1 00:00:00,000 --> 00:00:03,520 Ist das vielleicht ein Unternehmen, das sanktioniert ist, also wo ich dann sogar 2 00:00:03,520 --> 00:00:05,960 Probleme bekomme, wenn ich mit dem zusammenarbeite? 3 00:00:06,060 --> 00:00:12,420 Das sind alles Themen, die kann man mittels OSINT-Quellen sehr gut aufklären, 4 00:00:12,540 --> 00:00:16,840 weil man eben schauen kann, wie viele Mitarbeiter finde ich denn über Social 5 00:00:16,840 --> 00:00:19,540 Media, also LinkedIn, Xing und Co. 6 00:00:19,740 --> 00:00:23,620 Teilweise könnte man sogar so weit gehen: Wenn ich ein produzierendes Gewerbe habe 7 00:00:23,620 --> 00:00:28,420 und die haben Fabriken, dann kann ich über Satellitenbilder natürlich schauen, gibt 8 00:00:28,420 --> 00:00:32,880 es denn überhaupt Bewegungen von LKWs an diesem Produktionsstandort oder tut sich 9 00:00:32,880 --> 00:00:33,880 da nichts? 10 00:00:33,740 --> 00:00:38,820 Ich könnte sogar noch tiefer reingehen und Wärmesignaturen über Satelliten erheben 11 00:00:38,820 --> 00:00:42,900 und schauen: Ist da Betrieb oder ist da alles kalt, es bewegt sich nichts? 12 00:00:43,600 --> 00:00:47,060 Produzieren die wahrscheinlich auch gerade gar nicht oder haben vielleicht noch nie 13 00:00:47,060 --> 00:00:48,060 produziert? 14 00:00:54,000 --> 00:00:57,880 Hallo und herzlich willkommen zu »Klüger als gestern«, einem Podcast des Rheinwerk 15 00:00:57,880 --> 00:00:58,880 Verlags. 16 00:00:58,340 --> 00:01:03,280 Mein Name ist Ali Hackalife und ich darf euch heute ein Buch aus dem Verlagskatalog 17 00:01:03,280 --> 00:01:05,540 vorstellen und mit dem Autor darüber reden. 18 00:01:06,060 --> 00:01:11,500 Mit dabei ist heute Samuel Lolagar, und wir sprechen über sein Buch »OSINT«. 19 00:01:11,700 --> 00:01:12,700 Hi Samuel. 20 00:01:13,280 --> 00:01:14,280 Hi, grüß dich. 21 00:01:14,280 --> 00:01:15,620 Vielen Dank für die Einladung. 22 00:01:15,980 --> 00:01:18,980 Danke an Rheinwerk für das Organisieren des Gesprächs und danke für deine Zeit. 23 00:01:19,460 --> 00:01:23,300 Das Buch »OSINT« ist erschienen mit dem Untertitel »Wie Sie Informationen finden, 24 00:01:23,440 --> 00:01:24,680 verifizieren und verknüpfen«. 25 00:01:25,640 --> 00:01:30,000 Bevor wir ins Buch einsteigen, würde ich sagen: Informationen verifizieren ist ja 26 00:01:30,000 --> 00:01:34,320 unabhängig von OSINT gerade das Thema der Stunde – mit so viel künstlicher 27 00:01:34,320 --> 00:01:36,680 Intelligenz, die Dinge generiert wie noch nie zuvor. 28 00:01:37,440 --> 00:01:40,700 Wie lange beschäftigt dich dieses Thema, also OSINT im Speziellen und das 29 00:01:40,700 --> 00:01:41,780 Verifizieren von Informationen? 30 00:01:43,580 --> 00:01:48,360 Das ist eine schwierige Frage, weil ich der Überzeugung bin, dass fast jeder in 31 00:01:48,360 --> 00:01:50,780 irgendeiner Art und Weise OSINT nutzt. 32 00:01:51,240 --> 00:01:56,460 Bei mir war es tatsächlich so, dass ich beim Einstieg bei der Kriminalpolizei im 33 00:01:56,460 --> 00:02:03,120 Bereich Internetbetrug ermittelt habe und mir irgendwann klar wurde: Das, was ich da 34 00:02:03,120 --> 00:02:05,780 im Internet ermittle, das hat einen Namen. 35 00:02:05,860 --> 00:02:07,600 Das nennt sich Open Source Intelligence. 36 00:02:08,400 --> 00:02:12,560 Natürlich habe ich in der Jugend auch schon im Internet herumgesurft und 37 00:02:12,560 --> 00:02:15,500 Informationen gesucht und manchmal auch gefunden. 38 00:02:16,100 --> 00:02:20,920 Aber dass sich das so professionalisiert hat, das war tatsächlich erst bei der 39 00:02:20,920 --> 00:02:21,960 Kriminalpolizei. 40 00:02:22,700 --> 00:02:25,280 Zur Kriminalpolizei kommt man ja nicht aus Versehen. 41 00:02:25,280 --> 00:02:28,260 Waren Ermittlungen schon etwas, das du immer verfolgt hast? 42 00:02:28,680 --> 00:02:29,680 Ja, natürlich. 43 00:02:30,080 --> 00:02:36,700 Wer sich als Jugendlicher oder als Kind schon für Detektivromane 44 00:02:37,740 --> 00:02:41,250 und Sonstiges interessiert, da sind Ermittlungen, glaube ich, nicht fernab. 45 00:02:41,560 --> 00:02:48,440 Und du hast vollkommen recht: Verifikation wird immer wichtiger, 46 00:02:48,980 --> 00:02:55,560 gerade heutzutage, wo es einfach ein Knopfdruck ist, mit dem man falsche 47 00:02:55,560 --> 00:02:58,760 Informationen erstellen kann, die wirklich glaubwürdig aussehen. 48 00:02:59,740 --> 00:03:03,700 Jetzt ist OSINT ja ein Sammelbegriff – Open Source Intelligence. 49 00:03:05,180 --> 00:03:08,920 Du schlüsselst in deinem Buch auf, welche Unterformen es davon gibt. 50 00:03:09,040 --> 00:03:15,207 Zum Beispiel, dass es einen eigenen Unterbegriff hat, wenn man explizit 51 00:03:15,207 --> 00:03:16,207 Informationen aus Social Media heraussucht. 52 00:03:15,540 --> 00:03:20,020 Lass uns mal kurz das Akronym OSINT zerlegen, wofür das steht. 53 00:03:20,240 --> 00:03:24,100 Bei »Open Source« denken die meisten vermutlich erstmal an Quellcode, den 54 00:03:24,100 --> 00:03:26,080 andere frei ins Internet gestellt haben. 55 00:03:27,020 --> 00:03:30,980 Ja, das ist leider etwas, was da sehr häufig mitschwingt. 56 00:03:31,360 --> 00:03:37,100 Tatsächlich ist Open Source Intelligence eine Informationsgewinnungsdisziplin, und 57 00:03:37,100 --> 00:03:41,020 da merkt man auch schon, das kommt aus dem nachrichtendienstlichen, militärischen 58 00:03:41,020 --> 00:03:42,020 Bereich. 59 00:03:43,020 --> 00:03:45,160 Staatlich war da der Ursprung. 60 00:03:47,900 --> 00:03:54,900 OSINT grenzt sich insofern von anderen Disziplinen ab, als eben offene 61 00:03:54,900 --> 00:04:01,213 Quellen, also Open Sources, als Datenquelle genutzt werden. 62 00:04:01,640 --> 00:04:06,080 Ansonsten ist es ja so, dass Nachrichtendienste Closed Sources haben. 63 00:04:06,400 --> 00:04:11,220 Das ist genau dieser Gegensatz: Open Sources, Closed Sources – also offene 64 00:04:11,220 --> 00:04:15,440 Quellen, geschlossene Quellen, oder staatliche Quellen, die speziell geschützt 65 00:04:15,440 --> 00:04:18,120 sind und die nicht jeder verfügbar hat. 66 00:04:18,640 --> 00:04:22,460 Was ich interessant finde, ist die Entwicklung, dass immer mehr Quellen 67 00:04:22,940 --> 00:04:23,940 öffentlich werden. 68 00:04:24,480 --> 00:04:30,980 Wenn wir uns Satellitenbilder betrachten: Vor zehn Jahren hatte kaum jemand Zugang 69 00:04:30,980 --> 00:04:32,240 zu Satellitenbildern. 70 00:04:33,220 --> 00:04:39,160 Heutzutage haben wir von jedem Quadratmeter der Welt Satellitenbilder in 71 00:04:39,160 --> 00:04:41,120 unserem Smartphone verfügbar. 72 00:04:41,120 --> 00:04:47,380 Wir haben für die meisten Städte 3D-Ansichten, sogar auf 73 00:04:47,380 --> 00:04:53,980 Straßenlevel, dass wir uns da bewegen können und alles betrachten können. 74 00:04:54,580 --> 00:04:59,420 Du machst in deinem Buch den Unterschied zwischen Open Source und Closed Source 75 00:04:59,420 --> 00:05:04,400 auch nochmal deutlich: Open Source bedeutet nicht, dass es frei verfügbar 76 00:05:04,400 --> 00:05:08,005 ist, sondern dass es einfach nur der Öffentlichkeit zugänglich ist. 77 00:05:08,005 --> 00:05:12,280 Also ein Buch, das erscheint, wie jetzt zum Beispiel dein Buch, würde auch unter 78 00:05:12,280 --> 00:05:13,460 die Open Sources fallen? 79 00:05:14,200 --> 00:05:18,600 Genau, ich ziehe die Grenze nicht bei »es sollte kostenlos sein«. 80 00:05:19,180 --> 00:05:25,970 Natürlich geht das in vielen Fällen einher, aber für ein 81 00:05:25,970 --> 00:05:30,020 Zeitschriftenabo oder das Buch zum Beispiel muss ich Geld bezahlen. 82 00:05:30,200 --> 00:05:33,120 Ich brauche aber keine besondere Eigenschaft – ich muss kein Amtsträger 83 00:05:33,120 --> 00:05:36,970 sein, ich muss nicht Mitglied eines bestimmten Unternehmens oder Verbands 84 00:05:37,160 --> 00:05:40,340 sein, dass ich das überhaupt erwerben darf. 85 00:05:41,180 --> 00:05:46,220 Jeder kann in seine Buchhandlung gehen und sagen: Ich möchte das Buch kaufen. 86 00:05:46,220 --> 00:05:52,100 Er legt das Geld auf den Tisch und kann dann die Informationen, die da 87 00:05:52,100 --> 00:05:53,280 drinstecken, verwerten. 88 00:05:54,320 --> 00:06:00,460 Und der zweite Teil des Akronyms, die Intelligence – eigentlich ja auch ein 89 00:06:00,460 --> 00:06:03,000 bisschen kompliziert, dass sowohl beim ersten als auch beim zweiten Teil die 90 00:06:03,000 --> 00:06:04,300 Leute falsche Vorstellungen haben. 91 00:06:04,860 --> 00:06:08,000 Aber wenn man es erstmal aufgeschlüsselt hat, ist der Begriff ganz gut. 92 00:06:08,000 --> 00:06:12,580 Und auch hier: Intelligence meint nicht, wie man plump annehmen könnte, Intelligenz 93 00:06:12,580 --> 00:06:14,740 – so wie bei Artificial Intelligence ja auch nicht. 94 00:06:15,460 --> 00:06:18,360 Künstliche Intelligenz finde ich auch da einen etwas schlechten Begriff. 95 00:06:18,800 --> 00:06:24,420 Aber Intelligence kommt aus dem Umfeld der Nachrichtendienste, die als Intelligence 96 00:06:24,420 --> 00:06:28,380 Services Informationen zusammentragen und kontextualisieren. 97 00:06:28,580 --> 00:06:33,020 Dieser Schritt, aus Daten Informationen und aus Informationen Kontext zu machen, 98 00:06:33,400 --> 00:06:36,800 das ist, wie du im Buch sagst, das, was sich hinter »Intelligence« verbirgt? 99 00:06:37,220 --> 00:06:40,780 Ein Stück weit verdiene ich ja auch damit mein Geld, diesen Begriff den Leuten 100 00:06:40,780 --> 00:06:41,780 nahezubringen. 101 00:06:42,540 --> 00:06:47,680 Tatsächlich könnte man Intelligence mit »Wissen« übersetzen, das geht schon eher 102 00:06:47,680 --> 00:06:48,680 in die Richtung. 103 00:06:49,100 --> 00:06:52,350 Am besten finde ich noch die deutsche Übersetzung mit »Erkenntnis« oder 104 00:06:52,420 --> 00:06:53,420 »Erkenntnisse«. 105 00:06:53,580 --> 00:06:59,040 Aber für mich steckt da noch mehr drin als rein Erkenntnis. 106 00:07:02,120 --> 00:07:06,440 Intelligence ist wirklich ein Prozess, weshalb ich sogar das gesamte Buch am 107 00:07:06,440 --> 00:07:11,940 Intelligence Cycle, auf den wir vielleicht nochmal genauer eingehen können, aufgebaut 108 00:07:11,940 --> 00:07:12,940 habe. 109 00:07:12,960 --> 00:07:18,940 Von der rein öffentlichen Quelle, den Daten, den Informationen, dann zu 110 00:07:18,940 --> 00:07:22,320 Intelligence, zu den Erkenntnissen hin – das ist ein Prozess. 111 00:07:22,320 --> 00:07:29,260 Und ihn überspringen viele, die mit OSINT starten oder vermeintlich OSINT nutzen. 112 00:07:30,040 --> 00:07:35,540 Ganz häufig nehmen die einfach etwas aus Social Media oder aus dem Internet und 113 00:07:35,540 --> 00:07:38,620 sagen dann: Ich habe dieses Bild gefunden, das ist jetzt OSINT. 114 00:07:38,620 --> 00:07:41,060 Und genau das ist eben nicht OSINT. 115 00:07:41,200 --> 00:07:44,540 In der IT-Security ist das auch ein verbreitetes Phänomen. 116 00:07:44,880 --> 00:07:47,540 Da wird oft gesagt: Ich mache OSINT. 117 00:07:47,540 --> 00:07:51,280 Und dann zieht man sich von irgendeinem beliebigen Vendor, also Dienstleister, 118 00:07:51,420 --> 00:07:57,560 einen Bericht über einen Bedrohungsakteur, einen Threat Actor, und sagt: Ich habe 119 00:07:57,560 --> 00:07:58,560 jetzt OSINT gemacht. 120 00:07:59,780 --> 00:08:05,060 Der Dienstleister hat vielleicht OSINT betrieben und Intelligence produziert, 121 00:08:05,120 --> 00:08:09,240 aber nur einen Bericht zu nehmen und zu sagen »Copy-Paste, jetzt habe ich 122 00:08:09,240 --> 00:08:14,240 Intelligence erschaffen«, das ist eben falsch, weil es um diese 123 00:08:14,240 --> 00:08:17,520 Kontextualisierung, Verifizierung und Analyse geht. 124 00:08:18,220 --> 00:08:22,400 Ich würde sagen, ein sehr griffiges Beispiel von OSINT in praktischer 125 00:08:22,400 --> 00:08:24,300 Anwendung ist GeoGuessr. 126 00:08:24,300 --> 00:08:28,080 Das ist auch etwas, wo ich viele Stunden hineinversenken kann, Leuten dabei 127 00:08:28,080 --> 00:08:29,280 zuzuschauen, wenn sie erklären. 128 00:08:30,780 --> 00:08:35,040 Kurz für alle, die es nicht kennen: GeoGuessr ist ein Spiel, bei dem man einen 129 00:08:35,040 --> 00:08:39,160 Ausschnitt aus Google Street View bekommt und möglichst genau auf einer Weltkarte 130 00:08:39,160 --> 00:08:41,800 positionieren muss, wo der Ausschnitt aufgenommen wurde. 131 00:08:43,100 --> 00:08:46,030 Google Street View ist mittlerweile weltumspannend, nicht in allen Ländern, 132 00:08:46,080 --> 00:08:47,220 aber in sehr vielen. 133 00:08:47,700 --> 00:08:50,930 Und dann gibt es Leute, die in Meisterschaften gegeneinander antreten und 134 00:08:51,040 --> 00:08:55,340 sagen: Weil hier die Leitplanke folgende Farbe hat und das Verkehrsschild mit 135 00:08:55,340 --> 00:08:58,760 folgender Schrift ist, muss das auf jeden Fall in dieser Provinz in Norwegen sein. 136 00:09:00,300 --> 00:09:05,040 Ich bin jedes Mal fasziniert davon, wie viel von solchen Kleinstdetails Leute 137 00:09:05,040 --> 00:09:08,680 wissen, wie methodisch man da vorgehen kann, was es für Eselsbrücken gibt. 138 00:09:09,440 --> 00:09:12,800 Da würde ich sagen, sieht man OSINT in der praktischen Anwendung. 139 00:09:12,820 --> 00:09:17,860 Du hast einen gegebenen Datenabschnitt, nämlich dieses Foto, und jetzt ist die 140 00:09:17,860 --> 00:09:18,960 Frage: Wo findet das statt? 141 00:09:19,560 --> 00:09:23,713 Dann sammle ich erstmal alles, was ich an diesem Datenausschnitt an Information 142 00:09:23,960 --> 00:09:24,960 finde. 143 00:09:25,340 --> 00:09:28,960 Gibt es auffallende Strommasten, gibt es auffallende Poller, gibt es auffallende 144 00:09:28,960 --> 00:09:31,630 Schilder, welche Sprache steht auf den Schildern, gibt es vielleicht irgendetwas, 145 00:09:31,760 --> 00:09:34,880 das mir schon direkt einen guten Anhaltspunkt gibt, weil auf einem Plakat 146 00:09:34,880 --> 00:09:38,280 eine Domain steht, die auf Punkt NL endet, und dann weiß ich, ich bin vermutlich in 147 00:09:38,280 --> 00:09:39,280 den Niederlanden? 148 00:09:41,480 --> 00:09:45,240 Aus diesen Informationen kann ich dann nach und nach den Kontext, also die 149 00:09:45,240 --> 00:09:49,820 Intelligence, bilden und sagen: Das Foto wurde in Nordbrabant aufgenommen, und hier 150 00:09:49,820 --> 00:09:52,940 ist die Ecke, an der es aufgenommen wurde, weil nur an dieser Ecke eine 151 00:09:52,940 --> 00:09:56,830 Straßenlaterne in Verbindung zu einem Highway steht. 152 00:09:57,140 --> 00:10:02,740 Da gibt es verschiedene Möglichkeiten, Intelligence zu produzieren. 153 00:10:02,760 --> 00:10:07,560 Und ich finde das immer sehr griffig und gut anzuschauen, wie aus Daten 154 00:10:07,560 --> 00:10:11,160 Informationen werden und nach und nach Deduktion passiert. 155 00:10:11,620 --> 00:10:12,620 Absolut. 156 00:10:12,060 --> 00:10:15,100 GeoGuessr ist sowieso ein interessantes Phänomen. 157 00:10:15,100 --> 00:10:21,240 Da kann man sehr viel Zeit aufbringen – verschwenden, hätte ich jetzt fast gesagt. 158 00:10:22,340 --> 00:10:26,420 Ich finde es beeindruckend, weil es da wirklich Koryphäen gibt, gerade im Bereich 159 00:10:26,420 --> 00:10:31,240 Geolocation, also herauszufinden, wo ein Foto oder Video aufgenommen wurde. 160 00:10:31,640 --> 00:10:38,200 Da gibt es Leute, die können wortwörtlich eine Düne in der Wüste lokalisieren. 161 00:10:38,920 --> 00:10:41,600 Das ist sehr faszinierend. 162 00:10:41,620 --> 00:10:45,060 Und das macht für mich auch OSINT so reizvoll, weil es eben sehr vielfältig 163 00:10:45,060 --> 00:10:46,060 ist. 164 00:10:46,400 --> 00:10:52,360 Diesen Aufnahmeort zu bestimmen, das ist ein Teilbereich, eine Teildisziplin. 165 00:10:54,160 --> 00:11:01,040 Die Vielfalt macht das Thema interessant, weil man ja alle Quellen verwenden 166 00:11:01,040 --> 00:11:03,600 kann, die öffentlich zugänglich sind. 167 00:11:05,720 --> 00:11:10,280 Es gibt einfach unendlich viele Quellen oder zumindest gefühlt unendlich viele 168 00:11:10,280 --> 00:11:11,280 Quellen. 169 00:11:11,760 --> 00:11:15,840 Manchmal kommt es eben auf die kreative Nutzung an. 170 00:11:16,280 --> 00:11:22,280 Ein Beispiel, das ich gerne heranziehe, ist aus dem Zweiten Weltkrieg. 171 00:11:23,720 --> 00:11:27,540 Die Alliierten haben den Preis von Orangen beobachtet. 172 00:11:28,360 --> 00:11:31,260 Man könnte sich fragen: Warum machen die das? 173 00:11:32,320 --> 00:11:38,360 Tatsächlich war es so, dass sie anhand des Orangenpreises Rückschlüsse darauf ziehen 174 00:11:38,360 --> 00:11:43,360 konnten, ob Angriffe auf Brücken und Bahnschienen erfolgreich waren. 175 00:11:44,300 --> 00:11:49,480 Wir wissen: Orangen in Deutschland anzupflanzen ist nicht so einfach, 176 00:11:49,920 --> 00:11:51,360 deswegen werden die importiert. 177 00:11:51,860 --> 00:11:56,660 Wenn so ein Angriff erfolgreich ist, dann ist der Import schwieriger, gestört, 178 00:11:57,960 --> 00:12:02,040 aufwendiger, verzögert sich – und Angebot-Nachfrage, entsprechend entwickelt 179 00:12:02,040 --> 00:12:03,040 sich der Preis. 180 00:12:03,620 --> 00:12:10,320 Da steckt für mich so viel drin, was OSINT auch bezeichnend macht. 181 00:12:10,700 --> 00:12:16,800 Es ist natürlich wesentlich gefährlicher, wenn ich irgendwo hingehe, wo ein Angriff 182 00:12:16,800 --> 00:12:21,520 stattgefunden hat, mich mit einem Fernglas ins Feld stelle und schaue: Okay, die 183 00:12:21,520 --> 00:12:22,980 Brücke ist tatsächlich kaputt. 184 00:12:23,020 --> 00:12:27,940 Dann kann ich genau da aufgegriffen werden und muss mich Fragen stellen. 185 00:12:29,080 --> 00:12:35,600 Wenn ich aber einfach zum Marktplatz gehe und frage »Was kosten die Orangen?«, ist 186 00:12:35,600 --> 00:12:38,620 das wenig verwerflich und erweckt keinen Verdacht. 187 00:12:38,780 --> 00:12:42,040 Und dann geht es ja noch weiter: Ich muss die Informationen auch noch aus dem Land 188 00:12:42,040 --> 00:12:43,040 herausbekommen. 189 00:12:43,320 --> 00:12:47,280 Wenn ich meiner Tante in London eine Postkarte schreibe und sage »Ich hätte 190 00:12:47,280 --> 00:12:54,260 eigentlich gerne wieder Orangenmarmelade gemacht, aber der Preis ist um eine Marke 191 00:12:54,260 --> 00:12:58,360 gestiegen, deswegen mache ich das jetzt erstmal nicht, und ich hoffe, bei dir ist 192 00:12:58,360 --> 00:13:03,440 alles gut«, dann erweckt das auch keinen Verdacht, wenn das durch die Zensur geht. 193 00:13:04,560 --> 00:13:08,200 Und bei so etwas ist auch wieder die Spannbreite von bis. 194 00:13:09,200 --> 00:13:13,640 Der Juwel Noah Harari erzählt unter anderem die Geschichte, dass sie, um 195 00:13:14,680 --> 00:13:18,860 während des Zweiten Weltkriegs zu kommunizieren, mit Jalousien, die auf und 196 00:13:18,860 --> 00:13:23,000 zu waren, Informationen übermittelt haben, weil man die schon von der Küste aus von 197 00:13:23,000 --> 00:13:27,100 Fischerbooten sehen konnte und gesehen hat: Hier sind drei Fenster, da sind die 198 00:13:27,100 --> 00:13:28,100 Jalousien unten. 199 00:13:28,100 --> 00:13:30,740 Wenn jetzt beim vierten Fenster die Jalousie oben ist, will der, der sie 200 00:13:30,740 --> 00:13:32,460 verstellt, uns eine Information mitteilen. 201 00:13:32,860 --> 00:13:37,380 Solche Daten, die im Offensichtlichen versteckt sind, weil das Jalousien mal 202 00:13:37,380 --> 00:13:40,580 oben und mal unten sind – das ist die Natur einer Jalousie –, aber dass jemand 203 00:13:40,580 --> 00:13:45,860 die benutzt, um damit zu kommunizieren, um die Ecke zu denken, das ist auch Teil von 204 00:13:45,860 --> 00:13:48,060 dem, womit OSINT spielt. 205 00:13:48,120 --> 00:13:51,980 Die Frage: Wie kann ich nicht nur Informationen gewinnen, sondern mit der 206 00:13:51,980 --> 00:13:55,440 Information auch selbst sicher arbeiten, ohne mich zu verraten? 207 00:13:55,860 --> 00:13:58,960 Das gehst du in deinem Buch auch durch, neben der Gewinnung. 208 00:13:59,940 --> 00:14:03,360 Welche Information kann ich bekommen, wie kann ich die auswerten, welche Information 209 00:14:03,360 --> 00:14:07,360 darf ich auswerten – aber dann auch: Wie arbeite ich damit sicher, dass es nicht 210 00:14:07,360 --> 00:14:08,440 völlig auffällig ist? 211 00:14:08,640 --> 00:14:13,560 Da gibst du selbst ein Bekenntnis ab, dass du mit einem privaten Account etwas 212 00:14:13,560 --> 00:14:16,120 nachgeschaut hast, wo du dann Spuren hinterlassen hast. 213 00:14:16,280 --> 00:14:21,580 Die Frage, welche Spuren hinterlasse ich generell und welche, die auf mich deuten, 214 00:14:21,760 --> 00:14:25,640 ist auch etwas, womit sich dein Buch und die OSINT-Community befasst. 215 00:14:26,700 --> 00:14:32,660 Ja, das läuft mittlerweile unter dem Begriff OPSEC, Operational Security, was 216 00:14:32,660 --> 00:14:36,260 auch ein militärischer Begriff ist beziehungsweise aus dem Militärischen 217 00:14:36,260 --> 00:14:37,260 stammt. 218 00:14:37,240 --> 00:14:43,920 Da geht es darum, dass wir Informationen zu Ermittlungen, zu Operationen 219 00:14:43,920 --> 00:14:46,360 schützen und damit auch uns selbst. 220 00:14:46,580 --> 00:14:52,400 Nicht jeder versucht nur herauszufinden, wo auf der Welt ein Ausschnitt von Google 221 00:14:52,400 --> 00:14:58,060 Street View lokalisiert ist, sondern es gibt natürlich auch Leute, die in 222 00:14:58,060 --> 00:15:04,220 sensibleren Bereichen ermitteln, sei es Terrorismus, organisierte Kriminalität, 223 00:15:04,740 --> 00:15:06,600 Kinderpornografie und Sonstiges. 224 00:15:07,160 --> 00:15:13,200 Da hat man es vielleicht auch mit Leuten zu tun, die ganz genau wissen, was sie 225 00:15:13,200 --> 00:15:20,160 tun, und sich entsprechend schützen, Informationen zu sich verbergen, 226 00:15:20,620 --> 00:15:27,380 aber auch Gegenmaßnahmen treffen, wenn sie den Verdacht haben, dass ihnen jemand auf 227 00:15:27,380 --> 00:15:28,380 die Schliche kommt. 228 00:15:29,580 --> 00:15:32,320 Deswegen ist dieses Thema relevant. 229 00:15:33,380 --> 00:15:37,600 Ganz grundsätzliche Standards, die eigentlich jeder beherzigen sollte, der 230 00:15:37,600 --> 00:15:40,700 sich im Internet bewegt, müssen auf alle Fälle sitzen. 231 00:15:41,380 --> 00:15:46,260 Darüber hinaus dann je nach Bedrohungsniveau noch zusätzliche 232 00:15:46,260 --> 00:15:47,260 Maßnahmen. 233 00:15:47,420 --> 00:15:51,660 Du sagst »ganz grundsätzliche Standards« – ich würde sagen, große Teile dessen, was 234 00:15:51,660 --> 00:15:55,420 du da vorstellst, würde ich unter Medienkompetenz zusammenfassen. 235 00:15:55,720 --> 00:16:01,040 Das, was ich als Informatiker und Nerd darunter verstehe, dass man im Zweifel 236 00:16:01,040 --> 00:16:04,980 nachvollziehen kann, wo kommt diese Quelle her, wie ist diese Quelle zustande 237 00:16:04,980 --> 00:16:05,980 gekommen. 238 00:16:05,840 --> 00:16:11,560 Und du sagst ja, das Verifizieren von Informationen steht schon im Untertitel 239 00:16:11,560 --> 00:16:12,560 deines Buchs. 240 00:16:12,840 --> 00:16:15,740 Ich würde sagen, das ist die Frage des aktuellen Zeitalters. 241 00:16:16,060 --> 00:16:18,820 Wenn Leute mich fragen: Wie bekommt man Medienkompetenz in die Schüler? 242 00:16:18,820 --> 00:16:23,340 – dann ist das sehr nah an dem, was du vorstellst: dass es eine Reverse Image 243 00:16:23,340 --> 00:16:27,020 Search gibt, dass man mit Google ein Ergebnis finden kann, das wortgleich ist 244 00:16:27,020 --> 00:16:29,640 zu dem, was ich suchen möchte, und nicht nur etwas, das Google mir dafür 245 00:16:29,640 --> 00:16:30,840 vorschlägt, und so weiter. 246 00:16:31,600 --> 00:16:35,520 Große Teile deines Buches, vor allem bei der Methodik, sind ja Medienkompetenz. 247 00:16:36,300 --> 00:16:40,680 Da ist vielleicht die interessante Frage: Wo beginnt es, von der Medienkompetenz weg 248 00:16:40,680 --> 00:16:47,320 zu speziell für OSINT-Anwendungen, für Operatives, für Recherchen, für 249 00:16:47,320 --> 00:16:48,500 Ermittlungen, relevant zu werden? 250 00:16:49,740 --> 00:16:53,980 Oh, das ist eine sehr gute Frage, die ich mir so noch gar nicht gestellt habe. 251 00:16:55,360 --> 00:17:01,820 Zum einen teile ich auf alle Fälle deine Meinung: Medienkompetenz ist 252 00:17:01,820 --> 00:17:08,020 heutzutage noch wichtiger als früher und wird, glaube ich, immer wichtiger. 253 00:17:08,900 --> 00:17:13,560 Von daher freue ich mich, wenn das Buch vielleicht auch eine neue Zielgruppe damit 254 00:17:13,560 --> 00:17:14,560 ansprechen kann. 255 00:17:15,440 --> 00:17:19,480 Wo hört Medienkompetenz auf und wo fangen Ermittlungen an? 256 00:17:20,020 --> 00:17:25,860 Ich glaube, da kann man gar nicht so einen klaren Cut ziehen, weil Ermittlungen, 257 00:17:27,100 --> 00:17:32,420 zumindest wenn man sie sauber macht, sowieso immer in beide Richtungen 258 00:17:32,420 --> 00:17:36,420 recherchieren müssen – einmal belastend, entlastend, wenn wir im Bereich der 259 00:17:36,420 --> 00:17:37,500 Strafverfolgung sind. 260 00:17:39,340 --> 00:17:46,060 Dann muss man sich an jeder Stelle fragen: Was, wenn diese Information gefälscht ist? 261 00:17:46,420 --> 00:17:48,760 Was, wenn diese Information manipuliert ist? 262 00:17:48,840 --> 00:17:54,980 Das heißt, Medienkompetenz und Verifikation sind in jedem Schritt 263 00:17:56,120 --> 00:17:57,180 eingebettet. 264 00:17:57,920 --> 00:18:02,740 Deswegen kann ich da gar nicht so eine klare Grenze ziehen und sagen: Hier hört 265 00:18:02,740 --> 00:18:04,120 Medienkompetenz auf. 266 00:18:04,120 --> 00:18:10,000 Im Bereich OPSEC, also wenn ich mich schütze, gibt es auch große 267 00:18:10,000 --> 00:18:16,280 Überschneidungen mit dem, was jeder beherzigen sollte, wie ich eben 268 00:18:17,380 --> 00:18:18,380 angedeutet habe. 269 00:18:19,060 --> 00:18:24,320 Das sind für mich Standards: dass ich sichere Passwörter habe, dass ich ein 270 00:18:24,320 --> 00:18:26,580 System habe, das up to date ist. 271 00:18:26,580 --> 00:18:32,520 Das sollte meiner Meinung nach jeder beherzigen, um sich keiner Gefahr 272 00:18:32,520 --> 00:18:33,520 auszusetzen. 273 00:18:33,840 --> 00:18:37,640 Wenn es jetzt aber sensiblere Bereiche sind und man anfängt, wirklich eine 274 00:18:37,640 --> 00:18:43,560 virtuelle Maschine aufzusetzen, Rechercheidentitäten zu erstellen, dann 275 00:18:43,560 --> 00:18:48,707 verlassen wir, glaube ich, den Bereich, der für den Otto Normalverbraucher 276 00:18:49,300 --> 00:18:52,560 relevant und sinnvoll ist. 277 00:18:53,620 --> 00:18:59,700 Ich würde für mich persönlich die Grenze ziehen zwischen dem Abwägen von Risiken 278 00:18:59,700 --> 00:19:04,920 und dass ich im Alltag vor allem den Leuten mit Medienkompetenz mitgeben 279 00:19:04,920 --> 00:19:07,880 möchte, dass sie wissen, welche Risiken sie eingehen. 280 00:19:08,020 --> 00:19:12,160 Das wäre mein Anspruch an eine informierte, digitale Gesellschaft. 281 00:19:12,680 --> 00:19:16,780 Dass wir jetzt miteinander reden und ich nicht mit einem Handtuch über dem Kopf an 282 00:19:16,780 --> 00:19:22,160 meinem Laptop sitze und die Mikrofone alle physisch getrennt sind – so wie Edward 283 00:19:22,160 --> 00:19:25,600 Snowden, wenn er Dinge in seinen Computer eintippt, weil er davon ausgehen muss, 284 00:19:25,600 --> 00:19:29,840 dass seine Maschine überwacht wird –, bedeutet ja auch, dass ich verstehe, dass 285 00:19:29,840 --> 00:19:33,900 das Risiko bei mir, dass mein Computer explizit gerade abgehört wird, relativ 286 00:19:33,900 --> 00:19:34,900 gering ist. 287 00:19:35,620 --> 00:19:40,420 Ich glaube, dieses Bewusstsein zu schaffen für: Es geht immer noch abgeschlossener, 288 00:19:40,500 --> 00:19:45,540 es geht immer noch sicherer, aber die Convenience, die man dafür einbüßt, ist 289 00:19:45,540 --> 00:19:46,980 irgendwann auch irrational. 290 00:19:48,420 --> 00:19:54,080 Da würde ich sagen, das ist der Grad zu Medienkompetenz – verstehen, was in meinem 291 00:19:54,080 --> 00:19:57,660 Alltag gegen mich verwendet werden kann, was wird gegen mich verwendet, und warum 292 00:19:57,660 --> 00:20:01,400 ist es okay, dass ich private Daten auf meinem Laptop habe, aber nicht okay, dass 293 00:20:01,400 --> 00:20:03,100 ich private Daten auf Social Media teile? 294 00:20:03,220 --> 00:20:05,980 Ich denke, irgendwo in dieser Güterabwägung findet für mich 295 00:20:05,980 --> 00:20:06,980 Medienkompetenz statt. 296 00:20:07,520 --> 00:20:11,400 Bei OSINT würde ich aus dem Bauch heraus sagen: Das ist ab dem Moment, wo man das 297 00:20:11,400 --> 00:20:13,240 Ganze operationalisiert. 298 00:20:13,500 --> 00:20:15,540 Wir werden ja gleich noch über den Intelligence Cycle reden. 299 00:20:15,600 --> 00:20:19,700 Aber ab dem Moment, wo ich nicht auf gut Glück mal losscharwenzle und mich im 300 00:20:19,700 --> 00:20:24,400 Internet umschaue, sondern ab dem Moment, wo ich mit einem klaren Ziel und vor allem 301 00:20:24,400 --> 00:20:27,930 der Aufbereitung des Ganzen drangehe, da würde ich sagen, beginnt für mich OSINT. 302 00:20:28,140 --> 00:20:29,660 Würdest du das so ungefähr teilen? 303 00:20:30,180 --> 00:20:32,420 Ja, das macht durchaus Sinn. 304 00:20:33,180 --> 00:20:38,660 Kleiner Funfact, weil du eben gesagt hast »nicht mit dem Handtuch vorm Mikrofon 305 00:20:38,660 --> 00:20:42,560 sitzen«: Ich weiß nicht, ob du das gesehen hast, aber teilweise wird das unter 306 00:20:42,560 --> 00:20:49,440 Podcastern als Geheimtipp gehandelt, dass man eben mit einer Decke über dem Kopf ins 307 00:20:49,440 --> 00:20:52,060 Mikrofon spricht, damit man einen besseren Sound hat. 308 00:20:52,480 --> 00:20:56,980 Ja, ich kenne auch Leute, die ganze Hip-Hop-Alben so eingerappt haben, damit 309 00:20:56,980 --> 00:20:58,360 es nicht so hallig klingt. 310 00:20:58,580 --> 00:21:01,700 Im Kleiderschrank, genau. 311 00:21:02,980 --> 00:21:06,280 Aber auch das: Viele Geräte bieten mittlerweile so Sachen wie einen 312 00:21:06,280 --> 00:21:07,460 Lockdown-Modus an. 313 00:21:07,880 --> 00:21:11,040 Wenn man sich anschaut, wie Leute auf hoher Sicherheitsstufe ihre Geräte 314 00:21:11,040 --> 00:21:15,660 eingerichtet bekommen – da gibt es einen Bit, wo Obama bei so einer Late-Night-Show 315 00:21:16,000 --> 00:21:19,680 war und sagt, er hat jetzt endlich ein iPhone bekommen, aber er darf damit keine 316 00:21:19,680 --> 00:21:23,360 Fotos machen, er kann das Web nicht browsen, er kann nur von vorgespeicherten 317 00:21:23,360 --> 00:21:24,560 Kontakten angerufen werden. 318 00:21:25,000 --> 00:21:27,920 Alle Funktionen, für die man ein iPhone haben wollte, sind aus Sicherheitsgründen 319 00:21:27,920 --> 00:21:28,920 abgestellt. 320 00:21:29,140 --> 00:21:32,900 Jetzt verstehe ich, dass man, wenn man der Präsident der USA ist, da limitierte 321 00:21:32,900 --> 00:21:36,440 Zugriffe hat, damit man nicht aus Versehen wichtige Informationen verteilt. 322 00:21:36,700 --> 00:21:41,240 Aber unsereins geht ja eben darauf ein, zu sagen: Ich bin nicht so eine 323 00:21:41,240 --> 00:21:44,380 Hochrisikoperson, deswegen gehe ich damit entspannter um. 324 00:21:45,300 --> 00:21:49,980 Genau, du hast das eben als Güterabwägung bezeichnet, und das trifft es ganz gut. 325 00:21:50,960 --> 00:21:52,480 Ich teile auch deine Meinung. 326 00:21:52,580 --> 00:21:59,140 Ich sage immer: Benutzerkomfort und Sicherheit stehen sich quasi 327 00:21:59,140 --> 00:22:03,780 gegenüber, und man muss schauen, dass die Balance für einen passt. 328 00:22:04,820 --> 00:22:09,480 Ein hundertprozentig sicheres System gibt es ohnehin nicht, aber ein 329 00:22:09,480 --> 00:22:13,720 Hochsicherheitssystem ist vom Benutzerkomfort einfach nicht mehr schön. 330 00:22:14,940 --> 00:22:21,940 Die Erfahrung zeigt, dass wenn zu 331 00:22:21,940 --> 00:22:27,980 viele Sicherheitskontrollen implementiert werden, die Nutzer anfangen, diese zu 332 00:22:27,980 --> 00:22:32,380 umgehen und einen Shortcut zu finden – dann ein sehr einfaches Passwort 333 00:22:32,380 --> 00:22:35,800 verwenden, weil sie das Passwort immer wieder eintippen müssen. 334 00:22:36,520 --> 00:22:42,880 Ein klassisches Beispiel: Man hat irgendwann angefangen zu sagen, alle 90 335 00:22:42,880 --> 00:22:44,760 Tage muss man ein neues Passwort vergeben. 336 00:22:46,180 --> 00:22:50,700 Den meisten Leuten war das ein Graus, und dann haben sie eben gesagt: Passwort 1, 337 00:22:50,800 --> 00:22:54,820 Passwort 2, Passwort 3 – und haben das durchiteriert. 338 00:22:55,180 --> 00:22:59,160 Was natürlich fatal für die Sicherheit ist, weil ich, sobald ich ein Passwort 339 00:22:59,160 --> 00:23:02,360 kenne, die anderen ableiten kann. 340 00:23:02,960 --> 00:23:09,080 Ja, ich kenne genau das aus der praktischen Anwendung: Wenn man behördlich 341 00:23:09,080 --> 00:23:13,820 sagt »Wir geben hier alle drei Monate ein neues Passwort«, dann konntest du davon 342 00:23:13,820 --> 00:23:19,920 ausgehen, dass das Passwort die letzten drei Male war: Büroschneidereit Sommer, 343 00:23:19,920 --> 00:23:24,200 Büroschneidereit Herbst, Büroschneidereit Winter – was wird wohl das Passwort 344 00:23:24,200 --> 00:23:26,680 gewesen sein, als es das nächste Mal aktualisiert wurde? 345 00:23:26,680 --> 00:23:33,200 Genauso etwas: Wir hatten gerade aktuell den Fall mit der 346 00:23:33,200 --> 00:23:38,900 Bundestagspräsidentin Julia Klöckner, die bei Signal ihren PIN von der 347 00:23:38,900 --> 00:23:40,740 Passwortanfrage rausgegeben hat. 348 00:23:41,240 --> 00:23:45,120 Sie hat verteidigend gesagt: Ja, aber ich werde das so oft gefragt, ich habe das so 349 00:23:45,120 --> 00:23:48,840 oft eingegeben, wenn es angefordert war, dass mir nicht aufgefallen ist, dass 350 00:23:48,840 --> 00:23:50,760 dieses eine Mal eben ein Angreifer war. 351 00:23:51,240 --> 00:23:52,240 Und so etwas passiert halt. 352 00:23:52,200 --> 00:23:57,180 Wenn wir die Nachfragen hochschrauben, dann sind die Leute davon genervt, werden 353 00:23:57,180 --> 00:23:59,020 fahrlässig und begehen solche Fehler. 354 00:24:00,300 --> 00:24:04,020 Du listest in deinem Buch verschiedene Bereiche auf, in denen OSINT praktische 355 00:24:04,020 --> 00:24:08,680 Anwendung findet: den Journalismus, Unternehmen, also die Wirtschaft, und die 356 00:24:08,680 --> 00:24:09,680 Wissenschaft. 357 00:24:09,680 --> 00:24:14,240 Im journalistischen Kontext habe ich es öfter erlebt – sowohl, dass ich angefragt 358 00:24:14,240 --> 00:24:17,580 wurde, ob ich Journalisten helfen kann, als auch, dass ich Journalisten zugeschaut 359 00:24:17,580 --> 00:24:20,420 habe und dachte: Das hättet ihr einfacher haben können. 360 00:24:22,200 --> 00:24:26,180 Ganz konkret wurde ich gefragt: Ist das Video aktuell und von wo ist das? 361 00:24:26,360 --> 00:24:32,640 Auf dem Video sah man anzügliche Szenen auf einer Karnevalsparade in Spanien, 362 00:24:33,080 --> 00:24:34,640 und keiner wusste, wo das war. 363 00:24:34,860 --> 00:24:37,860 Dann habe ich mich hingesetzt und habe aus den Dingen, die in dem Video zu sehen 364 00:24:37,860 --> 00:24:42,620 waren – da war ein Zahnarzt, da war eine Ampel mit einem Straßenübergang, da war 365 00:24:42,620 --> 00:24:46,520 eine Fußgängerzone, da war ein Café –, angefangen, diese Informationen zu einem 366 00:24:46,520 --> 00:24:50,620 Layer zu basteln, mit dem ich dann in OpenStreetMap herausfinden konnte: Es gibt 367 00:24:50,620 --> 00:24:53,940 acht Orte in Spanien, auf die das zutrifft, dass dort von dieser 368 00:24:53,940 --> 00:24:57,580 Zahnarztpraxiskette eine Filiale ist und direkt daneben eine Ampel. 369 00:24:57,900 --> 00:25:01,100 Dann gucken wir doch mal, welche von denen in echt so aussehen wie in dem Video. 370 00:25:01,100 --> 00:25:05,420 Innerhalb von vielleicht zwei Stunden herausgefunden, wo genau dieser Clip 371 00:25:05,420 --> 00:25:06,420 aufgenommen wurde. 372 00:25:06,580 --> 00:25:11,160 Dann konnte man mit lokalen Medien verifizieren: Das ist da vor wenigen 373 00:25:11,160 --> 00:25:13,580 Stunden passiert, gibt auch schon die ersten Leute, die sich beschweren. 374 00:25:13,580 --> 00:25:17,480 Und man konnte verifizieren: Nicht nur im Internet geht ein Clip rum, sondern in der 375 00:25:17,480 --> 00:25:19,960 Ortschaft in Spanien ist Folgendes passiert. 376 00:25:21,380 --> 00:25:26,040 Das ist etwas, wo ich sagen würde, das fällt unter OSINT, also mit öffentlichen 377 00:25:26,040 --> 00:25:27,440 Daten und den entsprechenden Tools. 378 00:25:27,440 --> 00:25:31,060 Das war jetzt Advanced GeoGuessr, um ehrlich zu sein. 379 00:25:31,160 --> 00:25:36,600 Aber im weitesten Sinne, das, was der OSINT-Journalismus macht, das, glaube ich, 380 00:25:36,660 --> 00:25:39,300 können sich viele Leute auch noch vorstellen: dass Journalisten ihre Quellen 381 00:25:39,300 --> 00:25:43,660 entsprechend verifizieren oder Netzwerke aufdecken, indem sie schauen, wer mit wem 382 00:25:43,660 --> 00:25:44,830 öffentlich irgendwo vernetzt ist. 383 00:25:44,860 --> 00:25:48,340 Aber für die anderen Bereiche, für Wissenschaft und für Unternehmen und 384 00:25:48,340 --> 00:25:50,300 Industrie, ist es vielleicht etwas komplizierter. 385 00:25:50,300 --> 00:25:51,300 Kannst du da Beispiele nennen? 386 00:25:51,680 --> 00:25:56,700 Ja, der Wirtschaftssektor holt da sehr stark auf. 387 00:25:57,020 --> 00:26:03,940 Da muss man sehen: Unternehmen, gerade große Unternehmen, haben schon 388 00:26:03,940 --> 00:26:09,280 fast – ich will jetzt nicht sagen staatliche Strukturen, aber schon vieles, 389 00:26:09,280 --> 00:26:11,840 was auch eine Behörde abbildet. 390 00:26:12,580 --> 00:26:18,360 Im Bereich der Öffentlichkeitsarbeit fängt es an: ein Medienscreening, was wird über 391 00:26:18,360 --> 00:26:19,640 das Unternehmen gesagt. 392 00:26:20,280 --> 00:26:25,580 Im Bereich der Entwicklung: Konkurrenzanalyse, also wer sind meine 393 00:26:25,580 --> 00:26:29,760 Konkurrenten, was machen die, haben die irgendwelche Patente angemeldet, 394 00:26:29,760 --> 00:26:34,980 Stellenausschreibungen, was für Kompetenzen suchen die – daraus kann ich 395 00:26:34,980 --> 00:26:38,340 ableiten, was haben die vielleicht vor, was wollen die bauen. 396 00:26:39,700 --> 00:26:44,200 Preisgestaltung, Prospekte – all das sind öffentliche Quellen, die ich für mein 397 00:26:44,420 --> 00:26:51,120 Unternehmen nutzen kann, um zu bewerten: In welcher Nische entwickelt sich 398 00:26:51,120 --> 00:26:57,940 mein Konkurrent, was sind deren Werte, wo hebe ich mich vielleicht auch von 399 00:26:57,940 --> 00:27:02,440 der Konkurrenz ab, wie ist die Preisgestaltung, mit welchen 400 00:27:02,440 --> 00:27:04,400 Dienstleistern arbeiten die zusammen? 401 00:27:05,120 --> 00:27:07,900 Die ganze Supply Chain kann ich mir anschauen. 402 00:27:08,060 --> 00:27:12,780 Dann aber auch, wenn ich mit einem Unternehmen Geschäfte machen möchte: Nicht 403 00:27:12,780 --> 00:27:19,720 nur in Social Media wird viel gefaket, auch im Unternehmenskontext wird natürlich 404 00:27:19,720 --> 00:27:22,680 versucht, sich besser darzustellen, als man vielleicht ist. 405 00:27:23,160 --> 00:27:27,220 Das läuft dann so unter dem Bereich Due Diligence, dass ich schaue: Wer sind meine 406 00:27:27,220 --> 00:27:28,220 Geschäftspartner? 407 00:27:29,420 --> 00:27:33,900 Ist das vielleicht ein Unternehmen, das sanktioniert ist, also wo ich Probleme 408 00:27:33,900 --> 00:27:38,380 bekomme, wenn ich mit dem zusammenarbeite, weil ich gegen Sanktionen verstoße? 409 00:27:38,460 --> 00:27:45,280 Oder ist das ein Unternehmen, das mir zwar Lieferungen, Leistungen verspricht, die 410 00:27:45,280 --> 00:27:50,240 aber gar nicht einhalten kann, weil hinter der Fassade gar kein Geschäftsbetrieb 411 00:27:50,240 --> 00:27:51,240 existiert? 412 00:27:51,080 --> 00:27:57,840 Das sind alles Themen, die kann man mittels OSINT-Quellen sehr gut aufklären, 413 00:27:58,000 --> 00:28:04,240 weil man schauen kann: Wie viele Mitarbeiter finde ich denn über Social 414 00:28:04,240 --> 00:28:06,940 Media, also LinkedIn, Xing und Co.? 415 00:28:07,940 --> 00:28:11,900 Teilweise könnte man sogar so weit gehen: Wenn ich ein produzierendes Gewerbe habe 416 00:28:11,900 --> 00:28:16,840 und die haben Fabriken, dann kann ich über Satellitenbilder schauen, gibt es 417 00:28:17,000 --> 00:28:21,320 überhaupt Bewegungen von LKWs an diesem Produktionsstandort oder tut sich da 418 00:28:21,320 --> 00:28:22,320 nichts? 419 00:28:21,980 --> 00:28:28,160 Ich könnte sogar noch tiefer reingehen und Wärmesignaturen über Satelliten erheben 420 00:28:28,160 --> 00:28:31,040 und schauen: Ist da Betrieb? 421 00:28:31,380 --> 00:28:37,420 Dann sehe ich, dass diese Fabrikhalle eine gewisse Wärme abstrahlt. 422 00:28:37,420 --> 00:28:40,500 Oder ist da alles kalt, es bewegt sich nichts? 423 00:28:40,500 --> 00:28:44,620 Dann produzieren die wahrscheinlich gerade gar nicht oder haben vielleicht noch nie 424 00:28:44,620 --> 00:28:45,620 produziert. 425 00:28:46,320 --> 00:28:49,760 All das sind Themen, mit denen man sich auseinandersetzen kann. 426 00:28:49,760 --> 00:28:55,460 IT-Security ist klar, da haben wir 427 00:28:56,180 --> 00:29:02,940 auch Themen, die sich über OSINT abbilden lassen: welches 428 00:29:02,940 --> 00:29:07,780 Unternehmen wurde gehackt, welche Ransomware-Gruppe hat gerade Daten 429 00:29:07,780 --> 00:29:13,840 veröffentlicht, dann Leak-Daten, Breach-Daten kann ich mir anschauen. 430 00:29:14,020 --> 00:29:20,907 Im Bereich Corporate Security, auch ein wichtiges Feld, kann man schauen: 431 00:29:21,360 --> 00:29:23,250 Was passiert gerade in der Weltgeopolitik? 432 00:29:23,860 --> 00:29:28,300 Auch das ist ein Thema, das von öffentlichen Quellen, von Nachrichten 433 00:29:28,300 --> 00:29:32,040 lebt, und diese eben bewertet und in den eigenen Kontext setzt. 434 00:29:32,900 --> 00:29:37,720 Da listest du in deinem Buch ja auch einiges an Beispielen auf: Sind die 435 00:29:37,720 --> 00:29:41,320 Raketen, die dieser feindliche Staat aufgebaut hat, echte Raketen oder 436 00:29:41,320 --> 00:29:42,320 Attrappen? 437 00:29:42,340 --> 00:29:47,060 Wo ich auch daran erinnert wurde, dass ich zu genau so etwas mal gelesen hatte: wie 438 00:29:47,060 --> 00:29:52,600 Israel die Raketen aus dem Libanon bewertet hat und dann zu der Erkenntnis 439 00:29:52,600 --> 00:29:56,640 kam: Die haben jetzt innerhalb von wenigen Wochen zwar viele Raketen aufgestellt, 440 00:29:57,020 --> 00:30:00,140 aber ein paar Wochen später kamen dann nach und nach die LKWs und die Raketen 441 00:30:00,140 --> 00:30:01,140 durchzutauschen. 442 00:30:01,180 --> 00:30:03,780 Also waren das, was sie da aufgestellt haben, wohl erst mal Attrappen, und man 443 00:30:03,780 --> 00:30:06,720 kann davon ausgehen, dass jetzt nach und nach die scharfe Munition hinkommt. 444 00:30:06,720 --> 00:30:11,600 Solche Sachen sind mittlerweile, wenn es unter freiem Himmel passiert: Man kann 445 00:30:11,600 --> 00:30:12,960 draufschauen und kann das nachvollziehen. 446 00:30:13,760 --> 00:30:17,560 Das sind Daten, die nicht mehr nur einem Geheimdienst oder einem Militär zur 447 00:30:17,560 --> 00:30:21,120 Verfügung stehen, sondern die man auch privatwirtschaftlich gegen überraschend 448 00:30:21,120 --> 00:30:22,160 wenig Geld kaufen kann. 449 00:30:22,800 --> 00:30:23,800 Ja, tatsächlich. 450 00:30:25,560 --> 00:30:31,120 Wobei gerade dieser Satellitenbildmarkt einerseits noch sehr 451 00:30:33,200 --> 00:30:37,860 unbekannt für viele ist und andererseits aber auch sehr volatil. 452 00:30:38,280 --> 00:30:43,240 Gerade jetzt in dem Konflikt Middle East haben wir gesehen, dass dann auch ganz 453 00:30:43,240 --> 00:30:47,660 schnell diese ganzen kommerziellen Anbieter Auflagen bekommen, dass sie zum 454 00:30:47,660 --> 00:30:52,000 Beispiel diese Daten sehr zeitverzögert nur herausgeben dürfen oder gar nicht 455 00:30:52,000 --> 00:30:53,000 mehr. 456 00:30:53,520 --> 00:30:59,060 Und darunter haben dann viele Journalisten stark gelitten, weil sie keine 457 00:30:59,060 --> 00:31:02,940 Satellitenbilder mehr zur Auswertung, zur Verifikation hatten. 458 00:31:04,120 --> 00:31:09,440 Man sieht auch, wie schnell solche Quellen versiegen können. 459 00:31:10,100 --> 00:31:16,265 Ich würde sagen, ein prominenter Fall in Deutschland zum Thema OSINT war der – 460 00:31:16,265 --> 00:31:23,260 Hacker finde ich jetzt der falsche Begriff – das war der Störenfried, der sich unter 461 00:31:23,260 --> 00:31:28,920 dem Namen Orbit herumgetrieben hat und der ein großes Dokument veröffentlicht hat mit 462 00:31:28,920 --> 00:31:33,560 so Sachen wie: Das ist Politiker XY, das ist seine Handynummer, das ist seine 463 00:31:33,560 --> 00:31:34,560 E-Mail-Adresse. 464 00:31:34,940 --> 00:31:39,180 Das waren Dinge, die über OSINT-Methoden erschlossen wurden. 465 00:31:39,700 --> 00:31:44,520 Gar nicht mal über perfides super mega Geheimwissen, sondern – natürlich, da 466 00:31:44,520 --> 00:31:48,200 waren auch Phishing-Angriffe dabei, dass er Büroleute angeschrieben hat, 467 00:31:48,300 --> 00:31:52,080 Büroleiter, und gesagt hat: Hier, die und die Handynummer, ist die noch aktuell, ich 468 00:31:52,080 --> 00:31:53,920 muss Herrn Schneidereit morgen anrufen. 469 00:31:54,020 --> 00:31:57,540 Und dann kam die Antwort: Oh, gut, dass Sie das sagen, nein, die aktuelle 470 00:31:57,540 --> 00:31:58,540 Handynummer ist diese. 471 00:31:58,740 --> 00:31:59,880 Dann hatte er die Handynummer. 472 00:32:00,400 --> 00:32:03,940 Dass er die Gutgläubigkeit der Leute auch ausgenutzt hat, aber im Wesentlichen hat 473 00:32:04,020 --> 00:32:06,680 er öffentlich verfügbare Informationen zusammengetragen. 474 00:32:06,860 --> 00:32:09,980 Die deutsche Presse hat rotiert und geschrieben: Da hat jemand 475 00:32:09,980 --> 00:32:12,780 sicherheitskritische Informationen aus dem Parlament gehackt. 476 00:32:13,360 --> 00:32:16,240 Und die Antwort ist: Da hat jemand einfach mal intensiv nachgeschaut und die Sachen 477 00:32:16,240 --> 00:32:17,240 zusammengetragen. 478 00:32:17,780 --> 00:32:22,920 Ich glaube, das ist so der prominenteste Angriff aus dem OSINT-Bereich, den man in 479 00:32:22,920 --> 00:32:23,920 Deutschland kennt. 480 00:32:24,060 --> 00:32:28,040 Denn man darf das nicht unterschätzen: Nur weil die Daten offen sind, heißt es nicht, 481 00:32:28,080 --> 00:32:30,220 dass es nicht auch ein riesiges Schadpotenzial gibt, wenn man es 482 00:32:30,220 --> 00:32:31,220 zusammenführt. 483 00:32:31,180 --> 00:32:36,860 Absolut, und das ist, glaube ich, auch was, warum OSINT so oft unterschätzt 484 00:32:38,000 --> 00:32:39,000 wurde. 485 00:32:38,220 --> 00:32:43,840 Auch im nachrichtendienstlichen Bereich wurde OSINT lange stiefmütterlich 486 00:32:43,840 --> 00:32:44,840 behandelt. 487 00:32:44,840 --> 00:32:49,340 Das war so ein bisschen Radio hören, Fernsehen schauen und Zeitungen lesen. 488 00:32:49,640 --> 00:32:56,640 Mittlerweile hat man aber auch erkannt, dass das eine sehr wertvolle Möglichkeit 489 00:32:56,640 --> 00:32:58,360 ist, an Informationen zu gelangen. 490 00:32:58,660 --> 00:33:03,620 Man merkt darüber auf alle Fälle, welchen Stellenwert OSINT auch erlangt hat, wenn 491 00:33:03,620 --> 00:33:09,160 zum Beispiel Journalisten große Klimaschäden aufdecken können oder 492 00:33:09,160 --> 00:33:10,820 Kriegsverbrechen aufdecken können. 493 00:33:11,260 --> 00:33:17,860 Oder das Beispiel von dem Internationalen Strafgerichtshof, der seine 494 00:33:17,860 --> 00:33:22,520 Ermittlungen jetzt sehr stark gegen Putin auch auf öffentliche Quellen gestützt hat. 495 00:33:22,980 --> 00:33:27,920 Und gerade jüngst hat Europol viele Kinder, die aus der Ukraine verschleppt 496 00:33:27,920 --> 00:33:34,160 wurden, mittels OSINT, also biometrischen Suchen, dann wiederfinden können. 497 00:33:35,540 --> 00:33:39,180 Da sieht man einfach, wie mächtig diese Möglichkeit ist. 498 00:33:39,360 --> 00:33:44,340 Sie ist sehr vielfältig, man muss manchmal auch einfach auf die Idee kommen, an der 499 00:33:44,340 --> 00:33:45,620 richtigen Stelle zu schauen. 500 00:33:46,220 --> 00:33:49,640 Dafür vielleicht ein kleines Beispiel, ich glaube, das habe ich auch im Buch mit 501 00:33:49,640 --> 00:33:55,600 aufgenommen, vom THW: das Virtual Operations Support Team, was so eine 502 00:33:55,600 --> 00:34:00,540 digitale Einheit ist, die genau OSINT für den Katastrophenschutz nutzen. 503 00:34:01,680 --> 00:34:07,540 Da war mal die Fragestellung nach einem Hochwasser, wie das Schadensausmaß ist. 504 00:34:08,260 --> 00:34:14,800 Oftmals geht es im ersten Moment darum zu verstehen, wie groß ist diese Katastrophe, 505 00:34:15,380 --> 00:34:21,340 wo wird Hilfe benötigt, damit man die Hilfe an den richtigen Ort bringt. 506 00:34:22,140 --> 00:34:27,000 Dann war die Frage: Wo ist noch Strom verfügbar, wo ist noch Internet verfügbar? 507 00:34:28,000 --> 00:34:31,060 Einer der Helfer ist auf die Idee gekommen – das war so die Zeit, als die ersten 508 00:34:31,060 --> 00:34:35,920 Ladestationen aufgestellt wurden für E-Fahrzeuge – auf die Idee gekommen: Die 509 00:34:35,920 --> 00:34:38,060 funken doch ihren Status ins Netz. 510 00:34:39,220 --> 00:34:45,140 Dann haben wir einfach recherchiert: Welche Ladesäulen können wir denn 511 00:34:45,140 --> 00:34:50,520 überhaupt finden, und was für einen Status funken die gerade ins Netz? 512 00:34:51,500 --> 00:34:55,560 Daraus konnte man dann relativ gut sagen: Wenn die erreichbar ist und sagt »Hier 513 00:34:55,560 --> 00:34:59,920 kannst du laden«, dann kann man erstmal davon ausgehen, dass in der Region noch 514 00:34:59,920 --> 00:35:01,750 Strom und Internet verfügbar sind. 515 00:35:02,160 --> 00:35:06,420 Und mit so etwas kann man dann recht praktisch sagen, wir können das Gebiet auf 516 00:35:06,420 --> 00:35:09,540 die und die Straßenzüge, Viertel, was auch immer eingrenzen. 517 00:35:10,000 --> 00:35:13,080 Genau, man kann es eingrenzen, das ist dann Lagekartierung. 518 00:35:15,900 --> 00:35:19,970 Intelligence bedeutet ja auch: Am Ende hat man ein Produkt, ein Intelligence-Produkt. 519 00:35:21,140 --> 00:35:25,560 In so einem Katastrophenfall kann das eine Lagekarte sein, die interaktiv 520 00:35:25,560 --> 00:35:32,240 visualisiert: Wo findet gerade was statt, wo sind welche Gefahren, wo passiert was? 521 00:35:33,260 --> 00:35:38,160 Das kann sich zu einem großen Teil aus OSINT-Daten speisen. 522 00:35:38,160 --> 00:35:42,740 Anderer Part, der dann leider auch immer wichtiger wird, ist tatsächlich die 523 00:35:42,740 --> 00:35:48,910 Verifikation von Behauptungen, weil über Social Media – man mag es kaum glauben – 524 00:35:49,100 --> 00:35:54,290 auch in solchen Katastrophenfällen immer Falschbehauptungen verbreitet werden, 525 00:35:54,700 --> 00:35:59,090 altes Material verwendet wird, KI-Material verwendet wird. 526 00:35:59,460 --> 00:36:05,620 Da muss man schauen: Ist das aktuelles Material, stammt das Material tatsächlich 527 00:36:05,620 --> 00:36:10,820 aus der Region, und handelt es sich um echte Aufnahmen oder ist das KI-generiert? 528 00:36:11,440 --> 00:36:16,100 In England gab es kürzlich ein Beispiel: Da wurde über Social Media ein Foto 529 00:36:16,100 --> 00:36:20,820 geteilt von einer Eisenbahnbrücke, die eingestürzt war oder beschädigt war. 530 00:36:21,460 --> 00:36:26,260 Daraufhin wurde tatsächlich der Zugverkehr temporär eingestellt, bis man festgestellt 531 00:36:26,260 --> 00:36:29,900 hatte: Das Bild wurde nur mittels KI abgewandelt. 532 00:36:30,460 --> 00:36:35,740 Da hat ein Nutzer ein Foto gemacht, hat es in die KI geladen und gesagt: Lass mal so 533 00:36:35,740 --> 00:36:38,540 aussehen, dass diese Brücke hier beschädigt ist. 534 00:36:39,660 --> 00:36:43,820 Man sieht: Solche Falschbehauptungen können reale Konsequenzen haben. 535 00:36:44,800 --> 00:36:48,880 Und wir sind mittlerweile an dem Punkt, wo das Generieren solcher Falschbehauptungen 536 00:36:48,880 --> 00:36:49,880 extrem einfach ist. 537 00:36:50,040 --> 00:36:56,900 Im harmlosen Fall: »Ich kann heute leider wirklich nicht zur Vorstandssitzung 538 00:36:56,900 --> 00:36:59,860 des Kaninchenzüchtervereins kommen, denn guckt mal hier, mein Fahrrad hat einen 539 00:36:59,860 --> 00:37:03,320 Platten.« Mache ich ein Foto von meinem Fahrrad mit normalen Reifen, sage ich: 540 00:37:03,320 --> 00:37:07,100 »Hey ChatGPT, wie sähe es denn aus, wenn das einen Platten hätte?« Foto fertig, 541 00:37:07,220 --> 00:37:11,520 Foto für die meisten Leute akzeptabel genug, Kontext passt irgendwie, okay, dann 542 00:37:11,520 --> 00:37:12,520 kommt der heute halt nicht. 543 00:37:13,260 --> 00:37:16,060 Aber das skaliert zu, wie du gerade sagst, der Brücke. 544 00:37:16,840 --> 00:37:22,440 Oder wir erinnern uns: Weapons of Mass Destruction, wo die USA mit angeblichen 545 00:37:22,440 --> 00:37:27,320 Beweisen für mobile Chemiefabriken die Welt in einen Krieg mitgenommen haben, 546 00:37:28,320 --> 00:37:30,170 also der Irakkrieg. 547 00:37:31,560 --> 00:37:36,100 Das Verifizieren von Informationen wird immer wichtiger, das Erstellen von 548 00:37:36,100 --> 00:37:38,320 falschen Informationen wird zeitgleich immer einfacher. 549 00:37:38,840 --> 00:37:43,240 Man braucht heute kein Medienteam eines US-Geheimdienstes mehr, sondern kann sich 550 00:37:43,240 --> 00:37:44,800 das in Sekunden generieren lassen. 551 00:37:45,780 --> 00:37:48,480 Um vielleicht nochmal auf einen Punkt zu kommen, den du vorhin aufgemacht hast mit 552 00:37:48,480 --> 00:37:53,580 den ukrainischen Kindern, die durch OSINT-Methoden gefunden werden: Das ist in 553 00:37:53,580 --> 00:37:55,160 dem Fall ein Ermittlungserfolg. 554 00:37:55,700 --> 00:37:59,280 Aber die gleichen Methoden können ja auch benutzt werden für Stalking. 555 00:38:00,700 --> 00:38:04,660 Du machst den ethischen Unterschied in deinem Buch auf, aber lass uns darüber 556 00:38:04,660 --> 00:38:06,180 vielleicht nochmal kurz reden. 557 00:38:06,360 --> 00:38:08,480 Im Detail können die Leute das dann in dem Werk nachlesen. 558 00:38:08,820 --> 00:38:11,940 Aber das ist schon etwas, was einen beschäftigt: dass die Anleitung, die du 559 00:38:11,940 --> 00:38:17,300 hier gibst, um Dinge zu finden, um Dinge zu verifizieren, um Gutes in die Welt zu 560 00:38:17,300 --> 00:38:21,980 bringen, genauso gut auch gegen dich verwendet werden kann – für Stalking, für 561 00:38:21,980 --> 00:38:25,600 Beschattung von Leuten, die eigentlich gar nicht beschattet werden sollten, für das 562 00:38:25,600 --> 00:38:29,640 Unterjubeln von falschen Informationen, falsche Beweise. 563 00:38:30,580 --> 00:38:33,300 Lass uns mal in den ganzen Themenkomplex reingehen: Wo ist der Unterschied zwischen 564 00:38:33,300 --> 00:38:34,300 OSINT und Stalking? 565 00:38:35,160 --> 00:38:40,280 Ja, für mich ist der Unterschied auf alle Fälle in der Motivation und der ethischen 566 00:38:40,280 --> 00:38:41,280 Komponente. 567 00:38:41,500 --> 00:38:44,220 Und natürlich ist das eine Frage, die immer wieder aufkommt. 568 00:38:45,260 --> 00:38:51,240 Der Punkt, den ich aber sehe und warum ich mich dazu entschlossen habe, dieses Wissen 569 00:38:51,240 --> 00:38:56,880 zu vermitteln in Kursen oder jetzt auch in Form von diesem Buch, ist für mich ähnlich 570 00:38:56,880 --> 00:39:03,540 wie bei anderen Themen, die quasi Dual-Use-Themen sind, wie Social 571 00:39:03,540 --> 00:39:04,540 Engineering. 572 00:39:04,660 --> 00:39:10,220 Ja, wir könnten uns totschweigen über Social Engineering und sagen: Wir 573 00:39:10,220 --> 00:39:11,220 vermitteln das nicht. 574 00:39:11,660 --> 00:39:18,660 Aber meiner Meinung nach ist der positive Nutzen definitiv größer, dass wir 575 00:39:18,660 --> 00:39:25,060 Leute aufklären, dass wir zeigen, was die Möglichkeiten sind, um informiert dann 576 00:39:25,060 --> 00:39:26,060 Entscheidungen zu treffen. 577 00:39:26,340 --> 00:39:33,240 Hier kommt nochmal hinzu: Diese Techniken können sowohl für positive 578 00:39:33,240 --> 00:39:38,900 Zwecke, für noble Zwecke eingesetzt werden – Ermittlungen, Strafverfolgung, im 579 00:39:38,900 --> 00:39:45,680 Unternehmenskontext, von Journalisten, die Sachen aufdecken, wissenschaftlich. 580 00:39:46,380 --> 00:39:51,500 Die positiven Use Cases gibt es, und gibt es in ganz vielen Bereichen. 581 00:39:51,760 --> 00:39:55,940 Und die Leute, die das missbrauchen, die würden das auch ohne das Buch machen. 582 00:39:56,160 --> 00:40:02,800 Die tauschen sich nämlich in Foren aus, und die ziehen keine ethische Grenze, was 583 00:40:02,800 --> 00:40:03,800 noch OSINT ist. 584 00:40:03,860 --> 00:40:10,270 Du hast das Beispiel mit Orbit angeführt: Ja, der hat viel OSINT 585 00:40:10,780 --> 00:40:15,600 genutzt oder öffentliche Informationen zusammengetragen, aber du hast genauso 586 00:40:15,600 --> 00:40:21,880 beschrieben, er hat dann eben auch E-Mails an das Vorzimmer geschickt und 587 00:40:22,400 --> 00:40:24,460 im Prinzip Social-Engineering-Phishing-Kampagnen 588 00:40:25,600 --> 00:40:28,780 durchgeführt, was meiner Meinung nach kein OSINT mehr ist. 589 00:40:29,220 --> 00:40:33,180 Das könnte jeder machen, aber es ist nicht mehr öffentlich zugänglich. 590 00:40:33,680 --> 00:40:37,640 Da sieht man: Für solche Menschen gibt es keine Grenze. 591 00:40:39,080 --> 00:40:44,220 Deswegen bin ich definitiv der Überzeugung, dass dieses Wissen nicht 592 00:40:44,220 --> 00:40:45,540 versperrt sein sollte. 593 00:40:46,300 --> 00:40:52,920 Natürlich gibt es Leute, die anderer Meinung sind und sowas lieber nur in 594 00:40:52,920 --> 00:40:54,580 geschlossenen Kursen haben möchten. 595 00:40:54,840 --> 00:40:59,880 Aber meine Erfahrung zeigt: Die meisten Leute wollen es für gute Zwecke einsetzen. 596 00:41:01,100 --> 00:41:07,180 Natürlich kann man sich nicht in jeden Mensch hineinversetzen, aber sagen wir 597 00:41:07,180 --> 00:41:13,040 mal, ich schule 100 Leute, und 99 davon wollen das für positive Zwecke einsetzen 598 00:41:13,040 --> 00:41:19,233 und einer will es missbrauchen, dann ist für mich die Rechnung trotzdem eine 599 00:41:19,233 --> 00:41:20,233 positive. 600 00:41:20,940 --> 00:41:25,140 Ich rede in meinen Vorträgen und Podcasts auch viel über Hackerangriffe und wie die 601 00:41:25,140 --> 00:41:26,140 funktioniert haben. 602 00:41:26,620 --> 00:41:30,580 Jetzt könnte man auch den Vorwurf machen: Ja, jetzt bringe ich Leuten Methoden bei, 603 00:41:30,600 --> 00:41:32,540 die ich für besonders raffiniert gehalten habe. 604 00:41:32,700 --> 00:41:36,320 Auf der anderen Seite, ich möchte sie ja eben in der Masse schulen, auf so etwas 605 00:41:36,320 --> 00:41:37,320 nicht reinzufallen. 606 00:41:37,120 --> 00:41:43,900 Eines meiner Highlights, um hier mal kurz über den Bereich des QR-Code-Phishings zu 607 00:41:43,900 --> 00:41:50,260 reden: Da haben Leute falsche QR-Codes an Ladesäulen angeklebt, und wenn man die 608 00:41:50,260 --> 00:41:54,140 gescannt hat, wurde man erstmal auf die Seite der Betrüger weitergeleitet. 609 00:41:54,520 --> 00:41:58,760 Dort wurde ein Kleinstbetrag abgebucht, aber da die ja nichts mit der Ladesäule zu 610 00:41:58,760 --> 00:42:00,620 tun hatten, hat die Ladesäule natürlich nicht entriegelt. 611 00:42:00,960 --> 00:42:05,640 Wenn man dann nochmal den QR-Code gescannt hat, hat das Cookie im Browser erkannt: 612 00:42:05,700 --> 00:42:08,240 Oh, du warst ja schon mal hier, ich leite dich jetzt zur Seite des Herstellers 613 00:42:08,240 --> 00:42:10,880 weiter, wo man dann regulär die Säule entsperrt. 614 00:42:11,280 --> 00:42:15,370 Das hat dazu geführt, dass die Leute an der Ladesäule gedacht haben: Ja, irgendein 615 00:42:15,400 --> 00:42:18,920 technischer Fehler, für die zweifünfzig, die da abgebucht wurden, mache ich jetzt 616 00:42:18,920 --> 00:42:20,060 nicht ein Support-Ticket auf. 617 00:42:20,520 --> 00:42:23,900 In der Masse ist dann echt viel Geld bei Leuten gelandet, die sich einfach mal 618 00:42:23,900 --> 00:42:24,900 dahingestellt haben. 619 00:42:30,240 --> 00:42:34,320 Sowas fällt dann echt spät auf, aber andererseits: Wundern sich Leute darüber 620 00:42:34,320 --> 00:42:35,320 nicht genug? 621 00:42:35,040 --> 00:42:37,720 Wenn man ihnen sagt, das ist aber ein echter Angriffsfall, dann sind sie 622 00:42:37,720 --> 00:42:41,260 vielleicht das nächste Mal skeptisch: Warum klebt denn da ein Sticker über dem 623 00:42:41,260 --> 00:42:44,600 Sticker, oder warum hat denn die Ladesäule gar nicht entriegelt, das sollte doch 624 00:42:44,600 --> 00:42:45,980 eigentlich immer funktionieren? 625 00:42:46,840 --> 00:42:50,720 Solche Angriffe zu kennen macht am Ende des Tages die Welt zu einem sichereren 626 00:42:50,720 --> 00:42:53,840 Ort, auch wenn es bestimmt jemanden gibt, der, wenn ich davon erzähle, sich denkt: 627 00:42:54,120 --> 00:42:56,660 Ja, das Geld hätte ja auch ich über den Betrug gewinnen können. 628 00:42:59,200 --> 00:43:02,240 Generell Phishing, da gibt es so viele schöne Beispiele. 629 00:43:02,260 --> 00:43:06,200 Eins meiner Lieblingsprodukte gegen Social Engineering: Das ist ein kleines 630 00:43:06,200 --> 00:43:07,200 Tischchen. 631 00:43:06,760 --> 00:43:13,340 Deviant Ollam, den kennst du bestimmt, ist ein Großer im Bereich Physical Penetration 632 00:43:13,340 --> 00:43:15,120 Testing, also wie man in Gebäude reinkommt. 633 00:43:17,020 --> 00:43:21,160 Sein Standard ist: Er hat ein Lanyard umhängen mit einem Namensschildchen, das 634 00:43:21,160 --> 00:43:23,490 ungefähr so aussieht wie das, womit die anderen Leute herauslaufen. 635 00:43:23,840 --> 00:43:26,040 Das kann er sich in seinem Minivan drucken. 636 00:43:26,420 --> 00:43:30,340 Dann geht er mit zwei Bechern Kaffee in der Hand auf die Tür zu und nickt einem 637 00:43:30,340 --> 00:43:33,360 Kollegen zu, dass er ja gerade die Hände voll hat, ob der ihm eben die Tür 638 00:43:33,360 --> 00:43:34,360 aufhalten kann. 639 00:43:36,300 --> 00:43:38,760 Nützlicherweise, wenn er Leuten demonstriert, wie er so in die Gebäude 640 00:43:38,760 --> 00:43:43,020 einbrechen kann, verkauft er als Produkt ein kleines Tischchen, das du neben dem 641 00:43:43,020 --> 00:43:48,080 Batchscanner am Eingang montierst, damit alle Leute immer eine Hand frei haben 642 00:43:48,080 --> 00:43:51,380 können, indem sie kurz ihren Kaffee auf dieses kleine Tischchen abstellen, damit 643 00:43:51,380 --> 00:43:53,580 sich alle wirklich selbst ein- und ausloggen. 644 00:43:54,480 --> 00:43:57,280 Das sind solche Kleinigkeiten, über die denkt man im Alltag gar nicht nach. 645 00:43:57,380 --> 00:43:59,940 Da steht jemand mit zwei Bechern, der sieht aus, als würde er ins Gebäude 646 00:43:59,940 --> 00:44:02,140 gehören, ja, dann halte ich halt die Tür auf, weil ich freundlich sein möchte. 647 00:44:02,660 --> 00:44:04,280 Genau sowas nutzt ein Angreifer dann aus. 648 00:44:05,760 --> 00:44:09,100 Jetzt könnte man sagen: Deviant macht Workshops, wie kann man besser einbrechen. 649 00:44:09,100 --> 00:44:12,040 Aber am Ende des Tages macht er vor allem Workshops, wie mache ich mein Gebäude 650 00:44:12,040 --> 00:44:13,040 sicher. 651 00:44:15,220 --> 00:44:21,860 Kommen wir mal zu dem OSINT-Teil, der mir völlig neu war, wo ich das Gefühl hatte, 652 00:44:22,600 --> 00:44:27,280 intuitiv mache ich das schon ähnlich, aber ich habe es nie so formuliert gesehen: der 653 00:44:27,280 --> 00:44:28,300 Intelligence Cycle. 654 00:44:29,320 --> 00:44:35,860 Ein Mechanismus, mit dem man Informationen gewinnt, aufbereitet, auswertet und dann 655 00:44:35,860 --> 00:44:36,940 auf ihnen weiterarbeitet. 656 00:44:37,340 --> 00:44:41,200 »Cycle« impliziert ja auch: Das ist ein Kreislauf, da gibt es kein direktes Ende, 657 00:44:41,200 --> 00:44:45,920 und trotzdem fallen da die ganze Zeit Erkenntnisse über neue Informationen, neue 658 00:44:45,920 --> 00:44:47,800 Ermittlungsansätze, Sackgassen und so weiter heraus. 659 00:44:48,520 --> 00:44:50,290 Wie ist der aufgebaut, woraus besteht er? 660 00:44:50,540 --> 00:44:57,040 Ja, der Intelligence Cycle besteht aus mehreren Phasen, und je 661 00:44:57,040 --> 00:45:03,700 nachdem, welche Variante des Intelligence Cycle man kennt oder lernt oder 662 00:45:03,840 --> 00:45:06,820 vertritt, hat er unterschiedlich viele Phasen. 663 00:45:07,040 --> 00:45:12,040 Ich habe jetzt den gewählt mit sechs Phasen: Fängt an mit der Planungsphase, 664 00:45:12,300 --> 00:45:17,120 dann die Sammlungsphase, Verarbeitung, Analyse, Verbreitung und dann Feedback. 665 00:45:17,500 --> 00:45:20,160 Und dann geht es eben wieder in die Planungsphase. 666 00:45:22,760 --> 00:45:27,380 Sehr häufig kommen Leute auf mich zu und sagen: Samuel, ich mache schon ein 667 00:45:27,380 --> 00:45:30,080 bisschen OSINT, aber ich würde gerne strukturierter recherchieren, 668 00:45:30,340 --> 00:45:31,360 strukturierter ermitteln. 669 00:45:32,480 --> 00:45:38,800 Genau dafür ist der Intelligence Cycle ein super Hilfsmittel, weil er eine Struktur, 670 00:45:38,880 --> 00:45:43,620 einen roten Faden gibt und einem hilft, eine Ermittlung, eine Recherche 671 00:45:43,620 --> 00:45:45,160 strukturiert anzugehen. 672 00:45:45,820 --> 00:45:51,100 Den Fehler, den gerade Anfänger machen, ist: Die laufen einfach los und versuchen 673 00:45:51,100 --> 00:45:54,040 alles an Informationen im Internet zusammenzutragen. 674 00:45:54,760 --> 00:46:01,200 Dann haben sie hinterher 200 Tabs offen, 50 PDFs heruntergeladen und wissen gar 675 00:46:01,200 --> 00:46:02,760 nicht mehr, wo oben und unten ist. 676 00:46:03,000 --> 00:46:07,660 Vor allem wissen sie auch nicht, wie sie zu den Informationen gekommen sind, und 677 00:46:07,660 --> 00:46:09,600 können die dann auch nicht mehr in den Kontext setzen. 678 00:46:11,420 --> 00:46:17,500 Für mich macht gerade die Planungsphase einen sehr großen Unterschied, weil 679 00:46:17,500 --> 00:46:23,700 sie sowieso eine sehr große Phase ist, die man sehr weit fassen kann. 680 00:46:24,220 --> 00:46:28,720 Es fängt für mich nämlich schon damit an: Wie bereite ich mich auf eine Recherche 681 00:46:28,720 --> 00:46:29,720 vor? 682 00:46:29,320 --> 00:46:30,580 Habe ich überhaupt die Kenntnisse? 683 00:46:31,120 --> 00:46:32,160 Habe ich die Ausbildung? 684 00:46:32,380 --> 00:46:33,480 Habe ich die Ausstattung? 685 00:46:33,520 --> 00:46:37,340 Habe ich das Personal, wenn ich jetzt im Kontext einer Organisation denke? 686 00:46:37,960 --> 00:46:40,880 Habe ich ausreichendes Personal zur richtigen Zeit? 687 00:46:41,160 --> 00:46:45,620 Natürlich ist es schön, wenn ich eine OSINT-Koryphäe eingestellt habe, aber wenn 688 00:46:45,620 --> 00:46:50,620 ich die im Fall der Fälle nicht greifbar habe, weil Urlaub, krank oder sonst 689 00:46:50,620 --> 00:46:54,560 irgendwas ansteht, dann habe ich natürlich auch wieder ein Problem. 690 00:46:56,060 --> 00:46:59,180 Auch das fällt für mich unter die Planungsphase. 691 00:46:59,600 --> 00:47:05,820 Für die konkrete Recherche geht es vor allem darum: Was 692 00:47:05,820 --> 00:47:08,260 ist Zweck der Recherche? 693 00:47:08,720 --> 00:47:12,320 Man hat ja eine Frage, die man beantworten möchte. 694 00:47:13,380 --> 00:47:20,320 Gerade wenn man als Dienstleister OSINT-Recherchen durchführt oder in 695 00:47:20,320 --> 00:47:26,840 Behörden als Abteilung, die für andere Kommissariate zum 696 00:47:26,840 --> 00:47:32,160 Beispiel Recherchen im Internet durchführt, dann ist häufig der Auftrag: 697 00:47:32,160 --> 00:47:35,240 Mach mal OSINT zu der Person, find mal alles. 698 00:47:36,320 --> 00:47:42,630 Das ist ein denkbar schlechter Auftrag, weil zum einen OSINT 699 00:47:43,580 --> 00:47:47,840 immer eine Momentaufnahme ist und es sich auch weiterentwickelt. 700 00:47:48,280 --> 00:47:52,440 Heute finde ich andere Ergebnisse als morgen, weil die Person weiterlebt. 701 00:47:53,120 --> 00:47:57,460 Gerade wenn die auf Social Media viel aktiv ist, gibt es eigentlich kein Ende. 702 00:47:57,640 --> 00:48:00,440 Dann fange ich an, die unendliche Geschichte zu schreiben. 703 00:48:01,160 --> 00:48:06,160 Ich muss wissen, was will ich überhaupt beantworten, was ist die konkrete Frage. 704 00:48:06,400 --> 00:48:13,380 Umso konkreter ich meine Recherchefragen formulieren kann, umso besser und 705 00:48:13,380 --> 00:48:15,080 gezielter kann ich recherchieren. 706 00:48:15,880 --> 00:48:18,720 Eine gute Recherchefrage wäre zum Beispiel: Kennen sich A und B? 707 00:48:19,360 --> 00:48:22,940 Dann kann ich schauen, finde ich irgendwo einen gemeinsamen Nenner. 708 00:48:23,140 --> 00:48:24,640 Waren die gemeinsam in der Schule? 709 00:48:24,800 --> 00:48:25,960 Sind die im gleichen Verein? 710 00:48:26,500 --> 00:48:29,900 Waren die zur gleichen Zeit am gleichen Ort? 711 00:48:29,900 --> 00:48:31,680 Finde ich da irgendeine Verbindung? 712 00:48:32,240 --> 00:48:35,580 Gibt es Unternehmen, wo es eine Partnerschaft gibt? 713 00:48:36,400 --> 00:48:38,620 All das kann ich dann recherchieren. 714 00:48:39,620 --> 00:48:43,300 Alles zu einer Person – da weiß ich nicht, wo soll ich anfangen, wo soll ich 715 00:48:43,300 --> 00:48:44,300 aufhören? 716 00:48:43,980 --> 00:48:47,920 Ja, vor allem: Ist alles zu der Person wirklich für die Ermittlung relevant? 717 00:48:48,620 --> 00:48:52,700 Natürlich wird es Ziele geben: Wenn Südkorea versucht zu verstehen, was 718 00:48:52,700 --> 00:48:56,560 Nordkorea als Nächstes macht, dann interessiert sie alles zu Kim Jong-un, von 719 00:48:56,560 --> 00:49:01,260 der Schuhgröße bis zu den Lieblingsdesserts, die er gerne isst. 720 00:49:01,480 --> 00:49:06,100 Aber wenn die Frage ist: Wir suchen jemanden, der Kontakt zu der Person hat, 721 00:49:06,140 --> 00:49:09,020 zu der wir ermitteln, dann muss ich nicht wissen, welche Schuhgröße der hat. 722 00:49:09,960 --> 00:49:10,960 Vermutlich nicht. 723 00:49:11,780 --> 00:49:15,780 Es gibt bestimmt auch Fälle, in denen das eine Relevanz hat. 724 00:49:16,160 --> 00:49:21,040 Ich habe früher in meinem Podcast auch mal gesagt: In den allermeisten Fällen wird 725 00:49:21,040 --> 00:49:23,660 die Spotify-Playlist nicht relevant sein. 726 00:49:24,260 --> 00:49:29,480 Dann hat sich tatsächlich ein Hörer mal bei mir gemeldet und gesagt: Ja, 727 00:49:29,480 --> 00:49:36,480 grundsätzlich hast du recht, aber er hat tatsächlich gesagt, 728 00:49:37,540 --> 00:49:43,200 in seinem konkreten Fall war die Spotify-Playlist relevant, und hat dann 729 00:49:43,200 --> 00:49:44,220 auch erklärt, warum. 730 00:49:45,360 --> 00:49:46,360 War ganz interessant. 731 00:49:46,600 --> 00:49:49,840 Ja, kann man sich ja konkret vorstellen: Lehrer reicht ein, er ist 732 00:49:49,840 --> 00:49:51,700 krankheitsbedingt die Woche nicht da. 733 00:49:52,100 --> 00:49:56,120 Und in der Woche sehen dann Leute, die mit ihm auf Spotify verbunden sind, dass er 734 00:49:56,120 --> 00:49:59,220 die ganze Zeit »Malle ist nur einmal im Jahr« rauf und runter spielt. 735 00:49:59,220 --> 00:50:02,760 Und dann kommt er sonnengebräunt wieder, hmm, verdächtig. 736 00:50:04,020 --> 00:50:06,980 Ja, das klingt, als hättest du da ein Beispiel. 737 00:50:06,980 --> 00:50:07,980 Fiktional. 738 00:50:09,540 --> 00:50:11,140 Mallorca gibt es nämlich gar nicht. 739 00:50:13,840 --> 00:50:17,420 Das sind Sachen, über die denken wir im ersten Moment nicht nach, wenn Spotify 740 00:50:17,420 --> 00:50:21,140 fragt: Möchtest du dich mit deinen Freunden verbinden, um zu hören, was die 741 00:50:21,140 --> 00:50:23,360 hören oder zu sehen, wenn die etwas hören? 742 00:50:24,240 --> 00:50:27,800 Dann ist das ein Komfortfeature, das macht die Plattform irgendwie sozialer, das ist 743 00:50:27,800 --> 00:50:31,400 nett, weil Musik zusammen entdecken und Musik zusammen zu teilen ja auch Spaß 744 00:50:31,400 --> 00:50:32,400 macht. 745 00:50:31,720 --> 00:50:34,140 Und auf einmal fällt Leuten dann genau so etwas auf die Füße. 746 00:50:34,360 --> 00:50:38,680 Ja, und dann sind wir wieder bei dem Thema OPSEC und Medienkompetenz, weil ganz oft 747 00:50:38,680 --> 00:50:41,640 wissen wir gar nicht, wie viele Informationen wir teilen. 748 00:50:41,680 --> 00:50:48,680 Wir haben zwar irgendwann mal zugestimmt und Daten in unserem Profil hinterlegt, 749 00:50:49,140 --> 00:50:51,640 aber das vergessen wir, das verdrängen wir. 750 00:50:52,460 --> 00:50:58,765 Gerade auch Metadaten können verräterisch sein, oder die ganzen Informationen, die 751 00:50:58,765 --> 00:50:59,900 in einem Bild stecken. 752 00:51:00,500 --> 00:51:05,940 Gerade gestern wieder eine Doku gesehen, wo – ich will jetzt gar nicht auf die 753 00:51:05,940 --> 00:51:12,600 genauen Inhalte eingehen – aber es war quasi eine Mutter, die war anonymisiert, 754 00:51:13,340 --> 00:51:19,360 aber das Ganze wurde in ihrem Haus gefilmt, man hatte Blick nach draußen, man 755 00:51:19,360 --> 00:51:20,620 hatte Blick aufs Haus. 756 00:51:20,980 --> 00:51:24,320 Dann kann man sich das mit dem Anonymisieren nämlich auch sparen, weil 757 00:51:24,600 --> 00:51:30,160 das ist vielleicht eine halbe Stunde Arbeit, und ich weiß, wo die Person wohnt. 758 00:51:30,360 --> 00:51:33,520 Wahrscheinlich auch, wie sie heißt, und kenne das gesamte Umfeld. 759 00:51:34,020 --> 00:51:39,140 Das finde ich dann immer schade, wenn gerade in Bereichen, in denen eigentlich 760 00:51:39,140 --> 00:51:43,440 dieses Wissen da sein sollte, also im Journalismus, diese Fehler gemacht werden. 761 00:51:46,780 --> 00:51:53,500 Jemanden in einem Film darzustellen, wo die Person wohnt, aber dann 762 00:51:53,500 --> 00:52:00,000 verpixelt oder anonymisiert das darzustellen – das beißt sich dann. 763 00:52:00,520 --> 00:52:07,140 Ja, das ist etwas, wo ich mir oft denke, dass Quellenschutz vor allem bei mit hoher 764 00:52:07,140 --> 00:52:09,940 Geschwindigkeit produzierten Formaten – also die öffentlich-rechtlichen 765 00:52:10,340 --> 00:52:15,200 Jugendformate auf YouTube, bei allem rund um Funk – da habe ich schon sehr oft 766 00:52:15,200 --> 00:52:18,280 gedacht: Ihr habt euch jetzt hier junge Leute herausgesucht, die gut mit der 767 00:52:18,280 --> 00:52:21,260 jungen Generation connecten können, weil die die gleiche Sprache sprechen, im 768 00:52:21,260 --> 00:52:25,120 gleichen Stil kappen und so weiter, die sind aber noch keine so erfahrenen 769 00:52:25,120 --> 00:52:26,120 Journalisten. 770 00:52:25,620 --> 00:52:29,133 Dann schaue ich oft darauf und denke mir: Naja, also ich könnte jetzt herausfinden, 771 00:52:29,133 --> 00:52:33,440 wer eure Quelle ist, und ich bin ja nicht mal ein böswilliger Akteur, der der Quelle 772 00:52:33,440 --> 00:52:34,440 etwas Schlechtes möchte. 773 00:52:34,240 --> 00:52:38,140 Sondern eben, wie du sagst, man sieht eine Wohnung im Hintergrund oder »Wir treffen 774 00:52:38,140 --> 00:52:42,800 ihn in seinem Lieblingscafé« – in seinem Lieblingscafé wird er vielleicht öfter als 775 00:52:42,800 --> 00:52:43,800 einmal sein. 776 00:52:46,660 --> 00:52:50,600 So OPSEC-Fails, die kann man durchaus immer wieder beobachten. 777 00:52:50,740 --> 00:52:55,120 Da hilft OSINT zu verstehen, warum die Informationen, die ich gerade produziere, 778 00:52:55,320 --> 00:52:56,600 ein Angriffsvektor sein können. 779 00:52:57,240 --> 00:53:03,940 Um nochmal konkret über dein Buch zu reden: Du trägst verschiedene Methoden vor 780 00:53:03,940 --> 00:53:09,180 für die Arbeit, du schaffst eine sehr gute Grundlage von welches Betriebssystem, 781 00:53:09,440 --> 00:53:13,120 welche Browser, welche Plug-ins möchte man haben, um überhaupt mal anzufangen. 782 00:53:13,460 --> 00:53:18,010 Dass dann in der Echtweltanwendung viel mit selbst zusammengepfuschten Skripten 783 00:53:18,180 --> 00:53:23,440 passiert oder dass man auf Tools zurückgreift, die man nur zur Hälfte ihrer 784 00:53:23,440 --> 00:53:27,000 Funktionen benutzt – ich stelle auch ständig fest, dass Dinge, die ich seit 785 00:53:27,000 --> 00:53:29,700 Jahren benutze, eigentlich viel mehr können, und es dafür dann nicht nochmal 786 00:53:29,700 --> 00:53:31,300 ein spezialisiertes Tool gebraucht hätte. 787 00:53:31,520 --> 00:53:36,300 Aber da machst du einen relativ großen Teil deines Buchs zum Thema, welche 788 00:53:36,300 --> 00:53:38,800 Methoden, welche Werkzeuge man benutzt. 789 00:53:39,540 --> 00:53:44,600 Das fand ich einen sehr interessanten Grundlagenteil, muss aber auch zugeben, 790 00:53:44,640 --> 00:53:48,320 dass ich Teile davon überflogen habe, weil mir bereits bewusst war, wie man Google 791 00:53:48,320 --> 00:53:50,160 benutzt und dass es Yandex gibt und so weiter. 792 00:53:50,820 --> 00:53:55,640 Dementsprechend die Zielgruppe von deinem Buch: Das sind ja Einsteiger, oder würdest 793 00:53:55,640 --> 00:53:58,320 du sagen, man muss etwas mitbringen, um mit dem Buch Spaß zu haben? 794 00:53:58,320 --> 00:54:02,760 Nein, also das Buch ist bewusst so geschrieben, dass man auch ohne jegliche 795 00:54:02,760 --> 00:54:08,100 Vorkenntnisse in das große Thema Open Source Intelligence einsteigen kann. 796 00:54:08,620 --> 00:54:14,420 Dennoch ist da auch für Fortgeschrittene dann hinten heraus genug Futter, dass man 797 00:54:14,420 --> 00:54:16,460 es als Nachschlagewerk nutzen kann. 798 00:54:16,700 --> 00:54:22,100 Jemand, der natürlich Erfahrung mitbringt, der Google Dorks kennt, der braucht da 799 00:54:22,440 --> 00:54:28,220 nicht zu lesen: Was ist eine Suchmaschine, und wie kann ich Google-Operatoren nutzen. 800 00:54:28,740 --> 00:54:34,680 Sondern der kann an anderen Stellen einsteigen, wo er vielleicht tiefer 801 00:54:34,680 --> 00:54:39,140 recherchieren will, wo er vielleicht für sich auch einen Mehrwert hat, einen Trick 802 00:54:39,140 --> 00:54:45,420 nochmal nachlesen will, und dann das eher als Nachschlagewerk nutzen. 803 00:54:45,820 --> 00:54:50,560 Aber der Anfänger kann sich von vorne bis hinten durcharbeiten und hat dann wirklich 804 00:54:50,560 --> 00:54:55,070 einen sehr soliden Überblick, was die Möglichkeiten sind. 805 00:54:55,480 --> 00:55:00,060 Dann muss man auch sagen: OSINT ist ein wahnsinnig dynamisches Feld. 806 00:55:00,420 --> 00:55:04,680 Jedes dieser Tools wird sich verändern, manche werden verschwinden, es werden neue 807 00:55:04,680 --> 00:55:06,000 dazukommen. 808 00:55:06,820 --> 00:55:13,320 Deswegen war mir auch wichtig, dass die grundlegende Methodik und das Mindset 809 00:55:13,320 --> 00:55:14,920 einen großen Stellenwert haben. 810 00:55:15,320 --> 00:55:22,320 Dass man eben zeigt: Ja, das ist das Denken hinter den Tools, und deswegen 811 00:55:22,320 --> 00:55:23,880 mache ich genau diesen Schritt. 812 00:55:25,880 --> 00:55:32,280 Quasi vom Großen – was sind Suchmaschinen und was kann ich damit machen – dann zu 813 00:55:32,280 --> 00:55:37,220 den konkreten Techniken: Was sind die Operatoren, was kann ich damit anstellen, 814 00:55:37,280 --> 00:55:40,800 was kann ich damit erreichen, und was gibt es vielleicht neben Google noch für 815 00:55:40,800 --> 00:55:44,860 Alternativen, die mir den einen oder anderen Mehrwert bieten können. 816 00:55:45,600 --> 00:55:49,700 Ja, eine der Sachen, die ich in deinem Buch wirklich mit Begeisterung gelesen 817 00:55:49,700 --> 00:55:53,500 habe, obwohl das erstmal kontraintuitiv ist, ist der ganze rechtliche Teil. 818 00:55:53,640 --> 00:55:58,160 Denn wenn man, so wie ich als Detektiv Pikachu, sich nach und nach in die 819 00:55:58,160 --> 00:56:01,700 verschiedenen Tools eingegraben hat und sich nie gefragt hat, wie sieht das 820 00:56:01,940 --> 00:56:05,960 eigentlich aus – du gehst ja explizit durch von wegen, was ist nach AGB 821 00:56:05,960 --> 00:56:09,200 zulässig, was ist überhaupt eine verwertbare Information. 822 00:56:09,600 --> 00:56:13,420 Denn nichts ist ärgerlicher, als eine Erkenntnis zu haben, die man auf 823 00:56:13,420 --> 00:56:17,520 Informationen stützt, die man nicht zur Verwendung gerichtsfest benutzen kann. 824 00:56:18,500 --> 00:56:22,460 Das ist etwas, was eben der Kontext ist, den du mitbringst, weil du aus der 825 00:56:22,460 --> 00:56:25,400 Kriminalermittlung, aus der behördlichen Arbeit kommst. 826 00:56:25,480 --> 00:56:29,640 Ich bin natürlich kein Rechtsanwalt und kann auch keine Rechtsberatung machen, 827 00:56:29,800 --> 00:56:35,100 aber mir war wichtig, dass auch die rechtliche Betrachtung da einen Platz hat, 828 00:56:37,780 --> 00:56:42,480 weil dieser Glaube »Es ist ja öffentlich, also kann ich es einfach verwenden, wie 829 00:56:42,480 --> 00:56:44,860 ich möchte« – damit wollte ich aufräumen. 830 00:56:45,100 --> 00:56:50,680 Natürlich ist da ein anderer Standard anzulegen, aber es kommt immer auf den Use 831 00:56:50,680 --> 00:56:55,750 Case drauf an, in welchem Anwendungsfall ich das einsetze. 832 00:56:56,720 --> 00:57:00,820 Eine Strafverfolgungsbehörde darf anders arbeiten, als das ein Unternehmen darf, 833 00:57:01,240 --> 00:57:04,400 und das darf wieder anders arbeiten, als das vielleicht ein Journalist darf. 834 00:57:05,460 --> 00:57:09,420 Da hat jeder so seine eigenen Standards und rechtlichen Grundlagen. 835 00:57:09,720 --> 00:57:15,040 Dein Buch schafft ein gutes Kompendium, um in das Thema nicht nur einzusteigen, 836 00:57:15,200 --> 00:57:19,460 sondern nach dem Lesen des Buches würde ich sagen, wenn man verinnerlicht hat, was 837 00:57:19,460 --> 00:57:23,680 darin steht, und das eine oder andere auch mal angewendet hat, dann hat man eine gute 838 00:57:23,680 --> 00:57:27,640 Augenhöhe, um sich über die vertiefenden OSINT-Themen zu informieren. 839 00:57:28,020 --> 00:57:31,980 Dementsprechend die Frage: Du bist als OSINT-Geek seit einigen Jahren unterwegs, 840 00:57:32,120 --> 00:57:34,140 du bietest vertiefende Kurse an. 841 00:57:34,360 --> 00:57:36,870 Wird es spezielle Recherchen geben? 842 00:57:36,980 --> 00:57:40,380 Ich hatte mir öfter gedacht: Jetzt wäre eigentlich schön, wenn es rechtlich 843 00:57:40,380 --> 00:57:45,160 irgendwie möglich wäre, sowas zu lesen wie aus dem Anwendungsalltag, wie ich folgende 844 00:57:45,160 --> 00:57:47,120 Tools zu folgender Erkenntnis benutzt habe. 845 00:57:47,860 --> 00:57:52,720 Wird aus dem Einstieg mit diesem Buch noch ein Folgeband geben, oder sind das dann 846 00:57:52,720 --> 00:57:53,720 deine Seminare? 847 00:57:54,120 --> 00:57:57,320 Es sind dann eher die Seminare, weil dann wird es sehr praktisch. 848 00:57:57,400 --> 00:58:03,180 Ich scheue mich sehr vor dieser Darstellung »Hier, ich habe dieses Tool 849 00:58:03,180 --> 00:58:06,370 benutzt, und damit habe ich das und das aufgeklärt und diese Informationen 850 00:58:06,640 --> 00:58:10,140 gefunden«, weil für mich grenzt das immer sehr an Doxing. 851 00:58:11,200 --> 00:58:17,820 Das würde natürlich Reichweite schaffen, das würde Klicks schaffen, aber 852 00:58:17,820 --> 00:58:21,240 da fühle ich mich nicht wohl mit, muss ich ganz ehrlich sagen. 853 00:58:22,320 --> 00:58:26,710 Ich sehe das auch immer kritisch, wenn dann irgendwelche OSINT-Tool-Anbieter 854 00:58:27,600 --> 00:58:31,660 sagen: Guck mal mit unserem Tool, und hier hast du jetzt die ganzen Daten zu der und 855 00:58:31,660 --> 00:58:32,660 der Person. 856 00:58:32,300 --> 00:58:38,580 Ich finde, für so etwas ist ein Kurs der richtige Raum, weil dann hat man einen 857 00:58:38,580 --> 00:58:43,240 geschlossenen Raum, eine begrenzte Personengruppe, wo man wirklich im 858 00:58:43,240 --> 00:58:46,240 Anwendungsfall schauen kann, was damit möglich ist. 859 00:58:46,440 --> 00:58:49,440 Aber ich würde das jetzt nicht veröffentlichen oder irgendjemanden in die 860 00:58:49,440 --> 00:58:50,440 Öffentlichkeit ziehen. 861 00:58:51,640 --> 00:58:55,900 Das macht es schwierig, weil man dann immer sehr abstrakt vielleicht auch über 862 00:58:55,900 --> 00:59:02,820 Themen redet, und da ist mir aber der Datenschutz doch auch 863 00:59:02,820 --> 00:59:03,820 wichtig. 864 00:59:03,680 --> 00:59:07,860 Ich möchte ja auch nicht, dass irgendjemand anfängt und sagt: Guck mal, 865 00:59:07,860 --> 00:59:13,940 von Samuel gibt es da dieses Foto, da habe ich jetzt das und das herausgefunden, und 866 00:59:13,940 --> 00:59:16,180 hier ist noch das und die Information. 867 00:59:17,100 --> 00:59:18,580 Das würde ich auch nicht wollen. 868 00:59:19,680 --> 00:59:24,540 Natürlich gibt es manchmal die Momente, wo man dann bewusst etwas vielleicht auch 869 00:59:24,540 --> 00:59:28,820 nach außen trägt und sagt: Hier, findet doch mal raus, wo das war. 870 00:59:29,040 --> 00:59:33,640 Dann bin ich mir aber des Risikos bewusst und habe mich bewusst dazu entschieden. 871 00:59:34,740 --> 00:59:40,600 Da gibt es ja auch diverse Accounts online, die genau diese Inhalte dann auch 872 00:59:40,600 --> 00:59:41,600 nutzen. 873 00:59:41,280 --> 00:59:46,980 Wo jemand sagt: Hier, find doch mal raus, wo ich bin, und dann wird herausgefunden, 874 00:59:47,120 --> 00:59:48,580 wo die Person sich aufhält. 875 00:59:50,100 --> 00:59:53,460 Das hat dann eine andere Qualität. 876 00:59:54,200 --> 00:59:59,760 Teilweise versucht man da, glaube ich, jetzt aber auch einfach nur, um 877 00:59:59,760 --> 01:00:06,680 Aufmerksamkeit zu haben, dann aktuelle Geschehnisse nach außen zu tragen, und 878 01:00:06,680 --> 01:00:08,580 das würde ich kritisch sehen. 879 01:00:08,920 --> 01:00:12,900 Ich würde noch über eine aktuelle Entwicklung im OSINT-Bereich reden wollen, 880 01:00:12,920 --> 01:00:18,000 um die man kaum noch herumkommt, nämlich die ganzen KI-Tools, die sich da 881 01:00:18,000 --> 01:00:22,960 anpreisen, denen ich aus praktischer Anwendung sehr skeptisch gegenüberstehe. 882 01:00:23,120 --> 01:00:27,060 Ich hatte ja vorhin erzählt mit den Journalisten, die die Frage hatten: Wo ist 883 01:00:27,060 --> 01:00:29,340 diese Parade gewesen, wo kommt dieses Video her? 884 01:00:29,480 --> 01:00:34,480 Dann habe ich in Spanien mit Filtern in OpenStreetMap gesucht, und da habe ich 885 01:00:34,480 --> 01:00:37,660 konkret die Erfahrung gemacht, dass Leute sagen: Welches KI-Tool benutzt du denn, um 886 01:00:37,660 --> 01:00:38,660 das herauszufinden? 887 01:00:39,160 --> 01:00:43,620 Da kommen wir an den Punkt: Selbst wenn das KI-Tool dir einen Kontext gibt, gibt 888 01:00:43,620 --> 01:00:45,840 es dir oft nicht die Daten und die Informationen. 889 01:00:46,700 --> 01:00:50,360 Es gibt dir etwas, das vermeintlich Intelligence ist, aber nicht 890 01:00:50,360 --> 01:00:51,860 nachvollziehbare Intelligence. 891 01:00:52,720 --> 01:00:55,580 Du schneidest ja auch an, dass es entsprechende KI-Tools gibt und zeigst 892 01:00:55,580 --> 01:00:59,240 auch Anwendungsfälle, wie zum Beispiel: Wenn ich in der Planungsphase bin und ich 893 01:00:59,240 --> 01:01:03,260 überlege noch, welche Synonyme könnte es denn für das geben, was ich gerade suche, 894 01:01:03,260 --> 01:01:05,360 oder welche Begriffe in anderen Sprachen. 895 01:01:05,500 --> 01:01:10,020 Wenn ich in einem Milieu ermitteln möchte, dessen Sprache ich nicht spreche oder 896 01:01:10,020 --> 01:01:15,640 nicht gut spreche, dass ich dann zum Beispiel ein LLM frage: Was sind beliebte 897 01:01:15,640 --> 01:01:18,360 Emoji-Kombinationen, um Folgendes auszudrücken? 898 01:01:19,180 --> 01:01:23,400 Aber dann kommen wir ganz schnell in einen Bereich, wo KI nicht mehr die Hilfe 899 01:01:23,400 --> 01:01:24,740 anbieten kann, die sie verspricht. 900 01:01:24,800 --> 01:01:26,100 Wie sind da deine Erfahrungen? 901 01:01:26,540 --> 01:01:27,860 Sehr gemischt, tatsächlich. 902 01:01:28,240 --> 01:01:35,160 Ich bin auch KI gegenüber erstmal kritisch und bin auch immer der Meinung, man sollte 903 01:01:35,160 --> 01:01:38,480 verstehen, was man an Aufgaben abgibt. 904 01:01:38,900 --> 01:01:41,580 KI ist natürlich super, um hochzuskalieren. 905 01:01:42,380 --> 01:01:47,560 Wenn ich ein Bild geolokalisieren muss, dann kann ich das manuell machen. 906 01:01:47,660 --> 01:01:49,920 Wenn es auf einmal 100 sind, dann wird es schon schwieriger. 907 01:01:49,940 --> 01:01:55,340 Wenn ich jetzt aber 1.000 oder 10.000 Bilder geolokalisieren will, dann kriege 908 01:01:55,340 --> 01:01:59,120 ich das alleine in einer überschaubaren Zeit gar nicht mehr hin. 909 01:01:59,800 --> 01:02:02,200 Dann ist die Frage: Was will ich damit erreichen? 910 01:02:02,400 --> 01:02:08,880 Reicht es mir, herauszufinden, mit einer Trefferquote 60 bis 80 Prozent, in welchem 911 01:02:08,880 --> 01:02:13,000 Land, in welcher Region ein Großteil der Bilder entstanden ist? 912 01:02:13,340 --> 01:02:15,940 Dann kann mir eine KI vielleicht weiterhelfen. 913 01:02:16,920 --> 01:02:21,660 Dafür muss ich aber verstehen, was die Möglichkeiten sind und was auch die 914 01:02:21,660 --> 01:02:23,250 Grenzen und Gefahren von KI sind. 915 01:02:23,380 --> 01:02:25,900 Eine KI wird mir eher zustimmen. 916 01:02:25,980 --> 01:02:32,120 Die wird mit sehr viel Selbstbewusstsein behaupten, dass etwas so ist. 917 01:02:33,180 --> 01:02:37,900 Wenn man das nicht durchschaut und vielleicht das Hintergrundwissen nicht 918 01:02:37,900 --> 01:02:40,080 hat, dann fällt man darauf sehr leicht rein. 919 01:02:41,580 --> 01:02:47,540 Das kann jeder einfach selbst testen, indem man ein Thema wählt, bei dem man 920 01:02:47,540 --> 01:02:51,360 sich wirklich auskennt, und dann einfach mal mit einem LLM hin und her chattet, 921 01:02:51,720 --> 01:02:56,600 sich mal so ein paar Behauptungen anschaut und die vielleicht dann auch 922 01:02:56,600 --> 01:02:57,600 auseinandernimmt. 923 01:02:58,560 --> 01:03:03,060 Was ich eine ganz witzige Übung finde, wenn wir jetzt über OSINT sprechen: dass 924 01:03:03,060 --> 01:03:09,980 man ChatGPT oder irgendeinem anderen Tool sagt: Gib mir doch mal eine lustige 925 01:03:09,980 --> 01:03:13,250 Anekdote aus öffentlichen Quellen zu Samuel Lolagar. 926 01:03:14,140 --> 01:03:18,100 Das ist interessant, wenn man zu seiner eigenen Person dann auf einmal irgendeine 927 01:03:18,100 --> 01:03:22,140 Anekdote, die ja angeblich aus öffentlichen Quellen stammen soll, hört 928 01:03:22,140 --> 01:03:28,380 oder liest und dann aber feststellt, dass das ziemlicher Quatsch ist. 929 01:03:29,020 --> 01:03:35,600 Deswegen wird sehr schnell offensichtlich, dass es zwar glaubhaft klingt, dass es 930 01:03:35,600 --> 01:03:39,640 ordentlich geschrieben ist, aber dass es nicht unbedingt glaubwürdig sein muss. 931 01:03:40,220 --> 01:03:46,180 Ein anderer Punkt, um jetzt vielleicht für KI noch eine Lanze zu brechen: Wenn wir 932 01:03:46,180 --> 01:03:53,180 10.000 Seiten PDF durchsuchen müssen – Volltextsuche haben wir 933 01:03:53,180 --> 01:03:58,520 zwar, aber es können unterschiedliche Begriffe verwendet worden sein, gerade für 934 01:03:58,520 --> 01:04:00,000 Personen, Orte. 935 01:04:01,020 --> 01:04:06,760 Man schreibt nicht immer das Gleiche, oder manchmal ist es einfach im Kontext, dass 936 01:04:06,760 --> 01:04:11,700 sich dann herausstellt, es geht um den Bruder oder Ähnliches. 937 01:04:12,440 --> 01:04:15,180 Da kann KI tatsächlich extrem hilfreich sein. 938 01:04:15,520 --> 01:04:17,560 Natürlich kann eine KI da auch Fehler machen. 939 01:04:17,740 --> 01:04:21,340 Aber dann ist der Punkt: Sie führt mich zur Fundstelle, ich schaue mir die 940 01:04:21,340 --> 01:04:28,260 Fundstelle an, und da muss ich sagen: Ja, vielleicht macht die KI Fehler, aber ein 941 01:04:28,260 --> 01:04:31,980 Mensch, der 10.000 Seiten PDF durchsucht, wird auch Fehler machen. 942 01:04:32,420 --> 01:04:34,380 Konzentration, Aufmerksamkeit. 943 01:04:35,420 --> 01:04:38,940 Wird sich das irgendwann vielleicht sogar die Waage halten, oder die KI vielleicht 944 01:04:38,940 --> 01:04:40,140 sogar besser abschneiden? 945 01:04:41,160 --> 01:04:43,700 In dieser Bandbreite bewegt sich für mich KI. 946 01:04:44,080 --> 01:04:50,820 Ich bin der Überzeugung, dass ich mit KI viele lästige, repetitive Aufgaben 947 01:04:50,820 --> 01:04:54,310 nach und nach abgeben und auch beschleunigen kann. 948 01:04:54,480 --> 01:04:59,380 Aber ich sollte immer verstehen: Was macht die KI denn unten drunter, und das im 949 01:04:59,380 --> 01:05:01,940 Zweifel auch reproduzieren können manuell. 950 01:05:03,080 --> 01:05:06,380 Gerade wenn ich dann ein Ergebnis habe und ich weiß nicht, wo kommt das denn her, 951 01:05:07,340 --> 01:05:13,200 dann muss ich besonders aufmerksam sein und schauen: Wo kommt diese Information 952 01:05:13,200 --> 01:05:14,200 her? 953 01:05:13,520 --> 01:05:14,860 Kann ich das reproduzieren? 954 01:05:15,100 --> 01:05:16,100 Wo ist die Quelle? 955 01:05:16,820 --> 01:05:20,500 Das auch verifizieren, dass das tatsächlich so ist. 956 01:05:20,840 --> 01:05:24,780 Eine KI kann sehr schnell einen Kontext zwischen Informationen herstellen, der gar 957 01:05:24,780 --> 01:05:25,780 nicht existiert. 958 01:05:25,500 --> 01:05:30,940 Da gab es ein schönes Beispiel von einem Journalisten, der dann als mehrfach 959 01:05:30,940 --> 01:05:36,540 verurteilter Mörder und Sexualstraftäter von der KI bezeichnet wurde, weil er immer 960 01:05:36,540 --> 01:05:38,920 zu diesen Fällen berichtet hatte. 961 01:05:39,280 --> 01:05:43,660 Dann tauchte natürlich sein Name immer im Kontext von diesen Gewalttaten, 962 01:05:44,300 --> 01:05:45,300 Sexualstraftaten auf. 963 01:05:45,400 --> 01:05:50,280 Dann war klar: Wenn man den Namen bei ChatGPT abgefragt hat, dann war das 964 01:05:50,280 --> 01:05:55,700 natürlich der Vergewaltiger und Mörder, der zigmal lebenslänglich verurteilt 965 01:05:55,700 --> 01:05:56,700 wurde. 966 01:05:56,720 --> 01:06:01,190 Ich habe da aus ganz privater Erfahrung, als Google angefangen hat, KI-Ergebnisse 967 01:06:01,780 --> 01:06:06,420 vorzuschlagen in den ersten Zeilen: Ich habe irgendwann mal scherzhaft in einem 968 01:06:06,420 --> 01:06:09,820 Vortrag, wo ich über eine Schwachstelle gesprochen habe, gesagt: Ich mache 969 01:06:09,820 --> 01:06:10,820 beruflich Schwachstellen. 970 01:06:11,600 --> 01:06:16,220 Und dann stand in der KI-Zusammenfassung aus diesem Transkript: Ali Hackalife ist 971 01:06:16,220 --> 01:06:19,240 Programmierer und Künstler, beruflich stellt er Schwachstellen her. 972 01:06:21,680 --> 01:06:25,120 Ich meine damit was anderes, wenn ich sage, ich mache beruflich Schwachstellen. 973 01:06:27,660 --> 01:06:31,700 Aber die Maschine ist ja auch nur so schlau wie das, was wir ins Internet 974 01:06:31,700 --> 01:06:32,700 reden. 975 01:06:34,660 --> 01:06:40,840 Wenn ihr jetzt Interesse habt, euch weiter mit OSINT zu befassen, dann ist das Buch 976 01:06:40,840 --> 01:06:45,740 von Samuel eine gute Grundlage, um in die Methoden einzusteigen, in die Theorie 977 01:06:45,740 --> 01:06:51,240 hinter den Methoden, zu verstehen, wie man seine Recherchen strukturiert, wie man 978 01:06:51,240 --> 01:06:54,460 seine Recherchen für sich selbst und andere nachvollziehbar macht. 979 01:06:54,700 --> 01:06:59,100 Das ist durchaus ein wichtiger Teil – Dokumentation: Dass wenn ich etwas heute 980 01:06:59,100 --> 01:07:03,380 anrecherchiere, aufgebe und in drei Monaten denke »Moment, da war doch was«, 981 01:07:03,640 --> 01:07:06,800 dass ich dann nicht wieder bei null anfange, sondern auf bestehenden 982 01:07:06,800 --> 01:07:08,140 Ergebnissen aufbauen kann. 983 01:07:08,600 --> 01:07:11,920 Wenn euch interessiert, wie man da Struktur und Methode reinbringt und was 984 01:07:11,920 --> 01:07:16,300 man damit herausfinden kann, dann gibt es im Rheinwerk Verlag erschienen das Buch 985 01:07:16,300 --> 01:07:19,400 »OSINT – Wie Sie Informationen finden, verifizieren und verknüpfen«. 986 01:07:19,760 --> 01:07:21,040 Danke, Samuel, für deine Zeit. 987 01:07:21,780 --> 01:07:22,780 Vielen Dank.