DAT399 Angriffe auf Nutzer von Signal und ihre Daten

00:00:01: Sprecher: Willkommen bei den Datenschutz-Plaudereien.

00:00:05: Sprecher: Aktuelles, Bemerkenswertes und Persönliches rund um den Datenschutz und verwandte Themen.

00:00:13: Martin Steiger: Guten Tag, mein Name ist Martin Steiger.

00:00:16: Andreas von Gunten: Und mein Name ist Andreas von Gunten.

00:00:18: Martin Steiger: Andi, schön, dass wir wieder mal zusammen die Datenschutz-Plaudereien aufnehmen können.

00:00:22: Martin Steiger: Ich habe zwar den Deep Dive mit dem Radar und dem Monitoring in den Patientenzimmern wirklich genossen.

00:00:29: Martin Steiger: Ich habe im Nachgang zu dem dreiteiligen Podcast-Gespräch mit Jonas Reber noch viel zu viel recherchiert, aber auch wieder viel Neues gelernt.

00:00:37: Martin Steiger: Aber es ist wirklich immer eine besondere Freude, in der Stammbesetzung unterwegs zu sein.

00:00:41: Martin Steiger: Und ich habe dir vor der Aufnahme schon einen Vortrag gemacht, habe nämlich gesagt, wir reden über Signal.

00:00:47: Martin Steiger: Andi, ist das Thema erstens definitiv gut für dich und ist es zweitens auch gut für dich, wenn ich versuche, den Einstieg zu geben?

00:00:53: Andreas von Gunten: Auf jeden Fall, ich finde das Thema spannend, ich habe ja das alles auch mitbekommen und ich freue mich auch mit dir darüber zu reden und bin auch gespannt auf deinen Einstieg natürlich.

00:01:02: Martin Steiger: Also wir reden über Signal – oder auf Deutsch würde man sagen «Signal». Das ist die vermutlich bekannteste App weltweit für sicheres Messaging.

00:01:13: Martin Steiger: Man kann zu zweit oder auch in Gruppen Ende-zu-Ende-verschlüsselt miteinander kommunizieren,

00:01:19: Martin Steiger: per Text, aber auch per Sprache und Video.

00:01:23: Martin Steiger: Die App ist gratis erhältlich, da steckt eine amerikanische Stiftung dahinter.

00:01:27: Martin Steiger: Da wird auch das gleichnamige Signal-Protokoll verwendet, das als sehr sicher gilt, weil es auch andere Dienste nutzen.

00:01:33: Martin Steiger: Zum Beispiel: So wie WhatsApp dort Inhalte verschlüsselt, ist das Signal-Protokoll also sehr etabliert.

00:01:40: Martin Steiger: Und Signal ist in diesen Tagen gerade aus zwei verschiedenen Gründen in den Schlagzeilen.

00:01:44: Martin Steiger: Über die Gründe möchte ich reden.

00:01:46: Martin Steiger: Was mir einfach wichtig ist, vorab: Signal ist nicht gehackt worden.

00:01:51: Martin Steiger: Also nach dem heutigen Kenntnisstand ist Signal weiterhin so sicher, wie man es erwarten kann.

00:01:57: Martin Steiger: Die Verschlüsselung ist nicht gebrochen worden.

00:01:59: Martin Steiger: Es gibt keine bekannte Schwachstelle in dem Protokoll.

00:02:03: Martin Steiger: Und die App, zum Beispiel auf dem iPhone – da gibt es keinen bekannten Angriff.

00:02:07: Martin Steiger: Man kann nie etwas ausschliessen, aber das ist der aktuelle Stand.

00:02:10: Martin Steiger: Also die Schlagzeilen, über die man redet, haben jetzt nichts mit einem Hacking von Signal zu tun,

00:02:15: Martin Steiger: sondern ein Problem liegt bei Apple und das andere Problem liegt bei den Nutzerinnen und Nutzern.

00:02:21: Martin Steiger: Andi, mit welchem Problem wollen wir anfangen?

00:02:23: Andreas von Gunten: Ich würde sagen, wir fangen mit dem, sagen wir mal, ein bisschen einfacheren Problem in meinen Augen an – mit dem bei Apple.

00:02:30: Martin Steiger: Gut, das Apple-Problem. Und da wieder ein Wiederholungsgast der Datenschutz-Plaudereien, nämlich 404 Media.

00:02:37: Martin Steiger: Die sind in dieser Nische unterwegs, ich sage es jetzt als unabhängiges Blog, kostenpflichtig,

00:02:42: Martin Steiger: aber sehr viele Sicherheitsthemen im digitalen Raum beleuchten.

00:02:45: Martin Steiger: Und sie haben wieder mal einen Fall aufgedeckt, und in diesem Fall hat sich gezeigt,

00:02:48: Martin Steiger: dass das FBI in einem Verfahren Mitteilungen von einem Smartphone extrahieren konnte.

00:02:55: Martin Steiger: Und zwar Mitteilungen, die mit Signal verschickt worden sind.

00:02:58: Martin Steiger: Jetzt sagt man, ja, Signal ist ja Ende-zu-Ende-verschlüsselt – was ist da eigentlich los?

00:03:01: Martin Steiger: Und da ist eine Besonderheit gewesen, dass Signal auf dem Gerät sogar gelöscht gewesen ist.

00:03:05: Martin Steiger: Gut, jetzt kann man sagen, wenn Behörden an das Gerät als solches herankommen, dann haben wir eh schon das Problem.

00:03:09: Martin Steiger: Also im Idealfall können die Behörden, wenn überhaupt, ein ausgeschaltetes Smartphone sicherstellen.

00:03:15: Martin Steiger: Dann ist der Angriff schon viel schwieriger, wenn man zum Beispiel ein langes Passwort verwendet.

00:03:19: Martin Steiger: Aber da haben sie eben die Signal-Nachrichten auslesen können.

00:03:23: Martin Steiger: Und es hat sich dann herausgestellt, dass das über Notifications oder Benachrichtigungen funktioniert hat.

00:03:28: Martin Steiger: Also wir kennen das vermutlich alle. Man hat gewisse Apps – auf dem iPhone sage ich jetzt,

00:03:32: Martin Steiger: weil da geht es konkret wirklich um das iPhone, um iOS –,

00:03:35: Martin Steiger: hat man die Benachrichtigungen, Notifications,

00:03:37: Martin Steiger: die poppen so irgendwie auf in verschiedenen Formen,

00:03:39: Martin Steiger: die gibt es auf dem Lockscreen,

00:03:41: Martin Steiger: und das kann man auch bei einer App wie Signal nutzen,

00:03:44: Martin Steiger: und je nachdem, wie man das eingestellt hat,

00:03:45: Martin Steiger: bekommt man sie oder nicht,

00:03:46: Martin Steiger: und wenn man sie bekommt, also wenn man es aktiviert hat,

00:03:49: Martin Steiger: dann kann es sein, dass man einfach eine Mitteilung bekommt:

00:03:51: Martin Steiger: Hey, da ist etwas Neues bei Signal angekommen,

00:03:53: Martin Steiger: mach mal die App auf –

00:03:54: Martin Steiger: oder es steht da drin, von wem die Mitteilung ist,

00:03:57: Martin Steiger: und ein Teil der Nachricht steht da drin,

00:03:59: Martin Steiger: also ein Preview.

00:04:00: Martin Steiger: Das Problem war, dass die Notifications, die in der Datenbank auf dem iPhone oder iOS gespeichert worden sind, zumindest temporär unabhängig von Signal gespeichert waren.

00:04:10: Martin Steiger: Also auch wenn man alle Daten im Zusammenhang mit Signal gelöscht hatte, waren zumindest ein Teil der Benachrichtigungen auf dem iPhone selber noch auslesbar.

00:04:18: Martin Steiger: Also so ein klassisches Leck.

00:04:21: Martin Steiger: Ich muss sagen, ich habe die Benachrichtigungen dort, wo es mir wichtig ist, nicht aktiviert.

00:04:26: Martin Steiger: Ich halte die Benachrichtigungen, vor allem wenn sie inhaltlich sind, für gefährlich,

00:04:29: Martin Steiger: zum Beispiel auf dem Lockscreen oder so.

00:04:31: Martin Steiger: Wenn man die auf keinen Fall haben will, dann kann irgendjemand

00:04:33: Martin Steiger: mitlesen, der das Smartphone in der Hand hat.

00:04:35: Martin Steiger: Also kann irgendwie auch eine SMS sein,

00:04:37: Martin Steiger: die angezeigt wird oder so. Das ist auch generell

00:04:39: Martin Steiger: meine Empfehlung: unabhängig von dem

00:04:41: Martin Steiger: Fall sich gut überlegen, was für Notifications

00:04:43: Martin Steiger: mit welchem Inhalt man konfiguriert hat.

00:04:45: Martin Steiger: Aber da ist wirklich ein Problem bei Apple gewesen.

00:04:47: Martin Steiger: Das Problem haben sie unterdessen auch behoben.

00:04:49: Martin Steiger: Also da haben sie sehr schnell reagiert.

00:04:51: Martin Steiger: Also wenn man das neueste iOS nutzt, dann

00:04:53: Martin Steiger: sollte das Problem jetzt anscheinend nicht mehr

00:04:55: Martin Steiger: bestehen, auch letztlich unabhängig davon,

00:04:57: Martin Steiger: wie Signal konfiguriert ist.

00:05:00: Andreas von Gunten: Ja, klar, es ist ein Designfehler von Apple. Ich glaube nicht mal, dass es ein Bug war, sondern das Konzept war, die Notifications würden in eine separate Datenbank geschrieben.

00:05:10: Andreas von Gunten: Und scheinbar hat man einfach nicht mitbedacht, dass wenn irgendeine App gelöscht wird und eine Nachricht gelöscht wird, dass man die auch in der Notification-Datenbank löschen soll.

00:05:20: Andreas von Gunten: Aber das war ein bisschen das Problem. Das ist das, was Apple nachgeliefert hat.

00:05:23: Andreas von Gunten: Und es ist gleichzeitig schon auch ein bisschen das Problem der Nutzer. Was mir ein bisschen durch den Kopf gegangen ist, ist halt einmal mehr:

00:05:28: Andreas von Gunten: Natürlich muss die Technologie, die Software so gut wie möglich richtig laufen,

00:05:31: Andreas von Gunten: muss das machen, was man erwartet.

00:05:33: Andreas von Gunten: Aber zum Beispiel mit den Notifications, wie du richtig gesagt hast,

00:05:35: Andreas von Gunten: man muss sich halt schon überlegen,

00:05:38: Andreas von Gunten: welche Nachrichten möchte ich mir anzeigen lassen und wo –

00:05:40: Andreas von Gunten: nochmal ganz grundsätzlich.

00:05:42: Andreas von Gunten: Und dann finde ich, wenn man einen Messenger einsetzt

00:05:44: Andreas von Gunten: und Signal setzt man ja auch darum ein,

00:05:46: Andreas von Gunten: weil man möglichst sicher kommunizieren will,

00:05:49: Andreas von Gunten: dann gehört es halt auch dazu, dass man bei den Einstellungen

00:05:51: Andreas von Gunten: sich am Anfang mal ein paar Gedanken macht, was da alles möglich ist.

00:05:54: Andreas von Gunten: Und man kann bei Signal einstellen,

00:05:56: Andreas von Gunten: dass eben kein derartiger Nachrichteninhalt in die Notifications reinkommt,

00:05:59: Andreas von Gunten: sondern wirklich nur, dass eine Nachricht da ist.

00:06:01: Andreas von Gunten: Und das gehört halt auch ein bisschen dazu,

00:06:02: Andreas von Gunten: wenn man so ein Gerät einrichtet, dass man sich das überlegt.

00:06:06: Andreas von Gunten: Ich weiss, das ist jetzt vielleicht ein bisschen viel verlangt,

00:06:08: Andreas von Gunten: aber ich finde schon, wenn man sagt, ich will sicher unterwegs sein,

00:06:10: Andreas von Gunten: dann muss man sich auch mit der Frage,

00:06:12: Andreas von Gunten: wie kann ich diese Sicherheit herstellen,

00:06:14: Andreas von Gunten: ein bisschen auseinandersetzen.

00:06:15: Andreas von Gunten: Dann darf man nicht alles nur an das Gerät delegieren.

00:06:17: Martin Steiger: Ja, das ist doch die Frage, wie man das macht.

00:06:20: Martin Steiger: Auch eine Frage der Nutzerfreundlichkeit.

00:06:22: Martin Steiger: Ich meine, Apps werden natürlich einfach mit den Standardeinstellungen genutzt.

00:06:26: Martin Steiger: Und iOS oder alle Apps drängen dann die Notifications auf.

00:06:29: Martin Steiger: Also standardmässig hast du immer Notifications,

00:06:32: Martin Steiger: auch mit möglichst viel Inhalt,

00:06:33: Martin Steiger: weil das auch der Nutzererwartung entspricht.

00:06:35: Martin Steiger: Also ich finde das schon noch anspruchsvoll.

00:06:37: Martin Steiger: Und eben, Apple hat wohl gesagt –

00:06:39: Martin Steiger: Zitat jetzt da von 404 Media,

00:06:41: Martin Steiger: die dann darüber berichtet haben, über den ursprünglichen Fall

00:06:43: Martin Steiger: und jetzt auch über die Apple-Thematik –:

00:06:46: Martin Steiger: Zitat: «a logging issue was addressed with improved data reduction».

00:06:49: Martin Steiger: Also es tönt für mich eigentlich danach,

00:06:51: Martin Steiger: als sei die Datenbank nicht schnell genug gelöscht worden.

00:06:55: Martin Steiger: Also dass die quasi zu wenig als temporär

00:06:57: Martin Steiger: angesehen worden ist, die Datenbank. Und darum haben wir eben auch

00:06:59: Martin Steiger: unterschiedliche Probleme. Also du sagst richtig,

00:07:01: Martin Steiger: Andi, mit den Notifications muss man schauen,

00:07:03: Martin Steiger: was da rauskommt. Und eben unabhängig von Signal.

00:07:05: Martin Steiger: Also ich sehe wirklich die grösste Gefahr

00:07:07: Martin Steiger: bei Notifications auf dem Lockscreen. Wenn dort

00:07:09: Martin Steiger: irgendetwas kommt, oder? Also auch vielleicht harmlose

00:07:11: Martin Steiger: SMS, die aber privat sind, weil

00:07:13: Martin Steiger: jemand anderes das iPhone in der Hand hat –

00:07:15: Martin Steiger: der kann ja alles lesen auf dem Lockscreen, per Definition.

00:07:18: Martin Steiger: Und dort wäre ich vorsichtig. Und das andere

00:07:19: Martin Steiger: ist dann halt eben bei Signal. Aber das Gleiche gilt

00:07:21: Martin Steiger: übrigens auch bei Threema und bei anderen Apps. Also

00:07:23: Martin Steiger: man sieht es da, weil Signal auftaucht.

00:07:25: Martin Steiger: Ich vermute, es ist bei Threema genau gleich gewesen, also dass man das hat.

00:07:29: Martin Steiger: Und dann, wenn wir schon beim Thema Benachrichtigungen und Notifications sind,

00:07:32: Martin Steiger: da haben wir noch einen weiteren Angriffsvektor.

00:07:34: Martin Steiger: Die Notifications bei den Smartphones laufen standardmässig über Smartphone-Anbieter,

00:07:39: Martin Steiger: also über Apple oder über Google.

00:07:41: Martin Steiger: Die haben so Notification-Services.

00:07:42: Martin Steiger: Und da sehe ich auch wieder einen Angriffspunkt.

00:07:44: Martin Steiger: Also der Inhalt der Notifications ist zwar verschlüsselt,

00:07:47: Martin Steiger: also die können es nicht mitlesen, wenn alles richtig gemacht wird,

00:07:49: Martin Steiger: aber man kann auf Personen zurückschliessen.

00:07:52: Martin Steiger: Also auch wenn eine Person grundsätzlich anonym unterwegs ist, dann kann man aber bei Apple und Google je nachdem anklopfen und sagen: Hey, identifiziere mir diese Person.

00:08:00: Martin Steiger: Mit hoher Wahrscheinlichkeit hast du ein Konto bei Apple oder Google, sodass man dich dann kennt.

00:08:05: Andreas von Gunten: Ja, also ich glaube auch, man kann das nicht genug oft betonen: Notification ist ein eigenes System und das bringt all die zusätzlichen Gefahren mit sich.

00:08:14: Andreas von Gunten: Und darum ist es bei jeder App eigentlich sinnvoll.

00:08:16: Andreas von Gunten: Also du hast schon recht, es wird immer automatisch eingeschaltet.

00:08:18: Andreas von Gunten: Ich schalte es immer gleich mal automatisch aus,

00:08:20: Andreas von Gunten: grundsätzlich, und dann überlege ich, ob ich wirklich

00:08:22: Andreas von Gunten: irgendetwas brauche und was für eine Art.

00:08:24: Andreas von Gunten: Vielleicht noch schnell, was ich aber finde,

00:08:25: Andreas von Gunten: was man könnte betonen: Apple hat schnell

00:08:28: Andreas von Gunten: reagiert. Muss man auch wieder sagen.

00:08:30: Andreas von Gunten: Also Apple hat recht schnell das Problem

00:08:31: Andreas von Gunten: behoben, was sie gehabt haben, und

00:08:33: Andreas von Gunten: das ist für mich schon ein Zeichen,

00:08:35: Andreas von Gunten: dass Apple daran interessiert ist, glaube ich,

00:08:38: Andreas von Gunten: möglichst eine sichere Umgebung

00:08:40: Andreas von Gunten: für die Nutzerinnen und Nutzer ihrer Systeme

00:08:42: Andreas von Gunten: zu schaffen. Das habe ich schon den Eindruck.

00:09:14: Martin Steiger: betroffen ist. Aber ja, ist ja gut,

00:09:16: Martin Steiger: dass man da reagiert. Wobei

00:09:18: Martin Steiger: eben ein anderes Thema dann halt

00:09:19: Martin Steiger: auch wieder die Informationslage ist. Also Apple

00:09:22: Martin Steiger: hat da keine Klarheit geschafft, was sie

00:09:23: Martin Steiger: genau geflickt haben. Das wäre vielleicht

00:09:25: Martin Steiger: auch noch gut zu wissen für andere

00:09:28: Martin Steiger: App-Entwickler. Aber eben, wirklich wichtig:

00:09:30: Martin Steiger: Signal ist wohl nicht gehackt

00:09:32: Martin Steiger: worden, sondern wenn man halt

00:09:33: Martin Steiger: Zugriff auf das Smartphone hat, auf das Betriebssystem,

00:09:35: Martin Steiger: dann kann man Daten, die nicht zusätzlich

00:09:37: Martin Steiger: geschützt sind, sehr einfach auslesen.

00:09:39: Martin Steiger: Das hat das FBI, oder haben

00:09:41: Martin Steiger: entsprechende Fachleute oder Unternehmen, die für das FBI

00:09:44: Martin Steiger: arbeiten, in dem Fall dann halt gemacht.

00:09:47: Martin Steiger: Eben, darum – was wir auch schon diskutiert haben –, auch die

00:09:49: Martin Steiger: Datensystemhygiene oder Smartphone-Hygiene ist halt sehr wichtig, und

00:09:52: Martin Steiger: die sollte man eben auch auf die Notifications, auf die Benachrichtigungen,

00:09:55: Martin Steiger: ausdehnen. Hingegen das andere, was ich erwähnt habe, dass die

00:09:58: Martin Steiger: Benachrichtigungen standardmässig über Apple oder Google laufen,

00:10:01: Martin Steiger: je nach Betriebssystem, das man nutzt – das ist ein schwieriges Problem

00:10:04: Martin Steiger: zum Lösen. Es gibt zum Teil alternative Infrastruktur,

00:10:07: Martin Steiger: aber das ist jetzt nichts für die standardmässige Nutzung.

00:10:11: Martin Steiger: Ich sag mal, das können wir auch ein anderes Mal vertiefen, wenn überhaupt.

00:10:15: Andreas von Gunten: Ja, ich denke auch, ich habe das Gefühl, den Teil haben wir jetzt anschauen können

00:10:18: Andreas von Gunten: und ist wahrscheinlich auch allen verständlich.

00:10:21: Andreas von Gunten: Notifications sind unter Umständen gefährlich, darum immer gut schauen,

00:10:24: Andreas von Gunten: ob man sie wirklich braucht und wie man sie einrichtet, oder?

00:10:28: Andreas von Gunten: Aber Signal hat ja lustigerweise auch noch mit einem anderen Thema Schlagzeilen gemacht,

00:10:32: Andreas von Gunten: wie du auch erwähnt hast am Anfang.

00:10:34: Andreas von Gunten: Vielleicht kannst du uns da noch etwas dazu sagen, Martin.

00:10:37: Martin Steiger: Ja, also es geht eigentlich darum, dass prominente Personen – vor allem in Deutschland ist es bekannt geworden –

00:10:42: Martin Steiger: im grossen Stil angegriffen worden sind, vermutlich aus Russland, also als Teil des Krieges, der da stattfindet.

00:10:49: Martin Steiger: Wir haben den Konflikt zwischen Russland und Europa, Spionage etc.

00:10:52: Martin Steiger: Da gibt es auch schon seit einigen Monaten Warnungen, zum Beispiel vom niederländischen Geheimdienst,

00:10:56: Martin Steiger: aber auch in Deutschland hat es Warnungen gegeben.

00:10:59: Martin Steiger: Jetzt ist das sehr prominent geworden, weil offenbar sind da im grossen Stil in Deutschland Politikerinnen und Politiker,

00:11:04: Martin Steiger: aber auch Medienschaffende und andere Personen angegriffen worden.

00:11:10: Martin Steiger: Unter anderem Bildungsministerin Karin Prien, auch andere Leute,

00:11:13: Martin Steiger: auch irgendwelche Signal-Gruppen der Union, also CDU, CSU – also sehr prominent.

00:11:20: Martin Steiger: Und auch da muss man wieder sagen, das Problem ist nicht bei Signal gelegen,

00:11:24: Martin Steiger: es ist nicht gehackt worden oder so, sondern der Hintergrund ist letztlich Social Engineering.

00:11:30: Martin Steiger: Also man hat die Nutzerinnen und Nutzer dazu gebracht, den Zugriff auf ihren Signal-Account unberechtigten Personen zu geben.

00:11:37: Martin Steiger: Da ist ein gängiger Trick: Support-Nachrichten, Support-Identitätsdiebstahl.

00:11:43: Martin Steiger: Also die Täterschaft erstellt ein Signal-Profil, das auch nach Signal-Support ausgesehen hat,

00:11:47: Martin Steiger: den Namen Signal drin hat.

00:11:49: Martin Steiger: Dann meldet sich das und sagt, du musst dein Konto verifizieren oder so,

00:11:53: Martin Steiger: gibt dir einen Link oder einen QR-Code – und dann bist du natürlich unfreiwillig,

00:11:57: Martin Steiger: die Täterschaft – eben in dem Fall wohl nicht

00:11:59: Martin Steiger: mit dem Ziel, Leute zu betrügen,

00:12:01: Martin Steiger: gibst du denen Zugriff. Also das kann

00:12:03: Martin Steiger: sein in deinem eigenen Account, also ein One-to-one-Chat,

00:12:06: Martin Steiger: aber das Problem ist auch bei Gruppen,

00:12:08: Martin Steiger: weil bei Signal-Gruppen musst du wirklich gut

00:12:09: Martin Steiger: aufpassen, dass man weiss, wer dort drin ist

00:12:11: Martin Steiger: und wer nicht, je nachdem wie das

00:12:13: Martin Steiger: konfiguriert ist. Im Prinzip

00:12:15: Martin Steiger: sind eigentlich die Nutzerinnen und Nutzer

00:12:18: Martin Steiger: ein bisschen verantwortlich.

00:12:19: Martin Steiger: Und für mich ist das letztlich das Beispiel:

00:12:21: Martin Steiger: Wir reden viel über Technik,

00:12:23: Martin Steiger: aber häufig ist eben Technik gar nicht so wichtig.

00:12:25: Martin Steiger: Also die muss funktionieren natürlich, das ist die Grundlage.

00:12:27: Martin Steiger: Aber unser Verhalten als Nutzerinnen und Nutzer –

00:12:29: Martin Steiger: da sind eben die Anforderungen auch nach wie vor sehr hoch

00:12:32: Martin Steiger: oder werden vielleicht sogar immer höher.

00:12:34: Andreas von Gunten: Ja, es ist ein trauriges Beispiel natürlich.

00:12:37: Andreas von Gunten: Wir tun den Leuten immer leid,

00:12:40: Andreas von Gunten: die Opfer werden von solchen Phishing-Attacken.

00:12:43: Andreas von Gunten: Und wir wissen auch, es kann wirklich passieren.

00:12:46: Andreas von Gunten: Ich glaube, man kann immer wieder betonen, das Allerwichtigste ist,

00:12:49: Andreas von Gunten: dass man sich einfach immer wieder klar macht:

00:12:52: Andreas von Gunten: In der Regel muss man niemandem seinen PIN-Code oder seine Passwörter geben.

00:12:56: Andreas von Gunten: Das ist eigentlich immer ein absolutes Warnzeichen.

00:12:59: Andreas von Gunten: Und das Zweite ist, einfach immer kühlen Kopf bewahren,

00:13:01: Andreas von Gunten: wenn irgendeine Dringlichkeit gefordert wird.

00:13:03: Andreas von Gunten: In dem Fall bin ich schon ein bisschen erstaunt gewesen,

00:13:04: Andreas von Gunten: als ich die Screenshots gesehen habe – von denen ich nicht weiss, ob die echt sind –,

00:13:07: Andreas von Gunten: aber ich habe an verschiedenen Orten Screenshots gesehen,

00:13:09: Andreas von Gunten: von diesen Signal-Nachrichten, die sie bekommen haben.

00:13:11: Andreas von Gunten: Offenbar haben die einfach ein Profil eingerichtet, das sich «Signal Support» genannt hat.

00:13:15: Andreas von Gunten: Sie haben sich aber nicht einmal die Mühe gemacht, ein Signal-Logo in das Profil zu tun.

00:13:19: Andreas von Gunten: Es ist einfach so, dass standardmässig die zwei ersten Buchstaben – «SS» – im Profil gestanden haben.

00:13:23: Andreas von Gunten: Ich weiss auch nicht, wie es mir würde gehen, aber ich glaube, ich wäre schon sehr vorsichtig und wachsam,

00:13:29: Andreas von Gunten: wenn jetzt so eine Nachricht von so einem Profil kommt und mich dazu bringen möchte,

00:13:33: Andreas von Gunten: dass ich irgendwelche Passwörter freigebe.

00:13:35: Andreas von Gunten: Ich glaube nicht, dass ich das machen würde, aber ich hoffe, ich habe recht.

00:13:39: Martin Steiger: Ja, es ist noch schwierig, oder? Also die Angriffe sind halt gezielt gewesen.

00:13:43: Martin Steiger: Die betroffenen Personen sehen schon nicht so gut aus.

00:13:46: Martin Steiger: Ich würde sagen, sie sehen alt aus.

00:13:48: Martin Steiger: Gleichzeitig gibt es wirklich vielfältig solche Angriffe.

00:13:51: Martin Steiger: Ich habe täglich solche Angriffe über verschiedene Messaging-Dienste.

00:13:54: Martin Steiger: Wohl breite Angriffe, also die nicht auf mich gezielt sind.

00:13:56: Martin Steiger: Das sind dann zu wenig gut gemachte.

00:13:58: Martin Steiger: Das Gleiche auch bei E-Mail. Also eigentlich das Gleiche, wie man es schon bei E-Mail kennt.

00:14:01: Martin Steiger: Und es wird dann immer besser, natürlich dank KI.

00:14:03: Martin Steiger: Aber ja, es gibt auch gute Hilfeseiten, finde ich, von Signal.

00:14:07: Martin Steiger: «So schützt du dich vor Phishing-Betrug und Identitätsdiebstahl.»

00:14:10: Martin Steiger: Also dort beschreiben sie genau den Signal-Support-Identitätsdiebstahl,

00:14:15: Martin Steiger: wie das gemacht wird – eben so wie es jetzt auch gemacht worden ist.

00:14:18: Martin Steiger: Und sie weisen aber auch darauf hin, auch wenn Signal sicher ist,

00:14:21: Martin Steiger: gibt es einfach noch die ganzen Betrugsmaschen,

00:14:23: Martin Steiger: die man einfach auch über verschlüsselte Kommunikation machen kann.

00:14:26: Martin Steiger: Also einfach zwei Menschen miteinander kommunizieren – eben schädliche Links.

00:14:30: Martin Steiger: Oder halt wirklich alle Maschen: den Investitionsbetrug,

00:14:33: Martin Steiger: den Jobbetrug, den Liebesbetrug, das klassische Phishing –

00:14:37: Martin Steiger: einfach querbeet. Also das findet natürlich auch mit

00:14:39: Martin Steiger: Ende-zu-Ende-Verschlüsselung statt. Kommunikation

00:14:41: Martin Steiger: ist inhaltlich nicht sicher, nur weil sie über

00:14:43: Martin Steiger: Signal geht, wenn du mit irgendjemandem kommunizierst.

00:14:46: Martin Steiger: Signal sagt aber auch:

00:14:47: Martin Steiger: Denk dran, der Support für Signal

00:14:49: Martin Steiger: kontaktiert dich nie. Also es gibt in dem Sinn

00:14:51: Martin Steiger: gar keinen Support für Signal, der dich

00:14:53: Martin Steiger: kontaktiert. Also dass man das auch weiss:

00:14:55: Martin Steiger: Sie fragen eben auch nicht nach Bestätigungs-

00:14:57: Martin Steiger: Codes, nicht nach Wiederherstellungsschlüsseln,

00:15:00: Martin Steiger: nicht nach Zahlungsdaten.

00:15:01: Martin Steiger: Das Einzige, wo man so einen Code braucht,

00:15:06: Martin Steiger: ist, wenn man sich registriert.

00:15:07: Martin Steiger: Vielleicht auch, wenn man das Handy migriert,

00:15:09: Martin Steiger: oder wenn man das Backup wiederherstellt

00:15:11: Martin Steiger: oder so. Und das ist eben auch wichtig:

00:15:13: Martin Steiger: Wenn etwas aus dem Nichts kommt, ohne dass man es

00:15:14: Martin Steiger: ausgelöst hat, dann sollte man schon mal

00:15:17: Martin Steiger: skeptisch sein. Man kennt das ja, oder?

00:15:18: Martin Steiger: Die Tech-Anbieter – also die sind nicht so

00:15:21: Martin Steiger: fürsorglich, dass einem der Support einfach mal

00:15:23: Martin Steiger: kontaktiert und so. Das ist das Gleiche

00:15:24: Martin Steiger: wie bei der Bank, oder? Die Bank läutet auch nicht einfach an

00:15:26: Martin Steiger: und sagt, Obacht, jetzt müssen Sie ihre Zugangsdaten

00:15:28: Martin Steiger: ändern. Ich bin hin und her gerissen:

00:15:30: Martin Steiger: Die Leute sehen ein bisschen alt aus, aber

00:15:32: Martin Steiger: es ist wirklich ein Problem, oder? Man kann einfach

00:15:34: Martin Steiger: nicht von allen immer verlangen –

00:15:36: Martin Steiger: das nehme ich auch für mich in Anspruch, das kann ich nicht immer leisten.

00:15:39: Martin Steiger: Man ist nicht immer gleich aufmerksam, man ist nicht immer gleich fit.

00:15:43: Martin Steiger: Es ist eigentlich zu viel und das wird natürlich gnadenlos ausgenutzt.

00:15:47: Martin Steiger: Aber eben, was die Deutschen machen, jetzt werden sie auf eine andere App wechseln –

00:15:50: Martin Steiger: Wire, übrigens formell ein schweizerischer Anbieter, gilt aber nicht als besonders sicher.

00:15:55: Andreas von Gunten: Das sind dann so Geschichten.

00:15:57: Andreas von Gunten: Ich habe gar nicht gewusst, dass es Wire noch gibt.

00:15:59: Andreas von Gunten: Ich kann mich noch erinnern, das ist irgendwie ganz am Anfang in der Videokonferenz-Geschichte,

00:16:03: Andreas von Gunten: wo das aufgekommen ist – während Corona sind die plötzlich noch rum gewesen.

00:16:06: Andreas von Gunten: Aber ich habe nicht mehr gewusst, dass es die noch gibt.

00:16:07: Andreas von Gunten: Ja, aber ich meine, das ist natürlich jetzt wieder mal super, oder?

00:16:10: Andreas von Gunten: Ich finde auch, also es ist wirklich schwierig,

00:16:12: Andreas von Gunten: die Aufmerksamkeit immer aufrecht zu erhalten,

00:16:14: Andreas von Gunten: dass man wirklich wachsam sein kann und nicht reinfällt.

00:16:17: Andreas von Gunten: Das ist wirklich so, es kann passieren.

00:16:19: Andreas von Gunten: Man muss einfach wirklich unglaublich aufmerksam sein, das ist korrekt.

00:16:22: Andreas von Gunten: Aber wir tun es schon auch noch.

00:16:23: Andreas von Gunten: Es kommt immer noch darauf an, wer man ist und in welcher Funktion man ist.

00:16:27: Andreas von Gunten: Und ja, man kann schon sagen, wenn man im Bundestag ist,

00:16:31: Andreas von Gunten: wenn man eine gewisse Position hat, dann muss man noch viel mehr wachsam sein.

00:17:05: Andreas von Gunten: Vielleicht könnte man auch eine interne Stelle schaffen, wo man solche Mails oder Nachrichten

00:17:09: Andreas von Gunten: hinschickt, wenn man nicht sicher ist. Aber wenn man jetzt die Messaging-App wechselt –

00:17:13: Andreas von Gunten: wir wissen ja, wir haben es gerade beschrieben, das hat ja überhaupt nichts

00:17:16: Andreas von Gunten: mit der App zu tun, oder? Das ist schon absurd – da fragt man sich dann einfach schon.

00:17:20: Andreas von Gunten: Also wenn schon Häme, dann finde ich zum Beispiel, wegen der komischen Idee, oder?

00:17:24: Martin Steiger: Ja, das ist so. Eben, und Signal gerät dann auch unter Rechtfertigungsdruck,

00:17:30: Martin Steiger: obwohl sie eigentlich gar nichts dafür können. Ich meine eben, man könnte

00:17:35: Martin Steiger: und so. Aber weisst du, wenn jetzt auch mehr

00:17:36: Martin Steiger: Hinweise, mehr Warnungen kommen – wir alle wissen, wie das

00:17:39: Martin Steiger: endet, oder? Man klickt es dann weg,

00:17:41: Martin Steiger: man ist es gewöhnt. Zum Beispiel kann man

00:17:43: Martin Steiger: bei verschiedenen Messengern, auch bei WhatsApp zum Beispiel,

00:17:45: Martin Steiger: kann man aktivieren, dass einem angezeigt

00:17:47: Martin Steiger: wird, wenn der Kommunikationspartner

00:17:48: Martin Steiger: oder die Kommunikationspartnerin den eigenen Schlüssel

00:17:50: Martin Steiger: geändert hat. Das hat kaum

00:17:52: Martin Steiger: jemand natürlich aktiviert, es ist standardmässig

00:17:54: Martin Steiger: nicht aktiviert. Ich habe es aktiviert,

00:17:56: Martin Steiger: aber wenn ich bei allen nachfragen würde, auf einem unabhängigen

00:17:58: Martin Steiger: Kanal: Bist du jetzt noch der, der du behauptest

00:18:00: Martin Steiger: zu sein? – Das skaliert einfach

00:18:02: Martin Steiger: nicht, oder? Das sind so Sachen.

00:18:34: Martin Steiger: Also man landet dann an dem Punkt.

00:18:37: Martin Steiger: In Bezug auf Wire kann ich wieder mal die Messenger-Matrix, die deutsche oder englische – messenger-matrix.de –, empfehlen, wo man alle Messenger vergleichen kann.

00:18:47: Martin Steiger: Das ist von Mike Kuketz – auch eine häufige Nennung in unseren Datenschutz-Plaudereien, aber verdient.

00:18:52: Martin Steiger: Mit viel Input aus dem Publikum erstellt er die Matrix, und da kann man zum Beispiel auch jetzt gezielt auswählen –

00:18:58: Martin Steiger: das habe ich jetzt gerade gemacht –, Signal und Wire, wie die so abschneiden.

00:19:02: Martin Steiger: Man sieht auch bei Signal, also nichts ist perfekt,

00:19:04: Martin Steiger: aber bei Signal gibt es eine subjektive Empfehlung: ja.

00:19:07: Martin Steiger: Und bei Wire ist sie eingeschränkt.

00:19:09: Martin Steiger: Wire ist halt sehr im Corporate-Bereich unterwegs.

00:19:12: Martin Steiger: Also Signal hat quasi keine Management-Funktionen.

00:19:14: Martin Steiger: Was auch ein Nachteil sein kann.

00:19:16: Martin Steiger: Vielleicht ist das auch die Idee, dass man jetzt zu Wire geht.

00:19:18: Martin Steiger: Aber eben, Social Engineering funktioniert auch bei Wire – vielleicht erst recht.

00:19:22: Martin Steiger: Und halt bei den Politikerinnen und Politikern hast du halt so ein Problem,

00:19:25: Martin Steiger: das wir in der Schweiz wahrscheinlich auch haben.

00:19:27: Martin Steiger: Du bist in verschiedenen Kreisen unterwegs.

00:19:30: Martin Steiger: Also jetzt bist du vielleicht Ministerin,

00:19:32: Martin Steiger: sicherheitsrelevant.

00:19:33: Martin Steiger: Da schaut man vielleicht auch ein bisschen. Du hast aber auch noch

00:19:35: Martin Steiger: Parteifunktion, du hast noch irgendwie

00:19:37: Martin Steiger: Friends and Family, du bist

00:19:39: Martin Steiger: in Lobbyorganisationen,

00:19:41: Martin Steiger: bist im Aufsichts- oder Verwaltungsrat –

00:19:43: Martin Steiger: und überall hast du dann so die Kommunikationskanäle,

00:19:46: Martin Steiger: die sehr unterschiedlich sind.

00:19:47: Martin Steiger: Und eben der Instinkt: Hey, wir verwenden

00:19:49: Martin Steiger: Signal – der ist ja eigentlich gut.

00:19:51: Martin Steiger: Also ist besser als vieles andere, was man verwenden kann.

00:19:54: Martin Steiger: Aber ich weiss nicht,

00:19:56: Martin Steiger: ob wirklich Nutzerinnen und Nutzer das Gefühl haben,

00:19:58: Martin Steiger: allein Signal nutzen ist einfach gut genug –

00:19:59: Martin Steiger: also allein Technik ist gut genug – und dass man den

00:20:01: Martin Steiger: menschlichen Faktor halt unterschätzt?

00:20:04: Andreas von Gunten: Ja, also

00:20:05: Andreas von Gunten: ich habe das Gefühl, mein Verdacht

00:20:08: Andreas von Gunten: ist der nicht nur bei Politikerinnen und Politikern,

00:20:10: Andreas von Gunten: sondern ich sehe das immer wieder auch

00:20:11: Andreas von Gunten: in anderen Fällen, oder? Ich glaube schon, es ist immer noch so –

00:20:14: Andreas von Gunten: tragischerweise –, dass die

00:20:15: Andreas von Gunten: allermeisten Nutzerinnen und Nutzer –

00:20:17: Andreas von Gunten: ich würde jetzt wagen, 80 % und

00:20:20: Andreas von Gunten: mehr Nutzerinnen und Nutzer von

00:20:23: Andreas von Gunten: Kommunikationsinfrastruktur –

00:20:23: Andreas von Gunten: sei das jetzt Signal, sei das WhatsApp, sei das

00:20:26: Andreas von Gunten: E-Mail, sei das aber auch Social-Media-Accounts –,

00:20:28: Andreas von Gunten: dass sie eigentlich keine grundlegenden Kenntnisse haben darüber, wie sie

00:20:29: Andreas von Gunten: ihre Kommunikation sicher gestalten können,

00:20:31: Andreas von Gunten: was es für Massnahmen gibt,

00:20:34: Andreas von Gunten: was alles wichtig ist zum Beachten,

00:20:35: Andreas von Gunten: was alles wichtig ist zu beachten,

00:20:37: Andreas von Gunten: angefangen beim Passwort, über Passwortmanager,

00:20:40: Andreas von Gunten: bis eben, wie ich mich vor Phishing

00:20:42: Andreas von Gunten: schützen kann – mental, oder was ich

00:20:43: Andreas von Gunten: beachten muss. Ich stelle da schon ein

00:20:46: Andreas von Gunten: unglaubliches Defizit fest an

00:20:47: Andreas von Gunten: Wissen und Bildung – also für mich

00:20:49: Andreas von Gunten: extrem grundlegend. Ich mache übrigens bei jedem

00:20:52: Andreas von Gunten: Vortrag, egal was für ein Thema –

00:20:53: Andreas von Gunten: ob das jetzt eine KI-Einführung ist oder

00:20:56: Andreas von Gunten: wie man No-Code-Tools nutzt –,

00:20:57: Andreas von Gunten: ich mache immer einen Teil zu Passwörtern.

00:21:00: Andreas von Gunten: Und ich kann dir sagen:

00:21:01: Andreas von Gunten: Jedes Mal sind ziemlich alle total happy.

00:21:05: Andreas von Gunten: Ich habe ihnen mal die Have-I-Been-Pwned-Seite gezeigt.

00:21:07: Andreas von Gunten: Ich habe ihnen gezeigt, was sie bei einem Passwort beachten müssen.

00:21:10: Andreas von Gunten: Und die gehen alle heim und machen als erstes mal ihre Online-Konten sicherer.

00:21:13: Andreas von Gunten: Weil sie das nämlich nicht gesichert haben.

00:21:15: Andreas von Gunten: Und das merkst du schon.

00:21:16: Andreas von Gunten: Also das ist überall noch viel zu wenig Wissen da.

00:21:18: Andreas von Gunten: Und ich glaube, das spielt da halt eine grosse Rolle.

00:21:20: Andreas von Gunten: Darum sind die Phishing-Attacken auch so erfolgreich immer wieder.

00:21:22: Andreas von Gunten: Wir haben einfach da zu wenig Wissen.

00:21:24: Andreas von Gunten: Und da braucht es mal eine Offensive, in meinen Augen.

00:21:26: Martin Steiger: Ja, das ist so.

00:21:27: Martin Steiger: Wir haben halt einfach kognitive Einschränkungen.

00:21:30: Martin Steiger: Unabhängig vom Alter.

00:21:31: Martin Steiger: Man kann einfach nur so und so viel stemmen, auch in der IT, in der alltäglichen Nutzung.

00:21:35: Martin Steiger: Und das sieht man jetzt auch beim KI-Einsatz.

00:21:38: Martin Steiger: Also das Vibe-Coding ist eine einzige Sicherheitskatastrophe, wo einem die Tools standardmässig auch nicht helfen.

00:21:43: Martin Steiger: Also eine standardmässige Web-App bauen mit Codex oder Claude Code oder Codex von OpenAI –

00:21:51: Martin Steiger: also die legen dir standardmässig eigentlich Zugangsdaten dort ab,

00:21:54: Martin Steiger: wo sie hingeleitet werden sollten, um sicher untergebracht zu sein.

00:22:28: Martin Steiger: oder die anderen beliebt ist. Die haben es ausprobiert.

00:22:30: Martin Steiger: Damit sind sie eben leider sehr erfolgreich.

00:22:33: Martin Steiger: Eben das andere sind wirklich gezielte

00:22:34: Martin Steiger: Angriffe. Darf man nicht unterschätzen.

00:22:36: Martin Steiger: Wenn ich schon die allgemeinen sage – jetzt, selber

00:22:38: Martin Steiger: kommt die Täterschaft – ist sehr gut, weil die haben

00:22:40: Martin Steiger: einfach sehr viel Erfahrung. Das sind Profis,

00:22:42: Martin Steiger: die haben Drehbücher, die wissen genau, was funktioniert,

00:22:44: Martin Steiger: wo sie bei uns an der richtigen Schraube drehen.

00:22:46: Martin Steiger: Je nach Situation. Also darf man sich

00:22:48: Martin Steiger: auch nicht selber übermässig schlau halten.

00:22:50: Martin Steiger: Und eben gezielte Angriffe –

00:22:52: Martin Steiger: sehr anspruchsvoll, es gibt auch endlos viele Vektoren.

00:22:54: Martin Steiger: Ist jetzt vielleicht auch Signal nicht unbedingt

00:22:56: Martin Steiger: der wichtigste Vektor. Eben die

00:22:58: Martin Steiger: gibt es auch mit anderen Tools.

00:23:00: Martin Steiger: Signal ist halt einfach sehr beliebt.

00:23:02: Martin Steiger: Offenbar ist es im Umfeld der deutschen

00:23:04: Martin Steiger: Regierung einfach Signal

00:23:06: Martin Steiger: interessanterweise beliebter als Wire.

00:23:08: Martin Steiger: Vielleicht, weil es eben gratis ist und Wire

00:23:09: Martin Steiger: ein paar Euro, ein paar Franken nach wie vor kostet.

00:23:12: Andreas von Gunten: Ja, kann sein, und

00:23:14: Andreas von Gunten: letztendlich ist es halt eigentlich auch

00:23:15: Andreas von Gunten: egal, welches Tool es ist.

00:23:17: Andreas von Gunten: Mir tut es ein bisschen leid für Signal, dass dann

00:23:19: Andreas von Gunten: so komische Gerüchte rumgehen, wie dass es nicht so sicher ist.

00:23:22: Andreas von Gunten: Aber letztendlich stimmt es

00:23:24: Andreas von Gunten: für alle. Wir müssen einfach

00:23:26: Andreas von Gunten: vorsichtig sein und aufpassen.

00:23:28: Andreas von Gunten: Phishing wird nicht weggehen

00:23:30: Andreas von Gunten: und kommt bei allen vor,

00:23:32: Andreas von Gunten: immer wieder. Und man muss auch einfach

00:23:34: Andreas von Gunten: wachsam sein, so gut das

00:23:36: Andreas von Gunten: auch nur geht. Das ist einfach das Wichtigste.

00:23:43: Sprecher: Habt ihr

00:23:44: Sprecher: die Datenschutz-Plaudereien gefallen?

00:23:47: Sprecher: Wir freuen uns

00:23:48: Sprecher: über deine Bewertung, deinen Kommentar

00:23:50: Sprecher: oder deine Rückmeldung.