gomJun 17
Dickenhobelix

Es ist einfach unglaublich, wie schlecht die Opsec in selbst namhaften Unternehmen ist. Sitze im ICE hinter einem Dude, der gerade die Management-Präsentation mit der neuen Strategie für einen Modekonzern vorbereitet.

Neben mir sitzt ein Anwalt und tippt Schriftsätze.

Natürlich alles ohne irgendwelche Blickwinkel-Einschränkungs-Sichtfolien. Keine Ahnung wie das heißt. Aber ich kann so viel verraten: Industriespionage *wäre* einfach, falls ich mich mal entscheiden sollte, so was zu machen...

Jun 17 at 12:27pmWeb
Show threadlobingeraJun 17

@dickenhobelix Ich habe in der S-Bahn Folien eines DAX Unternehmens (Sitz München) gesehen. Und dann 2 Tage später in der Tagesschau ...

(~ vor 10 Jahren)

Show threadPaepkeJun 17
@dickenhobelix bahncard 100 und du bist dabei.
Show threadDickenhobelixJun 17
@paepke das Konzept der "Public Listener" aus Eschbachs "Die Abschaffung des Todes" ist am Ende glaube ich durchaus brauchbar...
Show threadAndreaJun 17
@dickenhobelix In Awareness Schulungen mache ich das immer wieder zum Thema, aber die Bretter, die da zu bohren sind, sind doch sehr dick.
Zumal viele Arbeitgeber auch mehr oder weniger automatisch davon ausgehen, dass man die Zugfahrt halt zum Arbeiten nutzt.
(Ich stelle grad fest, dass ich die Folie sogar hier im Büro aufm Notebook-Display habe. So weiß ich wenigstens, wo sie ist 😄 )
Show threadSvenjaJun 17
@andijah Bei uns wird explizit gesagt, dass wir in der Öffentlichkeit mit einem Blickschutz für den Bildschirm arbeiten sollen. Wie viele sich aber tatsächlich daran halten, weiß ich nicht. @dickenhobelix
Show threadAndreaJun 17
@svenja Ich hatte mein eigenes Team (als ich noch eines geleitet habe), diesbezüglich immer gut im Training, aber andere Führungskräfte fanden das oft nicht so wichtig.
Da wir ja auch unsere Kunden zu solchen Themen beraten, achten wir beide natürlich auf solche Basics. 🙂
@dickenhobelix
Show threadAleksander Pavkovič 🇸🇮Jun 17
@svenja @andijah @dickenhobelix Das Thema (und auch Telefonate unterwegs) ist auch bei uns Teil der Datenschutzschulungen und des Quiz zum Zertifikatserwerb. Nur ein einziges Mal habe ich im ICE ein Gesprächs-Ende mitbekommen, das etwa so ging: "OK, danke, alles Weitere gebe ich Ihnen vom Büro aus durch; sind sensible, personenbezogene oder -beziehbare Daten"; das war direkt eine kleine Sternstunde des Datenschutzes – obzwar eigentlich selbstverständlich.
Show threadSvenjaJun 17
@SandiPavkovic @andijah @dickenhobelix Ja, das erlebe ich leider höchstselten. Mein Kollege nimmts da generell zu locker, wir sollen keine öffentlichen Hotspots nutzen und er einfach immer so "I don't care ich machs trotzdem" und sich dann wundern, dass mal wieder Daten wo landen wo sie nicht sein sollten.
Show threaddanielHLJun 17
@dickenhobelix Ich habe mal einen Typ aus der Rüstungsbranche neben mir gehabt, der ALLES gezeigt hat: Verträge, interne Emails, Telefonate zu persönlichen Konflikten in der Abteilung. Er hat nachdem sein Securtiy Dongle nicht gefunden hat (😭, wie sich später beim Aussteigen heruasstellte, saß er darauf.) hat das Device gewechselt und per Webinterface Firmeninhalte auf das Privatgerät heruntergeladen.
Show threaddanielHLJun 17

@dickenhobelix Nebenbei hat er auf dem Handy Fotos leichtbekleideter Schönheiten angeschaut, nachdem er mit seiner Frau telefoniert hatte und sich für das WE bei ihr abgemeldet hatte.

Es war unmöglich bei diesem Stundenlang anhaltenden Sicherheitsvorfall wegzuschauen. Jemand mit finsteren Absichten hätte sein gesamtes Privatleben zerstören und der Firma erheblichen Schaden zufügen können.

Show threaddanielHLJun 17
@dickenhobelix Und unsereins muss sich in opsec trainings anhören dass wir schuld sind wenn wir auf links in Emails klicken... Hmpf.
Show threadKzad_BhatJun 17
@dickenhobelix und sag mir du wirst beim nächsten Zugfahrt die Snapbrille nicht tragen.. 🤡
Show threadChristian HaasJun 17

@dickenhobelix
Als Vorschlag: Wenn Firmenname bekannt ist, an deren Kontakt laut Homepage einen (höflichen) Hinweis mit ein paar Zeilen schreiben.

Ich habe schon miterlebt, dass soetwas Firmenintern Wellen schlagen kann.

Show threadDickenhobelixJun 17
@dertseha hm, ist jetzt eine Firma der ich glaube ich eher nicht helfen möchte. Aber grundsätzlich ja...
Show threadArnd LayerJun 17
@dickenhobelix
In einem früheren Leben wollte ich mal intern so eine Schutzfilme bestellen. Wurde abgelehnt - nur für Manager.
Also dann doch nicht in der Bahn arbeiten.
Show threadArnd LayerJun 17

@dickenhobelix
Ich saß mal in der Nähe von zwei Mitarbeiterinnen eines Sozialamtes auf dem Weg zu einer Konferenz, die die ganze Fahrt ihre Betrugsfälle diskutiert haben.

Da gab es dann so Sätze wie „immer wenn die <Vorname> das Wochenende frei ihrem Vater war, macht sie wieder einen Schritt rückwärts“

Show threadKasiandra RichmondJun 17
@dickenhobelix sass im Zug und hatte den VPN Zugang zu einen internationalen Süßwarenhersteller mitbekommen, wegen eines Humankapital-Verwalter 🤷🏻‍♀️. Habe auch herausgefunden welcher Bereich wieviel verdient und der Dude sass im Call und hat noch stolz gesagt "ich kann offen Reden". Habe mich dann zur IT weiter verbunden und meine Erfahrung geteilt. Vielleicht folgt eine Belehrung.
Show threaddwardoricJun 17
@dickenhobelix Die Industriespione müssen nicht auf Bildschirme linsen, die Leute speichern ihren Mist doch eh schon auf deren Servern. ;-)
Show threadgunstickJun 17
@dickenhobelix gibt ja jetzt so tolle Brillen mit eingebauter Kamera.
Show threadFrank Endrullat 🌻Jun 17

@dickenhobelix Ja, genau das denke ich seit ca. 20 Jahren, wenn ich am Flughafen / im Flugzeug, im Zug, oder auch nur an der Hotelbar bin. 🤷‍♂️

OPSEC interessiert keine Sau! Aber corporate Phishing Tests scheinen ja immer noch ein Ding zu sein, so wegen ✅. 🙄

Show threadClemensJun 17
@dickenhobelix deswegen mag ich meinen aktuellen Job. Quasi alles was ich heute mache findest du zwei Tage später eh auf GitLab.
Show threadMohabitJun 17
@dickenhobelix
„Ich habe doch nichts zu verbergen.“
Show threadCryptoparty Köln-BonnJun 18
@dickenhobelix Das Gefährdungsprofil setzt vermutlich auf der Wahrscheinlichkeit auf, dass im Zug jemand hinter oder neben Dir sitzt, der mit den Informationen auf Deinem Laptopschirm etwas anfangen kann oder will. Interessant wäre, wie leicht sich diese Lücke für einen gezielten Angriff ausnutzen lässt.
Show threadDickenhobelixJun 18

@cryptoparty ich denke für Spearfishing oder CEO Fraud wäre das in vielen Fällen ein guter Startpunkt. Im konkreten Fall habe ich jetzt aber auch sehr sensible Inhalte zu Finanz- und Vertriebsstruktur und zur aktuellen Business-Strategie gesehen, das würde sich abseits von Cyber-Angriffen vermutlich auch zu Marktmanipulation oder einfach zum Verkauf an die Konkurrenz eigenen.

Ich möchte an dieser Stelle nochmals betonen dass das nur ein Gedankenspiel ist, ich mache so etwas aus Prinzip nicht...

Show threadFelix SteindorffJun 18
@dickenhobelix andere verraten Patientengeheimnise über Lautsprecher am Handy, mitten in einem vollbesetzten Großraumwagen. Offensichtlicher gehts dann auch nicht mehr. Einer diser momente in denen ich mich Frage mit welcher Expertise die zu diesen Positionen gekommen sind, wenn sie so arbeiten...