Auf digitaler Spurensuche

00:00:03:

00:00:14: Hallo und herzlich willkommen in der Auslegungssache heute mit der Episode.

00:00:20: Wir zeichnen auf am sechsten ersten zwei tausend sechsten zwanzig an den heiligen drei Königen.

00:00:25: Übrigens haben wir in Niedersachsen hier anders als die halbe Republik, glaube ich, kein Feiertag.

00:00:30: Deswegen arbeiten wir heute am Podcast.

00:00:32: Wir, das sind Jörg und ich, mein Name ist Heuger Bleich.

00:00:35: Ich bin Redaktor bei CT, dem Magazin für Computertechnik, das auch diesen Podcast hier produziert.

00:00:40: Ich muss einschränkend gestehen, dass sich vielleicht etwas nahe Saal klinge, weil ich im Moment Covid habe und deswegen vielleicht auch ein bisschen.

00:00:48: und manchmal ein bisschen langsam reagiere.

00:00:50: Aber zum Glück habe ich ja Jörg an meiner Seite, der mir mit Sicherheit heute den Spährpunkt der Episode abnehmen wird.

00:00:57: Hallo Jörg.

00:00:58: Hallo Holger.

00:00:59: An dieser Stelle nochmal ein frohes Neues.

00:01:01: Ich habe gelernt, dass man das eigentlich nur bis zum Sechsten Ersten sagen darf und danach nicht mehr.

00:01:05: Aber wir haben ja heute zumindest beim Einspielen den Sechsten Ersten.

00:01:08: Wenn ihr es hört, das ist der neunte Erste, aber ihr mögt das verzeihen.

00:01:10: Also frohes Neues.

00:01:12: Schön, dass ihr dabei seid und uns zuhört.

00:01:15: Und wir haben uns ein viele Themen, viele spannende Themen fürs neue Jahr vorgenommen.

00:01:21: Wir haben auch schon eine lange Liste von Gästen, aber schmeißt uns gerne mal ein paar Gäste zu.

00:01:26: Also jetzt nicht Gäste, Gästeideen zu, die ihr auch habt.

00:01:31: Da sind wir sehr offen zu.

00:01:32: Und unser heutiges Thema ist eins, das wir auch schon lange auf der Agenda haben.

00:01:36: Wir möchten uns heute mal beschäftigen mit Prorenzik.

00:01:39: Da haben wir alle so ein CIS-Bild, glaube ich, im Kopf.

00:01:45: Du weißt CSI.

00:01:46: CSI, ja, CSI.

00:01:49: Genau.

00:01:50: Und wollen aber mal so ein bisschen in den tieferen Bereich reingehen und auch so ein bisschen uns anschauen, wie es denn aussieht mit Forensik und Datenschutz.

00:01:59: Und dafür haben wir uns eine sehr qualifizierte Gästin eingeladen.

00:02:05: Ganz herzlich willkommen, Johanna Langrecht.

00:02:07: Hallo Johanna, schön, dass du da bist.

00:02:09: Moin zusammen und danke, dass ich dabei sein kann.

00:02:11: Da im Moin entnehme ich, dass du auch aus einem Bundesland kommst, wo gerade kein Feiertag ist.

00:02:16: Das ist tatsächlich absolut korrekt aus Hamburg.

00:02:19: Das dachte ich mir.

00:02:21: Genau.

00:02:22: Ich habe, wie immer, das Privileg, unser Gast vorzustellen.

00:02:26: Du bist Director IT Forensics und Prokuristin der Intersoft Consulting Services AG.

00:02:35: Dass die gehört zur Intersoft, was ja ein ziemlich bekanntes Datenschutzhaus ist und ziemlich großes Datenschutzhaus und du leitest dort den Bereich Forensik.

00:02:45: Du hast interessanterweise zwei Ausbildungen gemacht, die sich nicht unbedingt so im normalen Leben häufig kombinieren.

00:02:53: Würde ich mal vorstellen.

00:02:55: Du bist nämlich Master of Engineering.

00:03:00: Engineering, also Ingenieurs, Meister und bist aber auch, hast aber auch ein Master in deutschsprachigen Literaturen und hast danach noch eine lange Liste von Zertifizierung Vorfallexpertin vom BSE, Cyber Security Experten, CSE, GIAC, Battlefield Forensics and Acquisition, sehr faszinierend, Certified Forensics Examiner.

00:03:27: Ich nehme an, du hast zuerst Deutschsprachige Literatur studiert und bist dann in den anderen Bereich bekommen.

00:03:34: Wie kommt man auf die Idee, da zu wechseln, weil das ist ja schon ziemlich harter Wende im Lebenslauf.

00:03:42: Ja, das stimmt.

00:03:42: Also das Germanistikstudium war vor dem Ingenieurstudium ja so ganz grob zusammengefasst.

00:03:50: Ich habe lange überlegt, was ich machen möchte.

00:03:53: nach einem kurzen Ausflug zur Polizei mittleren Dienst in Hamburg.

00:03:57: Habe ich dann mich nochmal neu umorientiert, ja aufgrund verschiedener Geschehnisse.

00:04:03: Und hab dann gesagt, okay, ich mach jetzt etwas total naheliegendes und studiere im Bachelor Germanistik.

00:04:08: Tatsächlich ursprünglich mit dem Ziel, Sportjournalismus und Sportmoderation zu machen und vielleicht irgendwann mal Bundesliga zu moderieren.

00:04:15: Da ist es nichts geworden.

00:04:17: Ich hab aber dann dennoch auch noch den Master gemacht, um zumindest dieses Feld komplett abzuschließen.

00:04:22: Und hab dann im Master jemanden kennengelernt aus dem Bereich Artiforense.

00:04:26: Und es hat fünf Minuten gedauert.

00:04:28: Und ich war so angefixt und wusste, Das ist das, was ich immer für mich gesucht habe.

00:04:33: Mein Vater hatte ein System aus in Hamburg.

00:04:35: Ich hatte so einen gewissen IT-Bezug und dann habe ich gesagt, okay, ich mache das.

00:04:38: Ich mache den Quereinstieg und habe dann den Master in IT Security hinterher studiert, damit ich auch noch etwas fachspezifisch ist, quasi im Lebenslocher.

00:04:46: Gibt es denn noch den Master?

00:04:47: Kann man den noch studieren?

00:04:49: Den Master gibt es noch tatsächlich.

00:04:51: Ich habe im tiefsten Bayern studiert an der technischen Hochschule in Dengendorf und ist ein Ingenieurstudium sehr fachspezifisch, sehr praxisnah und halt so ein bisschen auf Fokus, kritische Infrastrukturen, Industrieanlagen und Automobil.

00:05:05: Deswegen, das war halt tatsächlich sehr, sehr cool.

00:05:07: Ich frage nur für Leute, die vielleicht gerade müssen auf Ideensuche sind, was das Studium angeht, wie lange dauert denn der Master vier Jahre?

00:05:13: Nee,

00:05:14: tatsächlich nicht.

00:05:15: Also ich hab den kompletten Berufsbegleiten gemacht.

00:05:17: Das waren zweieinhalb Jahre, also fünf Semester.

00:05:20: Ich hab parallel Vollzeit gearbeitet und dann halt parallel studiert.

00:05:23: Das letzte Semester ist nun die Masterarbeit und dann aber halt auch mit recht hohen Präsenzanteilen.

00:05:28: Also alle paar Wochen quasi runter nach Bayern getingelt, um dann die ganzen Gülbacher abzudehnen.

00:05:32: Guter.

00:05:33: Ja, wer mit dir reden wir gleich über Forensik.

00:05:36: Und bevor wir zur Forensik kommen, haben wir, wie immer an dieser Stelle,

00:05:42: das Bußgeld der Woche.

00:05:45: Unser Bußgeld der Woche.

00:05:47: Und es passt ein bisschen vielleicht nicht zu Forensik, aber schon zur IT-Sicherheit.

00:05:52: Ich habe ein Bußgeld aus Finnland mitgebracht.

00:05:57: Ich glaube, wir hatten auch kein finnisches Bußgeld.

00:05:59: Ich kann mich jedenfalls nicht erinnern.

00:06:01: Und getroffen hat das die Aktia Bank.

00:06:04: Und die Aktierbank hat ein Musketbescheid über immerhin achthundertsechzigtausend Euro bekommen und zwar wegen Menge der Datensicherheit im Dienst für starke elektronische Authentifizierung.

00:06:19: Was war passiert?

00:06:22: Es gab eine einstündige Störung und während dieser einstündigen Störung konnten einige Nutzer, etwa dreihundertfünfzig, mit ihrer aktieer Bankkennung in stark autentifizierungspflichte dienste sich einloggen unter bei daten anderer kunden.

00:06:41: teilweise war wohl auch die nutzung.

00:06:43: Von diesen diensten im namen anderer kunden möglich.

00:06:47: das ist natürlich glaube ich der absolute banken supergau.

00:06:51: Jetzt auch nicht wollen das andere leute auf mein kontakt gucken wollen unbedingt oder da gar noch vielleicht ein paar kaufen betroffen waren.

00:07:01: auch sehr, sehr sensible Dienste, E-Government-Dienste, Arbeitslosenkasse, Versicherungen, Gesundheitsdienstleister, nicht aber, und dann nehme ich das mit dem Konto wieder zurück, das eigentlich Online-Banking von Aktien heißt, also die haben da offensichtlich ein paar mehr Zugänge.

00:07:19: Und in diesen Diensten waren eben insbesondere aus sensibler Daten zur Gesundheit und zur finanziellen Situation verarbeitet, wie gesagt, waren da fünfzig Personen betroffen.

00:07:28: nach Angaben der Bank, aber das habe ich noch nie anders gehört, lagen keine Erkenntnisse über einen Missbrauch der offen gelegten Daten vor.

00:07:36: Das wäre das erste Mal das, was jemand öffentlich macht.

00:07:40: Aber vielleicht kann für Joanna vielleicht gleich was zu sagen.

00:07:42: Und die Datenschutzaufstätte fest, dass Aktia die technischen Änderungen im Identifizierungsdienst nicht zurückfertigt genug geplant, umgesetzt und getestet hat.

00:07:55: Und die Die Geldmousse ist ziemlich hoch für eine einständige Geschichte, wo auch noch relativ wenig Personen betroffen waren.

00:08:05: Zugunsten von Aktien wurde berücksichtigt, dass das Unternehmen schnell reagiert hat, unverzüglich Korrekturmaßnahmen, Ergriff, wodurch Schäden begrenzt wurden.

00:08:17: Johne, du kennst wahrscheinlich vergleichbare Vorfälle.

00:08:23: Ja, du hast ein bisschen gelächelt, als ich gesagt habe, dass noch nie irgendwo jemand Erkenntnis über einen Missbrauch der offengelegten Daten hatte.

00:08:29: Das habe ich zumindest noch nie gehört.

00:08:30: Kennst du das, dass jemand das so freiwillig zugegeben hat, dass er irgendwie alle Spargel weit die Server aufnachte und dann zugegeben hat?

00:08:38: Ist jetzt ganz viel abgeflossen oder so was?

00:08:41: Tatsächlich schon.

00:08:43: Also es sind nicht viele.

00:08:45: Also die Mehrheit macht genau das, was auch hier passiert ist.

00:08:48: Man muss aber auch sagen, eine Stunde ist super kurz vom Zugriffsteidraum.

00:08:52: Das heißt, Die Wahrscheinlichkeit ist relativ hoch, dass da tatsächlich in dem Zeitraum nichts abgeflossen ist.

00:08:57: Wir haben aber auch durchaus Fälle, wo das so spät auffällt, dass wir von Lücken sprechen, die seit Monaten bestehen.

00:09:05: Und wir das dann rekapitulierend analysieren und dann teilweise sehen Zugriffe bestehen seit über vier Monaten.

00:09:10: Und es ist teilweise gar nicht mehr vollständig rekonstruierbar, ob Daten in diesem Zeitraum abgeflossen sind.

00:09:16: Und dann wird sich recht häufig dafür entschieden, einfach zu sagen... Wir konnten keinen Abschluss feststellen, weil der Fachstoff von der technischen Datenlage nicht mehr feststellbar gewesen wäre.

00:09:27: Das haben wir, glaube ich, auch schon ein paar Mal gehört.

00:09:30: Da haben wir das nicht feststellen, weil wir unsere Aufzeichnungen nur in den letzten zwei Minuten sind oder so.

00:09:36: Ja, häufig wird dann übrigens der Datenschutz vorgeschoben als Argument.

00:09:40: Wir dürfen ja gar nicht so lange locken oder die Lockfalls gar nicht so lange aufbewahren.

00:09:44: Sorry, können wir was von einem halben Jahr passiert ist, leider nicht mehr rekonstruieren, so ist es eben.

00:09:50: Und dann muss man uns einfach glauben, naja.

00:09:52: Ja, das würde ich vielleicht sogar noch glauben, aber... Von Holger Bauchgefühl nach Hundertfünfzig, übrigens Hundertfünfzig, da darf ich uns auch mal gratulieren, Hundertfünfzig, Folgen, Hundertfünfundachtzig, tausend, das ist nicht wenig, finde ich.

00:10:07: Du meinst, acht?

00:10:07: Hundertfünfzig, glaube ich auch.

00:10:12: Ja, da habe ich überhaupt kein Bauchgefühl, ehrlich gesagt.

00:10:14: Weil da kenne ich ja, wir haben ja immer das Problem, dass wir meistens den Umsatz der Unternehmen nicht kennen.

00:10:19: Da wird es ja auch viel schwer rauszukriegen sein, wie tatsächlich der weltweit Konzernumsatz ist.

00:10:23: Ich weiß ja nicht, was da noch alles dran hängt an dieser Bank.

00:10:26: Weshalb es auch eine weltweit aktive Bank.

00:10:30: kann ja sein, dass es ein riesen Laden ist.

00:10:32: Und dann ist es vielleicht gar nicht so viel.

00:10:33: Aber wie Joanna gesagt hat, eine Stunde, ja.

00:10:39: ist jetzt nicht die Welt.

00:10:42: Kann es sein, dass da berühstigt wurde, dass es wirklich zu den, also auch nach EU-recht, ureigendsten Security-Geschichten bei der Bank gehört, dass man eine starke Authentifizierung absolut gut implementiert und gut absichert.

00:10:59: Und das ist ja wirklich eine... eine Grundlage der technisch organisatorischen Maßnahmen von Banken, die einfach sitzen muss.

00:11:05: Und wenn da Fehler passieren, kann das sein, dass das irgendwie, dass es da eine besondere Schwere der Schuld gibt oder wie auch immer man das nennen mag, keine Ahnung.

00:11:15: Ja, also Authentipation ist generell superwichtig, aber wenn wir in einem so sensiblen Bereich unterwegs sind und es geht um Finanzdaten, dann ist es doch... eklatant relevant, wenn es dort zu Lücken kommt, auch wenn es wirklich nur über sechzig Minuten sind.

00:11:31: Von daher, ich finde es jetzt auch von dem, was ich so aus der Praxis mitkriege, von Bußgeldern recht hoch, gehört auf jeden Fall zum oberen Drittel.

00:11:41: Aber ich muss sagen, ich finde es auch vom Bauchgefühl fast schon angemessen, aufgrund der Schwere, der Lücke dabei.

00:11:50: Aufgrund erheblicher Verbigkeit.

00:11:54: Naja, wenn da noch ein paar andere Sachen dran hängen an dieser Authentifizierung, gesteht da noch irgendwas drin von in der Passermeldung, durch die ich hatte, irgendwas drin von Gesundheitsdienstleistern und so, dann wird es natürlich schnell richtig auch guselig.

00:12:07: Ja, dann kommen wir erstens in den Artikel neun Datenbereich, aber da wird man ja wahrscheinlich so reinkommen, wenn es auch wenn es zu Finanzdaten geht, könnte ich mir vorstellen.

00:12:14: Aber dann ist ja, Journal, ich weiß nicht, ob ich euch damit auch beschäftige, ich meine hier spielt ihr nicht nur, spielt ihr nicht nur Artikel... Zweiunddreißig, nämlich also die normalen technisch-organisatorischen Maßnahmen eine Rolle, sondern es gibt ja im Finanzwesen, gibt es ja noch besondere Authentifizierungssicherungsmaßnahmen.

00:12:31: Ich glaube in der PSD-Zwei, ich weiß nicht, ob die Zwei-tausend-zwei-dreinzwanzig müsste die auch schon gültig gewesen sein.

00:12:37: Also da ist ja sehr genau beschrieben, wie eine Authentifizierung abzulaufen hat bei Banken und Versicherungswesen.

00:12:43: Korrigiert mich, aber Finland ist, glaube ich, keine Jungmitglieder.

00:12:46: Ach so,

00:12:47: da hast du natürlich recht.

00:12:49: Also ich finde, die haben DSGVO an diesem EWR.

00:12:52: Ja, es kann sein, dass die dann überhaupt nicht der PSD-II unterfallen.

00:12:55: Das könnte sein.

00:12:56: Das weiß ich nicht, aber... Gut, da brauchen wir es doch an, genau, weil... Und

00:13:00: die Feinheiten des finnischen, der finnischen, äh, Komplex-Regulierung sollten hier nicht unser Thema sein.

00:13:07: Denn, oh, das sind tolle Wagen.

00:13:08: Denn unser Thema ist Datenschutz und Forensik.

00:13:11: Das habe ich toll, toll hinbekommen.

00:13:14: Und würde erst mal so von dir ganz allgemein wissen wollen, du hast gesagt, du bist die digitale Spusi.

00:13:22: Können wir uns das vorstellen wie in CSI, wobei ich das nicht gucke, aber so irgendwie ihr jagt die Gangster über diverse Kontinente nur halt online und nicht in irgendwelchen Zugzeugen.

00:13:38: Es ist tatsächlich... gar nicht so weit weg von der klassischen Spurensicherung.

00:13:44: Also das, was uns ein bisschen zusammenbringt, ist, dass es immer eine Art Hard-Ort gibt, der in irgendeiner Weise zu abgesperrt werden muss und es gibt hinterlassende Spuren von den Tätern und unsere Aufgabe ist, entsprechend diese Spuren zu sichern und auszuwerten und dann am Ende in der Regel auch noch ein Gutachten darüber zu erstellen, was konkret passiert ist.

00:14:05: Es ist halt nur, dass es vollständig im digitalen Raum... stattfindet.

00:14:08: Das heißt, auf irgendwelchen Art von IT-System, sei es Laptops, sei es PCs, sei es Smartphones, sei es Server-Landschaften, ganze IT-Infrastrukturen.

00:14:19: Und da findet es im Prinzip statt.

00:14:21: Und unsere Aufgabe ist es, dafür zu sorgen, dass wir die Spuren identifizieren, die relevant sind zur Aufklärung des Sachverhalts, die Spuren entsprechend gerichtsfest mitunter sichern, je nach Sachverhalt und dann natürlich auf eine neutrale Auswertung dieser Spuren sorgen.

00:14:37: Der Begriff Spusi, den kenne ich ja vor allem aus dem Tatort, ehrlich gesagt, also Spurensicherung.

00:14:42: Das ist ja ein Begriff, der aus der Welt der Polizei kommt.

00:14:46: Jetzt nur nebenbei die grundsätzliche Frage.

00:14:50: Euch rufen ja Unternehmen.

00:14:53: Also erstens natürlich auch präventiv, um sich vorzubereiten, auf einen eventuellen Vorfall, im Zwecks Beratung von euch, aber auch wenn ein Vorfall passiert, dann habt ihr auch so eine vierundzwanzigstunden Sieben-Hotline irgendwie, wo man anrufen kann und Hilfe, bei uns ist, wurden Daten abgezogen, kommt bitte sofort so, so stell ich mir das vor, rufen die dann an.

00:15:13: Aber was ich mich halt frage ist, warum rufen die dann nicht die Polizei?

00:15:18: Oder rufen die die Polizei und euch?

00:15:20: Und oder euch?

00:15:21: oder wie?

00:15:23: In der Regel werden beide Parteien angerufen, mal die eine zuerst, mal die andere.

00:15:29: Das ist immer so ein bisschen auch, ja, je nach Erfahrung und Präferenz abhängig tatsächlich und auch, wenn man so ein bisschen beratend hat.

00:15:37: Jeder hat schon mal so ein bisschen Erfahrung mit Sicherheitsvorfällen aus dem Umfeld.

00:15:40: Manche sagen, rufe sofort das LKA an, mache Anzeige.

00:15:43: Manche sagen, such dir erstmal einen externen Dienstleister.

00:15:45: Aber man muss sagen, das eine schließt das andere nicht aus.

00:15:48: Wir haben nur mit Ermittlungsbehörden nicht immer das gleiche Ziel, würde ich sagen, weil das klar ist, sind der Strafverfolgung zugeordnet.

00:15:57: Das heißt, deren Ambition ist am Ende natürlich irgendwo die Überführung eines Täters oder auch einer Tätergruppe, sei es national oder dann auch wirklich bei großen internationalen Gruppen auch international.

00:16:09: Und unsere Aufgabe ist es letztendlich im Sinne des Unternehmens dafür zu sorgen, dass der Fall aufgeklärt wird.

00:16:15: Und bei schwerwiegenden Fällen natürlich, dass das Unternehmen die Geschäftsprozesse wiederherstellen kann.

00:16:19: Das heißt, dass

00:16:21: Ziel

00:16:22: der Untersuchung und der Ermittlung ist nicht unbedingt immer gleich, aber aus meiner Perspektive ist es super sinnvoll, beides zu machen, weil auch die Ermittlungsbehörden, man kriegt einen Aktienzeichen, man kriegt gute Beteuerung, man kriegt auch durchaus technische Expertise an die Hand.

00:16:39: Es ist aber dann doch nicht vergleichbar mit einem kompletten IT-Forensik-Team, was wirklich dann auch durchaus mal die Spuren auf links dreht.

00:16:47: Und auch dann doch noch mal mit einem Stück weit anderen Equipment auch vor Ort tätig werden kann, als das LKAS tut.

00:16:53: Aber es ergänzt sich aus meiner Sicht bei der Ritik.

00:16:57: Ja, es ist eigentlich logisch ein bisschen anders.

00:16:59: Das ist natürlich, wird das Interesse schon aussehen, die Unternehmen zu unterstützen, aber sie haben ja natürlich Quar-Aufgabe, eher die Täter-Erfassung im Auge, wobei das wahrscheinlich auch nicht so häufig gelingt, könnte ich mir vorstellen.

00:17:11: Johanna, wie ist denn die Lage an der Mail Wear, Rensome Wear und ähnliche Schadstoffe, Bront gerade?

00:17:21: Du bist ja Battlefield gestellt, wie wir aus deiner Vorstellung gelernt haben, wie sie nach wie vor wahrscheinlich nachdem, was ich zumindest höre, korrigiere mich, Rensome Wear große Gefahr und um die Präsenz.

00:17:38: Ja, also auch im Anbetracht der Tatsache, dass wir heute den wegsten Ersten haben, kann man auf jeden Fall sagen, dass auch wir jetzt gerade noch sehr, sehr viel zu tun haben, so mit den Ausläufern von der Vorweihnachtszeit und auch der Weihnachtszeit, weil man auf jeden Fall festhalten kann, dass über Feiertage und in der Zeit kurz davor und danach die Andriffsquote exorbitant hoch ist, also sie ist das ganze Jahr.

00:18:03: über hoch, aber gerade über Feiertagen, wo IT-Abteilungen weniger stark besetzt sind, wo Angriffe später auffallen, ist es durchaus aus Angreifersicht gar nicht so blöd, da auch einen gewissen Arbeitsfokus drauf zu setzen und dann ja vorher ins Netz einzudringen und dann die Feiertage zu nutzen, um Daten zu exfiltrieren und noch größeren Schaden anzurichten.

00:18:22: Das heißt, auch unsere Pognose ist da halt leider, dass das eher zu als abnehmen wird und das ist auch auf jeden Fall, was wir so die letzten Jahre übersehen.

00:18:32: auch Wenzem were immer noch nach wie vor auf Platz eins auf was mögliche Schäden angeht.

00:18:38: Wir haben so ungefähr hundert plus Sicherheitsvorfall im Jahr und davon sind wirklich behaupten mindestens sechzig, siebzig Wenzem were Angriffe auf Unternehmen.

00:18:49: Also ich

00:18:49: die siebzehntes

00:18:50: schon heißt er ja.

00:18:51: Er war eine etwas kätzlerische Frage dazu.

00:18:55: Sind das meiste auch in der Erinnerung, dass wir auch mal einen Wenzem were angefangen sind, dass Fälle, wo die Unternehmen eher Fehler gemacht haben, dass es dazu kommen kann?

00:19:08: Oder ist es halt entweder so ein Shit Happens Ding oder ist es technisch gar nicht ohne weiteres hundertprozentig möglich, das zu verhindern?

00:19:17: Also vielleicht die letzte Frage zuerst.

00:19:20: Es ist nicht zu hundertprozent möglich, einen Angriff zu verhindern.

00:19:25: Also selbst wenn ich mich technisch extrem gut aufstelle, dann gibt es vielleicht doch in B. intern mal irgendwie ein Problem kompromittierter USB-Stick und es wird nicht geblockt.

00:19:35: Also, ich würde immer sagen, eine hundertprozentige Sicherheit kann man nicht haben, ohne nicht vollständig, ja, arbeitsunfähig sich zu machen, weil man ja immer noch, dass die Geschäftsprozesse funktionieren und dass die Mitarbeitenden arbeiten können.

00:19:49: Und die Mitte liegt irgendwo so ein bisschen dazwischen.

00:19:54: Das heißt, ja, wir sehen alles mögliche.

00:19:57: Wir sehen das Ausnutzen von technischen Schwachstellen.

00:20:00: Da kann man natürlich durchaus sagen, warum wurde dann nicht das Update eingespielt?

00:20:04: Warum wurden die Systeme nicht gepatched?

00:20:05: Das ist durchaus natürlich auch ein menschlicher Verantwortung.

00:20:07: Das machen wir uns nichts vor, dem ist so.

00:20:10: Wir sehen aber auch Fehlkonfigurationen, software-seitige Fehler.

00:20:15: Wir sehen vergessene veraltete Systeme.

00:20:19: durchaus schwierig, weil das auch ein Stück weit im menschliche Hand liegt.

00:20:22: Und dann muss man aber auch sagen, jedes Stück Software, was ich im Einsatz habe, ist grundsätzlich anfällig, dafür Schwachstellen aufzuweisen.

00:20:29: Manchmal weiß ich von diesen Schwachstellen bereits, dann kann ich sie schließen.

00:20:32: Manchmal weiß ich aber auch noch gar nicht, dass es die gibt, Punkt zero, der exploit.

00:20:36: Und wir sehen gar nicht wenig Angriffe, die auch darauf zurückzuführen sind oder gerade Firewall Schwachstellen, wo der Hersteller den Patch noch nicht bereitgestellt hat oder ich als Unternehmen zu langsam war mit dem Patch, weil ich die Mail und nicht bekommen habe.

00:20:49: Das heißt, es ist so ein bunter Mix tatsächlich.

00:20:53: Ich weiß nicht, ob du jetzt dazu was sagen darf, aber das würde mich jetzt mal interessieren.

00:20:58: Wenn jetzt zum Beispiel, du sagst ja, mehr als fünfzig Prozent Ransom wären Angriffe, die von den Vorfällen, die ihr so über die übers Jahr bearbeitet.

00:21:10: Und wieviel Prozent der Fällen kommt dann in die, das von Seiten des Unternehmens ernsthaften betracht, die er die geforderte Erpressung damit zu bezahlen, sprich.

00:21:22: ist es nicht möglich irgendwie auf dem Backup zuzugreifen und eventuell den Laden wieder geschätzfähig zu machen und die Daten wiederherzustellen, ohne zu zahlen.

00:21:32: Das scheint mir immer das Hauptproblem.

00:21:34: Das ist auch das, was ich von Seiten von anderen Security-Leuten immer höre.

00:21:38: Das Hauptproblem ist nicht, also natürlich gibt es diese hundertprozentige Sicherheit nicht, aber das Hauptproblem liegt darin, dass die Sicherungssysteme eben nicht richtig funktionieren oder nicht richtig implementiert sind.

00:21:48: Und zu wie viel Prozent der Fälle ist das bei euch der Fall, dass ihr tatsächlich nicht in der Lage seid, die Geschäftsprozesse soweit wiederherzustellen, dass man nicht darauf angewiesen ist, irgendwie zu bezahlen?

00:22:01: Ja, es ist halt leider ein größerer Teil, als man das vielleicht so denken mag, weil die wenigsten Unternehmen bekennen sich A. zu Vorfällen und bekennen sich dann auch B. zu getätigtenlöse Geldzahlungen oder auch zur Verhandlungsführung als solche.

00:22:16: Man muss aber sagen, dass Wir regelmäßig auch durchaus viele Lösegeldverhandlungen führen.

00:22:23: Das heißt, so ein gutes Drittel, vielleicht auch mehr, sind es durchaus, die zumindest in die Verhandlungen gehen.

00:22:33: Es zahlen dann nicht immer alle, weil es gibt auch durchaus den Grund, in eine Verhandlung zu gehen, um Informationen zu gewinnen oder um die Veröffentlichung der Daten nach hinten zu schieben, wenn ich mich kommunikativ noch nicht ready aufgestellt habe.

00:22:45: Aber es gibt halt auch eine... Einen recht hohen prozentualen Anteil von Unternehmen, die in einer Lage sind, wo Backups nicht vorhanden sind, Backups vielleicht nie vorhanden waren oder Backups zwar da sind, aber nicht funktionstüchtig, die gelöscht wurden, die einen viel zu alten Stand haben, wo dann Unternehmen durchaus einfach auch eine betriebswirtschaftliche Entscheidung treffen müssen.

00:23:10: Zahlliche Entlösegeld und bin dann vielleicht in wenigen Wochen wieder einigermaßen normal zustand.

00:23:17: Oder schaffe ich es aus der Krise nicht heraus?

00:23:20: Ich weiß von der Polizei, wenn sie das nicht öffentlich sagen würden, dass sie geliehen, kann ich wohl auch durchaus empfehlen, zu zahlen.

00:23:27: Das glaube ich, von denen ich unbedingt öffentlich hören.

00:23:33: Weil

00:23:33: wenn

00:23:34: du Unternehmen kennst, die bezahlt haben, ist jetzt völlig abstrakt wird von irgendwelchen Fällen.

00:23:42: Hatten die dann immer Glück also oder hatten sie dann Glück um Unglück?

00:23:45: also wurde es dann auch immer freigeschaltet?

00:23:47: oder gibt es auch diese.

00:23:49: Artenfette wo man das lose Geld zahlt aber dann trotzdem die Daten nicht zurückbekommt oder beziehungsweise das nicht entschlüsselt wird.

00:23:56: Man muss sagen das ist wirklich eine Annahme die auch immer noch stark frequentiert ist das.

00:24:03: Ja, es sind ja Erpressers und Kriminelle.

00:24:05: Warum sollte ich den Glauben schenken, dass wenn ich das löse Geld zahle, ich das bekomme, was ein bisschen das Werbeversprechen dahinter ist?

00:24:11: Man muss aber sagen, dass das gesamte Geschäftsmodell dieser kriminellen Gruppen auf Reputationen basiert.

00:24:18: Auch dort gibt es eine Art Bewertungsportale, grob vergleichbar mit Konumo.

00:24:24: wie gut der Service dahinter ist, wie schnell die Antwortzeiten sind, wie die Verhandlungsbereitschaft ist.

00:24:31: Und eine Gruppe kann sich das nicht leisten, sich nicht daran zu halten, weil dann zahlt keiner mehr.

00:24:36: Und in dem Moment ist das Geschäftsmodell quasi zerbrochen.

00:24:41: Das heißt, selbst wenn es mal zu, und es kommt häufig vor, zu technischen Schwierigkeiten geht, man kriegt den Entschlüsselungskiel und es passt nicht.

00:24:49: So kann man sich das ein bisschen vorstellen, man hat einen Schloss und man steckt den Schlüssel rein und irgendwie hakt es ein bisschen und ich krieg es nicht vollkommen geöffnet.

00:24:57: Dann stehen die tatsächlich noch zur Verfügung.

00:25:00: Man hat so eine Art Sport Chat, noch weiter ein offen Hermsinn des Troubleshootings, um halt einfach die Hilfe zu erhalten, auch wenn das jetzt gerade super perfide klingt, aber die Hilfe dann zu erhalten und die Unterstützung, die man ja letztendlich auch eingekauft hat, also den gesamten Service.

00:25:15: Und man muss sagen in all den Fällen, die wir hatten, Wo wir das begleitet haben, gab es keinen einzigen, der nicht funktioniert hat, wo wir nicht am Ende genau das bekommen haben, dass die Daten wurden nicht veröffentlicht.

00:25:28: Wir verbeugen das immer noch dreivasejahrelang nach, um sicher zu sein, dass wir dieses Versprechen haben und auch kein Fall, wo jemand von der gleichen Gruppe ein zweites Mal angegriffen wurde und auch nicht, dass wir mit einem nicht funktionierenden Schlüsselungskey allein gelassen wurden.

00:25:45: Bevor wir zu anderen Fällen kommen, das habe ich jetzt, das ist doch noch, du hast gesagt, ihr verfolgt das nach.

00:25:50: Das heißt ihr bewegt euch dann auch in irgendwelchen Darknetforen und schaut euch die Leaks an, die da so stattfinden und guckt, ob da eventuell Daten von einem eurer Kunden betroffen sein könnten und der wird dann auch informiert oder ihr sorgt dann auch für eine eventuelle Entfernung oder sowas.

00:26:09: Genau, also für eine Entfernung zu sorgen ist durchaus nicht trivial.

00:26:13: Da würden wir dann auch wieder mit den Ermittlungsbehörden in Kontakt treten, aber letztendlich haben wir ein recht strenges Monitoring, was das alles angeht, so wie du gesagt hast über Leaks, über negative Erwähnungen.

00:26:26: Durch das Enforen mit dabei, wir bespielen verschiedene Marketplaces, verschiedene Datenbanken, wo wir wirklich gucken, kommt es zu Erwähnungen, weil wir wissen in der Regel ja recht genau, entweder durch unsere Untersuchung oder durch die Verhandlung, welche Daten abgeflossen sind und prüfen dann natürlich recht genau nach diesen Datasets, finden wir die irgendwo, finden wir Daten, die mit dem Unternehmensnamen, mit der Webseite korrelieren, mit dem E-Mail-Adress-Schema oder ähnlichem.

00:26:54: Ja, und bauen uns so eine Art Monitoring System, was uns dann auch benachrichtigt, wenn es zu einem Finding kam.

00:27:00: Und wir dann prüfen, okay, hat das mit dem Data-Bridge von damals zu tun, mit dem ransomware-Angriff, oder ist das etwas neu bekannt geworden ist, um es auch so ein bisschen mit einem Sachverhalt korrelieren zu können.

00:27:12: Mhm.

00:27:12: Ah, schon jung.

00:27:17: Geht's gleich weiter.

00:27:18: Ähm,

00:27:19: ja, irgendwie durfte ich aber mit dem Finderber-Vorgesprecher, da hast du einiges erzählt von Verhandlern.

00:27:26: die man da hat und die auch dafür ausgebildet sind.

00:27:30: Kannst du mal erzählen, wieso Verhandlungen stattfinden?

00:27:34: Also ist das irgendwie, ne, per Telefon sicherlich nicht, ist das noch einmal ein Chat?

00:27:41: oder reden die miteinander, machen die Videokonferenzen?

00:27:44: Gibt es geheime Briefkästen, in die man irgendwas schmeißt oder so?

00:27:50: Ja, manchmal wäre es wahrscheinlich sogar über ein Videokonferenztool.

00:27:56: etwas einfacher und schneller im Prozedere.

00:27:59: Aber es ist tatsächlich aufgrund der gewarten Anonymität, zumindest von einer Seite aus, in der Regel so, dass man über einen Chatportal... verhandelt.

00:28:11: Es gibt auch durchaus E-Mail-Wege mit so einem Backwerk-E-Mail-Adresse und ähnliches, gar auch durchaus mal SMS, aber mittlerweile durchgesetzt, gerade bei den professionellisierten Brentz-Fimmel-Gruppen haben sich eigens gehostete Chat-Portale.

00:28:23: Das heißt, man kann sich das so vorstellen, dass die Gruppen im Erpresser-Brief quasi schon zwei Webseiten hinterlegen, auf die man dann klicken kann im Darknet, also über den Torbrowser, das ist auch bis dahin alles auf völlig legitimem Grund, das kann man machen.

00:28:40: Und dann hat man einmal die Homepage der Rensenberg-Gruppen, wo alle Leaks aufgeführt werden, welche Unternehmen wurden kompromittiert, wo sind Verhandlungen geplatzt, wo werden Daten veröffentlicht, was sind das für Daten?

00:28:50: Und dann gibt es den zweiten Nicht-Public-Space, das ist im Prinzip ein Chatroom, der durch die Gruppe gehostet wird, wo die sich auch nicht lumpen lassen, was das Design angeht.

00:29:03: Also es ist so ein bisschen ... körperdesignmäßig und ja, auf jeden Fall hat man sich da Mühe gegeben.

00:29:10: Da authentifiziert man sich.

00:29:11: Das heißt, man kriegt einmal eine Benutzer-ID und ein entsprechendes Passwort.

00:29:15: Das liegt daran, dass die Gruppe auch zuordnen muss, mit welchem Unternehmen sie verhandeln, damit ich nicht dann in die Verhandlung von einem anderen Unternehmen rein platze und andersrum.

00:29:25: Und dann läuft es vollständig anonym ab.

00:29:28: Das heißt, man gibt sich in der Verhandlung als Teil des betroffenen Unternehmens zu erkennen.

00:29:32: Man muss keine Namen nennen oder ähnliches.

00:29:35: Und in der Regel heißen auch die Parteien einfach nur Atmen und User oder Mi und Ju oder Support und ähnliches.

00:29:45: Und dann ist es in der Regel so, dass man erst mal ein wenig ins Gespräch kommen muss, bis man die geforderte Lösegeldsumme erhält.

00:29:53: Früher war es immer recht pauschal, einfach so grob.

00:29:55: Wir haben eben US-Dollar in Bitcoin umgerechnet.

00:30:00: Jetzt bemisst sich das schon stark an der Unternehmensgröße am Jahresumsatz des Vorjahres.

00:30:04: Es ist ein Kreditreform aus Zügel gezogen und ähnliches.

00:30:07: Das heißt, auch die Finanzabteilung macht sich dort so ein bisschen zur Aufgabe, eine Lösegeldsumme zu wählen, die realistisch ist und die sich auch in einem zahlbaren Rahmen befindet.

00:30:18: Und dann geht man so ein bisschen in den Diskurs, was spricht für die Summe, was spricht gegen die Summe und zeigt uns erst mal, dass sie in der Lage sind zu entschlüsseln.

00:30:26: Dann schickt man Testdateien, woüber die entschlüsselt werden.

00:30:29: Dann möchte man auch den Nachweis des Daten abgeflossen sind.

00:30:32: Dann kriegt man eine Dateienübersicht an abgeflossenen Daten, damit man auch weiß, was kriege ich denn potenziell fürs Geld.

00:30:39: Und dann geht es quasi immer hin und her und dann mit dem Ziel, dann die Summe natürlich zu reduzieren.

00:30:45: In welcher Währung wird denn hauptsächlich bezahlt inzwischen?

00:30:48: das wechselt ja immer so ein bisschen.

00:30:49: also weil du jetzt gerade von bitcoin geredet hast bitcoin ist glaube ich nicht mehr state of the art oder inzwischen

00:30:54: tatsächlich.

00:30:57: Weil wir jetzt auch gerade recht aktuell noch halt vom den nachweihnachtsgeschäft einiges haben ist immer noch bitcoin auf eins auch häufig so ja tatsächlich schon in vielen anderen bereiten gar nicht mehr so.

00:31:10: den status hat also ein bisschen die anonymität mittlerweile ja answeifelbar ist.

00:31:15: Es gab auch durchaus Fälle, wo in Monero gezahlt werden konnte oder in Bitcoin.

00:31:20: Aber das ist durchaus immer noch das einfachste.

00:31:22: Man muss auch sagen, es ist gar nicht so unglaublich trivial, ein Lösegeld zu zahlen.

00:31:28: Das wird immer unterschätzt.

00:31:29: Viele denken, die Verhandlung ist der intensivste und schwierigste Part mitunter durch die Regulatorik und Geldwäscheprüfung und New York-Customer-Prozess und ähnliches in dem ganzen Krypto-Universum.

00:31:41: Dauer, dass seine Zeit, bis man das Geld in der Wallet hat und dann die Zahlung tätigen kann.

00:31:48: Und das wissen die Angreifer auch.

00:31:49: Die bringen dann entsprechend mehr Geduld mit.

00:31:51: Aber tatsächlich immer noch fast, ich würde sagen, zu über neunzig Prozent im Bitcoin.

00:31:59: Ja, die Angreifer, Geduld, okay, gut und schön.

00:32:02: Aber ich meine, das Unternehmen hat verstoßelte Daten und hat die Geschäftsprozesse gestoppt.

00:32:07: Wahrscheinlich ist da die... Die die zeit das geld was was was verloren geht.

00:32:13: Das heißt ihr werdet wahrscheinlich schon irgendwie angehalten sein dann möglichst schnell zu arbeiten und wirklich schnell irgendwie das geld dann auch rüber zu schieben.

00:32:20: Ja da gibt es wahrscheinlich auch entsprechende services inzwischen.

00:32:23: es gibt ja für alles irgendwie absfusen entsprechenden services ransomware.

00:32:29: Bitcoin möglichst schnell beschaffen weiter leiten gibt es natürlich auch irgendwelche spezialisierten einheiten ist es alles.

00:32:37: Ich finde das sehr crazy.

00:32:43: Wie ist denn in diesen Fällen die Zusammenarbeit mit den Datenschutzbehörden, die stelle ich mir vergleichsweise einfach vor, weil die wahrscheinlich auch wissen, was da passiert inzwischen, oder?

00:32:58: Ja, das stimmt auf jeden Fall.

00:33:00: Man muss sagen, die passt alle.

00:33:04: Sicherheitsvorfälle, die wir bearbeiten, sind in der Regel, gerade wenn wir von Wrenzenwehr sprechen, auch Datenschutzvorfälle.

00:33:11: Das heißt, wir sind halt sehr stark schon zu Beginn, weil wir meistens nicht in den ersten zwei Stunden involviert werden, sondern teilweise zwei, drei Tage später, dass wir schon mal direkt nachhalten, hey, habt ihr eine Meldung gemacht?

00:33:23: Was habt ihr denn da angegeben?

00:33:25: Und in der Regel funktioniert das sehr gut, dass sich an die Seventy Stunden gehalten wird, dass die Meldung gemacht wird.

00:33:33: In der Regel ist es tatsächlich sehr gut für in der Zusammenarbeit.

00:33:38: Die wissen genau, was das bedeutet, wenn man von einem Ransomware-Angriff, sprich, da kommen auch keine abstrusen Fragen, die man gar nicht beantworten kann in den ersten fünf Tagen.

00:33:48: Das heißt, in der Regel kommt die Erstmeldung, da wird reingeschrieben, wir haben den Verdacht des Abflusspersonen bezogener Daten.

00:33:53: Aufgrund dem und dem, wir haben ein Ransomware-Angriff, wir setzen aber gerade alles in die Bewegung zur Aufklärung.

00:33:59: Wir haben IT-Forensik im Hintergrund.

00:34:03: Und wir geben entsprechend das Update, sobald wir mehr haben.

00:34:06: Und dann kommt weiß, dass das halt eine Frist besetzt wird.

00:34:08: Das darf doch man doch bitte noch mal in der Nachmeldung macht.

00:34:11: Und es passiert nicht selten, dass wir dann auch mal Teile unseres antiforensischen Berichts am Ende eines Cases erstellt wird.

00:34:17: Er Auszüge daraus nochmal mit schicken, damit er nochmal aus unserer Perspektive beleuchtet wurde.

00:34:23: Aber da wird nahezu nie quer geschossen, wo dann noch zusätzlich Steine in den Weg gelegt, weil auch der Behörde ist klar.

00:34:32: Das hat man sich nicht ausgesucht.

00:34:34: Und es ist für alle Beteiligten super hart und super schlimm.

00:34:37: Und man macht sich trotzdem die Mühe, sich in die Fristen zu halten, man meldet es und so weiter.

00:34:42: Und auch was die Betroffenen angeht, kümmert man sich darum.

00:34:46: Und dann ist das in der Regel auch in Ordnung und dann wird recht wenig nachgefragt.

00:34:51: Eine kurze ergänzende Frage, weil wir gerade bei Behörden sind, betreut ihr dann eigentlich nur Unternehmen oder wenden sich auch Behörden an euch?

00:34:59: Oder zum Beispiel, ich meine, was wir jetzt so vielfach erlebt haben, sind Institutionen aus dem Gesundheitswesen, zum Beispiel Krankenhäuser, die von ransomware Angriffen betroffen waren.

00:35:08: Betreut ihr sowas auch oder beschränkt sich das auch Unternehmen?

00:35:11: Nee, also öffentliche Institutionen betreuen wir durchaus auch, also gerade auch im Medizinsektor und Vergleichbares.

00:35:18: Das tun wir auch.

00:35:19: Wir arbeiten halt nicht direkt für den Staat.

00:35:23: Also wir werden jetzt nicht von der Staatsanwaltschaft angerufen und wir werden auch nicht von Ermittlungsbehörden wie ihre eigenen Cases mit reingezogen.

00:35:32: Ja, weil wir uns da auch relativ früh zählen.

00:35:34: Es gibt eine Möglichkeit in Ermittlungsfällen mitzuwirken als privater wirtschaftliches Unternehmen.

00:35:40: Das ist dann eher in dem Bereich.

00:35:42: von Auslättung, kinderpornografisches Material und ähnliches.

00:35:45: Da haben wir uns von Anfang an von distanziert.

00:35:48: Das heißt, wir arbeiten zusammen mit Ermittlungsböern regelmäßig und auch sehr gut zusammen, aber arbeiten halt nicht für sie.

00:35:54: Jetzt hast du erzählt, dass die Wrenzenberg-Attacken schon einen großen Teil eurer Arbeit wahrscheinlich ausmachen, also auf jeden Fall mehr als fünfzig Prozent.

00:36:01: Aber kannst du mal so einen kleinen Eindruck geben, was gibt es denn alles an Vorfällen, die bei euch landen, also was gemeldet wird?

00:36:10: Ich könnte mir vorstellen, Die Fälle, die wir hier auch alle schon kennen und gehört haben, zum Beispiel Mitarbeiter zieht Daten mit dem Stick ab oder sowas.

00:36:20: Das ist auch schon Engineering, Credential, Klauvorfälle und alles Mögliche.

00:36:25: Wie ist denn da so das Ranking von dem, wo ihr gerufen werdet, an Vorfällen?

00:36:31: Ja, man kann das recht gut zweiteilen, würde ich schon fast sagen.

00:36:34: Wir haben einmal wirklich diese ... Fast vergleichbar Feuerwehreinsätze, meistens Ransomware, wir sind viel vor Ort, klären das auf und ja mit einem recht breiten Skow, weil häufig gar nicht klar ist, was genau passiert ist und wo man jetzt den Fokus drauf liegt.

00:36:52: Und dann gibt es die andere Seite, wo man einen sehr klaren Anfangsverdacht hat oder häufig auch schon einem wirklich erhärteten Verdacht oder teilweise auch schon bestätigten Verdacht, den wir noch mal neutral auch bereiten sollen bis Gericht.

00:37:06: Post, genau wie du sagst, es kam zu einer Kündigung und jemand nimmt noch potenziell die ganze Kundendatenbank mit und zieht alles nochmal von seinem Laptop oder aus dem E-Mail-Postfach.

00:37:17: Aber wir haben auch Sachverhalte wie Arbeitszeitbetrug, Wirtschaftsfionage, Datendiebstahl, klar, durchaus auch mal Schadsoftereinfektion.

00:37:27: Aber das sind so ein bisschen die Analysen, die bei uns dann hier in den Laboren an Hamburg stattfinden.

00:37:32: die dann auch die Gerichtsverwertbarkeit natürlich als Anforderung mit sich bringen, weil das natürlich auch durch arbeitsrechtliche und mit unterstrafrechtliche Fälle sind, die eine gewisse Relevanz haben.

00:37:42: Und dann kriegen wir meistens die Endgeräte zugeschickt, sei es jetzt ein Laptop, was einen Mitarbeitender benutzt hat, um potenzielle Daten mitgehen zu lassen, bevor zur Konkurrenz abwandert oder sie.

00:37:55: Und dann gucken wir uns dieses Gerät komplett an und gucken halt, was gab es für Aktivitäten, in welchem Zeitraum.

00:38:00: Und das ist natürlich wichtig, dass man uns mit einem sehr konkreten Sachverhalt versorgt.

00:38:04: Also das wir jetzt nicht rückwirkend zehn Jahre auswerten, sondern wirklich, wo besteht dieser Verdacht, wie ist das aufgefallen, was für ein Zeitraum gucken wir uns an?

00:38:13: Weil es natürlich auch relativ viele Hindernisse gibt in der Auswertung von so einzigen Reden.

00:38:20: Das klassische vorhin sie geding man geht irgendwo hin und guckt was da im unternehmen passiert ist weil irgendjemand sich falsch verhalten hat irgendjemand von außen eingedrungen ist oder so.

00:38:31: Die machen einfach mal ein hypothetischen fall wir haben einen whistleblower und der hat nach außen gemeldet.

00:38:42: Dass jemand aus dem unternehmen der fahrungsleiter ist oder so sensibel geschäftsgeheimnisse an die konkurrenz verkauft.

00:38:50: So, das ist jetzt nach außen.

00:38:52: Und dann stelle ich mir die meisten Geschäftsführer, die ich kenne, vor, die dann die etwas autoritären Typen, die dann mit der Faust auf den Tisch hauen und sagen, hier spiegeln sie seinen Laptop, lesen sie seine E-Mails, finden sie Beweise, ringen sie mir das Schwein, um es hier mal ein bisschen auf die Spitze zu treiben.

00:39:09: Was ist, so, dann setzt du dich in dein Forensik Mobil, ihr habt ja so ein cooles Forensik Mobil und dann fährst du dahin und was passiert da?

00:39:18: Ich setze mich nicht in ein Forensikmobil, aber...

00:39:22: Ja, also, wenn wir uns vorstellen, dass wir quasi den Sachverhalter haben, den du gerade beschrieben hast, und ich habe das Endgerät vor mir liegen, dann ist immer so ein Stück weit die Erwartungshaltung, bitte rekonstruiert alles, was mit dieser Person zusammenhängt, am besten die letzten zwanzig Jahre Betriebsverhörigkeit ja rückblickend.

00:39:43: Und wir sind dann immer so okay.

00:39:46: Klar, wir orientieren uns am Sachverhalt, wir wollen aber den Scope, also wirklich den Untersuchungsgegenstand so eng wie möglich fassen.

00:39:52: Weil wir natürlich auch durchaus Dinge haben wie, wie war die Privatnutzung?

00:39:57: Wie, was ist das für ein Gerät?

00:39:59: Ist die Stichwein gedeutet?

00:40:01: Ist sie untersagt?

00:40:04: Wie wird in dem Unternehmen generell mit forensischen Untersuchungen... Umgegangen?

00:40:07: gibt es schon forensische Tools, die schon mal ausgerollt wurden, die wir vielleicht nutzen können, weil die in der Betriebsvereinbarung definiert sind oder ähnliches.

00:40:15: Das heißt, wir brauchen erst mal ein paar Rahmenbedingungen, die abgesteckt werden müssen, damit wir auch überhaupt sicher sein können, dass das auch alles verhältnismäßig ist, auch was wir machen.

00:40:25: Das Letzte, was wir machen können, ist mit Kanonen auf Sparzen schießen, weil dann können die Ergebnisse noch so gut sein.

00:40:31: Das könnte durchaus dann irgendwann an der Verwertbarkeit scheitern, wenn wir völlig Anlass bezogen, irgendwelche Chats auswerten, die wir finden, die gar nicht mit dem Sachverhalt korrollieren, wenn wir Beschlüsselungen aufbrechen, wenn wir Überwachungen starten, nur weil jemand sagt, wir wollen auf frischer Tat ertappen.

00:40:48: Das geht alles natürlich nicht.

00:40:49: Das heißt, wir wollen natürlich im Sinne der Gerichtsverwertbarkeit auch gerne eine eins zu eins Kopie des Gerätes machen, um einfach dafür Sorge zu freien, bis die Integrität des Gerätes sichergestellt ist und wir uns nicht nochmal neu anmelden müssen und dann halt Spuren generieren.

00:41:04: Und dann richtet sich die Analyse, welche Artefakte gucken wir uns an, stark wirklich nach dem Sachverhalt, dann so eng wie möglich und natürlich ohne jeglichen Interpretationsspielraum.

00:41:16: Wir beleuchten genau die Dinge, die wir da sehen und schreiben auch bewusst häufig dann rein, ja, muss durch den Auftraggeber bewertet werden, weil wir natürlich auch häufig nicht das Kontext bisschen haben.

00:41:26: bereiten das dann entsprechend auf.

00:41:27: Und der wichtigste Schritt ist die lückenlose Dokumentation.

00:41:31: Also alles, was Chain of custody, Beweismittelkette, wer hat wann, welches Gerät berührt, wann haben wir es in der Aserbatenkammer eingelagert, wann haben wir es ausgelagert, warum?

00:41:40: Wo liegt die Maßratpopie mit Beweizzetteln und allem Möglichen damit?

00:41:45: Alles, was wir mit dem Gerät gemacht haben, auch... zu hundert Prozent aufholziehbar ist.

00:41:49: Und uns am Ende niemand irgendwie auch dann von der Gegenseite sagt, ja, das ist überhaupt nicht klar, was die gemacht haben.

00:41:54: Und es ist überhaupt nicht klar, welche Methodik angewandt wurde und ein unabhängiger zweiter Forensiker von der Gegenseite muss mit denselben Tools auf derselben Datenlage natürlich zu dem selben Ergebnis kommen.

00:42:05: Das ist ja immer feinlich, dass er das tut, wenn er auf der Gegenseite ist, aber... Ähm, das sind dann diese, diese Forensikprotokolle, hab ich schon mal ein paar von gesehen, wo natürlich, wie du richtig sagst, jeder einzelne Schritt super, hart dokumentiert sein muss, weil jeder kleine Fehler natürlich ein Festtag für den, wenn's dann zum Strafverfahren kommt, für den Strafverteidiger ist, wenn irgendwas nicht, nicht hinkommt oder da noch jemand mal dran hätte sein können an der Festplatte oder an dem Gerät oder irgendwas.

00:42:33: Aber wir haben hier schon natürlich so ein bisschen, ich glaube bei fast allem, was du tust, So eine Grundspannung, auf der einen Seite gibt es natürlich ein völlig legitimes und starkes Aufklärungsinteresse, auf der anderen Seite, aber das kollidiert natürlich schon ein bisschen hart mit dem Datenschutz.

00:42:48: Denn im Zweifelsfalle wüsste ich ja zum Beispiel noch gar nicht, ob das derjenige, der da von der Geschäftsführung verdächtigt wurde, ob der das tatsächlich wahr hat zum Beispiel, dann weiß man kann man natürlich mehr.

00:42:58: Dann auch die Frage, wie sieht es aus mit einer Rechtsgrundlage, die müsste ja auch erstmal finden.

00:43:03: Wahrscheinlich berechtigtes Interesse, dann gibt es ja ein siebenundzwanzig BDSG, auch Aufdeckung von Straftaten.

00:43:08: Das wird euch sicherlich auch nutzen und ihr seid ja datenschutzmäßig mit der Intersoft auch an der Quelle.

00:43:14: Da könnt ihr sicherlich auch noch Leute reinholen.

00:43:18: Aber wie ... In deinem täglichen Arbeiten, wie erlebst du diese beiden Gegenpole oder hast du das einfach so, du warst ja schon länger, hast du das einfach so inzwischen in deiner täglichen Arbeit aufgenommen, dass was für dich gar kein Problem darstellt?

00:43:35: Also man muss sagen, wir haben auf jeden Fall den Vorteil durch unsere Datenschützerinnen und Datenschützer bei uns in Haus, das heißt auch meine Forensik-Abteilung kann sich bei jedem Fall auch nochmal Rückversicherung holen.

00:43:48: Wie schätzt ihr das ein?

00:43:49: Woraufs, was wir hier noch achten?

00:43:51: Man muss aber auch ganz klar sagen, wenn wir allein schon vom Gefühl merken im Erstgespräch, das hat mit einem begründeten Verdacht oder auch einem wirklich Anfangsvertrag gar nichts zu tun.

00:44:04: Und es ist ein völlig unklares Konstrukt.

00:44:06: Und da möchte jemand ein oder jemand anderen einfach nur schaden.

00:44:10: Und auch auf unsere Rückfragen, wie ist es mit Privatnutzung und ist es Bring Your Own Device, wie ähnlich es wird?

00:44:15: nur schwammig geantwortet, distanzieren wir uns komplett von der Analyse als solches, weil es gibt viel zu viele Fragezeichen, dadurch gibt es auch viel zu viele Händnäpfchen, in die wir dann auch als Dienstleister treten können.

00:44:27: Das heißt, für uns durchaus relevant gibt es das berechtigte Interesse, gibt es vielleicht den Verdacht einer Straftat, die im Raum steht und dann natürlich auch durchaus, ja, geht es um Missbrauchsaufklärung, was ist es für eine Straftat, die im Raum steht, weil das ist für uns natürlich auch durchaus.

00:44:45: dass wir das halt wissen wollen, wo der Anzeige erstattet und ähnliches.

00:44:49: Genau, das heißt, es gibt ein paar Leitfragen, an denen wir uns natürlich immer orientieren.

00:44:56: Und dann gibt es gewisse Dinge, mit denen wir das auf jeden Fall abfedern, sowas wie Dokumentationspflichten bei uns, die lückenlose Beweissicherung und ähnliches.

00:45:06: Aber es gibt natürlich auch immer von uns ganz klar den Hinweis, den mildesten Mitteln zu arbeiten.

00:45:13: Das heißt nicht direkt anfangen, die nehmen achtundzwanzig Postfächer, obwohl nur einen Mitarbeiter oder eine Mitarbeiterin im Scope ist, aber wir gucken einfach erst mal alles an.

00:45:21: Das geht natürlich nicht.

00:45:22: Das heißt, wir versuchen uns auf der Datenlage anzunähern und auch zu sagen, hey, wie wäre es, wir starten mit Metadaten und gucken erst mal, gibt es in dem Bereich überhaupt Sachverhaltsrelevante Ereignisse, sonst können wir den Bereich schon ausklammern, damit wir halt einfach, ja, so ein bisschen auch im Sinne der Datensparsamkeit.

00:45:41: möglichst wenig Material auswerten, um aber Sachverhaltsgetreuzer im Ergebnis zu kommen.

00:45:47: Sag mal, wie ist das eigentlich mit Bring You On Device?

00:45:50: Also, wenn du jetzt sagst, es gibt ja quasi die beiden Arten, wie Devices, indem wir zum Beispiel Außendienstler vermanaged werden können, entweder wirklich über ein hartes MDN, also das ist Device Management bei der IT-Abteilungsunternehmenslicht.

00:46:07: Und dann wahrscheinlich auch das Device selbst im Unternehmen gehört, aber bei Bring Your Own Device, wenn jetzt, keine Ahnung, es besteht so ein konkreter Verdacht und der entsprechende Mitarbeiter sagt aber einfach, wenn es ein Smartphone ist, ich entschwerse euch nicht, oder wenn es ein Laptop ist, ich gebe euch das einfach nicht.

00:46:24: Wenn es sein eigenes ist, ist er schon eh nicht.

00:46:26: Ja, genau, aber dann endet doch die ganze Forensik schon an der Stelle oder nicht.

00:46:31: Ja, man muss auch sagen, Bring Your Own Device generell.

00:46:36: Schwierig, auch aus IT Security Sicht, absolut keine Empfehlung und macht forensik schon teilweise nahezu unmöglich, weil selbst wenn die Person so ein bisschen geneigt ist, man könnte eine Untersuchung machen, wenn wir jetzt nicht direkt von Datendiebsch da ausgehen, weil dann lässt niemand irgendwie dann sein Gerät, aber wenn wir auch vielleicht von einer Schadzapp-Infektion ausgehen oder ähnlichen, selbst dann würde unsere Untersuchung so ein bisschen die Freiwilligkeit... benötigen.

00:47:04: Das heißt, jemand stimmt zu.

00:47:06: Und eine Einwilligung ist dann auch so ein bisschen gerade im angestellten Verhältnis.

00:47:11: Wenn dann jemand von oben sagt, bitte gib uns dein Gerät.

00:47:14: Das muss forensisch untersucht werden.

00:47:15: Die Person fühlt sich damit so mediumwohl macht es aber aufgrund des angestellten Verhältnisses.

00:47:21: Dann ist schon ein bisschen vorprogrammiert, dass das durchaus scheitern kann in der Verwertbarkeit.

00:47:25: Und das ist uns natürlich auch bewusst.

00:47:26: Das heißt, auch da bei unklaren Situationen halten wir Abstand.

00:47:29: Aber grundsätzlich bringen wir ein Device.

00:47:32: extrem schwierig und wenn sich jemand verweigert, wir als Dienstleister, da sind wir halt dann auch doch nicht die Staatsanwaltschaft und keine Ermittlungsbehörde, denn sie sind uns auch die Hände gebunden und dann können wir auch keine Analyse starten.

00:47:43: Ja und ihr seid ja wahrscheinlich auch sehr schnell an irgendwelchen Punkten an Beweisttechnischen Enden.

00:47:50: Es gibt ja diese Food of the Poisonous Tree, also die Frage, kann ich rechtswidrig erlangte Beweise oder Beweismittel dann im Verfahren auch verwenden.

00:48:02: Und da sind wir nicht keine Arbeitsgerichte.

00:48:04: Ich glaube, ich weiß, dass die Arbeitsgerichte da sehr, sehr streng sind.

00:48:08: Die Zwiegerechte glaube ich nicht ganz so.

00:48:10: Aber an irgendeinem Punkt, wo ihr dann muss dann halt klar wird, da gab es keine Rechtsgrundlage, das ging überhaupt nicht.

00:48:16: Das ist dem weggenommen worden oder irgendwas.

00:48:18: Dann kann man es ja auch im Gericht dann letztendlich nicht verwenden.

00:48:20: Das wird ja dann schon neu im eigenen.

00:48:22: Das ist so ein, denke ich.

00:48:24: Genau, das heißt auch alles was... So was ist wie Abhörtechniken, das einschaltenen laufende Kommunikation.

00:48:33: Das heißt, dass ich Datenanalysiere während der Übertragung ähnlich ist, wenn ich vielleicht sage, okay, ich komme nicht in das Endgerät, aber dafür stelle ich mir alles, was auf dem Weg dahin passiert.

00:48:42: Das wird nicht standhalten.

00:48:44: Und dann haben wir natürlich auch selbst extreme Probleme, wenn wir zu solchen Mitteln Greifmals-Dienste ist.

00:48:50: Das geht natürlich auch nicht.

00:48:52: Ein Thema hätte ich ja noch.

00:48:55: Wie?

00:48:57: Forensik endet ja sicherlich nicht regelmäßig an den Landesgrenzen.

00:49:00: Wir haben das Problem des internationalen Datentransfers.

00:49:03: Es werden wahrscheinlich, würde ich mir vorstellen, viele auch den Daten, die du untersuchst, nicht unbedingt auf deutschen Servern liegen oder auch auf europäischen Servern.

00:49:11: Wie ist denn da die Zusammenarbeit auch gerade, sagen wir mal, nehmen wir mal zum Beispiel die USA?

00:49:19: Wenn wir den berühmt-gerüchtigten Cloud-Act gibt es sowas auch auf der Gegenseite.

00:49:23: Das heißt, kommt ihr unter Umständen und wahrscheinlich vermute mal, dass es in ransomware-Fällen eher der Fall ist, als jetzt bei solchen Verdachten gegen einen Mitarbeiter.

00:49:32: Aber kommt ihr da auch an irgendwelchen Daten, die da gespeichert sind, Stichwort Microsoft-Rainer, Stichwort Google Work oder so?

00:49:40: Da sind ja bestimmt wahrscheinlich auch Speicher-Elemente, wo viele Daten liegen, an die ihr eigentlich ralle müsstet.

00:49:48: Ja, also wenn es Geschäftskonten sind, weil da gerade bei den großen auch US-Providern wie Google, Microsoft und so weiter wirklich auch sehr stark unterschieden wird, wenn es Geschäftskonten sind, kommen wir in der Regel an die Daten ran, die relevant sind für die Aufklärung, gerade bei Software-Assistance-Lösungen, wo die Datenhoheit sowieso in der Regel ja beim Unternehmen selbst liegt in der Verwaltung, da kommen wir an die Datenspeicherorte, die für uns auch relevant sind.

00:50:15: kommt ihr ran, indem ihr zu amerikanischen Stofferwirkungen oder zu Microsoft geht und die geben euch dann die Sachen.

00:50:21: oder muss da die Polizei noch dazwischen sein?

00:50:24: Da muss tatsächlich dann die Polizei hin.

00:50:25: Wir arbeiten mit den Daten, die wir vom Unternehmen heraus sowieso zugreifen können, unabhängig davon, wo sie dann zwingend liegen, weil das sind die Daten des Unternehmens und nicht die des Providers.

00:50:36: Wenn es aber um Daten geht, sozusagen aus dem Backend, was ist serverseitig passiert, haben wir natürlich erst mal defaultmäßig gar keinen Zugriff, weil das dann bei Google oder Microsoft liegt oder ähnliches.

00:50:48: Dann müsste das Unternehmen sich an die Ermittlungsbehörden wenden.

00:50:53: Die Ermittlungsbehörden gehen dann quasi auf den Provider zu, beziehungsweise erst mal auf die internationalen Behörden, die gehen auf den Provider zu.

00:51:00: Und stellen dann so eine Art Auskunft zu suchen.

00:51:04: Hey, wir brauchen folgende Daten von euch zur Aufklärung des Sachverhalts.

00:51:07: Da muss man sagen, wenn es ein großer Fall von öffentlichem Interesse ist, das heißt wirklich ein großer Konzern, Opfer eines Ransomware angreift oder so, dann sind die durchaus kooperativ.

00:51:16: Das funktioniert.

00:51:18: Und da wurden uns auch schon Daten zur Verfügung gestellt.

00:51:21: Das dauert, das ist nicht trivial.

00:51:23: Aber wenn es etwas private Konten, die vielleicht intern genutzt werden im Unternehmen oder ähnliches, so klassische Gmail-Konten, die manche Unternehmen einfach noch nutzen, und da möchte man dann wissen, was da passiert, mein Konto wurde kompromittiert, ich wende nicht mal an Google.

00:51:39: Ehrlicherweise sind neunundneunzig Prozent der Fälleabzug keine Chancen.

00:51:43: Weil es dann auch nicht die relevante Bedeutung hat für Google dahin zu gehen, sagen, ich gebe euch jetzt unsere Server-Logs und die Zugriffe analysieren zu lassen.

00:51:50: Dann kommen die klassischen, ja das sind die Abwehrmaßnahmen, wir haben dein Konto gesperrt, macht ihr ein neues oder setzt ein neues Passwort oder ähnliches.

00:51:58: Das überrascht uns, glaube ich, nicht weit über, oder?

00:52:01: Ne, also mich überrascht es überhaupt nicht.

00:52:02: Was die Frage ist, wir wollen es kein Unternehmensspashing oder Unternehmensloben betreiben, aber... Der größte deutsche e-mail-Provider ist eben ansten.eweb.de.gmx.

00:52:15: Da liegen ja auch, also ein Drittel der deutschen Nutzen, deren Mail Service ist zumindest privat.

00:52:23: Ist da die Erfahrung ähnlich oder ist die ein bisschen anders?

00:52:25: Oder kannst du dazu nichts sagen?

00:52:27: Es ist tatsächlich auf jeden Fall einfacher, wenn wir hier im Deutschsprachengenaum unterwegs sind, als wenn wir dann noch in die US-Region gucken müssen.

00:52:36: Da habe ich dann einfach zu viele Hürden, auch in der Korrespondenz, in zu viele Parteien, die einfach involviert werden müssen, damit ich dieses Ersuchen stellen kann und damit ich dann die Wege sind, einfach viel zu lang.

00:52:47: Und dann schaltet es auch häufig, dass man dann selbst da gekommen reicht.

00:52:51: Ich kann jetzt nicht nochmal zwei Monate warten.

00:52:53: Wenn ich jetzt einen deutschen Provider habe, jetzt völlig unabhängig ob einzelne Eins oder vergleichbare, sind die Wege kürzer.

00:53:00: Und aus unseren Erfahrungen ist die Kooperationsbereitschaft auch eine viel höhere.

00:53:04: Weil da geht es durchaus halt auch, das sind in der Regel ja nicht so große Unternehmen wie eine Microsoft oder eine Google.

00:53:10: Auch da will man den Unternehmen helfen, man möchte auch keine Kunden verprellen, indem man sagt, nee, wir wollen hier keine Daten offenbaren oder ähnliches.

00:53:18: Das funktioniert durchaus schon.

00:53:19: und wenn diese Provider eine vernünftige Mandantentrennung haben, dann geben sie mir auch wirklich nur die Daten raus, die zu dem Unternehmen gehören und nicht noch irgendwie welche andere, dann ist es natürlich schwierig.

00:53:30: Aber da sind unsere Erfahrungen durchaus... deutlich positiver noch als im Rheusschrank.

00:53:36: Du hast es von schonmal erwähnt, weil ich finde das ein Thema, mit dem ich mich sehr, sehr lange beschäftigt habe.

00:53:42: Die Problematik der Erlaubnis der Privatnutzung.

00:53:47: Ist es in deinem, wenn du jetzt in diesen Fällen denkst, wo du uns unternehmen gehst, ist es in deinem Leben tatsächlich noch ein wichtiger Faktor, also kurz zur Erklärung, zum Verständnis.

00:54:00: Auch wenn es inzwischen ein bisschen umstritten ist, gibt es ja immer noch die große Brennlinie zwischen Erlaubnis und Verbot der privaten Nutzung von Internet und E-Mail am Arbeitsplatz.

00:54:10: und die wohl immer noch herrschende Meinung, inklusive der Datenschutzbehörden, sagt, wenn du Privatnutzung erlaubst, dann bist du damit, hast du damit eine ähnliche Stellung wie der Provider und da dürft ihr natürlich als... Ein privatrechtliches Unternehmen, was im Auftakt von jemandem handelt, dann gar nicht rein.

00:54:29: Also das heißt, erlebst du das dann häufig, wenn die Unternehmen sagen, wir haben hier eine klare Regelung, Privatnutzung ist erlaubt.

00:54:34: Das heißt, das ist dann häufig für dich stopp oder ist das nicht mehr so relevant wie es vielleicht vor zehn Jahren noch war?

00:54:41: Also es ist durchaus immer noch relevant.

00:54:44: Man muss aber auch mittlerweile sagen, dass die Anzahl der Unternehmen, die wirklich sagen, Privatnutzung ist bei uns explizit freigegeben oder selbst wenn man sagt, das ist stehschweinend geduldet, nimmt mittlerweile.

00:54:56: mehr ab.

00:54:57: Das liegt vermutlich auch ein Stück daran, dass es einfach mehr Cybercrime gibt und viele Unternehmen sind ein bisschen, ja das auf die Füße fällt, dass eine Aufklärung dann häufig nicht möglich ist, genau aufgrund dieser Tatsachen.

00:55:08: Und man muss sagen, es ist nicht trivial, es gibt aber durchaus Wege, sich dem dennoch ja anzunähern.

00:55:17: Es ist natürlich durchaus auch relevant, was ist das für ein Sachverhalt.

00:55:20: Wo liegt das Interesse da dran?

00:55:23: Was haben wir für Möglichkeiten der Aufklärung?

00:55:25: Man wählt natürlich immer das mildeste Mittel.

00:55:27: Aber es gibt technisch durchaus auch die Möglichkeiten, erst mal mit Metadaten zu arbeiten, sich das System als solches anzuschauen und wirklich auch explizit eine Trennung vornehmen zu können.

00:55:37: Wo liegen Privatdaten und wo liegen geschäftliche Daten?

00:55:39: Wenn ich ganz sauber, technisch und auch dokumentatorisch trennen kann, wo das ist, dann kann ich genau sagen, diesen Space gucke ich mehr an.

00:55:49: Mit folgender Methodik und alles, was aber wirklich private Inhalte sind, gerade Chats, Fotos, E-Mails und ähnliches, gucke ich mir gar nicht erst an und ich kann es auch ganz klar trennen in meiner Untersuchung.

00:56:03: Dann habe ich durchaus Möglichkeiten, wenn aber alles völlig wild durcheinander ist und man schreibt von einem E-Mail-Konto privat wie beruflich und in jedem Ordner ist es gemischt, ist es... tatsächlich extrem schwierig, weil ich dann ja auch selbst ins zufällige Einsicht in Inhalte ist.

00:56:25: Es ist für die Akumentation schon schwierig und die Abgrenzung muss halt wirklich komplett objektiv belastbar waren.

00:56:31: Das heißt nicht nach Bauchgefühl.

00:56:32: Es muss ganz klar benannt sein, warum sind das Unternehmensdaten?

00:56:35: Warum sind das private Daten?

00:56:37: Und das heißt auch dort wird dann streng geprüft.

00:56:42: War es eine reale Trennung oder wird das nur behauptet?

00:56:44: Das heißt.

00:56:46: Ja, ich würde mich an Metadaten orientieren.

00:56:48: Erst mal wirklich auch eine Fruchtreform machen, inhaltsfrei, dokumentiert, technisch erzwingbar, die mir so ein bisschen dann die Tür zeigen, wo kann ich hingehen.

00:57:00: Und wenn ich aber merke, okay, ich kann es nicht wirklich trennen, dann kann ich nicht in die Inhaltsdaten reingucken und dann ist es einfach auch ein Zuhuchsrisiko.

00:57:08: Aus deiner Praxis raus.

00:57:12: Wir hatten ja vorhin schon mal, ihr habt ja ein gewisses Konfliktpotenzial mit den Datenschutzen, das ist ja immer nennend bei euch, sehr klar.

00:57:19: Gibt es denn Fälle in der Praxis, wo tatsächlich zum Beispiel Betroffene, also zum Beispiel vom Unternehmen verdächtigte, keine Ahnung, die vielleicht Geschäftsheims geklaut haben sollen oder so, gibt?

00:57:36: oder nutzen die auch ihre Betroffenenrechte nach DSGVO, also stellen sie sich dann mal auf die Hinterbeine und sagen zum Beispiel, nee, das ist datenschutzrechtlich nicht okay, was ihr hier macht, hört damit auf oder... Ich will

00:57:48: das gelöscht haben?

00:57:49: Oder genau, zum Beispiel, ich möchte sofort, dass alle meine Daten gelöscht werden, ich habe den Anspruch raus der DSGVO raus, dass ihr das jetzt tut, kommt das in der Praxis vor?

00:57:59: oder ist das eine rein theoretische Geschichte?

00:58:02: Tatsächlich kommt es viel seltener vor, weil es man das so annehmen mag, weil eigentlich ist es recht naheliegend, wenn man mich beschuldigt für irgendwas, dass ich erst mal, zumindest wenn der Verdacht richtig ist, dass ich jetzt mal alles in die Wege leite, damit eine Untersuchung nicht möglich ist.

00:58:18: Man muss aber auch sagen, wir haben das sehr, sehr selten.

00:58:22: und wenn, so wie du sagst, Björk, dann haben wir das im Bereich von Löschfristen.

00:58:26: Das ist dann gesagt wird, ich möchte eine Vorstellung meiner Daten.

00:58:31: Da muss man aber sagen, solange wir in dem Verfahren drin sind, dann hebt es das ein Stück weit zumindest auf.

00:58:39: Das heißt, wir dürfen nicht anders los ohne Zweckbindung einbrauchbewahren und völlig blind.

00:58:45: Wir bereiten erst mal ein ganzes System, aber könnten wir ja noch mal brauchen.

00:58:48: Das geht nicht.

00:58:49: Solange aber der Zweck der Aufbewahrung gleich bleibt.

00:58:52: und der auch begründbar ist und der dienlich ist zur Sachverhaltsaufklärung und auch prozessual vertretbar ist.

00:58:59: Und es gibt auch Dinge wie Fluchtgefahr und ähnliches.

00:59:02: Da ist das sowieso dann nochmal einfacher.

00:59:05: Aber ist es ein bisschen heber, dass ein Stück weit das Löschrecht aus, aber es muss natürlich auch da gut dokumentiert sein und die Löschung muss auch direkt geschehen, nachdem diese ganzen Punkte entweder nicht mehr gegeben sind oder halt auch das Verfahren beendet ist und ähnlich ist.

00:59:18: Da muss man dem natürlich trotzdem nachkommen.

00:59:21: Aber es ist nicht so, dass wir dann in die Ecke gedrängt werden.

00:59:23: Wir sind gerade dabei, irgendwie eine Kopie zu ziehen oder eine Analyse zu fahren.

00:59:28: Ich möchte das als gelöscht wird und wir stehen dann da mit null und müssten direkt loslegen.

00:59:32: Auch dort gibt es dann Mittel und Wege, das rechtlich vernünftig auch zu bereiten, dass man zumindest die Spuren noch gerichtsfest sichern kann und auch noch die Analyse beendet.

00:59:43: Ach so, ja.

00:59:43: Ich

00:59:44: wollte nur ganz kurz sagen, ja es gibt dafür auch eine Sonderlocke zu den Schlichten in Artikel siebzehn Absatz drei.

00:59:51: Ich habe es nicht rauswendig, aber ich habe es vorher nachgeschaut, der die geltend Machung von Rechtsansprüchen regelt.

00:59:57: Das heißt, es gibt hier durchaus dann auch eine Sondererlaubnis, die Daten aufzubewahren.

01:00:01: Jetzt du auch.

01:00:03: Ja, ich wollte nochmal Interesse aber nachfragen.

01:00:06: Wir hatten vorgespräch auch schon mal kurz darüber gesprochen.

01:00:10: Es gibt ja die Möglichkeit, gerade in den Fällen von Bring Your On Device, dass die, lass es mal ein Mitarbeiter sein, dass die ihre Notebooks mit BitLocker verschüsseln beispielsweise oder dass eben natürlich Handys biometrisch gesperrt sind oder auch über den Pincode gesperrt sind.

01:00:28: Habt ihr denn... Möglichkeiten daran zu kommen.

01:00:32: Also wir hatten hier mal einen Strafverteidiger, der uns erzählt hat, dass mittlerweile zum Beispiel in jeder Polizeidienststelle in Deutschland fast jeder einen Zugang zu Celebrate besteht.

01:00:44: Das heißt, die haben Möglichkeiten, bei Handys mit etwas älteren Betriebssystem-Versionen diese Handys zu knacken.

01:00:54: Werdet ihr so was gefragt und könnt ihr so was bewerkstelligen?

01:00:58: oder ist euch in dem Fall die Polizei mal ein bisschen voraus?

01:01:02: Tatsächlich ist uns in dem Punkt zumindest gerade was Mobilgeräte angeht.

01:01:07: Also vor allen Dingen Smartphones ist uns die Polizei ein bisschen voraus, was ich aber auch tatsächlich in dem Bereich als positiv erachte, weil die auch gerade im Mobil Mobilbereich, Smartphone Forensik und ähnliches auch ganz andere Sachverhalte analysieren, als wir.

01:01:24: Also sehr relevante Chats über Jahre zurück, wirklich internationale Kriminalität, Bandenkriminalität, organisierte Kriminalität, das ist ja alles so gar nicht unser Metier.

01:01:33: Das heißt, auch von den großen Herstellern wie eine Celebrate gibt es extra Ermittlungsbehörden, spezifische Versionen, die auch gar nicht für die Privatwirtschaft zur Verfügung gestellt werden.

01:01:43: Und ich denke, das ist auch gut so, weil man sonst auf ein recht hohes Missbrauchsrisiko vermutlich hat von dieser Software.

01:01:49: Also, dass es dort Mittel und Wege gibt, auch ohne Pincode in einem gesperrten Zustand Zugriff auf das Mobilgerät zu bekommen.

01:01:57: Das ist uns... in der Regel in den allermeisten Fällen verwehrt.

01:02:01: Also gerade bei aktuellen Betriebssystemen-Versionen bringt es gar nichts, damit der Brechstange reinzugehen.

01:02:08: Da wird das Gerät am Ende nur so beschädigt, dass ich gar nicht mehr rankomme.

01:02:11: Und auch bei Mobilgeräten, bei BitLocker-Verschlüsselungen, da gibt es oder auch anderen Verschlüsselungs-Algorithmen, auf Festplattenhebel gibt es durchaus Mittel und Wege, die man ausprobieren kann.

01:02:20: Aber auch wenn wir da dann in dem Bereich von MacBooks oder Ähnlichem sind, dann sind uns schlecht weg ganz ganz heutige auch die Hände debunden.

01:02:28: Und in der Cloud ist es wahrscheinlich genauso.

01:02:32: Du wolltest z.B.

01:02:35: auch auf einem Mobilgerät an die Apple Cloud kommen, auf einem iOS-Gerät, habt ihr wahrscheinlich dann auch keine Chance entsprechend, wenn ihr nicht ins Gerät kommt.

01:02:42: Genau.

01:02:42: Das ist auch extrem schwierig.

01:02:44: Es gibt Wege, das über den Browser zu versuchen, aber es ist auch da so ein bisschen davon ab.

01:02:48: Wie ist die Authentifizierung geregelt?

01:02:50: Was brauche ich?

01:02:51: Den zweiten Faktor brauche ich das Gerät.

01:02:53: Dafür gibt es ein anderes interlegtes Gerät.

01:02:56: Und dann driftet das auch mal sehr, sehr schnell ab.

01:02:59: So das Ganze, dass man dann irgendwie wirklich nur drei Wochen für den Sicherungsprozess auch, das geht dann natürlich auch nicht.

01:03:06: Ja, spannend.

01:03:06: Ich habe ganz viel gelernt.

01:03:08: Und Olga, das wäre jetzt deine Chance, wenn ich gerade zum Ende kommen will, noch eine Frage zu stellen.

01:03:14: Nee, ich habe gerade nicht.

01:03:16: Ich

01:03:17: meine, Johanna hat auch unsere Fragen perfekt beantwortet, die geslob dafür.

01:03:23: Herzlichen Dank.

01:03:25: Dann.

01:03:27: Machst du noch ein bisschen raus?

01:03:30: Ja, ich würde wie immer natürlich auf unsere Kontaktmöglichkeiten hinweisen.

01:03:35: Wir haben auch tatsächlich mal wieder ein paar Themen vorstellt bekommen, was mich sehr freut.

01:03:39: Du hast ja schon geantwortet, habe ich gesehen und da werden wir auch darauf zurückkommen auf jeden Fall.

01:03:44: Schreibt uns gerne an auslegungsdacherct.de und schreibt uns auch gerne ins Forum zu... dieser Episode und auch zu allen vorangegangenen unter ct.de slash Auslegungssache, wo man alle alten Folgen auch nochmal nachhören kann.

01:04:01: Gerade jetzt in dem Bereich empfehle ich nochmal unsere Episode auch mit Jens Ferner, der sehr viel erzählt hat über strafrechtliche Forensik der Polizei und was die alles dürfen, was mich damals ziemlich schockiert hat.

01:04:14: Und was

01:04:14: man dagegen tun kann oder auch nicht.

01:04:16: Ja, genau.

01:04:18: Ja, super, Joanna.

01:04:19: Vielen, vielen Dank.

01:04:20: Hat Spaß gemacht.

01:04:21: Ja, von meiner Seite auch.

01:04:23: Herzlichen Dank, prima ektiert.

01:04:26: Und ich möchte mich auch nochmal Jörgs Wünschen anschließen.

01:04:30: Für euch alle ein frohes neues Jahr.

01:04:32: Hätte ich noch gar nicht gemacht.

01:04:33: Hätte ich auch vergessen.

01:04:35: Ich würde mich versuchen,

01:04:36: dass da auch jemanden noch ein frohes neues Jahr wünschen.

01:04:39: Genau, dass ihr an alle auch ein frohes neues Jahr.

01:04:42: Wenn du magst, kannst du auch noch Tante und Onkel grüßen.

01:04:45: Kein Problem.

01:04:47: Aber da wir gar nicht so wahnsinnig über der Zeit sind, kann ich vielleicht mal meine Datenschutz-Fee oder in deinem Fall die IT-Sicherheits-Fee auspacken?

01:05:01: Die IT-Sicherheits-Fee kommt und gewährt dir einen Wunsch im Bereich der IT-Sicherheit.

01:05:08: Ich meine, wir müssen sich jetzt wahrscheinlich unbedingt zwangsweise selten selber arbeitslos machen.

01:05:13: Was wäre denn dein Wunsch zum Beispiel im Bereich der IT, was man hier, was fast die Fee oder vielleicht dort die Unternehmen mit relativ einfachen Mitteln besser machen könnte?

01:05:21: Damit sie eben nicht bei dir landen, das werden immer noch genug bei dir landen, da bin ich mir ziemlich sicher.

01:05:25: Ja, das glaube ich tatsächlich auch.

01:05:28: Ja, mein Wunsch von der IT-Dicherheitsfähigkeit wäre vor allen Dingen so aus Unternehmenssicht, dass es mehr Einzug findet, wirklich die Low-Hanging-Foods, sag ich mal, zu beachten.

01:05:43: Also es gibt so ein paar Dinger, die wir immer wieder sehen, nicht gepenchtes Systeme, fehlkontroleration, schwache Passwörter und ähnliches, die einfach super vermeidbar sind, so aus meiner Sicht und einfach zu viel Spielraum lassen für Salva Kriminelle.

01:06:01: Und ich würde mir wünschen, dass sich das so über die nächste Zeit ja weiter verbessert und dass man es einfach mal weniger wird.

01:06:12: Ja, super.

01:06:17: Vielen Dank, Joanna, und euch

01:06:21: allen

01:06:21: eine schöne zwei Wochen und bis zum nächsten Ausgabe.

01:06:25: Tschüss zusammen.

01:06:26: Bis dann, ciao.