#27: Cracking the Code – ein Tauchgang in die Welt des Hackings

Lisa Fröhlich: Lisa Fröhlich Hallo und herzlich willkommen zu einer neuen Folge von Follow the White Rabbit, dem Link11 IT Security Podcast. Mein Name ist Lisa Fröhlich und ich bin Unternehmenssprecherin bei Link11. Es freut mich, dass ihr wieder dabei seid und mit mir in die Tiefe des Kaninchenbaus Cyber Sicherheit steigt. Heute geht es Hacking und zwar das sogenannte Whitehat Hacking. Wie sich das von Blackhat und anderen Hacking Motiven unterscheidet und was genau es damit auf sich hat, kläre ich mit meinem heutigen Gast, Arvid Zwang, dem CEO von greenhats. Er ist ein echter Experte für Cybersicherheit und hat sich mit seinem Unternehmen greenhats darauf spezialisiert, anderen Unternehmen dabei zu helfen, ihre digitale Sicherheit auf ein neues Level zu heben. Mit seiner langenjährigen Erfahrung in dem Bereich Whitehat Hacking und Pentesting kennt er natürlich die Tricks der Hacker und wie kennt es weiter und weiß, wie man die Unternehmen davor schützen kann. Arwid, vielen, vielen Dank, dass du heute mein Gast bist und unseren Hörerinnen und Hörern einen Einblick in die Hacking Welt zeigst. Doch bevor wir gemeinsam in das Thema einsteigen, stell dich doch bitte kurz vor.

Arwid Zang: Arwid Zang Ja, hallo Lisa erst mal. Ich freue mich super, dass wir das heute zusammen machen. Das wird bestimmt eine spannende Folge. Wie du es schon so schön gemacht hast. Mein Name ist Arwid Zang. Ich bin Gründer und Geschäftsführer von greenhats. bin jetzt seit knapp zehn Jahren im Bereich Whitehat-Hacking und Penetration Testing unterwegs. Wir machen das schon eine ganze Weile. Wir waren damals auch schon Gründer. Und heutzutage machen wir vor allem drei große Dinge. Wir haben drei Standbeine. Einmal das White Hacking, worüber wir heute halt sprechen werden. Dann machen wir ziemlich viel Awareness, also Cybersecurity Awareness für die Menschen da draußen, für die Mitarbeiter, aber auch für ITler und für Geschäftsführer. Also jetzt auch mal so die, ja, die gerne mal vergessen werden in Schulung, obwohl sie die wichtigsten darin sind. Und als drittes Standbein machen wir kontinuierliches Pentesting. Sprich, alles, was über das Internet erreichbar ist, prüfen wir tagesaktuell auf Schwachstellen bei unseren Kunden und helfen dann dabei, deren Schwachstellen zu beheben, bevor sie ausgenutzt werden.

Lisa Fröhlich: Lisa Fröhlich Das klingt super spannend. Ja, vielen Dank, dass du dir die Zeit nimmst. Also du bist so bisschen was wie Sherlock Holmes der digitalen Welt und vielleicht kannst du unseren Zuhörern ja mal quasi in einfachen Worten erklären, was genau ein Whitehat Hacker macht und wo der Unterschied zu den anderen respektive auch den bösen Hackern liegt.

Arwid Zang: Arwid Zang Eigentlich macht der Whitehat Hacker genau das, was der Blackhat Hacker, sprich der böse Hacker macht. Nur er tut es mit Beauftragung von seinem ... Wenn ich jetzt Opfer sage, ist das wahrscheinlich der falsche Einstieg, aber von seinem Kunden, sag ich mal. Also der Trick ist tatsächlich, dass wir, und das ist uns auch immer sehr wichtig, dass wir genau das tun, was bösartige Hacker auch machen. Nur wir tun es, um Schwachstellen aufzudecken und sie zu ...

Lisa Fröhlich: Lisa Fröhlich Mhm.

Arwid Zang: Arwid Zang beheben sie zu schließen. Das ist eigentlich alles, ... ... was White-Hat Hacker und Black-Hat Hacker ... ... unterscheidet, ist der Vertrag, ... der mit dem Kunden geschlossen wurde.

Lisa Fröhlich: Lisa Fröhlich Ja, und wahrscheinlich die, ich sag mal so die Motivation. Am Ende des Tages ist es zwar auch natürlich bei einem Whitehat Hacker eine finanzielle Motivation, weil ihr habt euer Unternehmen entsprechend darauf gegründet. Aber es stecken natürlich keine kriminellen Energien dahinter, sondern es ist einfach im Grunde ein Auftrag, wie du schon gesagt hast, Unternehmen. Ich kenne das ja seinerzeit aus der Uni, da sind ja auch ganz viele Doktoranden an dem Lehrstuhl, wo ich gearbeitet habe, damit beschäftigt gewesen, vor allem Hardware-Hacking zu machen, also einfach auch sozusagen Chips auseinanderzunehmen und zu gucken, wie kann man sozusagen die Chips hacken, sowohl mit Software als auch mit wirklich auseinanderschrauben und neue Dinge dranlöten etc. pp. Und ich erinnere mich, dass der Professor mit den Doktoranden und mit den Mitarbeitenden immer die Unternehmen dann auch entsprechend angeschrieben hat und gesagt hat, hier, wir haben Forschungen zu XY gemacht. Die waren auch viel so im IoT-Gerätebereich unterwegs und haben natürlich dann entsprechend auch die Hersteller der IoT-Geräte angeschrieben und haben gesagt, hier, wir haben da eine Vulnerabilität, wir haben eine Schwachstelle, wir haben gesehen, dass der Chip XY gehackt werden kann. Wie sieht es aus? Können wir da irgendwie kooperieren? Wollt ihr das wissen? Und viele Unternehmen haben tatsächlich auch gesagt, nee, das ist uns nicht so wichtig. Und dann ist es so, dass es im universitären Bereich dann in den Paper Münzen, wo quasi öffentlich bekannt wird, welche Schwachstellen auf welchen Chips oder in welchen Geräten sind, wenn die Unternehmen nicht reagieren und die kriegen dann quasi eine Frist gesetzt. So sieht es ja bei euch nicht aus. wie sieht denn sozusagen ein Tag bei euch aus? Also ich glaube ja, dass der Job mega spannend ist, weil das ja im Grunde das ist, wo man so ein bisschen seine eigene Mission Impossible irgendwie verfolgen kann und irgendwie die Ecke denken muss und vielleicht auch tatsächlich in die Tiefen von bestimmten Systemen absteigt, entsprechende Lücken zu finden. Aber wie genau passiert das alles und was genau macht ihr da?

Arwid Zang: Arwid Zang Also der Job hat natürlich eine sehr technische Komponente, aber auf die gehe ich gleich noch ein bisschen ein, weil ich finde das, was du vorher gesagt hast, total wichtig. Du hast gerade darüber gesprochen, dass die bösen Hacker ja eine andere Motivation haben als die guten Hacker, wenn du jetzt mal so mit in diesem schwarz-weiß denken gehen wollen. Das ist zwar richtig, aber auch nicht, weil natürlich haben wir keine kriminelle Motivation dahinter. Aber ich hab's jetzt bei dir gerade auch schon gemerkt, als du darüber gesprochen hast, kam schon so das Feuer in die Stimme und das hat auch das hat was hochgradig Emotionales. Und ich glaube, das die besten White-Hat-Hacker, die hören, also die haben nicht diesen klassischen, wie man so schön sagt, 9 to 5 Job und sagen, ich stempeln ein und stempeln wieder aus, sondern da ist schon ein gewisser sportlicher Ehrgeiz dabei auch. Also dann der Kunde, der hat dann zwar unterschrieben, aber man möchte den dann auch hacken. Also das ist wirklich

Lisa Fröhlich: Lisa Fröhlich Das glaube ich auch.

Lisa Fröhlich: Lisa Fröhlich Mhm.

Arwid Zang: Arwid Zang Das seh ich immer bei den Leuten, wenn da mal ein Ziel, was man sich selbst gesteckt hat, nicht erreicht, wird es echt auf Frustration da. Es wird wirklich versucht nach allen Regeln der Kunst. Und da gibt's auch dann so interne kleine, wer hat's am schnellsten geschafft, Wettkämpfe. Das ist was total Wichtiges, weil halt diese Motivation am Ende des Tages, die ist identisch, auch wenn sie quasi nicht aus einem kriminellen Motiv kommt. Aber das wollt ich dazu noch anmerken, weil das ...

Lisa Fröhlich: Lisa Fröhlich Ja.

Lisa Fröhlich: Lisa Fröhlich Ich glaube auch, das ist eine riesen Community.

Arwid Zang: Arwid Zang Ja, genau. Und das schweift zwar ab, aber nur ein ganz, ganz kleiner Exkurs. Ich hatte vor fünf, sechs Jahren ... mal gelesen, da gab's mal eine Studie online zum Bug Bounty, sprich, dass Hacker da draußen einfach sich bezahlen lassen, wenn sie irgendwo eine Schwachstelle finden. Und da wurde mal eine Umfrage gemacht, damals noch über Twitter, hieß es da ja früher noch, und da haben, ich glaube, 80 Prozent von über 1.000 Leuten, die da mitgemacht haben, haben irgendwie angegeben, dass sie für unter 20 Dollar ...

Lisa Fröhlich: Lisa Fröhlich Mhm.

Arwid Zang: Arwid Zang ... Bounty arbeiten würden. Also da ging es ganz viel auch dieses ... ... ich habe das erreicht und ich werde anerkannt ... und gar nicht mal so den finanziellen Aspekt. Aber du hast mir eigentlich eine andere Frage gestellt. Du hast mich nach meinem Arbeitsalltag gefragt ... ... und da würde ich kurz darauf eingehen, ... was mit White Hacking immer passiert ... ... ist, dass am Anfang, wir hatten es gerade, ein Vertrag geschlossen wird. Das heißt, Kunde und White Hacker schließen einen Vertrag. Das ist ähnlich wie beim Arztbesuch. Wenn ich zum Arzt gehe und bekomme eine Spritze, ... dann ist das eigentlich Körperverletzung.

Lisa Fröhlich: Lisa Fröhlich Mhm.

Arwid Zang: Arwid Zang Aber dadurch, dass ich einwillige, der Arthritis Spritze gibt, wird das Ganze rechtlich legitim. Und genauso ist das hier auch. Wir gehen hin und der Kunde erlaubt uns, ihn auch mit scharfer Munition anzugreifen. Und dann geht es ganz, ganz stark den Scope. Was ist das Ziel? Also wir haben es häufig auch so, dass ein Kunde zum Beispiel irgendeine App entwickelt hat und möchte, dass diese App getestet wird. Dann sitzen wir natürlich im Büro, nehmen die App auseinander und man sitzt halt am Computer und ...

Lisa Fröhlich: Lisa Fröhlich Mhm.

Arwid Zang: Arwid Zang wühlt da durch den Code so ein bisschen wie in Matrix, nur dass es nicht schwarz-grün ist. Obwohl bei manchen ist es auch schwarz-grün, ... ... das ist natürlich so die eine Sache. Aber so die Lieblingsaufträge, die man halt auch relativ oft bekommt, ist, ... ... der Kunde kommt und sagt, er möchte einfach komplett wissen, wo steht er denn gerade. Inklusive, was gibt's ... über mich im Darknet, da fangen wir mal an, ... ... mit den Informationen, was könnt ihr über das Internet ... an meinem System hacken, wo könnt ihr reinkommen bis hin zu, wie könnt ihr physisch sogar mein Unternehmen angreifen? Kommt ihr irgendwo bei mir rein? Bis hin zu, wenn ihr dann drin seid, wie könnt ihr euch durch mein Netzwerk wühlen? Also angenommen, haben dann einen Computer übernommen, so schaffen wir es, das ganze Unternehmen dann zu übernehmen oder nicht. Das ist dann so dieses große Ganze. Unser Arbeitsalltag sieht so aus, dass wir das am liebsten erst mal selbst tun, aber dann auch beim Kunden vor Ort viel arbeiten. Also auch selbst die Sachen, die über das Internet gehen, machen wir gerne bei Kunden vor Ort ... und lassen uns über die Schulter gucken. Dass wir sagen, gut, lieber Kunde, ... am Ende sollst du ja auch ein bisschen wissen, wie gehen wir vor, ... dass ein oder andere auch mal selbst machen können. Wir wollen nicht nächstes Jahr wiederkommen und wieder bei Null anfangen, ... ... mache auch ein bisschen was selbst. Und dann gerade in den letzten Zügen, ... ... das ist vielleicht so ein Twist, ... den man hier schon mitnehmen kann, ...

Lisa Fröhlich: Lisa Fröhlich Mhm.

Lisa Fröhlich: Lisa Fröhlich Mhm.

Arwid Zang: Arwid Zang In den letzten Zügen greifen wir gerne das Unternehmen gemeinsam mit der IT sogar an. Das heißt, dass wir sagen, so an den letzten ein, zwei Tagen, die wir dann vielleicht haben, setzen wir uns neben die IT und sagen, okay, ihr kennt euer Unternehmen und auf gut Deutsch eure Pappenheimer am besten. Wo sollen wir jetzt hier nochmal angreifen? Und dann kombinieren wir das Wissen der IT über das eigene Netzwerk mit unserem Hackerwissen, nenne ich das jetzt mal, und bauen darauf Angriffe. Und wenn wir dagegen danach Schutzmechanismen entwickeln und

Lisa Fröhlich: Lisa Fröhlich Mhm.

Lisa Fröhlich: Lisa Fröhlich Mhm. Mhm. Mhm.

Arwid Zang: Arwid Zang das quasi einem ITler aus einem Unternehmen unmöglich machen, das eigene Unternehmen im Alleingang zu hacken. Wenn ein Unternehmen dagegen aufgestellt ist, dann wird es für jemanden, einfach über das Internet versucht, Schaden anzurichten, fast unmöglich.

Lisa Fröhlich: Lisa Fröhlich Ja, das stimmt. Also ich glaube, es ist wichtig vor allen Dingen, dass man sozusagen bei solchen kniffligen Fällen einfach auch die die eigenen Leute da mit ins Boot holt, weil die, wie du ja schon gesagt hast, eigentlich im Grunde am besten wissen, wo die Löcher im Käse sind. Und es gibt ja und das weiß ich jetzt auch durch die vielen Gespräche, die ich hier schon geführt habe. Es gibt ja nicht die hundertprozentige Sicherheitsgarantie. Also die wird es einfach nicht geben, weil es am Ende des Tages reicht hier eine winzige Lücke, in irgendwie ein System reinzukommen. Und es gibt ja auch verschiedene Wege in ein System reinzukommen. Also es gibt, du sagst, es gibt die technischen Wege. Es gibt aber ja auch die ganz handfesten Wege, in denen ich vielleicht irgendjemand besteche, der schon im System ist, der vielleicht unzufrieden ist. Also da gibt es ja sozusagen eine Innen- und eine Außenperspektive immer auch gerade bei großen Unternehmen. Also das ist ja auch was, da hatten wir im Vorfeld ja auch schon mal drüber gesprochen, wie gelingt es denn quasi Angreifern in Systeme reinzukommen. Und du hattest so ein schönes Beispiel von, ich glaube es waren Stadtwerke, wo ihr wart und mit dem Schwimmbad. Das fand ich sehr eindrücklich, weil da ging es ja auch darum, dass im Grunde da auch erstmal alle möglichen Wege aufgezeigt werden, die es so gibt.

Arwid Zang: Arwid Zang Ja.

Lisa Fröhlich: Lisa Fröhlich Das sind ja auch nicht immer die offensichtlichen Wege, wie beispielsweise eine AP-Schnittstelle, Schwachstelle oder irgendwie ein Fehler im Code oder ein nicht gepatchter Server irgendwo, den alle schon vergessen haben, der aber trotzdem noch am Netz hängt oder irgendein IT-Administrator, der schon lange nicht mehr im Unternehmen ist, aber trotzdem auf bestimmten Services und IT-Infrastrukturen, der aber immer noch als Admin angelegt ist und dann sein Passwort und seinen Account da irgendwo draußen frei verfügbar sind oder ins Darknet gelangt sind etc. Pp. Gibt es denn spezielle Gadgets oder Tools, die ihr nutzt oder wie ist denn da sozusagen euer Einstieg? Womit fangt ihr denn in der Regel an?

Arwid Zang: Arwid Zang Das ist genau die Lieblingsfrage. Gibt es da Tools, die wir nutzen? Mein Kollege, weil er ... Ja, natürlich auch. Ich fang mal vor ... Ich fang mal vor, dann ... Genau, in dem Moment ... Mein Kollege sagt immer, dem Moment, ich jetzt ein Tool sage, was wir nutzen, ist es schon wieder outdated. Weil wir natürlich ... Nee, genau, weil wir natürlich tagesaktuell morgens gucken müssen, was ist gerade da draußen los, und setzen das halt ein.

Lisa Fröhlich: Lisa Fröhlich Nein, ich denke da eher so an Google, ne? Also... und..., also... Open Source...

Lisa Fröhlich: Lisa Fröhlich Nein, du musst auch keine nennen, um Gottes Willen.

Lisa Fröhlich: Lisa Fröhlich Mhm.

Arwid Zang: Arwid Zang Wichtig ist diese Frage aber trotzdem, deshalb greife ich sie mal von vorne auf. Aus meiner Sicht ist es ein relativ großes Problem, dass dieser Begriff des White-Hackings oder Pentests, das merken, ich spreche lieber von White-Hacking, eigentlich White-Hacking und Pentest, zwei Begriffe, die, ja, das Gleiche meinen, sehe ich ein bisschen anders, weil dieser Pentest selbst, Penetration-Test, gerade halt einfach total kommerzialisiert wurde.

Lisa Fröhlich: Lisa Fröhlich Mhm.

Lisa Fröhlich: Lisa Fröhlich Mhm.

Arwid Zang: Arwid Zang Und das sorgt dafür, dass ganz, ganz viele IT-Unternehmen da draußen, ohne jede Cybersecurity-Erfahrung, sagen, sie verkaufen Pentests. Und was die machen, ist, die gehen hin und klicken halt auf eine Softwarelösung. Da wird dann 80 Seiten Report generiert. Wenn man als Kunde Glück hat, wird der noch einmal durchgelesen und überarbeitet und wird dann als Pentest-Ergebnis abgegeben. Und das ist nicht nur qualitativ Schrott, sondern auch für den Endkunden sehr ...

Lisa Fröhlich: Lisa Fröhlich Mhm.

Arwid Zang: Arwid Zang sehr dramatisch, weil er damit eigentlich mehr Arbeit hat als vorher, weil viele der Sachen, da drin stehen, ... wahrscheinlich gar nicht stimmen und man muss sich dann ... selber noch damit beschäftigen. Und es gibt mittlerweile Unternehmen, die solche Reports für den Endkunden wieder übersetzen, ... also was total absurd ist. Deshalb ist diese Frage nach Software erst mal ... super wichtig, weil natürlich setzen auch ... gute White Hacker alle möglichen Softwares ein, ... aber White Hacking heutzutage ist immer noch ... ein manuelles Geschäft.

Lisa Fröhlich: Lisa Fröhlich Mhm.

Arwid Zang: Arwid Zang Da ist natürlich ganz viel drin. Natürlich Scanner und KI, Scanner und alles Mögliche. Aber am Ende des Tages ist es eine manuelle Dienstleistung heute noch. Und das muss es sein.

Lisa Fröhlich: Lisa Fröhlich Mhm.

Arwid Zang: Arwid Zang So, das erst mal.

Lisa Fröhlich: Lisa Fröhlich weil ja wahrscheinlich auch die menschliche Komponente nicht unterschätzt werden darf, weil ich denke mir immer so, wenn ich Hackerin wäre, dann würde ich auch erstmal sozusagen gucken, mit beispielsweise mit DDoS-Angriffen irgendwie anfangen und dann würde ich sehen, okay, also wenn die Abwehrmaßnahmen da schon in die Knie gezwungen werden, dann könnte es sein, dass bei diesem Unternehmen ja noch mehr zu holen ist, weil wenn sozusagen die sogenannte First Line of Defense nicht passt, in meinen Augen, also wenn das Basisfundament schon wackelt, dann würde ich mir da als Hackerin sehr viel von versprechen, aber ja.

Arwid Zang: Arwid Zang Das ist, das ist völlig korrekt. Das ist zum Beispiel wir, wir zum Beispiel führen keine DDoS Simulationen durch, es sei denn der Kunde wünscht es explizit. Weil wir sagen wir, wir versuchen möglichst unbemerkt uns durch das ganze Netzwerk zu hacken. Das ist so, das heißt selbst wenn Scanner eingesetzt werden, werden die von uns meistens so eingesetzt, dass sie möglichst leise sind. Wir sagen auch dem Kunden, er weiß das natürlich, wann wir vor Ort sind. Und manchmal sind Leute informiert, manchmal nicht. Das kommt immer so bisschen auf den Auftrag an. Aber wir sagen auch immer, dass es ganz gut ist, mal

Lisa Fröhlich: Lisa Fröhlich Mhm. Mhm.

Arwid Zang: Arwid Zang selber zu gucken. Wir wissen zum Beispiel, ... ist bei uns jetzt hier der 1.10. dann sagen wir, ... ... am 1.10. kommt greenhats und führt ... ein White Hacking durch. So, dann sage ich ganz gerne ... auch mal der IT, guckt mal, ... ob ihr etwas bemerkt. Guckt, ob euch irgendwas auffällt, weil wir versuchen dann so leise ... wie möglich zu sein. Das heißt, wir wollen nicht bemerkt werden ... ... und meistens klingelt da auch kein Alarmsystem oder sowas. Ich meine, wir setzen dieses System ja selber ein und mit unseren Angriffen gucken wir ja vorher, dass wir davon nicht entdeckt werden und setzen wir sie nicht ein. Sondern wir gucken dann eher, dass wir uns durch das Netzwerk bewegen, ohne entdeckt zu werden. Und auf der anderen Seite ist es dann aber ein schönes Katz-und-Maus-Spiel, weil vielleicht fällt der IT sowas auf wie, irgendeine E-Mail gilt zwei, drei Minuten, verzögert erst ein oder, oder. Also, dass man einfach auch so Nebeneffekte eines Angriffs erkennt, unabhängig von klingelnden Antivirenprogrammen, die man dann in Zukunft für sich auf dem Schirm hat und sagt ...

Lisa Fröhlich: Lisa Fröhlich Mhm. Ja, ja, ja.

Arwid Zang: Arwid Zang Okay, irgendwas ist heute anders. Und das ist so bisschen wie damals als greenhats da war. Vielleicht sollt mal gucken, was hier gerade im Netzwerk los ist. Also solche Sachen nehmen wir auch immer ganz gerne mit auf. Aber du hattest mich so bisschen nach dem Ablauf gefragt. Also was wir am Anfang gerne tun, wenn so das Große und Ganze ist, wir gehen als Erstes mal vor und gucken über das Internet, so was ist erreichbar. Und natürlich, DDoS ist ein Riesenthema. Wir gehen davon aus, dass die Leute sich einfach davor heutzutage schützen. Und wenn sie es nicht tun und uns fällt das auf ...

Lisa Fröhlich: Lisa Fröhlich Ja.

Arwid Zang: Arwid Zang Wenn zum Beispiel selbst bei einem leisen Scan ... Systeme anfangen, die Knie zu gehen, ... dann prüfen wir da gar nicht weiter, ... sondern sagen da Leute, ... ... okay, richtet erst mal vernünftig ... DDS-Schutz ein, ... bevor ihr hier die Profi-Einbrecher beauftragt. So, das heißt, das passiert natürlich am Anfang. Und der Grund dafür, dass wir ganz gerne so vorgehen, ist, dass heutzutage ... ... ich bin ja eine schöne Doppelrolle ... als White Hacker und Geschäftsführer ... und kenne da so bisschen beide Perspektiven. Der White Hacker versucht natürlich diese 100 Prozent Sicherheit zu erreichen, auch wenn es sie nicht gibt. Als Geschäftsführer muss ich logischerweise Abstriche machen und auch erkennen, der ganze Spaß kostet ja auch irgendwo Geld. Ich gebe da ja Sachen aus und muss ein gewisses Niveau erreichen. Und heutzutage ist es so, dass ein Großteil der Angriffe tatsächlich der organisierten Kriminalität zuzuschreiben sind. Und da kommt viel über das Internet, viel aus dem Ausland, viel heute aus Russland, China. Also da gibt es ganz schöne Zahlen vom BSI mit sehr hohen Werten.

Lisa Fröhlich: Lisa Fröhlich Mhm. Ja.

Arwid Zang: Arwid Zang Und davor muss ich mich zuerst mal schützen. Das heißt, bevor ich jetzt sage, ich schütze mich gegen meinen Konkurrenten aus dem Nachbardorf, der hier vielleicht jemanden schickt, der in meinen Serverraum einbricht, muss ich erst mal sichergehen, dass ich diesem Hacker-Alltag, der da draußen stattfindet, ich dämlich schutzlos ausgeliefert bin. Und wenn ich das gemacht hab, dann kümmere mich darum, dass der manuelle Angriff vom Konkurrenten nicht durchkommt. Und daher gehen wir ganz gerne so vor, dass wir mit den Angriffen über das Internet anfangen und uns dann reinarbeiten.

Lisa Fröhlich: Lisa Fröhlich Mhm.

Arwid Zang: Arwid Zang dann am Ende uns im Netzwerk irgendwo anzuschließen. Ich sag mal, wir kriegen einen Platz im Büro, ... wo wir einen LAN-Anschluss oder WLAN oder sonst was bekommen, ... ohne Zugang ansonsten zu irgendeinem System. Wir bringen unseren eigenen Laptop mit ... und versuchen uns dann, ... durch das komplette Netzwerk zu hacken. Das klappt seit zehn Jahren, also jedes Mal ... am Ende des Tages. Das ist aber auch klar, ... weil Unternehmen halt natürlich wachsen ... und wenn man schon jemanden im eigenen Haus hat, ... es halt ziemlich schwer, ... ... wirklich dann nicht ...

Lisa Fröhlich: Lisa Fröhlich Mhm.

Lisa Fröhlich: Lisa Fröhlich Wahnsinn!

Arwid Zang: Arwid Zang überall reinzulassen. Das ist halt so. Aber die Komponente dahinter ist, warum wir das trotzdem immer so vehement machen, ist, dass die Philosophie am Ende ... muss natürlich sein, dass ich erst mal gegen dieses Zeug von außen abgesichert bin. Aber wirklich sicher bin ich, wenn ich mein Netzwerk von innen nach außen absichere. Also nicht ein hohes Schutzniveau ein schwaches Inneres bauen. Du hast es erwähnt. Im letzten Falle bestechte ich jemanden und bin drin. So, äh, sondern dass ich immer von innen sage ...

Lisa Fröhlich: Lisa Fröhlich Mhm.

Arwid Zang: Arwid Zang Ich bin von innen, wenn schon jemand drin ist, so schwer wie möglich angreifbar. Und dann baue ich Schutzwall nach außen auf. Das sollte immer so sein und so sollte jedes Unternehmen vorgehen.

Lisa Fröhlich: Lisa Fröhlich Ja, das ist spannend, ja sozusagen, euer Job ist es ja, sich quasi von außen jede Zwiebelschicht durchzuarbeiten. Ihr fangt an, die Zwiebel von außen abzuschälen und das Unternehmen muss eigentlich die Systeme genau andersrum sozusagen festigen und stark machen, nämlich von innen nach außen, wie du das gesagt hast. Ich finde das tatsächlich eine sehr spannende Frage, weil natürlich auch bei Unternehmen ja immer auch so eine...Es muss eine Wirtschaftlichkeit dabei sein. Es muss eine bestimmte Risikoabwägung stattfinden. Welche Risiken bin ich auch bereit zu nehmen? Welche Risiken? Gegen welche Risiken kann ich mich quasi nicht schützen? Also es gibt ja einfach auch Wahrscheinlichkeiten. Wann trifft wie etwas ein oder wie häufig trifft, wird tritt etwas ein. Und ich glaube, was sich viele auch nicht bewusst machen, ist ja, dass gerade im Bereich der Cyber-Sicherheit. Das ist ja immer noch ein Mythos da draußen, dass viele glauben, ach, ich bin so uninteressant, ich bin doch kein potenzielles Ziel. Aber andererseits ist einfach, ich hatte mit Désirée Sacher gesprochen und sie ist für Security-Operation-Center verantwortlich und sie hat auch gesagt, es ist egal, sobald in irgendeinem Unternehmen Umsatz generiert wird, egal für welche Dienstleistungen oder egal für welches Produkt, sobald etwas gibt, das sozusagen Geld zirkuliert dieses Unternehmen, da sind die quasi schon potenzielle Angriffsopfer. Weil im Grunde ja, sobald etwas von Wert ist, dann habe ich auch Grund sozusagen den Wert vielleicht auch irgendwie anzugreifen oder klar gibt es natürlich exponiertere Unternehmen, die von denen wir wissen, ja, da wäre der Impact einfach auf größer. Je nachdem hatten ja, wir sprechen jetzt nicht über politisch motivierte Hacker. Das würde hier in der Folge zu weit führen. Aber das gibt es ja auch. Die haben ja noch mal eine ganz andere Zielsetzung. Ja, also die sind oft staatlich subventioniert. Das heißt, die haben quasi ein Nine to Five Job in Anführungsstrichen und machen nichts anderes und sind quasi von dem einen oder anderen Geheimdienst finanziert, aber eigentlich hängen sie immer an Staatsgeldern dran. da spielt ja zum Beispiel die organisierte Kriminalität, eben entsprechende finanzielle, ja, einen finanziellen Benefit vom Hacking zu erwirken, spielt ja weniger eine Rolle. du hast es ja schon angesprochen. Ihr wollt denen natürlich auch mal mindestens genauso schnell auf den Fersen sein und ihr seid up to date, was die aktuellen Tools angeht. Ich bin sicher, ihr seid ja auch in den entsprechenden Foren unterwegs, weil du musst ja irgendwie auch sozusagen mit einem Bein in der Black-Hat-Hacker-Szene drin stehen, damit du irgendwie mitkriegst, was da gerade so der neueste, heißeste Scheiß ist auf gut Deutsch. Also ich glaube, das ist ja auch was. Die Technik entwickelt sich ja auch so rasend schnell. Wenn du jetzt mal so guckst, was sind die größten Herausforderungen für dich in eurem Team? Also gibt es da irgendwas, wo du sagst, hey, da müssen wir besonders wachsam sein?

Arwid Zang: Arwid Zang Die größte Herausforderung für mein Team, aber für jeden White Hacker eigentlich, ist so dieses Feuer aufrecht zu erhalten. der Unterschied zwischen Gut und Exzellent liegt da wirklich im Personal, also im Personal, den Menschen, die sich dafür so begeistern, dass sie nicht aufhören zu arbeiten. Also das merke ich richtig. Das sind ja vor allem Jungs bei mir, meine Jungs, die arbeiten dann bis abends und vielleicht beim Kunden für ein White Hacking durchgehen dann nach Hause und machen irgendwelche Hacking Challenges in ihrer Freizeit. Und das ist wirklich so. weil die Crooks als White Hacker ist, man muss in jedes System eindringen können. Ich meine, wir haben natürlich noch Spezialisten. Der eine ist besser mit

Lisa Fröhlich: Lisa Fröhlich Hehehehehe. Ja, ja, kann ich mir vorstellen.

Arwid Zang: Arwid Zang Der andere ist besser mit physischen Attacken, mit Lock Picking. Der andere kann das besser. Da hat natürlich jeder seinen Schwerpunkt. Aber am Ende des Tages muss jeder White Hacker jedes System angreifen können. Muss jede Programmiersprache schnell lesen, exploiten können. Also muss ganz, ganz breit aufgestellt sein und gar nicht mal zu tief im Einzelnen, weil dafür gibt's dann den Profi. Und das ist die Herausforderung. Also wir hatten jetzt auch öfter Bewerbungen von ...

Lisa Fröhlich: Lisa Fröhlich Mhm. Mhm.

Arwid Zang: Arwid Zang Leute, die fünf, sechs Jahre in einem Konzern, die Cybersecurity teilweise sogar geleitet haben, wirklich Fachpersonal ohne Ende. Und die sind bei uns durch die einfachsten Prüfungen nicht durchgekommen, weil fünf Jahre nur ein System angeguckt, selbst wenn sie da der komplette Profi drin waren, heißt so, in der Welt da draußen bist du halt ein Dinosaurier plötzlich. das als White Hacker. Und ich denke mal, das ist die Challenge, dass man da wirklich immer dranbleiben muss und diesen Spirit nicht verlieren darf, weil ...

Lisa Fröhlich: Lisa Fröhlich Hmm...

Arwid Zang: Arwid Zang Wenn wir jetzt heute aufhören würden, uns weiterzubilden und auf dem Stand stehen bleiben würden, den wir jetzt heute haben, das würde wahrscheinlich sogar die nächsten ein, zwei Jahre in der Form gut gehen, dass wir immer noch die Erfolgsquote in den Hackings hätten. ich meine, viele der produzierenden Unternehmen da draußen haben noch Windows XP. Ob ich jetzt heute aufhöre, mich da weiterzubilden oder nicht, spielt halt erstmal keine Rolle. Ich komme da immer noch durch. ich schaffe es halt. Ja, genau, aber ich schaffe es halt nicht.

Lisa Fröhlich: Lisa Fröhlich Mein Highlight letztes Jahr, dieses Windows XP.

Arwid Zang: Arwid Zang Genau, aber ich schaffe es halt nicht mehr, dass ich dann wirklich alle ... Schwachstimmen im Kunden finde und das ist das große Risiko. Wenn wir eine übersehen, ... ... das ist natürlich schön, wir kommen da durch, ... wir sagen, ja, wir sind Domainarten, wir haben das ganze Unternehmen übernommen ... und wir feiern uns selbst und Kunde ist zufrieden, wir sind zufrieden. Aber das mal so auszudrücken, ... das Unternehmen, was richtig sicher ist und hat eine einzige Schwachstimme ... und wir finden die, ... ist ein leichterer Job.

Lisa Fröhlich: Lisa Fröhlich Mhm.

Arwid Zang: Arwid Zang als ein Unternehmen, wo alle Tore offenstehen. müssen jedes ein Fenster, was offen ist, Das ist viel komplizierter. Wenn wir eine Sache übersehen, dann haben wir verloren. Und das ist wahrscheinlich, wenn man es so betrachtet, ist das die größte Krux, dass man da wirklich dranbleiben kann.

Lisa Fröhlich: Lisa Fröhlich Mhm. Ja, ja, ja. Ja, ja.

Lisa Fröhlich: Lisa Fröhlich Mhm. Ja, das glaube ich auch. Also ich denke, sozusagen man sich schon auch vorstellen kann. Da habe ich später noch mal eine Frage an dich, wie sieht es in fünf Jahren aus? Aber ich würde gerne noch mal auf diesen Unternehmensaspekt zu sprechen kommen. Also ihr arbeitet ja super eng mit den Unternehmen zusammen. Ihr kriegt einen Auftrag von denen, die sagen, wir wollen hier unsere IT-Sicherheit irgendwie „Bullet Proof“ machen. Wir wollen da uns bestmöglich aufstellen. Und das können wir nur, wenn wir exakt wissen, welche Fenster aufstehen und welche Schwachstellen wir haben. Was erwarten die denn eigentlich von mir? Also wie erklärst du den Unternehmensleitenden, warum sie dich brauchen? auf der einen Seite wollen sie ja keine Sicherheitslücken haben und auf der anderen Seite, wie gehen die denn damit wenn jetzt beispielsweise nicht das erwartete Balkonfenster nur aufsteht, sondern irgendwie eine komplette Fensterfront entdeckt wird? Wie erlebst du das vor Ort mit denen im Gespräch?

Arwid Zang: Arwid Zang Also wir haben, ich würde mal sagen, zwei Arten ... erst mal so generell von Kunden im ... White Hacking Bereich. Das eine ist der Kunde, wirklich sicherer ... ... will. Der erkannt hat, er hat ... reden wieder, ich bin jetzt Geschäftsführer, ... ich habe ein gewisses Budget und ich kann, ... will und muss mein Unternehmen sicherer machen. Dann ist alles, was proaktive Security ist, ... wo wir uns ja darauf spezialisiert haben, ... ist das, wo ich am ... einfachsten und auch am günstigsten mein ...

Lisa Fröhlich: Lisa Fröhlich Mhm.

Arwid Zang: Arwid Zang Sicherheitsniveau ... schnell erhöhen kann. Also ich fange jetzt nicht an hinten mit der Cyberversicherung ... ... und gebe dafür Geld aus und ... warte aber bis es einschlägt, sondern ich fange erst mal an mit proaktiver Cybersecurity. Deshalb kommen dann relativ viele auf uns zu, die sagen, sie wollen sicherer werden ... und wir sollen den Status quo aufnehmen ... und halt dabei helfen, das Unternehmen ... gegen Angriffe, die heute da sind, ... aber auch gegen Angriffe, die in ... drei, vier Jahren kommen könnten, abzusichern. Das ist der eine Bereich. Der ist relativ einfach, ... weil damit kann ich wunderbar umgehen. Das sind gerade ...

Lisa Fröhlich: Lisa Fröhlich Mhm.

Arwid Zang: Arwid Zang auf Geschäftsführungsebene Menschen, haben da eine gewisse ... Awareness und dann meine ich jetzt nicht, dass sie ... Phishing-Attacken erkennen sollen, dass sie dieses Thema ... für sich, dieses Bewusstsein dafür entwickelt haben ... ... und mit denen kann man reden, weil die wissen ja, ... warum sie nicht zu ihrer eigenen IT gehen und sagen ... ... kontrolliere mal deine eigenen Hausaufgaben, sondern die wissen, warum sie zu uns kommen. Anders ein bisschen ist das mit den zweiten Typ Kunde, die zu uns kommen, weil sie müssen.

Lisa Fröhlich: Lisa Fröhlich Mhm.

Arwid Zang: Arwid Zang weil sie gerade eine ISO 27001 oder sogar eine 9001 machen, wo gesagt wird, Verfügbarkeit, Vertraulichkeit, Integrität von Daten muss gewährleistet sein, prüf das mal. Und in einem Monat ist Audit und bis dahin hast du bitte jemanden, der das für dich gemacht hat. Abgesehen davon, dass das in einem Monat nicht ... dass man da niemanden mehr findet, das ist dann so, die kommen. Oder, ich hatte es gerade angesprochen, wollen eine Cyberversicherung abschließen, Versicherer sagt, Risiko ist nicht kalkulierbar, mach erst mal einen White Hacking, mach erst mal einen Pentest. Und dann kommen die Leute zu uns.

Lisa Fröhlich: Lisa Fröhlich Hmm, hmm.

Lisa Fröhlich: Lisa Fröhlich Mhm.

Arwid Zang: Arwid Zang die eigentlich gar nicht Kunde sein wollen, ... sondern die wollten was anderes kaufen ... und müssen in diesem Zuge das bei uns machen. KRITIS ist auch ein Riesenthema. So, auf jeden Fall landen wir dann bei denen. Und die haben dann oft diese Awareness halt noch nicht. So, die wissen noch gar nicht, dass das ihr großer Pain-Point ist. Und dann haben wir es natürlich ständig, dass wir da erst mal alles aufreißen. Ja, ziemlich viel erst mal, was dann aufkommt und ans Tageslicht kommt. Dann sind wir immer auf der Seite der IT und sagen, die IT konnte das nicht besser machen. Ein IT-Admin ist kein Cybersecurity-Experte. Selbst wenn der drei Jahre hier war, kann der gar nicht mehr das umfassende White-Hacking-Wissen haben. machen nichts anderes. Genau wie meine Leute keine Netzwerkadmins sind. Das ist ein anderes Berufsfeld. Dann schützen wir meistens die IT vor der Führungsebene, die dann oft diesen Impuls haben, sie wollen Köpfe rollen sehen, was totaler Schwachsinn ist. Weil in dem Moment, wo ... dieses Peer-Fear in das Unternehmen getragen wird, ... werden die Leute eher unsicherer als sicherer. Und gehen dann hin und sagen, ... ne, die haben alles so weit in ihrem Kern richtig gemacht und das sind jetzt die folgenden Maßnahmen. Und dann sind wir auch ... schon eher ... ... so, dass wir da so kommunizieren ... und dann mit denen gemeinsam Pläne machen. Nach dem ersten Schock klappt, das dann auch meistens ganz gut und dann wird auch erkannt, dass es sinnvoll war, ... mal sowas zu machen ... und dann macht man eine Roadmap für die nächsten Jahre. Und das ist etwas, was auch viele unterschätzen.

Lisa Fröhlich: Lisa Fröhlich Hmm...

Arwid Zang: Arwid Zang dass man in so einem Fall White Hacker braucht, die in der Lage sind, solche Gespräche auch zu führen. Also dass es halt nicht nur Techies sind, weil wenn ich jetzt einen White Hacker hab, der nur Techie ist, der kann sich da nicht hinstellen und dann zwischen IT und Geschäftsführung plötzlich kommunizieren. Das heißt, da ist es schon wichtig, dass man Leute hat, die da auch in der Lage sind, zu Dolmetschen.

Lisa Fröhlich: Lisa Fröhlich Ja, genau.

Lisa Fröhlich: Lisa Fröhlich Ja, das ist ja auch wichtig im Grunde, wie du schon gesagt hast, nicht nur diese grundsätzliche Awareness dafür zu haben, sondern einfach auch das Bewusstsein dafür zu haben, dass das nicht mehr verschwindet und dass das quasi als Unternehmensführer eines der Themen ist, mit denen ich mich auf meiner Agenda für das Unternehmen beschäftigen muss. Das ist ja nicht mehr wegzudenken da draußen. es gibt kaum noch analoge Straftaten. Ich hatte ja ein Podcast mit Jana Ringwald, der Oberstaatsanwältin der Zentralstelle für Internet, Internetcrime, Bekämpfung sozusagen in Frankfurt. Und sie sagt auch, die hat ein tolles Buch geschrieben, Digital Menschlich Kriminell kann ich auch nur empfehlen. Es liest sich wunderbar. Das ist, das ist wie das, das kann man sich ja so gar nicht mehr vorstellen, weil ich glaube tatsächlich, dass viele Unternehmenslenker ja immer noch sozusagen in so einer, ich will nicht sagen, alten Denke verhaftet sind. Aber ja, die wissen, Digitalisierung, digitale Transformation, was auch immer, Turbodigitalisierung während Corona etc. pp. da ist ja unfassbar viel auf diese, diese, Entscheider drüber gerollt. Und trotz allem stehen wir ja immer noch, wenn man das mal aufs große ganze Bild, was in der Zukunft alles möglich sein wird, und da spreche ich jetzt noch nicht mal hier von Quantencomputing und Co., wir stehen ja immer noch am Anfang dessen, wie digital unser Leben irgendwann mal sein wird oder wie digital unsere Wirtschaft irgendwann mal sein sollte oder Behörden. Also ich sag mal, da sind wir ja in Deutschland. Also das Fass will ich jetzt hier auch gar nicht aufmachen, Gottes Willen. Aber wie du schon sagst, es ist eben unheimlich wichtig, da eben auch diese Dolmetscherfunktion zu haben. Weil es geht ja am Ende des Tages vor allem Menschen, weil oft ist ja auch immer noch so dieses Thema, ja, der Mensch ist das schwächste Glied in dieser ganzen Kette und da, denke ich, müssen wir ja auch ansetzen zu sagen, natürlich gibt es vulnerable Systeme. Es gibt Schwachstellen. gibt irgendwie ihr könnt ihr sozusagen euch von System zu System arbeiten und die Zwiebelschichten abpellen und abziehen. Und am Ende des Tages ist es aber halt auch wichtig, dass die Menschen da mitgenommen werden und eben auch quasi überall. Und du sagst, hast es ja am Anfang so schön gesagt, es ist genauso wichtig, auch die IT-Abteilung und den Geschäftsführer mit ins Boot zu...nehmen und da die Awareness zu schulen in der Art und Weise, wo jeder ja denken würde, naja, die ITler, müssten doch eigentlich sich dessen bewusst genug sein. Aber ich glaube, es ist unheimlich wichtig und das finde ich toll, dass ihr da quasi alle mit ins Boot holt und sagt, so wir sind jetzt hier, wir gucken, wo sind eure Schwachstellen, wie kommen wir da rein? Und dann können wir von Anfang an irgendwie mal überlegen, wie könnte so eine Roadmap aussehen, dass ihr möglichst so sicher wie möglich sein euch aufstellt.

Arwid Zang: Arwid Zang Du hast gerade das schwächste Glied der Kette angesprochen. ... ist ja so, alle sagen es, ist der Mensch, der Mensch ist das schwächste Glied der Sicherheitskette. Und in einigen Vorträgen habe ich jetzt schon die These gebracht, ich das, also dass ich das bisschen anders sehe. Für mich ist es so, es ist natürlich unternehmensabhängig. Und bei vielen ist es auch so. So bleiben wir da mal, so die Kirche im Dorf so am Anfang. Und jetzt verlassen wir das Dorf mal kurz. Am Ende des Tages nutzen Hacker das schwächste Glied der Kette ja.

Lisa Fröhlich: Lisa Fröhlich Mmh.

Lisa Fröhlich: Lisa Fröhlich Hmm?

Lisa Fröhlich: Lisa Fröhlich Ja, ich glaube, ich bin auch nicht ganz sicher.

Arwid Zang: Arwid Zang Aber das ist halt eben einfach das, wo sie rankommen. Und wir hatten wirklich schon Unternehmen, wo der Lieferanteneingang im Bankenviertel in der Großstadt, der Lieferanteneingang offen war und wir sind da unten reinspaziert. Und wir haben eine Bank mal gehackt und sind unserem eigenen Verdruss erst am zweiten Tag darauf gekommen, dass wir über WLAN, WPA2 Enterprise, also wo man mit Benutzername und Passwort sich in WLAN anmelden kann, Benutzername SEPA, Passwort SEPA durchgekommen sind bis zur Banküberweisung.

Lisa Fröhlich: Lisa Fröhlich Mhm.

Arwid Zang: Arwid Zang Da sind selbst wir erst am zweiten Tag draufgekommen, weil das so banal war. Da war das das schwächste Glied der Kette und das war tatsächlich, also das war dann auch technisch. Und bei vielen ist es so. Und jetzt sind wir bei dem, was passiert jetzt so die nächsten Jahre? Ich weiß, du willst ja gleich noch drauf eingehen, aber mal kurz geteasert. Heute ist es so, wir haben. Eine Handvoll guter White Hacking Unternehmen in Deutschland und die haben alle das Problem, dass es wenig.

Lisa Fröhlich: Lisa Fröhlich Mhm.

Arwid Zang: Arwid Zang Ja, wenige gute White Hacker gibt. Man muss die selber ausbilden. genau den Gründen, die ich gerade beschrieben hab. Und jetzt erfüllt sich so für mich als White Hacker so ein kleiner Traum, oder als Geschäftsführer. Ich kann jetzt das machen, was ich vor ein paar Jahren nicht konnte. kann meine besten Leute ... kann ich jetzt plötzlich klonen. Natürlich nicht ganz, aber ich kann sagen, hier hab ich jemanden, der konnte vielleicht drei Systeme am Tag prüfen. Sag ich jetzt einfach mal plakativ.

Lisa Fröhlich: Lisa Fröhlich Mmh.

Arwid Zang: Arwid Zang Und dem stelle ich jetzt KI-Methoden an die Hand oder gebe dem da Tools an die Hand, wo er sein Wissen eingeben kann. Wo er sagen kann, ich habe selber, dieses Jahr, ich glaube schon vier Zero-Day-Schwachstellen in Firewall selber gefunden. Bei Kundenaufträgen. Und dann können wir das und die Muster, woran wir die identifiziert haben, geben wir KI-Tools und sagen, und jetzt scan mal da draußen. Und diese eine Person, die vorher drei Systeme am Tag prüfen konnte, kann jetzt plötzlich tausend Systeme am Tag prüfen. Das ist der Grund, warum ...

Lisa Fröhlich: Lisa Fröhlich Mhm. Ja cool. Mhm.

Arwid Zang: Arwid Zang wir zwar predigen, Cybersecurity muss von innen nach außen passieren und trotzdem so viel von außen nach innen scannen, weil das halt gerade in der Quantität wahnsinnig zunimmt. Und wo ich mich natürlich jetzt hier als White Hacker oder als Geschäftsführer darüber freue, das ist auf der anderen Seite das Risiko, was gerade das Unternehmen da draußen hat. Dass den bösartigen Hackern, den White Head Hackern, denen geht's ja da jetzt nicht schlechter als mir. Gestern konnten die ein System prüfen, heute prüfen die halt tausend. Und jetzt passiert Folgendes.

Lisa Fröhlich: Lisa Fröhlich Mmh.

Arwid Zang: Arwid Zang Alle kennen das, alle haben ihre coolen Crypto-Trading-Apps auf dem Handy und gucken dann jeden Tag rein, wie viel Geld habe ich denn gerade gewonnen und dann klingelt es und dann sagt es mir, und jetzt habe ich wieder 500 Euro mehr. Das sage ich ganz gerne. Das war gestern. Heute ist das lukrativer, wenn ich White Hacker bin oder Black Hat Hacker vor allem, dann scanne ich ein Unternehmen, was ich hacken will, und mit meinen KI-Tools scanne ich das jetzt einfach jeden Tag. Heute ist keine Schwachstelle sichtbar, aber vielleicht ist es das Morgen oder Übermorgen. Mein Handy klingelt irgendwann und sagt mir, jetzt ist da eine Schwachstelle, jetzt kannst du angreifen. Dann hab ich viel Mehrgeld verdient als die 500 Euro. Das ist viel lukrativer als jeder Art von Trading. Das geht gerade erst los. Wenn ich mich davor auf der Verteidigerseite nicht schütze, dann hab ich natürlich ein richtiges Problem, weil das der Trend ist, der sich da grade abzeichnet und wo man einfach merkt

Lisa Fröhlich: Lisa Fröhlich Das glaube ich auch.

Arwid Zang: Arwid Zang Das ist das, was die Hacker tun. Und das Phishing zum Beispiel ist quasi tot. Also alle reden immer noch über Phishing, Phishing, Phishing. Wenn wir eine Phishing-Attacke simulieren mussten, das vor ein paar Jahren ein supercooles Geschäft. Man klickt auf den Knopf, E-Mails gehen raus, Rechnung wird geschrieben, alle freuen sich. Heute ist das so, dass die Erkennungsmechanismen, zum Beispiel jetzt von einem Google Chrome, das ist keine Werbung für Google, andere tun das auch, aber von einem Browser, die KI-Erkennungsmechanismen von einem Browser sind so stark, dass sie schon Phishing-Websites, die man baut, erkennen und die blocken. Das heißt, dass ich schon als jemand, der es gut meint mit dem Unternehmen, muss mich jetzt schon mehrere Tage damit beschäftigen, dass so ein Angriff richtig durchkommt. Das lohnt sich für einen bösen Hacker gar nicht mehr. So, und deshalb alle Schulen noch auf Phishing, weil Unternehmen halt damit da draußen heute noch ihr Geld verdienen. Alle machen Wirksamkeitsprüfung auf Phishing, aber wenn ich als Hacker heute Phishing durchführe, dann mach ich das entweder, indem ich ein kleines Unternehmen hacke und darüber die Lieferanten anschreibe und da bringt die Schulung davor, bringt gar nichts mehr. Oder aber ich mach Phishing per Brief, per QR-Code, diese ganzen Geschichten. Aber das, wo alle gerade noch voll drauf sind, sagen, ja, schwächtes Glied der Kette ist der Mensch, wir müssen Phishing schulen, das ist längst vorbei. Also darum geht's schon längst nicht mehr. Und sowohl die guten ...

Lisa Fröhlich: Lisa Fröhlich Na, Lieferkettenangriff, mhm.

Arwid Zang: Arwid Zang Hacker, wissen, was sie tun, als auch die bösen Hacker da draußen. sind schon drei Schritte weiter und hier wird noch fröhlich rumgefischt, sag ich mal. Das ist ein Problem.

Lisa Fröhlich: Lisa Fröhlich Das war auf jeden Fall ein sehr schöner Ausblick in die Zukunft. in die nicht mehr allzu ferne Zukunft, würde ich mal behaupten, weil wie gesagt, die Technik entwickelt sich unfassbar schnell. Da müssen wir alle versuchen, Schritt zu halten. Ja, jetzt würde ich gerne sozusagen mit Blick auf die Zeit noch eine letzte kurze Frage von die beantwortet haben, vielleicht in zwei, drei Sätzen. Was ist deiner Meinung nach das Wichtigste, damit Unternehmen im sozusagen heutigen digitalen KI-Zeitalter sich sicher aufstellen und vor allem auch sicher bleiben?

Arwid Zang: Arwid Zang Das ist eigentlich nur Zusammenfassung der Dinge, die wir gerade gesagt haben. ich muss das, was die Hacker gerade mit KI anfangen, nämlich quantitativ weitflächig prüfen, das muss ich als Verteidiger auch tun. Einfach den einen Schritt voraus zu sein. Ganz einfach. Über KI-Angriffe gerade im internen, wir hören alle von Deepfake-Videos und was es da alles gibt. kann jeden Deepfake-Angriff, kann ich mit einer einzelnen persönlichen Frage aushebeln. Das heißt, da würde ich kein Geld in irgendwelche Abwehrmaßnahmen für investieren, würde einfach meinen Leuten sagen, stellt eine vernünftige Frage. Das heißt, Mitarbeiter Schulung sind natürlich noch wichtig. Also alles, was an KI-Angriffen von außen kommt, muss ich einfach auf mich selbst durchführen, ein Schritt voraus zu sein. Mitarbeiter muss ich Schulen logischerweise an Tagesaktuelle Ereignisse und dabei nicht nur Fishing, Fishing, Fishing machen, sondern das, was ist da gerade wirklich draußen los. Zum Beispiel Angriffe per Brief ist gerade im Moment relativ aktuell. Ist morgen wahrscheinlich wieder was anderes. Drittens: Ich muss auf jeden Fall meine IT in Cybersecurity schulen. Kontinuier dich genau wie den Rest meiner Mitarbeiter nur in spezifisch, was ist gerade da draußen los und wie kann ich mich selber davor schützen? Und das, womit wir eigentlich angefangen haben mit dem White Hacking, ja, das sollte man machen. Gerade halt eben sich von innen nach außen abzusichern und ab und zu zu sehen, wo stehe ich eigentlich. Aber jetzt schieße ich mir mal selbst ins Knie. Das würde ich tatsächlich einmal im Jahr machen. Da würde ich jetzt nicht jedes Quartal über einen Beauftragten, sondern das ist am Ende das i-Tüpfelchen, die Strategie für die nächsten Jahre festzulegen und zu sehen, welche Schwachstellen, ich heute habe, wo muss ich was tolerieren, wo muss ich was über die nächsten Jahre kontinuierlich verbessern, während ich aber schon gegen das, was täglich auf mich einprasselt, geschützt bin. Das ist aus meiner Sicht so das, was man im präventiven Bereich heutzutage tun sollte.

Lisa Fröhlich: Lisa Fröhlich Ja, super. Arvid, vielen, vielen Dank für diese spannende Einblicke. Ich bin echt begeistert. Das ist für mich immer so eine kleine persönliche Weiterbildung. Und ich bin sicher, dass du da draußen ein paar Fans gewonnen hast. also falls jemand von euch sich berufen fühlt und mindestens 48 Programmiersprachen kann, dann kann er sich gerne bei greenhats melden. Die suchen immer Leute, habe ich gehört. ja, Link zum Unternehmen findet ihr natürlich in den Show Notes. Das ist klar. Ja, ich bin sicher, dass du den einen oder anderen für das Thema begeistern konntest. Mich auf jeden Fall. Ich freue mich auf jeden Fall auch, dass ihr wieder dabei wart. Empfehlt den Podcast gerne weiter oder abonniert ihn und verpasst die nächsten Folgen nicht. Es stehen noch viele weitere spannende Themen auf der Agenda. In diesem Sinne wünsche ich dir einen schönen Tag und an der Stelle bleibt mir den Zuhörerinnen und Zuhörern wie immer nur zu sagen euch eine gute Zeit da draußen und keep calm and get protected. Danke.

Arwid Zang: Arwid Zang Cool.