Das Fermi Paradox

Das Fermi Paradox: Sind wir allein im All? (Antworten die kaum jemand kennt)

Ah ja das Fermi Paradox. Oder anders formuliert:

„Wenn es Abermilliarden von Sternen, Planeten und Monden gibt, wo sind dann all die anderen Lebensformen, Zivilisationen, Aliens?“ Wenn es nahezu unendlich viele Möglichkeiten gibt, Leben im Universum zu beherrbergen, muss doch zwangsläufig auch anderes Leben als das menschliche da draußen sein, richtig? Warum aber haben wir dann bisher absolut keine Spuren von diesem Leben irgendwo finden können? Sind wir allein in den Weiten des Alls?

Dieses vermeindliche Paradox, also der auf den ersten Blick offensichtliche Widerspruch zwischen unzählbar vielen Lebensräumen aber (bisher) exakt 0 gefundenen Lebensformen wird als „Fermi-Pradox“ bezeichnet. Warum Fermi? Weil die grundlegende Frage „Wo sind denn alle?“ Enrico Fermi, einen Physiker zugeschrieben wird. Ob und wie das stimmt oder nicht, führt dieser Artikel ganz gut weiter aus.

Mich interessiert allerdings weniger die Geschichte der Frage, als viel mehr die möglichen Antworten. Und hier gibt es einige, die fast überall übersehen werden.

Selbst Elon Musk, hauptberuflich Sternenerkunder, kennt diese nicht. (Wie er in Folge 1609 des Podcasts von Joe Rogan gesagt bzw. nicht gesagt hat)

 

Deshalb, vor allem weil ich diese weiteren Antwortmöglichkeiten für weitergebenswert halte, hier die weiteren Lösungsoptionen von David Deutsch, einem weiteren Physiker. Diese sind einem Podcast von David Deutsch und Chris Anderson entnommen und können hier nachgehört werden.

 

Die „klassischen“ Antworten zur Lösung des Fermi-Paradoxons:

Die meisten „Standard-Antworten“ auf dieses Paradox passen in eine von beiden Kategorien:

  1. Wir sind die Einzigen im All. –> Spooky, wenn man darüber nachdenkt.
  2. Es gibt Milliarden anderer Lebewesen im All, wir können diese nur nicht finden / sie wollen nicht gefunden werden / wir haben sie noch nicht gefunden etc. –> Auch spooky beim nachsinnieren, vielleicht sind sie ja schon unter uns und wir wissen es nur noch nicht?

Ausschließen kann man prinzipiell natürlich nichts, was nicht wohl falsifizierten Naturgesetzen widerspricht, dennoch gibt es auch noch andere Optionen neben diesem „Schwarz-Weiß-Schema“. Die schaffen es nur irgendwie relativ selten in die Gespräche. Schauen wir uns einige davon an:

 

Die unbekannte(re)n Antworten und Antwortmöglichkeiten rund um das Fermi Paradox:

  1. Wir sind die Ersten. Das Universum hat noch verflixt viel Zeit vor sich, warum sollten Menschen also nicht „Pioniere komplexen Lebens“ sein? Vielleicht bringen wir buchstäblich Leben in die interstellare Bude. Klingt meiner Meinung nach durchaus fancy.
  2. Andere Lebensformen haben sich „nach innen“ bzw. „unten“ entwickelt. Warum sollte sich eine / viele hinreichend entwickelte Zivilisationen nicht das Metermaß hinab- statt hinauf entwickelt haben? Als in Richtung der Nano- statt Makroskala? Raum ist nicht das Problem im Universum, davon gibt es mehr als genug. Zeit schon. Es ist einfach nicht einfach, eine Kultur über lange interstellare Distanzen aufrechtzuerhalten. Das macht ein Flug von Deutschland in die USA schon bewusst. Aber wenn buchstäblich Lichtjahre zwischen „Kolonien“ liegen, gibt es beim nächsten Geburtstagsbesuch die alten Vorfahren auf diese Weise möglicherweise schon gar nicht mehr. Wenn andere Planeten andere Gravitationen, Gezeiten etc. haben, entwickeln sich Spezies mit genügend Zeit voneinander weg. Möchte man das vermeiden, ist es naheliegend, ins Kleine zu gehen, statt ins Große. Schlüsselinformation bei diesem Szenario: Es gibt in Größenordnungen nach unten mehr zu entdecken als nach oben ins Universum.
  3. Andere Lebensformen sind einfach so glücklich. Das Konzept „permanenter statischer Glückseligkeit“ ist das vielleicht interessanteste: Was, wenn andere Lebensformen es einfach geschafft haben, permanent glücklich zu sein? Und anders als Menschen einfach mit dem Status Quo zufrieden sind? Sie quasi eine Art „kollektives Heroin“ gefunden haben, nur auf eine gute Art? Wir würden wahrscheinlich niemals von Ihnen hören, es sei denn wir würden mit dem Bug voraus in Ihren Vorgarten krachen. Denn diese Lebensform hat keine Notwendigkeit irgendetwas zu tun, sie ist ja bereits glücklich. Manchmal liegt das offensichtliche so weit entfernt 😉
  4. Im Universum übertrumpft die Zeit sogar den Raum, so dass sich jede andere Zivilisation mindestens 10 Millionen Jahre vor oder nach uns entwickelt haben müsste. Was mehr als genug Zeit lässt, Spuren zu verwischen, andere, nicht-detektierbare Entwicklungswege zu gehen usw. Was allerdings eine gewichtige Frage zurücklässt: Warum gibt es keine Hinweise auf Ingenieurwesen / Technik / Technologie im Universum außer uns? (Planeten die umgeformt wurden oder zumindest Spuren wie unsere Megastädte usw. Irgendwo) Egal in welche Richtung sich eine Zivilisation weiterentwickelt, von den „stepping stones“ sollten wir irgendwo Spuren sehen. (Und sei es in Form von Strahlung die durchs Universum fliegt)

 

Du siehst, ich habe auch keine finale „Antwort“ rund um das Fermi Paradox. Aber ich konnte vielleicht helfen aus dem vermeintlichen Paradox eher eine Frage zu machen.

Ich hoffe diese Inputs helfen dir weiter beim Grübeln über den Rest des Universums. Und ganz wichtig:

 

Welche Lösungsideen für das Fermi-Paradoxon hast du?

 

Bis dann

Ben

Internetrecherche und Online Recherche zur Informationsbeschaffung

Wie du mit richtiger Internetrecherche nie wieder übers Ohr gehauen wirst

Dieser Beitrag ist Teil meiner Reihe zum Thema Cybersicherheit. Alles auf einen Blick zum Thema Cybersecurity findest du hier. Außerdem habe ich Artikel geschrieben zu den Theman: Cyber Security allgemein, Security Awareness, Social Engineering, IT Security Lösungen und IT-Sicherheit allgemein, Informationssicherheit, Internetkriminalität und Cybercrime, Phishing und spezifischen Schutzwerkzeugen wie zum Beispiel VeraCrypt und Keepass. Mehr zum jeweiligen Artikel findest du beim Klick auf das jeweilige Wort. (Alle Schlagworte ohne Link darüber werden noch veröffentlicht und hier aktualisiert verlinkt) Viel Spaß mit diesem Artikel!

Internetrecherche, bzw. Online Recherche in Netzwerken abseits des Internets hat sich im Kontext von Cyberkriminalität – und Cybersecurity zu einem Damoklesschwert entwickelt. Warum? Nun:

Für Menschen die wissen, wo sie die richtigen Informationen herbekommen, ist das Internet ein einziges Schlaraffenland.

Für Menschen, die hingegen weder wissen, welche Informationen man frei zugänglich erhält und welche ungeahnte Langlebigkeit diese entwickeln können, kann das Internet zur tickenden Zeitbombe werden.

Es ist ein wenig wie mit Atommüll: Wenn ich Halbwertszeit und Gefahr nicht einschätzen kann, unterlaufen mir unter Umständen schwere Fehler.

Internetrecherche kann potenziell gefährliche Informationen sichtbar machen

 

Deshalb geht es in diesem Artikel um das Thema Internetrecherche. Bzw. noch etwas tiefer: die Informationsbeschaffung rund um komplexere, tiefergehende Themen.

Also nicht nur um das Herausfinden von Anleitungen und Hilfestellungen für kleinere Alltagsprobleme.

Sondern das systematische Erstellen von Profilen, Datenclustern und Interpretationsansätzen des Gefundenen.

Um den Schleier des mysteriösen zu lüften, potenzielle Angriffsvektoren zu negieren und deine Informationsbeschaffung im Internet besser zu gestalten, schauen wir uns dazu einige “Werkzeugkategorien” an.

 

Unter anderem gehen wir hier darauf ein:

  1. Die 7+1 besten, konkreten Tools / Plattformen für eine erfolgreiche und effiziente Online-Recherche
  2. Best Practises bei der Anwendung und Aussagekraft der Ergebnisse (Plus Erklärung der Triangulation)
  3. Wie du in windeseile, kostenlos und anonym die Technologie einer Webseite, deren Besucheranzahl und vieles mehr herausfindest
  4. Warum im Web Zeitmaschinen existieren und wie du diese einsetzen kannst
  5. Wie dir wenige Zeichen und Klicks an den richtigen Stellen mehr über deine Suchziele verraten
  6. Vieles mehr.

 

Wichtiger Hinweis vorab:

Da diese Informationen potenziell auch von Angreifern eingesetzt werden können, sende ich dir das im Artikel enthaltene Kurz-Webinar mit den entsprechenden Erklärungen erst nach einem kurzen Schnellcheck deines berechtigen Interesses an dich.

 

Legen wir los:

 

Internetrecherche – Wenn Zeit durch Wissen zu Macht wird

Ich arbeite seit einigen Jahren im Rahmen verschiedener Cybersecurity-Aufträge unter anderem als “low-level” Profiler. Ich suche also Informationen über bestimmte Zielpersonen- und Firmen zusammen, bereite diese auf, trianguliere diese wo möglich und sende das Ergebnis dann an meine Auftraggeber.

Mit „triangulieren“ meine ich dabei die drei- oder mehrfache Absicherung eines Ergebnisses durch verschiedene Quellen. Wenn mir also eine Quelle zum Beispiel „1.000“ als Ergebnis ausgibt, prüfe ich mit zwei weiteren Quellen diesen Wert. Wenn dabei von Quelle 2 und 3 „800“ und „1.200“ kommt, weiß ich, dass ich mit „1.000“ im Mittel recht nahe an der wahrscheinlichen Wahrheit liege.

(Wichtiger Unterschied zu “klassischen” Profilern: Ich nutze für meine Recherchen ausschließlich legale, kostenlose und anonyme Tools. Also weder große Geheimdienst-Datenbanken noch ähnliches. Deshalb “low-level”. Reicht aber für ein solides Bild meist schon mehr als aus)

 

Die Gründe für die Beauftragung eines solchen “Profilings” bzw. einer solch gezielten Internetrecherche sind vielfältig, lassen sich aber meist grob in folgende zwei Kategorien unterteilen:

  1. Ist der/die (potenzielle) Geschäftspartner/Firma zuverlässig und vertrauenswürdig? Im Internet stehen viele Sachen und mit ein wenig Ausdauer kann sich jeder eine professionell wirkende Webseite aufbauen und auf dieser alles erzählen, was er möchte. Ich prüfe, ob es bei einer Webaufstellung mit rechten Dingen zugeht.
  2. Finden sich über mich/meine Familie/meine Firma/ein mir wichtiges Thema Informationen, welche mich angreifbar/erpressbar/kompromittierbar etc. machen?

Zu jeder fundierten / erfolgreichen Cyberattacke gehört eine vorangestellte Recherche. Ohne diese kann ein Angreifer weder herausfinden

  • Ob sich der Angriff wirklich lohnt
  • Mit welchen Hürden und Gefahren er bei einem Angriff zu rechnen hat
  • Noch welche Angriffswege sich besonders lohnen und welche nicht.

Ich schaue im Auftrag des Auftraggebers, welche Informationen ich finde und wie diese möglicherweise gegen ihn verwendet werden können.

Wie so etwas aussehen kann, habe ich in einem kleinen Webinar mal exemplarisch aufgenommen:

Coming soon, du kannst dich hier in meinen Newsletter eintragen, dann erfährst du als Erster, sobald das Webinar online geht.

Abseits dieses konkreten Ablaufs, der Interpretation der dabei entstehenden Daten und dem Aufzeigen möglicher Angriffsvektoren habe ich dabei vor allem 7 Tools / Werkzeug-Kategorien genutzt. Schauen wir uns die verwendeten Werkzeuge an:

 

Der 80/20 Internetrecherche-Werkzeugkasten

Die Internetrecherche-Toolbox für schnelle Ergebnisse

Ich starte bei allgemein hilfreichen Tools und Tipps und gehe dann auf die spezielleren Werkzeuge bzw. Tipps zur Online Recherche ein.

 

 

 

1. Besser im Internet suchen: Der Einsatz von Suchoperatoren

Suchoperatoren ermöglichen es, ähnlich und meist sogar präziser als Hashtags, Internetsuchen “spitzer” zu machen. Das heißt die eigene Suchanfrage mithilfe ergänzender Informationen spezifischer zu formen. Und damit schneller und exakter zum gewünschten Ergebnis zu gelangen.

Wie kann so etwas aussehen? Das einfachste Beispiel ist eine „Suche nach Walt Disney“. Wenn ich einfach so nach der Keyword-Kombination „Walt Disney“ suche, bekomme ich alle Informationen zum Konzern, seinen Angeboten, seinem Gründer usw.

Wenn ich allerdings nur nach dem Gründer suche, kann ich Anführungszeichen um meinen Suchbegriff hinzufügen. Und damit die Suchergebnisse auf den Firmengründer beschränken.

Suchoperatoren helfen bei der Internetrecherche

Q: https://www.blogmojo.de/google-suchoperatoren/

Es gibt Dutzende derartige Suchoperatoren, die beste (mir bekannte) deutschsprachige Übersicht zum Einsatz dieser findest du hier.

 

2. Indirekt auf Fragen und Wissen anderer zugreifen: Autocomplete

Die Autocomplete-Funktion von Google ist eine weitere Möglichkeit die eigenen Suchergebnisse anzureichern. In diesem Fall nicht durch Präzision, sondern durch den Zugriff auf indirekte Daten des “Schwarmbewusstseins”.

Es gibt verschiedene Varianten dieser automatischen Vervollständigung, die zwei praktischsten sind diese beiden:

Verschiedene Autocomplete-Formen präzisieren die Online Recherche

 

Die obige findest du am unteren Ende jeder Google-Suchergebnis-Seiten.

Die untere findest du, wenn du eine Seite aus der Google-Suche heraus öffnest und dann direkt wieder zurück zur Suche gehst.

In diesem Fall werden dir weitere Suchen vorgeschlagen, welche andere User ausgeführt haben, nachdem sie ebenfalls wieder zurück zur Google-Suche geschickt wurden. Der Ablauf ist dabei meistens:

  1. Eingabe eines Suchbegriffs, zum Beispiel “Cybersecurity”
  2. Klick auf das erste organische Ergebnis.
  3. Unzufriedenheit mit dem Inhalt dieser Ergebnisseite.
  4. Klick zurück zur Google-Suche.
  5. Aufploppen der Autocomplete-Leiste unter dem angeklickten Ergebnis.

Sollte das bis hierhin noch immer zu abstrakt klingen, ich erläutere die Details in meinem Webinar zur Internetrecherche. Du kannst dich für dieses hier kostenfrei anmelden:

Coming soon, du kannst dich hier in meinen Newsletter eintragen, dann erfährst du als Erster, sobald das Webinar online geht.

Die Vorschläge dieser beiden Autocomplete-Widgets helfen, ein besseres Gefühl für das Thema zu bekommen. Und manchmal bringen Sie sogar bisher völlig unbeachtete Ideen und Verknüpfungen zum Vorschein.

Probier’s zwei- dreimal aus, dann verstehst du, was ich meine 😉

 

3. Über Bilder zu völlig neuen Verknüpfungen: Reverse Image Search

Reverse Image Search ist eine Informationssuche, nur mit Bildern statt Begriffen.

Heißt: Ich gebe keinen Schlüsselbegriff in den Suchschlitz ein, sondern ein “Schlüssel-Bild”.

Reverse Image Search ist eine der Grundlagen der Internetrecherche

 

Es gibt verschiedene Services und Varianten von Reverse Image Search Services und Algorithmen. Der Quasi-Standard allerdings ist Google.

Die Reverse Image Search eignet sich prinzipiell für alle Suchen, die auf einem Bild basieren. Im Besonderen allerdings für:

  • Die Quelle von Infografiken / Statistiken etc. Reverse Image Search findet dabei sogar Quell-PDF’s, aus welchen diese im Original stammen.
  • Ähnliche Bilder wie das Quellbild. Egal ob in verschiedenen Größen, anderen Farben oder zuweilen auch veränderten Strukturen: Mit Reverse Image Search findest du auf einen Klick den “digitalen Kontext” rund um dein Quellbild.
  • Artikel, Publikationen und generell den Kontext des Quellbildes. Mit der Rückwärts-Bilder-Suche findest du oftmals binnen weniger Sekunden Artikel und Webseiten, welche dein Quellbild eingebunden haben. Damit kennst du nicht nur die Originalquelle, sondern zeitgleich auch andere Medien, welche das Bild nutzen. Was dir wiederum hilft, deine Internetrecherche zu vertiefen und zu verbessern.

Eine kurze Anleitung der Reverse Image Search zeige ich in meinem Online Recherche Webinar. Du kannst dich hier dafür kostenfrei anmelden:

Coming soon, du kannst dich hier in meinen Newsletter eintragen, dann erfährst du als Erster, sobald das Webinar online geht.

 

4. Röntgenblick in den Maschinenraum: Die Technologie-Analyse

Es gibt verschiedene Online-Tools mit denen man die Rahmendaten einer Webseite analysieren kann.

Technologie-Analyse zur Internetrecherche

Mit diesen Tools findet man zum Beispiel heraus:

  • Das Content-Management-System (CMS)
  • Eingesetzte Plugins / Add-ons
  • Hoster
  • Frameworks
  • Content Delivery Networks (CDN’s)
  • Spezifische Mobile-Optimierungen
  • Kartierungsservices
  • Eingesetzte Zahlungsabwickler
  • Mediaplayer
  • Script-Bibliotheken
  • Werbeservices
  • Historie der meisten obigen Punkte
  • … Vieles mehr, je nach Webseite.

Trianguliert mit anderen Tools wie dem Webarchive kann man so sogar die verschiedenen Versionen der Seite anschauen, ohne bei deren Bau beteiligt gewesen zu sein.

Das hat verschiedene gravierende Vorteile:

  • Sollte ich am Bau einer Webseite beteiligt sein, kann ich so auf einen Blick ein Gefühl für die bisherigen Technologien, Stile etc. bekommen. Ohne mich abstimmen zu müssen. (Das hat manchmal einen leichten Hauch von Magie, wenn man einem Kunden sagen kann, wie seine Seite aufgebaut ist, war und basierend darauf Empfehlungen geben kann. Ohne überhaupt die Zugangsdaten zu haben)
  • Inspiration für eigene Einsätze von Tools und Plugins. (Wenn ich die Top-Seiten meiner Nische kenne, kann ich mich an deren Plugins orientieren, um stets up to date zu bleiben)
  • Das Herausfinden potenzieller Sicherheitsschwachstellen um diese schnell zu fixen. (Hilft vor allem bei der Prävention von Social Engineering Attacken. Mehr dazu im Webinar)

 

5. Reise in die Vergangenheit: Der Einsatz von Web-Archiven

Ich kann nicht nur mit Technologie-Analysen in die Vergangenheit einer Webseite schauen. Webarchiv-Lösungen erlauben mir dies nicht nur “unter der Haube”, sondern buchstäblich.

Online Recherche in die Webseiten-Vergangenheit

Die Seite des Spiegels sieht seit vielen Jahren nahezu gleich aus. So zum Beispiel im Jahr 2013. Q: WebArchive

So kann ich zum Beispiel vergangene Design-Entscheidungen auf den Tag genau nachvollziehen, Aktualisierungs-Schemas herausfinden und vieles mehr.

Auch dies hilft vor allem allen Branchen rund um Webdesign- und Entwicklung. Und im Bereich Social Engineering. Wieso letzteres, erläutere ich in meinem Webinar zum Thema.

Coming soon, du kannst dich hier in meinen Newsletter eintragen, dann erfährst du als Erster, sobald das Webinar online geht.

 

6. Webauftritte auf einen Blick analysieren: Der Traffic-Scan

Traffic ist die Summenbezeichung aller “Benutzer-Ströme”, die durch verschiedene Quellen auf meiner Webseite landen. Diese Quellen können zum Beispiel Social Media, Suchmaschinen, Newsletter oder andere sein.

Internetrecherche und Trafficscans

Q: Semrush

Ein schneller Scan dieses Traffics und seiner Zusammenstellung hilft, um Aussagen zu prüfen.

Zum Beispiel, wenn ein Kunde / potenzieller Geschäftspartner / Influencer etc. behauptet, er habe

  • Eine starke Präsenz in seiner Marktnische
  • Sehr viele Besucher im Monat, wodurch sich eine Werbepartnerschaft lohnt
  • Eine eigene Marke, welche stark in seiner Nische repräsentiert ist.
  • … Und so weiter und so ähnlich

Je nach Nische, Größe und einigen weiteren Faktoren kann man hierbei mit wenigen Klicks und einem geübten Auge die Aussagen der anderen Partei entweder validieren oder widerlegen.

Wie ich dabei vorgehe, was mir verschiedene Tools sagen und mehr erfährst du in meinem kostenlosen Webinar.

 

7. Wer mit wem seit wann wobei: Triangulation von Firmendaten

Web- und Webseitendaten sind hilfreich und wichtig. Gerade bei Geschäftspartnern und potenzieller Zusammenarbeit mit anderen Firmen reichen diese allerdings häufig nicht aus.

Für diese Spezial- und Vertiefungsfälle gibt es Werkzeuge, welche einem einen Einblick hinter die Kulissen geben.

Online Recherche in die Tiefe der Firmendaten

Q: Northdata

 

Gerade wenn man zum Beispiel das Netzwerk rund um einen Geschäftspartner kennenlernen möchte, helfen verschiedene Firmendaten-Tools schnell weiter.

Diese bringen einem unter anderem Informationen zu den Themen:

  • Firmenhistorie
  • Handelsregistereinträge
  • Involviertes Personal in Spitzenpositionen
  • Aufgekaufte Firmen
  • Und vieles weitere.

Auch hier gilt wie immer: Ein Tool allein bringt selten den Erfolg. Doch in Kombination ergibt sich oftmals ein detailliertes und aufschlussreiches Bild.

Mehr zu den konkreten Tools und deren Anwendungsfällen erfährst du in meinem kostenlosen Webinar.

Coming soon, du kannst dich hier in meinen Newsletter eintragen, dann erfährst du als Erster, sobald das Webinar online geht.

 

Bonus: Das Daten-Kaleidoskop Social Media

Wie oben bereits angesprochen, kann Social Media ein hervorragender Informationsstrom sein. Und das ist nicht auf Traffic begrenzt.

Mit Social Media-Plattformen findet man oftmals auch sehr detaillierte Informationen über konkrete Personen und Firmen heraus.

Das können zum Beispiel sein:

  • Gruppen
  • Gelikte Seiten
  • Postings und deren Historie
  • Verwendete & verlinkte Hashtags
  • Netzwerk
  • … Und vieles weitere.

Da verschiedene Netzwerke verschiedene Facetten einer Person in den Fokus stellen, bietet sich die Triangulation über alle zur Verfügung stehenden Plattformen an.

 

Das können zum Beispiel sein:

  • Die Klassiker wie Facebook, Xing und LinkedIn
  • Etwas exotischere / spezifischere wie zum Beispiel ResearchGate
  • In seltenen Fällen verknüpfte wie Pinterest oder Etsy

Besonders die Hashtag-Funktion vieler Social Media Netzwerke ermöglicht es dabei, auch aus einer völlig anderen Dimension heraus fündig zu werden. Und damit weitere relevante Informationen zur Internetrecherche zu gewinnen.

Mehr dazu findest du, du hast es vielleicht kommen sehen, in meinem kostenfreien Webinar zur vertieften Online Recherche und deren Implikationen für Cybersecurity & Co.

 

Internetrecherche und Online Recherche – Fazit:

Der richtige Umgang im Internet braucht ebenso Werkzeuge wie das klassische Handwerk. Ein Hammer tut andere Dinge als ein Schraubenzieher. Doch wenn ich eines von beiden nicht beim Einsatz dabei habe / nicht damit umzugehen weiß, bringt mir das alles nichts.

Ein Bereich mit vielen hilfreichen Werkzeugen ist die Online- / Internetrecherche. Ein paar Tools- bzw. Toolgruppen habe ich dir hier aufgezeigt und erklärt.

 

Jetzt bist du dran:

  • Welche Tools nutzt du zur Internetrecherche?
  • Wie nutzt du diese Tools?
  • Welche nutzt du explizit nicht und warum?

Ich freue mich von dir zu lesen!

 

Viele Grüße und bis zum nächsten Austausch,

Ben

Cyber Security ist Katz und Maus in digital

Cyber Security – Alles was du zu(deine)m Schutz im Digitalraum wissen musst

Dieser Beitrag ist Teil meiner Reihe zum Thema Cybersicherheit. Alles auf einen Blick zum Thema Cybersecurity findest du hier. Außerdem habe ich Artikel geschrieben zu den Theman: Security Awareness, Social Engineering, Internetrecherche, IT Security Lösungen und IT-Sicherheit allgemein, Informationssicherheit, Internetkriminalität und Cybercrime, Phishing und spezifischen Schutzwerkzeugen wie zum Beispiel VeraCrypt und Keepass. Mehr zum jeweiligen Artikel findest du beim Klick auf das jeweilige Wort. (Alle Schlagworte ohne Link darüber werden noch veröffentlicht und hier aktualisiert verlinkt) Viel Spaß mit diesem Artikel!

Cyber Security ist für deinen Ausflug in die weiten des Cyberspace ungefähr das, was Kleidung, die eigenen vier Wände und Schlösser in der echten Welt sind:

Cyber Security ist alles, was du brauchst, um den Launen der Natur dieser Dimension nicht schutzlos ausgesetzt zu sein.

Sie ist, richtig eingestellt, im virtuellen Alltag unsichtbar. Und bis etwas schiefgeht, bekommst du so oder so nichts davon mit.

Doch wie so oft gilt: Du merkst erst dann was dir fehlt, wenn es zu spät ist. Und dann umso schmerzhafter.

Nirgendwo sonst gilt das so intensiv wie im Bereich der Cyber Security:

Die Kosten mangelnder Cyber Security sind horrend

Q: https://de.statista.com/infografik/16825/geschaetzte-hoehe-des-durch-cyberattacken-entgangenen-umsatzes/

Ungesicherter Cyberspace ist ein Schlaraffenland für Kriminelle und sonstige Angreifer. Schätzungen zufolge sind mehr als 20 % aller Dateien im Netz ungeschützt. (Während zeitgleich der größte Schaden bei Angriffen durch den Verlust sensibler Informationen entsteht)

Cybercrime ist lukrativer als der weltweite Drogenhandel, und zwar um ein Vielfaches. (Was klar ist, denn bei skalierten Unternehmen skaliert sich der Schaden ebenfalls)

Weitere “Horrorstatistiken” wie diese finden sich hier zusammengestellt.

Kurzum: Wer nicht ausreichend auf seine Sicherheit im virtuellen Raum achtet, hat nur eine Alternative: Diesen zu verlassen. (Was, Digitalisierung Ahoj, seit langer Zeit keine Option mehr ist)

Aus diesen und weiteren Gründen schauen wir uns in diesem Artikel die wirkungsvollsten Mechanismen, besten Quellen und die Zukunft der Cyber Security an.

Konkret erfährst du in diesem „Rundum“-Artikel zum Thema Cyber Security:

  • Was ist Cyber Security?
  • Wie funktioniert Cyber Security nachhaltig?
  • Kann man Cyber Security messen?
  • Welche Voraussetzungen braucht Cyber Security?
  • Welche Gesetze gelten rund um diese?
  • Welche konkreten Maßnahmen kann man ergreifen um im Cyberraum sicher zu sein?
  • Was hat es mit dem NIST-Framework auf sich?
  • Wo geht die Zukunft der Cyber Security hin?
  • Vieles mehr…

Angeschnallt, die Fahrt geht los:

 

Was versteht man unter Cyber Security?

Fangen wir von vorn an: Was ist Cyber Security?

Ausführlicher habe ich diese Frage bereits in meiner Übersichtsseite zum Thema Cybersecurity beantwortet, doch eine einfache Definition zur Orientierung kann sein:

Cyber Security umfasst alle Maßnahmen um sicher in der digitalen Welt agieren zu können. (sicher zum Beispiel vor Datenverlusten oder Angriffen)

Es ist also ein wenig wie ein Picknickkorb, in welchem alle wichtigen Dinge eingepackt sind, damit das Picknick ein voller Erfolg wird.

Grundlagen der Cyber Security sind vor allem Informatik und Psychologie.

Ersteres, weil die digitale Welt aus Daten, Informationen besteht und Informatik daher Ihre “Naturgesetze” bestimmt.

Und zweiteres, weil der Cyberraum letzten Endes von Menschen bevölkert wird und sich daher um den Menschen dreht.

Es gibt natürlich noch viele weitere beteiligte Disziplinen wie Mathematik, Webdesign, künstliche Intelligenz etc. Aber diese beiden sind der Kern des ganzen.

 

Wie funktioniert Cyber Security?

Will man Cyber Security angemessen erklären, muss man zunächst die Mechanismen und den “Tanz” von Angreifer und Verteidiger erklären.

Dieser funktioniert im Kern genau wie das endlose Wettrüsten von Dieb und Detektiv in der echten Welt: Der Dieb versucht immer neue Methoden, setzt immer neue Techniken und Geräte ein, um den Detektiv zu überlisten. Und der Detektiv rüstet seinerseits immer weiter auf und bildet sich konstant weiter aus.

Im Wesentlichen ist Cybercrime- und Security genau dieser endlose Kreislauf aus Schwert und Schild, Kanone und Mauer.

Mit einem gewichtigen Unterschied: Im virtuellen Raum gibt es keine Identitäten, keine Möglichkeiten Angreifer zu identifizieren, besteht keine Notwendigkeit, tatsächlich den eigenen Computer zu verlassen. Ein Aggressor kann dich hacken und deine digitale Identität zum Pokerspielen auf den Philippinen nutzen, während er selbst in einem Bergcafé in Grönland sitzt.

Cybercrime ist theoretisch das perfekte Verbrechen. Es gibt keine Zeugen, keine Verletzten und keine Spuren. Alles ist verschlüsselt und verschleiert. Zumindest im Schlimmstfall. Oft sind die Angreifer nicht gut genug, um wirklich spurlos zu bleiben. Doch das ändert nichts an der Dimension dieser Gefahr: Gegen Cyberkriminalität helfen keine Türen und keine Schlösser. Du kannst eine Attacke weder spüren noch hören.

Cyberkriminalität ist die “dunkle” Seite der Digitalisierung: von überall aus einsetzbar, ohne große Teams und Organisationen effektiv und mit Skaleneffekten in jede mögliche Richtung.

Digital ist es egal, ob du 10 oder 10.000 Kunden hast. Und für Angreifer ist es egal, ob sie 10 oder 10.000 Datensätze erbeuten.

Deswegen ist Cyber Security von solch enormer Bedeutung. Sie ist wie ein Lichtschalter für deine digitalen Aktivitäten. Egal ob privat oder beruflich. Wenn du gehackt bist, kannst du virtuell prinzipiell ausgeschaltet werden und bist auf die Gnade / Langeweile deines Angreifers angewiesen.

Kein schöner Gedanke, oder?

 

Welche Herausforderungen tun sich im Zusammenhang mit Cyber Security auf?

Cyber Security ist, wie oben angesprochen, ein wirklich umfangreiches und komplexes Thema. Daraus entsteht bereits die erste Hürde: Zu überblicken, was wichtig ist und wie man es einsetzen kann.

Doch es gibt noch einige weitere Hürden / Herausforderungen:

  • Die Frage der Angemessenheit: Sollte ich als Privatperson meine Daten mit einem militärischen Verschlüsselungsstandard sichern, oder reicht da auch weniger?
  • Die Frage des richtigen Starts: Welche der zahlreichen Maßnahmen sollte die erste, zweite und dritte sein, um mich angemessen abzusichern?
  • Die Frage des Zeitpunktes: Welche Lösungen brauche ich heute und welche morgen? Und welche brauche ich gar nicht mehr, weil sie Schnee von gestern sind?
  • Die Frage der richtigen Wahl: Welches Programm, welchen Anbieter sollte ich wofür nehmen? Und wann reicht dessen Service nicht mehr aus?

Wie gesagt, das sind nur einige der Herausforderungen wirklich wasserdichter Cybersicherheit. Doch diese zeigen gut, warum zumindest ein solides Grundverständnis unersetzlich ist.

 

Kann man Cyber Security messen?

Eine Frage kommt immer wieder im Bereich der digitalen Sicherheit auf:

Gibt es einen objektiven “cyber security index”? Also eine Möglichkeit die eigene Firmensicherheit ungetrübt zu messen? Und wenn, gibt es diesen auch noch länderübergreifend? Gar weltweit?

Die Kurzantwort: Ja und nein. Ja, es gibt einen “offiziellen” Cyber Security Index der internationalen Telekommunikations-Union (ITU), der Agentur für Informations- und Kommunikationstechnologien der vereinten Nationen. Dieser wurde zuletzt 2018 veröffentlicht und sieht “von oben” betrachtet so aus:

Einer der vielen global Cyber Security Indizes

Quelle: https://www.itu.int/dms_pub/itu-d/opb/str/D-STR-GCI.01-2018-PDF-E.pdf

Etwas weiter aufgeschlüsselt sieht dieser Index so aus:

Cyber Security Index II

Quelle: https://www.itu.int/dms_pub/itu-d/opb/str/D-STR-GCI.01-2018-PDF-E.pdf

Insofern: Grob, ja.

 

Aber auch zeitgleich nein. Warum? Weil es mindestens so viele “objektive Indizes” gibt, wie es Cyber Security-Firmen auf der Welt gibt. Denn jede Firma möchte natürlich besser als die anderen nachweisen und dem Kunden Vormessen können, dass seine Leistung die beste ist.

Solche Indizes können zum Beispiel so aussehen.

Heißt: Es gibt Möglichkeiten, gute wie weniger gute, objektive wie subjektive, Cyber Security zu messen. Doch welche davon besser als andere sind, in welchem Maßstab etc. ist eine andere Frage, welche sich nahezu nicht pauschal beantworten lässt.

 

Welche Voraussetzungen braucht Cyber Security?

Um Cyber Security richtig einsetzen zu können, braucht man gewisse grundlegende Informationen. Man sollte vor einer Cyber Security-Strategie zum  Beispiel

  • sein System kennen
  • seine Anforderungen kennen
  • sein Budget kennen
  • den Rahmen der Umsetzung grob verstehen und vorgeben können.

 

Warum ist Cyber Security wichtig?

Nachdem wir die Grundlagen erörtert haben, noch eine kleine Geschichte zur Verdeutlichung der Wichtigkeit von Cybersicherheit in zwei Bildern:

Q: https://www.gutjahr.biz/2013/05/identity-theft/

Q: https://www.gutjahr.biz/2013/05/identity-theft/

 

Weitere Angriffsszenarien etc. findest du auf meiner Hub-Seite zum Thema Cybersecurity.

 

Welche Gesetze gelten für Cyber Security in Deutschland?

Abseits der offensichtlichen Bedrohungslage und permanenter Angriffsflächen ungeschützter Systeme kann auch der gesetzliche Druck bestehen, die eigenen Systeme zu sichern.

Vor allem bei systemkritischen Infrastruktur-Betreibern ist dies der Fall.

Cyber Security Gesetze

Quelle: https://www.bsi.bund.de/SharedDocs/Downloads/DE/BSI/Publikationen/Broschueren/Schutz-Kritischer-Infrastrukturen-ITSig-u-UP-KRITIS.pdf?__blob=publicationFile&v=7

In den meisten Fällen gelten das IT-Sicherheitsgesetz bzw. die NIS-Richtlinie. (NIS steht dabei für Netz und Informations-Sicherheit)

 

Mehr dazu findest du auf den offiziellen Seiten der Bundesregierung dazu:

 

Cyber Security, Team und Management

Cyber Security ist vor allem auf Team- und Management-Level extrem wichtig. Warum? Weil nur mit einer offenen, vertrauensvollen Struktur und Kultur destruktive Szenarien vermieden werden können. Wie zum Beispiel:

  1. Das Ausspielen des / der Teams gegeneinander (weil diese keine Informationen miteinander teilen, weil sie zerstritten sind oder dergleichen)
  2. Das Ausnutzen von Informationslücken zwischen den Teams (Weil das eine Team das andere nicht informiert über Fortschritte, Planung etc.)
  3. Das Missbrauchen von strengen Hierarchien (indem die nicht hinterfragte Hörigkeit nach “Oben” dazu führt, dass sensible Daten in die Hände von Angreifern gelangen)

Es gibt noch Dutzende, wenn nicht hunderte weitere Angriffsszenarien wie diese. Und alle basieren auf Firmenkultur- bzw. Struktur.

Deswegen sind Team und Management welche diese vorlebt so wichtig.

Mehr dazu findest du auf meiner Seite zu Security Awareness.

 

Angriffsziel Deutschland: Cyber Security für den Mittelstand

Was uns direkt zum nächsten Punkt bringt: Da wir in Deutschland sehr viele Hidden Champions, Weltmarktführer in spezifischen Nischen und technisch exzellente Mittelstandsfirmen haben, bieten sich für Angreifer hier sehr lukrative Ziele.

Da diese Firmen wie gesagt oftmals technisch sehr fit und Angriffe gegen unsichere Mitarbeiter viel einfacher sind, attackieren Aggressoren dementsprechend auch eher den Menschen hinter dem Bildschirm.

Mehr dazu inklusive konkreten Schutz-Strategien findest du auch auf meiner Seite zur Security Awareness.

 

Cyber Security Maßnahmen

Nachdem wir jetzt die verschiedenen Blickwinkel rund um die Grundlagen der Cybersicherheit kennen, kommen wir zur konkreten Umsetzung.

Welche Cyber Security Maßnahmen bringen den meisten “Bang per Buck”, den größten Effekt pro eingesetzter Ressource?

Im Wesentlichen lassen sich Cyber Security Maßnahmen grob kategorisieren in:

  1. Strategie: Ein individuelles, einsatz- geprüftes Cyber Security Konzept.
  2. Taktik: Permanent verbesserte Cyber Security Awareness, also das Sicherheitsbewusstsein aller beteiligter Personen
  3. Backup: Dem Cyber Security Notfallplan, für den Fall eines Angriffs und
  4. Rahmen: Der Kenntnis des Cyber Security NIST-Frameworks als Grundlage und Ergänzung dieser Pfeiler.

Schauen wir uns die wichtigsten Cyber Security Maßnahmen nachfolgend etwas genauer an:

 

Cyber Security Awareness: Sicherheitsbewusstsein als beste Waffe gegen jede Attacke

Wie bereits mehrfach angesprochen, ist Security Awareness eine der wichtigsten Verteidigungsstrategien gegen jeden digitalen Angriff. Denn diese ist die direkte Antwort auf das größte Einfallstor von Cyber-Kriminellen.

Deswegen sollte Cyber Security Awareness immer ganz oben auf jeder Maßnahmen-Liste stehen.

Mehr zur Cyber Security Awareness findest du hier.

 

Der Cyber Security Notfallplan:

Oftmals wird hier an die BSI-Seite bzw. die Seite der Allianz für Cybersicherheit mit Ihren hilfreichen Dokumenten verwiesen:

Mit diesen Grundlagen kommt man schon sehr weit. Doch wie sieht ein eigener Cyber Security Notfallplan aus? Exemplarisch zum Beispiel so: https://konbriefing.com/de-files/it-notfallplan/IT-Notfallplan-0.2.pdf

Der Cyber Security Notfallplan hilft wenn alles sonst zu spät ist

 

Was ist das Cyber Security NIST Framework? – Und warum ist es so wichtig?

Vom Notfallplan zu einem der wichtigsten Dokumente der gesamten Cybersicherheit: Dem Cyber Security NIST Framework.

Was ist das Cyber Security NIST Framework, was tut es und warum ist es so wichtig?

Das “Framework for Improving Critical Infrastructure Cybersecurity” des National Institute of Standards and Technology – oder kurz “NIST Framework” ist so etwas wie die Leitplanke der Cybersicherheit.

Warum? Weil es keine so kompakte, so wohl gewählte Alternative zu diesem gibt.

Es ist insgesamt 48 Seiten lang, wobei die ersten und letzten 4 Seiten Intro und Begriffserklärungen sind.

Es ist allein schon für seinen Kern wichtig:

Cyber Security NIST Framework Core

Q: https://nvlpubs.nist.gov/nistpubs/CSWP/NIST.CSWP.04162018.pdf

Zusätzlich gibt es in diesem Struktur-Dokument Hinweise zur Implementierung, Koordination, Kommunikation mit relevanten Stakeholdern und vielem mehr.

Risk Management mit dem NIST Framework

Q: https://nvlpubs.nist.gov/nistpubs/CSWP/NIST.CSWP.04162018.pdf

 

Mehr “Bang per Buck” gibt es in kaum einem anderen Werk in diesem Bereich.

Meiner Meinung nach ist das Cyber Security NIST Framework eines der Grundlagenwerke eines jeden Experten in diesem Bereich.

Zu finden ist die stets aktuelle Version des NIST Frameworks hier: https://www.nist.gov/cyberframework/framework

 

Die Zukunft der Cyber Security

Wir haben jetzt also die Grundlagen, Dringlichkeit und Maßnahmen rund um das Thema Cyber Security näher beleuchtet.

Bleibt nur noch ein wichtiger Punkt: Die Zukunft dieses komplexen Feldes.

Und die bleibt spannend!

In absehbarer Zeit gibt es drei zentrale Trends, welche sich massiv und grundlegend auf die Cyber Security auswirken werden:

Die Zukunft der Cyber Security

Cyber Security Trend #1: Stärkerer Einsatz künstlicher Intelligenz

“Künstliche Intelligenz (KI) ist die letzte Erfindung, welche die Menschheit machen muss. Ab dann übernimmt den Rest die KI selbst.”

So oder so ähnlich geht die aktuelle Diskussion rund um dieses gigantische Gebiet in Kurzform.

Die Idee dahinter, wieder in kurz, geht ungefähr so: Künstliche Intelligenz kann automatisiert schneller und besser im Digitalraum navigieren, als es ein Mensch je könnte.

Heißt: Alles von Innovation über Testing und Kundenmanagement bis hin zur Auslieferung übernimmt zum Großteil die KI.

Abgesehen davon, dass wir uns aktuell mit Höchstgeschwindigkeit in genau diese Richtung entwickeln, birgt diese “erweiterte Virtualisierung” noch weitere, eklatante Herausforderungen:

Wenn sich alles schneller und besser automatisieren lässt, gilt dies auch für Cyberattacken? Und, hoffentlich auch für Cyber Security?

Die Kurzantwort: Wahrscheinlich. Sehr wahrscheinlich. Viele Cybersecurity-Experten sehen ein großes Automatisierungspotenzial sowohl in den Anwendungen, als auch in Ihren Aufgabenbereichen.

Vielleicht haben wir also bald virtuelle Assistenten, die miteinander sprechen. Und die Sicherheit erledigen diese direkt von selbst in diesem Schritt mit.

Das kann in vielen verschiedenen Teilbereichen geschehen, aber auch “am Stück”.

Zum Beispiel in Form von “AI Sandboxes”, wie ich in einem Artikel 2019 bereits geschrieben habe. Mehr zu KI + Cyber Security an anderer Stelle.

 

Cyber Security Trend #2: (Stärkerer) Einsatz von Quantencomputern

Quantencomputer arbeiten grundlegend anders als “herkömmliche” Computer.

Aus diesem Grund müssen Systeme auch fundamental anders gesichert werden.

Und da selbst in Deutschland so langsam die Quanten-Welle losrollt, wird das auch keine Jahrzehnte mehr dauern.

Heißt: In Quanten-”harten” Systemen wird in absehbarer Zeit mehr und mehr Fokus und Geld liegen. (müssen)+

Hier wird vor allem die sogenannte “Post-Quanten-Kryptografie” immer stärker zum Tragen kommen.

 

Cyber Security Trend #3: Immer perfidere und ausgeklügeltere Social Engineering-Strategien

Der letzte große, absehbare Trend in der Cyber Security sind immer komplexere Angriffe gegen die Anwender. Diese Attacken werden immer

  • Individueller
  • Präziser
  • Kontextsensitiver und
  • Datenunterfütterter

Es wird also immer herausfordernder für User zum Beispiel Spam- und Phishingmails effektiv zu erkennen und zu filtern.

Auch hier werden mehr und mehr technische Hilfen auf den Markt kommen. Doch am sichersten bleibt nach wie vor eines: das Grundverständnis der relevanten Angriffspunkte.

Wie eine solche fortgeschrittene Attacke begonnen werden kann und welche Daten dabei herausgefunden werden können, zeige ich in meiner Mikro-Schulung zum Thema:

Coming soon. Wenn du up to date bleiben möchtest, trage dich in meinen Newsletter ein.

 

Das soll es hierzu erstmal gewesen sein, ich hoffe dieser Artikel konnte etwas Licht ins Dunkel bringen.

Mehr von mir zum Thema findest du auf meiner Cybersecurity Übersichtsseite oder direkt bei meinen Angeboten.

 

Viel Erfolg und stay safe!

Mensch gegen Maschine und künstliche Intelligenz vs Mensch

Mensch vs. Maschine / Mensch vs. künstliche Intelligenz

Mensch gegen Maschine. Ein Kampf nahezu so alt wie die Menschheit selbst.

Von den alten Griechen noch größtenteils philosophisch betrachtet ist der Wettbewerb Mensch vs. Maschine spätestens seit der industriellen Revolution in vollem Gange.

Erst wurde Muskelkraft durch Dampf, Stahl und Elektrizität überflüssig gemacht.

Jetzt jedoch geht der Kampf in seine nächste Runde:

 

Künstliche Intelligenz vs. Mensch: Algorithmus gegen Gehirn

Seit dem Aufkommen immer intelligenterer Algorithmen, immer größerer Datenmengen und Erfindungen wie dem Machine Learning stellt sich die alte Frage so dringlich wie nie zuvor:

Kann der Mensch den Kampf gegen die Maschine gewinnen?

… Bzw. ihn überhaupt führen? Länger als eine Runde?

Wie eine Reihe kluger Analysten anmerken, ist die Frage bereits schwierig bis falsch. Doch darum soll es hier und heute nicht gehen. Ich habe im Rahmen einer meiner Kurse endlich aus vielen Büchern, Tabellen und anderen Quellen ein paar Infografiken gebaut, welche Antworten auf einige Aspekte dieses epischen Kampfes geben können.

 

Hier kannst du dir diese Infografiken anschauen:

(Klick auf das Bild führt zur Version in maximaler Auflösung)

#1:

#2:

#3:

#4:

#5:

Wenn du diese Grafiken lieber ausdrucken möchtest, hast du sie hier auch nochmal in einer handlichen PDF zusammengefasst:

(Klick auf den Link führt zur PDF)

Biologische und künstliche Intelligenz im Direktvergleich

Wichtiger Hinweis zur Interpretation der Bilder und darin enthaltenen Daten:

Einige der Daten auf Maschinenseite sind Schätzungen, Extrapolationen oder Daten spezifischer Zeitpunkte aus der Vergangenheit. Doch selbst wenn die tatsächlichen Daten um mehrere Zehnerpotenzen nach oben oder unten abweichen sollten, spielt dies keine Rolle. Der Unterschied ist in jedem Szenario zu groß.

 

Mensch gegen Maschine: Und die Hardware?

Zur Physis muss an dieser Stelle wahrscheinlich nicht viel gesagt werden. In den Infografiken habe ich diesen Punkt außerdem bereits angesprochen. Es gibt keine denkbare Dimension, in der Menschen Maschinen noch rein mechanisch im direkten, vordefinierten Wettbewerb besiegen können.

Maschinen sind schneller, stärker, präziser, ausdauernder etc.

Von daher heißt es hier ganz klar: 2:0 für die Maschine.

 

Mensch gegen Maschine: Und was bleibt dann noch?

Das klingt, so gegeneinander aufgetragen möglicherweise etwas ernüchternd. Was bleibt dann noch für den Menschen über, wenn Maschinen alles besser können?

Das wichtigste: Das menschliche selbst. Das soziale. Das gemeinsame. Das emotionale, das abenteuerliche, das aufregende, das spannende, spaßige, großartig intensive. Das Leben.

Wenn wir Maschinen richtig einsetzen, bieten diese uns die Möglichkeit, in exakt der Welt zu leben, in der wir leben möchten. Alle von uns. Frei, Sicher, Glücklich und nur zur Entfaltung auf der Welt.

Und dann heißt es nicht mehr Mensch gegen Maschine. Sondern Mensch dank Maschine.

 

Das ist eine Aussicht, dank der mir Automatisierung nicht schnell genug gehen kann.

 

Wie siehst du das?

Social Engineering Beispiel - Business as usual

Social Engineering: Verstehst du es, ist dein Unternehmen (digital) sicher

Dieser Beitrag ist Teil meiner Reihe zum Thema Cybersicherheit. Alles auf einen Blick zum Thema Cybersecurity findest du hier. Außerdem habe ich Artikel geschrieben zu den Theman: Security Awareness, Cyber Security generell, Internetrecherche, IT Security Lösungen und IT-Sicherheit allgemein, Informationssicherheit, Internetkriminalität und Cybercrime, Phishing und spezifischen Schutzwerkzeugen wie zum Beispiel VeraCrypt und Keepass. Mehr zum jeweiligen Artikel findest du beim Klick auf das jeweilige Wort. (Alle Schlagworte ohne Link darüber werden noch veröffentlicht und hier aktualisiert verlinkt) Viel Spaß mit diesem Artikel!

Social Engineering ist eine der gefährlichsten Entwicklungen des Digitalzeitalters. Denn mit Social Engineering können kriminelle Angreifer in Systeme eindringen und Daten missbrauchen, nahezu egal, wie hoch die technischen Hürden auch sein mögen.

Denn es gibt im Wesentlichen zwei Angriffsmöglichkeiten auf digitale Systeme:

  1. Den Angriff auf das System selbst. Dies umfasst Hacking im “klassischen” Sinne. Also Manipulation von Rechnern, lokalen Netzwerken, Sensoren etc.
  2. Den Angriff auf den Benutzer des Systems / Menschen, die mit dem System in Kontakt stehen. Diese Angriffe zielen darauf ab, Nutzer von Systemen so zu beeinflussen, dass diese den Angreifern einen direkten Zugriff zum Ziel öffnen. Vorbei an sämtlichen Sicherheitsmaßnahmen.
Cybercrime und Social Engineering Statistik

Social Engineering ist eine der Top 3 Angriffsszenarien auf Firmen weltweit.
Quelle: https://de.statista.com/statistik/daten/studie/499324/umfrage/vorfaelle-von-cybercrime-in-unternehmen-weltweit/#professional

Ich nutze zur Veranschaulichung dieser zwei Optionen gern die Metapher einer Burg:

Ich kann in eine Burg einfallen, indem ich die Mauern durchbreche, den Burggraben überwinde und die Wachen besiege.

Oder, wie es im Falle von Social Engineering geschieht, einfach den Koch, den Bogenschützen oder im schlimmsten Fall die Wache am Tor davon überzeugen, mich hineinzulassen. Oder mir zumindest den Schlüssel für die Tore zu geben.

Im letzten Fall helfen auch die dicksten Mauern und die höchsten Zinnen nichts.

Deshalb ist Social Engineering einerseits so beliebt und zeitgleich so gefährlich.

Doch das ist noch nicht alles!

Es kommt noch dicker: Social Engineering ist nicht nur leichter für Angreifer, es ist auch lukrativer und die effizienteste Methode in ein System einzumarschieren.

Leichter, weil das Wettrüsten zwischen Cybersecurity-Firma und Hacker verhältnismäßig viele Ressourcen auf der Seite der Angreifer benötigt.

Doch lukrativer und effizienter vor allem deshalb, weil Social Engineering im schlimmsten Falle nicht einmal Hackingskills voraussetzt.

Alles, was ein Angreifer braucht, ist der Zugang zu sensiblen Bereichen. Und der lässt sich ungleich schneller und problemloser direkt vom Nutzer erlangen.

Das geht so weit, dass einige Hacker seit geraumer Zeit folgende These vertreten:

“Social Engineering sei die bei weitem effektivste Methode, um an ein Passwort zu gelangen, und schlage rein technische Ansätze in Sachen Geschwindigkeit um Längen.”

That’s it.

Social Engineering ist also

  1. Schneller
  2. Leichter
  3. Lukrativer und
  4. Effizienter

Als (die meisten komplexeren) technische Angriffe.

Social Engineering Attacken sind oft ungleich einfacher als klassisches HackingEin Mensch lässt sich im Vergleich zu einem gehärteten System oft nahezu kinderleicht “knacken”.

Was uns zum Thema führt: Was ist Social Engineering, wie sehen Angriffe aus, welche Tools gibt es zur Verteidigung und wie kann man sich davor effektiv schützen?

Heißt, in diesem Artikel lernst du unter anderem:

  1. Eine einfache und leicht verständliche Social Engineering Definition
  2. Die 3 gängigsten Social Engineering Attacken- / Social Engineering Angriffe
  3. Einige der eindrucksvollsten Social Engineering Beispiele
  4. Wirkungsvolle Maßnahmen, mit denen man sich / seine Firma / seine Mitarbeiter vor Social Engineering schützen kann

Gehen wir systematisch vor:

Die Social Engineering Definition – Womit haben wir es hier zu tun?

Wir wissen jetzt warum das Thema Social Engineering auf jedes Cybersecurity-Radar gehört.

Doch was genau ist Social Engineering überhaupt?

In meinem Artikel zum Thema Security Awareness Training habe ich Social Engineering indirekt wie folgt definiert:

“…gezielte, geplante und systematisch realisierte soziale Manipulationen mit dem Ziel Schaden zu verursachen.”

Social Engineering ist also der Versuch, durch Manipulation von Menschen in ein fremdes, meist digitales, System einzudringen.

Dieses Feld hat derart viele Facetten, dass es schwer ist, hier trennschärfer vorzugehen und diese Definition präziser zu formulieren.

Man hört immer wieder von Grobabstraktionen wie den “3 Typen des Social Engineerings” oder den “5 Formen des Social Hackings”.

Zu diesen gehören meistens

  • Phishing
  • Vishing
  • Pretexting
  • Baiting
  • Quid Pro Quo und
  • Tailgaiting

Diese Abstraktionen sind generell hilfreich, aber im “echten Leben” kommen meist Kombinationsangriffe zum Tragen, welche diese Trennschärfe aufweichen.

Social Engineering Formen und Kategorien

Um das etwas klarer zu machen, hilft es vielleicht, das Ganze mal anhand eines konkreten Beispiels durchzuspielen und ein weiteres live zu zeigen:

Zwei einfache Social Engineering Beispiele

Angenommen, ein Angreifer möchte den Zugriff zu den Kontodaten eines Unternehmens erhalten und sich 1.000.000 € überweisen.

Er weiß durch einen kurzen Technologie-Check, das ein Angriff über die technische Seite zu aufwändig wird. Weshalb er die menschliche Seite ins Visier nimmt.

Um dies zu erreichen braucht er lediglich zwei Informationen. Er muss wissen;

  1. Wer die Rechte / die Zugangsdaten zum Firmenkonto besitzt und
  2. Unter welchen Bedingungen Überweisungen von diesem ausgeführt werden. (Überweist das Konto in Echtzeit? Auch an Wochenenden? Gibt es eine maximale Überweisungssumme pro Tag? etc.)

Außerdem braucht er ein nicht zu ihm rückverfolgbares Konto / mehrere Konten, welche automatisch bei Geldeingang untereinander Geld transferieren / ein “Waschprogramm”, welches aus dem Geld einen nicht nachvollziehbaren Wert macht. Also das Geld z.B. in Bitcoins oder Gutscheinkarten umwandelt.

Alternativ kann er es auch noch einfacher machen und sich das Geld direkt vom Unternehmen selbst, aber nicht nachvollziehbar überweisen lassen. Wie das geht, wird in diesem englischsprachigen Video eindrucksvoll live demonstriert:

Ich gehe hier exemplarisch auf den ersten der beiden Fälle ein. Vor allem deshalb, weil der zweite schwieriger an Firmen einsetzbar ist. Warum? Weil dort die Wahrscheinlichkeit höher ist, dass eine oder mehrere zusätzliche Personen involviert werden, was den Angriff “unnötig” kompliziert machen kann.

Gehen wir also systematisch vor. Wie kann ein solcher Social Engineering Angriff am Beispiel aussehen? Chronologisch:

Chronologie einer Social Engineering Attacke

Wie kann eine Social Engineering Attacke Schritt für Schritt ablaufen? Ich skizziere nachfolgend eine von unzählbar vielen Möglichkeiten. Ohne dabei nachvollziehbarerweise zu sehr ins Detail zu gehen. Denn dieser Artikel soll sensibilisieren und zu einer besseren Verteidigung beitragen. Und nicht Social Engineering Angriffe leichter machen.

Was uns zu folgendem Grob-Plan führt:

  1. Der Angreifer fokussiert sich auf sein genaues Angriffsziel, wählt also die Zielfirma aus. Hierbei kann er nach verschiedenen Variablen vorgehen; Wie gut er die Firma bereits kennt, ob er schon Vorerfahrung mit Firmen dieser Art hat, ob er ein persönliches Motiv hat, genau diese Firma zu attackieren etc.
  2. Er recherchiert jetzt grob mögliche Angriffsmöglichkeiten, fragt ggf. andere (Social) Hacker um Rat oder ggf. bereits im Umlauf befindliche Zugangsdaten etc.
  3. Aus den sich ergebenden Angriffsvektoren filtert der Angreifer die lukrativsten aus und bereitet sich entsprechend vor. Hierbei sammelt er gezielt möglichst viele und möglichst wichtige Daten, welche ihn so weit wie möglich in Richtung seines Ziels bringen. Wenn notwendig, kann dies offline ebenso wie online geschehen, indem zum Beispiel Routinen von relevanten Mitarbeitern ausspioniert werden. (Was per Handyortung automatisch genau so wie mit “klassischer Beschattung” passieren kann. Ziel hierbei ist es, an Zugangsdaten zu gelangen. Das kann geschehen, indem der Angreifer in die Wohnung eines Schlüssel-Mitarbeiters eindringt, während dieser nicht daheim ist um Passwörter zu suchen etc.)
  4. Basierend auf den Ergebnissen aus Schritt 3 startet der Angreifer seine Social Engineering Attacke. Oftmals, indem er per E-Mail-Anhang eine Spionage-Software installiert und sich abseits des Mitarbeiterwissens an die notwendigen Programme begibt.

Je nach Notwendigkeit werden hier auch “klassische” Hackinggeschütze neben den Social Engineering-Waffen zu einem (halb)digitalen Großangriff kombiniert:

Social Engineering als Grossangriff

5. Nachdem der Angriff geschehen und der Schaden angerichtet ist, gibt es 3 Möglichkeiten:

    1. Der Angreifer zieht von dannen und lässt die Firma in Ruhe. Je nach “ethischem Verständnis” und Persönlichkeit des Aggressors verwischt dieser dabei seine Spuren oder lässt einfach alles stehen und liegen und zieht weiter. Das ist oftmals der Best-Case.
    2. Der Angreifer beginnt mit der Zerstörung der Firmensysteme. Das geschieht vor allem bei Auftragsangriffen. Hierbei verschlüsselt der Angreifer zum Beispiel sämtliche Festplatten und Backups, betreibt automatisierten Rufmord, indem er vorkonfigurierte E-Mails an wichtige Geschäftspartner versendet etc. Das ist der kurz- und mittelfristig schlimmste Fall. Zumal man den Verlust des Geldes in diesem Fall zunächst gar nicht bemerkt, da die Firmen-Infrastruktur zunächst gerettet werden muss.
    3. Der Aggressor verlässt scheinbar den Tatort, ohne neben dem Geldverlust Schaden zu hinterlassen. In Wahrheit verkauft er Firmendaten, Zugänge, Gebäudepläne etc. im Darknet für den Meistbietenden, welcher mit diesen Daten viel leichter einen eigenen Angriff planen und ausführen kann. All das Gelernte aus den Schritten 1. – 3. kann dabei, je nach Firma, viel Geld wert sein. Dieser Fall ist der langfristig verheerendste. Denn die angegriffene Firma wähnt sich in Sicherheit, obwohl sie bereits erneut ins Visier gerät.
Social Engineering Beispiel - Business as usual

Business as usual – oder doch nicht?

Schauen wir uns Schritt 3 des oben beschriebenen Szenarios etwas ausführlicher an.

Wie kommt ein Angreifer an welche Informationen?

Die einfachste Variante ist die Informationsbeschaffung durch kostenlose, für jeden zugängliche Tools. Ich gehe an dieser Stelle nicht näher auf diese und das genaue Vorgehen ein, da die daraus erwachsende Gefahr meines Erachtens größer als der hier gelieferte Mehrwert ist.

In meinen Trainings zeige ich diese allerdings live.

Es gibt noch viele weitere Möglichkeiten, einige leicht, andere schwer, einige schnell, andere zeitintensiv.

Eine Variante des Social “Hackings” zeigt dieses Video:

Angriffsszenario: Buchstäblich “social” Engineering

Eine Möglichkeit, die schwer genug ist, dass sie auch nach einer Beschreibung wahrscheinlich nicht sofort nachgemacht wird, ist der “Frontalangriff” mitten ins Herz der Zielfirma. Dieser kann zum Beispiel so ablaufen:

Ein Angreifer nimmt die Identität eines Paketdienstmitarbeiters an. Er liefert ein Paket zur Sekretärin seiner Zielfirma und filmt den gesamten Weg vom Eingang bis ins Büro.

Er stellt ihr während der Übergabe einige wenige, harmlos wirkende aber speziell vorbereitete Fragen um an weitere wichtige Daten zu gelangen. Diese Fragen können zum Beispiel den aktuellen Aufenthaltsort des Geschäftsführers betreffen und in etwa so gestellt sein:

“Guten Tag, ich habe hier ein Paket für Herrn Müller, er ist hier der Geschäftsführer, richtig? Ist er gerade zu sprechen? Nicht? Wann erreiche ich Ihn denn wieder? Ah, in einer Woche, ist er gerade im Urlaub? Ok, danke. Dann lasse ich das Paket einfach bei Ihnen, Frau Schulze, ok? Das Foto auf Ihrem Schreibtisch ist schön, sind das Ihre Familie und Sie?

Alles Gute Ihnen noch! Ah, eine letzte Frage habe ich noch, gibt es hier noch einen anderen Ausgang, als den Fahrstuhl vorn links? Ich danke Ihnen! Bis zum nächsten Mal und einen schönen Tag Ihnen noch!”

Klingt wie die Seite eines harmlosen Gesprächs, oder?

Doch der Angreifer hat so kinderleicht mehrere Informationen auf einmal erhalten, welche seinen späteren Angriff erleichtern können:

  • Die Bestätigung des aktuellen Geschäftsführers
  • Die Verfügbarkeiten des Geschäftsführers
  • Der Aufenthaltsort des Geschäftsführers
  • Die Familie der Assistentin / Sekretärin des Geschäftsführers, also wahrscheinlich der Person, bei welcher alle relevanten Informationen zusammenlaufen
  • Mögliche Zugangswege zu den Büroräumlichkeiten
  • Ein Gefühl dafür, wie stark Sicherheitsvorkehrungen wie Kameras oder Sicherheitspersonal im Gebäude vorhanden sind
  • Ein Gefühl dafür, wie lang er bis zu welchem Raum im Gebäude braucht und welche Schritte er dabei gehen muss
  • Usw.

Weitere Beispiele und Informationen hat DATEV in dieser handlichen PDF zusammengetragen.

Effektiver, nachhaltiger Schutz vor Social Engineering

Das Problem hierbei ist das folgende: Es sind so viele verschiedene Disziplinen zur effektiven Abwehr eines solchen Angriffs notwendig, dass der Ansatz über das Meistern dieser von vornherein zum Scheitern verurteilt ist. Wie meine ich das?

  • Um den Paketboten nonverbal zu prüfen braucht man Körpersprachewissen
  • Um richtig reagieren zu können, braucht man (Verhandlungs)psychologisches Wissen
  • Um den Kontext verstehen zu können, braucht man informatisches Wissen.
  • Und so weiter. Diese Liste lässt sich lang und ausführlich weiterführen.

Deshalb ist dieser Ansatz, “den Eimer zu flicken” meiner Meinung nach unmöglich realisierbar.

Weshalb ich einen grundlegend anderen, viel fundamentaleren wähle:

Zu einem gewissen Grad muss man Social Engineering lernen, um sich davor schützen zu können.

Was heißt das? Man muss verstehen, wie menschliche Gewohnheiten, Routinen, Denkweisen und Handlungen grundlegend vonstattengehen. Dann muss man dieses Wissen in den Kontext der digitalen Welt setzen.

Und am Ende aus diesen losen Enden eine sichere Schutzweste stricken.

Und genau das mache ich in meinen Cybersecurity-Webinaren.

Mehr zu diesen findet sich hier.

Das soll es so weit auch zum Thema Social Engineering erstmal gewesen sein. Möge dieses Wissen helfen, um Schaden zu vermeiden. Wie stehst du zu Social Engineering, lieber Leser? Hast du bereits (schmerzhafte) Erfahrung damit machen müssen? Wie schützt du dich? Ich freue mich von dir zu lesen!