Insta360 X4 Air: leichte 360-Grad-Kamera mit 8K

Das günstigere Modell soll vor allem Einsteiger locken. Die Kamera wiegt weniger als ihre Schwestermodelle und wählt automatisch den Bildausschnitt.

Der Hersteller Insta360 hat eine neue Actionkamera aus seiner X-Serie vorgestellt. Bei der X4 Air handelt es sich um eine 360-Grad-Kamera mit zwei Objektiven. Der Neuzuwachs soll sich vorwiegend an Einsteiger richten, die mit dem Dreh von 360-Grad-Videos anfangen wollen. Dennoch übernimmt sie einige Features vom 590 Euro teuren Flaggschiff X5 [1].

Kompakt und leicht

Die X4 Air fällt ein wenig kürzer und leichter als ihre Schwestermodelle aus. Sie ist 4,6 Zentimeter breit, 3,7 Zentimeter dick und 11,3 Zentimeter hoch. Mit 165 Gramm wiegt sie weniger als die X5 oder ihr Vorgänger X4, [2] die jeweils gut 200 Gram auf die Waage bringen.

Vom Flaggschiff X5 [3] übernimmt die X4 Air die Linsen mit gehärteter Beschichtung. Zerkratzen die Linsen, lassen sie sich vom Nutzer austauschen. Wie die X5 ist die X4 Air bis zu 15 Meter Tiefe wasserdicht. Die X4 war ohne Tauchgehäuse nur bis 10 Meter Tiefe gefeit.

8K-Aufnahme mit HDR

Die X4 Air hat zwei Bildsensoren mit 1/1,8 Zoll Diagonale. Sie erstellt im 360-Grad-Modus Filme in 8K-Auflösung (7680 × 3840 Pixel) mit 30 Bildern pro Sekunde. Bei 6K (6016 × 3008 Pixel) und im 4K-Modus sind mit beiden Objektiven 50 Bilder pro Sekunde möglich. Im Einzelobjektivmodus filmt die Kamera Superweitwinkelaufnahmen in 4K-Auflösung mit bis zu 60 Bildern pro Sekunde.

Eine FlowState genannte Stabilisierung soll für wackelfreie Aufnahmen sorgen. Eine intelligente Belichtungskorrektur, die der Hersteller AdaptiveTone nennt, soll das Licht beider Objektive einzeln analysieren und Helligkeit und Farbe im gesamten Bild angleichen.

HDR-Aufnahmen mit großem Dynamikumfang sind mit 8K bei bis zu 30 FPS möglich. Insta360 gibt an, dass verbesserte Algorithmen und Rauschunterdrückung „klare und detailreiche Nachtaufnahmen“ ermöglichen sollen.

Automatisches Reframing

Bei der Bearbeitung von 360-Grad-Videos muss man meistens im Nachgang einen Bildausschnitt auswählen und ausrichten ("Reframing"), bevor man den Clip als herkömmliches, "flaches" Video exportieren und mit anderen teilen kann. Die X4 Air soll diesen Schritt überflüssig machen. Im InstaFrame-Modus nimmt sie parallel das komplette, aus beiden Objektiven zusammengefügte Kugelpanorama und ein am Horizont ausgerichtetes, flaches Video auf. Den Modus hat Insta360 bereits im Frühjahr bei der X5 [4] eingeführt. Die Auflösung im 360-Grad-Modus bleibt mit dieser Funktion auf 6K beschränkt.

App, Sprache und Geste

Über die kostenfreie Insta360-App kann man nicht nur Clips per WLAN übertragen, sondern auch KI-gestützt schneiden und exportieren. Die X4 Air lässt sich mit dem Smartphone koppeln und per App fernsteuern, zudem lassen sich Aufnahmen per Sprachbefehl oder Handgeste auslösen. Obendrein erkennt die Kamera per Gyrosensor Drehbewegungen: Dreht man den montierten Selfie-Stick, startet oder stoppt die X4 Air die Aufnahme.

Zwei Mikrofone mit Rauschunterdrückung sind eingebaut, über Bluetooth lassen sich externe Mikrofone koppeln. Insta360 nennt unterstützte Modelle von Drittherstellern wie Røde oder DJI, darüber hinaus funktionieren auch Kopfhörer aus der AirPods-Reihe [5].

Akku, Preise, Zubehör

Gegenüber den Schwestermodellen ist die Akkukapazität leicht zurückgegangen; Insta360 gibt sie mit 2010 mAh an. Zum Vergleich: bei der X5 sind es 2400 mAh, bei der X4 immerhin 2290 mAh. Die Aufnahmezeit einer Akkuladung gibt Insta360 im 8K-Modus mit 88 Minuten an. Geladen wird per USB-C.

Die Insta360 X4 Air ist ab dem 28. Oktober in schwarz und weiß beim Hersteller [7]und bei Händlern wie Amazon [8] erhältlich. Neben dem 399 Euro teuren Standard-Bundle bietet der Hersteller ein Starter-Bundle mit einem Selfie-Stick, einer Objektivkappe und einem zusätzlichen Akku für rund 429 Euro an. X5-Zubehör wie Halterungen soll weitestgehend kompatibel sein. Außerdem gibt es ein angepasstes Tauchgehäuse für die kompakte X4 Air.

---

URL dieses Artikels:
https://www.heise.de/-10961349

Links in diesem Artikel:
[1] https://www.heise.de/tests/Insta360-X5-im-Test-robuste-Actioncam-fuer-360-Grad-Videos-10367471.html
[2] https://www.heise.de/news/Insta360-X4-Rundumvideo-in-8K-Aufloesung-9686871.html
[3] https://www.heise.de/tests/Insta360-X5-im-Test-robuste-Actioncam-fuer-360-Grad-Videos-10367471.html
[4] https://www.heise.de/news/360-Grad-Actioncam-Insta360-X5-mit-austauschbaren-Linsen-10353819.html
[5] https://www.heise.de/tests/AirPods-Pro-3-im-Test-Mit-frischem-Klang-und-ANC-10663123.html
[6] https://www.heise.de/Datenschutzerklaerung-der-Heise-Medien-GmbH-Co-KG-4860.html
[7] https://www.insta360.com/de/
[8] https://www.amazon.de/stores/Insta360/page/DA575029-E067-4B69-9AA8-58E94605DC20?tag=macandi-21
[9] https://www.heise.de/foto
[10] mailto:hze@heise.de

Copyright © 2025 Heise Medien

Adblock test (Why?)

KanDDDinsky 2025: Eindrücke von Europas DDD-Community-Konferenz

Event Sourcing, CQRS und DDD sind keine Nische mehr. Ein Erfahrungsbericht von der KanDDDinsky 2025 in Berlin mit mehr als 250 Teilnehmenden.

Vergangene Woche waren mein Kollege Rendani und ich im Berliner nhow Hotel, zusammen mit rund 250 bis 300 anderen Menschen, die unsere Leidenschaft für Domain-Driven Design (DDD), Event Sourcing und durchdachte Softwarearchitektur teilen. Auf der KanDDDinsky 2025 [1] war unsere erste Teilnahme an dieser Konferenz – nicht nur als Besucher, sondern als Sponsoren und Aussteller für die von uns entwickelte Datenbank EventSourcingDB [2].

Ein anderes Konferenzformat

Was uns sofort ins Auge fiel, war die Herangehensweise an die Zeitplanung. Statt des typischen Konferenzformats mit einheitlichen Session-Längen schufen die Organisatoren eine Puzzle-artige Agenda, die 50-minütige Vorträge mit 120-minütigen Hands-on-Workshops kombinierte. Die Sessions liefen in vier parallelen Tracks.

Dieses Format eröffnet interessante Wahlmöglichkeiten für die Teilnehmerinnen und Teilnehmer. Theoretisch ließ sich zwar zwischen Sessions wechseln, praktisch sah die Sache jedoch anders aus. Einen zweistündigen Workshop auf halbem Weg zu verlassen, um einen Vortrag mitzunehmen, ergibt nur bedingt Sinn – auch wenn wir beobachteten, dass einige Teilnehmer sich leise zur Halbzeit aus Vorträgen verabschiedeten, um eine andere Session zu besuchen. Eine elegante Lösung, die sowohl tiefgehende Einblicke als auch schnellen Wissensaustausch ermöglicht – etwas, das uns in dieser Form auf anderen Konferenzen bisher nicht begegnet ist.

Ebenso durchdacht war die viertägige Struktur: Workshops am Dienstag (21. Oktober), die Hauptkonferenz am Mittwoch und Donnerstag (22.-23. Oktober) und ein Open Space am Freitag (24. Oktober). Diese Progression von fokussiertem Lernen über breite Exploration bis hin zu Community-getriebener Konversation zeigt, wie sorgfältig die Organisatoren darüber nachgedacht haben, wie Menschen tatsächlich mit Konferenzen interagieren möchten.

Die Content-Landschaft

Die Bandbreite der Themen auf der zweitägigen Agenda war beeindruckend. Der Mittwoch startete mit einer interaktiven Keynote zur Modellierung in Software- und menschlichen Systemen, während der Donnerstag Vorträge von Ian Coopers "The Emissary" bis hin zu Eric Evans höchstpersönlich über "AI and Tackling Complexity" bot. Die Klassiker waren natürlich vertreten – CQRS, Event Sourcing, DDD-Pattern – standen aber gleichberechtigt neben Sessions zu Wardley Mapping, kollaborativer Modellierung, hexagonaler Architektur und Organisationsdesign.

Über beide Tage hinweg kristallisierten sich mehrere Themen heraus. Vor allem die Schnittstelle von KI und DDD ließ sich kaum ignorieren: Rinat Abdullins "When DDD Met AI: Practical Stories from Enterprise Trenches", Eric Evans über die Bewältigung von Komplexität mit KI und Hila Fox' Diskussion sozio-technischer Systeme im KI-Zeitalter – alle deuteten auf eine Community hin, die sich aktiv damit auseinandersetzt, wie diese Welten aufeinanderprallen. Der Hands-on-Workshop "Epic Systems Design: Surviving Complexity" von Jacqui und Steven Read fand am Donnerstag statt, ebenso wie eine reflektierende Session unter dem Titel "Over 20 Years of DDD – What We Know, What We Do, What Needs to Change", quasi eine Meta-Konversation über die Praxis selbst.

Besonders interessant fanden wir, wie natürlich dabei KI ihren Weg in den Diskurs fand. Sessions wie Marco Heimeshoffs "Hybrid Intelligence" und die verschiedenen KI-fokussierten Vorträge wurden nicht als Neuheiten behandelt, sondern als natürliche Erweiterungen der Kernthemen der Community. Das passt perfekt zu unserer Arbeit an eventsourcing.ai [3], wo wir thematisieren, wie KI und Event-getriebene Architekturen einander sinnvoll ergänzen können. Die Vorteile Event-getriebener Architekturen für KI-Anwendungen – Nachvollziehbarkeit, Time-Travel-Debugging, deterministische Replays – werden anscheinend zunehmend offensichtlich.

Die Closing Keynote am Donnerstag von Alberto Brandolini über "DDD Lessons from ProductLand" rundete die Hauptkonferenztage ab: Eine der Koryphäen der Community reflektierte darüber, wie sich DDD-Erkenntnisse jenseits der reinen Softwareentwicklung anwenden lassen.

Die Konferenz fand vollständig auf Englisch statt, was ihren international geprägten Charakter widerspiegelt. Die Teilnehmer kamen hauptsächlich aus Europa – Deutschland, Österreich, Italien und darüber hinaus – und bildeten eine diverse, aber kohärente Community. Dass Inklusion den Organisatoren wichtig ist, zeigte sich sowohl im Speaker-Lineup als auch in der Art, wie die Veranstaltung strukturiert war.

Die größere Erkenntnis

Vielleicht war unsere wichtigste Einsicht aus diesen Tagen gar nicht technischer Natur – es ging um die Community selbst. Manchmal hört man die Einschätzung, DDD, CQRS und Event Sourcing seien Nischeninteressen, die von einer kleinen Gruppe Enthusiasten in isolierten Ecken praktiziert würden.

Die KanDDDinsky widerlegte diese Wahrnehmung eindrücklich. Ja, diese Ansätze sind nicht das, was alle machen. Sie sind nicht der Standard, der mit jedem Framework ausgeliefert oder in jedem Bootcamp gelehrt wird. Aber sie sind auch keineswegs exotisch. Wenn man sich in diesem pink getönten Konferenzraum umsah und Hunderte von Menschen aus zahllosen Unternehmen und Ländern beobachtete, wurde die Realität offensichtlich: Dies ist eine substanzielle, wachsende Community mit handfester Erfahrung im Bau von Produktivsystemen.

Die Gespräche, die wir führten, waren dabei alles andere als theoretisch: Menschen lösen konkrete Probleme mit diesen Pattern. Sie ringen mit echten Trade-offs, teilen ihre Erfahrungen aus dem Alltag und lernen aus den Erfolgen und Misserfolgen der anderen. Dies ist ein ausgereifter Praxisbereich, keine experimentelle Spielwiese.

Für uns hat diese Bestätigung Gewicht. Wir bauen EventSourcingDB, weil wir überzeugt sind, dass Event Sourcing und CQRS erstklassige Tooling-Unterstützung verdienen. Die Größe und das Engagement dieser Community zu erleben, bestätigt uns darin, dass echte Nachfrage nach Tools besteht, die diese Pattern zugänglicher machen.

Ausblick

Die beiden Konferenztage setzten einen starken Akzent, wobei der Open Space am Freitag noch bevorstand, um die Gespräche in einem offeneren Format fortzuführen. Die Mischung aus Vorträgen und Workshops schuf natürliche Rhythmen – intensive Lernsessions, gefolgt von Networking und Zeit zum Verdauen. Die Location funktionierte einwandfrei, die Organisation lief reibungslos, und die Community war einladend.

Wir verarbeiten noch immer all das, was wir gelernt haben, und all die Menschen, die wir kennengelernt haben. Das ist das Zeichen einer guten Konferenz – wenn man mit mehr Fragen als Antworten nach Hause fährt und mehr Kontakte geknüpft hat, als man sofort nachverfolgen kann.

Die KanDDDinsky 2025 hat uns einen Einblick in diese Zukunft gegeben, und sie sieht vielversprechend aus: dicht, erfüllt und summend vor Ideen – genau so, wie wir es mögen. Wir freuen uns bereits darauf, diese Gespräche fortzusetzen und zu beobachten, wie diese Community die nächste Generation Event-getriebener Systeme prägt.

---

URL dieses Artikels:
https://www.heise.de/-10794107

Links in diesem Artikel:
[1] https://kandddinsky.de/
[2] https://www.eventsourcingdb.io/
[3] https://www.eventsourcing.ai/
[4] mailto:rme@ix.de

Copyright © 2025 Heise Medien

Adblock test (Why?)

Infrastructure-as-Code: Die neue Plattform formae soll Terraform & Co. ablösen

Die Open-Source-Plattform formae will bestehende IaC-Ansätze reformieren und vereinfachen. Platform Engineering Labs tritt damit in Konkurrenz zu Terraform.

Das Unternehmen Platform Engineering Labs kündigt formae als neue Infrastructure-as-Code-Plattform (IaC) an. Der offiziellen Verlautbarung zufolge soll sie die Einschränkungen ("fundamentale Unzulänglichkeiten") von Tools wie Terraform reformieren und einen grundlegend neuen Weg beschreiten: Die unter der FSL-Lizenz (Fair Source) veröffentlichte quelloffene Software verspricht, bestehende Cloud-Infrastrukturen automatisch zu erkennen und in verwaltbaren Code zu überführen. Damit sei formae die erste IaC-Plattform, die sich nicht auf einen idealisierten Plan stütze, sondern von der Realität ausgehe, wie Pavlo Baron, Mitgründer und CEO von Platform Engineering Labs, erklärt.

Automatische Infrastruktur-Erkennung als Kernfunktion

Während Terraform und vergleichbare IaC-Werkzeuge auf manuell erstellten Konfigurationsdateien basieren, soll formae automatisch die gesamte bestehende Cloud-Infrastruktur einer Organisation erfassen und in Code überführen – unabhängig davon, wie diese ursprünglich erstellt wurde. Die Plattform arbeitet mit sogenannten "formas", versionierten Code-Artefakten, die sowohl temporär als auch dauerhaft gespeichert werden können. Laut dem Entwicklungsteam eliminiert dieser Ansatz das Problem der State-Dateien, die bei Terraform häufig zu Inkonsistenzen zwischen dem geplanten und dem tatsächlichen Zustand der Infrastruktur führen.

Die neue Plattform soll dabei nicht nur einfach die Komplexität vom Development zum Betrieb hin verlagern, sondern tatsächlich die kognitive Belastung sowohl für Entwicklungs- als auch für Betriebsteams reduzieren. Dazu trägt Platform Engineering Labs zufolge [3] eine Agent-basierte Architektur bei, die Änderungs- und Zustandsverwaltung von den Clients entkoppelt. Auf diese Weise sei eine sorgfältige, asynchrone Annäherung an den erklärten Zielzustand möglich. Um zudem das Risiko verminderter Zuverlässigkeit bei Infrastrukturänderungen gering zu halten, setzt formae auf Patch-basierte Updates, die sich präzise und inkrementell mit minimalem Ausmaß durchführen lassen.

IaC-Markt: Terraform unter Druck

Die Ankündigung von formae erfolgt in einer Zeit, in der der IaC-Markt in Bewegung ist. Terraform-Hersteller HashiCorp – seit dem Frühjahr 2025 ein Teil von IBM [5] – hatte 2023 seine Lizenzierung von der Mozilla Public License (MPL) auf die umstrittene Business Source License (BSL) umgestellt. Darauf reagierte die Community mit dem Open-Source-Fork OpenTofu [6], der inzwischen unter der Schirmherrschaft der Cloud Native Computing Foundation steht und zudem von einer wachsenden Zahl von Unternehmen Unterstützung erfährt.

Unterdessen arbeitet HashiCorp an neuen Funktionen für Terraform, darunter die Integration mit Ansible und erweiterte Such- und Import-Möglichkeiten für bestehende Cloud-Ressourcen. Die jüngsten Entwicklungen deuten darauf hin, dass HashiCorp den Fokus vermehrt auf KI-Integration legt [7], etwa durch das interne Projekt "Infragraph", das als vollständiges Infrastruktur-Inventar für das KI-Training dienen soll.

Verfügbarkeit und Community

Mit formae strebt Platform Engineering Labs eine Vereinheitlichung aller Ressourcen für Infrastructure-as-Code an, unabhängig davon, ob diese über Patches mit minimalem Auswirkungsradius, Terraform, OpenTofu, Pulumi, ClickOps oder Legacy-Skripte erstellt wurden. Die Plattform soll die Grundlage für ein offenes und erweiterbares Ökosystem schaffen.

formae ist ab sofort auf GitHub verfügbar [8]. Community-Diskussionen finden auf Discord [9] statt. Die FSL-Lizenz [10] habe Platform Engineering Labs gewählt, um Entwicklerinnen und Entwicklern zunächst alle Möglichkeiten offenzuhalten, sich intensiv und uneingeschränkt mit der Software auseinanderzusetzen – auch eigene Beiträge dazu zu leisten – und gleichzeitig ein nachhaltiges kommerzielles Modell zu ermöglichen.

---

URL dieses Artikels:
https://www.heise.de/-10771988

Links in diesem Artikel:
[1] https://clc-conference.eu/programm.php?wt_mc=intern.academy.dpunkt.konf_dpunkt_vo_clc.empfehlung-ho.link.link
[2] https://clc-conference.eu/?wt_mc=intern.academy.dpunkt.konf_dpunkt_vo_clc.empfehlung-ho.link.link
[3] https://platform.engineering/
[4] https://platform.engineering/
[5] https://www.heise.de/news/Akquise-abgeschlossen-IBM-gliedert-HashiCorp-in-seine-Softwaresparte-ein-10303330.html
[6] https://www.heise.de/news/IaC-Paukenschlag-Die-Linux-Foundation-adoptiert-den-Terraform-Fork-OpenTofu-9310886.html
[7] https://www.heise.de/news/HashiCorps-Vision-von-KI-in-der-Infrastructure-as-Code-Welt-10683597.html
[8] https://github.com/platform-engineering-labs/formae
[9] https://discord.com/invite/hr6dHaW76k
[10] https://fsl.software/
[11] mailto:map@ix.de

Copyright © 2025 Heise Medien

Adblock test (Why?)

Python-Webframework: Django-Developer nutzen zunehmend HTMX und Alpine.js

Das Webframework für Python feiert schon seinen 20. Geburtstag. Eine neue Studie zeigt, welche JavaScript-Libraries am häufigsten damit kombiniert werden.

Die Django Software Foundation und das Team hinter der Python-Entwicklungsumgebung JetBrains PyCharm haben die Ergebnisse zur Umfrage "State of Django 2025" veröffentlicht. Weltweit haben gut 4600 Entwicklerinnen und Entwickler teilgenommen, die Django verwenden – ein Open-Source-Webframework für die Programmiersprache Python. Die Studie zeigt die Trends und Tools im Django-Ökosystem: React und jQuery erweisen sich als die beliebtesten JavaScript-Bibliotheken, doch HTMX und Alpine.js holen auf und auch die KI-Verwendung nimmt zu.

Django-Developer nutzen zunehmend KI

Während laut der Studie [3] knapp 80 Prozent der befragten Developer weiterhin die offizielle Dokumentation unter djangoproject.com als ihre Lernquelle nutzen, sind KI-Tools mit 38 Prozent auf dem Vormarsch und haben sowohl Blogs (33 Prozent) als auch Bücher (22 Prozent) überholt.

In der Entwicklung mit Django sind KI-Tools ebenfalls beliebt, insbesondere für Aufgaben wie Autovervollständigung, Codegenerierung und das Schreiben von Boilerplate-Code. Beispielsweise nutzen 69 Prozent der Befragten ChatGPT und 34 Prozent GitHub Copilot. Wie die Studienmacher vermuten, wird sich im nächsten Jahr eine noch stärkere KI-Nutzung zeigen.

JavaScript: React und jQuery an der Spitze, HTMX und Alpine.js im Aufwind

In Kombination mit Django kommen wie bereits in den Vorjahren am häufigsten die JavaScript-Bibliotheken React und jQuery zum Einsatz. Allerdings zeigt sich ein deutlicher Anstieg in der Nutzung von HTMX und Alpine.js, die beide den Ansatz serverseitiger Templates verfolgen. Seit 2021 hat HTMX von fünf auf 24 Prozent zugelegt, Alpine.js von drei auf 14 Prozent. Das anstehende Release Django 6.0 wird offiziellen Support für Template Partials [5] bieten, was die Kombination mit HTMX [6] und Alpine.js als gangbare Alternative offenbar weiter festigen wird.

Zu den weiteren Funden der Studie zählt, dass Django-Developer tendenziell sehr erfahren sind: Knapp ein Drittel arbeitet bereits mindestens elf Jahre mit dem Framework. Zudem kommt Django hauptsächlich beruflich zum Einsatz. Diese und weitere Ergebnisse präsentiert der JetBrains-Blog [8].

20 Jahre Django – mit inklusiver Community

Bei Django handelt es sich um ein High-Level-Webframework für die Programmiersprache Python, mit Fokus auf Schnelligkeit, Sicherheit und Skalierbarkeit. Am 13. Juli 2025 hat Django bereits sein zwanzigjähriges Jubiläum gefeiert [9]. Wie das Django-Team in dem Zuge ankündigte, sind auch in Zukunft viele Releases mit mehreren Jahren Support sowie Tausende neue Packages im Django-Ökosystem zu erwarten – in einer großen, inklusiven Online-Community.

Auch die Python Software Foundation, die hinter der Programmiersprache steht, legt Wert auf eine vielfältige Entwicklergemeinschaft. Erst kürzlich wurde bekannt, dass sie einen Antrag auf Fördergelder der US-Regierung aufgrund von Anti-DEI-Vorgaben [10] (Diversity, Equity and Inclusion) zurückgezogen hat.

Siehe auch:

• Django [11] bei heise Download
• Python [12]: Download schnell und sicher von heise.de

---

URL dieses Artikels:
https://www.heise.de/-10961300

Links in diesem Artikel:
[1] https://enterjs.de/?wt_mc=intern.academy.dpunkt.konf_dpunkt_vo_enterJS.empfehlung-ho.link.link
[2] https://enterjs.de/tickets.php?wt_mc=intern.academy.dpunkt.konf_dpunkt_vo_enterJS.empfehlung-ho.link.link
[3] https://blog.jetbrains.com/pycharm/2025/10/the-state-of-django-2025/
[4] https://blog.jetbrains.com/pycharm/2025/10/the-state-of-django-2025/
[5] https://docs.djangoproject.com/en/dev/releases/6.0/#template-partials
[6] https://www.heise.de/hintergrund/Web-development-What-HTMX-is-good-for-in-practice-9663514.html
[7] https://blog.jetbrains.com/pycharm/2025/10/the-state-of-django-2025/
[8] https://blog.jetbrains.com/pycharm/2025/10/the-state-of-django-2025/
[9] https://www.djangoproject.com/weblog/2025/jul/13/happy-20th-birthday-django/
[10] https://www.heise.de/news/Python-Software-Foundation-Chancengleichheit-wichtiger-als-US-Foerdergelder-10960933.html
[11] https://www.heise.de/download/product/django-70802?wt_mc=intern.red.download.tickermeldung.ho.link.link
[12] https://www.heise.de/download/product/python-7192?wt_mc=intern.red.download.tickermeldung.ho.link.link
[13] mailto:mai@heise.de

Copyright © 2025 Heise Medien

Adblock test (Why?)

Irans Schattenflotte: Teherans Antwort auf westliche Sanktionen?

Der Iran betreibt eine geheime Öl-Tankerflotte. Bis zu 150 Schiffe umgehen westliche Handelssanktionen. Könnten sie zum Vorwand für einen Krieg werden?

In seiner Reihe "Die Spur [1]" treibt das ZDF eine "neue" Sau durchs Dorf: Nach Russland entdeckt der Mainzer Sender nun den Iran. Es wird suggeriert, dass das iranische Mullah-Regime ungeniert seine Ölgeschäfte mitunter aus Berlin betreibe. Problematisch sei dabei: "Die USA haben den Iran auf Sanktionslisten gesetzt [2]".

Seit dem US-Ausstieg aus dem JCPOA genannten Atomabkommen gibt es erneut Sanktionen, insbesondere Verschärfungen im Ölhandel sowie Snap-Back-Sanktionen. Ersteres wurde vom UN-Sicherheitsrat in dessen Resolution 2231 [3] beschlossen, deckt jedoch nicht automatisch alle ölrelevanten iranischen Geschäftsbeziehungen ab [4].

Ob eine Handelsbeziehung justiziabel ist, ist eine zu prüfende Einzelfallentscheidung. Es kann Ausnahmen geben [5]. Sind die neuesten "Enthüllungen" also vielmehr Teil einer westlich-propagandistischen Dämonisierung der iranischen Theokratie, ein Kriegsvorwand?

Keine Neuheit

Der Zeitpunkt der ZDF-Recherchen verwundert: Wie Radio Free Europe, ein US-finanzierter Sender aus Prag, meldet, sei davon auszugehen, dass der Iran seit 2018 eine Verlagerung hin zu Tanker-Aktivitäten [6] betreibt.

Andere Quellen gehen von spätestens 2022 [7] aus. Letztlich lässt sich – ohne Kenntnis iranischer Interna – kein exakter Zeitpunkt bestimmen. Doch wirkt 2018, in Anbetracht des von Donald Trump am 8. Mai 2018 verkündeten Ausstiegs [8] aus dem handelbegünstigenden JCPOA, plausibel.

Somit erscheint das aktuelle Aufkochen politisch motiviert. Immerhin mehren sich mediale Berichte in einer Zeit des Nachkrieges und bestärken den Einwand, dass es sich um die rhetorische Absicherung einer strategischen Wende hin zur erneuten Erdrosselung der iranischen Wirtschaft handeln könnte.

Generell gewannen Sanktionen gegen den Iran, nach dem Ende der Bombardierungen, exemplarisch im Bereich der Waffentechnik [9], deutlich an Konjunktur. Letztlich soll ein Massenaufstand in Verbindung mit einem pro-westlichen Regimewechsel angezettelt werden.

Methodik und Ziel sind altbekannt: Das totgesagte Regime des greisen Ayatollah Khamenei überlebte [10] eine über vier Jahrzehnte andauernde Kanonade westlicher Sanktionen – bislang mit Erfolg. Mit 3.616 Sanktionen [11] ist der Iran einer der am häufigsten sanktionierten Staaten der Welt.

Schattenflotte im Licht

Zwar existiert logischerweise kein einheitliches Zentralregister, doch lassen sich gewisse valide Aussagen treffen. Nach Schätzungen sollen bis zu 150 Tanker zur Flotte gehören und damit 1,3 bis 1,6 Millionen Barrel pro Tag [12] transportieren. Andere, regimekritischere Stellen geben deutlich höhere Werte an [13]. Eine objektive Prüfung erscheint unmöglich.

Dabei basiert der technische Ablauf der Flotte auf nahezu identischen Abläufen [14], wie sie innerhalb der Recherchen zur russischen Schattenflotte belegbar gemacht worden sind.

Scheinfirmen und wechselnde Flaggen [15], ausgeschaltetes Tracking sowie Ship-to-Ship-(STS)-Umladungen und -Transporte und verschleierte Besitzstrukturen (in Drittstaaten) gehören zum Handwerkszeug der iranischen Öl-Branche [16].

Rund 40 Prozent seiner Staatseinnahmen [17] bezieht der Iran aus dem Öl-Handel, somit gelten die Einnahmen als Lebensversicherung der iranischen Ökonomie, die massiv auf das Rohstoffgeschäft als Träger staatlicher Gegenfinanzierung angewiesen ist. Wie die US-Energieinformationsverwaltung mitteilt, werden die iranischen Einnahmen für das Jahr 2024 auf 43 Milliarden US-Dollar geschätzt [18].

Born by sanctions

Objektive geopolitische Machtkonstellationen zwingen Teheran zu den skizzierten Schritten. Trotz des ökonomischen Anreizes erschweren westliche Sanktionen und der Druck einer starken proisraelischen Lobby einen formellen Export.

Jedoch ist auch die internationale Nachfrage, insbesondere in China, nach iranischem Öl gestiegen. Der Export nahm 2023 um 50 Prozent zu [19] und Peking war für 90 Prozent [20] der iranischen Öl-Exporte der Endabnehmer.

Der Iran gewährte China großzügige Preisnachlässe, was in der iranischen Kalkulation auf zu erwartende Milliarden-Investitionen und langfristige Strukturbindungen zurückzuführen ist. Somit füllte der Iran gleichsam die Lücke russischer Sanktionen und OPEC-Produktionskürzungen [21].

Ermöglicht durch die zunehmende Realisierung alternativer Zahlungswege [22] abseits von Swift und Dollar und die östliche Nicht-Bereitschaft sich an westlichen Sanktionen zu beteiligen.

Zweifache Erinnerungen

Generell erinnern das Narrativ, die Vortragsweise und die Ausschmückungen in allen Bereichen an die russische Schattenflotte.

Gäbe es die westlichen Sanktionen nicht und würde sich insbesondere die deutsche Wirtschaft billige Energieversorgung nicht nehmen lassen, könnten Geschäfte florieren und Wohlstand sowie Annäherung gedeihen. Im Falle Moskaus mag man noch einwenden können, die Ukraine überfallen habe.

Im Falle des Iran laufen derartige Einwände jedoch ins Leere. Teheran wurde qua Existenz und der Abkehr vom Pfad der prowestlichen Kompradorenhaltung sanktioniert, zuletzt insbesondere mit einem klar völkerrechtswidrigen Angriffskrieg überzogen.

Der Iran ist international eher Opfer als Täter. Das theokratische Regime ist – bei aller außenpolitischen Schwäche – der letzte potenzielle Widersacher einer US-israelischen Suprematie am Golf und ein nicht zu vernachlässigendes Puzzleteil im chinesischen Aufbau einer infrastrukturellen Revolution.

Dabei ist die iranische Ölindustrie traditionell Dreh- und Angelpunkt der Geschicke des Landes. Immerhin stürzten die westlichen Geheimdienste [23] (Operation Ajax) Mohammed Mossadegh nach dessen Verstaatlichung der Ölindustrie.

Nutznießer Revolutionsgarden

Im Unterschied zu Moskau betreibt der Iran sein Öl-Imperium jedoch primär auf Basis staatlicher Strukturen.

Wie die durchaus geopolitisch gefärbten US-Berichte [24] zu belegen versuchen, stehen hinter den teilweise unter anderen Flaggen und in Drittstaaten registrierten Tankern iranische Firmengeflechte, die dem Netzwerk der iranischen Revolutionsgarden (IRGC) und ihrem Bonyard-System aus ökonomischen Stiftungsunternehmen zuzuordnen sind.

Dabei sollen die Einnahmen zur Finanzierung von Waffen [25], Technik und vor allem für die iranischen Proxies im Ausland verwendet worden sein.

Kein Sieger?

Für die Islamische Republik sind die Öleinnahmen neben gewichtigen Staatsmitteln auch eine Chance, bei einer schwächelnden Binnenwirtschaft neue Finanzmittel für gefallene Helfershelfer zu generieren. Insbesondere die libanesische Hisbollah benötigt enorme Finanzmittel, wenn sie ihren Einfluss und ihre Waffen im Chaos von Krieg und Wiederaufbau behalten will.

Für die Region bedeutet die Schattenflotte somit einen kontinuierlichen Geldstrom, für die Abnehmer in China oder Nordkorea Treibstoffe zu günstigen Konditionen und für den westlichen Block eine nicht zu unterschätzende Umgehung angeblich regelbasierter internationaler Sanktionen – ein Exempel, das nach dem Willen von Washington, Brüssel oder Berlin nach Möglichkeit keine Schule machen darf und dem schnellstmöglich beizukommen ist.

Die Sanktionseffizienz wird zudem durch unklare und rechtsunsichere Gegenmaßnahmen erschwert: Der Iran verstand es geschickt, Gegenmaßnahmen als Piraterie zu kennzeichnen und eine Gegenöffentlichkeit zu erzeugen.

Doch auch der Iran kann den Sieg nicht für sich reklamieren. Zwar bleibt das Regime durch seine Schattenwirtschaft prinzipiell handlungsfähig, gleichzeitig wird jedoch die Konfrontation verschärft. Weit schlimmer: mag die Umgehung von Sanktionen, gar eine taktische Falle sein, die als Vorwand für das kommende militärische Abenteuer genutzt werden könnte.

---

URL dieses Artikels:
https://www.heise.de/-10961292

Links in diesem Artikel:
[1] https://www.zdf.de/video/reportagen/die-spur-224/ayatollah-iran-sanktionen-oel-tanker-100
[2] https://www.zdfheute.de/wirtschaft/oel-handel-schattenflotte-iran-berlin-100.html
[3] https://en.wikipedia.org/wiki/United_Nations_Security_Council_Resolution_2231
[4] https://documents.un.org/doc/undoc/gen/n24/160/46/pdf/n2416046.pdf
[5] https://ofac.treasury.gov/system/files/126/iran.pdf
[6] https://www.rferl.org/a/farda-briefing-iran-shadow-fleet-oil-tankers-activation/33561792.html
[7] https://war-sanctions.gur.gov.ua/en/transport/shadow-fleet/756
[8] https://www.sipri.org/commentary/expert-comment/2019/us-withdrawal-iran-deal-one-year
[9] https://www.n-tv.de/ticker/USA-verhaengen-Sanktionen-gegen-iranisches-Netzwerk-zur-Waffenbeschaffung-article26069967.html
[10] https://www.juedische-allgemeine.de/meinung/regime-change-im-iran-totgesagte-leben-laenger/
[11] https://www.abc.net.au/news/2022-03-09/russia-most-sanctioned-country-in-world/100896632
[12] https://www.spglobal.com/commodity-insights/en/news-research/latest-news/crude-oil/090325-factbox-shadow-fleet-expands-to-maintain-sanctioned-oil-flows
[13] https://www.unitedagainstnucleariran.com/blog/summer-2025-iran-tanker-tracker-june-july-august
[14] https://www.telepolis.de/features/Russlands-Schattenflotte-Im-Rampenlicht-des-globalen-Oelhandels-10270610.html
[15] https://www.lloydslistintelligence.com/thought-leadership/blogs/the-abyss-and-the-battle-against-ais-spoofing
[16] https://en.wikipedia.org/wiki/Iranian_shadow_fleet
[17] https://www.tagesschau.de/wirtschaft/energie/bedeutung-oel-iran-krieg-100.html#:~:text=Iran%20ist%20abhängig%20von%20Öl,Pars%2DSüd%20im%20Persischen%20Golf.
[18] https://www.eia.gov/international/content/analysis/special_topics/SHIP_Act/SHIP-Act_2025.pdf
[19] https://www.tehrantimes.com/news/494374/Iran-s-oil-exports-rise-50-in-2023-reaching-5-year-high-report
[20] https://www.cnbc.com/2025/06/27/china-us-sanctions-shadow-fleet-top-iranian-oil-buyer-trade.html
[21] https://www.tasnimnews.com/en/news/2023/06/25/2916117/china-s-demand-for-iranian-oil-could-surge-further-analyst-says
[22] https://www.stimson.org/2025/irans-oil-exports-resilience-amid-sanctions-and-snapback/
[23] https://www.blaetter.de/ausgabe/2023/august/iran-und-die-religion-70-jahre-putsch-gegen-mossadegh
[24] https://www.fincen.gov/system/files/FinCEN-Advisory-Illicit-Oil-Smuggling-508.pdf
[25] https://home.treasury.gov/news/press-releases/jy2734

Copyright © 2025 Heise Medien

Adblock test (Why?)

Strom aus, Ordnung weg: Wie verletzlich Deutschland wirklich ist

Deutschland rüstet, übt und plant für den Ernstfall. Und die Zivilgesellschaft? Was muss sie wissen – und aushalten? Wie viel Krieg hält eine moderne Gesellschaft aus? Gastbeitrag.

Die Bundeswehr müsse wieder befähigt werden, ihren eigentlichen Auftrag der Landesverteidigung wieder erfüllen zu können. Deshalb seien Ausrüstungsdefizite zu beheben und umfangreiche Beschaffungen notwendig, um Heer, Luftwaffe und Marine in die Lage zu versetzen, die Bundesrepublik Deutschland verteidigen zu können.

Die heutige Sicherheitspolitik mit ihrem Fokus auf Landesverteidigung kann sich nicht nur auf die Position der Kriegsverhinderung durch Abschreckung zurückziehen. Vielmehr muss sie auch die Frage nach dem Überleben einer Gesellschaft im Verteidigungsfall überzeugend beantworten können.

Fehlende Ehrlichkeit: Landesverteidigung heißt Krieg

Tritt der Verteidigungsfall ein, bedeutet Landesverteidigung Krieg! Das wird tunlichst verschwiegen, um der Bevölkerung nicht die damit verbundenen Konsequenzen offenlegen zu müssen. Sich militärisch gegen einen möglichen – russischen – Angriff verteidigen zu können, klingt plausibel. Dafür haben wir die Bundeswehr, die diesen Auftrag sicherstellen muss.

Was aber bedeutet ein Verteidigungskrieg für die Menschen in Deutschland und in Europa? Aufklärung wäre notwendig, um die Folgen eines konventionellen Krieges den Menschen in Deutschland sachlich und exemplarisch darzustellen. Landesverteidigung ist semantisch positiv besetzt, verharmlost aber das, was es ist: Krieg!

Was aber bedeutet ein Verteidigungskrieg konkret für die Menschen in Deutschland und in Europa? Waffenarsenale aller Art – konventionell wie atomar – könnten bei einem Versagen der Abschreckung im Verteidigungsfall in Europa eingesetzt werden. Die Nato und Russland besitzen annähernd jeweils 6.000 Atomwaffen.

Käme nur ein begrenzter Teil der Atomwaffen zum Einsatz, hätte das schwerwiegende Folgen für die Menschen in Europa. Die Schäden, die durch den Einsatz dieser Massenvernichtungswaffen hervorgerufen würden, wären existenziell.

Verwundbarkeit moderner Industriestaaten

Hochindustrialisiert und extrem verwundbar, so lauten die kennzeichnenden Attribute der heutigen Zivilisation in Europa. Dichte Ballungszentren mit großer Industriekonzentration prägen im Besonderen die Situation in Mitteleuropa. Es hat sich eine Lebens- und Arbeitswelt entwickelt, die durch Komplexität, Vernetzung, Arbeitsteilung, Mobilität, Automation und Information gekennzeichnet ist.

Die Interoperabilität fast aller Arbeitsbereiche durch verschiedenste Kommunikations- und automatisierte Informationssysteme trägt zwar zur Produktions- und Effizienzsteigerung bei, erhöht aber gleichzeitig die Störanfälligkeit und Verwundbarkeit des Gesamtsystems.

Die Gefahren durch Cyberangriffe auf lebenswichtige Versorgungseinrichtungen einer Gesellschaft wie Strom, Wasser und Logistik sind allgegenwärtig. Hacker-Angriffe auf die EDV-Systeme des Deutschen Bundestages, Stadtverwaltungen, Banken und Industrieunternehmen waren erfolgreich.

Ein Stromausfall als Systembruch

Die Leistungsfähigkeit und Stärke der hoch entwickelten Industriestaaten hängen ab vom Funktionieren einer zivilen Infrastruktur, die hochgradig verletzlich ist und bereits mit nichtatomarer Munition und intelligenten Waffenträgern – niedrig fliegende, gelenkte Drohnen, Raketensysteme – ausgeschaltet werden kann.

Ohne diese Infrastruktur sind Industriestaaten handlungsunfähig. Allein ein längerer Stromausfall würde die gesamte Infrastruktur lahmlegen und alle wichtigen Lebens- und Arbeitsbereiche einer Gesellschaft empfindlich beeinträchtigen. Um aber die wichtigsten und großen Elektrizitätswerke und die Schaltzentralen zu zerstören, bedarf es keiner Atomwaffen.

Es reichen präzise Einsätze mit zielgenauen konventionellen Waffen. Nicht nur den wichtigen Industrieanlagen, auch den lebenswichtigen Bereichen der Trinkwasser-, Fernwärme- und Nahrungsmittelversorgung der Bevölkerung droht der Kollaps. Eine Zivilisation ohne Strom bedeutet Chaos und Desorganisation des gesellschaftlichen Lebens.

Gibt es Schutz vor der eigenen Verletzlichkeit?

Die Analyse ließe sich mit etwa gleichen Resultaten auf alle wichtigen Lebensbereiche ausdehnen. Denn auch in der Versorgungs- und Wasserwirtschaft, im Transport-, Kommunikations- und Informationsbereich, im Gesundheitswesen, im Kultur-, Bildungs- und Sozialbereich einer Gesellschaft sind bei einem konventionellen Krieg schwere Störungen zu erwarten.

Sind die Störanfälligkeit und Verwundbarkeit hochindustrialisierter Staaten grundsätzlich revidierbar? Gibt es realistische Szenarien und Maßnahmen, diesen Zustand durch eine Reduzierung der Gefahrenpotenziale, durch technische Maßnahmen oder durch einen verstärkten, verbesserten Zivilschutz aufzuheben?

Die Grenzen der "Kriegstauglichkeit"

Inzwischen sind die Heimatschutzkommandos der Bundeswehr und zivile technische Einrichtungen ( Technisches Hilfswerk, Deutsches Rotes Kreuz, u.a.) im Planungs- und auch Trainingsmodus, um den Kriegsfall zu üben.

Das gesamte Gesundheitswesen soll darauf ausgerichtet werden, um (schwerst-)verletze Menschen versorgen zu können.

Ehemalige Zivilschutzeinrichtungen sollen wieder aktiviert werden, um rechtzeitig Menschen in Sicherheit zu bringen. Selbst wenn das gelingen sollte, stehen nach derzeitigen Schätzungen nur Schutzräume für ca. 0,2 Prozent der Bevölkerung zur Verfügung [1]. Der überwiegende Teil müsste in den Kellerräumen der Familien- und Hochhäuser Schutz suchen.

Die in die Planungen eingebundenen Zivilschutzstellen sind um Resilienz bemüht, um über Redundanz den möglichen Stromausfall zu verhindern und die dringend notwendige Wasserversorgung weitgehend gewährleisten zu können. Diese Planungen sind natürlich nicht öffentlich und der Allgemeinheit nicht zugänglich.

Dieser kleine Ausschnitt soll verdeutlichen, was es bedeutet, unsere moderne Industriegesellschaft und die Menschen in Deutschland "kriegstauglich" machen zu wollen [2].

Die Mathematik der Luftverteidigung

Wie sollen das Ruhrgebiet, größere Ballungs- und Industrieregionen, Städte wie München, Hamburg, Berlin, Stuttgart gegen Drohnenschwärme, anfliegende Marschflugkörper, Raketen und Bomber geschützt werden?

Wie viele Luftverteidigungssysteme wären notwendig, um allein die Schutzaufgabe annähernd sichern zu können?

Wie lange würde es dauern, bis die deutsche und internationale Rüstungsindustrie die Produktion allein der notwendigen Luftverteidigungssysteme sicherstellen zu können?

Welche zusätzlichen Kosten in Milliardenhöhe entstünden für den Bund dadurch?

Fazit

Es ist davon auszugehen, dass im Kriegsfall ein flächendeckender Schutz der Zivilbevölkerung nicht möglich und die Funktionsfähigkeit unserer modernen Industriegesellschaft nur schwerlich aufrechtzuerhalten wären. Darüber müsste die Zivilbevölkerung in Deutschland aufgeklärt werden.1 [3]

Vielleicht wäre es auch angebracht, über Wege aus der Krise nachzudenken und auch der Friedenstauglichkeit eine Chance zu geben.

Den Frieden gewinnen!

Kriege sind eine Mahnung zur Umkehr und sollten die Menschheit zu einem Neuanfang des friedlichen Zusammenlebens bewegen.

Die Charta der Vereinten Nationen, die von 193 Staaten unterzeichnet wurde, ist ein Wegweiser und eine ständige Verpflichtung, diese Vision des Friedens zu verwirklichen.

Die UN-Charta und das Friedensgebot des Grundgesetzes bilden die Grundlage für ein friedliches Zusammenleben. Das Prinzip der Gewaltfreiheit und der friedlichen Lösung von Konflikten muss zwischen Staaten, innerhalb von Gesellschaften und zwischen uns Menschen gelten.

„Wer die Welt wirklich retten will, diesen kostbaren, einzigartigen, wunderbaren Planeten, der muss Hass und Krieg gründlich verlernen. Wir haben nur diese eine Zukunftsoption", so Antje Vollmer in ihrem politischen Vermächtnis.

"Lasst uns gemeinsam für eine menschliche Gesellschaft arbeiten, für eine Welt frei von Atomwaffen und Kriegen", so Terumi Tanaka anlässlich der Verleihung des Friedensnobelpreises 2024 an die japanische Organisation Nihon Hidankyo in Oslo.

Mit aller Kraft den Frieden suchen. So haben es die Mütter und Väter des Grundgesetzes, die Überlebenden des Zweiten Weltkrieges, 1949 als Friedensgebot in die Verfassung geschrieben - als Gebot der Friedens-staatlichkeit.

Deshalb lohnt es sich, sich – über Grenzen hinweg – gemeinsam für den Frieden einsetzen.

---

URL dieses Artikels:
https://www.heise.de/-10961355

Links in diesem Artikel:
[1] http://www.ntv.de/so-viele-plaetze-in-bunkern-gibt-es-noch-in-deutschland-article25388353.html
[2] https://www.freitag.de/autoren/der-freitag/bundeswehr-was-ein-verteidigungskrieg-fuer-deutschland-konkret-bedeuten-wuerde
[3] https://www.heise.de/tp/features/Strom-aus-Ordnung-weg-Wie-verletzlich-Deutschland-wirklich-ist-10961355.html?view=fussnoten#f_1

Copyright © 2025 Heise Medien

Adblock test (Why?)

Die Ernährungspyramide: Auch eine gute Idee kann noch besser werden

Entworfen, um Proteste gegen hohe Lebensmittelpreise zu kontern, dient die Ernährungspyramide heute der gesundheitlichen Aufklärung. Was macht sie so beliebt?

Die erste Ernährungspyramide wurde in den 1970er Jahren in Schweden entworfen. Nach zahlreichen Demonstrationen gegen hohe Nahrungsmittelpreise beschloss Stockholm, für ausgewogene Mahlzeiten zu erschwinglichen Preisen zu werben. In diesem Zuge entstand die Ernährungspyramide, die der Öffentlichkeit 1974 unter dem Motto „Eine gute, gesunde Ernährung zu einem erschwinglichen Preis“ vorgestellt wurde.

Diese erste Pyramide umfasste 3 Teile: An der Basis bildete sie die seinerzeit als Grundnahrungsmittel empfundenen Produkte ab: Getreide, Molkereiprodukte, Nudeln und Kartoffeln. Obst und Gemüse bildeten die Mitte, Fleisch, Fisch und Eier die Spitze. Das Ansinnen war eindeutig: Tierische Eiweiße aus der Veredelungsproduktion sind teuer, aber längst nicht so unverzichtbar, wie viele Menschen sicher auch damals schon meinten.

1992 übernahmen die USA die Ernährungspyramide [1], und von dort aus trat sie ihren Siegeszug um die halbe Welt an. Aber die US-Regierung nutzte die Grafik von Anfang an vor allem als gesundheitliche Empfehlung.

Demos gegen hohe Lebensmittelpreise

Der grafische Aufbau der US-Empfehlung entsprach im Wesentlichen dem skandinavischen Vorbild, bestand aber aus vier Stufen: Kohlenhydrate als Basis, Obst und Gemüse darüber, darüber Molkereiprodukte, Fleisch und Fisch. Über allem thronten Fette, Öle und Süßigkeiten.

Diese Variante ist auch heute noch weit verbreitet, stellt aus gesundheitlicher Sicht allerdings nicht das Optimum dar. Zum einen fehlten ihr die Getränke. Zum anderen musste die Bedeutung der Lebensmittel für die menschliche Ernährung unter Gesundheitsaspekten neu geordnet werden.

Das ist mittlerweile passiert, wie man etwa an der Grafik [4] des österreichischen Gesundheitsministeriums oder des deutschen Bundeszentrums für Ernährung (BZfE) oben sehen kann. Gleichzeitig wurde auf eine realistische Darstellung der Lebensmittel weitgehend verzichtet, was den wissenschaftlichen Charakter der Empfehlung betont und weniger an eine Auslage im Lebensmittel-Einzelhandel erinnert wie die ursprüngiche US-Grafik..

Darstellung gesunder Ernährung im Wandel

Beim Bundeszentrum für Ernährung [5] bilden nun sechs Boxen mit Getränken die Basis der Pyramide, worüber fünf Portionen mit Obst und Gemüse zu sehen sind. Darauf stehen vier Bausteine für die Kohlenhydrate, in denen Getreideähren und Kartoffeln abgebildet sind. Die Spitze der Pyramide wird von zwei Mal drei Portionen dominiert, in denen Molkereiprodukte, Öle und Fette, aber auch ein Stück Fleisch, eine Hülsenfrucht und eine Nuss abgebildet sind.

Ganz oben in einer rot warnenden Box hausen einsam ein paar einzeln abgezählte Chips und eine winzige Tafel Schokolade.

Die Verbraucherzentrale (VZ) hat diese Darstellung übernommen [6] und gibt noch einige Tipps dazu; etwa zur Frage, was denn eine Portion sei: Gut sei es, die Portionsgröße am Handmaß auszurichten. Eine Portion entspräche damit der Menge, die in eine oder in beide Hände passt.

Wie viel ist eine Portion?

Das Konzept überzeugt, denn es berücksichtigt unterschiedliche Körpergrößen und ist daher für alle gleichermaßen geeignet. Eine Portion könnte demnach etwa ein ganzer Apfel sein, oder aber die Menge Beeren, die in beide zur Schale geformten Hände passen. Eine Portion Brot entspricht etwa der Größe einer Handfläche.

Die Nestle-Stiftung Alimentarium schreibt [7], dass das Konzept der grafischen Darstellung von Ernährungsempfehlungen seitens der Gesundheitsbehörden nicht nur in Europa und Nordamerika, sondern auch in Ländern wie Japan und sogar Sri Lanka Anklang gefunden habe.

Allerdings, so Alimentarium, gehe der Trend bei grafischen Ernährungsempfehlungen in jüngerer Zeit zu anderen Darstellungsweisen: In den USA nutzt man das Bild eines Tellers [8], in Thailand eine Fahne, in China eine Pagode [9]. Kanada setzt auf einen Regenbogen [10] und Japan bevorzugt einen Kreisel.

Der Vorteil der Pyramide liegt jedoch klar auf der Hand: Auch ohne farbliche Hervorhebungen – grün: reichlich, gelb: maßvoll, rot: sparsam – legt der pyramidenförmige Aufbau der Grafik eine Bedeutung der verschiedenen Lebensmittelkategorien nahe. Unten die Basis, die Grundlagen und ganz oben das ebenso leckere wie verzichtbare I-Tüpfelchen.

---

URL dieses Artikels:
https://www.heise.de/-10864365

Links in diesem Artikel:
[1] https://upload.wikimedia.org/wikipedia/commons/thumb/6/6d/USDA_Food_Pyramid.gif/500px-USDA_Food_Pyramid.gif
[2] https://www.bzfe.de/fileadmin/_processed_/0/1/csm_bzfe_ernaehrungspyramide_f263bb0dd4.jpg
[3] https://creativecommons.org/licenses/by-nc-nd/4.0/deed.de
[4] https://de.wikipedia.org/wiki/Ern%C3%A4hrungspyramide#/media/Datei:Plakat_Ern%C3%A4hrungspyramide_7Stufen_ohne_Rand_cutted.png
[5] https://www.bzfe.de/essen-und-gesundheit/ernaehrungspyramide/was-esse-ich
[6] https://www.verbraucherzentrale.nrw/wissen/lebensmittel/gesund-ernaehren/ernaehrungspyramide-ausgewogene-ernaehrung-leicht-gemacht-72062
[7] https://www.alimentarium.org/de/fact-sheet/ursprung-der-ernaehrungs-pyramide
[8] https://www.myplate.gov/
[9] https://en.chinacdc.cn/health_topics/nutrition_health/202206/t20220622_259773.html
[10] https://www.canada.ca/en/health-canada/services/canada-food-guide/about/history-food-guide/eating-well-with-canada-food-guide-2007.html

Copyright © 2025 Heise Medien

Adblock test (Why?)

FLP02: Silverstone verkauft Gehäuse im 90er-Stil und mit 5,25 Zoll

Das Silverstone FLP02 kommt im klassischen Beigeton und passender Blende in Diskettenoptik. Es hat aber Platz für moderne Hardware.

Power-Schalter und Reset-Taste lassen sich über ein integriertes Schloss mit passendem Schlüssel auch sperren. Ist der Mechanismus verschlossen, können die Tasten nicht betätigt werden. Rechtsseits der Turbotaste wird zudem die Lüftergeschwindigkeit auf Segmentanzeigen im Retro-Stil angezeigt.

Platz für Geforce RTX 5090

Der Tower hat im Inneren Platz für ein SSCI-CEB- oder ATX-Mainboard mit Optionen für kleinere Formate wie MicroATX und Mini-ITX. Ein passendes ATX-Netzteil wird auf der unteren Seite montiert. Die Oberseite hat Platz für einen Radiator mit drei 120-mm-Lüftern oder wahlweise zwei 140- oder 160-mm-Lüftern. Weitere Lüfter können vorn (2x 120 mm) und hinten (1x 120 oder 140 mm) befestigt werden. Silverstone liefert drei 120-mm-Lüfter bereits mit.

In den Hot-Swap-Käfig passen zudem maximal zwei 3,5-Zoll-Laufwerke und zwei 2,5-Zoll-Platten. Dazu kommt ein Käfig für zwei weitere 3,5- oder 2,5-Zoll-Laufwerke. Die Diskettenlaufwerksblende lässt sich abnehmen und dahinter lassen sich maximal drei 5,25-Zoll-Einbaulaufwerke verstauen. Das Gehäuse hat Platz für Grafikkarten mit einer Länge von 386 mm.

Günstig ist das Gehäuse allerdings nicht. Es kann im Onlineshop Alternate für circa 220 Euro vorbestellt werden. Die Lieferung wird allerdings erst in etwa zwei Wochen erfolgen.

Adblock test (Why?)

Anzeige: Vielseitiger Aktenvernichter bei Amazon für unter 50 Euro

Amazon hat einen Aktenvernichter mit Sicherheitsstufe P4 im Angebot, der neben Papier auch Bankkarten und Discs datenschutzgerecht entsorgt.

Auffangbehälter mit Sichtfenster

Gesammelt werden die Abfälle in einem 21 Liter fassenden Auffangbehälter mit transparentem Sichtfenster, durch das man den Füllstand jederzeit im Blick behält. Um ihn zu entleeren, muss lediglich die Schnitteinheit entfernt werden. Mit einer Größe von 21,1 x 32,1 x 42,8 Zentimetern und einem Gewicht von 6,73 Kilogramm lässt sich der Aktenvernichter platzsparend unter oder neben dem Schreibtisch verstauen und leicht transportieren.

Sicherheitsvorkehrungen: Abkühlzeit und manueller Rücklauf

Wenn der Aktenvernichter mehr als sechs Minuten am Stück läuft, stoppt der Motor automatisch, um eine Überhitzung des Geräts zu verhindern. Nach einer Abkühlzeit von 30 Minuten ist er wieder einsatzbereit. Auch das Einlegen von mehr als zwölf Blatt Papier und das Anheben der Schnitteinheit verursachen einen Stopp. Außerdem hilft ein manueller Rücklauf bei der Beseitigung von Papierstaus.

Der Aktenvernichter C243-A bei Amazon

Bei Amazon gibt es den Aktenvernichter C243-A von Bonsaii zurzeit 38 Prozent günstiger für nur 49,99 statt 79,99 Euro. Wer seine Unterlagen zum kleinen Preis datenschutzgerecht vernichten möchte, sollte bei diesem Angebot schnell zugreifen, denn die Aktion ist befristet und kann schon bald wieder beendet sein.

Dieser Artikel enthält sogenannte Affiliate-Links. Bei einem Kauf der Produkte über diese Links erhält Golem eine kleine Provision. Dies ändert nichts am Preis der Artikel.

Adblock test (Why?)

Anzeige: Anker-Powerbank mit 20.000 mAh kurz 50 Prozent günstiger

Ob im Zug, im Büro oder im Flieger: Die Anker-Prime-Powerbank mit Schnellladefunktion lässt weder Smartphone, Laptop noch Switch im Stich.

Starke Anker-Powerbank zum halben Preis

Der Zeitpunkt zum Zugreifen war nie besser: Bei Amazon kostet die Anker-Prime-Powerbank derzeit nur 69,99 Euro statt 139,99 Euro, also exakt die Hälfte des regulären Preises. Das Angebot ist befristet; wer also ein mobiles Ladegerät sucht, das Leistung und Design auf hohem Niveau bietet, sollte nicht lange zögern. Gerade vor Reise- oder Feiertagszeiten ist die Nachfrage besonders hoch.

Weitere aktuelle Angebote und Rabatt-Aktionen für Powerbanks , Kopfhörer und Ladegeräte finden sich im Store des Herstellers bei Amazon:

Hier geht es zum Anker-Store auf Amazon

Auszüge aus den Bewertungen

Mit 4,4 von 5 Sternen bei fast 3.500 Bewertungen zählt die Prime Powerbank zu den beliebtesten ihrer Klasse. Käufer erwähnen in den Kommentaren die außergewöhnlich schnelle Ladeleistung, die gleichzeitige Nutzung mehrerer Ports und die robuste Verarbeitung. Viele bezeichnen sie als unverzichtbaren Begleiter auf Reisen oder im Alltag – selbst Laptops und Spielkonsolen lassen sich unterwegs zuverlässig versorgen. Der einzige Kritikpunkt: das relativ hohe Gewicht von rund 540 Gramm.

Dieser Artikel enthält sogenannte Affiliate-Links. Bei einem Kauf der Produkte über diese Links erhält Golem eine kleine Provision. Dies ändert nichts am Preis der Artikel.

Adblock test (Why?)

Wie man mit Fan Control die Lüftersteuerung optimiert

Das kostenlose Windows-Tool Fan Control steuert Gehäuse-, Grafikkarten- und CPU-Lüfter, fasst Sensoren zu Gruppen zusammen und hat noch einige Tricks auf Lager.

Eine gute Lüftersteuerung ist die Grundvoraussetzung, um Temperatur und Geräuschpegel perfekt auszubalancieren. Sie hält die Komponenten kühl genug für volle Leistung und lässt die Lüfter nur so schnell und damit laut drehen, wie unbedingt nötig. Wer einen PC von der Stange kauft, hat darauf aber selten Einfluss, sondern muss mit den Herstellervorgaben leben. Meist geben die BIOS-Einstellungen nur unzureichende Möglichkeiten her, an der Lüfterkurve zu drehen.

Beim Selbstbau hat man mehr Spielraum und kann eine eigene Kurve für die Lüftersteuerung definieren, deren Regelpunkte eine Kombination aus Temperatur und zugehöriger Solldrehzahl darstellen. Solche angepassten Kurven tüfteln wir für unsere Bauvorschläge aus, doch ideal sind auch sie nicht: Zum einen erlauben die Board-Hersteller oft nur vier bis sechs Regelpunkte, zum anderen ist man auf die Sensoren angewiesen, die das Board anbietet.

Oft genug lesen sie die CPU nicht direkt oder nur ungenau aus, andere Komponenten wie die Grafikkarte berücksichtigen sie gar nicht. Ergo kann man die Gehäuselüfterregelung zwar an die CPU-Temperatur koppeln, doch wenn ein Spiel mehr Grafik- als CPU-Last erzeugt, zieht das System nicht ausreichend Frischluft: Die Grafikkartenlüfter drehen höher als sie müssten, der Rechner spielt sich akustisch in den Vordergrund.

---

URL dieses Artikels:
https://www.heise.de/-10641217

Links in diesem Artikel:
[1] https://www.heise.de/ratgeber/Wie-man-mit-Fan-Control-die-Lueftersteuerung-optimiert-10641217.html
[2] https://www.heise.de/ratgeber/Mit-Fan-Control-die-Luefter-des-Mini-ITX-Gaming-Bauvorschlag-leise-machen-10676008.html
[3] https://www.heise.de/tests/Fuenf-Top-Blow-Kuehler-ab-50-Millimeter-Hoehe-bis-90-Euro-im-Vergleich-10435806.html
[4] https://www.heise.de/tests/Vier-superflache-CPU-Kuehler-fuer-Mini-ITX-Systeme-im-Vergleich-10378032.html
[5] https://www.heise.de/tests/Kaufberatung-Wie-man-den-passenden-CPU-Kuehler-findet-10388012.html
[6] https://www.heise.de/tests/Ab-30-Euro-Leistungsfaehige-Prozessorkuehler-fuer-AMD-und-Intel-CPUs-10342678.html
[7] https://www.heise.de/tests/Luftkuehlung-fuer-High-End-CPUs-Cooler-Master-MA824-und-Corsair-A115-im-Test-9629501.html

Copyright © 2025 Heise Medien

Adblock test (Why?)

Proxmox Backup Server: Angreifer können Backup-Snapshots zerstören

Die Entwickler der Backuplösung Proxmox Backup Server haben Sicherheitslücken geschlossen. Bislang gibt es keine Berichte zu Attacken.

Verschiedene Versionen von Proxmox Backup Server sind verwundbar. Angreifer können an zwei Sicherheitslücken ansetzen.

Diverse Sicherheitsprobleme

Die Entwickler weisen im Forum auf die Schwachstellen hin [1]. Bislang sind dazu keine CVE-Nummern und somit keine Einstufung des Bedrohungsgrads bekannt. Das CERT Bund vom BSI stuft die Gefahr [2] als "hoch" ein.

Von einer Schwachstelle ist ausschließlich der Proxmox-Versionsstrang 3.x betroffen. Nutzen Angreifer die Lücke erfolgreich aus, können sie Backup-Snapshots manipulieren, sodass eine Wiederherstellung unmöglich wird. Hier schafft die Ausgabe 3.4.1-1 Abhilfe.

Bei der zweiten Schwachstelle kommt es bei einer Konfiguration mit S3 zu Problemen, und Angreifer können unbefugt auf Daten zugreifen. Dagegen ist Proxmox Backup Server 4.0.18-1 gerüstet.

Ob es bereits Attacken gibt, ist zurzeit nicht bekannt. Unklar bleibt auch, woran Admins bereits attackierte Systeme erkennen können.

---

URL dieses Artikels:
https://www.heise.de/-10961168

Links in diesem Artikel:
[1] https://forum.proxmox.com/threads/proxmox-backup-server-security-advisories.149332/#-subject-psa-2025-00019-1-race-condition-during-long-running-garbage-collection-and-pruning-of-recent-snapshots-may-lead-to-back-up-corruption-before-proxmox-backup-server-3-4
[2] https://wid.cert-bund.de/portal/wid/securityadvisory?name=WID-SEC-2025-2416
[3] https://aktionen.heise.de/heise-security-pro?LPID=39555_HS1L0001_27416_999_0&wt_mc=disp.fd.security-pro.security_pro24.disp.disp.disp
[4] mailto:des@heise.de

Copyright © 2025 Heise Medien

Adblock test (Why?)

"Darknet Diaries Deutsch": Angriffspunkt Mensch

Der Sicherheitsberater und Meister des Social Engineering Christopher Hadnagy erzählt spannende Geschichten aus seiner langen Karriere als Human Hacker.

Dies ist das Transkript der vierten Folge des neuen Podcasts "Darknet Diaries auf Deutsch". Im Englischen Original von Jack Rhysider trägt diese Episode den Namen "Human Hacker [1]".

Die deutsche Produktion verantworten Isabel Grünewald und Marko Pauli von heise online. Der Podcast erscheint alle zwei Wochen auf allen gängigen Podcast-Plattformen und kann hier abonniert [2] werden.

Die Ursprünge des Social Engineerings

JACK: Bevor es den Begriff „Social Engineer“ überhaupt gab, sprach man einfach von „Trickbetrügern“. Denn bei einer Betrugsmasche geht es darum, das Vertrauen von jemandem zu gewinnen und ihn dann übers Ohr zu hauen. Social Engineers gewinnen das Vertrauen von Leuten, um sie auszutricksen. Ist dasselbe. Einer meiner Lieblings-Trickbetrüger war George C. Parker. Er verdiente seinen Lebensunterhalt damit, Dinge zu verkaufen, die ihm gar nicht gehörten. Er lebte Anfang des 20. Jahrhunderts in New York City. Damals zogen viele Einwanderer in die Stadt, und er wollte ihre Ahnungslosigkeit ausnutzen. 1897 wurde Grant's Tomb erbaut, die letzte Ruhestätte von Ulysses S. Grant. Es steht mitten in Manhattan und ist ein wirklich beeindruckendes Denkmal. Man kann sogar hineingehen und sich den Sarg ansehen. Eine beliebte Touristenattraktion. Als George C. Parker sah, wie viele Menschen zu Grant's Tomb strömten, wollte er damit irgendwie Geld verdienen – aber nicht mit dem Verkauf von Popcorn, Hotdogs oder Blumen.

Nein, Georges Idee war es, Grant's Tomb selbst zu verkaufen, obwohl der ihm gar nicht gehörte. Er machte sich daran, gefälschte Dokumente aufzusetzen, die ihn als Enkel von Ulysses S. Grant auswiesen. Dann mietete er ein Büro, um solchen Geschäften einen seriösen Anstrich zu geben. Und anschließend zog er durch die Stadt, um nach Opfern zu suchen. In New York City sind viele Leute unterwegs, die sich die Schuhe putzen lassen oder eine Zeitung kaufen. Da kommt man leicht mit jedem ins Gespräch. George fand jemanden, der Interesse daran hatte, Grant's Tomb zu kaufen. Er fälschte einige Dokumente, die ihn als Besitzer auswiesen, und erzählte dem Opfer, es könne mit dem Ort eine Menge Geld verdienen, wenn es einfach Eintritt von den Leuten verlangen würde, die sich den Sarg ansehen wollen.

Also schlossen sie das Geschäft ab. Er verkaufte Grant's Tomb an jemanden, obwohl der ihm nicht gehörte. In den folgenden Jahrzehnten verkaufte George C. Parker Dutzende weitere Wahrzeichen in New York City. Er verkaufte die Rechte an Theaterstücken und Opern. Einmal verkaufte er den Madison Square Garden, ein anderes Mal das Metropolitan Museum of Art und sogar die Freiheitsstatue. Aber mein Lieblingsstück, das er verkauft hat, war die Brooklyn Bridge selbst. Er erzählte den Leuten, sie könnten ein Mauthäuschen auf der Brooklyn Bridge errichten und mit den ganzen vorbeifahrenden Autos ein Vermögen verdienen. Die Masche war so gut, dass George die Brooklyn Bridge manchmal zweimal pro Woche verkaufte. Die Stadtverwaltung musste oft anrücken und die Opfer davon abhalten, Mauthäuschen auf der Brücke zu errichten. Daher kommt die englische Redewendung: „Wenn du das glaubst, hab ich hier noch eine Brücke zu verkaufen.“

Der Weg von Chris Hadnagy zum „Human Hacker“

JACK: Wollen wir damit anfangen, wer Du bist und was Du machst?

CHRIS: Na klar, ist allerdings ne vielschichtige Frage. Ich bin Chris Hadnagy und in erster Linie CEO oder, witzigerer Titel, Chief Human Hacker von Social Engineer LLC. Ich betreibe aber auch social-engineer.org, eine kostenlose Anlaufstelle für Social Engineers oder Leute, die sich einfach fürs Thema interessieren. Und dann leite ich noch eine gemeinnützige Organisation namens „The Innocent Lives Foundation“.

JACK: Wie bist du zum Social Engineering gekommen?

CHRIS: Ja, das ist lustig. Ich habe in der Branche gearbeitet, hab aber eher Schwachstellenanalysen gemacht. Ich nehme an, viele von uns haben so angefangen, aber sicher bin ich mir da nicht. Damals habe ich mich also mit, ich würde sagen, sehr grundlegender Sicherheit beschäftigt und Schwachstellenanalysen durchgeführt. Dann habe ich einen Pentesting-Kurs belegt, wo ich also gelernt habe, gezielt in IT-Systeme einzudringen, und wurde geradezu süchtig danach. Ich habe mehr Zeit in den Pentesting-Übungsumgebungen verbracht, als es eigentlich gut für mich war, und da hab ich dann einen Server geknackt, den bis dahin noch niemand geknackt hatte, und bekam daraufhin ein Jobangebot von OffSec als deren Ops-Manager.

Während meiner Arbeit da habe ich dann gelernt, was echtes Pentesting ist und wie man's macht. Gemerkt hab ich dabei, was meine eigentliche Stärke in dem Bereich ist, nämlich der Umgang mit Menschen – mit ihnen zu reden und zu wissen, wie man sie beeinflusst. Dann hab ich angefangen, ein Framework für Social Engineering zu schreiben, immer noch auf der Webseite social-engineer.org zu finden. Als das veröffentlicht wurde, bekam ich dann ein Angebot, mein erstes Buch zu schreiben – das allerdings niemand gelesen hat – und daraus entstand dann meine Firma. Und jetzt, elf Jahre später, sind wir hier.

JACK: Vor über einem Jahrzehnt hat Chris die Webseite social-engineer.org ins Leben gerufen. Dort begann er, ein Framework für Social Engineering zu entwickeln – eine Art Anleitung, wie man dabei vorgeht. Er verfasste einen Ethikkodex, definierte eine Reihe von Begriffen und skizzierte viele der verschiedenen Methoden und Angriffe.

CHRIS: Ich wollte Social Engineering aus wissenschaftlicher, aber auch aus künstlerischer Sicht verstehen. Ich hab mir einfach mein Bücherregal angesehen - das Buch hier habe ich gelesen, weil ich dieses oder jenes Thema verstehen wollte - sagen wir mal ‚Einfluss‘: Robert Cialdinis Buch dazu habe ich gelesen, ja regelrecht studiert, um das Thema „Einflussnahme“ zu verstehen. Ich hab dann die Prinzipien daraus genommen und sie in einer Phishing-E-Mail ausprobiert oder als wir in ein Gebäude eingebrochen sind.Das habe ich dann aufgeschrieben. So habe ich meine Bücher durchforstet und einfach zusammengefasst, welche Fähigkeiten ich verwendet habe, wo und wie ich sie gelernt habe. Ich hab dann so neun oder zehn Monate gebraucht, um das Social-Engineering-Framework zu entwickeln, das heute noch auf der Website zu finden ist. Es wird natürlich immer aktualisiert.

JACK: Ja, Chris hier, der Chief Human Hacker, hat also buchstäblich das Standardwerk über Social Engineering geschrieben; inzwischen sind es sogar drei. Aber 2010 hat er zusätzlich zu dem Framework, an dem er schrieb, auch Newsletter über Social Engineering verfasst und einen Podcast dazu herausgebracht.

CHRIS: Dann haben Firmen angerufen, die das mitbekommen hatten - es war ja das erste Mal, dass das jemand so definiert hat - und die haben dann gefragt, ob wir ihre Firma testen könnten, ja, ob ihr nen Pen-Test bei machen könnten. Oder ob wir sie phishen könnten und dann erklären, wie wir das geschafft haben. Ich sagte: „Na klar, das können wir gerne versuchen.“ Es gab damals noch keine Firmen, die das gemacht haben. Und wir haben uns dann nicht nur gefragt, wie wir das denen berechnen, sondern auch ganz grundsätzlich, wie man daraus ein Geschäft aufbaut. Das haben wir dann alles nach und nach rausgefunden. Und so ist meine Firma entstanden, das war 2010, 2011, mein eigenes Unternehmen, das sich ausschließlich auf Social Engineering konzentriert.

JACK: Ihr wisst, was eine Phishing-E-Mail ist, oder? Eine E-Mail, die euch dazu bringen soll, auf einen Link zu klicken, der euch irgendwie schadet – sei es, dass ihr Malware herunterladet, betrogen werdet oder was auch immer. Wenn Chris einen Anruf bekommt, um eine Phishing-Kampagne gegen ein Unternehmen durchzuführen, bietet er zwei Optionen an.

CHRIS: Es gibt das Security-Awareness-Phishing und dann das Pen-Test-Phishing. Beim Security-Awareness-Phishing, also dem, das Sicherheitsbewusstsein schaffen soll, da geht um den Lerneffekt. Das wird normalerweise unternehmensweit gemacht, also bei allen, egal ob es 1.000 oder 100.000 Leute sind. Das machen wir jeden Monat, und das Ziel ist, die Leute dazu zu bringen, auf einen Link zu klicken, der sie dann auf eine Schulungsseite führt. Da geht es darum, ihnen beizubringen, wie sie Phishing erkennen und richtig melden. Beim Pen-Test-Phishing ist das Ziel ein anderes. Da wollen wir Anmeldedaten stehlen, da wollen wir ein "Implantat" installieren, um einen Trojaner oder Malware auf den Rechner zu bekommen. Wir haben also das Ziel, das Netzwerk und die Personen für den von uns durchgeführten Pen-Test anzugreifen, zu manipulieren und zu schädigen.

JACK: Nun, ich habe selbst als Sicherheitsingenieur mit, ich weiß nicht, Hunderten von Kunden gearbeitet. Und glaubt mir, keiner von ihnen war daran interessiert, dass ich Phishing-Angriffe auf ihre Mitarbeiter durchführe. Sogar meine eigene Firma, für die ich gearbeitet habe, wollte nicht, dass ich Phishing-Tests an unseren eigenen Mitarbeitern mache. Es ist heute schon selten, dass Firmen versuchen, ihre Mitarbeiter zu phishen, aber 2010 war es extrem selten.

CHRIS: Ich wurde von nem echt großen Finanzinstitut angerufen, die gesagt haben, dass sie intern schon ne Weile Social engineeren und dass sie jetzt unser Framework nutzen. Und die haben dann gefragt, ob wir bereit wären, mit ihnen zusammenzuarbeiten, um ihre Leute zu testen. Das hat mich richtig überrascht, denn ich hab ähnliche Erfahrungen gemacht wie du, da haben wir einen Pen-Test für einen Kunden durchgeführt und dann gefragt, ob wir nicht auch'n paar Phishing-Mails verschicken sollten, und die meinten auch nur: „Nö, interessiert uns nicht.“ Ich hab's ihnen dann kostenlos angeboten und meinte, wenn's euch gefällt, können wir ja über ne Bezahlung reden. Dann meinten sie: „Okay, ja, du kannst ein paar schicken.“ Die funktionierten dann immer, und dann sagten sie: „Nee, dafür wollen wir nicht bezahlen; die funktionieren zu gut.“ Ich hab nur gedacht, dass wir's ja genau deshalb machen sollten.

Es gab überall so eine Blockade, aber dann kam dieses große Finanzinstitut. Und plötzlich sind wir voll dabei, SE-Tests und Phishing und all diese anderen Arbeiten in einem großen, globalen Unternehmen durchzuführen, und das hat sich dann rumgesprochen. Dann kamen andere Firmen die meinten, okay, wenn ihr das bei denen macht, sollten wir das vielleicht auch in Betracht ziehen. Ja und das war der Moment, in dem wir dasaßen und nicht wussten, wie wir die ganzen Sachen eigentlich berechnen sollten. Man konnte ja auf keiner Plattform nachsehen, was ein typischer Social Engineer verdient. Wir haben's dann einfach nach und nach herausgefunden.

Aber die ersten fünf Jahre waren extrem mühsam. Wir haben Firmen angesprochen, denen aber oft nicht klar war, warum sie überhaupt machen sollten. Da war viel Aufklärungsarbeit nötig. Als die Medien dann aber anfingen darüber zu berichten - über Phishing-Angriffe, Vishing-Angriffe, also betrügerische Telefonanrufe oder über Social-Engineering-Angriffe mit Identitätsdiebstahl, kam immer mehr Aufmerksamkeit. Da hörten dann Firmen, auch die Führungsebenen davon und es wurde ihnen bewusst, dass das alles einfach ein echtes Problem darstellen kann. Dann wurde es einfacher, solche Dienstleistungen zu verkaufen. Heute wissen fast alle Unternehmen, dass sie Social-Engineering-Dienste benötigen. Aber na klar, heute gibt es, anders als früher, für uns auch viel mehr Konkurrenz. Es ist wie in jeder anderen Branche auch: Jetzt können sie sich aussuchen, mit wem sie zusammenarbeiten wollen.

Phishing und Security-Awareness-Training

JACK: Chris wird manchmal beauftragt, allen Mitarbeitern eines Unternehmens Phishing-Mails zu schicken. Das Ziel ist es, die Mitarbeiter für diese Art von Angriffen zu sensibilisieren und zu schulen.

CHRIS: Wir haben drei verschiedene Phishing-Mail-Stufen eingerichtet. Nehmen wir an, das Thema der Phishing-Mail ist bei allen das selbe: Eine Nachricht an die vielen Homeoffice-User, in der es um vermeintliche neue Homeoffice-Richtlinien geht. Eine Phishing-Mail auf der einfachsten Stufe sieht aus, als wäre sie komplett zufällig bei dir gelandet - sie ist nicht personalisiert, nicht im Firmendesign gehalten und hat Rechtschreib- und Grammatikfehler.

Die Stufe-zwei-Mail ist ebenfalls nicht personalisiert, aber fehlerfrei. Die sieht schon etwas realistischer aus. Und die Stufe-drei-Mail sieht aus, als käme sie tatsächlich direkt von deiner Personalabteilung. All diese Phishing-Mails sollen den Mitarbeitern zwei Dinge beibringen: Erstens, können sie die Phishing-Mail erkennen? Wir zeichnen dabei viele Daten auf. Und wurde es ordnungsgemäß gemeldet, wenn es erkannt wurde? Und wenn nicht, sind diese Leute auf die angegebene Landing Page gegangen und haben sie die Informationen gelesen in Bezug auf Sicherheitsbewusstsein - Informationen, die sonst gerne in zehn-, fünfzehn- oder zwanzigminütigen CBTs vermittelt werden.

JACK: CBTs sind computerbasierte Schulungen, also die typischen Security-Awareness-Trainings, die man in einer Firma bekommt.

CHRIS: Die sind nicht so toll. Sie können schon ihren Sinn haben, aber für das, worüber wir hier sprechen, sind sie eigentlich nicht ideal. Man will eigentlich jemandem Informationen geben, die er oder sie in 60 bis 90 Sekunden verarbeiten kann. Es sollte sowas sein wie: „Du hast gerade auf eine Phishing-Mail geklickt. So hättest du sie erkennen können. Bitte melde sie an diese Adresse.“ Ein solches Security-Awareness-Phishing-Programm trägt dazu bei, das haben wir festgestellt, dass die Idee des Phishings in den Köpfen hängenbleibt. Etwa einen Monat lang sind die Mitarbeiter dann viel aufmerksamer für alle Phishing-Mails.

JACK: Diese Art von Training funktioniert erstaunlich gut. Es bleibt wirklich bei den Mitarbeitern hängen, die auf den Link geklickt haben und gephisht wurden. Diese 60 Sekunden, in denen sie erfahren, dass sie auf einen bösartigen Link geklickt haben, sind ein starker Moment. Ihre Online-Wahrnehmung und digitale Hygiene werden sofort auf ein neues Level gehoben.

CHRIS: Wichtig ist ein einheitlicher Ansatz und dass dieser konsequent umgesetzt wird. Es dürfen keine möglicherweise verletzenden Botschaften enthalten sein. Wenn wir z.B. Leute mit Phishing-Mails belästigen, die lauten: „Unter diesem Link finden Sie heraus, wer im Büro mit einer ansteckenden Krankheit diagnostiziert wurde.“, dann könnte das verletzend sein, insbesondere wenn jemand ein Familienmitglied durch die Krankheit verloren hat.

Ein Programm muss also gestuft, konsequent, regelmäßig sein und darf keine moralische Grenze überschreiten. Ein gelungenes Beispiel dafür ist ein Kunde, den wir fünf Jahre lang gephisht haben. Nach drei Jahren konsequenten Phishings hatten sie eine 78-prozentige Reduzierung von tatsächlicher Malware in ihrem Netzwerk, weil die Leute Phishing-Mails erkannten und richtig meldeten, ohne darauf zu klicken.

JACK: Ziemlich beeindruckend, oder? Phishing-Kampagnen als Teil des Security-Awareness-Trainings für alle Mitarbeiter durchzuführen, scheint eine absolut naheliegende Maßnahme zu sein, um die Sicherheit eines Unternehmens zu verbessern. Denn ein Großteil der Malware gelangt in ein Unternehmen, weil Leute auf Phishing-Mails klicken. Es ist verrückt, dass diese Angriffe heute immer noch wirksam sind, obwohl die meisten Leute über Phishing Bescheid wissen und immer wieder ermahnt wurden, nicht auf verdächtige Links zu klicken. Wisst ihr, was ich bei manchen Firmen schon erlebt habe? Wo ich früher gearbeitet habe, gab es einen Bonus für Mitarbeiter, die gesundes Verhalten zeigten. Wenn du nicht geraucht hast, zur Vorsorgeuntersuchung gegangen bist und regelmäßig Sport getrieben hast, wurde das belohnt und du bekamst einen Gesundheitsbonus von 500 Dollar extra pro Jahr.

Aber einige Unternehmen gehen noch einen Schritt weiter und belohnen Mitarbeiter, die eine gute Sicherheitshygiene an den Tag legen. Wenn du zum Beispiel jeden Monat mit Phishing-Mails getestet wirst und bestehst, die Zwei-Faktor-Authentifizierung korrekt implementiert hast, einen Passwort-Manager verwendest und ein Jahr lang virenfrei bleibst, könntest du auch einen digitalen Gesundheitsbonus bekommen. Denn einige Unternehmen können wirklich Geld sparen, indem sie ihre Mitarbeiter dazu anspornen, wachsamer und sicherer zu sein, was zu weniger Infektionen im gesamten Unternehmen führt, weil der allgemeine Sicherheitsgewinn die Kosten überwiegt. Aber genug vom Security-Awareness-Training. Ich will eine Geschichte hören, in der Chris einen Penetrationstest bei einem Kunden durchführen musste.

Penetrationstests und reale Einsätze

CHRIS: Ich hatte gerade Ryan eingestellt. Er ist heute mein Betriebsleiter, wir haben gerade erst angefangen zusammenzuarbeiten; das war buchstäblich einer unserer ersten gemeinsamen Jobs, vor ein paar Jahren. Wir wurden beauftragt, in ein paar Banken auf Jamaika einzubrechen. Das war interessant, weil es mein erster Einbruch in Banken in einem anderen Land war. Wir wussten nicht, was uns da erwarten würde, zum Beispiel, ob die Leute bewaffnet sein würden, wenn wir ankamen oder wie feindselig sie auch reagieren könnten.

JACK: Ihre Aufgabe war es, mitten am Tag in die Bank zu gelangen. Es ging darum zu sehen, ob sie an der Sicherheit vorbeikommen und in die inneren Bereiche der Bank gelangen konnten, denn diese Bank war normalerweise kein Ort, an dem Kunden ein- und ausgehen. Zwei Ausländer, die einfach von der Straße hereinkommen, ohne dort etwas zu suchen zu haben, sollten nicht in dieses Gebäude gelangen können. Die Sicherheit sollte sie an der Eingangstür aufhalten, aber wenn sie reinkämen, sollten die Türen zu allen sicheren Bereichen im Gebäude verschlossen sein.

CHRIS: Eine unserer Aufgaben war es, einen USB-Stick in irgendwelche Computer zu stecken und das Netzwerk zu hacken. Wir hatten dafür verschiedene Software und Malware auf den USB-Sticks, und sollten zeigen, dass wir dazu in der Lage gewesen wären – wir durften nichts wirklich stehlen oder in sensible Bereiche der Bank eindringen. Aber wenn wir Zugang zum Netzwerk bekämen, wollten sie, dass wir beweisen, dass wir zerstörerisch hätten wirken können. Sie wollten, dass wir auch Software und Tools dabei hatten, die das Ganze aufzeichnen, damit wir ihnen richtig zeigen konnten, was wir da taten.

JACK: Zusätzlich sollten sie alle Sicherheitsprobleme melden, die sie auf dem Weg fanden. Das Ziel ist gesetzt; Zeit, sich an die Arbeit zu machen.

CHRIS: Wir hatten allerhand OSINT-Recherchen durchgeführt und dabei herausgefunden, dass die Bank gerade von einem amerikanischen Unternehmen überprüft wurde.

JACK: Okay, OSINT steht für Open-Source Intelligence, also das Sammeln von Informationen aus öffentlichen Quellen. Dabei sucht man in öffentlichen Online-Bereichen nach privaten Informationen über ein Unternehmen. Chris hat nicht gesagt, wie er es gemacht hat, aber so würde ich anfangen. Zuerst geht man zum LinkedIn-Profil des Unternehmens. Dort sind normalerweise eine Reihe von Mitarbeitern aufgeführt, die für dieses Unternehmen arbeiten. Von dort aus sieht man vielleicht Mitarbeiter, die direkt auf LinkedIn Dinge posten wie: „Ugh, schon wieder Audit-Zeit. Kaum zu fassen.“ Aber wenn keine solche Hinweise auftauchen, kann man noch einen Schritt weiter gehen. Man nimmt die Namen der Mitarbeiter von LinkedIn und versucht, ihre Facebook-Profile zu finden, um zu sehen, was sie dort posten, und schaut sich das alles an.

Wenn dort nichts zu finden ist, geht man noch einen Schritt weiter; man versucht, mit diesem Namen ihr Reddit-Profil oder ihren Stack-Overflow-Namen oder einen Twitter-Namen oder etwas anderes zu finden, um dann diese Beiträge zu durchforsten. Man hangelt sich immer weiter vor und findet schließlich jemanden, der irgendwo etwas postet, was er nicht posten sollte. In diesem Fall fand Chris Leute, die Informationen über eine Netzwerk-Sicherheitsüberprüfung posteten, die von einer amerikanischen Firma bei dieser jamaikanischen Bank durchgeführt wurde. Genauer gesagt war es ein PCI-Audit, was für Payment Card Industry steht. Im Grunde muss jedes Unternehmen, das Kreditkarten abwickeln will, ein jährliches PCI-Audit bestehen. Da Chris und Ryan beide aus den USA kommen und die Besonderheiten von PCI kennen, wäre das eine perfekte Tarnung oder ein perfekter Vorwand. Sie wollten sich als PCI-Prüfer ausgeben, um Zugang zum Gebäude zu erhalten.

CHRIS: Wir haben Visitenkarten und Hemden mit dem Namen dieser Firma drucken lassen, ein paar Klemmbretter mitgenommen und sind dann in Jamaika angekommen. Am ersten Tag sind wir zum Standort gefahren, um uns dort umzusehen. Es ist ein ziemlich großes Gebäude, drei oder vier Stockwerke hoch, riesig und quadratisch. Der gesamte Parkplatz ist von einem Zaun umgeben, an dem Stacheldraht angebracht ist. Wenn man auf den Parkplatz fährt, steht dort ein Wachmann und am Rand ist da ein Wachhäuschen mit zwei Wachleuten drin.

JACK: Sie fahren zum Wachposten, bereit, sich irgendwie hineinzulügen.

CHRIS: Da es tagsüber war, gingen da Kunden ein und aus. Wir wurden am Tor kurz gestoppt, haben dann aber einfach gesagt, dass wir Bankgeschäfte zu erledigen haben, und sie ließen uns direkt und ohne Probleme rein.

JACK: Als sie den Parkplatz betreten, sehen sie ein paar Typen auf Dirtbikes vorbeiflitzen. Sie waren nicht nur auf Dirtbikes, sondern als sie vorbeifuhren, sahen Chris und Ryan, dass an der Seite der Dirtbikes abgesägte Schrotflinten montiert waren.

CHRIS: Das war die Security, das Banksicherheitspersonal. In den USA ist das normalerweise ein Wachmann, der vielleicht eine Waffe am Gürtel hat, der aber am Schreibtisch sitzt oder vorne. Die Typen aber waren auf Dirtbikes unterwegs und fuhren über den Parkplatz. Als wir das sahen, dachten wir nur: „Was!?“ Als wir vorfuhren, ich erinner mich, sahen wir uns an und hatten beide den gleichen Gedanken: „Ziehen wir das jetzt wirklich durch?“ Ryan meinte dann auch: „Ey, das habe ich so nicht unterschrieben.“ Ich meinte: „Ja, aber der ganze weite Weg von Amerika nach Jamaika. Wär schon schade, wenn wir's nichtmal versuchen würden.“

Er meinte, „Ey, die heizen hier auf Dirtbikes rum und tragen Schrotflinten“, ich meinte, jaja, kommt schon'n bisschen strange rüber, aber im Grunde ... ist auch nur ne Waffe. In den USA brechen wir auch in bewaffnete Einrichtungen ein, da riskieren wir auch, erschossen zu werden. Ja, okay, die fahren da nicht auf Dirtbikes aufm Parkplatz rum, aber trotzdem, ob man nun von einer Schrotflinte, einem Gewehr oder einer Halbautomatischen getroffen zu werden, macht eigentlich keinen Unterschied; alles ätzend... wir machen halt solche Jobs. Insgesamt war das keine wirklich gute Argumentation, aber Ryan machte mit, wir wollten es also tun. Rückblickend würde ich aber sagen, dass das ein wirklich beängstigender Moment war.

JACK: Sie atmeten tief durch, fuhren durch den Parkplatz und parkten. Die Dirtbikes flitzten vorbei und sorgten für ein ganz neues Stresslevel, mit dem sie nicht gerechnet hatten. Sie stiegen aus dem Van und machten sich bereit. Sie zogen ein Hemd mit dem Namen der Firma an, die das Audit durchführte. Sie hatten ihre gefälschten Visitenkarten bereit und natürlich mein Favorit…

CHRIS: Das Klemmbrett, und das ist hohl, darin sind USB-Sticks und andere Werkzeuge, die wir brauchen könnten; Dietriche, eine Kamera, mit der wir Dinge filmen konnten. Lauter Sachen, die wir unsichtbar dabei haben, wenn wir da reingehen.

JACK: Sie sehen sich dieses Gebäude an.

CHRIS: Das Gebäude ist aus verspiegeltem Glas, man kann also beim Herangehen nicht durch die Fenster sehen.

JACK: Sie hatten sich ein paar Informationen darüber besorgt, was sich in diesem Gebäude befindet, bevor sie reinkamen, also wussten sie, wie es drinnen aussieht, bevor sie überhaupt reingehen.

CHRIS: Wenn man die Vordertüren öffnet, ist da direkt ein Schreibtisch, an dem Wachleute sitzen und daneben ein Metalldetektor. Man muss also direkt an den Wachleuten vorbei, um zur Treppe zu gelangen. Es ist der einzige Zugang zum Gebäude. Man kann zwar auch zur Rückseite gehen, wo ein paar Laderampen und andere Bereiche sind, aber die Vordertür und an den Wachleuten vorbei, das war der einzige Zugang, um zum Rest der Bank zu gelangen.

JACK: Sie gehen auf das Gebäude zu.

CHRIS: Als wir näher kamen, meinte ich zu Ryan: „Ich nehm einfach mein Handy und tue so, als ob ich ein Gespräch führe. Wenn wir drinnen sind, sage ich dann sowas wie ‚Mhh, alles klar, wir kommen jetzt hoch; warte einfach, wir beenden die Prüfung in einer Minute‘, und wir gehen einfach an der Security vorbei, als ob wir hierher gehören.“ „Und du meinst das klappt?“ meinte Ryan und ich: „Werden wir ja sehen.“ Ich öffne die Vordertür, gehe rein, nehme mein Handy, halte es mir ans Ohr. Ich sage: „Ja, ja, Jack, wir sind vorne. Wir kommen jetzt hoch.“ Wir gehen dabei direkt an der Security vorbei - - - und sie halten uns nichtmal an, sie zucken nicht mal mit der Wimper. Man hat da natürlich keine Zeit, innezuhalten und sich zu wundern. Aber als wir die Treppe erreichen, denken wir beide: „Was zum Teufel? Das war viel zu einfach.“

Oben angekommen bemerken wir, dass wir auch hier keine Zeit haben, anzuhalten oder durchzuatmen oder überhaupt herauszufinden, wohin wir gehen sollen. Ich biege einfach um die Ecke und da sehe ich einen Raum und ein Schild auf dem steht „ATM Testing Center“. Geldautomaten also. Eine Frau geht direkt vor uns in den Raum hinein. Ich entscheide mich einfach ihr hinterherzugehen. Ryan folgt mir. Wir betreten also hinter ihr den Raum, aber dann dreht sie sich um, sie wirkt einigermaßen erschrocken und schaut mich nur an, so als wollte sie sagen: „Was machen Sie hier?“ Ich sag dann: „Ah, wir sind hier, um die Prüfung für PCI durchzuführen. Wir sind aber auch bald fertig.“ Sie dann: „Oh, okay.“ Dann dreht sie sich einfach um und lässt uns in den Raum.

JACK: Sie haben es geschafft. Sie sehen sich in diesem Raum um. Es scheint der Ort zu sein, an dem sie Geldautomaten reparieren, große Maschinen, die vielleicht Bargeld enthalten oder auch nicht, aber sie sind alle in Einzelteilen im Raum verteilt.

CHRIS: Ryan klettert dann buchstäblich rein in diese riesigen Geldautomaten, macht Fotos von all den ganzen Platinen und Teilen. Da war ein Mann an einem Computer, der einen Geldautomaten testet, ich bin dann zu ihm und frage ihn, ob er mir erklären könne, was er da tut. Und er führt mich durch das Prozedere, wie sie ihre Geldautomaten programmieren und zeigt mir die Software. Er gibt mir im Grunde eine kostenlose Schulung über Geldautomaten, und ich filme das Ganze heimlich.Wir waren etwa dreißig Minuten in dem Raum, bis wir dann irgendwann dachten, dass es Zeit wäre zu gehen, weil es sonst vielleicht wirklich komisch aussähe, dass wir hier so tatenlos rumhängen und mit den Leuten reden. Wir meinten dann, dass wir hier fertig sind und gingen raus.

JACK: Denkt daran, sie sind in Jamaika, also fallen sie hier auf. Aber sie hatten einen Trick.

CHRIS: Wir sind die einzigen beiden weißen Männer in dem Gebäude. Kulturell auf jeden Fall ne interessante Situation, wir fielen wirklich auf. Deshalb haben wir uns dafür entschieden, so zu tun, als würde wir für diese US-amerikanische Wirtschaftsprüfungsfirma arbeiten. So machte es Sinn, dass wir da waren, dass wir also nicht so taten, als wären wir Einheimische, wodurch sie hätten skeptisch werden können. So sagten wir, dass wir gerade erst aus den USA eingeflogen sind, um die Prüfung abzuschließen.“

JACK: Sie wandern mit einem Klemmbrett in der Hand durch die Gänge und suchen nach etwas anderem Interessantem.

CHRIS: Da ist ein langer Flur, und am Ende des Flurs sind da zwei Glastüren, durch die wir sehen, dass da ein Callcenter ist; ich kann all die Männer und Frauen an Telefonen und mit Headsets sitzen sehen, an Reihen von Computern. Direkt neben der Tür ist ein Chip-Lesegerät, wir gehen also davon aus, dass die Tür verschlossen ist. Wir können ja auch nicht einfach daran zerren. Ich gehe dann sehr langsam auf die Tür zu, in der Hoffnung, dass jemand rein- oder rausgeht, damit ich dann die Tür aufhalten oder mit dem Fuß abfangen kann, um also ohne Schlüssel da reinzukommen. Das kann man natürlich alles überhaupt nicht planen.

Als ich mich langsam der Tür nähere, kommt eine Frau heraus, ich sage dann: „Lassen Sie mich Ihnen die Tür aufhalten.“ Ich ziehe an der Tür, sie entriegelt sie, und ich halte sie für sie auf. Sie bedankt sich sehr freundlich, und Ryan und ich gehen ins Testzentrum.

JACK: Sie gelangen in diesen großen Büroraum. Reihen über Reihen von Schreibtischen und Kabinen sind hier, viele Leute überall mit Headsets, die mit Kunden am Telefon sprechen.

CHRIS: Wir versuchen da, nen ruhigen und freien Platz zu finden. Wir gehen also langsam die Gänge auf und ab, dann sehe ich einen Computer, der an ist, auf dem ein Sperrbildschirm zu erkennen ist. Eine Frau sitzt direkt daneben an ihrem Computer, und ich sprech sie einfach an: „Entschuldigung, ich bräuchte Sie mal, damit Sie an diesem Computer bitte Ihr Passwort eingeben.“ Sie schaut auf; hält inne, schaut mich und sagt: „Was, wieso, was meinen Sie?“ Ich sag dann: „Ich brauche Sie bitte, um sich an diesem Computer hier anzumelden.“ Sie sagt: „Aber ich benutze doch den hier.“ Ich dann: „Ja, ich weiß, aber ich brauche Sie, um sich auch an diesem Computer anzumelden.“ Dann sagt sie: „Okay.“ Sie steht auf, und als sie ihr Passwort eingibt, filme ich sie mit meinem Handy, ich halte es dafür über die Tastatur.

JACK: Sieht sie, wie du das machst?

CHRIS: Nein, sieht sie nicht, ich halte mein Handy auf der Rückseite von dem Klemmbrett. Ich schaue auch so ganz demonstrativ weg, so dass ich ihr das Gefühl gebe, dass ihr auf gar keinen Fall dabei zusehe, wie sie ihr Passwort eingibt. Aber ich nehm's halt währenddessen mit meinem Handy auf. Ich rufe zu Ryan rüber. Er setzt sich, holt einen der USB-Sticks heraus und beginnt, das Netzwerk von dort aus zu hacken.

Während er das macht, drehe ich mich einfach um und bemerke, dass da ein Typ an einem Schreibtisch direkt hinter uns sitzt, etwa zwei Meter entfernt, und dass der aufsteht, um, wie ich annehme, auf die Toilette zu gehen. Als er weggeht, lässt er seinen Computer ungesperrt da, er lässt seinen Ausweis auf dem Schreibtisch, er lässt alles da. Ich geh dann hin zu seinem Computer, setz mich und klick mich durch Bankbildschirme und Anwendungen, dann mache ich ein Foto von seinem Ausweis, um den vielleicht später kopieren zu können.

Dann kommt Ryan rüber und fängt an, diesen Computer zu hacken. Wir sind jetzt auf beiden Maschinen und denken uns, okay, wir waren im ATM-Testzentrum, wir haben das Netzwerk gehackt, wir haben zwei verschiedene Maschinen laufen - es ist Zeit, den Rückzug anzutreten.

JACK: Ryan und Chris fangen an, zusammenzupacken und ihre Flucht von dort zu planen.

CHRIS: Während wir darüber nachdenken, wie wir hier rauskommen, kommt eine Frau rüber und fragt: "Was machen Sie hier?" Ich sage sagen: „Ach so, wir schließen die PCI-Prüfungen ab, also testen nur die Geschwindigkeiten auf diesen Computern.“ Sie sagt: „Okay“, und geht weg. Ich denk mir: „Mann, das war viel zu einfach.“ Tja, und, zwei Minuten später, kommt sie zurück, bei ihr ein Manager , und der fragt dann, wer unser Ansprechpartner hier ist. Ich antworte ihm: „Ach, wissen Sie, eigentlich haben wir gar keinen Ansprechpartner.“ Sie sagt: „Jeder, der in die Bank darf, hat einen Ansprechpartner. Wie sind Sie hier reingekommen?“ Ich sage: „Wir arbeiten ja mit der amerikanischen Audit-Firma zusammen.“ Ich nenne den Namen und sie sagt: „Ja, die kenne ich. Die sind schon den letzten Monat hier.“ Ich sage: „Genau, und wir schließen nur das Audit zur Rechnergeschwindigkeit und anderen Dingen ab, mir wurde nur gesagt, ich soll den Test machen.“ „Ich kann Ihnen meinen amerikanischen Kontakt geben.“ sage ich, sie: „Nein, ich brauche Ihren lokalen.“ Und dann sagt sie: „Kommen Sie mit mir mit.“

JACK: Sie beginnt, Chris und Ryan zum Sicherheitsschalter am Eingang des Gebäudes zu eskortieren. Chris ist schon einen Schritt voraus. Er hat darüber nachgedacht, was er tun würde, wenn er erwischt wird, denn es ist nie vorbei, wenn man erwischt wird. Diese Mission hat sich einfach geändert, um zu sehen, ob man der Gefangennahme entkommen kann. Chris' Plan war ziemlich brillant. In ihrem Van auf dem Parkplatz dieses Gebäudes sitzt ein dritter Mann, den sie mitgebracht haben.

CHRIS: Ein Einheimischer aus Jamaika, der für eine Pen-Test-Firma arbeitet, deren Kunde die Bank war. Die, die uns beauftragt hatten, dahin zu kommen und den Social-Engineering-Teil zu machen. Ich meinte vorher zu ihm: „Also, du sitzt einfach im Van und bist unser lokaler Banker-Typ, und du benutzt diesen Namen, und wenn sie anrufen, meldest du dich als dieser, okay?“

JACK: Ziemlich clever. Jemand mit einem lokalen Akzent, der vorgeben kann, für sie zu bürgen, könnte ein ziemlich überzeugender, gefälschter Joker sein, um nicht im Gefängnis zu landen.

CHRIS: Sie bringt uns zur Security und sagt: „Überprüfen Sie diese Leute“, und dann geht sie. Ich sage dem Sicherheitsmann: „Möchten Sie vielleicht mit meinem Kontakt hier in der Bank sprechen?“ Er sagt: „Ja.“ Also rufe ich an.

JACK: Chris benutzt sein eigenes Handy, um seinen Kumpel anzurufen, der nur im Van auf dem Parkplatz ist, um sich als jemand auszugeben, der in dieser Firma arbeitet.

CHRIS: Ich sag also zu ihm: „Hey, ich brauche dich kurz, um mit dem Kollegen von der Security zu sprechen.“ Und der fragt ihn dann: „Kennen Sie diese beiden Leute?“ Er nennt die falschen Namen von den gefälschten Visitenkarten. Und unser Mann dann: „Oh ja, ja, na klar, die arbeiten für die Prüfungsfirma.“ Securitymann: „Ja, das steht auf ihrer Karte.“ Unser Mann dann: „Ja, sie sollen da einen Geschwindigkeits- und Internetverbindungstest durchführen.“ Security: „Ja, das haben sie gemacht.“ und dann sagt er: „Okay, das klingt alles in Ordnung.“ Unser Mann dann: „Ja super, dann lassen Sie sie bitte einfach ihre Arbeit fortsetzen.“ Der Securitymann dann zu uns, „Okay, Sie sind verifiziert.“ Ich meinte, „Okay, gut, wir machen aber erstmal ne Pause und kommen dann später wieder.“, ob das möglich gewesen wäre oder ob eine Rückkehr ins Gebäude uns vielleicht ne Verhaftung eingebracht hätte, war unklar.

Bei Jobs in den Staaten wurde ich schon oft verhaftet. Da wieder rauszukommen ist relativ einfach. Ich wusste aber nicht, wie es sein würde, in Jamaika verhaftet zu werden, also haben wir beschlossen, das Gebäude zu verlassen. Außerdem hatten wir ja das Netzwerk und die Geldautomaten-Sachen gehackt, also dachten wir, ja, eigentlich sind wir hier so gut wie durch. Wir verließen dann das Gebäude und gingen zu unserem nächsten Standort.

JACK: Alle Ziele im ersten Gebäude wurden erreicht; rein und raus, kein Problem, kinderleicht, zumindest für jemanden, der so geschickt ist wie Chris und Ryan. Zeit, zum zweiten Bankgebäude überzugehen. Das nächste ist jedoch der Standort ihres NOC. Das ist das Network Operations Center, der Raum, in dem eine Reihe von Netzwerktechnikern und -ingenieuren aktiv nach Netzwerksicherheitsvorfällen im Netzwerk der Bank suchen, um sie zu beheben. Nun, Chris und Ryan werden gleich zwei große Netzwerksicherheitsvorfälle sein, wenn sie ins NOC gelangen. Das sollte also ein interessantes Duell werden.

CHRIS: Innerhalb des Bankgeländes, das von außen übrigens genauso aussah wie das andere, mit Stacheldrahtzaun und dem ganzen Drum und Dran, gab es ein kleineres Gebäude, das von einem weiteren Stacheldrahtzaun umgeben war, und das war das NOC, das Network Operations Center. Wir klingeln, der Securitymann kommt raus und fragt uns, wie wir heißen. Ich erzähl ihm, was wir vorhaben, er schaut auf seine Liste und sagt: „Sie stehen nicht auf der Liste. Ich muss anrufen und eine Genehmigung einholen.“ Ich sag: „Oh Mann, wenn Sie können – schauen Sie, wir sind zwei US-Amerikaner und die Hitze hier einfach nicht gewohnt. Können wir vielleicht reinkommen und im klimatisierten Raum warten, während Sie die Anrufe tätigen und uns verifizieren?“ Er dachte ein paar Sekunden darüber nach und sagte dann: „Ja, okay.“ Er drückt den Knopf, entriegelt das Tor, und wir gehen rein. Ich denke, das ist es; während er in seinem Büro telefoniert, werden wir das ganze NOC hacken, und dann sind wir weg.

Er lässt uns also vorne rein, und setzt uns praktischerweise an zwei Computer, und ich denke mir, Ryan, sobald er geht, ist es soweit. „Okay, ihr wartet hier. Ich muss in mein Büro.“, meinte er. Wir: „Alles klar, kein Problem, wir rühren uns nicht. So schön hier bei der Klimaanlage sitzen. Ey, echt danke, dass Sie so cool sind.“ Er steht auf, geht um die Ecke und ruft dann aber irgendjemandem etwas zu. Ich konnte nicht verstehen, was es war. Aber ne Sekunde später, kommt ein Typ, das war ungelogen der größte Mann, den ich je in meinem Leben gesehen habe. Ich bin ja selbst keine kleine Person, aber der Kerl ließ mich wie einen Miniaturmenschen aussehen. Ich schätz, er war 2,10 Meter groß und noch dazu war so breit wie eine Tür. Er trug ne Schutzweste, in der in verschiedenen Abständen Messer steckten. Er hatte einen riesigen Schlagstock an seiner einen Hüfte. An der anderen hatte er ne abgesägte Schrotflinte, und dann war da noch eine Handfeuerwaffe am Gürtel auf der anderen Seite.

Der kommt also zu uns und stellt sich mit verschränkten Armen in den Türrahmen. Ich hatte mich gerade vorgebeugt, um den Computer zu berühren, er sah das und er machte nur „Mm-mm“. Genau so. Ich sagte: „Nein, nein, ich mache gar nichts, Mann. Gar nichts.“ Ryan beugt sich zu mir rüber und meinte: „Ich versuch's nicht.“ Ich sage: „Nein, nein versuch's nicht.“

JACK: Wir sind auf die LinkedIn-Website und haben nach Mitarbeitern der Bank gesucht. Wir haben da welche gefunden, die ihre Telefonnummern angegeben hatten. Wir wollten diejenigen anrufen, die in Positionen waren, von denen wir dachten, sie könnten unsere potenziellen Ansprechpartner sein, wenn wir tatsächlich Prüfer gewesen wären. Also die Verantwortlichen für die Sicherheit oder für IT. Wir haben sie also angerufen und ein paar seltsame Fragen gestellt, nichts über Prüfungen oder so. Einfach nur sowas wie: „Oh, hallo, ist da Joe?“ Die antworten dann: „Äh nein, hier ist nicht Joe“. Wir wollten nur ihre Stimmen hören, weil wir hofften, dass, wenn einer von ihnen unserem jamaikanischen Kontakt ähnlich klang, wenn sie also etwas älter waren und ne raue Stimme hatten, dann könnten wir unseren Mann die Rolle des Verantwortlichen etwa für die IT-Sicherheit spielen lassen, der uns dann per Telefon eine gefälschte Legitimation geben kann.

CHRIS: Wir gingen zu LinkedIn und haben die Mitarbeiter dieser Bank herausgesucht. Dann haben wir diejenigen gefunden, die ihre Telefonnummern angegeben hatten, und angefangen, Leute anzurufen, die in Positionen waren, von denen wir dachten, sie könnten unsere Ansprechpartner sein, wenn wir legitime Prüfer wären. Also den CISO oder den CIO anrufen. Wir wollten sie anrufen, ihnen ein paar seltsame Fragen stellen und nichts über Audits. Einfach so: „Oh, hallo, ist da Joe?“ Sie würden sagen: „Nein, hier ist nicht Joe“, um ihre Stimme zu hören, und wir hofften, dass, wenn einer von ihnen unserem jamaikanischen Kontakt sehr ähnlich klang, also wenn sie älter waren oder eine raue Stimme hatten oder was auch immer, wenn sie ähnlich klangen, dann könnten wir diesen Kerl die Rolle des CISO spielen lassen und uns dann diese gefälschte Erlaubnis geben lassen.

JACK: Ihr versteht das, oder? Sie versuchten, jemanden innerhalb der Firma zu finden, der so klang wie ihr dritter Mann im Van, damit er am Telefon so tun konnte, als sei er diese Person. Einer der Leute, die sie versuchten anzurufen, war der Chief Information Officer. Aber als sie den CIO anriefen, kamen sie nie durch.

CHRIS: Die Sekretärin sagte: „Nein, er ist leider nicht da heute. Er ist auf einer Geschäftsreise, auf eine andere Insel geflogen.“ Ich fragte dann einfach, wann er denn wohl zurück sei und sie meinte, nicht vor heute Nachmittag. Okay, super, meinte ich, wir rufen dann wieder an.

JACK: Nun, er nahm diese kleine Information, die er früher am Tag gelernt hatte, und sitzt im Gebäude mit dem NOC, und dieser riesige bewaffnete Wachmann starrt ihn an. Er wartet darauf, dass der andere Wachmann zurückkommt.

CHRIS: Als der Mann zurückkam, sagte er: „Also, ich kann Sie nicht verifizieren. Niemand weiß, wer Sie sind. Das macht mir ein bisschen Sorgen.“ Ich meinte dann: „Ah!, wissen Sie, der Typ, der unser Ansprechpartner sein sollte, ich habe gehört, er ist heute nicht auf der Insel. Er ist irgendwo auf Geschäftsreise.“ Und er meinte: „Ja, das wurde mir auch so gesagt.“

Und das war das Einzige, was uns gerettet hat, weil ich was wusste, was er gerade am Telefon erfahren hatte. Ich meinte dann: „Okay, ich versteh das, er ist nunmal unser Kontakt. Wissen Sie was, ich hab ne Idee: Er soll doch in ein paar Stunden zurück sein, also gehen wir jetzt einfach zu dem anderen Standort, wo wir noch einen Termin haben, erledigen da unsere Arbeit und in ein paar Stunden, wenn unser Anpsrechpartner zurück ist, kommen wir dann wieder. Er meinte: „Okay, alles klar.“

Wir haben uns verdammt noch mal von da verzogen und sind gegangen und nie wiedergekommen. Wir hatten natürlich keine anderen Standorte; wir wollten da einfach nur raus, bevor King Kong uns in kleine Stücke zerlegt. Wir haben da also gar nichts gemacht, nichts gehackt, wir haben's nicht geschafft. Der Typ hätte uns beide ohne nachzudenken in zwei Hälften brechen können.

JACK: Ein Fehlschlag ist in diesem Fall sogar gut. Es bedeutet, dass ihre Sicherheit besser war als die von Chris, und Chris ist ein Profi. An diesem Punkt schreiben Chris und Ryan einen vollständigen Bericht und haben ein Treffen mit dem Kunden, um alles durchzugehen.

CHRIS: Ja, das mag ich an der Arbeit mit solchen Kunden, sie waren echt zufrieden mit uns, nicht wütend oder sowas. Die fanden die Geschichten von beiden Standorten super und wie weit wir gegangen sind; sie fanden's aber auch gut, dass wir nicht versucht haben, jetzt jemanden zu schädigen oder so und dass wir alle Regeln befolgt haben. Aber am besten fanden sie, dass gezeigt haben haben, wo ihre Schwachstellen lagen. Sie haben gefragt, was uns besser hätte aufhalten können, und ich nannte ein paar Punkte, wo das ohne Probleme hätte geschehen können.

JACK: Ich bin neugierig auf diese Punkte.

CHRIS: Na klar. Der erste Punkt war - als wir das erste Gebäude mit Telefon in der Hand betraten, da hat der Sicherheitsmann uns nicht aufgehalten, was er aber hätte tun sollen. Er hätte sagen sollen: „Hey, Moment mal, bevor Sie nach oben wollen, sagen sie erstmal, wen Sie da eigentlich treffen wollen“Ich hätte denselben falschen Namen genannt, und er hätte gesagt: „Den seh ich hier nicht auf der Liste. Lassen Sie mich oben anrufen und sehen, ob Jack da ist“, und wenn er dann rausgefunden hätte, dass es keinen Jack gibt, wäre ich aufgehalten worden. Der zweite Punkt war, als ich mit Ryan das ATM-Center betrat und die Dame sich umdrehte und sagte: „Hey, was machen Sie hier?“ Ich sagte: „PCI-Prüfung.“ Sie hätte sagen sollen: „Ich habe Sie nicht für diesen Raum autorisiert. Dies ist ein privater Raum.“ Er verfügte über ein eigenes Sicherheitssystem. Sie hätte unten die Sicherheitskräfte anrufen und fragen können: „Hey, sollen hier eigentlich Prüfer im ATM-Center sein?“ Das hätte sie dazu veranlasst, nachzuschauen, und ich hätte dort aufgehalten werden können.

JACK: Ja, oder sie hätte einfach die Tür schließen und sagen können…

CHRIS: Ja, „Sie dürfen hier nicht rein.“ Das dritte Mal wo man uns hätte aufhalten können war im Callcenter. Als ich zu der Frau meinte: „Geben Sie hier Ihr Passwort ein.“ hätte sie sagen sollen: „Ich glaube nicht, dass ich das darf; lassen Sie mich meinen Manager holen“, oder einfach die Eingabe ihres Passworts verweigern. Das hat sie nicht getan. Das vierte Mal war, als wir zu dem Computer gingen, den der Typ nicht gesperrt hatte. Er hätte uns aufhalten können, indem er seinen Computer sperrt, bevor er auf die Toilette ging. Und das fünfte Mal war zurück bei den Sicherheitsleuten, als wir den falschen Jack anriefen und sagten: „Hey, ja, hier, sprechen Sie mit unserem Kontakt hier.“ Er glaubte das und wollte uns wieder reinlassen. Es hätte uns aufhalten können, wenn er gesagt hätte: „Ich nehme Ihr Telefon nicht entgegen. Ich möchte diesen Mann direkt über die mir bekannte Durchwahlnummer anrufen.“ Er nahm aber mein Telefon und sprach mit ihm als vermeintlicher Bankkontakt. Er hätte also einfach direkt die Durchwahlnummer anrufen sollen, anstatt mir zu vertrauen. Die fünf Punkte jedenfalls fanden sie sehr schlüssig. Ich gab den Ratschlag, bei der nächsten Schulung diese Punkte auf interessante und clevere Art näherzubringen, dann werden wir nächstes Mal nicht einbrechen können.

Von Kammerjägern und Vishern

JACK: Ein paar Jahre später waren Chris und Ryan wieder in den Vereinigten Staaten. Sie bekamen einen Auftrag, in ein Gebäude einzubrechen und Fernzugriff auf das Netzwerk im Inneren zu erlangen. Der Mann, der Chris und Ryan beauftragt hatte, den Einbruch zu versuchen, war der Leiter der Gebäude-Sicherheit. Der Sicherheitschef genehmigte dies, was das Ganze legal machte, und Chris hatte sich diesen Genehmigungsbrief ausgedruckt und in seine Tasche gesteckt, denn wenn alles schiefgeht, haben sie es immerhin schwarz auf weiß, dass der Sicherheitschef sie bezahlt hat, um diese Einrichtung zu testen. Also tüfteln Sie an einer Methode, um das Sicherheitsteam zu überlisten.

Sie wollen sich als Kammerjäger ausgeben, was ihnen Zugang zum Gebäude verschaffen könnte, und von dort aus könnten sie versuchen, einen USB-Stick in einen der Computer zu schmuggeln. Sie haben eine Uniform, Sprühflaschen, Kisten und mehr, um so auszusehen, als ob sie tatsächlich zur Schädlingsbekämpfung kommen würde. Sie beschließen, am Abend davor hinzugehen, um den Ort auszukundschaften. Es ist ein großes Bürogebäude; viele Glasfenster und sogar eine Glastür vorne. Sie gehen dort also nachts vorbei. Es ist keine Security da. Sie ziehen an den Türen, aber die sind verschlossen. Also beschließen sie, einen alten Trick zu versuchen.

CHRIS: Ja, es gab zwei Glastüren, die in den Ort führten, und dazwischen war ein Spalt, der breit genug war, um einen USB-Stick durchzuschieben.

JACK: Ihre Theorie ist, dass, wenn sie einen ihrer bösartigen USB-Sticks durch den Spalt der Tür ins Gebäude schieben, jemand, der ihn am nächsten Tag findet, neugierig genug sein könnte, um zu sehen, was darauf ist, und ihn in einen Computer steckt, was man übrigens niemals tun sollte. USB-Sticks können eine Menge übler Malware enthalten, die man vermeiden möchte. In diesem Fall wäre es so, dass wenn ein Benutzer eine der Dateien auf diesem USB-Laufwerk öffnet, das eine umgekehrte Verbindung zu Chris' Server herstellen würde, was ihm Fernzugriff auf den Computer ermöglichen würde, in den der Benutzer den USB-Stick gesteckt hat. Sie schoben diesen USB-Stick durch den Spalt der Tür.

CHRIS: Es gab zwei dieser Türen, die erste wäre super gewesen, wir haben die andere genommen - keine gute Idee, denn diese zweite Tür benutzt niemand, aber das wussten wir nicht. Unseren USB-Stick hat jemand am nächsten Morgen gefunden und dann gemeldet, dass der da an dieser Tür lag, die nie je jemand benutzt. Das hat dann den Sicherheitsdienst veranlasst, sich die Videoaufzeichnungen der vergangenen Nacht anzusehen. Sie haben dann Ryan und mich vor dem Gebäude gesehen, wie wir den Stick durch die Tür schoben. Aber das wussten wir zu dem Zeitpunkt ja nicht.

Am nächsten Tag fuhren wir da hin, ich bin rückwärts mit dem SUV in eine Parklücke rein. Und ich hatte mich gerade umgedreht, um sicherzustellen, dass ich nichts touchierte, da hörte ich, wie sich die Tür öffnete. Ich dachte, Ryan steigt aus, aber als ich mich wieder umdrehte, sah ich da einen Polizisten, der Ryan herausgerissen hatte – ein Securitymann, ein bewaffneter, der Ryan vom Vordersitz gerissen hatte, er knallte ihn auf die Motorhaube legte ihm dann Handschellen an.

Okay, Ryan weiß wie das jetzt eigentlich läuft, dann flieht zur Not wenigstens einer, damit er später zurückkommen und dann wieder einbrechen kann. Damit muss man dann klarkommen. Ich lege also den Vorwärtsgang ein, damit ich fliehen kann, und der Polizist schaut mich an und schüttelt den Kopf, als wollte er sagen: „Lass mich nicht allein, Mann.“ Ich sagte nur: „Bis dann, Trottel.“ Ich will gerade den Fuß von der Bremse nehmen, da springt eine Frau mit gezogener Waffe vor das Auto und sagt: „Steig aus dem Auto aus.“ Ich sage: „Ah jaja, steck die Waffe weg. Alles in Ordnung.“ Ich schalte auf Parken und sie sagt: „Steig aus dem Auto aus.“ Ich sage: „Ich steige nicht aus dem Auto aus, bevor Sie die Waffe wegstecken.“ Ich will, dass Sie die Waffe weglegen. Sie sagt: „Ich leg die Waffe nicht weg.“ Wir schreien uns gegenseitig an und schließlich steige ich aus dem Auto. Sie war klein, höchstens 1,60 m, ich bin 1,90 m groß. Aber sie hat mich so hart auf die Motorhaube geschleudert, dass meine Mütze und meine Sonnenbrille runterfielen und über die Motorhaube flogen.

Bevor mein Gesicht auf der Motorhaube aufschlug, hatte sie mir schon Handschellen angelegt. Das war so beeindruckend, dass ich sagte: „Wow, das war das schnellste Handschellenanlegen, das ich je erlebt habe.“ Das kam mir einfach so über die Lippen. Sie meinte daraufhin, dass ich Dreckskerl wohl ständig mit Handschellen gefesselt werde, woraufhin ich versucht habe, sie zu beruhigen: „Okay, ich sehe, dass Sie sehr wütend sind, aber ich weiß eigentlich nicht warum. Wir sind ja nur hierher gefahren, um eine Schädlingsbekämpfung durchzuführen." Sie meinte: „ähäh, Sie führen keine Schädlingsbekämpfung durch, Dreckskerl.“ Dann hebt sie mich hoch und stellt mich auf die Beine.

Ich meinte dann, dass es echt sehr heiß ist - es war Sommer und in wirklich einer sehr heißen Gegend - können wir uns vielleicht in den Schatten setzen? Sie brachte uns in den Schatten. Ryan und ich knien nun da, wie bei einer Hinrichtung, auf dem Boden. Wir sind auf den Knien, beide mit Handschellen hinter dem Rücken gefesselt. Sie fragt: „Was macht ihr hier?“ Ryan flüstert mir zu: „Gib ihr den Brief.“ Ich flüstere zurück: „Nein, nein, wir kommen hier raus.” Ich also: "Wir sind hier, um Schädlinge zu bekämpfen.“ Sie erwidert: „Nein, deshalb seid ihr nicht hier.” Ich entgegne: Doch, doch, schauen Sie in den Kofferraum, dann sehen Sie's" Wir hatten Sprühgeräte zur Schädlingsbekämpfung dabei und gefälschte Chemikalienkartons, alles mögliche. Irgendwann hat sie in den Kofferraum geschaut, meinte aber, dass sie uns nicht glaubt.

Ich meinte: „Ich weiß nicht, warum Sie mir nicht glauben, ich hab einen Arbeitsauftrag. Mein Klemmbrett liegt im Auto, wenn Sie ihn sehen wollen.“ Sie sagt: „Ich gehe nirgendwo hin, Dreckskerl. Was macht ihr hier?“ Ich sage: „Ich hab's Ihnen doch gesagt, ich weiß gar nicht, wie ich Ihnen das noch anders erklären soll.“ Ryan meinte, „Alter, der Brief.“ Die Polizisten werden wütend. Ich sage: „Nein, wir brauchen den Brief nicht.“

Dann kommt der Wachmann rüber und fragt: „Warum waren Sie gestern Abend um 23 Uhr hier?“ Shit, denke ich. In meinem Kopf rattert es und ich sage dann: „Wir wurden unter anderem beauftragt, gegen Skorpione zu sprühen, und die kommen tagsüber nicht raus. Diese Skorpionart kommt nur nachts heraus, also sind wir nachts gekommen, um die Gegend zu überprüfen und sicherzustellen, dass wir nachts sprühen können.“ Er sagt: „Wir haben euch auf dem Video gesehen. Es gab keine Sprühgeräte, ihr seid um das Gebäude rum und habt euch ganz genau unsere Türen angesehen." „Wir haben uns doch nur umgesehen.”, meinte ich und schlug vor, dass dass wir jetzt gerne mit unserer Sprüharbeit beginnen würden. Er fragt dann: „Ey, was macht ihr hier eigentlich wirklich?“ Ich nur: „Ey, das ist echt die Wahrheit.“ Ryan sagt: „Gib ihm den Brief, verdammt.“ Ich: „Nein, Mann, wir schaffen das.“ Und ich hab wirklich das Gefühl, dass wir hier rauskommen können. Dann aber fragt der Wachmann: „Was ist mit den USB-Sticks, die ihr fallen gelassen habt?“ Da denk ich, okay, shit, jetzt ist es vorbei.“

Ich sage: „Okay, alles klar, pass auf, in diesem Klemmbrett hier ist ein Brief, der alles erklärt.“ Er nur: „Ich nehm dein Klemmbrett nicht, dass könnte irgendein Gerät sein." Ich sage: „Nein, nein, nimm bitte einfach den Brief.“ Die Dame geht rüber, nimmt den Brief, öffnet ihn und sieht den Namen des Ansprechpartners, den sie auch persönlich kennt, und sie nur so, oh, diese mother***, ich kann's nicht glauben. Ich sage: Ja, ja, Sie haben vollkommen recht, jetzt könntet ihr uns bitte die Handschellen abnehmen. Wir sind ja Freunde. Sie sagt: Nee, machen wir nicht, Abschaum. Ich sage: Ey, komm, wir sind kein Abschaum mehr, ihr wisst doch jetzt, dass wir auf eurer Seite sind. Sie nur: Nein. Wir knieten tatsächlich noch etwa zehn Minuten auf dem Boden und warteten darauf, dass unser Kontaktmann rauskam. Als er dann endlich kam, meinte er, dass er im Gebüsch stand und alles gefilmt hat. Echt jetzt...?, meinten wir. Er war ganz begeistert und meinte, dass die Leute hier das richtig gut gemacht hätten. Jaja, das stimmt, sagte ich, aber du hättest uns echt früher retten können. Woraufhin er meinte: „Nein, nein das war alles ganz fantastisch so.“

JACK: Der Name auf dem Brief war tatsächlich der des Chefs des Sicherheitsmanns. Nachdem sie ihn angerufen hatten und er sagte: „Ja, das ist alles ein Test“, beruhigte sich die Situation, und die Sicherheitsleute fingen schließlich an, über die ganze Situation zu lachen und fragten Chris und Ryan, was ihre Jobs als Pen-Tester sind. Alle wurden freundlicher.

CHRIS: Ich hab sie die ganze Zeit mit Fragen gelöchert, um Infos zu bekommen. Ihr habt das wirklich gut gemacht, meinte ich. Wir hätten später kommen sollen, aber ihr seid wahrscheinlich rund um die Uhr hier, oder? Sie antworteten: „Nein, nein, nein. Nach 19 Uhr gibt's hier keine Sicherheitsvorkehrungen.“ Ich so: „Oh, ja, dann hätten wir diesen Zeitpunkt wählen sollen. Das ist schade.“ Im weiteren Gespräch habe ich dann ihre Dienstpläne herausgefunden.Am selben Abend sind wir dann gegen 21 Uhr zurückgekommen, kurz, nachdem sie gegangen sind, und sind in das Gebäude und in ihr Büro eingebrochen. Wir haben ihre Ausweise und einige ihrer Sachen gestohlen, um in andere Gebäude zu gelangen. Anschließend habe ich die ganze Schädlingsbekämpfungsausrüstung auf ihre Schreibtische gelegt, zusammen mit einer großen Dankeskarte und einigen Smiley-Herzen. Als sie am nächsten Tag kamen, wussten sie, dass wir alle Kameras ausgeschaltet und ihre Sachen gestohlen hatten. Sie fanden dann unsere Schädlingsbekämpfungsgeräte auf ihrem Schreibtisch. Ein kleiner, humorvoller Schlagabtausch.

JACK: Okay, zur nächsten Geschichte: Das ist ein seltener Fund, und ich habe schon eine ganze Weile nach so etwas gesucht, also war ich wirklich aufgeregt, als Chris sagte, er kann das übernehmen. Die Geschichte beginnt damit, dass Chris eine Phishing-Kampagne gegen ein Unternehmen durchführt, mit dem Ziel, das Sicherheitsbewusstsein des Unternehmens zu erhöhen.

CHRIS: Bei diesem Test haben wir mit einer Phishing-E-Mail begonnen, die an 1.000 Personen verschickt wurde. Man konnte angeblich brandneue iPhones gewinnen. Um sich für die Verlosung zu registrieren, musste man lediglich eine Website aufrufen und dort die Zugangsdaten für den eigenen Computer eingeben. Es handelte sich um eine von dem Unternehmen gesponserte Verlosung, sodass man eine Website aufrief, die wie die Website des Unternehmens aussah, wo man dann also die Daten eingab und dann an der Verlosung der iPhones teilnahm.

JACK: So viele Leute in dieser Firma wollten ein kostenloses iPhone, und die E-Mail sah aus, als wäre sie von der Firma selbst gesponsert, also dachten die Mitarbeiter: „Na klar, lass mich für dieses Ding registrieren.“ Allein durch diese E-Mail brachte Chris 750 Leute dazu, auf den Link zu klicken, auf seine Website zu gehen und ihren Benutzernamen und ihr Passwort für die Arbeit einzugeben. Es ist verrückt. An diesem Punkt könnte man jedem dieser Leute eine E-Mail schicken, in der erklärt wird, dass die Verlosung nur ein Test war und sie durchgefallen sind. Das könnte das Ende des Sicherheitstrainings sein. Aber neben der Sensibilisierung hatte Chris ein sekundäres Ziel, nämlich Fernzugriff auf das interne Netzwerk zu erlangen. Er schmiedet einen Plan.

CHRIS: Wir hatten ihren Benutzernamen und ihr Passwort, aber unsere eigentliche Aufgabe bestand darin, Remote-Zugriff auf ihr Netzwerk zu erhalten. Wir wollten dann jede dieser Personen anrufen und ihnen mitteilen, dass der Link, auf den sie gerade geklickt hatten, ein Phishing-Link war, und dass wir jetzt, da sie ihr Passwort daraufhin ändern mussten, nur sicherstellen wollten, dass keine Malware auf dem Computer zurückbleibt, die durch das Anklicken dieses Phishing-Links verursacht worden war. Um ihr System jetzt zu säubern, hätten wir für sie ein PC-Reinigungsprogramm erstellt, das ihre Rechner von jeglicher Malware befreien würde. Natürlich handelte es sich dabei nicht um ein PC-Reinigungsprogramm, sondern um einen Meterpreter-Reverse-Shell, ein Werkzeug, das uns Zugriff auf ihre Rechner verschaffte.

JACK: Das Ziel war es, etwa 25 Leute anzurufen, die auf den Link geklickt hatten, und sie irgendwie davon zu überzeugen, Malware auszuführen. Das ist Vishing, also Voice-Phishing, aber wie ich bereits sagte, ist es dasselbe, was Betrüger seit hundert Jahren tun. Chris verwandelte sich in Paul und tat so, als wäre er vom technischen Support. Er schickt einem der Leute, die auf den Phishing-Link geklickt hatten, eine E-Mail und sagt ihm: „Hey, schau mal, das war eine Phishing-E-Mail. Du hast darauf geklickt. Das hättest du nicht tun sollen; ändere sofort dein Passwort.“ Dann ruft Chris, oder jetzt Paul, den Mitarbeiter an. Hier ist der eigentliche Vishing-Anruf, der stattgefunden hat. Ich übernehme hierfür mal den Part des Mitarbeiters

CHRIS: Hier ist Paul vom technischen Support. Wie geht's so?

MITARBEITER: Gut.

CHRIS: Wir haben gesehen, dass Sie das Formular für das iPhone ausgefüllt haben, das iPhone…

MITARBEITER: Ja, ja.

CHRIS: Sie haben sich eingeloggt und Ihr Passwort geändert?

MITARBEITER: Ja, habe ich.

CHRIS: Okay, ausgezeichnet. Ich wollte Ihnen nur sagen, das war wirklich gut. Genau so hätte man es handhaben sollen.

MITARBEITER: Okay, ja. Sobald wir es bemerkt haben, haben sich zwei von uns sofort darum gekümmert.

CHRIS: Okay, es gab also noch einen anderen Mann in Ihrem Team, der – auch?

MITARBEITER: Ja, ich glaube, es war JR [ZENSIERT].

CHRIS: JR? Okay. Ich notiere mir nur, dass ich später mit ihm sprechen werde. Okay, lassen Sie uns gerade mal noch eine Sachen checken: Sind Sie gerade im VPN? Sie sind an Ihrem Arbeitsrechner?

MITARBEITER: Ja.

CHRIS: Okay, ich gebe Ihnen eine interne Adresse. Es ist eine FTP-Seite, die wir für die [ZENSIERT]-Mitarbeiter eingerichtet haben. Sie können dorthin gehen; Sie werden sehen, dass es dort eine Datei gibt, die Sie herunterladen können, und die wird einfach alle restlichen Spuren von dieser Website beseitigen, die wir – die wir für das Audit verwendet haben.

MITARBEITER: Okay.

CHRIS: Also, wenn Sie an Ihrem Rechner sind, öffnen Sie einfach einen Browser und ich gebe Ihnen die Adresse.

MITARBEITER: Sie meinen, so als ob ich eine E-Mail senden würde? Ich bin nicht so…

CHRIS: Nun, Internet Explorer? Den können Sie öffnen.

MITARBEITER: Okay, ja, ich habe das – okay.

CHRIS: Dann oben in der Adresszeile, geben Sie ftp ein…

MITARBEITER: Ftp?

CHRIS: Ja, F wie Fritz, T wie Theodor und dann P wie Paula, und dann ein Doppelpunkt. Dann zwei Schrägstriche, und das sind die Schrägstriche bei Ihrem Fragezeichen, dieselbe Taste wie Ihr Fragezeichen.

MITARBEITER: Verstanden; ftp. Okay.

CHRIS: Dann ist das Wort update- und der Strich ist wie das Minuszeichen.

MITARBEITER: Verstanden.

CHRIS: [ZENSIERT].com.

MITARBEITER: Okay.

CHRIS: Wenn Sie das schließen, sollte sich ein Fenster öffnen – es sollte „index sub“ anzeigen und eine Datei haben. Es gibt eine Datei namens [ZENSIERT] PC Checker.

MITARBEITER: Okay, ja, nein, die ist hier. Okay, Doppelklick darauf?

CHRIS: Ja, klicken Sie darauf.

MITARBEITER: Okay.

CHRIS: Es sollte heruntergeladen werden oder Sie fragen, ob Sie es Ausführen oder Speichern möchten. Klicken Sie auf Ausführen.

MITARBEITER: Okay.

CHRIS: Wenn alles gut geht, sollten Sie keine Warnungen erhalten. Wenn Sie ein Restproblem von dieser Seite haben, erhalten Sie eine Nachricht, aber wenn nichts passiert, ist alles sauber und gut und wir sind fertig.

MITARBEITER: Okay, ich habe gerade eine zweite Meldung bekommen. Da stand: „Der Herausgeber konnte nicht verifiziert werden. Sind Sie sicher, dass Sie diese Software ausführen möchten?“

CHRIS: Ja, klicken Sie auf OK.

MITARBEITER: Nochmals ausführen? Okay, jetzt bin ich wieder auf dem ursprünglichen Bildschirm.

CHRIS: Okay, das ist gut. Wenn Sie keine Fehlermeldung erhalten haben, sind Sie startklar. Sie sind sauber.

MITARBEITER: Okay, nun, danke für die Hilfe.

CHRIS: Kein Problem. Wir sprechen uns später.

MITARBEITER: Ja, tut mir leid, dass ich darauf geklickt habe.

CHRIS: Ist schon okay, danke, dass Sie danach darüber nachgedacht haben.

MITARBEITER: Okay, Mann. Alles klar, danke.

CHRIS: Tschüss.

JACK: Und einfach so hat Chris Fernzugriff auf den Computer dieses Mannes erlangt. Er kann jetzt alles damit machen, was er will; eine Webcam öffnen, das Mikrofon einschalten, Tastenanschläge aufzeichnen, Dateien übertragen, den Desktop screenshotten oder sich zu einem anderen Computer tiefer im Inneren bewegen. Das ist faszinierend, also lasst es mich für euch aufschlüsseln. Das Unternehmen hatte modernste Netzwerkausrüstung, eine Firewall, um alle schlechten Verbindungen zu blockieren, die ins Gebäude kommen oder aus dem Gebäude gehen, ein Intrusion-Detection-System, um den ein- und ausgehenden Verkehr zu inspizieren und alles zu blockieren, was bösartig aussieht. Die Mitarbeiter haben auch alle Antivirensoftware auf ihren PCs, um zu verhindern, dass schlechte Software ausgeführt wird. Aber natürlich hört keine ihrer Sicherheitsvorkehrungen auf Phishing-Anrufe.

Das umgeht alles. Das ist ein Problem. Dann brachte Chris den Mitarbeiter dazu, diese ausführbare Software herunterzuladen. Sie luden sie herunter und führten sie aus. Es gab eine Warnung; sind Sie sicher, dass Sie so etwas ausführen wollen? Aber der Computer hat die Ausführung nicht blockiert. Sobald das Programm ausgeführt wurde, startete es eine umgekehrte Verbindung zu Chris' Computer. Für alle Sicherheitsgeräte im Netzwerk sah dies einfach wie eine normale Webanfrage an Chris' Server aus, und von dort aus konnte Chris diese Verbindung zurück in den PC des Mitarbeiters nutzen und eindringen. Dies ist auch einfach einzurichten, mit einem Werkzeug namens Metasploit. Dies ist nur eine Reverse-Shell, die auf dem PC des Opfers platziert wird. Antivirus stoppt es auch nicht.

CHRIS: Nein, weil es nicht als Virus angesehen wurde.

JACK: Es nutzt die eingebauten Fernsteuerungsfunktionen von Windows selbst aus. Selbst ein vollständig aktualisierter Computer hat die Fähigkeit, Fernzugriffsbefehle auszuführen, und das ist alles, was dies tat. Wenn man jemanden innerhalb des Unternehmens dazu bringt, dieses Programm auszuführen, ist das alles, was es braucht, um alles zu umgehen, was einen aufhalten soll. Ziemlich beängstigend.

CHRIS: Die Leute sagen ja oft, wenn wir über dieses Thema sprechen, „Darauf würde ich nie reinfallen.“ Der Mann, den wir da eben gehört haben, klingt wie'n ganz normaler Typ, wie einer, mit dem zusammenarbeitet. Er ist nicht dumm, und er wirft das Thema Sicherheit bestimmt nicht einfach über Bord. Aber ihr habt's ja gehört: „Oh Gott, ich kann nicht glauben, dass ich auf diesen Phishing-Link geklickt habe. Danke für die Hilfe.“ Ich mag diesen Satz nicht, „Es gibt keinen Patch für menschliche Dummheit". Bei uns sagt den niemand, weil er bedeutet, dass jeder, der auf sowas hereinfällt, dumm ist, aber ich glaub ganz sicher nicht, dass das wahr ist. Der Mann war nicht dumm. Ich glaube, wenn die Leute den Anruf hören, können sie sich ihn hineinversetzen und sein Handeln verstehen.

Es hätte ja auch so passieren können. Es gibt sicher einige Maßnahmen, die Unternehmen ergreifen können, um solche Vorfälle zu verhindern. Das Ganze eben ist vor ein paar Jahren geschehen; heute müssten wir wahrscheinlich etwas ausgefeiltere Maßnahmen mit Meterpreter ergreifen. Vielleicht hätte ein Paketinspektionssystem das verhindern können. Wir haben es einfach in eine normale EXE-Datei eingebettet, über einen verschlüsselten Tunnel, und es enthielt keine Malware, keine Trojaner und keine Viren. Wir wollten auf den Rechner gelangen und ihn dann ausnutzen, sobald wir darauf waren. Es war buchstäblich so, als würde man einen SSH-Server auf dem Rechner öffnen. Das war's. Es wurde lediglich eine umgekehrte Verbindung hergestellt.

Lehren, Bücher und persönliche Erfahrungen

JACK: Nun, viele meiner Zuhörer fragen mich ständig, wie man Social Engineering üben kann. Also habe ich Chris gefragt.

CHRIS: Das ist eine Frage, die mir in meinen Kursen ständig gestellt wird, denn man kann ja nicht einfach losziehen und aus Spaß in Gebäude einbrechen oder Leute phishen. Ich sage dann immer: Bei SE geht es im Grunde genommen nur darum, zu lernen, wie man mit Menschen kommuniziert und zwar auf einer Ebene, die sie mögen, und wie man diese Person dann dazu bringt, sich einem zu öffnen. Das kann man auch tun, ohne Pen-Tester zu sein. Man könnte das auch mit einem Lieferanten oder wenn man das nächste Mal in ein Café geht ausprobieren.

Man kann sich mit einem völlig Fremden unterhalten und von diesem Fremden Informationen erhalten - ohne jede böse Absicht. Wie lautet der vollständige Name? Wo wohnt er? Welchen Beruf übt er aus? Wie viele Kinder hat er? Ist er verheiratet? Was hat er beruflich gemacht? Wo ist er zur Schule gegangen? All diese Fragen sind wichtig, um eine Person zu verstehen, die Sie – wenn Sie ein Pen-Tester sind – in einem normalen Gespräch erfahren können. Je wohler Sie sich dabei fühlen, einfach mit einem zufälligen Menschen zu sprechen, desto leichter wird es Ihnen fallen, Social Engineering zu betreiben, um damit auch Ihren Lebensunterhalt zu verdienen.

JACK: Wenn ihr mehr über Social Engineering wissen wollt, schaut euch Chris' Buch „Social Engineering: The Science of Human Hacking [3]“ an. Achtet darauf, dass ihr die aktualisierte zweite Auflage bekommt. Das ist ein großartiges Buch, das alle Konzepte aufschlüsselt, wie man ein großartiger Social Engineer wird.

CHRIS: Das ist wahrscheinlich mein Lieblingsbuch, das ich geschrieben habe. Ich habe vier geschrieben, und bei diesem fühlt es sich an, als wären es elf Jahre meiner Erfahrung und die Wissenschaft dahinter. Anders als die erste Ausgabe, die sehr neu und nicht sehr gut geschrieben war, fühlt sich diese an, als wäre sie wirklich gut gemacht. Wie Cialdinis Buch „Influence [4]“, das ist ein erstaunliches Buch. Joe Navarros Buch „What Every Body is Saying [5]“ ist einfach ein phänomenales Buch. Ekmans Buch „Emotions Revealed [6]“, alles über nonverbale Kommunikation, ist wirklich ein großartiges Buch.

Amy Cuddys Buch „Presence [7]“ darüber, wie man sich in eine Rolle versetzt; ich könnte einfach Bücher über Bücher aufzählen, die ich gelesen habe, die für mein Leben wesentlich sind, die vielleicht nicht über Social Engineering handeln, aber über einen Aspekt der Kommunikation und des Social Engineering. Robin Dreekes Buch über die „Top 10 Ways to Build Rapport with Anyone Fast [8]“. Diese Bücher sind entscheidend, um sie zu verstehen, wenn man ein Social Engineer sein will.

JACK: Natürlich werde ich Links zu all diesen Büchern und mehr in den Shownotes haben. Neben seiner Tätigkeit als Chief Human Hacker für seine Firma und dem Schreiben von Büchern darüber hat Chris noch so viel mehr erreicht. Er ist derjenige, der das Social Engineering Village auf der Defcon ins Leben gerufen hat, das beliebteste Village auf der Defcon. Es gibt dort einige großartige Vorträge, aber auch einen Wettbewerb, bei dem die Teilnehmer live auf der Bühne vor Publikum jemanden am Telefon social engineeren müssen. Es ist fantastisch anzusehen und neue Tricks zu lernen.

Darüber hinaus hat Chris eine gemeinnützige Organisation namens „The Innocent Lives Foundation [9]“ gegründet, bei der Menschen OSINT- und Hacking-Fähigkeiten nutzen, um den Behörden zu helfen, Kinderpornografie-Täter oder Menschenhändler zu finden und zu fassen. Vielen Dank, dass du Deine Geschichte geteilt hast. Ich schließe mit dieser letzten Frage: Wurdest du jemals gephisht?

CHRIS: Ha, ja! Ich liebe die Frage. Die Leute in der Branche wollen ja manchmal nicht über sowas sprechen, wenn sie selbst gehackt wurden oder so. Aber ja, ich wurde knallhart gephisht. Wahrscheinlich ein paar Mal, aber einmal bin ich komplett darauf reingefallen. Ich bin Amazon-Junkie, ich kaufe alles, was ich kann, bei Amazon. Ich hab mich mal auf die Defcon vorbereitet und dafür so zehn, zwanzig Sachen für den Kinderwettbewerb in Vegas bei Amazon bestellt. Während ich also schon mal meinen Bürokram für die Defcon zusammenpacke, bekomme ich eine E-Mail, die genau wie eine Amazon-Bestell-E-Mail aussieht, in der stand, dass eine meiner letzten Bestellungen aufgrund einer abgelehnten Kreditkarte nicht versendet wird.

Alles, was ich meinen Kunden immer sage, ist, klickt niemals auf diese Links in der E-Mail. Öffnet euren Browser, geht zu amazon, loggt euch in euer Konto ein, und dort wird euch genau gesagt, was das Problem ist. Aber ohne kritisch nachzudenken, gestresst von der Defcon, meine Sachen packend, diese E-Mail sehend, dachte ich: „Oh Gott, wie kann meine Kreditkarte abgelehnt werden? Die wird nie abgelehnt.“ Ich habe auf den Link geklickt. Der Browser öffnet sich, ich gehe auf eine Seite, die aussieht wie die Amazon-Anmeldeseite. Sie sieht identisch aus, aber ich bin einer von denen, die ihren Benutzernamen gespeichert haben, aber nicht ihr Passwort. Ich fange an, mein Passwort einzugeben, und als ich auf den Senden-Button klicken will, kurz bevor ich klicke, merke ich, dass mein Benutzername nicht da steht. Ich bin verwundert, Mein Benutzername ist immer da. Dann schaue ich auf die URL-Leiste und da stand „irgendwas.ru“. Oh Gott, dachte ich, ich habe gerade auf einen Phishing-Link geklickt und bin buchstäblich auf eine russische Website hereingefallen.

Ich hab's meinem Team erzählt und meinte noch, dass ich das nie jemandem anders erzählen werde, weil es so peinlich ist. Eine Person meinte dann aber, ganz im Gegenteil, erzähl davon. Das kann so vielen Menschen helfen, weil du ja der Typ bist, über Phishing schreibt. Du musst die Geschichte erzählen, wie du selbst gephisht wurdest. Ja, guter Punkt, dachte ich mir. Ich erzähle jetzt davon, und ich wäre ohne Zweifel darauf hereingefallen, wenn ich nicht auf diese URL-Leiste geschaut hätte, dann hätte ich auf Senden geklickt und ihnen meine Anmeldeinformationen gegeben. Das Einzige, was mich erwischt hat, war der eine Fehler, dass mein Benutzername nicht in diesem Feld war.

Als ich mir später die E-Mail genauer angesehen habe, war es eine Bestellung für einen George Foreman Grill und ein paar Lee-Aufklebenägel. Keine Artikel, die ich jemals bestellen würde. Wenn ich nur die blöde E-Mail gelesen hätte, hätte ich es merken können. Genauso wenn ich auf die URL-Leiste geschaut hätte oder meinen Browser geöffnet und die Adresse selbst eingegeben hätte. Es gibt ungefähr fünf Wege, wie ich diesen Phishing-Versuch hätte erkennen können, und ich habe sie alle ignoriert, bloß weil ich im Stress war und mein kritisches Denken ausgesetzt hat. Ja, ja, ich wurde gephisht, Mann. Ich bin darauf hereingefallen.

JACK: Ein großes Dankeschön an Christopher Hadnagy, den Human Hacker, dass er hier war. Ihr könnt mehr über ihn erfahren, indem ihr social-engineer.org [10] besucht oder seinen Podcast hört, der einfach „The Social Engineer Podcast [11]“ heißt.

---

URL dieses Artikels:
https://www.heise.de/-10811226

Links in diesem Artikel:
[1] https://darknetdiaries.com/episode/69/
[2] https://darknet-diaries-deutsch.podigee.io/
[3] https://heise.de/s/6EnA7
[4] https://heise.de/s/NdXvo
[5] https://heise.de/s/OP7vJ
[6] https://heise.de/s/KMNDv
[7] https://heise.de/s/lwpQr
[8] https://heise.de/s/wNAeL
[9] https://www.innocentlivesfoundation.org/
[10] https://www.social-engineer.org/
[11] https://open.spotify.com/show/6Pmp3DQKUDW6DXBlnGpxkH
[12] mailto:isabel.gruenewald@heise.de

Copyright © 2025 Heise Medien

Adblock test (Why?)

Docker Desktop: Windows-Installer für Ausführung von Schadcode anfällig

Eine aktualisierte Docker-Desktop-Version schließt unter anderem eine DLL-Hijacking-Lücke im Windows-Installer.

Der Windows-Installer von Docker Desktop lässt sich falsche DLLs unterschieben. Die Entwickler steuern mit einer aktualisierten Software-Version gegen.

Die Schwachstelle verpasst nur knapp die Einstufung als kritisches Risiko. "Docker Desktop Installer.exe ist aufgrund einer unsicheren DLL-Suchreihenfolge für eine DLL-Injektion anfällig", steht in der Schwachstellenbeschreibung. "Der Installer sucht nach benötigten DLLs im Download-Ordner der Nutzer, bevor er Systemverzeichnisse prüft, was lokale Rechteausweitung durch das Platzieren bösartiger DLLs ermöglicht" (CVE-2025-9164 / EUVD-2025-36191 [1], CVSS 8.8, Risiko "hoch").

Docker schließt die Lücke mit Version 4.49.0. Die Release-Notes zur neuen Version [2] weisen auf die Sicherheitslücke hin. Weitere Neuerungen umfassen etwa, dass "Docker Debug" nun kostenlos für alle User nutzbar ist. Natürlich darf KI nicht fehlen, nun macht Docker cagent in Docker Desktop verfügbar, womit sich KI-Agenten erstellen, verwalten und teilen lassen sollen; cagent gilt jedoch [3] noch als experimentell.

Aktualisierte Komponenten und Fehlerkorrekturen

Das aktualisierte Installationspaket enthält zudem aufgefrischte Komponenten: Docker Engine ist in Version 28.5.1 an Bord, Docker Compose in Fassung 2.40.2. Das Nvidia Container Toolkit ist auf Stand 1.17.9. Docker Debug lässt sich in Version 0.0.45 einsetzen.

Zu den Fehlerkorrekturen gehört, dass Docker Desktop jetzt keine abgelaufenen Proxy-Passwörter mehr nutzt, während es auf die Eingabe eines neuen Passworts wartet. Eine Fehlermeldung zu "chown" beim Start von Docker Debug ist nun ebenfalls passé. Unter macOS konnte der Start von Kubernetes hängen bleiben, wenn andere Kubernetes-Kontexte bereits aktiv waren. Sofern eine Rosetta-Installation abgebrochen wird oder fehlschlägt, deaktiviert Docker Desktop Rosetta nun.

Für die Installation ist nun Mindestvoraussetzung macOS Sonoma [4] (Version 14) oder neuer. In den Release-Notes weisen die Docker-Entwickler zudem darauf hin, dass die Unterstützung für Windows 10 21H2 sowie Windows 11 22H2 ausgelaufen ist. Ab dem kommenden Release ist mindestens Windows 10 22H2 oder Windows 11 23H2 für die Installation erforderlich.

Zuletzt haben die Entwickler im August eine kritische Sicherheitslücke in Docker Desktop geschlossen [5]. Die ermöglichte bösartigen Akteuren, auf das Host-System zuzugreifen.

---

URL dieses Artikels:
https://www.heise.de/-10961071

Links in diesem Artikel:
[1] https://euvd.enisa.europa.eu/vulnerability/EUVD-2025-36191
[2] https://docs.docker.com/desktop/release-notes/#4490
[3] https://docs.docker.com/ai/cagent/
[4] https://www.heise.de/news/macOS-14-Sonoma-veroeffentlicht-Grosses-Update-fuer-Macs-ab-Baujahr-2018-9318090.html
[5] https://www.heise.de/news/Docker-Desktop-Kritische-Sicherheitsluecke-erlaubt-Host-Zugriff-10560090.html
[6] https://aktionen.heise.de/heise-security-pro?LPID=39555_HS1L0001_27416_999_0&wt_mc=disp.fd.security-pro.security_pro24.disp.disp.disp
[7] mailto:dmk@heise.de

Copyright © 2025 Heise Medien

Adblock test (Why?)

Hurrikan Melissa: So bereiten sich Kuba und Jamaika auf den stärksten Sturm des Jahres vor

Der Kategorie-5-Hurrikan soll am Dienstag auf Jamaika treffen. In Kuba werden knapp 650.000 Menschen evakuiert. Bereits jetzt gibt es erste Todesopfer.

Hurrikan Melissa hat sich zum stärksten Sturm des Jahres 2025 entwickelt und bedroht die Karibik mit verheerenden Auswirkungen. Der Wirbelsturm der höchsten Kategorie 5 soll am Dienstagmorgen Ortszeit auf Jamaika treffen und könnte der schwerste Hurrikan werden, der den Inselstaat jemals direkt getroffen hat.

Das Nationale Hurrikanzentrum der USA (NHC [1]) in Florida meldete [2] heute anhaltende Windgeschwindigkeiten von bis zu 280 Kilometern pro Stunde. Ab einer Geschwindigkeit von 252 Stundenkilometern zählt ein Sturm zur stärksten Kategorie auf der Saffir-Simpson-Hurrikanskala [3].

Das Auge von Melissa befindet sich zur Stunde nur noch rund 120 Kilometer südlich von Jamaica, erste Ausläufer haben die Insel bereits erreicht. Der Sturm bewegt sich mit langsamen vier Kilometern pro Stunde weiter vorwärts Richtung Norden.

Jamaika bereitet sich auf historischen Sturm vor

"Ein Sturm der Kategorie 5 wäre eine verheerende Katastrophe", sagte [4] Jamaikas Regierungschef Andrew Holness gegenüber CNN. Er glaube nicht, "dass es in dieser Region irgendeine Infrastruktur gibt, die einem Sturm der Stufe 5 standhalten könnte."

Das Rote Kreuz warnte vor "möglicherweise beispiellosen Folgen" für das Land mit 2,8 Millionen Einwohnern. Jamaika wurde noch nie zuvor von einem Wirbelsturm dieser Stärke getroffen und hat seit über einem Jahrzehnt keinen direkten Hurrikan-Treffer erlebt.

Der jamaikanische Wetterdienst prognostiziert, dass der Sturm im Südwesten der Insel zwischen den Bezirken Westmoreland und Saint Elizabeth auf Land treffen wird. Das NHC rechnet an der Südküste mit bis zu vier Meter hohen Sturmfluten sowie "katastrophalen Überschwemmungen" und zahlreichen Erdrutschen.

Regierungschef Holness ordnete Evakuierungen für mehrere Ortschaften an und rief die Bevölkerung auf, zu Hause zu bleiben. Der Flughafen von Kingston wurde geschlossen. Bereits vor dem Landgang sorgte Melissa für Stromausfälle – mehr als 50.000 Anschlüsse waren nach Angaben des Energieministeriums ohne Elektrizität.

Erste Todesopfer und Widerstand gegen Evakuierung

Trotz der Evakuierungsaufrufe weigern sich manche Jamaikaner zu gehen. "Ich gehe nicht weg", sagte Roy Brown aus Port Royal der Nachrichtenagentur AFP. "Ich glaube nicht, dass ich vor dem Tod weglaufen kann." Er verwies auf schlechte Erfahrungen mit staatlichen Hurrikan-Schutzunterkünften.

Bereits jetzt forderte der Sturm Menschenleben. Beim Fällen von Bäumen zur Vorbereitung auf den Hurrikan starben in Jamaika drei Menschen, wie das Gesundheitsministerium mitteilte. In Haiti und der Dominikanischen Republik kamen nach heftigen Regenfällen mindestens vier Menschen ums Leben.

Kuba leitet Massenevakuierung ein

Nach Jamaica wird Melissa weiter nach Kuba ziehen, wo die östlichen Provinzen des Landes mit massiven Schäden rechnen. Dort ist man allerdings sturmerprobt. Das kubanische Zivilschutzsystem zählt – trotz Wirtschaftskrise – noch immer zu den besten der Region.

Bereits am Sonntag wurden umfangreiche Schutzmaßnahmen eingeleitet [5]. Mehr als 650.000 Menschen werden in Schutzräume und Privathäuser evakuiert, die Ernte in Sicherheit gebracht und Äste und Müll beseitigt um die Abflüsse frei zu bekommen. Präsident Miguel Díaz-Canel warnte bei einer erweiterten Sitzung des Nationalen Verteidigungsrats: "Was wir jetzt nicht tun, verlieren wir später."

Dr. Celso Pazos, Direktor des kubanischen Meteorologischen Instituts, erklärte, dass Melissas Zentrum voraussichtlich etwa zwölf Stunden über kubanischem Territorium verweilen wird. Der Hurrikan soll am Dienstagabend auf Land treffen und während der Morgenstunden des Mittwochs über die Insel ziehen.

Kubas bekanntester Meteorologe José Rubiera (auch "Dr. Hurrikan" genannt) bezeichnete Melissa als "extrem gefährlich" und warnte vor Windböen von bis zu 300 Kilometern pro Stunde. Die Behörden warnen vor schweren Überschwemmungen, insbesondere in den Provinzen Granma und Santiago de Cuba.

Die Regierung konzentriert sich indes auf den Schutz kritischer Infrastruktur. Díaz-Canel ordnete die Überprüfung von Notstromgeneratoren und den Schutz von Wind- und Solarparks an. Zudem werden Staubecken abgelassen, damit die Talsperren mit den erwarteten Niederschlägen zurechtkommen.

Das Energieministerium kündigte an, die Stromversorgung im Osten zu priorisieren, was im Westen zu verstärkten Engpässen führen kann. Rettungskräfte und Mitarbeiter des Stromversorgers machen sich im Westteil des Landes bereit, um nach dem Abzug des Sturms möglichst schnell in abgeschnittene Gemeinden vorzudringen und mit den Wiederaufbauarbeiten zu beginnen.

Langsame Bewegung verstärkt Gefahr

CNN-Meteorologin Briana Waxman erklärte, dass Melissas südlicher Anflugwinkel auf Jamaika die Sturmflut-Gefahr verstärkt. Die stärksten Winde werden Wasser direkt in die süd-orientierte Küste treiben, wo Kingston Harbour und der internationale Flughafen nur knapp über dem Meeresspiegel liegen.

Langsam ziehende Hurrikans gelten als besonders zerstörerisch. "Ein langsames Tempo bedeutet, dass Gemeinden tagelang statt nur stundenlang unerbittlichen Starkregen ertragen müssen", teilte die Internationale Rotkreuz- und Rothalbmondbewegung mit. Das NHC prognostiziert für Jamaika 50 bis 75 Zentimeter Regen, in den östlichen Bergen bis zu einem Meter. Teile Ostkubas könnten bis zu 65 Zentimeter erhalten, Haiti bis zu 30 Zentimeter.

Melissa ist der dritte Hurrikan dieser Saison, der Kategorie 5 erreicht hat. Das NHC prognostiziert, dass der Sturm trotz möglicher Intensitätsschwankungen beim Durchzug durch Kuba ein Großhurrikan bleiben wird.

---

URL dieses Artikels:
https://www.heise.de/-10961286

Links in diesem Artikel:
[1] https://de.wikipedia.org/wiki/National_Hurricane_Center
[2] https://www.nhc.noaa.gov/archive/2025/MELISSA.shtml
[3] https://de.wikipedia.org/wiki/Saffir-Simpson-Hurrikan-Windskala
[4] https://edition.cnn.com/weather/live-news/hurricane-melissa-jamaica-landfall-tuesday-climate
[5] http://www.cubadebate.cu/noticias/2025/10/26/consejo-de-defensa-nacional-ampliado-analiza-la-preparacion-del-pais-frente-al-huracan-melissa/

Copyright © 2025 Heise Medien

Adblock test (Why?)

Dunkelflaute 2024: Keine Kartellverstöße aber Handlungsbedarf

Bundesnetzagentur und Bundeskartellamt haben keine Hinweise für Marktmanipulationen im Stromgroßhandel während der Dunkelflauten 2024 gefunden.

Die Bundesnetzagentur (BNetzA) und das Bundeskartellamt (BkartA) haben am 21. Oktober ihre Untersuchungen zu den Strompreisspitzen [1] während der sogenannten Dunkelflauten des Jahres 2024 veröffentlicht. Sie konnten keine Hinweise für kartellrechtliche Verstöße finden.

Während der Dunkelflauten wurde der steuerbare Kraftwerkspark weitestgehend eingesetzt. (…) Anhaltspunkte für Marktmanipulation haben wir bislang nicht festgestellt. Es gibt einzelne Sachverhalte, denen wir noch vertiefend nachgehen.
Klaus Müller, Präsident der Bundesnetzagentur [2] am 21. Okt. 2025.

Die hohen Preise in dieser Zeit waren also nicht das Ergebnis kartellrechtswidrigen Verhaltens. Klar ist aber auch: Überhöhte Preise lassen sich durch funktionierenden Wettbewerb deutlich wirksamer verhindern als durch eine noch so strenge Missbrauchsaufsicht. Deshalb müssen die anstehenden Ausschreibungen für neue steuerbare Kapazitäten unbedingt genutzt werden, um die hohe Marktkonzentration im Stromerzeugungsmarkt zu verringern.
Andreas Mundt, Präsident des Bundeskartellamtes [3] am 21. Okt. 2025.

Während der Dunkelflauten zwischen dem 5. und dem 7. November sowie dem 11. und 12. Dezember stiegen die Preise pro Megawattstunde zeitweise über 300 Euro, in der Spitze über 900 Euro. Im Jahresdurchschnitt 2024 lag der Preis für eine Megawattstunde bei nur rund 79 Euro.

Was prüft das Kartellamt?

Da eine Marktbeherrschung nur durch große Stromerzeuger möglich ist, hat das Bundeskartellamt den Einsatz der Kraftwerke der fünf größten Stromerzeuger untersucht. Das sind EnBW, LEAG, RWE, Uniper und Vattenfall.

Hier wurde zum einen geprüft, ob verfügbar gemeldete Kraftwerke auch tatsächlich eingesetzt wurden. Zum anderen wurde untersucht, ob die Kraftwerke, deren Kapazitäten ganz oder teilweise als nicht verfügbar gemeldet waren, wirklich nicht zur Verfügung standen.

Denn wenn ein marktbeherrschendes Unternehmen verfügbare und profitabel einsetzbare Stromerzeugungskapazitäten nicht einsetzen würde, um den Strompreis in die Höhe zu treiben, wäre dies ein Kennzeichen einer kartellrechtlich verbotenen Kapazitätszurückhaltung.

Ergebnisse des Kartellamts

Die erhobenen Kraftwerkseinsatzplanungsdaten für Kraftwerke über 10 Megawatt Leistung zeigen, dass in den betreffenden Zeiträumen fast alle als verfügbar gemeldeten marktlichen Kapazitäten auch Strom erzeugt hatten.

Ferner hat das Bundeskartellamt bei nicht eingesetzten Kraftwerken die Gründe überprüft, aus denen diese Kraftwerke nicht verfügbar waren. Diese können Ausfälle sein, vorrangiger Wärmeerzeugung oder ein Redispatch [4]. Für den beschriebenen Zeitraum ergab sich dabei kein Hinweis auf eine missbräuchliche Kapazitätszurückhaltung.

Was die Bundesnetzagentur herausgefunden hat

Parallel dazu hat die Bundesnetzagentur Analysen zur Beurteilung der Versorgungssicherheit und mit Blick auf mögliche Verstöße gegen die Marktmissbrauchsverbote durchgeführt, wie sie in der Remit (Regulation on Wholesale Energy Market Integrity and Transparency) Verordnung der EU (Nr. 1227/2011) [5] festgesetzt sind.

Die Analysen der Erzeugungsdaten zeigen, dass die steuerbaren Kraftwerkskapazitäten in deutlich höherem Maße eingesetzt wurden, als es die unmittelbar nach dem Ereignis veröffentlichten Daten zunächst nahegelegt hatten.

Die für die allgemeine Stromerzeugung einsetzbaren und als verfügbar gemeldeten Braun- und Steinkohlekraftwerke wurden umfassend eingesetzt. Lediglich bei den Erdgas- und Pumpspeicherkraftwerken standen noch Restkapazitäten zur Verfügung. Der Anteil an marktlich verfügbaren, aber ungenutzten steuerbaren Kraftwerkskapazitäten war somit deutlich geringer als ursprünglich vermutet.

In den teuersten Stunden – jeweils 17 bis 18 Uhr am 6. November und 12. Dezember 2024 – standen nach Schätzung der Bundesnetzagentur noch etwa 4,5 Gigawatt bzw. etwa 3,4 Gigawatt an Marktkapazitäten zur Verfügung. Daneben standen noch etwa 12 bis 13 Gigawatt an Reserven und Regelenergie zur Verfügung.

Auf der Handelsseite hat die Bundesnetzagentur das Gebotsverhalten der Marktteilnehmer mit Blick auf mögliche Marktmanipulationstatbestände der Remit geprüft. Bislang konnte auch hier kein Verstoß festgestellt werden.

Dunkelflauten auch in Zukunft

Damit langfristig ausreichend Erzeugungskapazitäten auch für Dunkelflauten zur Verfügung stehen, fordert die Bundesnetzagentur gesetzgeberische Maßnahmen für den Zubau steuerbarer Kapazitäten.

Zudem sieht die BNetzA auch einen Bedarf an Flexibilisierung sowohl auf Nachfrage- als auch auf Erzeugerseite. Bei der Stromerzeugung könnten etwa marktlich bisher nicht genutzte Kapazitäten bei Biomasse durch eine flexiblere Fahrweise der Anlagen genutzt werden.

Auf der Nachfrageseite könnte eine stärkere Flexibilisierung durch eine breitere Nutzung abschaltbarer Verträge realisiert werden. Dabei schränken große Kunden oder ganze Kundengruppen in Zeiten hoher Preise ihren Stromverbrauch ein. In Baden-Württemberg gibt es für solche Zwecke bereits die App ″Strom gedacht [6]″.

---

URL dieses Artikels:
https://www.heise.de/-10899847

Links in diesem Artikel:
[1] https://www.bundesnetzagentur.de/DE/Fachthemen/ElektrizitaetundGas/Aktuelles/Strompreis/Preisspitzen_Untersuchung.pdf
[2] https://www.bundesnetzagentur.de/SharedDocs/Pressemitteilungen/DE/2025/20251021_Preisspitzen.html
[3] https://www.bundesnetzagentur.de/SharedDocs/Pressemitteilungen/DE/2025/20251021_Preisspitzen.html
[4] https://www.bundesnetzagentur.de/DE/Fachthemen/ElektrizitaetundGas/Versorgungssicherheit/Netzengpassmanagement/Engpassmanagement/Redispatch/start.html
[5] https://eur-lex.europa.eu/legal-content/DE/TXT/HTML/?uri=CELEX%3A02011R1227-20250101
[6] https://www.stromgedacht.de/

Copyright © 2025 Heise Medien

Adblock test (Why?)

Der Tag, an dem der Spiegel die KI vergaß

Plötzlich tippt eine Maschine mit – und verrät sich selbst. Ein Ausrutscher oder ein Blick in die Zukunft des Journalismus? Die Medienkolumne über eine Woche voller Offenbarungen.

Eine Woche voller Offenbarungen: vom ZDF, das eigene Betroffenheit verschweigt, über den Spiegel, der seine KI-Nutzung unfreiwillig offenlegt, bis zu einer Gesellschaft, die über ein "Stadtbild" streitet.

Qualitätskriterium: Transparenz

Die USA entziehen sechs Ausländern das Visum – diese Nachricht schaffte es kürzlich wohl in die meisten Nachrichtenmedien. Auch das ZDF berichtete in Text und Ton.

Betroffen davon ist auch eine deutsche Person, wie das US-Außenministerium auf der Plattform X mitteilte.

Der Vorwurf: Die Person habe Kirks Tod gefeiert und versucht, seine Tötung zu rechtfertigen, indem sie in sozialen Netzwerken geschrieben habe: "Wenn Faschisten sterben, beschweren sich Demokraten nicht."

Nähere Angaben zu der Person machte die US-Regierung nicht.

ZDF heute [1]

In den Beitrag war sogar ein X-Post des "Department of State" eingebunden. Wenn man diesen aufruft, findet man weitere sieben zugehörige Kurznachrichten, von denen sechs jeweils einzeln die dem Visums-Entzug zugrundeliegende Äußerung zitieren.

A German national celebrated Kirk’s death and attempted to justify his murder, writing "when fascists die, democrats don’t complain." Visa revoked.

State Department auf X [2]

Der beanstandete Originalpost ist als Bild eingebunden, Profilbild und Profilname sind dabei geschwärzt.

Damit ist es selbst für den Fall, dass in der ZDF-Nachrichtenredaktion bis dahin noch niemand etwas von dieser Äußerung mitbekommen haben sollte, ein Leichtes, den Urheber zu finden [3].

Zumindest aber könnte man dann den Post korrekt zitieren, anstatt "complain" einfach irgendwie ins Deutsche zu übersetzen.

ZDF-Mann Mario Sixtus

Zugegeben: Den Satz könnten auch andere Accounts verbreitet und damit den Widerruf ihres Visums verursacht haben. Deshalb ist es nicht grundlegend zu beanstanden, wenn ausgerechnet Bild zurückhaltend formuliert:

Der ZDF-Drehbuchautor und Publizist Mario Sixtus (60) postete im Netzwerk "BlueSky" nur Stunden nach dem Attentat: "Wenn Faschisten sterben, jammern Demokraten nicht." In einem weiteren Post fragte er, worin sich ein Politiker, der gegen strengere Waffengesetze kämpft und erschossen wird, von einem Dealer unterscheide, der an seinem eigenen Stoff stirbt.

Ob er der Betroffene ist, bleibt offen. Das Außenministerium nannte keinen Namen und machte auch den Absender unkenntlich.

Bild [4]

Denn hier selbstständig etwas weiterzusuchen und ggf. den mutmaßlich Betroffenen direkt zu befragen, ist Recherche für Fortgeschrittene.

Beim ZDF ist die Sache deshalb besonders irritierend, weil es sich eben um einen Mitarbeiter handelt. Mithin liegt ein Interessenskonflikt vor, der nach dem Transparenzgebot zu offenbaren wäre.

Anders formuliert: So wünschenswert es ist, dass sich Medienunternehmen vor ihre (freien) Mitarbeiter stellen, auch wenn sie mal Quatsch gemacht haben, so sehr liegt der Nachrichtenwert für ZDF-Kunden gerade in der eigenen Betroffenheit, durch die aus "einem Deutschen" "einer von unserem Sender" wird.

Dauerthema: KI im Journalismus

Der Einsatz von Künstlicher Intelligenz (KI) beschäftigt den Journalismus permanent, in mindestens dreierlei Weise. Erstens gibt es täglich etwas über Entwicklung, Nutzung und Reglementierung der Technik zu berichten.

Zweitens wird KI im Journalismus selbst genutzt. Und drittens ist letzteres wiederum ein Thema für den Medienjournalismus [5].

Ungeklärt ist bisher, in welcher Form die Nutzung von KI im Journalismus transparent gemacht werden muss.

Der deutsche Pressekodex [6] verlangt bisher keine explizite Kennzeichnung von KI-generierten oder von KI-bearbeiteten Beiträgen.

Er betont nur, dass die presseethischen Anforderungen für alle redaktionellen Veröffentlichungen gelten [7], "unabhängig von der Art und Weise der Erstellung".

Peinliche Offenbarung

Der Spiegel hat seine KI-Nutzung letzte Woche unfreiwillig öffentlich gemacht – und damit erstmal viel Raum für Spekulationen gelassen.

Denn unter einem kurzen Beitrag vom 22. Oktober 2025, datiert auf 10:39 Uhr, fand sich als letzter Absatz der folgende, sprachlich nicht ganz korrekte:

Wenn du magst, passe ich Ton und Detailtiefe (z. B. nüchterner Nachrichtenstil vs. magaziniger) oder markiere dir die konkreten Änderungen im Vergleich zum Original.

Archiv-Version [8]

Der Spiegel hat gar nicht erst versucht, dies als Gag zu verkaufen. Zunächst erschien unter einer späteren Version ein Korrekturhinweis, in dem es unter anderem hieß:

Eine frühere Version dieser Meldung enthielt wegen eines produktionstechnischen Fehlers den Hinweis eines KI-Tools, das wir gelegentlich zur Überprüfung unserer eigenen Texte einsetzen.

Spiegel [9]

KI-Regeln beim Spiegel

Zwei Tage später erschien ein ausführlicheres Statement. Darin versichert der Spiegel, Artikel würden nicht von KI geschrieben.

Die SPIEGEL-Redaktion nutzt intern freigegebene KI-Werkzeuge als Hilfsmittel, beispielsweise für eine Rechtschreib- und Grammatikprüfung, für Suchen im Archiv oder für Datenrecherchen.

Spiegel [10]

In diesem Statement werden auch die seit April 2025 beim Spiegel gültigen Regeln für KI-Einsatz veröffentlicht. Demnach kann sie unter anderem für eine erste Redigatur, für Übersetzung, Transkription, Video- und Audioschnitt genutzt werden.

Nicht gestattet ist demnach, "Artikel maßgeblich von einer KI schreiben oder umschreiben (zu) lassen". Ebenso dürfen keine fotorealistischen Bilder für die Berichterstattung generiert oder mit KI bearbeitet werden.

Zur Transparenz gibt es zwei kurze Punkte:

1. Kolleginnen und Kollegen offenlegen, inwiefern KI eingesetzt wurde. 2. Leserinnen und Lesern offenlegen, wenn KI maßgeblicher Teil einer Recherche ist.

Spiegel [11]

Zum Weiterlesen

Zur Vertiefung der Debatte sei auf einen Beitrag beim Handelsblatt [12] verwiesen, der den Spiegel-Text in Sachen Recherche für mustergültig hält.

Zu KI bei Nius ist im März 2025 eine Kritik bei Übermedien [13] erschienen.

Wie vorbildlich die kleine norwegische Zeitung iTromsø KI einsetzt, um zu überleben, steht in einer sehr langen Reportage – beim Spiegel [14].

Kurz kommentiert: Stadtbild-Debatte

Dass ein Halbsatz von Bundeskanzler Merz für große mediale Erregung und sogar Demonstrationen [15] sorgt, zeigt weniger die sprachliche Unbeholfenheit des Kanzlers (ntv [16]) als vielmehr die Verständigungslosigkeit unserer Gesellschaft.

(...), aber wir haben natürlich immer im Stadtbild noch dieses Problem (...).

Friedrich Merz, 21. Oktober 2025

Wenn jemand mit egal was ein Problem hat, dann lässt sich dagegen nicht demonstrieren. Man kann in Gesprächen – auch öffentlichen bzw. medial vermittelten – versuchen, Lösungswege für ein Problem zu entwickeln. Man kann auch andere Sichtweisen anbieten. Aber was danach als Problem gesehen wird, kann nur jeder selbst für sich entscheiden, niemals für andere.

Probleme können individuell sein

Stellen wir uns vor, jemand diagnostizierte: Ein Land, in dem jährlich mehr als fünf Millionen Menschen [17] an einer unipolaren oder anhaltenden depressiven Störung erkranken, hat ein Problem.

Löst sich diese Diagnose dann durch heftigen Widerspruch in Luft auf? Würde es etwas ändern, wenn Hunderttausende auf die Straße gehen und skandieren: "Wir sind nicht depressiv"?

Ist es nur Desinteresse am oder schon Unfähigkeit zum Verstehen, wenn nun Frauen jeden Alters ihre Stimme als Töchter erheben (Tagesschau [18]), weil Merz einem Journalisten geraten hatte, für die Interpretation seines Stadtbild-Problems mal die Töchter zu fragen? (Hilfestellung: Merz riet nicht, die Ehefrau, Mutter oder Oma zu fragen.)

In Niedersachsen haben sich unter anderem die Omas gegen Rechts Hannover kritisch geäußert. Gewalt gegen Frauen, die angesprochenen Töchter, passiere nicht auf der Straße, sondern im häuslichen Umfeld: Nicht Männer mit Migrationshintergrund seien das Problem, sondern einfach Männer.

NDR [19]

Ist das nicht schönster Whataboutism [20] – gegen den ich gar nichts habe [21], der aber eben häufig als Vorwurf der Unredlichkeit eines Arguments genutzt wird?

Ein Halbsatz des Kanzlers genügt, und Hunderttausende tun ihr Empfinden zu "dem Stadtbild" kund. Der Journalismus selektiert daraus, was ihm verwertbar erscheint. Und danach?

Werden wir wie so oft keinen Millimeter weitergekommen sein. Meine Freunde und ich haben recht, die anderen sind Spinner, die die Gesellschaft spalten.

Schnelldurchlauf

* Pressefreiheit. Die Staatsanwaltschaft Düsseldorf hat ein Unterlassungsbegehren gegen Die Welt zurückgezogen, nachdem der Verlag Klage eingereicht hatte.

Investigativ-Reporter Tim Röhn hatte sich zur Auskunftsfreudigkeit der Düsseldorfer Staatsanwaltschaft im Fall einer Personenverwechslung geäußert, in deren Folge ein Unschuldiger im Krankenhaus gelandet war. Ausführlich bei Welt [22].

* KI-Nutzung. Die FAZ hat ihren ersten KI-generierten Podcast gestartet (Meedia [23]): das Rhein-Main Feierabendbriefing [24].

* Strafrecht. Die Hausdurchsuchung bei Norbert Bolz wegen eines X-Posts hat eine grundsätzliche Debatte über die Verhältnismäßigkeit angestoßen.

In der Welt [25] schlägt Benjamin Stibi eine juristische Konkretisierung verbotener Parolen und Symbole vor.

Und im Interview mit LTO [26] sagt Prof. Tatjana Hörnle, Direktorin am Max-Planck-Institut zur Erforschung von Kriminalität, Sicherheit und Recht in Freiburg:

Eines der Phänomene unserer Gesellschaft ist, bei kritikwürdigen Äußerungen immer direkt an die Strafbarkeit zu denken. Damit müssen wir aufhören. Das Strafrecht ist nicht die moralische Superinstanz, für die viele es halten.

* Urheberrecht. Kulturstaatsminister Wolfram Weimer wird seit zwei Wochen vorgeworfen, in seiner früheren Verleger-Tätigkeit für Textklau verantwortlich gewesen zu sein.

Ausgehend von einem Beitrag Alexander Wallaschs [27] haben inzwischen zahlreiche mehr oder weniger prominenten Menschen festgestellt, dass sie auf Weimers Debattenmagazin The European mit Beiträgen als Autoren geführt wurden, ohne bis dato davon gewusst zu haben.

Ob es sich bei den Veröffentlichungen um erlaubte Übernahmen handelt, ist noch nicht ausgemacht. Mehrere Betroffene haben angekündigt, juristische Schritte einzuleiten. Wolfram Weimer hat sich bisher nicht geäußert (Zeit [28]), zum größeren Skandal ist die Sache noch nicht avanciert. Aber Potential hat sie.

So sollen Webseiten bei The European im Quellcode die Anweisung enthalten haben [29], nicht von Suchmaschinen aufgenommen zu werden.

Das könnte erklären, warum Alice Weidel oder Alexander Dobrindt [30] erst jetzt erfahren haben, mit Texten von sich dort vertreten gewesen zu sein.

---

URL dieses Artikels:
https://www.heise.de/-10961023

Links in diesem Artikel:
[1] https://www.zdfheute.de/politik/ausland/us-visa-entzug-charlie-kirk-deutscher-100.html
[2] https://x.com/StateDept/status/1978218121631502497
[3] https://archive.is/XCc79
[4] https://www.bild.de/politik/ausland-und-internationales/kirk-attentat-haeme-post-kostet-deutschem-visum-68eee31006329773ec672506
[5] https://www.telepolis.de/features/Wer-macht-kuenftig-die-Nachrichten-Menschen-oder-Maschinen-10499561.html
[6] https://www.presserat.de/pressekodex.html
[7] https://www.presserat.de/presse-nachrichten-details/redaktionen-auch-fuer-ki-generierte-inhalte-ethisch-verantwortlich.html
[8] https://web.archive.org/web/20251022090458/https://www.spiegel.de/wirtschaft/unternehmen/deutsche-bahn-trennt-sich-von-gueterverkehrschefin-nikutta-a-f0da35c7-8208-461c-a802-b60014cf80f1
[9] https://www.spiegel.de/wirtschaft/unternehmen/deutsche-bahn-trennt-sich-von-gueterverkehrschefin-sigrid-nikutta-a-f0da35c7-8208-461c-a802-b60014cf80f1
[10] https://www.spiegel.de/backstage/in-eigener-sache-wie-der-spiegel-kuenstliche-intelligenz-einsetzt-a-146d6a53-fb8b-4d0f-8e88-0ae02f64c06a
[11] https://www.spiegel.de/backstage/in-eigener-sache-wie-der-spiegel-kuenstliche-intelligenz-einsetzt-a-146d6a53-fb8b-4d0f-8e88-0ae02f64c06a
[12] https://www.handelsblatt.com/technik/ki/ki-briefing-panne-beim-spiegel-passen-ki-und-journalismus-zusammen/100167284.html
[13] https://uebermedien.de/103862/nius-und-die-erfundenen-zitate/
[14] https://www.spiegel.de/panorama/ki-journalismus-und-demokratie-diese-norwegische-lokalzeitung-hat-den-ki-code-geknackt-a-0a92274c-cd91-42e0-8142-d078fd2538c2
[15] https://www.tagesschau.de/inland/stadtbild-demo-merz-100.html
[16] https://www.n-tv.de/politik/politik_kommentare/Problem-im-Stadtbild-Ich-weiss-noch-immer-nicht-was-Merz-uns-eigentlich-sagen-wollte-article26112729.html
[17] https://www.deutsche-depressionshilfe.de/depression-infos-und-hilfe/was-ist-eine-depression/haeufigkeit
[18] https://www.tagesschau.de/inland/innenpolitik/toechter-demo-cdu-parteizentrale-stadtbild-aussagen-100.html
[19] https://www.ndr.de/nachrichten/niedersachsen/merz-stadtbild-aussage-so-reagiert-norddeutschland-im-internet,stadtbild-120.html
[20] https://www.telepolis.de/features/Debatten-Wovon-Whataboutism-ablenkt-9207254.html?seite=all
[21] https://www.telepolis.de/features/Halbe-Wahrheiten-sind-keine-4939748.html
[22] https://www.welt.de/politik/deutschland/article68f8bb35017aa2400fa9a2e1/in-eigener-sache-staatsanwaltschaft-geht-gegen-welt-vor-und-verliert-vor-gericht.html
[23] https://meedia.de/news/beitrag/20374-faz-startet-ihren-ersten-ki-podcast.html
[24] https://www.faz.net/podcasts/rhein-main-feierabendbriefing/
[25] https://www.welt.de/debatte/plus68ff2ee4c008edcf0c854a51/strafrecht-der-staat-sollte-genauer-definieren-welche-ns-kennzeichen-strafbar-sind.html
[26] https://www.lto.de/recht/hintergruende/h/tabu-meinungsfreiheit-86a-strafrecht-aeusserungsdelikt-volksverhetzung-beleidigung
[27] https://www.alexander-wallasch.de/kultur/weimers-kreuzzug-gegen-ki-aber-der-vampir-im-kulturminister-gewand-ist-ein-beuteritter
[28] https://www.zeit.de/kultur/2025-10/wolfram-weimer-urherberrecht-verlag-european-vorwurf-afd/komplettansicht
[29] https://plagiatsgutachten.com/blog/it-forensik-betrug-weimer/
[30] https://www.newsroom.de/news/aktuelle-meldungen/vermischtes-3/vorwuerfe-gegen-kulturstaatsminister-weimer-streit-um-texte-auf-the-european-975789/

Copyright © 2025 Heise Medien

Adblock test (Why?)

Chatbots und psychische Gesundheit: OpenAI verbessert ChatGPT-Reaktionen

Mit neuen Zahlen gibt OpenAI einen Einblick, wie sich GPT-5 beim Umgang mit psychischen Problemen verbessert haben soll.

Die Informationen sind Teil eines umfassenden Beitrags , in dem OpenAI seine Bemühungen zur Verbesserung der Reaktion von ChatGPT auf Nutzer mit psychischen Problemen darstellt. Demnach konsultierte das Unternehmen mehr als 170 Experten für psychische Gesundheit, die beobachtet haben wollen, dass ChatGPT in seiner neuesten Version nun angemessener und konsistenter reagieren soll.

Sicherheitsvorkehrungen bei langen Gesprächen verbessert

Demnach sollen die aktualisierte Version von GPT-5 um 65 Prozent häufiger mit wünschenswerten Antworten auf psychische Probleme reagieren. Bei Gesprächen über Selbstmord soll ChatGPT nun in 91 Prozent der Fälle ein gewünschtes Verhalten aufweisen. Bei der vorherigen Modellversion waren es 77 Prozent.

Auch in langen Gesprächen soll die neue GPT-5-Version besser mit den Sicherheitsvorkehrungen zurechtkommen. Zuvor waren dieser weniger effektiv, je länger ein Gespräch andauerte.

Nachdem der Suizid eines 16-Jährigen eine Debatte über die Verantwortung von KI-Anbietern ausgelöst hatte, begann OpenAI damit, das Verhalten der Chatbot-Nutzer zu analysieren. Dabei wurde festgestellt, dass sich ein immer größerer Anteil von ChatGPT Ratschläge bei emotionalen Problemen geben lässt.

Golem berichtet sehr behutsam über das Thema Suizid. Denn es gibt Hinweise darauf, dass bestimmte Arten der Berichterstattung durch Identifikation Nachahmungstaten zur Folge haben. Wer in seelischer Not ist oder Suizidgedanken hat, findet in Deutschland rund um die Uhr vertrauliche Hilfe bei der Telefonseelsorge unter 0800 1110 111 oder 0800 1110 222 sowie online unter www.telefonseelsorge.de . Für Kinder und Jugendliche steht außerdem das kostenlose Nummer-gegen-Kummer-Telefon unter 116 111 bereit. In Österreich bieten unter anderem die Notrufnummer 0800 567 567 und Rat auf Draht unter 147 Unterstützung an. In der Schweiz ist Pro Juventute unter der Telefonnummer 147 erreichbar.

Adblock test (Why?)

Anzeige: Premium-Saugroboter Roborock Qrevo Curv zum halben Preis

Luxus fürs Zuhause: Der Roborock Qrevo Curv reinigt auf High-End-Niveau und kostet im aktuellen Angebot kurzzeitig nur die Hälfte.

Premium-Saug-Wischroboter jetzt zum halben Preis

Der Roborock Qrevo Curv Saug-Wischroboter ist ein echtes Luxusmodell, das sonst weit über tausend Euro kostet. Aktuell liegt der Preis bei 749 Euro, mit einem Rabatt von satten 50 Prozent. Das Angebot ist befristet, wer also auf Sauberkeit ganz ohne eigenes Zutun setzt, sollte hier zuschlagen, bevor der Deal wieder ausläuft.

Da kommt es wie gerufen, dass für den Roborock Qrevo Curv Saug-Wischroboter auch die passenden Q Revo Staubbeutel bei Amazon gerade im Angebot sind. Mit einem Rabatt von 20 Prozent kostet das 10er-Pack jetzt nur 11,99 Euro.

Keine Chance für Bakterien – auch in kleinen Ecken

Das 75-Grad-Heißwasser-Moppsystem des Roborock Qrevo Curv Saug-Wischroboters wäscht die Wischtücher mit Warmwasser aus und entfernt dabei bis zu 99,99 Prozent der Bakterien. Fettige Küchenflecken oder getrocknete Spritzer auf Fliesen verschwinden rückstandslos. Die Dockingstation 3.0 übernimmt danach die Selbstreinigung, befüllt Wasser automatisch, entleert Staub und trocknet den Mopp mit Warmluft – ganz ohne manuelle Eingriffe.

Mit der FlexiArm-Technologie erreicht der Roboter auch Ecken und Kanten, die andere Geräte auslassen. Per App oder Sprachsteuerung über Alexa und Google Assistant lassen sich Reinigungszeiten, Saugstufen und Zonensteuerung exakt einstellen.

Erfahrungen der Nutzer

Mit 4,2 von 5 Sternen und über 600 Bewertungen belegen Nutzer eine beeindruckende Reinigungsleistung sowie starke Saugkraft und berichten von einer nahezu wartungsfreien Dockingstation. Besonders positiv fällt auf, dass der Roboter Haare und Krümel effizient beseitigt, hygienisch wischt und leiser arbeitet als frühere Modelle. Auch die App gilt als übersichtlich und zuverlässig. Ein Punkt, den viele Premiumgeräte nicht selbstverständlich bieten.

Dieser Artikel enthält sogenannte Affiliate-Links. Bei einem Kauf der Produkte über diese Links erhält Golem eine kleine Provision. Dies ändert nichts am Preis der Artikel.

Adblock test (Why?)

Auch deutsche Nutzer betroffen: Riesige Smishing-Kampagne umfasst 194.000 Domains

Die Angreifer registrieren täglich Tausende neuer Domains bei einem chinesischen Registrar und locken ihre Opfer per SMS auf Phishing -Seiten.

Täglich neue Domains

Registriert wurden alle beteiligten Domains den Angaben zufolge am oder nach dem 1. Januar 2024 bei einem in Hongkong ansässigen Registrar namens Dominet (HK) Limited. Ein Großteil davon verschwindet aber schnell wieder: Nur sechs Prozent der involvierten Domains bleiben länger als drei Monate aktiv. Fast 30 Prozent werden sogar innerhalb von nur zwei Tagen wieder verworfen.

"Diese hohe Fluktuation zeigt deutlich, dass die Strategie der Kampagne auf einem kontinuierlichen Zyklus neu registrierter Domains basiert, um einer Entdeckung zu entgehen" , schlussfolgern die PAN-Forscher. "Die Kampagne ist stark dezentralisiert. Angreifer registrieren täglich Tausende von Domains und wechseln ständig zwischen ihnen."

Bei der Angriffsinfrastruktur greife Smishing Triad mit einem Anteil von 58 Prozent primär auf Systeme in den USA zurück, insbesondere auf dort beheimatete Clouddienste. Hier folgt China mit 21 Prozent erst auf Platz 2, gefolgt von Singapur mit einem Anteil von 19 Prozent. Mit 0,5 Prozent steht auch ein kleiner Teil der Infrastruktur in Deutschland.

Eine branchenübergreifende Bedrohung

Die Forscher gehen aufgrund des großen Umfangs der Kampagne davon aus, dass sich dahinter eine große und vor allem über Telegram beworbene Phaas-Operation (Phishing as a Service) verbirgt. Um Besucher auf die beteiligten Domains zu leiten, verschicken die Angreifer laut Blogbeitrag massenhaft SMS und bedienen sich darin ausgeklügelter Social-Engineering-Techniken.

Die Nachrichten seien "genau auf die Opfer zugeschnitten, um sie zu sofortigem Handeln zu bewegen" und vermittelten stets ein Gefühl der Dringlichkeit, heißt es. Dabei nutzten die Angreifer bereits verfügbare persönliche Daten der Zielpersonen sowie technische und juristische Fachbegriffe, um ihre SMS professioneller und glaubhafter wirken zu lassen.

Zu den Angriffszielen zählen weltweit zahlreiche teils kritische Dienste aus verschiedenen Branchen wie Finanzen, Krypto, Gesundheitswesen, Strafverfolgung, E-Commerce, Social Media und Online-Gaming. Auch Zollabfertigungen sowie namentlich nicht genannte Paketzustelldienste unter anderem aus Deutschland sollen betroffen sein.

Anwendern wird empfohlen, unerwarteten SMS aus unbekannten Quellen stets mit Misstrauen zu begegnen. "Wir empfehlen, alle Anfragen, die dringende Maßnahmen fordern, über die offizielle Website oder Anwendung des jeweiligen Dienstleisters zu überprüfen. Dabei sollten keine Links angeklickt und keine Rufnummern aus der verdächtigen Nachricht angerufen werden" , so die Forscher.

Adblock test (Why?)