🔒 Was hat James Bond mit Cyberkriminellen gemeinsam?
Presented by: Frank Giessen, Cem Karakaya
Originally aired on February 13, 2023 @ 6:30 PM - 7:00 PM EST
Cybercrime ist manchmal so spannend wie ein James Bond Film. Wir wollen mit Cem Karakaya über seine Erfahrungen als ehemaliger Interpol Agent sprechen. Cem engagiert sich in u.a. in Präventionsmassnahmen für Kinder und Jugendliche um sie vor den Gefahren im Internet zu schützen. Dabei hat er einen spannenden Vergleich zwischen dem Agenten 007 und Cyberkriminellen hergestellt. Auf Basis dieses Vergleiches wollen wir die Thematik Datenschutz vs Cybercrime beleuchten.
German
Privacy Week
Transcript (Beta)
Hallo und schönen guten Tag. Mein Name ist Frank Giessen. Ich arbeite seit April 2020 für Cloudflare in Deutschland und ich freue mich, dass ich Sie heute bei Cloudflare TV begrüßen darf.
Ich habe heute Cem Karakaya zu Gast. Hallo Cem. Ja Cem, du bist in der Türkei geboren.
Du hast nach deiner Ausbildung zum Polizisten vier Jahre an der Polizeiakademie in Ankara für eine Laufbahn im gehobenen Dienst studiert.
Danach warst du bei Interpol beschäftigt, wurde unter anderem für die Abteilung Auswärtige Angelegenheiten und auch zwei Jahre als Generalsekretär der Internationalen Polizeivereinigung IPA für die türkische Sektion tätig warst.
Später bist du in den Bereichen Neue Medien und Internetkriminalität gewechselt und du warst zwischen 2008 und 2019 der IPA -Sekretär in der Verbindungsstelle München und auf Cybercrime und Prävention spezialisiert.
Nebenberuflich bist du als Berater, Speaker unterwegs und du bist auch Buchautor, das wollen wir an der Stelle erwähnen.
Ja, ein nicht ganz ertäglicher Lebenslauf, möchte ich mal sagen.
Ja Cem, was machst du so aktuell? Wie geht es dir in diesen ungewöhnlichen Zeiten?
Ja, das ist halt schwierig, aber Fakt ist, es wird ja nicht ewig dauern.
Jetzt hat heute ein Kollege von mir eine Nachricht geschickt, dass er im Geschichtsunterricht gelernt hat, dass man im Mittelalter, wo die Menschheit gegen Pest gewonnen hat, das hat monatelang Orgien gegeben hat.
Ich frage mich, ob wir das dann nach Corona auch haben, aber weißt du, ich bin halt ein Mensch, der gerne unterwegs ist und halt immer die Menschen zu sensibilisieren.
Derzeit vermisse ich sogar die Ansage am Bahnhof, dass mein Zug sich verspätet.
Absolut, ja. Also das ist echt schon, das haben wir alle nicht gebraucht, würde ich mal sagen.
Aber gut, jetzt müssen wir damit leben und wie gesagt, hoffen wir auf bessere Zeiten.
Ja Cem, du hast uns heute einen Vortrag mitgebracht, auf den ich mich wirklich schon sehr freue.
Der Titel lautet Was hat James Bond mit dem Cyberkriminellen gemeinsam?
Also das allein ist ja schon eine coole Sache.
Wie bist du auf diesen Titel gekommen? Also weißt du, als ich beim Interpol war, war ich ja als Feldagent tätig, wie James Bond, aber ohne schöne Fahnen, ohne schöne Autos.
Ich habe sogar einmal eine russische Agentin kennengelernt, sie hatte Bart gehabt, also.
Und nachdem dann mit dem Cyberkriminellen die meist benutzten Methoden tatsächlich auch so circa sieben Stück waren, kam plötzlich, ich bin ja selber James Bond Fan, habe mal gedacht, hey, ich sollte eigentlich die Cyberkriminellen mit James Bond vergleichen und daraus ist wirklich ein sehr schönes Konzept geworden.
Sehr cool. Also das heißt im Klartext, wir bekommen heute das, worauf alle anderen das Ganze nicht erwarten mussten, nämlich auf den neuen James Bond.
Super, dann gehe ich gleich mal beim Bildschirm frei und denke, dass du auch jetzt die Präsentation zu sehen hast, oder?
Ja, ich kann die sehen, perfekt. Also zuerst mal bedanke ich mich natürlich für die Einladung, lieber Frank, und auch diese Möglichkeit, weil ich halte sehr gerne Vorträge, das einzige beim Online-Vortrag ist halt, dass du natürlich nicht weißt, ob der Vortrag angekommen ist, weil du ganz am Ende sagst, vielen Dank für die Aufmerksamkeit, hörst keinen Applaus und weißt das natürlich nicht.
Deswegen habe ich auch meine Tochter beauftragt, nach jedem Online-Vortrag mich zu applaudieren, dass ich mindestens das Gefühl habe.
Aber weißt du, Online -Vorträge ist auch viel besser als absolut gar nichts.
Daher bin ich auch dankbar, dass wir diese Technologie haben, diese Möglichkeiten haben und wie gesagt, irgendeines Tages wird das Ganze schon vorbei sein, sind wir alle geimpft und haben unser normales Leben zurück.
Aber heute geht es wirklich eigentlich mehrmals eigentlich um die Menschen.
Nicht die Technologie ist gefährlich, sondern der Mensch an sich, sage ich immer, weil der Computer rechnet wirklich mit allem, wie auch in meinem Untertitel heißt, aber nicht mit seinem Benutzer.
Weil Fakt ist, wir haben heute, wenn du mich fragst, fast jedes IT-Problem gelöst und die Cyberkriminellen haben aber immer noch Erfolg und das nur dank der menschlichen Faulheit.
Darum geht es auch heute, dass wir quasi diesbezüglich versuchen, die Menschen zu sensibilisieren.
Fakt ist, es ist fast überall alles digitalisiert worden.
Ich habe ja kein Problem mit Digitalisierung, aber ich sage immer, wenn Sie etwas digitalisieren, denken Sie bitte auch an den Menschen.
Sind die Menschen dafür bereit?
Kennen sie die Risiken und haben ihre Maßnahmen getroffen? Wenn diese drei Fragen beantwortet, mit Ja beantwortet wird, habe ich damit wirklich kein Problem.
Läuft aber leider andersrum. Es kommt irgendetwas raus, jeder steigt ein und erst dann werden die Maßnahmen getroffen, wenn überhaupt und das ist nicht der richtige Weg.
Aber weißt du, nachdem ich natürlich wie so viel unterwegs bin, beobachte ich immer die Menschen.
Frank, das ist eine Berufskrankheit.
Ich lese am Tag zwischen 10 und 15 Nachrichten von anderen Menschen.
Macht mir Spaß. Niemand kriegt das mit. Die machen Telefongespräche im ICE-Zug.
Niemand kriegt das mit und denken, die wären alleine. Früher, als wir in der Telefonzelle telefoniert haben, auch wenn ich so jung ausschaue, bin ich schon 51 Jahre alt, aber weißt du, der Türke macht nie Stress.
Deswegen schaue ich immer auch so jung aus, weil Stress macht nur älter.
Ja, ist so. Weißt du, wir Türken, wir essen alles, wir trinken alles, machen keinen Sport, aber mit 65, weg.
Aber wir haben das Leben genossen. Sehr gut. Deswegen sage ich auch meinen deutschen Kollegen immer, wenn sie einen Türken sehen, der rennt, rennen sie hinterher und nehmen sie die Person fest, weil die Wahrscheinlichkeit, dass er Sport macht, ist sehr gering.
Ja, ich glaube, ich will auch einen Türken. Ja, genau. Aber weißt du, ich war mal, kurz vor Corona, das letzte Mal im Flieger, saß am Fenster, leer und eine Frau.
Der Flieger war noch am Boden und schon hat sie ihr Laptop rausgefunden und fing an zu arbeiten.
Wenn du mich fragst, Frank, wir haben sogar vergessen, unsere Reise zu genießen, arbeiten überall.
Manche Geschäftsleute haben sogar zwei oder sogar drei Smartphones auf einmal gleichzeitig.
Wenn du mich fragst, die haben oder...
Das ist Kontrollverlust und nicht Karriere. Das ist wirklich Kontrollverlust.
Aber Fakt ist, die Frau hat das Laptop geöffnet, habe ich gleich gesehen, wie sie mit Vor- und Nachname heißt, weil das Anmeldefenster ist ja immer meistens mit Vor- und Nachname.
Da hat sie ihr Passwort eingetippt, was ich auch ganz genau gesehen habe.
Dann dachte ich mir, wo hat sie wohl ihre kostenlose E-Mail-Anbieter, sind ja nicht so viele.
Und beim Gmail habe ich gleich eine Treffe gehabt, wieder mit Vorname.Nachname.At.Gmail.
Und das Schreckliche daran war, es war dasselbe Passwort.
Das heißt, jetzt habe ich ihr Gmail-Account komplett unter meiner Kontrolle.
Die Frage lautet, habe ich sie jetzt gehackt?
Ja, nennt sich Visual Hacking, aber habe ich extra dafür eine Mühe gegeben?
Nein. Ich habe aber keinen Bock gehabt, sie anzusprechen, weil normalerweise spreche ich die Menschen immer an, um zu sensibilisieren, aber da war ich so müde, habe mir gedacht, ich schicke dann später von ihrer eigenen E -Mail-Account eine E-Mail, die soll zukünftig besser aufpassen.
Im Weg des Fluges kam unsere Flugbegleiterin, um unsere Getränke zu verteilen.
Und dann habe ich gesehen, dass unsere Flugbegleiterin mit der Nachname genauso heißt wie sie.
Da konnte ich natürlich nicht mehr zurückhalten, habe gesagt, schau uns her, sie heißt genauso wie sie.
Da hat sie zuerst auf das Namensschild geschaut und dann zu mir, hat sie gesagt, kennen wir uns?
Habe ich gesagt, nö. Hat sie gesagt, woher kennen Sie meine Nachname?
Habe ich gesagt, verrate ich nicht.
Aber ein Tipp von mir, bitte ändern Sie Ihr Passwort. Das würde ich mal sagen, Identitätsdiebstahl leicht gemacht, oder?
Zum Beispiel. Und es sind so viele Geschichten, die wir auch wirklich sehr oft erleben.
Manchmal schüttelte ich den Kopf, aber manchmal, muss ich ganz ehrlich sagen, Frank, verliere ich die Hoffnung über die Menschheit.
Das ist das Problem. Und darum geht es auch heute, um die Sensibilisierung, wie wir auch gerade darüber gesprochen haben.
Wir haben jetzt ja seit März circa, das mit dem Corona, eigentlich wissen wir schon seit Januar davon war es, dass da jetzt was in China gekommen ist, rausgekommen ist.
Aber Fakt ist, wir haben wirklich seit März 80 Prozent mehr Internet Kriminalität.
Wahnsinn.
Weil wegen Corona saßen plötzlich natürlich alle Leute zu Hause. Viele haben Homeoffice gemacht.
Die Frage lautet, sind die richtigen technischen Maßnahmen und dieselben technischen Maßnahmen genauso zu Hause getroffen, wie bei der Arbeit?
80, 90 Prozent nein. Und die Menschen haben immer das Gefühl gehabt, aber trotzdem von zu Hause aus so zu arbeiten, als ob sie in der Arbeit wären.
Aber die eigenen Geräte haben nicht die technischen Maßnahmen, was bei der Firma vielleicht quasi vorhanden war.
Und das war das Problem. Und das andere Problem, insbesondere im Bereich Betrug, würde ich mal sagen, polizeilich jetzt betrachtet, diese ganze Soforthilfemaßnahmen.
Natürlich wollte der Staat sehr viele Firmen helfen, Selbstständige helfen, so schnell wie möglich.
Aber manche haben halt das bisschen missbraucht, sage ich mal, und haben trotzdem Soforthilfe beantragt, obwohl sie nicht mal eine Firma hatten.
Haben wir nämlich sehr viele Fälle auch in diese Richtung.
Aber das Problem in diesem Fall war, die Cyberkriminellen haben Internetseiten erstellt, wo angeblich auch so Soforthilfe-Anträge gestellt werden könnte, was natürlich aber nicht richtig war.
Und haben dann die Daten von Menschen, auch wie der Identitätsdiebstahl, wenn du mich fragst, genommen und mit diesen Daten tatsächlich Hilfe beantragt.
Das war das Krasse daran. Nur die Bankverbindung. Ja, genau, richtig.
Alles drum und dran. Und wegen Corona sehe ich auch das Problem, die ganze Fake-Nachrichten, die ganze Beschwörungstheorien und was weiß ich.
Weil, weißt du, es ist nicht nur so babyleicht, die Menschen zu hacken heutzutage.
Es ist auch leicht, die Menschen zu manipulieren. Oh, ich muss zum Einsatz.
Man muss die Fakten von Meinungen trennen.
Das ist das Allerwichtigste überhaupt. Und wo wir im März das erste Mal zu Hause sein mussten, kam gleich die Nachricht, auch hat meine Frau bekommen über WhatsApp, dass quasi an dem Tag Stadt München fünf Hubschrauber bestellt hat, dass die Hubschrauber Desinfektionsmittel versprühen, damit wir gegen diese Corona kämpfen können.
Und dann sollte man sogar 23.30 Uhr sein Fenster schließen.
Habe ich gesagt, Schatz, ich bin bei der Polizei. Sollte ich das nicht wissen, wenn so etwas gäbe.
Sag mal, so etwas gibt es wirklich. Warum machen wir verdammt nochmal unser Fenster zu?
Sollen doch diese Desinfektionsmittel auch bei uns reinkommen, damit uns dagegen quasi schützen können.
Aber bei solch schwierigen Zeiten, lieber Frank, hat auch die Presse eine sehr große Verantwortung.
Wir hatten ja quasi im Sommer die Nachricht bekommen, dass Menschen quasi im Malay-Urlaub die Sicherheitsabstände nicht gehalten haben, gefeiert haben.
Das stimmt auch. Aber die Zeitungen haben dann nächsten Tag die Nachricht mit diesem Bild gebracht.
Wenn du dieses Bild siehst, also die Nachricht an sich ist ja richtig.
Die Menschen haben tatsächlich gefeiert, haben die Sicherheitsabstände nicht gehalten, keine Masken getragen.
Aber wenn du das Bild siehst, Frank, was denkst du?
Du würdest doch sagen, spinnen die? Wir haben Corona, kein Sicherheitsabstand.
Aber Fakt war, dieses Bild, was du jetzt gerade siehst, ist nicht von 2020 Sommer, sondern 2018.
Das wollte ich gerade fragen. Das ist wahrscheinlich von vor zwei oder einem Jahr.
Genau, richtig. Aber die Menschen denken nicht daran.
Die glauben daran, was sie halt sehen und so weiter. Und deswegen ist es auch sehr gefährlich, dass man wirklich achten muss, dass man nicht gleich an alles glaubt, was man gleich liest, beziehungsweise sieht, dass man auch ein bisschen denkt, vielleicht auch vergleicht.
In dem Fall hast du zum Beispiel eine technische Möglichkeit.
Du machst einen rechten Mausklick auf dem Foto, sagst du Bildlink kopieren, dann gehst du auf deine Suchmaschine, in der Fotosuche, fügst diesen Link dort ein, sagst du suchen und dann bekommst du jede einzelne Internetseite, wo dieses Foto verwendet wurde und siehst, das ist das erste Mal, in dem Fall 2018 quasi verwendet wurde.
Aber wegen Corona nicht. Das ist ein guter Punkt.
Ich habe gerade heute, also eben zwischendurch gesucht, aber nicht so schnell gefunden, eine Studie gesehen.
Ich wollte gucken, wer sie beauftragt hat und da sind Jugendliche gefragt worden.
Und in dieser Studie haben 53 Prozent der Jugendlichen angegeben, dass sie wirklich Schwierigkeiten haben im Zusammenhang mit Fake News, also dass sie die Richtigen von den Fake News halt unterscheiden und das finde ich beängstigend.
Also wenn 53 Prozent der Meinung sind, dass sie damit ein Problem haben, das bringt das nochmal auf den Punkt.
Und da sind die Jugendlichen. Schau mal, die Erwachsenen haben doch Probleme. Wie sollen dann die Kinder und Jugendlichen schaffen, zwischen Fake und richtige zu unterscheiden.
Genau darum geht es. Aber wie gesagt, wegen Corona saßen wir zu Hause, haben sehr viele Homeoffice gemacht und in dem Fall möchte ich ganz kurz erwähnen, welche Maßnahmen die Arbeitnehmer und welche Maßnahmen die Arbeitgeber unbedingt bitte schön treffen sollten.
Auf jeden Fall, auch bei meiner Videokonferenz sieht man, dass ich einen virtuellen Hintergrund habe.
Ich bin nicht wirklich auf diesem James-Bond-Insel, aber dass man wirklich auch schaut, weil wir machen sehr oft Videokonferenzen.
Ich habe sogar einmal live selber was erlebt, wo auch einer wieder in seinem Arbeitszimmer war, Homeoffice, und hinter ihm an der Wand war wirklich so eine Tafel und an der Tafel hing so ein A4-Blatt Papier und da drauf stand all seine Passwörter für jeden Konto.
Bestens. Also als ich ihm dann Aufwechslung gemacht hatte, hat er gesagt, oh, jetzt habe ich ja was zu tun.
Und deswegen, bevor man ständig überprüfen muss, habe ich da irgendetwas hin und her, mache ich doch gleich einen virtuellen Hintergrund und derzeit bieten ja fast jedes Programm das an.
Es gibt auch Programme, die das nicht anbieten, dass man seinen virtuellen Hintergrund ändern kann, aber dafür gibt es trotzdem Hilfeprogramme, mit deren Hilfe trotzdem das so machen kann.
Wir deswegen haben ja auch diese Hacking, was sage ich Hacking, das ist ja kein Hacking, wo ein Journalist doch in Holland quasi sich in eine EU -Sitzung reingeloggt hat, weil die Ministerin in Holland hat ein Twitter-Foto machen lassen und auf dem Schalttisch war dann diese Code und hat dann der Journalist sich eingeloggt.
Fertig. Immer, wenn ich Fotos schieße lasse oder Videos, so Online-Vorträge mache oder Online -Meeting, da sollte man aufpassen, was steht auf dem Tisch, was steht im Hintergrund.
Lieber nehme ich doch gleich einen virtuellen Hintergrund. Was ich ganz dringend empfehle ist, weißt du, vor Corona haben wir sehr viele Gäste zu Hause gehabt, die Freunde von unseren Kindern und jeder kennt unser WLAN-Passwort, weil jeder, der zu mir als Gast nach Hause kommt, sagt, hey, wie ist das WLAN -Passwort, der erste Satz.
Und da haben ja sehr viele Menschen unser WLAN-Passwort gegeben, hier geht es um Wirtschaftsspionage.
Du kannst nie wissen, wer im Umkreis, vielleicht sogar im Freundeskreis, irgendjemand neidisch ist und wenn er sich ein bisschen mit IT auskennt und das WLAN-Passwort kennt, könnte er wirklich gucken von draußen aus, was du gerade erarbeitest.
Und deswegen sollte man auch diesen WLAN-Router -Passwörter ändern.
Fakt ist, in sehr vielen Haushalten, wenn ich selber Gast bin, weißt du, ich frage nicht mal nach, was für ein WLAN-Passwort sie haben, ich schaue selber hinter dem Router.
Steht doch drauf. Genau. Das Geräte-Passwort. Dann sehe ich, dann hast du zu Hause Smart 3-Router oder 730v-Router, was ich automatisch, du bist beim Telekom und die Hauptseite für alle Telekom-Router bundesweit lautet speedport.ip und dann nehme ich das Geräte-Passwort ein, opala, ich bin in deinem Router drin.
Was kann ich machen? Ich habe dein ganzes Leben unter meiner Kontrolle.
Die Maßnahme, höchstens drei Minuten, Frank, gehst du rein, Einstellungen, WLAN-Passwort ändern, Geräte-Passwort ändern und für meine Gäste ein Gas-Konto erstellen und nicht ein tatsächliches WLAN-Passwort geben.
Also meine Gäste trauen sich ja bei mir nicht nachzufragen, was für ein WLAN-Passwort ich habe, weil die wissen, dass ich gerade alle hecke.
Sehr gut.
Unterschiedlicher Passwörter nehmen, das ist heutzutage eigentlich, gehört auch zu den Hauptmaßnahmen, insbesondere mit einer technischen Hilfsmittel, sogenannte Passwort-Manager -Programm, dass ich wirklich überall unterschiedliche Passwörter habe und nicht dasselbe, dass wir halt unsere Verbindung natürlich verschlüsseln.
Wenn ich zu Hause arbeite und meinen Arbeitsplatz verlasse, dass ich diesen Bildschirmsperre selber veranlasse.
Wir haben im Jagdnetz so viele Produkte gefunden, dass man wirklich von draußen aus, bevor der Bildschirm gesperrt wird, dass der Täter von draußen aus Zugang kriegt und was weiß ich.
Und lebenswichtig ist natürlich die Sicherungskopien.
Bei der Firma wird das automatisch erstellt von dem Anwenderbetreuer.
Wie schaut es zu Hause aus?
Wann haben wir privat das letzte Mal unsere Daten gesichert? Antivirus-Programm ist ja klar, das nennt sich ja heutzutage Endpoint Security, nicht nur ein Antivirus -Programm, sondern mit Firewall hin und her.
Da sehe ich das Problem, dass die Menschen, wenn sie ein Antivirus-Programm installieren, denken sie gleich, mein Computer ist sicher.
Nein, das Programm muss noch richtig eingestellt werden, weil jeder hat andere Bedürfnisse und auch die Firewall-Einstellungen ist ja klar.
Und man darf auch nicht vergessen, dass auch vielleicht Kinder noch zu Hause sind, sogar Haustiere.
Wenn ich meinen Arbeitsplatz verlasse ohne Bildschirmsperre, könnte mein Kind oder Haustier irgendetwas machen, was vielleicht nicht mehr rückgängig gemacht werden kann.
Was müssen die Arbeitgeber vielleicht machen, insbesondere für ihre Mitarbeiter, dass sie wirklich eine einfache Stadtbedienung anbieten mit Surf -Service-Portal, dass die Geräte vielleicht, wenn es möglich ist, von der Anwenderbetreuer der Firma selber aus die Geräte auch zu Hause verschlüsselt sind, dass die E-Mail-Kommunikation verschlüsselt läuft, insbesondere mit einer digitalen Signatur, dass ich sehe, die E-Mail kommt wirklich von meiner Firma und meine Firma sieht auch, die E-Mail kommt tatsächlich von mir, ist kein Phishing-Versuch.
Und dass der Anwenderbetreuer quasi auch zu Hause unsere Geräte automatisch updatet, weil meine Mitarbeiter sind halt faul, die kümmern sich nicht darum.
Und man darf auch nicht vergessen, Frank, wir haben DSGVO, also diese Datenschutz -Grundverordnung in Europa und die Arbeitgeber müssen tatsächlich für ihre Mitarbeiter alles dokumentieren, welche Maßnahmen sie für Home-Office-Möglichkeit getroffen haben.
Weil wenn was passieren sollte, dann sagt die Datenschutzbehörde, ja, welche Maßnahmen hast du getroffen, her damit.
Absolut. Dass die Zugänge natürlich auch so geschafft wird, dass die Mitarbeiter wirklich das Gefühl haben, dass sie zu Hause zwar arbeiten, aber wie bei der Firma.
Die IT-Abteilung ist natürlich groß gefragt, insbesondere bei dieser Zeit.
Die brauchen einen sehr großen Geduld, muss man schon sagen.
Ich empfehle in dem Fall wirklich für die Sicherheitsprobleme der Mitarbeiter, die Home-Office machen, eine eigene E-Mail -Adresse zu generieren, dass der ITler der Firma auch den Überblick hat.
Und man darf nie erlauben, dass die Mitarbeiter ein paar PC-Probleme, IT-Probleme selber lösen.
Sogenannte Shadow-IT-Lösungen, dass immer der Anwenderbetreuer kontaktiert wird, was auch immer passiert.
Wenn auch eine Frage zehnmal gestellt wird, sollte auch der Anwenderbetreuer diese Frage zehnmal beantworten.
Also einen großen Geduld.
Jetzt kommen wir auf das Hauptthema mit Bond, dass ich die Cyberkrim mit Bond vergleiche.
Wir werden wirklich mit 001 anfangen und gehen bis zu 007.
Das sind nämlich tatsächlich so sieben Hauptmaschen, Methoden, was die Cyberkriminellen einsetzen und natürlich dazugehörende Maßnahmen, die Menschen dann treffen sollten, bitte.
Und wir fangen doch gleich mit 001 an. Wie du weißt, Bond arbeitet auch leise, hat immer so einen Schalldämpfer, damit das natürlich niemand mitbekommt.
Und die Täter, die Cyberkriminellen machen das genauso, insbesondere mit der Methode Phishing.
Phishing sollte eigentlich, man denkt als IT-Ler, jedem klar sein oder sehr viele Menschen klar sein.
Aber Frank, da kann ich dir nur sagen, ich bin ja sehr viele in Firmen unterwegs, um die Mitarbeiter zu sensibilisieren.
Wir machen Fortbildungen, Vorträge und was weiß ich. Und es passiert mir leider sehr oft, wenn ich die Frage stelle, wissen Sie, was Phishing ist?
Viele schütteln den Kopf.
Wenn du alle Cyberangriffe weltweit zusammennimmst, alle, mindestens 80 Prozent davon fängt mit einem Phishing-Angriff an, mindestens 80 Prozent.
Und wenn die Mitarbeiter nicht mal wissen, was Phishing ist, wie sollen wir dann dagegen kämpfen können, bitte?
Und daher, Sicherheit ist im Team und mit Team möglich.
Du kannst jede IT-technische Maßnahme treffen, Millionen von Euros für deine IT-Sicherheit investieren, weil wir schicken doch auch an die Firmen testmäßig Phishing-E-Mails, um zu schauen, wie viel Prozent der Mitarbeiter da reinfallen.
Und da habe ich einmal eine Firma eine E-Mail geschickt, vor zwei, drei Monaten ist es passiert, habe mich als IT-Ler der Firma ausgegeben, habe ich den Mitarbeitern geschrieben, Leute, wir sind neulich Opfer von einer Cyberattacke geworden.
Daher müsst ihr bitte so schnell wie möglich eure Zugangsdaten ändern.
Um das zu machen, klickt auf diesen Link.
Und dann schauen wir, wie viele Menschen auf diesem Link drauf klicken.
Und wenn jemand das macht, kommt ein wunderschönes Video, wo es erzählt wird, ja, hätte es schlimmer sein können, passt doch hier auf, da auf und so weiter und so fort.
Und eine Mitarbeiterin schickt uns eine E-Mail und schreibt, ich würde ja gern meinen Passwort ändern, aber es kommt ständig das blöde Video.
Was willst du machen?
Da fällt einem nicht mal viel zu ein, oder?
Ja, wie gesagt, du kannst alles machen, aber so eine Mitarbeiterin würde alles wieder zunichtemachen.
Daher, dass auch nicht nur die IT-Maßnahmen getroffen werden, dass die Mitarbeiter auch sensibilisiert werden mit Vorträgen, Fortbildungen, die wir auch machen als Blackstone 432, aber auch interne Fortbildungen, je nachdem, ob das jetzt über Intranetseite passiert und so weiter.
Da kann ich empfehlen, wirklich, da habe ich eine gute Erfahrung gemacht, wenn die Mitarbeiter ein Programm abschließen müssen, so eine interne Fortbildung, aber auf dem Computer, so eine E-Learning -Plattform.
Dann sagt doch bitte, wer das alles abschließt und mit 100 Punkte abschließt, kriegt einen halben Tag oder einen Tag frei.
Dann haben die Mitarbeiter richtig Motivation, da daran Zeit zu nehmen und schon hast du wirklich viele sensibilisiert.
Aber man darf auch nicht vergessen, Frank, einmal reicht nicht aus. Ich habe wirklich große VIP-Kunden, bei denen bin ich jedes Jahr, jedes Jahr bin ich.
Natürlich mit Neuigkeiten, aber wir wiederholen und wiederholen, nur so können wir es schaffen, tatsächlich dagegen zu kämpfen.
Ja, ich sehe das auch. Wir klären es ja kurz trotzdem.
Ist das auch ein Teil der Arbeit von der, du hast ja in München bei der Polizei gearbeitet.
Wird das auch von den Dienststellen gefördert, die Präventionsmaßnahmen?
Absolut, und zwar, wir haben jetzt bei uns in Bayern, Landeskriminalamt ist ja für die Firmen zuständig und die Polizei München macht das mehr mit den Schulen, Beratungsstellen oder Kooperationspartner, je nachdem, dass wir dann diese Sensibilisierung durchführen, weil Prävention ist sehr, sehr wichtig, bevor etwas passiert, dass man schon vorher seine Maßnahmen trifft.
Aber schaut, Patientenverfügung, ja, ist auch ganz was Wichtiges.
Aber wer hat, wie viele Menschen haben das tatsächlich gemacht, wie verschieben und verschieben es, obwohl es so was von wichtig ist und das wissen wir, wie wichtig das ist.
Wie schaut es aber zum Beispiel mit der digitalen Nachlass aus?
Das heißt, was passiert mit meinen Daten im Internet, wenn ich sterben möchte?
Wenn ich das rechtlich nicht geregelt habe, haben die Hinterbliebenen keine Möglichkeit, das zu regeln.
Ja, das ist auch wirklich ein Punkt, der vor ein paar Jahrzehnten kein Thema war, aber jetzt ja.
Richtig, richtig, absolut. Wenn ich dann bei der Phishing-E-Mail-Nahme nicht angesprochen werde, dann sprechen wir halt von Spearfishing.
Und das zeigt uns, dass die Täter, die Cyberkriminellen, über ihre Opfer ausführlich ihre Datensätze haben als früher.
Das heißt, die kennen sogar, wo ich wohne, wie ich heiße und personalisieren diese E-Mail, damit diese E-Mail auch glaubhaft genug ist.
Es gibt auch zum Beispiel ein paar Plattformen. In diesem Plattform siehst du, in dem Fall hat dieses Plattform, wo ich diesen Screenshot gemacht hatte, 6,5 Milliarden E -Mail-Adressen gehabt mit Passwörtern.
Dieses Screenshot, wenn ich mich nicht falsch daran erinnere, habe ich tatsächlich vor einem Jahr gemacht.
Und heute hat diese Plattform insgesamt circa 13 Milliarden E-Mail-Adressen.
In einem Jahr mehr als das Doppelte. Milliarden, Frank, nicht Millionen.
Das ist krass. Jetzt nehmen wir als Beispiel mit bmw.de. Sag ich, liebes Programm, bringt mir alle E-Mail-Adressen, die mit bmw.de enden.
Ergebnis 6.287.
Frank, das heißt, wir kennen ab sofort 6.287 BMW -Mitarbeiterinnen und Mitarbeiter mit Vor- und Nachname und wir kennen deren Passwörter.
Die Frage lautet, ist jetzt BMW gehackt worden? Nein, diese Mitarbeiterinnen und Mitarbeiter haben ihre dienstliche E-Mail-Adresse, die mit bmw.de endet, irgendwo privat benutzt und deren Datensatz ist abhandengekommen und nicht vom BMW.
Wir haben hier zum Beispiel einen Markus, der arbeitet auch beim BMW. Schauen wir mal, was für ein Passwort der Markus hat.
Audi 100. Der arbeitet beim BMW und hat als Passwort Audi.
Was würde ich als Chef der BMW sehr, aber sehr lustig machen?
Markus, pack deine Sachen, du Depp. Was würde ich ernsthaft gedacht machen?
Ich würde meinen Rechtsanwalt beauftragen, insbesondere wegen was? Wirtschaftsspionage.
Weil als Chef der BMW glaube ich, dass Markus mich ausspioniert und für Audi arbeitet.
Ich bin fest davon überzeugt, dass er das als Spaß gemeint hat, wirklich.
Hey, er hat das zu beweisen, nicht ich. Weiß das der CIO vom BMW, dass auf den Plattformen die 6000 Adressen rumschwirren?
Du, im Grunde genommen geben wir ja das, immer wenn ich was feststelle, gebe ich das auch bekannt.
Das schicke ich an den, meistens kommt aber nicht mal eine Rückmeldung, leider.
Keine Rückmeldung?
Nein. Okay. Weißt du, heute kann ich sogar gleich sagen, ich habe nochmal mal wegen einem anderen Fall wieder geschaut, derzeit sind es nicht 6 .287, sondern mehr als 10.000.
Okay. Die haben ja ihre eigene Sicherheitseinstellungen, insbesondere wegen mindestens achtstellig.
Die müssen bestimmte Zeitregalen, das alles ändern und was weiß ich.
Aber es geht ja darum, dass die Mitarbeiter ihre dienstliche E -Mail-Adresse benutzen, um privat auf die Info sich zu registrieren.
Ich schaue zum Beispiel mit meinem griechischen Freund aus, Nikolas.
Der hat Niko 1968 Passwort. Und Fakt ist, weltweit mindestens 60% der Menschen benutzen ihr Geburtsjahr in ihrem Passwort.
Und woher kriege ich dein Passwort?
Soziale Netzwerke. Ja. Die Menschen tragen alles ein und schon habe ich die Hälfte von deinem Passwort geknackt.
Andere Hälfte gebe ich unserem Quantum-PC ein.
Fertig. Ja. Jetzt gehen wir aber bei Nikolas einen Schritt weiter. Auch hier versuchen wir herauszufinden, wo könnte Nikolas seine kostenlose E-Mail -Adresse haben.
Wir gehen davon aus, wir haben eine gefunden, Nikolas.hh.web.de und wir haben ein Passwort in der Hand von Niko 1968.
Die Frage lautet, wie hoch ist die Wahrscheinlichkeit, dass ich mit dieser E-Mail-Adresse und mit diesem Passwort bei seinem E-Mail-Anbieter, Amazon, Paypal, Ebay, wo die Bankdaten hinterlegt sind, wo die Kreditkartendaten hinterlegt sind und in seine sozialen Netzwerken auch reinkomme.
Liegt bei 80 Prozent. Ich wollte gerade sagen, verdammt hoch.
Absolut. Das ist wieder nur die menschliche Faulheit. Und wenn irgendjemand, der jetzt uns zuhört, seine private E-Mail-Adresse mit Passwort auch in diesem Portal drin ist und das ist nicht nur das einzige Portal, was man finden kann.
Das sind tausende von Plattformen und dann, wenn die Menschen überall dasselbe Passwort benutzen, auch hier habe ich wieder dein ganzes Leben unter meiner Kontrolle.
Ja. Also absolut faszinierend. Was mich aber am meisten fasziniert ist, dass, wenn du so etwas aufdeckst, dass du da keine Response bekommst.
Ja, das ist ja kaum vorstellbar. Ja, viele weiß ich nicht, obwohl das überhaupt tatsächlich ankommt.
Ich schicke ja an ihre Info-E-Mail-Adresse und schaue, welche Adresse sie haben unter Kontakte.
Wer weiß, kriegen sie vielleicht tausende E-Mails am Tag.
Keine Ahnung. Ich will ja niemanden jetzt beschuldigen dafür. Aber du, meine Verantwortung ist, den Menschen das bekannt zu geben.
Das mache ich auch. Ob sie das ernst nehmen oder nicht, ist deren Sache.
Absolut, ja. Sie sollten es tun.
Sie haben ja derzeit das große Problem mit Verschlüsselungstreuern, insbesondere in dem Fall Emotet.
Alle Daten werden auf dem Server verschlüsselt. Es gibt kein Zurück mehr.
Da kommt die Erpressungse-E-Mail. Man muss einen bestimmten Betrag vom Geld bezahlen, dass die Daten wieder entschlüsselt werden.
Hier hilft die Maßnahme Backups, Sicherungskopien.
Wenn du jeden Tag eine Backup machst, bei mir zu Hause, ich habe meinen eigenen Server zu Hause, wird jeden Tag ein Backup bestellt.
Wenn was passiert, weiß ich, der letzte Backup ist von der letzten Nacht fertig.
Ja. Und dann kann ich diese Erpressungse-E-Mail komplett löschen.
Aber viele Firmen bezahlen tatsächlich Geld. Die Polizei, als Polizei sagt man natürlich, bitte kein Geld überweisen, sonst motiviert man die Täter.
Da hat sogar eine Firma mich kontaktiert, die waren auch Opfer von Emotet.
Haben sie gesagt, Herr Kranke, was sollen wir machen? Sollen wir das Geld bezahlen?
Habe ich gesagt, als Polizei, auf keinen Fall. Als Türke, bezahlen Sie es.
Okay, was haben Sie getan?
Keine Ahnung. Haben Sie auf den Polizisten gehört oder auf den Türken?
Und schon sind wir beim 002.
Wie du weißt, der Bond hat ja auch verschiedene Identitäten, muss er ja haben als Spion.
Und das haben natürlich auch unsere Cyberkriminellen genauso und setzen wirklich sehr viele Methoden ein.
Und eine davon ist Call-ID-Spoofing.
Das ist halt quasi eine Methode, wenn ich dich anrufe, ich kann jede beliebige Telefonnummer auf deinem Display anzeigen lassen.
Bei uns in München sind meistens die ältere Herrschaften betroffen.
Die bekommen auch einen Anruf zu Hause.
Auf dem Display steht 110. Was glauben Sie? Die Polizei ruft an, gehen ran und geben leider am Telefon ihre persönlichen Daten weiter.
110 erscheint nie auf dem Display.
Wenn ich dich anrufen sollte, siehst du meine Nebenstelle.
Neben diesem Call-ID-Spoofing haben wir aber das größte Problem meines Erachtens derzeit, diese ganze angebliche Support-Anrufe, insbesondere Microsoft.
Auch hier ruft dich jemand zu Hause an und sagt Microsoft, wir haben festgestellt, dein Computer ist verseucht, wir können dir helfen.
Und wenn man die Möglichkeit anbietet, dass die Täter mit meinem Computer Kontakt aufnehmen, entweder verschlüsseln sie auch hier meine Daten und erpresse mich wegen der Entschlüsselung oder geben an, angeblich mein Computer sauber gemacht zu haben und möchten von mir Geld.
Weißt du, Frank, wenn du auch einen Anruf bekommst, das heißt Microsoft am Telefon, dann nimm bitte einen Trillerpfeife und pfeif so kräftig rein, dass diese Deppen mindestens eine halbe Stunde lang gar nichts mehr hören können, da du hast noch mehrere Opfer geschützt.
Bei einem Vortrag, aber die Deutschen sind eh komisch drauf, bei einem Vortrag hat ein Mann gesagt, aber Herr Körker, was ist, wenn wir eine Anzeige erstatten wegen Körperverletzung?
Also habe ich gesagt, das brauche ich doch, dann haben wir die Deppen.
Genau, dann haben wir den Namen und die Anschrift, hervorragend.
Das war, glaube ich, im letzten Cutout, am Sonntag war das ein Thema.
Ja, richtig, richtig. Absolut. Und natürlich, was die Firmen betrifft, ist diese CEO-Masche.
In dem Fall wissen sogar die Kriminellen, dass der Chefin -Chef nicht mal in der Firma ist, sondern vielleicht eine andere Stadt oder sogar im Ausland und rufen die Buchhaltung an.
Und die Buchhaltung sieht dann die Telefonnummer auf dem Display von der Chefin-Chef und denken, oh, Chef ruft an und der angebliche Chef sagt am Telefon, ja, wir sind gerade auch bei einem Geschäftsabschluss und wir brauchen jetzt dringend Geld, bitte überweisen.
Dort geht das Geld weg. Beim Internetkriminalität ist es so, dass nicht nur unsere Opfer einen finanziellen Schaden haben, sondern auch die deutsche Wirtschaft, weil das ganze Geld geht ins Ausland.
Ja. Also Deutschland hat die letzten zwei Jahre circa 104 Milliarden Euro verloren, nur wegen Cybercrime und Wirtschaftsspionage.
Wahnsinn. Ja. 003, Bond, möchte natürlich auch die bösen Menschen immer töten, ab und zu mal möchte ich das auch, wenn jemand zu mir kommt, angeblich Opfer, aber da denkst du, Alter, du bist bei mir falsch, geh zum Arzt.
Das Problem ist halt derzeit, insbesondere im Internet, das mit den Immobilienanzeigen, nachdem wir auch natürlich online shoppen und so weiter, diese ganze Fake-Online-Shopping-Seiten.
Aber weißt du, wenn jemand daran glaubt, in München 140 Quadratmeter, ein Penthouse, bei uns in München, ein Penthouse, full möbliert, Kaltmiete, 500 Euro.
Alter, wenn du daran glaubst, diese Wohnung für 500 Euro zu bekommen und du überweist diese angebliche Kaution von 4000 Euro, sorry, du bist für mich kein Opfer, du hast andere Probleme.
Ja. Aber ist es nicht genau das, worauf, das ist ja in den anderen Bereichen genauso, im Bereich von, wo es dann um Vertrügereien geht, ich vermehre dein Geld, Modelle etc.
pp.
Es ist doch oft die Gier, sage ich mal, was die Leute antreibt, so etwas zu tun und genauso wie hier, so ein tolles Schnäppchen, kann ich mich nicht entgehen lassen.
Ja, ich will das. Also, man blendet dann irgendwie seine ganzen, vielleicht durchaus vorhandenen Antennen aus und fällt rein.
Ja. Ich sage immer, Gier frisst Firmen.
Ja, genau. Und diese Online-Shopping-Seiten, also nach Corona haben wir wieder auch erlebt, dass sehr viele Fake-Online-Shopping-Seiten waren, die angeblich Nudeln, Toilettenpapier und Masken verkauft haben, die eigentlich nicht der Gier sind.
Giefe wahrscheinlich auch, ja, genau. Es gibt die Möglichkeit, weißt du, sehr viele Fake-Online-Shopping -Seiten fangen nicht mal mit HTTPS an, die Seiten.
Das wäre schon ein Anzeichen. Wenn ein iPhone normalerweise 800, 900 Euro kostet, aber es bietet mir für 100 Euro, ist es ein Anzeichen.
Ja. Ein bisschen für junge Menschenverstand, weißt du.
Sehr viele Fake-Online-Shopping-Seiten haben weder Impressum noch eine Datenschutzerklärung, was nach DSGV sein sollte.
Das ist ein Zeichen. Viele Fake -Online-Shopping-Seiten benutzen tatsächlich die Logos von Trusted Shop oder was weiß ich, solche Seiten, die halt überprüfen, ob die Seite sicher ist.
Und die benutzen aber nur das Foto. Und wenn du auf das Logo drauf klickst und kommst tatsächlich auf die Trusted Shop, in diesem Beispiel, auf die Trusted Shop -Seite, dann ist es okay.
Aber die Fake -Online-Shopping-Seiten benutzen wirklich nur das Bild.
Wenn du drauf klickst, passiert gar nichts.
Ist auch ein Anzeichen. Ja. Aber selbst das Impressum, habe ich gelernt, hilft ja nicht.
Ja, natürlich. Aber sehr viele haben das nicht.
Genau. Geplaute Daten sozusagen. Also selbst darauf kannst du dich am Ende des Tages nicht zu 100 Prozent verlassen.
Ja. Ne, 100 Prozent kann man sich nicht verlassen.
Aber wenn man so drei, vier Punkte zusammen nimmt, dann ist mindestens die Wahrscheinlichkeit wirklich groß, dass man sich dagegen schützen kann.
Ja. Ich glaube, wenn man rausgeht aus dem Warenkorb, das habe ich gelernt.
Ja. Und man hat vorher alles angeboten bekommen, was es da gibt, über verschiedene Zahlungsmethoden.
Und zum Schluss bleibt nur die Vorkasse übrig. Richtig. Ist auch ein Zeichen.
Da sollte man sich das überlegen, ja, ob das wirklich ... Aber es heißt weiter, es heißt immer, ah, wir haben jetzt gerade technische Probleme, geht nur durch die Vorkasse.
Genau. Ist absolut auch ein Anzeichen. Ja, stimmt. Fake-Nachrichten haben ja ein Problem, aber wir haben auch ein Problem mit Deepfake, haben vielleicht viele gehört.
Fake, fake, fake. Aber Deepfake haben, glaube ich, nicht so viele gehört, dass sogar möglich ist.
Ich brauche wirklich nur von dir ein fünfminütiges Video, dass ich dann alles so in diesem Programm einstelle, dass du so viele Sachen sagst, du sagst, dass du eigentlich nie gesagt hast.
004, Bond spielt insbesondere im Film Casino Royale auch Poker.
Das machen die Cyberkriminellen genauso, insbesondere um ihre Geld zu waschen.
Da benutzt man auch sehr viele Online-Casino-Seiten, weil das Geld muss gewaschen werden, was du vom Cybercrime quasi ergattert hast.
Und die sehr professionellen Täter benutzen sogar nicht mehr Bitcoins als Bezahlung, sondern eher Gutscheine.
Heutzutage kriegst du von jedem Anbieter, kannst auch Gutschein haben.
Und wenn du einen Gutschein kaufst, hinterlässt du ja keinerlei persönlichen Daten.
Somit hat die Polizei wieder nicht die Möglichkeit, die Täter zu ermitteln.
Und wenn wir schon darüber sprechen, möchte ich unbedingt erwähnen, im Bereich Internetkriminalität haben wir diesen Tatort-Prinzip nicht.
Das heißt, das Opfer sitzt in Deutschland, der Server ist in China und der Täter sitzt in Russland.
Was erwarten die Menschen von der Polizei? Aber es heißt dann, die Polizei macht nichts.
Wie soll ich das tun als Polizei? Ich kann das nicht ermitteln.
Datenschutz ist ja klar, aber ich habe noch keine einzige Bürgerin, Bürger erlebt, die zur Polizei kommt und von Datenschutz etwas erzählt.
Wenn jemand selber Opfer geworden ist, dann möchten sie plötzlich, dass die Polizei alles macht, um die Täter zu fassen.
Dann bin ich aber dran, sage ich, Alter, ich kann dir nicht helfen.
Es sind schon so viele Tage vergangen, wir haben keine Vorratsdatenspeicherung, ich kriege keine Anschlussdaten mehr und so weiter.
Das ist problematisch.
005, bei jedem Bond-Film gibt es auch eine Bond-Frau.
Die Frauen sind natürlich bei den Bond-Filmen sehr, sehr wichtig und das machen die Cyber-Kriminellen genauso.
Das hat aber, glaube ich, Frank, eher mit uns Männern was zu tun.
Wenn du irgendetwas, wenn du eine Pornoseite suchst, da kommt eine leicht begleitete Frau im Bett und sagt Hallo.
Sagt der Türke Servus, Integration. Ich kann sogar die Bayerische Hymne auswendig.
Ich bin das beste Beispiel für Integration. Und sagt Hallo, sagt der Türke Servus.
Sie sagt, wie schaue ich aus? Ja, Alter, geil, aber ich kann nicht sehen, wie du aussiehst.
Komm, schalte deine Kamera an. Ja. Okay, ab dem Zeitpunkt geht bei keinem Mann Sauerstoff mehr ins Gehirn.
Ja, absolut. Aber wir wissen, seit einem Jahr, seit eineinhalb Jahren gibt es, kursiert auch eine E-Mail, sogenannte Spam-Mail.
Angeblich ein sehr professioneller Hacker hat mich gehackt, hat mich seit sechs Monaten beobachtet, als ob er nichts was anderes zu tun hätte.
Und sieht, hat er auch gesehen, welche Seiten ich besuche und erpresst mich in dieser E-Mail.
Okay. Die Geschichte ist natürlich nicht wahr. Das ist halt wirklich nur ein Spam-Mail.
Die Täter schicken diese E-Mail und warten es einfach ab, wie viele Männer daran glauben.
Ja. Wir als Interpol wissen, dass die Menschen tatsächlich nach diesem Erpressungs-E-Mail daran geglaubt haben und an den Täter Geld geschickt.
Und zwar zwischen November 19 und Februar 20. Also vier Monate lang haben die Täter dank dieser E-Mail ca.
500.000 Dollar ergattert.
Wahnsinn. 500.000. Ja. Man darf auch bitte nie vergessen, man kriegt auch nichts kostenlos.
Die meisten Viren und Trojaner kommen von illegalen Streaming -Seiten bzw.
von Pornoseiten. Das kommt immer über diesen blinkenden Werbebanner. Das ist eigentlich im Hintergrund ein Skript und dieses Skript überprüft im Hintergrund, ob du die richtigen Maßnahmen, ob überhaupt Maßnahmen getroffen hast.
Denn A, geht der Trojaner weiter, weil der Trojaner will nicht entdeckt werden.
Beim Pornoseiten heißt es z.B. insbesondere, komm, ich bin nur einen Kilometer entfernt.
Bei mir ist in der Nähe Seniorenheim. Da schaue ich, welches Fenster offen ist.
Okay. Natürlich, nach Corona haben sehr viele Menschen online geflirtet.
Da haben wir natürlich den Bereich leider live-skimming. Also hier habe ich Verständnis, weil weißt du, lieber mach blind.
Es ist halt so, aber da sind auch sehr viele Täter unterwegs, die halt das Vertrauen der Menschen gewinnen, lieben und am Ende sie wirklich dazu bringen können, dass die halt wirklich Geld überweisen.
Und da haben wir auch eine sehr, sehr große Schadenssumme in dem Bereich.
Ja. 006. Bond will auch gut immer ausschauen. In dem Fall sind es zwar nicht unbedingt Täter.
Ich spreche von Influenza insbesondere, dass wir in dem Fall vielleicht unsere Kinder und Jugendliche insbesondere sensibilisieren müssen, dass nicht alles, was in diesen Videos im YouTube und was weiß ich, erzählt wird, diese Menschen kriegen von diesem Produkt Geld.
Sie machen dafür Werbung. Und rechtlich gesehen ist es eigentlich nicht so, wenn du für ein Produkt Werbung machst, muss auch auf deinem Video auch irgendwo da oben das Wort Werbung stehen, dass man nicht an alles glaubt.
Und man kann heutzutage, das wissen hoffentlich viele, Follower-Zahl wirklich fürs Geld kaufen.
Dass ich sage, okay, ich möchte für meine Firma jetzt eine Million Follower haben, bezahle es halt einen bestimmten Betrag und jeder denkt, schau her, die Firma von Cem wird von einer Million Leuten gefolgt.
Sollte was Gutes sein. Ja. Wir sind beim letzten Punkt, Frank.
007, Spionage. Bond spioniert und das machen sehr viele Täter, aber auch sehr viele Anbieter.
Wenn ich für ein Produkt nichts bezahle, dann bin ich das Produkt.
Darf man nie vergessen, viele Anbieter handeln halt mit persönlichen Daten der Menschen.
Mach mal ein Beispiel. Jetzt stell dir mal vor, wir möchten zu dritt für eine Woche zum Disneyland Paris.
Wir brauchen ein Premium-Paket mit Übernachtung, Verpflegung und selbstverständlich Eintritt zum Disneyland.
Wenn ich mich als Normalstädtlicher anmelde, bezahle ich für diese Reise 2447 Euro.
Aus Deutscher. Genau. Dann denke ich mir, die Briten, die Engländer, die bezahlen bestimmt viel weniger, weil das ist, weißt du, weltweit bekannt, dass die Briten ein sparsamer Volk sind.
Deswegen gehören sie auch heute von EU raus. Dann hole ich mir über VPN eine britische IP -Nummer, damit die Menschen glauben, ich wäre in London, obwohl ich in München bin.
Bezahle ich für dieselbe Reise plötzlich 1870 Euro.
Dann denke ich mir, Frankreich, Paris, die Franzosen, die bezahlen bestimmt viel weniger.
Also hole ich mir über VPN eine französische IP-Nummer, damit die Menschen glauben, ich wäre in Paris.
Voilà. Das heißt, die Deutschen bezahlen mehr als 1000 Euro.
Ja, wir bezahlen den Urlaub von den Franzosen mit, sozusagen.
Also, weißt du, wenn ich meine Reise buche, hole ich mir mal eine afrikanische IP-Nummer, weil das hat mit deiner Wirtschaftskraft des Landes zu tun.
Wo auch immer du bist, wissen die Leute, weil das ist auch weltweit bekannt, dass die Deutschen Geld haben, gerne reisen.
Fertig. Ja. Und wie gesagt, wenn ich mir dann mit afrikanischer IP-Nummer meine Reise buche und im Hotel ankomme, sagen die immer, sie sind aber keine Afrikaner, sage ich, hey, Michael Jackson war auch höher dunkler.
Fakt ist, wir geben leider überall Daten preis.
Leider. Und diese Daten kommen von verschiedenen Quellen in einen Topf rein und somit erstellt man über mich ein Profil.
Das nennt sich Big Data. Woher kommen die Daten? Die Suchmaschine ist die größte Quelle.
Da empfehle ich, verschlüsselte Suchmaschinen zu benutzen, wie Startpage, DuckDuckGo.
Da ist die Verbindung so verschlüsselt, dass die nicht immer nachvollziehen können, wonach ich am meisten suche.
Die ganzen kostenlosen Apps.
Und niemand stellt die Frage, warum diese Menschen Zeit investieren, programmieren und Geld investieren.
Nur weil sie ein Engel sind? Was steckt dahinter?
Die Spielkonsolen. Ich bin ja selber Zocker. Zocken ist geil. Aber ich spiele jetzt zum Beispiel gerade Assassin's Creed.
Da bist du halt als Assassine und so weiter.
Und während des Spiels kommen immer Fragen. Und das Spiel von Assassin's Creed von Ubisoft spielte einmal in Griechenland.
Und du bist ein Mann als Assassine und da kommt ein Grieche, auch ein Mann, zu dir und fragt dich, ob du halt mit ihm Liebe machen wirst.
Es gibt zwei Möglichkeiten. Ja oder nein.
So, jetzt denkst du als Spaß, machen wir doch mal. Ja, schauen wir, was da rauskommt.
Aber da war mir klar, meine Spielkonsole ist mit Sony Playstation verbunden, online.
Und in dem Fall auch mit dem Spielehersteller Ubisoft. Das heißt, die wissen ganz genau, was für eine Antwort der Türke gegeben hat.
Ja, ja. Was mit diesen Daten passiert, ob wir wirklich so einen Fall hatten, ist noch nicht bekannt für heute.
Aber stell dir mal den Datensatz jüdische Herkunft vor, der während der Dritter Reich sehr gefährlich war.
Wer kann mir heute sagen, welcher Datensatz in 10, 20, 30 Jahren gefährlich sein könnte?
Guter Punkt. Und deswegen sage ich immer, Datensparsamkeit.
Wir müssen halt gucken, wo geben wir unseren Datenpreis.
Wenn ich für mich eine Kinokarte online kaufe, jetzt sind zwar die Kinos zu, aber die machen ja wieder auf, dann möchten sie wissen, wie ich heiße.
Sag ich, warum? Möchten sie mich damit nicht begrüßen, wenn ich den Saal betrete?
Die möchten wissen, wo ich wohne. Sag ich, warum? Ich komme ins Kino, nicht die Schauspieler zu mir nach Hause.
Dann lassen wir uns orten. Die Polizei braucht dafür einen Gerichtsbeschluss, weil es heißt plötzlich Datenschutz.
Ach so, wir sind für die Sicherheit zuständig.
Sorry, ich vergess das immer. Dann habe ich die Uhr.
Die Uhr kann mir sogar sagen, ob ich gut geschlafen habe. Ich bin selber dazu nicht fähig.
Ein mittelständisches Auto hat heute circa 300 Sensoren, die über unser Fahrverhalten Daten sammeln.
Essenfotos. Jemand soll den Türken erklären, warum die Menschen ihr eigenes Essen fotografieren.
Aber ich finde das gut, weil wenn ich so Profile erstelle über jemanden, die Essenfotos finde ich cool, weil erstens kannst du sehen, ob dieser Mensch sich gesund ernährt.
Aber weißt du, all die Fotos, die mit unseren Smartphones, Tablets machen, die speichern ja auch sogenannte Metadaten.
Das heißt, ich weiß ganz genau Bescheid, wann und wo du das Foto oder Video gemacht hast, wenn du das nicht anders eingestellt hast.
Und somit, die meisten Essenfotos kommen von deinem Stammlokal.
Und somit habe ich die Information, welcher Lokal dein Stammlokal ist.
Für was ist das wichtig? Observation. Observation.
Weil wenn du meine Zielperson bist, muss ich dich erstmal observieren. Und die Menschen kannst du, lieber Frank, am besten observieren, während sie essen.
Weil da sprechen sie am meisten, da lästern sie am meisten.
Und wenn Alkohol im Spiel ist, dann hast du Jackpot.
Dann die ganzen Bonuskarten, wo die Menschen Punkte sammeln.
Auch da glauben die Menschen, sie kriegen einfach Punkte, Prämien oder Wasserkocher, weil sie gut ausschauen.
Es gibt auch diesbezüglich sehr viele Geschichten. Leider haben wir heute nicht so viel Zeit.
Aber ich glaube, die Menschen haben alle bemerkt, dass ich eigentlich tagelang darüber sprechen kann.
Sogar die Toilette sammelt heute Daten. Diese Toilette kann zum Beispiel Harnsäurewert messen, Urintest machen.
Bei meiner Firma arbeiten derzeit zum Beispiel 83 Mitarbeiterinnen.
Und wenn ich als Chef von einer Mitarbeiterin weiß, dass sie schwanger ist, was mache ich als Chef?
Ich kündige sie, bevor sie bei mir Mutterschutz beantragt.
Warum soll ich eineinhalb Jahre lang Gehalt bezahlen, wo sie nicht bei mir arbeitet?
Als Türke mache ich das natürlich nicht.
Ich liebe Kinder, aber seitdem ich das weiß, mache ich nur zu Hause.
Ach weißt du, Frank, ich weiß die Menschen heutzutage alles.
Das Problem liegt daran, dass wir selber ein digitales Ich erstellt haben.
Also es gibt ein tatsächliches Ich von mir und ein digitales Ich.
Nur dank Algorithmen und Big Data weiß mein digitales Ich über mich mehr Bescheid als ich selbst.
Das ist das Problem. Ich werde ganz schnell so dieses Beispiel hier nehmen.
Damals hat Max Schrems, nämlich damals war er Jurastudent, heute ein sehr erfolgreicher Rechtsanwalt in Österreich, hat zum Facebook geschrieben, ich steige jetzt aus und du schickst mir all meine Daten, was du seit meiner Mitgliedschaft alles über mich gespeichert hast.
Und Facebook war überrascht natürlich, weil bis jetzt war doch jeder damit zufrieden.
Plötzlich kommt einer und sagt, schick mir meine Daten wieder zurück.
Und damals hat Facebook nach irischen Datenschutzgesetz rechtlich überprüfen lassen und festgestellt, dass wir sie sogar eben innerhalb 14 Tage alles schicken müssen.
Und er hat bekommen 1200 DIN-er-Vier -Seiten-Informationen nur beim einzigen Mitglied und nur von ein paar Jahren Mitgliedschaft.
Wenn ich nur fünf Seiten von diesen 1200 zeige, links und rechts siehst du die Wochentage, darunter die Uhrzeit.
Man sieht, wann er eingeloggt war und wann er Nachrichten schreibt. Schaut wie der polizeiliche Observationsbericht aus, aber die Polizei braucht auch einen Gerichtsbeschluss.
Hallo, Datenschutz. Hier sehe ich all seine männliche, weibliche Freundinnen und Freunde und jeder Punkt hat einen Namen gehabt.
Als Polizei müssen wir natürlich diesen Namen löschen.
Hallo, Datenschutz. Und je dichter die Linien, desto mehr ist die Kommunikation untereinander.
Das heißt für mich, ab sofort kennen wir seinen engen Freundeskreis und die Verwandtschaft, weil mit denen schreibt man öfters.
Check. Dank WhatsApp darf Facebook uns orten. Wir als Polizei brauchen dafür zwei Gerichtsbeschlüsse.
Hallo, Datenschutz. Darf ich dir was sagen?
Und zwar, wo das alles angefangen hat mit den sozialen Netzwerken, war ich schon in Deutschland und der Türke hat gesagt, das wird in Deutschland nicht funktionieren, weil die Deutschen sind im Bereich Datenschutz sehr sensibel.
Okay. Vielleicht ist es so lustig.
Aber weißt du, wenn du diese geografischen Koordinaten, diese Geodaten in Google Maps eingibst, kommt raus, es ist hier eine Universität in Wien.
Unser Max könnte ein Professor sein, ein Student oder ein Dozent, das wissen wir noch nicht.
Mehrere Nächte über die Nacht ist er hier. Ab sofort wissen wir, wo er wohnt.
Check. Ganz oft ist er hier. Google Maps sagt Lokal.
Wir kennen sein Stammlokal für das Mittagessen. Ganz oft, nee, das war das Lokal.
Hier ist er oft, das war Universitätsbibliothek. Das heißt für mich, Max ist fleißig, tüchtig, der lernt ständig.
Meistens am Wochenende übernachtet er hier.
Die Wohnung der Freundin, sie heißt Lisa. Von Montag bis Freitag zwischen 17 und 21 Uhr arbeitet er hier.
Google Maps sagt Drei-Sterne -Restaurant, also ein Luxusrestaurant.
Die Wahrscheinlichkeit, dass er jeden Abend in einem Luxusrestaurant ist, ist sehr gering.
Somit ist die Wahrscheinlichkeit sehr hoch, dass er ein Student ist in dem Fall, weil er vielleicht für sein Studium Kohle braucht und er dort arbeitet.
Wir wissen das einfach noch nicht. Hier siehst du, wann er Nachrichten liest und verschickt.
Wir wissen, er schläft ein bisschen.
Und hier siehst du all die Wörter, welches Wort er die letzten drei Jahre am meisten benutzt hat.
Je größer das Wort, desto häufiger wird er auch das Wort benutzt.
Und nur von dieser Seite aus kann ich über ihn so viele Daten auslesen. Sein bester Freund heißt höchstwahrscheinlich Christoph.
Student, Summer, Prüfung, Semester, unser Max ist ein Student.
Was studiert er? Höchstwahrscheinlich Jura.
Der ist ein Nachtmensch, ein Partymensch. Malaysia, Japan, China.
Er hat gegenüber Asien ein Interesse und so weiter und so weiter. Und weißt du, was das Krasseste ist?
Das waren jetzt nur noch fünf Seiten. Wir haben immer noch 1.995 Seiten oder besser 1.200 war das, 1.195 Seiten noch übrig.
Das ist der Vorteil, absolut.
Cem, mit Blick auf die Uhr, wir haben noch drei Minuten. Sehr gut, weil das war also meine letzte Folie.
Ich bin zutiefst vereinigt. Ja, Ihre Mission lautet, meine Damen und Herren, wenn Sie es natürlich annehmen, weil beim Bond gibt es auch Bösewichten.
Die Cyberkriminellen sind genauso. Ja. Bitte führen Sie die Aktualisierungen so schnell wie möglich durch, Soft und Hardware, weil Aktualisierung heißt, dass auf dem System eine Lücke gibt und diese Lücke muss gestopft werden.
Sichere unterschiedliche Passwörter haben wir hoffentlich heute gelernt, wie wichtig das ist.
Endpoint Security, mindestens ein Antivirusprogramm mit Geld bezahlt, weil dann haben Sie auch mehr rechtere Möglichkeiten, Ihre richtigen Einstellungen zu treffen.
Dass Sie halt verschlüsselt kommunizieren, VPN -Verbindung und auch verschlüsselt unsere Daten erst auf dem Computer verschlüsseln und dann auf dem Cloud upladen.
Meines Erachtens die wichtigste Maßnahme ist die Zwei-Faktor-Authentifizierung.
Die Banken müssen das jetzt seit 1.1. machen und ab 1 .1.2021 müssen das jetzt auch Online -Shopping-Seiten das einführen, Gott sei Dank, dass wir nicht so viele Betrugsfehler haben.
Und meine allerwichtigste Maßnahme ist in dem Fall Datensparsamkeit, dass man einfach wirklich mal aufpasst.
Wo gebe ich meine Daten? Preis? Die Technologie ist nicht schlimm.
Bond hätte ohne Abteilung Q nichts machen können, sage ich euch ganz laut und deutlich.
Die Technologie hat ihm immer geholfen. Wir haben, wie du gesagt hast, auch ein Buch geschrieben, die Cyberprofis.
Ich weiß, es schaut nicht unbedingt wie eine Buchcover aus, sondern eher wie eine neue Sat.1-Serie.
Sie schaut wie Scully aus, nicht Mulder, aber Tina Noll war eine Journalistin in Berlin und war Opfer vom Identitätsdiebstahl.
Sie hat ihre Geschichte geschrieben, wie sie gekämpft hat und ich als Ermittler die ganzen Methoden und welche Maßnahmen man treffen sollte.
Perfekt.
Also, wie gesagt, ich bin zutiefst beeindruckt. Für viele der Sachen, die du aufgezählt hast, haben Firmen wie Cloudflare Lösungen.
Das ist ganz klar.
Gerade im VPN-Bereich und so weiter und weiter, da haben wir gute Sachen, sodass man das alles handeln kann.
Aber du hast natürlich völlig recht und du hast dir den Menschen hier den Mittelpunkt gestellt.
Das fand ich wirklich sehr beeindruckend, dass man bei all den Technologien, die wir uns da vorstellen können und du hast ja aufgezeigt, welche Möglichkeiten es gibt.
Und vor allen Dingen mit diesem besonderen, speziellen Blick als Polizist, was man eigentlich da alles auslesen kann und wie man da vorgeht.
Und ich bin der festen Überzeugung, dass selbst Leute, die berufsmäßig jetzt mit IT zu tun haben, wenn die sich diesen Vortrag anschauen und das auf ihr Privatleben reflektieren, da wird sich da manch einer erschrecken.
Ich sage tausend Dank. Wir müssen leider aufhören.
Alles gut. Zeit ist um. Hat mich sehr gefreut. Mich auch. Wir wiederholen uns.
Sehr gerne. Mach's gut, mein Lieber. Mach's gut. Ciao.