[ { "start": 1.377, "end": 4.357, "text": "Habt ihr euch nicht auch schon mal gefragt, was Pentester eigentlich machen?" }, { "start": 4.817, "end": 9.557, "text": "Leute, die sich gar nicht so richtig auskennen mit dem ganzen Cybersecurity-Bereich," }, { "start": 9.557, "end": 12.597, "text": "die könnten vielleicht glauben, dass die Kugelschreiber ausprobieren und ab" }, { "start": 12.597, "end": 13.477, "text": "und zu auch mal Bleistifte." }, { "start": 13.757, "end": 18.157, "text": "Wir wollen das heute mal ein bisschen aufklären für Leute, die nicht so technisch" }, { "start": 18.157, "end": 20.597, "text": "versiert sind, aber auch vielleicht für die technisch Interessierten," }, { "start": 20.637, "end": 23.517, "text": "die schon wissen, was Pentesting und Red Teaming so bedeutet." }, { "start": 23.957, "end": 28.057, "text": "Und ja, das hört ihr in unserer heutigen Folge. Viel Spaß!" }, { "start": 34.837, "end": 39.217, "text": "Ja, und ich habe mir jemanden zu uns heute in die Session reingeholt," }, { "start": 39.257, "end": 43.937, "text": "der sich da richtig gut auskennt mit dem Thema Pentesting, Red Teaming und so weiter." }, { "start": 44.117, "end": 48.397, "text": "Und deswegen ist die Frage der heutigen Folge, welche Vorteile bringen denn" }, { "start": 48.397, "end": 51.837, "text": "eigentlich diese ganzen Sachen für die IT- und Cybersicherheit von Unternehmen?" }, { "start": 52.057, "end": 56.337, "text": "Und diese Frage richtig an niemanden geringen als den Donald Ortmann von Don" }, { "start": 56.337, "end": 58.937, "text": "Luigi. Hi Donald, schön, dass du heute Zeit gefunden hast." }, { "start": 59.577, "end": 63.677, "text": "Moin Alexander, vielen Dank für die Einladung und noch einmal herzlichen Glückwunsch" }, { "start": 63.677, "end": 66.957, "text": "zur bestandenen Prüfung auch zum BSI-Vorfallexperten." }, { "start": 66.997, "end": 70.637, "text": "Ich freue mich sehr und wenn es hier demnächst vielleicht sogar noch einen weiteren" }, { "start": 70.637, "end": 75.477, "text": "offiziellen BSI-zertifizierten IT-Sicherheitsdienstleister im Cybersicherheitsnetzwerk" }, { "start": 75.477, "end": 77.657, "text": "geht, ist das sicherlich nochmal ein Extrakredit für uns." }, { "start": 77.957, "end": 81.637, "text": "Ja, vielen Dank dafür, Donald. Für die, die mir nicht auf LinkedIn folgen," }, { "start": 81.637, "end": 85.917, "text": "der Donald ist mein Trainer, also nicht nur mein Trainer, sondern der trainiert" }, { "start": 85.917, "end": 88.677, "text": "ganz viele Leute für verschiedene Dinge." }, { "start": 88.677, "end": 93.277, "text": "Und der Donald hat den Christian, Kollegen von mir und mich eben vorbereitet" }, { "start": 93.277, "end": 99.817, "text": "auf die Prüfung für die Zertifizierung zum IT-Vorfall Experten im Cybersicherheitsnetzwerk des BSI." }, { "start": 100.017, "end": 102.877, "text": "Das Ganze hat er im Rahmen einer Schulung gemacht." }, { "start": 103.017, "end": 106.017, "text": "Die hat die Q-Skills aus Nürnberg dann entsprechend auch organisiert." }, { "start": 106.097, "end": 110.957, "text": "Und ja, dank der Unterstützung von dir, Donald, haben wir es tatsächlich geschafft. Anfang April." }, { "start": 111.177, "end": 114.597, "text": "War nicht ohne, war auch knackig, war eine Menge Stoff, aber auch an der Stelle" }, { "start": 114.597, "end": 119.117, "text": "nochmal hier im Podcast. Vielen Dank dafür, dass du uns so toll vorbereitet hast. Genau, gern." }, { "start": 120.316, "end": 124.356, "text": "Gut, Donald, erzähl doch mal so ein bisschen über dich. Was tust du," }, { "start": 124.396, "end": 128.256, "text": "was tut Don Luigi und was hat das Ganze mit dem Thema unserer Folge zu tun?" }, { "start": 128.656, "end": 132.916, "text": "Ja, vielleicht erst mal, warum bin ich hier? Auch das gerne." }, { "start": 133.796, "end": 137.736, "text": "Grundsätzlich bin ich ein bisschen öffentlichkeitsscheuig tatsächlich für größeres" }, { "start": 137.736, "end": 140.816, "text": "Publikum, aber ich freue mich sehr, mit dir jemanden gefunden zu haben," }, { "start": 140.896, "end": 145.676, "text": "der ähnlich viel Herzblut in das Thema Informationssicherheit und gerade eben" }, { "start": 145.676, "end": 148.616, "text": "auch in dieses Spiel von Angriff und Verteidigung gibt." }, { "start": 148.616, "end": 152.896, "text": "Und Treffen mit so Leuten ist dann eben auch ein wenig, als wenn man sich im" }, { "start": 152.896, "end": 157.156, "text": "Alltag, wenn man eben so diesem Job hier unterwegs ist, dann ist das häufig," }, { "start": 157.216, "end": 160.316, "text": "als wenn man so ein Einhorn ist, das durch so einen dunklen Wald läuft." }, { "start": 160.396, "end": 164.016, "text": "Und dann kommt man eben manchmal auf so eine lichte Wiese voller Einhörner und" }, { "start": 164.016, "end": 165.576, "text": "das ist dann natürlich sehr schön." }, { "start": 166.076, "end": 170.036, "text": "Deshalb freue ich mich, hier zu sein. Ja, wer bin ich? Eigentlich schnell erklärt." }, { "start": 170.036, "end": 175.756, "text": "Ich habe recht spät im Alter von 15 Jahren meine Leidenschaft auch für Computer" }, { "start": 175.756, "end": 179.596, "text": "entdeckt und begann dann eben auch recht schnell mit Freunden eigene Systeme" }, { "start": 179.596, "end": 184.156, "text": "zusammenzubauen, zum Laufen zu bringen, zu vernetzen, an die eigenen Bedarfe anzupassen." }, { "start": 184.196, "end": 189.316, "text": "Auf LAN-Partys haben wir dann die ersten Hacks entwickelt, um in den Netzwerkspielen" }, { "start": 189.316, "end": 191.896, "text": "eben auch so Performance-Vorteile zu bekommen." }, { "start": 191.996, "end": 195.016, "text": "Wir waren neugierig, wir waren jung, also ich kann Skript-Kiddies verstehen" }, { "start": 195.016, "end": 199.636, "text": "in ihrer Motivation, eben über Grenzen auch hinauszugehen. Und wir haben aber" }, { "start": 199.636, "end": 202.456, "text": "auch Troubleshooting gemacht natürlich, um alles am Laufen zu halten." }, { "start": 202.616, "end": 206.616, "text": "Und daraus ergab sich dann diese Leidenschaft, die jetzt bis heute mein Leben" }, { "start": 206.616, "end": 211.196, "text": "über 30 Jahre schon bestimmt, für dieses lebendige Wesen eines Netzwerks aus" }, { "start": 211.196, "end": 214.516, "text": "vielen Systemen und eben auch die Manipulationsmöglichkeiten," }, { "start": 214.516, "end": 215.516, "text": "die solche Systeme haben." }, { "start": 215.516, "end": 219.616, "text": "Heute habe ich ein kleines Unternehmen mit dem hohen Anspruch," }, { "start": 219.636, "end": 223.996, "text": "immer die aktuellsten Angriffsmethoden auch abbilden und nachvollziehen zu können," }, { "start": 224.116, "end": 229.196, "text": "Abwehrmaßnahmen auch nach Wirksamkeit irgendwie testen zu können und so können" }, { "start": 229.196, "end": 232.416, "text": "wir eben auf der einen Seite mit wirklich sehr aktuellen Methoden in unseren" }, { "start": 232.416, "end": 236.616, "text": "Tests angreifen, auf der anderen Seite ganz pragmatische Empfehlungen zur Ergänzung" }, { "start": 236.616, "end": 238.016, "text": "der vorhandenen Maßnahmen geben." }, { "start": 238.851, "end": 242.251, "text": "Wenn ich sage wir, wir sind ein Haufen von Enthusiasten, ein kleiner Haufen" }, { "start": 242.251, "end": 246.351, "text": "tatsächlich, nur eine Handvoll, aber eben aus sehr unterschiedlichen Blickwinkeln." }, { "start": 246.371, "end": 250.691, "text": "Der eine Kollege, der hat seine Karriere in ein Ministerium hingeworfen," }, { "start": 250.711, "end": 253.831, "text": "der wäre da wirklich fast an der Landesspitze der Informationssicherheit schon" }, { "start": 253.831, "end": 257.771, "text": "gewesen und hat dann festgestellt, er will lieber seiner Leidenschaft für das" }, { "start": 257.771, "end": 261.411, "text": "Hacken folgen und seine Divergentenfähigkeiten weiterentwickeln." }, { "start": 261.411, "end": 266.511, "text": "Ein anderer, der hat in seinem Leben drei hochwertige IT-Ausbildungen tatsächlich" }, { "start": 266.511, "end": 270.791, "text": "sehr erfolgreich auch absolviert, verfügt über unglaublich tiefes Wissen im" }, { "start": 270.791, "end": 272.111, "text": "Bereich von Mikrocontrollern," }, { "start": 272.191, "end": 278.151, "text": "hat aber aufgrund seines Lifestyles à la War Holland tatsächlich nie einen Job behalten können." }, { "start": 278.151, "end": 281.831, "text": "Also der ist manchmal wochenlang weg, wenn ihn irgendeine Idee umtreibt," }, { "start": 281.851, "end": 284.911, "text": "schließt sich ein und kommt dann nach drei Wochen wieder, als wäre er nie weg gewesen." }, { "start": 285.051, "end": 290.031, "text": "Und bisher hat er damit eben noch nie wirklich die Toleranz eines Arbeitgebers" }, { "start": 290.031, "end": 291.191, "text": "nicht überfordern können." }, { "start": 291.351, "end": 295.191, "text": "Und bei uns hat er jetzt halt irgendwie auch seine Insel gefunden und ist eben" }, { "start": 295.191, "end": 299.731, "text": "wirklich ein sehr tüchtiger Forscher. Und ich selbst habe noch eine andere Motivation." }, { "start": 299.871, "end": 305.311, "text": "Ich habe so ein sehr ausgeprägtes Helfer-Syndrom und tatsächlich die Fähigkeit" }, { "start": 305.311, "end": 309.751, "text": "mitzuleiden mit Menschen, die dann in solchen Hacker-Angriffen stecken und in" }, { "start": 309.751, "end": 313.191, "text": "solchen Situationen nicht weiter wissen, das zerreißt mich tatsächlich jedes" }, { "start": 313.191, "end": 314.751, "text": "Mal und das motiviert mich wirklich sehr." }, { "start": 314.911, "end": 318.691, "text": "Dann eben auch diese ganzen präventiven Arbeiten nach vorne zu bringen und da" }, { "start": 318.691, "end": 320.211, "text": "eben dann auch Diskussionen zu führen." }, { "start": 320.211, "end": 324.991, "text": "Und dann arrangieren wir uns eben auch darüber hinaus, sei das eben im Chaos" }, { "start": 324.991, "end": 331.251, "text": "Computer Club, sei das im IBCRM, bei der CISO Alliance, aber auch große Communities," }, { "start": 331.311, "end": 333.371, "text": "sowas wie Black Hat, DEF CON." }, { "start": 334.091, "end": 338.891, "text": "B-Side Festivals, die wir begleiten in London, Las Vegas, Washington," }, { "start": 339.131, "end": 342.371, "text": "wo auch immer, sich Leute treffen, die eben ähnliche Leidenschaften haben." }, { "start": 342.371, "end": 343.971, "text": "Dann versuchen wir eben auch dabei zu sein." }, { "start": 344.071, "end": 348.531, "text": "Und ja, dann sind wir natürlich auch stolz mit diesem Wissen aus der Praxis," }, { "start": 348.531, "end": 350.571, "text": "aus Pentests, aus Sicherheitsvorfällen, dann" }, { "start": 350.571, "end": 354.831, "text": "eben auch sowas wie so eine Vorfallexpertenausbildung liefern zu können." }, { "start": 354.911, "end": 359.071, "text": "Oder ich bin jetzt auch Lehrbeauftragter noch an der Hochschule in Ansbach für" }, { "start": 359.071, "end": 360.371, "text": "das Thema Ethical Hacking und" }, { "start": 360.371, "end": 363.611, "text": "versuche da eben den jungen Menschen zu vermitteln, worum es im Kern geht." }, { "start": 363.973, "end": 366.793, "text": "Ja, das ist definitiv auch eine ganz, ganz wichtige Aufgabe." }, { "start": 367.033, "end": 369.753, "text": "Erstmal vielen Dank dafür, dass du das so zusammengefasst hast." }, { "start": 369.873, "end": 374.613, "text": "Man sieht das auch gerade bei so Veranstaltungen wie Deutschlands bester Hacker," }, { "start": 374.713, "end": 378.953, "text": "wo jetzt auch die Frau Plattner vom BSI die Schirmherrschaft übernommen hat," }, { "start": 379.033, "end": 381.273, "text": "dass das halt auch ein super wichtiges Thema ist." }, { "start": 381.273, "end": 385.793, "text": "Also viele, die ja Hacker hören, die haben ja immer noch diese Kapuzen," }, { "start": 385.833, "end": 389.133, "text": "Pulli tragenden Typen bei Oma oder Mama im Keller im Kopf." }, { "start": 389.373, "end": 394.393, "text": "Aber Hacken hat ja in dem Sinne einen Ursprung von ich probiere so lange rum," }, { "start": 394.513, "end": 399.133, "text": "bis es etwas tut, der Gegenstand oder das System, was es eigentlich nicht tun" }, { "start": 399.133, "end": 402.573, "text": "sollte, um halt dann nicht unbedingt einen Vorteil rauszuziehen." }, { "start": 402.573, "end": 404.193, "text": "Du hattest gerade die LAN-Partys erwähnt." }, { "start": 404.213, "end": 407.833, "text": "Das würde man heute Cheaten mit nennen an der Stelle, wenn man es im Wettbewerb" }, { "start": 407.833, "end": 410.053, "text": "treibt. Aber auch das ist natürlich ein Thema." }, { "start": 410.273, "end": 414.713, "text": "Ein Anbieter stellt ein System, was auch immer das ist, zur Verfügung oder auch" }, { "start": 414.713, "end": 417.893, "text": "ein Gegenstand wie ein Vorhängeschloss und behauptet, das ist sicher." }, { "start": 417.993, "end": 420.713, "text": "Und dann kommen halt Leute wie du, die probieren dann so lange rum," }, { "start": 420.793, "end": 422.953, "text": "bis sie dann sagen, nee, das ist eben doch nicht sicher." }, { "start": 422.953, "end": 427.333, "text": "Also finde ich, gehört auch dazu, dass man hier eine gewisse Transparenz auch" }, { "start": 427.333, "end": 430.453, "text": "einfach reinbringt, weil sonst muss man halt letzten Endes das glauben," }, { "start": 430.573, "end": 433.133, "text": "was einem ein Hersteller oder ein System vermittelt." }, { "start": 433.193, "end": 437.753, "text": "Ich habe in, wer mit mir richtig vernetzt ist, in meinem WhatsApp-Profil habe" }, { "start": 437.753, "end": 441.273, "text": "ich auch so ein schönes Bild drin mit einem UFO, also Akte X mäßig und da steht" }, { "start": 441.273, "end": 445.353, "text": "halt auch drauf, wer nicht forscht, muss alles glauben. Das ist halt an der Stelle genau der Fall." }, { "start": 445.473, "end": 449.433, "text": "Man muss sich da schon mit beschäftigen und Hacken ist jetzt in dem Kontext," }, { "start": 449.433, "end": 453.713, "text": "wo du mit deiner Firma unterwegs bist und auch in deinem Netzwerk, ja nichts Böses." }, { "start": 453.933, "end": 457.193, "text": "Also ihr tut ja nichts, um Leuten damit letzten Endes zu schaden," }, { "start": 457.213, "end": 460.233, "text": "sondern ihr sorgt ja dafür, dass eben Schwachstellen aufgedeckt werden," }, { "start": 460.373, "end": 462.433, "text": "weil, das hast du auch vorhin gesagt," }, { "start": 462.633, "end": 467.553, "text": "die normalen Menschen, wenn man sie mal so nennen will, halt eben mit dem Einhorn-Sprech" }, { "start": 467.553, "end": 471.373, "text": "und dem, wie wir uns auch unterhalten, überhaupt nichts anfangen können." }, { "start": 471.373, "end": 473.073, "text": "Das merkt man im Bekanntenkreis." }, { "start": 473.093, "end": 476.073, "text": "Wir hatten letzten Spieleabend und da waren halt auch zwei Leute dabei," }, { "start": 476.173, "end": 478.333, "text": "die auch aus diesem Segment stammen." }, { "start": 478.373, "end": 481.393, "text": "Und wenn du mit denen anfängst zu reden, dann steigt der Rest des Tisches relativ" }, { "start": 481.393, "end": 485.153, "text": "schnell aus, weil du könntest jetzt auch einfach Japanisch oder Russisch sprechen." }, { "start": 485.453, "end": 488.553, "text": "Es versteht einfach keiner mehr. Und genau da ist es halt wichtig," }, { "start": 488.653, "end": 491.233, "text": "die Schnittstelle zu schaffen, auch in die allgemeine Bevölkerung," }, { "start": 491.233, "end": 493.853, "text": "finde ich, um da eben für Transparenz zu sorgen." }, { "start": 494.11, "end": 499.51, "text": "Also definitiv ein ganz wichtiger Job. Was bietet ihr denn für Services an?" }, { "start": 499.65, "end": 501.89, "text": "Was kann ich denn bei Don Luigi beauftragen?" }, { "start": 502.13, "end": 507.31, "text": "Vielleicht noch kurz der Einstieg, warum fällt es Herstellern häufig so schwer," }, { "start": 507.31, "end": 509.55, "text": "Schwachstellen tatsächlich vollumfänglich zu sehen?" }, { "start": 509.59, "end": 513.51, "text": "Zum einen liegt es daran, weil die Systeme einfach so komplex geworden sind," }, { "start": 513.61, "end": 516.33, "text": "dass immer irgendwo versteckte Fehler drinstecken." }, { "start": 516.49, "end": 520.45, "text": "Und es nur eine Frage der Zeit ist, bis diese Fehler irgendwie zufällig oder" }, { "start": 520.45, "end": 522.37, "text": "eben systematisch gefunden werden." }, { "start": 522.79, "end": 527.41, "text": "Dann basieren eben auch viele Technologien auf Geheimnissen und wenn diese Geheimnisse" }, { "start": 527.41, "end": 530.37, "text": "jemand erbeuten kann und das Geheimnis liegt oft nicht in," }, { "start": 530.45, "end": 533.91, "text": "sondern auch manchmal neben der Technologie, zum Beispiel im Tresor des Herstellers," }, { "start": 533.97, "end": 538.69, "text": "auch dann werden eben Technologien nachträglich unsicher und dann muss jeder," }, { "start": 538.73, "end": 540.87, "text": "der diese Technologie vielleicht vor fünf," }, { "start": 541.03, "end": 544.53, "text": "sechs, sieben Jahren bei sich eingeführt hat, darüber nachdenken oder müsste" }, { "start": 544.53, "end": 548.45, "text": "darüber nachdenken, habe ich diese Technologie damals gekauft," }, { "start": 548.49, "end": 551.99, "text": "die jetzt unsicher geworden ist und wie wirkt sich das bei mir aus?" }, { "start": 552.13, "end": 555.15, "text": "Und diese Komplexität, die wollen wir den Leuten einfach abnehmen." }, { "start": 555.27, "end": 559.71, "text": "Und dafür ist es eben ganz wichtig, dass wir eben nicht nur konvergent arbeiten," }, { "start": 559.95, "end": 563.83, "text": "also nicht nur strukturiert Listen abarbeiten, wie man das dann zum Beispiel" }, { "start": 563.83, "end": 568.77, "text": "auch in Audits kennt, sondern dass wir eben tatsächlich auch versuchen, divergent zu denken." }, { "start": 568.77, "end": 573.19, "text": "Dass wir also versuchen, out of the box, könnte man sagen, mit einem frischen" }, { "start": 573.19, "end": 578.39, "text": "Geist an diese Dinge heranzugehen und dann eben auch Dinge zu testen," }, { "start": 578.39, "end": 580.15, "text": "die der Hersteller nicht im Blick gehabt hat." }, { "start": 580.29, "end": 583.15, "text": "Und das ist tatsächlich eine andere Art zu arbeiten." }, { "start": 583.29, "end": 588.39, "text": "Und erst die Verbindung aus dem technischen Wissen auf der einen Seite und dieser" }, { "start": 588.39, "end": 592.59, "text": "Fähigkeit zum out of the box Thinking, das ist das, was tatsächlich dann dazu" }, { "start": 592.59, "end": 597.11, "text": "führt, dass man viele Schwachstellen auch finden kann oder viele Ausnutzungsszenarien entwickeln kann." }, { "start": 598.69, "end": 599.53, "text": "Absolut, absolut, ja." }, { "start": 617.288, "end": 621.428, "text": "Genauso wenig beherrschen, wie die Unternehmen, die sagen, wir hatten jetzt" }, { "start": 621.428, "end": 625.508, "text": "vielleicht gerade irgendeinen Erwachungsmoment und wollen uns dieses Themas annehmen." }, { "start": 625.608, "end": 628.828, "text": "Weil beide haben bisher aus dieser Perspektive nicht geguckt," }, { "start": 628.868, "end": 632.548, "text": "wer eben in dem Themenfeld neu ist und sich zum Beispiel den IT-Grundschutz" }, { "start": 632.548, "end": 637.428, "text": "hernimmt und versucht, damit Sicherheit zu schaffen. der arbeitet sich eben durch komplexe Listen." }, { "start": 637.608, "end": 642.288, "text": "Wer mit den CIS-Benchmarks arbeitet, der arbeitet sich durch noch viel mehr" }, { "start": 642.288, "end": 646.028, "text": "Listen, wie man eben Systeme härtet, wie man Maßnahmen vorbereitet," }, { "start": 646.108, "end": 648.708, "text": "wie man seine Organisation vorbereiten muss und so weiter." }, { "start": 648.828, "end": 652.888, "text": "Aber dabei ist es eben in der Regel gar nicht möglich, alles umzusetzen," }, { "start": 652.928, "end": 656.108, "text": "was theoretisch möglich wäre, sondern praktisch ist es immer so," }, { "start": 656.168, "end": 657.928, "text": "dass man sich entscheiden muss, was mache ich?" }, { "start": 657.968, "end": 663.108, "text": "Was sind so diese 20 Prozent, die ich erstmal leisten muss, um 80 Prozent der Angreifer abzuhalten?" }, { "start": 663.108, "end": 667.488, "text": "Und da versuchen wir eben zu unterstützen und das sowohl durch eben dann Tests," }, { "start": 667.588, "end": 669.548, "text": "dass wir konkret zum Beispiel jemand sagt," }, { "start": 669.688, "end": 673.208, "text": "wir haben eine neue Firewall, dann gucken wir uns an, ist die Firewall so konfiguriert," }, { "start": 673.228, "end": 676.788, "text": "eingehend, ausgehend, dass sie uns ernsthaft auffällt oder aber mit einem Red" }, { "start": 676.788, "end": 678.728, "text": "Teaming da rein zu gehen, dass jemand sagt," }, { "start": 678.928, "end": 681.788, "text": "naja, ich habe meinen Tafelsilber, ich habe meine Kronjuwelen," }, { "start": 681.868, "end": 685.228, "text": "die möchte ich geschützt wissen, welche Wege seht ihr." }, { "start": 685.448, "end": 691.108, "text": "Also welche Möglichkeiten seht ihr hier eben anzugreifen Und gerade diese Letzteren," }, { "start": 691.108, "end": 694.548, "text": "in der Regel sitzen wir da eben einem Verteidigerteam gegenüber." }, { "start": 694.748, "end": 699.028, "text": "Wir selbst würden uns dann eben als Red-Teamer definieren. Manchmal sind wir" }, { "start": 699.028, "end": 702.068, "text": "aber auch nur ergänzend als sogenannte Purple-Teamer." }, { "start": 702.168, "end": 706.348, "text": "Also wir sitzen quasi zwischen den Teams und schauen aus der Angreiferperspektive," }, { "start": 706.368, "end": 711.228, "text": "was der Verteidiger jetzt noch tun könnte, um eben tatsächlich die Kronjuwelen zu schützen." }, { "start": 711.228, "end": 715.828, "text": "Und das ist natürlich viel beweglicher, weil man hier eben nicht nur auf der" }, { "start": 715.828, "end": 718.748, "text": "Technologie rumreitet oder auf einem bestimmten kleinen," }, { "start": 718.828, "end": 722.448, "text": "schmalen Geltungsbereich unterwegs ist, sondern weil man dann eben wirklich" }, { "start": 722.448, "end": 726.308, "text": "frei wie ein Angreifer in diesem Profitmodell denken darf." }, { "start": 726.848, "end": 729.988, "text": "Ja, ich finde, es ist halt auch einfach ein ganz wichtiger Aspekt," }, { "start": 730.048, "end": 734.928, "text": "dass wenn man mit automatisierten Werkzeugen rangeht, und das machen ja wir" }, { "start": 734.928, "end": 736.148, "text": "hauptsächlich bei unseren Kunden," }, { "start": 736.248, "end": 741.408, "text": "dass wir eben Schwachstellen-Scannings machen auf die extern erreichbare Infrastruktur" }, { "start": 741.408, "end": 743.488, "text": "oder auch mal ins Active Directory gehen," }, { "start": 743.608, "end": 747.048, "text": "dass wir hier auch mal dem Kunden einfach aufzeigen, pass auf," }, { "start": 747.168, "end": 750.588, "text": "du bist zwar von außen ganz gut geschützt von mir aus, aber wenn dann trotzdem" }, { "start": 750.588, "end": 751.928, "text": "irgendwie mal eine Mail kommt," }, { "start": 752.148, "end": 755.928, "text": "wo jemand raufklickt, dann installiert sich irgendwas, weil er zu viel Rechte hat, der Benutzer." }, { "start": 755.928, "end": 758.988, "text": "Vielleicht ist er auch der Admin und dann kann sich halt ein Schadcode oder" }, { "start": 758.988, "end": 763.088, "text": "eine Ransomware oder was auch immer in deinem Active Directory austoben." }, { "start": 763.208, "end": 766.128, "text": "Das heißt, von außen bist du gut gesichert, du fährst zwar ein Auto," }, { "start": 766.208, "end": 769.268, "text": "das hat Türen, aber du hast keinen Sicherheitsgurt und auch keinen Airbag und" }, { "start": 769.268, "end": 772.008, "text": "du hast auch keinen Plan, was du tun sollst, wenn es denn mal passiert." }, { "start": 772.248, "end": 776.968, "text": "Und da finde ich das immer total wichtig, dass man dann auch am Ende nochmal" }, { "start": 776.968, "end": 780.848, "text": "jemanden drüber gucken lässt, der halt noch viel tiefer in der Materie drin" }, { "start": 780.848, "end": 785.088, "text": "ist, weil das können wir selber auch gar nicht leisten. Wir gehen halt wirklich immer" }, { "start": 785.108, "end": 789.748, "text": "nur in Anführungszeichen ran und sagen, das könnte passieren aus unserer Sicht," }, { "start": 789.848, "end": 793.888, "text": "aber wenn wir dann irgendwann mal fertig sind, wenn die Sicherheitsjourney des" }, { "start": 793.888, "end": 797.888, "text": "Kunden mal soweit gereift ist, empfehle ich jedem Kunden auch immer wieder," }, { "start": 797.988, "end": 801.468, "text": "so und jetzt lass es mal bitte ausprobieren, weil ich möchte mich auch nicht" }, { "start": 801.468, "end": 804.848, "text": "darauf verlassen, dass wir jetzt alles zu 100% richtig gemacht haben." }, { "start": 804.848, "end": 808.268, "text": "Haben, vielleicht haben wir mit unseren Werkzeugen auch gar nicht den Blick" }, { "start": 808.268, "end": 811.908, "text": "auf alle möglichen Schwachstellen, weil das Werkzeug das auch gar nicht hergibt." }, { "start": 811.988, "end": 815.208, "text": "Das gibt es immer wieder und ganz richtig, du sagtest gerade," }, { "start": 815.368, "end": 817.148, "text": "wo fange ich denn heute an?" }, { "start": 817.268, "end": 821.148, "text": "Es gibt da ja verschiedenste Modelle, aber das habe ich letztens auch im anderen" }, { "start": 821.148, "end": 822.588, "text": "Podcast gesagt beim Nico Werner," }, { "start": 822.708, "end": 825.728, "text": "wenn du den BSI-Grundschutz jetzt als Vorlage nimmst und sagst," }, { "start": 825.768, "end": 829.288, "text": "so jetzt fangen wir mal bei Seite 1 an, gehe ich davon aus, dass du nach Seite" }, { "start": 829.288, "end": 832.388, "text": "50 schon überhaupt keine Lust mehr hast, dich damit weiter zu beschäftigen." }, { "start": 832.468, "end": 835.228, "text": "Das ist Mal das eine, weil es einfach viel zu viel ist." }, { "start": 835.308, "end": 839.488, "text": "Auf der anderen Seite ist es ja auch gar nicht vielleicht der richtige Ansatz," }, { "start": 839.488, "end": 842.868, "text": "von oben nach unten sich durchzuarbeiten, sondern vielleicht sollte man sich" }, { "start": 842.868, "end": 845.228, "text": "erst mal mit den Kronjuwelen beschäftigen." }, { "start": 845.268, "end": 848.868, "text": "Wie schütze ich das Wichtigste und das, was am schwierigsten wiederherstellbar ist?" }, { "start": 848.968, "end": 852.768, "text": "Das, was den größten Impact auch verursacht, wenn jetzt ein Angreifer an diese" }, { "start": 852.768, "end": 856.048, "text": "Daten kommt oder diese Systeme abschaltet, das ist dann das," }, { "start": 856.108, "end": 858.908, "text": "was auch richtig Geld kostet, weil es Umsatzverluste bedeutet." }, { "start": 859.188, "end": 863.408, "text": "Weil es auch irgendwelche Konventionalstrafen oder auch irgendwelche von einem" }, { "start": 863.408, "end": 865.528, "text": "Gericht verhängten Bußgelder nachher bedeutet," }, { "start": 865.728, "end": 870.708, "text": "dass man halt wirklich erstmal daran geht oder was wir auch manchmal machen, dass wir sagen," }, { "start": 870.848, "end": 875.448, "text": "okay, wir wissen zwar, die Kronjuwelen, die sind nicht so richtig ideal geschützt," }, { "start": 875.488, "end": 878.828, "text": "aber lass uns trotzdem erstmal die low-hanging fruits bedienen," }, { "start": 878.888, "end": 882.368, "text": "die Systeme, die internet-facing sind, erstmal härten und schärfen," }, { "start": 882.388, "end": 883.908, "text": "damit dann eben die Chance," }, { "start": 884.148, "end": 886.908, "text": "dass was passiert, kleiner ist. Also da gibt es ja verschiedenste Ansätze." }, { "start": 887.028, "end": 892.028, "text": "Aber um es dann wirklich zu prüfen, da braucht man halt dann eben Leute wie" }, { "start": 892.028, "end": 895.828, "text": "euch, die wirklich ausprobieren, wie weit kommt man denn dann tatsächlich." }, { "start": 896.108, "end": 900.968, "text": "Und das ist meiner Meinung nach in dem Prozess einer Systemhärtung und auch" }, { "start": 900.968, "end": 902.928, "text": "einer Vorbereitung auf einen möglichen" }, { "start": 902.928, "end": 907.428, "text": "Vorfall tatsächlich schon noch eine notwendige Maßnahme an der Stelle." }, { "start": 907.668, "end": 910.788, "text": "Also sehr interessant zu sehen, wie sich dieses Spiel entwickelt." }, { "start": 911.014, "end": 915.954, "text": "In den letzten Jahren einerseits geändert hat und doch bestimmte Grundmechanismen" }, { "start": 915.954, "end": 917.134, "text": "immer gleich geblieben sind." }, { "start": 917.234, "end": 920.374, "text": "Sei es eben dieses Prinzip, wenn man eben mit so einem Thema beginnt," }, { "start": 920.374, "end": 923.354, "text": "dass man meistens von außen nach innen erstmal durchhärtet." }, { "start": 923.754, "end": 927.854, "text": "Und das ist nichts anderes, als wenn ich hier morgens das Frühstücksei mache." }, { "start": 928.014, "end": 931.594, "text": "Das wird auch erst von außen, beziehungsweise bringt ja schon eine gewisse Härtung mit." }, { "start": 931.674, "end": 935.794, "text": "Sonst wäre das Ganze flüssig und so kommt es halt quasi im Ei geliefert." }, { "start": 935.874, "end": 939.554, "text": "Und dadurch, dass es quasi auf der richtigen Temperatur gekocht wird oder dass" }, { "start": 939.554, "end": 942.894, "text": "es eben zum Kochen gebracht wird, wird es dann eben nach und nach hart." }, { "start": 942.954, "end": 945.734, "text": "Und wenn ich ein Ei vernünftig lang genug durchgehärtet habe," }, { "start": 945.874, "end": 948.634, "text": "dann ist irgendwann auch egal, ob jemand die Hülle ansticht," }, { "start": 948.634, "end": 949.674, "text": "da läuft nichts mehr aus." }, { "start": 949.954, "end": 952.274, "text": "Und das ist ein schönes Bild eigentlich" }, { "start": 952.274, "end": 955.834, "text": "für das, was wir mit Informationsverbunden quasi schaffen müssen." }, { "start": 955.974, "end": 959.614, "text": "Also die Hürden auf dem Weg zum Dotter entsprechend höher hängen." }, { "start": 959.714, "end": 964.354, "text": "Und hier ist es so, wenn wir beim strukturierten Vorgehen, also ich mache eine" }, { "start": 964.354, "end": 968.054, "text": "Strukturanalyse, ich mache meine Schutzbedarffeststellung und dann gucke ich," }, { "start": 968.094, "end": 971.674, "text": "was ist wichtig. Selbst da gibt es ja unterschiedliche Schwerpunkte." }, { "start": 971.694, "end": 974.414, "text": "Also der IT-Grundschutz geht das Thema ja auch ganz anders an," }, { "start": 974.434, "end": 979.934, "text": "als zum Beispiel die ISO 27000-Welt es betrachtet mit diesem risikobasierten Fokus." }, { "start": 979.934, "end": 984.254, "text": "Und deshalb ist es eben auch beim BSI so, dass die irgendwann gesagt haben," }, { "start": 984.374, "end": 988.654, "text": "naja, dann versuchen wir erstmal verschiedene Modelle, sowas wie eine Basisabsicherung," }, { "start": 988.834, "end": 992.434, "text": "was quasi der äußere Ring ist, oder sowas wie eine Kernabsicherung," }, { "start": 992.614, "end": 997.534, "text": "das Konzentrieren auf die Kronjuwelen, auf die Dinge, die richtig wehtun und" }, { "start": 997.534, "end": 999.934, "text": "die eben nicht in Angreiferhände fallen dürfen." }, { "start": 1000.054, "end": 1005.174, "text": "Und bevor wir eben mit so einem allgemeinen Informationsverbund-weiten System starten." }, { "start": 1005.174, "end": 1010.194, "text": "Was wir wie gesagt dabei versuchen, ist eben zu prüfen, aus diesem anderen Blick" }, { "start": 1010.194, "end": 1014.994, "text": "heraus zu prüfen, aus diesem divergenten Blick außerhalb der Checkliste zu prüfen," }, { "start": 1015.034, "end": 1018.914, "text": "wo ist eben eine Verknüpfung von kleinen Stellen," }, { "start": 1019.154, "end": 1023.334, "text": "von kleinen weichen Stellen möglich, um eben doch tiefer vorzugehen und hier" }, { "start": 1023.334, "end": 1027.234, "text": "ist es tatsächlich ganz viel Wissen um Technik, praktische Erfahrung," }, { "start": 1027.494, "end": 1029.934, "text": "was funktioniert und man muss eben auch sagen." }, { "start": 1030.429, "end": 1034.889, "text": "Häufig haben wir in solchen Tests so das Gefühl, dass man testen will," }, { "start": 1034.989, "end": 1036.489, "text": "ob wir wirklich Tester sind." }, { "start": 1036.689, "end": 1040.009, "text": "Also ja, weil manchmal wird es einem doch so einfach gemacht." }, { "start": 1040.109, "end": 1044.009, "text": "Es gibt immer noch Systeme in hochkritischen Informationsverbunden," }, { "start": 1044.109, "end": 1048.749, "text": "die teilweise sich lokale Administratoren mit sechsstelligen Kennwörtern und" }, { "start": 1048.749, "end": 1052.229, "text": "solche Sachen, wo man dann eben auch glaubt, warum habt ihr euch nicht vorbereitet?" }, { "start": 1052.289, "end": 1055.409, "text": "Also warum seid ihr quasi hier mit einem Messer zur Schießerei gekommen?" }, { "start": 1055.649, "end": 1060.849, "text": "Und unsere Aufgabe ist es natürlich, sowas abzuarbeiten. Und hier dann einmal" }, { "start": 1060.849, "end": 1067.189, "text": "aufzuzeigen, was für Tests haben wir durchgeführt, welche dieser Tests haben uns weitergebracht," }, { "start": 1067.349, "end": 1070.769, "text": "welche dieser Tests sind fehlgeschlagen, was waren Sackgassen," }, { "start": 1070.809, "end": 1072.089, "text": "wo wir nicht weitergekommen sind." }, { "start": 1072.149, "end": 1077.069, "text": "Auch das zu zeigen, ist ja wertvoll, um zu verstehen, ob die eigenen Maßnahmen gut funktionieren." }, { "start": 1077.689, "end": 1082.549, "text": "Aber dann eben auch die detektiven Fähigkeiten mit zu testen bei so einem Pentest." }, { "start": 1082.629, "end": 1086.429, "text": "Also wir bieten zum Beispiel Kunden an, dass wir nach jedem Schritt," }, { "start": 1086.489, "end": 1089.509, "text": "den wir gehen, einmal reporten, was wir gemacht haben." }, { "start": 1089.609, "end": 1093.109, "text": "Wenn sie von sich aus quasi nicht responden, wenn sie von sich aus nicht reagieren" }, { "start": 1093.109, "end": 1096.749, "text": "und sagen, wart ihr das jetzt gerade? Dann melden wir quasi und sagen," }, { "start": 1096.909, "end": 1098.629, "text": "hey, wir haben da gerade was gemacht." }, { "start": 1098.809, "end": 1102.049, "text": "Hat eure Managed Detection das gesehen? Habt ihr gemerkt," }, { "start": 1102.089, "end": 1106.249, "text": "dass wir gerade zum Beispiel die Berechtigung in eurem Active Directory ausgelesen" }, { "start": 1106.249, "end": 1110.089, "text": "haben oder dass wir auf einen Rechner gesprungen sind und dort die Berechtigung" }, { "start": 1110.089, "end": 1114.789, "text": "eines höherwertigen Benutzers erbeuten konnten oder dass wir euer Netzwerk gerade" }, { "start": 1114.789, "end": 1118.689, "text": "abschnüffeln und da dann eben Zertifikate oder Systeme gefunden haben?" }, { "start": 1118.689, "end": 1120.189, "text": "Seht ihr das eigentlich?" }, { "start": 1148.829, "end": 1153.529, "text": "Oder wenn der autorisierte Bediener ausgetauscht wird durch einen bösartigen" }, { "start": 1153.529, "end": 1157.269, "text": "Angreifer oder aus irgendeinem Grund vielleicht einer der autorisierten Bediener" }, { "start": 1157.269, "end": 1159.509, "text": "selbst zum bösartigen Angreifer mutiert." }, { "start": 1159.569, "end": 1163.369, "text": "Das sind ja alles Möglichkeiten, die bestehen und hier ist es in der Regel eben" }, { "start": 1163.369, "end": 1167.289, "text": "wirklich diese Verquickung aus präventiven und detektiven Fähigkeiten," }, { "start": 1167.329, "end": 1172.029, "text": "die eben dann die Reaktionsfähigkeit herstellt und das eben auf dieser großen Oberfläche." }, { "start": 1172.029, "end": 1175.729, "text": "Und deshalb ist uns eben nicht nur wichtig zu gucken, wo wir die präventiven" }, { "start": 1175.729, "end": 1181.209, "text": "Maßnahmen durchknacken können, sondern auch, ob unser Auftraggeber in der Lage" }, { "start": 1181.209, "end": 1186.969, "text": "wäre, uns jetzt eben quasi zu identifizieren, zu isolieren und dann auch wieder rauszuwerfen." }, { "start": 1187.897, "end": 1191.837, "text": "Ja, eine weitere ganz wichtige Geschichte, die ja da auch noch eine Rolle spielt," }, { "start": 1191.997, "end": 1195.257, "text": "du hast gerade gesagt schon, vielleicht ist es ja auch der Mitarbeiter," }, { "start": 1195.297, "end": 1199.457, "text": "der sauer ist aufs Unternehmen und deswegen jetzt anfängt Schaden zu verursachen." }, { "start": 1199.457, "end": 1202.797, "text": "Eine weitere wichtige Geschichte und die vernachlässigen, glaube ich," }, { "start": 1202.817, "end": 1207.157, "text": "auch sehr viele Kunden, ist natürlich auch das, wie kommt denn der Angreifer rein?" }, { "start": 1207.217, "end": 1209.797, "text": "Wir reden hier meistens über irgendwelche technischen Schwachstellen," }, { "start": 1209.977, "end": 1215.837, "text": "wo automatisierte Angriffe von irgendwelchen Botnetzen oder wem auch immer halt" }, { "start": 1215.837, "end": 1218.777, "text": "ausgeführt werden. Das sind aber dann halt häufig auch Zufallstreffer." }, { "start": 1219.377, "end": 1222.637, "text": "Wenn man mal guckt, wie viele Exchange-Server zum Beispiel noch direkt im Netz" }, { "start": 1222.637, "end": 1226.417, "text": "stehen, ungepatcht mit einem uralten Softwarestand. Das ist aber nur die eine Seite." }, { "start": 1226.597, "end": 1230.477, "text": "Gerade auch bei Unternehmen, die ja auch der Meinung sind, sie haben eine physikalische" }, { "start": 1230.477, "end": 1232.937, "text": "Perimetersicherheit durch Zutrittskontrollen." }, { "start": 1233.037, "end": 1237.677, "text": "Sie glauben, wenn man einen Mitarbeiterausweis oder einen Besucherausweis den" }, { "start": 1237.677, "end": 1240.897, "text": "Leuten aushändigt und da läuft jetzt jemand rum, der keinen Ausweis hat," }, { "start": 1241.037, "end": 1243.817, "text": "dann werden schon meine Mitarbeiter dafür sorgen, den anzusprechen." }, { "start": 1243.957, "end": 1247.657, "text": "Aber in der Praxis sieht es halt häufig einfach ganz anders aus." }, { "start": 1247.657, "end": 1251.517, "text": "Und da habe ich an der Stelle auch immer wieder die Leseempfehlung," }, { "start": 1251.657, "end": 1255.117, "text": "eigentlich jedes Buch von Kevin Mitnick sich mal vorzunehmen." }, { "start": 1255.197, "end": 1258.057, "text": "Die gibt es sowohl auf Deutsch als auch auf Englisch. Das Einzige," }, { "start": 1258.057, "end": 1259.357, "text": "was es nicht auf Englisch gibt, ist Ghost" }, { "start": 1259.357, "end": 1261.897, "text": "in the Wires, wo er seine eigene Lebensgeschichte ja nochmal erzählt." }, { "start": 1261.897, "end": 1265.957, "text": "Aber die Kunst des Angriffs, die Kunst der Täuschung, diese Bücher," }, { "start": 1265.977, "end": 1268.137, "text": "die sollte man wirklich mal gelesen haben," }, { "start": 1268.277, "end": 1272.177, "text": "weil ich bin mir relativ sicher und ich gehe davon aus, das wirst du mir auch" }, { "start": 1272.177, "end": 1276.717, "text": "bestätigen, die theoretischen Maßnahmen mit einem Zettel an der Tür," }, { "start": 1276.837, "end": 1280.517, "text": "jeder muss sich einzeln auf der Tür anmelden, damit er durchgeht." }, { "start": 1280.517, "end": 1283.157, "text": "Und das funktioniert halt in der Praxis sehr häufig nicht." }, { "start": 1283.357, "end": 1289.017, "text": "Und auch dieses Glauben an Uniformen, dieses Glauben an ein offizielles Auftreten," }, { "start": 1289.037, "end": 1290.357, "text": "da nehme ich immer so das Beispiel," }, { "start": 1290.497, "end": 1293.397, "text": "zieh dir einfach eine gelbe Weste an und geh mal auf die Laderampe von irgendeinem" }, { "start": 1293.397, "end": 1297.597, "text": "Möbelhaus und guck mal, wie lang es dauert, wenn du da mit Helm und Weste und" }, { "start": 1297.597, "end": 1301.177, "text": "Klemmbrett unterm Arm rumläufst, ob dich überhaupt jemand anspricht oder ob" }, { "start": 1301.177, "end": 1304.157, "text": "du da nicht hinten eine komplette Couchgarnitur in deinen Sprinter laden kannst." }, { "start": 1304.157, "end": 1309.997, "text": "Das ist halt einfach, ja, die Leute sind halt auch zu sehr in ihrem eigenen" }, { "start": 1309.997, "end": 1314.557, "text": "kleinen Mikrokosmos gefangen und diese Situation, dass das passieren kann," }, { "start": 1314.657, "end": 1316.377, "text": "die haben die auch gar nicht auf dem Radar recht häufig." }, { "start": 1316.8, "end": 1321.62, "text": "Also das Bewusstsein, wir sprechen eben hier gern von Survivorship Bias," }, { "start": 1321.74, "end": 1326.4, "text": "also das nennt sich Überlebensirrtum, ist die Konfrontation mit Ereignissen," }, { "start": 1326.46, "end": 1328.3, "text": "die man so noch nicht wahrgenommen hat," }, { "start": 1328.44, "end": 1331.74, "text": "beziehungsweise Ereignisse, die man eben überproportional warnen," }, { "start": 1331.8, "end": 1335.78, "text": "weil sie an einen herangetragen werden und dabei relevante Ereignisse übersieht." }, { "start": 1335.78, "end": 1339.52, "text": "Und ich selbst habe einige Dutzend gute Ausweise." }, { "start": 1339.58, "end": 1344.1, "text": "Das sind Mitarbeiterausweise, Besucherausweise, die so im Laufe der Jahre zusammengekommen sind." }, { "start": 1344.52, "end": 1348.56, "text": "Eine der wesentlichen Themen, wenn man versucht, an Daten ranzukommen," }, { "start": 1348.56, "end": 1354.26, "text": "ist zu verstehen, dass man drei Hürden überwinden muss. Das ist einmal die Zutrittskontrolle," }, { "start": 1354.32, "end": 1357.38, "text": "das ist die Zugangskontrolle und die Zugriffskontrolle." }, { "start": 1357.76, "end": 1361.76, "text": "Und das Thema Zutritt lässt sich gerade seit Corona," }, { "start": 1361.96, "end": 1366.62, "text": "seit der digitalisierten Welt kaum noch sicher beherrschen, weil einfach dieser" }, { "start": 1366.62, "end": 1370.94, "text": "physische Perimeter, davon abgesehen, dass auch in unseren Tests der physische" }, { "start": 1370.94, "end": 1373.28, "text": "Perimeter noch nie wirklich gehalten hat." }, { "start": 1373.28, "end": 1376.86, "text": "Also wir haben wirklich schon Tests gemacht bei hochkritischen Infrastrukturen" }, { "start": 1376.86, "end": 1383.58, "text": "mit meterhohen Sicherheitszäunen, mit vielen Kameras, mit Schranken und Vereinzelungsanlagen." }, { "start": 1383.62, "end": 1388.64, "text": "Und trotzdem gibt es immer irgendwie eine Möglichkeit und zwar keine langfristige Möglichkeit." }, { "start": 1388.64, "end": 1392.14, "text": "Ich bin niemand, der wirklich solche Erkundungen über Wochen betreibt," }, { "start": 1392.24, "end": 1396.94, "text": "sondern ich nehme mir wirklich nie mehr als maximal einen Tag Zeit zu erarbeiten," }, { "start": 1397.06, "end": 1399.98, "text": "wie man irgendwo reinkommt, weil einfach auch noch nie mehr nötig war." }, { "start": 1400.6, "end": 1404.46, "text": "Und die Kunst dessen, was wir tun, ist dann eher dafür zu sorgen," }, { "start": 1404.62, "end": 1409.36, "text": "gerade wenn ich eben Menschen mit in Tests involviere, wie kann ich zukünftig" }, { "start": 1409.36, "end": 1412.28, "text": "dafür sorgen, dass meine Human Firewall besser wird." }, { "start": 1412.28, "end": 1417.68, "text": "Nur zu zeigen, was nicht funktioniert, ist in der Regel ein deprimierendes Erlebnis." }, { "start": 1417.74, "end": 1422.58, "text": "Und deshalb bin ich irgendwann dazu übergegangen, auch aufbauende Erlebnisse" }, { "start": 1422.58, "end": 1424.12, "text": "in solche Tests zu integrieren." }, { "start": 1424.2, "end": 1428.3, "text": "Also wenn ich seit einer Dreiviertelstunde in verbotenen Bereichen herumschleiche." }, { "start": 1428.482, "end": 1432.462, "text": "Dann erhöhe ich einfach meinen Dreistigkeitslevel so lange, bis dann doch irgendwann" }, { "start": 1432.462, "end": 1435.902, "text": "mich jemand anspricht und sagt, wer sind Sie, was machen Sie hier?" }, { "start": 1436.402, "end": 1439.922, "text": "Und dann könnte ich mir natürlich versuchen, mich rauszureden mit der Geschichte," }, { "start": 1440.042, "end": 1441.962, "text": "mit dem Pretext, den ich vorbereitet habe." }, { "start": 1442.482, "end": 1444.942, "text": "Stattdessen nehme ich mir die Person dann aber zur Seite und sage," }, { "start": 1445.082, "end": 1447.982, "text": "hey, super, Sie sind der Erste, der mich hier anspricht. Sie haben es geschafft." }, { "start": 1448.262, "end": 1451.802, "text": "Sie sind das Vorbild quasi hier für alle anderen. Und so ist dann," }, { "start": 1451.862, "end": 1455.362, "text": "wenn dieser Test hinterher in Awareness-Maßnahmen ausgegliedert wird," }, { "start": 1455.462, "end": 1457.222, "text": "weil das passiert wirklich jedes Mal." }, { "start": 1457.382, "end": 1461.122, "text": "Wenn wir irgendwo reinkamen, wenn wir irgendwo solche Tests durchgeführt haben," }, { "start": 1461.202, "end": 1464.302, "text": "ist das in der Regel immer ein sehr lehrreiches Erlebnis." }, { "start": 1464.382, "end": 1467.902, "text": "Es ist uns auch wichtig, dass ein Pentest nicht mit dem Bericht beendet ist," }, { "start": 1467.942, "end": 1471.242, "text": "sondern dass diese Lessons learned, Briefing, das ist die entscheidende Phase," }, { "start": 1471.382, "end": 1472.322, "text": "wo die Verbesserung kommt." }, { "start": 1472.322, "end": 1476.622, "text": "Und da kann es eben sein, dass hinterher Vereinzelungsanlagen eingeführt werden," }, { "start": 1476.682, "end": 1481.262, "text": "neue Zutrittssysteme eingeführt werden, man eben die Zugangssicherheit erhöht," }, { "start": 1481.262, "end": 1484.222, "text": "dass eben die Systeme zukünftig nicht nur mit Benutzername Kennwort," }, { "start": 1484.382, "end": 1489.042, "text": "sondern eben mit einem echten zweiten Faktor wie einem FIDO2-Key oder ähnlichen" }, { "start": 1489.042, "end": 1490.722, "text": "Dingen zugänglich gemacht werden." }, { "start": 1490.722, "end": 1493.082, "text": "Das sind so diese Maßnahmen, die hinten rauskommen." }, { "start": 1493.162, "end": 1496.942, "text": "Aber gerade bei dem Thema menschliche Verbesserung, also wie verbessere ich" }, { "start": 1496.942, "end": 1500.162, "text": "das menschliche Schutzschild meines Unternehmens, da ist es eben wichtig," }, { "start": 1500.202, "end": 1501.762, "text": "auch mit Vorbildern zu arbeiten." }, { "start": 1501.962, "end": 1505.062, "text": "Und dann ist es eben gut, dass der eine Mitarbeiter, der einen anspricht," }, { "start": 1505.062, "end": 1509.102, "text": "dann eben durchaus belohnt wird für sein Arrangement, um eben hier auch den" }, { "start": 1509.102, "end": 1511.142, "text": "anderen ein gutes Vorbild sein zu können." }, { "start": 1511.202, "end": 1514.822, "text": "Und auch den Skeptikern, die sagen, naja, der Ortmann, das ist ja so ein Profi," }, { "start": 1514.822, "end": 1516.942, "text": "der macht das seit Jahren, den kann ja gar keiner entdecken." }, { "start": 1517.082, "end": 1519.342, "text": "Doch der eine, der Kollege da, der hat mich entdeckt." }, { "start": 1520.402, "end": 1524.882, "text": "Naja, klar. Man muss natürlich gar nicht so weit gehen, habe ich auch schon ganz oft erlebt." }, { "start": 1525.002, "end": 1528.362, "text": "Ich meine, klar, das ist natürlich der ideale Ansatz, wenn man es dann wirklich" }, { "start": 1528.362, "end": 1530.102, "text": "mal am lebenden Objekt ausprobiert." }, { "start": 1530.142, "end": 1533.262, "text": "Aber was wir auch schon gelernt haben, was ganz häufig hilft," }, { "start": 1533.342, "end": 1537.262, "text": "sind einfach auch Tabletop-Übungen. Dass man wirklich hergeht und mit den Leuten" }, { "start": 1537.262, "end": 1541.422, "text": "eine Situation schafft und sagt, okay, wir gehen jetzt davon aus," }, { "start": 1541.602, "end": 1544.682, "text": "jetzt ist der Strom ausgefallen. Man muss ja gar kein Angriff sein." }, { "start": 1544.802, "end": 1547.362, "text": "Es kann ja auch ein Vorfall, vielmehr, nein, das darf ich ja nicht sagen," }, { "start": 1547.402, "end": 1550.722, "text": "es ist ja kein Vorfall, sondern eine Störung. Wir wollen im BSI-Sprechbleiben." }, { "start": 1551.482, "end": 1556.022, "text": "Wenn es eine Störung ist, was tun wir jetzt? So, und dann einfach diese Frage" }, { "start": 1556.022, "end": 1559.262, "text": "in den Raum zu stellen und dann die Leute erst mal überlegen zu lassen," }, { "start": 1559.442, "end": 1560.882, "text": "wie würde ich denn vorgehen?" }, { "start": 1560.942, "end": 1564.982, "text": "Und da prüft man natürlich dann auch relativ schnell ab, gibt es denn überhaupt ein Konzept?" }, { "start": 1565.022, "end": 1568.122, "text": "Wo würde das denn stehen, wenn die Person jetzt gar nicht da ist," }, { "start": 1568.162, "end": 1569.502, "text": "die mir die Antwort gegeben hat?" }, { "start": 1569.622, "end": 1572.722, "text": "Gibt es da noch eine Möglichkeit für einen zweiten, dritten," }, { "start": 1572.742, "end": 1576.842, "text": "für den Geschäftsführer oder andere Menschen, diese Entscheidungskette überhaupt" }, { "start": 1576.842, "end": 1578.622, "text": "jetzt irgendwo sich zu besorgen?" }, { "start": 1579.262, "end": 1582.542, "text": "Ja, das liegt als Word-Dokument auf unserem File-Server. Ja," }, { "start": 1582.602, "end": 1586.322, "text": "der funktioniert jetzt aber gerade nicht, weil du hast keinen Strom und die USV ist auch schon alle." }, { "start": 1586.422, "end": 1589.822, "text": "Also nächste Frage, wie kriege ich die Informationen sonst noch her?" }, { "start": 1589.902, "end": 1593.862, "text": "Und so baut man halt einfach darauf auf, weil man einfach diese Fragen stellt," }, { "start": 1594.022, "end": 1597.242, "text": "die eben, und das hast du ja gerade vorhin auch schon erwähnt," }, { "start": 1597.242, "end": 1599.462, "text": "dieser Irrglaube, man weiß schon, wie es geht." }, { "start": 1600.022, "end": 1604.442, "text": "So, ich bin jetzt mit meinem Flugzeug abgestürzt, so lostmäßig und ich weiß" }, { "start": 1604.442, "end": 1606.202, "text": "schon, wie das geht. Das wird schon passen." }, { "start": 1606.52, "end": 1610.44, "text": "Ich habe ja Castaway gesehen und hoffentlich gibt es irgendwo einen Handball," }, { "start": 1610.56, "end": 1614.1, "text": "dann habe ich schon mal einen Gefährten, so auf die Art, aber in der Praxis" }, { "start": 1614.1, "end": 1617.32, "text": "sieht es halt komplett anders aus und diese Situations-Awareness," }, { "start": 1617.4, "end": 1622.04, "text": "die ist natürlich ein ganz wichtiges Element auch dann eben in der Nachbearbeitung" }, { "start": 1622.04, "end": 1625.18, "text": "oder auch, wenn man es jetzt grundsätzlich auf dem Schreibtisch vorbereitet." }, { "start": 1625.18, "end": 1631.98, "text": "Und ja, das große Problem, was ich halt immer merke, gerade in unseren Kundensegmenten," }, { "start": 1631.98, "end": 1636.0, "text": "wo wir unterwegs sind, es existiert ganz häufig halt einfach eine Hilflosigkeit," }, { "start": 1636.12, "end": 1640.72, "text": "weil es halt einfach auf den ersten Blick viel zu viel ist, was man tun müsste." }, { "start": 1640.8, "end": 1642.66, "text": "Das weiß man irgendwie im Hinterkopf auch schon." }, { "start": 1642.8, "end": 1647.56, "text": "Aber der innere Schweinehund hindert einen dann auch daran, da wirklich mal jetzt loszulegen." }, { "start": 1647.62, "end": 1650.66, "text": "Auf der anderen Seite ist natürlich auch immer die Angst davor," }, { "start": 1650.8, "end": 1655.6, "text": "dass das alles exorbitant teuer wird. Und ja, da höre ich dann immer einen meiner" }, { "start": 1655.6, "end": 1659.76, "text": "alten Chefs, wie viele Gegenstände kann ich dadurch mehr verkaufen?" }, { "start": 1659.8, "end": 1661.68, "text": "Was bringt mir das denn an Umsatz nachher?" }, { "start": 1661.72, "end": 1665.06, "text": "Weil meistens ist es ja so, dass man als Entscheider gerne hätte," }, { "start": 1665.16, "end": 1669.1, "text": "dass die IT kommt und sagt, wir machen jetzt das und dann steigern wir unsere" }, { "start": 1669.1, "end": 1671.84, "text": "Performance um so und so viele Prozentpunkte." }, { "start": 1671.84, "end": 1674.86, "text": "Aber man muss, glaube ich, an der Stelle auch mal vermitteln," }, { "start": 1674.92, "end": 1679.82, "text": "es geht hier eigentlich eher um präventive Schadensbegrenzung in einer theoretischen" }, { "start": 1679.82, "end": 1682.66, "text": "Übung, um dann eben schneller reagieren zu können." }, { "start": 1682.74, "end": 1686.44, "text": "Aber das ist halt einfach auch für die Admins und IT-Entscheider häufig ein" }, { "start": 1686.44, "end": 1687.64, "text": "sehr, sehr schwieriges Thema." }, { "start": 1687.86, "end": 1691.24, "text": "Wie erlebst du das denn bei dir in deinen Tests oder bei deinen Kunden?" }, { "start": 1691.76, "end": 1696.6, "text": "Also sehr häufig ist es so, dass gar nicht das Budget für die Verbesserung in" }, { "start": 1696.6, "end": 1701.26, "text": "Frage gestellt wird oder die große Rolle spielt, sondern dass tatsächlich das" }, { "start": 1701.26, "end": 1704.12, "text": "quasi das, was wie der Teufel das Weihwasser gefürchtet wird," }, { "start": 1704.2, "end": 1705.82, "text": "ist Prozesse verändern zu müssen." }, { "start": 1705.82, "end": 1709.6, "text": "Weil man immer fürchtet, damit ein Stück weit die Mitarbeiter zu verärgern," }, { "start": 1709.68, "end": 1714.88, "text": "Prozesse ineffizienter zu machen, also das Geschäftsmodell durch neue Sicherheitsmaßnahmen" }, { "start": 1714.88, "end": 1719.52, "text": "aus der Wettbewerbsfähigkeit ein Stück weit zu nehmen oder aus der Beweglichkeit nehmen zu können." }, { "start": 1719.6, "end": 1723.3, "text": "Das sind eher die Dinge, die tatsächlich wehtun. Und da ist natürlich so," }, { "start": 1723.38, "end": 1727.64, "text": "dass ein Startup, das barfuß oder Lackschuh, bar jeder Sicherheitsmaßnahme erstmal" }, { "start": 1727.64, "end": 1730.86, "text": "versucht, sich am Markt zu etablieren, einen riesen Vorteil hat," }, { "start": 1730.92, "end": 1733.12, "text": "weil es faktisch ja erstmal nichts zu verlieren gibt." }, { "start": 1733.28, "end": 1736.98, "text": "Das ändert sich aber in dem Augenblick, wo man eben die ersten Gewinne gemacht" }, { "start": 1736.98, "end": 1740.14, "text": "hat, wo man die ersten Fründe sichern möchte und dann eben feststellt," }, { "start": 1740.18, "end": 1745.12, "text": "okay, jetzt sind wir an dem Punkt, wo wir eben bestimmten Protektionismus auch anfahren müssen." }, { "start": 1745.12, "end": 1750.26, "text": "Und dann alles umzubauen, dann eben alles mit Regelwerken zu versehen," }, { "start": 1750.26, "end": 1753.4, "text": "mit Kontrollmechanismen zu versehen, die dann notwendig werden," }, { "start": 1753.54, "end": 1757.5, "text": "das ist das, was eben eher die großen Diskussionen dann anschließend verursacht." }, { "start": 1757.58, "end": 1760.68, "text": "Aber deshalb ist eben der Test ein Stück weit schöner als das Audit." }, { "start": 1760.68, "end": 1765.42, "text": "Im Audit versucht man immer quasi Maßnahmen auf das notwendige Minimum zu beschränken." }, { "start": 1765.46, "end": 1770.72, "text": "In Tests merkt man, wie sehr diese Strategie dann eben funktioniert hat oder" }, { "start": 1770.72, "end": 1775.26, "text": "eben auch nicht funktioniert hat und dann geht es eben eher darum zu gucken," }, { "start": 1775.4, "end": 1777.12, "text": "was sind die Dinge, die uns wichtig" }, { "start": 1777.12, "end": 1780.78, "text": "genug sind, um eben auch unbequeme Veränderungen dafür in Kauf zu nehmen." }, { "start": 1781.083, "end": 1786.563, "text": "Das glaube ich tatsächlich auch. Was halt doch dann sehr häufig einfach das" }, { "start": 1786.563, "end": 1789.923, "text": "Thema Prozessveränderung angeht, weil du es gerade ansprichst," }, { "start": 1789.923, "end": 1793.103, "text": "ist dann auch eben die Situation, dass wir dann auch natürlich damit konfrontiert" }, { "start": 1793.103, "end": 1794.143, "text": "werden, dass Kunden sagen," }, { "start": 1794.323, "end": 1796.523, "text": "ja, ja, das passt schon alles, mach ruhig weiter." }, { "start": 1796.523, "end": 1800.303, "text": "Aber ich sage halt, wenn wir es nicht vorher durchgeplant haben und strukturiert" }, { "start": 1800.303, "end": 1803.863, "text": "haben, dann fangen wir eigentlich gar nicht erst an, weil wir sehen das ja schon" }, { "start": 1803.863, "end": 1807.083, "text": "aufgrund der Erfahrungen, dass das in eine Katastrophe ausufern kann." }, { "start": 1807.383, "end": 1811.803, "text": "Und lieber sage ich dann, du lieber Kunde, dann geh bitte zu jemandem, der das für dich macht." }, { "start": 1812.263, "end": 1816.203, "text": "Es gibt immer einen, der es billiger macht oder der es jetzt sofort kann," }, { "start": 1816.303, "end": 1819.183, "text": "obwohl bei uns erst mal Planung und Prävention eine Rolle spielt." }, { "start": 1819.303, "end": 1823.023, "text": "Und dann geh woanders hin, aber wir machen dir das nicht. Nur um jetzt des Geldes" }, { "start": 1823.023, "end": 1827.743, "text": "wegen sehenden Auges eine Katastrophe heraufzubeschwören, das macht keinen Sinn" }, { "start": 1827.743, "end": 1829.443, "text": "und das hat auch was mit Ethik zu tun." }, { "start": 1829.563, "end": 1833.423, "text": "Leider gibt es halt in unserem Markt sehr viele Anbieter und Menschen," }, { "start": 1833.443, "end": 1837.083, "text": "die halt sagen, du musst dies und das kaufen und dann bist du sicher." }, { "start": 1837.203, "end": 1841.603, "text": "Und dieses Mindset wird halt gerade bei den Geschäftsführern natürlich sehr gerne angenommen." }, { "start": 1841.603, "end": 1844.963, "text": "Ja, es ist tatsächlich verrückt, wie sehr," }, { "start": 1845.163, "end": 1850.383, "text": "also wir hatten so in den 2000ern damals, hatten wir so eine Bubble," }, { "start": 1850.503, "end": 1854.203, "text": "wo viele Menschen, die damals in einer schwierigen Jobsituation waren," }, { "start": 1854.243, "end": 1858.243, "text": "umgeschult wurden auf Webdesigner und Grafikdesigner und danach hatten wir irgendwie" }, { "start": 1858.243, "end": 1860.603, "text": "eine Welt voller Webdesigner und Grafikdesigner." }, { "start": 1860.603, "end": 1864.903, "text": "Und dasselbe habe ich ein bisschen das Gefühl passiert gerade in der Informationssicherheit." }, { "start": 1864.983, "end": 1868.823, "text": "Wir haben gerade unglaublich viele Menschen, die quasi so eine Notschulung auf" }, { "start": 1868.823, "end": 1873.023, "text": "das Thema bekommen haben und danach selbst auch teilweise sehr überzeugend missionierend" }, { "start": 1873.023, "end": 1876.663, "text": "durch die Welt gehen, wo es aber relativ wenig Substanz gibt." }, { "start": 1876.663, "end": 1881.403, "text": "Ich lehne das gar nicht ab, weil man wird ja nicht mit Erfahrung geboren. Die muss man machen." }, { "start": 1881.663, "end": 1885.523, "text": "Ich finde nur wichtig, dass man dann die Teams entsprechend zusammenstellt," }, { "start": 1885.603, "end": 1890.063, "text": "dass man eben auch wirklich hier quasi die neuen Besen und die erfahrenen alten" }, { "start": 1890.063, "end": 1893.823, "text": "Hasen quasi in den Teams richtig miteinander portioniert," }, { "start": 1893.883, "end": 1898.943, "text": "um eben quasi dieses tiefen Wissen zu verbinden mit modernen Methoden und mit" }, { "start": 1898.943, "end": 1901.703, "text": "dem neuesten Stand, der eben da draußen auch vermittelt wird." }, { "start": 1901.703, "end": 1905.603, "text": "Ich finde immer schwierig, wenn so ein rein verkopfter Ansatz versucht wird," }, { "start": 1905.643, "end": 1907.903, "text": "im Bereich Informationssicherheit umzusetzen." }, { "start": 1908.123, "end": 1913.183, "text": "Genauso wenig, wie eben so eine Hemdsärmeligkeit mit 90er-Wissen besonders zielführend" }, { "start": 1913.183, "end": 1916.723, "text": "ist für sich alleine, sondern es ist tatsächlich meistens die Mischung derer," }, { "start": 1916.743, "end": 1920.283, "text": "denen man sich da anvertrauen kann. Das bringt mich direkt zur nächsten Frage." }, { "start": 1920.423, "end": 1923.963, "text": "Wenn jetzt jemand, der unseren Podcast hört, sich denkt, Mensch," }, { "start": 1924.063, "end": 1927.323, "text": "das klingt eigentlich ja alles total cool und irgendwie hätte ich da auch Bock" }, { "start": 1927.323, "end": 1931.423, "text": "drauf, in dem Bereich IT Security mehr zu machen." }, { "start": 1931.443, "end": 1935.043, "text": "Ich möchte Security-Profi oder Pentester oder whatever gerne werden." }, { "start": 1935.183, "end": 1939.363, "text": "Was kannst du denn da empfehlen? Was wäre denn ein erster Ansatz," }, { "start": 1939.403, "end": 1941.063, "text": "um in dem Bereich Fuß zu fassen?" }, { "start": 1941.522, "end": 1946.062, "text": "Also wir führen tatsächlich auch für mehrere Institute Basisschulungen durch." }, { "start": 1946.162, "end": 1949.662, "text": "Bei Q-Skills ist es eben unsere Cyber Security Foundation Schulung," }, { "start": 1949.702, "end": 1952.322, "text": "die eben erstmal so ein Ground Level geben soll." }, { "start": 1952.422, "end": 1956.202, "text": "Das ist tatsächlich gedacht, noch nicht mal unbedingt für angehende Security" }, { "start": 1956.202, "end": 1961.202, "text": "Professionals, sondern eben überhaupt für jeden, der das Thema Informationssicherheit" }, { "start": 1961.202, "end": 1962.962, "text": "bei sich selber verständlich haben möchte." }, { "start": 1962.962, "end": 1966.982, "text": "Wo wir dann wirklich in zwei Tagen mal so um diesen Planeten Informationssicherheit" }, { "start": 1966.982, "end": 1970.982, "text": "rumfliegen und uns die verschiedenen Themenbereiche wirklich so aus 10.000 Meter" }, { "start": 1970.982, "end": 1972.742, "text": "Höhe mit 800 kmh angucken." }, { "start": 1972.822, "end": 1976.862, "text": "Um erstmal diese Welt zu verstehen und um erstmal so ein bisschen die weißen" }, { "start": 1976.862, "end": 1980.162, "text": "Flecken kleiner zu machen, die man eben noch nie gedacht hat in dem Bereich." }, { "start": 1980.162, "end": 1984.042, "text": "Weil das ein gewisses holistisches Verständnis von diesem gesamten Themenbereich" }, { "start": 1984.042, "end": 1988.282, "text": "gibt, der sonst ja vom Weiten unglaublich komplex und ereignisreich ist." }, { "start": 1988.342, "end": 1992.842, "text": "Auch zu verstehen, dass die Angreifer, die da draußen sind, auch nur Menschen" }, { "start": 1992.842, "end": 1994.422, "text": "sind und auch nur mit Wasser kochen." }, { "start": 1994.782, "end": 1998.742, "text": "Dafür helfen dann eben auch mal durchaus einen Hacking-Kurs zu besuchen und" }, { "start": 1998.742, "end": 2002.422, "text": "eben nicht nur den ISO-Implementer-Kurs, sondern auch mal quasi aus der anderen" }, { "start": 2002.422, "end": 2004.962, "text": "Seite zu gucken, wie funktionieren diese Methoden." }, { "start": 2004.962, "end": 2010.282, "text": "Was heißt eigentlich Frusttoleranz beim Versuch, in Unternehmensverbunde einzudringen und ähnliche Themen?" }, { "start": 2010.382, "end": 2014.042, "text": "Und dann natürlich auch ein bisschen zu gucken, in welchem Bereich ist so mein" }, { "start": 2014.042, "end": 2016.722, "text": "Steckenpferd? Was ist das, was ich tatsächlich können möchte?" }, { "start": 2016.862, "end": 2019.202, "text": "Und wie weit soll das hier gehen, was ich haben möchte?" }, { "start": 2019.427, "end": 2023.027, "text": "Und wer natürlich irgendwie Feuer und Flamme ist, grundsätzlich empfehle ich" }, { "start": 2023.027, "end": 2025.687, "text": "jede Informationssicherheitstechnische Ausbildung," }, { "start": 2025.827, "end": 2030.427, "text": "um gewisse Hackerskills dann eben auch zu erweitern, um eben diese Perspektive," }, { "start": 2030.427, "end": 2034.487, "text": "selbst wenn man diese Tests nicht selber durchführt, aber nachvollziehen zu können." }, { "start": 2034.487, "end": 2038.087, "text": "Ja, wir haben sehr häufig, dass das, was in den Reports von Pentests steht," }, { "start": 2038.227, "end": 2040.987, "text": "also wir werden häufig beauftragt bei Unternehmen, die haben schon Dutzende" }, { "start": 2040.987, "end": 2046.467, "text": "Pentests durchgeführt oder auch entsprechende Red-Teamings gemacht oder gegen sich laufen lassen." }, { "start": 2047.147, "end": 2050.187, "text": "Aber was hier eben häufig hinterher nicht passiert, das ist," }, { "start": 2050.307, "end": 2053.987, "text": "dass man mehr gemacht hat, als die Management-Summary zu lesen und das Ganze abzuheften." }, { "start": 2053.987, "end": 2060.107, "text": "Also dass quasi dieselben Testversuche zwei Jahre später zu den gleichen Findings" }, { "start": 2060.107, "end": 2061.867, "text": "führen, das ist eigentlich der Teil," }, { "start": 2062.007, "end": 2066.567, "text": "an den glaube ich viele ran müssen und deshalb hilft es eben den Verantwortlichen," }, { "start": 2066.607, "end": 2069.527, "text": "den übergeordneten Verantwortlichen für das Thema Informationssicherheit und" }, { "start": 2069.527, "end": 2073.407, "text": "das beginnt auf der Management-Ebene, da wo eben der CIO zum Beispiel wirkt," }, { "start": 2073.407, "end": 2075.107, "text": "so ein Grundverständnis dafür zu kriegen," }, { "start": 2075.207, "end": 2078.867, "text": "was ist eigentlich die Gefährlichkeit und was ist das Ausnutzungspotenzial," }, { "start": 2078.867, "end": 2081.807, "text": "das wir hier individuell für uns kleiner kriegen müssen." }, { "start": 2082.627, "end": 2086.527, "text": "Ja, absolut. Was ich persönlich da noch mit hinzufügen möchte," }, { "start": 2086.667, "end": 2090.967, "text": "sind so Plattformen wie Hack the Box oder Try Hack Me, wo man einfach auch sehr" }, { "start": 2090.967, "end": 2095.647, "text": "schön an der Hand genommen wird, um einfach sich da mal vorsichtig ranzutasten." }, { "start": 2095.687, "end": 2098.627, "text": "Man kriegt auch ein gutes Grundverständnis vermittelt, wenn man jetzt überhaupt" }, { "start": 2098.627, "end": 2101.867, "text": "zum Beispiel noch gar nichts mit einer Shell irgendwie in seinem Leben mal zu" }, { "start": 2101.867, "end": 2103.547, "text": "tun hatte. Was ist denn das eigentlich?" }, { "start": 2103.667, "end": 2106.127, "text": "Wie funktioniert die Bash? Wie funktioniert PowerShell?" }, { "start": 2106.487, "end": 2110.227, "text": "Wie benutze ich das denn jetzt für mich? Und das finde ich tatsächlich auch" }, { "start": 2110.227, "end": 2111.587, "text": "immer einen sehr schönen Ansatz." }, { "start": 2111.627, "end": 2114.407, "text": "Es gibt dann auch immer schöne Badges, die man sich dann irgendwo rankleben" }, { "start": 2114.407, "end": 2117.387, "text": "kann, um zu zeigen, dass man sich dort entwickelt hat in dem Bereich." }, { "start": 2117.507, "end": 2121.187, "text": "Und das ist auch eine ganz coole Geschichte. Ja, natürlich auch," }, { "start": 2121.267, "end": 2123.927, "text": "um es einfach nochmal zu sagen, Deutschlands bester Hacker, gerade wenn jetzt" }, { "start": 2123.927, "end": 2126.707, "text": "jemand sagt, ich glaube, ich kann schon was, ist das, glaube ich," }, { "start": 2126.707, "end": 2130.107, "text": "auch ein ziemlich cooles, kompetitives Modell, wo man mal gucken kann," }, { "start": 2130.247, "end": 2131.507, "text": "wo stehe ich denn eigentlich," }, { "start": 2131.747, "end": 2137.427, "text": "um im Wettbewerb gegen andere mal wirklich auch legal so Capture-the-Flag-Szenarien durchzuführen." }, { "start": 2137.897, "end": 2141.657, "text": "Und ja, wer noch weitergehen möchte, der könnte zum Beispiel die Offensive Security" }, { "start": 2141.657, "end": 2144.717, "text": "Professional Ausbildung anfangen, wobei die ist bärig." }, { "start": 2144.797, "end": 2148.157, "text": "Also ich habe sie selber schon mal durchgezogen und ich finde," }, { "start": 2148.237, "end": 2151.317, "text": "das ist dann schon, das kann einem fast dann schon den Spaß nehmen," }, { "start": 2151.437, "end": 2153.517, "text": "weil es halt wirklich brutal schwer wird." }, { "start": 2153.577, "end": 2156.537, "text": "Also der Schwierigkeitsgrad gerade eben in dem Bereich, naja," }, { "start": 2156.537, "end": 2159.237, "text": "Sie sagen ja auch immer, try harder, wenn es auf die Nase gefallen ist," }, { "start": 2159.377, "end": 2160.277, "text": "dann mach es einfach nochmal." }, { "start": 2160.597, "end": 2164.397, "text": "Aber das braucht schon eine Menge Enthusiasmus. Aber es gibt Möglichkeiten auf" }, { "start": 2164.397, "end": 2170.237, "text": "jeden Fall. Also grundsätzlich TrackMe bietet eben auch kostenfrei bereits Einstiegsmöglichkeit" }, { "start": 2170.237, "end": 2173.677, "text": "legal, sich da mal auszuprobieren. Es gibt viele andere Möglichkeiten." }, { "start": 2173.857, "end": 2176.637, "text": "Also wer das wissen will, darf gerne auf dich zukommen. Ich liefere dir gerne" }, { "start": 2176.637, "end": 2179.857, "text": "mal so eine Liste mit verschiedenen Empfehlungen, wo man eben kostenfrei in" }, { "start": 2179.857, "end": 2184.237, "text": "verschiedene, sei das eben überhaupt dieses Verständnis, wie kann ich zum Beispiel" }, { "start": 2184.237, "end": 2188.217, "text": "nur mit Python bestimmte Abfragen provozieren, die mich dann weiterbringen." }, { "start": 2188.217, "end": 2192.377, "text": "Da gibt es so ein cooles Testmodell, wo man eben wirklich quasi durch 30 Level" }, { "start": 2192.377, "end": 2197.697, "text": "sich arbeiten kann und selbst gute Securities steigen meistens bei Level 16," }, { "start": 2197.837, "end": 2199.937, "text": "17 nachher aus, weil es dann doch komplex wird." }, { "start": 2199.997, "end": 2204.397, "text": "Man erbeutet quasi in jedem Level den Schlüssel, um ins nächste Level zu kommen" }, { "start": 2204.397, "end": 2209.177, "text": "und das eben wirklich gleichzeitig so ein kleiner Python-Trainingskurs in Verbindung" }, { "start": 2209.177, "end": 2211.757, "text": "eben mit diesem out-of-the-box denkenden Ansatz." }, { "start": 2211.757, "end": 2216.257, "text": "Solche Spielchen, da gibt es einige von, die eben tatsächlich kostenfrei und gut funktionieren." }, { "start": 2216.317, "end": 2221.037, "text": "Das, was Offensive Security da anbietet mit dem OSCP, ist natürlich ein Titel," }, { "start": 2221.037, "end": 2226.197, "text": "der zeigt, dass jemand in den Maßgaben von Offensive Security das Thema versteht" }, { "start": 2226.197, "end": 2227.357, "text": "und Offensive hat da viel drauf." }, { "start": 2227.357, "end": 2231.737, "text": "Offensive Security betreibt ja zum Beispiel auch die Exploity Bee," }, { "start": 2231.877, "end": 2236.717, "text": "eine Schwachstellendatenbank, die wirklich hochaktuell gute Beschreibungen liefert," }, { "start": 2236.757, "end": 2238.297, "text": "wie Schwachstellen ausnutzbar sind." }, { "start": 2238.497, "end": 2243.577, "text": "Offensive Security baut das Kali Linux System, um eben hier mit vielen Tools," }, { "start": 2243.697, "end": 2248.217, "text": "die hier liebevoll eingearbeitet werden in dieses spezielle Linux-Format," }, { "start": 2248.217, "end": 2251.297, "text": "eben um dann angreifen, verteidigen, was auch immer zu können." }, { "start": 2251.641, "end": 2255.181, "text": "Jetzt ist aber natürlich auch Offensive viel mit den eigenen Tools und da sind" }, { "start": 2255.181, "end": 2258.821, "text": "sie zu Recht stolz drauf, auch verhangen, wenn sie da einen Titel dranhängen wollen." }, { "start": 2258.941, "end": 2261.081, "text": "Und Try Harder, wir machen das gern." }, { "start": 2261.341, "end": 2265.681, "text": "Also wir haben zum Beispiel zwei unserer Jungs haben letzten Sommer die Zertifizierung" }, { "start": 2265.681, "end": 2268.141, "text": "zum Black Hat Certified Pentester gemacht." }, { "start": 2268.301, "end": 2273.441, "text": "Das ist eine Prüfung, die quasi wie Zeitschach, wo man wirklich nur acht Stunden Zeit hat." }, { "start": 2273.441, "end": 2277.781, "text": "Vier Stunden Webhacking, vier Stunden Netzwerkhacking, um wirklich Aufgaben" }, { "start": 2277.781, "end": 2282.421, "text": "zu lösen, wo man eben zum Beispiel bei Offensive Security deutlich größere Zeitrahmen," }, { "start": 2282.481, "end": 2287.301, "text": "also eine Aufgabe, die normalerweise so mit ein bis zwei Stunden einbepreist ist," }, { "start": 2287.381, "end": 2290.701, "text": "muss hier in 20 Minuten gelöst werden, sonst hat man keine Chance," }, { "start": 2290.901, "end": 2292.901, "text": "hier so ein Badge am Ende zu erbeuten." }, { "start": 2292.901, "end": 2297.421, "text": "Das ist schon richtig, richtig, also wir mögen harte Herausforderungen in dem" }, { "start": 2297.421, "end": 2298.341, "text": "Bereich grundsätzlich," }, { "start": 2298.501, "end": 2302.541, "text": "weil wir dem auch spielerisch natürlich ein Stück weit gegenüberstehen und ob" }, { "start": 2302.541, "end": 2306.401, "text": "jetzt da so ein Zettel an der Wand klebt oder nicht, da geht für uns die Welt nicht unter," }, { "start": 2306.521, "end": 2310.241, "text": "es versucht zu haben und hier einzusteigen und am Ende dann eben vielleicht" }, { "start": 2310.241, "end": 2312.721, "text": "auch erst im zweiten Versuch durch so eine Prüfung zu kommen," }, { "start": 2312.801, "end": 2314.061, "text": "das ist für uns auch völlig fein." }, { "start": 2314.061, "end": 2320.841, "text": "Aber dieses Grundverständnis erstmal zu entwickeln dafür, was eben Ausnutzung ist." }, { "start": 2320.941, "end": 2324.101, "text": "Und das ist eben kein ganz technisches Thema, sondern das ist eben auch ganz" }, { "start": 2324.101, "end": 2328.421, "text": "viel auf der prozessualen Ebene, dass man eben Prozessverschränkungen denkt." }, { "start": 2328.541, "end": 2331.041, "text": "Und da gibt es ein paar schöne Einsteigeraufgaben. Wie gesagt," }, { "start": 2331.241, "end": 2335.281, "text": "ich liefere die gern an und dann gern zur Weitergabe." }, { "start": 2335.821, "end": 2340.741, "text": "Unbedingt. Würde ich sogar tatsächlich dann auch hinten unten dann in den Shownotes" }, { "start": 2340.741, "end": 2343.221, "text": "mal deine Kontaktdaten, wenn das okay ist, mit reinschmeißen," }, { "start": 2343.301, "end": 2344.861, "text": "damit man sich auch an dich wenden kann." }, { "start": 2345.061, "end": 2348.941, "text": "Weil vielleicht sagt ja jetzt auch der eine oder andere Hörer oder Hörerin," }, { "start": 2349.021, "end": 2352.341, "text": "Mensch, das ist echt cool und ich glaube, wir müssen uns da auch mal prüfen" }, { "start": 2352.341, "end": 2356.181, "text": "lassen. Wie gesagt, wir gehen auch gerne miteinander zu euch." }, { "start": 2356.341, "end": 2360.061, "text": "Also wenn ihr jetzt Kunde der Pegasus seid, dann nehmen wir auch gerne den Donald mal mit." }, { "start": 2360.321, "end": 2362.841, "text": "Also da sind wir natürlich komplett offen." }, { "start": 2363.261, "end": 2368.241, "text": "Andere Frage an der Stelle. Jetzt leben wir ja in dem Zeitalter der KI." }, { "start": 2368.541, "end": 2372.121, "text": "Wie stark hat das denn eigentlich euer Tun verändert?" }, { "start": 2372.631, "end": 2376.091, "text": "Jetzt ist es so, dass wir mit diesen Large Learning Models schon etwas länger," }, { "start": 2376.191, "end": 2380.771, "text": "weil wir eben einen Mitarbeiter haben, der in diesem Bereich immer ein bisschen geekig vorweg ist." }, { "start": 2380.811, "end": 2384.671, "text": "Der hat auch vor 30 Jahren schon angefangen, die ersten Drohnen-Mikrobausätze" }, { "start": 2384.671, "end": 2389.011, "text": "sich zu entwickeln, mit automatischen Stabilisierungsgedöns und Ähnlichem." }, { "start": 2389.131, "end": 2393.011, "text": "Und natürlich hat er auch vor fünf Jahren schon angefangen, sich mit dem Thema" }, { "start": 2393.011, "end": 2396.391, "text": "neuronales Netzwerk und wie kann ich das mit Denk-Input versehen." }, { "start": 2396.391, "end": 2398.851, "text": "Deshalb, also wir haben vor zwei Jahren schon so ein Modell gehabt," }, { "start": 2398.951, "end": 2402.731, "text": "da konnte man fragen, wie kann ich meinen Chef in die Luft sprengen mit baumarktüblichen" }, { "start": 2402.731, "end": 2407.291, "text": "Gegenständen und hat hier tatsächlich ohne ethischen Filter Antworten bekommen." }, { "start": 2407.471, "end": 2411.171, "text": "Und wir haben auch vor zwei Jahren schon die ersten, doch vor zwei," }, { "start": 2411.311, "end": 2416.731, "text": "mittlerweile zwei Jahren, die ersten Deepfake-Videos an große Konzerne verkauft," }, { "start": 2416.751, "end": 2421.491, "text": "die damit eben ihre Leitungsebene sensibilisieren wollten, dass dieses Thema kommen wird." }, { "start": 2421.491, "end": 2426.091, "text": "Mittlerweile ist es ja so, dass man eben wirklich mit Heimwerker-Utensilien," }, { "start": 2426.091, "end": 2431.511, "text": "Zoom oder auch Teams-Meetings glaubwürdig crashen kann als andere Personen." }, { "start": 2431.631, "end": 2435.411, "text": "Und dass wir hier ganz neue Techniken drin haben, das ist maßgeblich." }, { "start": 2435.451, "end": 2439.971, "text": "Im Bereich Social Engineering kann ich eben heute mit Pimai und ähnlichen Tools" }, { "start": 2439.971, "end": 2442.071, "text": "eben wirklich Gesichter wiederfinden." }, { "start": 2442.191, "end": 2445.411, "text": "Es ist erschreckend, wie gut diese Systeme sind." }, { "start": 2445.411, "end": 2451.411, "text": "Ich kann mit entsprechenden Stimmimitationen glaubwürdig beliebige Personen" }, { "start": 2451.411, "end": 2457.091, "text": "mit geringer Trainingsbasis eben hier auch attackieren und spätestens seit Schutzmechanismen" }, { "start": 2457.091, "end": 2459.011, "text": "mit KI überwunden werden können." }, { "start": 2459.171, "end": 2463.231, "text": "Sei das eben, dass das Thema Bruteforcing, also das Knacken von Kennwörtern" }, { "start": 2463.231, "end": 2467.631, "text": "mit KI viel, viel schneller geworden ist. Sei es aber zum Beispiel auch das" }, { "start": 2467.631, "end": 2473.071, "text": "mittlerweile, also Captcha, was ja entwickelt wurde, basierend in den 50ern auf dem Turing-Modell." }, { "start": 2473.971, "end": 2479.551, "text": "Captcha ist ja hier Computer Automated Program to Separate Computers from Human," }, { "start": 2479.691, "end": 2482.231, "text": "so in etwa ist die Definition." }, { "start": 2483.305, "end": 2486.925, "text": "Ja, klicke auf alle Fahrräder. Genau, klicke auf alle Fahrräder, sehr gut." }, { "start": 2487.265, "end": 2491.525, "text": "Und mittlerweile gibt es Computer, die das können. Also ich habe neulich das" }, { "start": 2491.525, "end": 2495.665, "text": "wirklich mal getestet an mehreren Prompt, eine KI draufgesetzt und habe gesagt," }, { "start": 2495.865, "end": 2497.505, "text": "was ist das, was du da siehst?" }, { "start": 2497.505, "end": 2501.145, "text": "Ich habe also quasi einen Screenshot gemacht von dem Captcha und habe die KI" }, { "start": 2501.145, "end": 2502.385, "text": "gefragt, was siehst du hier?" }, { "start": 2502.525, "end": 2506.205, "text": "Und die KI hat mir beschrieben, ich sehe ein Captcha, das ist ein Bild," }, { "start": 2506.265, "end": 2511.525, "text": "das gemacht wurde, um eben plausibel zu prüfen, dass nur ein Mensch diese Eingabe lesen kann." }, { "start": 2511.685, "end": 2518.105, "text": "Dafür werden eben wahllose Buchstaben und Ziffern mit einer zweiten Ebene unkenntlich" }, { "start": 2518.105, "end": 2522.705, "text": "beziehungsweise verschwommen dargestellt. Und ein Mensch würde hier lesen und" }, { "start": 2522.705, "end": 2525.425, "text": "dann hat er mir tatsächlich genau das geschrieben, was da steht." }, { "start": 2525.565, "end": 2528.585, "text": "Also das, was die menschliche Eingabe an der Stelle hätte sein sollen." }, { "start": 2528.665, "end": 2533.205, "text": "Also auch Captcha ist mehr oder weniger mittlerweile durch KI-Modelle überwindbar" }, { "start": 2533.205, "end": 2538.465, "text": "geworden. Und das wird zum Beispiel im Moment stark ausgenutzt bei dem Abgreifen von Apple-IDs." }, { "start": 2539.645, "end": 2545.945, "text": "Angreifer gehen eben auf I forgot my password oder I forgot.apple.com." }, { "start": 2545.985, "end": 2551.025, "text": "Dort kann man eben eine E-Mail-Adresse, also eine Apple-ID eingeben und dann" }, { "start": 2551.025, "end": 2553.765, "text": "eben quasi Zurücksetzcodes anfordern." }, { "start": 2553.765, "end": 2557.585, "text": "Und das Ganze ist mit dem Captcha geschützt. Und Angreifer können eben mittlerweile" }, { "start": 2557.585, "end": 2564.465, "text": "pro Minute 100 solche Captcha, solche Anfragen auslösen, weil sie eben KI-basiert Captcha sprengen." }, { "start": 2564.505, "end": 2569.865, "text": "Also wir werden, glaube ich, in der Zukunft Angriffe überwiegend mit KI-Unterstützung" }, { "start": 2569.865, "end": 2573.825, "text": "sehen, also entweder Tool-basiert oder sogar durchautomatisiert." }, { "start": 2573.945, "end": 2579.245, "text": "Und diese Angriffe werden dann auch in ihrer Genialität, in ihrer Ereignismenge," }, { "start": 2579.345, "end": 2582.965, "text": "in ihrer Komplexität durch Menschen allein nicht beherrschbar sein." }, { "start": 2582.965, "end": 2587.645, "text": "Es wird immer Menschen brauchen, glaube ich, die diese Angriffe orchestrieren," }, { "start": 2587.645, "end": 2592.505, "text": "die eben gerade dieses Out-of-the-Box-Thinking quasi organisieren und damit" }, { "start": 2592.505, "end": 2593.785, "text": "eben auch quasi managen." }, { "start": 2593.845, "end": 2597.625, "text": "Aber die Wahrnehmung der Sicherheitsüberwachung selbst wird," }, { "start": 2597.665, "end": 2600.765, "text": "denke ich, immer mehr dann den Maschinen auch in die Hände gehen." }, { "start": 2601.073, "end": 2604.613, "text": "Übrigens, zu dem Deutschlands bester Hacker, ich finde dieses Projekt von Marco" }, { "start": 2604.613, "end": 2610.573, "text": "großartig, weil es eben hilft, mal dieses Thema Hacking aus der dunklen Ecke wieder rauszuziehen." }, { "start": 2610.633, "end": 2614.593, "text": "Wie du am Anfang schon sagtest, Hacking kommt ja eigentlich nicht aus der bösen Welt." }, { "start": 2614.713, "end": 2619.273, "text": "Hacking ist was, was ursprünglich von Enthusiasten am MIT in Boston gestartet" }, { "start": 2619.273, "end": 2623.313, "text": "wurde, um eben einfach Dinge, zusätzliche Funktionen zu finden," }, { "start": 2623.413, "end": 2625.913, "text": "Dinge miteinander zu verbinden, sich quasi Mehrwerte." }, { "start": 2625.913, "end": 2629.253, "text": "Man kennt ja das Live-Hacking, dass ich mit einer Muffinform mir ein tolles" }, { "start": 2629.253, "end": 2631.633, "text": "Ei zubereiten kann oder was auch immer mit Käse drin." }, { "start": 2632.173, "end": 2636.573, "text": "Live-Hacks sind überall und dass wir eben mit Computern hacken," }, { "start": 2636.573, "end": 2638.393, "text": "bringt uns ja auch grundsätzlich weiter." }, { "start": 2638.633, "end": 2641.513, "text": "Und deshalb finde ich eigentlich schön, dass man mit dem Thema Hacking auch" }, { "start": 2641.513, "end": 2645.373, "text": "mal aus der dunklen Ecke rauskommt, auch klar macht, es gibt das Thema ethisches" }, { "start": 2645.373, "end": 2648.553, "text": "Hacken und hier hilft so ein Projekt wie Deutschlands Bester Hacker natürlich," }, { "start": 2648.853, "end": 2652.193, "text": "um einfach das Thema mit einer gewissen Prominenz auszustatten." }, { "start": 2652.833, "end": 2656.953, "text": "Ja, sehe ich ganz genauso und ist auch, glaube ich, super wichtig," }, { "start": 2657.133, "end": 2659.093, "text": "da auch für mehr Transparenz zu sorgen." }, { "start": 2659.733, "end": 2664.833, "text": "Ja, das klingt alles nach einem sehr spannenden und abwechslungsreichen Leben," }, { "start": 2664.953, "end": 2666.453, "text": "was du da so führst, Donald." }, { "start": 2666.573, "end": 2670.533, "text": "Was machst du denn, um mal abzuschalten und zur Ruhe zu kommen," }, { "start": 2670.633, "end": 2673.813, "text": "deine eigene persönliche Resilienz auch aufrechtzuerhalten?" }, { "start": 2675.853, "end": 2679.413, "text": "Tatsächlich bin ich in diesem Leben hier so gefangen, dass das auch meine Freizeit" }, { "start": 2679.413, "end": 2683.073, "text": "ist. Also wenn ich Freizeit habe, setze ich mich tatsächlich ins Auto oder Flugzeug" }, { "start": 2683.073, "end": 2687.213, "text": "und fahre dahin, wo ich Menschen treffe, die sich über ihre Arbeit hinaus mit" }, { "start": 2687.213, "end": 2688.513, "text": "solchen Themen auseinandersetzen." }, { "start": 2688.633, "end": 2693.633, "text": "Und das, was dann an Zeit bleibt, das verbringe ich wie wohl hoffentlich die" }, { "start": 2693.633, "end": 2695.473, "text": "meisten eben dann auch mit der Familie." }, { "start": 2695.773, "end": 2700.253, "text": "Also dass ich jetzt noch zusätzlich Zeit für Freunde und Skateabende habe," }, { "start": 2700.413, "end": 2702.853, "text": "findet tatsächlich in meiner Welt nicht statt." }, { "start": 2703.533, "end": 2707.253, "text": "Ja, krass, auf jeden Fall. Aber das ist oft so, wenn man was wirklich gerne" }, { "start": 2707.253, "end": 2712.553, "text": "macht und einen das auch über den Feierabend hinaus begleitet, dann ist das häufig so." }, { "start": 2712.713, "end": 2716.033, "text": "Und ja, das hat halt auch natürlich durchaus was von Leidenschaft." }, { "start": 2716.293, "end": 2719.173, "text": "Das habe ich auch tatsächlich gemerkt, als wir uns kennengelernt haben." }, { "start": 2719.293, "end": 2722.333, "text": "Und wenn man mit dir sich so unterhält, dass du das wirklich lebst," }, { "start": 2722.413, "end": 2725.853, "text": "was du da so erzählst, das ist für dich eben nicht nur ein Job," }, { "start": 2725.953, "end": 2727.093, "text": "sondern das ist dein Leben." }, { "start": 2727.173, "end": 2729.953, "text": "Und das merkt man, wie gesagt, in dem, was du tust." }, { "start": 2729.953, "end": 2733.253, "text": "Finde ich wirklich auch sehr interessant und auch sehr spannend," }, { "start": 2733.353, "end": 2735.593, "text": "dass es Gott sei Dank immer noch Leute gibt," }, { "start": 2735.733, "end": 2740.853, "text": "die eben auch über den Feierabend hinaus sich mit Dingen weiter beschäftigen," }, { "start": 2740.873, "end": 2745.993, "text": "weil sonst kommen wir nicht weiter und von einer 32-Stunden-Woche oder einer" }, { "start": 2745.993, "end": 2749.173, "text": "Drei-Tage-Woche, glaube ich, brauchst du dich gar nicht mehr zu beschäftigen." }, { "start": 2749.913, "end": 2753.153, "text": "Ich habe trotzdem keine Angst vorm Burnout, weil wie gesagt," }, { "start": 2753.273, "end": 2757.953, "text": "ich habe das große Glück, dass ich mein Hobby zum Beruf gemacht habe und das" }, { "start": 2757.953, "end": 2762.273, "text": "gibt mir die Möglichkeit, eben meine Leidenschaft beruflich auch zu sponsoren." }, { "start": 2762.873, "end": 2765.653, "text": "Und das mag das Finanzamt dann nicht immer nachvollziehen können," }, { "start": 2765.813, "end": 2768.833, "text": "ob das notwendig ist für die weitere berufliche Entwicklung," }, { "start": 2768.993, "end": 2772.093, "text": "aber es hat auf jeden Fall den Vorteil, dass wir eben ganz viele Umgebungen" }, { "start": 2772.093, "end": 2776.473, "text": "uns bereitlegen können und der Satz, Donald, wann schläfst du eigentlich, fällt schon öfter." }, { "start": 2780.133, "end": 2782.093, "text": "Ja, wunderbar. Damit sind wir" }, { "start": 2782.093, "end": 2784.973, "text": "tatsächlich schon bei der letzten Frage angekommen für unser Interview." }, { "start": 2785.393, "end": 2789.893, "text": "Und zwar frage ich das eigentlich jeden Gast und jede Gästin," }, { "start": 2789.973, "end": 2791.613, "text": "sagt man das so? Ich glaube, das sagt man Gästin." }, { "start": 2791.773, "end": 2795.473, "text": "Hast du denn abschließend noch eine Nachricht oder eine Botschaft," }, { "start": 2795.553, "end": 2797.573, "text": "die du unserer Hörerschaft mitgeben möchtest?" }, { "start": 2798.413, "end": 2802.973, "text": "Ja, sehr gern. Seid positiv. Also seid immer positiv, bleibt positiv," }, { "start": 2803.313, "end": 2808.533, "text": "bleibt menschlich, bleibt fair miteinander, versucht euch nie auf die dunkle Seite ziehen zu lassen." }, { "start": 2808.693, "end": 2813.453, "text": "Wir leben in einer Zeit, wo das Thema informationelle Selbstbestimmung vor ganz" }, { "start": 2813.453, "end": 2816.233, "text": "neue Herausforderungen gestellt wird." }, { "start": 2816.233, "end": 2821.633, "text": "Und hier offen zu sein und eben auch gerade mal vielleicht auch für den Alltag," }, { "start": 2821.633, "end": 2824.793, "text": "auch für den politischen Alltag out of the box sich einzulassen," }, { "start": 2824.853, "end": 2828.673, "text": "dabei aber immer daran zu denken, auch bei Informationssicherheit," }, { "start": 2828.693, "end": 2830.653, "text": "das ist nur Technik, ja bei allem, was wir tun," }, { "start": 2830.773, "end": 2833.893, "text": "auch ein bisschen die Demut zu bewahren vor dem großen Ganzen." }, { "start": 2833.893, "end": 2835.273, "text": "Das finde ich, glaube ich, sehr wichtig." }, { "start": 2835.413, "end": 2840.693, "text": "Und wenn wir da gerade im Umgang miteinander darauf achten, dass das das Wichtigste" }, { "start": 2840.693, "end": 2844.813, "text": "ist, ja, das, was wir Menschen können, das Allerwichtigste ist, dass wir sozial sind." }, { "start": 2844.853, "end": 2848.453, "text": "Das hat uns hier in der Schöpfungsgeschichte da nach ganz oben geworfen." }, { "start": 2848.493, "end": 2852.773, "text": "Und diese Sozialkompetenz, die sollte bei all dem, was wir tun," }, { "start": 2852.813, "end": 2854.953, "text": "immer erhalten bleiben. Vielen Dank dafür." }, { "start": 2855.073, "end": 2857.433, "text": "Das ist ein wundervolles letztes Wort tatsächlich." }, { "start": 2857.653, "end": 2860.653, "text": "Oder so wie es du auch auf deiner letzten Folie aus dem Training," }, { "start": 2860.773, "end": 2862.973, "text": "was wir bei dir genießen durften, stand." }, { "start": 2863.193, "end": 2866.253, "text": "Du glaubst zwar nicht an Einhörner, aber die Einhörner glauben an dich." }, { "start": 2866.333, "end": 2868.233, "text": "Das hat mir auch sehr gut gefallen. Jawohl." }, { "start": 2869.353, "end": 2874.253, "text": "Gut, wunderbar. Donald, dann vielen Dank. Wie gesagt, ihr findet alles notwendige" }, { "start": 2874.253, "end": 2876.953, "text": "Begleitmaterial unten in den Shownotes. Guckt da einfach mal rein." }, { "start": 2877.093, "end": 2880.153, "text": "Meldet euch gerne bei uns. Meldet euch gerne auch beim Donald." }, { "start": 2880.273, "end": 2883.573, "text": "Wie gesagt, auch seine Kontaktdaten findet ihr auch unten in den Shownotes." }, { "start": 2884.733, "end": 2887.633, "text": "Und ansonsten, wenn euch die Folge gefallen hat, freue ich mich natürlich," }, { "start": 2887.853, "end": 2890.513, "text": "wenn ihr uns eine positive Bewertung dalasst." }, { "start": 2890.653, "end": 2893.113, "text": "Man kann uns auf sehr vielen Plattformen bewerten." }, { "start": 2893.413, "end": 2896.833, "text": "Gebt auch gerne mal, wenn ihr uns auf Spotify hört, dort direkt Feedback." }, { "start": 2896.833, "end": 2901.053, "text": "Ihr habt gerade exklusiv bei Spotify die Möglichkeit, dort auch Fragen zu stellen." }, { "start": 2901.233, "end": 2904.953, "text": "Und wenn ihr sagt, ich habe aber keine Lust zu tippen, dann nutzt auch gerne" }, { "start": 2904.953, "end": 2909.173, "text": "unseren Sprachnachrichtendienst von Speakpipe. Da könnt ihr mir auch eine Sprachnachricht dalassen." }, { "start": 2909.313, "end": 2912.413, "text": "Die baue ich dann irgendwann in einer der nächsten Folgen auch gerne mit ein." }, { "start": 2912.893, "end": 2915.073, "text": "Und ja, damit bleibt mir nur zu sagen," }, { "start": 2915.173, "end": 2917.913, "text": "Donald, ich wünsche dir noch einen wunderschönen Tag, einen guten Flug." }, { "start": 2918.073, "end": 2920.653, "text": "Ich habe vorhin, bevor wir auf Aufnahme gedrückt haben, gehört," }, { "start": 2920.753, "end": 2926.073, "text": "du fliegst jetzt dann. einen guten Flug und ja, euch, liebe Zuhörerinnen und" }, { "start": 2926.073, "end": 2930.233, "text": "Zuhörer, noch eine gute Woche, eine gute Nacht, je nachdem, wenn ihr uns hört." }, { "start": 2930.293, "end": 2933.953, "text": "Und dann freue ich mich, wenn wir uns beim nächsten Mal zu Blue Screen wiederhören." }, { "start": 2934.013, "end": 2936.053, "text": "Macht's gut. Danke dir, Donald. Bis dann. Ciao." }, { "start": 2937.68, "end": 2953.696, "text": "Music." } ]