Phishing, oder? Ich sag mal grundsätzlich e Mail ist immer noch, und zwar zu über 90%, der der erfolgreichste Angriffsvektor, wie man in ein Unternehmen reinkommt oder einen Rechner auch einen Privatrechner infiziert.

Deshalb ist es unglaublich wichtig, diesen Faktor oder diesen Eingangskanal e Mail so gut wie möglich abzusichern, da gibt es natürlich auch über e Mail hinausgehend so was wie Downloads. Insbesondere zu früheren Zeiten, wo es noch emule gab und Rapidshare.

Und hast du nicht gesehen, wo es also Zeiten wo es kein Netflix gab und man und viele sich zumindest Filme runtergeladen haben und so weiter da war oft auch Schadsoftware mit dran und das ist auch noch ich, ich will es sagen Gang und gebe, aber trotzdem eher selten der Fall. Dann gibt es natürlich ich sag mal offene Remote Zugänge die man sich grundsätzlich schon so nehmen kann, die irgendwie öffentlich aus dem Internet

erreichbar sind. Die kann man sich auch sehr, sehr einfach über etwas, das nennt sich schodern Punkt IO, weil wenn man da drauf surft sieht man auch was alles so aus dem Internet ungesichert erreichbar ist. Und dann hätte ich so ein schönes Beispiel und zwar war das ich weiß nicht ob ihr davon schon mal gehört hattet Colonial Pipeline und zwar Colonial Pipeline ist. Ich sag mal eine der größten Benzinlieferanten in den Vereinigten Staaten und wie ist man da reingekommen, wie hat man

die Rancimate reingeschleust? Nee, nicht nicht übers od. Das ist eben der derbesondere.es hat folgendermaßen funktioniert. Jemand hat Zugangsdaten aus dem Tor, Netzwerk oder aus dem Underground Forum sage ich einfach mal von einem Ex Mitarbeiter gefunden und die hat man dann verwendet, hat sich dann über ein VPN eingewählt was nicht per Multifaktor irgendwie gesichert war und genauso war man dann drin und das ist schon. Besonders das dann und deshalb noch mal auf das, was du gerade

gesagt hast. Burkhardt eingehend. Es wurde eben nicht die OT infiltriert, sondern die.it bedeutet alleswas.it war Buchhaltung und Abrechnung und so weiter das wurde dann mit der Rand Summe infiltriert und dann konnten die nicht mehr abrechnen und stellt euch mal vor ihr würdet doch kein Benzin rausgeben wenn ihr nicht wüsstet wieviel und wenn ihr es nicht abrechnen könntet. Es unterstreicht wieder dieses dieses clevere Vorgehen. Ne erstmal scannen, was eigentlich alles da wo wo setze

ich dann am besten an? Ich glaube jetzt kommt Bock auf die OT weil dieser VPN Zugang das könnte schon sein, dass das n Remote wartungszugang war für für OT Geschichten bei diesem bei diesem Pipeline. Das das kann natürlich sein, das kann natürlich. Sein, ich meine, wir hatten die Geschichte schon mal in einem Podcast, den ich, wenn das mal mal nicht die gleiche Pipeline ist, von einem OT Sicherheitsexperten, ich will mich mal nicht so weit in die Pipeline reinhängen, ja mal gucken.

Aber Alexanders, das ist alles klar und so, ich und ich glaub das hören, das hört man ja auch ganz oft da und e Mail und so weiter dann kommen die da irgendwie rein und so weiter ich wenn du wenn du willst würd ich gerne noch mal dieses Thema E Mail noch mal ganz genau auseinander nehmen. Ja weil ich finde erstens ich sag ich kurz was allgemeines finde ich es ist unglaublich alle Sicherheitsexperten sagen einfach so ja musst halt aufpassen mit diesen e Mails was

du da anklickst. Ja und wenn du wenn du wenn du da bloß den falschen Link anklickst ja dann. Dann ist übermorgen Rentum während deiner Firma und alles ist verschlüsselt. Du bist schuld da, das geht halt

überhaupt gar nicht. Ja, weil so kann, so kann ja Sicherheit nicht funktionieren, dass jeder einzelne Mitarbeiter, und das kann der nicht wissen, ja, weil wir, wir sind ja auch geflutet von SARS Systemen, es gibt 1000 gute Gründe den Link in der E Mail zu klicken, weil ich muss Double Factor registrieren, e Mail Bestätigung und so weiter ja also es ist ich würde sagen man kann einfach nicht dem Nutzer abverlangen zu wissen. Wann darf ich jetzt hier klicken

und wann nicht? Das ist kein Sicherheitskonzept, ja, das ist genau das ist meine Meinung und Punkt, ja und wenn das also das noch so ist, dann müssen wir uns, da müssen wir als Sicherheitsexperten oder als Softwareentwickler und so weiter und so was Besseres ausdenken lassen, so ja den einen Punkt wollte ich nur kurz, brauchst du gar nicht kommentieren, den wollte ich einfach mal so stehen lassen, ja, den zweiten Punkt jetzt ist es ja so, wenn ich ne e Mail bekomme, so klar, da ist

jetzt irgendwas drinne oder also es gibt jetzt 2 Sachen, entweder ist da n Link drinne und wenn ich den Link klicke komm ich ins Internet. Und dann kann mir das Internet sagen, jetzt kann er n Download Link sagen und kann sagen hier

du musst dir was runterladen. Ja und jetzt gehen wir das mal durch ja jetzt chartsoftware ja sagen wir mal sogar ich klick diesen Link an und irgendwas sagt mir ich soll was runterladen, dann würde ich ja schon mal sagen komm Leck mich ich lad hier irgendwie nichts runter aber ich weiß nicht was

du bist. Ja aber selbst wenn ich es runterladen jetzt mal ganz technisch gesprochen auf dem Windows Rechner dann lege ich ein runtergeladenes file selbst wenn es n chartprogramm ist ja. I am I am Evil Punkt exe ja, kann das heißen. Ja, in meinen Downloads holder jetzt hab ich das ja immer noch nicht Doppel geklickt, also mal jetzt mal ganz platt und technisch gesprochen, da kann ja noch nichts passieren oder wann und wie und was muss ich denn alles falsch machen damit es losgeht?

Also wenn ich natürlich i am Evil and will and a crypt you Punkt exe dann auch noch doppelklicke und sage ja ich brauch administrationsrechte um das zu tun ja hast du hier bitte ja dann versteh ich das Kacke ist so ja. Aber jetzt mal ganz ehrlich gesprochen von von von einer E Mail bis zum Starten eines schlechten Programms. Das würde ich, das hätte ich gerne noch mal erklärt. Gerne gerne. Also es fängt an.

Erstmal ganz wichtig, es muss zumindest ein Unternehmen, ich nenne es mal eine Multi Layer Security Strategie geben und an ganz ganz vielen Punkten, die du auch gerade erwähnt hast müssen

eben. Technische Maßnahmen sicherstellen, dass der User, bevor es überhaupt zum User kommt, schon so viele Sicherheitskontrollen durchgelaufen sind und überprüft wurde, dass es nichts Böses ist, dass wenn es wirklich zu dem Case kommt, den du gerade gesagt hast, nämlich dass der User wirklich überhaupt in die Lage versetzt wird, da doppelt drauf zu klicken, das Ding auszuführen, dass schon so viele Sachen passiert sind und so viele unterschiedliche Dinge gemacht wurden.

Und ich gehe jetzt mal aus aus dem Weg, schon mal bis zum User das Ganze durch. Wir haben eben gesagt, okay, wir surfen im Internet. Das erste ist der Browser selber muss gepatcht sein, das heißt er muss aktuell auf dem Alleraktuellsten stand sein, weil wenn nicht, dann reicht es auch wenn du nur auf eine Webseite gehst und diese Webseite, die findet heraus über zum Beispiel ein Java Script, ohne dass du irgendwo draufklickst, dass dein Browser

eine Schwachstelle hat. Dann musst du nirgendwo draufklicken. Du musst nur auf die Webseite und dann wird dein Browser und somit auch dein Rechner

automatisch infiziert. Das ist der erste Weg, das heißt über den Browser nur mit dem Besuch auf einer Webseite, das heißt, damit das nicht passiert, musst du unter anderem deinen Browser geupdatet haben, du brauchst ein Antivirus, ein Ida und so weiter und so weiter und Best Case Du verwendest sogar, insbesondere wenn du auf eine e Mail auf einen Link geklickt hast. Eine sogenannte e Mail Link Transformation. Was bedeutet das?

Ich weiß nicht, ob ihr das in Microsoft Outlook zum Beispiel drin habt, ist in so einer E 5 Lizenz mit drin, bedeutet ihr geht nicht sofort auf die Webseite sondern ein Security Tool von zum Beispiel das gibt es auch von anderen Mendoren, aber zum Beispiel von Microsoft führt dich nicht sofort auf die Seite sondern savelings protectionoutlook.com die überprüfen ist da irgendwas Böses oder nicht?

Wenn Microsoft der Meinung ist, mit welchen Algorithmen auch immer, hey, das ist fein, dann leiten sie dich auf die Seite weiter. Die Stufe 2 davon ist sendboxing, das heißt, dein Browser selber ist einer isolierten Umgebung und egal was in dem Browser passiert, kommt nichts auf deinen Rechner. Aber gehen wir mal davon aus, es wäre wie bei den meisten, ich habe keine Sendbox und ich habe keine Microsoft E 5 Lizenz und also ein Firlefanz.

Das heißt, ich gehe auf die Webseite, downloade mir das, dann komme ich schon, zumindest in einer Corporate Welt in die Möglichkeit zu sagen, alles was runtergeladen wird, muss in einem Unternehmensnetzwerk auf jeden Fall noch mal gesandboxt werden wieder, das heißt ein Externer, eine externe virtuelle Maschine, die prüft ist das Böse oder nicht, wenn das einen bestimmten Score und ne für die die das Mal ausprobieren wollen.

Man kann so Sachen auf virustotal.com hochladen wichtig bitte ladet nicht sensible Dinger hoch weil man kann auf die Daten die da hochgeladen werden zugreifen.

Jeder das vielleicht noch nebenbei genau das Sandboxing und dann kannst du natürlich auch noch auf den Proxy Level einschränken, auf was für Webseiten und auf was für Kategorien können die Leute überhaupt und so weiter und so weiter also ich könnte jetzt bestimmt noch ne Stunde mit dir darüber reden, wie viele Player man durchkaufen muss.

Ja, aber das sind ja jetzt, das sind ja jetzt schon wieder security Aspekte, die verstehe ich, das sind ja meine Zwiebelschalen und so weiter aber ich, ich komme immer noch nicht mit also aus außer dieser einen Sache, die du gesagt hast, wenn mein Browser halt schon kaputt ist. Dann dann, weil das ja ne Anwendung ist, die läuft.

Die kann vielleicht im Hintergrund noch mal ne Anwendung starten, die anfängt irgendwelche Files zu verschlüsseln im Hintergrund, aber ich ich sag mal was wenn ich ich würde gerne unseren Zuhörern so n bisschen die Angst nehmen, dass und ich, ich, ich ich weiß nicht, du kannst mich da, du kannst mich da korrigieren, ja aber wenn du irgendeinen Link aufrufst in der Webseite und du normalerweise n gesundes System hast, da passiert ja erstmal nichts also

es ist noch nicht so, dass es ist ja die Welt nicht so schlimm, dass du das kann ja immer mal passieren, du drückst irgendwo hin und drückst irgendwo drauf und du kommst zu irgendeiner Webseite, aber wenn du nicht sofort interagierst und wenn dein Browser n aktueller Browser ist, der normalerweise von selbst sich ja auch die Updates zieht, dann passiert erstmal noch nichts, weil was mal.

Also wir müssen mal kurz überlegen was da passiert, ich mach ne Anfrage und ich krieg natürlich ne request und dann krieg ich ne Response vom Server, die wird aber im Browser abverarbeitet das ist dann erstmal HTML auch selbst wenn da javascript runtergeladen wird kann ausführen. Aber alles was da drinne ist, sorgt dafür, dass das nicht erstmal sofort, dass das davon kann nicht sofort anfangen. Deine dein dein Windows zu verschlüsseln. Ja, das muss man ja vielleicht auch mal sagen.

Ja, so einfach ist es nämlich auch nicht, ja. Genau, es ist nicht ganz so einfach. Ich möchte jetzt nicht irgendwie die Leute komplett in Panik versetzen oder so. Natürlich sind das, ich sag mal, teilweise sehr professionelle Dinge, aber wenn ihr jetzt auf normale Webseiten geht, natürlich könnten die auch von Profis infiziert sein, aber genauso wie Burkhardt es gerade

gesagt hat. Wenn ihr ein aktuell gepatchtes Windows, Unix, Mac OS habt, aktuell gepatchten Browser, dann seid ihr schon weit weg von dem Standard und dann könnt ihr ich sag mal, sofern ihr nicht auf irgendwelche Underground Webseiten im Tor, Netzwerk oder sonst was oder irgendein illegalen Kram sag ich mal oder offensichtlich illegal oder Graubereich, dann müsst ihr euch nicht die allergrößten Sorgen machen, zumindest dass ihr, sofern ihr nicht irgendwie was

runterladen und ausführt oder irgendwie sowas. Genau das ist natürlich, das ist natürlich voll. Freiwillig ehrlich, sag ich mal. Aber lass uns mal die Frage konkret beantworten, weil Burkhard hat tatsächlich gefragt, wie funktioniert das technisch, dass dann

Schadsoftware ausgeführt wird. Ja, und in seinem Beispiel war das, da müsste das ja schon doppelt geklickt werden und gestartet werden und hast du tatsächlich Beispiele gemacht, wie man sich schützen kann, aber nicht erzählt, wie kommt die Schadsoftware auf die in das Firmennetzwerk? Ja, außer das mit der Website wo javascript ausgeführt wird, da gibt es dann noch andere Wege quasi das war die Frage glaub ich. Also die Fragen quasi, welche anderen Wege es noch gibt. Ja, bei e Mail.

Was bedeutet das genau, was, was muss da alles schief laufen, damit dann doch die Schadsoftware am Ende da ist? Ja genau. Also wenn ich den den Weg einfach mal weitergehe, den wir gerade hatten und der User klickt auf die Mail, dann wird die Schadsoftware sag ich mal entweder automatisch runtergeladen oder irgendwie sowas. Er klickt also auf irgend n Button in der Mail oder n Link oder oder n Anhang dateianhang. Was könnte das alles sein, ja. Genau richtig also.

Entweder ist es meistens ein Button, Es ist ein Link oder es ist ein Anhang, das ist so die die meiste Form ne und genau da ist. Ist jetzt ich sag mal zumindest der der e Mail der e mail vector oder das e mail vector einfalls ich glaub ihr wisst was ich meine also das der Vector funktioniert in der Regel immer, ich muss etwas herunterladen oder ich muss etwas auf meinem Rechner laden und dann auch

ausführen so und wenn ich jetzt. Genau das ist nämlich das Punktspiel. Wie wir es machen, wir machen auch sogenanntes Red Teaming und so.

Das ist quasi die nette oder die abgestimmte Art, in Unternehmen einzubrechen, digital, das ist das Red Teaming so und die einfachste Art ist in der Regel zum Beispiel über eine HR Abteilung, ein Unternehmen hat etwas ausgeschrieben, eine Stelle für den Entwickler und wir sehen dann Frau Müller hat von der HR Abteilung von Unternehmen XY etwas ausgeschrieben, wir nehmen diese Bewerbung, packen die in ein Word Dokument. Was Makros von uns entwickelt hat. Und dann packen wir da rein.

Sehr geehrte Frau Müller, im Anhang finden Sie meine Bewerbung XY, Wir machen da auch eine Bewerbung mit rein, mit einem schönen Foto und so weiter schicken das von einem Gmail Account an die Frau Müller im Unternehmen, sie bekommt das und dann bekommt sie so eine schöne Meldung wo dann drauf steht diese Word diese Datei ist mit einer älteren Word Version damit sie das Konvertieren klicken Sie auf Inhalt aktivieren. Dann klickt sie auf Inhalt aktivieren.

In dem Moment werden die Makros gestartet und unsere Datei runtergeladen, der CV ersetzt sie, denkt alles ist haco, aber in Wirklichkeit ist ne Schadsoftware implementiert, sie antwortet uns sogar noch und sagt, Ah ja Hallo Herr XY, vielen Dank für ihre Bewerbung, leider kommen Sie nicht in frage, Ich wünsche Ihnen noch alles gute und ich denke mir super ich hab jetzt Zugriff auf deinen Rechner.

Also im Grunde genommen geht es schon drum zu manipulieren irgendwo und das Geschick zu verstecken, aber es ist genau wie Burkhard sagt, Ey, du musst schon auch was ausführen. Das genau und der und den Makros die das sind, ja. Natürlich, das sind fiese Dinger, weil weil Makro Execution halt Code execution heißt.

Das gibt es ja bei Excel und bei Word, aber auch hier, und das ist fies natürlich, wenn man es versteckt hinter dem Knopf auf den Knopf kannst du alles drauf schreiben, das Macht im Leben nicht ja nichts, also das war jetzt n schönes Beispiel, weil das hat nichts zu tun mit den Kompatibilität und Versions Upgrade ja das Nutzen die tatsächlich um was zu starten ja. Ja, aber genau.

Aber ich wollte also diese, diese, diese Angst wollte ich noch mal nehmen, weil es gibt es gibt schon Leute, die Fragen mich auch aus der Familie so, ja, man ist schon, man kriegt ja manchmal schon anruf, weil man ne böse Mail gekriegt hat, die offensichtlich dann, wenn man sie sich noch mal anguckt, weil oft sieht man es ja auch am Text schon schlecht geschrieben und so weiter ja, man hatte drauf geklickt, man hat eventuell noch

was runtergeladen und es liegt im Downloads Ordner, ja dann ist trotzdem noch nicht, dann ist ja trotzdem noch nicht der Teufel am Start, dann gehst du halt dahin. In deinen Download aus klickst Shift Delete ja und Klatsch, klatscht das wieder weg? Ja, wenn du das nicht doppelt geklickt hast, dann bist du also dann kann ich erst mal allen sagen, so entspann dich jetzt mal kurz wieder als cool. Ja in dem Case ja genau, natürlich gibt es ich.

Sag mal n paar Spezialvarianten, die nennt man dann zeroclick. So bedeutet auch für die iphones und so weiter oder remoteable Exploitable, wenn ihr das irgendwie von bestimmten Schwachstellen mitbekommt, dann ist es schon haarig, weil dann muss man wirklich gar nichts tun, man muss nur ne IP Adresse einklimpern von deinem iphone zum Beispiel.

Und dann bist du drauf, weil du brauchst keine User Interaktion, dann ist es eine Schwachstelle in dem Betriebssystem selbst, die so kritisch ist, dass du keine User Interaktion brauchst. Und aber es ist genauso wie du salzburghardt. Ich sag mal der Standard in der heutigen Zeit ist immer noch, wenn du wirklich was per E Mail bekommen hast und du hast es nicht geöffnet mit einem Doppelklick, dann sollte eigentlich auch nichts passiert sein.

Natürlich gibt es auch in Outlook irgendwelche Schwachstellen die so zeroclicks sind, nach dem Motto hast es in der Vorsicht. Ich will jetzt nicht alles schlecht reden, aber nee, das klingt generellen Teil. Bin ich bei dir ja OK, also wenn die Mitarbeiter geschult. Sind und und vorsichtig sind oder so, das ist ja das Wichtigste offensichtlich. Also dann lieber ja vorsichtiger sein. Nee, OK, also ich wackel so n

bisschen. Der Book hat dann auch schon sein Steak dazu gerade gesagt, ich glaube in der oder ich sehe so rum, ich sehe in der heutigen Zeit, dass die meisten CBTS, also computerbase Trainings machen und ich sehe, dass die keiner wirklich macht. Also wirklich keiner.

Ich kenne keinen einzigen Menschen, der diese Schulungen wirklich durchgeht und sagt, Ah ja, das war cool, da hab ich was gelernt, bedeutet, das ist eigentlich nur ne Compliance Maßnahme die alle machen nur um zu sagen ja ja ich hab es gemacht so und wenn man jetzt aber ne ich geb auch gerne Schulungen und geb dann gerne mal Hacker Tools im Publikum rum und dann frage ich die Leute, was ist denn das hier was glaubt

denn ihr? Und dann ist das n cooles Hacker Tool und ich erklär mal hey das funktioniert so und so und damit kann man das und das machen und guck mal so und so und gefährlich nicht gefährlich. Es ist n Gameboy, es ist kein Gameboy und so weiter diese Dinge wenn ihr das gut macht, das behalten die Leute für ihr Leben. Ich bekomme heute noch von meinem alten Arbeitgeber, von Kolleginnen und Kollegen anrufe die sagen alexanders ich hab das

letztens gesehen. Und zum Glück habe ich das bei dir in der Schulung gelernt und total cool. Ich habe sofort bei uns in der Security Abteilung angerufen und wusste sofort, worum es geht und man man muss halt auch ein bisschen den Bezug zum, Ich sag mal zur privaten Sicherheit schaffen, wenn man mal ehrlich ist.

Die meisten Mitarbeiterinnen und Mitarbeiter die interessiert die Unternehmenssicherheit nicht, aber ob ihr privater Instagram Account gehackt werden kann, das interessiert die und genau da muss man so ein bisschen bei diesen Schulungen drauf achten deshalb. Ich glaube, wir Schulen heute nicht gut, wir schulen, aber wir schulen nicht gut, aber ich bin auch zumindest ein Großteil bei Burka.

Es kann nicht alles nur auf den User ausgelagert werden, wir müssen den User so weit wie es geht entlasten von all diesem Kram. Aber ich denke trotzdem, dass es mittlerweile und insbesondere auch in Zukunft ein Standardwissen sein muss, leider, wie ich mich sicher im Internet bewege, wie ich mich sicher verhalte um mich selber. Und meine Familie oder das Unternehmen, für das ich arbeite, zu schützen. Ich hab ich hab ich hatte

gerade. Noch ne Idee, ich, ich wollte noch was reinteasern das ist weil wir über Sicherheit sprechen und wie man das erkennen kann und so weiter ich ich wollte ein Beispiel geben aus der aus dem menschlichen Organismus, denn der menschliche Organismus braucht ja auch n antivirenprogramm, es funktioniert ganz anders als alle Ideen, das weiß keiner als alle Ideen wie die also nicht.

Also ich sag mal der Durchschnittsmensch, der nicht gerade Molekularbiologie studiert hat und ich find das eigentlich ganz cool, aber vielleicht gibt es mal n Antivirus Programm was so funktioniert wie der Körper.

Da ist es nämlich so. Es gibt die Antikörper, die greifen alles an, die greifen einfach alles an, ja, die, die sind richtig böse, auch das Gute, auch die guten Zellen so, und die kommen, aber die werden aber vorsortiert und also es wird quasi es werden quasi verteidigungsmechanismen aufgebaut in Form von Antikörpern, die heften sich an alles und lösen quasi Alarm aus und damit die aber nicht für die eigenen Sachen Alarm auslösen werden die trainiert vorher in

bestimmten Organen ja zum Beispiel im in der Milz, ja. Und da werden die, die die, die auf die eigenen Sachen drauf gehen, die werden raus sortiert und was übrig bleibt, ist ein Randomisiertes und da ist der Körper sehr clever. Set an allem möglichen Krams was drauf reagieren würde wenn irgendwas fremd ist. Und wenn jetzt n Virus reinkommt, dann gibt es einigermaßen Wahrscheinlichkeit das ein oder 2 von diesen Dingern da dran bindet.

Ja obwohl es das noch nie gesehen hat, ja weil es einfach gegen alles Mögliche geht, nur nicht gegen selbst, ja.

Und so funktioniert der Körper das, wenn man das jetzt umsetzen würde auf dem Körper, würde man auf den auf dem Computersystem würde, würde man sagen, OK, ich guck ich, es gibt Programm, es guckt sich meine ganzen Signaturen an von meinem ganzen Rechner und gegen alles was nicht meins ist bin ich erstmal bösartig ja und wenn irgendwas auf meinem Rechner entsteht oder läuft oder n Programm startet, dann wird das erstmal angegriffen ne und da gibt es erstmal n Alarm quasi so ja ich

es gibt glaub ich so Ideen mal ist aber schwierig weil ich natürlich immer das ganze System überwachen muss aber ich wollt nur mal sagen wie das Immunsystem funktioniert, das funktioniert nämlich. Quasi von der Logik andersrum.

Ja, das das sagt erstmal von vorne, das ist Zerotaste eigentlich, es sagt es ist alles böse, auch ich selber, aber aber, aber das ist dann, das wird dann kurz aussortiert damit ich nicht ne Autoimmunerkrankung hab das ist das nämlich und das nicht, funktioniert ja immer so als Idee, aber so Cybertechnisch gibt es. Tatsächlich sowas Richtung

Richtung KI? Zumindest sagen die Vendoren, das ist KI, ne, das möchte ich jetzt nicht kommentieren, ich glaub das ist ne andere Diskussion ja aber es gibt Tools die erstmal ne ganze Weile lauschen und hören und verstehen. Das ist gut, und wenn dann mal was anderes passiert, ne, dann sagen Sie OK Moment, hier ist n Alarm und also in ne ähnliche Richtung gehen solche Anbieter teilweise auch. Ja ja ich weiß das nämlich auch

von es gibt bestimmte. Linux Systeme, die haben das auch und das kann man halt nicht machen. Aber bei so einem Office PC wo halt sehr viel passiert, ganz viele Dateien verschoben werden. Aber es gibt ja auch andere Bereiche die ich sichern muss sag ich mal so n Server der steht der der nicht dazu da ist wo relativ also der der gar nicht dafür gebraucht wird, dass viel Pfalz sich ändern, da will ich eigentlich wissen. Er sieht immer so aus, wie er

aussieht. Ja, und wenn da irgendein Pfeil entsteht auf dem Ding, dann ist das schon questionable. Ja, und da sind solche Systeme cool.

Ja, weil also ich mein, Jetzt haben wir heute viel über Sicherheit im im, im, im PC, im im Personal Computing gesprochen, es gibt ja aber natürlich auch noch ganz viele andere Softwaresysteme, kritische Infrastruktur, serversysteme und so weiter wo jetzt keiner vorsitzt, die auch sicher gehalten werden müssen und die wo man die versucht dann zu hacken, die können sich ja vielleicht mit so einem System ganz gut schützen, da wo man einfach einfach ne Alarmglocke

angeht, wenn da irgendwas gestartet wird, dass da einfach normalerweise nicht gestartet wird, ja. Ja, also vielleicht kommt ja durch KI und so weiter noch n bisschen, was ja tatsächlich, was wir ja noch gar nicht angesprochen haben ist. Irgendwie das das Lösegeld und so psychologische Aspekte sag ich mal. Ja, also Technik und Schutzmaßnahmen und es gibt

bestimmt ganz viel und dann die Quintessenz, aber auch die, es gibt immer tolle Schutzmaßnahmen und dann gibt es ja auf der anderen Seite wieder jemanden cleveres der wieder was besseren und neueren Angriffsvektor findet. Ja und jetzt ist es so, jetzt jetzt bin ich vielleicht verschlüsselt als als Firma, ja. Office PCS wie auch meine Server ja alles, dann ist halt lahmgelegt, da geht halt nichts

mehr. Ich kann keinen Auftrag mehr durchführen, mein MES ist lahmgelegt, mein ERP steht meine ich kann keine E Mails mehr schreiben nichts ja und ich hab hier so ne Lösegeldforderung vorliegen und die ist jetzt vielleicht zufällig genauso hoch wie meine Cyberversicherung oder ich hab gar keine Cyberversicherung was tun genau? Also ich das erste was die meisten wahrscheinlich antworten würden, auf gar keinen Fall zahlen.

Ja da. Und und das auch am besten direkt dem Angreifer kommunizieren, das unterschreibe ich nicht so. Ich würde erstmal grundsätzlich möchte natürlich niemand kriminell unterstützen, keine Frage okay aber um sich auf der einen Seite einen Hintergrund zu verschaffen, was wissen denn die Angreifer, wie kritisch ist das ganze denn vielleicht und so weiter und so weiter sollte man trotzdem mit den Angreifern reden oder chatten, meistens

zumindest. Das heißt, da wollt ich noch kurz zwischenfragen wie wie kriegt man so? Ne Lösegeldforderung eigentlich übermittelt. Ja da hab ich n lustiges Beispiel. Tatsächlich, was ich auch noch kurz erklären kann, also in der Regel habt ihr so n Screen auf Eurem auf Eurem Desktop.

Also der Rechner startet dann und ihr könnt dann nichts tun und nur da ist quasi ne Nachricht, ihr könnt nichts klicken, nichts gar nichts, sondern da steht dann hey, dein Rechner ist verschlüsselt, manchmal ist es auch nur ne Hintergrundgrafik von Eurem Desktop die ausgetauscht wird, aber in der Regel könnt ihr die Computer nicht nutzen und da ist

dann. So ne schöne Grafik, die dann auch teilweise runter zählt und sagt du hast noch x Stunden und aber wenn du jetzt schon auch siehst ja chatfirmen oder du. Weil du jetzt ja wieder dieses eine Computerbeispiel machst. Du redest schon noch über Firmen, die verschlüsselt sind oder sowohl Firmen als auch Privatperson. Also das. Ist da völlig Konkurrent sag ich mal genau und das heißt du kannst dann auch über so n Chatfenster mit dem Chatten und das funktioniert ganz normal.

Da kannst du auch Nico Shaten. Und deshalb würde ich erst mal grundsätzlich sagen, man sollte zumindest mit denen versuchen, schon mal zu verhandeln. Und ganz wichtig natürlich, und ich glaube, das würde jeder erst mal sagen, Ruhe bewahren und einen Experten einschalten. Ich würde auf keinen Fall irgendetwas tun oder entscheiden, ohne jemanden einzuschalten, sei es ein interner oder ein Externer, der sich mit sowas sehr gut auskennt.

Jetzt ist aber auch grundsätzlich die Frage immer wieder, hey zahlen wir, zahlen wir nicht und die meisten sagen wieder wie gesagt nicht zahlen nicht. Seit mal selber CEO oder CFO eines Konzerns, der stillsteht,

der kurz davor ist. Wenn man das nicht wieder ans Laufen bringt und bei produktionsnahen Unternehmen kann man das sehr gut, meistens sogar in sekundengenauer Taktung definieren, wieviel Geld man pro Sekunde verliert, wenn das Werk und wenn die wenn das Unternehmen steht, in anderen

Teilen eher weniger, aber. Wenn man das beziffern kann und man weiß, wenn ich jetzt über ne Stunde warte, dann ist meine Firma komplett pleite, dann möchte ich euch mal sehen, dass ihr so salopp sagt, NÖ, ich Zahl nicht, also deshalb ich, ich find das immer sehr einfach das zu sagen, aber am Ende des Tages ist es nicht so einfach. Es gibt ja Gründe warum so viele Unternehmen trotzdem bezahlen und ich hab ne n lustiges Beispiel tatsächlich, aber warte also. Ich hab. Sie so nicht verstanden?

Also nicht ja nicht nicht zahlen und du hast jetzt ne Stunde als Zeitraum genannt, ich glaube ist ja also nach einer Stunde ist ja keiner pleite, auch wenn er weiß ich nicht die größte Autofabrik der Welt hat, aber reden wir mal über so n normales Unternehmen, es hat vielleicht 50 mitarbeiten oder so ich da gibt es da viel mehr von als Konzerne, ja und dann hat man auch keinen C so höchstwahrscheinlich und wahrscheinlich auch keinen Sicherheitsexperten intern, sondern man holt sich erst mal

externen dazu genau und dann lässt man den chatten oder verhandeln. Mit den mit den Erpressern quasi an der Stelle. Genau also das genau. Gehen wir mal einfach das Praxisbeispiel tatsächlich durch. So, du bist ein kleines Unternehmen, so wie du es gerade geschildert hast. Du bekommst diesen Screen, das erste was du erstmal machst ist

dir externen Support kaufen. Du hast kein ceso, du hast kein ISB und so weiter du Googelst wahrscheinlich best Case, du kennst irgendjemanden oder irgendwie sowas. Ich bekomme auch hin und wieder mal solche Anrufe und ja und dann suchst du dir ein entsprechendes Expertenunternehmen, die das schon kennen und die genau darauf spezialisiert sind. Und die werden dir dann sagen, alles klar, lass und zeig mir mal.

Was ist das für ein Screen? Dann wird erstmal der Cyberexperte informieren okay was ist das für eine Rand, so mehr gibt es da vielleicht haben wir gerade eben schon mal darüber gesprochen, gibt es da vielleicht schwächen das zu umgehen, dann wird überprüft, alles klar habt ihr Backups funktionieren die kann man die wieder einspielen und so weiter und so weiter und dann überlegt man erstmal alles klar, jetzt hören wir uns auch mal die kriminellen Seite an, wieviel

wollen die denn haben und so weiter und so weiter und dann muss man am Ende des Tages überlegen und. Da sollte man schon auf die Experten hören. Sollte man zahlen, sollte man nicht zahlen.

Die Experten werden meistens sagen, Nein, nichtsdestotrotz, du musst am Ende als Firmeninhaber entscheiden, kannst du dir das leisten oder nicht und egal ob es jetzt eine Stunde oder 3 Tage oder 5 Tage ist, das zählt meistens so ein Counter runter, also meistens nicht eine Stunde, das wäre jetzt so ein Beispiel, dass man weiß wieviel man verliert innerhalb jeder Stunde wo das Werk steht, aber ich sag mal es gibt genug Beispiele von Unternehmen die genau die Größe

haben, die Du gerade gesagt hast und die nach einer Woche pleite sind. Ja, man muss sich da vielleicht drüber. Überlegen man. Man, man glaubt ja vielleicht erstmal, man ist in der schlechteren Verhandlungsposition, ist man vermutlich. Auch. Aber ich meine. Die andere Seite möchte ja auch was daran verdienen. Das würden Sie ja nicht machen, wenn du sagst es ist ne ne Firma, die muss auch ihren

Umsatz generieren. Jetzt haben sie schon irgendwas verschlüsselt, ja was ja auch nicht so einfach ist. Ja weil sich auch immer mehr schließen nehm ich an, also sind die ja auch unter Zugzwang, ja die die Verhandlung auf der anderen Seite ja und wenn man dann jetzt sagt. Nö, Ich zahle nicht, dann würden die auch nicht vielleicht sofort die Daten veröffentlichen, weil dann haben sie ja ihr Druckmittel verloren. Also genau, Verhandlung zahlt ja

absolut. Genau da gibt es ein schönes Beispiel Travelex das sind so, das ist oder war ein Unternehmen, was an den Flughäfen dein Geld gewechselt hat, die wurden auch angegriffen, bei denen waren es, ich glaube, die wollten $6000000 die Angreifer in Bitcoin, die haben am Ende 2,3 Millionen bezahlt, ne, und das kann sein, dass die einfach einen verdammt guten Verhandler hatten und es

kann aber auch sein. Dass am Ende des Tages die Angreifer gesagt haben, na ja, OK, vielleicht dann doch nur 2,3 die Wahrscheinlichkeit ist höher, dass sie mit den Behörden kooperiert haben und mit entsprechenden Cyberexperten, die das dann, ich sag mal runter verhandelt haben.

Das ist einfach Psychologie, ne, ihr sagt ihnen Hey Jo, ich hab verstanden, ihr wollt so viel Kohle, aber so viel haben wir nicht und dann werden die Angreifer in der Regel sagen, ja zeig doch mal, weil wir wissen wir haben Eure P und l wir haben das und so weiter und so weiter ihr könnt das bezahlen oder ihr habt vielleicht sogar eine Cyberversicherung ne und. Dann muss man auch weiteren weitere Nachweise, teilweise also den Angreifern rüberschicken.

Also beim Kumpel von mir wollten die seinen Ausweis haben, um nachzuweisen, dass er eine andere Nationalität hatte, sage ich einfach mal so und durch diesen Nachweis war der Kumpel von mir der Admin von einer kleinen Firma war, haben die dem seinen Rechner wieder entschlüsselt und das Unternehmensnetzwerk weil er nachgewiesen hat, dass er eine bestimmte Nationalität hat, geht auch.

Muss man halt mit denen. Verhandeln, wenn die merken OK, du kommst vielleicht daher, dann gibt es da so n Ero Kodex, dann helfen die vielleicht sogar ja Siri, aber musst du. Glück haben, dass das OK. Klar, da gibt es jetzt natürlich keine finale Antwort. Das kommt sehr auf den Fall an, aber ich glaub die Message ist ruhebewahren Profis dazu holen auf jeden Fall und dann abwägen letzten Endes ne aber 1 hab ich noch auf dem Herzen 1. Hab ich noch auf dem Herzen.

Das passiert also. Also ich nehm mal jetzt mal mein Beispiel ja, also auf meinem Laptop. Und den kann ich, den kann ich sofort in die Regentonne schmeißen, ne egal. Ja, also kein einziges File, kein einziges relevantes Datum ist auf meinem Laptop, also ist vielleicht da, aber dann ist es in der Cloud halt auch.

Also ja, da mein meine Frage zielt darauf, wenn ich mein ganzes Unternehmen Cloud basiert ausrichte, wie zum Beispiel Heisenway ist, also kann man ja mal sagen wir sind bei mit dem Google Konzern verhaftet, haben die G Suite und alle Dokumente sind da, ja dann müsst ihr ja so n Ransomware angriff. Rübergehen in die Cloud, weil da liegen die Dokumente. Ja, es müsste in der Cloud bei Google laufen und verschlüsselt werden, das kann ich mir hart schwer vorstellen, dass das

klappt. Ja, also hier kommt meine Frage, schützt nicht das ist es eventuell ne ganz coole Sache wenn ich sage in meiner Firma und das kann ich jetzt nicht für die ganz großen ja aber wenn ich ne mittelgroße Firma bin und baue meine Datenstruktur so auf, dass dass gar keiner mehr irgendwas lokal hat, ja, sondern dass die Daten halt bei irgendeinem großen Anbieter, es muss ja nicht Google sein, es gibt ja mehrere, ja wissen wir ja alle.

Gehalten werden. Ja, und da liegen ja, das müsste ja irgendwas bringen, ja, weil es es heißt, für mich als Techniker, der Verschlüsselungsalgorithmus muss ja die Dinger in der Cloud verschlüsseln, ja, und das stell ich mir nicht so einfach vor, Nein, sagen wir mal so, du kannst ja auch. Entschlüsselt auf die Daten zugreifen und genauso macht der Angreifer und dessen Schadsoftware das über deinen Laptop. Also der lädt das runter aus der.

Cloud verschlüsselt ist und lädt das verschlüsselt wieder hoch. Oder wie? Er kann ja die. Also du hast ja. Direkten Zugang ist wie dein Netzlaufwerk, sag ich mal. Und genauso kannst du das ja sowohl auf deinem Desktop als auch in der Cloud verschlüsseln.

Dass ich sag mal größere Konzerne schon andere Erkennungsmechanismen und Vermeidungsmechanismen an manchen Punkten haben ja aber das funktioniert trotzdem auch, also wenn ich sag jetzt mal als anderes Beispiel Microsoft onedrive oder Google oder egal welcher du bindest diese Daten ja. In deine Arbeitsumgebung ein und wenn deine Arbeitsumgebung infiziert wird, dann hat die Schadsoftware uneingeschränkten Zugang. Ja, mit deinen Berechtigungen und kann die Daten, egal wo sie

liegen genauso verschlüsseln. OK, aber dann wird es mir natürlich helfen, wenn ich einfach. Den Rechner vom Netzwerkstecker ziehe dann, wenn ich es merke quasi ja, weil da ist Feierabend. Wenn es dann nicht synchronisiert wird, ja. Korrekt, genau, aber du darfst ja nicht vergessen, Double on trip extosion ne also. Schön, dass du n Backup hast und so weiter aber willst du, dass alle deine Daten irgendwo im Internet kostenlos zur Verfügung stehen oder Leute, von denen du

Daten hast, erpresst werden? Also die Cloud schützt? Nicht zu. Einem gewissen Grad, sag ich mal. Krieg ich Bauchschmerzen? Aber ich würd sagen, ich würd. Sagen es ist es ist schon eigentlich, es ist, ich seh da sehr viel Vorteile ne also weil also wenn jemand auf meinem Rechner ist, dann hat er ja noch nicht mal n Cloud contentials geklaut, so ja dann kann er vielleicht irgendwie über. Irgendwelche Synchronisationswege gehen und so weiter ist sich aber auch

technisch gar nicht so einfach. Ja und und dann hat ihr natürlich n so n Google Konzern oder n Microsoft Konzern oder NABS Konzern oder irgend so was noch ganz andere Mittel und Wege und viel standardisierter sich die Dateien anzugucken die da liegen, die haben außerdem krasses Backup, versioning System und so weiter ich würde auch sagen das hilft dem Verschlüssel überhaupt nicht, da jetzt selbst selbst wenn ihr meine gesamten Daten austauschen würdet mit alles was da legt und

einmal geguckt jetzt in legt. Dann geh ich bei Google hin und sag OK, scheiß der Hund. Ja das das ist. Du siehst sogar n timestamp, dann lad ich halt das von von

von einer Stunde hin. Ja dann siehst du wieder safe ja also ich würd schon sagen das das müsste, das müsste eigentlich schon n großen Mehrwert bieten ja für die Sicherheit also was ich bin ja kein Sicherheitsexperte, aber was mein technisches Verständnis angeht würd ich sagen da fühl ich mich sehr wohl nicht bei ja also ich rate immer meinen beiden Familienangehörigen so wenn du wenn du eigentlich deine Daten sicher haben willst dann lad die halt in irgendeine Cloud

hoch die du der du vertraust ja. Da ist der größte Gau natürlich. Und wenn er mir die Cloud sagt, ich, ich mag dich nicht, ja dann bist du auch ganz weg, aber du darfst nur nicht vergessen, wenn du. Ich sag mal das in deinem Daily Business so benutzt, dann bist du ja mit deinem User eingeloggt und mit deinem Rechner und mit dem agiere ich ja als Angreifer.

Das heißt die Cloud ist einfach nur eine andere Arbeitsumgebung, aber du nutzt sie ja aktiv von deinem Rechner und wenn ich deinen Rechner schaffe zu kapern mach ich mit deinem User, ich kann sogar die Backups Eliten wenn ich jetzt n professioneller Angreifer wär. Ich kann mich auch in deine Google Cloud von deinem Rechner im Hintergrund einloggen und so weiter das ist jetzt wieder nur die böse Variante.

Ne, Ich möchte nicht sagen, dass das im Standard passiert, der zumindest heutzutage standardangreifer würde das nicht tun, sondern er würde höchstwahrscheinlich standardmäßig deinen Rechner nur verschlüsseln, du hättest ein Backup in der Cloud und könntest einen neuen Rechner aufsetzen. Was das anbelangt bin ich bei dir ne, also ja was was das anbelangt aber. Wenn die Daten auch in der Cloud verschlüsselt werden, was durch über deinen Rechner auch ohne

Probleme möglich ist. Ja ja, es gibt ja noch Two Facts und so weiter ne. Könntest du dich im Hintergrund direkt einloggen? Ja, ja ne, also so. Einfach ist es nicht, Browser wie im Browser. Einloggen ja. Bis die Session abgelaufen ist. Und dann brauchst du n Telefon. Genau, ich möchte zumindest nur den. Mythos ich sag mal entkräften. Der Angreifer muss sich nicht selbst bei Google authentifizieren, er macht das über deinen Rechner. Das das heißt, der Angreifer macht es über dich?

Ja, das mein, Das ist ja sowieso immer die Größte. Der Zeit schützt es dich nur begrenzt. Ja, das stimmt was du. Sagst ist natürlich immer ganz wahr. Ja, also wenn es jemand schafft quasi sich im den Du der Wolf zum Schafspelz zu sein, also

dich als dich ausgibt mit den Credentials und du bist halt jemand der relativ viel Gewalt hat, weil du viele administrative Rechte hast, auf viele Systeme, dann ist das natürlich immer schlecht und dann können die Systeme sich. Ihr könnt dieses Thema nicht aussortieren, meinte das. So will er wirklich das löschen, weil das meinte er ja vielleicht auch so oder ist das halt jemand Böses? Ja, das natürlich das ist. Richtig wahr.

Ja, das also wenn. Wenn du, wenn deine Credentials gehackt werden, dann ist es ja aber auch der worst case sag ich mal ja, aber für ne für n fieses Programm was irgendwo startet was er, was ja nicht im ersten Schritt deine Credentials hat, ja das hat dann schon n paar größere Hürden da irgendwie was zu tun. Also also für mich wär das jedenfalls ne zwiebelschale ja es ist nicht die. Ich Silver Bullet gibt es nicht, das wissen wir ja alle. Ja, Sicherheit ist halt quasi ne Zwiebel.

Ja und je mehr schichten ich hab, desto besser. Ja wenn wenn ich jemanden komplett hochnehmen will, da schafft er auch alle alle zwiebelschalen abzupellen ja das dauert halt n bisschen länger und dann bist du trotzdem

irgendwann dran. Ja das ist mir auch klar, aber ich dachte immer ne ne Cloud ne ne Cloud Storage ist ist schon auch ne ganz schöne Zwiebelschale so ja vielleicht nicht so wie ich gedacht hab ja hab ich wieder was gelernt heute cool ich glaub wir haben wir haben ganz schön viel schon diskutiert ich glaube wir müssen so langsam ne Kurve kriegen oder Gerrit was hast du? Na ja, ich find schon, dass es

wichtig ist, noch mal. Auch wenn wir das jetzt immer wieder geschaut haben, auch über die Maßnahmen zu sprechen, die man so ergreifen kann, vielleicht noch mal ein bisschen gesammelt, vielleicht nicht so ausgiebig, aber dass man noch ein bisschen drüber redet, was man so, was man tun sollte, gerne gerne klar also. Was kann man alles tun, was gibt

so? Ich sag einfach mal so ein paar grobe Stichworte, dass man die mal gehört hat, vielleicht so mitschreiben oder so, weil das Erste hat schon mal erwähnt, IDA, auf jeden Fall eine aus meiner Erfahrung heraus der wichtigsten Punkte. Pass auf noch mal ganz kurz ID. A also also e Entschuldigung, Emil Dora. Richard endpoint EDR auf deutsch genau EDR. Sorry, ja genau, also. Endpoint Detection and Response heißt das ausgeschrieben? OK dann. Patchmanagement haben wir. Gerade schon gehört.

Das heißt immer alles aktuell halten, dann zumindest in Unternehmen sogenannte Schwachstellen Scans, das heißt, ihr habt so n Scanner, der scannt regelmäßig nach bekannten Schwachstellen, ähnlich wie n Antivirus, nur für netzwerkbasierte Scans. Dann ein Dark Web Monitoring.

Wir haben eben den Fall von Colonial Pipeline gehört, schon bereits geleakte Credentials wurden genutzt, wenn ich diese geleakten Credentials kenne über so n Dark Web Monitoring, dann kann ich mich drum kümmern sowas zu, ich sag mal außer Kraft zu setzen, dann haben wir gerade auch schon von Burkhard Multifaktor Authentifizierung gehört, ich glaub das ist mittlerweile jedem bekannt, da gab es haben wir auch schon gehört, vielleicht egal, lass uns da noch mal ganz kurz drüber

sprechen Multifaktor. Was Burkhard gerade meinte mit dem Handy. Ne, wenn die Session abläuft, dann muss ich einmal noch mal wieder mit dem Handy sagen, dass ich jetzt hier zum Beispiel bei Google mich gerade einlogge und so weiter sonst sonst. Sonst geht gar nichts.

Letzten Endes ne oder? Ich hab jetzt n anderen multifaktor ich krieg ne SMS oder so, muss ne tan eintännung oder sowas in der Form ne OK du kriegst ja auch rückwärts ne Nachricht. Wenn wenn wenn sich jemand von einer anderen IP oder sowas einloggt, dann kriegst du ja auch ne Nachricht. Bist du das gewesen? Das kennt ihr ja auch ja so und da kann man ja auch sagen, wenn man es wirklich nicht gewesen ist. Nö, lieber nicht, ja genau richtig.

Also multifaktor. Kann man sich vorstellen, ist immer etwas was du bist, also dein Fingerprint, deine Iris, etwas, was du weißt, so was wie dein User Name, dein Passwort

oder etwas was du hast. So was wie ein Token oder dein Handy und Multifaktor bedeutet ganz einfach, du musst mindestens 2 von diesen 3 Kategorien irgendwie abfrühstücken und nicht nur eine in unterschiedlichen Variationen, das heißt einmal etwas was du hast wie dein Handy. Und dann etwas, was du weißt, wie dein Passwort. Dann hast du schon Multi oder manche sagen auch 2 Faktor, manche brauchen auch 3 Faktoren, je nachdem okay also wo? Es geht anschalten, ja, absolut,

absolut hilft. Auch sehr, sehr viel kann ich wirklich nur jedem empfehlen. Genau Backups haben wir eben schon sehr viel gehört, also offside Backups, offline Backups mit Tay, Probotern und so weiter normale Backups natürlich auf eine platte Netzwerk Segmentieren, Weihnachtstrainings haben wir gerade gehört.

Und ne, hier noch mal bitte keine typischen CBTS also computerbase Trainings, sondern was ordentliches und dann haben wir gerade eben auch schon den E Mail weg gehört, also e Mail filtering sendbong sync hab ich gerade schon mal erwähnt, so ne Link Transformation Geschichte hab ich schon mal erwähnt, ein echt häufig unterschätzter Faktor über den wir hier noch nicht gesprochen haben, bitte keine lokalen Adminrechte auf dem Rechner. Ihr müsst alle keine Admins

sein, das Ding funktioniert auch so, wenn ich das mal so sagen darf und das ist auf jeden Fall entscheidender Faktor, weil wenn ihr zufällig auf Schadsoftware klickt und ihr habt nicht die Rechte, dann kann die sich häufig nicht. Also es gibt auch wieder Exploits und Blood Pipapoo Security Fritz werden mich jetzt auseinander nehmen, aber in der Regel wenn das Ding gepatcht ist und kein Zeraday hat und ihr habt kein Admin, dann kann das Ding sich nicht ausführen.

Also dann braucht ihr nicht mal Antivirus ungefähr, aber bitte nicht dafür wünschen. So dann Segmentierung des Netzwerks, wenn ein Angreifer nur ein bestimmtes Netz Segment infiltriert hat, dann kann er in das andere nicht rein und bereitet euch zumindest bitte mal vor. Also Incident Response nennen wir das, das heißt such dir einen Anbieter raus den du im Worst Case anbieten anbieten sage ich schon den du anrufen würdest. Mach vielleicht einen Vertrag mit ihm.

Spiel dir doch schon mal durch. Was würdest du tun, wen würdest du anrufen, wie würdest du reagieren, weil ich kann euch 1 sagen, ich habe schon viele solcher Incidents mitbekommen in meinem Leben, wenn wirklich mal die Kacke am dampfen ist, dann laufen alle in der Regel rum wie ein Hühnchen ohne Kopf und da habt ihr keinen Bock drauf, wenn ihr die einzigen seid, die sagen Leute bleibt doch mal entspannt, wir gehen jetzt ABC vor, also

wenn man das mal trainiert hat, selbst wenn es eine Tablet Top Exercise war das hilft. Und das waren jetzt so n paar Beispiele. Cool, OK. Ich finde, das ist auch n Thema, was man jetzt nicht häufig genug sagen kann, auch wenn wir das hier da schon mal erwähnt haben. In dem Podcast. Gibt es denn noch andere Sachen, die wir jetzt noch bei Ransomware unbedingt noch mal

covern sollten? Alexandros, du denkst da, das haben wir jetzt heute vergessen, da muss man noch n Wort zu sagen, cyberversicherung vielleicht fällt mir ganz. Kurz ein, weil das werd ich immer wieder gefragt und ich will auch gar nicht irgendwie zu ausufernd sein. Vielleicht ganz kurz, historisch bedingt. Vor vielen Jahren hat gefühlt noch jeder eine Cyberversicherung bekommen, das war irgendwie on vogue und jeder wollte sein Risiko transferieren auf jemand anders.

Mittlerweile haben die Cyberversicherung auch verstanden, verdammt, das wird richtig teuer, wir wussten ja gar nicht, dass die so schlecht sind und so einfach gehackt werden können und deshalb haben sich auch viele Versicherer aus dem Geschäft zurückgezogen und andere, die jetzt noch drin sind, die prüfen verdammt genau, ob ihr überhaupt versicherbar seid oder nicht. Und genau das ist eben in der heutigen Zeit sehr, sehr teuer geworden und sehr aufwendig.

Und deshalb ist die Cyberversicherung nicht mehr so einfach zu kriegen und wenn, dann mit höheren Hürden oder höheren Prämien natürlich verbunden. Und ich also ich wurde schon sehr häufig auch in einem Unternehmen, in denen ich selber Arbeitnehmer war, gefragt, Alexanders, lass uns doch eine Cyberversicherung nehmen. Meine Antwort war meistens, lass uns das Geld, was für so ein Konzern notwendig wäre, bitte in die Cyber, in die wirklich operative Cyber Security stecken.

Davon hast du zumindest wenn du gute Leute hast mehr als von der Versicherung, weil ich weiß nicht wie es euch geht. Habt ihr schon mal was bei einer Versicherung eingereicht zum zurückzahlen, Haftpflicht oder sonst was und ich kann euch einen sagen gerade im Cyberbereich es wird.

Immer und wirklich immer irgendwelche Lücken geben, die ne Versicherung euch nachweisen kann, die ihr nicht optimal umgesetzt habt, das kann ich euch garantieren zu 100% also wenn ich ne Versicherung wär und ich würde ne Cyberversicherung anbieten, ich würde Leute die uns engagieren um dem Unternehmen nachzuweisen, das habt ihr nicht gemacht, deshalb zahlen wir nicht, also deshalb. Ich will nicht sagen. Dass die Versicherer alle so ticken ne versteht mich da nicht

falsch, überhaupt nicht. Also da gibt es auch gute alles takko ne, aber ich möchte nur sagen. Überlegt euch das. Es ist eine Möglichkeit, ein gewisses Risiko zu transferieren, aber das sollte nicht das ausschließliche Ding sein, was ihr tut. Ich finde den, ich finde den gar nicht so schlechte Hinweis ja. Das Budget vielleicht lieber für andere Maßnahmen nutzen? OK, ja, genau das wäre. Auf jeden Fall.

Ansonsten glaube ich, haben wir eigentlich einen Großteil, außer vielleicht noch, dass es sowas so, wenn es so erste Hilfe Dinger gibt, wo man sich melden kann beim LKA, beim BKA, bei z BUND, beim BSI und solche Geschichten. Sollte man vielleicht auch mal gucken, wenn man sich damit beschäftigt. Wir haben das Bundesamt für Sicherheit der Informationstechnik, da gibt es ganz viele Checklisten und so ein Kram.

Also da sollte man auf jeden Fall sich mal vorher informieren und ihr seid nicht alleine, also es gibt viele solcher Stellen, die wirklich kostenlos euch auch helfen können, teilweise und das auch tun, ihr braucht keine überbezahlten Berater wie uns an der Stelle. Deshalb, da helft euch am Anfang oder guckt mal wie man sich da zumindest mit, ich sag mal den Variationen, die der Bund uns schon zur Verfügung stellt oder auch die Polizei, die ja kostenlos sind, sag ich einfach

mal, was man da schon mitreißen kann, da kann man schlecht viel machen, alles klar OK, hast du noch noch ne Frage oder n. Thema noch nope, Audiokommentar ja cool, dann würd ich sagen

machen wir n hacken dran mega cool, dass du da warst. Wie kann man dich erreichen, wenn wir jetzt doch. Nen Berater möchte und und und. Welche Dienstleistungen bietet ihr in dem Bereich eigentlich an? Vielleicht magst du das noch mal kurz teilen mit Hörerinnen und Hörern, klar gerne, also wenn man mich erreichen möchte, entweder. Über mein Linkedin Profil einfach suchen nach Alexander Osmanakos auf Google.

Nun findet man mich auch, sowohl mich selber als auch meine Family. Ich sag schon family, also meine Firma oder nach Apollon Security suchen, das ist quasi meine Company ja wir beraten primär im Bereich im Cyber Security und.

Große Konzerne, aber auch kleine Unternehmen bei uns sind ja alles dabei, von der Kirche bis zum Weltkonzern sag ich immer ganz gerne, ist alles irgendwo mit dabei und wir machen auch solche Managed Service Services, dass man sich um nichts groß kümmern muss und ja, in dem Sinne e Mail, Linkedin und so weiter könnt ihr auch gerne irgendwo wenn ihr möchtet irgendwo mit reinpacken oder so klar das wird verlinkt, natürlich und schon was wie. Immer OK?

Dann danke ich dir und ich hab hat mir sehr viel Spaß gemacht. Danke euch. Ebenso, ja. Und bis bald. Vielleicht tschau tschau. Danke auch von mir an dich. Und Tschüss aus Hamburg. Immer gerne danke euch man das hat. Mir wirklich sehr viel Spaß gemacht. Sehr sehr cool, einfach komplex wird. Präsentiert und produziert. Von heiseware Wir freuen uns auf deinen Fragen und deinfeedbackanpodcast@heiseware.com. Vielen Dank fürs Hören dieser Folge.

Bis Dienstag in 2 Wochen und Tschüss aus Hamburg.