#Bonusfolge 01: Von BILD zu Biometrie

Lisa Froehlich: Lisa Froehlich Hallo und herzlich willkommen zu einer neuen Folge von Follow the White Rabbit, dem Link11 IT Security Podcast. Mein Name ist Lisa Fröhlich, ich bin Unternehmenssprecherin bei Link11 und heute darf ich einen langjährigen Tech -Experten bei mir zu Gast begrüßen, Martin Eisenlauer. Martin war mehr als 20 Jahre lang für Bild und Bild am Sonntag in der Technikredaktion tätig und hat den Leserinnen und Lesern diese Themen ganz verständlich nähergebracht. Heute kreiert Martin Content für die deutsche Giganetz GmbH. Wir wollen uns heute mit Themen beschäftigen, mit Cyberthemen, die total spannend sind und hochaktuell. Die Fragen, die wir uns stellen, sind zum Beispiel einmal, warum ist es an der Zeit, Sicherheitslösungen ohne Passwörter zu implementieren? Und sind Zero Trust Architekturen die Lösung für die Zukunft? Außerdem möchte ich mit Martin noch diskutieren, welche Verantwortung die Industrie trägt und welche hat der Nutzer der Technologien. Doch bevor wir uns diesen und vielleicht noch der einen oder anderen Frage widmen, ist es an der Zeit, dass ich meinen Gast kurz vorstelle. Martin, du beschreibst dich selbst als Nerd und warst über zwei Jahrzehnte für eine der größten Tageszeitungen Technikjournalist. Das klingt nach einer ziemlich spannenden Reise in die Techie -Welt. Erzähl uns doch mal ein bisschen mehr darüber.

Martin Eisenlauer: Martin Eisenlauer Ja, das war tatsächlich sehr, sehr spannend. Hallo erst mal, Lisa. Ja, ich habe lang bei Bild die Digital -Redaktion geleitet, also den Teil, der redaktionell sich mit Tech -Themen auseinandergesetzt hat. Wären wir im englischen Sprachraum, wäre ich ein Geek. Hier in Deutschland ist man da Nerd. Das finde ich immer so ein bisschen schade, dass es diese Unterscheidung hier im Deutschen nicht gibt. Aber egal, also man sieht schon, es ist nicht nur Tech, was mich fasziniert, sondern auch Sprache. Und ja, die Zeit bei Bild war sehr, sehr spannend, weil es viele Türen gab, die da offen waren und man viele tolle Gespräche führen konnte. Ich durfte mit Leuten wie Jeff Bezos und Mark Zuckerberg sprechen. Und ja, das war einfach eine sehr, sehr spannende Zeit, auch weil sich in der Zeit ja so wahnsinnig viel bewegt hat. Also ich bin im Jahr 2000 damals zu Bild am Sonntag gegangen. Da hat man eine Computerseite aufgesetzt damals. Das war so mein erster Job dort. Und da war das Internet auch noch so an einem Punkt, wo man nicht so genau wusste, ob sich das noch mal durchsetzen würde. Und mittendrin kamen dann irgendwann mal Smartphones, Tablets, die ganze App -Ökosystem. Und ja, kurz nachdem ich dann da weg war, hat OpenAI, ChatGPT, gelauncht. Das heißt, das waren schon 20 sehr, sehr spannende Jahre oder über 20 Jahre. Aber es hat quasi also wenn ich das heute meinen Kindern erzähle, wie das damals war, die können sich das gar nicht mehr vorstellen. Und du hast vorhin das furchtbare Wort langjährig benutzt. Man merkt dann auch, wie alt man eigentlich schon ist.

Lisa Froehlich: Lisa Froehlich Hmm...

Lisa Froehlich: Lisa Froehlich Naja, furchtbar im Sinne von, dass es eben die Erfahrung, die du mitbringst und davon können unsere Hörerinnen und Hörer heute ja auf jeden Fall und ich natürlich auch profitieren. Ja, vielen Dank für die kurze Vorstellung. Der eine oder andere da draußen wird jetzt sicherlich neidisch sein, dass du Mark Zuckerberg und Jeff Bezos mal persönlich interviewen konntest. Das gehört sicherlich zu den ein oder anderen Highlights deiner journalistischen Karriere. Ich finde das das total spannend, dass du im Grunde so eine Zeit abgedeckt hast von der quasi, ich sag mal Anfang der 2000er Jahre, wo ja auch die große Tech -Blase an der Börse geplatzt ist und ganz viele Tech -Träume erst mal wieder in Rauch aufgegangen sind und ganz viele wirklich innovative Unternehmen auch einfach keinen Fuß mehr auf den auf den Boden bekommen haben und auf der anderen Seite aber das sozusagen der letzte Teil, den du noch so mitbekommen hast, eben der Launch von ChatGPT 2022 gewesen ist, was ja eine unheimliche, ja was nochmal, eine unheimliche Dynamik in diesen ganzen Bereich, in diesen ganzen Tech -Bereich gebracht hat. Wir wollen uns heute aber weniger mit ChatGPT und Jeff Bezos und Mark Zuckerberg beschäftigen, sondern wir haben ja in unserem ersten Gespräch darüber diskutiert oder darüber gesprochen, dass ja ein 80 Kilogramm schwerer Schlüssel für meine Haustür verglichen werden könnte mit komplexen Passwörtern, die ja mittlerweile häufig gebraucht werden müssen oder da sein müssen, die digitalen Assets ausreichend zu schützen. Am besten sichert man es noch mit einer Zweifaktor -Authentifizierung ab und Passwörter sind seit Jahrzehnten eigentlich der Authentifizierungsstandard schlechthin für Computersysteme, aber sie sind extrem anfällig für die verschiedensten Cyberangriffe. Und immer wieder sind natürlich kompromittierende Benutzer oder kompromittierte Benutzerkonten die Einfallstore für die Cyberkriminellen. Das hört man ja an allen Ecken und Enden. Bei so einem Brute Force Angriff beispielsweise werden alle möglichen Kombinationen ausprobiert, an Passwörter, Pins, und andere Zugangsdaten zu kommen. Wie ein Dieb, der sozusagen alle Schlüssel, die nicht unbedingt 80 Kilo wiegen müssen, aber sozusagen probiert alle Haustürschlüssel aus, bis er entweder die richtige Tür zu dem Schlüssel gefunden hat oder den richtigen Schlüssel für die Tür gefunden hat. Und durch dieses systematische Ausprobieren, die richtige Kombination zu finden. Ja, mit den Technologien von heute und mit den Technologien von morgen, von denen wir heute noch nichts wissen, wird das ja immer leichter. Jetzt ist natürlich die Lösung vielleicht passwordless, also irgendwie eine Authentifizierung ohne Passwörter. Welche Methoden gehören denn dazu und warum bieten diese Methoden oder diese Technologien deiner Meinung nach einen besseren Schutz?

Martin Eisenlauer: Martin Eisenlauer Ja, ich würde gerne noch mal zwei Schritte zurückgehen, wenn du kurz erlaubst. Und zwar ich muss einen Disclaimer an der Stelle noch machen. Ich bin kein Sicherheitsexperte. Das heißt, ich war nirgends CSO, ich war nirgends CSO oder habe irgendwelche Zertifizierungen, sondern ich bin ein sehr, sehr langjähriger und sehr engagierter Nutzer. Und da habe ich natürlich auch in der Beobachtung der Branche wahnsinnig viel mitgenommen. Das heißt, ich werde heute wenig zu Standards sagen können.

Lisa Froehlich: Lisa Froehlich Aber sicher!

Martin Eisenlauer: Martin Eisenlauer Aber ich glaube, man muss gerade im Bereich Passwort sich mal zwei Dinge klar machen. Also Nummer eins, ja, der Nutzer hat eine sehr, sehr hohe Verantwortung im Umgang mit seinem Passwort. Also keiner von uns käme auf die Idee, eben sein Haus zu verlassen, ohne seinen Schlüssel dabei zu haben. Aber Passwörter nicht kennen, das erlebt jeder von uns regelmäßig. Also ich kenne immer wieder die Situation, dass Leute sagen, ja, kannst du mir mal helfen da und da? Und

Lisa Froehlich: Lisa Froehlich Exakt.

Martin Eisenlauer: Martin Eisenlauer Da geht es dann so Dinge wie das eigene Passwort oder den Google -Account, der ja, oder für den iPhone -Nutzer den Apple -Account, der ja quasi der Schlüssel zum kompletten Leben ist, also wo wirklich alles drin ist. Und dann sagst du, log dich da mal ein. Ja, ich weiß gar nicht, wie mein Passwort ist. Und dann wird irgendwo gekramt und geguckt. Und das sind für mich immer so Momente, wo ich mir denke, das kann es eigentlich nicht sein.

Lisa Froehlich: Lisa Froehlich Mhm. Ja, ja, ja.

Lisa Froehlich: Lisa Froehlich Hmm.

Martin Eisenlauer: Martin Eisenlauer Und auf der anderen Seite verschickt dann die Industrie jedes Jahr zum World Password Day oder zum Change Your Password Day oder zu was auch immer. Neue Empfehlungen, wann was zu tun ist und diese Liste der Schande mit den tatsächlich benutzten Passwörtern. Also wo dann wieder rauskommt, dass eins, zwei, drei, vier irgendwie das meistbenutzte Passwort ist oder ABCD oder Quatsch oder was auch immer.

Lisa Froehlich: Lisa Froehlich Mhm.

Lisa Froehlich: Lisa Froehlich Mhm.

Martin Eisenlauer: Martin Eisenlauer Und da bin ich inzwischen an einem Punkt, wo man einfach, glaube ich, als Industrie für sich mal feststellen muss, das, was wir momentan machen, funktioniert nicht. Das ist einfach für die Menschen nicht nicht abbildbar. Und da kann man sich dann wahnsinnig lang darüber aufregen. Ja, die benutzen keine Passwort Manager, was sie eigentlich sollten, was ich persönlich auch nicht verstehe. Also ich weiß gar nicht, wie jemand ohne Passwort Manager sein Leben im Griff haben möchte.

Lisa Froehlich: Lisa Froehlich Mmh.

Martin Eisenlauer: Martin Eisenlauer Aber es wird halt nicht angenommen. Es werden diese furchtbaren Passwörter benutzt. Und ich hab immer... Ich war mal auf so einem Krebskongress als Journalist und da saß dann vorn jemand, der einen Vortrag gehalten hat und der sagte, ja, und wir haben den Leuten jetzt lang genug gesagt, sie sollen nicht mehr rauchen, aber sie rauchen einfach immer noch. Und ich verstehe das nicht. Und das ist natürlich vollkommen nachvollziehbar erst mal. Aber die Wahrheit ist, wenn ich heute...

Lisa Froehlich: Lisa Froehlich Mhm.

Lisa Froehlich: Lisa Froehlich Mmh.

Martin Eisenlauer: Martin Eisenlauer Arzt bin, muss ich mich damit auseinandersetzen, dass die Leute rauchen. Nicht damit, dass ich nicht verstehe, warum die noch rauchen. Und ich glaube, an den Punkt muss die Industrie jetzt langsam auch mal kommen, wo man nicht jedes Jahr diese Liste verschickt und sagt, schaut mal, wie blöd unsere Kunden sind, sondern wo man einfach mal akzeptiert, okay, das ist der Stand und mit dem müssen wir jetzt mal in irgendeiner Form zurechtkommen. Ja und

Lisa Froehlich: Lisa Froehlich Ja klar.

Lisa Froehlich: Lisa Froehlich Ja, das ist ja auch so eine, es ist ja auch weniger, wie du schon sagtest, ne? Also das ist ja immer so dieses, auch auf dem, mit dem Finger auf die Leute zeigen, so hey, ja, so ein bisschen blaming in Anführungsstrichen, das hilft ja auch nicht weiter, weil am Ende des Tages muss, ja jeder für sich selbst auch entscheiden, hey, mir ist das wichtig, ja? Und ich sag mal so, wie du schon sagtest, also auf dem, auf dem Telefon, oder auf dem Mobilphone heutzutage, das sind ja quasi kleine Mini -Rechner. Da habe ich mein Online -Banking, da habe ich meine Apps, da habe ich meine Gesundheitsdaten, da habe ich meinen Kontakt zur Krankenkasse. Da bin ich ja mit allem Möglichen verknüpft. Und meine sozusagen diese Schnittstelle bietet ja auch aus Sicherheitsperspektive für die Unternehmen, die hinten dran sind, eine Gefahr. Weil wenn meine Passwörter gehackt werden können, oder meine sozusagen meine Zugangsdaten irgendwo aufgefunden werden, dann kann sich natürlich da der eine oder andere in fremden Systemen breit machen, da rein sneaken und Unheilstiften am Ende des Tages. Also es geht ja schon auch nicht nur darum zu sagen, hey Industrie schafft uns jetzt mal eine einfachere oder eine leichtere Lösung wie jetzt ohne Passwort, sondern es geht ja auch darum, dieses Verständnis auch zu entwickeln oder zu fördern, dass die Leute ein höheres Sicherheitsbewusstsein haben vielleicht, oder?

Martin Eisenlauer: Martin Eisenlauer Ja, aber das... Ich weiß es immer nicht. Ich finde, so ein schöner Spruch, den ich mal in der Kindererziehung gelernt habe, ist, wer hat denn eigentlich das Problem? Also, klassische Situation, du wirst aus dem Haus, weil du irgendeinen Termin hast oder auch dein Kind irgendeinen Termin hat, und dein Kind sitzt in seinem Kinderzimmer und tut alles Mögliche, nur sich nicht fertig machen. Und dann fängst du irgendwann an zu schreien, du fängst irgendwann an zu drohen.

Lisa Froehlich: Lisa Froehlich Mhm.

Martin Eisenlauer: Martin Eisenlauer und bist am Ende total gestresst und genervt, weil du nicht aus dem Haus kommst. Und sich einfach mal zu fragen, sag mal, wer hat denn eigentlich gerade ein Problem? Das finde ich an der Stelle wahnsinnig wichtig, weil mein Kind hatte in dem Moment kein Problem. Dem ging es total gut, das war es da und hat gespielt, ich hatte das Problem.

Lisa Froehlich: Lisa Froehlich Na klar. Ja.

Martin Eisenlauer: Martin Eisenlauer Und ich glaube, so ein bisschen ist es auch mit der IT. Wir wissen ja alle, der Admin ist immer der Mensch, der wahnsinnig genervt und gestresst ist, weil er mit den ganzen Usern irgendwie zurechtkommen muss. Und in Wahrheit ist es aber so, wenn ich jetzt ein schlechtes Passwort habe bei mir im Büro und darüber, dass ein Einfallstor ist und da Daten geklaut werden, ich habe kein Problem damit. Sondern das ist ja der Admin.

Lisa Froehlich: Lisa Froehlich Hmm... Hmm...

Martin Eisenlauer: Martin Eisenlauer Und ich glaube, wir müssen mal, also ja, es wäre schön, wenn alle Nutzer sich vernünftig benehmen würden, wenn die alle gute Passworte hätten, wenn sie Password Manager hätten. Aber ich glaube, man muss mal aufhören, daran zu glauben, dass das jemals passieren wird. Und ich habe, ich habe so, also das ist so, wie wenn man Lotto gewinnen will immer.

Lisa Froehlich: Lisa Froehlich Ja, ja, ja.

Martin Eisenlauer: Martin Eisenlauer Und mein Eindruck ist, der Plan, den die IT -Sicherheitsindustrie dafür hat, dass sich die Probleme lösen, ist im Lotto gewinnen. Also das ist wie, wenn ich jetzt heute sage, ich habe gerade zu wenig Geld, ich spiele jetzt mal Lotto und dann gewinne ich schon irgendwann mal im Lotto und dann sitze ich jede Woche, sitze ich da und denke, jetzt habe ich wieder nicht gewonnen, das ist doch doof, ich muss jetzt endlich mal gewinnen und...

Lisa Froehlich: Lisa Froehlich Mhm.

Lisa Froehlich: Lisa Froehlich Ja, ja. Ja klar, die Hoffnung stirbt zuletzt.

Lisa Froehlich: Lisa Froehlich Ja, ja.

Martin Eisenlauer: Martin Eisenlauer Die Lösung muss aber eigentlich sein, dass ich mir einen Finanzplan mache, dass ich meine Ausgaben besser in den Griff kriege, dass ich schaue, wo ich mehr Einnahmen kriege und nicht diese Hoffnung darauf, dass ich irgendwann mal im Lotto gewinne und ich habe das Gefühl, die IT hofft immer noch darauf, dass die User irgendwann mal schlau werden. Und das mag jetzt pessimistisch klingen, aber ich glaube es einfach nicht.

Lisa Froehlich: Lisa Froehlich Mhm.

Martin Eisenlauer: Martin Eisenlauer Der Douglas Adams hat mal so schön geschrieben, dass das Universum in einem ständigen Wettlauf damit ist. Auf der einen Seite die Ingenieure, die versuchen Idioten sichere Systeme zu bauen und auf der anderen Seite das Universum, das immer bessere Idioten baut. Und ich glaube, dieses Rennen kann man nicht gewinnen, sondern man muss jetzt mal akzeptieren, okay, die Leute wollen Quats als ihr Passwort benutzen. Und...

Lisa Froehlich: Lisa Froehlich Hmm.

Lisa Froehlich: Lisa Froehlich Hmm.

Lisa Froehlich: Lisa Froehlich Ja, ja.

Lisa Froehlich: Lisa Froehlich Ja.

Lisa Froehlich: Lisa Froehlich Ja.

Lisa Froehlich: Lisa Froehlich Ja, aber könnte denn, dann nochmal auf diese Passwort-Liste -Geschichte einzukommen, weil sonst schaffen wir wahrscheinlich nicht alle unsere Fragen, die die Hörer und Hörer vielleicht noch zu Sarah Gerast Architekturen hören wollen oder die Diskussion. Wenn wir jetzt auf Passwort -List zurückgehen, ist es denn eine Art Revolution, die wir dann erleben oder

Martin Eisenlauer: Martin Eisenlauer Ja, ein bisschen ja. Also die Hoffnung, dass dieses Passwort nicht mehr so relevant ist, das sieht man ja schon. Microsoft ist da ja schon sehr weit. Die haben teilweise Zero, Entschuldigung, die haben teilweise ja schon Passwordless-Systeme, wo man sein Passwort nur noch einmal alle zwei Jahre braucht. Das hat dann natürlich auch wieder den Nachteil, dass man es dann tatsächlich nicht mehr weiß und auch nicht mehr weiß, wo man es hingeschrieben hat. Im Wesentlichen ist das, glaube ich, aber tatsächlich für den Nutzer eine Revolution, denn er muss halt am Ende nicht mehr ständig mit diesem Passwort dann hantieren, sondern er kann sich dann tatsächlich überlegen, okay, ich schreibe es in ein Buch, ich weiß, das soll man eigentlich auch nicht machen, aber das liegt bei mir zu Hause im Keller, da wird am Ende schon niemand kommen und dann brauche ich das nur noch ganz selten und den Rest der Zeit...

Lisa Froehlich: Lisa Froehlich Mhm.

Lisa Froehlich: Lisa Froehlich Ja.

Lisa Froehlich: Lisa Froehlich Ja.

Martin Eisenlauer: Martin Eisenlauer identifiziere ich mich am Netzwerk einfach mit den Geräten, die ich ständig benutze, mit meinem üblichen Nutzungsmuster und natürlich mit Biometrie, was glaube ich ja das Wichtigste in diesem Bereich überhaupt ist, nämlich dass man eine Möglichkeit hat, sich biometrisch anzumelden, entweder über Gesichtsarchitektur, über Fingerabdrücke oder was ich auch immer noch sehr spannend finde, ist diese Venenmustererkennung, die Amazon ja zum Beispiel in den USA auch schon zum Bezahlen benutzt hat.

Lisa Froehlich: Lisa Froehlich Mhm.

Lisa Froehlich: Lisa Froehlich Ja klar. Ja, ja.

Lisa Froehlich: Lisa Froehlich Ja, genau.

Lisa Froehlich: Lisa Froehlich Ja, also ich tatsächlich bin jetzt selber auf, weil mein Firmenhandy beispielsweise bietet die Möglichkeit Face ID an. Und da ich eine relativ, also meine meine Sperre, meine Bildschirmsperre geht relativ schnell rein, weil ich das einfach nicht will, dass jemand irgendwie da drauf guckt und es gibt auch keine Pop -ups oder nur wenige. Und das habe ich jetzt auch ausgetestet und es erleichtert meinen, meinen, meinen Alltag insofern, als dass ich nicht immer meine sechsstellige PIN da eintippen muss. Aber natürlich gehöre ich auch zu den Leuten, die natürlich solche PINs so konfigurieren und so anpassen, dass sie leicht zu merken sind. Und natürlich gäbe es sicherlich clevere Leute, die auch in einem guten Gespräch mit Social -Engineering -Techniken sicherlich vielleicht das eine oder andere dazu rauskriegen könnten. Also ich glaube, dass im Grunde diese Themen, wie sicher können Accounts sein oder wie sicher können Passwörter sein? Ja, sowas zum Beispiel. Das ist ja häufig so entweder Hochzeitstag, Geburtstage, etc., PP. Das ist eigentlich was, was ja der ein oder andere sofort als allererstes vermutet. Und ich glaube, das ist einfach wichtig, dass man weiß, da hilft schon, wenn man das nicht macht. Jetzt ist es ja auch so,

Martin Eisenlauer: Martin Eisenlauer Das heißt, benutze den Geburtstag deiner Kinder.

Lisa Froehlich: Lisa Froehlich Du hattest ja auch die Verantwortlichkeiten angesprochen. Bevor wir kurz zu dem Thema Zero-Trust-Architekturen kommen, würde ich dir auch gerne von dir nochmal wissen, du hattest die Industrie angesprochen, die einfach damit klarkommen muss und einfach akzeptieren und realisieren muss, dass das, was sie vielleicht sich mal gedacht hat oder das, was sie mit den Nutzenden der Geräte und der Systeme vorhatte, dass das, ich will jetzt nicht sagen, gescheitert ist, aber es ist doch so, dass immer wieder die Frage aufkommt, wer hat denn am Ende oder wer trägt am Ende die Verantwortung für die Sicherheit? Und du hast das Beispiel gebracht mit Kindern, dieses Thema, wer hat denn eigentlich das Problem? Weil eigentlich hat ja am Ende des Tages die Industrie ein größeres Problem, weil die Sicherheitsvorfälle, die durch sozusagen schwache Passwörter oder Ähnliches entstehen und die Sicherheitslücken, die der Industrie entstehen, weil Nutzerkonten leicht gehackt werden können, wirken sich problematischer auf die Industrie und auf Unternehmen als solches aus. Wir können ja auch über Unternehmen sprechen, die beispielsweise Corona -Pandemie, alle gingen ins Homeoffice und da wurden die Angriffsflächen während dieser Turbodigitalisierung enorm vergrößert. Mal abgesehen davon, dass da natürlich nicht nur Nutzerkonten oder irgendwelche Credentials, mit denen man sich in seinen VPN oder in seinen Teams oder in seine virtuelle Arbeitsumgebung eingeloggt hat, Ziel waren. Aber das sind ja die Themen, wo es immer auch so eine Balance bzw. auch immer so ein Dilemma gibt, weil am Ende des Tages, wo hat oder wer trägt die Finale, ob man von der finalen Verantwortung sprechen kann, weiß ich nicht, aber...Wer hat deiner Meinung nach sozusagen die Verantwortung? Weil der Mensch an solcher, und das ist ja schon hinlänglich lange genug bekannt, ist ja ein Gewohnheitstier. Und der ist ja sozusagen, ne, keep it simple und wieso soll ich was verändern, was schon jahrelang funktioniert? Also, meinen Söhnen ist es gelungen, innerhalb kürzester Zeit den Handy -Pin meiner Mutter rauszufinden, nur weil sie zweimal oder dreimal drauf geguckt haben, welche Handbewegungen sie macht. Und sie nutzt wirklich auch eines dieser ...

Martin Eisenlauer: Martin Eisenlauer Ja, ja, es ist ...

Lisa Froehlich: Lisa Froehlich eine dieser Pins, wo ich sage, bitte, das ist quasi dein heutiges Leben und willst du das nicht ein bisschen besser schützen? Aber wie stehst du dazu? Wer trägt am Ende des Tages die Verantwortung?

Martin Eisenlauer: Martin Eisenlauer Naja, der, der den Schaden haben kann. Also ich glaube, das sind so Dinge, die regeln sich auch von selbst. Also bei deiner Mutter ist es im Zweifelsfalle halt so, da sind dann, weiß ich nicht, vielleicht mal ein Foto oder so weg oder da wird mal irgendwie ein peinlicher Post irgendwo gepostet, wenn da was gehackt wird. Da ist das Schadenspotenzial aber halt sehr, sehr niedrig. Und in der Industrie ist es inzwischen, glaube ich so, dass tatsächlich...diese Ausrede, der User hat ein schlechtes Passwort benutzt, die darf nicht mehr gelten, weil die Verantwortung liegt ganz klar bei der IT. Und da sehe ich tatsächlich auch die Verantwortung. Du hast ja vorhin schon über Corona gesprochen. Da haben wir das ja gesehen. Da haben ja viele dann auch festgestellt, okay, wir haben jetzt ein Zugangssystem und das also bisher war unsere Antwort auf Zugang.

Lisa Froehlich: Lisa Froehlich Ne. Ja, ja.

Martin Eisenlauer: Martin Eisenlauer Ja, wenn jemand im Hausnetz ist, darf er machen, was er will. Und da hat man dann schnell gesehen, dass das eigentlich an zwei Enden nicht mehr ausreicht. Nämlich auf der einen Seite die Leute waren nicht mehr im Hausnetz und konnten dann nichts mehr machen. Und auf der anderen Seite aber eben auch dieses Okay, wenn wir denen jetzt einen VPN machen, dann sitzen die zu Hause und dann, wenn wir dann wieder so tun, als wären die im Hausnetz, dann öffnet das für uns ganz, ganz neue Probleme, weil dann plötzlich nicht mehr nur

Lisa Froehlich: Lisa Froehlich Mhm.

Lisa Froehlich: Lisa Froehlich Ja, ja.

Lisa Froehlich: Lisa Froehlich Mhm.

Martin Eisenlauer: Martin Eisenlauer das Notebook in unserem Hausnetz ist, sondern eben auch alle anderen Geräte, die der in seinem WLAN zu Hause hat. Und da ist, glaube ich, sehr, sehr viel passiert, und zwar auf der einen Seite eben in diesem Bereich Identitätsmanagement, dass man mal gesagt hat, okay, nicht mehr jeder Nutzer ist gleich ein Supernutzer, sondern wir müssen sehr genau gucken, wer darf eigentlich auf was zugreifen, wann darf der das, was darf der da machen. Und auf der anderen Seite sieht man jetzt eben diese Zero Trust Architekturen.

Lisa Froehlich: Lisa Froehlich Mhm.

Martin Eisenlauer: Martin Eisenlauer die immer weiter ausgerollt werden, weil man eben festgestellt hat, das ist schon ganz schlau, mal nicht davon auszugehen, dass jeder Traffic, der da kommt, irgendwie ganz nett ist, sondern mal so zu tun, als wäre alles, was da kommt, erstmal ein Security Breach. Und dann gucke ich nach und stelle fest, okay, ja gut, okay, der könnte schon. Also ich glaube, das, was bei Zero Trust so wahnsinnig spannend ist, ist erstmal diese Beweislastumkehr.

Lisa Froehlich: Lisa Froehlich Mhm, mhm.

Lisa Froehlich: Lisa Froehlich Mhm.

Martin Eisenlauer: Martin Eisenlauer Also früher war es halt so, der Rechner musste dir quasi beweisen, dass du da nicht drauf zugreifen darfst. Und in der Zero Trust Architektur ist es halt andersrum. Da musst du jedes Mal mit jeder Frage, was für den Nutzer auch meistens vollkommen transparent funktioniert, aber jedes Mal muss neu gecheckt werden. Darf der das eigentlich? Ist das überhaupt er und so weiter? Und ich glaube dafür, das ist eine schöne Kombination, weil auch in dieser Zero Trust Architektur

Lisa Froehlich: Lisa Froehlich Ja, ja.

Lisa Froehlich: Lisa Froehlich Mhm.

Martin Eisenlauer: Martin Eisenlauer ganz viele Dinge benutzt werden, die sich wieder ganz gut mit dieser Passwordless -Architektur zusammentun und damit es für den Nutzer am Ende sogar einfacher machen, seine Dinge zu erledigen. Also auch dieses Gucken von Handlungsmustern. Also einfach mal zu sagen, Mensch, ich habe hier Lisa und die lädt jedes Mal den Podcast auf die Firmen -Server hoch.

Lisa Froehlich: Lisa Froehlich Mhm. Mhm.

Martin Eisenlauer: Martin Eisenlauer und heute ist sie in den Finanzdaten auf einmal unterwegs und schaut sich da gerade mal so die Einnahmen der Firma an. Was zur Hölle tut die da eigentlich? Und ist das wirklich in Ordnung? Und das blockieren wir jetzt erst mal. Und weil wir ja wissen, Lisa lädt normalerweise nur den Podcast hoch. Und das finde ich eine sehr, sehr schlaue Lösung. Und da eben.

Lisa Froehlich: Lisa Froehlich Mhm.

Lisa Froehlich: Lisa Froehlich Ja, ja.

Martin Eisenlauer: Martin Eisenlauer in dieser Mischung aus Zero Trust und einem starken Identitätsmanagement, das eben nicht nur an einem Passwort hängt, sondern das an Biometrie hängt, das auch an bekannten Geräten hängt. Also ich bin auch ein großer Freund dieser ganzen Authenticator -Abfragen, auch wenn die einem dann immer auf die Nerven gehen, wenn sie dann, weil sie kommen ja immer, wenn man sie am wenigsten braucht, aber...

Lisa Froehlich: Lisa Froehlich Mhm. Ja, ja.

Lisa Froehlich: Lisa Froehlich Ja.

Martin Eisenlauer: Martin Eisenlauer Prinzipiell finde ich das ganz ganz schön zu sagen, okay wir geben dir zwei Dinge in die Hand, nämlich einmal deine Credentials, das ist dein Nutzername und das ist im Zweifelsfalle eben ein Passwort oder ein Gesicht oder dein Fingerabdruck, den wir mal gespeichert haben und auf der anderen Seite hast du noch ein Handy, von dem wir schon mal wissen, dass du es bei uns im Netzwerk zum Beispiel angemeldet hast. Also wir wissen, das ist dein Handy. Oder wir schicken dir eine SMS. Ich meine, am Ende ist der Authenticator ja eigentlich auch nur eine Sparmaßnahme.

Lisa Froehlich: Lisa Froehlich Ja, exakt.

Martin Eisenlauer: Martin Eisenlauer wo man sagt, wir wollen nicht jedes Mal eine SMS bezahlen müssen oder verschicken müssen oder die Infrastruktur dafür einrichten müssen. Und diese Kombination finde ich sehr, sehr schlau für die Zukunft. Und ich glaube, da wird noch sehr, sehr viel auch passieren, wo man dann auch immer mal wieder feststellt, okay, jetzt passieren seltsame Dinge. Aber das macht in meinen Augen total viel Sinn in diese Richtung zu gehen und den Leuten Stück für Stück immer weiter die Verantwortung tatsächlich auch aus der Hand zu nehmen, weil wir eben festgestellt haben als Industrie, es funktioniert nicht. Und das ist wie das Leckerli vor den Hund legen und zu erwarten, dass das Training schon funktionieren wird und der da nicht zuschnappt. Ja, es gibt sicher Hunde, die können das ganz toll, aber es gibt auch ganz viele Hunde, die können das nicht. Und...

Lisa Froehlich: Lisa Froehlich Mhm.

Lisa Froehlich: Lisa Froehlich Ja, ja.

Lisa Froehlich: Lisa Froehlich Mmh.

Martin Eisenlauer: Martin Eisenlauer Da muss man damit leben, also zum Anfang zurückzukommen. Die Verantwortung liegt in meinen Augen ganz klar inzwischen bei der Industrie, und zwar auf der einen Seite bei den Sicherheitsfirmen, einfach auch Lösungen anzubieten, die diese Probleme sehen und vorwegnehmen und auf der anderen Seite bei den Firmen selbst, also in den IT-Abteilungen zu sagen, ok Passwort.

Lisa Froehlich: Lisa Froehlich Klar.

Martin Eisenlauer: Martin Eisenlauer ist nicht mehr, ist keine Lösung, einen Nutzer wirklich sicher zu identifizieren, sondern das kann eins von ganz vielen Signalen sein, die wir regelmäßig erfassen müssen. Und wir müssen da wirklich schlau damit umgehen, am Ende einfach eine Architektur zu haben, die auch diese Resilienz dann mitbringt. Also wo man dann nicht dasteht und sagt, ja, jetzt haben wir ein Passwort verloren und jetzt ist alles, ist alles weg. Jetzt haben wir den, den, den

Lisa Froehlich: Lisa Froehlich Ja, ja.

Martin Eisenlauer: Martin Eisenlauer Verschlüsselungstrojaner überall im System und da hat einmal, einmal hat irgendwo, ich sage jetzt mal ganz provokativ, der Hausmeister hat sein Passwort nicht ordentlich vergeben und jetzt sind unsere Firmen kritischen Daten weg. Und das war früher mal schon eine Ausrede, die galt. Das kennen wir alle noch.

Lisa Froehlich: Lisa Froehlich Mhm.

Martin Eisenlauer: Martin Eisenlauer Und ich erinnere mich an dieses I love you Virus, das Ende der 90er unterwegs war. Und ich habe damals auch schon in einem Fachverlag gearbeitet. Also wir waren gefühlt alle Fachleute. Und natürlich hat einer drauf geklickt auf dieses Skript. Und natürlich hatten wir es im ganzen Netzwerk. Und das wird immer wieder passieren. Aber wichtig wäre eben zu sagen, okay, dieser eine Idiot,

Lisa Froehlich: Lisa Froehlich Mhm.

Lisa Froehlich: Lisa Froehlich Ja klar.

Lisa Froehlich: Lisa Froehlich Mhm.

Martin Eisenlauer: Martin Eisenlauer der da draufgeklickt hat, der hat nicht Zugriff auf sämtliche Systeme und der kann auch nicht überall alle Dateien überschreiben. Und wir haben eben entsprechende Systeme. Wie schon gesagt, es geht beim Identitätsmanagement los, aber es ist eben auch das Abtrennen von einzelnen Bereichen, sodass man wirklich eine IT -Architektur am Ende hat, die auch problemlos damit umgehen kann, dass jemand eins, zwei, drei, vier als Passwort benutzt.

Lisa Froehlich: Lisa Froehlich Ja, das stimmt. Also ich glaube auch, dass Sero -Trust -Architekturen für die Zukunft ein vielversprechender Ansatz sind. Und so aus Sicherheitsperspektive ist es natürlich sinnvoll zu sagen, mit einem Prinzip, das im Grunde keinem Benutzer, keinem Gerät, keinem System innerhalb oder außerhalb des Netzwerks automatisch vertraut, ist im Grunde sicherer. Weil natürlich kann oder muss ja jede Interaktion erst mal authentifiziert werden, was dann wiederum mit Passwordless -Lösungen und verschiedenen sozusagen, ja, vielleicht auch noch zuentwickelnden Passwordless -Lösungen übereinstimmt, sodass man im Grunde auch eine entsprechende Benutzerfreundlichkeit bietet. Und natürlich macht es sicherlich auch Sinn, bestimmte Nutzer aus bestimmten ...Bereichen des Netzwerks einfach fernzuhalten, indem man einfach sozusagen die Netzwerke trennt oder in Containern organisiert oder einfach separiert. Also ich wage mal zu bezweifeln, dass ich sozusagen auf unsere Finanzdaten zugreifen dürfte, wenn ich sozusagen regelmäßig immer nur den Podcast da hochlade. Und das ist genau das, weil natürlich gibt es einfach ja auch in jedem Unternehmen sensible Daten und es gibt sehr sensible Daten und es gibt die Daten, die auf gar keinen Fall irgend wem in die Hände fallen sollten. Und wie du schon sagtest, es gibt in ganz vielen Unternehmen und das habe ich kürzlich auch auf einer Konferenz erfahren, es gibt ganz viele Unternehmen, die einfach auch schon Opfer von Ransomware -Angriffen geworden sind und da hat natürlich irgendeiner im Unternehmen oder irgendwer auf den falschen Link, auf den falschen Anhang, auf ein Bild, auf

Martin Eisenlauer: Martin Eisenlauer Ja.

Lisa Froehlich: Lisa Froehlich irgendetwas geklickt und mittlerweile mit den Techniken, die heutzutage angewendet werden können. Ja, und da sind wir wieder am Anfang unseres Gesprächs, nämlich was Chet -GPT allein leisten kann in der Perfektionierung von phishing -E -Mails, auch wenn das eigentlich nicht dafür benutzt werden sollte. Aber es gibt ja auch schon quasi die böse Version von Chet -GPT, weil diese Large -Language -Models, die sind ja...als Open Source zum Teil frei verfügbar und können auch in diesen Kreisen implementiert und genutzt werden. Es gibt in der Tat mittlerweile wirklich E -Mails. Ich war gestern erst auf einer Veranstaltung zum Thema künstliche Intelligenz und da ging es darum, die Fehler, die künstliche Intelligenz macht. Das war eine Veranstaltung mit Wissenschaftlern und da geht es natürlich immer schon so auf so eine ganz große Metaebene hoch, wo wir diskutiert haben, was ist denn eigentlich ein Fehler? Weil ist es denn ein menschlicher Fehler, auf einen Link zu klicken, der in einer täuschend echten E -Mail ankommt, so dass im Grunde der Angreifer in mein System eingreifen kann? Also das sind ja wirklich auch, sag ich mal, moralische, ethische…

Martin Eisenlauer: Martin Eisenlauer Ja.

Lisa Froehlich: Lisa Froehlich juristische Komponenten in diesem Konstrukt, die ja gar nicht abgebildet werden, sondern die ja wirklich auch von den Systemen oder der Maschinen, die da hinten dranhängen, losgelöst sind. Weil wir Menschen sind keine Maschinen und natürlich können wir sozusagen uns helfen lassen mit den Maschinen gleichwohl. Haben wir den Anspruch an Maschinen, dass sie sozusagen fehlerfrei funktionieren und fehlerfrei agieren und einfach keine Fehler machen, weil es sind ja Maschinen. Und ich fand das sehr, sehr spannend, weil ich bin, nicht sicher, wie sich das weiterentwickelt. Werden wir irgendwann nachsichtiger mit Maschinen, weil sie auch Fehler machen, weil natürlich sozusagen die ja auch nicht unfehlbar sind. Und ich bin sehr gespannt, wie sich sozusagen das Thema Zero-Trust-Architekturen in der Zukunft noch weiterentwickeln wird. Zum Abschluss unserer Folge, wo siehst du die größten Herausforderungen und Chancen quasi für die digitale Sicherheit? Und wenn du einen Tipp hättest, den du jetzt sozusagen unseren Hörerinnen und Hörern geben könntest, sich besser in dieser technologischen Welt zurechtzufinden, welcher wäre das.

Martin Eisenlauer: Martin Eisenlauer Also ich fang mal ganz basal an. Ich glaube, das ist jetzt fast ja schon eine philosophische Diskussion, die du gerade angestoßen hast. Ich glaube nämlich, dass gerade was ganz Spannendes passiert, nämlich wir lernen gerade, dass Maschinen weggehen von dieser maschinellen Präzision und so ein bisschen mehr menschlich werden an dieser Stelle. Weil der Unterschied zwischen dem, was wir vor KI gemacht haben und dem, was KI macht,

Lisa Froehlich: Lisa Froehlich Mhm. Ja.

Lisa Froehlich: Lisa Froehlich Ja.

Martin Eisenlauer: Martin Eisenlauer ist ja, dass KI quasi wieder mehr rät. Deswegen haben wir auch diese Fehler drin. Deswegen kann man Antworten auch regenerieren. Also wenn man dem Taschenrechner sagt, eins plus eins, dann kommt da hinten zwei raus und da kann man so oft auf und drücken, wie man möchte. Es kommt immer zwei raus. Und bei der KI ist es ja so, du kannst immer sagen, regenerier doch nochmal dieses Ergebnis, weil es, weil es genau, weil es eben sich mehr dieser menschlichen Art

Lisa Froehlich: Lisa Froehlich Ja, denk mal drüber nach. Ist es das Richtige?

Martin Eisenlauer: Martin Eisenlauer annähert zu sagen, ich versuche einfach mal das zu raten, was mir in der Situation die schlauste Antwort wäre. Und da passiert gerade wahnsinnig viel. Und ich glaube, da hat niemand so richtig einen Plan, wie das Weitergehen wird und ob das weitergehen wird oder ob dann irgendwann Skynet kommt und uns alle tötet. Aber...

Lisa Froehlich: Lisa Froehlich Mmh.

Martin Eisenlauer: Martin Eisenlauer Ich glaube, bis dahin ist es eine schlaue Idee, sich doch noch mal einen Passwortmanager zu suchen und den einfach zu benutzen, trotzdem ich jetzt fünfmal gesagt habe, die Industrie ist dafür verantwortlich, ein bisschen Verantwortung für sich selbst zu übernehmen, weil am Ende will man auch nicht der sein, wegen dessen schlechtem Passwort da irgendwie...

Lisa Froehlich: Lisa Froehlich Mmh. Mmh.

Martin Eisenlauer: Martin Eisenlauer was weiß ich, die ganze Firma wochenlang stillstehen muss oder Leute ihren Job verlieren oder die IT -Menschen unglücklich sind mit einem. Also bei aller, ich glaube tatsächlich fest, dass die Verantwortung bei der IT liegt. Die müssen jetzt endlich mal handeln, die müssen akzeptieren, dass die Passwörter Querz und 1, 2, 3, 4 sind. Ich glaube aber auch, dass jeder von uns selbst, und wenn es nur für sich selbst, für die Eigenwahrnehmung ist, sich

Lisa Froehlich: Lisa Froehlich Hmm.

Martin Eisenlauer: Martin Eisenlauer Mühe geben sollte, kein Idiot zu sein.

Lisa Froehlich: Lisa Froehlich Ja, das stimmt. Das hast du gut gesagt. Ja, ich denke, ihr habt einen guten Einblick bekommen, was die größten Herausforderungen auch sind in der Zukunft. Also gerade so, wir hatten das ja besprochen, wie ist die Balance zwischen Sicherheit und Benutzerfreundlichkeit? Wie können wir technologische Fortschritte, wie künstliche Intelligenz nutzen, einfach Sicherheitslösungen zu verbessern? Was heißt es im Grunde Passwortless mit Zero Trust Architekturen zu kombinieren. Und gleichzeitig, denke ich, liegt einfach eine große Chance darin, dass wir einfach auch nochmal appellieren an alle, dass wir alle ein Bewusstsein für für Cyber-Sicherheit entwickeln und auch wenn die Verantwortung zum größten Teil bei der Industrie liegt, denke ich doch, dass auch sie, die Industrie kontinuierlich weiter innovativ bleiben wird und auch muss, damit eben die Bedürfnisse und Fähigkeiten der Endnutzer auch berücksichtigt werden können. Weil das ist, einfach, wie gesagt, der Mensch, ich hatte es schon mal gesagt, ist ein Gewohnheitstier. Nicht jeder mag Veränderungen, nicht jeder mag komplizierte Dinge und es sind einfach ja auch nicht nur Digital Natives da draußen unterwegs, sondern wir sind ja einen ganz unterschiedlichen Reifegraden, die der Mensch so mitbringt, was seine technologischen Fähigkeiten angeht. Ich glaube, wir haben kurz sozusagen in unserem Gespräch aufgezeigt, was es da zumindest im privaten Bereich für Herausforderungen gibt und wie da sozusagen auch die Themen gewichtet sind. Und ja, vielen, vielen lieben Dank, Martin, dass du Zeit hattest für mich und bedanke mich für die interessanten Einblicke und würde am liebsten noch ein bisschen weiterplaudern und hören, wie es mit Mark Zuckerberg und Jeff Bezos war. Leider sind wir jetzt am Ende unserer Podcast -Folge und da bleibt mir nur, wie gesagt, dir ein herzliches Dankeschön auszurichten. Und ja, ich freue mich, dass du meinen Gast warst. Vielen Dank.

Martin Eisenlauer: Martin Eisenlauer Vielen Dank für die Einladung, war ganz mein Vergnügen. Und ja, vielen Dank fürs Zuhören und fürs Interesse.

Lisa Froehlich: Lisa Froehlich Ja und ihr da draußen, wenn euch die Folge gefallen hat, dann empfehlt den Podcast gerne weiter. Follow the Right Rabbit, der Link 11 IT Security Podcast oder abonniert den Podcast. Lasst doch gerne eine Bewertung oder eine Kommentierung da. Wir freuen uns. Und an dieser Stelle bleibt mir einfach nur zu sagen, passt auf euch auf, passt auf eure Passwörter auf. Vielleicht ändert ihr sie nochmal und ja, bleibt sauber und passt auf euch aus. Auf da draußen! Vielen Dank und bis zur nächsten Folge! Macht's gut! Tschüss!