🎙️ Inside Zerforschung: Wie Kara & Co. unsere digitale Welt auseinandernehmen (und reparieren)

00:00:17: Wir spielen sowohl die dahinter liegenden Befehlungs-Eigungen als auch eine Rolle.

00:00:18: Da sind wir eigentlich, warum wir immer heil und ja sagen, weil hier so eine Uhr runterzählt, bevor es losgeht.

00:00:22: Wir drücken auf auf und nehmen, dann kommt fünf, vier, drei, zwei, eins.

00:00:27: Und dann ist es schon so langweilig, dass wir uns total freuen, dass wir endlich losreden dürfen.

00:00:31: Also, ihr seid hier, ihr seid hier.

00:00:39: Und ich bin Eva Wolfange, ebenfalls Tech-Journalistin.

00:00:43: Und sag mal Eva, du bist wieder mal eine spannende Geschichte auf der Spur.

00:00:47: Hört sich für mich aber im ersten Moment erst mal ziemlich abstrakt an, musst du mir gleich helfen.

00:00:52: Du recherchierst gerade zu Cyberversicherungen?

00:00:55: Ja, das klingt nur so abstrakt.

00:00:56: Das ist ganz interessant, weil sich da gerade sehr viel verändert.

00:01:00: Unter anderem, weil es eben wahnsinnig viele Cyberangriffe gibt.

00:01:04: Ja, aber erzähl ich später, weil kurz noch die Ankündigung nach den Cyberversicherungen sprechen wir mit Kara von Zerforschung, sie ist bei uns zu Gast.

00:01:13: Wir sprechen über die Hotelsicherheitslücke, über die wir letztes Mal schon ein bisschen geredet haben.

00:01:17: Generell darüber, wie so Zerrforschung immer so viele Sicherheitslücken findet und wie dieses kreative Nutzen von Technologie dazu führt, dass manchmal einfach das ganz oft Dinge einfach auseinanderfallen, wenn sie nur hingucken.

00:01:29: Wir haben schon viele Recherchen, wir beide haben schon viele Recherchen gemacht mit Zerrforschung.

00:01:34: Ja, und sie erzählt auch von einem ganz unverhofften Ausgang von einem ihrer Projekte.

00:01:39: Ha, Tisa.

00:01:40: Ja, bleibt dran.

00:01:44: Jetzt aber erst mal Eva zu deiner Recherche rund um die Cyberversicherung.

00:01:49: Vielleicht müssen wir erst mal erklären.

00:01:51: Cyberversicherung, der geht es also darum.

00:01:53: Ich bin ein Unternehmen, ich werde gehackt, ich habe ein Ransomware-Vorfall.

00:01:57: Und ob sie, ob sie und dann wird das ganz teuer und dann springt die Versicherung ein?

00:02:02: Im Prinzip ja, genau.

00:02:03: Also immer mehr Unternehmen haben, schließen eben auch eine Cyberversicherung ab.

00:02:08: Was durchaus ... sinnvoll sein kann, weil ich habe auch von diversen Unternehmen gehört, die nach einem Cyberangriff einfach pleite waren.

00:02:15: Weil nämlich, also gerade wenn es zum ransomware geht, wenn einfach alles verschlüsselt ist und man nicht weiterarbeiten kann, dann geht wirklich gar nichts.

00:02:22: Also ich habe das bei mehreren Unternehmen gesehen, auch bei solchen, wo man denkt, na gut, ein Autohaus zum Beispiel, ich habe mal eine große Recherche gemacht, na gut, die handeln doch mit physischen Dingen, man kann doch Autos verkaufen, auch wenn der Computer gerade nicht geht.

00:02:33: Aber es geht nichts.

00:02:34: Also, die hat mir gesagt, Autohausbauer hießen die Körper linken.

00:02:38: Sie wusste ja nicht mal wem, welches Auto gehört bei ihr auf dem Hof oder was man ausgemacht hatte, was man mit ihr macht, wie auch Autos repariert, was man damit macht.

00:02:46: Sie konnten auch nicht reparieren, weil auch das, also die wurde alles aus dem Schlüssel ausgelesen, digital, also und so weiter.

00:02:53: Also, sobald so einem Unternehmen, was vielleicht zunächst denkt, Cyber ist für uns doch irgendwie gar nicht so wichtig, aber die angegriffen werden.

00:03:01: merken die ganz schnell, wie die urtigt, wie jeder Tag sehr viel Geld kostet und es gibt einige, die einfach das nicht überlebt haben.

00:03:08: Also deswegen gibt es Cyberversicherungen, die einem dann zu einem Fall helfen.

00:03:12: Wie muss ich mir das konkret vorstellen?

00:03:14: Also ich kenne Krankenversicherung, da bezahle ich im Monatenbetrag und dann kriege ich sozusagen meine Arztbesuche erstattet.

00:03:22: Wie ist das bei so einer Versicherung?

00:03:23: Also übernimmt die dann die Kosten, die ich habe, weil ich vielleicht externe IT-Security-Berater zu meinem Unternehmen dazuholen muss?

00:03:31: Oder übernimmt die tatsächlich auch die Kosten für so was wie ein Produktionsstillstand?

00:03:35: Weil ich meine, wir müssen uns mal vorstellen, wir hatten noch diese krasse Sicherheitslücke.

00:03:39: Ihr erinnert euch an diesen Vorfall bei den Flughäfen, wo erstmal Tausende Menschen weltweit nicht mehr starten, nicht mehr landen konnten und so weiter.

00:03:48: Also ich meine, so was kann man doch eigentlich gar nicht versichern.

00:03:51: Also das ist dann halt für diese Versicherung auch sehr, sehr teuer.

00:03:54: Also es gibt, ach ja, es gibt alles.

00:03:58: Das ist nochmal eine ganz eigene Geschichte.

00:04:00: Aber da sollte heute nicht gehen, weil das ist ein bisschen verwochen und kompliziert.

00:04:05: Aber ja, so weit ich weiß, gibt es alles Mögliche.

00:04:08: Also es gibt Versicherungen, die versichern alles.

00:04:10: Wohl bis hin zu Ransom-Wertzahlungen und es gibt aber und das passiert jetzt immer mehr.

00:04:14: Versicherungen, die eben sagen, bestimmte Dinge sind ausgeschlossen.

00:04:17: Zum Beispiel, da lässt die lästig große Geschichte gemacht haben, war Cyberangriffe als Resultat eines hybriden Kriegs.

00:04:24: Und ich weiß, dass es da große Diskussionen und lange Verhandlungen gab von Unternehmen, die eben angegriffen worden sind, von, ja man weiß es am Ende ja oft dann doch nicht genau, ob es der russische Staat war oder halt einfach nur russische Cyberkriminelle oder irgendwelche Handlanger.

00:04:40: Also man kann es ja oft auch schwer nachweisen.

00:04:42: Aber da gab's wo dann echt lange Gerichtsverfahren und Verhandlungen, um eben zu belegen, war jetzt dieser Angriff Teil von dem hybriden Krieg, weil der im Auftrag des russischen Staates erfolgt ist oder nicht.

00:04:54: Und da hab ich, also damals ist das jetzt auch schon wahrscheinlich zwei, drei Jahre her, diese Recherche war so ein bisschen die Essenz, dass man natürlich als Firma gut aufpassen muss, wenn man eine Seilbeversicherung abschließt, dass man guckt.

00:05:05: was ausgeschlossen ist.

00:05:06: Weil viele sind überrascht

00:05:07: worden.

00:05:08: Wie bei jeder guten Krankenversicherung.

00:05:09: Im Prinzip ist das das Gleiche.

00:05:10: Wie bei jeder anderen Versicherung.

00:05:11: Auch hat man Ausschlüsse oder wie bei vielen anderen Versicherungen.

00:05:14: Und die muss man sich natürlich gut angucken.

00:05:16: Aber manche sind dadurch durchaus überrascht worden.

00:05:19: Ja, jetzt interessiert mich eine Sache.

00:05:21: Weil wir ja auch immer gerade viel über Sicherheitslücken sprechen, über Ransomware und auch über Pentest.

00:05:28: Und jetzt frage ich mich... Kann ich dann als Unternehmen das eigentlich so kalkulieren von Anfang an, so nach dem Motto, euer Gut, dann spare ich mir die Kosten für den Pentest oder vielleicht auch für die gute, für die Softwareentwicklung im Haus.

00:05:42: Nach dem Motto, ich brauche ja meine Systeme gar nicht so stark sichern, ich habe ja eine Cyberversicherung.

00:05:48: Das ist die andere Gefahr.

00:05:49: Und das ist wohl tatsächlich passiert, bevor eben dieses Geschäftsmodell auch so klar war von solchen Versicherungen, dass Unternehmen gedacht haben, ja gut, ich bin ja versichert.

00:05:58: Das andere ist, dass dann die Versicherung angefangen haben und es ist auch schon lange so eine Forderung zu stellen, was man mindestens machen muss, um überhaupt versichert werden zu können oder Forderungen.

00:06:07: Also man macht bestimmte Dinge und kriegt dann einen besseren Betrag, muss weniger bezahlen.

00:06:11: Und ich weiß, dass ein großes Ding ist, dass das nämlich diese Awareness-Training und Testfishing-E-Mails hochgebracht hat.

00:06:19: Also diese Branche wurde groß, weil es eben eine Forderung von Selberversicherungen ist, dass man das mindestens machen muss, Awareness-Schulungen und eben Testfishing-E-Mails verschicken an die Mitarbeiterinnen.

00:06:30: Und das ist eben eine Maßnahme, die relativ billig ist im Vergleich zu anderen Maßnahmen, also anderen Maßnahmen.

00:06:35: wären technischere Maßnahmen, die Netze zu separieren, zum Beispiel wirklich dafür zu sorgen, dass man, wenn ein Angreifer einen Account übernimmt, dass er dann nicht das ganze Unternehmen verschlüsseln kann innerhalb von Minuten, sondern dass man eben selbst wenn was schief geht, diesen Angriff rechtzeitig stoppt.

00:06:49: Und das war so eine Sache, die ich oft gehört, aber auch von Forscherinnen und Forscher, die gesagt haben, viele Unternehmen bleiben dann eben dabei stehen, weil dieses Awareness-Training ist vergleichsweise billig und einfach umzusetzen.

00:07:00: und verlassen sich darauf und machen den Rest nicht.

00:07:02: Und das ist natürlich was, was am Ende dann Cyberversicherung auch wieder teuer zu stehen kommt, weil die Cyber-Eingriffe ja steigen und ja eben so ein Awareness-Training nicht alles ist und nicht alles abhält, sondern eben eine technische Sicherheit auch total wichtig ist.

00:07:17: Und das ist so ein bisschen der Grund, warum es in der Branche gerade auch echt ein so ein bisschen ein Umbau gibt, weil ich habe Zahlen angeschaut, dass die Angriffe so massiv erhöht haben, dass die Versicherungen Verluste gemacht haben.

00:07:31: Das heißt, die haben mehr Schaden bezahlen müssen, als die überhaupt Geldangang hatten von Versicherungsbeiträgen.

00:07:37: Und so funktioniert es ja nicht.

00:07:38: Versicherungen funktionieren eigentlich andersrum, dass sie genug von Einkunden genug einnehmen, um dann einzelne hohe Schäden ausgleichen zu können.

00:07:47: Und deswegen haben sich tatsächlich die Anti-Versicherung auch rausgezogen.

00:07:49: Wir machen also keine Cyberversicherung mehr.

00:07:51: Und andere sind gerade dabei, sich eben so ein bisschen neu zu überlegen, wie kann man das denn wirtschaftlich überhaupt noch machen?

00:07:57: Und werden die dann so eine Art eigener, fast IT-Dienst-Leister?

00:08:01: Also nach Motto, ja, okay, dann kommen wir mal vorbei, machen ein Pantist oder machen ein Security-Training.

00:08:07: Also geht es schon soweit, dass auch Versicherungen proaktiv vorgehen?

00:08:14: Also das ist ein Modell, was ich jetzt gerade ... in der Recherche auch gesehen habe.

00:08:18: Das Versicherung wirklich wie so ein bisschen die Rolle wechseln, wie so offensives Cybersecurity machen und eben nicht nur dieses... Warten, bis jemand sagt, ich brauche Geld.

00:08:31: In meinem Kopf mache ich natürlich immer diesen Vergleich gerade auf mit der Gesundheitsbranche, wo es ja auch schon so Bonusprogramme gibt.

00:08:40: Wenn du nicht rauchst zum Beispiel oder wenn du so bestimmte Sachen, dann kriegst du Bonuspunkte, dann kriegst du irgendwelche Zusatzzahlungen.

00:08:47: oder allein schon das Bonus-Heftier beim Zahnarzt ist ja auch im Prinzip so was.

00:08:51: Aber gut, so weit, dass jetzt irgendwie ein Arzt oder ein Fitnesscoach bei dir vorbeikommt, um dir ein paar Übungen... zu zeigen, so weit geht es doch noch nicht.

00:08:59: Ich glaube, das kann man schon vergleichen, doch.

00:09:01: Also das eine ist tatsächlich, weil wir gerade beim Vergleichen sind, was mir einer gesagt hat von so einer Versicherung ist, man hat eben gemerkt, dass dieses Salberversicherungsgeschäft nicht so läuft wie andere Versicherungen, also zum Beispiel Haftpflicht oder Kfz-Versicherung, weil bei denen kann man sehr gut vorhersagen, wie es im nächsten Jahr, wie es weitergeht.

00:09:19: Man kann eben aus den aktuellen Zahlen, kann man das nächste Jahr vorhersagen und dann kann man die Beiträge anpassen und so weiter.

00:09:25: und dann Erlebt man da keine Überraschungen als Versicherung, weil du eben schon das relativ exakt weißt, was dich erwartet.

00:09:32: Und bei Cyberangriffen ist es eben anders, ne?

00:09:34: Weil die teilweise massiv steigen, weil auch die Angriffsmuster sich verändern.

00:09:38: Gerade, da hab ich gehört, es gibt es ganz viel, das heißt, gerade auch schon seit einer Zeit ne Seite zu viel Homeoffice.

00:09:44: Es gibt eben ganz viel so Microsoft-Teams-Geschichten, ne?

00:09:47: Dass Angreiferinnen versuchen, sich als Kollege, Kolleginnen auszugeben und so.

00:09:51: Also so, die Angriffsmuster ändern sich, die Sicherheitslücken verändern sich ja auch.

00:09:55: Mit Pech kommt eine Sicherheitslücke auf, eine große, die Salbekriminell zuerst gefunden haben.

00:10:01: Und dann hast du auf einmal international ganz, ganz hohen Schaden, weil ganz viele Unternehmen davon betroffen sind, also solche Sachen.

00:10:07: Und deswegen hat dieser eine Versicherungstyp mir gesagt, sie ist ein ganz anderes Muster.

00:10:14: Und zwar tatsächlich, dass sie wirklich in Echtzeit beobachten, was passiert hier gerade.

00:10:18: Wir machen so, wie gesagt, die Cyberkriminellen, scannen das Netz automatisch und wir machen das auch.

00:10:23: Das heißt, wir entdecken im Idealfall gleichzeitig wie die oder eben kurz danach.

00:10:26: die Sicherheitslücke oder wir sehen, was die gerade im Darknet diskutieren.

00:10:30: Wir sehen, was eben gerade die Angriffsmuster sind und wo sie dran sind.

00:10:34: Vielleicht erkennen finden wir sogar unsere Kunden, die da gerade schon diskutiert werden im Darknet und so.

00:10:38: Das heißt, die machen das, ja, machen wirklich offensive Cybersecurity, beobachten, was im Darknet läuft, gucken dann, wenn dann so eine Sicherheitslücke aufkommt, welche Kunden haben welches System und machen dann quasi auch so Remote Pen Testing, also was man eben von außen sehen kann.

00:10:52: Schreiben die einen und sagen, hier, Achtung, Sicherheitslücke, ihr müsst da bitte hier ein Update installieren oder macht das mal, keine Ahnung, nehmen's mal vom Netz.

00:10:57: Also so machen eben Vorschläge, was zu tun ist.

00:10:59: So ein

00:11:00: bisschen creepy, oder?

00:11:01: Also ein bisschen, ja.

00:11:02: Ich hab gedacht, irgendwie, du musst dich da auch echt drauf einlassen.

00:11:05: Wir haben mit einem so ein Mittelständler gesprochen, der zu einem großen Stahlunternehmen, Stahlbearbeitungsunternehmen.

00:11:11: im Norden.

00:11:11: Und das heißt, groß hat ein Familienunternehmen.

00:11:13: Letztlich, also eben nicht groß.

00:11:15: Und alles kommt bei den meinen Geschäftsführern, der Sohn der Gründer ist.

00:11:19: Der sagt, naja, ich kenne mich doch überhaupt nicht aus mit Cybergeschichten.

00:11:22: Und bei dem, ich hab da so ein bisschen das ... Das Werk angeschaut.

00:11:25: und es ist so, wenn du da reingehst, da ist Mordskrach, da sind riesen, riesen große Maschinen irgendwie, überall so Stahlbauteile, wahnsinnig schwer.

00:11:33: Und auch so Riesengröße, die wir quasi als Auftragsfertigung produzieren und dann zu Kunden ausliefern, LKWs staubt.

00:11:41: Du hast das Gefühl, nichts kein physischer sein als so eine Firma, natürlich beschäftigen, die sich nicht natürlicherweise mit ihren digitalen Systemen, weil die mit dem physischen, ja, die sind halt Fachleute im physischen.

00:11:54: Und das können die Guten, das müssen sie auch.

00:11:55: Und der hat gesagt, für ihn war das genau das richtige, weil halt diese Versicherung kommt halt, erst mal prüft, wie sieht's aus, sagt, okay, so geht's nicht, das und das, und das müsst ihr ändern, sonst können wir euch gar nicht versichern.

00:12:04: Dann hat er natürlich einen Admin, ein Typ, der sich irgendwie um die Systeme kümmert.

00:12:08: Der lässt dann, also unter Anleitung von der Versicherung, macht er dann eben alles, was die gesagt haben.

00:12:13: Und dann sagt die Versicherung hier.

00:12:14: Und jetzt machen wir aus der Ferne Pen-Tests und halten euch im Auge.

00:12:18: Und die Hauptbedingung ist, dass immer jemand erreichbar ist.

00:12:21: Das heißt, wenn die dann was entdecken, dass die halt dann auch jemand erreichen, der dann sofort reagieren kann.

00:12:25: Und das glaube ich ist für die Versicherungen.

00:12:27: Total sinnvoll, ja, weil wie oft passiert es, dass gerade das halbe Kriminelle Freitagabend oder am Wochenende, die größten Angriffe haben Freitagabends begonnen oder in anderen Teilen der Welt eben an den bestimmten Feiertagen oder am Tag vor dem Wochenende, weil dann natürlich niemand erreichbar ist.

00:12:41: Und das lohnt sich total, schnell zu sein.

00:12:44: Das haben die auch gesagt.

00:12:44: Also die Zeit, die vergeht, ist natürlich total wichtig zwischen angreivert dringend ein und du reagierst darauf.

00:12:50: Und wenn du schnell bist und bei dem Unternehmen warst dann so, dass die hat ein Mitarbeiter hat, Tassat hat mir der Chef gesagt, hat auf einen Fishing Link klickt, danach war irgendwas komisch am Rechner und dann hat er halt schnell Bescheid gesagt.

00:13:02: und das was sie dann machen ist ausstecken, also Internet runter, stopp Strom raus und dann die Versicherung anrufen, weil das ist das andere, die Auflage ist, man muss sich melden, sobald irgendwas auch nur ein bisschen komisch ist und das kostet auch nix, also dann kommen die mit ihren... Also entweder am fähigen Remote auch mit ihren Teams und untersuchen, was da genau passiert ist und dämmen das halt ein.

00:13:22: Und das kostet nichts.

00:13:23: Und das kostet eben, und auch ein Fehlalarm kostet nichts.

00:13:25: Und ich glaube, solche Strategien bekommt es total schlau vor.

00:13:28: Du glaubst nur, so hast du als Salbeversicherung überhaupt eine Chance, das ganze wirtschaftlich zu betreiben, weil sonst rennst du ja immer noch hinterher und ...

00:13:36: Aber du machst ja dann schon ein bisschen die IT-Sicherheit mit, ne?

00:13:40: Also, es ist ja dann fast mehr als eine Versicherung, sondern du bist ja dann so ein halbes Zert.

00:13:46: Ich meine, das ist natürlich spannend, wie das weitergeht, ob sich die Unternehmen dann dazu sehr darauf ausruhen.

00:13:50: Ich weiß auch nicht, wie hoch die Beträge dann da sind.

00:13:53: Klar, es gibt sicher auch da überraschende Entwicklungen oder Dinge, die dann nicht so gut funktionieren.

00:13:58: Mir schien der Ansatz jetzt erst mal wirklich sinnvoll zu sein, weil eben auch die Versicherungen, die sagen halt auch, das ist klar, es ist für uns ein Aufwand und teuer.

00:14:06: Sind im einen Fall, da war dann nicht viel.

00:14:08: Tatsächlich haben sie halt den Rechnern, das blieb wohl auf dem Rechner, da ist nichts passiert.

00:14:13: Und die haben dann schon, weiß ich, einen halben Tag oder taglang Arbeit reingesteckt mit dem ganzen Team aus so incident-response Leuten, die halt darauf sitzen, sich in solchen Fällen zu reagieren und zu sehen, was eigentlich passiert.

00:14:26: Das ist dann schon viel Geld, aber ich glaube ja im Vergleich dazu, was es kostet, wenn dann das ganze Firma ein paar Tage lang stillsteht, ist es halt... Ein kleiner Bruchteil.

00:14:37: Ich

00:14:37: glaube, ich weiß nicht, wie es in dem Fall war von den Hotelsicherheitslücken, also ob das Unternehmen da auch eine Cyberversicherung hatte.

00:14:46: Genug zu tun hatten sie auf jeden Fall.

00:14:47: Und zum Glück war es keine Ransomwehr, sondern es waren gute Hackerinnen.

00:14:52: Nämlich Zerforschung.

00:14:53: Und die sind gleich bei uns zu Gast.

00:15:04: Tara von Zerforschung.

00:15:05: Wir haben ja schon in der letzten Folge ein bisschen über Zerforschung gesprochen.

00:15:10: Aber noch viel mehr über die Sicherheitslücken in einer Hotelmanagement Software.

00:15:16: Nur ganz kurz, wer also diese Folge noch nicht gehört hat, macht das unbedingt.

00:15:21: Ich fasse jetzt hier nur einmal ganz kurz zusammen.

00:15:24: Zerforschung hat mehrere Sicherheitslücken gefunden.

00:15:26: Betroffen waren Jugendherbergen, verschiedener Bundesländer und fünfzig Model Ones in Deutschland.

00:15:31: Und man hätte wahrscheinlich Millionen Daten.

00:15:34: von Hotelgästen abgreifen können, also sowas wie Name, Adresse, Geburtsdatum, Ausweisnummern, also alles, was man so rund um eine Buchung angibt.

00:15:43: Und jetzt, Kara,

00:15:44: bist du bei uns

00:15:45: als Teil von ZER-Forschung, wie seid ihr eigentlich auf diese Lücken gekommen?

00:15:52: Auf die Lücken stürzen sind wir.

00:15:54: Und wie die meisten Zerforschungsgeschichten, glaube ich, losging, aus eigentlich eigener Betroffenheit.

00:16:00: Also ein Mitglied von Zerforschung war in einem der Hotels, die diese Buchungssoftware verwendet haben, hat sich da ein Zimmer gebucht und hat dann einfach aus Neugierde mal genauer hingeschaut, wie ist dieses System eigentlich technisch gebaut, wie funktioniert das, was werden dafür Daten übertragen, wenn man sich ein Zimmer bucht und relativ schnell dann die ersten Sicherheitslücken gefunden.

00:16:22: Denn dieses Buchungsportal hatte wirklich gleich eine ganze Reihe davon.

00:16:27: Also ihr könnt's auch nicht lassen.

00:16:28: Das heißt, irgendwas erlebt ihr selbst und dann sagt ihr euch, ach, mal gucken.

00:16:33: Was ist denn, wenn man's anders benutzt?

00:16:34: und zack, habt ihr den Salat und müsst das alles berichten und dokumentieren und lange Blogbeiträge schreiben, die übrigens sehr unterhaltsam sind, kann man echt empfehlen, auch unseren Hörerinnen und Hörern da mal reinzulesen.

00:16:48: Das ist so ein Analyse-Tool immer offen, ne?

00:16:51: Ja, genau.

00:16:52: Also, wenn wir sowas nutzen, ist doch recht oft, ach, okay, jetzt buch ich was, jetzt geb ich meine Daten an.

00:16:57: Na, ich mach schon mal die Entwickler-Tools auf, dann lock das schon mal mit, was da für Daten anfallen.

00:17:03: Und vielleicht hat man da nachher Lust oder ist interessiert ein auch einfach.

00:17:07: Also, so ist es bei uns ja tatsächlich meistens, was uns wirklich einfach technisch interessiert, wie ein System gebaut ist und gar nicht nur gibt es ja jetzt Sicherheitslückmennig, das ist dann eher so ein Nebenprodukt davon von einfach technischer Neugierde.

00:17:19: Jetzt sind wir technisch letztes Mal gar nicht so tief eingetaucht.

00:17:23: Und ich würde mir das aber noch mal wünschen, weil die Lücken, da kann man wirklich was mitnehmen oder was lernen.

00:17:30: Kannst du noch mal auflösen, was ihr da genau gefunden habt?

00:17:34: Insgesamt waren es sechs Lücken in verschiedenen Versionen und verschiedenen Produkten.

00:17:40: Von dieser Seahot heißt die ganze Suite, heißt das ganze Produkt, wo dann allerlei ... Hotel Software drunter ist, also eben vor allem auch ein Buchungsportal, über das man sich selber eben ein Zimmer buchen kann, die Buchung verwalten kann, noch mal Sachen dazu buchen kann.

00:17:56: Da gab es gleich fünf Sachen und dann noch so eine kleine App, die man nutzen kann, während man im Hotel eingecheckt ist, um dann doch noch mal Pizza dazu zu bestellen oder sich ein neues Kissen bringen zu lassen.

00:18:08: Und auch da gab es etwas.

00:18:10: Aber rund die Hälfte dieser Lücken waren unzureichengesicherte Suchen, sag ich mal.

00:18:15: Man muss sich immer einloggen, um diese Sache nutzen zu können.

00:18:18: Da gab es verschiedene Suchen, wo man seinen Namen und seine Buchungsnummer in der Regel eingibt.

00:18:22: Dann kriegt man seine Buchung angezeigt, kann die verändern.

00:18:25: Aber wenn man sich hinten noch um angeschaut hat, welche Schnittstellen da eigentlich verwendet wurden.

00:18:30: Wie mit dem Server geredet wurde, dann waren das Schnittstellen, die eben nicht nur Name plus Buchungsnummer akzeptiert haben, sondern zum Beispiel auch einfach nur das Ankunftsdatum und nichts weiteres und einem dann alle Reservierungen angezeigt haben, die an diesem Tag eingecheckt hätten.

00:18:44: Und da kannst du die anklicken und alle Daten sehen, die die eingegeben haben sozusagen.

00:18:51: Genau.

00:18:51: Man bekam dann über die Schnittstelle eben zurück.

00:18:53: Eine ganze Liste von Reservierung, unter anderem eben dann auch mit Reservierungsnummer und Nachnamen, sodass man damit dann auch gleich hätte weitermachen können.

00:19:02: Du hast es einmal so schön verglichen, da hast du mir das so erklärt, dass wäre so, wie wenn ich beim Hotel in die Rezeption gehe und ich frage, was ist denn heute mein Zimmer?

00:19:11: Sondern wenn ich sage, wer hat denn heute so alles eingecheckt?

00:19:15: Also, dass du eine ganze Abfrage machen kannst, einfach über einen ganz langen Zeitraum.

00:19:20: Genau, ja.

00:19:21: Das war es im Prinzip.

00:19:22: Und dann daneben, also das war so die Hälfte der Lücken und die anderen Wannen.

00:19:26: Sehr oft der Zerforschungsklassiker, sag ich mal, nämlich das Hochzählen.

00:19:29: Das hat ihr ja in der letzten Folge auch schon erwähnt.

00:19:32: Da gab es zwei Sachen, wo man entweder Reservierungsnummern oder Gästenummern einfach hochzählen konnte, die waren fortlaufend vergeben.

00:19:39: Und wenn man eine raten konnte, war es dann recht einfach.

00:19:41: Aber wenn man die eigene Kante konnte, konnte man ja einfach hoch und runterzählen.

00:19:44: Konnte man eben alle Gästeprofile oder alle Reservierungen, die so in dem System gespeichert waren, abrufen.

00:19:51: Wie viel graue Haare kostet euch das, wenn ihr wieder und wieder und wieder die gleichen, diese Hochzählgeschichten findet?

00:19:56: Ich finde das wirklich Wahnsinn.

00:19:57: Also auch bei vielen Sachen, die wir ja mit euch gemacht haben und bei ganz vielen anderen Recherchen, die ich gemacht habe, auch bei der großen WebEx-Recherche, war ja das eines der Hauptprobleme, dass UALs nicht zufällig vergeben werden, dass man hoch und runter zählen kann.

00:20:09: Das ist ja was, was gleichzeitig naheliegend ist, man da als Entwickler in, erstmal drauf schaut und versucht es zu vermeiden.

00:20:17: Apropos graue Haare übrigens, ihr seht Karajan nicht, sie sitzt hier mit pinken Haaren.

00:20:22: Entweder hast du die grauen Haare überfärbt oder du lässt dich davon überhaupt nicht stressen.

00:20:26: Das ist doch jeder Recherche, das ist einfach die Haare neu geworfen.

00:20:30: Was also in dir genau?

00:20:31: die Frage ist, wie erklärt ihr euch das?

00:20:33: Warum passiert das immer wieder?

00:20:36: Gibt es so richtig gut?

00:20:37: erklären können wir uns es nicht.

00:20:43: Also... Bei manchen der Sachen, wo wir was finden, können wir es uns doch erklären.

00:20:46: Wir haben uns oft Systeme angeschaut, die unter großen Zeitdruck entstanden sind oder sehr jung waren.

00:20:53: Viele der ersten größeren Geschichten, die wir gemacht haben, die größeren Lücken, die wir gefunden haben, waren Corona-Testzentren.

00:20:58: Die sind innerhalb von Wochen oder Monaten.

00:21:01: aus dem Boden gesprossen.

00:21:03: Und dann war halt so eine Software mit, okay, die muss eigentlich, okay, wir wollen morgen aufmachen, die Software ist noch nicht fertig, die muss jetzt fertig sein.

00:21:09: Da kann man sich schon irgendwie erklären, warum dann mal Entwickler den schnellen Weg nehmen oder vergessen, da noch die Überprüfung einzubauen und so was dann passiert.

00:21:17: Dürfte natürlich trotzdem nicht passieren, aber ich kann es mir irgendwie noch besser erklären, woher das jetzt kommt.

00:21:23: Bei so Software wie dem jetzt, die seit Jahren, Jahrzehnten existiert, wundern wir uns dann doch und ... Wie wir es uns also bei einer bester Erklärung ist, dass es da einfach eine Entwicklungskultur gibt, die nicht genug auf Sicherheit achtet und wo eben nicht der Fokus darauf liegt.

00:21:40: Wir haben hier diese besonders zu schützenden Daten, diesen Datengiftmüll, was ja quasi personenbezogene Daten eigentlich sein sollten, auf die wir super gut aufpassen müssen.

00:21:50: Diesen Gedanken gibt es einfach nicht.

00:21:51: Diese grundlegende Annahme gibt es einfach nicht.

00:21:54: Und stattdessen wird dann halt mal irgendwas gebaut.

00:21:56: Man weiß vielleicht auch nicht unbedingt, wie es besser geht oder es wurde einem auch nie beigebracht.

00:22:01: Also was wir auch viel hören aus Ausbildungen, aus Studiengängen ist, du kannst halt entspannt deine Ausbildungen zum Fachinformatiker inmachen, ohne solche Sachen wirklich zu lernen und ohne einmal klar zu lernen, okay, nie, das ist falsch, so machen wir das nicht.

00:22:14: Da muss passend drauf geachtet werden, genau.

00:22:17: Das heißt, da fehlt tatsächlich die Sensibilisierung sozusagen für das Material, mit dem man zu tun hat als Entwickler in...

00:22:25: Auf jeden Fall.

00:22:26: Interessant.

00:22:28: Nicht nur für die Entwicklerinnen, sondern auch für die Unternehmen, die dieses Software entwickeln.

00:22:33: Das ist ja auch einfach nichts.

00:22:34: Wenn jetzt eine Firma so viel Daten verliert, das ist ja in der Regel nichts, was ein riesiges Risiko für das Unternehmen darstellt.

00:22:42: Das ist ein Imageverlust, das ist ein Problem, aber das ist jetzt nichts, wo so ein Unternehmen dran pleitegehen würde oder riesige Strafen erwarten muss.

00:22:49: Ja, bei Renzo wäre es schon.

00:22:51: Bei Ransomware ... Genau, da ist das ein Problem, aber das ist auch erst seit einigen Jahren, dass das ein Ransomware-Problem ist.

00:22:59: Diese Sicherheitslücken und unsichere Systeme, die von Ransomware angegriffen wurden, gibt es nicht erst seit Ransomware.

00:23:07: Auch da hat das lange gedauert.

00:23:08: Bis jetzt so langsamer Kerr wird okay.

00:23:10: Shit, wenn wir unsere Systeme nicht richtig sichern, werden wir Ransomware, wenn wir irgendwelche Updates nicht einspielen oder eben ... Das gibt es noch nicht.

00:23:19: Wenn wir unsere Schnittstellen unzureichend schützen, dann kriegen wir dafür auch richtig Ärger.

00:23:24: Da hat man Schutzstrafen oder was auch immer.

00:23:26: Also das, was wir jetzt gefunden haben und das wir es gefunden haben, ist wahrscheinlich noch einer der besseren Fälle für so ein Unternehmen.

00:23:34: Also klar, wir schreiben darüber.

00:23:35: Es gibt dann irgendwie Presseberichterstattung, das ist auch nicht schön, das ist irgendwie ein Imageverlust.

00:23:40: Aber wir haben bei Zerforschung natürlich einen ethischen Ansatz.

00:23:43: Wir melden das den Unternehmen und wirken darauf hin, dass diese Lücken geschlossen werden.

00:23:48: Die Lücken werden ja aber genauso auch für irgendwie Kriminelle mit schlechten Absichten ausnutzbar, die dann stattdessen diese ganzen Daten sich einmal runterladen, niemanden Bescheid sagen und sie in zwei Wochen später im Darknet verkaufen.

00:23:59: Und das wäre dann tatsächlich wieder ein großes Risiko für die Unternehmen.

00:24:03: Wie ist denn eure Einschätzung, wie ist denn das Verhältnis von Lücken, die da sind, die Leute wie ihr finden und die Kriminelle finden?

00:24:11: Also was wir schon sehen, würde ich sagen, ist, dass die durchaus Interesse haben, auch an einfach so Datensammlungen erstmal, dass man so ein, also Services gibt es ja auch für Kriminelle, die, du kannst sagen, ich will alles über die Person wissen, du kriegst dann irgendwie ein Berg von, weiß ich nicht, Konto, Nummer, Telefon, Nummer, Adresse, sonst was.

00:24:27: Also ich könnte mir vorstellen, dass die mindestens genauso systematisch... oder das die Systematik ist, ohne wie sagst du euch, habt ihr eine Einschätzung?

00:24:35: Weil man hört ja immer von den Unternehmen, ja, zum Glück hat das ja niemand Unbefugtes gefunden und dann zählt ihr immer nicht als Unbefugt.

00:24:41: und dann ist dann oft das Argument, warum man glaubt, der Datenschutz sei dann gar nicht zuständig, weil er war ja niemand Böses trennen und die Guten oder so.

00:24:47: Ist das unterm Strich wirklich so?

00:24:50: oder kann es sein, dass die Unternehmen vielleicht gar nicht gemerkt haben, dass vorher schon einen Kriminal drauf zugegriffen haben?

00:24:56: wissen wir am Ende nicht.

00:24:57: Also, wir haben da jetzt keine Einschätzung dafür oder können da jetzt keine genauen Zahlen zu liefern.

00:25:04: Ich persönlich könnte mir vorstellen, dass es gerade einfach noch günstigere Methoden gibt, an solche Daten zu kommen.

00:25:10: Also, ransomware ist ja so ein Beispiel.

00:25:11: Das sind ja oft dann Kampagnen, die relativ einfache Lücken oder so Fishing-Attacken gegen einfach ganz viele Unternehmen fahren und dann mal schauen, was quasi kleben bleibt, wo man irgendwie Erfolg hat.

00:25:22: Und das ist dann doch günstiger als ... sich hinzusetzen und systematisch solche Portale durchzuprobieren, irgendwie zu schauen, was gäbe es, was können wir da finden.

00:25:32: Die Unternehmen sagen in der Regel, wir waren die Ersten.

00:25:36: mich ehrlicherweise wundert, weil die meisten wirklich, die wir bei Zerforschung finden, sind wirklich keine komplizierten Sachen.

00:25:42: Es ist wirklich ganz oft okay, ich muss hier eine Nummer eingeben und wenn ich die Nummer eins hochzähle und auch eingebe, dann bekomme ich fremder Leute Daten.

00:25:49: Das sind ja keine Sachen, wo man irgendwie ewig dran sucht oder jetzt super viel technischen Aufwand drin hat und dann doch oft Sachen, die schon länger bestehen.

00:25:58: Also ich meine, wenn die Unternehmen es wirklich ausschließen können, gut.

00:26:00: Also mich freut es ja, dass die Daten sonst von jemandem gefunden wurden und dass wir die Ersten waren.

00:26:05: Es wundert mich nur dann doch.

00:26:08: Selten kann man das Gegenteil beweisen.

00:26:09: Ich hab das einmal gehabt bei der Doktor Librecherche.

00:26:12: Da hatte ich ja Daten bekommen auch von dem ethischen Hacker.

00:26:15: Und Doktor Libre hat behauptet.

00:26:17: Nein, es gab keinen.

00:26:18: Es sind nur zehn Tatensätze oder zwanzig abgeflossen.

00:26:21: Und ich hatte halt allein durchs Krollen gesehen, dass es viel mehr sind.

00:26:25: Ich hab auch exemplarisch Datensätze.

00:26:27: Ich hab dann zehn oder so verifiziert, indem ich das war ein Arzt und Patient in den Daten, in dem ich Ärzte in den angerufen hab und gesagt hab, stimmt, das ist das ihre Patientin.

00:26:35: Und da hat Dr.

00:26:36: Lehm immer noch behauptet.

00:26:37: Diese Daten sind gar nicht abgeflossen.

00:26:39: Da ist so ein bisschen mein Vertrauen sehr geschwunden.

00:26:42: Darin, dass Unternehmen das überhaupt mitkriegen.

00:26:44: Wenn sie damit konfrontiert sind und merken, die hat jetzt einen Kunden von uns angerufen und tatsächlich einen Patienten-Datensatz gehabt.

00:26:51: Immer noch zu behaupten, diese Daten sind gar nicht abgeflossen.

00:26:54: Sie haben sich das ausgedacht.

00:26:56: Da kriegt man ein bisschen Zweifel daran, was man zu halten hat von solchen Aussagen.

00:27:01: Da hat noch niemand anders zugegriffen.

00:27:14: Ihr werdet ja von euren Fans liebevoll Zervorschis genannt.

00:27:19: Was ist denn die Geschichte hinter eurem Namen?

00:27:21: Zervorschung.

00:27:23: Also, die Geschichte begann schon lange, bevor ich Teil von Zerforschung wurde.

00:27:28: Und zwar als so ein Freundeskreis, der sich, ich glaube, es war so um zwanzig, zwanzig rum, halt dann in der Corona-Pandemie bedingt zu Hause bleiben, viel online zusammen rumgehangen hat und einfach Quatsch gemacht hat.

00:27:41: Also, es fing tatsächlich an mit, okay, wir haben hier eine smarte Glühbirne mit WLAN.

00:27:45: Wir wollen verstehen, wie die funktioniert.

00:27:46: Wir nehmen die mal auseinander.

00:27:48: Also so ganz einfaches Reverse Engineering.

00:27:51: oder hier ist ein Fernseher, ein smarter Fernseher.

00:27:53: Wie funktioniert der eigentlich?

00:27:55: Und dann einfach so ein bisschen aus Interesse.

00:27:57: Wir posten mal darüber.

00:27:59: Wir schreiben mal ein bisschen darüber.

00:28:01: Und dafür braucht es dann einen Namen.

00:28:02: Weil niemand richtig wusste, wie man Reverse-Engineering in Deutsch übersetzen kann, kam am Ende Zerforschung raus.

00:28:09: Da wohl nur knapp gegen Zurückentwicklung.

00:28:12: Das wäre die Alternative gewesen.

00:28:14: Ich bin ganz happy mit Zerforschung.

00:28:17: Auch wenn man so schön abkürzen kann wie Zerforschie.

00:28:20: Das ginge ja mit Zurückentwickli

00:28:22: vielleicht.

00:28:22: Vielleicht

00:28:24: nicht ganz so gut.

00:28:25: Zerforschen im Sinne von R-Forschen und Zerforschen, weil halt zerlegen wahrscheinlich, ne?

00:28:30: Genau, genau.

00:28:31: Wir nehmen etwas auseinander, um zu verstehen, wie es funktioniert, so der ganz klassische Hacker in den Spirit, der kreative Umgang mit Technik.

00:28:38: Wir schauen uns irgendwie Sachen an, wir schauen uns an, wie Sachen funktionieren und fragen uns einmal, okay, das funktioniert jetzt so, aber wenn ich hier ein bisschen was verändere, was passiert denn dann?

00:28:47: Funktioniert es dann vielleicht anders?

00:28:48: Kann ich damit vielleicht andere Sachen machen?

00:28:51: kann ich vielleicht, keine Ahnung, ich weiß nicht genau, was es mit der Glühbirne war, aber kann meine Glühbirne vielleicht auch Musik abspielen?

00:28:56: Kriege ich das irgendwie?

00:28:57: Also wirklich so ein ganz spielerischer Umgang mit Technik.

00:29:00: Genau, und dann, wenn man sich anschaut, wie Sachen funktionieren und wie man ein bisschen an den Ruhm spielen kann, sieht man dann doch eben auch manchmal, wenn Sachen nicht so gut funktionieren oder wo sie vielleicht, wenn man ein bisschen anders drauf rumdrückt, plötzlich Sachen machen, die sie eigentlich nicht machen sollten, wie eben ... Hoteldaten verlieren oder alle Testergebnisse von einem Corona-Testzentrum.

00:29:22: Habt ihr da manchmal auch Angst oder Sorge, weil du hast ja eben schon angedeutet und viele kennen euch ja Fälle, ich auch.

00:29:29: Also, ihr habt ja öfter mal auch größere Sicherheitslücken.

00:29:32: Da sind oft bekanntere Namen von Unternehmen auch dabei, teilweise auch sehr große Unternehmen.

00:29:39: Ich meine, das eine ist ja so eine Lücke finden, das andere ist ja damit an die Öffentlichkeit gehen und ihr macht das ja jetzt auch nicht versteckt im Sinne von, gibt's ja auch manchmal Eva und ich bekommen einen Tipp von einem anonymen Researcher und dann übernehmen wir so ein bisschen diese Kommunikation vielleicht noch mit Rechtsabteilung auch im Hintergrund.

00:29:57: Aber bei euch ist es ja so, ihr seid ja quasi ehrenamtlich freiwillig unterwegs, habt keine Großrechtsabteilung, habt ihr manchmal auch Angst, also das Unternehmen euch irgendwie verklagen oder so?

00:30:08: Oder Drohungen bekommen gar?

00:30:11: Auf jeden Fall.

00:30:13: Wir sehen alle, wenn wir uns die Rechtslage anschauen, wenn wir uns sehen, was es für Fälle gab in den letzten Jahren, wie sowas auch sehr schiefgehen kann und haben da regelmäßig Angst, wenn wir Sachen melden, dass Unternehmen ihm nicht gut damit umgehen und haben alle ... Wir haben wirklich gar keinen Bock auf eine Hausdurchsuchung, weil grundlegende Sicherheitslücken bestanden haben und wir damit versucht haben, gut umzugehen und solche Konsequenzen spüren.

00:30:38: Wir hatten es schon ein paar Mal, dass Unternehmen zumindest mal rechtliche Schritte angedeutet haben oder mal überlegt haben oder so.

00:30:45: Aber jetzt uns zerforscht, ist es zum Glück in die Richtung für Forschungssachen noch nichts passiert.

00:30:51: Und da bin ich auch sehr froh drüber und bin da, genau.

00:30:54: Ich hab das Gefühl, dass die meisten Unternehmen, wenn man auf sie zugeht und ihnen sagt, wir machen das ethisch, hier ist eine Sicherheitslücke, wollt ihr das nicht beheben?

00:31:04: Dann doch auch irgendwie sehen, das ist eigentlich was, was gut für mich ist.

00:31:08: Die sollte ich jetzt unterstützen und ihnen nicht noch mehr Ärger machen.

00:31:11: Und das sind nicht die, die das Problem sind, sondern das sind irgendwie die Guten, die mir eigentlich helfen wollen.

00:31:17: Der Boot ist immer das Problem.

00:31:21: Habt ihr denn schon mal Geldangebot bekommen im Gegenzug dafür, dass ihr keinen Blogbeitrag schreibt oder keine Medien informiert oder so was?

00:31:29: Das tatsächlich noch nicht.

00:31:30: Was wir manchmal haben, sind Unternehmen, die uns dann fragen, ihr habt hier schon was gefunden, wollt ihr uns, können wir euch nicht Geld geben, dass ihr das System noch mal genau unter die Lupe nehmt und für uns quasi bezahltenen Pen-Tests macht.

00:31:42: Aber tatsächlich so ein Deal mit, wir geben euch Geld, aber ihr veröffentlicht nichts hatten wir bisher noch nicht.

00:31:47: Wir hatten aber schon Unternehmen, die uns Geld gegeben haben, komplett unangekündigt.

00:31:51: Das gehört für uns natürlich auch dazu.

00:31:53: Wir machen das ja nicht, um damit Geld zu verdienen.

00:31:55: Wir machen das alles ehrenamtlich.

00:31:57: Wir machen das nicht, um Geld von den Unternehmen zu bekommen.

00:32:00: Wir sind da auch sehr klar gegenüber den Unternehmen, dass wir da kein Geld für wollen.

00:32:04: Wir quasi nichts von ihnen erwarten, außer dass sie die Lücken schließen.

00:32:07: Aber wir hatten tatsächlich mal den Fall von einem Supermarktlieferdienst, der uns eine größere Summe Geld dann einfach kommentalos überwiesen hat.

00:32:16: Ein paar Stunden nach dem... Nee, tatsächlich einfach aufs Konto direkt.

00:32:21: Ein paar Stunden nachdem der Blockpost und die Medienberichterstattung rausging.

00:32:25: Oh, okay.

00:32:26: Das heißt, es war nicht mit der Hoffnung verbunden, dass ihr dann schweigt, sondern es war quasi demonstrativ danach.

00:32:32: Also mindestens die Medienanfragen hatten sie zu dem Zeitpunkt, wo sie überwiesen haben schon.

00:32:37: Und trotzdem kam da irgendwie ein gut gemeintes, hey, danke, hier ist etwas Geld, was wir dann auch gleich genutzt haben, um uns für den Fall vorzubereiten, dass doch mal ein Unternehmen nicht so gut reagiert und das mal lieber zurückzulegen für das Wahlgerechtskosten.

00:32:52: Ja, ist vielleicht nicht schlechter, so ein bisschen den Puffer zu haben.

00:32:55: Was wir Maßnahmen, also habt ihr irgendwelche Maßnahmen?

00:32:58: ergriffen, um euch zu schützen.

00:33:00: Also zum Beispiel weiß ich, dass ihr zumindest teilweise nur mit Nicknames öffentlich sprecht oder nur mit Vornamen.

00:33:06: Du bist hier ja auch ohne vollen Namen bei uns.

00:33:10: Abgibt sonstige Maßnahmen, die ihr trefft?

00:33:14: Also wir versuchen uns natürlich schon irgendwie zu schützen.

00:33:17: Also das mit dem Vornamen ist ein Teil.

00:33:20: Auch sonst, ich glaube, alles will ich hier auch nicht erzählen.

00:33:22: Aber natürlich schauen wir irgendwie ein bisschen, schauen, dass wir rechtlich abgesichert sind und dass wir irgendwie ... gut vernetzt sind, damit, falls doch mal was schief geht und wir nicht alleine dastehen, sondern Unterstützung bekommen.

00:33:34: Denn das ist, glaube ich, auch das Wichtigste.

00:33:38: Als so kollektiv oder als Einzelperson, die Sicherheitsforschung betreiben und auch auf diese Art, wie wir es jetzt machen, wenn, also ich werde jetzt nicht alleine den Hackerparagrafen abschaffen können und dafür sorgen können, dass die Rechtslage und wie sicher ist, aber ... Was wir immer empfehlen, ist Bandenbilden, Netzwerke bilden, schauen, dass man mit Leuten vernetzt ist.

00:33:59: Und das nicht, wenn es doch mal hart auf hart kommt, nicht alleine da steht, sondern andere hat die da mit einem kämpfen.

00:34:07: Du hast gerade eben schon Hackerparagrafen erwähnt.

00:34:11: Das würde mich auch noch mal interessieren.

00:34:13: Das ist nämlich auch immer was.

00:34:16: Worauf ich sofort schaue, also wenn Leute zu mir kommen mit einer Sicherheitslücke, dann ist es auch immer das eine der ersten Sachen tatsächlich, die ich versuche zu verstehen oder auch versuche abzufragen, wie schwer oder wie leicht war es denn.

00:34:29: Oder versuche das auch technisch soweit ich das eben kann, nachvollziehen, damit ich einfach weiß... bringt sich der Einzelner irgendwie in Gefahr, bring ich mich in eine schwierige Lage, wo sind wir?

00:34:40: Ich hab mir gerade noch einmal aufgerufen, wer den Hackerparagraph nicht kennt, das ist der Zwei-Nach-Zwei-C-Strafgesetzbuch vorbereiten, das Ausspähen zum Abfangs von Daten.

00:34:52: Und da geht es einmal um Passwörter oder sonstige Sicherungskots, die man sozusagen abfängt oder ausspäht oder Computerprogramme herstellt.

00:35:03: Und da liegt auch so ein bisschen der Teufel im Detail, ne?

00:35:06: Ja, total.

00:35:06: Also es gibt neben dem Zwei-Hundert-Zwei-C dann auch noch den fast gleich benannten Zwei-Hundert-Zwei-A.

00:35:12: Das Ausspähen von Daten heißt es dann rechtlich korrekt.

00:35:16: Das ist dann, wer sich Zugriff auf Daten verschafft, die besonders geschützt sind gegen diesen Zugriff und die eigentlich nicht haben sollte, wird bestraft.

00:35:25: Jetzt nicht ganz wörtlich zitiert, aber so sinngemäß.

00:35:28: Ja, und die müssen einfach geändert werden.

00:35:30: Also es ist so einfach, also die Rechtslage, die wir haben, ist eigentlich eine der zivilgesellschaftliche Sicherheitsforschung, wie wir sie machen, nicht oder nur super schwer möglich ist.

00:35:40: Also, es gab ja so zwei bekannte große Fälle in den letzten Jahren im Verbindung mit diesen Paragraphen.

00:35:45: Das war einmal Lilith mit der CDU Connect App, was dann ja doch ganz brenzlig ausging, weil am Ende die Stadt- und Wildschirft gesagt hat, ja, war doch gar nicht so eine komplizierte Lücke, das war eigentlich gar nicht richtig geschützt, dann war es auch nicht strafbar, darauf zuzugreifen.

00:36:02: Und dann aber als quasi guten Fall und als schlechten Fall aber den Modern Solutions-Fall, wo ja jetzt irgendwie immer weiter die Gerichte sagen, nee, okay, hier hat jemand zwar eine Lücke gefunden, in dem Fall waren es ja irgendwie feste Datenbankzugangsdaten, die für alle Leute gleich waren.

00:36:18: Und da hat halt jemand diese Zugangsdaten mal gefunden bei der Programmanalyse und dann festgestellt, dass sie eben für sehr viel mehr als nur sich selbst funktionieren.

00:36:26: Und da sagen die Gerichte ja immer weiter, nee, das war strafbar.

00:36:30: Auch wenn der Mensch es gemeldet hat, war schon das einfach zugreifen auf die Daten.

00:36:35: Und das Finden dieser Lücke war strafbar.

00:36:37: Und wir befinden uns mit dieser zivilgesellschaftlichen Sicherheitsforschung da immer in einem Graubereich.

00:36:43: Das ist eigentlich was, wo sich alle einig sind, auch quasi über alle Parteigrenzen weg.

00:36:47: Also die Ampel hat das irgendwie im Koalitionsvertrag und war da ja auch relativ weit in Erinnerung, bevor es dann zerbrochen ist.

00:36:54: Ich glaube, die aktuelle Koalition hat auch ... Irgendwas in die Richtung im Koalitionsvertrag stehen.

00:37:00: Es ist eigentlich was, wo sich alle einig sind, dass es besser werden muss.

00:37:05: Aber jetzt muss es halt auch noch wer machen.

00:37:08: Der Entwurf der Ampel war schon ganz gut.

00:37:10: Da wurde dann gesagt, okay, aber wenn man es macht, um es zu melden.

00:37:13: Und nur das macht, was man wirklich braucht, um es zu melden.

00:37:17: Und das auch an staatliche Stellen meldet.

00:37:20: oder in das Unternehmen direkt selber, dann ist man aus dieser Strafbarkeit raus.

00:37:23: Und das wäre schon mal ein guter Ansatz.

00:37:25: Das wäre schon mal ein Riesenschritt in die richtige Richtung, um zu sagen, okay, wir machen jetzt noch mal auch im Gesetzestext klar, dass wir sowas eigentlich gut finden und dass wir nicht wollen, dass solche Leute bestraft werden.

00:37:35: Ich erinnere mich an eine Recherche zum Hecker in den Paragraphes.

00:37:38: Unter anderem ging es eben auch um diese Vorbereitung, was Weher zitiert hat.

00:37:41: Die sind C Absatz C oder wie man sagt bei Juristen.

00:37:45: Und da weiß ich, dass es auch mal Verfahren gab gegen Menschen, die ein bestimmtes Programm ausschließlich... Wir glaubt sogar nur, bis dessen haben, weil das halt auch unter Vorbereitung, also ein bestimmtes Programm, mit dem man was auch immer automatisiert, Dinge prüfen kann.

00:37:58: Aber das sind Programme, die werden eben auch von hauptamtlichen Sicherheitsforscherinnen genutzt.

00:38:04: Da ist mir so klar geworden, wie ... beliebig das ist und wie du halt ausgeliefert bist.

00:38:08: Auch so einem Gericht, was dann vielleicht auch einfach das nicht wirklich versteht, was da passiert.

00:38:12: Und irgendwie so vielleicht ein Vorurteil hat, was auch immer, also wie das jetzt vielleicht auch bei dem Modern Solutions Fall ist.

00:38:17: Das ist halt so ein paar Graf da ist, der sich beliebig ausweiten lässt auf alles, was du tust als Sicherheitsforscherin.

00:38:25: Ich finde, der Knackpunkt ist dieses Überwindung der Zugangssicherung.

00:38:30: Also das ist jetzt nochmal der R-A-A-A.

00:38:32: Und da geht es um den Zugang zu Daten.

00:38:36: die gegen unberechtigten Zugang besonders gesichert sind unter Überwindung der Zugangssicherung.

00:38:41: Und das, finde ich, da liegt immer so ein bisschen genau, die da genau ist.

00:38:45: Das ist so der Knackpunkt.

00:38:47: Wo dann eben die Frage ist, auch an wen gerate ich dann im Zweifel, wer versteht was unter Überwindung einer Zugangssicherung.

00:38:54: Also ich hatte mal den Fall, da ging es um so Webcams, haben in der Webcam-Recherche gemacht und da ging es darum, oh, ich kann ja, indem ich einfach bei Nutzanahmen und Passwort gar nichts eingebe und nur auf sozusagen Anmeldenklicke zugreifen.

00:39:11: Also ich musste nicht atmen, ich musste nicht null null, nicht Passwort, Passwort, gar nichts.

00:39:16: Und das war schon ein Punkt, wo wir kurz überlegt haben, ist es jetzt die Überwendung einer Zugangssicherung, wenn ich auf Anmelden klicke, weil ich meine, da gibt es ein Feld, da muss ich was eintragen, okay, in dem Fall kann ich einfach nur reingehen.

00:39:29: Und das war am Ende so.

00:39:30: tatsächlich, weiß ich aus dem Hintergrund, dass die Staatsanwaltschaft dann nach der Recherche tatsächlich Vorprüfungen aufgenommen hat, das aber hat fallen lassen dann.

00:39:40: Aber das war genau so ein Fall, wo ich dachte, das kann doch nicht sein.

00:39:43: Das ist doch keine Zugangssicherung, wenn ich einfach okay klicken kann.

00:39:47: Aber da sieht man ... Das ist

00:39:47: eine Einladung.

00:39:49: Genau, aber da sieht man das selbst.

00:39:50: Wenn ich Passwort, Passwort oder Atmen passwort oder sowas eintrage schon, dann kann das sein, dass das eine Zugangssicherung ist.

00:39:56: Deswegen macht das halt dann so aus.

00:40:00: Auch Kara, wenn ihr dann so was findet, wie jetzt bei den Hotels und sagt, okay, ich konnte im Prinzip einfach Daten von A bis C abrufen, das sind ja dann wirklich ... Basic, basic, basic Lücken.

00:40:11: Also das ist dann eben genau keine Zugangssicherung, die überwunden wurde, ne?

00:40:16: Genau.

00:40:16: Also technisch würden wir das auch immer sagen, das sind das meiste, was wir finden oder eigentlich alles, was wir finden, sind technisch supersimtliche Sachen und sind eben keine großen Sachen, wo man jetzt jahrzehnte Sicherheitsforschungserfahrung braucht und irgendwie promoviert haben muss in den Himmels.

00:40:32: Sondern das sind so sehr einfache Sachen, wo man ein bisschen mit rum spielt und dann findet man sowas schnell.

00:40:38: Und ich würde sagen, Ich glaube nicht, dass das wirklich eine Zugangshürde ist oder ein besonderer Schutz.

00:40:44: Aber wie es am Ende rechtlich ausgelegt ist, weiß man halt nicht.

00:40:47: Und ob dann jetzt am Ende, die man sagt, naja, okay, aber ihr habt hochgezählt, wo man eigentlich gar nicht hätte hochzählen dürfen, das war doch ein Schutz.

00:40:55: Ja, wer weiß, ja.

00:40:57: Weiß man nicht.

00:40:58: Und das ist das Problem.

00:40:59: Und genauso ... Also, wir können uns irgendwie noch halbwegs ernsthaft hinstellen und sagen, das waren wirklich simple Sachen.

00:41:07: Das war kein guter Schutz oder kein ... Besonderer Schutz.

00:41:10: Aber auch Sicherheitsforschung, die sich mit superkomplexen Sachen auseinandersetzt und irgendwie spannende, technisch tiefgehende, aufwendige Sicherheitslücken findet.

00:41:21: Auch die muss ja rechtlich sauber möglich sein.

00:41:24: Und auch die muss irgendwie, es muss auch möglich sein, wenn man das jetzt will, dass man sich irgendwie drei Wochen einschließt und sich ein System wirklich mal in allen Details anschaut und dann doch ganz versteckt noch was findet.

00:41:35: Auch solche Lücken müssen ja irgendwie gut gefunden werden können und auch so was muss möglich sein, rechtssicher und ohne dass man dann am Knast landet.

00:41:43: Auf der anderen Seite habe ich auch schon so Geschichten gehört von Unternehmen, die sagen, es gibt auch so ein bisschen halbseitende Ich nenn's mal SicherheitsforscherInnen in Anführungszeichen, wo's dann um Geld tatsächlich geht, die dann Sachen finden, die beim Unternehmen sich melden und sagen, schöne Sicherheitslücke haben sie da.

00:41:59: Ich hab mal so einen freiwilligen Pen-Test gemacht.

00:42:02: Da solltet ihr doch jetzt auch, ne?

00:42:03: Und so weiter.

00:42:04: Das hab ich auch wiederum schon gehört.

00:42:06: Da versteh ich natürlich auch das Unternehmen in so einem Fall.

00:42:10: Wenn sie den Eindruck haben, das ist so eine halbe Erpressung.

00:42:13: Also weiß ich, gab's auch schon Fälle und Vorwürfe, dass Unternehmen da auch sauer werden.

00:42:18: Genau, aber da ist das Problem ja eigentlich auch nicht das quasi finden und melden, sondern die Erpressung dahinter und der Erpressung

00:42:24: ist ja auch strafbar.

00:42:27: Ja, stimmt.

00:42:28: Ja,

00:42:29: stimmt.

00:42:31: Gibt es eigentlich irgendwelche lustigen Anekdoten, Dinge, die euch passiert sind bei der Beschäftigung mit den Geistlücken, die lustig und erzählenswert sind?

00:42:40: Ihr habt euch selbst gefunden in den Daten.

00:42:41: Okay, das ist nicht so lustig.

00:42:44: Wir

00:42:44: finden uns

00:42:45: ja in der Regel selbst.

00:42:47: Ich muss gerade überlegen, was es an lustigen Geschichten gab.

00:42:50: Also ich meine, die meisten Sachen versuchen wir am Ende ja irgendwie lustig zu erzählen und auch eben schreiben, ist es dann doch auch irgendwie ein Empfinden, ist es dann doch auch teilweise ein Spaß.

00:42:59: Also dieses, was ich vorhin meinte, Bildet-Netzwerk.

00:43:02: Gefindet Leute, mit denen ihr das zusammenmacht, das ist ja nicht nur ... Damit ihr abgesichert seid oder Leute habt, die zu euch stehen, wenn was ist.

00:43:09: Das macht viel mehr Spaß und viel besser, wenn man das zusammenmacht.

00:43:15: Wir sitzen, wenn wir so einen Text ... Es ist immer so, wir brauchen eine Stunde, um eine Sicherheitslücke zu finden, ein paar Tage, um sie zu melden und dann noch mal eine Woche oder mehr, um es zu veröffentlichen, weil da dann noch mal so viel mehr Arbeit drinsteckt.

00:43:30: die zahlen stimmen nicht alle exakt.

00:43:31: manchmal ist auch mehr fürs finden und weniger fürs melden oder anders.

00:43:34: aber so ungefähr das sind so die verhältnisse weil wir am ende wirklich teilweise zu fünf zu sechs an so im text sitzen und alles noch mal durchgehen jedes detail noch mal uns anschauen noch mal ein bisschen schleifen schauen dass es verständlich ist dass es auch lustig ist dass es genug überschriften gibt genug gifts genug.

00:43:51: Illustration wie ein schönes Titelfoto haben.

00:43:54: Auch das kann ich so wenig aufwand.

00:43:56: Das sind oft irgendwelche Fotokollagen, wo sich dann wirklich von uns jemand hinsetzt und sich ein Globo sucht und ein Spielzeug-Feuerwehrauto.

00:44:04: Das war mal eine Geschichte, wo wir Feuerwehrautos in der ganzen Welt orten konnten, durch ein schlechtes System.

00:44:11: Und das dann halt irgendwie bastelt und dann noch eine schöne Karte in den Hintergrund und so.

00:44:15: oder eine Geschichte, die wir mit Eva zusammen gemacht haben zum deutsch-französischen Freundschaftspass, wo so Interrail-Tickets verschenkt wurden und auch die Systeme sehr schlecht gesichert waren.

00:44:25: Dann halt einen kleinen Zugbaut und passende Flaggen und ganz kleine Reports da rein bastelt, damit wir irgendwie der schöne einen schönen Bockpost haben, was Schönes dazu schreiben können und auch natürlich irgendwie.

00:44:37: Zusammenarbeit mit Medien gehört dazu.

00:44:40: Also wir veröffentlichen fast nie alleine, sondern suchen uns immer irgendwie Medienpartner, die das interessiert, mit dem wir da zusammenarbeiten können, mit dem wir die Lücken teilen und die sich das auch nochmal ganz anders und viel tiefer einsteigen können.

00:44:56: Daher kennen wir uns ja quasi, weil wir auf euch zugekommen sind und meinten, wir haben da was, wollt ihr nicht mal schauen.

00:45:01: Und am Ende ist es dann immer so viel mehr und so viel besser, einfach dadurch, dass man das zusammenmacht.

00:45:06: Ich hab die verschiedenen Perspektiven sind natürlich total interessant, weil natürlich wir ganz andere Fragen doch mal stellen, als ihr auch andere Antworten bekommen von Unternehmen, was auch schon auch interessant ist, oder überhaupt Antworten bekommen.

00:45:18: Sag mal, gibt es Nachwuchs eigentlich?

00:45:19: Du hast es schon angedeutet, dass ihr mindestens sechs Leute seid.

00:45:25: Werdet ihr mehr oder

00:45:27: weniger?

00:45:28: Oder

00:45:28: gibt es andere Gruppen noch?

00:45:32: Also wir sind über die letzten Jahre nicht groß viel mehr und nicht groß viel weniger gewählt.

00:45:36: Fortnahm ist da.

00:45:37: natürlich wechselt das so ein bisschen durch.

00:45:38: Wir sind bei Zerforschung so um die zehn Leute.

00:45:43: Manche wollen öffentlich dazu stehen, andere nicht.

00:45:45: Deswegen die genaue Zahl wüsste ich jetzt auch selber nicht.

00:45:48: Aber es gibt auch andere Leute, die so was machen.

00:45:51: Natürlich ist für uns immer das Schönste, einen schönen Blogbrot von jemand anderem zu lesen, wo wir nicht ne Woche treten gesessen haben und trotzdem drüber lachen können oder trotzdem was draus lernen können.

00:46:03: Wir erzählen viel über unsere Arbeit und hoffen natürlich auch immer, dass das Leute inspiriert, was Ähnliches zu machen und sich ähnlich Technik einfach anzuschauen.

00:46:11: Genau, und es gibt einzelne Leute, die immer mal wieder auffallen.

00:46:16: In letzter Zeit hab ich immer wieder sehr schöne Blogposts von Maya Crime, die aus der Schweiz gelesen, die auch einen sehr schönen, sehr lustigen Erzählstil hat und auch immer wieder extrem krasse Sachen findet, gerade so im Bereich Stalkerware.

00:46:30: Genau, es gibt da ganz viel mehr als uns.

00:46:34: Wir verlinken euch auf jeden Fall, also für alle, die jetzt Lust bekommen haben, reinzulesen.

00:46:38: Den anderen Blog suchen wir auch noch mal raus.

00:46:42: Mit Maya habe ich auch mal besucht in der Schweiz, ein Interview, das ist wirklich sehr kreativ und hat, ja, für so einen krassen, wie sagt man, so einen Fokus auf ... Die gesellschaftliche Gerechtigkeit, was ich super interessant finde, um man nicht doch sieht, wie man versucht, was zu bewegen.

00:46:58: Sie ist ja, soweit ich weiß, fest in der Schweiz, weil sie nämlich vom FBI gesucht wird, nachdem sie, ich glaube, eine Kamerase in den USA, eine Firma ... Ja, eine Sicherheitslüge gefunden hat und durch Kameraschen durch sehr viel sehen konnte.

00:47:12: Also im Detail weiß ich es nicht, aber jedenfalls kann sie nicht reisen.

00:47:16: Deshalb, sie hat durchaus große persönliche Nachteile dadurch und ja eigentlich nie Dinge gemacht, die in ihrem puren Eigeninteresse waren, sondern eben eigentlich gesellschaftlich relevante Themen.

00:47:26: Wir haben mit ihr zusammen diese NoFly-List gemacht, das vielleicht völlig was auch noch.

00:47:29: Und das war wirklich, finde ich, super wertvoll, für die Öffentlichkeit mal zu sehen, was für krasse Ausmaße solche Sachen annehmen, wie zum Beispiel eine Liste der US-Geheimdienste mit angeblichen Terroristen, die irgendwie meist nicht Millioneneinträge hatte.

00:47:44: Also, solche Arbeit ist super, super wichtig und wertvoll.

00:47:47: Und ja, es ist bitter und traurig, dass Menschen da persönliche Nachteile erleiden und von Behörden verfolgt werden dafür.

00:47:53: Ja, wir hoffen auf jeden Fall, dass wir von euch in Zukunft noch mehr.

00:47:57: Ja.

00:47:58: Und immer weiter solche guten Sachen hören, die tatsächlich am Ende dieses Thema und damit ja auch uns alle als hotelbuchende Sicherer machen.

00:48:08: Also vielen Dank.

00:48:09: Genau.

00:48:10: Und was wir persönlich tun können, wir lässt das mal schon.

00:48:12: Das hätte ich doch noch gefragt, aber wahrscheinlich ... Ach so, doch vielleicht.

00:48:15: Das wäre noch was, was mich doch interessieren würde.

00:48:17: Wie checkst denn du ein?

00:48:18: Hast du auch einen falschen Ausweis?

00:48:21: Nee, tatsächlich nicht.

00:48:22: Also ich checke auch mit Name und Adresse ein.

00:48:25: Ich versuch dann doch manchmal lieber irgendwie nicht meine persönliche Adresse, sondern vielleicht die Büroadresse so zu verwenden.

00:48:32: Aber am Ende ist es ja auch nicht die Verantwortung der einzelnen Gäste.

00:48:39: Überall falsche Spuren zu hinterlegen, überall falsche Spuren zu hinterlassen.

00:48:44: Damit dieses Thema unsicher sein können wird, ist es doch egal.

00:48:47: Am Ende ist es die Aufgabe der Hotels oder der Unternehmen, die Software bauen im Allgemeinen, sichere Software zu bauen, denn jede Software, die irgendwie reif genug ist, um Kunden in den Daten zu speichern oder Gäste Daten oder was auch immer, muss auch reif genug sein, um diese Sachen für sich zu behalten.

00:49:03: Sonst ist die Software eben noch nicht bereit für den Kunden, so wie man sie ja auch nicht ausliefern wird.

00:49:08: Wenn die Hälfte der Knöpfe noch nicht funktioniert, geht es auch nicht, wenn die Hälfte der Schnittstelle noch ungesichert ist.

00:49:15: Dann ist die Software halt noch nicht fertig.

00:49:17: Das klingt ein bisschen wie ein Pädagogie gegen den falschen Ausweis.

00:49:20: Okay, ich halte hiermit fest, ich habe nicht den falschen Ausweis um die Hotels zu entschlasten.

00:49:23: Bitte macht die Systeme doch sicher.

00:49:26: Nein, aus persönlicher Perspektive kann ich es total verstehen.

00:49:29: Ich verstehe jede Person, die sagt, okay, ich check die mit falschen Namen ein oder mit einer nicht gültigen Telefonnummer.

00:49:34: Ich geb dann auch, wenn ich es nicht muss, versuche ich natürlich auch so wenig wie möglich anzugeben.

00:49:38: Aber

00:49:40: wir müssen

00:49:40: das auch

00:49:40: irgendwie größer lösen.

00:49:41: Ja, auf jeden Fall.

00:49:44: Sehr gut.

00:49:44: Vielen Dank für euren Beitrag dazu, diese ... die Probleme zu lösen und sichtbar zu machen.

00:49:49: Ja, wir freuen uns auf Ihnen.

00:49:50: Danke, dass du da warst.

00:49:52: Vielen Dank für die Anladung.

00:49:53: Es hat sehr viel Spaß gemacht.

00:49:54: Und

00:49:55: uns auch.

00:49:55: Das Bax auch.

00:50:01: Ja, das war es wieder diese Woche.

00:50:03: Wir hören uns nächste Woche wieder.

00:50:04: Wir hoffen, es hat euch gefallen.

00:50:06: Meldet euch bitte mit Feedback, Kommentaren, alles, was euch auf dem Herzen liegt.

00:50:10: Gerne auch Themen, Ideen, Gesprächs, Gästeninnen, Wünsche, was euch immer euch auf dem Herzen liegt.

00:50:17: Wir freuen uns wirklich von euch.

00:50:18: Wir haben schon Geburtstagsgröße

00:50:19: verschickt.

00:50:19: Das ist wie ein Kerl Swanky.

00:50:22: Die Person weiß, wer gemeint ist.

00:50:25: Oh ja, herzlichen Glückwunsch.

00:50:26: War jetzt gerade dann.

00:50:27: Ja, genau.

00:50:28: Also meldet euch mit allen Anliegen, die ihr so habt.

00:50:30: Wir schauen, was wir tun können.

00:50:31: Schön, dass es euch gibt und vielen Dank fürs Zuhören.

00:50:34: Ja, bis bald, macht's gut.

00:50:35: Das war Baytalk Tech, ein CT-Podcast von Zwergert

00:50:39: und Eva Wolf-Angel, Musik und Produktion Marco Pauli.

00:50:43: Vielen Dank auch dir.