IT is key! Nein, ihr seid jetzt nicht in meinem Werbeblock gelandet. Aus gegebenem Anlass und weil ich es in meinem Artikel "Join the TEC Club" versprochen hatte, nehme ich mir heute mal die IT, insbesondere die IT-Sicherheit vor. Was ist eigentlich der Unterschied zwischen IT und Digitalisierung? Vermutlich beides ist für unsere durch Diäten prall gepolsterten Michelin-Männchen-Politdarsteller so etwas wie Neuland. Neuland, in das sie Milliarden investieren und sogar bereit sind, Regeln fallen zu lassen:

Weniger Regeln, mehr Experimente – Altmaier legt Plan für digitale Innovationen vor

Vielleicht fühlte sich der Hacker G0d durch die angekündigten regulativen Lockerungen inspiriert, als er im Dezember seinen lustigen Adventskalender mit Politikerleaks implementierte. Bloomberg berichtet, dass doch alles ganz harmlos war:

Why Germany’s Worst Data Leak Isn’t Such a Scandal

Sicher. Für die Politiker, die nichts zu verbergen haben. Für alle anderen war jedes Türchen des besinnlichen Adventskalenders ein Schock. Ich finde, man konnte manchen das Entsetzen ansehen. Aber da ist jeder sein eigener Hobby-Psychologe.

Damit ihr selbst auch ein bisschen mitreden und mitspekulieren könnt, bringe ich heute mal einen Artikel, den ich nach dem Besuch der IT-Defense 2015 geschrieben habe. Das ist jetzt fast vier Jahre her. Technologisch hat sich seither in Sachen IT-Sicherheit nicht viel getan:

Rettet Omas Computer

Das war mein Motto der diesjährigen IT-Defense in Leipzig. Doch eigentlich ging es nicht um Omas Computer, sondern es ging um die ganze Oma – stellvertretend für Computernutzer, die nicht viel von IT verstehen. Und das sind leider nicht nur Omas. In Unternehmen sind gerade sogenannte Awareness Kampagnen der Hit. Doch können diese mehr leisten, als „der berühmte 7. Sinn“

TV-Sendung von 1975: Der 7. Sinn: Frau am Steuer

Nein, meint der Psychologe Prof. Ross Anderson. So wie Frauen es nicht lassen können, im Auto den Rückspiegel als Schminkspiegel zu benutzen, schaffen es Computernutzer nicht, sich beispielsweise an Passwort-Regeln zu halten. Den Grund sieht Anderson in der Problematik, dass das Verletzen gewisser Regeln zu keinem erkennbaren Schaden führt. Zum Beweis bemüht er die Flugzeugindustrie. Dort ist es gelungen, die Cockpits übersichtlich zu gestalten und die Piloten dazu zu bringen, sich an Checklisten und Grundregeln zu halten. Warum? Weil allen Beteiligten bei einem Absturz ein großer Schaden entsteht. Der Pilot ist typischerweise tot und die Airline muss mit Imageverlust rechnen. Der Professor hat noch eine Reihe anderer psychologischer Effekte untersucht. Ein Problem, dass nicht nur die IT-Sicherheit betrifft, ist die Tatsache, dass es inzwischen überall ZU viele Regeln gibt. Das führt dazu, dass es nicht mehr zu schaffen ist, alle einzuhalten. Das Ende des Vortrags fand ich dann etwas gruselig. Anderson beschäftigt sich mit der Fragestellung, ob Technologie Täuschung entdecken kann. Mit seiner Technologie, die auf der Messung des Herumzappelns einer Person bei der Befragung basiert, glaubt er, eine Art Lügendetektor erfunden zu haben.

Der nächste Vortrag von Ron Guiterrez trug den Titel „Unwrapping the Truth“. Es ging um „Mobile Application Management“, also darum, iOS oder Android Apps mit Tools sicher zu verpacken. Das Mittel zum Zweck ist wie immer die Kryptographie. Guiterrez hat einige der Tools analysiert. Das ist insofern nicht ganz einfach, da man den Sourcecode ja nicht von den Herstellern bekommt. Er musste sich also erst mal diesen durch extrem komplexes Analysieren des Bytecodes beschaffen. Das Ergebnis war wie immer. Die Implementierungen bewegen sich zwischen lieblos und buggy. Ein Beispiel habe ich mir notiert. Bei der Verschlüsselung ist es immer wichtig, einen möglichst langen und zufälligen Schlüssel zu erzeugen. Man nennt das Entropie, was in der Physik ein Maß für die Unordnung eines Systems ist. Nach der Erzeugung des Schlüssels wurde dieser folgendermaßen zurückgegeben.

return new String(key);

Das erscheint zunächst erst mal nur umständlich, da man ja auch return key; hätte schreiben können. Als er sich die Rückgabewerte anschaute, fiel ihm die Sequenz EFBFBD ins Auge. Ok, der Typ String hat einen kleineren Zeichensatz als der ursprüngliche Typ des key und damit wurden durch die Konvertierung viele Zeichen des Schlüssels zu EFBFBD. Die Entropie wurde damit drastisch reduziert.

“Where Flow Charts don‘t go” führte uns in die Welt der IT-Sicherheits Kennzahlen. Welche Lücken treten in Unternehmen welcher Branchen wie oft auf? Der Referent Jeremiah Grossman führt mit seinem Unternehmen sogenannte „Automated State Analyses“ durch. Am besten wäre das natürlich in jedem Unternehmen täglich. Dabei werden mehr oder weniger die „OWASP Top 10“ rauf und runter geprüft. Die sind auf allen Pentest-Listen gesetzt. Nicht nur deswegen glaube ich, dass er einen Denkfehler macht. Denn nicht alle der Lücken lassen sich tatsächlich verwerten. Auf Platz zwei ist „Information Leakage“. Das fängt man sich zum Beispiel dadurch ein, dass bei einer Exception die Softwareversion des Servers geworfen wird. Das nutzt dem Hacker jedoch nur, wenn der Server nicht up-to-date ist. Auch beim ersten Platz, den SSL-Themen sind Konzerne eigentlich immer mit dabei, weil das Web-Access-Management, also der Zugang zum Internet, nie ausschließlich die neuste Version verlangt. Das liegt allerdings nicht daran, dass die Entwickler zu faul sind, die neue Version einzuspielen, sondern weil viele Anwendungen die neusten Sicherheitsprotokolle nicht implementieren. Dabei musste ich an den ersten Vortrag denken, wo der Psychologe erklärte, warum die meisten Popups achtlos weggeklickt werden. Das liegt daran, dass die Warnungen aus der Rechtsabteilung kommen und nur dem Ziel dienen, notfalls dem Kunden die Haftung für einen Fehler zuzuschieben. Hier schienen die OWASP Top 10 erst mal dem Ziel zu dienen, dass Sicherheitsfirmen standardisiert immer wieder kostenpflichtig die gleichen Fehler finden können. Und warum fixen wir das dann nicht einfach? Da sind wir dann schon wieder beim Vortrag von Prof. Anderson: Weil uns niemand erklären kann, was wir wirklich zu verlieren haben. Und weil es nicht so einfach ist. Die meisten Systeme haben wir nicht selbst entwickelt, sondern von Herstellern eingekauft, die erst recht keinen Nachteil haben, wenn sich bei uns die Eindringlinge tummeln.

Danach wurde es richtig spannend. Es gab einige Filmchen von Jayson E. Street unter dem Motto „Breaking in BAD“. Dabei steht BAD für Basic Adorable Destruction. Also - die Zerstörungskünste von Jayson sind tatsächlich beachtlich. Was er macht, sind im wesentlichen Social Engineering Angriffe im Auftrag von Unternehmen. Solche Angriffe heißen normalerweise APT, also Advanced Persistence Threat. Dabei verkleidet er sich entweder als Techniker, Auditor oder einfach als schräge Person, die irgendetwas nuschelt. Rein kommt er eigentlich immer. Er empfiehlt, nur in Rollen zu schlüpfen, die man technisch auch beherrscht, da man gelegentlich auf Fachleute trifft. In einer Bank kam er wie gerufen als er sagte „I was called to speed up the system“. Mit dem Spruch kommt man eigentlich immer rein. Während er an den Servern herumadministrierte hat ein Banker neben ihm 200.000 Dollar aufgetürmt. Woanders sagte eine Mitarbeiterin zu ihm, er könne doch nicht einfach USB-Sticks in die Rechner schieben. Er knurrte so etwas wie „Sie sehen doch, dass ich das kann“ versorgte noch 5 weitere Rechner und ging. „Security by Exception“ nennt Street das Problem. Also, dass es keine Prozesse gibt, was zu tun ist, wenn ein Unbekannter etwas Ungewöhnliches machen will. Es gibt auch keine Hotline, die man anrufen kann. Die meisten Unternehmen haben tatsächlich genau dieses Problem. Sowohl was die Pforten angeht, aber auch bei CERT Issues. Ich habe kürzlich einen Vorfall als Hotline Ticket angelegt und bekam prompt den Hinweis, das Ticket-System sei zu unsicher und man dürfte das auf keinen Fall dort einstellen. Ein anderes System, in dem etwas konsequent verfolgt wird, haben wir aber nicht.

Sehr technisch ging es dann weiter mit dem Thema „State of the art in IPv6: Attack and Defense“. Die Standardprodukte haben hier noch einige Lücken, die man nutzen kann, um das Netzwerk zu scannen oder Denial of Service (DoS) Angriffe zu starten. Abschließend wurde festgestellt, dass die Implementierung von IPv6 wesentlich langsamer vorangeht als erwartet. IPv6-2015 entspricht in etwa dem Stand von IPv4 im Jahr 1990.

Zum Abschluss des ersten Tages sprach Leo Martin, ein ehemaliger Geheimagent, Kriminalist und Experte für Kommunikation und Vernehmungstechnik. Bei Verhören beispielsweise gibt es noch einiges mehr, als das bekannte „Guter Bulle – böser Bulle“. Martin arbeitet oft mit einer sukzessiven Erhöhung des Stresslevels. Dass nennt sich eine Stresstreppe, die von der Erschöpfung bis zum Schock führen kann. Mit wachsendem Stress verringert sich dann der Handlungsspielraum und dem Schuldigen bleiben am Ende nur noch das Schweigen oder das Verraten. Dabei wird die Haltung sichtbar. Das gilt wohl nicht nur für Verhöre, sondern auch im täglichen Leben. Also, dass Stress den Handlungsspielraum einschränkt. Eine weitere Aufgabe war das Anwerben von V-Männern. Dabei ist es wichtig, das Vertrauen der Zielperson zu gewinnen. Um das bei einer Person von durchaus zweifelhaftem Charakter zu schaffen, ist es für den Kontaktmann wichtig, die Person von der Handlung trennen zu können.

Der 2. Tag startete dann wieder ganz im Sinne der Rettung von Omas Computer mit dem Thema „Security – I think we can win“ von Bill Cheswick, dem Autor des ersten Buches zum Thema Firewalls. Unseren aktuellen IT-Sicherheitsstatus fasste er unter dem Begriff „lousy“, also lausig zusammen:

• „Crappy client operating Systems“
• „Leaky Sandboxes“
• „Major data spills“. Vor allem bei Kreditkarten und Passwörtern.

Wohin wir kommen müssen, ist aus Cheswick‘s Sicht klar. Solange Oma stellvertretend für nicht versierte Computernutzer in einer Mail auf das Falsche klicken kann, sind wir nicht am Ziel. Ähnlich wie der Psychologe Anderson am Tag zuvor, erklärte er nochmal, dass Checklisten und Audits NICHT funktionieren. Im Gegensatz zu persönlicher Verantwortung. Es darf nicht darum gehen, etwas nachweislich abgearbeitet zu haben oder irgendwelche Dokumente vorweisen zu können, sondern das Ergebnis muss stimmen. Bei der IT-Sicherheit meinte er damit, dass man nicht in einer URL prüfen muss, ob ein Zeichen eine Null ist oder ein O. Wer nicht versteht, wieso das wichtig ist, kann mal „Typosquatting“googeln. Wie man mit Typosquatting Social Engineering Angriffe startet, war 2014 Gegenstand eines Vortrags der IT-Defense. Hier noch mal ein paar Aussagen des Firewall Papstes, die uns zu denken geben sollten:

• Trusted CA Listen in Internet PKI Infrastrukturen funktionieren nicht
• Virtual Machines sind nicht vertrauenswürdig
• Firewalls und Perimeter Security funktionieren auch nicht
• Script Kiddies gibt es nicht mehr

Und noch eine Jahreszahl. Verglichen mit der Automobilindustrie steckt die Software-Sicherheit im Jahr 1960, wo gerade der Sicherheitsgurt eingeführt wurde. Cheswick selbst fährt einen Tesla, bei dem es NUR noch um Software geht. Ein paar Tipps gibt er dann noch, damit möglichst wenig ungebetener Code auf Softwaresysteme kommt:

• Small is better: Weniger Code, kleinere Betriebssysteme, kleinere Funktionen, einfachere Hardware, weniger Schichten, kleinere CPUs und lesbarer Code.
• End to End Crypto. Verschlüsselung, die nicht zwischen Schichten oder Knoten terminiert wird.
• Code Annealing. Also das Ausheilen des Codes durch Fehlerkorrektur. Im Gegensatz zum Anbau von Balkonen.

Passend dazu wurde der nächste Vortrag vom Chef Architekt der Firma Bromium gehalten. Rahul Kashyar sprach zum Thema „Defense in Depht or just LoL“. Dabei steht LoL für Layers on Layers. Wie leicht die Sicherheit, der durch die klassischen Schichten getrennten Sandboxes ausgehebelt werden kann, zeigt er live. Er hat eine Software mitgebracht, mit der der Microsoft Kernel gehackt wird, indem einfach ein Prozess von einem anderen übernommen wird. Die Demo zeigte, wie man aus einer Dos-Shell ein in einem anderen Prozess geöffnetes Notepad abschießen kann. Die Bromium Lösung, nämlich jeden Prozess in einer eigenen Virtuellen Maschine zu öffnen, deutet er an, ohne explizit auf das Produkt zu verweisen. Respekt.

Als nächstes referierte Starbug vom CCC mit „Ich sehe, also bin ich… Du“. Es geht um das Ausspionieren und Nachbilden Biometrischer Authentifizierungsmerkmale. Ein Bastler vor dem Herrn. Wenn man keine Sputteranlage zur Hand hat, kann man den Fingerabdruck fürs iPhone auch direkt vom Gehäuse durch Aufdampfen von Sekundenkleber abnehmen. Wartet man zu lange, ist aber der ganze Fingerabdruck und damit auch das iPhone versaut und man hat nur noch einen weißen Fleck. Mit der Kamera kommt man auch überall weiter. Also Fotos von der Iris von Angela Merkel oder vom Finger von Frau von der Leyen. Nett ist die Idee, dass eine App, die Zugang zur Kamera hat, den Benutzer beim Eingeben des Passworts filmt. Dabei muss das Opfer noch nicht mal eine verspiegelte Brille aufhaben, man kann die Zahlen schon aus den Reflexionen im Auge erraten. Ich frage mich dabei nur, wer sich die tagelangen Filme anschaut, um die passenden Abschnitte herauszusuchen. Auf die Frage, ob dann nicht doch vielleicht der Fingerabdruck sicherer ist als das Passwort, war er nicht recht vorbereitet. Ich würde das erst mal bestätigen, zumal man das Passwort quasi remote erhält, vielleicht sogar irgendwie automatisiert von allen Usern der Fraud-App. Außerdem kann man mit dem Passwort viel mehr anfangen, zum Beispiel das Gerät weiterverkaufen. Zum neu installieren reicht der Fingerabdruck nämlich gar nicht, sondern man muss das Passwort eingeben.

Dann ein Sprung in die Politik. Die Sony Story. Interpretiert von Bruce Schneier. Schneier arbeitete gemeinsam mit dem Guardian an der Aufarbeitung der Enthüllungen von Edward Snowden. Auch er beschäftigt sich neuerdings intensiv mit psychologischen Fragen der Informationssicherheit. Am Ende weiß man nicht viel mehr: Amerika spioniert Nordkorea aus. Vielleicht auch nur Südkorea, die Nordkorea ausspionieren. Nordkorea greift Sony an. Oder will es und Hacker setzen es um. Oder will es und beauftragt Hacker. Vielleicht sogar Amerikanische. Skript Kiddies scheiden aus, denn die gibt es ja nicht mehr. Auch wenn der DoS Angriff gegen Nordkorea nach „kids playing politics“ aussieht. Das kann aber auch daran liegen, dass Amerika dilettantisch vorgeht. Vielleicht auch mit Absicht, um den Verdacht auf die Skript-Kiddies zu lenken, die es nicht mehr gibt. Vielleicht war alles aber auch ganz anders und Sony hat die Politik vor den eigenen Karren gespannt. Denn Sony will das als Cyberangriff aus Nordkorea sehen. Um Schadensersatzansprüchen auszuweichen. Denn wieso sollte Nordkorea ausgerechnet Sony angreifen und nicht gleich das schon angeschlagene Stromnetz in den USA. Schneier nennt das „Democratising of Tactics“. Das wahre Problem unsere Zeit ist demnach, dass wir nicht mehr wissen, wer die Angreifer sind. Das wäre, wie wenn Soldaten keine oder die falschen Uniformen tragen würden. Für mich ist das Spieltheorie at it‘s best. Zum Abschluss nennt er noch Stuxnet. Bei dem Virus weiß Schneier noch immer nicht sicher, wer dahintersteckt. Dass es keine Skript Kiddies waren zeigt die beeindruckende Analyse der ersten Open Source Waffe:

STUXNET: The Virus that Almost Started WW3

Den nächsten Vortrag von Zach Lanier kürze ich etwas ab. Nachdem letztes Jahr die Intrusion Detection Systeme (IDS) zerlegt wurden, kommt Lanier für Data Loss Prevention Systeme (DLP) zum gleichen Ergebnis. Die Systeme werden auch gerne mal EDS, also Extrusion Detection System genannt. Exemplarisch ist das Finding eines Linux DLP-Systems, bei dem viele Services als root laufen, und so potenziell selbst Angreifer sind, vielleicht sogar Unfreiwillige. Gerade weil sogenannte „Security Best Practices“ fehlen. Auch beim Angriff auf Sony hätten solche Systeme wohl gar nichts gebracht. Für uns sind DLP Systeme auch deswegen keine gute Idee, weil man sich zuerst darüber klar werden muss, welche Daten überhaupt schützenswert sind. Aus dem Rennen ist unser neues HR-Global, dass SAP in der Cloud hostet. Genauso wie alle Daten, die mit den Microsoft-Standard-Produkten in den USA administriert werden. Denn alle Daten, die in den genannten Systemen abgelegt werden, landen in den Datenbanken der NSA. Und werden dort nicht besonders geschützt, wie Edward Snowden zeigte. Er war immerhin bloß Externer und konnte unbemerkt alles, was er begehrte, abziehen. Hätte er die Daten nur verwertet, wäre er sicherlich für lange Zeit unentdeckt geblieben.

Die Round Tables am Freitag starteten mit Volker Kozok, einem Oberstleutnant der Bundeswehr, der seinen Vortrag zum Thema Darknet mit der Bedrohungslage startete. Gehostet werden die meisten Server, von denen Cyberwar und Cyberkriminalität ausgehen, in China und in Kamerun. China leuchtet ein, Kamerun überrascht. Die .cm Domains werden von Kamerun unbürokratisch an Russen vergeben. Wahrscheinlich auch an Amerikaner, die sich als Russen tarnen wollen. Die Hoster nennen sich, bulletproof, also kugelsicher, weil sie von Behörden unbehelligt sind. Die Services, die sie beherbergen sind zu 20% normale Internetservices, die restlichen 80% teilen sich Geheimdienste und (sonstige) Kriminelle aller Art. Als Darknet-Aufklärer ist der Experte selbst im Visier der Angreifer. Vor einiger Zeit bekam er Besuch von einer Spam-Bombe. Sein Postfach und damit der ganze Mailserver wurde mit 2,6 Millionen Spams ausgeschaltet. Ein Angriff aus dem „Darkweb“ oder „Deep Web“. Wie bei einem Eisberg befindet sich das „Deep Web“ unter dem uns allen bekannten „Surface Web“. Das „Deep Web“ ist dabei der Teil des Webs, der nicht indiziert wird, also dessen Seiten man nicht googeln kann. Man könnte auch ohne kriminelle Absicht mit eigenen Services ganz leicht Teil dieses Netzes werden. Man muss nur eine Webseite komisch benennen und nirgends verlinken. Ich erinnere nochmal an die IPv6 Diskussion: Es sollte nicht so leicht möglich sein, Server die unentdeckt bleiben wollen in einem Netzwerk zu finden. Das ist auch keine verwerfliche Absicht, genauso wenig wie die Nutzung des TOR Netzwerks, mit dem IP-Adressen verschleiert werden. Das dient in erster Linie der eigenen Privacy. Also der persönlichen Freiheit. Diese ist allerdings nicht nur im Netz ein Problem, da Kriminelle schon länger den Dual-Use Charakter der Freiheit entdeckt haben und sich die Freiheit nehmen, damit kriminelle Geschäfte zu tarnen. Auch das Bargeld und neuerdings die Netzwährung Bitcoins geraten dadurch unter Druck. Die unter dem Deckmantel des freiheitlichen Gedankens geschaffenen Infrastrukturen bilden bereits heute die Basis für ganz besondere Dienste: „Crime as a Service“ ist eine Realität. Es gibt:

• Infrastructure as a Service (bulletproof hosting)
• Data as a Service (Kreditkarten und Passwörter)
• Pay per Install (bei Viren mit Service Level Agreement)
• Hacking as a Service (für APTs, wie beispielsweise dem Sony Hack)
• Translation as a Service (von Muttersprachlern mit exzellenter Grammatik)
• Money Laundring as a Service (Echt gutes Falschgeld wird im Darknet feilgeboten).
• ID as a Service (Führerscheine, Pässe)
• Perversionen aller Art, z.B. live-Tötungen inklusive Versand von Echtheitsbeweisen
• Die Silk-Road mit Shops für Drogen und alle gerade genannten Services

Silk-Road Gründer Ross Ulbricht (29) wurde vor einiger Zeit geschnappt. Davor wurde er von einem Konkurrenten gehackt, für den er unter Nutzung von Silk-Road Services einen Auftragsmord verhandelt haben soll. Seither fehlt ein Deep Web Akteur mit dem Pseudonym „Friendly-Chemist“. Zum Verhängnis wurde Ulbricht aber nicht der mutmaßliche Tötungsauftrag, sondern zwei klitzekleine Fehler. Er postete einmal in einem Forum seine GMX-Mail-Adresse. Der Name reichte aber noch nicht für eine Verhaftung, man musste ihm auch den Betrieb der Silk-Road Services nachweisen. Das gelang mit einem Fehler in einer häufig benutzten CAPTCHA Implementierung. Dort wird – ganz ohne Not – die IP-Adresse des Servers mitgeliefert. Der Server stand übrigens in Island. Die CAPTCHA-Schwäche wurde so lange es ging, geheim gehalten, so dass ihr noch einige Kriminelle ins Netz gingen. Kurz nach dem Ziehen des Steckers bei Silkroad ging Silkroad 2.0 live. To be continued…

Der zweite Round Table brachte die Teilnehmer wieder auf den Boden der Technik zurück. Es ging um RFID-Sicherheit. Dass RFIDs beispielsweise als Badges für Zugangssysteme von Gebäuden nicht sicher sind, überraschte keinen mehr. Die haben noch mehr Sicherheitslücken als Finger und Augen. Auch bei diesem Thema hat Starbug vom CCC, der schon Merkels Iris gehackt hat, seine Finger drin. Er lieferte den ersten Open Source Hack des RFID-Standards crypto1 und veröffentlichte den Hack unter dem Namen crapto1. Wie fast schon erwartet, kann man RFID Tags leicht klonen oder mit einem langen Kabel einen Repeater bauen. Adam Laurie lieferte auch ein kleines Hacking Programm, mit dem man Passwort-geschützte Tags mit einer benutzerfreundlichen Skriptsprache bequem mit gewünschten Daten beschreiben kann.

Dann war der Vorhang zu und alle Fragen offen.

Und ich musste wieder an Omas Computer denken. Oma wird in diesem Leben mit dem Internet klarkommen, da es ihr egal ist, ob ihr Rechner ohne ihr Wissen gegen Nordkorea oder Sony eine Denial of Service Attacke fährt. Und falls sie eine Kreditkarte benutzt, die gestohlen und verwertet wird, ist ihr das auch egal. Dann geht sie zu ihrem netten Bankberater und erhält den verlorenen Betrag erstattet. Wenn nicht, vertröstet sie ihre Enkel, die etwas weniger erben werden. Über ihre Bank ärgert sie sich schon seit der Zeit nicht mehr, als ihr mit über 70 der Bausparvertrag im Paket mit dem geschlossenen Immobilienfonds angedreht wurde. Ach – und ihr Passwort bei dem netten Versandhändler Jean Pütz, der früher mit seinem feschen Schnurrbart mal ihre Lieblingssendung, die Hobbythek, moderiert hat – das vergisst sie sowieso immer gleich wieder. Dann muss sie halt für die nächste Bestellung ihrer geliebten Zimtsohlen ein Neues anfordern.

Und was ist mit uns beruflichen Internet-Nutzern? Viele von uns haben einiges mit Oma gemeinsam. Viele verstehen von den Gefahren auch nicht mehr als die freundliche alte Dame. Und das wird auch so bleiben. Denn wer sich die Zeit für die Beschäftigung mit der Technik nimmt, kann keinen anderen Aufgaben mehr nachgehen. Umgekehrt gibt es auch einige, die Server administrieren, oder Zugänge zu Systemen besitzen, die nicht längst im Zugriff der Geheimdienste oder der professionellen Hacker sind. Bei diesen Kollegen müssen wir die Awareness herstellen. Dazu müssen wir aber erst mal herauskriegen, wo unsere Kronjuwelen liegen und nicht die normalen User, die genau wie Oma nicht wirklich etwas zu verlieren haben, mit unverständlichen Regeln und Zwangsprozessen nerven.

Jeanne
PS: Mit der Email-Registrierung bei [email protected] kriegt ihr meine Posts, auch wenn YouTube, Google und Steemit irgendwann Geschichte sein sollten…