27 episodes

Ein Podcast über die dunkle Seite der Digitalisierung: Spionage, Hacker, Sabotage, Subversion, Desinformation und die Cyber Konflikte der Vergangenheit und Zukunft. Irgendwo zwischen IT-Sicherheit und Cyber Security geht es um die großen Linien, um eine kritische, politik- bzw. sozialwissenschaftliche Einordnung der Phänomene, statt um das Verbreiten von FUD: Fear, Uncertainty and Doubt. Betrieben wird das ganze von Dr. Matthias Schulze, der unter percepticon.de schon seit Jahren dazu bloggt.

Percepticon.de Matthias Schulze

    • Social Sciences
    • 4.9 • 31 Ratings

Ein Podcast über die dunkle Seite der Digitalisierung: Spionage, Hacker, Sabotage, Subversion, Desinformation und die Cyber Konflikte der Vergangenheit und Zukunft. Irgendwo zwischen IT-Sicherheit und Cyber Security geht es um die großen Linien, um eine kritische, politik- bzw. sozialwissenschaftliche Einordnung der Phänomene, statt um das Verbreiten von FUD: Fear, Uncertainty and Doubt. Betrieben wird das ganze von Dr. Matthias Schulze, der unter percepticon.de schon seit Jahren dazu bloggt.

    26 WTF ist Offense-Defense Balance? Sind Cyber-Angreifer im Vorteil?

    26 WTF ist Offense-Defense Balance? Sind Cyber-Angreifer im Vorteil?

    Cyber-Angreifer müssen nur eine Schwachstelle ausnutzen während die Verteidigung alle Löcher stopfen muss. So lautet eines der Argumente für die These, dass Cyber-Angreifer es leichter haben als die IT-Sicherheit. Um es mit der NSA auszudrücken „the attacker will always come through“. In der Politikwissenschaft ist das ein Argument der „Offense-Defense Theory“. Die besagt, dass wenn Angriffe leichter sind als Verteidigung, das Konflikt- und Eskalationsrisiko steigt. Das ist oftmals eine Frage von Technologie: bestimmte Technologien, so die Theorie, befördern die Offensive zu Lasten der Defensive. Bestimmte Technologien würden also einen offensiven Vorteil bringen. Die Frage ist, ob diese Offence-Defence Balance Theorie auch dafür taugt, Cyber-Konfliktverhalten zu erklären. Sind Cyber-Angriffe wirklich leichter, effizienter oder kostengünstiger als die Verteidigung dagegen? Das gucken wir uns in dieser Folge an.







    Shownotes







    * Feedbackumfrage zum Podcast: https://docs.google.com/forms/d/1OQsXItAsUZvKKNmToVxGdo1FQr2FspkHNEIsz68tjoY/edit* Charles L. Glaser and Chaim Kaufmann. “What Is the Offense-Defense Balance and How Can We Measure It?.” Quarterly Journal: International Security, vol. 22. no. 4. (Spring 1998): 44-82 .* Malone, Patrick J., Offense-defense balance in cyberspace: a proposed model, 2012, https://citeseerx.ist.psu.edu/viewdoc/download?doi=10.1.1.423.2563&rep=rep1&type=pdf* Slayton, Rebecca. „What Is the Cyber Offense-Defense Balance?: Conceptions, Causes, and Assessment.“ International Security, vol. 41 no. 3, 2016, p. 72-109. Project MUSE muse.jhu.edu/article/648308.* https://www.dancarlin.com/hardcore-history-series/* Peter Singer, 2014, Cult of the Cyber Offensive, https://foreignpolicy.com/2014/01/15/cult-of-the-cyber-offensive/* 25 Incident Response & CERT /invite Detmar Liesen, https://percepticon.de/2021/03/25-incident-response-cert-invite-detmar-liesen/* Keir Lieber, 2008, War and the Engineers: The Primacy of Politics Over Technology.







    Hinweise







    Kommentare und konstruktives Feedback bitte auf percepticon.de oder via Twitter. Die Folge erscheint auf iTunes, Spotify, PocketCast, Stitcher oder via RSS Feed.







    Sound & Copyright







    * Modem Sound, Creative Commons.* © Vint Cerf, „Internet shows up in December 1975“, in: IEEE Computer Society, Computing Conversations: Vint Cerf on the History of Packets, December 2012.

    • 32 min
    25 Incident Response & CERT /invite Detmar Liesen

    25 Incident Response & CERT /invite Detmar Liesen

    Ihr wurdet gehackt! Jemand hat eure Katzenbildersammlung verschlüsselt und verlangt ein Lösegeld von 25 Dogecoins. Ihr seid ratlos! Was tun? Das ist ein Job für Incident Response, also konkret für Computer Emergency Response Teams (CERT). Heute habe ich Detmar zu Gast, der bei einem CERT arbeitet und mal darüber berichtet, wie die Bearbeitung von Cyber-Vorfällen denn so aussieht. Also was macht man eigentlich, wenn man gehackt wurde? Wir reden über die Abwehr und Verteidigung gegen Cyber-Angriffe, über häufige Fehler die Organisationen machen, über beliebte Einfallstore für Hacker und wen man anrufen muss, wenn dann doch mal etwas schief gegangen ist. Wir reden über „awareness“ bei phishing Mails und über die wichtigsten Schutzmaßnahmen, die gegen Cyber-Angriffe helfen. Am Ende ist das alles dann häufig weniger eine technische Frage sondern eher eine von Prozessen, Vorbereitung und gutem Leadership. Eine sehr coole Folge, wie ich finde!







    Time Codes







    8:00 Was ist ein CERT? Was für CERTS gibt es?







    14:30 Großschadensereignisse, Triage







    20:00 Worauf muss ich als Kunde/in achten, wenn ich ein CERT anheure?







    25:00 Was die Defensive tun kann (wenn sie genügend Zeit dafür hat).







    38:00 Was tun wenns brennt?







    55:00 Awareness & Top 5 Schutzmaßnahmen gegen Cyber-Angriffe







    01:01:06 Automatisierte Angriffe & Patches







    01:13:50 Pflichten von Softwareherstellern für einheitliche Patches







    1:19:31 Leadership & Sicherheitskultur







    Shownotes







    * Detmar auf Twitter: @d3tm4r* Feedbackumfrage zum Podcast: https://docs.google.com/forms/d/1OQsXItAsUZvKKNmToVxGdo1FQr2FspkHNEIsz68tjoY/edit* https://www.misp-project.org/communities/* https://www.trusted-introducer.org/directory/teams.html* https://www.kb.cert.org/vuls/* OODA Loop & Waragming im Podcast: https://percepticon.de/2020/11/21-cyber-war-gaming-invite-thorsten-kodalle/* http://canarytokens.org/generate* Activecountermeasures.com* Clifford Stoll’s Cuckoos Egg im Podcast: https://percepticon.de/2019/04/02-rezension-das-kuckucks-ei/* https://www.heise.de/news/Uniklinik-zum-Cyber-Angriff-Alles-richtig-gemacht-4905686.html* 38:18 Solarwinds im Podcast: https://percepticon.de/2021/01/24-solarwinds-hack-invite-sven-herpig/* https://cybersecurity.att.com/blogs/security-essentials/incident-response-steps-comparison-guide* https://twitter.com/b0rk/status/852589061810376705/photo/1* https://www.sophos.

    • 1 hr 24 min
    24 Solarwinds Hack /invite Sven Herpig

    24 Solarwinds Hack /invite Sven Herpig

    Solarwinds ist der Name für einen Cyber-Angriff gegen eine Netzwerkmanagement Software, der Ende 2020 bemerkt wurde. Der Hack hat globale Implikationen: Hunderttausende Firmen sind davon potenziell betroffen, hunderte Regierungseinrichtungen weltweit und diverse Firmen. Die Implikationen von Solarwinds für IT-Sicherheit und Cyber-Konfliktdynamiken sind vielfältig. Ich plaudere mit Sven Herpig von der Stiftung Neue Verantwortung darüber. Was ist passiert? Was wissen wir? Waren es die Russen? Warum ist der Hack schlecht? Was bedeutet das Thema für die US Cyber-Abwehr von „persistent engagement“ bis hin zu „detetence by denial“? Was bedeutet das für Deutschland? tl;dr: Alle gängigen Annahmen über Cyber-Abwehr haben versagt, sowohl defensive als auch offensive Bemühungen.







    Time Codes







    1:40 Was ist Orion?







    5:30 Backrohr und Tarnmechanismen







    15:30 Betroffene Akteure







    21:00 Wer wars?







    25:00 Warum ist das schlimm?







    28:48 CNA/CNE und persistent engagement







    37:30 Cyber Abwehr und „deterrence by denial“, Einstein 3







    43:20 Neue US Regierung







    Shownotes







    * Cyberangriff auf die USA eskaliert immer weiter, https://fm4.orf.at/stories/3010878/* USA mitten in einem „Cyber-GAU“, https://fm4.orf.at/stories/3010312/* Russia’s SolarWinds Attack, https://www.schneier.com/blog/archives/2020/12/russias-solarwinds-attack.html* The US has suffered a massive cyberbreach. It’s hard to overstate how bad it is, https://www.theguardian.com/commentisfree/2020/dec/23/cyber-attack-us-security-protocols* FireEye Discovered SolarWinds Breach While Probing Own Hack, https://www.bloomberg.com/news/articles/2020-12-15/fireeye-stumbled-across-solarwinds-breach-while-probing-own-hack* The U.S. government spent billions on a system for detecting hacks. The Russians outsmarted it, https://www.washingtonpost.com/national-security/ruusian-hackers-outsmarted-us-defenses/2020/12/15/3deed840-3f11-11eb-9453-fc36ba051781_story.html* SolarWinds attack is not ‚espionage as usual,‘ Microsoft president says, https://www.cyberscoop.com/microsoft-brad-smith-solarwinds/* BND Cybersicherheit in ausländischen Netzen, https://www.bnd.bund.de/DE/Die_Themen/Cybersicherheit/cybersicherheit_node.html* SolarWinds Is Bad, but Retreat From Defend Forward Would Be Worse, a href="https://www.lawfareblog.com/solarwinds-bad-retreat-defend-forward-would-be-worse" target="...

    • 56 min
    23 WTF ist Cyber Eskalation? Eskaliert der Hackback?

    23 WTF ist Cyber Eskalation? Eskaliert der Hackback?

    Liebe Leute, die erste Folge im neuen Jahr eskaliert gleich mal. Haha! Ich spreche über Cyber Eskalation. Genauer gesagt über den aktuellen Forschungsstand zur Frage, eskalieren Cyber-Angriffe? Was heißt Eskalation eigentlich? Folgen darauf Gegenangriffe? Steigt die Intensität einer Auseinandersetzung an, wenn man einen Hackback macht? Dazu gucken wir uns einen Klassiker der Eskalationsforschung an sowie einige neure Forschungspapiere zum Thema Cyber Eskalation.







    Shownotes







    * Kahn, Hermann, On Escalation. Metaphors and Scenarios, 1965. https://de.wikipedia.org/wiki/Herman_Kahn* Kostyuk, Nadiya; Powell, Scott; Skach, Matt (2018): Determinants of the Cyber Escalation Ladder. In: The Cyber Defense Review 3 (1), S. 123–134.* Borghard, Erica D./Lonergan, Shawn W. »Cyber Operations as Imperfect Tools of Escalation«, Strategic Studies Quarterly, Vol. 13, No. 3 (FALL 2019), pp. 122-145 (24 pages)* Jensen, Benjamin; Valeriano, Brandon, What do we know about cyber escalation? Observations from simulations and surveys, Atlantic Council, https://www.atlanticcouncil.org/in-depth-research-reports/issue-brief/what-do-we-know-about-cyber-escalation-observations-from-simulations-and-surveys/* Kreps, Sarah; Schneider, Jacquelyn (2019): Escalation firebreaks in the cyber, conventional, and nuclear domains: moving beyond effects-based logics. In: Journal of Cybersecurity 5 (1), S. 1–11. https://academic.oup.com/cybersecurity/article/5/1/tyz007/5575971.* Kreps, Sarah; Das, Debak (2017): Warring from the virtual to the real: Assessing the public’s threshold for war over cyber security. In: Research & Politics 4 (2), 205316801771593.* 13 Hack back oder aktive Cyber-Abwehr einmal durchdacht, https://percepticon.de/2020/03/13-hack-back-oder-aktive-cyber-abwehr-einmal-durchdacht/* 16 WTF machen die USA, Russland, China, der Iran und Nordkorea im Cyberspace?, https://percepticon.de/2020/06/15-wtf-machen-die-usa-russland-china-der-iran-und-nordkorea-im-cyberspace/* 21 Cyber War Gaming /invite Thorsten Kodalle, https://percepticon.de/2020/11/21-cyber-war-gaming-invite-thorsten-kodalle/* Schulze, Matthias, Kerscher, Josephine, Bochtler, Paul (2020), Cyber Escalation. The conflict dyad USA/Iran as a test case, SWP working paper Nr. 01. (Link)







    Hinweise







    Kommentare und konstruktives Feedback bitte auf percepticon.de oder via Twitter. Die Folge erscheint auf iTunes, Spotify, PocketCast,

    • 27 min
    22 Security by design /invite Dennis Stolp

    22 Security by design /invite Dennis Stolp

    Was haben der Flash Player und Windows XP gemeinsam…außer, dass ich Anfang der 2000er viel zu viel Zeit mit ihnen verbracht habe….omg Yetisports…? Wo war ich? Ach ja! Sie waren beide extrem populäre, aber auch unsichere Softwareprodukte. Also voller Bugs und IT-Schwachstellen. Beide Produkte wurden nicht nach „security by design“ Prinzipien entwickelt. Das ist ein Problem, weil dann Millionen von Nutzern über Jahre hinweg unsichere Software einsetzen. Warum Software von grund auf sicher gebaut werden sollte, darüber rede ich heute mit Dennis Stolp. Dennis unterrichtet „security by design“  an der FH Aachen und ist Product Owner bei exceet Secure Solutions GmbH. Er hat mich vor einer weile angeschrieben und gefragt, ob wir das Thema nicht mal mehr in den Fokus rücken wollen. Denn, im Informatik-Studium kommt das so nicht unedingt vor. Auch Zeitdruck und Marktfaktoren wie fehlende Nachfrage führen dazu, dass IT „security by design“ in der Softwareentwicklung oft zu kurz kommt. Wie man das in den Griff bekommt, das erfahrt ihr in der Folge!







    Shownotes







    * https://exceet-connect.de* Cornucopia, https://owasp.org/www-project-cornucopia/* Security Development Lifecycle, https://de.wikipedia.org/wiki/Security_Development_Lifecycle* Codequalität lehren und lernen: Erfahrungen aus 6 Jahren Programmierausbildunghttps://www.heise.de/ratgeber/Codequalitaet-lehren-und-lernen-Erfahrungen-aus-6-Jahren-Programmierausbildung-4795323.html?seite=all* Stiftung Warentest: Nur zwei Onlineshop-Gütesiegel sind hilfreich, https://t3n.de/news/stiftung-warentest-nur-zwei-1223558/* WTF ist ein Virus?, https://percepticon.de/2020/04/14-wtf-ist-ein-virus-corona-spezial/* Mark Elsberg Blackout, https://www.amazon.de/BLACKOUT-Morgen-ist-spät-Roman/dp/3764504455* Yubikey, https://www.yubico.com/?lang=de* Ross Anderson, Why Information Security is Hard – An Economic Perspective, https://www.acsac.org/2001/papers/110.pdf* Softwarentwicklung nach dem Security by Design Prinzip, Heise, https://www.heise.de/developer/artikel/Sichere-Softwareentwicklung-nach-dem-Security-by-Design-Prinzip-403663.html?seite=2* Gartner Forecasts Worldwide Information Security Spending to Exceed $124 Billion in 2019, https://www.gartner.com/en/newsroom/press-releases/2018-08-15-gartner-forecasts-worldwide-information-security-spending-to-exceed-124-billion-in-2019* Steve Jobs, https://newslang.ch/wordpress/wp-content/uploads/2020/06/Thoughts-on-Flash.pdf* The Economics of Cybersecurity, https://blog.nacdonline.

    • 1 hr 12 min
    21 Cyber War Gaming /invite Thorsten Kodalle

    21 Cyber War Gaming /invite Thorsten Kodalle

    Cyber War Gaming bringt zwei seltsame Begriffe zusammen, War und Gaming. Auf den ersten Blick scheinen die nicht viel gemeinsam zu haben. Dabei ist Cyber War Gaming ein wichtiges Entscheidungstool für Situationen, in denen man Komplexität kaum überblicken kann. Etwa wenn eine Situation von großer Unsicherheit geprägt ist oder wo man nicht genügend Daten hat. Das gilt für Kriege und Konflikte, etwa des Vietnam Krieges, aber auch für Situationen wie die Beeinflussung der US Wahl 2020 durch fremde Nachrichtendienste.







    Ich spreche in der heutigen Folge mit Oberstleutnant Thorsten Kodalle, der bei der Führungsakademie der Bundeswehr und der NATO Cyber War Gaming lehrt. Dabei stellt sich heraus, dass Cyber War Gaming eben nicht nur für Streitkräfte ein hilfreiches Werkzeug ist, sondern auch in Business oder Think Tank Kontexten sehr wertvoll sein kann. Der spielerische Zugang zu komplexen Themen wie Cyber-Security und Cyber War erlaubt es auch EinsteigerInnen, eine Thematik besser zu verstehen. Zudem gibt es jede menge nerdige Spieleempfehlungen zum selber ausprobieren.







    Shownotes zu Cyber War Gaming







    * Thorsten Kodalle, LinkedIn: https://www.linkedin.com/in/thorstenkodalle/, Twitter: https://twitter.com/kodalle* Among Us, https://store.steampowered.com/app/945360/Among_Us/* OODA-Loop, https://de.wikipedia.org/wiki/OODA-Loop* Lessons in Disaster, McGeorge Bundy and the path to War in Vietnam, https://www.amazon.de/Lessons-Disaster-McGeorge-Bundy-Vietnam/dp/0805079718* SIGMA Wargames, https://en.wikipedia.org/wiki/Sigma_war_games* War Games 1983, https://de.wikipedia.org/wiki/WarGames_–_Kriegsspiele* Wargame Definition, https://en.wikipedia.org/wiki/Wargame* Todd Mason, War Gaming as a learning activity, http://www.kriegspiel.com.au/papers/paper01.pdf, http://www.kriegspiel.com.au/papers/paper01%20slides.pdf* Brief History of Naval Wargames, https://news.usni.org/2013/09/24/brief-history-naval-wargames* Drachenväter, https://www.amazon.de/Drachenväter-Tom-Hillenbrand/dp/3956451155* Kriegsspiel, https://de.wikipedia.org/wiki/Kriegsspiel_(Planspiel)* Benjamin Jensen, Brandon Valeriano (2019), What do we know about Cyber Escalation? Observations from Simulations and Surveys, Atlantic Council, https://www.atlanticcouncil.org/wp-content/uploads/2019/11/What_do_we_know_about_cyber_escalation_.pdf* Andreas Haggmann, Cyber War Game https://www.youtube.com/watch?v=LLYt8hLYY78* Deloitte, Introduction to Cyber War Games, https://deloitte.wsj.com/cio/2014/09/22/an-introduction-to-cyber-war-games/* Medium Artikel US Wahl Wargame, a href="https://medium.

    • 1 hr 23 min

Customer Reviews

4.9 out of 5
31 Ratings

31 Ratings

FoxDaniels ,

Interessant und fachlich fundiert

Schöner Podcast für alle, die sich für Cybersicherheit und Cyberwar interessieren. Der Host Matthias Schulze erklärt die Themen anschaulich und ansprechend.

ajb2012 ,

Sehr informativ

Cybersecurity ist nicht mein Schwerpunkt. Matthias Schulze trägt aber so anschaulich und verständlich vor, dass sich mir das Gebiet erhellend erschließt. Weiter so!

Top Podcasts In Social Sciences

Listeners Also Subscribed To