Das Jahr neigt sich dem Ende – daher wird es Zeit für unseren Jahresrückblick 2018! Vor allem wurde das Jahr durch zahlreiche Live Hacking Vorträge, Übernachtungen in Hotels, schwerwiegende Sicherheitslücken und der Gründung der AWARE7 GmbH geprägt.
Der Jahresrückblick 2018 – das Jahr der Live Hacking & Awareness Vorträge!
Wir wagen einen Jahresrückblick 2018! Am Ende des Jahres blicken wir auf über 200 durchgeführte Live Hacking Vorträge zurück. Von der individuellen Schulung für Lehrer/innen mit 15 Personen bis hin zum gefüllten Kongresssaal mit simultaner Übersetzung unserer niederschwelligen Live Hacking Show in mehrere Sprachen.Dabei war unser kürzester Vortrag nur 10 Minuten lang. Unser längster Awareness Vortrag hingegen erstreckte sich, ohne Pause, 180 Minuten am Stück. Unsere Fachschulungen für Informatiker, Ingenieure und Führungskräfte, die für zwei Tage konzipiert sind, fallen nicht darunter.
Ab und zu spüren wir auch die hohe Unternehmens- und Schuldichte in NRW. Die kürzeste Reisezeit waren die Vorträge in den Städten, in denen wir wohnen: Gelsenkirchen und Essen. Da sind wir mit dem Fahrrad zum Vortragsort gefahren. Den weitesten Weg hat Matteo auf sich genommen. Er hatte am 13.11 einen Live Hacking Termin in Argenbühl-Eglofs. Das letzte Dorf vor der Schweiz. Dass es danach im Flieger zurück nach Düsseldorf ging, um an einer Podiumsdiskussion auf der MEDICA teilzunehmen, hat eine lange Auto- bzw. Zugfahrt erspart.
Grundsätzlich werden allerdings 1/3 der Veranstaltungen mit der Bahn angefahren – das offenbart der Jahresrückblick 2018. Das hält die Straßen frei und verbessert die CO2 Bilanz. Von den übrigen Veranstaltungen muss rund die Hälfte mit dem Auto angefahren werden, da es entweder Folgetermine gibt oder die Veranstaltungsorte sehr schlecht mit öffentlichen Verkehrsmitteln erreichbar sind. Eine Woche im Live-Hacking Team sieht so oder so ähnlich aus.
Pentests, Phishing Kampagnen und Red Teaming Assessment!
Neben den Live Hacking Shows und Awareness Vorträgen waren auch Pentests, Phishing Kampagnen und Red Teamings gefragt. Gerade letzteres bereitet uns stets große Freude, da wir hier unsere Forschungsaktivitäten der letzten Jahre ausspielen können: (IT-)Sicherheitsmechanismen umgehen. Am Ende des Jahres können wir sagen:
- Es gab keinen Pentest, in dem keine kritische Sicherheitslücke gefunden worden ist.
- Es gab keine von uns versendete Phishingkampagne die nicht erfolgreich war.
- Es gab kein Red Teaming Assessment, das keinerlei Sicherheitsprobleme gefunden hat.
Ausblick auf 2019: Interaktiv, individuell und kooperativ!
Die IT-Sicherheitsbranche unterliegt einem ständigen Wandel. Ein immer gleicher Vortrag, Pentest oder gar eine Phishingkampagne würde dem grundsätzlich widersprechen:
- Niemand verwendet noch Infrarotschnittstellen am Handy
- es gibt kein aktiven Webshops, bei denen die Preise in der URL übermittelt werden und
- es reagiert auch niemand (ernsthaft) auf die E-Mails eines nigerianischen Prinzen.
Es sind Phishingkampagnen im Stil von Emotet, die den Schaden in Unternehmen verursachen. Es sind klaffende Sicherheitslücken, die mit der Hilfe von EternalBlue ausgenutzt werden und dafür sorgen, dass die Ransomware (WannaCry, Petya) alle Daten verschlüsselt. Und es sind auch noch immer die ungepatchten Syteme, die noch für Heartbleed anfällig sind.
Diese großen Probleme werden von uns in allen Bereichen behandelt. Im Pentest wird stets auf Heartbleed getestet, bei Phishingkampagnen werden aktuelle Betrugsmaschen simuliert und im kooperativen Live Hacking werden diese Probleme publikumswirksam dargestellt. Wir glauben, dass uns auch 2019 einige Sicherheitslücken auf den Boden der Tatsachen holen werden: Es ist nämlich noch eine ganze Menge zu tun. Im Bereich der technischen und der menschlichen IT-Sicherheit. In diesem Sinne freuen wir uns auf die Herausforderungen und auf die neuen, zahlreichen Kooperationen!