Die besten Tools und Taktiken zur Cybersecurity

Die 116 besten Tools und Taktiken zur Cybersecurity (2021)

Die 116 besten Tools und Taktiken zur Cybersecurity

(2021)

Die besten Tools und Taktiken zur Cybersecurity

Wenn du die besten Cybersecurity- Tools und Taktiken an einem Platz haben möchtest, wirst du diesen Guide lieben.

Nachfolgend findest du die besten 116 Werkzeuge und Möglichkeiten, mit denen du deinen Arbeitsplatz, deine Geräte und dein Unternehmen digital sicher halten kannst. Ergänzt wird diese Liste durch exklusive Empfehlungen von Top-Experten.

Legen wir los:

  1. Software
  2. Hardware
  3. Mitarbeiter
  4. Führungsetage
  5. Unternehmen
  6. Firmenkultur
  7. Zulieferer
  8. Umgebung
  9. Künstliche Intelligenz
  10. Gewohnheiten

Was ist

Cybersecurity?

Kostenlose Anleitungen zum sofortigen Einsatz der hier genannten Tools und Taktiken sowie Updates kannst du dir hier kostenlos herunterladen:

Cybersecurity ist für viele recht abstrakt. So wie “Sicherheitsmaßnahmen” in der “echten” Welt auch alles und nichts bedeuten können.

Grob gesagt besteht Cybersecurity aus drei ineinander verzahnten und aufeinander abgestimmten Bereichen:

Cybersecurity auf einen Blick

Dabei ist Cybersecurity mehr als die Summe seiner Teile. Du kannst dir Cybersecurity, das „digitale Immunsystem“ wie eine aufgeschnittene Zwiebel oder einen Stapel Schweizer Käsescheiben vorstellen:

Das "Swiss Cheese Model"
Bildquelle und weitere Informationen: https://sketchplanations.com/the-swiss-cheese-model

Dieses Konzept kommt ursprünglich aus der Luftfahrt. Es wird mittlerweile für viele komplexe Gefahrensituationen wie bei der Seuchenabwehr angewandt. Auf die Cybersicherheit projiziert sieht es ungefähr so aus:

Das "Swiss Cheese Model" angewandt auf Cybersecurity
Bildquelle und weitere Informationen: https://securityandpeople.com/2017/07/human-errors-in-cyber-security-a-swiss-cheese-of-failures/

Um diese Schichten, die Bestandteile geht es hier. Bzw. um die praktischsten und sofort für dich anwendbaren Bestandteile.

Denn Cybersecurity ist ein so unglaublich komplexes Feld, das keine Seite der Welt sie vollständig abbilden kann.

Deshalb zeige ich hier 116 Facetten und sofort umsetzbare Möglichkeiten, welche den großen Begriff Cybersecurity für jeden Abschnitt mit Leben füllen.

Warum ist Cybersecurity wichtig?

Gibt es überhaupt Angriffe?

Kostenlose Anleitungen zum sofortigen Einsatz sowie Updates kannst du dir hier herunterladen:

Die größten Gefahrenquellen der Cybersecurity sind laut ENISA, der europäischen Agentur für Cybersecurity, im Jahr 2019 / 2020: 

ENISA Cyberthreads 2019-2020-min
Bildquelle und weitere Informationen: https://www.enisa.europa.eu/publications/year-in-review

Angegriffen wird dabei jedes Unternehmen, ganz gleich der Größe oder Sparte wie diese und diese Tabelle so eindrucksvoll wie minutiös zeigen.

Die häufigsten Angriffsstrategien sind laut ENISA dabei:

  1. Angriffe auf das menschliche Element
  2. Web- und browserbasierte Angriffsvektoren
  3. Im Internet exponierte Objekte
  4. Ausnutzung von Schwachstellen / Fehlkonfigurationen und Fehlern in Kryptografie / Netzwerken / Sicherheitsprotokollen
  5. Angriffe über Lieferketten
  6. Netzwerkausbreitung / Lateralbewegung
  7. Aktive Netzwerkangriffe
  8. Missbrauch / Eskalation von Privilegien oder Benutzeranmeldeinformationen
  9. Dateilose oder speicherbasierte Angriffe
  10. Fehlinformation / Desinformation

Schön visualisiert auch diese Echtzeit-Cyberthread-Karte von Kaspersky einen Ausschnitt der virtuellen Bedrohung.

Tipps

zur optimalen Umsetzung

Um das Maximum aus den hier genannten Tools und Taktiken herauszuholen ergibt es Sinn:

  1. Überprüfung und Auseinandersetzen mit dem Tool / der Taktik um zu evaluieren, welche und in welcher Form am besten funktioniert.
  2. Rücksprache / Fragen an den jeweiligen zuständigen. Es geht hier nicht um Kompetenzen oder Bevormundung, es geht um eine optimale Sicherheit. Wenn er aus dem Hut sagen kann, wie das bereits umgesetzt ist, großartig. Wenn nicht, kann das ein guter Startpunkt für weitere Sicherheit sein.
  3. Jeder dieser Hinweise ist nach bestem Wissen und Gewissen erstellt, Erfolge in der individuellen Anwendung müssen allerdings individuell abgewogen und ggf. betreut werden.

Jetzt aber mitten rein ins Vergnügen, los geht’s:

Software

Der digitale Teil der Cybersecurity

Prinzipiell sind sehr viele der hier vorgestellten Cybersecurity-Möglichkeiten Software.

Und da der Großteil der Cyber-Security im Cyber-Raum stattfindet, nimmt Software hier logischerweise den größten Teil ein.

In diesem Abschnitt geht es mir allerdings vor allem um die “80/20” Programme, also die 20 % der Cybersecurity-Software, die so unabhängig wie möglich von der Tätigkeit des Anwenders 80 % der Sicherheits-Ergebnisse erzielt. An anderen Stellen gebe ich auch zum Teil Software-Empfehlungen, diese dann aber Abschnitts-spezifisch.

Kostenlose Anleitungen zum sofortigen Einsatz sowie Updates kannst du dir hier herunterladen:

1. Sichere Passwörter

Auf absehbare Zeit bleiben Passwörter die wichtigste Sicherungsmaßnahme im Digitalraum. Sie können zwar durch andere Maßnahmen ergänzt und eingerahmt werden, doch bleiben sie vorerst die #1 auf der Liste der Verteidigungsstrategien. Doch Passwort ist nicht gleich Passwort.

Ein sicheres Passwort zeichnet aus:

  1. Es ist > 13 Zeichen lang.
  2. Es besteht aus allen Zeichenkategorien auf der Tastatur. (Groß- und Kleinschreibung, Zahlen und Buchstaben, Sonderzeichen etc.)
  3. Es wird kein zweites Mal verwendet.
Passwortsicherheit in der Cybersecurity
Quelle: https://cloudnine.com/ediscoverydaily/electronic-discovery/how-long-will-it-take-to-crack-your-password-cybersecurity-trends/

Oder, wenn du es noch genauer möchtest:

Passwortstärken im Detail
Quelle: https://imgur.com/t/nvidia/GpTYAg8

Weitere Tipps und hilfreiches Rahmenwissen rund ums sichere Passwort findest du hier.

2. Nutzung von Passwortmanagern

Da sich die wenigsten Menschen viele verschiedene lange Zeichenkombinationen merken können, bieten sich hierzu als bequeme, automatische und sichere Lösungen Passwortsafes oder Passwortmanager an. Beispiele sind KeePassX oder 1Password.

Passwortmanager können entscheidend zur Cybersecurity beitragen
Bildquelle und weitere Informationen: https://blog.clickomania.ch/2017/09/21/ein-uberfalliger-umstieg/

3. Passphrasen

Passphrasen sind Kombinationen verschiedener Wörter und Zeichen zu merkbaren “Passwort-Sätzen”.

Ein paar Hinweise um Passphrasen optimal einzusetzen:

  1. Verwende eine leicht zu merkende, aber ungewöhnlichen Phrase. Zum Beispiel “Luke Skywalker isst rosarote Rosenblätter, haha”
  2. Füge Leerzeichen ein.
    Verwende Großbuchstaben und/oder schreibe bestimmte Wörter VOLLSTÄNDIG GROß.
  3. Füge Interpunktionszeichen wie “!.,;) etc. hinzu.
  4. Nutze ungewöhnliche oder abgekürzte Schreibweisen von Wörtern. Wie zB MRT für MagnetResonanzTomograph.
  5. Ersetze ggf. einige Buchst4b3n durch Z4hl3n. Mehr dazu im Abschnitt “Passwort-Sätze”.
Passphrasen zur erhöhten Cybersecurity
Bildquelle: https://searchsecurity.techtarget.com/definition/passphrase

4. Passwort-Karten

Passwort-Karten verwandeln Passwörter in Schrittfolgen. Du merkst dir mit einer Passwortkarte nur den Startpunkt, das Muster (z.B. immer ein Feld diagonal nach unten) und den Endpunkt. Den Rest macht deine Passwortkarte.

Bildquelle und weitere Informationen: https://www.sicher-im-netz.de/dsin-passwortkarte

5. Passwort-Sätze

Mit Passwort-Sätzen merkst du dir nur einen Schlüsselsatz und gibst von diesem z.B. nur die Anfangsbuchstaben jedes Wortes in diesem Satz ein.
Bsp.: „Ich lebe seit ich 10 bin allein zu Hause.“ = „Ilsi10bazH.“

Passwortsätze werden noch effektiver durch Kombination mit “Leetspeak” (Ersetzen von Buchstaben durch ähnlich aussehende Ziffern und/oder Sonderzeichen)
Bsp.: Wikipedia = w!k!p3d!4

6. Verschlüsselungs-software

Daten zu verschlüsseln ist sowohl sinnvoll für Daten als auch für Festplatten- und deren Partitionen. Das beste Tool zum Start ist Veracrypt.

Veracrypt zur Cybersicherheit
Download und weitere Informationen zu VeraCyrypt sowie Bildquelle: https://www.heise.de/download/product/veracrypt-95747

7. Zugriffsdateien

Zugriffsdateien erhöhen die Einbruchssicherheit von Passwortmanagern und Verschlüsselungstools zusätzlich enorm. Sie sind wie ein Schlüssel zusätzlich zum Passwort. Doch Vorsicht: Einmal verloren oder nur um ein Bit korrumpiert sind die Zugriffsdateien niemals wiederherstellbar und unwiederbringlich verloren.

Weitere Informationen und Bildquelle: https://www.heise.de/download/product/veracrypt-95747

8. Firewall

Eine Firewall schirmt einen Rechner vor einigen Angriffsarten von außen ab. Es gibt verschiedene Firewall-Typen und Anbieter.

9. Antimalware

Malware bezeichnet jeden Schadcode, der Systeme infizieren, infiltrieren und zerstören soll. Dabei gibt es einerseits „klassische“, also von Menschen geschriebene Malware. Und andererseits „intelligente“, also reaktive / anpassungsfähige Malware. Letztere wird durch Machine Learning und künstliche Intelligenz möglich.

Unter Malware zählen zum Beispiel

  1. Computerviren
  2. Trojaner
  3. Ransomware
  4. Keylogger etc.
Angriffswege eines Computervirus. Bildquelle und weitere Informationen: https://slideplayer.com/slide/7999162/

10. Angriffsprävention / OSINT

OSINT steht für Open Source Intelligence Tools, also grob “öffentlich nutzbare Werkzeuge”.

Diese werden vor allem von Geheimdiensten genutzt, aber ebenso gern zur Vorbereitung von Großangriffen.

Zu wissen, welche Daten wie herauszufinden sind, hilft enorm bei der Verteidigung gegen Social Engineering Angriffe.

Beispieltools findest du in meinem Artikel zur Internetrecherche oder in diesem Framework.

11. Unsichtbar werden / TOR, VPN & Mesh-Nets

Tools wie TOR, für VPN– oder Maschennetz-Verbindungen sorgen dafür, dass der eigene Datenstrom im Internet schwerer bis nicht mehr nachvollzogen werden kann.

Kombiniert mit Tools wie z.B. TAILS lässt sich so eine sehr hohe Sicherheit gegen fremde Zuschauer erreichen. Der einfachste, schnellste und bequemste Zugang zu TOR ist über den Brave-Browser (Der zeitgleich auch auf andere Wege die eigene Online-Sicherheit erhöht).

Der einfachste Einsatz von Mesh-Nets / Maschennetzen geht via Freifunk oder Firechat (letzteres war leider so wirksam, dass es abgeschaltet wurde).

Bildquelle: Eigener Screenshot

12. Umgebung simulieren / Virtuelle Systeme

Virtuelle Systeme simulieren eine echte PC-Umgebung. Dadurch hinterlässt der Anwender weniger / weniger nachvollziehbare / andere Spuren und/oder kann Programme in einer sicheren Umgebung prüfen.

Zu virtuellen Systemen zählt alles von der Sandbox (mehr dazu beim Punkt “Sandboxes” und “AI-Sandbox” bis hin zum komplett gehärteten System.

TAILS ist das sicherste, am einfachsten nutzbare virtuelle “all in one” System.

Weitere Informationen und Bildquelle: https://en.wikipedia.org/wiki/Tails_(operating_system)

13. Sicherheits- / Penetrationstests

Tools wie Kali Linux oder Metasploit sind Pen-Test-Tools, “Penetrationstest-Tools”. Mit diesen können Systeme angegriffen werden, um Schwachstellen zu finden, um diese dann zu fixen.

Achtung: Einige der Werkzeuge innerhalb dieser Tools können, je nach Land, Anwendung etc., halb- / oder gar illegal in der Anwendung sein.

Bildquelle und weitere Informationen zu Kali: https://www.heise.de/security/meldung/Kali-Linux-2020-1-aktualisiert-Startmedien-Auswahl-und-mustert-Standard-Root-aus-4648751.html

14. Ablenkungsmanöver / Honey Pots

Honeypots oder “Honigtöpfe” sind Systeme oder Maschinen, die Angriffe auf sich ziehen, um das eigentliche Ziel zu schützen und die Angriffe aus sicherer Entfernung analysieren zu können. Honeypot-Tools findest du zum Beispiel hier und hier.

15. Frühwarnsysteme / Sentiment-Analyse-Tools

Sentiment-Analysen sind automatische Suchen nach eingestellten Schlüsselwörtern- und Phrasen. Vor allem zur Stimmungserkennung und Shitstorm-Prävention eingesetzt, helfen diese Tools auch zur Echtzeitüberwachung potenzieller großflächiger Angriffe und deren Vorbereitung.

Sentimentanalyse-Tools zur Cyber-Frühwarnung
Tool-Übersicht und Bildquelle: https://www.talkwalker.com/de/blog/die-besten-sentiment-analyse-tools

16. Kontrollierte Sprengung / Sandboxes

Sandboxes sind vom Rest des Systems abgeschottete Testbereiche, in denen die Wirkung von Software in Sicherheit getestet werden kann. Versucht eine Schadsoftware beispielsweise innerhalb einer Sandbox ein System anzugreifen, wird sie samt der Sandbox einfach gelöscht. Die meiste Antiviren-Software setzt Sandboxes automatisch ein, separate Tools findest du hier.

17. Sichere E-Mail-Provider

Mails und Mailprogramme sind eines der größten Einfallstore und Angriffspunkte für Angriffe jeder Art. Neben dem gefährlichen Inhalt von Mails, dem Phishing, ist es ebenfalls wichtig, einen Mailprovider zu wählen, der technisch sicher ist.

Mein persönlicher Favorit ist seit vielen Jahren Protonmail, es gibt aber auch andere empfehlenswerte Anbieter, z.B. hier aus Deutschland.

18. E-Mail Historie auf Mobilgeräten auf max. 30 Tage begrenzen

Dieser Tipp hilft vor allem gegen Diebstähle oder dem Verlust des Mobilgeräts. Sollte aus irgendeinem Grund auf das Gerät zugegriffen werden können, bleiben die abfließenden Daten begrenzt.

19. Sichere Messenger nutzen

Vor allem in Hacker- und Geheimdienstkreisen hört man immer wieder, man solle so gut es geht auf Mails generell verzichten. Und stattdessen sichere Messenger nutzen. Also Programme wie WhatsApp, nur sicher. Mein persönlicher Favorit ist Wire.

Sichere Messenger zur Cybersecurity-min
Bildquelle und weitere Informationen zur Übersicht: https://www.securemessagingapps.com/

20. Automatische Gegeninformationen

Das Konzept der Gegeninformation kommt aus dem Militär und spezieller (dessen) Geheimdiensten.

Es werden dabei einfach gezielt falsche Spuren gelegt, durch welche von außen nicht mehr nachvollziehbar ist, welche Spur echt ist und welche nicht. Somit wird die Erstellung detaillierter Profile erschwert

Kann ergänzend zum Trennen von Datenströmen eingesetzt werden. Browser-Plugins wie z.B. TrackMeNot können hier schnell und unkompliziert zum Start eingesetzt werden.

TrackMeNot zur Gegeninformation und Cybersecurity-min
Bildquelle: Eigener Screenshot

21. Ggf. private Tabs zum Standard machen

Private Tabs bieten (abhängig vom jeweiligen Browser) zwar keinen wirklichen Zusatzschutz, aber innerhalb dieser werden keine Daten wie Passwörter, besuchte Seiten etc. gespeichert.

Heißt: mit den richtigen Erwartungen durchaus sinnvoll. (Danke an J@sch! für den Hinweis und die Links)

22. Verschiedene Schlösser verwenden / Multi-Faktor-Authentisierung

“X-Faktoren-Authentifizierung”, auch “Multi-Faktor-Authentisierung” genannt ist die Anwendung verschiedener Schlüssel, um ein Schloss öffnen zu können.

Dadurch wird es Angreifern erschwert, in ein System einzudringen. Denn diese brauchen ja immer alle verwendeten Schlüssel, um die Tür zu öffnen.

Faktoren / Schlüssel können zum Beispiel sein:

  1. Link klicken
  2. PhotoTAN scannen
  3. SMS-Code eingeben usw.

Mehr dazu im Abschnitt Gewohnheiten.

Multi-Faktor-Authentisierung zur Cybersecurity
Bildquelle und weitere Informationen: https://www.tools4ever.de/glossar/was-ist-multi-faktor-authentifizierung/

23. Die Orientierung behalten / Shortlink-Prüfer

Selbst wenn man Links lesen kann, verschleiern Shortlinks, also Services, die aus langen Links kurze, leicht zu merkende machen wie bit.ly oder ähnliche Services effektiv die tatsächliche Linkquelle. Wenn man den Shortlink anklickt, kann es aber unter Umständen schon zu spät sein.

Shortlink-Prüfer helfen dabei, indem sie den Link anklicken und das Ergebnis aus sicherer Distanz anzeigen. Ähnlich einem virtuellen System.

Link-Verständnis ist essentiell zur Cybersecurity-min
Ein Shortlink-Prüfungs-Tool. Quelle: Eigener Screenshot

24. Die Privatsphäre bei Bildern sichern / Exif-Daten löschen / verhindern

Exif-Dateien sind spezifizierende Daten, die automatisch rund um ein Foto erstellt werden. Also zum Beispiel Aufnahmeort-, Zeit, etc. Exif-Daten zu löschen verhindert, das jeder, der Zugriff zum Bild hat, erfährt wann, wo, von welchem Gerät etc. das Bild gemacht wurde. Zu verhindern, dass diese Daten anfallen ist nicht ganz leicht, sie zu löschen aber glücklicherweise schon.

Exif-Daten-Windows-Bilddatei-1024x856-min
Bildquelle und weitere Informationen zu Exif-Daten: https://www.digitipps.ch/fotolexikon/exif-daten/

25. Das Klingelschild des Rechners abmontieren / MAC Adresse randomisieren

Die MAC-Adresse ist das Klingelschild einer Netzwerkschnittstelle. Über die MAC-Adresse kann also überall weltweit dein jeweiliges Gerät exakt zugeordnet werden. Um das zu verhindern, lohnt es sich die MAC-Adresse zu randomisieren. Auf jedem ans Internet angeschlossene Gerät.

26. 1-Klick-Prüfung der eigenen Sichtbarkeit

Infosniper oder ähnliche Tools können auf einen Blick zeigen, wie gut die Verschleierung der eigenen Standort-Daten funktioniert. Hier auch nach Popularität geordnet.

infosniper-ip-adressen-lokalisierung-1_1-1-10
Bildquelle und weitere Informationen: https://www.heise.de/download/product/infosniper-ip-adressen-lokalisierung-55629

27. Wurde ich schon gehackt? / Sicherheitsstatus überprüfen

Tools wie HaveIBeenPwned oder der Identity Leak Checker des HPI sind hervorragend geeignet um auf einen Blick zu sehen, welche Daten und Zugriffsinformationen der eigenen Online-Aktivitäten bereits für jeden zugänglich durchs Netz fliegen.

Schnelles Handeln ist dann angesagt. Heißt: Neue Passwörter, Prüfung auf verdächtige Aktivitäten etc.

HaveIBeenPwned ist wichtig zur Cybersecurity zu wissen
Bildquelle: Eigener Screenshot

28. WordPress sichern

Ein kleiner Exkurs zum Schluss dieses Abschnitts: Da WordPress knapp 65 % aller Webseiten bedient, ergibt es Sinn hier ein paar kurze Empfehlungen für hilfreiche Tools zur WP-Sicherheit zu geben.
Meine Favoriten dabei sind:

  1. Sucuri (Systemsicherheit)
  2. ReCaptcha (Zugriffssicherheit und Bot-Blockade)
  3. Updraft (Automatische Backups)

Hardware

Der analoge Teil der Cybersecurity

Hardware anzugreifen ist nicht so einfach wie eine Attacke gegen Software und bei weitem nicht so leicht wie die Manipulation eines Menschen. Dennoch ist dies ein beliebter Vektor um in Systeme einzudringen.

Bei Hardware gilt die Minimal-Faustregel: Das Sender-Gerät, das Empfänger-Gerät und die Verbindung zwischen beiden Geräten muss gesichert sein. Also z.B. beim Surfen im Internet: der Computer des Anwenders, die Internetverbindung und der Server der aufgerufenen Webseite. Der Rest ist (grob vereinfacht) auf der Seite der Software.

Kostenlose Anleitungen zum sofortigen Einsatz sowie Updates kannst du dir hier herunterladen:

1. Hardware-Firewall

Eine Hardware-Firewall funktioniert sehr ähnlich wie ihre Software-Schwester, kann ergänzend allerdings für weiter erhöhte Sicherheit sorgen.

Bei der Hardware-Firewall gleicht das Gerät (die Hardware) die verschiedenen Datenströme ab und macht es durch die Andersartigkeit im Vergleich zur Software Angreifern zusätzlich schwer, in ein System einzudringen. Zumal ein Angriff auf den Zielrechner, welche eine Software-Firewall aushebeln kann, die Hardware-Firewall nicht betrifft, da diese vom Rechner getrennt ist.

Die Hardware-Firewall von AVM ist eine gute Wahl zum Start.

Hardware-Firewall
Bildquelle und weitere Informationen: https://de.malwarebytes.com/

2. Hardware-Schlüssel

Hardware-Schlüssel sind ein hervorragender Teil der Multi-Faktor-Authentisierung und machen es extrem schwer in einen Rechner einzudringen.

Diese Hardware-Schlüssel, auch FIDO-Sticks genannt, erschweren es wie bei einer klassischen Haustür jedem ohne Schlüssel in die “Wohnung” (den Zielrechner) zu gelangen. Ein guter Startpunkt ist der Titan Security Key von Google.

Hier findest du eine Liste mit weiteren guten Hardware-Schlüsseln.

Titan Key Google-min
Bildquelle und weitere Informationen: https://store.google.com/de/product/titan_security_key?hl=de

3. Niemals (YMYL) Login-Daten auf (mobilen) Geräten speichern

YMYL steht für “Your Money Your Life” und bezeichnet sämtliche Daten die mit deinem Geld und deinem Leben / deiner Gesundheit verbunden sind. Den Zugriff auf diese besonders sensiblen Daten zu sichern hat oberste Priorität. Vor allem auf mobilen also leicht beweglichen Geräten sollten daher nach Möglichkeit keine Login-Daten gespeichert werden.

YMYL Cybersecurity
Die im Bild aufgezählten Themen bieten eine gute Orientierung, welche Login-Daten besser nicht gespeichert werden. Bildquelle und weitere Informationen zu YMYL: https://static.googleusercontent.com/media/guidelines.raterhub.com/en//searchqualityevaluatorguidelines.pdf

4. Smartphone ggf. abschalten und die Batterie entfernen

Um eine passive Datensammlung / Tracking zu vermeiden, kann es sinnvoll sein, sein Smartphone abzuschalten und den Akku zu entfernen.

5. Mobilgeräte regelmäßig auf Werkseinstellungen zurücksetzen

Dieser einfache Trick vermeidet Schadsoftware, die sich ohne das Wissen des Nutzers auf dem Smartphone breitgemacht hat. Indem sie bei jedem Root-Vorgang gelöscht wird. (Root-Vorgang = Das Gerät wird in den Urzustand zurückversetzt)

6. Kameras abkleben

Mark Zuckerberg, der Chef des FBI und alle auf Ihre Sicherheit bedachte Personen kleben die Kameras und Mikrofone Ihrer Geräte ab. Denn diese sind unzählbar oft nachgewiesen direkte Spionagetools.

Eine grundsätzliche Alternative können “harte”, also von Werk aus cybersichere Geräte wie zum Beispiel Kryptohandys sein.

Kameras abkleben hilft bei der eigenen Cybersecurity
Bildquelle und weitere Informationen: https://9to5mac.com/2016/06/21/facebook-mark-zuckerberg-tape-over-camera/

7. Gesamte Festplatte verschlüsseln

Festplattenverschlüsselungen können eine gute erste Verteidigungslinie gegen Angreifer bilden. Noch wichtiger als ohnehin schon: Regelmäßige Sicherungen anlegen! Festplattenverschlüsselungen können Hand in Hand mit Partitionsverschlüsselungen und verschlüsselten Containern eingesetzt werden.

Bei Windows ist Bitlocker ein guter Start, FileVault bei Mac OS.

8. NIEMALS USB-Sticks anschließen, denen du nicht vertraust!

Mit infizierten USB-Sticks wurden schon Kernkraftwerke ausgeschaltet.

Daher: Egal was auch passiert, schließe niemals einen fremden USB-Stick an einen Rechner mit sensiblen Daten an. Nie. Mals. Egal wie fancy er auch aussieht.

So süß wie gefährlich: USB Sticks und Cybersicherheit
Bildquelle: https://www.entertainmentearth.com/product/MC10375___16GB

9. WLAN sichern

Ein drahtloses Netzwerk zu sichern ist keine ganz leichte Aufgabe. Denn: Jeder mit einem Gerät, welches sich in das WLAN einloggen kann, kann dieses prinzipiell angreifen.
Hier ein paar grundlegende Tipps zur WLAN-Sicherheit:
(WPA2) Verschlüsselung aktivieren
Sicheres Passwort für Verschlüsselung, Router und Zugang nutzen (unterschiedliche Passwörter für jeden Punkt nutzen)
Sämtliche Software immer auf dem neuesten Stand halten.
Wenn möglich Kabel statt WLAN nutzen
Datei- und Drucker-Freigabe deaktivieren
SSID-Broadcasting deaktivieren

Weitere Tipps findest du hier und hier.

10. Smartphones härten

Smartphones sind ein Schlaraffenland für Cyber-Angreifer. Denn sie sind mobil, also leicht zu entwenden, verknüpfen sich mit verschiedenen Netzwerken via WLAN, sind dank Ihren Sensoren, Kameras und Mikrofonen mobile Spionagegeräte und speichern sehr oft potenziell kompromittierendes Material.

Deshalb ist es sehr wichtig, sein Smartphone zu sichern. Im Fachjargon spricht man von “härten”.

Wie weiter oben bereits angesprochen ergeben ggf. Kryptohandys oder zumindest gehärtete Betriebssysteme wie dieses Sinn, ansonsten können diese und diese Anleitung sehr gut helfen.

Smartphone Cybersecurity Checklist
Bildquelle und vollständige Checkliste: https://security.utexas.edu/handheld-hardening-checklists/android

Mitarbeiter

Der größte Teil der Cybersecurity

Der Mensch ist in > 99 % der größte und einfachste Schwachpunkt jedes Systems.

Viele Hacker beschäftigen sich aus diesem Grund schon gar nicht mehr mit Technologien, denn User zu manipulieren ist fast immer im Vergleich kinderleicht.

Hacks gegen Menschen werden “Social Engineering” genannt. Sicherheitsmaßnahmen dagegen “Security Awareness”.

Kostenlose Anleitungen zum sofortigen Einsatz sowie Updates kannst du dir hier herunterladen:

1. Das eigene Gehirn sichern / Amgydala-Hijacking

Eine der effektivsten Strategien des Social Engineering ist es, das Angriffsziel in eine starke Emotion wie Angst oder Stress zu versetzen. Dadurch schaltet das Gehirn des Angriffsziels von “komplex denkend” in den “Kampf oder Flucht” -Modus. Das Angriffsziel kann dann kaum / nicht mehr abstrakt denken und z.B. Rechnungen ausführen, sondern nur noch “quasi-panisch” reagieren. Ab diesem Moment ist man buchstäblich Spielball des Angreifers.

Und das passiert nicht in Gedanken. Deine Wahrnehmung wechselt durch diesen Angriff den “Wohnort” vom präfrontalen Kortex aus deinen höheren Hemisphären in die Amygdala, dein Stammhirn. Unvorbereitet kannst du also buchstäblich nichts (sinnvolles) gegen eine “Amygdala-Geiselnahme” machen.

Ein Bewusstsein dieser Möglichkeit, Standardprotokolle und Strategien sowie Stresstests können dabei effektiv helfen. Weitere Optionen findest du hier.

Das Gehirn ist der wichtigste Wall der Cybersecurity
Bildquelle: https://commons.wikimedia.org/wiki/File:Ptsd-brain.gif Weitere Informationen: https://benjamineidam.com/phishing-anruf

2. Regelmäßige Schulungen und Tests

Wie heißt es so schön: “Boxen lernst du nur, indem du boxt”.

Genauso verhält es sich mit Cybersicherheit: Sicherheitslücken findest du nur heraus, indem deine Wälle angegriffen werden. Und die sich dadurch offenbarenden Schwachstellen freigelegt und bewusst behoben werden.

Gute Möglichkeiten dazu fürs ganze Unternehmen sind Stress- bzw. / Pentests.

Für Mitarbeiter im Speziellen ist die beste Möglichkeit allerdings die, die sichere Option zur Standardoption zu machen. Also die Gewohnheiten gezielt anzupassen.

Am einfachsten geht dies durch Umgebungsdesign. Mehr zur gezielten Gestaltung sicherer Gewohnheiten im gleichnamigen Abschnitt.

3. Keine letalen Daten in der Öffentlichkeit

Letale Daten sind alle Informationen, die in den falschen Händen zu schwerwiegenden bis vernichtenden Schäden führen können. Je nach Situation zum Beispiel Passwörter, Schlüsselkarten, Zugangscodes etc.

Eine gute Faustregel dazu ist: “Würdest du dich wohlfühlen, das Gesagte per Megafon in eine Gruppe Menschen zu sprechen?

Wenn sich dir bei dem Gedanken daran der Magen umdreht, führe das Telefonat lieber im Nachbarraum, denke zweimal über das Aufschreiben deines Passworts nach etc.

4. Angriffsflächen bewusst machen

Jeder Mensch ist angreifbar, vor allem mit virtuellen Hilfsmitteln. So weit nichts Neues.

Doch die spezifischen Schwachpunkte unterscheiden sich individuell und nach Persönlichkeitstyp. Eine hervorragende Einführung in das Thema ist dieser Artikel des IT-Experten Philipp Schaumann.

Die beste und zugleich schnellste Persönlichkeitsanalyse als Startpunkt findet sich hier.

Schwachstellenprofil
Schwachstellenprofile können ein guter Startpunkt für die Security Awareness sein. Bildquelle und weitere Informationen: https://www.sicherheitskultur.at/social_engineering.htm

5. Die größte Gefahr im Internet vermeiden / Phishing

Phishing ist die beste Waffe des digitalen Verbrechens. Denn sie ist extrem erfolgreich, kinderleicht anpassbar, problemlos skalierbar und richtig gemacht nicht nachverfolgbar.

Mehr zur Disproportion und Bedeutung von Phishing findest du hier.

Einen kompletten Guide zu Phishing Mails findest du hier, selbiges zu Phishing Anrufen hier, weitere Informationen rund um Phishing, seine Arten und vielem mehr hier und ein gutes Quiz zum Prüfen des eigenen Wissens hier.

Anatomie einer Phishing-Mail. Bildquelle und weitere Informationen: https://benjamineidam.com/phishing-mails

6. Identitätsmissbrauch

Der Missbrauch digitaler Identitäten ist eine weitere asymmetrische Angriffsmethode.

Der Aufwand ist, je nach Szenario, nahezu verschwindend gering. Der Schaden allerdings kann gigantisch sein; Jobverlust, Scheidung, Stress mit dem persönlichen Umfeld und hohe Geldverluste sind da noch die verhältnismäßig harmlosen Auswirkungen. Suizid die schlimmste.

Das Thema ist sehr komplex und individuell unterschiedlich zu behandeln, zwei gute Startpunkte um auf einen Blick zu sehen, ob man in Gefahr ist oder eigene sensible Daten bereits in den falschen Händen sind, sind diese beiden Seiten:

  1. https://haveibeenpwned.com/
  2. https://sec.hpi.de/ilc/search?lang=de
Bildquelle und weitere Informationen: https://www.heise.de/hintergrund/Identitaetsklau-nimmt-zu-und-wird-raffinierter-4305746.html?seite=all

Neben dem “klassischen” Identitätsmissbrauch gibt auch den “synthetischen” Identitätsdiebstahl- / Missbrauch. Bei diesem wird aus der eigenen digitalen Identität eine künstliche gemacht und damit Schaden verursacht. Mehr dazu im Abschnitt künstliche Intelligenz.

7. Mental Models

Mental Models sind kontextuelle Blickwinkel auf Situationen. Zum Beispiel sieht ein Botaniker in einem Wald einen biologischen Schatz und überlegt sich Schutzstrategien. Ein Agrarspekulant hingegen sieht im selben Wald einen monetären Schatz und überlegt sich Verkaufsstrategien.

Mentale Modelle können extrem wirksam bei Cybersecurity-Problemen sein, allen voran Social Engineering-Herausforderungen.

Die besten Mental Models + konkrete Übungen kannst du dir kostenlos hier als Vorlage zum Ausfüllen herunterladen.

Sai Krishna - Growth Hacker, Vice President of Cognore and Founder of the Global Cybersecurity Forum

Sai Krishna

Founder of the Global Cybersecurity Forum

1. What are the 3-5 biggest mistakes newcomers make when they start cybersecurity?

- Influenced by the vendors, trainers and research papers

- Choosing a product from external recommendation, endorsement instead of looking at it from his/her own use case

- Missing key success criteria during PoC (Proof Of Concept)

2. What mistakes are also common among professionals?

- Heavily dependent on technology

- Poor focus on people and processes

- Considering it as a cost center than a value creation center

3. What 3-5 actions bring the greatest impact to cybersecurity?

- Continuous upskilling

- Finding a right mentor

- Periodic assessment of skills applied VS only learned

Führungsetage

Der effektvollste Teil der Cybersecurity

Manager, Leiter und Chefs verschiedener Bereiche, Gruppen und Abteilungen sind eine Cybersecurity-Kategorie für sich. Technisch gesehen sind sie zwar ebenfalls Menschen und Mitarbeiter, also auch genauso anfällig.

Praktisch sieht es allerdings anders aus: Für Menschen mit Verantwortung und Berechtigungen innerhalb von Unternehmen gibt es ein eigenes “Angriffs-Universum”.

Dementsprechend müssen die Verteidigungsstrategien hier grundlegend überdacht / angepasst werden.

Kostenlose Anleitungen zum sofortigen Einsatz sowie Updates kannst du dir hier herunterladen:

1. Regelmäßige Schulung / Test

Für Personen mit Verantwortung, Sicherheitsfreigaben und Zugriff auf sensible Informationen gilt noch mehr als für “den Rest” der Belegschaft: Das Härten der eigenen Handlungsweisen hat für die Cybersicherheit des gesamten Unternehmens einen sehr hohen Stellenwert.

Der „1½ Ansatz“ funktioniert dabei sehr gut: Das sichere und routinierte Handeln sollte entweder auf Platz 1 oder maximal Platz 2, je nach Tätigkeit stehen. Bei YMYL-Bereichen auf Platz 1, bei allen anderen individuell zu entscheiden.

Heißt: Bevor zum Beispiel ein Bankmanager seinem Alltag nachgeht, muss er zuallererst cybersicher sein. Ansonsten kann er seinen Job schlicht nicht sicher ausführen.

2. Stress- und Pentests als Routine

Aufgrund des Triviums Verantwortung, Freigaben und Zugriffen sind nicht nur Schulungen, sondern auch die regelmäßige Simulation des digitalen Ernstfalls sehr wichtig und sogar wichtiger als für “normale” Mitarbeiter.

Eine gute Faustregel lässt sich hier aus der “Effekt-Proportion” ableiten: Proportional zur maximalen Wirkung der eigenen Handlung müssen die Ergebnisse und die Regelmäßigkeit von Stresstests sein. Hat ein durchschnittlicher Mitarbeiter zum Beispiel eine maximale Verfügungsgewalt über 10.000 $ bevor es zur Gegenprüfung kommt, ein Manager aber von 1.000.000 $, dann sollten die Ergebnisse dementsprechend sein.

Ab einem Faktor  ≥ 10 sollten die Ergebnisse mindestens 90 % bei den letzten > 3 Tests betragen. Ab dem Faktor ≥ 100 sogar > 95 % bei den letzten > 3 Tests.

Weitere Taktiken wie diese im Abschnitt Gewohnheiten.

3. Keine letalen Daten in der Öffentlichkeit

Geheime Dokumente auf einem Rechner zu öffnen, dessen Bildschirm zu einem öffentlichen Platz gerichtet ist oder Daten wie Kreditkarteninformationen lautstark ins Telefon sprechen. Es gibt Situationen, die sich schnell in Gefahrenquellen verwandeln können. Social Media insgesamt ist wie ein riesiger Honeypot und eine Einladung dazu.

Faustregel: YMYL-Daten nur hinter verschlossenen Türen heißt in einer sicheren Umgebung verwenden und bearbeiten.

4. Angriffsflächen bewusst machen

Es gibt buchstäblich unendlich viele Angriffsmöglichkeiten auf jedes beliebige digitale Ziel. Ein Rechner ist beispielsweise angreifbar via Internet, lokalem Netzwerk, Speichermedien, Eingaben, Programmen, Hardware-Hacks etc. Und Rechner sind buchstäblich überall dieser Tage, wie allein der Trend “Smart Home” zeigt.

Eine gute Faustregel um Angriffsvektoren zu identifizieren und einzudämmen:

  1. Die ehrliche und so vollständig wie möglich beantwortete Frage: “Was ist mir wichtig?” Das kann alles von der eigenen Familie über den Neuwagen bis hin zum Investmentfonds sein.
  2. Die Antwort auf die Frage “Was tue ich aktuell, um die Antwort auf 1. zu schützen?”
  3. Die Antwort auf die Frage “Was kann ich tun, um die Antwort auf 1. zu schützen?” (Für ein möglichst breites Antwortspektrum hast du diese Seite)
  4. Die Antwort auf die Frage “Ergibt es Sinn, weitere Maßnahmen zu ergreifen? Und wenn, welche?”

Hier ergibt es nahezu immer Sinn, sich gemeinsam mit einem Profi Optionen und Maßnahmen anzuschauen und umzusetzen. z. B. via individuellen Schulungen und Coachings.

5. Der Stich ins Herz / Phishing

Selten wird der Unterschied zwischen Prioritätszielen und “normalen” Mitarbeitern so klar wie beim Phishing. Denn Phishing + Unternehmens-VIPs = Spear- bzw. Whale-Phishing.
Spear- bzw. Whale-Phishing bedeutet auch E-Mails, die falsch behandelt Angreifer ins Zielsystem lassen. Doch Spearphishing-Mails sind ein anderes Kaliber. Während normale Phishing-Mails mehr oder weniger generisch sind, mal falsch übersetzte Anhänge haben, mal der Absender nicht zum Inhalt passt usw. sind Spearphishing-Mails heimtückisch.
Oft mit wochen- oder gar monatelanger Vorbereitung und exakter Maßanfertigung auf ihr Ziel.
Meist werden dabei Präferenzen und Vorlieben des Ziels ausspioniert, vertrauenswürdige Proxys gehackt und von dort aus die Mail abgeschickt etc.

Eine Phishing-Mail von einer Mail zu unterscheiden ist wie eine Blume von einem Busch zu unterscheiden. Für die meisten relativ einfach und schnell machbar.

Eine Whalephishing-Mail hingegen ist wie eine blaue blume von einer anderen blauen Blume zu unterscheiden. Machbar, wenn man ein wenig Hintergrundwissen in Botanik hat. Ansonsten potenziell giftig.

Meinen Guide zu Phishing Mails findest du hier und zu Phishing Anrufen hier. Weitere Informationen rund um Phishing, seine Arten und mehr findest du hier.

Phishing Beispiel zur besseren Cybersecurity
Bildquelle und weitere Informationen: https://www.wud.de/it-security/7-gefaehrliche-phishing-angriffsmethoden-die-sie-kennen-muessen/

6. Identitätsmissbrauch

Wie bereits weiter oben angesprochen ist Identitätsmissbrauch ein wichtiger Bestandteil der Cyber-Kriegsführung. Und rein logisch ist eine Identität mit mehr Reputation, also zum Beispiel ein Manager, Geschäftsführer oder auch Prominenter ein lohnenderes Ziel, als ein “normaler” Mitarbeiter, richtig?

Fast. Das lässt sich nicht pauschal sagen. Es gelten die “Goldilocks-Conditions” der Cybersecurity:

Cybersecurity-Goldilocks-Conditions-min
Bildquelle: Eigene Grafik

Heißt: Der “digitale Niemand” ist angreifbar und lohnenswert. Prominente und ähnliche lukrative Ziele ebenfalls.

Doch die Herrschaft über die eigene digitale Marke erschwert Angreifern den Erfolg vor allem bei Rufmordkampagnen, Stalking und ähnlichen Identitätsmissbrauchs-Versuchen enorm.

Mehr zu synthetischem Identitätsmissbrauch im Abschnitt künstliche Intelligenz.

7. Mental Models

Wie bereits oben angesprochen sind die richtige mentale Einschätzung, Haltung und daraus hervorgehende Handlungsoptionen im Bereich Cybersecurity überlebenswichtig.

Für die wichtigsten Mitarbeiter eines Unternehmens gelten dabei noch zwei besondere Regeln:

  1. Bei allen berufsrelevanten Themen muss der Gesprächspartner besonders vertrauenswürdig sein. Es gibt verschiedene Schemata und Checklisten dafür, ein solides Bauchgefühl bei genügend Erfahrung ist ein guter Start.
  2. Je potenziell ertragreicher und/oder waffenfähig der eigene Wissensstand und Arbeitsplatz, desto wahrscheinlicher ein Angriff auf den Inhaber von diesem.

Mentale Modelle sind extrem hilfreiche Werkzeuge im Cybersecurity-Kontext. Die besten Mental Models zur Cybersecurity + konkrete Übungen kannst du dir kostenlos hier als Vorlage zum Ausfüllen herunterladen.

Unternehmen

Der wertvollste Teil der Cybersecurity

Unternehmen sind die zentralen Ziele der Cyber-Angriffe, denn sie sind der zentrale Wertschöpfer der Wirtschaft.
Hier gelten 3 Faustregeln:

  1. Je höher der Nutzwert, desto lukrativer ein Angriff.
  2. Je weiter entfernt von Cybersecurity-Expertise, desto lukrativer ein Angriff.
  3. Je näher an kritischen Infrastrukturen, desto lukrativer ein Angriff.

Kostenlose Anleitungen zum sofortigen Einsatz sowie Updates kannst du dir hier herunterladen:

1. Sicherheitsstufen kennen und einsetzen

Zugriffe sinnvoll zu steuern kann eine einfache aber asymmetrisch effektive Sicherheitsmethode sein. Ein guter Startpunkt und/oder Abgleich dabei kann die Normungs-Roadmap der DIN sein. Diese gemeinsam mit allen (relevanten) Mitarbeitern zu gestalten, kann zusätzlich der Sicherheitskultur helfen.

Die Traffic Light Protocoll (TLP) Stufen der Allianz für Cybersicherheit sind ein weiteres gutes Framework zur Orientierung der eigenen Sicherheitsabschnitte. Bildquelle und weitere Informationen: https://www.allianz-fuer-cybersicherheit.de/Webs/ACS/DE/Home/_/merkblatt_behandlung_vertraulicher_informationen.html?nn=145680#download=1

2. Mit Profis zusammenarbeiten

Dieser Punkt ist vermutlich (hoffentlich) kein Geheimtipp: Es ergibt vor allem bei der Cybersicherheit des eigenen Unternehmens Sinn, mit Experten verschiedener Schwerpunkte zusammenzuarbeiten. Bzw. deren Updates auf dem Schirm zu haben.

Der CCC ist in Deutschland ein guter Startpunkt, der Security Googleblog international.

3. Die Gleichung drehen

Viele der hier genannten Maßnahmen akkumulieren sich zu mehr als der Summe Ihrer Teile. Es gilt wie im Kapitel-Intro geschrieben: Je weniger lohnenswert ein Ziel ist, weil es vergleichsweise zu gehärtet ist, desto unwahrscheinlicher ist ein Angriff, weil nahezu unendlich viele andere, einfachere Ziele vorhanden sind. 

Heißt: Jede Sicherheitsmaßnahme erhöht die Sicherheit auch ohne tatsächlichen Angriff, einfach, weil sie den Angriffs-Aufwand erhöht und damit die Angriffs-Wahrscheinlichkeit senkt. (Dies gilt natürlich nicht für gezielte Angriffe explizit gegen dein Unternehmen aufgrund eines Auftrages etc.)

4. Die Vokabeln kennen

Die technische Vokabelliste ist endlos und die wichtigsten Vokabeln hoffentlich hier bereits abgedeckt. Auf der Seite der Social Engineering Angriffe gibt es allerdings noch ein paar Kernbegriffe:

  1. DLP (Data Loss Prevention)
  2. UBA (User Based Analytics)
  3. SIEM (Security Information and Event Management)
  4. BRI (Business Risk Intelligence)
  5. IaaS (Infrastructure as a Service)
  6. PAM (Privileged Accounts Management)
  7. XDR (eXtended Detection and Response)
  8. XSS (Cross-Site-Scripting)

Diese Liste erhebt selbstverständlich keinen Anspruch auf Vollständigkeit. Viel eher kann sie als hilfreiche, konzeptionelle Ergänzung und Inspiration betrachtet werden.

5. Den “Krebs-Regeln” folgen

Wenn ich nur einen Cybersecurity-Experten benennen müsste, der den meisten, kontinuierlichen und verständlichen Wert bringt, es wäre Brian Krebs.

Von ihm sind auch die drei wundervollen “Krebs-Regeln”:

1. “If you didn’t go looking for it, don’t install it!” – Wenn du nicht danach gesucht hast, installiere es nicht!
2. “If you installed it, update it.” – Wenn du es installiert hast, update es!
3. “If you no longer need it, remove it.” – Wenn du es nicht länger brauchst, lösche es!

Wenn du nach einem sofort umsetzbaren 80/20 Startpunkt suchst, sind es wahrscheinlich diese drei Regeln. Quelle der 3 Regeln und mehr zu diesen.

6. Grundwissen für jeden in der Firma

Die wichtigsten Begriffe und deren Eigenschaften und Bedeutung sollte jeder mit Zugriffsberechtigung zu einem Gerät mit Display kennen. Das gilt auch für ausschließliche Zugriffsberechtigungen im Notfall.

Ein guter Startpunkt ist das Cyber-Glossar des BSI.

Bildquelle und weitere Informationen zum Cyber-Glosar des BSI: https://www.bsi.bund.de/DE/Service-Navi/Cyber-Glossar/cyber-glossar_node.html

7. Empfehlungen von Edward Snowden

Ein weiterer guter Anstoß zur Verbesserung oder Überprüfung interner Prozesse und Handlungsweisen kann dieser Kurzleitfaden inklusive Tool-Empfehlungen und Begründungen von Edward Snowden sein. Was macht diese Empfehlungen vertrauenswürdiger als die anderer Sicherheitsexperten? Diese präzise Antwort:

Die meisten der dort genannten Tipps findest du in diesem Guide auch schon ausgeführt.

8. E-Mails gegen Bots sichern

Du möchtest verhindern, dass Unternehmens-E-Mail Adressen automatisch von Programmen gesammelt, verknüpft und dann angegriffen werden. Dazu lohnt es sich diese auf den eigenen Webauftritten zu härten (Und generell so selten wie möglich im Netz zu posten).

Mögliche Wege dazu sind zum Beispiel:

  1. “@” durch “(ät)” oder ähnliches ersetzen. Beispiel: xyz(ät)abc.de
  2. Zusätzliche Zeichen hinzufügen, um die E-Mail-Adresse zu verschleiern. Beispiel: xyz@remove-this.abc.de
  3. Die Mailadresse nur als Bild einblenden. Beispiel: Siehe Bild.
  4. Ein Captcha oder Verschlüsselung vorschalten. Beispiel: YouTube:
Mail-Captcha Cybersecurity
Captchas können gute Hürden gegen Bots sein. Quelle: Eigener Screenshot.

9. Sicherheits-Frameworks kennen und nutzen / NIST-Framework

Das NIST-Framework ist das beste Framework als Startpunkt zur Prüfung der eigenen Sicherheitsprozesse. Die wichtigsten weiteren findest du hier.

NIST Cybersecurity Framework
Bildquelle und weitere Informationen: https://www.nist.gov/cyberframework/framework

10. Die eigene Verteidigung prüfen (professionell)

Auf Penetrationstests oder kurz “Pen-Tests” bin ich weiter oben bereits eingegangen. Bei größeren Unternehmen / besonderem Augenmerk auf Sicherheit ergeben derartige Tests durch externe Dienstleister Sinn. Soweit man mit Werkzeugkästen und Tools wie Kali auch kommt, für einen “echten” Pentest braucht es firmenexterne Experten. Kombiniert mit dem kontinuierlichen Austausch mit Experten erreicht man so ein sehr gutes Sicherheitslevel.

11. Passwortstärken testen

Oft “Password Auditing” genannt. Cain & Abel und John the Ripper sind die ersten Adressen dafür. Mehr zu sicheren Passwörtern und dem richtigen Umgang mit diesen findest du weiter oben.

12. Netzwerksicherheit prüfen

Hier bieten sich interne Audits, Stresstests und/oder Prüfungen mit Tools wie zum Beispiel Netstumbler, Aircrack oder KisMAC an.

13. Zugriffsrechte einschränken

Wie bei den Schlüssel-Vokabeln und anderen Punkten bereits angesprochen, ergibt es Sinn “Schotts” zu implementieren.

So das nicht jeder Mitarbeiter, Gast usw. die gleichen Zugriffe hat. Kann manchmal hinderlich bis ärgerlich sein, rettet dafür aber ggf. das Unternehmen.

Denn ein infizierter Bereich ist besser als, wenn das ganze Schiff brennt. Hier kann man viel von der Marine lernen.

UBoote und Cybersicherheit
Dieser Forenuser achtet auf Sicherheit wie diese schöne Grafik seiner eingebauten Schottwände zeigt. Bildquelle und weitere Informationen: https://www.1000steine.de/de/gemeinschaft/forum/?entry=1&id=451260&lastid=1

14. Personenkontrollen- / Sperren

Stichprobenartige, unangekündigte Taschen-, System- und Personenkontrollen können sehr wirksam sein. Durch die reine Wahrscheinlichkeit dieser Möglichkeiten verändert sich das Sicherheitsempfinden.

Diese Taktik sollte, je nach Umfang, mit Vorsicht getestet und erst nach positiven Ergebnissen weiter eingebaut werden. Denn in beinahe jeder Kultur außerhalb von Russland oder China gehört diese Art der Überwachung und Eingriff in die persönlichen Rechte nicht zum Alltag.

15. Zeitgemäße Hardware einsetzen

Die NASA kann dank Problemen mit der Hardware-Kompatibilität älterer und aktueller Systeme nicht korrekt arbeiten. Dieses Problem ist allerdings kein rein interstellares, meist sind irdische Systeme betroffen. Veraltete Hardware kann ggf. keine aktualisierte Software einsetzen, bringt Schwachstellen in inhomogene Systeme und führt zu Mehraufwand der automatisch zu weiteren Schwachstellen führt.
Da Hardware die Grundlage für sämtliche Aktivitäten und Sicherungen ist, sollte hier entsprechend fundamental gearbeitet werden.

16. Digitaler Hagelschlag / DDOS

DDoS, der “Distributed Denial of Service” ist für Angreifer gegen ungeschützte Systeme einer der leichtesten Wege, ein Unternehmen anzugreifen. Dabei werden die mit dem Internet verbundenen Systeme eines Unternehmens, meist die Webauftritte, attackiert.

Die Angreifer “müllen” die Systeme so lange zu, bis diese kapitulieren und damit nicht mehr verfügbar sind. Der populärste Service zum Schutz gegen DDOS-Angriffe ist Cloudflare.

DDOS Attacken und Cybersecurity
DDOS-Angriffe können verschiedene Schichten / Phasen haben. Bildquelle und weitere Informationen: https://www.myrasecurity.com/de/was-ist-ein-ddos-angriff/

17. Unbestechliche Türsteher / Injections

Injections, allen voran SQL-Injections, kurz “SQLi’s” sind der Missbrauch von Programmen durch das Einschmuggeln von Fremdcode- / Befehlen.

Injections stehen seit Jahren ganz oben auf der Liste der OWASP Top 10 Application Security Risks. Mehr zu Injections und Maßnahmen gegen diese findest du hier.

Injections OWASP Cybersecurity
Bildquelle und weitere Informationen: https://owasp.org/www-project-top-ten/2017/A1_2017-Injection

Firmenkultur

Der unterschätzte Teil der Cybersecurity

Eine “Quasi-Diktatorische Führung mit einem Klima der Angst” in einem Unternehmen ist das Traumszenario für jeden Angreifer.

Aber auch “Aneinander vorbei-gearbeitete Quasi-Anarchie” bringt nichts.

In kurz: Nur wenn das Unternehmen als Team agiert, kommt von außen schwer jemand einen Keil in dieses getrieben. Mitarbeiter jeder Ebene andernfalls gegeneinander auszuspielen und zu manipulieren ist sonst ein Kinderspiel.

Kostenlose Anleitungen zum sofortigen Einsatz sowie Updates kannst du dir hier herunterladen:

1. Idea Meritocracy

Eine Ideen-Meritokratie bezeichnet das Prinzip, dass immer die beste Idee gewinnt. Egal von wem sie kommt.

Diese von Investor Ray Dalio und seinem Unternehmen Bridgewater geprägte und gelebte Idee der Ideen-Meritokratie ist zeitgleich eine Cybersecurity-Maßnahme. Denn unsinnige und sicherheitsgefährdende Phänomene wie Mobbing, Machtspielen etc. werden damit fundamental entschärft. Und gewertschätzte Mitarbeiter hegen keinen Groll und sind nicht ignorant gegenüber potenziellen Gefahren.

Falsche Firmenkultur zieht falsche Mitarbeiter an
Ein Shitstorm ist aus Cybersicherheits-Perspektive noch eines der leichteren Szenarien zu denen Mitarbeiter führen können. Bildquelle und weitere Informationen: https://www.talkwalker.com/de/blog/krisenmanagement-wie-man-sich-auf-einen-shitstorm-vorbereitet

2. Grundverständnis der Evolutionsbiologie

Menschen handeln menschlich. Soweit keine Sensation. Doch was das im (Arbeits)Alltag tatsächlich bedeutet ist einerseits noch nicht lang wissenschaftlich fundiert bekannt. Und andererseits noch viel seltener beachtet.

Das kann sich nicht nur organisatorisch, sondern auch sicherheitstechnisch als Gefahr herausstellen.

Dinge wie:

  1. Entscheidungsmüdigkeit (Je mehr getroffene Entscheidungen, desto weniger Energie für jede weitere Entscheidung)
  2. Stammeszugehörigkeit (Der Mensch ist ein Gruppen-Tier, was ausgenutzt werden kann)
  3. Kollektivschuld (Abgabe von Verantwortung bei Ausführung einer Handlung)
  4. Usw.
Bildquelle und weitere Informationen: https://jamesclear.com/willpower-decision-fatigue

3. Extreme Ownership

Extreme Ownership bedeutet, dass sich jeder Mitarbeiter so verhält, als wäre er der Eigentümer des Unternehmens. Grob übersetzen kann man es mit “extremer Verantwortung”. Eine Firma bei der allein dieser Wird gelebt wird, ist ungleich sicherer gegen Social Engineering etc. aufgrund von Proaktivität, selbstverständlicher und gegenseitiger Unterstützung, Ursachenbekämpfung direkt an der Quelle etc.

4. Die Gruppe als Einheit / Teambuilding

Spätestens der Cyberkrieg macht aus zusammengewürfelten Mitarbeitern zwangsläufig ein Team. Oder genau genommen: sollte es besser.

Denn das Team wird angegriffen, ob es sich als Team fühlt oder nicht.

Wenn ein Mitarbeiter den anderen nicht fragen oder seine Gedanken teilen kann, fehlt eine wesentliche Schutzschicht gegen jedwede Social Engineering Attacke. Deshalb: Teambuilding ist eine Cybersecurity-Maßnahme.

Kyle Lai Security Advisor, Investor and President, CISO & Head of Services of KLC Consulting, Inc-min

Kyle Lai

Security Advisor, Investor and President, CISO & Head of Services of KLC Consulting, Inc.
What are the 3-5 biggest mistakes newcomers make when they start cybersecurity?

  1) Start planning cybersecurity projects without understanding the company's business and without involving business teams - Different business has different attack vectors and threat actors. For example, you need to protect the user's privacy, user identity, access, and transaction integrity if you are in banking. If you are in the defense industry, your priority will be protecting intellectual property, sensitive government information, supply chain security, and manufacturing facilities. There are also regulations to comply with.  

  2) Communicate to business people without a common language Newcomers tend to use many technical terms with business people, which degrade the relationships with business groups.  New cybersecurity professionals should learn to simplify the technical terms to a common language that business people will understand. It is a better way to build trust and show that you are helpful to them.  

 3) Not ask questions when getting stuck with a problem - Ask for help. People are willing to help. The worst thing a professional can do is NOT ask questions when getting stuck with a problem, then make up excuses on why they can't complete a project.

2. What mistakes are also common among professionals?

1) Security pros tend to make too many assumptions when working with business teams and not ask questions. For example, assuming business people will like the new security solutions to be put in place, only to find out that business teams hated it after the deployment.

2) Stop learning is a big mistake. Technologies are advancing very fast. Security professionals must keep up with the technologies and trends; otherwise, they will get left behind.

What 3-5 actions bring the greatest impact to cybersecurity?

1) Conduct short and frequent security awareness training to all employees.

2) Do regular independent vulnerability assessment and penetration testing to address the company's unknown risks.

3) Enforce multi-factor authentication on all systems, on-prem and cloud. ID and Password alone are not sufficient.

4) Enhance identity and access management. Remove unnecessary privileges after a job transfer. Terminate accounts after job termination.

5) Get threat intelligence. The company should assign at least one security team member to track daily security news for new vulnerabilities, new threats and exploits, new emergency patches, etc.

Zulieferer

Der übersehene Teil der Cybersecurity

Ein oftmals übersehener Teil der Sicherheitskette ist das “davor” und “danach”: Supply-Chain-Attacks.

Es bringt die dickste Festung nichts, wenn der Karawan aus dem Nachbardorf ein trojanisches Pferd hinter die Mauern bringt.

Kostenlose Anleitungen zum sofortigen Einsatz sowie Updates kannst du dir hier herunterladen:

1. Sicherheit von Anfang bis Ende / SSL

SSL-Zertifikate machen aus Webseiten “Rohre” zwischen Sender und Empfänger, in die nicht hineingeschaut werden kann. Sie sichern also die Verbindung von einem Ende zum anderen.

Ein ähnliches Prinzip verfolgt die Quantenkryptografie. Obwohl theoretisch gesehen unknackbar da auf Naturgesetzen basierend, brauch sie noch etwas Entwicklungszeit bis zur Praktikabilität. Zur Sicherheitsplanung ergibt es aber Sinn, diese auf dem Schirm zu haben.

SSL und die Cybersicherheit von Supply Chains
Bildquelle und weitere Informationen: https://www.internetagentur-scherer.de/index.php/blog/82-https-verschluesselung-mit-sicherheit-punkten

2. Schnittstellen / APIs

APIs, „Application Programming Interfaces“, sind Schnittstellen der eigenen Software zur Software anderer Nutzer, Programmierer oder Unternehmen. Diese zu sichern hat eine hohe Priorität, da die andere Seite der Schnittstelle nicht kontrolliert werden kann.

Supply Chain Beispiel
Beispiel-Stationen die rundum gesichert sein müssen. Bildquelle und weitere Informationen: https://en.wikipedia.org/wiki/Supply_chain_attack

3. Fremdzugänge- und Rollen (managen)

Nahezu jedes (größere) Unternehmen hat Lieferketten, “Vorarbeiten” oder ähnliche Verknüpfungen mit anderen Firmen. Alles vom “klassischen” Zulieferer bis hin zu Software-Testern im Anschluss an eine Entwicklung.

Da diese Verknüpfungen einer in sich geschlossenen Festung Sicherheitslücken hinzufügen können, sollte man diese auf dem Schirm haben und entsprechende Maßnahmen umsetzen.

Ein guter Startpunkt ist das Aufzeichnen sämtlicher Kontaktpunkte und ein anschließendes Brainstorming über mögliche Sicherungsmaßnahmen. Bei der Implementierung können Profis dann ggf. helfen.

Umgebung

Der (über)offensichtliche Teil der Cybersecurity

Die Umgebung und Ihre Auswirkungen werden in fast allen Lebensbereichen nicht angemessen betrachtet und einbezogen.

Im Bereich Cybersecurity kann dieses Versäumnis profunde Probleme nach sich ziehen.

Kostenlose Anleitungen zum sofortigen Einsatz sowie Updates kannst du dir hier herunterladen:

1. Spezialglas einsetzen

Dein Passwort kann aus deinem Fenster gelesen werden: Jedes Klicken auf einer Tastatur und jedes gesprochene Wort erzeugt eine spezifische Frequenz. Diese Frequenz wird von manchen Oberflächen, z.B. Fensterscheiben aufgenommen und erzeugt eine spezifische, mess- und interpretierbare Vibration.

Diese Sprech- und Tipp-Vibrationen können unter den richtigen Umständen gesammelt und verarbeitet werden.

2. Nicht-identifizierbare Räumlichkeiten nutzen

Es gibt Signalquellen wie zum Beispiel Stromleitungen, die individuelle und eindeutig zuordenbare Muster erzeugen. So können zum Beispiel aus dem Hintergrundrauschen von Videobotschaften Standorte ermittelt werden.

3. Umgebungsdesign / Entscheidungsarchitektur

Erst designt man seine Umgebung, dann designt die Umgebung einen selbst”.

Was mit dem Austausch einer Schale Kekse gegen eine mit Äpfeln klappt, wirkt sich auch auf die Cybersicherheit aus.

Poster, Schreibtischunterlagen, jederzeit gut sichtbare Aufbewahrungsorte für Hardware-Schlüssel usw. können die sichere Option zur einfachsten Option machen. Und damit die Cybersicherheit ohne Mehraufwand zum Standard machen.

Entscheidungsarchitektur Cybersecurity
Ein guter Startpunkt zum Design der Entscheidungsarchitektur ist die Frage “Für welchen Zweck wurde dieser Raum designt?” Eine Anleitung findest du hier: https://benjamineidam.substack.com/p/schwellen

4. Die Untiefen des Internets verstehen

Gestohlene Daten, Accounts etc. landen sehr häufig im Darknet und werden dort verkauft. Manche Daten werden aus dem Deep Web gestohlen und dann im Darknet angeboten.

Doch was sind Dark- und Deep Web überhaupt? Auf einen Punkt:

  1. Darknet: Internetabschnitt, der nur mit spezieller Software betreten werden kann. (TOR etc.)
  2. Deep Web: Internetabschnitte, zu denen kein Link führt. Kennt man den Link, hat man Zugriff, ansonsten ist die jeweilige Seite (theoretisch) unsichtbar.

Das Thema ist sehr komplex, aber das Verständnis dieser beiden Schlüsselbegriffe bringen bereits viel Nutzen.

Dark Web und Deep Web
Bildquelle und weitere Informationen: https://medium.com/@smartrac/the-deep-web-the-dark-web-and-simple-things-2e601ec980ac

5. Kartierungsservices richtig nutzen

Programme wie Google Maps oder Open Street Maps sind im Alltag extrem praktisch. Doch können sie im Rahmen einer OSINT-Analyse benutzt werden um gezielt Angriffswege herauszufinden. Hier ergibt es Sinn, mit Experten mögliche Maßnahmen zu erörtern.

6. “Sicherheits-Flure” einsetzen

Vor allem bei militärischen und geheimdienstlich genutzten Anlagen gibt es manchmal “Sicherheits-Flure. Das sind Korridore voller Hightech wie Tiefen-Retina-Scannern, Ganganalyse-Tools, Körperwärme-Scannern etc. Das Ziel dieser Gänge ist es, in Echtzeit und mit nahezu 100%iger Sicherheit die jeweilige Person identifizieren zu können. Die Idee: Alles, was individuell ist, eignet sich zur Identifizierung. Und je größer die Kombination, desto schwerer ist es, irgendetwas zu fälschen. (Abseits direkten Hackings der Software)

Muss man nicht im eigenen Unternehmen einsetzen. Es ist aber gut die Möglichkeiten zu kennen um Entscheidungen zu treffen.

7. Security by Design

Security by Design ist ein holistischer, also ganzheitlicher Ansatz beim Bau von Software, allen voran Apps. Der beste mir bekannte Startpunkt ist dieser kostenlose, nur wenige Minuten dauernde Mini-Kurs von Google.

Security Development Lifecycle-min
Bildquelle und weitere Informationen: https://playacademy.exceedlms.com/student/path/63550-security-by-design
Cedric Mössner - Deutschlands bekanntester Hacker, Informatiker und Dozent-min

Cedric Mössner

Deutschlands bekanntester Hacker, Informatiker und Dozent u.a. in Barcelona und Frankfurt

1. Welche sind die 3-5 größten Fehler, die Neulinge machen, wenn sie mit Cybersecurity beginnen?

Wenn man Security macht, finde ich es enorm wichtig, Prioritäten zu setzen. Denn wenn man ein wie üblich viel zu kleines Budget vorgesetzt bekommt, bringt es nichts, sich im Detail mit einer Nebenanwendung zu beschäftigen, aber die Hauptanwendung offen für alles zu lassen. Natürlich wäre ein höheres Budget schöner, aber das ist selten der Fall.

Zudem fällt oft auf, dass Überprüfungen nur ein mal gemacht werden (falls überhaupt). Das reicht nicht, im besten Fall muss kontinuierlich gesucht werden. Und damit kommen wir zum dritten Punkt:

Nicht von der KI, sondern vor allem auch vom Menschen. Tools sind nett und gut und ermöglichen einen schnellen automatisierten Check beim Build, doch ist es nicht zu vergleichen mit einem manuellen Pentest, der mindestens ein Mal im Jahr gemacht werden sollte.

2. Welche Fehler sind auch unter Profis verbreitet?

Leider sind auch viele Profis von der eigenen Kompetenz zu sehr überzeugt, wie ich finde. Man muss sich eingestehen, dass man nicht alles kann und, dass eine Person immer weniger findet, als zwei.

Daher ist es wichtig, sich auch externe Hilfe zu holen. Je mehr man durchwechselt, desto mehr unterschiedliche Kompetenzen holt man ab.

3. Welche 3-5 Handlungen bringen die größten Effekte für die Cybersicherheit?

Die Mitarbeiter gelten noch immer als größtes Einfallstor für Schadware. Daher ist das wichtigste oft eine gute Mitarbeiter-Policy mit verpflichtendem Security KEy und Schulung für Social Engineering.

Ständiges Monitoring und regelmäßige Tests bilden einen weiteren fundamentalen Baustein, jedoch darf man nicht vergessen, dass Schadware auch von Partnern eindringen kann.

Das heißt, dass Partner und Zulieferer sicher sind, ist fast so wichtig, wie die eigene Sicherheit - auch wenn das eher nicht direkt so scheint.

Künstliche Intelligenz

Der alles verschlingende Teil der Cybersecurity

Künstliche Intelligenz (KI) ist seit einigen Jahren in aller Munde und in beinahe jedem Gerät aktiv.

KI ist die wahrscheinlich wichtigste Technologie dieses Jahrhunderts und wird dementsprechend auch die Cybersecurity noch mehr als einmal revolutionieren.

Kostenlose Anleitungen zum sofortigen Einsatz sowie Updates kannst du dir hier herunterladen:

1. Automatisierte Betrugserkennung

Künstliche Intelligenz wird immer besser darin Betrugsfälle, Unterschlagungen und Falschaussagen zu erkennen und entsprechend zu handeln. Egal ob bei Phishing, Kreditkartenbetrug, Ausweisfälschungen, Fake-Accounts etc. KI kann bei all diesen und weiteren Bereichen helfen. Ein guter Start zum Einsatz ist dieser Artikel.

Automatisierte Betrugserkennung per künstlicher Intelligenz
Bildquelle und weitere Informationen: https://spd.group/machine-learning/fraud-detection-with-machine-learning/

2. Datenlecks in Lichtgeschwindigkeit erkennen

Vor allem Machine Learning lernt anhand (großer) Datenmengen und filtert Muster aus diesen heraus. Entweder mithilfe eines Menschen (supervised Learning) oder selbstständig (unsupervised Learning).

Bei großen, komplexen Datenströmen kann KI so in Echtzeit helfen, Datenlecks zu erkennen und Alarm zu schlagen.

3. Modellierung von Nutzerverhalten

Menschen sind Gewohnheitstiere. Und künstliche Intelligenzen arbeiten hervorragend mit Mustern. Kombiniert man diese beiden Variablen mit intelligenten Sensoren wie Gyroskopen, der Auswertung von Datenströmen und Überwachung wie durch Kameras etc. hat man eine hohe Sicherheit gegen Manipulation und Fälschungen.

Egal ob so in Echtzeit geprüft wird, ob der echte Nutzer an Gerät und Dokument x arbeitet. Oder ob verdächtiges Verhalten automatisch ausgewertet und weitergeleitet wird.

Bildquelle und weitere Informationen: https://www.microsoft.com/security/blog/2018/03/07/behavior-monitoring-combined-with-machine-learning-spoils-a-massive-dofoil-coin-mining-campaign/

4. KI-gestützte Antiviren-Software / Endpoint-Protection

Die meiste aktuelle Antiviren-Software basiert auf der Prüfung von Signaturen in Software. Neue Malware wird dann einfach mit diesen Signaturen abgeglichen. Doch bei z.B. reaktivem, also sich selbst veränderndem Code funktioniert das nicht. Künstliche Intelligenz kann hier eine entscheidende Rolle bei Echtzeitschutz spielen. Auch kann so zum Beispiel Ransomware entschärft werden, bevor sie Systeme verschlüsselt.

Erste größere Anbieter wie zum Beispiel Blackberrys Cylance füllen diesen spannenden Markt.

Bildquelle und weitere Informationen: https://usmsystems.com/ai-ml-in-cybersecurity-use-cases-examples/

5. Schwachstellenmanagement

Unternehmen stehen vor der Herausforderung die große Anzahl neuer Schwachstellen, auf die sie täglich stoßen, zu verwalten und zu priorisieren. Herkömmliche Techniken zum Schwachstellenmanagement reagieren erst auf Vorfälle, nachdem Hacker die Schwachstelle bereits ausgenutzt haben.

KI und Techniken des maschinellen Lernens können die Fähigkeiten von Schwachstellen-Datenbanken beim Schwachstellenmanagement verbessern.

Dies kann dazu beitragen, Unternehmen zu schützen, noch bevor Schwachstellen offiziell gemeldet und gepatcht werden.

Einsatzmöglichkeiten KI-gestützter Cybersecurity
Bildquelle und weitere Informationen: https://www.capgemini.com/wp-content/uploads/2019/07/AI-in-Cybersecurity_Report_20190711_V06.pdf

6. Identifizierung von Netzwerkbedrohungen

Um alle Datenströme die in- und aus der Firma fließen zu überwachen, braucht es viele Ressourcen. Von der Bewertung ganz zu schweigen.

Herauszufinden welche Datenpakete gefährlich sind und rechtzeitig zu reagieren ist eine der größten Herausforderungen der Cybersecurity. Künstliche Intelligenz kann hier immer besser unterstützen.

Unternehmen, wie Esentire spezialisieren sich verstärkt mit KI auf diese Felder.

7. E-Mail Monitoring

Wie in den Abschnitten zum Phishing bereits angesprochen sind Gesprächsverläufe via Mail einer der zentralen Knackpunkte jeder Cybersicherheit.

Machine Learning kann hier helfen Erkennungsgeschwindigkeit- und Genauigkeit zu erhöhen und via Natural Language Processing Texte analysieren.

Gepaart mit gehärteten Mitarbeitern wird so ein Angriff nahezu ausgeschlossen.

8. Kampf gegen Bots

Automatisierten Bedrohungen kann man nicht (mehr) allein mit manuellen Maßnahmen begegnen. KI und maschinelles Lernen helfen dabei, ein gründliches Verständnis des Website-Traffics aufzubauen und zwischen guten Bots (wie Suchmaschinen-Crawlern), schlechten Bots und Menschen zu unterscheiden.

KI ermöglicht die Analyse einer riesigen Datenmenge und erlaubt es Cybersecurity-Teams, ihre Strategie an eine sich ständig verändernde Landschaft anzupassen.

Firmen wie beispielsweise Netacea arbeiten an derartigen Services.

9. Vorhersage von Einbruchsrisiken

Künstliche Intelligenz kann in Echtzeit Anzahl, Einsatz und weitere Vektoren von Geräten, Benutzern, Software und mehr überwachen. Und zeitgleich mit den erlaubten Zugriffen und Protokollen abgleichen und wenn nötig Meldung abgeben.

Durch diese ständige Digital-Inventur können Algorithmen Schwachstellen und Angriffsziele erkennen und melden.

Wenn beispielsweise Computer mit hohen Zugriffsleveln an der Straßenseite eines Gebäudes stehen, in welchem regelmäßig unternehmensfremde Personen ein und aus gehen.

10. Verkürzung der Reaktionszeit

Künstliche Intelligenzen sind schneller als Menschen. Deshalb haben wir autonomes Fahren.

Um nahezu in Echtzeit Angriffe registrieren, kategorisieren und abwehren zu können kommt man in Zeiten von KI-gestützten Attacken nicht mehr herum. Firmen wie AtoS arbeiten an derartigen Lösungen.

Verkürzung der Reaktionszeit auf Cyberangriffe
Bildquelle und weitere Informationen: https://www.ponemon.org/

11. Verbesserung der (Datacenter) Architektur

Künstliche Intelligenz hat bereits zu unglaublichen Optimierungen beim Energieverbrauch von Datacentern geführt. Sie designt die komplexesten Strukturen automatisch.
Auch zur Optimierung von Sicherheitsarchitektur wie Grundrissen, Ausrüstung wie Kameras etc. kann KI stark beitragen.

Googles Datencenter sind KI-optimiert. Bildquelle und weitere Informationen: https://www.wired.com/2012/10/ff-inside-google-data-center/

12. Automatisierte Gegenangriffe

Künstliche Intelligenz kann die Möglichkeiten der digitalen Verteidigung von reiner Defensive und Reaktion auch in die Offensive Aktion bringen. So können Angreifer durch lernende Algorithmen ausgespäht und ihre Identität entschlüsselt werden. Und die Ergebnisse durch ein kleines bisschen Zusatzcode direkt an die zuständigen Behörden geleitet werden. In Echtzeit.

In der Geschichte des “Schwert gegen Schild, Einbrecher gegen Verteidiger” bei der die Verteidigerseite bisher immer zur Reaktion verdammt war, ändert sich jetzt das erste Mal etwas.

13. AI Sandboxes

Wie ich weiter oben bereits angesprochen und in einem Artikel für die Societybyte näher ausgeführt habe, werden “KI Sandkästen” immer wichtiger.

Denn nur eine intelligente simulierte Umgebung kann mit intelligenten, sich selbst verändernden Algorithmen Schritt halten.

14. Reverse-Blackbox

KI kann auch intelligente Algorithmen prüfen und “den Wasserfall rückwärts hinauf” klettern um zu testen, ob es Schwachstellen gibt. Sofern Zugang zur Angreifer-KI besteht, kann die eigene KI deren Schichten des neuronalen Netzwerkes rückwärts entlang gehen und so den Angriffs-Algorithmus dechiffrieren. Basierend darauf ist es dann ein leichtes, Gegenmaßnahmen zu ergreifen.

Bildquelle und weitere Informationen: https://read.deeplearning.ai/the-batch/

15. Identitätssicherung

Künstliche Intelligenz kann zum Beispiel durch Reverse Image Search, Sentimentanalyse oder Tools wie Virality Maps verhindern, dass die eigene Identität digital missbraucht wird.

Egal ob klassisch, also die “Original-Identität” oder synthetisch, bei der echte Daten mit künstlichen vermischt werden, um ein Ergebnis zu erzielen.

Identitätssicherung
Diese Person existiert nicht und wird es so vermutlich auch niemals tun. Bildquelle und weitere Informationen: https://thispersondoesnotexist.com/

16. Cyber-Security

Mit den richtigen Algorithmen und den richtigen Trainingsdaten kann man sich automatisiert gegen physische Angriffe sichern.

Bildquelle und weitere Informationen: https://read.deeplearning.ai/the-batch/issue-75/

17. KI als helfende Hand

Künstliche Intelligenz kann als permanenter Partner in der eigenen digitalen Verteidigung eingesetzt werden. Zum Beispiel um Fehlerquellen im eigenen Code zu finden, Vorschläge für Hacks / Schwachstellen zu machen oder Hinweise zu möglichen Problemen zu geben.

Gewohnheiten

Der wichtigste Teil der Cybersecurity

Die meisten nichttechnischen Tipps und Ansätze in der Cybersicherheit haben einen suboptimalen Startpunkt. Sie gehen davon aus, dass genug Angst und/oder Verständnis automatisch zur richtigen Handlung führt.

Doch der Mensch ist effizient. Menschen tun immer das routinemäßig, was am einfachsten, energiesparendsten ist.

Deshalb ist es elementar wichtig, gezielt Gewohnheiten zu härten. Denn nur Sicherheit die zur Routine geworden ist, ist wirklich Sicherheit.

Kostenlose Anleitungen zum sofortigen Einsatz sowie Updates kannst du dir hier herunterladen:

1. (Geschulte / Erfahrungsbasierte) Achtsamkeit & Skepsis

In Internet und Digitalraum gilt die “türkische Basar” Regel: Prinzipiell misstraue der gesamten Erfahrung und jeder Interaktion mit einem anderen User.

Je mehr potenzieller Wert im Raum steht, desto stärker sollte die Schuldvermutung als “Default Mode” berücksichtigt werden: Jemand möchte dich angreifen oder zumindest manipulieren, bis das Gegenteil bewiesen ist.
Es gibt zwei Möglichkeiten zu dieser Art von “Erfahrungs-Bewusstsein” zu kommen:

  1. Jahre- und Jahrzehntelange Erfahrung und Lernen daraus.
  2. Arbeit mit Experten.

Zusätzlich hilft ein Grundverständnis von Computer- und Netzwerktechnologie enorm.

2. Für jede Eingabemöglichkeit ein eigenes Passwort nehmen

Diese Regel ist so alt wie selbstverständlich und hat viele Vorteile:

  1. Selbst wenn ein von dir genutzter Service geknackt wird, bleiben sämtliche andere Zugänge passwortseitig unangreifbar
  2. Kombiniert mit Tools wie Passwortsafes ist diese Option einfacher als die Alternativen.
  3. Du kannst in Bedrohungssituationen glaubhaft abstreiten, dass du den Zugang kennst. Denn wahrscheinlich kennst du ihn nicht. (Wenn du mit Verschlüsselungs- und Passwortwerkzeugen arbeitest)

Für jedes Einzelne neue Passwort gelten natürlich die gleichen Regeln.

Passwort-Diversität ist essentiell bei der Cybersecurity
Bildquelle: https://unsplash.com/photos/zEFyM4sulJ8

3. Die richtigen Benutzernamen wählen

Um Gegeninformation zur Gewohnheit zu machen und deine Spuren zu verwischen, je mehr du legst, ergibt es Sinn, für jedes Profil eigene Daten zu nutzen.

Je unabhängiger und verwirrender / generischer, desto besser:

  1. In einem Forum heißt du zum Beispiel “Archangel789”
  2. Auf Facebook heißt du “ManfredMüller07”
  3. Auf einer Bewertungswebseite heißt du “Cucaracha_ox” usw.

Wichtig dabei: Die Profile sollten so wenige gemeinsame Verknüpfungspunkte wie möglich haben. Also zum Beispiel maximal eine anonyme Mailadresse / Wegwerfadresse unabhängig von deiner standardmäßig verwendeten teilen etc.

Wegwerfadressen und Cybersicherheit-min
Wegwerf-Mails können bei der Verschleierung der eigenen Datenspur helfen. Bildquelle und weitere Informationen: https://muellmail.com/

4. Updates so schnell wie möglich einsetzen

Wie in den Krebs-Regeln bereits angesprochen ist dies eine der Gewohnheiten mit wenig Aufwand aber enormen Effekten. Kombiniert mit regelmäßigen Backups, virtuellen Systemen etc. zur weiteren Sicherheit minimiert diese Routine die Angriffsfläche enorm.

Update-Geschwindigkeit am Beispiel Betriebssystem. Bildquelle und weitere Informationen: https://www.drwindows.de/xf/threads/statistik-windows-10-version-20h2-l%C3%A4uft-jetzt-auf-jedem-f%C3%BCnften-pc.174662/

5. Regelmäßige Backups

Wie bereits mehrfach angesprochen sind Backups sehr wichtig. Denn ein defekter Datencluster kann deine gesamte Arbeit zerstören.

Daher möchtest du:

  1. Regelmäßige (Minimum 2x pro Jahr)
  2. Gern automatisierte
  3. Gern gespiegelte Backups erstellen (lassen) und diese
  4. Prüfen (mindestens stichprobenartig

Du kannst diesen Prozess auch auslagern. Allerdings gilt wie immer die Faustregel: Was nicht auf deinen Geräten geschieht, ist unsicher. Egal ob verschlüsselt etc. oder nicht.

6. Informiert bleiben und ggf. adaptieren

Der Cyberspace ist eine eigene Welt für sich und in jeder Welt gelten die Regeln dieser.

Deshalb ist es von zentraler Bedeutung, selbstständig up-to-date zu bleiben. Abseits und zusätzlich zu Schulungen etc.

Denn jeder hat ständig mit digitaler, vernetzter Technologie zu tun. Auch, wenn gerade keine Schulung war.

Gute aktive Startpunkte in Deutschland sind heise und Golem.

Gute passive Startpunkte können Tools wie Google Alert für Keyword wie “Cybersecurity” oder “Hacking” sein. Oder auch individualisierte Tools wie Such-Widgets oder Googles Discover.

Google Alerts als kontinuierliche Schulung zur Cybersecurity-min
Bildquelle und weitere Informationen zu Google Alerts: https://reputationup.com/de/google-alerts-leitfaden/

7. Nur von sicheren Quellen

Dinge downloaden
Dieser Punkt ist einer der selbstverständlichsten dieser Liste. Er ist das digitale Äquivalent zu “in der Apotheke nichts naschen”. Dennoch wird er zu oft übersehen oder falsch umgesetzt.

Sichere Quellen sind:

  1. Immer SSL-Verschlüsselt (haben ein httpS in der URL)
  2. Fast immer länger als 10 Jahre online (Überprüfbar z.B. mit diesem Tool)
  3. Erzeugen ein “gutes Bauchgefühl” (Wenn du auf mehr als 100 Webseiten in deinem Leben warst, wirst du wissen, was ich meine)
  4. Von überprüfbaren und hochreputativen Quellen (z.B. Journalisten etc.)

Diese Regeln gelten natürlich nicht alle immer, sind aber hilfreiche Orientierungen.

8. Datensparsam leben

Da das Internet ein Netzwerk aus vielen Rechnern mit Festplatten ist, vergisst das Netz buchstäblich nichts. Denn jede Information die existiert, wird irgendwo in eine Festplatte “gestanzt”.

Heißt: Je weniger Daten du erzeugst, desto sicherer. Selbst Gegeninformation ist da nur die zweitbeste Strategie. (Allein weil sie mehr Aufwand bedeutet und niemals 100 % sicher ist)

9. Datenströme trennen

Um die Erstellung und Nachverfolgung von Profilen weiter zu erschweren lohnt es sich, seine Datenströme zu trennen. Die beliebteste Trennung ist dabei die in berufliche und private Aktivitäten.

Das kann zum Beispiel bedeuten nur über Browser A Onlinebanking auszuführen und nur über Browser B Onlineshopping. Oder nur über Gerät A Onlinesuchen durchzuführen und über Gerät B ausschließlich Firmenaccounts zu öffnen etc.

Kombiniert mit Fakeaccounts, automatisierter Gegeninformation, gehärteten Geräten und Software etc. kann das eine sinnvolle Routine sein. Mehr zu diesem im Detail etwas komplexeren Thema findest du in diesem Artikel.

Datenströme trennen hilft der Cybersecurity
Gleiches System, verschiedene Profile: Eine Möglichkeit zur Trennung von Datenströmen. Bildquelle und weitere Informationen: https://blog.everphone.de/geschaeftliche-und-private-daten-trennen-smartphones

10. Voreingestellte Passwörter bei neuen Geräten ändern

Wie bereits in den Abschnitten rund um Passwörter erwähnt ist diese Maßnahme eine sehr einfache und zugleich sehr wirksame. Bei manchen Geräten sind die Passwörter von Haus aus immer die gleichen. (z.B. Fabrikationsort, Herstellungsjahr) Dadurch kann ein Angreifer unter Umständen nicht geänderte Passwörter beim ersten Versuch richtig eingeben.

11. Rechte & Profile aktuell halten

Was für Unternehmen im Besonderen gilt, gilt auch im Privaten. Zum Beispiel sollte man niemals Zugriffe von Ex-Partnern länger als notwendig im eigenen System belassen.

12. Regelmäßig nicht benötigte Daten löschen / zerstören

Da Datenträger wie bereits erwähnt potenzielle “Geiseln” werden können, ergibt es Sinn diese zumindest per Software sauber zu halten. Je nach Letalität der Daten sollte auch die Hardware einer Festplatte an Ihrem Lebensende zerstört werden. Mein Favorit auf Software-Seite ist Eraser, da dieses auch nach Militärstandard Daten überschreiben kann.

Datenzerstörung mittels Eraser
Bildquelle und weitere Informationen: https://www.datenrettung-fakten.de/datenloschung/14-freeware-programme-zur-sicheren-datenloeschung.html

13. Links lesen können

Links auslesen und interpretieren zu können ist der wahrscheinlich wichtigste Skill zum sicheren Umgang mit dem Internet. Mehr dazu findest du in diesem Artikel.

Link-Alphabetismus und Cybersicherheit
Bildquelle und weitere Informationen: https://benjamineidam.com/phishing-mails

14. Cybermobbing vermeiden / minimieren

Dieser ist einer der schwierigsten Punkte dieses Grundlagen-Guides. Grundlegend gelten hierzu die Faustregeln und Grob-Empfehlungen:

  1. Lebe datensparsam.
  2. Arbeite mit Gegeninformation.
  3. Behalte die Hoheit über deine digitale Identität.
  4. Sei achtsam auf Veränderungen die auf Hacks hindeuten können.
  5. Sei skeptisch.
  6. Nutze automatisierte Tools zur Benachrichtigung über Updates zu deiner Person.

Weitere, aktive Gegenmaßnahmen lassen sich schwer empfehlen, da diese

  1. Individuell abzuwägen und umzusetzen sind
  2. Sich gesetzlich im halb- bis illegalen Bereich bewegen können
  3. Know-how und eine wehrhafte Persönlichkeit voraussetzen.

Ein gutes Video zur Übersicht zum Thema findest du hier:

Wenn du noch mehr dazu erfahren möchtest, findest du hier die ausführliche Reaktion eines Hackers auf das obige Video. (Seine besten Tipps findest du hier als Teil dieses Artikels)

15. Glaubhaftes Abstreiten / Unwissen

Dieser Tipp ist mit den richtigen Tools sehr schnell eine unterbewusste Routine, die vor allem in (lebensbedrohlichen) Ausnahmesituationen hilft.

Tools wie Veracrypt erlauben es sogenannte “Hidden Volumes”, also versteckte Partitionen innerhalb eines verschlüsselten Containers zu erstellen.

Diese Hidden Volumes erlauben es dir, im Ernstfall den Zugang zu deinem verschlüsselten Container freizugeben, ohne das der Angreifer tatsächlich wertvolle Daten erhält.

Das kann vor schlimmen Folgen bewahren.

Mit den richtigen Tools bist du im Internet sicher(er)
Bildquelle und weitere Informationen: https://www.online-tech-tips.com/computer-tips/how-to-add-a-hidden-area-inside-an-encrypted-veracrypt-volume/

16. Social Media richtig einstellen

Hier gilt Zweckmäßigkeit und die Hoheit über die eigene digitale Präsenz. Eine hilfreiche Faustregel: Stelle nur ins Internet, was

  1. Ein Headhunter sehen sollte und
  2. Deinem Privatsphäre-Anspruch gerecht wird.

Das kann bedeuten, dass außer deinem LinkedIn-Profil sämtliche anderen privat und anonymisiert sein sollten. Sonst sind OSINT-basierende Angriffe (extrem) leicht.

Hier lohnt es sich, ungefähr einmal im Jahr sämtliche Dienste zu prüfen, ob alle Einstellungen noch optimal sind / sich durch Updates irgendetwas geändert hat.

Fazit und FAQ

Offene Fragen und Antworten

Das Gelernte auf einen Blick, wo du am besten starten solltest und wo es mehr gibt.

Fazit

Das war eine Menge zu verdauen.

Fassen wir die wichtigsten Cybersecurity Tools und Taktiken deshalb hier noch einmal zusammen:

  1. Software
  2. Hardware
  3. Mitarbeiter
  4. Führungsetage
  5. Unternehmen
  6. Firmenkultur
  7. Zulieferer
  8. Umgebung
  9. Künstliche Intelligenz
  10. Gewohnheiten

Jetzt möchte ich gern von dir wissen:

  1. Welches Tool oder welche Taktik ist neu für dich?
  2. Oder vielleicht habe ich in dieser Liste auch etwas vergessen. (?)

Egal was es ist: Lass es mich in den Kommentaren wissen.

Fragen und Antworten (FAQ)

Technisch gesehen besteht Cybersecurity aus drei Bestandteilen: Hardware, Software und Mensch, also dem Benutzer der ersten beiden. Um die hier gezeigten Tools und Taktiken allerdings auf einen Blick erkennbar und für jeden Leser sofort anwendbar zu machen habe ich mich für diese Kategorisierung entschieden. Jeder Gerätenutzer muss mit Hard- und Software arbeiten. Doch braucht ein Mitarbeiter ohne Sicherheitsfreigaben und Verantwortung andere Handlungsweisen als eine entsprechende Führungskraft. Daher diese Aufteilung.

Am besten beginnst du mit den “Krebs-Regeln” und schaust dir im Anschluss Passwortsafes und Verschlüsselungs-Tools an. Wenn du diese Taktiken beherzigst, Links VOR dem Klicken ausliest und keine fremden Anhänge öffnest, bist du schon ungleich sicherer als > 80 % der anderen ungeschulten Internetbewohner. Von dort aus solltest du spätestens individuell weiter vorgehen.
Am einfachsten ist ein kurzer Kommentar unter dieser Seite. Ich update diese dann entsprechend bzw. antworte dir auf diesen Kommentar.

Eine gute Übersicht an Tools gibt es hier, eine gute Einführung zur Vertiefung in diesem Video und ein guter Start zur Auseinandersetzung mit verschiedenen hilfreichen Tool-Anbietern hier.

Optimismus is muss

Optimismus – Warum dir jeder Nicht-Optimist buchstäblich das Leben vermiest (anders als du denkst!)

Optimismus - Warum dir jeder Nicht-Optimist buchstäblich das Leben vermiest

(anders als du denkst!)

Optimismus ist die wichtigste Grundhaltung des 21. Jahrhunderts und der digitalen Zeit.

Und das meine ich nicht (nur) damit du dich besser fühlst, die Welt bunter siehst oder für dich das Glas jetzt immer halb voll ist.

Optimismus ist die Basis für buchstäbliche Wunder – erschaffen durch menschliches Wissen.

Tatsächlich haben wir alle nur deshalb noch keinen Zustand von andauerndem Glück, Freiheit, Fülle und Frieden auf der Welt erreicht, weil es nicht genügend (praktisch handelnde) Optimisten gibt.

Steile These? Ist nicht meine, sondern die von einem der besten Physiker der Welt. In kurz geht diese ungefähr so*:

* Wenn du mehr Input wie diesen haben möchtest, abonniere gern meinen Newsletter. In diesem sende ich dir jeden Donnerstag eine kurze Mail mit Tipps die dein Leben sofort, mittel- und langfristig glücklicher und produktiver machen.

Stell dir vor, du bist ein Gefängniswärter im finsteren Mittelalter.

Du bewachst die hinterste, dunkelste Zelle der gesamten Festung. Hinter dem dunklen, nassen und nur dürftig von Fackeln beschienenen Flur und der dicken Holztür mit den Gitterstäben befinden sich zwei Gefangene.

Einer der beiden Gefangenen wurde vom König zum Tode verurteilt.

Er konnte sich allerdings eine Hintertür ausverhandeln:

Wenn der Gefangene es schafft, binnen eines Jahres dem Lieblingspferd des König das Sprechen beizubringen, so ist er frei.

Du stehst an der schweren Holztür, die Hände ruhend auf deinem Schwertgriff. Und hörst die beiden Insassen miteinander sprechen.

  • Der andere Insasse fragt den „Pferdeflüsterer“: Was hat dich denn geritten, solch ein Angebot an den König zu machen? Du wirst nie im Leben einem Pferd das Sprechen beibringen! Und schon gar nicht in einem Jahr! Oder bist du ein Magier?
  • Darauf entgegnet der andere Gefangene seelenruhig: In einem Jahr kann viel passieren. Der König kann sterben. Ich kann sterben. Das Königreich kann überrannt werden. Und vielleicht kann sogar das Pferd in einem Jahr sprechen!

Diese kleine Geschichte ist Optimismus in Reinform. Denn

mit genug Zeit und dem richtigen Wissen lässt sich jedes Problem lösen.

(So lang es keine Naturgesetze verletzt. Wobei auch diese Regel Ausnahmen hat, da wir wahrscheinlich noch weit entfernt vom Verständnis dieser sind)

Da Optimismus so oft falsch verstanden wird, zeige ich dir in diesem Artikel:

➡️ Was Optimismus WIRKLICH ist.

➡️ Welche Augen-öffnende tatsächliche Bedeutung Optimismus für die Welt und dein Leben hat.

➡️ Welche beeindruckenden Fakten auf der Seite des Optimismus stehen.

➡️ Wie du Optimismus aus der Physik ableiten kannst.

➡️ Wie du Optimismus lernen kannst (In 3 einfachen Schritten, inklusive Anleitung)

Fangen wir an:

Was bedeutet Optimismus WIRKLICH?

Die Optimismus-Bedeutung, die deine Welt auf den Kopf stellt

Was bedeutet Optimismus?

Für die meisten kommt hier eine intuitive Antwort in Richtung „Dinge die geschehen, positiv betrachten“. Oder das sprichwörtliche „nicht alles negativ sehen“.

Die Idee ist grundlegend nicht verkehrt, doch tatsächlich ist Optimismus etwas anderes. Tiefgreifenderes:

Der Erklärung von Physiker David Deutsch nach ist Optimismus vor allem ein Weg Versagen zu erklären.

  • Der Motor hat seinen “Geist” aufgegeben? Wenn du erklären kannst, warum, dann bist du technisch gesehen ein Optimist.
  • Die Landkarte bringt dich nicht zum gewünschten Ziel, doch du kannst dich dank früh gelernten Navigationskenntnissen dennoch orientieren? Dann bist du technisch gesehen ein Optimist.

Warum? Weil du damit nachweisen kannst, dass du das Motorversagen beenden kannst. Und damit “alles wieder gut machen kannst”.

Optimismus in diesem Sinne sagt also aus, dass es keine fundamentale Barriere oder dergleichen gibt, welche Fortschritt aufhält.

Es gibt keine Barriere für Fortschritt? Hat er denn nie die aktuelle Welt gesehen?! Gibt es nicht eher keine Barriere für den freien Fall nach unten?!

Wenn dir bei meiner obigen Aussage intuitiv diese oder ähnliche Gedanken in den Kopf geschossen sind, lass uns kurz einen Ausflug in die Welt der Fakten machen. Um diesen Ansatz zu untermauern.

Angenommen du fragst dich „Geht die Welt nicht messbar vor die Hunde?“

Dann ist meine Antwort: Wenn du mit messbar die Anzahl der Artikel mit Katastrophenstimmung meinst, vielleicht. Mit einer Tendenz zu Ja.

Aber faktisch? Absolut nicht! Also wirklich ABSOLUT NICHT. (Siehe die beiden Bilder weiter unten)

Warum diese Diskrepanz? Weil sich Blut und Leid besser verkauft. Warum? Weil schlechte Nachrichten ungleich wichtiger sind, als gute. Warum? Weil du es dir als Urmensch nicht leisten konntest, einen (für die Gesundheit schlechten) Säbelzahntiger zu übersehen. Ein (für die Gesundheit gutes) Gänseblümchen aber schon.

Alle die es andersrum gemacht haben, sind tot und haben keine Nachkommen hinterlassen.
Und so sind wir heute konstant im “Bad News Rush”, welcher dank Social Media etc. extrem verstärkt ist.
Für mehr dazu kann ich diesen TED-Talk sehr empfehlen:

Aber kann ich diese kühne Behauptung auch beweisen? Glad that you asked!

Lass mich dir nur zwei Grafiken und deren Quellen zeigen, den Rest findest du selbst heraus oder an anderer Stelle bei mir:

Zwei Jahrhunderte manifestierter Optimismus-min
Quelle: https://ourworldindata.org/a-history-of-global-living-conditions-in-5-charts
Die Optimismus-Bedeutung offenbart sich in Technologie-min
Quelle: https://ourworldindata.org/cheap-renewables-growth

Wir leben schon im (relativen) Überfluss und Weltfrieden. (Sehr sehenswertes Video zum Thema Weltfrieden hinter diesem Link!) Nur irgendwie sagt es einem kaum jemand.

Warum ist das wichtig? Weil du nur dann Optimismus entwickeln kannst und optimistisch bist, wenn es einen Sinn hat. Wenn du davon ausgehst, dass die Welt eh schon im Eimer ist, hat es kaum Sinn noch etwas verbessern zu wollen.

Doch das ABSOLUTE GEGENTEIL ist der Fall! Dank Skalierung, Disruption, Automatisierung und exponentiellem Wachstum kannst du, ja GENAU DU mehr zur Verbesserung der Welt beitragen, als je zuvor!

Tatsächlich ist die Frage „Was bedeutet Optimismus denn wirklich praktisch für mich?“ Damit noch nicht einmal beantwortet.

Denn wenn man sich auf das Argument Wissen = Lösung für JEDES Problem = Ich kann JEDES Problem lösen, sofern ich weiß, wie, einlässt, wird es noch wilder.

Denn faktisch leben wir in der sichersten Zeit seit Anbeginn der Menschheit. Nicht nur faktisch, sondern zivilisatorisch. Was an folgendem, kleinen Gedankenexperiment sichtbar wird:

Stell dir vor, du lebst zur Zeit von Julius Cäsar. Und ein Asteroid prallt auf die Erde. Was machst du, um dich zu schützen?

Selbes Experiment, diesmal zur Zeit von Nikola Tesla. Again, was tust du, um nicht mit dem Rest der Menschheit vernichtet zu werden?

Du kannst dir diese Frage für jede beliebige Zeit vor der heutigen stellen. Das Ergebnis ist immer das gleiche: Du kannst nichts tun. Du bist verdammt dazu, eingeäschert zu werden.

Heute? Können wir Asteroiden einfach aus dem All pusten. (Zumindest theoretisch)

Der Unterschied ist nicht die größte des Asteroiden oder die Wucht seines Einschlags. Sondern das Wissen, damit umzugehen.

Und genau deswegen kann dir jeder Pessimist buchstäblich das Leben kosten.

Denn dank Pessimisten dauern alle guten Sachen unnötig länger. Müssen mehr Menschen sterben.

Also: Sei ein Optimist und nutze das Wissen der Menschheit!

Optimismus ist also wichtig. Existentiell wichtig. Doch was genau ist dieser überlebenswichtige Optimismus, von dem ich hier spreche denn genau?

Was ist Optimismus dann tatsächlich?

Eine Optimismus Definition abgeleitet aus der Physik

Nachdem deine Weltsicht jetzt vermutlich sachte ins Wanken geraten ist, hier eine Optimismus-Definition, die dieser Bezeichnung auch gerecht wird:

Optimismus = Bewusstsein, dass sich jedes Problem lösen lässt. (das dazu notwendige Wissen vorausgesetzt)

Heißt: Alles Schlechte ist durch unzureichendes Wissen verursacht.

Was ist nach dieser Definition dann ein „echter“ Optimist? Nun:

Ein echter Optimist ist jemand, der sich bewusst ist, dass buchstäblich jedes Problem im Rahmen von Naturgesetzen lösbar ist.

Alles, was dazu fehlt, ist das notwendige Wissen.

Ergo: Du kannst absolut alles, was du willst. Du musst lediglich herausfinden, wie.

Diese Definition stützt sich auf eine der Grundeigenschaften des Universums. Neben Materie und Energie gibt es da Information. Und Information mit kausaler Kraft ist Wissen.

Und Wissen ist die Lösung für jedes denk- und undenkbare Problem.

Ein Schlossknacker kommt nur deshalb in verschlossene Türen, vor denen du zurückbleibst, weil er weiß, wie er ein Schloss knackt.

Ein Arzt kann nur deswegen Krankheiten heilen, weil er weiß, was er tun muss.

Wissen ist die größte Kraft im Universum.

Optimismus ist das Bewusstsein dieser Wahrheit und Grundstein zur Handlung auf Basis dieses Wissens.

5w - 5mo:

Wie du ganz leicht Optimismus lernen kannst

Optimismus ist also das Bewusstsein um die Omnipotenz von Wissen und die bewusste Handlung in diesem Wissen.

Doch was machst du ganz praktisch damit?

In meinem Newsletter destilliere ich jede Woche die besten Tools und Taktiken um meinen Lesern kurz- mittel- und langfristig zu Erfolgen zu verhelfen.

Die langfristige Kategorie unterteile ich dabei in 5w – 5mo (5 Wochen bis 5 Monate).

Und hier hast du zwei Möglichkeiten, wie du Optimismus und die größte Kraft im Universum in dein Leben einweben und anwenden kannst:

1. Der Verinnerlichungs-Ansatz

Mit diesem Ansatz kannst du Optimismus lernen und zum Teil deines Denk-Werkzeugkastens machen. Er besteht aus drei einfachen Schritten:

  1. Du fragst dich bei jedem Problem und jeder Herausforderung, vor der du stehst: Widerspricht dieser Lösungsansatz den aktuell gängigen Naturgesetzen?
  2. Nein? Dann ist es machbar! Die einzige Frage ist jetzt nur: Welches Wissen brauchst du, um es umzusetzen?
  3. Stelle dir diese Frage jeden Tag mehrfach für > 66 Tage lang.

Du wirst überrascht sein, wie viel tatsächlich möglich ist. Und wie grenzenlos deine Möglichkeiten sind. Für diese „Erweiterung der eigenen Realität“ ist dieser Ansatz hervorragend geeignet.

Denn oftmals verhält es sich ungefähr so mit den Plänen der meisten Menschen ohne “bewussten Optimismus”: (Also Bewusstsein der tatsächlich existierenden Möglichkeiten)

2. Der Praxis-Ansatz

Wenn du nicht nur Optimismus lernen, sondern auch direkt anwenden möchtest, ist dieser Ansatz für dich der richtige.

Ich nenne ihn auch liebevoll meine „einfache 3 Punkte Checkliste zum goldenen Schlaraffenland voll Weltfrieden und Glück:

  1. Das tatsächlich Mögliche verinnerlichen. Dein Machbares endet nicht an der Meinung deines Chefs oder des Nachbarn. Noch daran, das du kein Spanisch sprichst. Es endet frühstens an den Grundkräften des Universums.
  2. Nachdem du etwa zehnmal “WOOOOW” gedacht und gesagt hast, die Frage was du mit dieser nahezu unbegrenzten Macht anstellen möchtest. Ein guter Startpunkt ist das letzte Drittel dieses Newsletters von mir.
  3. Sobald du eine klare Vision hast, konstant in kleinen Schritten in die richtige Richtung vorgehen. Wenn du also zum Beispiel einen Hochtemperatur-Supraleiter bauen möchtest, solltest du a) die Physik dahinter verstehen, b) dich mit den besten Forschern der Welt dazu vernetzen, c) an einem Prototyp mitwirken / selbst einen bauen und d) schauen, was dann als Ergebnis herauskommt. Und von dort an weiter. (du kannst mich dann auch gern fragen, ich helfe gern so gut ich kann)

Ich bin gespannt, was du daraus machst!

Viel Erfolg bei deinen weiteren Vorhaben. Das Wissen der Welt steht dir zur Verfügung.

Du willst mehr?

Hier bekommst du jeden Donnerstag eine Mail, die dein Leben verändert

Optimismus – Fazit & mehr:

That’s it. Ich hoffe, dieser kleine Artikel konnte dir Optimismus etwas weniger „umnachtet“ und „ominös“ näherbringen. Und die Übungen dir helfen.

Wenn du mehr Übung, Inputs, hilfreiche Tools und mehr von mir möchtest, kannst du hier kostenlos meinen Newsletter abonnieren:

In diesem bekommst du ein Füllhorn an Interviews mit Experten, eigens für meine Community gebauten digitalen Tools, Antworten auf deine Fragen, sofort anwendbare Tricks für mehr Lebensfreude und Produktivität und vieles mehr.

Check it out – du kannst wirklich nichts falsch machen damit.

Mensch gegen Maschine und künstliche Intelligenz vs Mensch

Mensch vs. Maschine / Mensch vs. künstliche Intelligenz

Mensch gegen Maschine. Ein Kampf nahezu so alt wie die Menschheit selbst.

Von den alten Griechen noch größtenteils philosophisch betrachtet ist der Wettbewerb Mensch vs. Maschine spätestens seit der industriellen Revolution in vollem Gange.

Erst wurde Muskelkraft durch Dampf, Stahl und Elektrizität überflüssig gemacht.

Jetzt jedoch geht der Kampf in seine nächste Runde:

 

Künstliche Intelligenz vs. Mensch: Algorithmus gegen Gehirn

Seit dem Aufkommen immer intelligenterer Algorithmen, immer größerer Datenmengen und Erfindungen wie dem Machine Learning stellt sich die alte Frage so dringlich wie nie zuvor:

Kann der Mensch den Kampf gegen die Maschine gewinnen?

… Bzw. ihn überhaupt führen? Länger als eine Runde?

Wie eine Reihe kluger Analysten anmerken, ist die Frage bereits schwierig bis falsch. Doch darum soll es hier und heute nicht gehen. Ich habe im Rahmen einer meiner Kurse endlich aus vielen Büchern, Tabellen und anderen Quellen ein paar Infografiken gebaut, welche Antworten auf einige Aspekte dieses epischen Kampfes geben können.

 

Hier kannst du dir diese Infografiken anschauen:

(Klick auf das Bild führt zur Version in maximaler Auflösung)

#1:

#2:

#3:

#4:

#5:

Wenn du diese Grafiken lieber ausdrucken möchtest, hast du sie hier auch nochmal in einer handlichen PDF zusammengefasst:

(Klick auf den Link führt zur PDF)

Biologische und künstliche Intelligenz im Direktvergleich

Wichtiger Hinweis zur Interpretation der Bilder und darin enthaltenen Daten:

Einige der Daten auf Maschinenseite sind Schätzungen, Extrapolationen oder Daten spezifischer Zeitpunkte aus der Vergangenheit. Doch selbst wenn die tatsächlichen Daten um mehrere Zehnerpotenzen nach oben oder unten abweichen sollten, spielt dies keine Rolle. Der Unterschied ist in jedem Szenario zu groß.

 

Mensch gegen Maschine: Und die Hardware?

Zur Physis muss an dieser Stelle wahrscheinlich nicht viel gesagt werden. In den Infografiken habe ich diesen Punkt außerdem bereits angesprochen. Es gibt keine denkbare Dimension, in der Menschen Maschinen noch rein mechanisch im direkten, vordefinierten Wettbewerb besiegen können.

Maschinen sind schneller, stärker, präziser, ausdauernder etc.

Von daher heißt es hier ganz klar: 2:0 für die Maschine.

 

Mensch gegen Maschine: Und was bleibt dann noch?

Das klingt, so gegeneinander aufgetragen möglicherweise etwas ernüchternd. Was bleibt dann noch für den Menschen über, wenn Maschinen alles besser können?

Das wichtigste: Das menschliche selbst. Das soziale. Das gemeinsame. Das emotionale, das abenteuerliche, das aufregende, das spannende, spaßige, großartig intensive. Das Leben.

Wenn wir Maschinen richtig einsetzen, bieten diese uns die Möglichkeit, in exakt der Welt zu leben, in der wir leben möchten. Alle von uns. Frei, Sicher, Glücklich und nur zur Entfaltung auf der Welt.

Und dann heißt es nicht mehr Mensch gegen Maschine. Sondern Mensch dank Maschine.

 

Das ist eine Aussicht, dank der mir Automatisierung nicht schnell genug gehen kann.

 

Wie siehst du das?

100 year in one

How to create the progress of the next 100 years in just one year.

Ich bin zum Jahresausklang über das neueste Video von Boston Dynamics gestolpert. Und wie die meisten Zuschauer hat auch mich dieses Video zum Nachdenken angeregt.

 

Konkret habe ich mir die Frage gestellt, warum wir nicht den (extrapolierten) Fortschritt der nächsten ~100 Jahre einfach in diesem Jahr, in 2021 „vorziehen“. Konkret ging mir folgendes durch den Kopf, welches ich unformatiert hier wiedergebe:

 

Motivation: first company who does it right, will dominante its niche and others more and more.
Recipe:
  1. A low code / no code Version like Zapier of a
  2. „Basic AGI“ like MuZero
  3. Open Source it on github
  4. Promote it through a few key influencer in the right fields
  5. Give a manual on how to implement the AI like the one from Andrew Ng.
  6. Optional: combine it with a open source blueprint of a 3D printed robot like the one from the MIT (and/or a open source of atlas from Boston dynamics)
There we have it.
So my question is: why are we not just doing this? And: what am i missing? (As it seems so obvious to do this to me)
Wenn du, lieber Leser, eine Antwort und / oder einen spannenden Gedanken dazu hast, schreib mir gern einen Kommentar.
In any case:
Let’s have a blast of a new year 🙂
Die Theorie der langen Wellen pendelt den Fortschritt der Menschheit

Die Theorie der langen Wellen – Der Kondratjew Zyklus

Du sitzt / liegst / stehst unter der Dusche. Eine kolossale Grundfrage trifft dich wie aus dem Nichts:

Ist die Menschheit seit Anbeginn der Zeit überhaupt vom Fleck gekommen? Und wenn ja, wie misst man den Fortschritt der Menschheit?

Keine Sorge, ich lasse dich nicht allein bei der Suche nach einer Antwort darauf.
Eine Möglichkeit dazu ist die Theorie der langen Wellen, manifestiert in den Kondratjew Zyklen. Was es mit denen auf sich hat, erfährst du im nachfolgenden Artikel. Außerdem:

Das lernst du im Artikel zur Theorie der langen Wellen / Kondratjew-Zyklen:

  • Was die Idee hinter dem Kondratjew Zyklus ist
  • Wie viele Zyklen es gibt und warum es genau diese sind
  • In welchem Zyklus wir uns gerade befinden
  • Warum es gar nicht so einfach ist, den 6. Kondratjew Zyklus genau zu bestimmen
  • Welche Tools und Blickwinkel dir links und rechts neben der Theorie der langen Wellen bei der Beantwortung der Eingangsfrage helfen

Genug des Vorworts springen wir rein ins Vergnügen!

Was sagt die Theorie der langen Wellen aus? Was sind Kondratjew Zyklen?

Die Kondratjew-Zyklen und die dahinter liegende “Theorie der langen Wellen”, sind ein Theoriegebäude zur Betrachtung von Wirtschaftsentwicklungen. , welches im Jahr 1926 von Wirtschaftswissenschaftler Nikolai Kondratjew als Ergänzung bzw. Gegenstück der bis dahin vorherrschenden kurzfristigen Schweinezyklen erdacht wurden.

Ziel der Theorie der langen Wellen ist es, Paradigmenwechsel und damit verbundene Investitionsmöglichkeiten zu prognostizieren bzw. einzuordnen.

Jeder Kondratjew Zyklus hat dabei einen viergeteilten Lebenslauf:

  1. Wachstum
  2. Rückgang
  3. Talsohle
  4. Verbesserung

Da diese Abfolge so etwas wie ein “Naturgesetz der Wirtschaft” darstellt, findet sich diese „Vita“ auch in anderen Schablonen wie z.B. dem Hype Cycle wieder. (Naturgesetz deshalb, weil jede Lösung neue Probleme nach sich zieht, welche wiederum Lösungen produziert usw. Siehe dazu auch das Buch „The Beginning of Infinity„* von Quantenphysiker David Deutsch)

So sehen diese „vier Jahreszeiten“ des Kondratjew Zyklus aus: (Die blauen Striche teilen jeweils einen Bereich vom anderen ab)

Der Kondraatjew Zyklus und seine Jahreszeiten
Quelle: https://de.wikipedia.org/wiki/Datei:Kondratieff_Wave.svg

Aktuell wird die technologische Entwicklung seit der Erfindung der Dampfmaschine in 5 Zyklen eingeteilt, wobei wir uns sehr wahrscheinlich mittlerweile ein einer sechsten befinden.

Warum genau 5 bzw. aktuell 6 Zyklen und nicht 12 oder 349?

Bei allen Kondratjew Zyklen geht es dabei um epochen-prägende Basistechnologien. Was es damit auf sich hat und welche davon die einflussreichsten sind, habe ich in meinem Artikel “Die wichtigsten Erfindungen der Welt” auch näher behandelt.

Und diese epochen-prägenden Fundamental-Technologien gibt es, wie der Name schon vermuten lässt, nicht im Zyklus neuer Smartphones aller paar Monate. Genau diese Betrachtungsweise macht die Kondratjew Zyklen auch so spannend. Denn sie zoomen weit genug heraus, um Muster erkennbar zu machen. Und bleiben doch nah genug am technologischen Geschehen, um konkrete Schlüsse ziehen zu können.

Was einen solchen Kondratjew auszeichnet, hat diese Grafik gut näherungsweise zusammengefasst:

Kondratjew Zyklen und Ihre Eigenschaften
Quelle: https://www.gevestor.de/wp-content/uploads/2013/03/Voraussetzungen-f%C3%BCr-einen-Kontratieff-Zyklus.png.webp

Was waren die bisherigen Kondratjew Zyklen? Und welcher Kondratjew Zyklus ist der nächste?

Kondratjew hat die bisherige technologische Entwicklung der Menschheit aus der Vogelperspektive wie folgt eingeteilt: (Er hat es vor allem aus ökonomischer Sicht betrachtet, ich sehe das Ganze durch die Brille technologischer Entwicklung)

  1. Zyklus (1780-1850): Die Dampfmaschine
  2. Zyklus (1850-1890): Eisenbahn und Dampfschiffe
  3. Zyklus (1890-1940): Elektrotechnik- und Schwermaschinen, Chemie
  4. Zyklus (1940-1990): Integrierter Schaltkreis, Kernenergie, Transistor
  5. Zyklus (1990-?): Informations- und Kommunikations-Technik, aber auch Technologien die Kernspaltung und die Raumfahrt
  6. Zyklus (?): ???

Bei den genauen Rahmendaten der jeweiligen Zyklen sowie den zentralen Basisinnovationen sind sich die Experten insgesamt uneins.

Das kann man, je nach gewählter Relations-Dimension entweder als konstante Abfolge oder stetige Steigung der Entwicklung betrachten. Was zu verschiedenen Darstellungen auf der vertikalen y-Achse führt:

Rückwirkend ergibt die Theorie der langen Wellen absolut Sinn. Erfindungen sind manifestierte Problemlösungen. Dank Ihres rekombinativen Charakters erreichen sie irgendwann einen Punkt, an dem viele kleine Verbesserungen den Weg ebnen für einen neuen, großen Knall. Disruption ist angesagt. Das Ganze verläuft dabei mit einer beinahe gespenstischen Exaktheit exponentiell, spätestens seit den Grundlagen der Rechnertechnik, wie dieses Bild schön zeigt:

Quelle: http://avid.cs.umass.edu/courses/645/s2020/lectures/Lec1-Overview.pdf

Rekombination von Technologien
= Die Eigenschaft, jede Erfindung mit jeder anderen prinzipiell kombinieren und damit neues erschaffen zu können, was bei mehr Erfindungen zu immer schneller immer mehr Erfindungen führt. Siehe dazu auch diesen exzellenten TED-Talk, in welchem dies weiter ausgeführt wird.

So weit, so nachvollziehbar. Die Kondratjew-Zyklen geben also eine Betrachtung akkumulierter Entwicklung. Sehr reduziert und sehr zusammengefasst aber damit auch sehr schnell einsetzbar. Sie siedeln sich quasi zwischen dem Hype-Cycle und vergleichbaren Tools einerseits und Betrachtungen aus dem Orbit wie der Kardaschow-Skala andererseits an.

Doch anders als diese beiden Werkzeuge bietet der Kondratjew-Zyklus keine leichte Extrapolation in die Zukunft. Was zur großen Preisfrage führt, für alle denen Geschichte allein zu langweilig ist:

Welcher ist der 6. Kondratjew Zyklus?

Wir wissen also, in welchen “Entwicklungsschüben” sich die Menschheit technologisch in den letzten ein- bis dreihundert Jahren verändert hat.

Doch jetzt die große Frage: Befinden wir aktuell in einem neuen Kondratjew (Zyklus)?

Und wenn ja, in welchem?

Welche Basistechnologie prägt unsere Zeit entscheidend? Das lässt sich nicht aus dem Hut beantworten. Denn anders als bisher sind zwei entscheidende Faktoren anders:

  1. Die Anzahl der kombinierbaren Technologien: Diese haben spätestens seit dem Ende des zweiten Weltkrieges einen Tipping-Point erreicht, welcher zu bisher unbekannten (Entwicklungs)Geschwindigkeiten geführt hat.
  2. Kommunikation und Information global und in Lichtgeschwindigkeit: Die Zahl der “wissensschaffenden Punkte”, also Entwickler, Ingenieure, Crowd Scientists, Forscher etc. die miteinander in Echtzeit kommunizieren können, ist explodiert. Und zwar richtig wirklich schnell:
Quelle: https://de.wikipedia.org/wiki/Chronologie_des_Internets#/media/Datei:Internet_Hosts_Count_log.svg

Doch nicht nur, dass die Welt (des Fortschritts) damit zu einer einzigen verschmolzen ist. Sie hat zeitgleich auch ihre Interaktions- und Austauschrate (nahezu) maximiert. Tage, Wochen und Monate der Briefe, Postwurfsendungen und Pakete sind flächendeckend Echtzeit gewichen. Und mit immer ausgeklügelteren digitalen Tools werden die letzten Prozente der so massiv dazugewonnenen Effizient herausgeholt. (Slack, Asana, Zoom, die Google-Suite, soziale Netze etc. – prinzipiell alles was skalierbar ist und Mehrwert bietet)

Heißt? Die Entwicklung geht derart schnell, dass es unter Umständen sinnvoll ist, bereits jetzt mehrere “Mikro-Kondratjew-Zyklen” auszurufen, als einen überspannenden.

Vergleichen wir es auf einen Blick:

Durchschnittsdauer eines Kondratjew Zyklus bisher: 40-60 Jahre
Aktuelle Entwicklungsdauer potenzieller Basistechnologien: < 30 Jahre.

Wir haben also entweder bisherige Kondratjew Zyklen nahezu halbiert, oder wir brauchen eine andere Betrachtung. Doch warum meine ich das? Schauen wir uns die letzten 30 Jahre technologisch an.

Diese haben uns gebracht:

Oder, bildlich gesprochen: (Die Geschwindigkeit von Entwicklungen pro Zeit nimmt seit Anbeginn der Menschheit konstant zu. Rekombination und so)

Quelle: http://www.agrotic.com.br/wp-content/uploads/2019/08/MARCOS-SCALABRIN.pdf

Heißt: Ich glaube es gibt weniger die eine Antwort auf die Frage nach dem 6. Kondratjew-Zyklus im “klassischen” Rahmen der Theorie der langen Wellen. Ich denke es wird eher auf eine Verständnis-Anpassung des Gesamtkonzeptes hinauslaufen.

Was soll ich sagen, wir leben nunmal in einer wirklich spannenden Zeit. So spannend, dass selbst Klassifizierungen und Einordnungen manchmal an Ihre Grenzen stoßen.

Was mich zu den Vor- und Nachteilen dieser Betrachtungsweise und dem abschließenden Fazit bringt:

Kondratjew Zyklen und die Theorie der langen Wellen – Fazit

Vorteile des Kondratjew Zyklus:

  • Ermöglicht schnellen „Draufblick“ von „oben“ auf technologische Entwicklungen und deren Richtung.
  • Bietet schnelle Investitionsansätze, da man Entwicklungen grob abschätzen kann.
  • Ermöglicht gezielte Forschung und Entwicklung hin zu aussichtsreichen Technologie-Kandidaten, da die grobe Richtung absehbar ist.

Nachteile der Theorie der langen Wellen:

  • Die Y-Achse ist oft schwer definierbar.
  • Führt Mangel als Grundlage für Innovation aus. Ich gehe dahingehend wie gesagt eher mit Quantenphysiker David Deutsch dàccord*, dass Wissen die Grundlage dafür ist. Not macht zugegebenermaßen erfinderisch. Eine Vielzahl neuer Erfinder sowie besserer Zugriff zu Technologien, mehr Freizeit, bessere Bildung etc. allerdings auch.
  • Wie bei vielen ähnlichen Ansätzen gilt leider auch hier wieder: Er ist nicht wissenschaftlich basiert. Es gibt bei der Theorie der langen Wellen keine konkreten Messpunkte und reproduzierbaren Daten. Was nicht heißt, dass er nicht durchaus hilfreich sein kann, wie diese Darstellung leicht zeigt:
Die Theorie der langen Wellen und Kondratjew Zyklen gemessen an Jahresrenditen
Quelle: https://www.allianz.com/content/dam/onemarketing/azcom/Allianz_com/migration/media/press/document/other/kondratieff.pdf

Wenn du mehr zur Theorie der langen Wellen und den Kondratjew Zyklen wissen möchtest, findest du hier ein spannendes Buch zum Thema*:

Was denkst du zur Theorie der langen Wellen und dem Kondratjew Zyklus? Hilfreiches Tool oder haltlose Abstraktion? Ich bin auf deinen Kommentar gespannt!

*Affiliate-Link. Wenn du Produkte über diese Links bestellst, bekomme ich einen Teil des Geldes. Natürlich ohne, dass du dadurch mehr bezahlst! Hierfür werden lokal Cookies gesetzt.
 
Der Hype Cycle von Gartner

Wie misst man Innovationen? Der Hype Cycle von Gartner

Was haben Helden und Technologien gemeinsam?

Sie durchleben die gleiche Entwicklung.

Aber der Reihe nach. Die Frage ganz oben Beginn war ja: Wie misst man Innovationen? (Und Disruptionen in diesem Sinne ebenfalls)

Also nicht deren Anzahl, Impakt oder Verweildauer, sondern den Innovationsgrad von neuen Entwicklungen. Den Grad der “Vorfreude” des Marktes und die anschließende Marktdurchdringung gewissermaßen. Denn eine Innovation, die keinen kolossalen Mehrwert bietet, wird wahrscheinlich keine wirkliche Innovation sein. Und eine Innovation ohne eine breite, im Optimalfall skalierte Adaption am Markt ebenfalls kaum.

Wie misst man nun aber diese Innovationen und Ihren Lebenszyklus vom Prototypen im Labor bis hin zur letzten graduellen Verbesserung bis die nächste sie ablösende Innovation Ihren Platz einnimmt?

Aus der Satellitenperspektive betrachtet: am besten mit Annäherungen wie den Kondratjew-Zyklen. Aber ganz konkret und sofort handlungsweisend?

Vorhang auf für den Hype Cycle von Gartner.

Was ist der Hype Cycle (von Gartner)?

Das Buch zum Hype Cycle von Jackie Fenn

Der Hype Cycle, “Hype Zyklus” oder auch “hype cycle for emerging technologies”, wie der bekannteste Vertreter dieser Art heißt, zeigt dem Betrachter auf einen Blick handlich aufbereitet die aktuellen technologischen (Meta)Trends und deren jeweiliger Status Quo.

Er wird jährlich vom Analyseunternehmen Gartner herausgegeben und wurde von der Analystin Jackie Fenn aus den eigenen Reihen das erste Mal in den späten Neunzigern öffentlich eingesetzt. Er umfasst dabei laut Unternehmensaussage mehr als 2.000 Technologien welche zusammengefasst und in Metakategorien eingedampft werden.

Je nachdem, was der Fokus des jeweiligen Hype Cycle ist, wird darauf in der ersten Hälfte des Graphen am meisten Wert gelegt. Beim Hype Cycle for emerging technologies – also dem Graphen für „aktuell anbrandende Innovationen“ – wird logischerweise der Schwerpunkt auf brandneue Entwicklungen aus den wichtigsten Bereichen gelegt.

Passenderweise heißt das Buch von seiner Erdenkerin dann auch im Untertitel “How to choose the right innovation at the right time”* – Wie du die richtige Innovation zur richtigen Zeit auswählst.

Der Hype Cycle besteht in seiner bekanntesten Form aus drei Teilen, dem namensgebenden Zyklus und einer ergänzenden Zusammenfassungsgrafik. Flankiert werden die beiden durch ergänzende und erklärende Texte. Der Hype Cycle folgt dabei immer diesem einfachen Grundmuster:

Das Schema des Hype Cycle von Gartner
Quelle: https://de.wikipedia.org/wiki/Hype-Zyklus#/media/Datei:Gartner_Hype_Zyklus.svg

Die Darstellung des Cycles erfolgt in einem zweidimensionalen Koordinatensystem. Auf der y-Achse ist die Aufmerksamkeit (Erwartungen) für die neue(n) Technologie(n) aufgetragen, auf der x-Achse die Zeit seit Bekanntgabe bzw. Ankündigung bzw. erstem Auftritt.
Wieso dieser Graph dabei aussieht wie ein wild gewordener Seismograf, dazu weiter unten mehr.

Die zusammenfassende Grafik bereitet die gewonnen Erkenntnisse dann nochmal leicht verdaulich und richtungsweisend auf. Hier das Ganze mal am Beispiel des Hype Cycle 2019:

Quelle: https://blogs.gartner.com/smarterwithgartner/files/2019/08/CTMKT_741609_CTMKT_for_Emerging_Tech_Hype_Cycle_Infographic_r1d.png

Für all die, die es noch etwas ausführlicher mögen, folgt daraufhin noch eine Beschreibung der einzelnen Gebiete und am Ende die Möglichkeit für Klienten von Gartner sich den vollen Report zum Hype Cycle herunterzuladen.

Gartner selbst bezeichnet den Hype Cycle in seinem “Information Technology Glossary” als

“…a graphical depiction of a common pattern that arises with each new technology or other innovation. Each year, Gartner creates more than 90 Hype Cycles in various domains as a way for clients to track technology maturity and future potential. The five phases in the Hype Cycle are Technology Trigger, Peak of Inflated Expectations, Trough of Disillusionment, Slope of Enlightenment and Plateau of Productivity.”

 

“Der Gartner’s Hype Cycle ist eine grafische Darstellung eines gemeinsamen Musters, das mit jeder neuen Technologie oder anderen Innovation entsteht. Jedes Jahr erstellt Gartner mehr als 90 Hype-Zyklen in verschiedenen Bereichen, um den Kunden die Möglichkeit zu geben, die technologische Reife und das zukünftige Potenzial zu verfolgen. Die fünf Phasen im Hype-Zyklus sind Technologieauslöser, Höhepunkt der überhöhten Erwartungen, Tiefpunkt der Ernüchterung, Neigung zur Aufklärung und Plateau der Produktivität.”

 

Quelle: https://www.gartner.com/en/information-technology/glossary/hype-cycle Übersetzung: DeepL und eigene Ergänzung.

In kurz: Der Hype cycle ist quasi der Produktlebenszyklus von oben. Ein Technologie-Lebenszyklus.

Schön und gut. Aber was macht man damit?

Wie / wozu setzt man den Hype Cycle ein?

Du kannst es dir mittlerweile sicherlich denken, daher hier in aller Kürze: Der Hype Cycle dient Analysten, Beratern, Investoren und Unternehmen zur Bewertung in der Einführung neuer Technologien.

Also der Einordnung dieser Innovationen in den aktuellen Entwicklungs- und Marktkontext.
Also als Unterstützung der Antwortsuche auf die Frage: “Was machen wir als Nächstes und was lassen wir lieber?”
Wenn es die neueste Idee der Entwicklungsabteilung bereits auf dem Weg zur Marktreife gibt, kann ich mir Zeit und Geld sparen. Logisch, oder?

War aber vor dem Hype Cycle und anderen Visualisierungsformen nie so einfach und umsetzbar. Wie dieser kleine Vergleich mit anderen Optionen zeigt:

Das hat zwar auch seine Schwächen, wie jedes Tool, hilft aber bei schnellen bzw. 80/20 abgewogenen Entscheidungen. Das kann auf den Bereich Bildung und Lernen angewandt zum Beispiel so aussehen und für KI zum Beispiel so.

Es gibt denn auch nicht nur den einen Hype Cycle, sondern eine ganze Reihe von verschiedenen.

Es gibt ihn für Human Capital Management Technology, Digital Government Technology, CRM Sales Technology und natürlich auch den Hype Cycle für Artificial Intelligence. Insgesamt sind es knapp 100 verschiedene pro Jahr.

Immer up to date auf der Originalseite findest du alle Hype Cycle hier.

Was sagen die verschiedenen Phasen des Hype Cycles aus?

Der Hype Cycle unterteilt sich in fünf Schlüsselbereiche:

#1: Der technologische Trigger / Auslöser

Im Optimalfall steht hier eine bahnbrechende Ankündigung, ein Durchbruch sondergleichen. 

Praktisch ist es leider oftmals fast schon egal was den Kreislauf in Gang setzt. Alles was im engen Fachkreis aufhorchen lässt und auch weitere Pressekreise in Aufruhr versetzt, ist gut.

Oftmals zieht diese Stufe direkt Imitatoren und Trittbrettfahrer an, da diese das große Geschäft wittern.

#2: Spitze / Gipfel / Höhepunkt der überzogenen Erwartungen

Was klingt wie der schlechte Name einer Hafenbar ist der Punkt, welchem der Hype Cycle seinen Namen verdankt: Der Siedepunkt des Rummels um die Entwicklung.

Das Telefon steht hier bei den Entwicklern nicht mehr still, das E-Mail-Postfach quillt über. Jeder aus der Branche will jetzt ein Stück vom Kuchen und so entsteht zu einem gewissen Maße eine selbstverstärkende Schleife. Oftmals auch unabhängig vom tatsächlichen Durchbruch. Was unweigerlich zu #3 führt:

#3: Tal der Enttäuschungen

Auch dieser beinahe theatralisch gewählte Name ist ein essenzieller Bestandteil des Hype Cycle. Wie bei einer ausgelassenen Feier sieht am nächsten Morgen bei Licht betrachtet das Ganze doch nicht ganz so rosig aus, wie in der Nacht zuvor. Die Technologie hat entscheidende Probleme, Kinderkrankheiten oder Engpässe bei der Massenfertigung. So oder so: Dem unerreichbaren Hype kann sie nicht gerecht werden, also wird sie fallengelassen und Enttäuschung macht sich breit.

Hier hilft es, einen harten Kern an Unterstützern um sich gescharrt zu haben, um den Einbruch möglichst gut abzufedern und zu überstehen. Und genau damit geht es auch weiter:

#4: Der Pfad der Erleuchtung

Warum die Abschnitte des Hype Cycles benannt sind wie die Kapitel einer japanischen Kurzgeschichte ist mir nicht bekannt, in jedem Fall geht es hier wieder aufwärts. Und zwar oftmals mit voller Kraft. Und ebenso oft nahezu unbemerkt.

Hier werden die entscheidenden Schwachstellen korrigiert, Probleme behoben und stetige Verbesserungen eingewoben.

Und damit die bereits verloren geglaubte Technologie auf den direkten Weg zur Marktreife gehoben. Zum letzten Akt dieses spannenden Innovations-Abenteuers:

#5: Das Plateau der Produktivität

Die Innovation hat es geschafft! Sie hat den müßigen Aufstieg geschafft und ist endlich am Massenmarkt angekommen. Sie wird weiterentwickelt und amortisiert sich. Damit hat sie ihre Reise abgeschlossen. Sie ist von der Innovation zur Alltags-Technologie geworden. Das Happy End einer jeden Erfindung.

Oder anders, in einem Rutsch formuliert:

Zu Beginn des Hype Cycle sieht man einen extremen Anstieg, denn News gehen immer.
Du kennst das, der Start-Transfer von Wissen aus dem Labor auf die Titelseiten läuft meist ungefähr so:
“Es wurde eine Studie veröffentlicht, in welcher eine geringe Wahrscheinlichkeit auf die Möglichkeit besteht, schwere Arten von Krebs durch Nanosilber zu heilen? Mittel gegen Krebs gefunden! Sattelt die Pferde und lockert die Geldbörsen!”

Genau diese unerreichbare Euphorie, dieser buchstäbliche Hype wird im Berg, im Gipfel zu Beginn des Zyklus beschrieben.

Nachdem dieser Flug zum Höhepunkt früher oder später unweigerlich vorbeigeht, geht es unvermeidlich bergab. Das geht dabei ungefähr wie folgt ab:
“Krebs wurde durch die Erfindung nicht vollständig ausgelöscht und die Menschheit zu unsterblichen Göttern welche auf den äußeren Saturnmonden leben?! Kündigt den Entwicklern die Stellen, verstaatlicht das Unternehmen und lasst sie alle eine Lehre zum Floristen machen! Eine Unverschämtheit ist das, schämen sollten sie sich allesamt!”

Und so weiter.

Meist sind die Unternehmen daran selbst nicht ganz unschuldig, bekommt doch derjenige mit dem größten Disruptionspotenzial, der nächsten Durchbruchs-Technologie, dem nächsten “big thing” Geld, Aufmerksamkeit und Verbindungen.
Es ist also sehr verlockend, den neuen Anstrich als weltbewegend zu verkaufen.

Dazu muss man nicht einmal in die Innovationsabteilungen dieser Welt gehen. Ein Blick auf YouTube oder Facebook reicht dazu bereits. Das Schema ist immer das gleiche. Eine Kultur die Extreme liebt, bekommt rund um die Uhr Extreme. Ob es diese gibt oder nicht.

Und selbst wenn die Erfinder, Erdenker und Entwickler selbst gar nichts dafür können, Presse und Journalisten sind durch ununterbrochenen Update-Zwang kombiniert mit der globalen “höher-schneller-weiter” Mentalität unter Androhung ihres Jobverlusts gezwungen, unentwegt die nächste Technologie-Sau durchs Dorf zu treiben.

Der Fall folgt also nahezu alternativlos.

Der wahrscheinlich interessanteste Teil des Hype Cycle kommt allerdings jetzt erst. Denn nachdem bereits alles aus Sicht der Öffentlichkeit verloren scheint und die Aufmerksamkeit dem nächsten Hype zufliegt, wird die Technologie ihrer Erwartung gerecht. Langsam aber sicher wird sie weiterentwickelt, Protototypen werden in erste Serien gegossen und Alpha- und Betaversionen werden zum Testen freigegeben. Und über diesen “Pfad der Erleuchtung”, also kontinuierlicher Verbesserung und Verfeinerung kommt die Technologie irgendwann dann am Ziel an. Dem Tal der Produktivität. Ab hier kann sie serienmäßig eingesetzt werden und alle Welt ist völlig überrollt von dieser “plötzlichen” und bahnbrechenden neuen Entwicklung. (Plötzlich, da der Hype am Ursprung zu diesem Zeitpunkt ja bereits lang vergessen ist. “Innovations-Demenz” in diesem Ausmaß gibt es auch noch gar nicht so lang. Aber das ist eine andere Diskussion)

Es ist ein bisschen wie die klassische Heldenreise. Erst geht es steil bergauf, dann klatscht man auf den Boden der Tatsachen. Und dann rappelt man sich wieder auf und schafft es.

Quelle: https://www.hanseatisches-institut.de/heldenreise/

Du kannst dir den Hype Cycle auch ein wenig wie eine Gamepad-Kombi merken: Hoch-Runter-Rechts. ⬆️⬇️➡️. Schaltet keine Charaktere oder Fähigkeiten frei, führt aber (mehr oder minder) verlässlich zu technologischem Fortschritt.

Beispiele für Hype Cycle Technologien

Es gibt eine Vielzahl von Technologien, welche dem Hype Cycle wie der von Schienen geleitete Wagen einer Achterbahn gefolgt sind. Einige davon sind:

Schön zusammengefasst finden sich diese in dieser passenden Zitatsammlung.

Wie man weniger stark danebenliegt bei seinen Prognosen erläutere ich am Ende meines Disruptions-Artikels.

Ein weiteres Beispiel ist die Robotik. Oft schon wurde die „Robocalypse“ ausgerufen. Dann gerieten die Roboter wieder in Vergessenheit. Nur um sich dann, nicht gänzlich unbeobachtet und doch am Ende völlig überwältigend, aus dem Off auf die Bühne zu entwickeln.

Jetzt weißt du also was die verschiedenen Teile bedeuten. Doch wie wendest du dieses Wissen am besten an?

Wie interpretiere ich den Hype Cycle von Gartner und welche Maßnahmen leiten sich aus ihm ab?

Es gibt drei zentrale Einsatzszenarien des Hype Cycle:

  1. Die Möglichkeit hinter den Hype zu schauen und das tatsächliche Potenzial einer Technologie einschätzen zu können.
  2. Grundlage besserer Entscheidungen durch Risikoreduktion und Richtungsweisung.
  3. Abgleich eigener Einschätzungen und dadurch mehr Sicherheit und Fundament bei Schlussfolgerungen.
Wichtig dabei: Der Hype Cycle allein vermag dabei keines dieser Kunststücke zu vollbringen. Er hilft aber sehr dabei, entsprechend Fahrt aufzunehmen. Wie ich weiter unten auch weiter ausführe.
Hype Cycle Indikatoren
Quelle: https://medium.com/10x-curiosity/the-6ds-of-progress-3823eeb3e77c

Diese Ergänzungen zum Beispiel helfen den Hype Cycle besser interpretieren und einordnen zu können…

Quelle: https://www.logicdata.net/wp-content/uploads/2018/02/graphic_curve.png

…Und wenn man den Hype Cycle mit dem Produktlebenszyklus abgleicht, hat man auf einen Blick eine Einschätzung für Innovation und Adaption(swahrscheinlichkeit) einer Technologie…

… Was ich hier sehr amateurhaft mal beispielhaft gemacht habe. Du siehst: Die zweite Hälfte des Hype Cycle wird für die Marketingabteilung relevant, während die erste für die Entwicklungs- und Forschungsabteilung spannend ist.

Klingt alles in allem nach einem rundum praktischen Tool. Doch wie alles im Leben hat auch der Hype Cycle von Gartner seine Schwachstellen. Doch welche?

Kritikpunkte des Hype Cycle

Wie jedes Werkzeug hat natürlich auch der Hype Cycle seine Schwächen und begründeten Kritikpunkte. Die wichtigsten:

  • Der Hype Cycle basiert auf keiner fundierten, wissenschaftlichen Methode. Er wird trotz verschiedener akkumulierender und entzerrender Zwischenschritte beim Erstellen letzten Endes subjektiv gefertigt. Das sollte man auf keinen Fall vergessen!
  • Was direkt zum zweitschwersten Kritikpunkt führt: So schön und hilfreich der Hype Cycle manchmal auch ist, manchmal ist er schlicht komplett nutzlos. Denn wie weiter unten näher ausgeführt klassifiziert er nicht nur Technologien und deren Entwicklungsstadium. Auch Marketing, Marktentwicklung und die Wahrnehmung der erstellenden Analysten spielen hier gewichtige Rollen. 
  • Obwohl er Zyklus heißt, ist er kein tatsächlicher Kreislauf. Zwar folgen immer auf Lösungen (neue Technologien) neue Probleme, welche neue Lösungen (in Form von Technologien) nach sich ziehen. Dennoch ist dies keine zwingende, kausaler Abfolge. Und vor allem lässt sich diese nicht vorhersehen. Folgt auf die Klimaverbrennung als Folge der Industrialisierung Kernfusion oder Solarenergie? Oder eher Autarkie-Technologien?
  • Aus den beiden obigen Punkten ergibt sich zu einem gewissen Punkt eine weitere Schwachstelle: Die individuelle Technologie ist für den Hype Cycle egal. Ebenso ihre Klassifizierung, potenzieller Impakt etc. Durch die Akkumulation werden individuelle Merkmale zwangsläufig verwaschen.
  • Wie bereits weiter oben leicht scherzhaft angesprochen, sind die Bezeichnungen der einzelnen Stationen relativ nichtssagend und im schlimmsten Fall manipulierend. In jedem Fall sagen sie kaum etwas über den tatsächlichen Entwicklungsstand einer Technologie aus. Für Anwender ist das sogar noch schlimmer: Warum sollte ich mir etwas kaufen, was indirekt als Enttäuschung vermarktet wird? Aus Techno-Masochismus? Auch hier kann sich so die Schleife selbst verstärken und die Prophezeiung selbst erfüllen. Nur in diesem Fall negativ.
  • Für den Technologieentwickler gibt der Hype Cycle nur indirekte Handlungsempfehlungen. Er kann zwar ablesen „Technologie x ist ungefähr auf Stand y“, was er basierend auf dieser Information aber konkret machen kann / soll, ist nicht erkennbar. Ins Marketing investieren? Wichtige Keyfeatures weiterentwickeln? Das Produkt eher in Richtung eines blauen Ozeans ausbauen? Der Hype Cycle dient hier eher als Leitplanke, denn als Navigationssystem.
  • Ein weiterer wichtiger Punkt ist die faktische Technologie-Unabhängigkeit der aufgetragenen Technologien. Um überhaupt in den Cycle aufgenommen zu werden, muss zunächst öffentliches Interesse bestehen. Was unterbunden werden kann, wenn die Technologie vollständig verschwiegen entwickelt wird. Doch damit nicht genug: Um dann weiter auf dem Graphen zu wandern, muss sich die Technologie aus Anwendersicht entsprechend entwickeln. Das aber ist nicht nur von der Technologie, sondern auch von seiner Vermarktung abhängig. Die Technologie eines Unternehmens welches eine kontraintuitive Marketingstrategie verfolgt, wird auf dem Hype Cycle vielleicht hin- und herspringen oder lange gar nicht und dann spontan am Ende auftauchen. Was dann so aussehen kann, wie in diesem sehr lesenswerten Artikel dazu erläutert wurde:
Auch der Hype Cycle hat nicht nur Stärken
Quelle: https://www.linkedin.com/pulse/8-lessons-from-20-years-hype-cycles-michael-mullany

Lösungen für einige dieser Probleme kann der Einsatz alternierender Bewertungsmöglichkeiten- und Schablonen sein. Wie die des „Technology Readiness Leveles“, des TRL’s der NASA. (Hier auf Deutsch beschrieben) Oder dem „Technologie-Lebenszyklus„, dem TLC bzw. dem CMMI, der „Capability Maturity Model Integration“ als spezifischere Alternativen zum Hype Cycle.

In jedem Fall ergibt meiner Erfahrung nach dieser Ablauf Sinn:

  1. Betrachtung aus der Satellitenperspektive. Wo auf der Landkarte befinden wir uns überhaupt? Also grundlagentechnologisch – was flankiert unsere eigene Innovation aktuell und kommend? Hier helfen wie weiter oben angesprochen zum Beispiel die Kontratjew-Zyklen oder abstrakter die Kardashow-Skala. Bzw. die Betrachtung der Disruptionsprinzipien.
  2. Betrachtung aus der Vogelperspektive. Hier zoomen wir etwas weiter rein, um marktspezifischer zu werden. Hier helfen auch Tools wie der Hype Cycle und aktuelle Berichte und Analysen zur Validierung.
  3. Betrachtung aus der Ego-Perspektive. Am Ende des Ganzen wird konkret ausschließlich die entsprechende Technologie und Ihre direkten und indirekten Einflüsse betrachtet und auf dieser Basis entschieden.

Das erfindet das Rad nicht neu, zumindest bis zur Marktreife des Teleporters, funktioniert aber. Und darauf kommt es am Ende des Tages schließlich an.

Hype Cycle 2005, … 2017, 2018 und Hype Cycle 2019 im Vergleich

Wie bereits an anderen Stellen angesprochen gibt es den Hype Cycle von Gartner mittlerweile mehr als zwei Jahrzehnten. Du möchtest auf einen Blick sehen, wie sich der Hype Cycle 2019 von denen der letzten Jahre unterscheidet?
Zum Glück gibt es dazu bereits eine kleine Bildergalerie im Netz, angefangen beim Hype Cycle von 2005. Diese findest Du hier. Viel Spaß beim Durchleben der Technologie-Nostalgie 😉
Den Hype Cycle 2019 (for emerging technologies) findest Du hier.

Hype Cycle: Fazit

Der Hype Cycle von Gartner ist ein praktisches Werkzeug, welches leicht verdaulich Entscheidungen ermöglicht.

Allerdings gilt wie bei jedem Werkzeug auch hier: Blindes Vertrauen kann ziemlich in die Hose gehen. Im Kontext und flankiert von individuell passenden Alternativ-Tools allerdings kann der Hype Cycle durchaus hilfreich sein.

Wie stehst Du zum Hype Cylce und wie setzt Du ihn vielleicht sogar aktuell ein? Lass es mich in den Kommentaren wissen!

*Affiliate-Link. Wenn du Produkte über diese Links bestellst, bekomme ich einen Teil des Geldes. Natürlich ohne, dass du dadurch mehr bezahlst! Hierfür werden lokal Cookies gesetzt.