Phishing Mails sind eine nicht zu unterschätzende Gefahrenquelle

Phishing Mails: 1 Klick der 12.000.000 € kostet

Phishing Mails:

1 Klick der 12.000.000 € kostet

Dieser Artikel kann deine Karriere und dein Unternehmen retten. Und vielleicht sogar noch einiges mehr…

Phishing Mails sind hinterlistige und ohne das richtige Wissen schwer erkennbare Angriffe. Hier lernst du Schritt für Schritt alle wichtigen Elemente kennen, mit denen du sicher bist. Legen wir los!

Dieser Artikel ist Teil meiner großen Informations-Serie zum Thema Cybersecurity und ein Unterpunkt meines Allround-Artikels zum Thema Phishing.

Wenn du mehr dazu wissen möchtest, wie Cyberkriminelle in Windeseile, kostenlos und anonym Daten über deine Webpräsenz herausfinden und dich damit gezielt manipulieren können, dann schau dir mein kostenloses Webinar zum Thema Online Recherche und Informationsbeschaffung an.

Was kann eine einzige Mail schon großartig anrichten?

Diese Frage stellen sich noch immer viel zu viele Menschen. Und viel zu oft sind diese in sehr wichtigen Positionen.

Schauen wir uns ein aktuelles und anschauliches Beispiel an. Zitat aus einem Artikel des Handelsblatts:

“ … Selbst wenn Unternehmen wie etwa im Fall EDAG sehr schnell auf die Attacke reagieren, ist der Aufwand, diese abzuwehren, häufig gewaltig. Das zeigt das Beispiel der Wuppertaler Schmersal. Ende Mai vergangenen Jahres wurde der Automatisierungsspezialist vom Landeskriminalamt vor einem Cyberangriff gewarnt. Sofort fuhren die Verantwortlichen alle Systeme herunter – mit massiven Folgen. Die Fertigung in sieben Werken und die Arbeit in über 50 Niederlassungen ruhte länger als zunächst gedacht.

Gut zwei Wochen dauerte es, bis jeder Winkel in dem weitverzweigten IT-Netz durchsucht war. Am Ende musste das Unternehmen die gesamte IT neu aufsetzen. Die Kosten bezifferte Philip Schmersal, der geschäftsführende Gesellschafter, auf über zwölf Millionen Euro. …“

Klingt drastisch? Ist es auch! Und hier kommt noch hinzu, dass die Verantwortlichen vorab gewarnt wurden UND vorbildlich gehandelt haben!

Im Großteil der Fälle passiert weder das eine noch das andere.

Und wie ist dieser massive Ausfall zustande gekommen?

Das wird in einem Nebensatz, beinahe beiläufig in besagtem Artikel ebenfalls erwähnt:

Auslöser – so zeigte sich bei den Analysen – war eine Mail, die völlig unverdächtig war, die aber den Trojaner in das System eingeschleust hatte.

Eine Phishing Mail hat 14 Tage lang 7 Werke in mehr als 50 Niederlassungen lahmgelegt und dabei mehr als 12.000.000 € Schaden verursacht.

Obwohl nahezu mustergültig reagiert wurde und es eine ernstgenommene Vorwarnung gab!

Was kann eine einzige Mail schon großartig anrichten? 

Einiges.

Und damit sind wir direkt im Thema: Phishing Mails.

Beim Thema Phishing Mails sind wir beim “Bread and Butter” des Phishing angelangt. Denn Fake Mails, wie Phishing E-Mails auch oft genannt werden, bilden den absoluten Großteil sämtlicher Phishing-Attacken ab. Warum?

Weil Mails extreme Vorteile für Angreifer bieten. Denn Phishing Mails sind

  1. 100%ig anonym
  2. Automatisiert,
  3. In unendlicher Zahl und
  4. Nahezu in Echtzeit erstellbar
  5. Einnisten in Firmen-Proxys möglich und Angriff über diese (Siehe Praxis-Beispiel weiter unten)

Phishing Mails sind aus Sicht der Angreifer so etwas wie eine Gelddruckmaschine für Banken. Sie liefern einen nahezu unendlichen Strom an Ressourcen zu relativ geringen Kosten.

Schauen wir uns daher in diesem Artikel Phishing E-Mails genauer an.

 

Unter anderem erfährst du:

  1. Was Phishing Mails überhaupt sind und was diese Fake Mails von „normalen“ Mails unterscheidet
  2. Eine Beispiel-Chronologie von Phishing Mail bis eingetretener Schaden
  3. Warum du überhaupt Phishing Mails bekommst / wie Kriminelle an deine Emailadresse kommen, um Phishing Mails an dich zu schicken
  4. Wie du kugelsicher Phishing Mails im Schlaf erkennst und filtern kannst, ohne auch nur mit der Wimper zu zucken
  5. Konkrete Beispiele von Phishing Mails die ich selbst erhalten und betreuen durfte
  6. Eine handliche und sofort einsetzbare 15-Punkte Checkliste um verdächtige Mails auszusondern

Legen wir los!

Was sind Phishing Mails?

Warum + Wie Links für dich zur Gefahr werden können

Beginnen wir beim Anfang: Was sind Phishing Mails überhaupt?

Phishing Mails sind technisch betrachtet und von außen besehen “normale” E-Mails. Mit einem elementaren Unterschied:

Eine Phishing Mail bringt dich nicht zum angegeben Ziel, sondern direkt in eine Gefahrenzone. Eine Gefahrenzone, die so gut getarnt ist, dass du nicht einmal dann sicher sagen kannst, dass Gefahr im Verzug ist, wenn du mitten drin stehst und unter Umständen bereits deine Daten eingibst.

Das funktioniert über gefälschte Anhänge, Dateien innerhalb von Mails und vor allem über gefälschte Links. Schauen wir uns den letzten Fall genauer an.

 

Echte vs. Fake Mails

Das kannst du dir ungefähr so vorstellen:

✅ Eine “normale” Mail enthält einen Link zu einem Ziel, zum Beispiel einem Artikel. Angenommen zum Thema Feuersalamander. Der Link funktioniert dabei wie ein Tunnel, welcher deinen Browser und dich zusammen durch eben diesen Tunnel direkt zur Zieladresse Artikel führt. Dort erfährst du also mehr über das Leben des Feuersalamanders und bist beeindruckt. Diese bekommst du zum Beispiel von deinem Kollegen Frank. Soweit alles gut, danke für die Mail, Frank.

Diese Mail sieht zum Beispiel so aus:

(Blau markiert = “sichtbarer” Linktext. Grün markiert = tatsächliches Linkziel. Rot markiert = Linkziel in “Maschinensprache”)

Hey, ich habe gerade diesen spannenden Artikel zum Thema Feuersalamander entdeckt, schau ihn dir unbedingt mal an: https://www.geo.de/geolino/tierlexikon/840-rtkl-tierlexikon-feuersalamander

Frank.

Im Quelltext, also der Sprache, in welcher Franks Computer mit deinem “spricht”, sieht diese Mail so aus:

<p>Hey, ich habe gerade diesen spannenden Artikel zum Thema Feuersalamander entdeckt, schau ihn dir unbedingt mal an: <a href=“https://www.geo.de/geolino/tierlexikon/840-rtkl-tierlexikon-feuersalamander“>https://www.geo.de/geolino/tierlexikon/840-rtkl-tierlexikon-feuersalamander</a></p><p><br></p>

<p>Frank.</p>

Im Wesentlichen sprechen auch Computer unsere Sprache, sie sind nur sehr große Liebhaber von eckigen Klammern.

Der farbig hervorgehobene Teil wird gleich noch relevant.

❌ Eine Phishing Mail enthält ebenfalls einen Link zu einem Ziel. Doch anders als im obigen, harmlosen Beispiel, führt dich dieser Link nicht zu einem harmlosen Artikel. Sondern in eine gezielt für dich gestellte Falle. Wenn der Tunnel von Frank dich ins Salamander-Biotop geführt hat, führt dich der Tunnel der Phishing-Mail direkt in ein Minenfeld. Das tückische dabei: Die Mail kann auf den ersten Blick sogar exakt so aussehen, wie die Mail von Frank. Doch unter der Haube, im Quelltext, verbirgt sich die Bombe. Schauen wir uns die Phishing-Variante von Franks Mail an:

Hey, ich habe gerade diesen spannenden Artikel zum Thema Feuersalamander entdeckt, schau ihn dir unbedingt mal an: https://www.geo.de/geolino/tierlexikon/840-rtkl-tierlexikon-feuersalamander

Frank.

Erkennst du den Unterschied? Siehst du die Zacken der Landmine aus dem Boden ragen? Noch nicht? Dann lass uns gemeinsam etwas näher ran gehen:

<p>Hey, ich habe gerade diesen spannenden Artikel zum Thema Feuersalamander entdeckt, schau ihn dir unbedingt mal an: <a href=“https://www.bsi.bund.de/DE/Home/home_node.html“>https://www.geo.de/geolino/tierlexikon/840-rtkl-tierlexikon-feuersalamander</a></p><p><br></p>

<p>Frank.</p>

Du siehst den Unterschied noch nicht? Oder siehst ihn zwar, aber weißt nicht, was dir das sagen soll? Dann klicke mal auf beide blau markierte Links und schau mal, ob sie dich zum gleichen Ziel bringen. Sollten sie doch, sie sehen schließlich gleich aus, richtig?

Die Krux liegt hierbei unter der Motorhaube. Es ist wie im echten Leben, nicht überall wo Tesla draufsteht, ist auch Tesla drin.

Was genau drin ist, sieht man meist erst beim hereinschauen. So auch hier. Der Schlüssel ist der Vergleich der beiden grün markierten Bereiche. Denn dieser Bereich ist der, der die “Ausfahrt des Tunnels” bestimmt. Der rote, sichtbare Bereich ist quasi nur das Eingangsschild. Wo du am Ende tatsächlich rauskommst, entscheidet aber der grüne Bereich.

Ich kann auch ein Schild mit der Aufschrift “In 2km Nordseeküste” vor den Gotthard-Tunnel stellen. Doch der Tunnel-”Inhalt” bestimmt, wo du tatsächlich am Ende landest.

Phishing Mails nutzen falsche Tunnelbeschriftungen gegen dich

Und deshalb ist es egal, was der blau markierte Bereich sagt. (Der Linktext) Ausschließlich der Inhalt des grünen Bereiches zählt. (Das Linkziel)

Wie im echten Leben: Nur wenn alles im grünen Bereich passt, macht die ganze Sache wirklich Spaß.

Heißt in Kurzform:

  1. Nein, du brauchst keinerlei informatisches Vorwissen um Fake-Links in Phishing-Mails zu erkennen und zu umgehen. Tatsächlich musst du nur eine Einzige Sache können:
  2. Den Unterschied zwischen dem Link erkennen, der suggeriert wird. Und dem tatsächlichen Linkziel. Wenn du einen Apfel und eine Birne voneinander unterscheiden kannst, hast du hier also gute Karten. (Mehr dazu weiter unten)

Die Kurzantwort auf die Frage “Was sind Phishing Mails?” lautet also: Mails, die dich zu einem anderen Ziel bringen, als sie suggerieren.

…Aber warum?

Welchen Sinn hat das? Warum erstellt jemand ein Linkziel, welches ein anderes ist als das, was er angibt? Machen wir ein einfaches Beispiel:

Angenommen du bekommst eine Mail von deiner Bank mit der Aufforderung, dein Onlinebanking zu ändern. Dann klickst du auf den Link, gibst deine Zugangsdaten ein und änderst, was du ändern sollst.

Gleiches Szenario, diesmal in der Phishing Variante:

Du bekommst eine Mail von einem Angreifer, welcher sich als deine Bank ausgibt. Die Mail sieht exakt gleich aus, bis hin zum Wortlaut und Logo oben links in der Ecke. Du erhältst wieder die Aufforderung, deine Onlinebanking-Daten zu ändern. Nur diesmal wirst du nicht zur tatsächlichen Bankseite geführt, sondern zu einer gefälschten, nachgebauten.

Du gibst wieder deine Daten ein, doch dann kommt eine Fehlermeldung. Du bist verwirrt, weißt aber nicht was du tun sollst, und fährst den Computer herunter.

Währenddessen haben die Kriminellen deine Zugangsdaten durch ihre gefälschte Seite erhalten, melden sich mit diesen in deinem Konto an und räumen dieses leer.

Das ist der Grund, warum Banken niemals derartige Aufforderungen per Mail senden würden.

Multidimensionale Angriffe: Drei zum Preis von einem.

Wirklich gefährlich im großen Maßstab werden Phishing Mails allerdings erst kombiniert mit anderen virtuellen Waffen.

Häufig kommt dabei das Dreigespann aus Phishing Mail – Trojaner – Ransomware zum Einsatz. Beim eingangs genannten Beispiel war dies genau die Angriffsabfolge.

Es gibt eine nahezu unendliche Anzahl von Kombinationsmöglichkeiten digitaler Waffen. Bei dem Großteil ist Phishing allerdings die Speerpitze. Aus den oben genannten Gründen.

Schauen wir uns dieses unheilvolle Trivium kurz etwas näher an.

Du kannst dir das ganze ungefähr so vorstellen:

Es klingelt bei dir und es meldet sich ein Handwerker, der bei dir ein undichtes Fenster reparieren soll.

Verwirrt und verunsichert lässt du ihn herein, schaust aus dem Fenster und ein Fahrzeug fährt die Einfahrt entlang.

Ein Mann in Montur steigt mit einem braunen Karton unterm Arm aus und kommt zu dir in die Wohnung.

Er spricht kurz mit dir, stellt den Karton auf den Küchentisch und geht mit dir ins Wohnzimmer um den Schaden zu besprechen.

Nachdem ihr alles geklärt habt und du so verwirrt wie vorher bist, siehst du überall auf dem Flur Schlangen.

Keine aus Papier. Waschechte, lebendige Schlangen kriechen langsam und zischend überall durch deine Wohnung.

Und nun?

Was Handwerker, Autos, Kartons und Schlangen mit Phishing Mails zu tun haben?

  1. Der Handwerker ist der Grund, warum du die Mail öffnest.
  2. Das Auto ist der Anhang oder der Link, welcher den Sprengstoff in deinen Rechner bringt.
  3. Der Karton ist der Trojaner, welcher nach Lust und Laune auf deinen Rechner Software installiert, ohne das du es mitbekommst.
  4. Die Schlangen sind die Ransomware, die deine Technik kidnappen und dich gefangennehmen.

Ein klassischer Phishing Mail-Ablauf

Fragst du dich immer noch „Was kann eine einzige Mail schon großartig anrichten?

Gut. Bevor wir in die Praxis gehen und ich dir anhand konkreter Beispiele erkläre, wie du Phishing Mails entschärfst, bleibt nur noch eine letzte Frage zu klären:

Warum bekomme ich überhaupt

Phishing Mails?

Die Antwort auf die Frage “Warum bekomme ich Phishing Mails?” läuft in etwa 80 % der Fälle auf eine oder beide der folgenden Optionen heraus:

  1. Deine E-Mail-Adresse wurde von einem Service weitergegeben. Es passiert nicht selten, dass Firmen übernommen werden oder Datenbanken “unter der Hand” oder auch offiziell verkaufen und große Mengen Mailadressen dadurch den Besitzer wechseln. Und nicht selten bedeutet das: Hallo Phishing Mails. Deshalb: Achte darauf, welchem Service du im Internet vertraust. Und welche Mailadresse du wo / überhaupt angibst. (Eine E-Mailadresse nur für solche Fälle ist zum Beispiel wirklich hilfreich)
  2. Ein Service wurde geknackt, die Daten gekapert und in Zehntausender-Paketen auf dem virtuellen Schwarzmarkt für Centbeträge verschleudert. Das ist meistens der Fall, wenn du wirklich “hässliche” Phishing Mails bekommst.

Schnell und einfach prüfen ob deine Mailadresse betroffen ist

Wie kannst du mit einem Klick, kostenlos und ohne Aufwand prüfen, ob deine Mailadresse(n) in einer solchen Schwarzmarkt-Schleuder im Umlauf sind?

Am einfachsten durch Services, welche die bekannten Datenbanken im Darknet kopieren und per Klick durchsuchbar machen.

Das sind zum Beispiel

  1. Have I Been Pwned als größte Prüfdatenbank oder der
  2. HPI Identity Leak Checker vor allem für deutsche Mailadressen

Einfach Link öffnen, fragliche Mail eingeben und absenden. Das Ergebnis kommt entweder direkt oder wird per Mail zugesendet.

Es gibt noch andere, ähnliche Services. Diese beiden decken meiner Erfahrung nach aber etwa 80% der relevanten Datenbanken ab.

Alright. Phishing-Mail-Grundlagen ✅. Auf zur Praxis:

Phishing Mails erkennen:

Sicher, garantiert und einfach

Phishing Mails mit minimalem Aufwand erkennen und entschärfenWir wissen jetzt wie Phishing Mails funktionieren, was sie prinzipiell so gefährlich macht und wo sie (meistens) herkommen.

Doch woran erkenne ich diese maskierten Digital-Kobolde? Was genau und sofort erkennbar zeichnet die bösen Zwillinge der E-Mail aus?

Die Kurzform zum sofortigen Einsatz, bevor wir uns gleich ausführlicher jeden der hier genannten Stichpunkte ansehen.

Wenn du Phishing Mails erkennen möchtest, hilft dir diese handliche Checkliste:

 

Phishing Mails 80/20: Wie du mit minimalem Aufwand maximale Sicherheit erreichst

Die 20 % des Aufwands welche dir > 80 % der Sicherheit bringen: Prüfe den

  1. Absender (Name + Mailadresse, vor allem die Mailadresse!)
  2. Betreff (Will er Emotionen wecken? Druck / Angst machen?)
  3. Link, auf den du klicken sollst / möchtest und ließ diesen (aus), BEVOR du auf diesen klickst. Wie das geht, hast du oben grundlegend schon erfahren. Am Beispiel live zeige ich es in meinem kostenlosen Webinar zum Thema Informationsbeschaffung und Online Recherche.

Mit diesen 3 “Tricks” und den entsprechenden Reaktionen auf das Ergebnis bist du sicher gegen jede Phishing Mail.

Wenn du dich mit mehr Informationen allerdings noch besser für diesen Kampf gerüstet fühlst, kriegst du hier noch einige weitere Punkte, welche dir garantierte Sicherheit und ein gutes Bauchgefühl bescheren:

  1. Headline prüfen (Will sie dir nur Emotionen wie Angst bringen? -> Verdächtig. Zum Beispiel “illegale Account Aktivität erkannt”)
  2. Mailabsender prüfen (Ist es irgendein spammy Bullshit? NUR die URL nach dem letzten Punkt zählt. Alles davor ist egal)
  3. Inhalt prüfen (Ist es auf Englisch obwohl ich auf Deutsch unterwegs bin?
  4. Link lesen BEVOR du auf irgendeinen Button klickst.
  5. Falls eine Trap Door / Link Cloaking von einem gehackten / erstellen ähnlich klingenden Service, zB ionos.biz statt wie normal ionos.com benutzt wurde, Link in der URL-Leiste lesen und NICHTS tun, bevor du dir nicht sicher bist, dass der Link sauber ist.
  6. Empfänger: Ist es unbekannt? Dann bist du nur einer von vielen (Hunderten bis Tausenden), denen diese Mail gerade zugeschickt wurde.

Alright, dann kommen wir jetzt zu den konkreten Beispielen. Ich habe derer 3 mitgebracht, in aufsteigenden „Echtheitsgraden“ und Gefahrenstufen: ( Du kannst mit dem Slider stufenlos zwischen der Originalmail, so wie sie auch in deinem Posteingang landet und den wichtigen Stellen auf die du achten solltest, switchen)

Die Anatomie einer Phishing Mail

Schritt für Schritt zur Sicherheit

Fall #1: „Gießkannen“-Phishing auf gut Glück

Diese Art von Phishing Mail begegnet einem am häufigsten im Netz. Hierbei werden einfach Phishing Mails erstellt und wahllos an jeden gesendet, der in der Zieldatenbank ist.

Kann mal klappen, kann mal nicht funktionieren.

Wenn diese Mails funktionieren, dann eher aufgrund der gewählten Sprache und verwendeten Wörter. Schauen wir uns systematisch die wichtigsten Warnsignale an:

  1. (3): Impliziert, dass der Empfänger bereits zwei Nachrichten zuvor verpasst hat. Führt dadurch halbbewusst zu mehr Dringlichkeit und Druck zu reagieren.
  2. Müssen: Siehe 1. Keine Bitte sondern weiterer psychischer Druckaufbau.
  3. Neue: Impliziert je nach Interpretation etwas besseres, aktuelleres oder generell eine sicherere Lösung als die Vorhergehende. Hier wird also ausgenutzt, dass Updates gut sind und neues gern genutzt wird.
  4. Web-Sicherheitssystem: Hier wird explizit Sicherheit vorgegaukelt. Und gerade bei einer Bank möchte man sicher sein. Man ist also angehalten, der Mail zu folgen.
  5. Aktivieren: Hier wird nicht „installieren“ oder „konfigurieren“ geschrieben. Sondern lediglich aktivieren, also einen Knopf drücken. Klingt einfach, dafür das man danach sicher ist, richtig? (Spätestens hier fällt auf, dass gute Copywriter auch sehr direkt gefährlich sein können 😉
  6. Absendername: Erklärung siehe oben.
  7. Absender-Mail: Wichtig! Wenn du sonst nichts in einer Mail scannst, die Mailadresse des Absenders und den Link auf den du klicken sollst, musst du prüfen! Warum siehe oben und bei Beispiel #3 weiter unten.
  8. Empfänger-Mailadresse: Siehe oben.
  9. Link auf den der Empfänger klicken soll: Wichtig! Wie oben und weiter unten geschrieben, Links immer vor dem Draufklicken lesen!

So viel zu den kritischsten Checkpoints. Es gibt noch ein paar hilfreiche Indizien, die man zusätzlich prüfen kann:

  1. Domain-Authentifizierung: Manche Programme warnen den Empfänger bereits groß und rot vorher, achtsam zu sein.
  2. Mail-Footer: Manchmal entlarven sich Phishing Mails auch über schlecht geschriebene, logisch inkonsistente oder schlicht falsch oder nicht übersetzte Texte / Textabschnitte. Passierte früher öfter, mittlerweile immer seltener.
  3. Sinnlose Inhalte am Ende der Mail: In einigen Fällen enden Phishing Mails mit sinnlosen Zeilen. Warum ist schwer zu sagen, aber es ist ein recht sicheres Indiz für eine Fake Mail. Manchmal geschieht dies in weißer Schrift auf weißem Hintergrund wie in dieser Mail, deshalb ist dieser Abschnitt auf dem Bild auch blau markiert.

Wichtig hierbei: Das sind wie gesagt generische Mails. Eine Mail für alle. In meinem Fall offensichtlich sinnlos wenn man den Absender-Service, in diesem Falle die DKB, nicht benutzt.

Doch mit relativ wenig Analyse und Recherche können solche Mails wie maßgeschneidert werden und ungleich schwerer zu identifizieren. Wie die Grundlage dafür aussehen kann, erfährst du in meinem kostenlosen Webinar.

Phishing Beispiele - 2. der Klassiker Versicherung_marked

Fall #2: Phishing getarnt im weißen Rauschen

Phishing Mail Beispiel 2

Diese Art von Fake Mails ist vor allem gefährlich für Personen und Firmen die viele Pakete erhalten.

Denn dabei geht eine solche Mail schnell unter, da mal täglich Dutzende wie diese erhält.

Schauen wir uns die Anatomie einer solchen Phishing Mail am Muster aus der Praxis an:

Wichtig: Alle bei #1 genannten Punkte gelten uneingeschränkt weiterhin und zusätzlich zu den hier ausgeführten!

  1. Nachricht aus einer Verteilerliste: Wenn das eigene Programm eine Funktion anbietet, die Quell-Liste der Phishing Mail zurückzuverfolgen, kann man dies durchaus machen. Kann im Folgeschritt dabei helfen, gezielt Adressen zu blockieren, bei Behörden zu melden und in der Zukunft besser zu wissen, worauf man achten muss. Eher optional und für Menschen mit Drang zur Technik-Detektei.
  2. Inhalt der Mail: Wenn du bis hierhin alle Punkte richtig überprüft hast, macht der Inhalt keinen großen Unterschied mehr. Dennoch können sich natürlich auch hier noch mögliche Indizien für Phishing-Ambitionen offenbaren.
  3. Weitere Absenderdaten: Auch die Prüfung von Firmendaten in der Mail und der Abgleich mit der Realität kann die Sicherheit über die Authentizität erhöhen. Anhaltspunkte können zum Beispiel sein: Verwendetes Logo, Unterschrift, Firmenname etc.

Fall #3: Phishing Mail via vertrauenswürdigem, gehacktem Proxy

Diese Art der Fake Mail ist besonders gefährlich. Denn die tatsächliche Phishing Mail wird von einer real existierenden, überprüfbaren und oftmals seriösen Firma versendet.

Und ist zeitgleich noch schwieriger zurückverfolgbar, da ein missbrauchter „Bote“ zur Zustellung der Phishing Mail genutzt wird.

Du kannst dir das vorstellen wie einen Brief den du in die Hand gedrückt bekommst, in welchem sich Juckpulver befindet. Der sich wild kratzende Empfänger wird dir nach der Übergabe die Schuld zuschieben, nicht deinem Auftraggeber.

Phishing Mails über so genannte Proxys, also „Außenstellen“ sind noch aus weiteren Gründen gefährlich, aber bleiben wir beim Beispiel und schauen uns Anhaltspunkte an:

Auch hier gilt wieder: Die Tipps von #1 und #2 gelten zusätzlich zu den hier genannten!

  1. Absender: Selten wird ein Unternehmen geknackt und als Proxy missbraucht, welche einen ähnlichen Namen oder ähnliche andere Daten hat. Der Abgleich von Namen und Mailadresse des Absenders ist hier also oftmals die einzige wirkliche Möglichkeit zur Identifikation.
  2. E-Mail-Adresse des Absenders: In diesem Fall wurde eine unprofessionell klingende Mailadresse mit „meins@“ statt zum Beispiel „kontakt@“ oder „business@“ genutzt. Was zwar einerseits sicherer vor dem möglichen Auffliegen des Einbruchs macht, aber andererseits auch die Abwehr erleichtert. Andererseits hatte die gehackte Firma über welche die Phishing Mail zugestellt wurde absolut nichts mit einer Bank zu tun. Da ich den offiziellen Firmennamen nicht nennen darf, machen wir es an einem Beispiel: Du erhältst eine Mail von Autohaus Ziegel, die Mail abgeschickt wurde aber von „auto@blumen-sommerfrische.de“. Ziemlich offensichtlich, wenn man weiß, wonach man schauen muss.
Phishing Mails erkennen - 1. gecrackte Mailadresse

Dauerskill #1: Links lesen

Was uns zum meiner Meinung nach wichtigsten Skill der Cybersicherheit insgesamt bringt: Der Fähigkeit, Links zu lesen und zu interpretieren.

Wenn du Interesse an einem ausführlichen Artikel dazu hast, kommentiere gern diesen Artikel. ⬇️

Die Kurzform siehst du im Screenshot neben diesem Text.

Zwei Dinge solltest du tun, bevor du auf irgendeinen Link im Internet klickst:

  1. Die Maus über den Link halten.
  2. Lesen, welches Linkziel dir unten links in der Ecke deines Bildschirms angezeigt wird. Wenn es das Ziel ist, zu dem du möchtest, klicke frei und unbeschwert. Wenn nicht: Finger weg!

Fake- und Phishing Mails:

Fazit

Phishing ist die größte Gefahr für Cybersicherheit im Internet. (Der Link führt zu einem Bericht des FBI von 2020, lies dir den Link aber gern vor dem Klicken durch! 😉

Die Schäden, die auf einen einzigen Klick folgen können, sind gigantisch. Persönlich wie geschäftlich.

Doch mit dem richtigen Wissen lässt sich diese Gefahrenquelle ganz leicht umschiffen. Ich hoffe ich konnte dir genau dieses Wissen in diesem Artikel vermitteln.

Und zum Schluss bekommst du hier wie versprochen die Checkliste zum ausdrucken und anwenden. Damit du jetzt nicht jedes Mal diesen Artikel öffnen, Bilder hin- und herwischen und alles händisch prüfen musst.

Wenn du mehr von mir wissen möchtest, abonniere am besten meinen Newsletter oder schreib mir direkt. 

Stay safe!

Ben

Deine kostenlose 15-Punkte Anti-Phishing-Mail Checkliste
Hier kannst du dir die Anti-Phishing-Mail Checkliste kostenlos herunterladen
Du möchtest mehr Informationen zu digitaler Transformation, Cybersecurity und künstlicher Intelligenz von mir erhalten? Dann abonniere hier kostenfrei meinen Newsletter:

Ein Phishing Anruf kann gefährliche Folgen haben

Der Phishing Anruf: Gefahr durch die Ohrmuschel

Der Phishing Anruf:

Was ihn so gefährlich macht und wie du dich schützt

Phishing Anrufe sind wie Funde von Weltkriegsbomben: Gemessen an den Gefahren des digitalen Alltags relativ selten aber mit umso mehr Vorsicht zu behandeln.

Was den Phishing Anruf so gefährlich macht, wie du dich schützen kannst und eine handliche 4-Punkte-Checkliste zur sofortigen Identifikation und Entschärfung von Phishing Calls gibt es in diesem Artikel.

Phishing Anrufe

Warum man für manche Gespräche einen Waffenschein braucht

Dieser Artikel ist Teil meiner großen Informations-Serie zum Thema Cybersecurity und ein Unterpunkt meines Allround-Artikels zum Thema Phishing.

Wenn du mehr dazu wissen möchtest, wie Cyberkriminelle in Windeseile, kostenlos und anonym Daten über deine Webpräsenz herausfinden und dich damit gezielt manipulieren können, dann schau dir mein kostenloses Webinar zum Thema Online Recherche und Informationsbeschaffung an.

Der Phishing Anruf ist im Vergleich zu seinem großen Bruder, der Fake- oder Phishing Mail eher ein kleiner Player im “Phishing-Game”. Was nicht schwer ist, lassen sich Mails doch beliebig replizieren, brauchen Anrufe allerdings noch immer Menschen.

Doch nur weil sie seltener sind, heißt es nicht, dass man nie von diesen attackiert wird. Und erst recht nicht, dass Phishing Anrufe harmlos sind. Im Gegenteil. (mehr zur Bedeutung von Phishing erfährst du in diesem Artikel)

Glücklicherweise ist es hier noch viel leichter, sicher zu sein. Denn die meisten Phishing Anrufe lassen sich leicht identifizieren und dementsprechend entschärfen. Wenn also keine Profis mit langer Vorbereitung am anderen Ende der Leitung sitzen, hat man hier ganz gute Karten.

Zumindest wenn man die Tipps auf dieser kleinen “Phishing Anruf Checkliste” beherzigt:

Deine "4-Punkt Sicherheits-Checkliste"

bei Phishing Anrufen

Auf 4 Vorkommnisse / Eigenschaften von Telefonaten solltest du achten, bzw. vorbereitet sein, um Phishing Calls nicht auf den Leim zu gehen:

  1. Es ist ein unbekannter / komisch klingender Anruf. Kann prinzipiell überall vorkommen, hier ist eine zentrale Sache wichtig: → Höre auf dein Bauchgefühl. Menschen sind im Laufe der Evolution wirklich gut darin geworden, Gefahren “aus dem Bauch heraus” zu erkennen. Lass dich von eben diesem leiten. Ist der Anruf einfach nur verwirrend oder möglicherweise gefährlich? Dein Bauch weist dir den Weg.
  2. Du sollst sensible Daten weitergeben. Wenn Handlungen wie Freigaben oder Zugänge von dir gefordert werden solltest du prinzipiell die → Notbremse ziehen und nichts sagen / entschieden gegenfragen wofür genau / ggf. direkt auflegen, statt das Notizbuch zu zücken. Mehr zum Umgang und Gefahren dabei findest du in meinen Artikel zu den Theman Security Awareness und Social Engineering.
  3. Es werden intensive Emotionen als Waffe gegen dich aufgebaut und eingesetzt. Immer wenn ein Anruf schnell und auf dem direkten Weg Druck, Angst oder ähnliche Gefühle in dir erzeugen möchte, solltest du einen radikalen Cut setzen. Entweder indem du → entschieden dagegen gehst oder auflegst oder ähnliches. Warum so kompromisslos? Weil wir emotionsgeleitet buchstäblich nicht denken können. Nicht weil wir doof sind, sondern weil unser Gehirn so funktioniert. Die Details sind etwas komplexer aber an einem Beispiel: Auf Einschüchterung folgt Angst, folgt das sogenannte  “Amygdala Hijacking”, dein “fight or flight” Mechanismus und die Sicherheit von Soft- und Hardware ist buchstäblich vergessen. Extrem wichtiger Punkt! Mehr dazu im nächsten Abschnitt.
  4. Es werden vermeintliche Sicherheiten eingesetzt, um dein Vertrauen zu gewinnen. Wie kann so etwas aussehen? Zum Beispiel wird dir während des Telefonats eine professionell aussehende Webseite angesagt, welche du in Echtzeit anschauen kannst. („Gehen Sie mal auf www. …„) Diese soll beweisen, dass der Anrufer “sauber” ist. Wenn du dir derartiger Tricks allerdings nicht bewusst bist und keine Fähigkeiten wie dem Auslesen von Hyperlinks besitzt, kannst du hier leicht aufs Kreuz gelegt werden. → Sei hier also prinzipiell skeptisch. Je mehr dir jemand etwas beweisen möchte, desto mehr versucht er etwas zu verkaufen. Kann gut sein, kann aber auch böse enden.

So viel zum Thema Phishing Calls for now. Jetzt weißt du, wie du mit einem Phishing Anruf angegriffen werden kannst und wie du dich dagegen verteidigst. (Zumindest grob, die Feinheiten brauchen eine ganze Menge mehr Wörter, aber als 80/20 Variante sollte das schon weiterhelfen)

Doch wie funktioniert die wichtigste Waffe von Phishing-Angreifern? Wie funktioniert das „Amygdala-Hijacking“? Schauen wir es uns an:

Amygdala-Hijacking:

Wie dein Gehirn "vor deinen Augen" gekidnappt wird

Viele Angriffe, egal ob offline oder digital, basieren darauf, dich kampfunfähig zu machen. Im Bestfall für den / die Angreifer, bevor der tatsächliche Angriff beginnt.

Beim Phishing geschieht dies besonders perfide. Denn du siehst den Angreifer nicht einmal und doch kann er dich wie eine Marionette tanzen lassen.

Und das alles nur, indem er die richtigen Knöpfe bei dir drückt.

Der größte und wichtigste Knopf dabei ist deine Amygdala.

Du kannst dir dein „Ich“ in verschiedenen binären Varianten vorstellen; Zukunfts-Ich vs. Jetzt-Ich, Allein-Ich vs. Gruppen-Ich und eben auch Rationales-Ich vs. „Instinkt“-Ich. (Auch hier: vereinfacht gesprochen)

Wenn du normal und ungestört deinem Alltag nachgehst, befinden sich deine höheren Hemisphären, deine Ratio am Steuer. Du kannst dabei gut rechnen, langfristige Pläne schmieden und ausführen und komplexe / abstrakte Handlungen ausführen.

Und dann gibt es noch dein „niederes“ Ich. „Nieder“ im architektonischen Sinne, denn das Gehirn ist aufgebaut wie eine Aufeinanderschichtung von Speiseeiskugeln. Und die unterste Kugel die bei dir im Sommer vielleicht Schokolade ist, ist im Gehirn dein Stammhirn. Und Teil davon ist die Amygdala.

Das ist der „Urzeit-Teil“ in uns allen. Der Teil, der zwischen Mammuts und Säbelzahntigern großgeworden ist und nichts von Computern und Cyberangriffen gehört hat.

Und genau diesen Teil möchten Kriminelle in dir wecken, wenn sie angreifen. Denn wenn dieser Teil am Steuer ist, ist der Rest von dir, deine Ratio in den Keller verbannt. Dann kannst du nur noch in schnellen, einfachen und simplen Lösungen denken. Buchstäblich. Du kannst dann nicht mehr anders denken.

Und so aufs kognitive Kreuz gelegt ist es für Angreifer ein Leichtes, an deiner Verteidigung vorbei und direkt zu den sensiblen Daten zu kommen.

Das ist auch der Grund warum bei Militärnahkampf-Training wie Krav Maga immer auch „Stresstests“ involviert sind.

Um genau diesen blinden Fleck zu trainieren und zu flicken.

Abseits der oben stehenden Checkliste helfen auch Atemtechniken und Meditation. Vor allem aber das Wissen um diese Angriffsmöglichkeit. In diesem Sinne bist du jetzt bereits sicherer, egal was du sonst tust.

Mehr zum Amygdala-Hijacking findest du in diesem hilfreichen Artikel und noch breiter gefächert in diesem Artikel der Harvard-University.

Amygdala Hijacking beim Phishing Anruf
Dieser kleine Teil deines Gehirns macht dich quasi sofort “kampfunfähig. Getriggerte Emotionen können deine Amygdala kapern und dich “geistig in die Steinzeit befördern”.

So viel von meiner Seite zum Thema Phishing Anruf. Was mich abschließend noch interessiert ist deine Sicht der Dinge:

Wie gehst du mit der Gefahr von / Phishing Anrufen um?

Wie bereitest du dich auf derartige Angriffe vor?

Hast du Erfahrungen mit Phishing Calls gemacht?

Schreib‘ es mir gern in die Kommentare, ich beantworte jeden Einzelnen und bin gespannt!

Stay safe,

Ben

Du möchtest mehr Informationen zu digitaler Transformation, Cybersecurity und künstlicher Intelligenz von mir erhalten? Dann abonniere hier kostenfrei meinen Newsletter:

Die tatsächliche Phishing Bedeutung ist größer als du wahrscheinlich denkst

Die Bedeutung von Phishing: Wie du dein digitales Sicherheitsrisiko um 96% senken kannst

Die Bedeutung von Phishing:Wie du dein digitales Sicherheitsrisiko um 96% senken kannst

Phishing ist so etwas wie die „Aufklärungseinheit“ der Cyberkriminellen. Ein falscher Klick und deine persönlichen, gesundheitlichen, Firmen- und andere sensible Daten können Ihre Reise um den Globus antreten. Welche Bedeutung Phishing hat und wie diese ganz konkret an den bei Cyberkriminellen beliebtesten Beispielen aussieht, das und mehr in diesem Artikel.

Die Phishing-Bedeutung:

Warum du hier gut hinschauen solltest

Dieser Artikel ist Teil meiner großen Informations-Serie zum Thema Cybersecurity und ein Unterpunkt meines Allround-Artikels zum Thema Phishing.

Wenn du mehr dazu wissen möchtest, wie Cyberkriminelle in Windeseile, kostenlos und anonym Daten über deine Webpräsenz herausfinden und dich damit gezielt manipulieren können, dann schau dir mein kostenloses Webinar zum Thema Online Recherche und Informationsbeschaffung an.

Es gibt in Sachen Cybersicherheit zwei Arten von Menschen. Die erste ist relativ gut informiert und fragt sich und mich:

Welche Bedeutung hat Phishing für mich in meinem digitalen Alltag?

Die zweite Gruppe ist weniger gut informiert und fragt mit Glück eher:

Was zum Kuckucksei ist Phishing? Und muss ich das überhaupt wissen?

Die Antwort auf beide Fragen ist die gleiche:

Phishing ist eine der gefährlichsten Angriffsmöglichkeiten im Internet. JA, du solltest davon wissen und JA, Phishing hat eine große Bedeutung für dich.

Sogar eine verflixt große: Fast jedes Unternehmen hat Phishing-Attacken auf Ihrer „digitalen Bedrohungsliste“ ganz oben stehen. Das ist einer dieser Fälle, in denen 96% der Befragten nicht falsch liegen können.

Glücklicherweise ist auch der weitere Verlauf der Antwort für beide Fragen gleich. Schauen wir uns in diesem Artikel also die Phishing Bedeutung etwas genauer an.

Konkret erfährst du hier:

  1. Welche Auswirkungen Phishing nach sich ziehen kann
  2. Was genau Phishing so hinterlistig und gefährlich macht
  3. Warum es eher schlimmer als besser wird (es sei denn du bildest dich dazu weiter)
  4. Die 2 bei Cyberkriminellen beliebtesten Fälle von Phishing: Amazon und Paypal

Legen wir los.

Die "wahre" Phishing-Bedeutung

Wie Daten deinen Rechner öffnen wie eine Dose

Lass mich die praktische Phishing Bedeutung mit einer Metapher beschreiben:

Phishing ist wie eine Landmine: Leicht zu übersehen, zu ignorieren und falsch zu behandeln. Wenn allerdings damit falsch umgegangen wird, können die folgen verheerend sein.

Warum ist Phishing so gefährlich? Weil die Folgen auf einen Phishing-„Angriff“ nicht absehbar sind. Es ist ein bisschen wie bei der Klimakatastrophe: Während man voll dabei ist, spürt man maximal ein flaues Gefühl im Magen. Doch sobald der tatsächliche Schaden einsetzt, können die Folgen irreparabel sein.

Denn was kann passieren? Wie oben angesprochen kann der Schaden direkt geschehen, also zum Beispiel sofort nach dem Herunterladen eines Mailanhangs einer Phishing-Mail mein System verschlüsselt und damit „digital gekidnappt“ werden.

Das ist kurzfristig nervig, aber nachdem ich den eigenen Computer einmal grundgereinigt und meine Zugangsdaten geändert habe, geht es meist wieder.

Es kann ebenso passieren, dass sich nach dem Klick auf die Phishing-Mail oder der Eingabe von Daten auf einer Phishing-Webseite ein Tracking-Programm bei mir installiert.

Dieses liest von dann an sämtliche Eingaben in meinen Computer aus und schickt diese Eingaben an den Angreifer. Und dieser hat so vollautomatisch meine Passwörter, Zugangsdaten und sensiblen Dokumentinhalte.

Dieses Szenario ist vor allem so gefährlich, weil ich es unter Umständen viel zu spät oder nie herausfinde.

Es geht aber auch noch schlimmer: Nach meinem “Hereinbitten” des Angreifers durch die Phishing-Kommunikation kann sich auch andere Software installieren. Software, welche meinen Rechner zur “Außenstelle”, zum digitalen “Brückenkopf” weiterer Cyberangriffe macht.

Sodass Angreifer, welche andere Opfer attackieren dies über meinen infizierten Rechner tun. Und die Polizei und Opfer dann bei mir klingeln, statt bei dem tatsächlichen Angreifer. Ich werde also gegen meinen Willen zum “Zombie-Komplizen” gemacht.

Das sind nur 3 Beispielszenarien und aus diesen auch nur kleine Ausschnitte. Die Bedeutung von Phishing sollte also nicht auf die zu leichte Schulter genommen werden.

Die Folgen reichen dabei von Identitätsdiebstahl, Erpressung, Betrug, Diebstahl und Datenvernichtung bis hin zur Beihilfe bei und im schlimmsten Fall der Ermöglichung von Verbrechen.

Und dort hört das Problem noch nicht einmal auf, denn Phishing wird auch immer gefährlicher.

Warum? 

Warum Phishing immer gefährlicher, aggresiver und nachhaltig schädlicher wird

Phishing „mutiert“ quasi mit dem Wissenszuwachs seiner Anwender. Was in diesem Dreierhopp geschieht:

  1. Angreifer werden immer besser und “geübter”, da sie schlicht nahezu unendlich viele Angriffsziele haben und die Erfolgsraten ähnlich wie mit Marketingtools exakt bestimmen und tracken können. ⬇️
  2. Dieses Wissen verteilt sich skalierbar und international buchstäblich in Lichtgeschwindigkeit und ⬇️
  3. Wie im echten Leben besteht auch im virtuellen Kampf das klassische Verteidiger-Dilemma: Angreifer haben immer das Überraschungsmoment und die Vorbereitungszeit auf Ihrer Seite. Verteidiger hingegen können immer nur reagieren.

Das ist dir alles zu abstrakt? Dann empfehle ich dir einen kurzen Blick ins “Phishing-Radar” der Verbraucherzentrale. Dort hast du tagesaktuell die aktuell größten Phishing-Fälle aufgezeigt.

Das sieht, am Beispiel einer Phishing Mail zu Paypal, zum Beispiel so aus:

Phishing & Paypal: Eine unfreiwillige, innige Beziehung

Phishing + Paypal = eine explosive Mischung. Das sehen sowohl Cyberkriminelle als auch Kunden von Paypal so. 

Doch warum ist Paypal so stark im Fokus?

Aus drei Gründen:

  1. Weil Paypal der Direktlink zu Geld ist.
  2. Weil Paypal Phishing ungleich schwerer nachzuvollziehen ist, als bei anderen Banken. Eine Emailadresse lässt sich problemlos fälschen, ein Konto schwerer.
  3. Weil es skalierbar ist. Wie oben bereits ausgeführt kann ich ohne große Hürden Hunderttausende Mails aus einmal losschicken und meinen Angriffsradius damit maximieren. Ohne das es mir technisch große Probleme bereitet.

Aus ähnlichen Gründen ist der Angriff auf Amazon-Konten auch so interessant. Nur das sich Angreifer dabei kein Geld überweisen, sondern Dinge in Ihre Nähe senden lassen und diese dann gefahrlos abholen.

Deshalb, konkret an den beiden Beispielen Amazon und Paypal: Phishing kann dir deinen Kontostand, deine Beziehungen und deinen Arbeitsplatz verhageln. (Und noch viel mehr, wenn ein Angreifer es darauf anlegt)

Sei also wachsam und achtsam bei jeder Mail und jedem Link den du anklickst!

Welche Bedeutung hat Phishing in deinem Leben bis jetzt / bereits eingenommen? Schreib‘ es mir gern in die Kommentare!

Stay safe,

Ben

Beispiel Phishing Paypal aus dem Phishing Radar der Verbraucherzentrale
Quelle: https://www.verbraucherzentrale.de/wissen/digitale-welt/phishingradar/phishingradar-aktuelle-warnungen-6059
Du möchtest mehr Informationen zu digitaler Transformation, Cybersecurity und künstlicher Intelligenz von mir erhalten? Dann abonniere hier kostenfrei meinen Newsletter:

Das Fermi Paradox

Das Fermi Paradox: Sind wir allein im All? (Antworten die kaum jemand kennt)

Ah ja das Fermi Paradox. Oder anders formuliert:

„Wenn es Abermilliarden von Sternen, Planeten und Monden gibt, wo sind dann all die anderen Lebensformen, Zivilisationen, Aliens?“ Wenn es nahezu unendlich viele Möglichkeiten gibt, Leben im Universum zu beherrbergen, muss doch zwangsläufig auch anderes Leben als das menschliche da draußen sein, richtig? Warum aber haben wir dann bisher absolut keine Spuren von diesem Leben irgendwo finden können? Sind wir allein in den Weiten des Alls?

Dieses vermeindliche Paradox, also der auf den ersten Blick offensichtliche Widerspruch zwischen unzählbar vielen Lebensräumen aber (bisher) exakt 0 gefundenen Lebensformen wird als „Fermi-Pradox“ bezeichnet. Warum Fermi? Weil die grundlegende Frage „Wo sind denn alle?“ Enrico Fermi, einen Physiker zugeschrieben wird. Ob und wie das stimmt oder nicht, führt dieser Artikel ganz gut weiter aus.

Mich interessiert allerdings weniger die Geschichte der Frage, als viel mehr die möglichen Antworten. Und hier gibt es einige, die fast überall übersehen werden.

Selbst Elon Musk, hauptberuflich Sternenerkunder, kennt diese nicht. (Wie er in Folge 1609 des Podcasts von Joe Rogan gesagt bzw. nicht gesagt hat)

 

Deshalb, vor allem weil ich diese weiteren Antwortmöglichkeiten für weitergebenswert halte, hier die weiteren Lösungsoptionen von David Deutsch, einem weiteren Physiker. Diese sind einem Podcast von David Deutsch und Chris Anderson entnommen und können hier nachgehört werden.

 

Die „klassischen“ Antworten zur Lösung des Fermi-Paradoxons:

Die meisten „Standard-Antworten“ auf dieses Paradox passen in eine von beiden Kategorien:

  1. Wir sind die Einzigen im All. –> Spooky, wenn man darüber nachdenkt.
  2. Es gibt Milliarden anderer Lebewesen im All, wir können diese nur nicht finden / sie wollen nicht gefunden werden / wir haben sie noch nicht gefunden etc. –> Auch spooky beim nachsinnieren, vielleicht sind sie ja schon unter uns und wir wissen es nur noch nicht?

Ausschließen kann man prinzipiell natürlich nichts, was nicht wohl falsifizierten Naturgesetzen widerspricht, dennoch gibt es auch noch andere Optionen neben diesem „Schwarz-Weiß-Schema“. Die schaffen es nur irgendwie relativ selten in die Gespräche. Schauen wir uns einige davon an:

 

Die unbekannte(re)n Antworten und Antwortmöglichkeiten rund um das Fermi Paradox:

  1. Wir sind die Ersten. Das Universum hat noch verflixt viel Zeit vor sich, warum sollten Menschen also nicht „Pioniere komplexen Lebens“ sein? Vielleicht bringen wir buchstäblich Leben in die interstellare Bude. Klingt meiner Meinung nach durchaus fancy.
  2. Andere Lebensformen haben sich „nach innen“ bzw. „unten“ entwickelt. Warum sollte sich eine / viele hinreichend entwickelte Zivilisationen nicht das Metermaß hinab- statt hinauf entwickelt haben? Als in Richtung der Nano- statt Makroskala? Raum ist nicht das Problem im Universum, davon gibt es mehr als genug. Zeit schon. Es ist einfach nicht einfach, eine Kultur über lange interstellare Distanzen aufrechtzuerhalten. Das macht ein Flug von Deutschland in die USA schon bewusst. Aber wenn buchstäblich Lichtjahre zwischen „Kolonien“ liegen, gibt es beim nächsten Geburtstagsbesuch die alten Vorfahren auf diese Weise möglicherweise schon gar nicht mehr. Wenn andere Planeten andere Gravitationen, Gezeiten etc. haben, entwickeln sich Spezies mit genügend Zeit voneinander weg. Möchte man das vermeiden, ist es naheliegend, ins Kleine zu gehen, statt ins Große. Schlüsselinformation bei diesem Szenario: Es gibt in Größenordnungen nach unten mehr zu entdecken als nach oben ins Universum.
  3. Andere Lebensformen sind einfach so glücklich. Das Konzept „permanenter statischer Glückseligkeit“ ist das vielleicht interessanteste: Was, wenn andere Lebensformen es einfach geschafft haben, permanent glücklich zu sein? Und anders als Menschen einfach mit dem Status Quo zufrieden sind? Sie quasi eine Art „kollektives Heroin“ gefunden haben, nur auf eine gute Art? Wir würden wahrscheinlich niemals von Ihnen hören, es sei denn wir würden mit dem Bug voraus in Ihren Vorgarten krachen. Denn diese Lebensform hat keine Notwendigkeit irgendetwas zu tun, sie ist ja bereits glücklich. Manchmal liegt das offensichtliche so weit entfernt 😉
  4. Im Universum übertrumpft die Zeit sogar den Raum, so dass sich jede andere Zivilisation mindestens 10 Millionen Jahre vor oder nach uns entwickelt haben müsste. Was mehr als genug Zeit lässt, Spuren zu verwischen, andere, nicht-detektierbare Entwicklungswege zu gehen usw. Was allerdings eine gewichtige Frage zurücklässt: Warum gibt es keine Hinweise auf Ingenieurwesen / Technik / Technologie im Universum außer uns? (Planeten die umgeformt wurden oder zumindest Spuren wie unsere Megastädte usw. Irgendwo) Egal in welche Richtung sich eine Zivilisation weiterentwickelt, von den „stepping stones“ sollten wir irgendwo Spuren sehen. (Und sei es in Form von Strahlung die durchs Universum fliegt)

 

Du siehst, ich habe auch keine finale „Antwort“ rund um das Fermi Paradox. Aber ich konnte vielleicht helfen aus dem vermeintlichen Paradox eher eine Frage zu machen.

Ich hoffe diese Inputs helfen dir weiter beim Grübeln über den Rest des Universums. Und ganz wichtig:

 

Welche Lösungsideen für das Fermi-Paradoxon hast du?

 

Bis dann

Ben

Internetrecherche und Online Recherche zur Informationsbeschaffung

Wie du mit richtiger Internetrecherche nie wieder übers Ohr gehauen wirst

Dieser Beitrag ist Teil meiner Reihe zum Thema Cybersicherheit. Alles auf einen Blick zum Thema Cybersecurity findest du hier. Außerdem habe ich Artikel geschrieben zu den Theman: Cyber Security allgemein, Security Awareness, Social Engineering, IT Security Lösungen und IT-Sicherheit allgemein, Informationssicherheit, Internetkriminalität und Cybercrime, Phishing und spezifischen Schutzwerkzeugen wie zum Beispiel VeraCrypt und Keepass. Mehr zum jeweiligen Artikel findest du beim Klick auf das jeweilige Wort. (Alle Schlagworte ohne Link darüber werden noch veröffentlicht und hier aktualisiert verlinkt) Viel Spaß mit diesem Artikel!

Internetrecherche, bzw. Online Recherche in Netzwerken abseits des Internets hat sich im Kontext von Cyberkriminalität – und Cybersecurity zu einem Damoklesschwert entwickelt. Warum? Nun:

Für Menschen die wissen, wo sie die richtigen Informationen herbekommen, ist das Internet ein einziges Schlaraffenland.

Für Menschen, die hingegen weder wissen, welche Informationen man frei zugänglich erhält und welche ungeahnte Langlebigkeit diese entwickeln können, kann das Internet zur tickenden Zeitbombe werden.

Es ist ein wenig wie mit Atommüll: Wenn ich Halbwertszeit und Gefahr nicht einschätzen kann, unterlaufen mir unter Umständen schwere Fehler.

Internetrecherche kann potenziell gefährliche Informationen sichtbar machen

 

Deshalb geht es in diesem Artikel um das Thema Internetrecherche. Bzw. noch etwas tiefer: die Informationsbeschaffung rund um komplexere, tiefergehende Themen.

Also nicht nur um das Herausfinden von Anleitungen und Hilfestellungen für kleinere Alltagsprobleme.

Sondern das systematische Erstellen von Profilen, Datenclustern und Interpretationsansätzen des Gefundenen.

Um den Schleier des mysteriösen zu lüften, potenzielle Angriffsvektoren zu negieren und deine Informationsbeschaffung im Internet besser zu gestalten, schauen wir uns dazu einige “Werkzeugkategorien” an.

 

Unter anderem gehen wir hier darauf ein:

  1. Die 7+1 besten, konkreten Tools / Plattformen für eine erfolgreiche und effiziente Online-Recherche
  2. Best Practises bei der Anwendung und Aussagekraft der Ergebnisse (Plus Erklärung der Triangulation)
  3. Wie du in windeseile, kostenlos und anonym die Technologie einer Webseite, deren Besucheranzahl und vieles mehr herausfindest
  4. Warum im Web Zeitmaschinen existieren und wie du diese einsetzen kannst
  5. Wie dir wenige Zeichen und Klicks an den richtigen Stellen mehr über deine Suchziele verraten
  6. Vieles mehr.

 

Wichtiger Hinweis vorab:

Da diese Informationen potenziell auch von Angreifern eingesetzt werden können, sende ich dir das im Artikel enthaltene Kurz-Webinar mit den entsprechenden Erklärungen erst nach einem kurzen Schnellcheck deines berechtigen Interesses an dich.

 

Legen wir los:

 

Internetrecherche – Wenn Zeit durch Wissen zu Macht wird

Ich arbeite seit einigen Jahren im Rahmen verschiedener Cybersecurity-Aufträge unter anderem als “low-level” Profiler. Ich suche also Informationen über bestimmte Zielpersonen- und Firmen zusammen, bereite diese auf, trianguliere diese wo möglich und sende das Ergebnis dann an meine Auftraggeber.

Mit „triangulieren“ meine ich dabei die drei- oder mehrfache Absicherung eines Ergebnisses durch verschiedene Quellen. Wenn mir also eine Quelle zum Beispiel „1.000“ als Ergebnis ausgibt, prüfe ich mit zwei weiteren Quellen diesen Wert. Wenn dabei von Quelle 2 und 3 „800“ und „1.200“ kommt, weiß ich, dass ich mit „1.000“ im Mittel recht nahe an der wahrscheinlichen Wahrheit liege.

(Wichtiger Unterschied zu “klassischen” Profilern: Ich nutze für meine Recherchen ausschließlich legale, kostenlose und anonyme Tools. Also weder große Geheimdienst-Datenbanken noch ähnliches. Deshalb “low-level”. Reicht aber für ein solides Bild meist schon mehr als aus)

 

Die Gründe für die Beauftragung eines solchen “Profilings” bzw. einer solch gezielten Internetrecherche sind vielfältig, lassen sich aber meist grob in folgende zwei Kategorien unterteilen:

  1. Ist der/die (potenzielle) Geschäftspartner/Firma zuverlässig und vertrauenswürdig? Im Internet stehen viele Sachen und mit ein wenig Ausdauer kann sich jeder eine professionell wirkende Webseite aufbauen und auf dieser alles erzählen, was er möchte. Ich prüfe, ob es bei einer Webaufstellung mit rechten Dingen zugeht.
  2. Finden sich über mich/meine Familie/meine Firma/ein mir wichtiges Thema Informationen, welche mich angreifbar/erpressbar/kompromittierbar etc. machen?

Zu jeder fundierten / erfolgreichen Cyberattacke gehört eine vorangestellte Recherche. Ohne diese kann ein Angreifer weder herausfinden

  • Ob sich der Angriff wirklich lohnt
  • Mit welchen Hürden und Gefahren er bei einem Angriff zu rechnen hat
  • Noch welche Angriffswege sich besonders lohnen und welche nicht.

Ich schaue im Auftrag des Auftraggebers, welche Informationen ich finde und wie diese möglicherweise gegen ihn verwendet werden können.

Wie so etwas aussehen kann, habe ich in einem kleinen Webinar mal exemplarisch aufgenommen:

Coming soon, du kannst dich hier in meinen Newsletter eintragen, dann erfährst du als Erster, sobald das Webinar online geht.

Abseits dieses konkreten Ablaufs, der Interpretation der dabei entstehenden Daten und dem Aufzeigen möglicher Angriffsvektoren habe ich dabei vor allem 7 Tools / Werkzeug-Kategorien genutzt. Schauen wir uns die verwendeten Werkzeuge an:

 

Der 80/20 Internetrecherche-Werkzeugkasten

Die Internetrecherche-Toolbox für schnelle Ergebnisse

Ich starte bei allgemein hilfreichen Tools und Tipps und gehe dann auf die spezielleren Werkzeuge bzw. Tipps zur Online Recherche ein.

 

 

 

1. Besser im Internet suchen: Der Einsatz von Suchoperatoren

Suchoperatoren ermöglichen es, ähnlich und meist sogar präziser als Hashtags, Internetsuchen “spitzer” zu machen. Das heißt die eigene Suchanfrage mithilfe ergänzender Informationen spezifischer zu formen. Und damit schneller und exakter zum gewünschten Ergebnis zu gelangen.

Wie kann so etwas aussehen? Das einfachste Beispiel ist eine „Suche nach Walt Disney“. Wenn ich einfach so nach der Keyword-Kombination „Walt Disney“ suche, bekomme ich alle Informationen zum Konzern, seinen Angeboten, seinem Gründer usw.

Wenn ich allerdings nur nach dem Gründer suche, kann ich Anführungszeichen um meinen Suchbegriff hinzufügen. Und damit die Suchergebnisse auf den Firmengründer beschränken.

Suchoperatoren helfen bei der Internetrecherche

Q: https://www.blogmojo.de/google-suchoperatoren/

Es gibt Dutzende derartige Suchoperatoren, die beste (mir bekannte) deutschsprachige Übersicht zum Einsatz dieser findest du hier.

 

2. Indirekt auf Fragen und Wissen anderer zugreifen: Autocomplete

Die Autocomplete-Funktion von Google ist eine weitere Möglichkeit die eigenen Suchergebnisse anzureichern. In diesem Fall nicht durch Präzision, sondern durch den Zugriff auf indirekte Daten des “Schwarmbewusstseins”.

Es gibt verschiedene Varianten dieser automatischen Vervollständigung, die zwei praktischsten sind diese beiden:

Verschiedene Autocomplete-Formen präzisieren die Online Recherche

 

Die obige findest du am unteren Ende jeder Google-Suchergebnis-Seiten.

Die untere findest du, wenn du eine Seite aus der Google-Suche heraus öffnest und dann direkt wieder zurück zur Suche gehst.

In diesem Fall werden dir weitere Suchen vorgeschlagen, welche andere User ausgeführt haben, nachdem sie ebenfalls wieder zurück zur Google-Suche geschickt wurden. Der Ablauf ist dabei meistens:

  1. Eingabe eines Suchbegriffs, zum Beispiel “Cybersecurity”
  2. Klick auf das erste organische Ergebnis.
  3. Unzufriedenheit mit dem Inhalt dieser Ergebnisseite.
  4. Klick zurück zur Google-Suche.
  5. Aufploppen der Autocomplete-Leiste unter dem angeklickten Ergebnis.

Sollte das bis hierhin noch immer zu abstrakt klingen, ich erläutere die Details in meinem Webinar zur Internetrecherche. Du kannst dich für dieses hier kostenfrei anmelden:

Coming soon, du kannst dich hier in meinen Newsletter eintragen, dann erfährst du als Erster, sobald das Webinar online geht.

Die Vorschläge dieser beiden Autocomplete-Widgets helfen, ein besseres Gefühl für das Thema zu bekommen. Und manchmal bringen Sie sogar bisher völlig unbeachtete Ideen und Verknüpfungen zum Vorschein.

Probier’s zwei- dreimal aus, dann verstehst du, was ich meine 😉

 

3. Über Bilder zu völlig neuen Verknüpfungen: Reverse Image Search

Reverse Image Search ist eine Informationssuche, nur mit Bildern statt Begriffen.

Heißt: Ich gebe keinen Schlüsselbegriff in den Suchschlitz ein, sondern ein “Schlüssel-Bild”.

Reverse Image Search ist eine der Grundlagen der Internetrecherche

 

Es gibt verschiedene Services und Varianten von Reverse Image Search Services und Algorithmen. Der Quasi-Standard allerdings ist Google.

Die Reverse Image Search eignet sich prinzipiell für alle Suchen, die auf einem Bild basieren. Im Besonderen allerdings für:

  • Die Quelle von Infografiken / Statistiken etc. Reverse Image Search findet dabei sogar Quell-PDF’s, aus welchen diese im Original stammen.
  • Ähnliche Bilder wie das Quellbild. Egal ob in verschiedenen Größen, anderen Farben oder zuweilen auch veränderten Strukturen: Mit Reverse Image Search findest du auf einen Klick den “digitalen Kontext” rund um dein Quellbild.
  • Artikel, Publikationen und generell den Kontext des Quellbildes. Mit der Rückwärts-Bilder-Suche findest du oftmals binnen weniger Sekunden Artikel und Webseiten, welche dein Quellbild eingebunden haben. Damit kennst du nicht nur die Originalquelle, sondern zeitgleich auch andere Medien, welche das Bild nutzen. Was dir wiederum hilft, deine Internetrecherche zu vertiefen und zu verbessern.

Eine kurze Anleitung der Reverse Image Search zeige ich in meinem Online Recherche Webinar. Du kannst dich hier dafür kostenfrei anmelden:

Coming soon, du kannst dich hier in meinen Newsletter eintragen, dann erfährst du als Erster, sobald das Webinar online geht.

 

4. Röntgenblick in den Maschinenraum: Die Technologie-Analyse

Es gibt verschiedene Online-Tools mit denen man die Rahmendaten einer Webseite analysieren kann.

Technologie-Analyse zur Internetrecherche

Mit diesen Tools findet man zum Beispiel heraus:

  • Das Content-Management-System (CMS)
  • Eingesetzte Plugins / Add-ons
  • Hoster
  • Frameworks
  • Content Delivery Networks (CDN’s)
  • Spezifische Mobile-Optimierungen
  • Kartierungsservices
  • Eingesetzte Zahlungsabwickler
  • Mediaplayer
  • Script-Bibliotheken
  • Werbeservices
  • Historie der meisten obigen Punkte
  • … Vieles mehr, je nach Webseite.

Trianguliert mit anderen Tools wie dem Webarchive kann man so sogar die verschiedenen Versionen der Seite anschauen, ohne bei deren Bau beteiligt gewesen zu sein.

Das hat verschiedene gravierende Vorteile:

  • Sollte ich am Bau einer Webseite beteiligt sein, kann ich so auf einen Blick ein Gefühl für die bisherigen Technologien, Stile etc. bekommen. Ohne mich abstimmen zu müssen. (Das hat manchmal einen leichten Hauch von Magie, wenn man einem Kunden sagen kann, wie seine Seite aufgebaut ist, war und basierend darauf Empfehlungen geben kann. Ohne überhaupt die Zugangsdaten zu haben)
  • Inspiration für eigene Einsätze von Tools und Plugins. (Wenn ich die Top-Seiten meiner Nische kenne, kann ich mich an deren Plugins orientieren, um stets up to date zu bleiben)
  • Das Herausfinden potenzieller Sicherheitsschwachstellen um diese schnell zu fixen. (Hilft vor allem bei der Prävention von Social Engineering Attacken. Mehr dazu im Webinar)

 

5. Reise in die Vergangenheit: Der Einsatz von Web-Archiven

Ich kann nicht nur mit Technologie-Analysen in die Vergangenheit einer Webseite schauen. Webarchiv-Lösungen erlauben mir dies nicht nur “unter der Haube”, sondern buchstäblich.

Online Recherche in die Webseiten-Vergangenheit

Die Seite des Spiegels sieht seit vielen Jahren nahezu gleich aus. So zum Beispiel im Jahr 2013. Q: WebArchive

So kann ich zum Beispiel vergangene Design-Entscheidungen auf den Tag genau nachvollziehen, Aktualisierungs-Schemas herausfinden und vieles mehr.

Auch dies hilft vor allem allen Branchen rund um Webdesign- und Entwicklung. Und im Bereich Social Engineering. Wieso letzteres, erläutere ich in meinem Webinar zum Thema.

Coming soon, du kannst dich hier in meinen Newsletter eintragen, dann erfährst du als Erster, sobald das Webinar online geht.

 

6. Webauftritte auf einen Blick analysieren: Der Traffic-Scan

Traffic ist die Summenbezeichung aller “Benutzer-Ströme”, die durch verschiedene Quellen auf meiner Webseite landen. Diese Quellen können zum Beispiel Social Media, Suchmaschinen, Newsletter oder andere sein.

Internetrecherche und Trafficscans

Q: Semrush

Ein schneller Scan dieses Traffics und seiner Zusammenstellung hilft, um Aussagen zu prüfen.

Zum Beispiel, wenn ein Kunde / potenzieller Geschäftspartner / Influencer etc. behauptet, er habe

  • Eine starke Präsenz in seiner Marktnische
  • Sehr viele Besucher im Monat, wodurch sich eine Werbepartnerschaft lohnt
  • Eine eigene Marke, welche stark in seiner Nische repräsentiert ist.
  • … Und so weiter und so ähnlich

Je nach Nische, Größe und einigen weiteren Faktoren kann man hierbei mit wenigen Klicks und einem geübten Auge die Aussagen der anderen Partei entweder validieren oder widerlegen.

Wie ich dabei vorgehe, was mir verschiedene Tools sagen und mehr erfährst du in meinem kostenlosen Webinar.

 

7. Wer mit wem seit wann wobei: Triangulation von Firmendaten

Web- und Webseitendaten sind hilfreich und wichtig. Gerade bei Geschäftspartnern und potenzieller Zusammenarbeit mit anderen Firmen reichen diese allerdings häufig nicht aus.

Für diese Spezial- und Vertiefungsfälle gibt es Werkzeuge, welche einem einen Einblick hinter die Kulissen geben.

Online Recherche in die Tiefe der Firmendaten

Q: Northdata

 

Gerade wenn man zum Beispiel das Netzwerk rund um einen Geschäftspartner kennenlernen möchte, helfen verschiedene Firmendaten-Tools schnell weiter.

Diese bringen einem unter anderem Informationen zu den Themen:

  • Firmenhistorie
  • Handelsregistereinträge
  • Involviertes Personal in Spitzenpositionen
  • Aufgekaufte Firmen
  • Und vieles weitere.

Auch hier gilt wie immer: Ein Tool allein bringt selten den Erfolg. Doch in Kombination ergibt sich oftmals ein detailliertes und aufschlussreiches Bild.

Mehr zu den konkreten Tools und deren Anwendungsfällen erfährst du in meinem kostenlosen Webinar.

Coming soon, du kannst dich hier in meinen Newsletter eintragen, dann erfährst du als Erster, sobald das Webinar online geht.

 

Bonus: Das Daten-Kaleidoskop Social Media

Wie oben bereits angesprochen, kann Social Media ein hervorragender Informationsstrom sein. Und das ist nicht auf Traffic begrenzt.

Mit Social Media-Plattformen findet man oftmals auch sehr detaillierte Informationen über konkrete Personen und Firmen heraus.

Das können zum Beispiel sein:

  • Gruppen
  • Gelikte Seiten
  • Postings und deren Historie
  • Verwendete & verlinkte Hashtags
  • Netzwerk
  • … Und vieles weitere.

Da verschiedene Netzwerke verschiedene Facetten einer Person in den Fokus stellen, bietet sich die Triangulation über alle zur Verfügung stehenden Plattformen an.

 

Das können zum Beispiel sein:

  • Die Klassiker wie Facebook, Xing und LinkedIn
  • Etwas exotischere / spezifischere wie zum Beispiel ResearchGate
  • In seltenen Fällen verknüpfte wie Pinterest oder Etsy

Besonders die Hashtag-Funktion vieler Social Media Netzwerke ermöglicht es dabei, auch aus einer völlig anderen Dimension heraus fündig zu werden. Und damit weitere relevante Informationen zur Internetrecherche zu gewinnen.

Mehr dazu findest du, du hast es vielleicht kommen sehen, in meinem kostenfreien Webinar zur vertieften Online Recherche und deren Implikationen für Cybersecurity & Co.

 

Internetrecherche und Online Recherche – Fazit:

Der richtige Umgang im Internet braucht ebenso Werkzeuge wie das klassische Handwerk. Ein Hammer tut andere Dinge als ein Schraubenzieher. Doch wenn ich eines von beiden nicht beim Einsatz dabei habe / nicht damit umzugehen weiß, bringt mir das alles nichts.

Ein Bereich mit vielen hilfreichen Werkzeugen ist die Online- / Internetrecherche. Ein paar Tools- bzw. Toolgruppen habe ich dir hier aufgezeigt und erklärt.

 

Jetzt bist du dran:

  • Welche Tools nutzt du zur Internetrecherche?
  • Wie nutzt du diese Tools?
  • Welche nutzt du explizit nicht und warum?

Ich freue mich von dir zu lesen!

 

Viele Grüße und bis zum nächsten Austausch,

Ben

Cyber Security ist Katz und Maus in digital

Cyber Security – Alles was du zu(deine)m Schutz im Digitalraum wissen musst

Dieser Beitrag ist Teil meiner Reihe zum Thema Cybersicherheit. Alles auf einen Blick zum Thema Cybersecurity findest du hier. Außerdem habe ich Artikel geschrieben zu den Theman: Security Awareness, Social Engineering, Internetrecherche, IT Security Lösungen und IT-Sicherheit allgemein, Informationssicherheit, Internetkriminalität und Cybercrime, Phishing und spezifischen Schutzwerkzeugen wie zum Beispiel VeraCrypt und Keepass. Mehr zum jeweiligen Artikel findest du beim Klick auf das jeweilige Wort. (Alle Schlagworte ohne Link darüber werden noch veröffentlicht und hier aktualisiert verlinkt) Viel Spaß mit diesem Artikel!

Cyber Security ist für deinen Ausflug in die weiten des Cyberspace ungefähr das, was Kleidung, die eigenen vier Wände und Schlösser in der echten Welt sind:

Cyber Security ist alles, was du brauchst, um den Launen der Natur dieser Dimension nicht schutzlos ausgesetzt zu sein.

Sie ist, richtig eingestellt, im virtuellen Alltag unsichtbar. Und bis etwas schiefgeht, bekommst du so oder so nichts davon mit.

Doch wie so oft gilt: Du merkst erst dann was dir fehlt, wenn es zu spät ist. Und dann umso schmerzhafter.

Nirgendwo sonst gilt das so intensiv wie im Bereich der Cyber Security:

Die Kosten mangelnder Cyber Security sind horrend

Q: https://de.statista.com/infografik/16825/geschaetzte-hoehe-des-durch-cyberattacken-entgangenen-umsatzes/

Ungesicherter Cyberspace ist ein Schlaraffenland für Kriminelle und sonstige Angreifer. Schätzungen zufolge sind mehr als 20 % aller Dateien im Netz ungeschützt. (Während zeitgleich der größte Schaden bei Angriffen durch den Verlust sensibler Informationen entsteht)

Cybercrime ist lukrativer als der weltweite Drogenhandel, und zwar um ein Vielfaches. (Was klar ist, denn bei skalierten Unternehmen skaliert sich der Schaden ebenfalls)

Weitere “Horrorstatistiken” wie diese finden sich hier zusammengestellt.

Kurzum: Wer nicht ausreichend auf seine Sicherheit im virtuellen Raum achtet, hat nur eine Alternative: Diesen zu verlassen. (Was, Digitalisierung Ahoj, seit langer Zeit keine Option mehr ist)

Aus diesen und weiteren Gründen schauen wir uns in diesem Artikel die wirkungsvollsten Mechanismen, besten Quellen und die Zukunft der Cyber Security an.

Konkret erfährst du in diesem „Rundum“-Artikel zum Thema Cyber Security:

  • Was ist Cyber Security?
  • Wie funktioniert Cyber Security nachhaltig?
  • Kann man Cyber Security messen?
  • Welche Voraussetzungen braucht Cyber Security?
  • Welche Gesetze gelten rund um diese?
  • Welche konkreten Maßnahmen kann man ergreifen um im Cyberraum sicher zu sein?
  • Was hat es mit dem NIST-Framework auf sich?
  • Wo geht die Zukunft der Cyber Security hin?
  • Vieles mehr…

Angeschnallt, die Fahrt geht los:

 

Was versteht man unter Cyber Security?

Fangen wir von vorn an: Was ist Cyber Security?

Ausführlicher habe ich diese Frage bereits in meiner Übersichtsseite zum Thema Cybersecurity beantwortet, doch eine einfache Definition zur Orientierung kann sein:

Cyber Security umfasst alle Maßnahmen um sicher in der digitalen Welt agieren zu können. (sicher zum Beispiel vor Datenverlusten oder Angriffen)

Es ist also ein wenig wie ein Picknickkorb, in welchem alle wichtigen Dinge eingepackt sind, damit das Picknick ein voller Erfolg wird.

Grundlagen der Cyber Security sind vor allem Informatik und Psychologie.

Ersteres, weil die digitale Welt aus Daten, Informationen besteht und Informatik daher Ihre “Naturgesetze” bestimmt.

Und zweiteres, weil der Cyberraum letzten Endes von Menschen bevölkert wird und sich daher um den Menschen dreht.

Es gibt natürlich noch viele weitere beteiligte Disziplinen wie Mathematik, Webdesign, künstliche Intelligenz etc. Aber diese beiden sind der Kern des ganzen.

 

Wie funktioniert Cyber Security?

Will man Cyber Security angemessen erklären, muss man zunächst die Mechanismen und den “Tanz” von Angreifer und Verteidiger erklären.

Dieser funktioniert im Kern genau wie das endlose Wettrüsten von Dieb und Detektiv in der echten Welt: Der Dieb versucht immer neue Methoden, setzt immer neue Techniken und Geräte ein, um den Detektiv zu überlisten. Und der Detektiv rüstet seinerseits immer weiter auf und bildet sich konstant weiter aus.

Im Wesentlichen ist Cybercrime- und Security genau dieser endlose Kreislauf aus Schwert und Schild, Kanone und Mauer.

Mit einem gewichtigen Unterschied: Im virtuellen Raum gibt es keine Identitäten, keine Möglichkeiten Angreifer zu identifizieren, besteht keine Notwendigkeit, tatsächlich den eigenen Computer zu verlassen. Ein Aggressor kann dich hacken und deine digitale Identität zum Pokerspielen auf den Philippinen nutzen, während er selbst in einem Bergcafé in Grönland sitzt.

Cybercrime ist theoretisch das perfekte Verbrechen. Es gibt keine Zeugen, keine Verletzten und keine Spuren. Alles ist verschlüsselt und verschleiert. Zumindest im Schlimmstfall. Oft sind die Angreifer nicht gut genug, um wirklich spurlos zu bleiben. Doch das ändert nichts an der Dimension dieser Gefahr: Gegen Cyberkriminalität helfen keine Türen und keine Schlösser. Du kannst eine Attacke weder spüren noch hören.

Cyberkriminalität ist die “dunkle” Seite der Digitalisierung: von überall aus einsetzbar, ohne große Teams und Organisationen effektiv und mit Skaleneffekten in jede mögliche Richtung.

Digital ist es egal, ob du 10 oder 10.000 Kunden hast. Und für Angreifer ist es egal, ob sie 10 oder 10.000 Datensätze erbeuten.

Deswegen ist Cyber Security von solch enormer Bedeutung. Sie ist wie ein Lichtschalter für deine digitalen Aktivitäten. Egal ob privat oder beruflich. Wenn du gehackt bist, kannst du virtuell prinzipiell ausgeschaltet werden und bist auf die Gnade / Langeweile deines Angreifers angewiesen.

Kein schöner Gedanke, oder?

 

Welche Herausforderungen tun sich im Zusammenhang mit Cyber Security auf?

Cyber Security ist, wie oben angesprochen, ein wirklich umfangreiches und komplexes Thema. Daraus entsteht bereits die erste Hürde: Zu überblicken, was wichtig ist und wie man es einsetzen kann.

Doch es gibt noch einige weitere Hürden / Herausforderungen:

  • Die Frage der Angemessenheit: Sollte ich als Privatperson meine Daten mit einem militärischen Verschlüsselungsstandard sichern, oder reicht da auch weniger?
  • Die Frage des richtigen Starts: Welche der zahlreichen Maßnahmen sollte die erste, zweite und dritte sein, um mich angemessen abzusichern?
  • Die Frage des Zeitpunktes: Welche Lösungen brauche ich heute und welche morgen? Und welche brauche ich gar nicht mehr, weil sie Schnee von gestern sind?
  • Die Frage der richtigen Wahl: Welches Programm, welchen Anbieter sollte ich wofür nehmen? Und wann reicht dessen Service nicht mehr aus?

Wie gesagt, das sind nur einige der Herausforderungen wirklich wasserdichter Cybersicherheit. Doch diese zeigen gut, warum zumindest ein solides Grundverständnis unersetzlich ist.

 

Kann man Cyber Security messen?

Eine Frage kommt immer wieder im Bereich der digitalen Sicherheit auf:

Gibt es einen objektiven “cyber security index”? Also eine Möglichkeit die eigene Firmensicherheit ungetrübt zu messen? Und wenn, gibt es diesen auch noch länderübergreifend? Gar weltweit?

Die Kurzantwort: Ja und nein. Ja, es gibt einen “offiziellen” Cyber Security Index der internationalen Telekommunikations-Union (ITU), der Agentur für Informations- und Kommunikationstechnologien der vereinten Nationen. Dieser wurde zuletzt 2018 veröffentlicht und sieht “von oben” betrachtet so aus:

Einer der vielen global Cyber Security Indizes

Quelle: https://www.itu.int/dms_pub/itu-d/opb/str/D-STR-GCI.01-2018-PDF-E.pdf

Etwas weiter aufgeschlüsselt sieht dieser Index so aus:

Cyber Security Index II

Quelle: https://www.itu.int/dms_pub/itu-d/opb/str/D-STR-GCI.01-2018-PDF-E.pdf

Insofern: Grob, ja.

 

Aber auch zeitgleich nein. Warum? Weil es mindestens so viele “objektive Indizes” gibt, wie es Cyber Security-Firmen auf der Welt gibt. Denn jede Firma möchte natürlich besser als die anderen nachweisen und dem Kunden Vormessen können, dass seine Leistung die beste ist.

Solche Indizes können zum Beispiel so aussehen.

Heißt: Es gibt Möglichkeiten, gute wie weniger gute, objektive wie subjektive, Cyber Security zu messen. Doch welche davon besser als andere sind, in welchem Maßstab etc. ist eine andere Frage, welche sich nahezu nicht pauschal beantworten lässt.

 

Welche Voraussetzungen braucht Cyber Security?

Um Cyber Security richtig einsetzen zu können, braucht man gewisse grundlegende Informationen. Man sollte vor einer Cyber Security-Strategie zum  Beispiel

  • sein System kennen
  • seine Anforderungen kennen
  • sein Budget kennen
  • den Rahmen der Umsetzung grob verstehen und vorgeben können.

 

Warum ist Cyber Security wichtig?

Nachdem wir die Grundlagen erörtert haben, noch eine kleine Geschichte zur Verdeutlichung der Wichtigkeit von Cybersicherheit in zwei Bildern:

Q: https://www.gutjahr.biz/2013/05/identity-theft/

Q: https://www.gutjahr.biz/2013/05/identity-theft/

 

Weitere Angriffsszenarien etc. findest du auf meiner Hub-Seite zum Thema Cybersecurity.

 

Welche Gesetze gelten für Cyber Security in Deutschland?

Abseits der offensichtlichen Bedrohungslage und permanenter Angriffsflächen ungeschützter Systeme kann auch der gesetzliche Druck bestehen, die eigenen Systeme zu sichern.

Vor allem bei systemkritischen Infrastruktur-Betreibern ist dies der Fall.

Cyber Security Gesetze

Quelle: https://www.bsi.bund.de/SharedDocs/Downloads/DE/BSI/Publikationen/Broschueren/Schutz-Kritischer-Infrastrukturen-ITSig-u-UP-KRITIS.pdf?__blob=publicationFile&v=7

In den meisten Fällen gelten das IT-Sicherheitsgesetz bzw. die NIS-Richtlinie. (NIS steht dabei für Netz und Informations-Sicherheit)

 

Mehr dazu findest du auf den offiziellen Seiten der Bundesregierung dazu:

 

Cyber Security, Team und Management

Cyber Security ist vor allem auf Team- und Management-Level extrem wichtig. Warum? Weil nur mit einer offenen, vertrauensvollen Struktur und Kultur destruktive Szenarien vermieden werden können. Wie zum Beispiel:

  1. Das Ausspielen des / der Teams gegeneinander (weil diese keine Informationen miteinander teilen, weil sie zerstritten sind oder dergleichen)
  2. Das Ausnutzen von Informationslücken zwischen den Teams (Weil das eine Team das andere nicht informiert über Fortschritte, Planung etc.)
  3. Das Missbrauchen von strengen Hierarchien (indem die nicht hinterfragte Hörigkeit nach “Oben” dazu führt, dass sensible Daten in die Hände von Angreifern gelangen)

Es gibt noch Dutzende, wenn nicht hunderte weitere Angriffsszenarien wie diese. Und alle basieren auf Firmenkultur- bzw. Struktur.

Deswegen sind Team und Management welche diese vorlebt so wichtig.

Mehr dazu findest du auf meiner Seite zu Security Awareness.

 

Angriffsziel Deutschland: Cyber Security für den Mittelstand

Was uns direkt zum nächsten Punkt bringt: Da wir in Deutschland sehr viele Hidden Champions, Weltmarktführer in spezifischen Nischen und technisch exzellente Mittelstandsfirmen haben, bieten sich für Angreifer hier sehr lukrative Ziele.

Da diese Firmen wie gesagt oftmals technisch sehr fit und Angriffe gegen unsichere Mitarbeiter viel einfacher sind, attackieren Aggressoren dementsprechend auch eher den Menschen hinter dem Bildschirm.

Mehr dazu inklusive konkreten Schutz-Strategien findest du auch auf meiner Seite zur Security Awareness.

 

Cyber Security Maßnahmen

Nachdem wir jetzt die verschiedenen Blickwinkel rund um die Grundlagen der Cybersicherheit kennen, kommen wir zur konkreten Umsetzung.

Welche Cyber Security Maßnahmen bringen den meisten “Bang per Buck”, den größten Effekt pro eingesetzter Ressource?

Im Wesentlichen lassen sich Cyber Security Maßnahmen grob kategorisieren in:

  1. Strategie: Ein individuelles, einsatz- geprüftes Cyber Security Konzept.
  2. Taktik: Permanent verbesserte Cyber Security Awareness, also das Sicherheitsbewusstsein aller beteiligter Personen
  3. Backup: Dem Cyber Security Notfallplan, für den Fall eines Angriffs und
  4. Rahmen: Der Kenntnis des Cyber Security NIST-Frameworks als Grundlage und Ergänzung dieser Pfeiler.

Schauen wir uns die wichtigsten Cyber Security Maßnahmen nachfolgend etwas genauer an:

 

Cyber Security Awareness: Sicherheitsbewusstsein als beste Waffe gegen jede Attacke

Wie bereits mehrfach angesprochen, ist Security Awareness eine der wichtigsten Verteidigungsstrategien gegen jeden digitalen Angriff. Denn diese ist die direkte Antwort auf das größte Einfallstor von Cyber-Kriminellen.

Deswegen sollte Cyber Security Awareness immer ganz oben auf jeder Maßnahmen-Liste stehen.

Mehr zur Cyber Security Awareness findest du hier.

 

Der Cyber Security Notfallplan:

Oftmals wird hier an die BSI-Seite bzw. die Seite der Allianz für Cybersicherheit mit Ihren hilfreichen Dokumenten verwiesen:

Mit diesen Grundlagen kommt man schon sehr weit. Doch wie sieht ein eigener Cyber Security Notfallplan aus? Exemplarisch zum Beispiel so: https://konbriefing.com/de-files/it-notfallplan/IT-Notfallplan-0.2.pdf

Der Cyber Security Notfallplan hilft wenn alles sonst zu spät ist

 

Was ist das Cyber Security NIST Framework? – Und warum ist es so wichtig?

Vom Notfallplan zu einem der wichtigsten Dokumente der gesamten Cybersicherheit: Dem Cyber Security NIST Framework.

Was ist das Cyber Security NIST Framework, was tut es und warum ist es so wichtig?

Das “Framework for Improving Critical Infrastructure Cybersecurity” des National Institute of Standards and Technology – oder kurz “NIST Framework” ist so etwas wie die Leitplanke der Cybersicherheit.

Warum? Weil es keine so kompakte, so wohl gewählte Alternative zu diesem gibt.

Es ist insgesamt 48 Seiten lang, wobei die ersten und letzten 4 Seiten Intro und Begriffserklärungen sind.

Es ist allein schon für seinen Kern wichtig:

Cyber Security NIST Framework Core

Q: https://nvlpubs.nist.gov/nistpubs/CSWP/NIST.CSWP.04162018.pdf

Zusätzlich gibt es in diesem Struktur-Dokument Hinweise zur Implementierung, Koordination, Kommunikation mit relevanten Stakeholdern und vielem mehr.

Risk Management mit dem NIST Framework

Q: https://nvlpubs.nist.gov/nistpubs/CSWP/NIST.CSWP.04162018.pdf

 

Mehr “Bang per Buck” gibt es in kaum einem anderen Werk in diesem Bereich.

Meiner Meinung nach ist das Cyber Security NIST Framework eines der Grundlagenwerke eines jeden Experten in diesem Bereich.

Zu finden ist die stets aktuelle Version des NIST Frameworks hier: https://www.nist.gov/cyberframework/framework

 

Die Zukunft der Cyber Security

Wir haben jetzt also die Grundlagen, Dringlichkeit und Maßnahmen rund um das Thema Cyber Security näher beleuchtet.

Bleibt nur noch ein wichtiger Punkt: Die Zukunft dieses komplexen Feldes.

Und die bleibt spannend!

In absehbarer Zeit gibt es drei zentrale Trends, welche sich massiv und grundlegend auf die Cyber Security auswirken werden:

Die Zukunft der Cyber Security

Cyber Security Trend #1: Stärkerer Einsatz künstlicher Intelligenz

“Künstliche Intelligenz (KI) ist die letzte Erfindung, welche die Menschheit machen muss. Ab dann übernimmt den Rest die KI selbst.”

So oder so ähnlich geht die aktuelle Diskussion rund um dieses gigantische Gebiet in Kurzform.

Die Idee dahinter, wieder in kurz, geht ungefähr so: Künstliche Intelligenz kann automatisiert schneller und besser im Digitalraum navigieren, als es ein Mensch je könnte.

Heißt: Alles von Innovation über Testing und Kundenmanagement bis hin zur Auslieferung übernimmt zum Großteil die KI.

Abgesehen davon, dass wir uns aktuell mit Höchstgeschwindigkeit in genau diese Richtung entwickeln, birgt diese “erweiterte Virtualisierung” noch weitere, eklatante Herausforderungen:

Wenn sich alles schneller und besser automatisieren lässt, gilt dies auch für Cyberattacken? Und, hoffentlich auch für Cyber Security?

Die Kurzantwort: Wahrscheinlich. Sehr wahrscheinlich. Viele Cybersecurity-Experten sehen ein großes Automatisierungspotenzial sowohl in den Anwendungen, als auch in Ihren Aufgabenbereichen.

Vielleicht haben wir also bald virtuelle Assistenten, die miteinander sprechen. Und die Sicherheit erledigen diese direkt von selbst in diesem Schritt mit.

Das kann in vielen verschiedenen Teilbereichen geschehen, aber auch “am Stück”.

Zum Beispiel in Form von “AI Sandboxes”, wie ich in einem Artikel 2019 bereits geschrieben habe. Mehr zu KI + Cyber Security an anderer Stelle.

 

Cyber Security Trend #2: (Stärkerer) Einsatz von Quantencomputern

Quantencomputer arbeiten grundlegend anders als “herkömmliche” Computer.

Aus diesem Grund müssen Systeme auch fundamental anders gesichert werden.

Und da selbst in Deutschland so langsam die Quanten-Welle losrollt, wird das auch keine Jahrzehnte mehr dauern.

Heißt: In Quanten-”harten” Systemen wird in absehbarer Zeit mehr und mehr Fokus und Geld liegen. (müssen)+

Hier wird vor allem die sogenannte “Post-Quanten-Kryptografie” immer stärker zum Tragen kommen.

 

Cyber Security Trend #3: Immer perfidere und ausgeklügeltere Social Engineering-Strategien

Der letzte große, absehbare Trend in der Cyber Security sind immer komplexere Angriffe gegen die Anwender. Diese Attacken werden immer

  • Individueller
  • Präziser
  • Kontextsensitiver und
  • Datenunterfütterter

Es wird also immer herausfordernder für User zum Beispiel Spam- und Phishingmails effektiv zu erkennen und zu filtern.

Auch hier werden mehr und mehr technische Hilfen auf den Markt kommen. Doch am sichersten bleibt nach wie vor eines: das Grundverständnis der relevanten Angriffspunkte.

Wie eine solche fortgeschrittene Attacke begonnen werden kann und welche Daten dabei herausgefunden werden können, zeige ich in meiner Mikro-Schulung zum Thema:

Coming soon. Wenn du up to date bleiben möchtest, trage dich in meinen Newsletter ein.

 

Das soll es hierzu erstmal gewesen sein, ich hoffe dieser Artikel konnte etwas Licht ins Dunkel bringen.

Mehr von mir zum Thema findest du auf meiner Cybersecurity Übersichtsseite oder direkt bei meinen Angeboten.

 

Viel Erfolg und stay safe!

Mensch gegen Maschine und künstliche Intelligenz vs Mensch

Mensch vs. Maschine / Mensch vs. künstliche Intelligenz

Mensch gegen Maschine. Ein Kampf nahezu so alt wie die Menschheit selbst.

Von den alten Griechen noch größtenteils philosophisch betrachtet ist der Wettbewerb Mensch vs. Maschine spätestens seit der industriellen Revolution in vollem Gange.

Erst wurde Muskelkraft durch Dampf, Stahl und Elektrizität überflüssig gemacht.

Jetzt jedoch geht der Kampf in seine nächste Runde:

 

Künstliche Intelligenz vs. Mensch: Algorithmus gegen Gehirn

Seit dem Aufkommen immer intelligenterer Algorithmen, immer größerer Datenmengen und Erfindungen wie dem Machine Learning stellt sich die alte Frage so dringlich wie nie zuvor:

Kann der Mensch den Kampf gegen die Maschine gewinnen?

… Bzw. ihn überhaupt führen? Länger als eine Runde?

Wie eine Reihe kluger Analysten anmerken, ist die Frage bereits schwierig bis falsch. Doch darum soll es hier und heute nicht gehen. Ich habe im Rahmen einer meiner Kurse endlich aus vielen Büchern, Tabellen und anderen Quellen ein paar Infografiken gebaut, welche Antworten auf einige Aspekte dieses epischen Kampfes geben können.

 

Hier kannst du dir diese Infografiken anschauen:

(Klick auf das Bild führt zur Version in maximaler Auflösung)

#1:

#2:

#3:

#4:

#5:

Wenn du diese Grafiken lieber ausdrucken möchtest, hast du sie hier auch nochmal in einer handlichen PDF zusammengefasst:

(Klick auf den Link führt zur PDF)

Biologische und künstliche Intelligenz im Direktvergleich

Wichtiger Hinweis zur Interpretation der Bilder und darin enthaltenen Daten:

Einige der Daten auf Maschinenseite sind Schätzungen, Extrapolationen oder Daten spezifischer Zeitpunkte aus der Vergangenheit. Doch selbst wenn die tatsächlichen Daten um mehrere Zehnerpotenzen nach oben oder unten abweichen sollten, spielt dies keine Rolle. Der Unterschied ist in jedem Szenario zu groß.

 

Mensch gegen Maschine: Und die Hardware?

Zur Physis muss an dieser Stelle wahrscheinlich nicht viel gesagt werden. In den Infografiken habe ich diesen Punkt außerdem bereits angesprochen. Es gibt keine denkbare Dimension, in der Menschen Maschinen noch rein mechanisch im direkten, vordefinierten Wettbewerb besiegen können.

Maschinen sind schneller, stärker, präziser, ausdauernder etc.

Von daher heißt es hier ganz klar: 2:0 für die Maschine.

 

Mensch gegen Maschine: Und was bleibt dann noch?

Das klingt, so gegeneinander aufgetragen möglicherweise etwas ernüchternd. Was bleibt dann noch für den Menschen über, wenn Maschinen alles besser können?

Das wichtigste: Das menschliche selbst. Das soziale. Das gemeinsame. Das emotionale, das abenteuerliche, das aufregende, das spannende, spaßige, großartig intensive. Das Leben.

Wenn wir Maschinen richtig einsetzen, bieten diese uns die Möglichkeit, in exakt der Welt zu leben, in der wir leben möchten. Alle von uns. Frei, Sicher, Glücklich und nur zur Entfaltung auf der Welt.

Und dann heißt es nicht mehr Mensch gegen Maschine. Sondern Mensch dank Maschine.

 

Das ist eine Aussicht, dank der mir Automatisierung nicht schnell genug gehen kann.

 

Wie siehst du das?

Social Engineering Beispiel - Business as usual

Social Engineering: Verstehst du es, ist dein Unternehmen (digital) sicher

Dieser Beitrag ist Teil meiner Reihe zum Thema Cybersicherheit. Alles auf einen Blick zum Thema Cybersecurity findest du hier. Außerdem habe ich Artikel geschrieben zu den Theman: Security Awareness, Cyber Security generell, Internetrecherche, IT Security Lösungen und IT-Sicherheit allgemein, Informationssicherheit, Internetkriminalität und Cybercrime, Phishing und spezifischen Schutzwerkzeugen wie zum Beispiel VeraCrypt und Keepass. Mehr zum jeweiligen Artikel findest du beim Klick auf das jeweilige Wort. (Alle Schlagworte ohne Link darüber werden noch veröffentlicht und hier aktualisiert verlinkt) Viel Spaß mit diesem Artikel!

Social Engineering ist eine der gefährlichsten Entwicklungen des Digitalzeitalters. Denn mit Social Engineering können kriminelle Angreifer in Systeme eindringen und Daten missbrauchen, nahezu egal, wie hoch die technischen Hürden auch sein mögen.

Denn es gibt im Wesentlichen zwei Angriffsmöglichkeiten auf digitale Systeme:

  1. Den Angriff auf das System selbst. Dies umfasst Hacking im “klassischen” Sinne. Also Manipulation von Rechnern, lokalen Netzwerken, Sensoren etc.
  2. Den Angriff auf den Benutzer des Systems / Menschen, die mit dem System in Kontakt stehen. Diese Angriffe zielen darauf ab, Nutzer von Systemen so zu beeinflussen, dass diese den Angreifern einen direkten Zugriff zum Ziel öffnen. Vorbei an sämtlichen Sicherheitsmaßnahmen.
Cybercrime und Social Engineering Statistik

Social Engineering ist eine der Top 3 Angriffsszenarien auf Firmen weltweit.
Quelle: https://de.statista.com/statistik/daten/studie/499324/umfrage/vorfaelle-von-cybercrime-in-unternehmen-weltweit/#professional

Ich nutze zur Veranschaulichung dieser zwei Optionen gern die Metapher einer Burg:

Ich kann in eine Burg einfallen, indem ich die Mauern durchbreche, den Burggraben überwinde und die Wachen besiege.

Oder, wie es im Falle von Social Engineering geschieht, einfach den Koch, den Bogenschützen oder im schlimmsten Fall die Wache am Tor davon überzeugen, mich hineinzulassen. Oder mir zumindest den Schlüssel für die Tore zu geben.

Im letzten Fall helfen auch die dicksten Mauern und die höchsten Zinnen nichts.

Deshalb ist Social Engineering einerseits so beliebt und zeitgleich so gefährlich.

Doch das ist noch nicht alles!

Es kommt noch dicker: Social Engineering ist nicht nur leichter für Angreifer, es ist auch lukrativer und die effizienteste Methode in ein System einzumarschieren.

Leichter, weil das Wettrüsten zwischen Cybersecurity-Firma und Hacker verhältnismäßig viele Ressourcen auf der Seite der Angreifer benötigt.

Doch lukrativer und effizienter vor allem deshalb, weil Social Engineering im schlimmsten Falle nicht einmal Hackingskills voraussetzt.

Alles, was ein Angreifer braucht, ist der Zugang zu sensiblen Bereichen. Und der lässt sich ungleich schneller und problemloser direkt vom Nutzer erlangen.

Das geht so weit, dass einige Hacker seit geraumer Zeit folgende These vertreten:

“Social Engineering sei die bei weitem effektivste Methode, um an ein Passwort zu gelangen, und schlage rein technische Ansätze in Sachen Geschwindigkeit um Längen.”

That’s it.

Social Engineering ist also

  1. Schneller
  2. Leichter
  3. Lukrativer und
  4. Effizienter

Als (die meisten komplexeren) technische Angriffe.

Social Engineering Attacken sind oft ungleich einfacher als klassisches HackingEin Mensch lässt sich im Vergleich zu einem gehärteten System oft nahezu kinderleicht “knacken”.

Was uns zum Thema führt: Was ist Social Engineering, wie sehen Angriffe aus, welche Tools gibt es zur Verteidigung und wie kann man sich davor effektiv schützen?

Heißt, in diesem Artikel lernst du unter anderem:

  1. Eine einfache und leicht verständliche Social Engineering Definition
  2. Die 3 gängigsten Social Engineering Attacken- / Social Engineering Angriffe
  3. Einige der eindrucksvollsten Social Engineering Beispiele
  4. Wirkungsvolle Maßnahmen, mit denen man sich / seine Firma / seine Mitarbeiter vor Social Engineering schützen kann

Gehen wir systematisch vor:

Die Social Engineering Definition – Womit haben wir es hier zu tun?

Wir wissen jetzt warum das Thema Social Engineering auf jedes Cybersecurity-Radar gehört.

Doch was genau ist Social Engineering überhaupt?

In meinem Artikel zum Thema Security Awareness Training habe ich Social Engineering indirekt wie folgt definiert:

“…gezielte, geplante und systematisch realisierte soziale Manipulationen mit dem Ziel Schaden zu verursachen.”

Social Engineering ist also der Versuch, durch Manipulation von Menschen in ein fremdes, meist digitales, System einzudringen.

Dieses Feld hat derart viele Facetten, dass es schwer ist, hier trennschärfer vorzugehen und diese Definition präziser zu formulieren.

Man hört immer wieder von Grobabstraktionen wie den “3 Typen des Social Engineerings” oder den “5 Formen des Social Hackings”.

Zu diesen gehören meistens

  • Phishing
  • Vishing
  • Pretexting
  • Baiting
  • Quid Pro Quo und
  • Tailgaiting

Diese Abstraktionen sind generell hilfreich, aber im “echten Leben” kommen meist Kombinationsangriffe zum Tragen, welche diese Trennschärfe aufweichen.

Social Engineering Formen und Kategorien

Um das etwas klarer zu machen, hilft es vielleicht, das Ganze mal anhand eines konkreten Beispiels durchzuspielen und ein weiteres live zu zeigen:

Zwei einfache Social Engineering Beispiele

Angenommen, ein Angreifer möchte den Zugriff zu den Kontodaten eines Unternehmens erhalten und sich 1.000.000 € überweisen.

Er weiß durch einen kurzen Technologie-Check, das ein Angriff über die technische Seite zu aufwändig wird. Weshalb er die menschliche Seite ins Visier nimmt.

Um dies zu erreichen braucht er lediglich zwei Informationen. Er muss wissen;

  1. Wer die Rechte / die Zugangsdaten zum Firmenkonto besitzt und
  2. Unter welchen Bedingungen Überweisungen von diesem ausgeführt werden. (Überweist das Konto in Echtzeit? Auch an Wochenenden? Gibt es eine maximale Überweisungssumme pro Tag? etc.)

Außerdem braucht er ein nicht zu ihm rückverfolgbares Konto / mehrere Konten, welche automatisch bei Geldeingang untereinander Geld transferieren / ein “Waschprogramm”, welches aus dem Geld einen nicht nachvollziehbaren Wert macht. Also das Geld z.B. in Bitcoins oder Gutscheinkarten umwandelt.

Alternativ kann er es auch noch einfacher machen und sich das Geld direkt vom Unternehmen selbst, aber nicht nachvollziehbar überweisen lassen. Wie das geht, wird in diesem englischsprachigen Video eindrucksvoll live demonstriert:

Ich gehe hier exemplarisch auf den ersten der beiden Fälle ein. Vor allem deshalb, weil der zweite schwieriger an Firmen einsetzbar ist. Warum? Weil dort die Wahrscheinlichkeit höher ist, dass eine oder mehrere zusätzliche Personen involviert werden, was den Angriff “unnötig” kompliziert machen kann.

Gehen wir also systematisch vor. Wie kann ein solcher Social Engineering Angriff am Beispiel aussehen? Chronologisch:

Chronologie einer Social Engineering Attacke

Wie kann eine Social Engineering Attacke Schritt für Schritt ablaufen? Ich skizziere nachfolgend eine von unzählbar vielen Möglichkeiten. Ohne dabei nachvollziehbarerweise zu sehr ins Detail zu gehen. Denn dieser Artikel soll sensibilisieren und zu einer besseren Verteidigung beitragen. Und nicht Social Engineering Angriffe leichter machen.

Was uns zu folgendem Grob-Plan führt:

  1. Der Angreifer fokussiert sich auf sein genaues Angriffsziel, wählt also die Zielfirma aus. Hierbei kann er nach verschiedenen Variablen vorgehen; Wie gut er die Firma bereits kennt, ob er schon Vorerfahrung mit Firmen dieser Art hat, ob er ein persönliches Motiv hat, genau diese Firma zu attackieren etc.
  2. Er recherchiert jetzt grob mögliche Angriffsmöglichkeiten, fragt ggf. andere (Social) Hacker um Rat oder ggf. bereits im Umlauf befindliche Zugangsdaten etc.
  3. Aus den sich ergebenden Angriffsvektoren filtert der Angreifer die lukrativsten aus und bereitet sich entsprechend vor. Hierbei sammelt er gezielt möglichst viele und möglichst wichtige Daten, welche ihn so weit wie möglich in Richtung seines Ziels bringen. Wenn notwendig, kann dies offline ebenso wie online geschehen, indem zum Beispiel Routinen von relevanten Mitarbeitern ausspioniert werden. (Was per Handyortung automatisch genau so wie mit “klassischer Beschattung” passieren kann. Ziel hierbei ist es, an Zugangsdaten zu gelangen. Das kann geschehen, indem der Angreifer in die Wohnung eines Schlüssel-Mitarbeiters eindringt, während dieser nicht daheim ist um Passwörter zu suchen etc.)
  4. Basierend auf den Ergebnissen aus Schritt 3 startet der Angreifer seine Social Engineering Attacke. Oftmals, indem er per E-Mail-Anhang eine Spionage-Software installiert und sich abseits des Mitarbeiterwissens an die notwendigen Programme begibt.

Je nach Notwendigkeit werden hier auch “klassische” Hackinggeschütze neben den Social Engineering-Waffen zu einem (halb)digitalen Großangriff kombiniert:

Social Engineering als Grossangriff

5. Nachdem der Angriff geschehen und der Schaden angerichtet ist, gibt es 3 Möglichkeiten:

    1. Der Angreifer zieht von dannen und lässt die Firma in Ruhe. Je nach “ethischem Verständnis” und Persönlichkeit des Aggressors verwischt dieser dabei seine Spuren oder lässt einfach alles stehen und liegen und zieht weiter. Das ist oftmals der Best-Case.
    2. Der Angreifer beginnt mit der Zerstörung der Firmensysteme. Das geschieht vor allem bei Auftragsangriffen. Hierbei verschlüsselt der Angreifer zum Beispiel sämtliche Festplatten und Backups, betreibt automatisierten Rufmord, indem er vorkonfigurierte E-Mails an wichtige Geschäftspartner versendet etc. Das ist der kurz- und mittelfristig schlimmste Fall. Zumal man den Verlust des Geldes in diesem Fall zunächst gar nicht bemerkt, da die Firmen-Infrastruktur zunächst gerettet werden muss.
    3. Der Aggressor verlässt scheinbar den Tatort, ohne neben dem Geldverlust Schaden zu hinterlassen. In Wahrheit verkauft er Firmendaten, Zugänge, Gebäudepläne etc. im Darknet für den Meistbietenden, welcher mit diesen Daten viel leichter einen eigenen Angriff planen und ausführen kann. All das Gelernte aus den Schritten 1. – 3. kann dabei, je nach Firma, viel Geld wert sein. Dieser Fall ist der langfristig verheerendste. Denn die angegriffene Firma wähnt sich in Sicherheit, obwohl sie bereits erneut ins Visier gerät.
Social Engineering Beispiel - Business as usual

Business as usual – oder doch nicht?

Schauen wir uns Schritt 3 des oben beschriebenen Szenarios etwas ausführlicher an.

Wie kommt ein Angreifer an welche Informationen?

Die einfachste Variante ist die Informationsbeschaffung durch kostenlose, für jeden zugängliche Tools. Ich gehe an dieser Stelle nicht näher auf diese und das genaue Vorgehen ein, da die daraus erwachsende Gefahr meines Erachtens größer als der hier gelieferte Mehrwert ist.

In meinen Trainings zeige ich diese allerdings live.

Es gibt noch viele weitere Möglichkeiten, einige leicht, andere schwer, einige schnell, andere zeitintensiv.

Eine Variante des Social “Hackings” zeigt dieses Video:

Angriffsszenario: Buchstäblich “social” Engineering

Eine Möglichkeit, die schwer genug ist, dass sie auch nach einer Beschreibung wahrscheinlich nicht sofort nachgemacht wird, ist der “Frontalangriff” mitten ins Herz der Zielfirma. Dieser kann zum Beispiel so ablaufen:

Ein Angreifer nimmt die Identität eines Paketdienstmitarbeiters an. Er liefert ein Paket zur Sekretärin seiner Zielfirma und filmt den gesamten Weg vom Eingang bis ins Büro.

Er stellt ihr während der Übergabe einige wenige, harmlos wirkende aber speziell vorbereitete Fragen um an weitere wichtige Daten zu gelangen. Diese Fragen können zum Beispiel den aktuellen Aufenthaltsort des Geschäftsführers betreffen und in etwa so gestellt sein:

“Guten Tag, ich habe hier ein Paket für Herrn Müller, er ist hier der Geschäftsführer, richtig? Ist er gerade zu sprechen? Nicht? Wann erreiche ich Ihn denn wieder? Ah, in einer Woche, ist er gerade im Urlaub? Ok, danke. Dann lasse ich das Paket einfach bei Ihnen, Frau Schulze, ok? Das Foto auf Ihrem Schreibtisch ist schön, sind das Ihre Familie und Sie?

Alles Gute Ihnen noch! Ah, eine letzte Frage habe ich noch, gibt es hier noch einen anderen Ausgang, als den Fahrstuhl vorn links? Ich danke Ihnen! Bis zum nächsten Mal und einen schönen Tag Ihnen noch!”

Klingt wie die Seite eines harmlosen Gesprächs, oder?

Doch der Angreifer hat so kinderleicht mehrere Informationen auf einmal erhalten, welche seinen späteren Angriff erleichtern können:

  • Die Bestätigung des aktuellen Geschäftsführers
  • Die Verfügbarkeiten des Geschäftsführers
  • Der Aufenthaltsort des Geschäftsführers
  • Die Familie der Assistentin / Sekretärin des Geschäftsführers, also wahrscheinlich der Person, bei welcher alle relevanten Informationen zusammenlaufen
  • Mögliche Zugangswege zu den Büroräumlichkeiten
  • Ein Gefühl dafür, wie stark Sicherheitsvorkehrungen wie Kameras oder Sicherheitspersonal im Gebäude vorhanden sind
  • Ein Gefühl dafür, wie lang er bis zu welchem Raum im Gebäude braucht und welche Schritte er dabei gehen muss
  • Usw.

Weitere Beispiele und Informationen hat DATEV in dieser handlichen PDF zusammengetragen.

Effektiver, nachhaltiger Schutz vor Social Engineering

Das Problem hierbei ist das folgende: Es sind so viele verschiedene Disziplinen zur effektiven Abwehr eines solchen Angriffs notwendig, dass der Ansatz über das Meistern dieser von vornherein zum Scheitern verurteilt ist. Wie meine ich das?

  • Um den Paketboten nonverbal zu prüfen braucht man Körpersprachewissen
  • Um richtig reagieren zu können, braucht man (Verhandlungs)psychologisches Wissen
  • Um den Kontext verstehen zu können, braucht man informatisches Wissen.
  • Und so weiter. Diese Liste lässt sich lang und ausführlich weiterführen.

Deshalb ist dieser Ansatz, “den Eimer zu flicken” meiner Meinung nach unmöglich realisierbar.

Weshalb ich einen grundlegend anderen, viel fundamentaleren wähle:

Zu einem gewissen Grad muss man Social Engineering lernen, um sich davor schützen zu können.

Was heißt das? Man muss verstehen, wie menschliche Gewohnheiten, Routinen, Denkweisen und Handlungen grundlegend vonstattengehen. Dann muss man dieses Wissen in den Kontext der digitalen Welt setzen.

Und am Ende aus diesen losen Enden eine sichere Schutzweste stricken.

Und genau das mache ich in meinen Cybersecurity-Webinaren.

Mehr zu diesen findet sich hier.

Das soll es so weit auch zum Thema Social Engineering erstmal gewesen sein. Möge dieses Wissen helfen, um Schaden zu vermeiden. Wie stehst du zu Social Engineering, lieber Leser? Hast du bereits (schmerzhafte) Erfahrung damit machen müssen? Wie schützt du dich? Ich freue mich von dir zu lesen!

100 year in one

How to create the progress of the next 100 years in just one year.

Ich bin zum Jahresausklang über das neueste Video von Boston Dynamics gestolpert. Und wie die meisten Zuschauer hat auch mich dieses Video zum Nachdenken angeregt.

 

Konkret habe ich mir die Frage gestellt, warum wir nicht den (extrapolierten) Fortschritt der nächsten ~100 Jahre einfach in diesem Jahr, in 2021 „vorziehen“. Konkret ging mir folgendes durch den Kopf, welches ich unformatiert hier wiedergebe:

 

Motivation: first company who does it right, will dominante its niche and others more and more.
Recipe:
  1. A low code / no code Version like Zapier of a
  2. „Basic AGI“ like MuZero
  3. Open Source it on github
  4. Promote it through a few key influencer in the right fields
  5. Give a manual on how to implement the AI like the one from Andrew Ng.
  6. Optional: combine it with a open source blueprint of a 3D printed robot like the one from the MIT (and/or a open source of atlas from Boston dynamics)
There we have it.
So my question is: why are we not just doing this? And: what am i missing? (As it seems so obvious to do this to me)
Wenn du, lieber Leser, eine Antwort und / oder einen spannenden Gedanken dazu hast, schreib mir gern einen Kommentar.
In any case:
Let’s have a blast of a new year 🙂
Das ist Fortschritt

Alles was du zu Fortschritt wissen musst. (Und wie du zu ihm beitragen kannst)

Evolve or die – Entwickle dich oder sterbe. Oder in anderen Worten: Es gibt keine Alternative zum Fortschritt.

Was ist das (hypothetische) Maximum / Optimum? Ich liebe diese Frage. Und mittlerweile bin ich überzeugt, dass die Antwort “Unendlichkeit” ist. (Warum legt David Deutsch in seinem grandiosen Buch “Beginning of Infinity” so gut dar wie kein anderer)

Aber gehen wir systematisch vor:

Was ist Fortschritt?

Fortschritt lässt sich meiner Meinung nach recht einfach definieren. Und zwar in einer simplen Gleichung:

Die einfachste Definition von Fortschritt der Welt

Fortschritt = 1. Mehr Lösungen + 2. Bessere Lösungen

Mehr und bessere Lösungen? Warum? Weil in kurz gilt:

  1. Lösung(en) = > Frieden, Gesundheit, Freiheit, Leben, Wohlstand etc.
  2. Frieden, Gesundheit, Freiheit, Leben, Wohlstand etc. = > Glück
Mit den Grundlagen:
  • Wissen = Mehr / Bessere Lösungen
  • Wissen = Information mit kausaler Kraft.
  • = Mehr Wissen = mehr / bessere Lösungen = Fortschritt = Glück.

Oder anders formuliert:

Fortschritt = gut / positiv / besser + Zeit
Rückschritt = schlecht / negativ / schlechter + Zeit
Stillstand = egal / neutral / keine Veränderung + Zeit

(Natürlich abhängig von der Perspektive, in diesem Fall aus der des Betrachters)

Warum? Weil jede nur denkbare, negative Situation gleich einem Problem ist. Dir tut der Fuß weh? Das ist ein Problem. Das Klima brennt? Ist auch ein Problem.

Und was ist die Lösung für Probleme? Richtig, Lösungen sind die Lösungen für Probleme. Klingt komisch, ist aber glücklicherweise so einfach.

Und was braucht man, um Lösungen umzusetzen?

  1. Eine Lösung (Also Wissen)
  2. Die Anwendung der Lösung (Also die Motivation, dieses Wissen zur Lösung des Problems einzusetzen)

Dein Fuß tut weh? Eine kalte Kompresse hilft.

Das Klima brennt? Eine freudenbegleitete Umstellung des eigenen Lebensstils hilft.

Und wie passt das zum Fortschritt im umgangssprachlichen Sinne? Hör dich einfach mal um:

  1. Du schaffst seit 4 Wochen mehr Liegestütze? Ein Fortschritt!
  2. Die Weltwirtschaft fällt zurück auf den Stand von 2013? Ein Rückschritt!
Wissen ist dabei so elementar, dass man es als Synonym für Fortschritt nutzen kann. Denn mehr Wissen führt zwangsläufig zu Innovationen, welche Probleme (besser) lösen und damit manifestierter Fortschritt sind.
 

Es gibt also zusätzlich zum Wissen und der Motivation zu dessen Anwendung noch einen dritten elementaren Bestandteil des Fortschritts: Einen Fixpunkt, anhand dessen Veränderungen überhaupt sicht- und spürbar gemacht werden können.

Damit haben wir die Grundlagen.

Doch es wird noch etwas interessanter. Denn Fortschritt ist oft die emergente Summe seiner Teile.

Emergent meint dabei einfach das 1+1 mehr als 2 ergibt. Also dass das Ergebnis mehr ist, als die Summe seiner Teile.

Also (a+b+a)+x.

  1. Individuen und deren Interaktion formen eine Gesellschaft.
  2. Gesellschaften und deren Interaktion formen eine Zivilisation.

Deshalb halte ich eine Betrachtung von Fortschritt aus 4 Flughöhen für sinnvoll:

 Bezeichnung Betrachtungslevel Zentrale Frage dieser StufeZeitrahmen / Lebensdauer der LösungRelations- Rahmen / SkalaVisualisierungsoption für Levelfortschritt
KosmologischGesamtheit (Zivilisation)Wie kann ich das Problem meiner LEBENSFORM (BESSER) lösen?Kein Zeitrahmen, Lösung ist also potentiell zeitlos hilfreich.Kardashow-Skala, Bottom Skala

Tribe -> Dorf -> Stadt -> Land -> Kontinent -> Planet -> Sonnensystem -> Interstellar

Fortschritt der Zivilisation visualisiert von Ian Morris

Big History / Komplexitätsschwellen

SoziologischGroßgruppe (Gesellschaft / Staat etc.)Wie kann ich das Problem der ALLGEMEINHEIT (Einer spezifischen Menschenmasse) (BESSER) lösen?

Potentiell kein Zeitrahmen

Max. bis zur Veränderung der Gesellschaftsform

Zivilisationsfortschritt nach Ian Morris, Bevölkerungswachstum (Fähigkeit mehr Menschen länger am Leben zu halten)Kondratjew-Zyklen, Human Development Index & ähnlich Indizes
ÖkonomischGruppe (Unternehmen / Start-Up etc.)Wie kann ich das Problem meiner KUNDEN (BESSER) lösen?

Potentiell kein Zeitrahmen

Max. bis zur nächsten Disruption

Kontratjew-ZyklusHype CycleProduktlebenszyklen / BCG-Portfolio
PsychologischIndividuum (Ich)Wie kann ich MEIN Problem (BESSER) lösen?

Potentiell kein Zeitrahmen

Max. Lebenserwartung

GTD-Schema, Design-Sprints

Kompetenzzustände,

Fortschrittsmessung per Lebensrad

Ich werde zu jeder dieser Fortschrittsebenen auch noch eigene Artikel veröffentlichen, keine Sorge 😉

Grundlagen von Fortschritt sind im Wesentlichen:

  1. Physik (Naturgesetze, welche die Rahmen für sämtliche Aktionen setzen)
  2. Mathematik (Werkzeug für exakte Messung, Definition und Ausführung der meisten fortschritts-fördernden Aktionen) und
  3. Biologie (Menschen und Ihre „Basics“ sind allesamt biologisch, daher ergibt es Sinn, die Biologie mit einzubeziehen)

Aber gehen wir systematisch vor. Von „oben“ nach „unten“:

Fortschritt + Alles = Big History

Ziel (Wie es scheint): Komplexität.

Warum? Weil sich seit dem Urknall vor 13.8 Milliarden Jahren alles immer weiter, in 8 Komplexitätsschwellen, in Richtung höherer Komplexität entwickelt hat:

Big History ist Fortschritt
Quelle: Big History Project

Fortschritt + Leben = Evolution

Wie es Richard Dawkins in seinem Buch „River out of Eden“ so hervorragend runterbricht:

„…the true Darwinian Utility Function: maximizing DNA Survival.“

Das Ziel des Lebens ist es also, dass DNA überlebt und weitergegeben wird.

Nachvollziehbar.

Und so scheint auch jeder Fortschritt im Leben eines Menschen in irgendeiner Form der großen Kraft der Evolution zu unterliegen. Denn oftmals sind unsere Motivationen evolutionsgetrieben – Du möchtest besser aussehen, fitter sein, mehr Geld verdienen? Sehr wahrscheinlich ist dein Antrieb ein Partner bzw. dein (potenzieller) Nachwuchs. Und das ist Evolution in Reinform.

Fortschritt + Menschheitsgeschichte = Exponentielle Trends + Tipping Points

Fortschritt aus der Vogelperspektive sah für die Menschheit bisher vereinfacht gemalt so aus: (Zivilisation begann zwar vor mehr als 12.000 Jahren, aber in der absoluten Mehrzahl davon ist neben der neolithischen Revolution nicht viel spektakuläres passiert. Daher reicht diese Zoom-Stufe für unsere Zwecke aus)

Es gibt buchstäblich hunderte Grafiken und Statistiken, welche unseren Fortschritt zeigen. Die drei besten Quellen zum Start sind die Bücher „Enlightment Now“ von Steven Pinker, „Progress“ von Johann Norberg und die wundervolle Webseite OurWorldInData.

Oder, um es mit den Worten Barack Obamas zu sagen:

„If you had to choose one moment in history in which to be born, and you didn’t know in advance whether you were going to be male or female, which country you were going to be from, what your status was, you’d choose right now,“

Quelle

Das geht natürlich auch mit Kosten einher, die ebenfalls exponentiell wachsen:

Die Kosten des Menschheits-Fortschritts

Im Wesentlichen lassen sich die negativen Folgen auf die Umweltkosten verursacht durch Energieproduktion reduzieren. Und dieses Problem lässt sich durch bessere Technologie lösen. Zum Beispiel Kernfusion oder bessere regenerative Energien. Wir müssen dazu in beiden Bereichen nur größere Fortschritte machen.

Fortschritt + Eigeninitiative = Die Ziele der WHO

Nachdem wir jetzt die Grundlagen, Geschichte und Auswirkungen von Fortschritt betrachtet haben, kommen wir zur Gegenwart und Zukunft. Wie oben bereits gezeigt, hat die Menschheit durch gezielte Anstrengungen und immer bessere Technologien das Leben von nahezu jedem Menschen dieser Erde bereits dramatisch verbessert. Doch damit nicht genug denn noch profitieren nicht alle gleich davon. Daher sind die folgenden Ziele gute Fixsterne für weitere Fortschritts-Entwicklungen:

1024px-Sustainable_Development_Goals
Quelle: https://de.wikipedia.org/wiki/Ziele_f%C3%BCr_nachhaltige_Entwicklung

Fortschritt + Deutschland = ?

Jetzt kennen wir also auch globale, sinnvolle Ziele für Fortschritts-Anstrengungen. Was schnell zur Frage führt: Und was ist mit Deutschland?

Hier muss man ja leider sagen, ist aus der Politik weder aktuell noch absehbar irgendetwas zielführendes zu erwarten. Daher orientiere ich mich an den Fortschrittsvektoren von Steven Pinker, versehe diese mit möglichen konkreten Zielen und einigen möglichen Messpunkten.

Die resultierende Tabelle kann gern als Inspiration genutzt werden und wird in kommenden Updates weiter vervollständigt:

  Fortschrittsvektor SMARTes Ziel Messoptionen
1 Gesundheit ist besser als Krankheit.

0 kranke Menschen in Deutschland bis bis 31.12.2030 oder eher.

Unterziele:

  1. Zuckersteuer einführen
  2. Intervallfasten pushen
  3. Vegane Ernährung unterstützen / subventionieren
  4. Fleischsteuer (Generell co2 Steuer)
  1. Umfragen
  2. Echtzeitüberwachung von Gesundheitsdaten
  3. Freiwillige Datenbanken (Apps etc.)
2 Leben ist besser als Tod. Nur noch „freiwillige“ Tote -> 0 unfreiwillig verstorbene Menschen in Deutschland bis 31.12.2030 oder eher. Unfallberichte, Krankenhausberichte, Pflegeberichte, Umfragen, Echtzeitüberwachung von Gesundheitsdaten, freiwillige Datenbanken
3 Nahrung ist besser als Hunger. 0 Mangel- oder unterernährte Menschen bis 31.12.2030 oder eher. Wird aktualisiert / Ich freue mich auf deine Inspirationen 😃
4

Wohlstand ist besser als Armut.

Unterziel: Autarkielösungen subventionieren & Gesetze dafür anpassen.  Wird aktualisiert / Ich freue mich auf deine Inspirationen 😃
5 Frieden ist besser als Krieg.

Unterziele:

  1. Atomwaffenabrüstung & Stationierungsverbot
 Wird aktualisiert / Ich freue mich auf deine Inspirationen 😃
6 Sicherheit ist besser als Gefahr.  Wird aktualisiert / Ich freue mich auf deine Inspirationen 😃  Wird aktualisiert / Ich freue mich auf deine Inspirationen 😃
7 Freiheit ist besser als Tyranei.  Wird aktualisiert / Ich freue mich auf deine Inspirationen 😃  Wird aktualisiert / Ich freue mich auf deine Inspirationen 😃
8 Gleiche Rechte sind besser als Engstirnigkeit und Diskriminierung. (gut formuliert?)  Wird aktualisiert / Ich freue mich auf deine Inspirationen 😃  Wird aktualisiert / Ich freue mich auf deine Inspirationen 😃
9 Alphabetismus ist besser als Analphabetismus. 0 Analphabeten in Deutschland bis 31.12.2030.  Wird aktualisiert / Ich freue mich auf deine Inspirationen 😃
10

Wissen ist besser als Ignoranz.

Besseres Gesamtbestehen im PISA-Test? Anzahl der Nobelpreise in Deutschland um x% erhöhen?

Unterziele:

  • Subventionen und Steuern für Religionen auf 0 setzen und stattdessen in Forschung und Bildung investieren.
 Wird aktualisiert / Ich freue mich auf deine Inspirationen 😃
11 Intelligenz ist besser als Dummheit.

Mindestens 2 Tage in der 6. Klasse finanzielle Bildung + kostenlose jederzeit für alle aufrufbare Aufzeichnungen zum nachschauen (diversifizieren + ETF’s etc.)

Generell gesamtes Bildungskonzept mit Tim Ferriss abgleichen. Bildung auf superhumans ausrichten. 80/20 completely.

 Wird aktualisiert / Ich freue mich auf deine Inspirationen 😃
12 Glück ist besser als Leid.  Wird aktualisiert / Ich freue mich auf deine Inspirationen 😃  Wird aktualisiert / Ich freue mich auf deine Inspirationen 😃
13 Gelegenheiten, Familie, Freunde, Kultur und Natur zu genießen, sind besser als Schufterei und Monotonie.  Wird aktualisiert / Ich freue mich auf deine Inspirationen 😃  Wird aktualisiert / Ich freue mich auf deine Inspirationen 😃

Fortschritt + Geschwindigkeit = Disruption

Mehr dazu in meinem entsprechenden Artikel zum Thema Disruption.

Gibt es ein Ende des Fortschritts?

Fortschritt ist prinzipiell nahezu unbegrenzt möglich. Die einzigen Grenzen sind (wahrscheinlich)

  1. Naturgesetze
  2. Expansionsgeschwindigkeit des Universums

Alle anderen Grenzen liegen nur in unseren Köpfen.

Ist das nicht die beste Nachricht, die man sich wünschen kann?