Arbeite auch im Servicebereich einer IT-Firma. Was mich hier Personen anrufen und sagen "Sie wurden von Microsoft angerufen und haben jemanden auf Ihren PC gelassen" kann man sich nicht vorstellen :D

Zur Frage Nummer 3: Ich stimme da deiner Meinung zu. Generell ist eine 2-Faktor-Authorisierung (oder noch mehr Faktoren) immer ein Vorteil. Aber dabei sehe ich Biometrie als den kritischsten Punkt, da dieser einen großen Nachteil mit sich bringt: Wenn das eigene Passwort geknackt und im Internet veröffentlicht wird, kann man dieses ändern und ist wieder sicher. Bei der Biometrie ist das ganze unmöglich. Der eigene Fingerabrdruck ist einzigartig und kann nicht geändert werden. Und wenn diese biometrischen Daten erst einmal bekannt sind, kann man diese nie wieder zur Authentifizierung verwenden.

In meinen Augen ist es absolut erschreckend, wie wenig selbst ausgebildete Fachkräfte z.B. FIAE, FISI über Cybersec/Infosec sensibilisiert sind.

Super Fragen und super Antworten, eine gelungene Einschätzung zum Thema IT Security in der Gesellschaft. Danke für das Video! 🙏

Wir haben bei unserer Firma jetzt die Erlaubnis bekommen verpflichtende Schulungen und Prüfungen bei allen MitarbeiterInnen durchzuführen😊 Das ist bei manchen dringend notwendig….

1:13 Meine persönliche Erfahrung ist da aber, dass viele zwar eiiiiigentlich wüssten, was sie tun sollten, aber trotzdem nichts tun. Die Analysen über die häufigsten Passwörter z.B. unterstützen diese These. Es muss also nicht nur jeder gehört haben, dass IT Security wichtig ist, sondern es sollte auch jeder tatsächlich verstehen.

Ich kann dir da eigentlich zustimmen. War ein interessantes Video

Joa, sehr interessante Antworten auf diese "Interessanten" Fragen, schön, dass du so mit der Community interagierst.

In der Antwort zu Frage 3 waren ein paar Aussagen, die nicht ganz zutreffend sind. Die Bedrohung durch Quantencomputer betrifft NICHT die klassische Kennwortspeicherung, sondern insbesondere RSA und ECC Algorithmen, die bei Key-basierten Authentifizierungen genutzt werden. Sehr treffend aber der Hinweis, dass die als Alternative genannte Biometrie eigentlich nur eine (endgerätebezogene) Ergänzung ist. Übrigens gibt es auch bei Kennwortauthentifizierung mehr sicherheitssteigernde Möglichkeiten auf Seiten des Diensteanbieters als nur noch längere Kennworte.

Könntest du mal ein video machen zum thema biometrische anmelde Verfahren Im besonderen Bezug auf Vorteile Nachteile Sicherheit mit wie mit diesen Daten auf dem Client umgegangen wird? Währe ein echt cooles Thema denke ich

Ich stimme dir voll zu. Sehr interessantes Video.

Genau über dieses Thema habe ich letztes Jahr eine Präsentation gehalten 😁

Wie steht Ihr zu dem Thema das Admins welche Updates zum schließen von kritischen Sicherheitslücken ignorieren im Schadensfall zur Haftung gezogen werden können? Mal nen Beispiel: Ihr könnt euch sicher noch dran erinnern wie mal ein Krankenhaus lahmgelegt wurde und deswegen mindestens 1 Person gestorben ist. Damals war es ja so das ein Hacker eine bekannte Sicherheitslücke in einem Cisco Router (oder Firewall evl) ausgenutzt haben soll obwohl es dafür schon Updates gegeben hätte welche aber nicht installiert wurden. Sollte man jetzt Sagen das der Admin durch diese Update Unterlassung einen "fahrlässigen Totschlag" zu verantworten hat oder hatte die Person einfach Pech ?? OODER ist das absichtliche Ignorieren von Sicherheitsupdates überhaupt noch "NUR" fahrlässig oder das absichtliche herbeiführen des Ausfalles einer kritischen Infrastruktur.?

Ich wäre dafür, dass z.B. das Fach Religion, ausgetauscht bzw. weniger Aufmerksamkeit erhält. Stattdessen dieses Thema. Dann bräuchten die Schüler:innen nicht noch mehr Informationen reinquetschen, sondern die Infos hätten auch mehr Platz um (schneller) im Verstandeszentrum anzukommen. Sodass es auch zuverlässig angewendet wird.

Zu Frage 3: Ich würde die 2 Faktor Authentifizierung verpflichten, denn der Angreifer benötigt dann noch ein mobiles Endgerät, also z.b Handy oder Tablet, welches in den meisten Fällen auch geschützt ist. Dadurch gewinnt man wertvolle Zeit und kann im Notfall sein Passwort ändern

Ich bin dafür das der Spruch "Kein Backup kein Mitleid" mehr in die breite Öffentlichkeit getragen wird! Das hat auch nix damit zutun das man im Zweifel den betroffenen nicht helfen sollte sondern nur dafür zusensibilisieren.

Hat jemand ein Beispiel für Seiens-basierte Auth-Methoden für mich?

Das XOR verfahren ist doch Theoretisch Quaten Computer sicher oder? Allerdings auch relativ ineffizient weil der Key ja immer genauso groß ist wie die Datei

Alles schön und gut und richtig. Mir scheint aber du unterschätzt ein bisschen, wie wenig der Ottonormalmensch von diesen Dingen Ahnung hat. Um die Cybersicherheit nachhaltig zu fördern bräuchte es wahrscheinlich ein ganzes Schulfach. Außerdem muss es so designed sein, dass es ohne großen Aufwand möglich ist. Ich schließe mich da absolut mit ein und, wenn ich mur mein Umfeld so anschaue ist da auch nicht viel mehr Ahnung vorhanden

Ich finde das Problem bei der Suche nach Sicherheitslücken unter der Einhaltung bestimmter Regeln ist schwierig. Wenn man z.B. eine System untersuchen soll, jedoch nicht versuchen darf aktive Konten zu knacken kann man es diesbezüglich auch genau so gut lassen. Denn ein böswilliger Angreifer kennt keine Regeln. Das heißt entweder die Konten sind sicher oder nicht. Und wenn das nicht der Fall ist, ist es besser wenn ein Pentester die Sicherheitslücke findet (z.B. ein schwaches Passwort des Users), als ein böswilliger Angreifer...

Frage vier, Open source bedeutet nicht, das jeder an dem Programm schreiben darf. Selbst das verändert selbst nutzen kann durch die Lizenz verboten sein (auch das selbst nutzen). Damit ist es leichter die Schwachstellen zu finden, und dann zu melden.

Kann sein dass es noch einen anderen weg gibt aber für mich hört sich das bis jetzt so an als würden in der zukunft alle mit einem Chip oder sonstigem herumlaufen auf dem dann ein Private Key gespeichert ist.

Klassisches Phishing funktioniert leider nach wie vor zu gut

Ich hätte es noch cool gefunden wenn du auch in der Videobeschreibung alle Fragen aufgeschriben hättest.

können opensource software auch gezielt exploit werden sprich, man findet eine schwachstelle und nutzt sie aus statt diese bescheid zu sagen, ist das nicht gefährlicher?

bei frage 8 gibt es ein punkt den du nicht beachtest hast, wenn man dass bezahlen von Ransomware verbietet werden potenziele Erpresser viel unwarscheinlischer Erpressen weil das Gesetz die schanze veringert dass das Unternehmen zahlt

Mich würde mal interessieren, wie du z.b. die erste Challenge im HACKcember gemacht hast. Du könntest ja ein Video dazu machen wie du die einzelnen Challenges erstellt hast

CovPass App und Spongue Bob: War da denn eine Sicherheitslücke in der App verantwortlich?

0:44 wannacry? 😅

Cybersecurity ist auf jeden Fall ein wichtiges Thema, dass viel stärker thematisiert werden muss. Man kann ja wenigstens versuchen, es den Angreifern nicht ganz so leicht zu machen... Ich bin kein Experte, aber meiner Meinung nach wird es nie eine vollkommene Sicherheit im Internet geben weil fast jedes System eine Schwachstelle hat und es gibt immer Leute die es wissen oder herausfinden 😬

Bei Frage 8: Wenn das bezahlen Illegal wäre, würde es dann nicht weniger Angriffe geben?

Das Sprichwort sagt: "Das Problem sitzt zwischen Tastatur und Stuhl." Und das stimmt leider viel zu oft. Zwar wollen alle sicher sein, gleichzeitig darf aber nichts Arbeit machen, selbst der Wechsel von Excel zu Calc ist zu schwer. Und das macht es mir sehr schwer, Antworten zu geben. Und die Newsletter vom RZ unserer Uni scheinen mir da recht zu geben :/.

Frage 1: Ich finde auch: Sicherheit ist nicht Endverbraucher-Sache. Die Crux dabei in Antwort zu Frage 2: Die Endpunkte des WWW liegen in privatwirtschaftlich maßgeblich beeinflussten Händen. Und die haben oft nur Interesse an Sicherheit, wenn es Ihnen Geld bringt. Da führt m.E. kein anderer Weg raus als die Obhut über diese (insbes. Hardware, Betriebssysteme und Browser etc.) in Organisationen zu überführen, die garantiert nur den Bürgern und dem guten Leben verpflichtet sind. Frage 4: Logo! Wer kauft schon die Katze im Sack? Open Source kann, muss aber nicht community driven sein, heißt ja nur, dass man den Quellcode ensehen und kompilieren kann. Aus mener Sicht eine der Selbstverständlichkeiten, derer wir bestohlen wurden. Ich find's schlimm, dass heutzutage oft verdunkelt wird, wie wichtige Teile der IT funtionieren.

Ransomware beschränkt sich heutzutage leider nicht nur auf die Verschlüsselung der Daten, sondern auch auf die Veröffentlichung. Wie würdet ihr sagen, kann man gegen so etwas vorgehen? Bei der Verschlüsselung helfen Backups aber bei der Veröffentlichung fällt mir pauschal nichts ein, wie man auf so eine Androhung reagieren soll, außer das Lösegeld zu bezalen.

1&1