Offshoring nach Nordkorea ft. Jörg Schauff
Es ist wieder BreachFM. Ich möchte, und das kommt mir gerade noch so,
ich habe meinen Gast gar nicht darauf vorbereitet, dass er jetzt vielleicht
doch nochmal kurz ein bisschen länger warten muss.
Ich wollte die Chance nutzen, hier am Anfang nochmal so ein paar persönliche
Worte an euch, an die Hörer zu richten und vielleicht mal so ein bisschen aus
meiner eigenen Gefühlswelt, was diesen Podcast angeht, nochmal ein,
zwei Sachen zu berichten.
Ich war neulich kurz davor, auf LinkedIn einen relativ bösen Beitrag zu verfassen,
weil ich manchmal schon ganz ehrlich sagen muss, das sind jetzt wie gesagt ganz
persönliche Worte, manchmal geht mir dieses Projekt auch so ein bisschen auf den Senkel.
Gar nicht mal, weil irgendwie kein Erfolg da wäre oder sonst irgendwas. Mich freut es total.
Ich war neulich zum Beispiel bei einem Trail-Lauf und habe mir so gedacht,
ist es schön, hier mal bei einer größeren Veranstaltung zu sein.
Niemand kennt mich, ich bin hier allein und habe mal die Zeit für mich.
Am Start tippt mich jemand an, ich weiß nicht, ob du zuhörst,
und sagt, aus Spaß, und ich musste total lachen, wann kommt eigentlich die neue Folge Breach FM?
Habe ich mir gedacht, okay, wieso stehe ich hier um sieben Uhr morgens in Reitemwinkel
im Regen und jemand fragt mich, wann die neue Folge Breach FM kommt?
Also das erstmal so zu den positiven Seiten. Mich freut es auch total,
wenn ihr mir Themen einsendet und sonst irgendwas, was mich derzeit echt nicht
freut und was mir langsam zum Teil echt ein bisschen zu blöd wird.
Und wenn ihr irgendwo Gast in diesem Podcast sein wollt, ihr könnt natürlich
mich immer anschreiben.
Aber erstens, ich mag das ganz gerne, wenn ich die Gäste aussuche.
Ich finde es immer schön, auch wenn man mir mal jemanden empfiehlt usw.
Was ich gar nicht mag, ist, wenn man versucht, diesen Podcast auch in den Kommentaren
oder sonst wo als Plattform für seine eigene Werbung irgendwie zu verwenden.
Ich möchte das in diesem Podcast nicht haben. Und ich bin eigentlich niemand,
der gerne Sachen löscht, aber ich bin mittlerweile auch dazu übergegangen,
dementsprechende Kommentare gleich zu löschen.
Könnt ihr blöd finden, besonders die, die das gemacht haben.
Ich werde es einfach machen.
Ich will, dass dieser Podcast weiterhin in keiner Art und Weise monetarisiert
wird. Ich finde es schön, dass ich hier über das sprechen kann,
worüber ich sprechen will, dass auch die Gäste sich hier sehr frei fühlen,
über das sprechen zu können, über das sie sprechen wollen.
Und auch wenn ihr immer mal wieder, und ich sage das jetzt ganz bewusst hier
so transparent, wie es ist, weil ich denke ja immer, das ist eine kleine Nische,
in der man sich befindet.
Und trotzdem bekommt man mittlerweile fast wöchentlich Anfragen,
ob man nicht gegen Honorar in dem Podcast sein könnte. Und die klare Antwort
ist, nein, kann man nicht.
Das werde ich nicht machen.
Ich werde niemals nie sagen, weil keine Ahnung, wie abgefreakt ich in einem
Jahr mal bin oder was mit mir passiert.
Ich sage einfach nur, das ist 0,0 die Intention des Podcasts.
Ich weiß auch die unter euch, die das mal versucht haben, ihr meint es nicht
böse, am Ende hat jeder seinen eigenen Job, jeder muss sein Geld verdienen,
aber ihr müsst nicht versuchen. Es ist keine Art und Weise, wie das bei Preach FM laufen wird.
Ich lade die Leute ein, ich lade Leute an, auf die ich Lust habe und das Schönste
ist, wenn sich mein Interesse mit eurem überschneidet und wir am Ende des Tages
aus einer Podcast-Folge rausgehen können und sagen können, ey,
wir hatten alle eine gute Zeit, der Hörer hatte eine gute Zeit,
mein Gast hatte eine gute Zeit und ich hatte eine gute Zeit.
Das wird nicht immer funktionieren, aber ich glaube, wenn wir alle ehrlich und
transparent bleiben, dann wird es immer wieder funktionieren,
was andere Podcasts machen.
Ich wurde auch schon manchmal darauf aufmerksam gemacht, Leute,
es ist mir auch egal irgendwie.
Ich schaue auf diesen Podcast hier selbst.
Das ist ein weiterhin Privatprojekt, was mir unglaublich viel Spaß macht,
was meinen Horizont unglaublich erweitert und dabei soll es auch wirklich bleiben.
Deswegen genug Gelabere von mir.
Ich wollte es nur einfach mal sagen, weil mir das echt so ein bisschen auf der
Seele lag und ich das jetzt doch schon irgendwie ein paar Wochen bis Monate mit mir rumschleppe.
Und ja, lasst uns einfach diesen Podcast weiterhin mit Inhalt gestalten und
ich glaube, dann haben wir da alle Spaß dran. So, Jörg, ich hatte dich gar nicht
darauf vorbereitet, aber ...
Ja, so ein kleiner Rant zum Beginn, zum Warmwerden, ist okay.
Ja, ich glaube, es war ganz gut, dass ich ein paar Wochen gewartet habe,
weil sonst wäre es wirklich ein Rant geworden.
So war es jetzt einfach so ein bisschen mal von der Seele gesprochen,
weil allein das, es kostet unglaublich viel Zeit, es kostet unglaublich viel Kraft.
Und ich finde es auch manchmal einfach unschön, dass da Projekte anderer Menschen
so versucht werden, gekapert zu werden, besonders wenn es halt über Kommentare
oder sonst irgendwas geschieht.
Dann finde ich das immer ein bisschen blöd.
Ich musste sogar neulich über Apple Podcasts habe ich eine Fünf-Sterne-Bewertung
löschen lassen, weil in dieser Fünf-Sterne-Bewertung wurde Werbung für Beratungsdienstleistungen gemacht.
Ja, das ist unschön. Ja, das muss nicht sein.
So, aber jetzt stell dich doch einfach mal vor, du bist schon das dritte Mal hier.
Vielleicht kommt manchen Menschen deine Stimme schon bekannt vor,
aber stell dich doch trotzdem noch mal kurz vor.
Bei dir gab es ja, glaube ich, auch seit dem letzten Auftritt ein paar Veränderungen.
Ja, natürlich, aber es ist so ähnlich wie beim Fußball. Drei Ecken, ein Elfer.
Insofern freue ich mich, dass ich heute hier sein darf. Ja, mein Name ist Jörg Schauf.
Ich komme ursprünglich vom Bundesamt für Verfassungsschutz aus der Abteilung 4 der Spionageabwehr.
Habe da irgendwie eine ganze Zeit lang Cyber Defense für die Bundesrepublik betrieben.
Habe so Sachen gemacht wie Fancy Bär im Bundestag, wo Hakan heute auch wieder
was zu veröffentlicht hat,
was mich auch sehr freut, weil über diese Fälle muss einfach mehr bekannt werden,
dass die Industrie und die Wirtschaft und die Regierung beziehungsweise der
öffentliche Dienst sich besser aufstellen kann.
Ich bin dann 2016, 2017 bin ich weg vom öffentlichen Dienst,
habe dann verschiedene Stationen durchlaufen bei Deutsche Bank,
Allianz, Symantec und so weiter.
Und bin seit vier Jahren jetzt mit einer kleinen Unterbrechung bei einem Startup,
bin ich jetzt seit vier Jahren bei CrowdStrike in verschiedenen Funktionen.
Und das soll genug über mich sein.
Und es zeigt auch mal wieder, man kann sich vertragen, wenn man bei konkurrierenden
Softwareherstellern arbeitet.
Ja, es ist ja eine Konkurrenzsituation, aber kein Kampf.
Insofern, wir verfolgen ja alle am Ende des Tages das gleiche Ziel,
die Welt ein bisschen sicherer zu machen. Insofern.
Und ich glaube auch, dass, mich haben das nämlich neulich mal ein paar Kunden
auf einer Veranstaltung gefragt, hat man gesagt, ja, wie begegnet man sich in
dieser unglaublichen Konkurrenzsituation,
weil da war so eine kleine Messe und da war man halt wirklich so eingefärcht
mit fünf, sechs teilweise Konkurrenten für das genau gleiche Thema, habe ich gesagt,
also wenn man jetzt nicht gerade völlig auf den Kopf gefallen ist,
dann versteht man, dass man sich auch verstehen kann und dass es diesen Austausch
auch braucht und meistens ist das eigentlich ein relativ kollegiales Miteinander.
Ja, genau. Also die Szene ist auch sehr klein und ich finde es auch nicht sehr
smart, dem sogenannten Konkurrenten unter der Gürtellinie zu begegnen.
Ich sehe das eher wie ein Wettkampf.
Auf freundschaftlicher Basis. Und wenn es am Ende des Tages so ist,
wie bei Olympia dabei sein ist alles, dann haben wir auch schon,
finde ich, viel erreicht.
Genau. Aus deiner Sicht, weil ich wollte einfach auch mal wieder einerseits
so ein Thread Intel oder Thread Landscape Roundup machen.
Da wurde auch mal wieder so ein bisschen nachgefragt auch von den Hörern.
Andererseits gerne auch auf ein, zwei Themen, die wir da vor uns dargelegt hatten,
auch so ein bisschen spezifischer eingehen.
Aber jetzt mal ganz breit gefragt, was waren so die News der letzten Monate
im Bereich Threat Landscape, bei denen du gesagt hast, das fandest du jetzt am interessantesten,
das war vielleicht auch mal wirklich was Neues außerhalb dieses Ransomware macht
uns halt Sorgen. Gab's da irgendwas?
Nicht viel, ehrlich. Die Bedrohungslandschaft ist in Anführungsstrichen seit
Jahren ja stabil, also im Hinblick auf neue Täter, klar.
Ab und zu gibt es halt neue Nation States, es gibt neue E-Crime-Actors.
Vielleicht alte E-Crime-Actors unter neuem Namen. Das ist ja nicht immer so
offensichtlich, aber letztendlich machen sie alle dasselbe.
Auf einem ganz hohen Level beschrieben Intrusions und dann Data Exfiltration, das ist gang und gäbe.
Das Einzige, was die letzte Zeit wirklich herausgestochen ist,
ist eben die Veröffentlichung über Cyber-Related Insider Threat.
Also ich nenne es mal so, es gab mal eine Zeit lang den Begriff von U-Mint enabled
Cyber oder umgekehrt Cyber enabled U-Mint.
U-Mint beschreibt also die menschliche Aktivität im Bereich der Spionage.
Das heißt, der Spion nutzt elektronische Methoden, um Daten zu stehlen.
Also er nimmt zum Beispiel einen Datenträger mit in irgendein Fabrikgelände,
steckt den irgendwo rein und stehlt dann Daten.
Das wäre so dieses Cyber-Enabled U-Mint.
Wenn man das jetzt andersrum aufzieht, U-Mint-Enabled Cyber ist eben,
dass jemand mit dem USB-Stick dann zum Beispiel die Malware platziert.
Aber auch das ist eigentlich nichts Neues. Was jetzt wirklich neu war aus meiner
Sicht, ist eben die Aktivitäten der Nordkoreaner, die jetzt öffentlich gemacht
wurden, von verschiedenen Cyber Security Vendoren,
aber auch insbesondere von einer englischen Behörde, die sich eben mit der Einhaltung
der Sanktionen im Kontext Iran und Nordkorea befasst.
Also das war wirklich interessant, dass darüber berichtet wurde,
weil neu in dem Sinne sind solche Aktivitäten eben nicht.
Ja, also ich fand diese Berichte auch sehr interessant. Ich meine,
dieses Thema, wenn man es jetzt mal noch ein bisschen breiter fasst,
Insider Threat, gibt es ja in völlig verschiedenen Farben und Arten.
Es gibt vielleicht den Idioten, der gar nicht weiß, dass er gerade verwendet wird.
Es gab auch schon genug Operationen im geheimdienstlichen Umfeld,
da hat sich selbst jemand in eine Beziehung geschlichen, um dann im Zweifel
vielleicht das Endgerät von irgendjemandem zu verwenden.
Also das gibt es ja in allen Blüten und Formen.
Irgendjemand wird angeworben, irgendjemand wird wirklich platziert.
Ich habe relativ häufig in irgendwelchen Lessons Learned dann auch die Frage
bekommen mit, kann das auch ein Insider gewesen sein?
Das kommt ja dann ganz gerne von Geschäftsführung, wenn man gesagt hat.
Da wurde ein Account vermutlich kompromittiert, das ist die Mitarbeiterin,
das ist der Mitarbeiter und das sind die betroffenen Konten,
die wir identifiziert haben.
Dann kommt ganz schnell immer die Frage, glauben Sie, dass die Leute davon was wussten?
Und man muss natürlich einerseits rein nach Wahrscheinlichkeitsrechnung die
Leute immer in den Schutz nehmen
und sagen, nein, auf dem Konto war keine Multifaktor-Authentifizierung,
das Passwort war jetzt nicht super resilient, war in der Passwort-Datenbank mit drin.
Aller Voraussicht nach wurde dieser User einfach gebreached,
weil nicht genug Sicherheitsmaßnahmen da waren. Aber natürlich kann ich mich
jetzt auch nie hinstellen und
sagen, es gibt 0,0% Chance, dass da nicht irgendwo ein Insider tätig war.
Das Problem ist nur, ich glaube, man hatte nie so richtig, zumindest in der
Breite des Threat Landscapes,
nie so richtig belegbare Zahlen oder viele Events, wo man wirklich haargenau
sagen konnte, da war jetzt wirklich ein Insider beteiligt.
Sondern es ist halt immer viel Mutmaßung und es ist ganz oft,
kann alles sein aber relativ wahrscheinlich eher nicht.
Genau. Auch wenn man jetzt sich die Zahl der Fälle anschaut,
also wir berichten für unsere Kunden jetzt von irgendwie 30 betroffenen Unternehmen
in den Vereinigten Staaten.
Weil es ja eine Menge ist.
Ja, es ist eine Menge. Von 0 auf 30 ist sehr viel.
Aber wenn man jetzt sieht, wie viele Intrusion es insgesamt in den Vereinigten
Staaten gibt, ist das ein Bruchteil eines Promilles. Das heißt,
die Wahrscheinlichkeit, wie du sagst, nach Wahrscheinlichkeitsrechnung,
haben wir es in der Regel eben nicht mit dem Insiderjob zu tun.
Nichtsdestotrotz gibt die eine oder andere kriminelle Threat-Actor-Gruppe,
die auch aktiv nach Insidern sucht, einfach weil es das Leben leichter macht.
Und der klassische Fall, ich brauche Geld, um meine Scheidung zu finanzieren.
Und wenn ich in dem Augenblick, wo ich halt sozusagen moralisch verwundbar bin,
angequatscht werde von einem Angreifer, dann besteht die Chance,
dass dann auch mal ein Zugang verkauft wird.
Oder Nation States, also die Russen, machen das schon auch die letzten 20 Jahre
in dem einen oder anderen Staat in Europa, wo es flachende Regierungsnetze gibt,
dann bieten die zum Beispiel einem Polizeibeamten,
einen gewissen Geldbetrag, irgendwas mittelres, vierstelliges in der örtlichen Währung.
Und hier, nehmen wir diesen USB-Stick.
Und da ist dann zum Beispiel Torla drauf.
Das ist also von der Nation-State-Schiene auch nichts Neues.
Weil ganz klassisch Spionage, zweitälteste Gewerbe der Welt, nur mit neuen Methoden.
Ich glaube, das eine ist natürlich immer der Faktor Geld.
Ich glaube, was wahrscheinlich auch, wir hatten ja glaube ich das letzte Mal
auch so ein bisschen über Erpressung im privaten Rahmen gesprochen,
was auch da mittlerweile mit Deepfakes gemacht werden kann, wie da so die niedersten
menschlichen Instinkte ausgenutzt werden können.
Denn ich glaube, wenn ich Fred Hector wäre, jetzt gebe ich wieder Anleitungen
für Leute, aber ich würde schon eher auf diese Erpressungsschiene versetzen,
als auf irgendwelche monetären Anreize, weil die Erpressungsschiene,
glaube ich, manchmal doch nochmal besser funktioniert.
Es ist aber natürlich auch immer so eine wahrscheinlich regionale Geschichte,
wieso ich gesagt habe, bei diesen 30 ist gar nicht so wenig,
weil man natürlich auch immer vermuten muss,
das ist jetzt mal auf Basis eurer Daten, es haben ja auch ein paar andere auf
Basis ihrer Daten noch von ähnlich oder mehr berichtet und es wird natürlich
trotzdem irgendwo auch wahrscheinlich die Spitze eines Eisbergs sein.
Es ist halt wieder das typischerweise, dass man sieht jetzt das,
was man sehen kann, weil sich da teilweise vielleicht auch mal Leute,
wenn man sich die Daten so ein bisschen durchliest, vielleicht jetzt auch nicht
super schlau angestellt haben, aber andererseits wahrscheinlich auch nicht anstellen mussten.
Also mit relativ bekannten Tools gearbeitet, Remote-Zugänge teilweise nicht
mal von irgendwelchen verschleierten IPs aufgebaut, sondern teilweise wirklich
aus den Ländern selbst, hat man in ein paar anderen Berichten gesehen.
Also ich habe einen Bericht gesehen, der war jetzt nicht von euch,
aber da konnte man die Geo-IP sogar der Region zuordnen, von der sich,
glaube ich, auf AnyDesk verbunden wurde.
Also von dem her, das wird wahrscheinlich irgendwo die Spitze des Eisbergs sein.
Aber wenn wir jetzt mal dieses Thema aufmachen mit diesen Remote-Workern,
das gab es ja in verschiedenen Blüten, so viel wie ich gelesen habe.
Also es gab einerseits, und das sehe auch ich, ich habe mit ein paar größeren
Kunden Rückmeldungen gehalten und die haben gesagt, in den letzten Monaten haben
sie einen extremen Anstieg von Bewerbungen erzielt.
Besonders auch im Bereich Security und IT gesehen, die zumindest fishy aussahen.
Ob das jetzt immer fishy war, sei dahingestellt, aber es waren Bewerbungen,
die sie allein deswegen nicht in Betracht gezogen haben, weil sie gesagt haben, Remote-Only-Stelle.
Alles so ein bisschen schwer nachweisbar, was da drin steht,
ein bisschen komischer Lebenslauf.
Wenn man die Leute direkt anruft, geht niemand dran.
Und das ist ja, glaube ich, das
Erste, dass überhaupt schon mal wirklich gefälschte Bewerbungen eingehen.
Das ist ja das eine und es gibt es dann noch in anderen Blüten, habe ich gelesen.
Also ich glaube, andere Fälle waren dann eher, da wurde jemand Legitimes eingestellt
und diejenige Person hat dann Notebook-Farmen betrieben und hat im Grunde genommen
ein Outsourcing seiner eigenen legitim angetretenen Stelle betrieben.
Und hat das dann weiterverkauft. Ich glaube, in manchen Fällen ist noch gar
nicht genau bewiesen oder klar, ob dieser Mensch jetzt wusste,
dass er zum Beispiel mit Nordkorea kollaboriert hat oder ob er einfach,
da gab es ja so einen Trend eine Zeit lang auf Reddit.
Bei allen möglichen Tech-Unternehmen sich gleichzeitig hat anstellen lassen,
weil es eh niemand gemerkt hat, ein unglaubliches Gehalt eingestrichen hat und
dann einfach gedacht hat, ich outsource die nervigen Tasks auf die Philippinen.
Ja, der Kreativität sind eben keine Grenzen gesetzt.
Nach dem, was ich gelesen habe, ging es gerade jetzt bei den Nordkoreanern im
Aktuellen, was heißt aktuell, also in den Dingen, die jetzt in den letzten sechs,
acht Monaten bekannt geworden sind, eben darum,
dass die in manchen Fällen jemanden bezahlt haben für die Interviews.
Und dann, wenn sozusagen die Einstellung erfolgt ist, war die Person raus.
Und der Job wurde dann eben von dem eigentlichen nordkoreanischen Spion,
Agent, wie auch immer, realisiert.
Das heißt, bestimmte Hürden werden sozusagen auf der legalen Schiene einwandfrei abgefackelt.
Diese Person ist aber dann käuflich. Für welche Summen ist mir nicht klar.
Nichtsdestotrotz, es funktioniert. Der Arbeitsaufwand ist relativ klein,
so ein paar Interviews zu machen, vielleicht irgendeine Fake-Software-Probe
abzugeben, die dann wiederum von den Koreanern abgeliefert wurde oder vielleicht
von der Person sogar selber.
Man muss ja gewisse Kenntnisse nachweisen in den Interviews.
Also so ganz ahnungslose wird man nicht genommen haben für die Fälle.
Aber nichtsdestotrotz letztendlich.
Das Problem, was wir als Verteidiger haben oder als Betreiber von HR,
wir sind zu weit weg vom Sicherheitsthema.
Denn HR anzufischen war eigentlich immer schon die Methode der Wahl für Kriminelle.
Denn wer muss im Unternehmen zwingend Dokumente öffnen?
HR, wenn sie Stellenausschreibungen machen.
Oder selbst Initiativbewerbungen werden gelesen.
Und dann mache ich halt ein PDF auf. Und wenn die Prozesse nicht stimmen oder
die Security an der Stelle schwach ist, dann habe ich den Angreifer im Netz.
Ja, absolut. Ich finde es ganz schön, dass du den Fall aufmachst mit,
da haben sich Leute bezahlen lassen für die Interviews und sind im Grunde genommen
legitimen Interviewprozess durchgegangen,
weil ich habe relativ viel, als ich das dann auch mal gepostet habe,
habe ich als Antworten bekommen und auch so als Rückmeldung, ja,
aber da müssen wir jetzt halt mehr mit Backgroundchecks machen.
Dann habe ich mir gedacht, naja, also in dem Falle würde ein Background-Check
relativ wenig bringen, weil wir haben ja hier eine legitime Person.
Klar, wenn die jetzt schon mehrmals sowas gemacht hätte und man dann zum Beispiel
ein polizeiliches Führungszeugnis oder sowas anfragt und das schon aufgekommen
ist, dann wäre es ja was anderes.
Aber das ist ja nicht die Regel. Die Regel ist, sowas ist nie hochgekommen und
man hat hier jemanden, wie du schon sagst, der vielleicht auch die notwendigen
Skills hat, der sich gut artikulieren kann.
Das Problem ist ja in dem Sinne, in dem Moment nicht in der Einstellung mit
irgendwelchen Background-Checks behebbar.
Ja, exakt. Also da müssen ganz andere Prozesse stattfinden und ich frage mich,
ob man die überhaupt legal als Unternehmen überhaupt durchführen kann.
Selbst wenn ich mir jetzt auf Papier Dinge ausdenke, die mir helfen würden,
also ich konnte Bewegung oder was auch immer.
Aber ich denke, juristisch darf ich das alles gar nicht. In dem Moment habe ich dann keine Chance.
Ich muss halt nur schauen, wie in der Probezeit arbeitet der Kollege denn jetzt.
Ich tauche da mal vor der Kamera auf. Ist es wirklich der, mit dem ich das Interview
geführt habe? Was sind das für Arbeitszeiten?
Wie ist seine Sprachkenntnis und so weiter und so weiter?
Ja, weil selbst da, dann waren die nächsten Recommendations teilweise auch von
Herstellern jetzt gar nicht mehr in eurem Report, sondern da war dann wieder,
man soll nach bestimmten IP-Regionen Ausschau halten, nach bestimmten Tools und so weiter.
Naja, wenn die sich nicht ganz
blöd anstellen, dann wird sich da ja ein Notebook-Farm-Konzept aufgebaut.
Das heißt, dann arbeiten die, die wirklich arbeiten, ja nicht über ihre eigenen
Endgeräte, sondern hoppen im Grunde genommen halt auf das Endgerät,
das compliant ist. Also da gibt es ja mehrere Möglichkeiten,
das auch technisch zu umschiffen.
Mich hat es eher gewundert, dass das teilweise nicht gemacht wurde,
also dass da teilweise eben offensichtliche Spuren hinterlassen wurden in der
Form, wie man sie gesehen hat in manchen Berichten.
Hängt aber vielleicht auch irgendwie wieder so ein bisschen damit zusammen,
das ist ja oft meine Sinnesfrage, machen dies, weil sie es nicht besser konnten
oder machen dies, weil sie es nicht besser machen mussten?
Sowohl als auch. Da würde ich es vom Einzelfall abhängig machen.
Das passiert allen Nachrichtendiensten, insbesondere aus europäischer Sicht
den feindlichen Diensten und ich glaube auch den westlichen befreundeten Diensten,
dass die Offensivfraktion teilweise politisch getrieben wird.
Und dann fehlt es eben an der operativen Sicherheit.
Man wird schlampig, wo man keine Zeit hat, sauber zu arbeiten.
Also gerade im Spionagebereich ist der Schlüssel zum Erfolg die Langsamkeit, also die Sorgfalt.
Und wenn ich dafür keine Zeit habe, dann falle ich halt irgendwann auf.
Das ist jetzt die Frage, wann ist dieser Zeitpunkt?
Ist er recht zügig vor meinem Erfolg oder erst in der Timeline ein bisschen
später und ich konnte schon einen Teil meiner Missionsziele umsetzen?
Ja, das ist ja nicht nur bei staatlichen Akteuren. Mich wundert es auch immer
wieder, wie amateurhaft teilweise im kriminellen Sektor gearbeitet wird,
wie viel Erfolg diese Gruppen dann nachweislich aber trotzdem wiederum haben.
Also wie oft ich schon Skripte gesehen habe, die ausgeführt wurden,
in denen man klar sehen konnte, ach, hier sind die anderen vier Opfer,
die die Gruppe gerade an der Angel hat, die scheinbar noch gar nicht verschlüsselt wurden,
sondern da wurde dann ein Skript geschrieben mit mehreren Domains drin,
mit mehreren External IP Ranges drin, wo du dann teilweise die Unternehmen warnen
konntest und sagen konntest, ey, ich glaube, ihr seid die Nächsten so in der
Art oder jemand ist bei euch schon drin.
Aber auch da wieder, wie gesagt, jetzt kann man sich drüber lustig machen,
wie amateurhaft da gearbeitet wird, aber es klappt halt leider trotzdem noch
oft genug und deswegen sage ich ja immer mit diesem, wahrscheinlich muss man
gar nicht höher springen, als das Stöckchen gerade liegt.
So ist das. Grundsätzlich ist immer die Frage, wie gut muss ein Angreifer sein?
Er muss gut genug sein, um bei mir reinzukommen.
Wohingegen ich viel besser sein muss, weil ich habe es ja nicht mit einem Angreifer
zu tun, der jetzt die Fähigkeiten hat, eine Schwachstelle auszunutzen,
sondern ich habe es ja theoretisch mit allen Angreifern gleichzeitig zu tun.
Also rein hypothetisch. So, und dann muss ich eben viel, viel besser sein,
was dann dieses Ungleichgewicht zwischen Angreifer und Verteidiger erklärt in den Skills.
Und zudem kommt, dass Angreifer nicht denken wie Verteidiger in der Regel.
Also sie denken nicht vollständig in, wie vermeide ich Spuren.
Natürlich versuchen die meisten irgendwelche Spuren zu verwischen,
aber natürlich, wie du das beschrieben hast mit dem Skript und verschiedenen
Domains von verschiedenen Opfern,
am Ende des Tages sind es auch Menschen und die sind faul oder halt leichtsinnig
und das gilt dann auch für die dunkle Seite der Macht.
Ja, wir haben es ja auch in ein paar anderen auch staatlich getriebenen Operationen
gesehen, dass auf Basis von irgendwelchen Skripting-Unzulänglichkeiten und so
wirklich Personen identifiziert werden konnten von Strafverfolgungsbehörden.
Hat zwar selten dazu geführt, dass jemand tatsächlich festgenommen wurde,
aber es zeigt einfach nur, es ist nicht immer so ausgefeilt, wie getan wird.
Es wird sicherlich wir haben auch viel gesehen, was wirklich mehr in diese Richtung
geht, boah ey das macht mir schon Sorgen, das ist schon wirklich so sophisticated,
dass ich sage, das kann man weiterhin erkennen, aber da wird es schon wirklich schwierig,
aber es gibt halt auch weiterhin genug, da muss man sagen ey,
das geht wochenlang vor sich,
die lassen da Tools auf irgendwelchen Terminal-Servern liegen,
die da nicht hingehören über Wochen und Monate und es gibt schon meistens gute Hinweise.
Wenn wir jetzt mal bei dieser Cyber-Operation, besonders aus Nordkorea,
mit diesen Remote-Workern bleiben, schon so ein bisschen drüber geredet und
da bin ich völlig bei dir, wenn das wirklich gut gemacht ist,
also man einen Proxy für die Einstellung verwendet, also wirklich jemanden legitim
ist, wo man sogar Basis-Background-Checks gemacht hat und so weiter,
wenn es technisch einigermaßen sauber aufgebaut ist, das heißt über Notebook-Farmen
gearbeitet wird und keine offensichtlichen Fehler gemacht werden,
bin ich auch völlig bei dir.
Aber ab einem bestimmten Punkt muss man sagen, ist es ein Risiko,
was man wahrscheinlich auch einfach ein bisschen...
Tragen muss und mitmanagen muss. Ich glaube nicht, dass wir holen jetzt alle
24 mal 7 ins Office zurück, die ultimative Lösung dafür sein wird,
weil da schneidet man sich wiederum woanders ins Fleisch.
Aber es wird wahrscheinlich auch darum gehen, wie viel Interaktion habe ich
mit Mitarbeitern, wie du schon gesagt hast.
Auf die kleinen Dinge auch mal achten, wie oft ist so eine Kamera an und so
